home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack45.t10 < prev    next >
Encoding:
Text File  |  2003-06-11  |  53.4 KB  |  984 lines
  1.                               ==Phrack Magazine==
  2.  
  3.                  Volume Five, Issue Forty-Five, File 10 of 28
  4.  
  5. ****************************************************************************
  6.  
  7. [NOTE:  This file was retyped from an anonymous photocopied submission.  The
  8.         authenticity of it was not verified.]
  9.  
  10.  
  11. Security Guidelines
  12.  
  13. This handbook is designed to introduce you to some of the basic
  14. security principles and procedures with which all NSA employees must comply.
  15. It highlights some of your security responsibilities, and provides guidelines
  16. for answering questions you may be asked concerning your association with this
  17. Agency.  Although you will be busy during the forthcoming weeks learning your
  18. job, meeting co-workers, and becoming accustomed to a new work environment, you
  19. are urged to become familiar with the security information contained in this
  20. handbook.  Please note that a listing of telephone numbers is provided at the
  21. end of this handbook should you have any questions or concerns.
  22.  
  23. Introduction
  24.  
  25. In joining NSA you have been given an opportunity to participate in the
  26. activities of one of the most important intelligence organizations of the United
  27. States Government.  At the same time, you have also assumed a trust which
  28. carries with it a most important individual responsibility--the safeguarding of
  29. sensitive information vital to the security of our nation.
  30.  
  31. While it is impossible to estimate in actual dollars and cents the value of the
  32. work being conducted by this Agency, the information to which you will have
  33. access at NSA is without question critically important to the defense of the
  34. United States.  Since this information may be useful only if it is kept secret,
  35. it requires a very special measure of protection.  The specific nature of this
  36. protection is set forth in various Agency security regulations and directives.
  37. The total NSA Security Program, however, extends beyond these regulations.  It
  38. is based upon the concept that security begins as a state of mind.  The program
  39. is designed to develop an appreciation of the need to protect information vital
  40. to the national defense, and to foster the development of a level of awareness
  41. which will make security more than routine compliance with regulations.
  42.  
  43. At times, security practices and procedures cause personal inconvenience.  They
  44. take time and effort and on occasion may make it necessary for you to
  45. voluntarily forego some of your usual personal perogatives.  But your
  46. compensation for the inconvenience is the knowledge that the work you are
  47. accomplishing at NSA, within a framework of sound security practices,
  48. contributes significantly to the defense and continued security of the United
  49. States of America.
  50.  
  51. I extend to you my very best wishes as you enter upon your chosen career or
  52. assignment with NSA.
  53.  
  54. Philip T. Pease
  55. Director of Security
  56.  
  57.  
  58. INITIAL SECURITY RESPONSIBILITIES
  59.  
  60. Anonymity
  61.  
  62. Perhaps one of the first security practices with which new NSA personnel should
  63. become acquainted is the practice of anonymity.  In an open society such as ours,
  64. this practice is necessary because information which is generally available to
  65. the public is available also to hostile intelligence.  Therefore, the Agency
  66. mission is best accomplished apart from public attention.  Basically, anonymity
  67. means that NSA personnel are encouraged not to draw attention to themselves nor
  68. to their association with this Agency.  NSA personnel are also cautioned neither
  69. to confirm nor deny any specific questions about NSA activities directed to them
  70. by individuals not affiliated with the Agency.
  71.  
  72. The ramifications of the practice of anonymity are rather far reaching, and its
  73. success depends on the cooperation of all Agency personnel.  Described below you
  74. will find some examples of situations that you may encounter concerning your
  75. employment and how you should cope with them.  Beyond the situations cited, your
  76. judgement and discretion will become the deciding factors in how you respond to
  77. questions about your employment.
  78.  
  79. Answering Questions About Your Employment
  80.  
  81. Certainly, you may tell your family and friends that you are employed at or
  82. assigned to the National Security Agency.  There is no valid reason to deny them
  83. this information.  However, you may not disclose to them any information
  84. concerning specific aspects of the Agency's mission, activities, and
  85. organization.  You should also ask them not to publicize your association with
  86. NSA.
  87.  
  88. Should strangers or casual acquaintances question you about your place of
  89. employment, an appropriate reply would be that you work for the Department of
  90. Defense.  If questioned further as to where you are employed within the
  91. Department of Defense, you may reply, "NSA."  When you inform someone that you
  92. work for NSA (or the Department of Defense) you may expect that the next
  93. question will be, "What do you do?"  It is a good idea to anticipate this
  94. question and to formulate an appropriate answer.  Do not act mysteriously about
  95. your employment, as that would only succeed in drawing more attention to
  96. yourself.
  97.  
  98. If you are employed as a secretary, engineer, computer scientist, or in a
  99. clerical, administrative, technical, or other capacity identifiable by a general
  100. title which in no way indicates how your talents are being applied to the
  101. mission of the Agency, it is suggested that you state this general title.  If
  102. you are employed as a linguist, you may say that you are a linguist, if
  103. necessary.  However, you should not indicate the specific language(s) with which
  104. you are involved.
  105.  
  106. The use of service specialty titles which tend to suggest or reveal the nature of
  107. the Agency's mission  or specific aspects of their work.  These professional
  108. titles, such as cryptanalyst, signals collection officer, and intelligence
  109. research analyst, if given verbatim to an outsider, would likely generate
  110. further questions which may touch upon the classified aspects of your work.
  111. Therefore, in conversation with outsiders, it is suggested that such job titles
  112. be generalized.  For example, you might indicate that you are a "research
  113. analyst."  You may not, however, discuss the specific nature of your analytic
  114. work.
  115.  
  116. Answering Questions About Your Agency Training
  117.  
  118. During your career or assignment at NSA, there is a good chance that you will
  119. receive some type of job-related training.  In many instances the nature of the
  120. training is not classified.  However, in some situations the specialized
  121. training you receive will relate directly to sensitive Agency functions.  In
  122. such cases, the nature of this training may not be discussed with persons
  123. outside of this Agency.
  124.  
  125. If your training at the Agency includes language training, your explanation for
  126. the source of your linguistic knowledge should be that you obtained it while
  127. working for the Department of Defense.
  128.  
  129. You Should not draw undue attention to your language abilities, and you may not
  130. discuss how you apply your language skill at the Agency.
  131.  
  132. If you are considering part-time employment which requires the use of language
  133. or technical skills similar to those required for the performance of your NSA
  134. assigned duties, you must report (in advance) the anticipated part-time work
  135. through your Staff Security Officer (SSO) to the Office of Security's Clearance
  136. Division (M55).
  137.  
  138. Verifying Your Employment
  139.  
  140. On occasion, personnel must provide information concerning their employment to
  141. credit institutions in connection with various types of applications for credit.
  142. In such situations you may state, if you are a civilian employee, that you are
  143. employed by NSA and indicate your pay grade or salary.  Once again, generalize
  144. your job title.  If any further information is desired by persons or firms with
  145. whom you may be dealing, instruct them to request such information by
  146. correspondence addressed to:  Director of Civilian Personnel, National Security
  147. Agency, Fort George G. Meade, Maryland 20755-6000.  Military personnel should
  148. use their support group designator and address when indicating their current
  149. assignment.
  150.  
  151. If you contemplate leaving NSA for employment elsewhere, you may be required to
  152. submit a resume/job application, or to participate in extensive employment
  153. interviews.  In such circumstances, you should have your resume reviewed by the
  154. Classification Advisory Officer (CAO) assigned to your organization.  Your CAO
  155. will ensure that any classified operational details of your duties have been
  156. excluded and will provide you with an unclassified job description.  Should you
  157. leave the Agency before preparing such a resume, you may develop one and send it
  158. by registered mail to the NSA/CSS Information Policy Division (Q43) for review.
  159. Remember, your obligation to protect sensitive Agency information extends
  160. beyond your employment at NSA.
  161.  
  162. The Agency And Public News Media
  163.  
  164. >From time to time you may find that the agency is the topic of reports or
  165. articles appearing in public news media--newspapers, magazines, books, radio
  166. and TV.  The NSA/CSS Information Policy Division (Q43) represents the Agency in
  167. matters involving the press and other media.  This office serves at the
  168. Agency's official media center and is the Director's liaison office for public
  169. relations, both in the community and with other government agencies.  The
  170. Information Policy Division must approve the release of all information for and
  171. about NSA, its mission, activities, and personnel.  In order to protect the
  172. aspects of Agency operations, NSA personnel must refrain from either confirming
  173. or denying any information concerning the Agency or its activities which may
  174. appear in the public media.  If you are asked about the activities of NSA, the
  175. best response is "no comment."  You should the notify Q43 of the attempted
  176. inquiry.  For the most part, public references to NSA are based upon educated
  177. guesses.  The Agency does not normally make a practice of issuing public
  178. statements about its activities.
  179.  
  180. GENERAL RESPONSIBILITIES
  181.  
  182. Espionage And Terrorism
  183.  
  184. During your security indoctrination and throughout your NSA career you will
  185. become increasingly aware of the espionage and terrorist threat to the United
  186. States.  Your vigilance is the best single defense in protecting NSA
  187. information, operations, facilities and people.  Any information that comes to
  188. your attention that suggests to you the existence of, or potential for,
  189. espionage or terrorism against the U.S. or its allies must be promptly reported
  190. by you to the Office of Security.
  191.  
  192. There should be no doubt in your mind about the reality of the threats.  You
  193. are now affiliated with the most sensitive agency in government and are
  194. expected to exercise vigilance and common sense to protect NSA against these
  195. threats.
  196.  
  197. Classification
  198.  
  199. Originators of correspondence, communications, equipment, or documents within
  200. the Agency are responsible for ensuring that the proper classification,
  201. downgrading information and, when appropriate, proper caveat notations are
  202. assigned to such material.  (This includes any handwritten notes which contain
  203. classified information).  The three levels of classification are Confidential,
  204. Secret and Top Secret.  The NSA Classification Manual should be used as
  205. guidance in determining proper classification.  If after review of this document
  206. you need assistance, contact the Classification Advisory Officer (CAO) assigned
  207. to your organization, or the Information Policy Division (Q43).
  208.  
  209. Need-To-Know
  210.  
  211. Classified information is disseminated only on a strict "need-to-know" basis.
  212. The "need-to-know" policy means that classified information will be
  213. disseminated only to those individuals who, in addition to possessing a proper
  214. clearance, have a requirement to know this information in order to perform
  215. their official duties (need-to-know).  No person is entitled to classified
  216. information solely by virtue of office, position, rank, or security clearance.
  217.  
  218. All NSA personnel have the responsibility to assert the "need-to-know" policy
  219. as part of their responsibility to protect sensitive information.
  220. Determination of "need-to-know" is a supervisory responsibility.  This means
  221. that if there is any doubt in your mind as to an individual's "need-to-know,"
  222. you should always check with your supervisor before releasing any classified
  223. material under your control.
  224.  
  225. For Official Use Only
  226.  
  227. Separate from classified information is information or material marked "FOR
  228. OFFICIAL USE ONLY" (such as this handbook).  This designation is used to
  229. identify that official information or material which, although unclassified, is
  230. exempt from the requirement for public disclosure of information concerning
  231. government activities and which, for a significant reason, should not be given
  232. general circulation.  Each holder of "FOR OFFICAL USE ONLY" (FOUO) information
  233. or material is authorized to disclose such information or material to persons
  234. in other departments or agencies of the Executive and Judicial branches when it
  235. is determined that the information or material is required to carry our a
  236. government function.  The recipient must be advised that the information or
  237. material is not to be disclosed to the general public.  Material which bears
  238. the "FOR OFFICIAL USE ONLY" caveat does not come under the regulations
  239. governing the protection of classified information.  The unauthorized
  240. disclosure of information marked "FOR OFFICIAL USE ONLY" does not constitute an
  241. unauthorized disclosure of classified defense information.  However, Department
  242. of Defense and NSA regulations prohibit the unauthorized disclosure of
  243. information designated "FOR OFFICIAL USE ONLY."  Appropriate administrative
  244. action will be taken to determine responsibility and to apply corrective and/or
  245. disciplinary measures in cases of unauthorized disclosure of information which
  246. bears the "FOR OFFICIAL USE ONLY" caveat.  Reasonable care must be exercised in
  247. limiting the dissemination of "FOR OFFICIAL USE ONLY" information.  While you
  248. may take this handbook home for further study, remember that is does contain
  249. "FOR OFFICIAL USE ONLY" information which should be protected.
  250.  
  251. Prepublication Review
  252.  
  253. All NSA personnel (employees, military assignees, and contractors) must submit
  254. for review any planned articles, books, speeches, resumes, or public statements
  255. that may contain classified, classifiable, NSA-derived, or unclassified
  256. protected information, e.g., information relating to the organization, mission,
  257. functions, or activities of NSA.  Your obligation to protect this sensitive
  258. information is a lifetime one.  Even when you resign, retire, or otherwise end
  259. your affiliation with NSA, you must submit this type of material for
  260. prepublication review.  For additional details, contact the Information Policy
  261. Division (Q43) for an explanation of prepublication review procedures.
  262.  
  263. Personnel Security Responsibilities
  264.  
  265. Perhaps you an recall your initial impression upon entering an NSA facility.
  266. Like most people, you probably noticed the elaborate physical security
  267. safeguards--fences, concrete barriers, Security Protective Officers,
  268. identification badges, etc.  While these measures provide a substantial degree
  269. of protection for the information housed within our buildings, they represent
  270. only a portion of the overall Agency security program.  In fact, vast amounts
  271. of information leave our facilities daily in the minds of NSA personnel, and
  272. this is where our greatest vulnerability lies.  Experience has indicated that
  273. because of the vital information we work with at NSA, Agency personnel may
  274. become potential targets for hostile intelligence efforts.  Special safeguards
  275. are therefore necessary to protect our personnel.
  276.  
  277. Accordingly, the Agency has an extensive personnel security program which
  278. establishes internal policies and guidelines governing employee conduct and
  279. activities.  These policies cover a variety of topics, all of which are
  280. designed to protect both you and the sensitive information you will gain
  281. through your work at NSA.
  282.  
  283. Association With Foreign Nationals
  284.  
  285. As a member of the U.S. Intelligence Community and by virtue of your access to
  286. sensitive information, you are a potential target for hostile intelligence
  287. activities carried out by or on behalf of citizens of foreign
  288. countries.  A policy concerning association with foreign nationals has been
  289. established by the Agency to minimize the likelihood that its personnel might
  290. become subject to undue influence or duress or targets of hostile activities
  291. through foreign relationships.
  292.  
  293. As an NSA affiliate, you are prohibited from initiating or maintaining
  294. associations (regardless of the nature and degree) with citizens or officials
  295. of communist-controlled, or other countries which pose a significant threat to
  296. the security of the United States and its interests.  A comprehensive list of
  297. these designated countries is available from your Staff Security Officer or the
  298. Security Awareness Division.  Any contact with citizens of these countries, no
  299. matter how brief or seemingly innocuous, must be reported as soon as possible
  300. to your Staff Security Officer (SSO).  (Individuals designated as Staff
  301. Security Officers are assigned to every organization; a listing of Staff
  302. Security Officers can be found at the back of this handbook).
  303.  
  304. Additionally, close and continuing associations with any non-U.S. citizens which
  305. are characterized by ties of kinship, obligation, or affection are prohibited.
  306. A waiver to this policy may be granted only under the most exceptional
  307. circumstances when there is a truly compelling need for an individual's
  308. services or skills and the security risk is negligible.
  309.  
  310. In particular, a waiver must be granted in advance of a marriage to or
  311. cohabitation with a foreign national in order to retain one's access to NSA
  312. information.  Accordingly, any intent to cohabitate with or marry a non-U.S.
  313. citizen must be reported immediately to your Staff Security Officer.  If a
  314. waiver is granted, future reassignments both at headquarters and overseas may
  315. be affected.
  316.  
  317. The marriage or intended marriage of an immediate family member (parents,
  318. siblings, children) to a foreign national must also be reported through your
  319. SSO to the Clearance Division (M55).
  320.  
  321. Casual social associations with foreign nationals (other than those of the
  322. designated countries mentioned above) which arise from normal living and
  323. working arrangements in the community usually do not have to be reported.
  324. During the course of these casual social associations, you are encouraged to
  325. extend the usual social amenities.  Do not act mysteriously or draw attention
  326. to yourself (and possibly to NSA) by displaying an unusually wary attitude.
  327.  
  328. Naturally, your affiliation with the Agency and the nature of your work should
  329. not be discussed.  Again, you should be careful not to allow these associations
  330. to become close and continuing to the extent that they are characterized by
  331. ties of kinship, obligation, or affection.
  332.  
  333. If at any time you feel that a "casual" association is in any way suspicious,
  334. you should report this to your Staff Security Officer immediately.  Whenever
  335. any doubt exists as to whether or not a situation should be reported or made a
  336. matter of record, you should decided in favor of reporting it.  In this way,
  337. the situation can be evaluated on its own merits, and you can be advised as to
  338. your future course of action.
  339.  
  340. Correspondence With Foreign Nationals
  341.  
  342. NSA personnel are discouraged from initiating correspondence with individuals
  343. who are citizens of foreign countries.  Correspondence with citizens of
  344. communist-controlled or other designated countries is prohibited.  Casual
  345. social correspondence, including the "penpal" variety, with other foreign
  346. acquaintances is acceptable and need not be reported.  If, however, this
  347. correspondence should escalate in its frequency or nature, you should report
  348. that through your Staff Security Officer to the Clearance Division (M55).
  349.  
  350. Embassy Visits
  351.  
  352. Since a significant percentage of all espionage activity is known to be
  353. conducted through foreign embassies, consulates, etc., Agency policy
  354. discourages visits to embassies, consulates or other official establishments of
  355. a foreign government.  Each case, however, must be judged on the circumstances
  356. involved.  Therefore, if you plan to visit a foreign embassy for any reason
  357. (even to obtain a visa), you must consult with, and obtain the prior approval
  358. of, your immediate supervisor and the Security Awareness Division (M56).
  359.  
  360. Amateur Radio Activities
  361.  
  362. Amateur radio (ham radio) activities are known to be exploited by hostile
  363. intelligence services to identify individuals with access to classified
  364. information; therefore, all licensed operators are expected to be familiar
  365. with NSA/CSS Regulation 100-1, "Operation of Amateur Radio Stations" (23
  366. October 1986).  The specific limitations on contacts with operators from
  367. communist and designated countries are of particular importance.  If you are
  368. an amateur radio operator you should advise the Security Awareness Division
  369. (M56) of your amateur radio activities so that detailed guidance may be
  370. furnished to you.
  371.  
  372. Unofficial Foreign Travel
  373.  
  374. In order to further protect sensitive information from possible compromise
  375. resulting from terrorism, coercion, interrogation or capture of Agency
  376. personnel by hostile nations and/or terrorist groups, the Agency has
  377. established certain policies and procedures concerning unofficial foreign
  378. travel.
  379.  
  380. All Agency personnel (civilian employees, military assignees, and contractors)
  381. who are planning unofficial foreign travel must have that travel approved by
  382. submitting a proposed itinerary to the Security Awareness Division (M56) at
  383. least 30 working days prior to their planned departure from the United States.
  384. Your itinerary should be submitted on Form K2579 (Unofficial Foreign Travel
  385. Request).  This form provides space for noting the countries to be visited,
  386. mode of travel, and dates of departure and return.  Your immediate supervisor
  387. must sign this form to indicate whether or not your proposed travel poses a
  388. risk to the sensitive information, activities, or projects of which you may
  389. have knowledge due to your current assignment.
  390.  
  391. After your supervisor's assessment is made, this form should be forwarded to
  392. the Security Awareness Director (M56).  Your itinerary will then be reviewed in
  393. light of the existing situation in the country or countries to be visited, and
  394. a decision for approval or disapproval will be based on this assessment.  The
  395. purpose of this policy is to limit the risk of travel to areas of the world
  396. where a threat may exist to you and to your knowledge of classified Agency
  397. activities.
  398.  
  399. In this context, travel to communist-controlled and other hazardous activity
  400. areas is prohibited.  A listing of these hazardous activity areas is
  401. prohibited.  A listing of these hazardous activity areas can be found in Annex
  402. A of NSA/CSS Regulation No. 30-31, "Security Requirements for Foreign Travel"
  403. (12 June 1987).  From time to time, travel may also be prohibited to certain
  404. areas where the threat from hostile intelligence services, terrorism, criminal
  405. activity or insurgency poses an unacceptable risk to Agency employees and to
  406. the sensitive information they possess.  Advance travel deposits made without
  407. prior agency approval of the proposed travel may result in financial losses by
  408. the employee should the travel be disapproved, so it is important to obtain
  409. approval prior to committing yourself financially.  Questions regarding which
  410. areas of the world currently pose a threat should be directed to the Security
  411. Awareness Division (M56).
  412.  
  413. Unofficial foreign travel to Canada, the Bahamas, Bermuda, and Mexico does not
  414. require prior approval, however, this travel must still be reported using Form
  415. K2579.  Travel to these areas may be reported after the fact.
  416.  
  417. While you do not have to report your foreign travel once you have ended your
  418. affiliation with the Agency, you should be aware that the risk incurred in
  419. travelling to certain areas, from a personal safety and/or counterintelligence
  420. standpoint, remains high.  The requirement to protect the classified
  421. information to which you have had access is a lifetime obligation.
  422.  
  423. Membership In Organizations
  424.  
  425. Within the United States there are numerous organizations with memberships
  426. ranging from a few to tens of thousands.  While you may certainly participate
  427. in the activities of any reputable organization, membership in any international
  428. club or professional organization/activity with foreign members should be
  429. reported through your Staff Security Officer to the Clearance Division (M55).
  430. In most cases there are no security concerns or threats to our employees or
  431. affiliates.  However, the Office of Security needs the opportunity to research
  432. the organization and to assess any possible risk to you and the information to
  433. which you have access.
  434.  
  435. In addition to exercising prudence in your choice of organizational
  436. affiliations, you should endeavor to avoid participation in public activities
  437. of a conspicuously controversial nature because such activities could focus
  438. undesirable attention upon you and the Agency.  NSA employees may, however,
  439. participate in bona fide public affairs such as local politics, so long as such
  440. activities do not violate the provisions of the statutes and regulations which
  441. govern the political activities of all federal employees.  Additional
  442. information may be obtained from your Personnel Representative.
  443.  
  444. Changes In Marital Status/Cohabitation/Names
  445.  
  446. All personnel, either employed by or assigned to NSA, must advise the Office of
  447. Security of any changes in their marital status (either marriage or divorce),
  448. cohabitation arrangements, or legal name changes.  Such changes should be
  449. reported by completing NSA Form G1982 (Report of Marriage/Marital Status
  450. Change/Name Change), and following the instructions printed on the form.
  451.  
  452. Use And Abuse Of Drugs
  453.  
  454. It is the policy of the National Security Agency to prevent and eliminate the
  455. improper use of drugs by Agency employees and other personnel associated with
  456. the Agency.  The term "drugs" includes all controlled drugs or substances
  457. identified and listed in the Controlled Substances Act of 1970, as amended,
  458. which includes but is not limited to:  narcotics, depressants, stimulants,
  459. cocaine, hallucinogens ad cannabis (marijuana, hashish, and hashish oil).
  460. The use of illegal drugs or the abuse of prescription drugs by persons employed
  461. by, assigned or detailed to the Agency may adversely affect the national
  462. security; may have a serious damaging effect on the safety and the safety of
  463. others; and may lead to criminal prosecution.  Such use of drugs either within
  464. or outside Agency controlled facilities is prohibited.
  465.  
  466. Physical Security Policies
  467.  
  468. The physical security program at NSA provides protection for classified
  469. material and operations and ensures that only persons authorized access to the
  470. Agency's spaces and classified material are permitted such access.  This
  471. program is concerned not only with the Agency's physical plant and facilities,
  472. but also with the internal and external procedures for safeguarding the
  473. Agency's classified material and activities.  Therefore, physical security
  474. safeguards include Security Protective Officers, fences, concrete barriers,
  475. access control points, identification badges, safes, and the
  476. compartmentalization of physical spaces.  While any one of these safeguards
  477. represents only a delay factor against attempts to gain unauthorized access to
  478. NSA spaces and material, the total combination of all these safeguards
  479. represents a formidable barrier against physical penetration of NSA.  Working
  480. together with personnel security policies, they provide "security in depth."
  481.  
  482. The physical security program depends on interlocking procedures.  The
  483. responsibility for carrying out many of these procedures rests with the
  484. individual.  This means you, and every person employed by, assign, or detailed
  485. to the Agency, must assume the responsibility for protecting classified
  486. material.  Included in your responsibilities are:  challenging visitors in
  487. operational areas; determining "need-to-know;" limiting classified
  488. conversations to approved areas; following established locking and checking
  489. procedures; properly using the secure and non-secure telephone systems;
  490. correctly wrapping and packaging classified data for transmittal; and placing
  491. classified waste in burn bags.
  492.  
  493. The NSA Badge
  494.  
  495. Even before you enter an NSA facility, you have a constant reminder of
  496. security--the NSA badge.  Every person who enters an NSA installation is
  497. required to wear an authorized badge.  To enter most NSA facilities your badge
  498. must be inserted into an Access Control Terminal at a building entrance and you
  499. must enter your Personal Identification Number (PIN) on the terminal keyboard.
  500. In the absence of an Access Control Terminal, or when passing an internal
  501. security checkpoint, the badge should be held up for viewing by a Security
  502. Protective Officer.  The badge must be displayed at all times while the
  503. individual remains within any NSA installation.
  504.  
  505. NSA Badges must be clipped to a beaded neck chain.  If necessary for the safety
  506. of those working in the area of electrical equipment or machinery, rubber
  507. tubing may be used to insulate the badge chain.  For those Agency personnel
  508. working in proximity to other machinery or equipment, the clip may be used to
  509. attach the badge to the wearer's clothing, but it must also remain attached to
  510. the chain.
  511.  
  512. After you leave an NSA installation, remove your badge from public view, thus
  513. avoiding publicizing your NSA affiliation.  Your badge should be kept in a safe
  514. place which is convenient enough to ensure that you will be reminded to bring it
  515. with you to work.  A good rule of thumb is to afford your badge the same
  516. protection you give your wallet or your credit cards.  DO NOT write your
  517. Personal Identification Number on your badge.
  518.  
  519. If you plan to be away from the Agency for a period of more than 30 days, your
  520. badge should be left at the main Visitor Control Center which services your
  521. facility.
  522.  
  523. Should you lose your badge, you must report the facts and circumstances
  524. immediately to the Security Operations Center (SOC) (963-3371s/688-6911b) so
  525. that your badge PIN can be deactivated in the Access Control Terminals.  In the
  526. event that you forget your badge when reporting for duty, you may obtain a
  527. "non-retention" Temporary Badge at the main Visitor Control Center which serves
  528. your facility after a co-worker personally identifies your and your clearance
  529. has been verified.
  530.  
  531. Your badge is to be used as identification only within NSA facilities or other
  532. government installations where the NSA badge is recognized.  Your badge should
  533. never be used outside of the NSA or other government facilities for the purpose
  534. of personal identification.  You should obtain a Department of Defense
  535. identification card from the Civilian Welfare Fund (CWF) if you need to
  536. identify yourself as a government employee when applying for "government
  537. discounts" offered at various commercial establishments.
  538.  
  539. Your badge color indicates your particular affiliation with NSA and your level
  540. of clearance.  Listed below are explanations of the badge colors you are most
  541. likely to see:
  542.  
  543.         Green (*)       Fully cleared NSA employees and certain military
  544.                         assignees.
  545.  
  546.         Orange (*)      (or Gold) Fully cleared representative of other
  547.                         government agencies.
  548.  
  549.         Black (*)       Fully cleared contractors or consultants.
  550.  
  551.         Blue            Employees who are cleared to the SECRET level while
  552.                         awaiting completion of their processing for full
  553.                         (TS/SI) clearance.  These Limited Interim Clearance
  554.                         (LIC) employees are restricted to certain activities
  555.                         while inside a secure area.
  556.  
  557.         Red             Clearance level is not specified, so assume the holder
  558.                         is uncleared.
  559.  
  560. * - Fully cleared status means that the person has been cleared to the Top
  561. Secret (TS) level and indoctrinated for Special Intelligence (SI).
  562.  
  563. All badges with solid color backgrounds (permanent badges) are kept by
  564. individuals until their NSA employment or assignment ends.  Striped badges
  565. ("non-retention" badges) are generally issued to visitors and are returned to
  566. the Security Protective Officer upon departure from an NSA facility.
  567.  
  568. Area Control
  569.  
  570. Within NSA installations there are generally two types of areas,
  571. Administrative and Secure.  An Administrative Area is one in which storage of
  572. classified information is not authorized, and in which discussions of a
  573. classified nature are forbidden.  This type of area would include the
  574. corridors, restrooms, cafeterias, visitor control areas, credit union, barber
  575. shop, and drugstore.  Since uncleared, non-NSA personnel are often present in
  576. these areas, all Agency personnel must ensure that no classified information is
  577. discussed in an Administrative Area.
  578.  
  579. Classified information being transported within Agency facilities must be
  580. placed within envelopes, folders, briefcases, etc. to ensure that its contents
  581. or classification markings are not disclosed to unauthorized persons, or that
  582. materials are not inadvertently dropped enroute.
  583.  
  584. The normal operational work spaces within an NSA facility are designated Secure
  585. Areas.  These areas are approved for classified discussions and for the storage
  586. of classified material.  Escorts must be provided if it is necessary for
  587. uncleared personnel (repairmen, etc.) to enter Secure Areas, an all personnel
  588. within the areas must be made aware of the presence of uncleared individuals.
  589. All unknown, unescorted visitors to Secure Areas should be immediately
  590. challenged by the personnel within the area, regardless of the visitors'
  591. clearance level (as indicated by their badge color).
  592.  
  593. The corridor doors of these areas must be locked with a deadbolt and all
  594. classified information in the area must be properly secured after normal
  595. working hours or whenever the area is unoccupied.  When storing classified
  596. material, the most sensitive material must be stored in the most secure
  597. containers.  Deadbolt keys for doors to these areas must be returned to the key
  598. desk at the end of the workday.
  599.  
  600. For further information regarding Secure Areas, consult the Physical Security
  601. Division (M51) or your staff Security Officer.
  602.  
  603. Items Treated As Classified
  604.  
  605. For purposes of transportation, storage and destruction, there are certain
  606. types of items which must be treated as classified even though they may not
  607. contain classified information.  Such items include carbon paper, vu-graphs,
  608. punched machine processing cards, punched paper tape, magnetic tape, computer
  609. floppy disks, film, and used typewriter ribbons.  This special treatment is
  610. necessary since a visual examination does not readily reveal whether the items
  611. contain classified information.
  612.  
  613. Prohibited Items
  614.  
  615. Because of the potential security or safety hazards, certain items are
  616. prohibited under normal circumstances from being brought into or removed from
  617. any NSA installation.  These items have been groped into two general classes.
  618. Class I prohibited items are those which constitute a threat to the safety and
  619. security of NSA/CSS personnel and facilities.  Items in this category include:
  620.  
  621.         a.  Firearms and ammunition
  622.         b.  Explosives, incendiary substances, radioactive materials, highly
  623.             volatile materials, or other hazardous materials
  624.         c.  Contraband or other illegal substances
  625.         d.  Personally owned photographic or electronic equipment including
  626.             microcomputers, reproduction or recording devices, televisions or
  627.             radios.
  628.  
  629. Prescribed electronic medical equipment is normally not prohibited, but
  630. requires coordination with the Physical Security Division (M51) prior to being
  631. brought into any NSA building.
  632.  
  633. Class II prohibited items are those owned by the government or contractors
  634. which constitute a threat to physical, technical, or TEMPEST security.
  635. Approval by designated organizational officials is required before these items
  636. can be brought into or removed from NSA facilities.  Examples are:
  637.  
  638.         a.  Transmitting and receiving equipment
  639.         b.  Recording equipment and media
  640.         c.  Telephone equipment and attachments
  641.         d.  Computing devices and terminals
  642.         e.  Photographic equipment and film
  643.  
  644. A more detailed listing of examples of Prohibited Items may be obtained from
  645. your Staff Security Officer or the Physical Security Division (M51).
  646.  
  647. Additionally, you may realize that other seemingly innocuous items are also
  648. restricted and should not be brought into any NSA facility.  Some of these
  649. items pose a technical threat; others must be treated as restricted since a
  650. visual inspection does not readily reveal whether they are classified.  These
  651. items include:
  652.  
  653.         a.  Negatives from processed film; slides; vu-graphs
  654.         b.  Magnetic media such as floppy disks, cassette tapes, and VCR
  655.             videotapes
  656.         c.  Remote control devices for telephone answering machines
  657.         d.  Pagers
  658.  
  659. Exit Inspection
  660.  
  661. As you depart NSA facilities, you will note another physical security
  662. safeguard--the inspection of the materials you are carrying.  This inspection
  663. of your materials, conducted by Security Protective Officers, is designed to
  664. preclude the inadvertent removal of classified material.  It is limited to any
  665. articles that you are carrying out of the facility and may include letters,
  666. briefcases, newspapers, notebooks, magazines, gym bags, and other such items.
  667. Although this practice may involve some inconvenience, it is conducted in your
  668. best interest, as well as being a sound security practice.  The inconvenience
  669. can be considerably reduced if you keep to a minimum the number of personal
  670. articles that you remove from the Agency.
  671.  
  672. Removal Of Material From NSA Spaces
  673.  
  674. The Agency maintains strict controls regarding the removal of material from its
  675. installations, particularly in the case of classified material.
  676.  
  677. Only under a very limited and official circumstances classified material be
  678. removed from Agency spaces.  When deemed necessary, specific authorization is
  679. required to permit an individual to hand carry classified material out of an NSA
  680. building to another Secure Area.  Depending on the material and circumstances
  681. involved, there are several ways to accomplish this.
  682.  
  683. A Courier Badge authorizes the wearer, for official purposes, to transport
  684. classified material, magnetic media, or Class II prohibited items between NSA
  685. facilities.  These badges, which are strictly controlled, are made available by
  686. the Physical Security Division (M51) only to those offices which have specific
  687. requirements justifying their use.
  688.  
  689. An Annual Security Pass may be issued to individuals whose official duties
  690. require that they transport printed classified materials, information storage
  691. media, or Class II prohibited items to secure locations within the local area.
  692. Materials carried by an individual who displays this pass are subject to spot
  693. inspection by Security Protective Officers or other personnel from the Office
  694. of Security.  It is not permissible to use an Annual Security Pass for personal
  695. convenience to circumvent inspection of your personal property by perimeter
  696. Security Protective Officers.
  697.  
  698. If you do not have access to a Courier Badge and you have not been issued an
  699. Annual Security Pass, you may obtain a One-Time Security Pass to remove
  700. classified materials/magnetic media or admit or remove prohibited items from an
  701. NSA installation.  These passes may be obtained from designated personnel
  702. in your work element who have been given authority to issue them.  The issuing
  703. official must also contact the Security Operations Center (SOC) to obtain
  704. approval for the admission or removal of a Class I prohibited item.
  705.  
  706. When there is an official need to remove government property which is not
  707. magnetic media, or a prohibited or classified item, a One-Time Property Pass is
  708. used.  This type of pass (which is not a Security Pass) may be obtained from
  709. your element custodial property officer.  A Property Pass is also to be used
  710. when an individual is removing personal property which might be reasonably be
  711. mistaken for unclassified Government property.  This pass is surrendered to the
  712. Security Protective Officer at the post where the material is being removed.
  713. Use of this pass does not preclude inspection of the item at the perimeter
  714. control point by the Security Protective Officer or Security professionals to
  715. ensure that the pass is being used correctly.
  716.  
  717. External Protection Of Classified Information
  718.  
  719. On those occasions when an individual must personally transport classified
  720. material between locations outside of NSA facilities, the individual who is
  721. acting as the courier must ensure that the material receives adequate
  722. protection. Protective measures must include double wrapping and packaging of
  723. classified information, keeping the material under constant control, ensuring
  724. the presence of a second appropriately cleared person when necessary, and
  725. delivering the material to authorized persons only.  If you are designated as a
  726. courier outside the local area, contact the Security Awareness Division (M56)
  727. for your courier briefing.
  728.  
  729. Even more basic than these procedures is the individual security responsibility
  730. to confine classified conversations to secure areas.  Your home, car pool, and
  731. public places are not authorized areas to conduct classified discussions--even
  732. if everyone involved in he discussion possesses a proper clearance and
  733. "need-to-know."  The possibility that a conversation could be overheard by
  734. unauthorized persons dictates the need to guard against classified discussions
  735. in non-secure areas.
  736.  
  737. Classified information acquired during the course of your career or assignment
  738. to NSA may not be mentioned directly, indirectly, or by suggestion in personal
  739. diaries, records, or memoirs.
  740.  
  741. Reporting Loss Or Disclosure Of Classified Information
  742.  
  743. The extraordinary sensitivity of the NSA mission requires the prompt reporting
  744. of any known, suspected, or possible unauthorized disclosure of classified
  745. information, or the discovery that classified information may be lost, or is not
  746. being afforded proper protection.  Any information coming to your attention
  747. concerning the loss or unauthorized disclosure of classified information should
  748. be reported immediately to your supervisor, your Staff Security Officer, or the
  749. Security Operations Center (SOC).
  750.  
  751. Use Of Secure And Non-Secure Telephones
  752.  
  753. Two separate telephone systems have been installed in NSA facilities for use in
  754. the conduct of official Agency business:  the secure telephone system (gray
  755. telephone) and the outside, non-secure telephone system (black telephone).  All
  756. NSA personnel must ensure that use of either telephone system does not
  757. jeopardize the security of classified information.
  758.  
  759. The secure telephone system is authorized for discussion of classified
  760. information.  Personnel receiving calls on the secure telephone may assume that
  761. the caller is authorized to use the system.  However, you must ensure that the
  762. caller has a "need-to-know" the information you will be discussing.
  763.  
  764. The outside telephone system is only authorized for unclassified official
  765. Agency business calls.  The discussion of classified information is not
  766. permitted on this system.  Do not attempt to use "double-talk" in order to
  767. discuss classified information over the non-secure telephone system.
  768.  
  769. In order to guard against the inadvertent transmission of classified
  770. information over a non-secure telephone, and individual using the black
  771. telephone in an area where classified activities are being conducted must
  772. caution other personnel in the area that the non-secure telephone is in use.
  773. Likewise, you should avoid using the non-secure telephone in the vicinity of a
  774. secure telephone which is also in use.
  775.  
  776. HELPFUL INFORMATION
  777.  
  778. Security Resources
  779.  
  780. In the fulfillment of your security responsibilities, you should be aware that
  781. there are many resources available to assist you.  If you have any questions or
  782. concerns regarding security at NSA or your individual security
  783. responsibilities, your supervisor should be consulted.  Additionally, Staff
  784. Security Officers are appointed to the designated Agency elements to assist
  785. these organizations in carrying out their security responsibilities.  There is
  786. a Staff Security Officer assigned to each organization; their phone numbers are
  787. listed at the back of this handbook.  Staff Security Officers also provide
  788. guidance to and monitor the activities of Security Coordinators and Advisors
  789. (individuals who, in addition to their operational duties within their
  790. respective elements, assist element supervisors or managers in discharging
  791. security responsibilities).
  792.  
  793. Within the Office of Security, the Physical Security Division (M51) will offer
  794. you assistance in matters such as access control, security passes, clearance
  795. verification, combination locks, keys, identification badges, technical
  796. security, and the Security Protective Force.  The Security Awareness Division
  797. (M56) provides security guidance and briefings regarding unofficial foreign
  798. travel, couriers, special access, TDY/PCS, and amateur radio activities.  The
  799. Industrial and Field Security Division (M52) is available to provide security
  800. guidance concerning NSA contractor and field site matters.
  801.  
  802. The Security Operations Center (SOC) is operated by two Security Duty Officers
  803. (SDOs), 24 hours a day, 7 days a week.  The SDO, representing the Office of
  804. Security, provides a complete range of security services to include direct
  805. communications with fire and rescue personnel for all Agency area facilities.
  806. The SDO is available to handle any physical or personnel problems that may
  807. arise, and if necessary, can direct your to the appropriate security office
  808. that can assist you.  After normal business hours, weekends, and holidays, the
  809. SOC is the focal point for all security matters for all Agency personnel and
  810. facilities (to include Agency field sites and contractors).  The SOC is located
  811. in Room 2A0120, OPS 2A building and the phone numbers are 688-6911(b),
  812. 963-3371(s).
  813.  
  814. However, keep in mind that you may contact any individual or any division
  815. within the Office of Security directly.  Do not hesitate to report any
  816. information which may affect the security of the Agency's mission, information,
  817. facilities or personnel.
  818.  
  819. Security-Related Services
  820.  
  821. In addition to Office of Security resources, there are a number of
  822. professional, security-related services available for assistance in answering
  823. your questions or providing the services which you require.
  824.  
  825. The Installations and Logistics Organization (L) maintains the system for the
  826. collection and destruction of classified waste, and is also responsible for the
  827. movement and scheduling of material via NSA couriers and the Defense Courier
  828. Service (DCS).  Additionally, L monitors the proper addressing, marking, and
  829. packaging of classified material being transmitted outside of NSA; maintains
  830. records pertaining to receipt and transmission of controlled mail; and issues
  831. property passes for the removal of unclassified property.
  832.  
  833. The NSA Office of Medical Services (M7) has a staff of physicians, clinical
  834. psychologists and an alcoholism counselor.  All are well trained to help
  835. individuals help themselves in dealing with their problems.  Counseling
  836. services, with referrals to private mental health professionals when
  837. appropriate, are all available to NSA personnel.  Appointments can be obtained
  838. by contacting M7 directly.  When an individual refers himself/herself, the
  839. information discussed in the counseling sessions is regarded as privileged
  840. medical information and is retained exclusively in M7 unless it pertains to the
  841. national security.
  842.  
  843. Counselling interviews are conducted by the Office of Civilian Personnel (M3)
  844. with any civilian employee regarding both on and off-the-job problems.  M3 is
  845. also available to assist all personnel with the personal problems seriously
  846. affecting themselves or members of their families.  In cases of serious
  847. physical or emotional illness, injury, hospitalization, or other personal
  848. emergencies, M3 informs concerned Agency elements and maintains liaison with
  849. family members in order to provide possible assistance.  Similar counselling
  850. services are available to military assignees through Military Personnel (M2).
  851.  
  852. GUIDE TO SECURITY
  853.  
  854. M51 PHYSICAL SECURITY 963-6651s/688-8293b (FMHQ)
  855. 968-8101s/859-6411b (FANX)
  856.  
  857. CONFIRM and badges              Prohibited Items
  858. (963-6611s/688-7411b)
  859. Locks, keys, safes and alarms   SOC (963-3371s/688-6911b)
  860. Security/vehicle passes         NSA facility protection and compliance
  861. Visitor Control
  862. Inspections
  863. Red/blue seal areas             New Construction
  864. Pass Clearances (963-4780s/688-6759b)
  865.  
  866. M52 INDUSTRIAL AND FIELD SECURITY
  867. 982-7918s/859-6255b
  868.  
  869. Security at contractor field site facilities
  870. Verification of classified mailing addresses for contractor facilities
  871.  
  872. M53 INVESTIGATIONS 982-7914s/859-6464b
  873.  
  874. Personnel Interview Program (PIP)       Reinvestigations
  875. Military Interview Program (MIP)        Special investigations
  876.  
  877. M54 COUNTERINTELLIGENCE 982-7832s/859-6424b
  878.  
  879. Security counterintelligence analysis   Security compromises
  880.  
  881. M55 CLEARANCES 982-7900s/859-4747b
  882.  
  883. Privacy Act Officer (For review of security files)      Continued SCI access
  884. Contractor/applicant processing                         Military access
  885.  
  886. M56 SECURITY AWARENESS 963-3273s/688-6535b
  887.  
  888. Security indoctrinations/debriefings            Embassy visits
  889. Associations with foreign nationals             Briefings (foreign travel,
  890. Security Week                                     ham radio, courier,
  891. Security posters, brochures, etc.                 LIC, PCS, TDY,
  892.                                                   special access, etc.)
  893. Foreign travel approval
  894. Military contractor orientation
  895. Special Access Office (963-5466s/688-6353b)
  896.  
  897. M57 POLYGRAPH 982-7844s/859-6363b
  898.  
  899. Polygraph interviews
  900.  
  901. M509 MANAGEMENT AND POLICY STAFF 982-7885s/859-6350b
  902.  
  903. STAFF SECURITY OFFICERS (SSOs)
  904.  
  905. Element                 Room            Secure/Non-Secure
  906. A                       2A0852B         963-4650/688-7044
  907. B                       3W099           963-4559/688-7141
  908. D/Q/J/N/U               2B8066G         963-4496/688-6614
  909. E/M                     D3B17           968-8050/859-6669
  910. G                       9A195           963-5033/688-7902
  911. K                       2B5136          963-1978/688-5052
  912. L                       SAB4            977-7230/688-6194
  913. P                       2W091           963-5302/688-7303
  914. R                       B6B710          968-4073/859-4736
  915. S/V/Y/C/X               C2A55           972-2144/688-7549
  916. T                       2B5040          963-4543/688-7364
  917. W                       1C181           963-5970/688-7061
  918.  
  919. GUIDE TO SECURITY-RELATED SERVICES
  920.  
  921. Agency Anonymity                         968-8251/859-4381
  922. Alcohol Rehabilitation Program          963-5420/688-7312
  923. Cipher Lock Repair                      963-1221/688-7119
  924. Courier Schedules (local)               977-7197/688-7403
  925. Defense Courier Service                 977-7117/688-7826
  926. Disposal of Classified Waste
  927.         - Paper only                    972-2150/688-6593
  928.         - Plastics, Metal, Film, etc    963-4103/688-7062
  929. Locksmith                               963-3585/688-7233
  930. Mail Dissemination and Packaging        977-7117/688-7826
  931. Medical Center (Fort Meade)             963-5429/688-7263
  932.         (FANX)                          968-8960/859-6667
  933.         (Airport Square)                982-7800/859-6155
  934. NSA/CSS Information Policy Division     963-5825/688-6527
  935. Personnel Assistance
  936.         - Civilian                      982-7835/859-6577
  937.         - Air Force                     963-3239/688-7980
  938.         - Army                          963-3739/688-6393
  939.         - Navy                          963-3439/688-7325
  940. Property Passes (unclassified material) 977-7263/688-7800
  941. Psychological Services                  963-5429/688-7311
  942.  
  943. FREQUENTLY USED ACRONYMS/DESIGNATORS
  944.  
  945. ARFCOS  Armed Forces Courier Service (now known as DCS)
  946. AWOL    Absent Without Leave
  947. CAO     Classification Advisory Officer
  948. COB     Close of Business
  949. CWF     Civilian Welfare Fund
  950. DCS     Defense Courier Service (formerly known as ARFCOS)
  951. DoD     Department of Defense
  952. EOD     Enter on Duty
  953. FOUO    For Official Use Only
  954. M2      Office of Military Personnel
  955. M3      Office of Civilian Personnel
  956. M5      Office of Security
  957. M7      Office of Medical Services
  958. NCS     National Cryptologic School
  959. PCS     Permanent Change of Station
  960. PIN     Personal Identification Number
  961. Q43     Information Policy Division
  962. SDO     Security Duty Officer
  963. SOC     Security Operations Center
  964. SPO     Security Protective Officer
  965. SSO     Staff Security Officer
  966. TDY     Temporary Duty
  967. UFT     Unofficial Foreign Travel
  968.  
  969. A FINAL NOTE
  970.  
  971. The information you have just read is designed to serve as a guide to assist
  972. you in the conduct of your security responsibilities.  However, it by no means
  973. describes the extent of your obligation to protect information vital to the
  974. defense of our nation.  Your knowledge of specific security regulations is part
  975. of a continuing process of education and experience.  This handbook is designed
  976. to provide he foundation of this knowledge and serve as a guide to the
  977. development of an attitude of security awareness.
  978.  
  979. In the final analysis, security is an individual responsibility.  As a
  980. participant in the activities of the National Security Agency organization, you
  981. are urged to be always mindful of the importance of the work being accomplished
  982. by NSA and of the unique sensitivity of the Agency's operations.
  983.  
  984.