home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / general / usrguide.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  15.7 KB  |  332 lines
  1. Computer User's Guide to the Protection of Information 
  2. Resources 
  3.   
  4. National Institute of Standards and Technology 
  5. The National Institute of Standards and Technology (NIST) is
  6. responsible or developing standards, providing technical
  7. assistance, and conducting research for computers and related
  8. systems. These activities provide technical support to government
  9. and industry in the effective, safe, and economical use of
  10. computers. With the passage of the Computer Security 
  11. Act of 1987 (P.L. 100-235), NIST's activities also include the 
  12. development of standards and guidelines needed to assure the
  13. cost-effective security and privacy of sensitive information in
  14. Federal computer systems.  This guide is just one of three
  15. brochures designed for a specific audience.  The "Executive Guide
  16. to the Protection of Information Resources," and the "Managers
  17. Guide to the Protection of Information Resources" complete the
  18. series.   
  19.   
  20. ACKNOWLEDGMENTS 
  21. This guide was written by Cheryl Helsing of Deloitte, Haskins &
  22. Sells in conjunction with Marianne Swanson and Mary Anne Todd of
  23. the National Institute of Standards and Technology. 
  24.  
  25. Introduction 
  26. Today's computer technology, with microcomputers and on-line
  27. access, has placed the power of the computer where it belongs, in
  28. YOUR hands. YOU, the users, develop computer applications and
  29. perform other data processing functions which previously were
  30. only done by the computer operations personnel. These advances
  31. have greatly improved our efficiency and effectiveness but, also
  32. present a serious challenge in achieving adequate data security.
  33.  
  34. While excellent progress has been made in computer technology,
  35. very little has been done to inform users of the vulnerability of
  36. data and information to such threats as unauthorized
  37. modification, disclosure, and destruction, either deliberate or
  38. accidental. This guide will make you aware of some of the
  39. undesirable things that can happen to data and will provide some
  40. practical solutions for reducing your risks to these threats.  
  41.  
  42. WHO IS RESPONSIBLE FOR PROTECTING DATA AND INFORMATION? 
  43. The statement that "security is everyone's responsibility" is
  44. absolutely true. Owners, developers, operators and users of
  45. information systems each has a personal responsibility to protect
  46. these resources. Functional managers have the responsibility to
  47. provide appropriate security controls for any information
  48. resources entrusted to them. These managers are personally
  49. responsible for understanding the sensitivity and criticality of
  50. their data and the extent of losses that could occur if the
  51. resources are not protected. Managers must ensure that all users
  52. of their data and systems are made aware of the practices and
  53. procedures used to protect the information resources. When you
  54. don't know what your security responsibilities are, ASK YOUR
  55. MANAGER OR SUPERVISOR. 
  56. WHAT IS "SENSITIVE" DATA? 
  57. All data is sensitive to some degree; exactly how sensitive is
  58. unique to each business environment. Within the Federal
  59. Government, personal information is sensitive to unauthorized
  60. disclosure under the Privacy Act of 1974.  In some cases, data is
  61. far more sensitive to accidental errors or omissions that
  62. compromise accuracy, integrity, or availability.  For example, in
  63. a Management Information System, inaccurate, incomplete, or
  64. obsolete information can result in erroneous management decisions
  65. which could cause serious damage and require time and money to
  66. rectify. Data and information which are critical to an agency's
  67. ability to perform its mission are sensitive to nonavailability.
  68.  
  69. Still other data are sensitive to fraudulent manipulation for
  70. personal gain. Systems that process electronic funds transfers,
  71. control inventories, issue checks, control accounts receivables
  72. and payables, etc., can be fraudulently exploited resulting in
  73. serious losses to an agency. 
  74. One way to determine the sensitivity of data is to ask the
  75. questions "What will it cost if the data is wrong? Manipulated
  76. for fraudulent purposes? Not available? Given to the wrong
  77. person?" If the damage is more than you can tolerate, then the
  78. data is sensitive and should have adequate security controls to
  79. prevent or lessen the potential loss. 
  80.  
  81. WHAT RISKS ARE ASSOCIATED WITH THE USE OF COMPUTERS? 
  82. Over the past several decades, computers have taken over
  83. virtually all of our major record-keeping functions. Recently,
  84. personal computers have made it cost-effective to automate many
  85. office functions. Computerization has many advantages and is here
  86. to stay; however, automated systems introduce new risks, and we
  87. should take steps to control those risks. 
  88. We should be concerned with the same risks that existed when
  89. manual procedures were used, as well as some new risks created by
  90. the unique nature of computers themselves. One risk introduced by
  91. computers is the concentration of tremendous amounts of data in
  92. one location. The greater the concentration, the greater the
  93. consequences of loss or damage. Another example is that computer
  94. users access information from remote terminals. We must be able
  95. to positively identify the user, as well as ensure that the user
  96. is only able to access information and functions that have been
  97. authorized.  Newspaper accounts of computer "hackers," computer
  98. virus attacks, and other types of intruders underscore the
  99. reality of the threat to government and commercial computer
  100. systems.  
  101.  
  102. HOW MUCH SECURITY IS ENOUGH? 
  103. No matter how many controls or safeguards we use, we can never
  104. achieve total security. We can, however, decrease the risk in
  105. proportion to the strength of the protective measures. The degree
  106. of protection is based on the value of the information; in other
  107. words, how serious would be the consequences if a certain type of
  108. information were to be wrongfully changed, disclosed, delayed, or
  109. destroyed? 
  110.  
  111. General Responsibilities 
  112. All Federal computer system users share certain general
  113. responsibilities for information resource protection. The
  114. following considerations should guide your actions. 
  115.  
  116. Treat information as you would any valuable asset. 
  117. You would not walk away from your desk leaving cash or other
  118. valuables unattended. You should take the same care to protect
  119. information. If you are not sure of the value or sensitivity of
  120. the various kinds of information you handle, ask your manager for
  121. guidance. 
  122.  
  123. Use government computer systems only for lawful and authorized
  124. purposes.  
  125. The computer systems you use in your daily work should be used
  126. only for authorized purposes and in a lawful manner. There are
  127. computer crime laws that prescribe criminal penalties for those
  128. who illegally access Federal computer systems or data.
  129. Additionally, the unauthorized use of Federal computer systems or
  130. use of authorized privileges for unauthorized purposes could
  131. result in disciplinary action. 
  132.  
  133. Observe policies and procedures established by agency
  134. management.  
  135. Specific requirements for the protection of information have been
  136. established by your agency. These requirements may be found in
  137. policy manuals, rules, or procedures. Ask your manager if you are
  138. unsure about your own responsibilities for protection of
  139. information. 
  140.  
  141. Recognize that you are accountable for your activities on
  142. computer systems. 
  143. After you receive authorization to use any Federal computer
  144. system, you become personally responsible and accountable for
  145. your activity on the system. Accordingly, your use should be
  146. restricted to those functions needed to carry out job
  147. responsibilities. 
  148.  
  149. Report unusual occurrences to your manager. 
  150. Many losses would be avoided if computer users would report any
  151. circumstances that seem unusual or irregular. Warning signals
  152. could include such things as unexplainable system activity that
  153. you did not perform, data that appears to be of questionable
  154. accuracy, and unexpected or incorrect processing results. If you
  155. should notice anything of a questionable nature, bring it to your
  156. manager's attention. 
  157.  
  158. Security and Control Guidelines 
  159. Some common-sense protective measures can reduce the risk of
  160. loss, damage, or disclosure of information. Following are the
  161. most important areas of information systems controls that assure
  162. that the system is properly used, resistant to disruptions, and
  163. reliable.  
  164.  
  165. Make certain no one can impersonate you. 
  166. If a password is used to verify your identity, this is the key to
  167. system security. Do not disclose your password to anyone, or
  168. allow anyone to observe your password as you enter it during the
  169. sign-on process. If you choose your own password, avoid selecting
  170. a password with any personal associations, or one that is very
  171. simple or short. The aim is to select a password that would be
  172. difficult to guess or derive. "1REDDOG" would be a better
  173. password than "DUKE." 
  174. If your system allows you to change your own password, do so
  175. regularly. Find out what your agency requires, and change
  176. passwords at least that frequently. Periodic password changes
  177. keep undetected intruders from continuously using the password of
  178. a legitimate user. 
  179.  
  180. After you are logged on, the computer will attribute all activity
  181. to your user id. Therefore, never leave your terminal without
  182. logging off -- even for a few minutes. Always log off or
  183. otherwise inactivate your terminal so no one could perform any
  184. activity under your user id when you are away from the area. 
  185.  
  186. Safeguard sensitive information from disclosure to others. 
  187. People often forget to lock up sensitive reports and computer
  188. media containing sensitive data when they leave their work areas.
  189. Information carelessly left on top of desks and in unlocked
  190. storage can be casually observed, or deliberately stolen. Every
  191. employee who works with sensitive information should have
  192. lockable space available for storage when information is not in
  193. use. If you aren't sure what information should be locked up or
  194. what locked storage is available, ask your manager. 
  195.  
  196. While working, be aware of the visibility of data on your
  197. personal computer or terminal display screen. You may need to
  198. reposition equipment or furniture to eliminate over-the-shoulder
  199. viewing. Be especially careful near windows and in public areas.
  200. Label all sensitive diskettes and other computer media to alert
  201. other employees of the need to be especially careful. When no
  202. longer needed, sensitive information should be deleted or
  203. discarded in such a way that unauthorized individuals cannot
  204. recover the data. Printed reports should be finely shredded,
  205. while data on magnetic media should be overwritten. Files that
  206. are merely deleted are not really erased and can still be
  207. recovered. 
  208.  
  209. Install physical security devices or software on personal
  210. computers.  
  211. The value and popularity of personal computers make theft a big
  212. problem, especially in low-security office areas. Relatively
  213. inexpensive hardware devices greatly reduce the risk of equipment
  214. loss. Such devices involve lock-down cables or enclosures that
  215. attach equipment to furniture. Another approach is to place
  216. equipment in lockable cabinets. 
  217. When data is stored on a hard disk, take some steps to keep
  218. unauthorized individuals from accessing that data. A power lock
  219. device only allows key-holders to turn on power to the personal
  220. computer. Where there is a need to segregate information between
  221. multiple authorized users of a personal computer, additional
  222. security in the form of software is probably needed. Specific
  223. files could be encrypted to make them unintelligible to
  224. unauthorized staff, or access control software can divide storage
  225. space among authorized users, restricting each user to their own
  226. files. 
  227.  
  228. Avoid costly disruptions caused by data or hardware loss. 
  229. Disruptions and delays are expensive. No one enjoys working
  230. frantically to re-enter work, do the same job twice, or fix
  231. problems while new work piles up. Most disruptions can be
  232. prevented, and the impact of disruptions can be minimized by
  233. advance planning. Proper environmental conditions and power
  234. supplies minimize equipment outages and information loss. Many
  235. electrical circuits in office areas do not constitute an adequate
  236. power source, so dedicated circuits for computer systems should
  237. be considered. Make certain that your surroundings meet the
  238. essential requirements for correct equipment operation. Cover
  239. equipment when not in use to protect it from dust, water leaks,
  240. and other hazards. 
  241.  
  242. For protection from accidental or deliberate destruction of data,
  243. regular data backups are essential. Complete system backups
  244. should be taken at intervals determined by how quickly
  245. information changes or by the volume of transactions. Backups
  246. should be stored in another location, to guard against the
  247. possibility of original and  backup copies being destroyed by the
  248. same fire or other disaster. 
  249.  
  250. Maintain the authorized hardware/software configuration. 
  251. Some organizations have been affected by computer "viruses"
  252. acquired through seemingly useful or innocent software obtained
  253. from public access bulletin boards or other sources; others have
  254. been liable for software illegally copied by employees. The
  255. installation of unauthorized hardware can cause damage,
  256. invalidate warranties, or have other negative consequences.
  257. Install only hardware or software that has been acquired through
  258. normal acquisition procedures and comply with all software
  259. licensing agreement requirements.  
  260.  
  261. SUMMARY 
  262. Ultimately, computer security is the user's responsibility.  You,
  263. the user, must be alert to possible breaches in security and
  264. adhere to the security regulations that have been established
  265. within your agency. The security practices listed are not
  266. inclusive, but rather designed to remind you and raise your
  267. awareness towards securing your information resources: 
  268.  
  269. PROTECT YOUR EQUIPMENT 
  270.  Keep it in a secure environment 
  271.  Keep food, drink, and cigarettes AWAY from it 
  272.  Know where the fire suppression equipment is located and know
  273. how to use it 
  274.  
  275. PROTECT YOUR AREA 
  276.  Keep unauthorized people AWAY from your equipment and data 
  277.  Challenge strangers in your area 
  278.  
  279. PROTECT YOUR PASSWORD 
  280.  Never write it down or give it to anyone 
  281.  Don't use names, numbers or dates which are personally
  282. identified with you 
  283.  Change it often, but change it immediately if you think it has
  284. been compromised 
  285.  
  286. PROTECT YOUR FILES 
  287.  Don't allow unauthorized access to your files and data 
  288.  NEVER leave your equipment unattended with your password
  289. activated - SIGN OFF! 
  290.  
  291. PROTECT AGAINST VIRUSES 
  292.  Don't use unauthorized software 
  293.  Back up your files before implementing ANY new software 
  294.  
  295. LOCK  UP STORAGE MEDIA CONTAINING SENSITIVE DATA 
  296.  If the data or information is sensitive or critical to your
  297. operation, lock it up!   
  298.  
  299. BACK UP YOUR DATA 
  300.  Keep duplicates of your sensitive data in a safe place, out of
  301. your immediate area 
  302.  Back it up as often as necessary 
  303.  
  304. REPORT SECURITY VIOLATIONS 
  305.  Tell your manager if you see any unauthorized changes to your
  306. data  
  307.  Immediately report any loss of data or programs, whether
  308. automated or hard copy  
  309.  
  310. For Additional Information 
  311. National Institute of Standards and Technology 
  312. Computer Security Program Office
  313. A-216 Technology
  314. Gaithersburg, MD 20899
  315. (301) 975-5200 
  316.   
  317. For further information on the management of information
  318. resources, NIST publishes Federal Information Processing
  319. Standards Publications (FIBS PUBS).  These publications deal with
  320. many aspects of computer security, including password usage, data
  321. encryption, ADP risk management and contingency planning, and
  322. computer system security certification and accreditation.  A list
  323. of current publications is available from: 
  324.  
  325. Standards Processing Coordinator (ADP)
  326. National Computer Systems Laboratory
  327. National Institute of Standards and Technology
  328. Technology Building, B-64
  329. Gaithersburg, MD  20899
  330. Phone:   (301)  975-2817 
  331.  
  332.