home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / hk_progm.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.1 KB  |  564 lines
  1.  
  2. * * * * * * * * * * * * *  NOTE * * * * * * * * * * * * * * * * *
  3.  
  4. This file is a DRAFT chapter intended to be part of the NIST
  5. Computer Security Handbook.  The chapters were prepared by
  6. different parties and, in some cases, have not been reviewed by
  7. NIST.  The next iteration of a chapter could be SUBSTANTIALLY
  8. different than the current version.  If you wish to provide
  9. comments on the chapters, please email them to roback@ecf.ncsl.gov
  10. or mail them to Ed Roback/Room B154, Bldg 225/NIST/Gaithersburg, MD 
  11. 20899.  
  12.  
  13. * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
  14.  
  15. DRAFT                    DRAFT                    DRAFT
  16.  
  17.  
  18. 5.  Security Program Management 
  19.  
  20.  
  21. 5.1  Purpose of Security Program Management
  22.  
  23. Organizations should view information resources security as a
  24. management issue, treated like any other item of strategic
  25. importance.  Information and information processing assets
  26. (computers) are a critical component of most organizations'
  27. ability to perform their mission and business functions.  The
  28. purpose of a security program is to protect these vital assets. 
  29. Accordingly, ensuring security requires the development of a
  30. comprehensive management approach that integrates fundamental
  31. protection considerations.
  32.  
  33. In general, organizations divide the management of security into
  34. two major types of activities:  'Central' and 'System'
  35. activities.  Central security activities are the tasks carried
  36. out on behalf of the organization such as policy development,
  37. compliance reviews, and oversight.  System level security
  38. activities are those tasks performed by functional management,
  39. 'end-users,' and computer systems personnel to secure a
  40. particular computer system.  These tasks include performing risk
  41. analyses, installing safeguards, and administering security.
  42.  
  43. The purpose of this chapter is to present security as a
  44. management function.  An organization-wide approach to security
  45. program management is presented.  Because organizations differ
  46. vastly in size, complexity, management styles, and culture, it is
  47. not possible to describe one ideal security program.  However,
  48. this chapter does describe some of the features and issues common
  49. to most organizations.  
  50.  
  51. Note:  This chapter addresses security program management, not
  52. the various activities such as risk analysis or contingency
  53. planning, that make up an effective security program.  
  54.  
  55.  
  56. 5.2  Structure of a Security Program 
  57.  
  58. Most organizations have security programs which are distributed
  59. throughout the organization with different elements performing
  60. different functions.  While this is a desirable management
  61. structure, the distribution of the security function in many
  62. organizations is haphazard, based on chance.  Instead, the
  63. distribution of the security function should be the result of a
  64. planned and integrated management philosophy.
  65.  
  66. Figure 5-1 shows a management structure based on that of an
  67. actual Federal agency.  The agency in the example has five major
  68. units each of which has several large computer facilities.  Each
  69. facility runs multiple applications.  This type of organization
  70. needs to manage security at the agency level, the unit level, the
  71. computer facility level, and the application level.
  72.  
  73.  
  74.  
  75.  
  76.  
  77.  
  78.  
  79.  
  80.  
  81.  
  82.  
  83.  
  84. figure 5-1  (see attachment)
  85.  
  86.  
  87.  
  88.  
  89.  
  90.  
  91.  
  92.  
  93.  
  94.  
  95.  
  96.  
  97.  
  98.  
  99. There are many benefits to managing computer security at multiple
  100. levels.  Each level contributes to the overall security program
  101. with different types of expertise, authority and resources.  In
  102. general, the higher levels (such as the Headquarters or Unit
  103. Levels in the Agency described above) have more clout, better
  104. ability to set policy, to see the "big picture," and to enforce. 
  105. On the other hand, the systems levels (such as the computer
  106. facility and applications levels) are more familiar with the
  107. technical and procedural requirements and problems of the systems
  108. and the users.  The levels of security program management are
  109. complementary; each helps the other be more effective.
  110.  
  111. Recognizing that each organization will have its own structure,
  112. this chapter divides security program management into two levels:
  113. the central level and the system level.  The central security
  114. program address the overall management of security within an
  115. organization or a major component of an organization.  The system
  116. level security program addresses the management of security for a
  117. particular information processing system.  Most organizations
  118. have at least these two levels and many organizations, such as
  119. the example above, have several more levels.   
  120.  
  121.  
  122. 5.3  Central Program 
  123.  
  124. The purpose of a central security program, as stated above, is
  125. the overall management of security within an organization.  In
  126. the federal government, the organization could consist of a
  127. department, agency, installation or other major operating unit.  
  128.  
  129. A central security program provides two quite distinct types of
  130. benefits.  The first type is increased efficiency and economy of
  131. security throughout the organization.  The second type is the
  132. ability to provide enforcement and oversight.  Both of these
  133. benefits are in keeping with the purpose of the Paperwork
  134. Reduction Act, as implemented in OMB Circular A-130.
  135.  
  136.      The Paperwork Reduction Act establishes a broad mandate for
  137.      agencies to perform their information management activities
  138.      in an efficient, effective, and economical manner.... 
  139.      Agencies shall assure an adequate level of security for all
  140.      agency automated information systems, whether maintained in-
  141.      house or commercially.  (Section 5; Appendix III,
  142.      Section 3.)
  143.  
  144. OMB Circular A-130, therefore, requires that Federal agencies
  145. have computer security programs.
  146.  
  147. 5.3.1.    Efficiency and Economy
  148.  
  149. A central security program can manage or coordinate the use of
  150. security-related resources across the entire organization.  The
  151. most important of these resources are normally information and
  152. financial resources.  
  153.  
  154. It is a truism to discuss both the overload of information
  155. available to modern managers and the utility of well-managed
  156. information.  Most organizations, however, have trouble
  157. collecting information from myriad sources and effectively
  158. processing and distributing it within the organization.  This
  159. section discusses some of the sources and uses of security
  160. information.
  161.  
  162. Within the Federal government, many organizations such as the
  163. Office of Management and Budget, the General Services
  164. Administration, and the National Institute of Standards and
  165. Technology provide information on computer, telecommunications,
  166. and information resources.  This information includes security-
  167. related policy, regulations, standards, and guidance.  A
  168. considerable portion of the information is channelled through the
  169. Senior Designated Official for each agency (see FIRMR Part 201-
  170. 2).  Agencies are expected to have mechanisms in place to
  171. distribute information received by the senior designated
  172. official.
  173.  
  174. Security-related information is also available from private and
  175. Federal professional societies and groups.  These groups will
  176. often provide the information as a public service, although some
  177. private groups charge for it.  However, even for information that
  178. is free or inexpensive, the costs associated with personnel
  179. gathering the information can be expensive.  For instance, it is
  180. not cost effective for an organization to send everyone to every
  181. security conference.  
  182.  
  183. Internal security-related information, such as procedures which
  184. worked, or did not work, virus infections, security problems and
  185. solutions also need to be shared within an organization.  Often
  186. these issues are specific to the operating environment and
  187. culture of the organization.  
  188.  
  189. A security program at the organization level should provide a way
  190. to collect the internal security-related information and
  191. distribute it as needed throughout the organization.  Sometimes
  192. an organization can also share this information with external
  193. groups.  Figure 5-2 shows a simplified version of this flow of
  194. information.  For example, in most organizations, external
  195. interaction occurs at both the organization and system levels.  
  196. However, the central security program should be aware of the
  197. interaction at the system level to aid in the sharing of
  198. information and to make sure that the organization has identified
  199. and tapped all important sources.
  200.  
  201. Another use of an organization-wide conduit of information is the
  202. increased ability to influence external and internal policy
  203. decisions.  If the central security program office can speak for
  204. the entire organization, then it is more likely to be listened to
  205. by upper management and external organizations.  However, to be
  206. effective, there must be excellent communication between the
  207. system level security programs and the organization level.  For
  208. example, if an organization were considering consolidating its
  209. mainframes into one site (or considering distributing the
  210. processing currently done at one mainframe site), the central
  211. security program personnel could discuss the security
  212. implications and costs or cost savings.  If the central security
  213. program knows the actual costs of providing for multiple
  214. contingency options and other security factors, then the central
  215. security program can speak authoritatively during policy
  216. discussions.
  217.  
  218.  
  219.  
  220.  
  221.  
  222.  
  223.  
  224.  
  225. figure 2  (see attachment)
  226.  
  227.  
  228.  
  229.  
  230.  
  231.  
  232.  
  233.  
  234. Beside being able to help an organization use information more
  235. cost effectively, a security program can also help an
  236. organization better spend its scarce security dollars. 
  237. Organizations can develop expertise and then share it, reducing
  238. the need to contract out repeatedly for similar services.  The
  239. following example is based on the Agency in Figure 1:
  240.  
  241.      Each of the agency five operating units developed a separate
  242.      specialized expertise, and the organization as a whole
  243.      shares the increased knowledge base.  Operating Unit #1,
  244.      which uses primarily UNIX, developed skills in UNIX
  245.      security.  Operating Unit #2, which uses primarily MVS, but
  246.      has one UNIX machine, concentrated on MVS security but
  247.      relies on Unit #1's skills for their one UNIX machine.
  248.  
  249. The central security program can also develop its own areas of
  250. expertise.  Many security programs develop skills in contingency
  251. planning and risk analysis in order to help the entire
  252. organization perform these vital security functions.
  253.  
  254. Besides allowing an organization to share expertise, and
  255. therefore save money, a central security program can also use its
  256. position to negotiate discounts based on volume purchasing of
  257. security hardware and software.
  258.  
  259. 5.3.2.    Oversight
  260.  
  261. Besides helping an organization to improve the economy and
  262. efficiency of its security program, the central security program
  263. can also serve as an independent evaluation or enforcement
  264. function.  The purpose of this oversight role is to ensure that
  265. organizational subunits are cost-effectively securing resources
  266. and following applicable policy.  While the Office of Inspector
  267. General (OIG) and external organizations, such as the General
  268. Accounting Office (GAO), also perform a valuable evaluation role,
  269. they operate outside the regular management channels.  See
  270. Chapter XXXX for a further discussion of the role of independent
  271. audit.
  272.  
  273. There are several reasons for having an oversight function within
  274. the regular management channel.  First, since security is a part
  275. of the regular management of organization resources, it is a
  276. responsibility which cannot be abdicated to another organization. 
  277. Second, it allows an organization to find and correct problems
  278. without the potential embarrassment of an IG or GAO audit or
  279. investigation.  Third, the organization may find different
  280. problems than an outside organization.  The organization better
  281. understands its assets, threats, systems and procedures than an
  282. external organization, and people involved in the audit may share
  283. information within the organization they would withhold from an
  284. outsider.
  285.  
  286.  
  287. 5.4  Central Security Program Elements & Considerations
  288.  
  289. In order for a central security program to be effective, it must
  290. be an established part of organization management.  If system
  291. managers and applications owners do not need to consistently
  292. interact with the security program, then it can become an empty
  293. token of upper management's "commitment to security."  The
  294. following paragraphs describe some of the means of becoming an
  295. established program and some of the indicators that a program has
  296. achieved this goal.
  297.  
  298. Stable Program Management Function.  A well-established program
  299. will have a program manager recognized within the organization as
  300. the IT security program manager.  In addition, the program will
  301. be staffed with able personnel and links will be established
  302. between the program management function and IT security personnel
  303. in other parts of the organization.  A security program is a
  304. complex function that needs a stable base from which to direct
  305. the management of security resources, such as information and
  306. financial resources.  The benefits of an oversight function
  307. cannot be achieved if the security program is not recognized
  308. within an organization as having expertise and authority.
  309.  
  310. Stable Resource Base.  A well-established program will have a
  311. stable resource base in terms of personnel, funds, and other
  312. support.  Without a stable resource base, it is impossible to
  313. plan for and execute programs and projects effectively.   
  314.  
  315. Published Mission and Function Statement.  A published mission
  316. statement grounds the IT security program into the unique
  317. operating environment of the organization.  The statement clearly
  318. establishes the function of the IT security program and defines
  319. responsibilities for both the IT security program and other
  320. related programs and entities.  Without such a statement, it is
  321. impossible to develop evaluation criteria for the effectiveness
  322. of the IT security program.
  323.  
  324. Existence of Policy.  Policy, as discussed in Chapter XX,
  325. provides the foundation for the IT security program and is the
  326. means for documenting and promulgating important decisions about
  327. IT security.  In addition to policy, a central security program
  328. should also publish standards, regulations, and guidelines which
  329. implement and expand on policy.  These are also discussed in
  330. Chapter XX.
  331.  
  332. Long-Term Security Strategy.  A well-established program explores
  333. and develops long-term strategies to incorporate security into
  334. the next generation of information technology.  Since the IT
  335. field moves rapidly, it is essential to plan for future operating
  336. environments.
  337.  
  338. Compliance Program.   An IT security program must address whether
  339. the organization is in compliance with national policies and
  340. requirements as well as organization specific requirements. 
  341. National requirements include those prescribed under the Computer
  342. Security Act of 1987, OMB Circular A-130, the FIRMR, and FIPS
  343. PUBs.
  344.  
  345. Liaison with Other Offices Within the Organization.  There are
  346. many offices within an organization that potentially affect IT
  347. security.  The IRM and traditional security offices (such as
  348. personnel, industrial, or physical security) are the two most
  349. obvious.  However, IT security often overlaps with other offices
  350. such as Safety, Reliability, and Quality Assurance, Internal
  351. Control or the Inspector General.  An effective program must have
  352. established relationships with these groups in order to integrate
  353. security into the management of an organization.  The
  354. relationships must be more than just passing information; the
  355. offices must influence each other.  
  356.  
  357.      Example:  Agency IRM Offices engage in strategic and
  358.      tactical planning for both information and information
  359.      technology, in accordance with the Paperwork Reduction Act
  360.      and OMB Circular A-130.  Security should be an important
  361.      component of these plans.  The security needs of the agency
  362.      should affect information technology choices and the
  363.      information needs of the agency should effect the security
  364.      program.
  365.  
  366. Liaison with External Groups.  As discussed in this chapter,
  367. there are many sources of security information, such as NIST's
  368. Computer Security Program Managers' Forum, computer security
  369. bulletin board, and the Forum of Incident Response and Security
  370. Teams (FIRST).  An established program will be knowledgeable of
  371. and take advantage of external sources of information.  It will
  372. also be a provider of information.
  373.  
  374.  
  375. 5.5  System Level Security Program 
  376.  
  377. The purpose of the system level security program is to ensure
  378. appropriate and cost-effective security for each system.  A
  379. central security program, as explained above, addresses the
  380. entire spectrum of information resources security for an
  381. organization.  The system level security programs implement
  382. security for each information system.  This includes influencing
  383. decisions about what controls to implement, purchasing and
  384. installing technical controls, day-to-day security
  385. administration, evaluating system vulnerabilities, responding to
  386. security problems, etc.  It encompasses all the areas discussed
  387. in this Handbook.
  388.  
  389. The system level security program is the advocate for security. 
  390. The system security officer is the person who must raise the
  391. issue of security and help work on solutions.  For example, has
  392. the data owner made clear the security requirements of the
  393. system?  Will bringing a new function online impact security?  Is
  394. the system vulnerable to hackers and viruses?  Has the
  395. contingency plan been tested?  Raising these kinds of questions
  396. will force system managers and data owners to identify their
  397. security requirements and ensure that they are being met.
  398.  
  399.  
  400. 5.6  System Level Security Program Elements and Considerations
  401.  
  402. Like the central security program, there are many factors which
  403. influence how successful a system level security program is. 
  404. Many of these are similar to the organization level.  This
  405. section addresses some additional considerations.  
  406.  
  407. Integration with System Operations.  The system level security
  408. program must consist of people who understand the system.  For
  409. security management to be effective, it must be integrated into
  410. the management of the system.  Effective integration will assure
  411. that system managers and data owners consider security in the
  412. planning and operation of the system.  The system level security
  413. program manager must be able to participate in the selection and
  414. implementation of appropriate technical controls, security
  415. procedures, and must understand system vulnerabilities.  The
  416. system level security program must be able to respond to system
  417. security problems in a timely manner.
  418.  
  419. For large systems, such as a mainframe data center, the security
  420. program will often include a manager and several staff positions
  421. in such areas as access control, user administration, and
  422. contingency and disaster planning.  For small systems, such as an
  423. office-wide LAN, the security program may be an adjunct
  424. responsibility of the LAN administrator.  
  425.  
  426. Separation From Operations.  A natural tension exists between
  427. security and operational elements.  In many instances,
  428. operational components, which tend to be far stronger entities,
  429. seek to resolve this tension by having the security program
  430. embedded in IT operations.  The typical result of this
  431. organizational strategy is a security program that lacks
  432. independence, has minimal authority, receives little management
  433. attention, and has few resources.  As early as 1978, the General
  434. Accounting Office (GAO) identified this organizational mode as
  435. one of the principal basic weaknesses in federal agency IT
  436. security programs.  While it is possible for central security
  437. programs to face this problem, system level programs face this
  438. problem more often.
  439.  
  440. This conflict between the need to be a part of system management
  441. and independence has several solutions.  The basis of many of the
  442. solutions is a link between the security program and upper
  443. management, often through the central security program.  A key
  444. requirement of this setup is the existence of a reporting
  445. structure which does not include systems management.  Another
  446. possibility is for the security program to be completely
  447. independent of system management and report directly to higher
  448. management.  There are many hybrids and permutations such as co-
  449. location of security and systems management staff, but separate
  450. reporting (and supervisory) structures.  Figure 5-3 presents an
  451. example of placement of the security program within a typical
  452. Federal agency.
  453.  
  454.  
  455.  
  456.  
  457.  
  458.  
  459.  
  460.  
  461.  
  462. Figure 5-3  (see attachment)
  463.  
  464.  
  465.  
  466.  
  467.  
  468.  
  469.  
  470.  
  471.  
  472. System Security Plans.  The Computer Security Act mandated that
  473. agencies develop computer security and privacy plans for
  474. sensitivie systems.  The purpose of this plan is to ensure that
  475. each Federal and Federal interest system has appropriate and
  476. cost-effective security.  System level security personnel should
  477. be in a position to develop and implement security plans. 
  478. Chapter XX, Life Cycle, discusses the plans in more detail.  
  479.  
  480.  
  481. 5.7  Interaction Between the Central and System Level Security
  482. Programs
  483.  
  484. The need for central and system level security programs to work
  485. together has been a major theme of this chapter.  A system level
  486. program that is not integrated into the organizational program
  487. may have difficulty influencing significant areas affecting
  488. security.
  489.  
  490. The system level security program implements the policies,
  491. guidance, and regulations of the central security program.  The
  492. system level office also learns from the information disseminated
  493. by the central program and uses the experience and expertise of
  494. the entire organization.  The system level security program
  495. furthers distributes information to systems management as
  496. appropriate.  
  497.  
  498. The communication, however, is not one way.  The system level
  499. security program tells the central office about needs, problems,
  500. incidents, and solutions.  The organization shares experience and
  501. expertise.  The central security program can then represent the
  502. system to the organization's management and to external agencies
  503. and advocate programs and policies beneficial to the security of
  504. all the systems. 
  505.  
  506.  
  507. 5.8  Interdependencies
  508.  
  509. Policy.  Policy is the basis for the IT security program.  The
  510. central security program(s) normally produces policy concerning
  511. general and organizational security issues.  However, the system
  512. level security program normally produced some issue-specific
  513. policies and policies affecting only one system.  Chapter XX,
  514. Policy, provides additional guidance.
  515.  
  516. Life Cycle Management.  The process of securing a system over its
  517. life cycle is the role of the system level security program.  
  518. See Chapter XX Life Cycle Management.
  519.  
  520. Independent Audit.  The independent audit function described in
  521. Chapter XXXX should be complementary to the compliance function
  522. performed by a central security program.  
  523.  
  524. General.  The general purpose of the IT security program, to
  525. improve security, causes it to overlap with every control.  Most
  526. controls will be addressed at the policy, procedural, or
  527. operational level by the central or system security program.
  528.  
  529.  
  530. 5.9  Cost Considerations
  531.  
  532. Section XXXX discussed how an organization-wide security program
  533. can manage security resources, including financial resources,
  534. more effectively.  The cost considerations for a system level
  535. security program are more closely aligned with the overall cost
  536. savings in having security.
  537.  
  538. The most significant cost of a security program is personnel.  In
  539. addition, many programs make frequent and effective use of
  540. consultants and contractors.  A program also needs funds for
  541. training of personnel and travel to perform oversight,
  542. information collection and dissemination activities, and meet
  543. with personnel at other levels of security management.
  544.  
  545. 5.10 References
  546.  
  547. CSI Course:  Managing an Organization Wide Security Program
  548.  
  549. OMB Circular A-130, especially Main Body and Appendix III
  550.  
  551. FIRMR 201-2 (Designated Senior Officials)
  552.  
  553. Information Resources Security:  What Every Federal Manager
  554. Should Know.  GSA IRMS
  555.  
  556. "Security Policy and Organization Structure" in Information
  557. Security for Managers.  Chapter 1.2
  558.  
  559. Computer Security Act of 1987
  560.  
  561. GAO Report LCD 78-123, "Automated Systems Security--Federal
  562. Agencies Should Strengthen Safeguards Over Personal and Other
  563. Sensitive Data"
  564.