home *** CD-ROM | disk | FTP | other *** search

---

/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / hack / nia / nia019.txt

< prev

next >

Wrap

Text File  |  1995-11-30  |  23KB  |  492 lines

---

1.  ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
2.  │   Founded By:    │ ║  Network Information Access   ║ │ Mother Earth BBS │
3.  │ Guardian Of Time │─║            17APR90            ║─│  NUP:> DECnet    │
4.  │   Judge Dredd    │ ║          Judge Dredd          ║ │Text File Archives│
5.  └────────┬─────────┘ ║            File 19            ║ └─────────┬────────┘
6.           │           ╚═══════════════════════════════╝           │
7.           │     ╔════════════════════════════════════════════╗    │
8.           └─────╢ Management Guide/Protection Of Information ╟────┘
9.                 ╚════════════════════════════════════════════╝
10.  
11.  
12. $_Executive Summary
13.  
14. Today computers are integral to all aspects of operations within
15. an organization. As Federal agencies are becoming critically
16. dependent upon computer information systems to carry out their
17. missions, the agency executives (policy makers) are recognizing
18. that computers and computer-related problems must be understood
19. and managed, the same as any other resource. They are beginning
20. to understand the importance of setting policies, goals, and
21. standards for protection of data, information, and computer
22. resources, and are committing resources for information security
23. programs. They are also learning that primary responsibility for
24. data security must rest with the managers of the functional areas
25. supported by the data.  
26.  
27. All managers who use any type of automated information resource
28. system must become familiar with their agency's policies and
29. procedures for protecting the information which is processed and
30. stored within them. Adequately secure systems deter, prevent, or
31. detect unauthorized disclosure, modification, or use of
32. information.  Agency information requires protection from
33. intruders, as well as from employees with authorized computer
34. access privileges who attempt to perform unauthorized actions.
35. Protection is achieved not only by technical, physical and
36. personnel safeguards, but also by clearly articulating and
37. implementing agency policy regarding authorized system use to
38. information users and processing personnel at all levels.  This
39. guide is one of three brochures that have been designed for a
40. specific audience.  The "Executive Guide to the Protection of
41. Information Resources" and the "Computer User's Guide to the
42. Protection of Information Resources" complete the series. 
43.  
44. $_Introduction
45.  
46. Well, here is the Management Guide, use it to your advantage.
47.  
48. $_Purpose of this Guide
49.  
50. This guide introduces information systems security concerns and
51. outlines the issues that must be addressed by all agency managers
52. in meeting their responsibilities to protect information systems
53. within their organizations. It describes essential components of
54. an effective information resource protection process that applies
55. to a stand alone personal computer or to a large data processing
56. facility.  
57.  
58. $_The Risks
59.  
60. Effort is required by every Federal agency to safeguard
61. information resources and to reduce risks to a prudent level. 
62. The spread of computing power to individual employees via
63. personal computers, local-area networks, and distributed
64. processing has drastically changed the way we manage and control
65. information resources. Internal controls and control points that
66. were present in the past when we were dealing with manual or
67. batch processes have not been established in many of today's
68. automated systems. Reliance upon inadequately controlled computer
69. systems can have serious consequences, including: 
70.  
71. Inability or impairment of the agency's ability to perform its
72. mission 
73.  
74. Inability to provide needed services to the public 
75.  
76. Waste, loss, misuse, or misappropriation of funds 
77.  
78. Loss of credibility or embarrassment to an agency 
79.  
80. To avoid these consequences, a broad set of information security
81. issues must be effectively and comprehensively addressed. 
82.  
83. $_Responsibilities
84.  
85. All functional managers have a responsibility to implement the
86. policies and goals established by executive management for
87. protection of automated information resources (data, processes,
88. facilities, equipment, personnel, and information). Managers in
89. all areas of an organization are clearly accountable for the
90. protection of any of these resources assigned to them to enable
91. them to perform their duties. They are responsible for
92. developing, administering, monitoring, and enforcing internal
93. controls, including security controls, within their assigned
94. areas of authority. Each manager's specific responsibilities will
95. vary, depending on the role that manager has with regard to
96. computer systems.  
97.  
98. Portions of this document provide more detailed information on
99. the respective security responsibilities of managers of computer
100. resources, managers responsible for information systems
101. applications and the personnel security issues involved. 
102. However, all agency management must strive to: 
103.  
104. $_Achieve Cost-Effective Security
105.  
106. The dollars spent for security measures to control or contain
107. losses should never be more than the projected dollar loss if
108. something adverse happened to the information resource.
109. Cost-effective security results when reduction in risk through
110. implementation of safeguards is balanced with costs. The greater
111. the value of information processed, or the more severe the
112. consequences if something  happens to it, the greater the need
113. for control measures to protect it. 
114. The person who can best determine the value or importance of
115. data is the functional manager who is responsible for the data.
116. For example, the manager responsible for the agency's budget
117. program is the one who should establish requirements for the
118. protection of the automated data which supports the program. This
119. manager knows better than anyone else in the organization what
120. the impact will be if the data is inaccurate or unavailable.
121. Additionally, this manager usually is the supervisor of most of
122. the users of the data. 
123.  
124. It is important that these trade-offs of cost versus risk
125. reduction be explicitly considered, and that management
126. understand the degree of risk remaining after selected controls
127. are implemented. 
128.  
129. $_Assure Operational Continuity
130.  
131. With ever-increasing demands for timely information and greater
132. volumes of information being processed, the threat of information
133. system disruption is a very serious one.  In some cases,
134. interruptions of only a few hours are unacceptable.  The impact
135. due to inability to process data should be assessed, and actions
136. should be taken to assure availability of those systems
137. considered essential to agency operation. Functional management
138. must identify critical computer applications and develop
139. contingency plans so that the probability of loss of data
140. processing and telecommunications support is minimized. 
141.  
142. $_Maintain Integrity
143.  
144. Integrity of information means you can trust the data and the
145. processes that manipulate it. Not only does this mean that errors
146. and omissions are minimized, but also that the information system
147. is protected from deliberate actions to wrongfully change the
148. data. Information can be said to have integrity when it
149. corresponds to the expectations and assumptions of the users. 
150.  
151. $_Assure Confidentiality
152.  
153. Confidentiality of sensitive data is often, but not always, a
154. requirement of agency systems. Privacy requirements for personal
155. information is dictated by statute, while confidentiality of
156. other agency information is determined by the nature of that
157. information, e.g., information submitted by bidders in
158. procurement actions. The impact of wrongful disclosure must be
159. considered in understanding confidentiality requirements. 
160.  
161. $_Comply with Applicable Laws and Regulations
162.  
163. As risks and vulnerabilities associated with information systems
164. become better understood, the body of law and regulations
165. compelling positive action to protect information resources
166. grows.  OMB Circular No. A-130, "Management of Federal
167. Information Resources" and Public Law 100-235, "Computer Security
168. Act of 1987" are two documents where the knowledge of these
169. regulations and laws provide a baseline for an information
170. resource security program. 
171.  
172. $_Information Systems Development
173.  
174. This section describes the protective measures that should be
175. included as part of the design and development of information
176. processing application systems.  The functional manager that is
177. responsible for and will use the information contained in the
178. system, must ensure that security measures have been included and
179. are adequate.  This includes applications designed for personal
180. computers as well as large mainframes.   
181.  
182. $_Control Decisions
183.  
184. The official responsible for the agency function served by the
185. automated information system has a critical role in making
186. decisions regarding security and control. In the past, risk was
187. often unconsciously accepted when such individuals assumed the
188. computer facility operators were taking care of security. In
189. fact, there are decisions to be made and security elements to be
190. provided that cannot be delegated to the operator of the system. 
191. In many cases, the user or manager develops the application and
192. operates solely. 
193.  
194. The cost of control must be balanced with system efficiency and
195. usability issues. Risk must be evaluated and cost-effective
196. controls selected to provide a prudent level of control while
197. maximizing productivity. Controls are often closely connected
198. with the system function, and cannot be effectively designed
199. without significant understanding of the process being automated.
200.  
201. $_Security Principles
202.  
203. There are some common security attributes that should be present
204. in any system that processes valuable personal or sensitive
205. information. System designs should include mechanisms to enforce
206. the following security attributes. 
207.  
208. $_Identification and Authentication of Users
209.  
210. Each user of a computer system should have a unique
211. identification on the system, such as an account number or other
212. user identification code. There must also be a means of verifying
213. that the individual claiming that identity (e.g., by typing in
214. that identifying code at a terminal) is really the authorized
215. individual and not an imposter. The most common means of
216. authentication is by a secret password, known only to the
217. authorized user. 
218.  
219. $_Authorization Capability Enforcing the Principle of Least
220. $_Possible Privilege
221.  
222. Beyond ensuring that only authorized individuals can access the
223. system, it is also necessary to limit the users access to
224. information and transaction capabilities. Each person should be
225. limited to only the information and transaction authority that is
226. required by their job responsibilities. This concept, known as
227. the principle of least possible privilege, is a long-standing
228. control practice. There should be a way to easily assign each
229. user just the specific access authorities needed. 
230.  
231. $_Individual Accountability
232. From both a control and legal point of view, it is necessary to
233. maintain records of the activities performed by each computer
234. user. The requirements for automated audit trails should be
235. developed when a system is designed. The information to be
236. recorded depends on what is significant about each particular
237. system. To be able to hold individuals accountable for their
238. actions, there must be a positive means of uniquely identifying
239. each computer user and a routinely maintained record of each
240. user's activities. 
241.  
242. $_Audit Mechanisms
243.  
244. Audit mechanisms detect unusual events and bring them to the
245. attention of management. This commonly occurs by violation
246. reporting or by an immediate warning to the computer system
247. operator. The type of alarm generated depends on the seriousness
248. of the event. 
249.  
250. A common technique to detect access attempts by unauthorized
251. individuals is to count attempts. The security monitoring
252. functions of the system can automatically keep track of
253. unsuccessful attempts to gain access and generate an alarm if the
254. attempts reach an unacceptable number. 
255.  
256. $_Performance Assurance
257.  
258. A basic design consideration for any information system should
259. be the ability to verify that the system is functioning as
260. intended. Systems that are developed without such design
261. considerations are often very difficult to independently audit or
262. review, leading to the possibility of unintended results or
263. inaccurate processing. 
264.  
265. $_Recoverability
266.  
267. Because Federal agencies can potentially be heavily dependent on
268. a computer system, an important design consideration is the
269. ability to easily recover from troublesome events, whether minor
270. problems or major disruptions of the system. From a design point
271. of view, systems should be designed to easily recover from minor
272. problems, and to be either transportable to another backup
273. computer system or replaced by manual processes in case of major
274. disruption or loss of computer facility. 
275.  
276. $_Access Decisions
277.  
278. Once the automated system is ready to use, decisions must be
279. made regarding access to the system and the information it
280. contains. For example, many individuals require the ability to
281. access and view data, but not the ability to change or delete
282. data. Even when computer systems have been designed to provide
283. the ability to narrowly designate access authorities, a
284. knowledgeable and responsible official must actually make those
285. access decisions. The care that is taken in this process is a
286. major determining factor of the level of security and control
287. present in the system. If sensitive data is being transmitted
288. over unprotected lines, it can be intercepted or passive
289. eavesdropping can occur.  Encrypting the files will make the data
290. unintelligible and port protection devices will protect the files
291. from unauthorized access, if warranted. 
292.  
293. $_Systems Development Process
294.  
295. All information systems software should be developed in a
296. controlled and systematic manner according to agency standards.
297. The quality and efficiency of the data processed, and the
298. possible reconfiguration of the system can all be affected by an
299. inadequate development process.  The risk of security exposures
300. and vulnerabilities is greatly reduced when the systems
301. development process is itself controlled. 
302.  
303. $_Computer Facility Management
304.  
305. Functional managers play a critical role in assuring that agency
306. information resources are appropriately safeguarded. This section
307. describes the protective measures that should be incorporated
308. into the ongoing management of information resource processing
309. facilities.  As defined in OMB Circular No. A-130, "Management of
310. Federal Information Resources,"  the term "information technology
311. facility" means an organizationally defined set of personnel,
312. hardware, software, and physical facilities, a primary function
313. of which is the operation of information technology.  This
314. section, therefore applies to any manager who houses a personal
315. computer, mainframe or any other form of office system or
316. automated equipment. 
317.  
318. $_Physical Security
319.  
320. Information cannot be appropriately protected unless the
321. facilities that house the equipment are properly protected from
322. physical threats and hazards. The major areas of concern are
323. described below. 
324.  
325. $_Environmental Conditions
326.  
327. For many types of computer equipment, strict environmental
328. conditions must be maintained. Manufacturer's specifications
329. should be observed for temperature, humidity, and electrical
330. power requirements. 
331.  
332. $_Control of Media
333.  
334. The media upon which information is stored should be carefully
335. controlled. Transportable media such as tapes and cartridges
336. should be kept in secure locations, and accurate records kept of
337. the location and disposition of each. In addition, media from an
338. external source should be subject to a check-in process to ensure
339. it is from an authorized source. 
340.  
341. $_Control of Physical Hazards
342.  
343. Each area should be surveyed for potential physical hazards.
344. Fire and water are two of the most damaging forces with regard to
345. computer systems. Opportunities for loss should be minimized by
346. an effective fire detection and suppression mechanism, and
347. planning reduces the danger of leaks or flooding. Other physical
348. controls include reducing the visibility of the equipment and
349. strictly limiting access to the area or equipment. 
350.  
351. $_Contingency Planning
352.  
353. Although risks can be minimized, they cannot be eliminated. When
354. reliance upon a computer facility or application is substantial,
355. some type of contingency plan should be devised to allow critical
356. systems to be recovered following a major disaster, such as a
357. fire. There are a number of alternative approaches that should be
358. evaluated to most cost-effectively meet the agency's need for
359. continuity of service. 
360.  
361. $_Configuration Management
362.  
363. Risk can be introduced through unofficial and unauthorized
364. hardware or software. Another key component of information
365. resource management is ensuring only authorized hardware and
366. software are being utilized. There are several control issues to
367. be addressed. 
368.  
369. $_Maintaining Accurate Records
370.  
371. Records of hardware/software inventories, configurations, and
372. locations should be maintained and kept up-to-date. 
373.  
374. $_Complying with Terms of Software Licenses
375.  
376. Especially with microcomputer software, illegal copying and
377. other uses in conflict with licensing agreements are concerns.
378. The use of software subject to licensing agreements must be
379. monitored to ensure it is used according to the terms of the
380. agreement. 
381.  
382. $_Protecting Against Malicious Software and Hardware
383.  
384. The recent occurrences of destructive computer "viruses" point
385. to the need to ensure that agencies do not allow unauthorized
386. software to be introduced to their computer environments.
387. Unauthorized hardware can also contain hidden vulnerabilities.
388. Management should adopt a strong policy against unauthorized
389. hardware/software, inform personnel about the risks and
390. consequences of unauthorized additions to computer systems, and
391. develop a monitoring process to detect violations of the policy.
392.  
393. $_Data Security
394.  
395. Management must ensure that appropriate security mechanisms are
396. in place that allow responsible officials to designate access to
397. data according to individual computer users' specific needs.
398. Security mechanisms should be sufficient to implement individual
399. authentication of system users, allow authorization to specific
400. information and transaction authorities, maintain audit trails as
401. specified by the responsible official, and encrypt sensitive
402. files if required by user management. 
403.  
404. $_Monitoring and Review
405.  
406. A final aspect of information resource protection to be
407. considered is the need for ongoing management monitoring and
408. review. To be effective,  a security program must be a continuous
409. effort. Ideally, ongoing processes should be adapted to include
410. information protection checkpoints and reviews. Information
411. resource protection should be a key consideration in all major
412. computer system initiatives. 
413.  
414. Earlier, the need for system audit trails was discussed. Those
415. audit trails are useful only if management regularly reviews
416. exception items or unusual activities. Irregularities should be
417. researched and action taken when merited. Similarly, all
418. information-related losses and incidents should be investigated.
419.  
420.  A positive benefit of an effective monitoring process is an
421. increased understanding of the degree of information-related risk
422. in agency operations. Without an ongoing feedback process,
423. management may unknowingly accept too much risk. Prudent
424. decisions about trade-offs between efficiency and control can
425. only be made with a clear understanding of the degree of inherent
426. risk. Every manager should ask questions and periodically review
427. operations to judge whether changes in the environment have
428. introduced new risk, and to ensure that controls are working
429. effectively. 
430.  
431. $_Personnel Management
432.  
433. Managers must be aware that information security is more a
434. people issue than a technical issue. Personnel are a vital link
435. in the protection of information resources, as information is
436. gathered by people, entered into information resource systems by
437. people, and ultimately used by people. Security issues should be
438. addressed with regard to: 
439.  People who use computer systems and store information in the
440. course of their normal job responsibilities 
441.  People who design, program, test, and implement critical or
442. sensitive systems 
443.  People who operate computer facilities that process critical or
444. sensitive data 
445.  
446. $_Personnel Security
447.  
448. From the point of hire, individuals who will have routine access
449. to sensitive information resources should be subject to special
450. security procedures. More extensive background or reference
451. checks may be appropriate for such positions, and security
452. responsibilities should be explicitly covered in employee
453. orientations. Position descriptions and performance evaluations
454. should also explicitly reference unusual responsibilities
455. affecting the security of information resources. 
456.  
457. Individuals in sensitive positions should be subject to job
458. rotation, and work flow should be designed in such a way as to
459. provide as much separation of sensitive functions as possible.
460. Upon decision to terminate or notice of resignation, expedited
461. termination or rotation to less sensitive duties for the
462. remainder of employment is a reasonable precaution. 
463.  
464. Any Federal computer user who deliberately performs or attempts
465. to perform unauthorized activity should be subject to
466. disciplinary action, and such disciplinary action must be
467. uniformly applied throughout the agency. Any criminal activity
468. under Federal or state computer crime laws must be reported to
469. law enforcement authorities. 
470.  
471. $_Training
472.  
473. Most information resource security problems involve people.
474. Problems can usually be identified in their earliest stages by
475. people who are attuned to the importance of information
476. protection issues. A strong training program will yield large
477. benefits in prevention and early detection of problems and
478. losses. To be most effective, training should be tailored to the
479. particular audience being addressed, e.g., executives and policy
480. makers; program and functional managers; IRM security and audit:
481. ADP management and operations; end users.  
482.  
483. Most employees want to do the right thing, if agency
484. expectations are clearly communicated. Internal policies can be
485. enforced only if staff have been made aware of their individual
486. responsibilities. All personnel who access agency computer
487. systems should be aware of their responsibilities under agency
488. policy, as well as obligations under the law. Disciplinary
489. actions and legal penalties should be communicated. 
490.  
491. -JUDGE DREDD/NIA
492.