home *** CD-ROM | disk | FTP | other *** search

---

/ Group 42-Sells Out! - The Information Archive / Group 42 Sells Out (Group 42) (1996).iso / hack / nia / nia020.txt

< prev

next >

Wrap

Text File  |  1995-11-30  |  22KB  |  473 lines

---

1.  ┌──────────────────┐ ╔═══════════════════════════════╗ ┌──────────────────┐
2.  │   Founded By:    │ ║  Network Information Access   ║ │ Mother Earth BBS │
3.  │ Guardian Of Time │─║            17APR90            ║─│  NUP:> DECnet    │
4.  │   Judge Dredd    │ ║          Judge Dredd          ║ │Text File Arcvhies│
5.  └────────┬─────────┘ ║            File 20            ║ └─────────┬────────┘
6.           │           ╚═══════════════════════════════╝           │
7.           │      ╔═══════════════════════════════════════════╗    │
8.           └──────╢ Executive Guide/Protection Of Information ╟────┘
9.                  ╚═══════════════════════════════════════════╝
10.  
11. Federal agencies are becoming increasingly
12. dependent upon automated information systems to carry out their
13. missions.  While in the past, executives have taken a hands-off 
14. approach in dealing with these resources, essentially leaving the
15. area to the computer technologist, they are now recognizing that
16. computers and computer-related problems must be understood and 
17. managed, the same as any other resource. 
18.  
19. $_The success of an information resources protection
20.  
21. program depends on the policy generated, and on the attitude of 
22. management toward securing information on automated systems.  
23. You, the policy maker, set the tone and the emphasis on how 
24. important a role information security will have within your 
25. agency.  Your primary responsibility is to set the information 
26. resource security policy for the organization with the objectives
27. of reduced risk, compliance with laws and regulations and 
28. assurance of operational continuity, information integrity, and 
29. confidentiality.  
30.  
31. $_Purpose of this Guide
32.  
33. This guide is designed to help you, the policy 
34. maker, address a host of questions regarding the protection and 
35. safety of computer systems and data processed within your agency.
36. It introduces information systems security concerns, outlines the
37. management issues that must be addressed by agency policies and 
38. programs, and describes essential components of an effective 
39. implementation process.   
40.  
41. $_The Risks
42.  
43. The proliferation of personal computers, 
44. local-area networks, and distributed processing has drastically 
45. changed the way we manage and control information resources.  
46. Internal controls and control points that were present in the 
47. past when we were dealing with manual or batch processes have not
48. always been replaced with comparable controls in many of today's
49. automated systems.  Reliance upon inadequately controlled 
50. information systems can have serious consequences, including: 
51.  
52. Inability or impairment of the agency's ability to 
53. perform its mission 
54.  
55. Inability to provide needed services to the public 
56.  
57. Waste, loss, misuse, or misappropriation of funds 
58.  
59. Loss of credibility or embarrassment to an agency 
60.  
61. To avoid these consequences, a broad set of 
62. information security issues must be addressed effectively and 
63. comprehensively. Towards this end, executives should take a 
64. traditional risk management approach, recognizing that risks are
65. taken in the day-to-day management of an organization, and that 
66. there are alternatives to consider in managing these risks. Risk
67. is accepted as part of doing business or is reduced or eliminated
68. by modifying operations or by employing control mechanisms. 
69.  
70. $_Executive Responsibilities
71.  
72. Set the Security Policy of the Organization 
73. Protecting information resources is an important goal for all
74. organizations.   This goal is met by establishing an 
75. information resource security program.  It will require staff, 
76. funding and positive incentives to motivate employees to 
77. participate in a program to protect these valuable assets. 
78. This information resource protection policy should 
79. state precisely: 
80.  
81. the value to the agency of data and information 
82. resources and the need to preserve their integrity, availability,
83. and confidentiality 
84.  
85. the intent of the organization to protect the resources 
86. from accidental or deliberate unauthorized disclosure, 
87. modification, or destruction by employing cost-effective controls
88.  
89. the assignment of responsibility for data security 
90. throughout the organization 
91.  
92. the requirement to provide computer security and 
93. awareness training to all employees having access to information
94. resources 
95.  
96. the intent to hold employees personally accountable for 
97. information resources entrusted to them 
98.  
99. the requirement to monitor and assess data security via 
100. internal and external audit procedures 
101.  
102. the penalties for not adhering to the policy 
103.  
104. $_Executive Goals
105.  
106. The policy established for securing information 
107. resources should meet the basic goals of reducing the risk, 
108. complying with applicable laws and regulations, and assuring 
109. operational continuity, integrity and confidentiality.  This 
110. section briefly describes these objectives and how they can be 
111. met. 
112.  
113. $_Reduce Risk To An Acceptable Level
114.  
115. The dollars spent for security measures to control 
116. or contain losses should never be more than the projected dollar
117. loss if something adverse happened to the information resource. 
118. Cost-effective security results when reduction in risk is 
119. balanced with the cost of implementing safeguards.  The greater 
120. the value of information processed, or the more severe the 
121. consequences if something  happens to it, the greater the need 
122. for control measures to protect it.  It is important that these 
123. trade-offs of cost versus risk reduction be explicitly 
124. considered, and that executives understand the degree of risk 
125. remaining after selected controls are implemented. 
126.  
127. $_Assure Operational Continuity
128.  
129. With ever-increasing demands for timely 
130. information and greater volumes of information being processed, 
131. availability of essential systems, networks, and data is a major
132. protection issue.  In some cases, service disruptions of just a 
133. few hours are unacceptable.  Agency reliance on essential 
134. computer systems requires that advance planning be done to allow
135. timely restoration of processing capabilities in the event of 
136. severe service disruption. The impact due to inability to process
137. data should be assessed, and action taken to assure availability
138. of those systems considered essential to agency operation.   
139.  
140. $_Comply with Applicable Laws and Regulations
141.  
142. As the pervasiveness of computer systems increases 
143. and the risks and vulnerabilities associated with information 
144. systems become better understood, the body of law and regulations
145. compelling positive action to protect information resources  
146. grows. OMB Circular No. A-130, "Management of Federal Information
147. systems," and Public Law 100-235, "Computer Security Act of 1987"
148. are two documents where the knowledge of these laws provide a 
149. baseline for an information resources security program. 
150.  
151. $_Assure Integrity and Confidentiality
152.  
153. An important objective of an information resource 
154. management program is to ensure that the information is accurate. 
155. Integrity of information means you can trust the data and the 
156. processes that manipulate it.  A system has integrity when it 
157. provides sufficient accuracy and completeness to meet the needs 
158. of the user(s).  It should be properly designed to automate all 
159. functional requirements, include appropriate accounting and 
160. integrity controls, and accommodate the full range of potential 
161. conditions that might be encountered in its operation. 
162.  
163. Agency information should also be protected from
164. intruders, as well as from employees with authorized computer 
165. access privileges who attempt to perform unauthorized actions. 
166. Assured confidentiality of sensitive data is 
167. often, but not always, a requirement of agency systems.  Privacy
168. requirements for personal information are generally dictated by 
169. statute, while protection requirements for other agency 
170. information are a function of the nature of that information.  
171. Determination of requirements in the latter case is made by the 
172. official responsible for that information.  The impact of 
173. wrongful disclosure should be considered in understanding 
174. confidentiality requirements. 
175.  
176. $_Information Protection Program Elements
177.  
178. $_Need for Policies and Procedures
179.  
180. Successful execution of the responsibilities previously outlined
181. requires establishing agency policies and practices regarding
182. information protection.  The security policy
183. directive facilitates consistent protection of information 
184. resources.  Supporting procedures are most effectively 
185. implemented with top management support, through a program 
186. focused on areas of highest risk.  A compliance assessment 
187. process ensures ongoing effectiveness of the information 
188. protection program throughout the agency. 
189.  
190. $_Scope
191.  
192. Although the protection of automated information 
193. resources is emphasized in this publication, protection 
194. requirements will usually extend to information on all forms of 
195. media.  Agency programs should apply safeguards to all 
196. information requiring protection, regardless of its form or 
197. location.  Comprehensive information resource protection 
198. procedures will address: accountability for information, 
199. vulnerability assessment, data access, hardware/software control,
200. systems development, and operational controls.  Protection should
201. be afforded throughout the life cycle of information, from 
202. creation through ultimate disposition. 
203. Accountability for Information 
204. An effective information resource protection 
205. program identifies the information used by the agency and assigns
206. primary responsibility for information protection to the managers
207. of the respective functional areas supported by the data.  These
208. managers know the importance of the data to the organization and
209. are able to quantify the economic consequences of undesirable 
210. happenings.  They are also able to detect deficiencies in data 
211. and know definitively who must have access to the data supporting
212. their operations. A fundamental information protection issue is 
213. assignment of accountability.  Information flows throughout the 
214. organization and can be shared by many individuals.  This tends 
215. to blur accountability and disperse decision-making regarding 
216. information protection.  Accountability should be explicitly 
217. assigned for determining and monitoring security for appropriate
218. agency information. 
219.  
220. When security violations occur, management must be 
221. accountable for responding and investigating.  Security 
222. violations should trigger a re-evaluation of access 
223. authorizations, protection decisions, and control techniques.  
224. All apparent violations should be resolved; since absolute 
225. protection will never be achieved, some losses are inevitable.  
226. It is important, however, that the degree of risk assumed be 
227. commensurate with the sensitivity or importance of the 
228. information resource to be protected.   
229.  
230. $_Vulnerability Assessment
231.  
232. A risk assessment program ensures management that 
233. periodic reviews of information resources have considered the 
234. degree of vulnerability to threats causing destruction, 
235. modification, disclosure, and delay of information availability,
236. in making protection decisions and investments in safeguards. 
237. The official responsible for a specific 
238. information resource determines protection requirements.  
239. Less-sensitive, less-essential information will require minimal 
240. safeguards, while highly sensitive or critical information might
241. merit strict protective measures.  Assessment of vulnerability is
242. essential in specifying cost-effective safeguards; overprotection
243. can be needlessly costly and add unacceptable operational 
244. overhead. 
245.  
246. Once cost-effective safeguards are selected,
247. residual risk remains and is accepted by management.  Risk status
248. should be periodically re-examined to identify new threats, 
249. vulnerabilities, or other changes that affect the degree of risk
250. that management has previously accepted. 
251.  
252. $_Data Access
253.  
254. Access to information should be delegated 
255. according to the principles of need-to-know and least possible 
256. privilege.  For a multi-user application system, only individuals
257. with authorized need to view or use data are granted access 
258. authority, and they are allowed only the minimum privileges 
259. needed to carry out their duties.  For personal computers with 
260. one operator, data should be protected from unauthorized viewing
261. or use.  It is the individual's responsibility to ensure that the
262. data is secure.  
263.  
264. $_Systems Development
265.  
266. All information systems software should be 
267. developed in a controlled and systematic manner according to 
268. agency standards.  Agency policy should require that appropriate
269. controls for accuracy, security, and availability are identified
270. during system design, approved by the responsible official, and 
271. implemented.  Users who design their own systems, whether on a 
272. personal computer or on a mainframe, must adhere to the systems 
273. development requirements.  
274.  
275. Systems should be thoroughly tested according to 
276. accepted standards and moved into a secure production environment
277. through a controlled process.  Adequate documentation should be 
278. considered an integral part of the information system and be 
279. completed before the system can be considered ready for use. 
280.  
281. $_Hardware/Software Configuration Control
282.  
283. Protection of hardware and resources of computer 
284. systems and networks greatly contributes to the overall level of
285. control and protection of information.  The information 
286. protection policies should provide substantial direction 
287. concerning the management and control of computer hardware and 
288. software. 
289.  
290. Agency information should be protected from the
291. potentially destructive impact of unauthorized hardware and 
292. software.  For example, software "viruses" have been inserted 
293. into computers through games and apparently useful software 
294. acquired via public access bulletin boards; viruses can spread 
295. from system to system before being detected.  Also, unauthorized
296. hardware additions to personal computers can introduce unknown 
297. dial-in access paths.  Accurate records of hardware/software 
298. inventory, configurations, and locations should be maintained, 
299. and control mechanisms should provide assurance that unauthorized
300. changes have not occurred.   
301.  
302. To avoid legal liability, no unauthorized copying 
303. of software should be permitted.  Agencies should also address 
304. the issue of personal use of Federal computer systems, giving 
305. employees specific direction about allowable use and providing 
306. consistent enforcement. 
307.  
308. $_Operational Controls
309. Agency standards should clearly communicate 
310. minimum expected controls to be present in all computer 
311. facilities, computer operations, input/output handling, network 
312. management, technical support, and user liaison.  More stringent
313. controls would apply to those areas that process very sensitive 
314. or critical information. 
315.  
316. Protection of these areas would include: 
317. Security management; 
318. Physical security; 
319. Security of system/application software and data; 
320. Network security; and 
321. Contingency planning. 
322.  
323. The final section of this guide describes the 
324. organizational process of developing, implementing, and managing
325. the ongoing information protection program. 
326.  
327. $_Information Protection Program Implementation
328.  
329. $_Information Protection Management
330.  
331. In most cases, agency executive management is not 
332. directly involved in the details of achieving a controlled 
333. information processing environment.  Instead, executive action 
334. should focus on effective planning, implementation, and an 
335. ongoing review structure.  Usually, an explicit group or 
336. organization is assigned specific responsibility for providing 
337. day-to-day guidance and direction of this process.  Within this 
338. group an information security manager (ISM) should be identified
339. as a permanent focal point for information protection issues 
340. within the agency. 
341.  
342. The ISM must be thoroughly familiar with the 
343. agency mission, organization, and operation.  The manager should
344. have sufficient authority to influence the organization and have
345. access to agency executives when issues require escalation. 
346.  
347. $_Independence
348.  
349. In determining the reporting relationship of the 
350. ISM, independence of functional areas within the agency is 
351. desirable.  Plans and budget for the ISM function should be 
352. approved by agency management, rather than being part of any 
353. functional area budget.  This approach avoids conflicts of 
354. interest and facilitates development and maintenance of a 
355. comprehensive and consistent protection program that serves the 
356. needs of agency management. 
357. Degree of Centralization 
358.  
359. The desirability of centralized versus 
360. decentralized security is heavily debated and largely depends on
361. size, organizational structure, and management approach at the 
362. individual agency.  A centralized approach to security has the 
363. advantages of being directly responsive to executive direction 
364. and specifically accountable for progress and status. 
365.  A decentralized approach to security has the 
366. advantages of being close to the functional area involved.  In 
367. the long term, decentralization may provide better integration of
368. security with other entity functions. 
369.  
370. An effective combined approach offers advantages. 
371. A small dedicated resource at the agency level can direct the 
372. information protection program, while additional resources are 
373. utilized at the functional area level to implement the program in
374. each area. 
375.  
376. $_Dedicated Staff
377.  
378. The common practice of assigning responsibility 
379. for information security to existing staff with other major 
380. responsibilities is often unsuccessful.  At least one dedicated 
381. staff member is recommended at the program management level.   
382. The need for additional full-time resources depends on the
383. agency's computer environment.  The number of information
384. systems, their technical complexity, the degree of 
385. networking, the importance of information processed, adequacy of
386. existing controls, and extent of agency dependence on information
387. systems affect the resources needed. 
388.  
389. $_Implementation Stages
390.  
391. Development of a comprehensive information 
392. protection program that is practiced and observed widely 
393. throughout a Federal agency occurs in stages and requires ongoing
394. monitoring and maintenance to remain viable. 
395.  
396. First, organizational requirements for information 
397. protection are identified.  Different agencies have varying 
398. levels of need for security, and the information protection 
399. program should be structured to most effectively meet those 
400. needs. 
401.  
402. Next, organizational policies are developed that 
403. provide a security architecture for agency operations, taking 
404. into consideration the information protection program elements 
405. discussed in the previous section of this guide.  The policies 
406. undergo normal review procedures, then are approved by agency 
407. management for implementation. 
408.  
409. Activities are then initiated to bring the agency 
410. into compliance with the policies.  Depending on the degree of 
411. centralization, this might require development of further plans 
412. and budgets within functional entities of the agency to implement
413. the necessary logical and physical controls. 
414.  
415. $_Training
416.  
417. Training is a major activity in the implementation 
418. process.  Security violations are the result of human action, and
419. problems can usually be identified in their earliest stages by 
420. people.  Developing and maintaining personnel awareness of 
421. information security issues can yield large benefits in 
422. prevention and early detection of problems and losses. 
423.  
424. Target audiences for this training are executives 
425. and policy makers, program and functional managers, IRM security
426. and audit personnel, computer management and operations, and end
427. users. Training can be delivered through existing policy and 
428. procedures manuals, written materials, presentations and classes,
429. and audio-visual training programs. 
430.  
431. The training provided should create an awareness 
432. of risks and the importance of safeguards, underscoring the 
433. specific responsibilities of each of the individuals being 
434. trained. 
435.  
436. $_Monitoring and Enforcement
437.  
438. An ongoing monitoring and enforcement program 
439. assures continued effectiveness of information protection 
440. measures.  Compliance may be measured in a number of ways, 
441. including audits, management reviews or self-assessments, 
442. surveys, and other informal indicators.  A combination of 
443. monitoring mechanisms provides greater reliability of results. 
444.  
445. Variances from policy requirements should be 
446. accepted only in cases where the responsible official has 
447. evaluated, documented, and accepted the risk of noncompliance.  
448. Enforcement of agency policies and practices is important to the
449. overall success of an information protection program.  
450. Inconsistent or lax enforcement quickly results in deterioration
451. of internal controls over information resources. 
452.  
453. A positive benefit of an effective monitoring and 
454. enforcement process is an increased understanding of the degree 
455. of information-related risk in agency operations.  Without such a
456. feedback process, management unknowingly accepts too much risk. 
457. An effective information protection program allows the agency to
458. continue to rely upon and expand the use of information 
459. technology while maintaining an acceptable level of risk. 
460.  
461. $_Maintenance
462.  
463. As agency initiatives and operations change, and 
464. as the computer environment evolves, some elements of the 
465. information protection program will require change as well. 
466. Information protection cannot be viewed as a project with a 
467. distinct end; rather, it is a process that should be maintained 
468. to be realistic and useful to the agency.  Procedures for review
469. and update of policies and other program elements should be 
470. developed and followed. 
471.  
472. -JUDGE DREDD/NIA
473.