home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / hk_polic.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  27.8 KB  |  561 lines
  1.  
  2. * * * * * * * * * * * * *  NOTE * * * * * * * * * * * * * * * * *
  3.  
  4. This file is a DRAFT chapter intended to be part of the NIST
  5. Computer Security Handbook.  The chapters were prepared by
  6. different parties and, in some cases, have not been reviewed by
  7. NIST.  The next iteration of a chapter could be SUBSTANTIALLY
  8. different than the current version.  If you wish to provide
  9. comments on the chapters, please email them to roback@ecf.ncsl.gov
  10. or mail them to Ed Roback/Room B154, Bldg 225/NIST/Gaithersburg, MD 
  11. 20899.  
  12.  
  13. * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
  14.  
  15. DRAFT               DRAFT               DRAFT          DRAFT
  16.  
  17.  
  18.            Chapter 6:  Computer and Information Security Policy
  19.  
  20.  
  21. 6.1  Introduction to Computer Security Policy
  22.  
  23. Organizations rely on IT resources today to handle vast amounts of
  24. information.  Because the data can vary widely in type and in
  25. degree of sensitivity, employees need to be able to exercise
  26. flexibility in handling and protecting it.  It would not be
  27. practical or cost-effective to require that all data be handled in
  28. the same manner or be subject to the same protection requirements. 
  29. Without some degree of standardization, however, inconsistencies
  30. can develop that introduce risks. 
  31.  
  32. Formal IT security policy helps establish standards for IT resource
  33. protection by assigning program management responsibilities and
  34. providing basic rules, guidelines, and definitions for everyone in
  35. the organization.  Policy thus helps prevent inconsistencies that
  36. can introduce risks, and policy serves as a basis for the
  37. enforcement of more detailed rules and procedures.  Ideally, policy
  38. will be sufficiently clear and comprehensive to be accepted and
  39. followed throughout the organization yet flexible enough to
  40. accommodate a wide range of data, activities, and resources. 
  41.  
  42. Policy formulation is an important step toward standardization of
  43. security activities for IT resources.  IT security policy is
  44. generally formulated from the input of many members of an
  45. organization, including security officials, line managers, and IT
  46. resource specialists.  However, policy is ultimately approved and
  47. issued by the organization's senior management.  In environments
  48. where employees feel inundated with policies, directives,
  49. guidelines and procedures, an IT security policy should be
  50. introduced in a manner that ensures that management's unqualified
  51. support is clear.  The organization's policy is management's
  52. vehicle for emphasizing the commitment to IT security and making
  53. clear the expectations for employee involvement and accountability.
  54.  
  55. This chapter will discuss IT security policy in terms of the
  56. different types (program-level and issue-specific), components, and
  57. aspects of implementation.  Potential cost and interdependencies
  58. will also be noted. 
  59.  
  60.  
  61. 6.2  Policy Types:  Program-Level and Issue-Specific
  62.  
  63. Two types of policy will typically need to be developed to meet an
  64. organization's needs:  program-level and issue-specific.  Program-
  65. level policy's main function is to establish the security program,
  66. assign program management responsibilities, state the
  67. organizationwide IT security goals and objectives, and provide a
  68. basis for enforcement.  Issue-specific policies also need to be
  69. developed, in order to identify and define specific areas of
  70. concern and to state the organization's position and expectations
  71. in relation to them.  Following are discussions on these two basic
  72. types of policy.
  73.  
  74.  
  75. 6.2.1  Program-level Policy
  76.  
  77. As discussed above, program-level policy is broad in scope and far-
  78. reaching in applicability.  To make the subject more manageable, an
  79. effective approach to a discussion of program-level IT security
  80. policy is to break general policy into its basic components:
  81. purpose, scope, goals, responsibilities, and enforcement.
  82.  
  83.  
  84. 6.2.1.1 Components of Program-level Policy
  85.  
  86. Purpose:  A primary purpose of program-level policy is to establish
  87. the IT security program.  This includes defining the program
  88. management structure, the reporting responsibilities, the roles of
  89. individuals and groups throughout the organization, and the
  90. organizationwide goals of the security program.  (Chapter 5
  91. provides a detailed discussion of security program management and
  92. administration.)
  93.  
  94. Additionally, program-level policy should serve the purpose of
  95. emphasizing to all employees the importance of IT security and
  96. clarifying the individual employee's role and responsibilities.  IT
  97. security policy may be met with a degree of skepticism unless given
  98. appropriate visibility and support by top management, and that
  99. visibility and support should be clearly and energetically
  100. reflected in the program-level policy and in its emphasis on
  101. employee participation.
  102.  
  103. The program-level policy should thus firmly establish individual
  104. employee accountability.  Employees should be made aware via the
  105. policy that even if they are not designated IT security program
  106. personnel, they nonetheless have significant IT security
  107. responsibilities.
  108.  
  109. Scope:  Program-level policy should be of sufficient breadth of
  110. scope to include all of the organization's IT resources, including
  111. facilities, hardware, software, information, and personnel.  In
  112. some instances, it may be appropriate for a policy to name specific
  113. assets, such as major sites, installations, and large systems.  In
  114. addition to such specified assets, it is important to include an
  115. overview of all of the types of IT resources for which the
  116. organization is responsible, such as workstations, Local Area
  117. Networks (LANs), standalone microcomputers, etc.
  118.  
  119. Goals:  According to the National Research Council's Computers at
  120. Risk, published in 1991, the three security-related needs
  121. universally most emphasized among IT resource experts and the
  122. general computer user community are integrity, availability, and
  123. confidentiality.  These concepts are the focus of many discussions
  124. in this handbook as well.  These concepts should be the basis of
  125. the goals established for an organization in its IT security
  126. policy.  Integrity means assuring that information is kept intact,
  127. and not lost, damaged, or modified in an authorized manner. 
  128. Availability means assuring that information is accessible to
  129. authorized users when needed and that, to the extent possible, IT
  130. systems are safe from accidental or intentional disablement. 
  131. Confidentiality means assuring that information is accessible only
  132. as authorized and that it cannot be acquired by unauthorized
  133. personnel and/or via unauthorized means.  
  134.  
  135. Goals related to these concepts should be stated in meaningful ways
  136. to employees based on the given environment.  It is important that
  137. the organization's program-level policy reflect goals that are
  138. applicable to the specific environment by targeting the kinds of
  139. activities, information, and terminology that employees are
  140. familiar with. 
  141.  
  142. For instance, in an organization responsible for maintaining large
  143. but not highly confidential databases,  goals related to reduction
  144. in errors, data loss, or data corruption might be specifically
  145. stressed.  In an organization responsible for maintaining much more
  146. confidential data, however, goals might emphasize increased
  147. assurance against unauthorized disclosure. 
  148.    
  149. Responsibilities:  As noted in the earlier discussion of Purpose,
  150. program-level policy performs the important function of
  151. establishing the IT security program and assigning program
  152. management responsibilities.  In addition to the security program
  153. management responsibilities, many other responsibilities throughout
  154. the organization should also be discussed in the policy, including
  155. the role of line managers, applications owners, data users, and the
  156. computer systems security group.
  157.  
  158. In some instances, the relationships among various individuals and
  159. groups may also need to be defined in the program-level policy. 
  160. Such clarification can diminish ambiguity and confusion related to
  161. areas of responsibility or authority.  It might be desirable to
  162. clarify, for example, who is to be responsible for approving the
  163. security measures to be used for new systems or components being
  164. installed:  Should it be the department line manager where the item
  165. will be installed? Or should it be a designated inter-departmental
  166. IT security specialist?  It might even be desirable to indicate
  167. under what circumstances, if any, approval of security measures
  168. implemented would be warranted by the head of the security program.
  169.  
  170. Overall, the program-level assignment of responsibilities should
  171. cover those activities and personnel who will be integral to the
  172. implementation and continuity of the IT security policy.
  173.  
  174. Enforcement:  Without a formal, documented IT security policy, it
  175. is not possible for management to proceed with the development of
  176. enforcement standards and mechanisms.  Program-level policy serves
  177. as the basis for enforcement by describing penalties and
  178. disciplinary actions that can result from failure to comply with
  179. the organization's IT security requirements.  Discipline 
  180. commensurate with levels and types of security infractions should
  181. be discussed.  For example, serious offenses, such as theft,
  182. conspiracy, or intentional acts of sabotage, might be designated by
  183. policy as punishable by firing and prosecution.  Lesser
  184. infractions, such as pirating software, might be stated as
  185. punishable by formal written reprimand. 
  186.  
  187. Consideration should also be given to the fact that nonconformance
  188. to policy can be unintentional on the part of employees.  For
  189. example, nonconformance can often be due to a lack of knowledge or
  190. training.  It can also be the result of inadequate communication
  191. and explanation of the policy.  For these reasons, it is desirable
  192. that, along with enforcement, program-level policy make provisions
  193. for orientation, training, and compliance within a realistic
  194. timeframe. 
  195.  
  196.  
  197. 6.2.2  Issue-specific Policy
  198.  
  199. Whereas program-level policy is intended to address the broadest
  200. aspects of IT security and the IT security program framework,
  201. issue-specific policies need to be developed to address particular
  202. kinds of activities and, in some environments, particular systems. 
  203. The types of subjects covered by issue-specific policies are areas
  204. of current  relevance, concern, and, sometimes, controversy  upon
  205. which the organization needs to assert a position.  In this manner,
  206. issue-specific IT security policies help to standardize activities
  207. and reduce the potential risks posed by inadequate and/or
  208. inappropriate treatment of the IT resources.  Issue-specific
  209. policies serve to provide guidelines for the further development of
  210. procedures and practices within the functional elements of an
  211. organization. 
  212.  
  213. Program-level policy is usually broad enough that it does not
  214. require much modification over time.  Issue-specific policies,
  215. however, are likely to require revision and updating from time to
  216. time, as changes in technology and related activities take place. 
  217. This is largely because as new technologies develop, some issues
  218. diminish in importance while new ones continually appear.   A major
  219. challenge to IT security specialists has long been the fact that
  220. for every new technology there are also new associated problems and
  221. issues to be addressed.
  222.  
  223. For example, the enormous increase in the use of electronic mail
  224. (E-mail) systems in recent years has introduced many new issues in
  225. communications security, which is one of the topics that will be
  226. briefly discussed later in this section.  Many organizations today
  227. are developing and refining communications security policies in
  228. order to better address such questions as who should have E-mail
  229. access, how will privileges be assigned and monitored, for what
  230. types of activities and information is E-mail sufficiently secure,
  231. and what criteria should be used for the re-sending (forwarding) of
  232. messages among users.  
  233.  
  234. Another topic of recent notoriety impacting IT security policies is
  235. the threat posed by computer viruses.  New viruses and new methods
  236. of transmitting them are making it necessary that organizations
  237. develop policies regulating activities that were once performed
  238. freely, such as exchanging floppy disks among users, accessing
  239. electronic bulletinboards, and using shareware products. 
  240.  
  241. As for the discussion of program-level policy, a useful approach is
  242. to first break issue-specific policy into its basic components: 
  243. statement of an issue, statement of the organization's position,
  244. applicability, roles and responsibilities, and points of contact. 
  245. Thereafter, some of the areas that often require issue-specific
  246. policies will be covered.
  247.  
  248.  
  249. 6.2.2.1  Components of Issue-specific Policy
  250.  
  251. Statement of an Issue:  In order to formulate a policy on an issue,
  252. the issue must first be defined, with any relevant terms,
  253. distinctions, and conditions delineated.  For example, an
  254. organization might want to develop an issue-specific policy on the
  255. use of "foreign software."   "Foreign software" might be defined to
  256. mean any software, whether applications or data, not approved,
  257. purchased, screened, managed, and owned by the organization. 
  258. Additionally, the applicable distinctions and conditions might then
  259. need to be included, for instance, for software privately owned by
  260. employees but approved for use at work and for software owned and
  261. used by other businesses under contract to the organization. 
  262.  
  263. Statement of the Organization's Position:  Once the issue is stated
  264. and related terms and conditions delineated, the organization's
  265. position or stance on the issue will need to be clearly stated. To
  266. continue the example of developing an issue-specific policy on the
  267. use of foreign software, this would mean stating whether use of
  268. foreign software as defined is strictly prohibited, whether or not
  269. there are further guidelines for approval and use, or whether case-
  270. by-case decisions will be rendered based on some defined criteria.
  271.  
  272. Applicability:  Issue-specific policies will also need to include
  273. statements of applicability.  This means clarifying where, how,
  274. when, to whom, and to what a particular policy applies.  For
  275. example, it could be that the hypothetical policy on foreign
  276. software is intended to apply only to the organization's own onsite
  277. resources and employees and is not to be applicable to contractor
  278. organizations with offices at other locations.  Additionally, the
  279. policy's applicability to employees travelling among different
  280. sites and/or working at home who need to transport and use disks at
  281. multiple sites might need to be clarified.
  282.  
  283. Roles and Responsibilities:  Also included in issue-specific
  284. policies should be the assignment of roles and responsibilities. 
  285. This would mean, to continue with the above example, that if the
  286. policy permits foreign software privately owned by employees to be
  287. used at work with the appropriate approvals, then the approval
  288. authority granting such permission would need to be stated. 
  289. Likewise, it would need to be clarified who would be responsible
  290. for ensuring that only approved foreign software is used on
  291. organizational IT resources and, perhaps, for monitoring users in
  292. regard to foreign software. 
  293.  
  294. Related to the assignment of roles and responsibilities is the
  295. inclusion of guidelines for procedures and enforcement.  The issue-
  296. specific policy on foreign-software, for example, might include
  297. procedural guidelines for checking disks used by employees at home
  298. or at other locations.  It might also state what the penalties
  299. would be for using unapproved foreign software on the
  300. organization's IT systems.   
  301.  
  302. Points of Contact:  For any issue-specific policy, the appropriate
  303. individuals in the organization to contact for further information,
  304. guidance, and enforcement should be indicated.  For example, for
  305. some issues the point of contact might be a line manager; for other
  306. issues it might be a facility manager, technical support person, or
  307. system administrator.  For yet other issues, the point-of-contact
  308. might be a security program representative.  Using the above
  309. example once more, employees would need to know whether the point
  310. of contact for questions and procedural information would be
  311. his/her immediate superior, a system administrator, or a computer
  312. security official.
  313.  
  314.  
  315. 6.2.2.2  Areas Appropriate for Issue-specific Policies
  316.  
  317. Some of the areas in which management today needs to consider
  318. issue-specific IT security policies are covered in this section. 
  319. These topics are intended to provide examples and serve as sources
  320. for ideas and analysis.  Although many of these topics are standard
  321. to any discussion of IT security, an organization would necessarily
  322. need to tailor its policies relating to them to meet its own unique
  323. needs.
  324.  
  325. Physical security:  The physical protection of and access to IT
  326. resources and facilities will generally need to be addressed in one
  327. or more specific policies.   In organizations with extensive IT
  328. systems and equipment, this may mean developing policies that
  329. address such issues as who has access to what sites/locations; how
  330. often risks to installations are be analyzed and by whom; what
  331. types of physical access controls and monitoring equipment are put
  332. in place; what responsibilities will be assigned to trained
  333. security officials and what activities and responsibilities will be
  334. required of all employees.  
  335.  
  336. Personnel Security:  Depending on the types of activities being 
  337. performed, degree of data sensitivity to be encountered, and sheer
  338. numbers of personnel, specific security policies related to
  339. personnel screening, requirements, hiring, training, evaluating,
  340. and firing may need to be developed and administered.  It may be
  341. appropriate that a trained personnel security specialist initiate,
  342. review, approve, and perform all security-related personnel
  343. actions.
  344.  
  345. Communications Security:  Communications security is a complex
  346. technical specialty unto itself.  In organizations where day-to-day
  347. business relies on communicating routinely with remote locations,
  348. the security of the communications transmissions and lines is
  349. usually an issue that needs to be addressed by policy.  If the data
  350. being transmitted is highly sensitive, then this concern is
  351. magnified, and issue-specific security policies may need to be
  352. developed on a number of activities.  Issues associated with the
  353. use of cryptography and its related options and procedures
  354. (discussed in Chapter 19), the use of modems and dial-in lines, and
  355. precautions against wiretapping are just some of the potential
  356. issues to be addressed.  Additionally, as noted earlier, the
  357. proliferation of E-mail has introduced many security- and privacy-
  358. related issues for which organizations need to document positions
  359. and policies.
  360.  
  361. Administrative Security:  Administrative security as it applies to
  362. IT system management and oversight activities comprises many
  363. potential security policy issues.  Included are such topics as
  364. input/output controls, training and awareness, security
  365. certification/accreditation, incident reporting, system
  366. configurations and change controls, and system documentation.
  367.  
  368. Risk Management:  Risk management involves assessing IT resources
  369. in terms of potential threats and vulnerabilities and planning the
  370. means for counteracting those identified risks.  Issues that will
  371. need to be addressed by policies include how, by whom, and when the
  372. assessments should be performed; and what type of documentation
  373. should result. 
  374.  
  375. Contingency Planning:  Related to Risk Management, Contingency
  376. Planning means planning for the emergency actions to be taken in
  377. the event of damage, failure, and/or other disabling events that
  378. could occur to systems.  Issues that need to be addressed by
  379. policies include determining which systems are most critical and
  380. therefore of highest priority in contingency planning; how the
  381. plans will be tested, how often, and by whom; and who will be
  382. responsible for approving the plans.  
  383.  
  384.  
  385. 6.3  Policy Implementation
  386.  
  387. Policy implementation is a process.  Policy cannot merely be
  388. pronounced by upper management in a one-time statement or directive
  389. with high expectations of its being readily accepted and acted
  390. upon.  Rather, just as formulating and drafting policy involves a
  391. process, implementation similarly involves a process, which begins
  392. with the formal issuance of policy.  
  393.  
  394.  
  395. 6.3.1  Policy Visibility 
  396.  
  397. Especially high visibility should be afforded the formal issuance
  398. of IT security policy.   This is due to a combination of factors,
  399. including the following:  
  400.  
  401. *  Nearly all employees at all levels will in some way be affected;
  402. *  Major organizational resources are being addressed; 
  403. *  Many new terms, procedures, and activities will be introduced. 
  404.  
  405. Providing visibility through such avenues as management
  406. presentations, panel discussions, guest speakers, question/answer
  407. forums, and newsletters can be beneficial, as resources permit. 
  408. Including IT security as a regular topic at staff meetings at all
  409. levels of the organization can also be a helpful tactic. 
  410.  
  411. As an aspect of providing visibility for IT security policies,
  412. information should also be included regarding the applicable higher
  413. level directives and requirements to which the organization is
  414. responding.  Educating employees as to the requirements specified
  415. by the Computer Security Act and related OMB circulars will help
  416. emphasize the significance and timeliness of computer security, and
  417.  
  418. it will help provide a rational basis for the introduction of IT
  419. security policies.
  420.  
  421.  
  422. 6.3.2   Policy Documentation
  423.  
  424. Once IT security policy has been approved and issued, it may be
  425. initially publicized through memorandums, presentations, staff
  426. meetings, or a variety of means.  As soon as possible, though, it
  427. will also need to be incorporated into formal policy documentation
  428. as well.  The process of documenting policies will usually require
  429. updating existing documentation as well as creating new
  430. documentation. 
  431.  
  432. Existing Documentation:  IT security will need to be integrated
  433. into many existing activities and practices throughout many levels
  434. of the organization.  This integration will be facilitated by
  435. revising any existing applicable documentation to reflect new
  436. procedures, rules, and requirements.  Included may be the
  437. modification of various existing documents, forms, and plans at all
  438. levels of the organization to reflect the IT policy.   
  439.  
  440. For example, if IT equipment purchases and/or upgrades have been
  441. reviewed and approved based on documented criteria such as cost,
  442. productivity, maintainability, etc., then security considerations
  443. may need to be introduced into that criteria.  Also, if it has
  444. previously been the documented policy to review the progress and
  445. status of internal IT systems under development, then security-
  446. related concerns should be introduced into that review process. 
  447.  
  448. New Documentation:  Additionally, the development of many new
  449. documents, such as guidelines, standards, and procedures, may be
  450. required.  This is often true in large organizations performing
  451. many different activities and having many levels of management.  In
  452. such environments, different functional elements may have widely
  453. differing IT systems and needs to accommodate.  It is therefore
  454. generally more practical, to the extent possible, to allow elements
  455. to tailor their implementations of policy to meet their unique
  456. needs.  This can be accomplished through the development of
  457. documents containing more detailed procedures and practices to be
  458. used for specific kinds of systems and activities within 
  459. functional elements. 
  460.  
  461. For example, organizations will want to issue policies to decrease
  462. the likelihood of data loss due to technology failures and/or
  463. operator errors.  A program-level policy might state something to
  464. the effect that:  "It is the policy of the organization to ensure
  465. against data loss due to accidents or mishaps."  In an area where
  466. extensive writing and editing of lengthy documents is performed,
  467. such as a word processing or technical publications unit, security
  468. documentation might be developed on saving work in-progress much
  469. more often than would usually be done, and/or utilizing automatic
  470. "save" features on IT systems and software.   In a different type
  471. of functional area, however, where, for example, databases are
  472. maintained that do not undergo significant changes very often, the
  473. security documentation might focus on procedures for the database
  474. administrator to use in performing periodic (daily, weekly, etc.)
  475. backups of the system. 
  476.  
  477. Appropriate visibility should be afforded the IT security policy
  478. through all applicable documentation.  The more integral security
  479. policy is to all other aspects of daily routines, the more quickly
  480. the associated actions and practices will become natural to doing
  481. business.  Ultimately, among the goals of policy are the
  482. assimilation of a common body of knowledge and values and the
  483. demonstration of appropriate corresponding behaviors.  Those goals
  484. will be expedited by making the IT security policy integral to the
  485. organization through all avenues.
  486.  
  487.  
  488. 6.4  Cost Considerations
  489.  
  490. There are a number of potential costs associated with developing
  491. and implementing IT security policies.  In some environments, the
  492. major costs may be those incurred through the numerous
  493. administrative and management activities required for drafting,
  494. reviewing, disseminating, and publicizing the policies.  In some
  495. organizations, though, successful policy implementation may require
  496. additional staffing, training, and equipment.  In general, how
  497. costly IT security policy development and implementation are to an
  498. organization will depend upon how much change needs to be
  499. accomplished in order to ensure adequate security and a basic
  500. standardization throughout the organization.
  501.  
  502.  
  503. 6.5  Interrelationships 
  504.  
  505. IT security policy can be related to nearly every topic covered in
  506. this handbook on some level.  This is because all of the topics
  507. discussed in the handbook have associated issues that organizations
  508. may need to address via policies.  The topics most directly
  509. related, however, are:  IT security program management and
  510. administration; risk management; personnel; security training and
  511. awareness; contingency planning; and physical and environmental
  512. security. 
  513.  
  514.  
  515. 6.6   Conclusion
  516.  
  517. Formulating viable IT security policies is a challenge for an
  518. organization and requires communication and understanding of the
  519. organizational goals and potential benefits to be derived from
  520. policies.  Through a carefully structured approach to policy
  521. development, which includes the delegation of program management
  522. responsibility and an understanding of both program-level and
  523. issue-specific policy components, a coherent set of policies -
  524. integrated into sensible practices and procedures - can be
  525. developed
  526. 6.1, para 2:  IT security policy helps to provide basic standards,
  527. guidelines, and rules for everyone in an organization.  
  528.  
  529. 6.2, para 1:  Program-level IT security policy establishes the
  530. security program and assigns program management responsibilities.
  531.  
  532. 6.2.1.1, para 4:  Program-level policy should be sufficiently broad
  533. in scope to include all of the organization's IT resources.
  534.  
  535. 6.2.1.1, para 5:  Program-level IT security policy goals should
  536. stress the universal concepts of integrity, availability, and
  537. confidentiality. 
  538.  
  539. 6.2.2, para 1:  Issue-specific policies address particular
  540. activities, concerns, and, sometimes, systems.
  541.  
  542. 6.2.2, para 4:  New products, developments, and trends often
  543. require the creation of corresponding issue-specific policies.
  544.  
  545. 6.2.2.2, para 1:  Many activities within an organization should be
  546. considered when developing issue-specific policies, including
  547. physical security, personnel, communications, administrative
  548. security, risk management, and contingency planning.
  549.  
  550. 6.3.1, para 1:  IT security policy should be given especially high
  551. visibility in order to help ensure employee awareness and
  552. understanding.
  553.  
  554. 6.3.2, para 4:  Many existing documents of an organization will
  555. need to be revised to reflect IT security policies, and new
  556. documents may also need to be developed.
  557.  
  558.  
  559.  
  560.  
  561.