home *** CD-ROM | disk | FTP | other *** search
/ Sigcat Software Showcase 1992 / SIGCat Software Showcase 1992 - CD-ROM Strategies.ISO / research / docs / c22.doc < prev    next >
Encoding:
Text File  |  1992-03-02  |  9.0 KB  |  266 lines
  1.  
  2. GENERAL SERVICES ADMINISTRATION
  3.      Washington, DC  20405
  4.  
  5.  
  6.                      FIRMR BULLETIN C-22
  7.  
  8. TO:  Heads of Federal agencies
  9.  
  10. SUBJECT:  Security and privacy protection of Federal information  
  11.           processing (FIP) resources
  12.  
  13. 1.  Purpose.  This bulletin provides guidance to help agencies
  14. achieve security for FIP resources, including those resources
  15. provided by contractors.
  16.  
  17. 2.  Expiration date.  This bulletin contains information of a
  18. continuing nature and will remain in effect until canceled.
  19.  
  20. 3.  Contents.
  21.  
  22.     Topic                                              Paragraph
  23.  
  24. Related material..........................................4
  25. Information and assistance................................5
  26. Definitions...............................................6
  27. Acronyms..................................................7
  28. Agency responsibilities...................................8
  29. Security program elements.................................9
  30.   Identification and review...............................9a
  31.   Security controls.......................................9b
  32.   Continuity of operations................................9c
  33.   Security audit or evaluation............................9d
  34.   Physical and environmental security.....................9e
  35.   Contingency plan........................................9f
  36.   NSEP....................................................9g
  37. Cancellation..............................................10
  38.  
  39. 4.  Related material.
  40.  
  41.     a.  Computer Security Act of 1987, 40 U.S.C. 759
  42.     b.  Privacy Act of 1974, 5 U.S.C. 552a
  43.     c.  OMB Circular A-130, Management of Federal Information
  44. Resources
  45.     d.  FIRMR part 201-18, Planning and Budgeting
  46.     e.  FIRMR sectioon 201-21.302, Security and Privacy
  47.     f.  FIRMR Bulletin C-20, National Security and Emergency
  48. Preparedness (NSEP)
  49.     g.  47 CFR Part 64 - Appendix A
  50.  
  51. TC 90-1
  52.  
  53.      FEDERAL INFORMATION RESOURCES MANAGEMENT REGULATION
  54.                          APPENDIX B
  55. FIRMR Bulletin C-22
  56.  
  57.  
  58. 5.  Information and assistance.
  59.  
  60.     General Services Administration
  61.     Regulations Branch (KMPR)
  62.     18th and F Streets, NW
  63.     Washington, DC  20405
  64.  
  65.     Telephone:  FTS 241-3194 or (202) 501-3194
  66.  
  67. 6.  Definitions.
  68.  
  69.     a.  "Risk analysis" means identification of the events,
  70. threats, or hazards that could have an adverse impact on FIP
  71. resources and an understanding of the impact of loss or compromise
  72. of information on the organization, expressed in economic or social
  73. terms, and the probability of such a loss occurring.
  74.  
  75.     b.  "Sensitive information" means any information, the loss,
  76. misuse, or unauthorized access or modification, of which, could
  77. adversely affect the national interest or the conduct of Federal
  78. programs, or the privacy to which individuals are entitled under
  79. the Privacy Act, but that has not been specifically authorized
  80. under criteria established by an Executive Order or an Act of
  81. Congress to be kept secret in the interest of national defense or
  82. foreign policy.
  83.  
  84. 7.  Acronyms.
  85.  
  86. FIP      Federal Information Processing
  87. FIRMR    Federal Information Resources Management Regulation
  88. NIST     National Institute of Standards and Technology
  89. NSEP     National Security and Emergency Preparedness
  90. OMB      Office of Management and Budget
  91. TSP      Telecommunications Service Priority (TSP) System
  92.  
  93. 8.  Agency responsibilities.
  94.  
  95.     a.  FIRMR Part 201-18 requires agencies to consider security
  96. and privacy needs in the development of their 5-year plan for
  97. meeting the agency's information technology needs.
  98.  
  99.     b.  FIRMR 201-21.302 requires each agency to ensure that--
  100.  
  101.         (i)  A satisfactory level of security, commensurate with
  102. the value of resources being protected, is maintained for all FIP
  103. resources, including those maintained or provided by contractors;
  104.  
  105.  
  106.                               2
  107.                                             FIRMR Bulletin C-22
  108.  
  109.  
  110.         (ii)  FIP resources are operated and maintained to
  111. safeguard information from threats and hazards, including
  112. prevention of loss from natural hazards, fire, and accidents; and
  113.  
  114.         (iii)  FIP resources are operated and maintained in a
  115. manner that protects the personal privacy of individuals.
  116.  
  117. 9.  Security program elements.  Agency security programs should
  118. include the following procedures and safeguards:
  119.  
  120.     a.  Identification and review.  For each FIP system, the agency
  121. should determine the level of security required and perform a risk
  122. analysis to provide an understanding of the probable losses and the
  123. effect of those losses upon the agency mission.  The review of each
  124. system should determine that only that information essential to the
  125. system's purpose is maintained.  The Privacy Act of 1974 requires
  126. that agencies maintain only that information about an individual
  127. that is relevant and necessary  to accomplish a purpose of the
  128. agency as required by statute or executive order of the President. 
  129. Thus, protection of privacy is promoted by limiting the amount of
  130. information maintained.
  131.  
  132.     b.  Security controls.  Administrative, physical, and technical
  133. controls help meet agency security program objectives.  Examples
  134. include--
  135.  
  136.         (i)  Controls that have the potential to reduce damage or
  137. loss to the agency through concentration or distribution of FIP
  138. resources functions;
  139.  
  140.         (ii)  Controls used to protect data during physical
  141. handling;
  142.  
  143.         (iii)  Controls that identify and ensure the accountability
  144. of individuals whenever an action is taken that may have an effect
  145. on the data, application, or physical installation; and
  146.  
  147.         (iv)  Controls that limit or prevent access to FIP
  148. resources and that record entry attempts.
  149.  
  150.     c.  Continuity of operations.  To ensure continuity of
  151. operations--
  152.  
  153.         (i)  Identify critical computer records and develop a
  154. contingency plan for each FIP system that processes sensitive
  155. information;
  156.  
  157.  
  158.  
  159.                               3
  160. FIRMR Bulletin C-22
  161.  
  162.  
  163.         (ii)  Identify essential programs, systems of records, and
  164. alternative sites or services;
  165.  
  166.         (iii)  Develop an agreement to use an alternate facility or
  167. services;
  168.  
  169.         (iv)  Periodically operate at the alternative facility or
  170. service center;
  171.  
  172.         (v)  Duplicate essential information, programs, and
  173. documentation for backup at an off-site protected location; and
  174.  
  175.         (vi)  Assure that all sites meet current fire codes and
  176. regulations.  Have the fire department inspect the site and test
  177. fire protection systems and safeguards.
  178.  
  179.     d.  Security audit or evaluation.
  180.  
  181.         (i)  Agencies should perform audits to evaluate the
  182. adequacy of security safeguards, including FIP systems operated by
  183. contractors.
  184.  
  185.         (ii)  Audits should be conducted by personnel other than
  186. those responsible for operating and developing the system.
  187.  
  188.         (iii)  The audit or evaluation should include an
  189. examination of information sensitivity; a verification and
  190. validation of the adequacy of physical, administrative, and
  191. technical controls; and a review of the adequacy of security
  192. administration.  The agency should determine time intervals for
  193. audits or evaluations on the basis of the sensitivity of the
  194. operation, but should conduct one at least every 3 years.  This
  195. audit should ensure that all applicable Federal policies,
  196. regulations, and standards are met and that logs and inventories
  197. are current.
  198.  
  199.     e.  Physical and environmental security.  Agencies should
  200. maintain a safe physical environment for FIP resources that ensures
  201. the protection of personnel, the safeguarding of the physical
  202. assets of the facility, and the effective performance of the
  203. facility's mission.  Ventilation, smoke detection, fire, flooding,
  204. personnel security,and emergency power are major factors to
  205. consider when developing environmental security safeguards.
  206.  
  207.     f.  Contingency plan.  Agencies should develop, test, and
  208. maintain a contingency plan for each FIP system that processes
  209. sensitive information.
  210.  
  211.  
  212.                               4
  213.                                               FIRMR Bulletin C-22
  214.  
  215.  
  216.     g.  National Security Emergency Preparedness (NSEP).  Certain
  217. telecommunications resources are installed and operated to meet
  218. agency NSEP requirements.  Agencies need to identify resources that
  219. use telecommunications services and transmit sensitive information. 
  220. These FIP reources need to be included in the agency's providing
  221. carriers' Telecommunications Service Priority (TSP) System,
  222. formerly known as the "Restoration Priority System."  FIRMR
  223. Bulletin C-20 contains guidance on NSEP.  See Appendix A to 47 CFR
  224. Part 64 for TSP system coverage.
  225.  
  226. 10.  Cancellation.  FIRMR Bulletin 34 is canceled.
  227.  
  228.  
  229.  
  230.  
  231.  
  232.  
  233. Thomas J. Buckholtz
  234. Commissioner
  235. Information Resources
  236. Management Service
  237.  
  238.  
  239.  
  240.  
  241.  
  242.  
  243.  
  244.  
  245.  
  246.  
  247.  
  248.  
  249.  
  250.  
  251.  
  252.  
  253.  
  254.  
  255.  
  256.  
  257.  
  258.  
  259.  
  260.  
  261.  
  262.  
  263.  
  264.  
  265.                               5 
  266.