home *** CD-ROM | disk | FTP | other *** search

---

/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Rainbow / ncsc / blue2ncsc.txt

< prev

next >

Wrap

Text File  |  1999-11-04  |  130KB  |  3,270 lines

---

1. NCSC-TG-029
2.  
3. Library No. S-239,954
4.  
5. Version 1
6.  
7. FOREWORD
8.  
9. The National Computer Security Center is publishing Introduction to Certification and 
10. Accreditation as part of the "Rainbow Series" of documents our Technical Guidelines Program 
11. produces. This document initiates a subseries on certification and accreditation (C&A) guidance, 
12. and provides an introduction to C&A including an introductory discussion of some basic concepts 
13. related to C&A, and sets the baseline for future documents on the same subject. It is not intended 
14. as a comprehensive tutorial or manual on the broad topic of information systems security. It should 
15. be viewed, instead, as guidance in meeting requirements for certification and accreditation of 
16. automated information systems.
17.  
18. The combination of the information age, technology, and national policy, has irrevocably 
19. pushed us into an Information Systems Security age. The explosion in the uses of 
20. telecommunication devices and automated information systems has resulted in a corresponding 
21. explosion in opportunities for unauthorized exploitation of valuable information. The technology 
22. necessary to perform this exploitation is available not only to our foreign adversaries but also to 
23. criminal elements.
24.  
25. As the Director of the National Computer Security Center, I invite your suggestions for 
26. revising this document. We plan to review and revise this document as the need arises. Please 
27. address all proposals for revision through appropriate channels to:
28.  
29. National Computer Security Center
30.  
31. 9800 Savage Road
32.  
33. Ft. George G. Meade, MD 20755-6000
34.  
35. Attention: Chief, Standards, Criteria, and Guidelines Division
36.  
37. January 1994
38.  
39.  
40.  
41.  
42.  
43.  
44.  
45. Patrick R. Gallagher, Jr.
46.  
47. Director
48.  
49. National Computer Security Center
50.  
51. ACKNOWLEDGMENTS
52.  
53. This document has been produced under the guidance of U.S. Navy Lieutenant Commander 
54. Candice A. Stark. This version of the document was developed with the assistance of many 
55. organizations, in addition to the NSA groups, and include: Aerospace Corp.; Beta Analytics, Inc; 
56. Boeing Aerospace Co.; Booz, Allen and Hamilton; Bureau of the Census; Central Intelligence 
57. Agency; Computers & Security; Computer Sciences Corp.; CTA, Inc.; Cybercom Research Corp.; 
58. Defense Intelligence Agency; Defense Logistics Agency; Defense Mapping Agency; Defense 
59. Nuclear Agency; Department of Justice; Defense Information Systems Agency; Drug Enforcement 
60. Administration; Dynetics Inc; Gemini Computers, Inc.; Grumman Data Systems; General Services 
61. Administration; GTE; Harris Corp. ESD; Honeywell Federal Systems; ITT Research Institute; 
62. Information Security International, Inc.; Internal Revenue Service; Joint Chiefs of Staff; Lesnett 
63. and Associates, Inc; Lockheed; Locus, Inc; Los Alamos National Laboratories; Martin Marietta 
64. Defense Space and Communications; MITRE Corp; NASA AIS Security Engineering Team; 
65. National Defense University; National Institute of Standards and Technology; Office of the 
66. Secretary of Defense; On-Site Inspection Agency; Robert M. Wainwright & Assoc; RCAS; SAIC 
67. Communication Systems; Seidcon & Company; Space Application Corp.; Suffern Associates; 
68. Trusted Information Systems; TRW; U.S. Air Force; U.S. Army, U.S. Navy, U.S. Marine Corps; 
69. University of Southern California Information Sciences Institute. Individuals in these 
70. organizations gave generously of their time and expertise in the useful review and critique of this 
71. document.
72.  
73. ABSTRACT
74.  
75. This document, which provides an introduction to certification and accreditation (C&A) concepts, 
76. provides an introductory discussion of some basic concepts related to C&A and sets the baseline 
77. for further documents. Its objectives are the following: (1) to provide an overview of C&A, its 
78. function and place within the risk management process; (2) to clarify the critical roles the 
79. Designated Approving Authority (DAA) and other key security officials must assume throughout 
80. the C&A process; (3) to identify some of the current security policies, emphasizing some key 
81. policy issue areas; and (4) to define C&A-related terms. The details of the actual C&A process are 
82. not included in this document, but will be provided in a follow-on document(s).
83.  
84. Suggested Keywords: certification, accreditation, Designated Approving Authority (DAA), 
85. INFOSEC, security policy
86.  
87. TABLE OF CONTENTS
88.  
89. Forward 
90.  
91. Acknowledgments 
92.  
93. Abstract        
94.  
95. 1.      Introduction    
96.  
97.         1.1     Background      
98.         1.2     Scope   
99.         1.3     Purpose 
100.         1.4     Evaluation Versus Certification 
101.  
102. 2.      Overview of C&A 
103.  
104.         2.1     Risk Management andC&A  
105.         2.2     C&A High-Level Process  
106.         2.2.1   Certification and Associated Security Disciplines       
107.         2.2.2   Factors That Influence the Certification Process        
108.         2.3     Recertification and Reaccreditation     
109.  
110. 3.      Primary C&A Roles       
111.  
112.         3.1     DAA     
113.         3.1.1   Joint Accreditors       
114.         3.1.2   Multiple Accreditors    
115.         3.2     Certification Agent/Certification Team  
116.         3.3     Other Security Roles    
117.  
118. 4.      Security Policy 
119.  
120.         4.1     Current Security Policy 
121.         4.1.1   National Security Policy        
122.         4.1.2   DoD /DCI Security Policies      
123.         4.2     Policy Related Issues   
124.         4.2.1   Rapid Technology Changes        
125.         4.2.2   Planning for C&A        
126.         4.2.3   Certification Boundaries        
127.         4.2.4   Acceptable Level of Risk        
128.  
129. Appendix A Terminology  
130.  
131. Appendix B Identifying the Appropriate DAA      
132.  
133. Appendix C DoD Component AIS Security Policies  
134.  
135. Appendix D Acronyms     
136.  
137. Appendix E List of References   
138.  
139. LIST OF FIGURES
140.  
141. 2-1.    High-Level C&A Process  
142.  
143. 2-2.    INFOSEC Security Discipline Interrelationship   
144.  
145. 4-1.    Information Security Policy and Guidance        
146.  
147. LIST OF TABLES
148.  
149. B-1.    Identification of Service DAAs and Applicable Policies  
150.  
151. B-2.    Identification of Other Agency DAAs     
152.  
153. B-3.    DAAs for Separately Accredited Networks 
154.  
155. SECTION 1
156.  
157. INTRODUCTION
158.  
159. 1.1     Background
160.  
161. In recent years, there has been a shift in perspective of information systems security (INFOSEC) 
162. from viewing it as a number of independent, loosely coupled disciplines to a more cohesive, 
163. interdependent collection of security solutions. The current environment of declining resources 
164. and the rapid advances in technology have demanded changes in assessing the security posture of 
165. systems and implementing an INFOSEC systems engineering process. These changes are 
166. necessary to reduce fragmentation and to ensure and maintain consistency and compatibility 
167. among all aspects of the security of a system. In addition, the dynamic threat environment 
168. necessitates a more efficient, integrated view of INFOSEC disciplines.
169.  
170. In considering the overall security of a system, two essential concepts are (1) that the (security) 
171. goals of the system be clearly stated and (2) that an analysis be made of the ability of the system 
172. to (a) satisfy the original goals and (b) continue to provide the attributes and security required in 
173. the evolving environment. The Department of Defense (DoD) and other federal agencies have 
174. formalized these concepts. DoD policy states that any automated information system (AIS) that 
175. processes classified, sensitive unclassified, or unclassified information must undergo a technical 
176. analysis and management approval before it is allowed to operate [1]. The technical analysis 
177. establishes the extent to which the system meets a set of specified security requirements for its 
178. mission and operational environment. The management approval is the formal acceptance of 
179. responsibility for operating at a given level of risk. The technical analysis and management 
180. approval processes are called certification and accreditation (C&A), respectively. These concepts, 
181. however, are quite general and can be applied with different levels of formality and within different 
182. organizational structures.
183.  
184. One of the most important tasks required to provide an integrated, cost-effective information 
185. systems security program, is to develop uniform certification and accreditation guidance. The use 
186. of AISs within all aspects of operations, the dynamic organization of systems, and the exchange of 
187. information among systems point to the need for uniform guidance when certifying and accrediting 
188. systems. The National Security Agency (NSA), in support of its mission to provide guidelines on 
189. the acquisition, certification, accreditation, and operation of systems, plans to publish a series of 
190. documents focusing on these issues. This introductory document discusses the basic concept of 
191. C&A of systems in an effort to provide improvements in the secure development, operation, and 
192. maintenance of systems.
193.  
194. 1.2     Scope
195.  
196. This document provides an overview to some basic concepts and policies of C&A. Individuals 
197. serving as system accreditors, system certifiers, program managers (PMs), developers, system 
198. integrators, system engineers, security officers, evaluators, and System users will benefit from this 
199. document by gaining a basic understanding of C&A. People in each of the many roles involved in 
200. C&A will have a different focus and emphasis on related activities. Therefore, it is important that 
201. everyone involved has a basic understanding of the high-level process and uses common 
202. terminology. This document provides a basic overview of C&A, but it is not a replacement for 
203. reviewing and understanding the specific national, federal, department, and service/agency 
204. policies and guidelines in the actual performance of C&A.
205.  
206. The concepts of C&A presented in this document apply to all types of systems: existing and 
207. proposed systems, stand-alone systems, personal computers (PCs), microcomputers, 
208. minicomputers, mainframes, large central processing facilities, networks, distributed systems, 
209. embedded systems, workstations, telecommunications systems, systems composed of both 
210. evaluated and unevaluated components, other security components, and systems composed of 
211. previously accredited systems (particularly when some of these accredited systems have not been 
212. certified or have been certified against differing criteria). Guidance on applying the high-level 
213. C&A process to particular types of systems, as well as associated activities, will be provided in 
214. subsequent documents in this series.
215.  
216. 1.3     Purpose
217.  
218. The purpose of this C&A concepts document is to discuss the high-level C&A process, authority 
219. for C&A, C&A policy, and C&A terminology. This document sets the baseline for a series of 
220. documents and has the following objectives:
221.  
222. ╖       Discuss the high-level C&A process and its relationship to risk management and 
223. INFOSEC disciplines.
224.  
225. ╖       Clarify the critical roles the DAA and key security officials must assume throughout the 
226. C&A process.
227.  
228. ╖       Identify several current security policies, emphasizing areas that are ambiguous or not 
229. addressed in current policy.
230.  
231. ╖       Define basic C&A terms.
232.  
233. 1.4     Evaluation Versus Certification
234.  
235. Evaluation is a term used in many different ways causing much confusion in the security 
236. community. Sometimes it is used in the general English sense meaning judgment or determination 
237. of worth or quality. Based on common usage of the term in the security community, one can 
238. distinguish between two types of evaluations: (1) evaluations that exclude the environment, and 
239. (2) evaluations that include the environment. This second type of evaluation, meaning an 
240. evaluation conducted to assess a systems security attributes with respect to a specific operational 
241. requirement(s), is what this series of documents refers to as certification. Evaluations that exclude 
242. the environment are analysis against a standard or criteria. There are a number of examples of this 
243. type of evaluation:
244.  
245. ╖       Commercial off-the-shelf (COTS) products evaluated against the Trusted Computer 
246. System Evaluation Criteria (TCSEC) (Orange Book) [2] or the Canadian or European 
247. Criteria
248.  
249. ╖       Compartmented Mode Workstations (CMW) evaluated against the Compartmented 
250. Mode Workstation Evaluation Criteria, Version 1 (CMWEC) [3] and the TCSEC
251.  
252. ╖       Communications products with embedded communications security (COMSEC) 
253. components evaluated against the FSRS (NSA Specification for General Functional 
254. Security Requirements for a Telecommunications System (FSRS) [4])
255.  
256. ╖       Products evaluated against the TEMPEST criteria (DoD Directive (DoDD) C-5200.19 
257. [5])
258.  
259. Products that have been evaluated against the FSRS and that satisfactorily meet the minimum 
260. requirements (and are successfully considered for NSA approval) are generally said to be endorsed 
261. products. Products evaluated against the TCSEC are often referred to as evaluated products. While 
262. current usage of these terms varies widely, in this document, the term evaluation will refer to a 
263. security analysis of a component against a given set of standards or criteria without regard to the 
264. environment, while certification refers to a security analysis of a system against a given set of 
265. security requirements in a given environment.
266.  
267. SECTION 2
268.  
269. OVERVIEW OF C&A
270.  
271. Certification and accreditation constitute a set of procedures and judgments leading to a 
272. determination of the suitability of the system in question to operate in the targeted operational 
273. environment.
274.  
275. Accreditation is the official management authorization to operate a system. The accreditation 
276. normally grants approval for the system to operate (a) in a particular security mode, (b) with a 
277. prescribed set of countermeasures (administrative, physical, personnel, COMSEC, emissions, and 
278. computer security (COMPUSEC) controls), (c) against a defined threat and with stated 
279. vulnerabilities and countermeasures, (d) within a given operational concept and environment, (e) 
280. with stated interconnections to other systems, (f) at an acceptable level of risk for which the 
281. accrediting authority has formally assumed responsibility, and (g) for a specified period of time. 
282. The Designated Approving Authority(s) (DAA) formally accepts security responsibility for the 
283. operation of the system and officially declares that the specified system will adequately protect 
284. against compromise, destruction, or unauthorized modification under stated parameters of the 
285. accreditation. The accreditation decision affixes security responsibility with the DAA and shows 
286. that due care has been taken for security in accordance with the applicable policies.
287.  
288. An accreditation decision is in effect after the issuance of a formal, dated statement of accreditation 
289. signed by the DAA, and remains in effect for the specified period of time (varies according to 
290. applicable policies). A system processing classified or sensitive unclassified information should be 
291. accredited prior to operation or testing with live data unless a written waiver is granted by the 
292. DAA. In some cases (e.g., when dealing with new technology, during a transition phase, or when 
293. additional time is needed for more rigorous testing), the DAA may grant an interim approval to 
294. operate for a specified period of time. At the end of the specified time period, the DAA must make 
295. the final accreditation decision.
296.  
297. Certification is conducted in support of the accreditation process. It is the comprehensive analysis 
298. of both the technical and nontechnical security features and other safeguards of a system to 
299. establish the extent to which a particular system meets the security requirements for its mission and 
300. operational environment. A complete system certification must consider factors dealing with the 
301. system in its unique environment, such as its proposed security mode of operation, specific users, 
302. applications, data sensitivity, system configuration, site/facility location, and interconnections 
303. with other systems. Certification should be done by personnel who are technically competent to 
304. assess the systems ability to meet the security requirements according to an acceptable 
305. methodology. The resulting documentation of the certification activities is provided to the DAA to 
306. support the accreditation decision. Many security activities support certification, such as risk 
307. analysis, security test and evaluation, and various types of evaluations.
308.  
309. Ideally, certification and accreditation procedures encompass the entire life cycle of the system. 
310. Ideally, the DAA is involved from the inception of the system to ensure that the accreditation goals 
311. are clearly defined. A successful certification effort implies that system security attributes were 
312. measured and tested against the threats of the intended operational scenarios. Additionally, 
313. certification and accreditation are seen as continuing and dynamic processes; the security state of 
314. the system needs to be tracked and assessed through changes to the system and its operational 
315. environment. Likewise, the management decision to accept the changing system for continued 
316. operation is an ongoing decision process. The following sections provide a description of risk 
317. management, the high-level C&A process, and recertification/reaccreditation.
318.  
319. 2.1     Risk Management and C&A
320.  
321. Risk management is the total process of identifying, measuring, and minimizing uncertain events 
322. affecting resources [1]. A fundamental aspect of risk management is the identification of the 
323. security posture (i.e., threats and vulnerabilities) of the system, and stating the characteristics of 
324. the operational environment from a security perspective. The primary objective of risk 
325. management is to identify specific areas where safeguards are needed against deliberate or 
326. inadvertent unauthorized disclosure, modification of information, denial of service, and 
327. unauthorized use. Countermeasures can then be applied in those areas to eliminate or adequately 
328. reduce the identified risk. The results of this activity provide critical information to making an 
329. accreditation decision.
330.  
331. Risk management may include risk analysis, cost-benefit analysis, countermeasure selection, 
332. security test and evaluation (ST&E), countermeasure implementation, penetration testing, and 
333. systems review. For DoD organizations, enclosure 3 to DoDD 5200.28 mandates a risk 
334. management program for each AIS to determine how much protection is required, how much 
335. exists, and the most economical way of providing the needed protection. Other federal departments 
336. and agencies have similar policy documents that should be referenced for guidance.
337.  
338. Risk analysis minimizes risk by specifying security measures commensurate with the relative 
339. values of the resources to be protected, the vulnerabilities of those resources, and the identified 
340. threats against them. Risk analysis should be applied iteratively during the system life cycle. When 
341. applied to system design, a risk analysis aids in countermeasure specification. When applied during 
342. the implementation phase or to an operational system, it can verify the effectiveness of existing 
343. countermeasures and identify areas in which additional measures are needed to achieve the desired 
344. level of security. There are numerous risk analysis methodologies and some automated tools 
345. available to support them.
346.  
347. Management commitment to a comprehensive risk management program must be defined as early 
348. as possible in the program life cycle. In scheduling risk management activities and designating 
349. resources, careful consideration should be given to C&A goals and milestones. Associated risks 
350. can then be assessed and corrective action considered for risks that are unacceptable.
351.  
352. 2.2     C&A High-Level Process
353.  
354. The C&A process is a method for ensuring that an appropriate combination of security measures 
355. are implemented to counter relevant threats and vulnerabilities. This high- level process consists 
356. of several iterative, interdependent phases and steps illustrated in Figure 2.1. The scope and 
357. specific activities of each step depend upon the system being certified and accredited (see section 
358. 2.2.2).
359.  
360. Step 1 of the C&A process focuses on identifying and assessing the specific security-relevant 
361. aspects (i.e., tailoring factors) of a system. It involves gathering and developing relevant 
362. documentation (e.g., policy implementation guidance, security regulations/manuals, previous 
363. certification reports, product evaluation reports, COTS manuals, design documentation, design 
364. modification, and security-related waivers). This identification provides the foundation for 
365. subsequent phases, and is critical to determining the appropriate C&A tailoring guidance to be used 
366. throughout the C&A process. Aspects to be considered include:
367.  
368. ╖       Mission criticality
369.  
370. ╖       Functional requirements
371.  
372. ╖       System security boundary
373.  
374. ╖       Security policies
375.  
376. ╖       Security concept of operations (CONOPS)
377.  
378. ╖       System components and their characteristics
379.  
380. ╖       External interfaces and connection requirements
381.  
382. ╖       Security mode of operation or overall risk index
383.  
384. ╖       System and data ownership
385.  
386. ╖       Threat information
387.  
388. ╖       Identification of the DAA(s)
389.  
390. Step 2 involves C&A planning. Since security should have been considered with system 
391. conception, planning for C&A is a natural extension of system security planning. That is, the 
392. schedule (milestones) and resources (e.g., personnel, equipment, and training) required to 
393. complete the C&A process are identified. C&A planning information is incorporated into and 
394. maintained in program documentation. This information is also used to estimate the C&A budget. 
395. Aspects to be considered in this step include:
396.  
397. ╖       Reusability of previous evidence
398.  
399. ╖       Life-cycle phase
400.  
401. ╖       System milestones (time constraints)
402.  
403.  
404.  
405. Figure 2.1. High-Level C&A Process
406.  
407. Step 3 involves analyzing the security aspects of the system as a whole (i.e., how well security is 
408. employed throughout the system). During this phase, the certification team becomes more familiar 
409. with the security requirements and the security aspects of individual system components. 
410. Specialized training on the specific system may be necessary depending upon the scope of this 
411. phase as well as the experience of the certification team. C&A activities include determining 
412. whether system security measures adequately satisfy applicable requirements. To accomplish this 
413. objective, security measures of the various disciplines are assessed and tested collectively. 
414. Additionally, system vulnerabilities and residual risks are identified.
415.  
416. Step 4 involves documenting/coordinating the results and recommendations of previous phases to 
417. prepare the certification package and accreditation package. The certification package is the 
418. consolidation of all the certification activity results. It will be used as supporting documentation 
419. for the accreditation decision, and will also support recertification/reaccreditation activities. The 
420. compilation of the supporting documentation should be done consistently and cost-effectively. The 
421. types of documentation generally included as part of the certification package include:
422.  
423. ╖       System need/mission overview
424.  
425. ╖       Security policy
426.  
427. ╖       Security concept of operation or security plan
428.  
429. ╖       System architectural description and configuration
430.  
431. ╖       Reports of evaluated products from a recognized government evaluation (e.g., NSA 
432. product evaluation, the Defense Intelligence Agency (DIA)/NSA compartmented mode 
433. workstation (CMW) evaluation)
434.  
435. ╖       Statements from other responsible agencies indicating that personnel, physical, 
436. COMSEC, or other security requirements have been met (e.g., Defense Message System 
437. (DMS) component approval process (CAP) functional testing)
438.  
439. ╖       Risks and INFOSEC countermeasures (e.g., risk analysis report)
440.  
441. ╖       Test plans, test procedures, and test results from security tests conducted (including 
442. penetration testing)
443.  
444. ╖       Analytic results
445.  
446. ╖       Configuration Management plan
447.  
448. ╖       Previous C&A information
449.  
450. ╖       Contingency plan
451.  
452. The accreditation package presents the DAA with a recommendation for an accreditation decision, 
453. a statement of residual risk, and supporting documentation which could be a subset of the 
454. certification package. It may be in the form of a technical document, technical letter, or annotated 
455. briefing. The information generally included as part of the accreditation package includes as a 
456. minimum:
457.  
458. ╖       Executive summary of mission overview, architectural description, and system 
459. configuration, including interconnections
460.  
461. ╖       Memorandum of Agreements (MOA)
462.  
463. ╖       Waivers signed by the DAA that specific security requirements do not need to be met or 
464. are met by other means (e.g., procedures)
465.  
466. ╖       Residual risk statement, including rationale for why residual risks should be accepted/
467. rejected
468.  
469. ╖       Recommendation for accreditation decision
470.  
471. Step 5 is optional and involves the DAA(s) or his/her representative(s) conducting a site 
472. accreditation survey to ensure the security requirements meet the requirements for the system. 
473. Final testing can be conducted at this time to ensure the DAA(s) are satisfied that the residual risk 
474. identified meets an acceptable level of risk to support its purpose. The activities include:
475.  
476. ╖       Assess system information (this is the certification package review)
477.  
478. ╖       Conduct site accreditation survey
479.  
480. Step 6 involves the DAA making the accreditation decision. This decision is based on many 
481. factors, such as global threats, system need/criticality, certification results and recommendations, 
482. residual risks, the availability or cost of alternative countermeasures, and factors that transcend 
483. security such as program and schedule risks, and even political consequences. The DAA has a 
484. range of options in making the accreditation decision, including the following:
485.  
486. ╖       Full accreditation approval for its originally intended operational environment, including 
487. a recertification/reaccreditation timeline
488.  
489. ╖       Accreditation for operation outside of the originally intended environment (e.g., change 
490. in mission, crisis situation, more restrictive operations)
491.  
492. ╖       Interim (temporary) accreditation approval, identifying the steps to be completed prior to 
493. full granting of accreditation and any additional controls (e.g., procedural or physical 
494. controls, limiting the number of users) that must be in place to compensate for any 
495. increased risk
496.  
497. ╖       Accreditation disapproval, including recommendations and timelines for correcting 
498. specified deficiencies
499.  
500. Step 7 involves maintaining the system accreditation throughout the system life cycle. 
501. Accreditation maintenance involves ensuring that the system continues to operate within the stated 
502. parameters of the accreditation. For example, that the stated procedures and controls of the system 
503. stay in place and are used, that the environment does not change outside of the stated parameters, 
504. that other types of users are not added to the system (e.g., users with lower clearances), that no 
505. additional external connections are made to the systems or that additional security requirements 
506. are not imposed on the system. Any substantial changes to the stated parameters of the 
507. accreditation may require that the system be recertified or reaccredited. It is important to note that 
508. recertification and reaccreditation activities may differ from those performed in support of a 
509. previous accreditation decision. For example, the system security mode of operation may change 
510. from system-high to compartmented mode, requiring more stringent security measures and an in-
511. depth analysis of these measures. Applicable security policies/regulations, C&A team members, 
512. and/or DAA(s) may also change. Section 2.3 provides more information on events that affect 
513. system security that might require a system to be recertified or reaccredited.
514.  
515. 2.2.1   Certification and Associated Security Disciplines
516.  
517. Certification activities and the associated results/recommendations are performed in support of the 
518. accreditation decision. Certification is a method for ensuring that an appropriate combination of 
519. system security measures are correctly implemented to counter relevant threats and vulnerabilities. 
520. That is, the certification effort must assess the effectiveness and interdependencies of security 
521. measures, as well as possible interferences or conflicts among them. These measures are typically 
522. based on the system security policy and operational requirements. It must be emphasized that in 
523. order to provide a realistic and effective analysis of the security posture of a system, all appropriate 
524. security disciplines (an INFOSEC perspective) must be included in the scope of the certification. 
525. For example, while a system may have very strong controls in one area (e.g., COMPUSEC), weak 
526. controls in another area (e.g., lax procedures) may undermine the systems overall security posture. 
527. The security disciplines to be considered include:
528.  
529. ╖       COMPUSEC
530.  
531. ╖       COMSEC
532.  
533. ╖       Technical security (TECHSEC) (e.g. emission security, TEMPEST, tampering)
534.  
535. ╖       Physical security
536.  
537. ╖       Personnel security
538.  
539. ╖       Administrative security
540.  
541. ╖       Others as appropriate (e.g., operations security (OPSEC), electronic security, signals 
542. security, transmission security (TRANSEC), cryptosecurity)
543.  
544. The concept and definitions (see appendix A) of some of these disciplines were developed at a time 
545. when security was viewed more as independent, loosely coupled disciplines, without an INFOSEC 
546. perspective to tie many of these various concerns together. In addition, the boundaries between the 
547. disciplines are unclear. Some disciplines are considered subsets of another; others are equivalent 
548. terms, but used by different communities of interest. While independent analyses of the security 
549. measures within a discipline may be done as part of the certification, the key is that the results of 
550. these analyses must be viewed together, not individually, to assess the overall security posture of 
551. the system.
552.  
553. Figure 2.2 illustrates one possible interrelationship of the security disciplines. The placement of 
554. the disciplines shows one possible overlap among the boundaries, and provides a categorization of 
555. the disciplines into three general areas: communications related, AIS related, or manual/
556. information related. Depending on the particular system or environment, other relationships are 
557. possible. The remainder of this section presents a high-level overview of some representative 
558. security measures that may be appropriate for a given system for the first six disciplines listed 
559. above. The other disciplines will not be expanded in this section.
560.  
561. COMPUSEC measures may play an important role in mediating system risk. Certification 
562. activities include assessing the pervasiveness of these measures. For instance, the certification 
563. effort will determine whether the measures provide sufficient protection and whether they 
564. adequately enforce system security policies and requirements. How well these measures work in 
565. conjunction with or complement non-COMPUSEC measures must also be considered.
566.  
567. When computer equipment (e.g., workstation, hosts, and peripherals) is interconnected (e.g., via a 
568. local area network (LAN) or wide area network (WAN)), certification activities include assessing 
569. the protection, control, and adequacy of COMSEC measures. In this context, interconnection 
570. means the operational exchange of information among systems or within a system via data 
571. communications or networks. Certification will assess whether appropriate COMSEC policies and 
572. procedures are applied and approved equipment is used to counter threats and vulnerabilities of 
573. network components (e.g., packet switches, gateways, bridges, repeaters, transmission media).
574.  
575. Certification activities may include determining whether processing facilities or equipment 
576. comply with the appropriate national policy on compromising emanations.
577.  
578. For example, as part of certification, TEMPEST tests may be conducted, equipment installation or 
579. physical control space inspected, and encrypted/clear text (also known as Red/Black) separation 
580. procedures reviewed. The selection and evaluation of TEMPEST countermeasures are based on 
581. several factors such as data sensitivity level, amount of sensitive data, equipment used, and facility 
582. location.
583.  
584. A combination of physical security measures is needed to protect most systems. Consequently, 
585. certification activities often include inspecting the system in its operational environment/
586. configuration to determine the adequacy of physical security measures. For some environments, a 
587. technical surveillance countermeasures (TSCM) survey may be conducted to identify exploitable 
588. technical and physical security vulnerabilities.
589.  
590.  
591.  
592. Figure 2.2. INFOSEC Security Discipline Interrelationship
593.  
594. Personnel security measures are also considered as part of system certification. Certification 
595. activities must ensure that personnel are appropriately cleared and/or approved for access to the 
596. system or portions thereof. Additionally, a determination of whether personnel security measures 
597. are commensurate with the overall risk index or system security mode of operation (e.g., dedicated, 
598. system-high, compartmented, or multilevel) must be made.
599.  
600. Administrative security procedures are used in conjunction with or in lieu of automated measures. 
601. Certification activities include inspecting relevant documentation (e.g., Trusted Facility Manual 
602. and Standard Operating Procedures) to determine the adequacy of administrative controls and 
603. ensuring that the procedures are followed. Additionally, certification activities will verify that 
604. security personnel (e.g., information system security officers) have been appointed and that these 
605. individuals thoroughly understand their responsibilities for ensuring compliance with system 
606. security policies and procedures.
607.  
608. 2.2.2   Factors That Influence the Certification Process
609.  
610. A number of factors may influence the determination of the C&A activities to be performed and 
611. the appropriate level of effort for those activities. While the high-level C&A process provides a 
612. uniform framework for performing C&A, more specific guidance is needed in order to apply the 
613. process to a given system in a specific environment or situation. This section briefly outlines some 
614. of the important factors that are key to tailoring the C&A process for a specific environment.
615.  
616. The security requirements that apply to a system are interpretations of generic requirements in the 
617. context of the system's mission, operational concept, and threat environment. C&A activities must 
618. be tailored to address the system's specific security requirements. For example, the C&A activities 
619. associated with a network whose mission is to deliver fixed format messages between the systems 
620. that use that network's services with assurances of message integrity and delivery within a set time 
621. will be different from those associated with a local-area network used by a collection of individual 
622. users for office automation.
623.  
624. The complexity of a system involves both the architectural complexity of the information system 
625. (i.e., the variety of components and functions) and the operational complexity of the total system 
626. (including user activities that perform the mission). Clearly, the depth of technical analysis and 
627. testing required for a local area network with workstations, file servers, and gateways to wide area 
628. networks is far greater than that needed for a stand-alone PC. The level of operational complexity 
629. will be primarily reflected in the evaluation of non-technical safeguards and in the risk analysis.
630.  
631. The risk environment in which the system operates (or is intended to operate) includes not only the 
632. sensitivity of the data the system handles and the clearances/authorizations of system users and 
633. external interfaces, but also the system criticality and the nature and level of the threats against it. 
634. C&A activities should be tailored to the level of potential risk associated with the system. For 
635. example, relatively little technical analysis may be required for a system that handles routine 
636. information and is not mission critical (e.g., office automation system).
637.  
638. The scope of C&A activities should depend on whether the system incorporates (a) previously 
639. evaluated products or (b) products or subsystems used in a system that has already been certified 
640. and accredited. The effort should be able to make use of C&A work done by other organizations. 
641. In addition, if inadequate attention has been paid to C&A up to some point in a system's life cycle, 
642. the C&A activities after that point will have to be tailored to compensate for prior inadequacies.
643.  
644. 2.3     Recertification and Reaccreditation
645.  
646. Various recertification and reaccreditation cycles are currently prescribed. Typically these range 
647. between three and five years. For example, current DoD policy states that a system shall be 
648. reaccredited every three years, regardless of change [1]. On the other hand, Director of Central 
649. Intelligence (DCI) policy requires a five year reaccreditation cycle [6]. During this time, periodic 
650. reviews of the system should be conducted to ensure that no changes in the system have occurred 
651. that might necessitate reaccreditation before the three or five-year cycle.
652.  
653. Another reason for reaccrediting (and recertifying) a system is that major changes have been made 
654. to some aspect of the system that impacts security. The level of effort, in this case, for 
655. recertification and reaccreditation will depend on the certification factors (such as those described 
656. in section 2.2.2) as well as the possible impact of the changes made. In this situation, the 
657. recertification activities should concentrate on those aspects of the system that have changed since 
658. the original certification. The results of previous certification activities related to unchanged parts 
659. of the system will likely be able to be reused with no (or only minor) changes. The following is a 
660. partial list of events affecting system security that might require a system to be recertified and 
661. reaccredited:
662.  
663. ╖       A change in criticality and/or sensitivity level that causes a change in the 
664. countermeasures required
665.  
666. ╖       A change in the security policy (e.g., access control policy)
667.  
668. ╖       A change in the threat or system risk
669.  
670. ╖       A change in the activity that requires a different security mode of operation
671.  
672. ╖       Additions or a change to the operating system or to software providing Security features
673.  
674. ╖       Additions or a change to the hardware that requires a change in the approved security 
675. countermeasures
676.  
677. ╖       A breach of security, a breach of system integrity, or an unusual situation that appears to 
678. invalidate the accreditation by revealing a flaw in security design
679.  
680. ╖       A significant change to the physical structure of the facility or to the operating procedures
681.  
682. ╖       A significant change to the configuration of the system (e.g., a workstation is connected 
683. to the system outside of the approved configuration)
684.  
685. ╖       For networks, the inclusion of an additional (separately accredited) system(s) or the 
686. modification/replacement of a subscribing system that affects the security of that system
687.  
688. ╖       Results of an audit or external analysis
689.  
690. For systems with multiple accreditors, recertification and reaccreditation requirements and 
691. responsibilities should be identified in the MOA. For example, if a jointly accredited system is 
692. governed by the requirements of both DoDD 5200.28 [1] and DCI Directive (DCID) 1/16 [6], the 
693. DAAs, as part of their agreements documented in the MOA, should resolve the conflict in 
694. accreditation cycles.
695.  
696. SECTION 3
697.  
698. PRIMARY C&A ROLES
699.  
700. This section identifies the DAA and the certification agent as primarily responsible for the C&A 
701. of systems. The certification agent provides direct support to the DAA in making the accreditation 
702. decision. DoD component regulations define various security roles and responsibilities, and while 
703. the titles may vary, the responsibilities are similar.
704.  
705. In addition to the DAA and certification agent, the following roles are identified in this guideline 
706. as being key to the successful accreditation of some systems: Program Manager (PM), product 
707. vendors, systems integrator, systems engineers, and applications developer. Not all roles will be 
708. necessary for the C&A of all types of systems. The size, complexity, and status (e.g., new 
709. acquisition, upgrade, existing system) will determine the need for these additional roles. For 
710. example, accrediting a stand-alone PC will probably not require any effort from these additional 
711. roles. The following sections discuss the DAA, the certification agent/certification team, and other 
712. roles in terms of their responsibilities in the C&A process. Appendix B provides guidance on 
713. identifying the appropriate DAA for a given system.
714.  
715. 3.1     DAA
716.  
717. By accrediting a system, the DAA formally assumes the responsibility for the operation of the 
718. system within a specified environment. The DAA must have the authority to allocate resources to 
719. achieve an acceptable level of security and to remedy security deficiencies. The accreditation 
720. decision shows that due care has been taken to balance security requirements, mission, and 
721. resources against a defined risk. More or less stringent security measures than those stated in 
722. applicable policies may be established by the DAA, if deemed appropriate. The accreditation 
723. decision also is a recognition by the DAA that an acceptable level of risk has been attained and that 
724. the DAA accepts the operation of this system under the stated parameters of the accreditation.
725.  
726. The DAA may delegate the authority to accredit systems; however, specific service/agency 
727. regulations need to be reviewed for guidance in this area. For example, Army Regulation (AR) 
728. 380-19 [7] policy states that for critically sensitive Army systems (i.e., systems that process any 
729. Top Secret data) operating in the dedicated, system-high, or partitioned modes, Major Command 
730. (MACOM) commanders may further delegate, in writing, accreditation authority to general 
731. officers or Senior
732.  
733. Executive Service personnel within their commands. Factors to consider before delegating 
734. accreditation authority are the resources available to the DAA and his or her supporting staff for 
735. realistically assessing the security posture of the system, both in technical expertise and clearance 
736. for or accessibility to the appropriate threat data.
737.  
738. The DAA will probably not be involved in day-to-day monitoring of the certification activities and 
739. in making many of the routine decisions regarding the system. Normally, the DAA appoints a 
740. representative(s) to act as a security focal point and to assist in making routine decisions, attending 
741. meetings, and providing coordination. While the DAA retains final responsibility to accredit the 
742. system, many of the accompanying duties will be delegated to this representative(s). The DAA 
743. representative(s) will actively coordinate with the certification agent (and PM, if applicable) to 
744. ensure that all security requirements are met and that all activities in support of accreditation are 
745. completed in accordance with procedures. All major decisions made during the system life cycle 
746. in support of the accreditation decision should be formally documented and coordinated with the 
747. DAA.
748.  
749. Some environments may require multiple DAAs to accredit the system. These environments can 
750. generally be divided into two types: (1) those systems requiring joint accreditation and (2) those 
751. systems composed of the interconnection of separately accredited systems. A working group, 
752. composed of individuals representing each of the accrediting organizations, may be necessary to 
753. resolve accreditation issues. The representative(s) for each of the DAAs responsible for the system 
754. accreditation are likely participants in this working group. The primary function of this group 
755. would be to ensure that all organizations involved understand the conditions and major agreements 
756. affecting the system accreditation, and that these conditions and agreements are documented in an 
757. MOA. The definition of the security requirements and the assignment of security responsibility 
758. among the involved organizations are examples of the types of decisions to be documented. The 
759. following sections provide additional information on identifying the DAA in these two types of 
760. systems.
761.  
762. 3.1.1   Joint Accreditors
763.  
764. Some types of systems that will be accredited as a single system might require multiple accreditors. 
765. Examples include the following:
766.  
767. ╖       A system that processes different types of information (e.g., cryptologic, Sensitive 
768. Compartmented Information (SCI), or Single Integrated Operational Plan-Extremely 
769. Sensitive Information (SIOP-ESI))
770.  
771. ╖       A system used by multiple data owners who process the same type of information
772.  
773. ╖       A system supporting multiple organizations (where the DAAs from each organization 
774. will be responsible for collectively accrediting the system)
775.  
776. ╖       A system connected to a backbone network (where the system (e.g., host system) 
777. accreditor and the network accreditor jointly accredit the system as a whole)
778.  
779. Joint accreditation occurs when different components of the overall system come under the 
780. jurisdiction of different DAAs, and the responsible DAAs collectively accredit the system.
781.  
782. Systems that have joint accreditors require additional planning and coordination to ensure that all 
783. parties involved have a common understanding of their responsibilities in the C&A process, the 
784. risks involved, and the security posture of the system. When a system is to be jointly accredited, 
785. the roles and responsibilities of the DAA(s), certification agents, and other key security roles of all 
786. participating organizations must be clearly defined and documented. An MOA should be used to 
787. identify security responsibilities and to document all agreements made. In addition, the 
788. requirements for the system and the criteria used to accredit the system should be clearly 
789. documented. C&A milestones should be coordinated with the DAA(s) and their representatives, 
790. and documented in C&A planning documents.
791.  
792. 3.1.2   Multiple Accreditors
793.  
794. When separately accredited systems managed by different DAAs are interconnected, negotiation 
795. must occur among the DAAs to address the interconnection requirements of each system involved. 
796. MOAs are required when systems interconnect, for example, within their own sponsoring agency/
797. service, with another agency, or with government contractors. An MOA documents the results of 
798. the negotiations, forming an agreement signed by the participating DAAs. Each DAA must, 
799. therefore, carefully examine the additional potential risks imposed on the system by connecting to 
800. other systems. Additional certification activities may be required to determine the security posture 
801. of the overall systems before the separately accredited systems may be interconnected.
802.  
803. In some cases, the agreement for interconnection is among peer organizations. In this situation, the 
804. MOA will formalize the agreement among the DAAs on the division of responsibilities and the 
805. criteria used to accredit each system. The MOA should include, at a minimum, the following 
806. information:
807.  
808. ╖       Classification range of data maintained on or transmitted between systems
809.  
810. ╖       Clearance level(s) of the users
811.  
812. ╖       Intended use of the system
813.  
814. ╖       Identification of the authority to resolve conflicts among the DAAs 
815.  
816. ╖       Countermeasures to be implemented prior to interconnection
817.  
818. ╖       Statements of accreditation of each interconnected system
819.  
820. ╖       Procedures for notification of changes in the system
821.  
822. ╖       Procedures for notification of proper parties in case of security violations
823.  
824. ╖       Accreditation criteria
825.  
826. ╖       Recertification/reaccreditation requirements and responsibilities
827.  
828. In other cases, when identifying the DAA(s) for a given system, consideration must be given to 
829. interconnections separately accredited multiuser telecommunications networks. Special 
830. consideration must be given to additional risks when connecting to networks because of the 
831. potential exposure of data in the system to the larger community of network users. The DAA(s) 
832. must consider the security posture of each network component, in addition to their individual 
833. systems, before accepting the risk of connecting to other systems. In addition, the accreditor(s) of 
834. these networks may require C&A documentation from the subscriber system before allowing 
835. interconnection.
836.  
837. 3.2     Certification Agent/Certification Team
838.  
839. The certification agent is the individual(s) responsible for making a technical judgment of the 
840. systems compliance with stated requirements and to identify and assess the risks associated with 
841. operating the system. In addition, the certification agent has the responsibility for coordinating the 
842. various activities of the certification process and merging all the pieces of the final accreditation 
843. package that will be presented to the DAA. Although the fundamental role of the certification agent 
844. does not differ among certification efforts, the activities and level of effort required may vary (see 
845. section 2.2.2).
846.  
847. Some characteristics, such as technical expertise, impartiality (i.e., unfair bias toward achieving a 
848. particular result), and objectivity (i.e., minimum subjective judgment or opinion) are important 
849. considerations when selecting the appropriate certification agent. In general, certification activities 
850. should be performed by competent technical personnel in cooperation with but as independent of 
851. the system developer and the PM as possible.
852.  
853. The certification team is the collection of individuals and/or organizations involved in some aspect 
854. of the certification process. Given the increasing complexity of many AISs and the wide variety of 
855. security disciplines that must be assessed during certification, most organizations do not have 
856. adequate or appropriate in-house resources to perform many of the required certification activities 
857. (e.g., product evaluations, testing). To perform some of these activities, the certification agent may 
858. rely on the resources of other organizations that have the specialized skills necessary (e.g., 
859. TEMPEST).
860.  
861. 3.3     Other Security Roles
862.  
863. Although the PM is not typically responsible for performing daily security activities, the PM is 
864. responsible for seeing that they are implemented. The PM has the responsibility for the overall 
865. procurement, development, and possibly operation of the system, and must coordinate all security-
866. relevant portions of the program with the DAA and the certification agent. The PM provides the 
867. resources, coordinates the scheduling of security milestones, and determines priorities. The PM 
868. should not be (or should not be above) the DAA, as this may place security subordinate to the 
869. programs cost, schedule, and performance imperatives.
870.  
871. Depending on the type of system and the type of program (e.g., development effort, COTS 
872. acquisition, system upgrade), other roles will be involved in the overall security of the system, 
873. from requirements definition through operations and maintenance. System integrators, systems 
874. engineers, security engineers, application developers, product vendors, the independent 
875. verification and validation (IV&V) assessors, and others may be responsible for addressing 
876. security concerns during system development, including activities such as specifying 
877. requirements, testing, reviewing documentation, developing procedures, conducting installations, 
878. and performing component evaluations.
879.  
880. For some systems (e.g., a large acquisition, a complex distributed system), an information system 
881. security working group (ISSWG) may be necessary to direct security activities and identify/resolve 
882. security-related issues throughout the system development life cycle and operation of the system. 
883. The ISSWG may include the DAAs representative, whose role is to identify, address, and 
884. coordinate security accreditation issues with the DAA. The ISSWG normally manages and 
885. performs security-related activities that include identifying and interpreting security regulations 
886. and standards, preparing and/or reviewing security portions of the Request for Proposal (RFP), 
887. overseeing major acquisition strategy decisions, and managing C&A issues. Ideally, the technical 
888. security representatives from or consultants to the appropriate participating service or agency 
889. organizations should be involved in these activities. These participants serve as security 
890. consultants to the PM throughout the entire acquisition life cycle.
891.  
892. SECTION 4
893.  
894. SECURITY POLICY
895.  
896. 4.1     Current Security Policy
897.  
898. Security policy exists at different levels of abstraction. Federal- and national-level policy is stated 
899. in public laws, Executive Orders (EOs), National Security Directives (NSDs), National Security 
900. Telecommunications and Information Systems Security (NSTISS) issuances, Federal Information 
901. Processing Standard Publications (FIPS PUBS), Office of Management and Budget (OMB) 
902. circulars, and other resources. DoD-level policy includes DoD directives, regulations, and 
903. standards that implement the National-level policy and set additional requirements. Similarly, 
904. service and agency policies further interpret the DoD and national-level policies, as appropriate, 
905. and may also impose additional requirements. Together with mission specific security 
906. requirements, the collection of these policies can be used to produce a system security policy. A 
907. system security policy comprises a comprehensive presentation of the system derived from 
908. national/federal level policy, local policy, and mission specific security requirements. The security 
909. policy for a system should be well defined at the beginning of the system life cycle and must be 
910. considered throughout each phase. Figure 4.1 illustrates the partial hierarchy of policies and 
911. guidance. The national and federal policies apply to both civil and defense agencies; however, 
912. individual civil agency policies are not listed in this document. Defense policies are listed, in part, 
913. in Appendix C.
914.  
915. Current security policy does not reflect the evolving perspective of system security as an 
916. interdependent, cohesive collection of security disciplines. At the DoD and component levels, 
917. separate policies exist for each discipline (or set of related disciplines), adding to the proliferation 
918. of policy. As a result, the policies applicable to a given system are sometimes not well coordinated 
919. or consistent. The following sections briefly highlight the key national- and DoD-level security 
920. policy.
921.  
922. 4.1.1   National Security Policy
923.  
924. National Policy for the Security of National Security Telecommunications and Information 
925. Systems provides initial objectives, policies, and an organizational structure to guide the conduct 
926. of activities directed toward safeguarding systems that process or communicate national security 
927. information [8]. It is intended to assure full participation and cooperation among the various 
928. existing centers of technical expertise throughout the executive branch. It assigns the Director, 
929. NSA, as the National Manager for NSTISS, responsible to the Secretary of Defense as Executive 
930. Agent for carrying out assigned responsibilities. Among the assigned responsibilities is to act as 
931. the government focal point for cryptography, telecommunications systems security, and 
932. information systems security.
933.  
934.  
935.  
936. Figure 4.1 Information Security Policy and Guidance
937.  
938. EO 12356, National Security Information, prescribes a uniform system for classifying, 
939. declassifying, and safeguarding national security information [9]. Although the public should be 
940. informed of the activities of its government, the interests of the United States and its citizens 
941. require that certain information concerning the national defense and foreign relations be protected 
942. against unauthorized disclosure. Information may not be classified under this EO unless its 
943. disclosure reasonably could be expected to cause damage to the national security.
944.  
945. EO 12333, United States Intelligence Activities, directs the DCI, as one responsibility, to ensure 
946. the establishment by the Intelligence Community (IC) of common security and access standards 
947. for managing and handling foreign intelligence systems, information, and products. [10]
948.  
949. OMB Circular No. A-I 30, Management of Federal Information Resources, establishes policy for 
950. the management of federal information resources [11]. The term information resources 
951. management means the planning, budgeting, organizing, directing, training, and control associated 
952. with government information. The term encompasses both information itself and the related 
953. resources, such as personnel, equipment, funds, and technology. The policies established in this 
954. circular apply to the information activities of all agencies of the executive branch of the federal 
955. government. Information classified for national security purposes should also be handled in 
956. accordance with the appropriate national security directives.
957.  
958. FlPS PUB 102, Guideline for Computer Security Certification and Accreditation, a national-level 
959. document, provides guidance to managers and technical staff in establishing and carrying out a 
960. program for C&A of sensitive computer applications [12]. It identifies and describes the steps 
961. involved in performing C&A, the important issues in managing a C&A program, and the principal 
962. functional roles needed within an organization to carry out such a program. The FIPS PUB 102 
963. guidance applies to all federal agencies and departments.
964.  
965. The Computer Security Act of 1987, also known as Public Law 100-235, creates a means for 
966. establishing minimum acceptable security practices for improving the security and privacy of 
967. sensitive unclassified information in federal computer systems [13]. This law assigns 
968. responsibility to the National Institute of Standards and Technology (NlST) for developing 
969. standards and guidelines for federal computer systems processing unclassified data. However, the 
970. Warner Amendment (section 2315 of title 10, United States Code) exempts AISs processing 
971. sensitive unclassified information if the function, service, or use of the system (1) involves 
972. intelligence activities, (2) involves cryptologic activities related to national security, (3) involves 
973. the command and control of military forces, (4) involves equipment that is an integral part of a 
974. weapon or weapon system, or (5) is critical to the direct fulfillment of military or intelligence 
975. missions. The law also requires establishment of security plans by all operators of federal computer 
976. systems that contain sensitive information.
977.  
978. 4.1.2   DoD/DCI Security Policy
979.  
980. DoDD 5200.28, Security Requirements for Automated Information Systems (AISs), the high-level 
981. security policy, sets the security requirements for AISs within the DoD [1]. The directive assigns 
982. responsibility to the heads of DoD components to assign official(s) as the DAA responsible for 
983. accrediting each AIS under his or her jurisdiction and for ensuring compliance with the AIS 
984. security requirements. The DAA is responsible to review and approve security safeguards of AISs 
985. and issue accreditation statements for each AIS under the DAAs jurisdiction based on the 
986. acceptability of the security safeguards for the AIS. Enclosure 3 of this directive sets minimum 
987. security requirements that must be met through automated or manual means in a cost effective, 
988. integrated manner. Enclosure 4 of this directive describes a procedure for determining the 
989. minimum AIS computer-based security requirements based on the system security mode of 
990. operation, user clearance levels, and classification of data in the AIS. Enclosure 5 recommends 
991. using the Trusted Network Interpretation (TNI) of the Trusted Computer System Evaluation 
992. Criteria in Specific Environments for evaluating networks [14]. The TNI provides guidance for the 
993. specification, development, evaluation, and acquisition of trusted networks.
994.  
995. Issued under the authority of DoDD 5200.28 are DoD 5200.28-M, Automated Information System 
996. Security Manual [15], and DoD 5200.28-STD, Department of Defense Trusted Computer System 
997. Evaluation Criteria [2]. DoD 5200.28-STD provides a set of criteria against which the security 
998. features of a product may be evaluated. There is currently a joint NSA/NIST effort to produce the 
999. Federal Criteria, as an eventual replacement to DoD 5200.28-STD.
1000.  
1001. DCID 1/16, Security Policy for Uniform Protection of Intelligence Processed in Automated 
1002. Information Systems and Networks, and its supplement apply to all IC agencies, all other U.S. 
1003. Government departments and agencies, and allied governments processing U.S. intelligence 
1004. information [6]. The directive establishes the minimum administrative, environmental, and 
1005. technical security requirements for the allowed operating modes of all applicable AISs (e.g., AISs, 
1006. separately accredited networks and connected AISs, and PCs). Additional security measures may 
1007. be established by the accrediting authority. It also defines the accreditation and reaccreditation 
1008. responsibilities and procedures applicable to AISs processing intelligence information.
1009.  
1010. Although DoDD 5200.28 and DCID 1/16 are the key security directives, they primarily focus on 
1011. COMPUSEC. The C&A process must consider the spectrum of security measures, including 
1012. administrative, physical, environmental, personnel, COMSEC, emissions, and technical security.
1013.  
1014. 4.2     Policy Related Issues
1015.  
1016. As discussed in section 4.1, a multitude of security policy documents exist. This proliferation of 
1017. policy makes it difficult for the responsible security personnel to keep up with changes in policy 
1018. and to be aware of all the applicable policies for a given system. The problem increases when 
1019. different service/agency systems are interconnected; in those cases, the policies relevant to all 
1020. involved components may then be applicable. On the other side, the rapid advancement of 
1021. technology and the required streamlining and consolidation of efforts are forcing a reexamination 
1022. of current policy. This section highlights some of the C&A-related issues that this series of 
1023. documents are attempting to, at least partially, address.
1024.  
1025. 4.2.1   Rapid Technology Changes
1026.  
1027. Rapidly changing technology has made it difficult for policy to keep up with new security 
1028. challenges brought about by advances in capabilities and technology. For example, current policy 
1029. provides little guidance for the range of systems that span large, central computer facilities to 
1030. stand-alone PCs or intelligent workstations often tied together over LANs or connected via 
1031. complex networks. These systems have significant differences in functionality and vulnerabilities, 
1032. and current policy provides little guidance to DAAs on determining an acceptable level of risk 
1033. based on the technology, environmental factors, and operational requirements. Improved guidance 
1034. is needed on how to certify and accredit all types of systems: networks, distributed systems, 
1035. systems with integrated workstations, database management systems (DBMSs), and multilevel 
1036. secure (MLS) systems. Differences among component policies also cause difficulties as many 
1037. individually certified and accredited systems from multiple components are being integrated into 
1038. a larger system.
1039.  
1040. 4.2.2   Planning for C&A
1041.  
1042. Determining a reasonable and realistic level of effort for certification (and recertification) is key to 
1043. a successful accreditation. The analysis, evaluation, and testing requirements to support 
1044. certification may require substantial commitments of resources that must be planned for early in 
1045. the system life cycle (for example: as part of the RFP). However, in some cases, for example an 
1046. environment needing a low assurance system, the benefit of spending any additional resources for 
1047. certification may be questionable. For example, in an acquisition of COTS products (e.g., database 
1048. management system (DBMS)) (assuming the requirements stated met the need), a determination 
1049. must be made regarding how much, if any, additional evaluation and testing is necessary outside 
1050. of the acceptance testing normally associated with the acquisition. In many cases, the functionality 
1051. and security attributes of COTS products are well known and documented, and perhaps only the 
1052. operating environment in which the COTS product will be used must be evaluated. As another 
1053. example, a reasonable and justifiable effort (both in time and dollars) for certifying a dedicated or 
1054. system-high system operating in a secure environment should be determined.
1055.  
1056. 4.2.3   Certification Boundaries
1057.  
1058. Encryption has become an increasingly common component in systems, and better guidance is 
1059. needed for determining when COMSEC or COMPUSEC criteria are applicable in a given system. 
1060. In some cases, the AIS will have to be examined by NSA (the responsible authority for COMSEC) 
1061. to make informed COMSEC decisions. In other cases, an approved embedded COMSEC 
1062. component (e.g., an encryption chip on a board in a PC) may not require a separate COMSEC 
1063. evaluation. In these cases, configuration management of the AIS must also consider COMSEC.
1064.  
1065. Another area with little guidance available concerns the use of the results of product/component 
1066. evaluations (e.g., products on the Evaluated Products List (EPL), Preferred Products List (PPL), 
1067. Degausser Products List (DPL) [16]) or other evaluations (e.g., DMS component deployment 
1068. approval) as input to a system certification. In some cases, those evaluation results are used as 
1069. substitutes for system certification. For example, a component deployment approval (as done by 
1070. Defense Information Systems Agency (DISA) as part of the DMS component approval process) 
1071. merely certifies that the AIS (or component) properly implements the message-handling 
1072. requirements. It does not supplant the need for overall system certification.
1073.  
1074. As the number and complexity of networks and distributed systems increase, the confusion over 
1075. areas of responsibility for the components of the system also increases. Various authorities will 
1076. have responsibility for different components, such as the actual communications components (e.g., 
1077. communications lines, switches, routers), host computers, shared devices on the network (e.g., 
1078. printers, servers), and the end-user terminals or workstations. During the certification of these 
1079. complex systems, the boundaries of each of the components and the responsibility for certification 
1080. of each area must be clearly defined to ensure that the entire system is covered in the effort, as well 
1081. as ensuring that the entire system is viewed as a whole.
1082.  
1083. 4.2.4   Acceptable Level of Risk
1084.  
1085. Part of the accreditation decision is the acceptance of a given level of risk against a defined threat. 
1086. In order to make an informed decision, the DAA must be aware of both the definition of risk and 
1087. the identification of the specific threat as it applies to the system being considered for accreditation. 
1088. The DAA must balance (1) the risk of disclosure, loss, or alteration of information; (2) the 
1089. availability of the system based on the vulnerabilities identified by the certification process; (3) the 
1090. threat that these vulnerabilities may be exploited in the specific environment in which the system 
1091. is being used; and (4) the operational need and benefits.
1092.  
1093. In addition, there may be situations where the DAA must balance the risk against operational 
1094. requirements mandating acceptance of higher risk, such as during a crisis situation. While 
1095. operational needs can dramatically change during a crisis, the need for security is even more 
1096. critical during these times. For example, in a crisis situation, perhaps tightened procedural and 
1097. physical controls and the removal of connections to users in less secure areas could compensate for 
1098. the increased risk of connecting the systems.
1099.  
1100. APPENDIX A
1101.  
1102. TERMINOLOGY
1103.  
1104. Key C&A terms are defined herein. Numerous national, DoD, and service/agency policies were 
1105. consulted in defining these terms. Existing national or DoD-level definitions were used, as 
1106. appropriate. Where necessary, discussion paragraphs are included to expand on a definition in an 
1107. attempt to clarify possible ambiguities in its interpretation.
1108.  
1109. Accreditation
1110.  
1111. Formal declaration by a designated approving authority (DAA) that an AIS is approved to 
1112. operate in a particular security mode using a prescribed set of safeguards.
1113.  
1114. Note:   Accreditation is the formal declaration by a DAA that a system is approved to operate: 
1115. (a) in a particular security mode; (b) with a prescribed set of countermeasures (e.g., 
1116. administrative, physical, personnel, COMSEC, emissions, and computer security controls); (c) 
1117. against a defined threat and with stated vulnerabilities and countermeasures; (d) within a given 
1118. operational concept and environment; (e) with stated interconnections to other systems; (f) at 
1119. an acceptable level of risk for which the accrediting authority has formally assumed 
1120. responsibility; and (g) for a specified period of time.
1121.  
1122. Accreditation Package
1123.  
1124. A product of the certification effort and the main basis for the accreditation decision.
1125.  
1126. Note:   The accreditation package, at a minimum, will include a recommendation for the 
1127. accreditation decision and a statement of residual risk in operating the system in its 
1128. environment. Other information included may vary depending on the system and/or the DAA.
1129.  
1130. Administrative Security
1131.  
1132. The management constraints and supplemental controls established to provide protection for 
1133. a system. Synonymous with Procedural Security.
1134.  
1135. Note:   Examples include operational procedures (e.g., how to shut down the system securely), 
1136. administrative procedures (e.g., granting access to a computer facility), and accountability 
1137. (e.g., audit procedures for the system administrator to follow).
1138.  
1139. AIS Security
1140.  
1141. Measures and controls that ensure confidentiality, integrity, and availability of the information 
1142. processed and stored by an AIS.
1143.  
1144. Assurance
1145.  
1146. A measure of confidence that the security features and architecture of an AIS accurately 
1147. mediate and enforce the security policy.
1148.  
1149. Note: Assurance refers to a basis for believing that the objective and approach of a security 
1150. mechanism or service will be achieved. Assurance is generally based on factors such as 
1151. analysis involving theory, testing, software engineering, validation, and verification. Life-
1152. cycle assurance requirements provide a framework for secure system design, implementation, 
1153. and maintenance. The level of assurance that a development team, certifier, or accreditor has 
1154. about a system reflects the confidence that they have that the system will be able to enforce its 
1155. security policy correctly during use and in the face of attacks. Assurance may be provided 
1156. through four means: (1) the way the system is designed and built, (2) analysis of the system 
1157. description for conformance to requirement and for vulnerabilities, (3) testing the system itself 
1158. to determine its operating characteristics, and (4) operational experience. Assurance is also 
1159. provided through complete documentation of the design, analysis, and testing.
1160.  
1161. Audit
1162.  
1163. An independent review and examination of the records and activities to assess the adequacy of 
1164. system controls, to ensure compliance with established policies and operational procedures, 
1165. and to recommend necessary changes in controls, policies, or procedures.
1166.  
1167. Audit Trail
1168.  
1169. A chronological record of system activities to enable the reconstruction, and examination of 
1170. the sequence of events and/or changes in an event.
1171.  
1172. Authentication
1173.  
1174. A security measure designed to establish the validity of a transmission, message, or originator, 
1175. or a means of verifying an individual's eligibility to receive specific categories of information.
1176.  
1177. Authenticity
1178.  
1179. The service that ensures that system events are initiated by and traceable to authorized entities. 
1180. It is composed of authentication and nonrepudiation.
1181.  
1182. Automated Information System (AIS)
1183.  
1184. Any equipment or interconnected system or subsystems of equipment that is used in the 
1185. automatic acquisition, storage, manipulation, management, movement, control, display, 
1186. switching, interchange, transmission or reception of data, and includes computer software, 
1187. firmware, and hardware.
1188.  
1189. Note: The term "AIS" includes stand-alone systems, communications systems, and computer 
1190. network systems of all sizes, whether digital, analog, or hybrid; associated peripheral devices 
1191. and software; process control computers; security components; embedded computer systems; 
1192. communications switching computers; PCs; workstations; microcomputers; intelligent 
1193. terminals; word processors; office automation systems; application and operating system 
1194. software; firmware; and other AIS technologies, as may be developed.
1195.  
1196. Availability
1197.  
1198. The property of being accessible and usable upon demand by an authorized entity.
1199.  
1200. Baseline
1201.  
1202. A set of critical observations or data used for a comparison or control.
1203.  
1204. Note: Examples include a baseline security policy, a baseline set of security requirements, and 
1205. a baseline system.
1206.  
1207. Category
1208.  
1209. A restrictive label that has been applied to both classified and unclassified data, thereby 
1210. increasing the requirement for protection of, and restricting the access to, the data.
1211.  
1212. Note: Examples include SCI, proprietary information, and North Atlantic Treaty Organization 
1213. information. Individuals are granted access to special categories of information only after 
1214. being granted formal access authorization.
1215.  
1216. Certification
1217.  
1218. The comprehensive analysis of the technical and nontechnical security features and other 
1219. safeguards of a system to establish the extent to which a particular system meets a set of 
1220. specified security requirements.
1221.  
1222. Note: Certification is done in support of the accreditation process and targets a specific 
1223. environment. Certification includes risk analysis, security testing, and evaluations, as well as 
1224. other activities, as needed.
1225.  
1226. Certification Agent
1227.  
1228. The individual(s) responsible for making a technical judgment of the system's compliance 
1229. with stated requirements, identifying and assessing the risks associated with operating the 
1230. system, coordinating the certification activities, and consolidating the final certification and 
1231. accreditation packages.
1232.  
1233. Certification and Accreditation Plan
1234.  
1235. A plan delineating objectives, responsibilities, schedule, technical monitoring, and other 
1236. activities in support of the C&A process.
1237.  
1238. Certification Package
1239.  
1240. A product of the certification effort documenting the detailed results of the certification 
1241. activities.
1242.  
1243. Note: The contents of this package will vary depending on the system.
1244.  
1245. Classified Information
1246.  
1247. National security information that has been classified pursuant to Executive Order 12356.
1248.  
1249. Communications Security (COMSEC)
1250.  
1251. Measures and controls taken to deny unauthorized persons information derived from 
1252. telecommunications and to ensure the authenticity of such communications.
1253.  
1254. Note: COMSEC includes cryptosecurity, transmission security, emission security, and 
1255. physical security of COMSEC materials.
1256.  
1257. Component
1258.  
1259. Any of the constituent parts of a system.
1260.  
1261. Note: A component may be a small element of a system or the whole system. It can be physical 
1262. (e.g., circuit board), logical (e.g., software routine), or support personnel.
1263.  
1264. Computer
1265.  
1266. The hardware, software, and firmware components of a system that are capable of performing 
1267. calculations, manipulations, or storage of data. It usually consists of arithmetic, logical, and 
1268. control units, and may have input, output, and storage devices.
1269.  
1270. Computer Security (COMPUSEC)
1271.  
1272. Measures and controls that ensure confidentiality, integrity, and availability of the information 
1273. processed and stored by a computer.
1274.  
1275. Confidentiality
1276.  
1277. Assurance that information is not disclosed to unauthorized entities or processes.
1278.  
1279. Configuration Management
1280.  
1281. The management of features and assurances through control of changes made to hardware, 
1282. software, firmware, documentation, test, test fixtures, and test documentation of a system 
1283. throughout the development and operational life of the system.
1284.  
1285. Contingency Plan
1286.  
1287. A plan maintained for emergency response, backup operations, and post-disaster recovery for 
1288. a system, as part of its security program, that will ensure the availability of critical resources 
1289. and facilitate the continuity of operations in an emergency situation.
1290.  
1291. Countermeasure
1292.  
1293. Any action, device, procedure, technique, or other measure that reduces a risk or a 
1294. vulnerability.
1295.  
1296. Covert Channel
1297.  
1298. An unintended and/or unauthorized communications path that can be used to transfer 
1299. information in a manner that violates a system security policy.
1300.  
1301. Note: Covert channels may be storage or timing channels. A covert storage channel involves 
1302. the direct or indirect writing to a storage location by one process and the direct or indirect 
1303. reading of the storage location by another process. A covert timing channel is one in which one 
1304. process signals information to another process by modulating its own use of system resources 
1305. in such a way that this manipulation affects the real response time observed by the second 
1306. process.
1307.  
1308. Cryptosecurity
1309.  
1310. The component of COMSEC that results from the provision of technically sound 
1311. cryptosystems and their proper use.
1312.  
1313. Data Security
1314.  
1315. The protection of data from unauthorized (accidental or intentional) modification, destruction, 
1316. or disclosure.
1317.  
1318. Designated Approving Authority (DAA)
1319.  
1320. The official with the authority to formally assume responsibility for operating a system at an 
1321. acceptable level of risk.
1322.  
1323. Note: FIPS PUB 102 uses the term "Accrediting Official" for the DAA [12]. "Accrediting 
1324. Authority" is another term used. The DAA must have the authority to evaluate the overall 
1325. mission requirements of the system and to provide definitive directions to system developers 
1326. or owners relative to the risk in the security posture of the system. Generally, the more 
1327. sensitive the data processed by a system, the more senior the DAA. A DAA may be responsible 
1328. for several systems, and each system may have a single or multiple DAAs. When there are 
1329. multiple accreditors, the sharing of responsibilities must be carefully defined in an MOA.
1330.  
1331. DoD Component
1332.  
1333. Refers to the Office of the Secretary of Defense (OSD), the Military Departments and Services 
1334. within those departments, the Chairman of the Joint Chiefs of Staff and the Joint Staff, the 
1335. unified and specified commands, the defense agencies, and the DoD field activities.
1336.  
1337. Electronic Security
1338.  
1339. Protection resulting from all measures designed to deny unauthorized persons information of 
1340. value that might be derived from the interception and analysis of non-communications 
1341. electromagnetic radiations, such as RADAR.
1342.  
1343. Emission Security
1344.  
1345. Protection resulting from all measures taken to deny unauthorized persons information of 
1346. value that might be derived from intercept and analysis of compromising emanations from 
1347. cryptoequipment, AISs, and telecommunications systems.
1348.  
1349. Endorsement
1350.  
1351. NSA approval of a commercially developed telecommunications or AIS protection equipment 
1352. or system for safeguarding national security information.
1353.  
1354. Environment (System)
1355.  
1356. The aggregate of procedures, conditions, and objects that affects the development, operation, 
1357. and maintenance of a system.
1358.  
1359. Note: Environment is often used with qualifiers such as computing environment, application 
1360. environment, or threat environment, which limit the scope being considered.
1361.  
1362. Evaluation
1363.  
1364. The technical analysis of a component's, product's, subsystem's, or system's security that 
1365. establishes whether or not the component, product, subsystem, or system meets a specific set 
1366. of requirements.
1367.  
1368. Exception
1369.  
1370. With respect to C&A, an exception indicates the implementation of one or more security 
1371. requirements is temporarily postponed and that satisfactory substitutes for the requirements 
1372. may be used for a specified period of time. (see Waiver)
1373.  
1374. Formal Access Approval
1375.  
1376. Documented approval by a data owner to allow access to a particular category of information.
1377.  
1378. Implementation
1379.  
1380. The phase of the system development process in which the detailed specifications are 
1381. translated into actual system components.
1382.  
1383. Information Security
1384.  
1385. The result of any system of policies and procedures for identifying, controlling, and protecting, 
1386. from unauthorized disclosure, information that requires protection.
1387.  
1388. Information System
1389.  
1390. Any telecommunications and/or computer related equipment or interconnected system or 
1391. subsystems of equipment that is used in the acquisition, storage, manipulation, management, 
1392. movement, control, display, switching, interchange, transmission or reception of voice and/or 
1393. data, and includes software, firmware, and hardware.
1394.  
1395. Information Systems Security (INFOSEC)
1396.  
1397. The protection of information systems against unauthorized access to or modification of 
1398. information, whether in storage, processing, or transit, and against the denial of service to 
1399. authorized users or the provision of service to unauthorized users, including those measures 
1400. necessary to detect, document, and counter such threats.
1401.  
1402. Note: The term "INFOSEC," as it applies to this concept of the totality of security applied to 
1403. a system, has evolved. This series of documents will use the term INFOSEC--Information 
1404. Systems Security--to reflect that concept of the totality of system security.
1405.  
1406. Information Systems Security Products and Services Catalogue (INFOSEC Catalogue) (also 
1407. referred to as the Products and Services Catalogue) [16]
1408.  
1409. A catalogue issued by NSA that incorporates several security product and services lists. It is 
1410. available through the Government Printing Office. Some of the lists included in the catalogue 
1411. are the following:
1412.  
1413. Degausser Products List (DPL) - a list of commercially produced degaussers that have been 
1414. evaluated against specific requirements for the erasure of classified data from magnetic 
1415. media.
1416.  
1417. Endorsed Cryptographic Products List - a list of products that provide electronic 
1418. cryptographic coding (encrypting) and decoding (decrypting), and which have been 
1419. endorsed for use for classified or sensitive unclassified U.S. Government or Government-
1420. derived information during its transmission.
1421.  
1422. Endorsed Tools List (ETL) - a list of those formal verification systems recommended by 
1423. the National Computer Security Center (NCSC) for use in developing highly trusted 
1424. systems.
1425.  
1426. Evaluated Products List (EPL) - a documented inventory of equipment, hardware, software, 
1427. and/or firmware that have been evaluated against the evaluation criteria found in DoD 
1428. 5200.28-STD.
1429.  
1430. Protected Network Services List - a list of the names and points of contact for commercial 
1431. carriers providing government-approved "protected services" for your communications. 
1432. The companies listed offer protection service (e.g., bulk trunk encryption) rather than a 
1433. product.
1434.  
1435. NSA Endorsed Data Encryption Standard (DES) Products List - a list of cryptographic 
1436. products endorsed by NSA as meeting Federal Standard 1027 [17]. These DES products 
1437. have been endorsed for use in protecting U.S. Government or U.S. Government-derived 
1438. unclassified sensitive information during transmission. They may not be used to secure 
1439. classified information.
1440.  
1441. Off-Line Systems - a description of a variety of off-line capabilities that NSA can provide 
1442. to meet customer requirements. Off-line refers to those cryptosystems for which encryption 
1443. and decryption are performed separately from the transmitting and receiving functions.
1444.  
1445. Preferred Products List (PPL) - a list of telecommunications and information processing 
1446. equipment and systems that conform to the current national TEMPEST standard.
1447.  
1448. Integration
1449.  
1450. The synthesis of a system's components to form either larger components of the system or the 
1451. system itself.
1452.  
1453. Integrity
1454.  
1455. Data integrity is that attribute of data relating to the preservation of (a) its meaning and 
1456. completeness, (b) the consistency of its representation(s), and (c) its correspondence to what 
1457. it represents.
1458.  
1459. System integrity is that attribute of a system when it performs its intended function in an 
1460. unimpaired manner, free from deliberate or inadvertent unauthorized manipulation of the 
1461. system.
1462.  
1463. Interim Approval
1464.  
1465. The temporary authorization granted by the DAA for a system to process information in its 
1466. operational environment based on preliminary results of a security evaluation of the system.
1467.  
1468. Note: Interim approval allows the activity to meet its operational requirements for a given 
1469. period of time while further assessing and improving its security posture. It gives the DAA the 
1470. needed latitude to approve operational implementation of individual components of a system 
1471. as they develop. Final approval is mandatory before full implementation.
1472.  
1473. Mission
1474.  
1475. A specific task with which a person, or group of individuals, or organization is entrusted to 
1476. perform.
1477.  
1478. Mission Criticality
1479.  
1480. The property that data, resources, and processes may have, which denotes that the importance 
1481. of that item to the accomplishment of the mission is sufficient to be considered an enabling/
1482. disabling factor.
1483.  
1484. Mode of Operation (Security Mode)
1485.  
1486. Description of the conditions under which a system operates, based on the sensitivity of data 
1487. processed and the clearance levels and authorizations of the users.
1488.  
1489. Note:   The DAA accredits a system to operate in a given mode of operation. Inherent in each 
1490. of the five security modes (dedicated, system high, compartmented, multilevel, and 
1491. partitioned) are restrictions on the user clearance levels, formal access requirements, need-to-
1492. know requirements, and the range of sensitive information permitted on the system. Modes of 
1493. operation are part of a paradigm based on confidentiality (information disclosure policy.) The 
1494. applicability and/or usefulness of these modes of operation to a system whose principal 
1495. security objective was integrity or availability is unclear.
1496.  
1497. Compartmented Mode: Security mode of operation wherein each user with direct or indirect access 
1498. to the system, its peripherals, remote terminals, or remote hosts has all of the following:
1499.  
1500. a.      Valid security clearance for the most restricted information processed in the system
1501.  
1502. b.      Formal access approval and signed non-disclosure agreements for that information to 
1503. which a user is to have access
1504.  
1505. c.      Valid need-to-know for information to which a user is to have access
1506.  
1507. Dedicated Mode: Security mode of operation wherein each user, with direct or indirect access to 
1508. the system, its peripherals, remote terminals, or remote hosts, has all of the following:
1509.  
1510. a.      Valid security clearance for all information within the system
1511.  
1512. b.      Formal access approval and signed non-disclosure agreements for all the information 
1513. stored and/or processed (including all compartments, subcompartments, and/or special 
1514. access programs)
1515.  
1516. c.      Valid need-to-know for all information contained within the system
1517.  
1518. Note: When in the dedicated security mode, a system is specifically and exclusively dedicated to 
1519. and controlled for the processing of one particular type or classification of information, either for 
1520. full-time operation or for a specified period of time.
1521.  
1522. Multilevel Security: Concept of processing information with different classifications and 
1523. categories that simultaneously permits access by users with different security clearances, but 
1524. prevents users from obtaining access to information for which they lack authorization.
1525.  
1526. Partitioned Security Mode: Security mode of operation wherein all personnel have the clearance, 
1527. but not necessarily formal access approval and need-to-know, for all information handled by the 
1528. system.
1529.  
1530. Note: This security mode encompasses the compartmented mode and applies to non-intelligence 
1531. DoD organizations and DoD contractors.
1532.  
1533. System High Mode: Security mode of operation wherein each user, with direct or indirect access 
1534. to the system, its peripherals, remote terminals, or remote hosts, has all of the following:
1535.  
1536. a.      Valid security clearance for all information within the system
1537.  
1538. b.      Formal access approval and signed non-disclosure agreements for all of the information 
1539. stored and/or processed (including all compartments, subcompartments and/or special 
1540. access programs)
1541.  
1542. c.      Valid need-to-know for some of the information contained within the system
1543.  
1544. Need-to-Know
1545.  
1546. Access to, or knowledge or possession of, specific information required to carry out official 
1547. duties.
1548.  
1549. Network
1550.  
1551. A communications medium and all components attached to that medium whose responsibility 
1552. is the transference of information. Such components may include AISs, packet switches, 
1553. telecommunications controllers, key distribution centers, and technical control devices.
1554.  
1555. Network Security
1556.  
1557. Protection of networks and their services from unauthorized modification, destruction, or 
1558. disclosure, and provision of assurance that the network performs its critical functions correctly 
1559. and there are no harmful side-effects.
1560.  
1561. Note:   Network security includes providing for data integrity.
1562.  
1563. Non-Repudiation
1564.  
1565. Method by which the sender of data is provided with proof of delivery and the recipient is 
1566. assured of the sender's identity, so that neither can later deny having processed the data.
1567.  
1568. Operations Security (OPSEC)
1569.  
1570. A process denying to potential adversaries information about capabilities and/or intentions by 
1571. identifying, controlling, and protecting generally unclassified evidence of the planning and 
1572. execution of sensitive activities.
1573.  
1574. Penetration Testing
1575.  
1576. Security testing in which the evaluators attempt to circumvent the security features of a system 
1577. based on their understanding of the system design and implementation.
1578.  
1579. Note: The evaluators may be assumed to use all system design and implementation 
1580. documentation, which may include listings of system source code, manuals, and circuit 
1581. diagrams. The evaluators work under no constraints other than those applied to ordinary users 
1582. or implementors of untrusted portions of the component.
1583.  
1584. Personnel Security
1585.  
1586. The procedures established to ensure that all personnel who have access to sensitive 
1587. information have the required authority as well as appropriate clearances.
1588.  
1589. Physical Security
1590.  
1591. The application of physical barriers and control procedures as countermeasures against threats 
1592. to resources and sensitive information.
1593.  
1594. Procedural Security
1595.  
1596. See Administrative Security.
1597.  
1598. Product
1599.  
1600. A package of software, firmware, and/or hardware providing functionality designed for use or 
1601. incorporation within a multiplicity of systems.
1602.  
1603. QUADRANT
1604.  
1605. Short name referring to technology which provides tamper-resistant protection to crypto-
1606. equipment.
1607.  
1608. Reaccreditation
1609.  
1610. The official management decision to continue operating a previously accredited system.
1611.  
1612. Note: Reaccreditation occurs (1) periodically, regardless of system change (based on policy 
1613. (e.g., DoDD 5200.28 requires a 3 year reaccreditation cycle)) or (2) if major changes have been 
1614. made to some aspect of the system that impact security.
1615.  
1616. Recertification
1617.  
1618. A reassessment of the technical and nontechnical security features and other safeguards of a 
1619. system made in support of the reaccreditation process.
1620.  
1621. Note: The level of effort for recertification will depend on the nature of changes (if any) made 
1622. to the system and any potential changes in the risk of operating the system (e.g., changes in the 
1623. threat environment may affect the residual risk).
1624.  
1625. Residual Risk
1626.  
1627. The portion of risk that remains after security measures have been applied.
1628.  
1629. Risk
1630.  
1631. A combination of the likelihood that a threat will occur, the likelihood that a threat occurrence 
1632. will result in an adverse impact, and the severity of the resulting adverse impact.
1633.  
1634. Note: Risk is the loss potential that exists as the result of threat and vulnerability pairs. It is a 
1635. combination of the likelihood of an attack (from a threat source) and the likelihood that a threat 
1636. occurrence will result in an adverse impact (e.g., denial of service), and the severity of the 
1637. resulting adverse impact. Reducing either the threat or the vulnerability reduces the risk.
1638.  
1639. Risk Analysis
1640.  
1641. Process of analyzing threats to and vulnerabilities of an information system to determine the 
1642. risks (potential for losses), and using the analysis as a basis for identifying appropriate and 
1643. cost-effective measures.
1644.  
1645. Note:   Risk analysis is a part of risk management, which is used to minimize risk by 
1646. specifying security; measures commensurate with the relative values of the resources to be 
1647. protected, the vulnerabilities of those resources, and the identified threats against them. The 
1648. method should be applied iteratively during the system life cycle. When applied during the 
1649. implementation phase or to an operational system, it can verify the effectiveness of existing 
1650. countermeasures and identify areas in which additional measures are needed to achieve the 
1651. desired level of security. There are numerous risk analysis methodologies and some automated 
1652. tools available to support them.
1653.  
1654. Risk Assessment
1655.  
1656. Synonymous with Risk Analysis.
1657.  
1658. Risk Management
1659.  
1660. The process concerned with the identification, measurement, control, and minimization of 
1661. security risk in information systems.
1662.  
1663. Note: Risk management encompasses the entire system life cycle and has a direct impact on 
1664. system certification. It may include risk analysis, cost/benefit analysis, countermeasure 
1665. selection, security test and evaluation, countermeasure implementation, and systems review. 
1666. Enclosure 3 of DoDD 5200.28 mandates a risk management program be in place for each AIS 
1667. to determine how much protection is required, how much exists, and the most economical way 
1668. of providing the needed protection.
1669.  
1670. Security
1671.  
1672. Establishment and maintenance of protective measures intended to ensure a state of 
1673. inviolability from hostile acts and influences, design deficiencies, system/component failure/
1674. malfunction, or unintentional misuse.
1675.  
1676. Security Architecture
1677.  
1678. A detailed description of all aspects of the system that relate to security, along with a set of 
1679. principles to guide the design. A security architecture describes how the system is put together 
1680. to satisfy the security requirements.
1681.  
1682. Note: A security architecture is basically an architectural overlay that addresses security. It is 
1683. increasingly important in distributed systems, since there are many ways in which security 
1684. functions can be distributed and care is needed to ensure that they work together.
1685.  
1686. Security CONOPS
1687.  
1688. A high-level description of how the system operates and a general description of the security 
1689. characteristics of the system, such as user clearances, data sensitivity, and data flows.
1690.  
1691. Security Policy
1692.  
1693. The set of laws, rules, and practices that regulate how sensitive or critical information is 
1694. managed, protected, and distributed.
1695.  
1696. Note: A security policy may be written at many different levels of abstraction. For example, a 
1697. corporate security policy is the set of laws, rules, and practices within a user organization; 
1698. system security policy defines the rules and practices within a specific system; and technical 
1699. security policy regulates the use of hardware, software, and firmware of a system or product.
1700.  
1701. Security Requirements
1702.  
1703. Types and levels of protection necessary for equipment, data, information, applications, and 
1704. facilities to meet security policy.
1705.  
1706. Security Safeguards
1707.  
1708. Protective measures and controls that are prescribed to meet the security requirements 
1709. specified for a system.
1710.  
1711. Note: Safeguards may include security features as well as management constraints, personnel 
1712. security, and security of physical structures, areas, and devices.
1713.  
1714. Security Test and Evaluation (ST&E)
1715.  
1716. An examination and analysis of the safeguards required to protect a system, as they have been 
1717. applied in an operational environment to determine the security posture of that system.
1718.  
1719. Security Testing
1720.  
1721. A process used to determine that a system protects data and maintains functionality as 
1722. intended.
1723.  
1724. Note: Security Testing may include hands-on functional testing, penetration testing, and 
1725. verification.
1726.  
1727. Security Working Group
1728.  
1729. A group, representing various organizational entities, that meets to discuss security issues 
1730. throughout a system's life cycle.
1731.  
1732. Note: Identification of security issues and suggested solutions are outputs of the group.
1733.  
1734. Sensitive Information
1735.  
1736. Information designated to require protection because its unauthorized disclosure, alteration, 
1737. loss, or destruction could cause damage.
1738.  
1739. Note: It includes both classified and sensitive unclassified information.
1740.  
1741. Sensitive Unclassified Information
1742.  
1743. Any information, the loss, misuse, or unauthorized access to or modification of which could 
1744. adversely affect the national interest or the conduct of federal programs, or the privacy to 
1745. which individuals are entitled under 5 U.S.C Section 552a (the Privacy Act) [18], but that has 
1746. not been specifically authorized under criteria established by an Executive Order or an Act of 
1747. Congress to be kept secret in the interest of national defense or foreign policy.
1748.  
1749. Note: Systems that are not national security systems, but contain sensitive information, are to 
1750. be protected in accordance with the requirements of the Computer Security Act of 1987 
1751. (Public Law 100-235) [13].
1752.  
1753. Sensitivity
1754.  
1755. The characteristic of a resource which implies its value or importance, and may include its 
1756. vulnerability.
1757.  
1758. Note: As an example, the DoD uses a set of hierarchically ordered sensitivity levels (i.e., 
1759. Confidential, Secret, Top Secret) to indicate the sensitivity of data. In addition, in many 
1760. environments, labels such as Procurement Sensitive, Investigations, Medical, Payroll, or 
1761. Project XYZ are used to refer to specific sets of information.
1762.  
1763. Signals Security
1764.  
1765. Generic term encompassing COMSEC and electronic security.
1766.  
1767. Subsystem
1768.  
1769. A secondary or subordinate system, usually capable of operating independently of, or 
1770. asynchronously with, a controlling system.
1771.  
1772. System
1773.  
1774. A collection of components that may include computer hardware, firmware, software, data, 
1775. procedures, environment, and people, so related as to behave as an interacting or 
1776. interdependent unit.
1777.  
1778. Note: A system has a particular purpose and operational environment. A system may contain 
1779. one or more components, subsystems, or products. The operational environment may 
1780. encompass the computing facility or the site installation.
1781.  
1782. System Life Cycle
1783.  
1784. The duration of time that begins with the identification of a need to place a system into 
1785. operation; continues through the system's design, development, implementation and operation; 
1786. and ends with the system's disposal.
1787.  
1788. System Security Plan
1789.  
1790. A description of the risks, system security requirements, and how the system will meet the 
1791. security requirements.
1792.  
1793. Systems Security Engineering
1794.  
1795. The efforts that help achieve maximum security and survivability of a system during its life 
1796. cycle and interface with other program elements to ensure security functions are effectively 
1797. integrated into the total systems engineering effort.
1798.  
1799. Technical Security (TECHSEC)
1800.  
1801. Equipment, components, devices, and associated documentation or other media that pertain to 
1802. cryptography, or to security of telecommunications and AISs.
1803.  
1804. TEMPEST
1805.  
1806. A short name referring to investigation, study, and control of compromising emanations from 
1807. telecommunications and AIS equipment.
1808.  
1809. Testbed
1810.  
1811. A system representation consisting partially of actual hardware and/or software and partially 
1812. of computer models or prototype hardware and/or software.
1813.  
1814. Threat
1815.  
1816. Capabilities, intentions, and attack methods of adversaries to exploit any circumstance or event 
1817. with the potential to cause harm to information or an information system.
1818.  
1819. Transmission Security (TRANSEC)
1820.  
1821. The component of COMSEC that results from the application of measures designed to protect 
1822. transmissions from interception and exploitation by means other than cryptanalysis.
1823.  
1824. Trust
1825.  
1826. Confidence that an entity, to which trust is applied, will perform in a way that will not 
1827. prejudice the security of the user of the system of which that entity is a part.
1828.  
1829. Note:   Trust is always restricted to specific functions or ways of behavior (e.g., "trusted to 
1830. connect A to B properly"). Trust is meaningful only in the context of a security policy; an 
1831. entity may be trusted in the context of one policy, but untrusted in the context of another 
1832. policy.
1833.  
1834. Trusted Computer System
1835.  
1836. A system that employs sufficient hardware, firmware, and software assurance measures to 
1837. exhibit correct behavior in terms of operations defined by its security policy.
1838.  
1839. Trusted Computing Base (TCB)
1840.  
1841. Totality of protection mechanisms within a computer system, including hardware, firmware, 
1842. and software, the combination of which is responsible for enforcing a security policy.
1843.  
1844. Note: The ability of a TCB to enforce correctly a unified security policy depends on the 
1845. correctness of the mechanisms within the TCB, the protection of those mechanisms to ensure 
1846. their correctness, and the correct input of parameters related to the security policy.
1847.  
1848. Type Accreditation
1849.  
1850. Official authorization by the DAA to employ a system in a specified environment.
1851.  
1852. Note: Type accreditation includes a statement of residual risk, delineates the operating 
1853. environment, and identifies specific use. It may be performed when multiple copies of a 
1854. system are to be fielded in similar environments.
1855.  
1856. Unclassified Information
1857.  
1858. Any information that need not be safeguarded against disclosure, but must be safeguarded 
1859. against tampering, destruction, or loss due to record value, utility, replacement cost, or 
1860. susceptibility to fraud, waste, or abuse.
1861.  
1862. User
1863.  
1864. Person or process accessing a system by direct connections (e.g., via terminals) or indirect 
1865. connections.
1866.  
1867. Note: ``Indirect connections''  relates to persons who prepare input data or receive output that 
1868. is not reviewed for content or classification by a responsible individual.
1869.  
1870. Verification
1871.  
1872. The process of comparing two levels of a system specification for proper correspondence or 
1873. of proving that some property of a specification is correctly implemented by the system (e.g., 
1874. security policy model with top-level specification, top-level specification with source code, or 
1875. source code with object code).
1876.  
1877. Note: Verification may be formal or informal, or automated or not automated. Formal 
1878. verification is the process of using formal proofs (complete mathematical argument) to 
1879. demonstrate the consistency between formal specification of a system and formal security 
1880. policy model (design verification) or between formal specification and its high-level program 
1881. implementation (implementation verification). Formal implies using a formal mathematical 
1882. language.
1883.  
1884. Vulnerability
1885.  
1886. A weakness in an information system or component (e.g., security procedures, hardware 
1887. design, internal controls) that could be exploited.
1888.  
1889. Waiver
1890.  
1891. With respect to C&A, a waiver implies that s security requirement has been set aside and need 
1892. not be implemented at all (See Exception.)
1893.  
1894. APPENDIX B
1895.  
1896. Identifying The Appropriate DAA
1897.  
1898. The DAA for a given system is determined based on several factors: the type of information 
1899. processed (e.g., SCI, SIOP-ESI, collateral), the office of primary responsibility (owner) of the 
1900. system, and interconnections with separately accredited networks or systems. For some types of 
1901. information, a single accrediting authority exists (the data owner), regardless of the system owner. 
1902. However, for other information, the accreditor is determined primarily by the owner of the system. 
1903. For example, in a system processing collateral information, the services/agencies may accredit the 
1904. system.
1905.  
1906. In addition, the applicable security policies for a given system depend on the accrediting authority. 
1907. A high-level mapping from the identified DAA for a system to the applicable security policies can 
1908. be made. When a system has a single DAA, this mapping is simple. The DAA is generally aware 
1909. of the appropriate service/agency (and DoD-level) policies that govern the system under his or her 
1910. jurisdiction. However, when multiple DAAs are involved, this mapping of DAA to applicable 
1911. policies can be more complex. When the DAAs are from other organizations, in particular from 
1912. other services/agencies, the responsible individuals cannot be expected to be aware-of the 
1913. governing policies from other organizations. Systems that come under the responsibility of 
1914. multiple accreditors may be subject to the requirements from the policies of all participating 
1915. organizations. These policies must be clearly identified and documented (in the MOA) early in the 
1916. C&A process.
1917.  
1918. Tables B-1 and B-2 identify the appropriate DAA and applicable policies for the services/ 
1919. agencies. Service/agency policies should be consulted for details about authority to delegate 
1920. accreditation responsibilities. Before connecting to a separately accredited network, the DAA of 
1921. the system requesting connection must consider the additional risks of operation associated with 
1922. connection. In addition, the DAA of the network will need to consider the security posture of the 
1923. system requesting connection before allowing a connection to be made. The requesting system will 
1924. have to comply with any additional security requirements of the network system before 
1925. interconnecting. Table B-3 identifies the applicable policies, security mode of operation, and 
1926. DAA(s) for the following separately accredited networks. Tables B-1, B-2, and B-3 appear at the 
1927. end of this appendix.
1928.  
1929. ╖       AUTODlN/DMS
1930.  
1931. ╖       Military Network (MlLNET)
1932.  
1933. ╖       Defense Secure Network 1 (DSNET1)
1934.  
1935. ╖       Defense Secure Network 2 (DSNET2) or the Top Secret WWMCCS Information 
1936. Network Computer System (WINCS)
1937.  
1938. ╖       Defense Secure Network 3 (DSNET3) or the Sensitive Compartmented Information 
1939. Network (SCINET)
1940.  
1941. ╖       Defense Information Systems Network (DISN)
1942.  
1943. ╖       Integrated Tactical Strategic Data Network (ITSDN)
1944.  
1945. ╖       Critical Intelligence Communications (CRITICOMM) System
1946.  
1947. ╖       Special Intelligence Communication (SPINTCOM) Network
1948.  
1949. ╖       STU-III (Secure Telephone Unit-III)
1950.  
1951. ╖       Red Switch
1952.  
1953. Table B-1. Identification of Service DAAs and Applicable Policies
1954.  
1955.  
1956.  
1957. Type of 
1958. Information 
1959. Processed
1960.  
1961. Applicable 
1962. Policy(ies)
1963.  
1964. Navy DAA
1965.  
1966. Marine Corps 
1967. DAA
1968.  
1969. Army DAA
1970.  
1971. Air Force DAA
1972.  
1973. Special 
1974. Intelligence 
1975. (All 
1976. classification 
1977. levels)
1978.  
1979. NSA/CSS 10-27
1980.  
1981. NSA/CSS 90-5
1982.  
1983. NSA/Central 
1984. Security Service 
1985. (CSS)
1986.  
1987. NSA/CSS
1988.  
1989. NSA/CSS
1990.  
1991. NSA/CSS
1992.  
1993. Sensitive 
1994. Compartment 
1995. Information 
1996. (SCI) (All 
1997. classification 
1998. levels)
1999.  
2000. DCID 1/16
2001.  
2002. DCID 1/19
2003.  
2004. DIAM 50-3
2005.  
2006. DIAM 50-4
2007.  
2008. DIA/DS-SIM
2009.  
2010. DNI
2011.  
2012. DIA/DS-SIM
2013.  
2014. Director, 
2015. Intelligence Div. 
2016. (CMC Code INT)
2017.  
2018. DIA/DS-SIM 
2019. MACOM 
2020. Commander, 
2021. Heads of DA 
2022. Staff Agencies 
2023. (dedicated 
2024. mode); HQDA 
2025. (DAMI-CIC-AS) 
2026. (Other Modes)
2027.  
2028. DIA/DS-SIM
2029.  
2030. HQ USAF/INS, 
2031. AFIS/IND
2032.  
2033. SIOP-ESI (All 
2034. classification 
2035. levels)
2036.  
2037. MJCS 75-87
2038.  
2039. JCS/J36; 
2040. coordinate with 
2041. Chief of Naval 
2042. Operations 
2043. (CNO)
2044.  
2045. JCS/J36; 
2046. coordinate with 
2047. CNO
2048.  
2049. JCS/J36; 
2050. coordinate with 
2051. HQDA (DAMI-
2052. CIC-AS)
2053.  
2054. JCS/J36; 
2055. coordinate with 
2056. HQ USAF/XOX
2057.  
2058. Top Secret (All 
2059. classification 
2060. levels)
2061.  
2062. DoD
2063.  
2064. Policies*, 
2065. Appropriate 
2066. Service 
2067. Policies**
2068.  
2069. Commander
2070.  
2071. CMC (Code CC)
2072.  
2073. MACOM 
2074. Commander, 
2075. Heads of DA 
2076. Staff Agencies
2077.  
2078. MAJCOM 
2079. Commander
2080.  
2081. Secret/ 
2082. Confidential 
2083. (All 
2084. classification 
2085. levels)
2086.  
2087. DoD
2088.  
2089. Policies*, 
2090. Appropriate 
2091. Service 
2092. Policies**
2093.  
2094. Commander
2095.  
2096. Commanding 
2097. General
2098.  
2099. MACOM 
2100. Commander, 
2101. Heads of DA 
2102. Staff Agencies, 
2103. General Officer 
2104. Commanders
2105.  
2106. MAJCOM 
2107. Commander
2108.  
2109. Sensitive 
2110. Unclassified
2111.  
2112. DoD Policies*, 
2113. Appropriate 
2114. Service 
2115. Policies**
2116.  
2117. Commander
2118.  
2119. Director of AIS 
2120. Activity
2121.  
2122. Post, installation, 
2123. or field 
2124. operation or staff 
2125. support activity 
2126. commanders or 
2127. equivalent
2128.  
2129. MAJCOM 
2130. Commander
2131.  
2132. *       DoD policies include DoDD 5200.28, 5200.28-STD, 5200.28-M, and other DoD policies for each 
2133. security discipline, as listed in section 4.1.2.
2134.  
2135. **      Appropriate service/agency policies include the primary service/agency policy as listed in Appendix C 
2136. and other service/agency or command-level policies, as appropriate, in the other security disciplines.
2137.  
2138. Table B-2. Identification of Other Agency DAAs
2139.  
2140.  
2141.  
2142. Type of 
2143. information 
2144. Processed
2145.  
2146. Applicable
2147.  Policy(ies)
2148.  
2149. DIA DAA
2150.  
2151. NSA DAA
2152.  
2153. DISA DAA
2154.  
2155. JCS DAA
2156.  
2157. DLA DAA
2158.  
2159. DMA DAA
2160.  
2161. DNA DAA
2162.  
2163. Other 
2164. Agency 
2165. DAA
2166.  
2167. Special 
2168. Intelligence (All 
2169. classification 
2170. levels)
2171.  
2172. NSA/CSS
2173.  
2174. 10-27 
2175.  
2176. NSA/CSS 
2177. 90-5
2178.  
2179. NSA/
2180. Central 
2181. Security 
2182. Service 
2183. (CSS)
2184.  
2185. NSA/CSS
2186.  
2187. NSA/CSS
2188.  
2189. NSA/CSS
2190.  
2191. NSA/CSS
2192.  
2193. NSA/CSS
2194.  
2195. NSA/CSS
2196.  
2197. NSA/CSS
2198.  
2199. Sensitive 
2200. Compartmented 
2201. Information 
2202. (SCI) (All 
2203. classification 
2204. levels)
2205.  
2206. DCID 1/16
2207.  
2208. DCIS 1/19
2209.  
2210. DIAM 50-3
2211.  
2212. DIAM 50-4
2213.  
2214. DIA/
2215.  
2216. DS-SIM
2217.  
2218. DIA/
2219.  
2220. DS-SIM
2221.  
2222. DIA/
2223.  
2224. DS-SIM
2225.  
2226. DIA/
2227.  
2228. DS-SIM
2229.  
2230. DIA/
2231.  
2232. DS-SIM
2233.  
2234. DIA/
2235.  
2236. DS-SIM
2237.  
2238. DIA/
2239.  
2240. DS-SIM
2241.  
2242. DIA/
2243.  
2244. DS-SIM
2245.  
2246. SIOP-ESI (All 
2247. classification 
2248. levels)
2249.  
2250. MJCS 75-
2251. 87
2252.  
2253. JCS/J36;
2254.  
2255. coordinate 
2256. with DS-
2257. SIM
2258.  
2259. JCS/J36; 
2260. coordinate 
2261. with J06
2262.  
2263. JCS/J36
2264.  
2265. JCS/J36
2266.  
2267. JCS/J36; 
2268. coordinate 
2269. with DLA-I
2270.  
2271. JCS/J36; 
2272. coordinate 
2273. with HQ-IS
2274.  
2275. JCS/J36
2276.  
2277. JCS/J36
2278.  
2279. Top Secret (All 
2280. classification 
2281. levels)
2282.  
2283. DoD 
2284. Policies* 
2285. Appropriate
2286.  Agency 
2287. Policies**
2288.  
2289. DIA/
2290.  
2291. DS-SIM
2292.  
2293. NSA/Office 
2294. of 
2295. Operational
2296.  Computer 
2297. Security
2298.  
2299. Director, 
2300. DISA
2301.  
2302. Director 
2303. Joint Staff 
2304. or Director 
2305. J6
2306.  
2307. Deputy 
2308. Director/
2309. PLFA 
2310. Commander
2311.  
2312. HQDNA
2313.  
2314. Secret/
2315. Confidential (All 
2316. classification 
2317. levels)
2318.  
2319. DoD 
2320. Policies*, 
2321. Appropriate
2322.  Agency 
2323. Policies**
2324.  
2325. DIA/
2326.  
2327. DS-SIM
2328.  
2329. NSA/Office 
2330. of 
2331. Operational
2332.  Computer 
2333. Security
2334.  
2335. Director, 
2336. DISA
2337.  
2338. Director 
2339. Joint Staff 
2340. or Director 
2341. J6
2342.  
2343. Deputy 
2344. Director/
2345. PLFA 
2346. Commander
2347.  
2348. Appropriate
2349.  DAA
2350.  
2351. Sensitive 
2352. Unclassified
2353.  
2354. DoD 
2355. Policies*, 
2356. Appropriate
2357.  Agency 
2358. Policies**
2359.  
2360. DIA/
2361.  
2362. DS-SIM
2363.  
2364. NSA/Office 
2365. of 
2366. Operational
2367.  Computer 
2368. Security
2369.  
2370. Director, 
2371. DISA
2372.  
2373. Director 
2374. Joint Staff 
2375. or Director 
2376. J6
2377.  
2378. Deputy 
2379. Director/
2380. PLFA 
2381. Commander
2382.  
2383. Appropriate
2384.  DAA
2385.  
2386. *       DoD policies include DoDD 5200.28, 5200.28-STD, 5200.28-M, and other DoD policies for each 
2387. Security discipline, as listed in section 4.1.2.
2388.  
2389. **      Appropriate service/agency policies include the primary Service/agency policy as listed in Appendix C 
2390. and other service/agency or command-level policies, as appropriate, in the other security disciplines.
2391.  
2392. Table B-3. DAAs for Separately Accredited Networks
2393.  
2394.  
2395.  
2396. Network
2397.  
2398. Applicable Policies
2399.  
2400. Security Mode of 
2401. Operation
2402.  
2403. DAA(s)***
2404.  
2405. AUTODIN/DMS
2406.  
2407. DCAC 370-195-3
2408.  
2409. Multilevel
2410.  
2411. DISA/DA
2412.  
2413. DIA/DS-SIM
2414.  
2415. JCS/(DJS/J6)
2416.  
2417. NSA/Office of 
2418. Operational Security
2419.  
2420. DSN
2421.  
2422. System High
2423.  
2424. DISA
2425.  
2426. MILNET
2427.  
2428. DoD Policies*
2429.  
2430. System High
2431.  
2432. DISA/DA
2433.  
2434. DSNET1
2435.  
2436. DoD Policies*
2437.  
2438. System High
2439.  
2440. DISA/DA
2441.  
2442. DSNET2
2443.  
2444. DoD Policies*
2445.  
2446. System High
2447.  
2448. JCS/J6
2449.  
2450. DSNET3
2451.  
2452. DCID 1/16**
2453.  
2454. System High
2455.  
2456. DIA/DS-SIM
2457.  
2458. DISN
2459.  
2460. System High
2461.  
2462. DISA
2463.  
2464. ITSDN
2465.  
2466. Multiple System High 
2467. Nets
2468.  
2469. DISA/DIA/NSA/JCS
2470.  
2471. CRITICOMM
2472.  
2473. NSA Poilicies
2474.  
2475. System High
2476.  
2477. NSA/Office of 
2478. Operational Security
2479.  
2480. SPINTCOM
2481.  
2482. DCID 1/16**
2483.  
2484. System High
2485.  
2486. DIA/DS-SIM
2487.  
2488. STU III
2489.  
2490. Multilevel
2491.  
2492. NSA
2493.  
2494. Red Switch
2495.  
2496. DCID 1/16**
2497.  
2498. DoDD C-5030.58
2499.  
2500. System High
2501.  
2502. DIA
2503.  
2504. *       DoD policies include DoDD 5200.28, 5200.28-STD, 5200.28-M, and other DoD policies for each 
2505. security discipline, as listed in section 4.1.2.
2506.  
2507. **      Includes DCI policies for the other security disciplines as well.
2508.  
2509. ***     For some networks, the DAA(s) depends on the accreditation range of
2510.  
2511. the network. The applicable policy(ies) should be consulted for additional information in this area.
2512.  
2513. APPENDIX C
2514.  
2515. DOD COMPONENT AIS SECURITY POLICIES
2516.  
2517. The following list identifies selected DoD references in some INFOSEC security disciplines. Each 
2518. service/agency has its own security regulations that implement DoDD 5200.28 and the other DoD 
2519. policies for each security discipline. The primary service/agency security policies are the 
2520. following:
2521.  
2522. ╖       DoD, 7 June 1982, Information Security Program, DoDD 5200.1, and June 1986, with 
2523. Change No.1, 27 June 1988, Information Security Program Regulation, DoD 5200.1-R 
2524. [19].
2525.  
2526. ╖       DoD, October 1981, Communications Security (COMSEC) (U), DoDD C-5200.5, (This 
2527. document is classified.) 20].
2528.  
2529. ╖       DoD, February 1990, Control of Compromising Emanations (U), DoDD C-5200.19, 
2530. (This document is classified.) [5].
2531.  
2532. ╖       NSA/Central Security Service (CSS), December 1990, TEMPEST Security Program, 
2533. NSA/CSS Regulation 90-5 [21].
2534.  
2535. ╖       NTISSC, October 1988, TEMPEST Countermeasures for Facilities (U), NTISS 
2536. Instruction (NTISSI) 7000, (This document is classified.) [22].
2537.  
2538. ╖       DoD, July 1980, Security of Military Installations and Resources, DoDD 5200.8 [23].
2539.  
2540. ╖       DoD, April 1984, Security of DoD Communications Facilities, DoDD 5210.73 [24].
2541.  
2542. ╖       DIA, Physical Security Standards for Construction of Sensitive Compartmented 
2543. Information Facilities (U), DIA Manual (DIAM) 50-3, (For Official Use Only (FOUO)) 
2544. [25].
2545.  
2546. ╖       DCI, September 1987, U.S. Intelligence Community Physical Standards for Sensitive 
2547. Compartmented Information, DClD 1/12 [26].
2548.  
2549. ╖       DoD, December 1979, DoD Personnel Security Program, DoDD 5200.2 [27].
2550.  
2551. ╖       DCl, April 1986, Minimum Personnel Security Standards and Procedures Governing 
2552. Eligibility for Access to Sensitive Compartmented Information, DCID 1/14 [28].
2553.  
2554. ╖       DoD, July 1983, DoD Operations Security Program, DoDD 5205.2 [29].
2555.  
2556. ╖       DoD, September 1986, Computer Security Technical Vulnerability Reporting Program, 
2557. DoD Instruction 5215.2 [30].
2558.  
2559. ╖       DoD, July 1978, Defense Special Security Communications System: Security Criteria 
2560. and Telecommunications Guidance, DoD C-5030.58-M [31].
2561.  
2562. ╖       Defense Communications Agency (DCA), March 1987, DCS AUTODIN Category III 
2563. Operational Acceptance Test, DCA Circular (DCAC) 370-D1 95-3 [32].
2564.  
2565. ╖       DoD, December 1985, Industrial Security Regulation, DoDD 5220.22-R [33], and 
2566. January 1991, Industrial Security Manual for Safeguarding Classified Information, DoD 
2567. 5220.22-M [34] (issued under the authority of DoDD 5220.22, DoD Industrial Security 
2568. Program, December 1980).
2569.  
2570. ╖       Department of the Air Force, 2 June 1992, The Air Force Computer Security 
2571. (COMPUSEC) Program, Air Force System Security Instruction (AFSSI) 5100.[35]
2572.  
2573. ╖       Department of the Air Force, May 1983, Control of Dissemination of Intelligence 
2574. Information, AFR 205-19 [36].
2575.  
2576. ╖       Department of the Navy, November 1989, Department of the Navy Automated 
2577. Information Systems (AIS) Security Program, Secretary of the Navy Instruction 
2578. (SECNAVINST) 5239.2 [37] (under revision as of date of this document).
2579.  
2580. ╖       Department of the Navy, April 1985, Department of the Navy Automated Data 
2581. Processing Security Program, Office of the Chief of Naval Operations Instruction 
2582. (OPNAVINST) 5239.1A [38].
2583.  
2584. ╖       Department of the Navy, July 1990, Department of the Navy SCl/lntelligence, Automated 
2585. Information Systems (AIS) Security Program, Naval Intelligence Command Instruction 
2586. (NAVINTCOMINST) 5239.3 [39].
2587.  
2588. ╖       Marine Corps, 1982, Marine Corps Automatic Data Processing Security Manual, Marine 
2589. Corps Order (MCO) Publication 5510.14, Change 1 [40].
2590.  
2591. ╖       Department of the Army, August 1990, Information Systems Security, AR380-19 [7].
2592.  
2593. ╖       Defense Intelligence Agency (DIA), 1980, Security of Compartmented Computer 
2594. Operations (U), DIA Manual (DIAM) 50-4, (This document is classified.) [41].
2595.  
2596. ╖       DIA, March 1979, Security Requirements for Automatic Data Processing (ADP) 
2597. Systems, DIA Regulation 50-23 [42].
2598.  
2599. ╖       NSA, January 1990, Security for Automated Information Systems and Networks (U), 
2600. NSA/Central Security Service (NSA/CSS) Directive No. 10-27, (FOUO) [43].
2601.  
2602. ╖       NSA, 17 October 1990, NSA/CSS Operational Computer Security Manual, NSA/CSS 
2603. Manual 130-1 [44].
2604.  
2605. ╖       Joint Chiefs of Staff (JCS), April 1988, Security Policy for the WWMCCS Intercomputer 
2606. Network, JCS Pub 6-03.7 (applies to all Worldwide Military Command and Control 
2607. Systems (WWMCCS) sites) [45].
2608.  
2609. ╖       JCS, May 87, Safeguarding the Single Integrated Operational Plan (U), Memorandum, 
2610. JCS (MJCS) 75-87 (applies to all systems processing SIOP-ESI), (This document is 
2611. classified.) [46] (under revision as of date of this document).
2612.  
2613. ╖       DCI, February 1987, Security Policy for Sensitive Compartmented Information, DCID 1/
2614. 19 [47].
2615.  
2616. ╖       Defense Information Systems Agency (DISA), August 1991, Security Requirements for 
2617. Automated Information Systems (AISs), DCA Instruction 630-230-19 [48].
2618.  
2619. ╖       Defense Mapping Agency (DMA), July 1990, Automated Information Systems Security 
2620. Requirements, DMA Manual 5200.28 [49] (under revision as of date of this document).
2621.  
2622. ╖       Defense Nuclear Agency (DNA), 31 August 1989, Security Requirements for Automated 
2623. Information Systems (AISs), DNA 5200.28D [50] (under revision as of date of this 
2624. document).
2625.  
2626. ╖       Defense Logistics Agency (DLA), October 1991, Security Requirements for Automated 
2627. Information and Telecommunications Systems, DLA Regulation (DLAR) 5200.17 [51].
2628.  
2629. APPENDIX D
2630.  
2631. ACRONYMS
2632.  
2633. ADP     Automatic Data Processing
2634.  
2635. AF      Air Force
2636.  
2637. AFR     Air Force Regulation
2638.  
2639. AFSSI   Air Force System Security Instruction
2640.  
2641. AIS     automated information system
2642.  
2643. AR      Army Regulation
2644.  
2645. AUTODIN Automatic Digital Network
2646.  
2647. C&A     certification and accreditation
2648.  
2649. CAP     component approval process
2650.  
2651. CMC     Commandant, Marine Corps
2652.  
2653. CMW     compartmented mode workstation
2654.  
2655. CMWEC   CMW Evaluation Criteria
2656.  
2657. CNO     Chief of Naval Operations
2658.  
2659. COMPUSEC        computer security
2660.  
2661. COMSEC  communications security
2662.  
2663. CONOPS  concept of operation
2664.  
2665. COTS    commercial off-the-shelf
2666.  
2667. CRITICOMM       Critical Intelligence Communications
2668.  
2669. CSS     Central Security Service (of NSA)
2670.  
2671. DA      Department of the Army
2672.  
2673. DAA     Designated Approving Authority
2674.  
2675. DBMS    database management system
2676.  
2677. DCA     Defense Communications Agency (now DISA)
2678.  
2679. DCAC    DCA Circular
2680.  
2681. DCI     Director of Central Intelligence
2682.  
2683. DCID    DCI Directive
2684.  
2685. DES     Data Encryption Standard
2686.  
2687. DIA     Defense Intelligence Agency
2688.  
2689. DIAM    DIA Manual
2690.  
2691. DISA    Defense Information Systems Agency
2692.  
2693. DISN    Defense Information Systems Network
2694.  
2695. DLA     Defense Logistics Agency
2696.  
2697. DLAR    DLA Regulation
2698.  
2699. DMA     Defense Mapping Agency
2700.  
2701. DMS     Defense Message System
2702.  
2703. DNA     Defense Nuclear Agency
2704.  
2705. DNI     Director of Naval Intelligence
2706.  
2707. DoD     Department of Defense
2708.  
2709. DoDD    DoD Directive
2710.  
2711. DPL     Degausser Products List
2712.  
2713. DSNET1  Defense Secure Network 1
2714.  
2715. DSNET2  Defense Secure Network 2
2716.  
2717. DSNET3  Defense Secure Network 3
2718.  
2719. EO      Executive Order
2720.  
2721. EPL     Evaluated Products List
2722.  
2723. ETL     Endorsed Tools List
2724.  
2725. FIPS PUB        Federal Information Processing Standard Publication
2726.  
2727. FOUO    For Official Use Only
2728.  
2729. FSRS    Functional Security Requirements for a Telecommunications System
2730.  
2731. HQDA    Headquarters, Department of the Army
2732.  
2733. HQDNA   Headquarters, Defense Nuclear Agency
2734.  
2735. IC      Intelligence Community
2736.  
2737. INFOSEC         information systems security
2738.  
2739. ISSWG   Information System Security Working Group
2740.  
2741. ITSDN   Integrated Tactical Strategic Data Network
2742.  
2743. IV&V    independent verification and validation
2744.  
2745. JCS     Joint Chiefs of Staff
2746.  
2747. LAN     local area network
2748.  
2749. MACOM   Major Command (Army)
2750.  
2751. MAJCOM  Major Command (Air Force)
2752.  
2753. MCO     Marine Corps Order
2754.  
2755. MILNET  Military Network
2756.  
2757. MJCS    Memorandum, JCS
2758.  
2759. MLS     multilevel secure
2760.  
2761. MOA     Memorandum of Agreement
2762.  
2763. NAVINTCOMINST   Naval Intelligence Command Instruction
2764.  
2765. NCSC    National Computer Security Center or National Communications 
2766. Security Committee
2767.  
2768. NIST    National Institute of Standards and Technology
2769.  
2770. NSA     National Security Agency
2771.  
2772. NSD     National Security Directive
2773.  
2774. NSTISS  National Security Telecommunications and Information Systems 
2775. Security
2776.  
2777. NTISS   National Telecommunications and Informations Systems Security
2778.  
2779. NTISSI  National Telecommunications and Informations Systems Security 
2780. Instruction
2781.  
2782. OMB     Office of Management and Budget
2783.  
2784. OPNAVINST       Office of the Chief of Naval Operations Instruction
2785.  
2786. OPSEC   operations security
2787.  
2788. OSD     Office of the Secretary of Defense
2789.  
2790. PC      personal computer
2791.  
2792. PLFA    Primary-Level Field Activity
2793.  
2794. PM      Program Manager
2795.  
2796. PPL     Preferred Products List
2797.  
2798. RFP     Request for Proposal
2799.  
2800. SCI     Sensitive Compartmented Information
2801.  
2802. SCINET  Sensitive Compartmented Information Network
2803.  
2804. SECNAVINST      Secretary of the Navy Instruction
2805.  
2806. SIOP-ESI        Single Integrated Operational Plan-Extremely Sensitive Information
2807.  
2808. SPINTCOM        Special Intelligence Communication
2809.  
2810. STU-III Secure Telephone Unit-III
2811.  
2812. TCB     Trusted Computing Base
2813.  
2814. TCSEC   Trusted Computer System Evaluation Criteria
2815.  
2816. TECH SEC        technical security
2817.  
2818. TEMPEST         Transient Electromagnetic Pulse Emanation Standard
2819.  
2820. TNI     Trusted Network Interpretation
2821.  
2822. TRANSEC         transmission security
2823.  
2824. TSCM    technical surveillance countermeasures
2825.  
2826. U       Unclassified
2827.  
2828. U.S.    United States
2829.  
2830. USA     United States Army
2831.  
2832. USAF    United States Air Force
2833.  
2834. USN     United States Navy
2835.  
2836. WAN     wide area network
2837.  
2838. WINCS   WWMCCS Information Network Computer System
2839.  
2840. WWMCCS  Worldwide Military Command and Control System
2841.  
2842. APPENDIX E
2843.  
2844. List of References
2845.  
2846. 1.      Department of Defense (DoD), 21 March 1988, Security Requirements for Automated 
2847. Information Systems (AISs), DoD Directive 5200.28.
2848.  
2849. 2.      DoD, December 1985, Department of Defense Trusted Computer System Evaluation Criteria, 
2850. DoD 5200.28-STD.
2851.  
2852. 3.      Defense Intelligence Agency (DIA), June 1991, Compartmented Mode Workstation 
2853. Evaluation Criteria, Version 1 (CMWEC), document number DDS-2600-6243-91.
2854.  
2855. 4.      NSA, 2 June 1991, NSA Specification for General Functional Security Requirements for a 
2856. Telecommunications System, (FSRS)(U). (This document is classified.)
2857.  
2858. 5.      DoD, February 1990, Control of Compromising Emanations (U), DoDD C-5200.19, (This 
2859. document is classified.)
2860.  
2861. 6.      DCI, 19 July 1988, Security Policy for Uniform Protection of Intelligence Processed in 
2862. Automated Information Systems and Networks (U), DCID 1/16, (This document is classified.), 
2863. and Security Manual for Uniform Protection of Intelligence Processed in Automated 
2864. Information Systems and Networks (U), supplement to DCID 1/16, (This document is 
2865. classified).
2866.  
2867. 7.      Department of the Army, August 1990, Information Systems Security, AR 380-19.
2868.  
2869. 8.      Office of the President, July 1990, National Policy for the Security of National Security 
2870. Telecommunications and Information Systems (U), (This document is classified.).
2871.  
2872. 9.      Executive Order 12356, 2 April 1982, National Security Information.
2873.  
2874. 10.     Executive Order 12333, 4 December 1981, United States Intelligence Activities.
2875.  
2876. 11.     Office of Management and Budget (OMB), 12 December 1985, Management of Federal 
2877. Information Resources, OMB Circular No. A-130. (Revision currently in process.).
2878.  
2879. 12.     National Institute of Standards and Technology (NIST), 27 September 1983, Guideline for 
2880. Computer Security Certification and Accreditation, FIPS PUB 102.
2881.  
2882. 13.     Public Law 100-235,101 STAT. 1724, 8 January 1988, Computer Security Act of 1987.
2883.  
2884. 14.     National Computer Security Center, 31 July 1987, Trusted Network Interpretation of the 
2885. Trusted Computer System Evaluation Criteria, NCSC-TG-005, Version-1.
2886.  
2887. 15.     DoD, January 1973, Automated Information System Security Manual, DoD 5200.28-M. 
2888. (Revision currently in process.).
2889.  
2890. 16.     NSA, Information Systems Security Products and Services Catalogue (INFOSEC Catalog).
2891.  
2892. 17.     NIST, April 1982, General Security Requirements for Equipment Using the Data Encrvption 
2893. Standard, Federal Standard 1027.
2894.  
2895. 18.     Title 5, U.S. Code, Section 552a, Privacy Act of 1974.
2896.  
2897. 19.     DoD, 7 June 1982, Information Security Program, DoD Directive 5200.1, and June 1986, with 
2898. Change No. 1, 27 June 1988, Information Security Program Regulation, DoD 5200.1-R.
2899.  
2900. 20.     DoD, October 1981, Communications Security (COMSEC) (U), DoDD C-5200.5, (This 
2901. document is classifed.).
2902.  
2903. 21.     NSA/CSS, December 1990, TEMPEST Security Program, NSA/CSS Regulation 90-5.
2904.  
2905. 22.     NTISSC, October 1988, TEMPEST Countermeasures for Facilities (U), NTISSI 7000, (This 
2906. document is classified.).
2907.  
2908. 23.     DoD, July 1980, Security of Military Instahations and Resources, DoDD 5200.8.
2909.  
2910. 24.     DoD, April 1984, Security of DoD Communications Facilities, DoDD 5210.73.
2911.  
2912. 25.     DIA, Physical Security Standards for Construction of Sensitive Compartmented Information 
2913. Facilities (U), DIAM 50-3, (This document is for offical use only.).
2914.  
2915. 26.     DCI, September 1987, U.S. Intelligence Community Physical Standards for Sensitive 
2916. Compartmented Information, DCID 1/12.
2917.  
2918. 27.     DoD, December 1979, DoD Personnel Security Program, DoDD 5200.2.
2919.  
2920. 28.     DCI, April 1986, Minimum Personnel Security Standards and Procedures Governing 
2921. Eligibility for Access to Sensitive Compartmented Information, DCID 1/1 4.
2922.  
2923. 29.     DoD, July 1983, DoD Operations Security Program, DoDD 5205.2.
2924.  
2925. 30.     DoD, September 1986, Computer Security Technical Vulnerability Reporting Program, DoD 
2926. Instruction 5215.2.
2927.  
2928. 31.     DoD, July 1978, Defense Special Security Communications System: Security Criteria and 
2929. Telecommunications Guidance, DoD C-5030.58-M.
2930.  
2931. 32.     DCA, March 1987, DCS AUTODIN Category III Operational Acceptance Test, DCAC 370-
2932. D195-3.
2933.  
2934. 33.     DoD, December 1985, Industrial Security Regulation, DoD Regulation 5220.22-R.
2935.  
2936. 34.     DoD, January 1991, Industrial Security Manual for Safeguarding Classified Information, 
2937. DoD 5220.22-M.
2938.  
2939. 35.     Department of the Air Force, 2 June 1992, The Air Force Computer Security (COMPUSEC) 
2940. Program, AFSSI 5100.
2941.  
2942. 36.     Department of the Air Force, May 1983, Control of Dissemination of Intelligence Information, 
2943. AFR 205-19.
2944.  
2945. 37.     Department of the Navy, November 1989, Department of the Navy Automated Information 
2946. Systems (AIS) Security Program, SECNAVINST 5239.2.
2947.  
2948. 38.     Department of the Navy, April 1985, Department of the Navy Automatic Data Processing 
2949. Security Program, OPNAVINST 5239.1A.
2950.  
2951. 39.     Department of the Navy, July 1990, Department of the Navy SCI/Intelligence, Automated 
2952. Information System (AIS) Security Program, NAVINTCOMIN ST 5239.3.
2953.  
2954. 40.     Marine Corps, 1982, Marine Corps Automatic Data Processing Security Manual, MCO 
2955. P5510.14, Change 1.
2956.  
2957. 41.     DlA, 1980, Security of Compartmented Computer Operations (U), DIAM 50-4, (This 
2958. document is classified.).
2959.  
2960. 42.     DIA, March 1979, Security Requirements for Automatic Data Processing (ADP) Systems, 
2961. DIA Regulation 50-23.
2962.  
2963. 43.     NSA, January 1990, Security for Automated Information Systems and Networks (U), NSA/
2964. CSS Directive No. 10-27, (This document is for official use only.).
2965.  
2966. 44.     NSA, 17 October 1990, NSA/CSS Operational Computer Security Manual, NSA/CSS Manual 
2967. 130-1.
2968.  
2969. 45.     JCS, April 1988, Security Policy for the WWMCCS Intercomputer Network, JCS Pub 6-03.7.
2970.  
2971. 46.     JCS, May 1987, Safeguarding the Single Integrated Operational Plan (U), MJCS 75-87, (This 
2972. document is classified) (under revision as of date of this document).
2973.  
2974. 47.     DCI, February 1987, Security Policy for Sensitive Compartmented Information, DCID 1/1 9.
2975.  
2976. 48.     Defense Information Systems Agency (DISA), August 1991, Security Requirements for 
2977. Automated Information Systems (AISs), DCA Instruction 630-230-19.
2978.  
2979. 49.     Defense Mapping Agency (DMA), July 1990, Automated Information Systems Security 
2980. Requirements, DMA Manual 5200.28 (under revision as of date of this document).
2981.  
2982. 50.     Defense Nuclear Agency (DNA), 31 August 1989, Security Requirements for Automated 
2983. Information Systems (AISs), DNA 5200.28D (under revision as of date of this document).
2984.  
2985. 51.     Defense Logistics Agency (DLA), October 1991, Security Requirements for Automated 
2986. Information and Telecommunications Systems, DLA Regulation (DLAR) 5200.17.
2987.  
2988.         PUBLICATION INFORMATION
2989.  
2990. Single copies of this document may be obtained by contacting:
2991.  
2992. DIRECTOR
2993.  
2994. National Security Agency
2995.  
2996. ATTN: INFOSEC Awareness Division
2997.  
2998. Fort George G. Meade, MD 20755-6000
2999.  
3000. (4l0) 766-8729
3001.  
3002. Multiple copies may be obtained by contacting:
3003.  
3004. Superintendent of Documents
3005.  
3006. U.S. Government Printing Office
3007.  
3008. Washington, D.C. 20402
3009.  
3010. (202) 783-3238
3011.  
3012. (Mastercard and Visa are accepted)
3013.  
3014. For further assistance or information write to:
3015.  
3016. ATTN: X8
3017.  
3018. National Security Agency
3019.  
3020. 9800 Savage Road
3021.  
3022. Ft. George G. Meade, MD 20755-6000
3023.  
3024.  
3025. Pre-certification Phase
3026. Certification Phase
3027.  
3028.  
3029. Step 1
3030.  
3031. Assess System 
3032. Requirements/Assess 
3033. Tailoring Factors
3034.  
3035.  
3036. Step 2
3037.  
3038. Plan for C&A
3039.  
3040.  
3041. Step 3
3042.  
3043. Perform System
3044.  
3045. Analysis
3046. Step 4
3047.  
3048. Report Findings/
3049.  
3050. Recommendations
3051. Accreditation Phase
3052. Step 5
3053.  
3054. Conduct
3055.  
3056. Site Survey
3057. Step 6
3058.  
3059. Make
3060.  
3061. Accreditation
3062.  
3063. Decision
3064. Post-Accreditation Phase
3065. Step 7
3066.  
3067. Maintain
3068.  
3069. Accreditation
3070. INFOSEC
3071. Communications
3072.  
3073. Related
3074. COMSEC
3075.  
3076. Cryptosecurity
3077.  
3078. Emission Sec.
3079.  
3080. Electronic Sec.
3081.  
3082. Transmission Sec.
3083.  
3084. Technical Sec.
3085. AIS Related
3086. Information Sec.
3087.  
3088. Administration Sec.
3089.  
3090. Personnel Sec.
3091.  
3092. Environmental Sec.
3093.  
3094. Physical Sec.
3095.  
3096. Operations Sec.
3097.  
3098. Manual/Information
3099.  
3100. Related
3101. COMPUSEC
3102.  
3103. Data Sec.
3104.  
3105.  
3106. Executive Orders
3107.  
3108.  
3109. National Security
3110.  
3111. Agency
3112.  
3113.  
3114. Public Laws
3115.  
3116.  
3117. OMB Circulars
3118.  
3119.  
3120. FIPS PUBS
3121.  
3122.  
3123. Security for
3124.  
3125. Intelligence
3126.  
3127. Systems
3128.  
3129.  
3130. Security for
3131.  
3132. Compartmented
3133.  
3134. Systems
3135.  
3136.  
3137. Technical Security
3138.  
3139.  
3140. Computer
3141.  
3142. Security
3143.  
3144.  
3145. Information
3146.  
3147. Security
3148.  
3149.  
3150. Communications
3151.  
3152. Security
3153.  
3154.  
3155. TEMPEST
3156.  
3157.  
3158. Personnel
3159.  
3160. Security
3161.  
3162.  
3163. Operations
3164.  
3165. Security
3166.  
3167.  
3168. Physical
3169.  
3170. Security
3171.  
3172.  
3173. Industrial
3174.  
3175. Security
3176.  
3177.  
3178. NCSC Guidance
3179.  
3180.  
3181. Agency/Service
3182.  
3183. Regulations
3184.  
3185.  
3186. FIPS PUBS
3187.  
3188.  
3189. OMB Circulars
3190.  
3191.  
3192. Public Laws
3193.  
3194.  
3195. National Security
3196.  
3197. Agency
3198.  
3199.  
3200. Executive Orders
3201.  
3202.  
3203. Security for
3204.  
3205. Intelligence
3206.  
3207. Systems
3208.  
3209.  
3210. Security for
3211.  
3212. Compartmented
3213.  
3214. Systems
3215.  
3216.  
3217. Technical Security
3218.  
3219.  
3220. Computer
3221.  
3222. Security
3223.  
3224.  
3225. Information
3226.  
3227. Security
3228.  
3229.  
3230. Communications
3231.  
3232. Security
3233.  
3234.  
3235. TEMPEST
3236.  
3237.  
3238. Personnel
3239.  
3240. Security
3241.  
3242.  
3243. Operations
3244.  
3245. Security
3246.  
3247.  
3248. Physical
3249.  
3250. Security
3251.  
3252.  
3253. Industrial
3254.  
3255. Security
3256.  
3257.  
3258. NCSC Guidance
3259.  
3260.  
3261. Agency/Service
3262.  
3263. Regulations
3264.  
3265.  
3266.  
3267.  
3268.  
3269.  
3270.