home *** CD-ROM | disk | FTP | other *** search
/ Hacker Chronicles 1 / HACKER1.ISO / network / nia20 < prev    next >
Text File  |  1992-09-26  |  22KB  |  480 lines

  1.  ZDDDDDDDDDDDDDDDDDD? IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; ZDDDDDDDDDDDDDDDDDD?
  2.  3   Founded By:    3 :  Network Information Access   : 3   Founded By:    3
  3.  3 Guardian Of Time CD6            17APR90            GD4   Judge Dredd    3
  4.  @DDDDDDDDBDDDDDDDDDY :          Judge Dredd          : @DDDDDDDDDBDDDDDDDDY
  5.           3           :            File 20            :           3
  6.           3           HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<           3
  7.           3      IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;    3
  8.           @DDDDDD6 Executive Guide/Protection Of Information GDDDDY
  9.                  HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  10.  
  11. Federal agencies are becoming increasingly
  12. dependent upon automated information systems to carry out their
  13. missions.  While in the past, executives have taken a hands-off
  14. approach in dealing with these resources, essentially leaving the
  15. area to the computer technologist, they are now recognizing that
  16. computers and computer-related problems must be understood and
  17. managed, the same as any other resource.
  18.  
  19. $_The success of an information resources protection
  20.  
  21. program depends on the policy generated, and on the attitude of
  22. management toward securing information on automated systems.
  23. You, the policy maker, set the tone and the emphasis on how
  24. important a role information security will have within your
  25. agency.  Your primary responsibility is to set the information
  26. resource security policy for the organization with the objectives
  27. of reduced risk, compliance with laws and regulations and
  28. assurance of operational continuity, information integrity, and
  29. confidentiality.
  30.  
  31. $_Purpose of this Guide
  32.  
  33. This guide is designed to help you, the policy
  34. maker, address a host of questions regarding the protection and
  35. safety of computer systems and data processed within your agency.
  36. It introduces information systems security concerns, outlines the
  37. management issues that must be addressed by agency policies and
  38. programs, and describes essential components of an effective
  39. implementation process.
  40.  
  41. $_The Risks
  42.  
  43. The proliferation of personal computers,
  44. local-area networks, and distributed processing has drastically
  45. changed the way we manage and control information resources.
  46. Internal controls and control points that were present in the
  47. past when we were dealing with manual or batch processes have not
  48. always been replaced with comparable controls in many of today's
  49. automated systems.  Reliance upon inadequately controlled
  50. information systems can have serious consequences, including:
  51.  
  52. Inability or impairment of the agency's ability to
  53. perform its mission
  54.  
  55. Inability to provide needed services to the public
  56.  
  57. Waste, loss, misuse, or misappropriation of funds
  58.  
  59. Loss of credibility or embarrassment to an agency
  60.  
  61. To avoid these consequences, a broad set of
  62. information security issues must be addressed effectively and
  63. comprehensively. Towards this end, executives should take a
  64. traditional risk management approach, recognizing that risks are
  65. taken in the day-to-day management of an organization, and that
  66. there are alternatives to consider in managing these risks. Risk
  67. is accepted as part of doing business or is reduced or eliminated
  68. by modifying operations or by employing control mechanisms.
  69.  
  70. $_Executive Responsibilities
  71.  
  72. Set the Security Policy of the Organization
  73. Protecting information resources is an important goal for all
  74. organizations.   This goal is met by establishing an
  75. information resource security program.  It will require staff,
  76. funding and positive incentives to motivate employees to
  77. participate in a program to protect these valuable assets.
  78. This information resource protection policy should
  79. state precisely:
  80.  
  81. the value to the agency of data and information
  82. resources and the need to preserve their integrity, availability,
  83. and confidentiality
  84.  
  85. the intent of the organization to protect the resources
  86. from accidental or deliberate unauthorized disclosure,
  87. modification, or destruction by employing cost-effective controls
  88.  
  89. the assignment of responsibility for data security
  90. throughout the organization
  91.  
  92. the requirement to provide computer security and
  93. awareness training to all employees having access to information
  94. resources
  95.  
  96. the intent to hold employees personally accountable for
  97. information resources entrusted to them
  98.  
  99. the requirement to monitor and assess data security via
  100. internal and external audit procedures
  101.  
  102. the penalties for not adhering to the policy
  103.  
  104. $_Executive Goals
  105.  
  106. The policy established for securing information
  107. resources should meet the basic goals of reducing the risk,
  108. complying with applicable laws and regulations, and assuring
  109. operational continuity, integrity and confidentiality.  This
  110. section briefly describes these objectives and how they can be
  111. met.
  112.  
  113. $_Reduce Risk To An Acceptable Level
  114.  
  115. The dollars spent for security measures to control
  116. or contain losses should never be more than the projected dollar
  117. loss if something adverse happened to the information resource.
  118. Cost-effective security results when reduction in risk is
  119. balanced with the cost of implementing safeguards.  The greater
  120. the value of information processed, or the more severe the
  121. consequences if something  happens to it, the greater the need
  122. for control measures to protect it.  It is important that these
  123. trade-offs of cost versus risk reduction be explicitly
  124. considered, and that executives understand the degree of risk
  125. remaining after selected controls are implemented.
  126.  
  127. $_Assure Operational Continuity
  128.  
  129. With ever-increasing demands for timely
  130. information and greater volumes of information being processed,
  131. availability of essential systems, networks, and data is a major
  132. protection issue.  In some cases, service disruptions of just a
  133. few hours are unacceptable.  Agency reliance on essential
  134. computer systems requires that advance planning be done to allow
  135. timely restoration of processing capabilities in the event of
  136. severe service disruption. The impact due to inability to process
  137. data should be assessed, and action taken to assure availability
  138. of those systems considered essential to agency operation.
  139.  
  140. $_Comply with Applicable Laws and Regulations
  141.  
  142. As the pervasiveness of computer systems increases
  143. and the risks and vulnerabilities associated with information
  144. systems become better understood, the body of law and regulations
  145. compelling positive action to protect information resources
  146. grows. OMB Circular No. A-130, "Management of Federal Information
  147. systems," and Public Law 100-235, "Computer Security Act of 1987"
  148. are two documents where the knowledge of these laws provide a
  149. baseline for an information resources security program.
  150.  
  151. $_Assure Integrity and Confidentiality
  152.  
  153. An important objective of an information resource
  154. management program is to ensure that the information is accurate.
  155. Integrity of information means you can trust the data and the
  156. processes that manipulate it.  A system has integrity when it
  157. provides sufficient accuracy and completeness to meet the needs
  158. of the user(s).  It should be properly designed to automate all
  159. functional requirements, include appropriate accounting and
  160. integrity controls, and accommodate the full range of potential
  161. conditions that might be encountered in its operation.
  162.  
  163. Agency information should also be protected from
  164. intruders, as well as from employees with authorized computer
  165. access privileges who attempt to perform unauthorized actions.
  166. Assured confidentiality of sensitive data is
  167. often, but not always, a requirement of agency systems.  Privacy
  168. requirements for personal information are generally dictated by
  169. statute, while protection requirements for other agency
  170. information are a function of the nature of that information.
  171. Determination of requirements in the latter case is made by the
  172. official responsible for that information.  The impact of
  173. wrongful disclosure should be considered in understanding
  174. confidentiality requirements.
  175.  
  176. $_Information Protection Program Elements
  177.  
  178. $_Need for Policies and Procedures
  179.  
  180. Successful execution of the responsibilities previously outlined
  181. requires establishing agency policies and practices regarding
  182. information protection.  The security policy
  183. directive facilitates consistent protection of information
  184. resources.  Supporting procedures are most effectively
  185. implemented with top management support, through a program
  186. focused on areas of highest risk.  A compliance assessment
  187. process ensures ongoing effectiveness of the information
  188. protection program throughout the agency.
  189.  
  190. $_Scope
  191.  
  192. Although the protection of automated information
  193. resources is emphasized in this publication, protection
  194. requirements will usually extend to information on all forms of
  195. media.  Agency programs should apply safeguards to all
  196. information requiring protection, regardless of its form or
  197. location.  Comprehensive information resource protection
  198. procedures will address: accountability for information,
  199. vulnerability assessment, data access, hardware/software control,
  200. systems development, and operational controls.  Protection should
  201. be afforded throughout the life cycle of information, from
  202. creation through ultimate disposition.
  203. Accountability for Information
  204. An effective information resource protection
  205. program identifies the information used by the agency and assigns
  206. primary responsibility for information protection to the managers
  207. of the respective functional areas supported by the data.  These
  208. managers know the importance of the data to the organization and
  209. are able to quantify the economic consequences of undesirable
  210. happenings.  They are also able to detect deficiencies in data
  211. and know definitively who must have access to the data supporting
  212. their operations. A fundamental information protection issue is
  213. assignment of accountability.  Information flows throughout the
  214. organization and can be shared by many individuals.  This tends
  215. to blur accountability and disperse decision-making regarding
  216. information protection.  Accountability should be explicitly
  217. assigned for determining and monitoring security for appropriate
  218. agency information.
  219.  
  220. When security violations occur, management must be
  221. accountable for responding and investigating.  Security
  222. violations should trigger a re-evaluation of access
  223. authorizations, protection decisions, and control techniques.
  224. All apparent violations should be resolved; since absolute
  225. protection will never be achieved, some losses are inevitable.
  226. It is important, however, that the degree of risk assumed be
  227. commensurate with the sensitivity or importance of the
  228. information resource to be protected.
  229.  
  230. $_Vulnerability Assessment
  231.  
  232. A risk assessment program ensures management that
  233. periodic reviews of information resources have considered the
  234. degree of vulnerability to threats causing destruction,
  235. modification, disclosure, and delay of information availability,
  236. in making protection decisions and investments in safeguards.
  237. The official responsible for a specific
  238. information resource determines protection requirements.
  239. Less-sensitive, less-essential information will require minimal
  240. safeguards, while highly sensitive or critical information might
  241. merit strict protective measures.  Assessment of vulnerability is
  242. essential in specifying cost-effective safeguards; overprotection
  243. can be needlessly costly and add unacceptable operational
  244. overhead.
  245.  
  246. Once cost-effective safeguards are selected,
  247. residual risk remains and is accepted by management.  Risk status
  248. should be periodically re-examined to identify new threats,
  249. vulnerabilities, or other changes that affect the degree of risk
  250. that management has previously accepted.
  251.  
  252. $_Data Access
  253.  
  254. Access to information should be delegated
  255. according to the principles of need-to-know and least possible
  256. privilege.  For a multi-user application system, only individuals
  257. with authorized need to view or use data are granted access
  258. authority, and they are allowed only the minimum privileges
  259. needed to carry out their duties.  For personal computers with
  260. one operator, data should be protected from unauthorized viewing
  261. or use.  It is the individual's responsibility to ensure that the
  262. data is secure.
  263.  
  264. $_Systems Development
  265.  
  266. All information systems software should be
  267. developed in a controlled and systematic manner according to
  268. agency standards.  Agency policy should require that appropriate
  269. controls for accuracy, security, and availability are identified
  270. during system design, approved by the responsible official, and
  271. implemented.  Users who design their own systems, whether on a
  272. personal computer or on a mainframe, must adhere to the systems
  273. development requirements.
  274.  
  275. Systems should be thoroughly tested according to
  276. accepted standards and moved into a secure production environment
  277. through a controlled process.  Adequate documentation should be
  278. considered an integral part of the information system and be
  279. completed before the system can be considered ready for use.
  280.  
  281. $_Hardware/Software Configuration Control
  282.  
  283. Protection of hardware and resources of computer
  284. systems and networks greatly contributes to the overall level of
  285. control and protection of information.  The information
  286. protection policies should provide substantial direction
  287. concerning the management and control of computer hardware and
  288. software.
  289.  
  290. Agency information should be protected from the
  291. potentially destructive impact of unauthorized hardware and
  292. software.  For example, software "viruses" have been inserted
  293. into computers through games and apparently useful software
  294. acquired via public access bulletin boards; viruses can spread
  295. from system to system before being detected.  Also, unauthorized
  296. hardware additions to personal computers can introduce unknown
  297. dial-in access paths.  Accurate records of hardware/software
  298. inventory, configurations, and locations should be maintained,
  299. and control mechanisms should provide assurance that unauthorized
  300. changes have not occurred.
  301.  
  302. To avoid legal liability, no unauthorized copying
  303. of software should be permitted.  Agencies should also address
  304. the issue of personal use of Federal computer systems, giving
  305. employees specific direction about allowable use and providing
  306. consistent enforcement.
  307.  
  308. $_Operational Controls
  309. Agency standards should clearly communicate
  310. minimum expected controls to be present in all computer
  311. facilities, computer operations, input/output handling, network
  312. management, technical support, and user liaison.  More stringent
  313. controls would apply to those areas that process very sensitive
  314. or critical information.
  315.  
  316. Protection of these areas would include:
  317. Security management;
  318. Physical security;
  319. Security of system/application software and data;
  320. Network security; and
  321. Contingency planning.
  322.  
  323. The final section of this guide describes the
  324. organizational process of developing, implementing, and managing
  325. the ongoing information protection program.
  326.  
  327. $_Information Protection Program Implementation
  328.  
  329. $_Information Protection Management
  330.  
  331. In most cases, agency executive management is not
  332. directly involved in the details of achieving a controlled
  333. information processing environment.  Instead, executive action
  334. should focus on effective planning, implementation, and an
  335. ongoing review structure.  Usually, an explicit group or
  336. organization is assigned specific responsibility for providing
  337. day-to-day guidance and direction of this process.  Within this
  338. group an information security manager (ISM) should be identified
  339. as a permanent focal point for information protection issues
  340. within the agency.
  341.  
  342. The ISM must be thoroughly familiar with the
  343. agency mission, organization, and operation.  The manager should
  344. have sufficient authority to influence the organization and have
  345. access to agency executives when issues require escalation.
  346.  
  347. $_Independence
  348.  
  349. In determining the reporting relationship of the
  350. ISM, independence of functional areas within the agency is
  351. desirable.  Plans and budget for the ISM function should be
  352. approved by agency management, rather than being part of any
  353. functional area budget.  This approach avoids conflicts of
  354. interest and facilitates development and maintenance of a
  355. comprehensive and consistent protection program that serves the
  356. needs of agency management.
  357. Degree of Centralization
  358.  
  359. The desirability of centralized versus
  360. decentralized security is heavily debated and largely depends on
  361. size, organizational structure, and management approach at the
  362. individual agency.  A centralized approach to security has the
  363. advantages of being directly responsive to executive direction
  364. and specifically accountable for progress and status.
  365.  A decentralized approach to security has the
  366. advantages of being close to the functional area involved.  In
  367. the long term, decentralization may provide better integration of
  368. security with other entity functions.
  369.  
  370. An effective combined approach offers advantages.
  371. A small dedicated resource at the agency level can direct the
  372. information protection program, while additional resources are
  373. utilized at the functional area level to implement the program in
  374. each area.
  375.  
  376. $_Dedicated Staff
  377.  
  378. The common practice of assigning responsibility
  379. for information security to existing staff with other major
  380. responsibilities is often unsuccessful.  At least one dedicated
  381. staff member is recommended at the program management level.
  382. The need for additional full-time resources depends on the
  383. agency's computer environment.  The number of information
  384. systems, their technical complexity, the degree of
  385. networking, the importance of information processed, adequacy of
  386. existing controls, and extent of agency dependence on information
  387. systems affect the resources needed.
  388.  
  389. $_Implementation Stages
  390.  
  391. Development of a comprehensive information
  392. protection program that is practiced and observed widely
  393. throughout a Federal agency occurs in stages and requires ongoing
  394. monitoring and maintenance to remain viable.
  395.  
  396. First, organizational requirements for information
  397. protection are identified.  Different agencies have varying
  398. levels of need for security, and the information protection
  399. program should be structured to most effectively meet those
  400. needs.
  401.  
  402. Next, organizational policies are developed that
  403. provide a security architecture for agency operations, taking
  404. into consideration the information protection program elements
  405. discussed in the previous section of this guide.  The policies
  406. undergo normal review procedures, then are approved by agency
  407. management for implementation.
  408.  
  409. Activities are then initiated to bring the agency
  410. into compliance with the policies.  Depending on the degree of
  411. centralization, this might require development of further plans
  412. and budgets within functional entities of the agency to implement
  413. the necessary logical and physical controls.
  414.  
  415. $_Training
  416.  
  417. Training is a major activity in the implementation
  418. process.  Security violations are the result of human action, and
  419. problems can usually be identified in their earliest stages by
  420. people.  Developing and maintaining personnel awareness of
  421. information security issues can yield large benefits in
  422. prevention and early detection of problems and losses.
  423.  
  424. Target audiences for this training are executives
  425. and policy makers, program and functional managers, IRM security
  426. and audit personnel, computer management and operations, and end
  427. users. Training can be delivered through existing policy and
  428. procedures manuals, written materials, presentations and classes,
  429. and audio-visual training programs.
  430.  
  431. The training provided should create an awareness
  432. of risks and the importance of safeguards, underscoring the
  433. specific responsibilities of each of the individuals being
  434. trained.
  435.  
  436. $_Monitoring and Enforcement
  437.  
  438. An ongoing monitoring and enforcement program
  439. assures continued effectiveness of information protection
  440. measures.  Compliance may be measured in a number of ways,
  441. including audits, management reviews or self-assessments,
  442. surveys, and other informal indicators.  A combination of
  443. monitoring mechanisms provides greater reliability of results.
  444.  
  445. Variances from policy requirements should be
  446. accepted only in cases where the responsible official has
  447. evaluated, documented, and accepted the risk of noncompliance.
  448. Enforcement of agency policies and practices is important to the
  449. overall success of an information protection program.
  450. Inconsistent or lax enforcement quickly results in deterioration
  451. of internal controls over information resources.
  452.  
  453. A positive benefit of an effective monitoring and
  454. enforcement process is an increased understanding of the degree
  455. of information-related risk in agency operations.  Without such a
  456. feedback process, management unknowingly accepts too much risk.
  457. An effective information protection program allows the agency to
  458. continue to rely upon and expand the use of information
  459. technology while maintaining an acceptable level of risk.
  460.  
  461. $_Maintenance
  462.  
  463. As agency initiatives and operations change, and
  464. as the computer environment evolves, some elements of the
  465. information protection program will require change as well.
  466. Information protection cannot be viewed as a project with a
  467. distinct end; rather, it is a process that should be maintained
  468. to be realistic and useful to the agency.  Procedures for review
  469. and update of policies and other program elements should be
  470. developed and followed.
  471.  
  472. -JUDGE DREDD/NIA
  473.  
  474. [OTHER WORLD BBS]
  475.  
  476.  
  477.  
  478.  
  479. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  480.