home *** CD-ROM | disk | FTP | other *** search
/ 2,000 Greater & Lesser Mysteries / 2,000 Greater and Lesser Mysteries.iso / security / mys01893.txt < prev    next >
Encoding:
Text File  |  1994-06-10  |  23.9 KB  |  507 lines
  1. Management Guide to the Protection of Information 
  2. Resources 
  3.   
  4. National Institute of Standards and Technology 
  5. The National Institute of Standards and Technology (NIST), is
  6. responsible for developing standards, providing technical
  7. assistance, and conducting research for computers and related
  8. systems.  These activities provide technical support to
  9. government and industry in the effective, safe, and 
  10. economical use of computers.  With the passage of the Computer
  11. Security Act of 1987 (P.L. 100-235), NIST's activities also
  12. include the development of standards and guidelines needed to
  13. assure the cost-effective security and privacy of sensitive
  14. information in Federal computer systems.  This guide represents
  15. one activity towards the protection and management of sensitive
  16. information resources. 
  17.   
  18. Acknowledgments 
  19. This guide was written by Cheryl Helsing of Deloitte, Haskins &
  20. Sells in conjunction with Marianne Swanson and Mary Anne Todd,
  21. National Institute of Standards and Technology.  
  22.  
  23. Executive Summary 
  24. Today computers are integral to all aspects of operations within
  25. an organization. As Federal agencies are becoming critically
  26. dependent upon computer information systems to carry out their
  27. missions, the agency executives (policy makers) are recognizing
  28. that computers and computer-related problems must be understood
  29. and managed, the same as any other resource. They are beginning
  30. to understand the importance of setting policies, goals, and
  31. standards for protection of data, information, and computer
  32. resources, and are committing resources for information security
  33. programs. They are also learning that primary responsibility for
  34. data security must rest with the managers of the functional areas
  35. supported by the data.  
  36.  
  37. All managers who use any type of automated information resource
  38. system must become familiar with their agency's policies and
  39. procedures for protecting the information which is processed and
  40. stored within them. Adequately secure systems deter, prevent, or
  41. detect unauthorized disclosure, modification, or use of
  42. information.  Agency information requires protection from
  43. intruders, as well as from employees with authorized computer
  44. access privileges who attempt to perform unauthorized actions.
  45. Protection is achieved not only by technical, physical and
  46. personnel safeguards, but also by clearly articulating and
  47. implementing agency policy regarding authorized system use to
  48. information users and processing personnel at all levels.  This
  49. guide is one of three brochures that have been designed for a
  50. specific audience.  The "Executive Guide to the Protection of
  51. Information Resources" and the "Computer User's Guide to the
  52. Protection of Information Resources" complete the series. 
  53.  
  54. Table of Contents 
  55.   
  56.  Executive Summary    iv 
  57.  Introduction    1 
  58.  Purpose of Guide 1 
  59.  The Risks   1 
  60.  Responsibilities 2 
  61.  Information Systems Development     5 
  62.  Control Decisions     5 
  63.  Security Principles   5 
  64.  Access Decisions  7 
  65.  Systems Development Process     7 
  66.  Computer Facility Management   9 
  67.  Physical Security     9 
  68.  Data Security    11 
  69.  Monitoring and Review  11 
  70.  Personnel Management 13 
  71.  Personnel Security    13 
  72.  Training    14 
  73.  For Additional Information     15 
  74.   
  75.  Introduction 
  76.  
  77.  Purpose of this Guide 
  78.  This guide introduces information systems security concerns and
  79. outlines the issues that must be addressed by all agency managers
  80. in meeting their responsibilities to protect information systems
  81. within their organizations. It describes essential components of
  82. an effective information resource protection process that applies
  83. to a stand alone personal computer or to a large data processing
  84. facility.  
  85.  
  86. The Risks 
  87. Effort is required by every Federal agency to safeguard
  88. information resources and to reduce risks to a prudent level. 
  89. The spread of computing power to individual employees via
  90. personal computers, local-area networks, and distributed
  91. processing has drastically changed the way we manage and control
  92. information resources. Internal controls and control points that
  93. were present in the past when we were dealing with manual or
  94. batch processes have not been established in many of today's
  95. automated systems. Reliance upon inadequately controlled computer
  96. systems can have serious consequences, including: 
  97.  
  98. Inability or impairment of the agency's ability to perform its
  99. mission 
  100.  
  101. Inability to provide needed services to the public 
  102.  
  103. Waste, loss, misuse, or misappropriation of funds 
  104.  
  105. Loss of credibility or embarrassment to an agency 
  106.  
  107. To avoid these consequences, a broad set of information security
  108. issues must be effectively and comprehensively addressed. 
  109. Responsibilities 
  110. All functional managers have a responsibility to implement the
  111. policies and goals established by executive management for
  112. protection of automated information resources (data, processes,
  113. facilities, equipment, personnel, and information). Managers in
  114. all areas of an organization are clearly accountable for the
  115. protection of any of these resources assigned to them to enable
  116. them to perform their duties. They are responsible for
  117. developing, administering, monitoring, and enforcing internal
  118. controls, including security controls, within their assigned
  119. areas of authority. Each manager's specific responsibilities will
  120. vary, depending on the role that manager has with regard to
  121. computer systems.  
  122.  
  123. Portions of this document provide more detailed information on
  124. the respective security responsibilities of managers of computer
  125. resources, managers responsible for information systems
  126. applications and the personnel security issues involved. 
  127. However, all agency management must strive to: 
  128.  
  129. Achieve Cost-Effective Security 
  130. The dollars spent for security measures to control or contain
  131. losses should never be more than the projected dollar loss if
  132. something adverse happened to the information resource.
  133. Cost-effective security results when reduction in risk through
  134. implementation of safeguards is balanced with costs. The greater
  135. the value of information processed, or the more severe the
  136. consequences if something  happens to it, the greater the need
  137. for control measures to protect it. 
  138. The person who can best determine the value or importance of
  139. data is the functional manager who is responsible for the data.
  140. For example, the manager responsible for the agency's budget
  141. program is the one who should establish requirements for the
  142. protection of the automated data which supports the program. This
  143. manager knows better than anyone else in the organization what
  144. the impact will be if the data is inaccurate or unavailable.
  145. Additionally, this manager usually is the supervisor of most of
  146. the users of the data. 
  147.  
  148. It is important that these trade-offs of cost versus risk
  149. reduction be explicitly considered, and that management
  150. understand the degree of risk remaining after selected controls
  151. are implemented. 
  152.  
  153. Assure Operational Continuity 
  154. With ever-increasing demands for timely information and greater
  155. volumes of information being processed, the threat of information
  156. system disruption is a very serious one.  In some cases,
  157. interruptions of only a few hours are unacceptable.  The impact
  158. due to inability to process data should be assessed, and actions
  159. should be taken to assure availability of those systems
  160. considered essential to agency operation. Functional management
  161. must identify critical computer applications and develop
  162. contingency plans so that the probability of loss of data
  163. processing and telecommunications support is minimized. 
  164.  
  165. Maintain Integrity 
  166. Integrity of information means you can trust the data and the
  167. processes that manipulate it. Not only does this mean that errors
  168. and omissions are minimized, but also that the information system
  169. is protected from deliberate actions to wrongfully change the
  170. data. Information can be said to have integrity when it
  171. corresponds to the expectations and assumptions of the users. 
  172.  
  173. Assure Confidentiality 
  174. Confidentiality of sensitive data is often, but not always, a
  175. requirement of agency systems. Privacy requirements for personal
  176. information is dictated by statute, while confidentiality of
  177. other agency information is determined by the nature of that
  178. information, e.g., information submitted by bidders in
  179. procurement actions. The impact of wrongful disclosure must be
  180. considered in understanding confidentiality requirements. 
  181.  
  182. Comply with Applicable Laws and Regulations 
  183. As risks and vulnerabilities associated with information systems
  184. become better understood, the body of law and regulations
  185. compelling positive action to protect information resources
  186. grows.  OMB Circular No. A-130, "Management of Federal
  187. Information Resources" and Public Law 100-235, "Computer Security
  188. Act of 1987" are two documents where the knowledge of these
  189. regulations and laws provide a baseline for an information
  190. resource security program. 
  191.  
  192. Information Systems Development 
  193. This section describes the protective measures that should be
  194. included as part of the design and development of information
  195. processing application systems.  The functional manager that is
  196. responsible for and will use the information contained in the
  197. system, must ensure that security measures have been included and
  198. are adequate.  This includes applications designed for personal
  199. computers as well as large mainframes.   
  200.  
  201. Control Decisions 
  202. The official responsible for the agency function served by the
  203. automated information system has a critical role in making
  204. decisions regarding security and control. In the past, risk was
  205. often unconsciously accepted when such individuals assumed the
  206. computer facility operators were taking care of security. In
  207. fact, there are decisions to be made and security elements to be
  208. provided that cannot be delegated to the operator of the system. 
  209. In many cases, the user or manager develops the application and
  210. operates solely. 
  211.  
  212. The cost of control must be balanced with system efficiency and
  213. usability issues. Risk must be evaluated and cost-effective
  214. controls selected to provide a prudent level of control while
  215. maximizing productivity. Controls are often closely connected
  216. with the system function, and cannot be effectively designed
  217. without significant understanding of the process being automated.
  218.  
  219. Security Principles 
  220. There are some common security attributes that should be present
  221. in any system that processes valuable personal or sensitive
  222. information. System designs should include mechanisms to enforce
  223. the following security attributes. 
  224.  
  225. Identification and Authentication of Users 
  226. Each user of a computer system should have a unique
  227. identification on the system, such as an account number or other
  228. user identification code. There must also be a means of verifying
  229. that the individual claiming that identity (e.g., by typing in
  230. that identifying code at a terminal) is really the authorized
  231. individual and not an imposter. The most common means of
  232. authentication is by a secret password, known only to the
  233. authorized user. 
  234.  
  235. Authorization Capability Enforcing the Principle of Least
  236. Possible Privilege 
  237. Beyond ensuring that only authorized individuals can access the
  238. system, it is also necessary to limit the users access to
  239. information and transaction capabilities. Each person should be
  240. limited to only the information and transaction authority that is
  241. required by their job responsibilities. This concept, known as
  242. the principle of least possible privilege, is a long-standing
  243. control practice. There should be a way to easily assign each
  244. user just the specific access authorities needed. 
  245.  
  246. Individual Accountability 
  247. From both a control and legal point of view, it is necessary to
  248. maintain records of the activities performed by each computer
  249. user. The requirements for automated audit trails should be
  250. developed when a system is designed. The information to be
  251. recorded depends on what is significant about each particular
  252. system. To be able to hold individuals accountable for their
  253. actions, there must be a positive means of uniquely identifying
  254. each computer user and a routinely maintained record of each
  255. user's activities. 
  256.  
  257. Audit Mechanisms 
  258. Audit mechanisms detect unusual events and bring them to the
  259. attention of management. This commonly occurs by violation
  260. reporting or by an immediate warning to the computer system
  261. operator. The type of alarm generated depends on the seriousness
  262. of the event. 
  263.  
  264. A common technique to detect access attempts by unauthorized
  265. individuals is to count attempts. The security monitoring
  266. functions of the system can automatically keep track of
  267. unsuccessful attempts to gain access and generate an alarm if the
  268. attempts reach an unacceptable number. 
  269.  
  270. Performance Assurance 
  271. A basic design consideration for any information system should
  272. be the ability to verify that the system is functioning as
  273. intended. Systems that are developed without such design
  274. considerations are often very difficult to independently audit or
  275. review, leading to the possibility of unintended results or
  276. inaccurate processing. 
  277.  
  278. Recoverability 
  279. Because Federal agencies can potentially be heavily dependent on
  280. a computer system, an important design consideration is the
  281. ability to easily recover from troublesome events, whether minor
  282. problems or major disruptions of the system. From a design point
  283. of view, systems should be designed to easily recover from minor
  284. problems, and to be either transportable to another backup
  285. computer system or replaced by manual processes in case of major
  286. disruption or loss of computer facility. 
  287.  
  288. Access Decisions 
  289. Once the automated system is ready to use, decisions must be
  290. made regarding access to the system and the information it
  291. contains. For example, many individuals require the ability to
  292. access and view data, but not the ability to change or delete
  293. data. Even when computer systems have been designed to provide
  294. the ability to narrowly designate access authorities, a
  295. knowledgeable and responsible official must actually make those
  296. access decisions. The care that is taken in this process is a
  297. major determining factor of the level of security and control
  298. present in the system. If sensitive data is being transmitted
  299. over unprotected lines, it can be intercepted or passive
  300. eavesdropping can occur.  Encrypting the files will make the data
  301. unintelligible and port protection devices will protect the files
  302. from unauthorized access, if warranted. 
  303.  
  304. Systems Development Process 
  305. All information systems software should be developed in a
  306. controlled and systematic manner according to agency standards.
  307. The quality and efficiency of the data processed, and the
  308. possible reconfiguration of the system can all be affected by an
  309. inadequate development process.  The risk of security exposures
  310. and vulnerabilities is greatly reduced when the systems
  311. development process is itself controlled. 
  312.  
  313. Computer Facility Management 
  314. Functional managers play a critical role in assuring that agency
  315. information resources are appropriately safeguarded. This section
  316. describes the protective measures that should be incorporated
  317. into the ongoing management of information resource processing
  318. facilities.  As defined in OMB Circular No. A-130, "Management of
  319. Federal Information Resources,"  the term "information technology
  320. facility" means an organizationally defined set of personnel,
  321. hardware, software, and physical facilities, a primary function
  322. of which is the operation of information technology.  This
  323. section, therefore applies to any manager who houses a personal
  324. computer, mainframe or any other form of office system or
  325. automated equipment. 
  326.  
  327. Physical Security 
  328. Information cannot be appropriately protected unless the
  329. facilities that house the equipment are properly protected from
  330. physical threats and hazards. The major areas of concern are
  331. described below. 
  332.  
  333. Environmental Conditions 
  334. For many types of computer equipment, strict environmental
  335. conditions must be maintained. Manufacturer's specifications
  336. should be observed for temperature, humidity, and electrical
  337. power requirements. 
  338.  
  339. Control of Media 
  340. The media upon which information is stored should be carefully
  341. controlled. Transportable media such as tapes and cartridges
  342. should be kept in secure locations, and accurate records kept of
  343. the location and disposition of each. In addition, media from an
  344. external source should be subject to a check-in process to ensure
  345. it is from an authorized source. 
  346.  
  347. Control of Physical Hazards 
  348. Each area should be surveyed for potential physical hazards.
  349. Fire and water are two of the most damaging forces with regard to
  350. computer systems. Opportunities for loss should be minimized by
  351. an effective fire detection and suppression mechanism, and
  352. planning reduces the danger of leaks or flooding. Other physical
  353. controls include reducing the visibility of the equipment and
  354. strictly limiting access to the area or equipment. 
  355.  
  356. Contingency Planning 
  357. Although risks can be minimized, they cannot be eliminated. When
  358. reliance upon a computer facility or application is substantial,
  359. some type of contingency plan should be devised to allow critical
  360. systems to be recovered following a major disaster, such as a
  361. fire. There are a number of alternative approaches that should be
  362. evaluated to most cost-effectively meet the agency's need for
  363. continuity of service. 
  364.  
  365. Configuration Management 
  366. Risk can be introduced through unofficial and unauthorized
  367. hardware or software. Another key component of information
  368. resource management is ensuring only authorized hardware and
  369. software are being utilized. There are several control issues to
  370. be addressed. 
  371.  
  372. Maintaining Accurate Records 
  373. Records of hardware/software inventories, configurations, and
  374. locations should be maintained and kept up-to-date. 
  375.  
  376. Complying with Terms of Software Licenses 
  377. Especially with microcomputer software, illegal copying and
  378. other uses in conflict with licensing agreements are concerns.
  379. The use of software subject to licensing agreements must be
  380. monitored to ensure it is used according to the terms of the
  381. agreement. 
  382.  
  383. Protecting Against Malicious Software and Hardware 
  384. The recent occurrences of destructive computer "viruses" point
  385. to the need to ensure that agencies do not allow unauthorized
  386. software to be introduced to their computer environments.
  387. Unauthorized hardware can also contain hidden vulnerabilities.
  388. Management should adopt a strong policy against unauthorized
  389. hardware/software, inform personnel about the risks and
  390. consequences of unauthorized additions to computer systems, and
  391. develop a monitoring process to detect violations of the policy.
  392.  
  393. Data Security  
  394. Management must ensure that appropriate security mechanisms are
  395. in place that allow responsible officials to designate access to
  396. data according to individual computer users' specific needs.
  397. Security mechanisms should be sufficient to implement individual
  398. authentication of system users, allow authorization to specific
  399. information and transaction authorities, maintain audit trails as
  400. specified by the responsible official, and encrypt sensitive
  401. files if required by user management. 
  402.  
  403. Monitoring and Review 
  404. A final aspect of information resource protection to be
  405. considered is the need for ongoing management monitoring and
  406. review. To be effective,  a security program must be a continuous
  407. effort. Ideally, ongoing processes should be adapted to include
  408. information protection checkpoints and reviews. Information
  409. resource protection should be a key consideration in all major
  410. computer system initiatives. 
  411.  
  412. Earlier, the need for system audit trails was discussed. Those
  413. audit trails are useful only if management regularly reviews
  414. exception items or unusual activities. Irregularities should be
  415. researched and action taken when merited. Similarly, all
  416. information-related losses and incidents should be investigated.
  417.  
  418.  A positive benefit of an effective monitoring process is an
  419. increased understanding of the degree of information-related risk
  420. in agency operations. Without an ongoing feedback process,
  421. management may unknowingly accept too much risk. Prudent
  422. decisions about trade-offs between efficiency and control can
  423. only be made with a clear understanding of the degree of inherent
  424. risk. Every manager should ask questions and periodically review
  425. operations to judge whether changes in the environment have
  426. introduced new risk, and to ensure that controls are working
  427. effectively. 
  428.  
  429. Personnel Management 
  430. Managers must be aware that information security is more a
  431. people issue than a technical issue. Personnel are a vital link
  432. in the protection of information resources, as information is
  433. gathered by people, entered into information resource systems by
  434. people, and ultimately used by people. Security issues should be
  435. addressed with regard to: 
  436.  People who use computer systems and store information in the
  437. course of their normal job responsibilities 
  438.  People who design, program, test, and implement critical or
  439. sensitive systems 
  440.  People who operate computer facilities that process critical or
  441. sensitive data 
  442.  
  443. Personnel Security 
  444. From the point of hire, individuals who will have routine access
  445. to sensitive information resources should be subject to special
  446. security procedures. More extensive background or reference
  447. checks may be appropriate for such positions, and security
  448. responsibilities should be explicitly covered in employee
  449. orientations. Position descriptions and performance evaluations
  450. should also explicitly reference unusual responsibilities
  451. affecting the security of information resources. 
  452.  
  453. Individuals in sensitive positions should be subject to job
  454. rotation, and work flow should be designed in such a way as to
  455. provide as much separation of sensitive functions as possible.
  456. Upon decision to terminate or notice of resignation, expedited
  457. termination or rotation to less sensitive duties for the
  458. remainder of employment is a reasonable precaution. 
  459.  
  460. Any Federal computer user who deliberately performs or attempts
  461. to perform unauthorized activity should be subject to
  462. disciplinary action, and such disciplinary action must be
  463. uniformly applied throughout the agency. Any criminal activity
  464. under Federal or state computer crime laws must be reported to
  465. law enforcement authorities. 
  466.  
  467. Training 
  468. Most information resource security problems involve people.
  469. Problems can usually be identified in their earliest stages by
  470. people who are attuned to the importance of information
  471. protection issues. A strong training program will yield large
  472. benefits in prevention and early detection of problems and
  473. losses. To be most effective, training should be tailored to the
  474. particular audience being addressed, e.g., executives and policy
  475. makers; program and functional managers; IRM security and audit:
  476. ADP management and operations; end users.  
  477.  
  478. Most employees want to do the right thing, if agency
  479. expectations are clearly communicated. Internal policies can be
  480. enforced only if staff have been made aware of their individual
  481. responsibilities. All personnel who access agency computer
  482. systems should be aware of their responsibilities under agency
  483. policy, as well as obligations under the law. Disciplinary
  484. actions and legal penalties should be communicated. 
  485.  
  486.  
  487. For Additional Information 
  488.   
  489. National Institute Of Standards and Technology 
  490. Computer Security Program Office, A-216 Technology 
  491. Gaithersburg, MD 20899 
  492. (301) 975-5200 
  493.  
  494. For further information on the management of information
  495. resources, NIST publishes Federal Information Processing
  496. Standards Publications (FIBS PUBS).  These publications deal with
  497. many aspects of computer security, including password usage, data
  498. encryption, ADP risk management and contingency planning, and
  499. computer system security certification and accreditation.  A list
  500. of current publications is available from: 
  501. Standards Processing Coordinator (ADP)
  502. National Computer Systems Laboratory
  503. National Institute of Standards and Technology
  504. Technology Building, B-64
  505. Gaithersburg, MD  20899
  506. Phone: (301)  975-2817 
  507.