home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / secpubs / std003.txt

< prev

next >

Wrap

Text File  |  1995-09-15  |  21KB  |  596 lines

---

1.                                                     CSC-STD-003-85
2.  
3.  
4.  
5.  
6.  
7.  
8.  
9.  
10.                              COMPUTER SECURITY REQUIREMENTS
11.  
12.                    GUIDANCE FOR APPLYING THE DEPARTMENT OF DEFENSE
13.                      TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA
14.                                IN SPECIFIC ENVIRONMENTS
15.  
16.  
17.  
18.  
19.  
20.  
21.  
22.  
23.  
24.  
25.  
26.  
27.  
28.  
29.  
30.  
31.  
32.  
33.  
34.  
35.  
36.  
37.  
38.  
39.  
40.  
41.  
42.  
43.  
44.  
45.  
46.  
47. Approved for public release;
48.  distribution unlimited.
49.  
50.  
51.  
52.  
53.  
54.       25 June 1985
55.                         CSC-STD-003-85
56.                        Library No. S-226,727
57.  
58.  
59.                                           FOREWORD 
60.  
61. This publication, Computer Security Requirements--Guidance for Applying the
62. Department of Defense Trusted Computer System Evaluation Criteria in Specific
63. Environments, is being issued by the DoD Computer Security Center (DoDCSC)
64. under the authority of and in accordance with DoD Directive 5215.1, "Computer
65. Security Evaluation Center." It provides guidance for specifying computer
66. security requirements for the Department of Defense (DoD) by identifying the
67. minimum class of system required for a given risk index.  System classes are
68. those defined by CSC-STD-001-83, Department of Defense Trusted Computer System
69. Evaluation Criteria, 15 August 1983.  Risk index is defined as the disparity
70. between the minimum clearance or authorization of system users and the maximum
71. sensitivity of data processed by the system.  This guidance is intended to be
72. used in establishing minimum computer security requirements for the processing
73. and/or storage and retrieval of sensitive or classified information by the
74. Department of Defense whenever automatic data processing systems are employed.
75. Point of contact concerning this publication is the Office of Standards and
76. Products, Attention: Chief, Computer Security Standards.
77.  
78.  
79.  
80.                                          25 June 1985
81.  
82. Robert L. Brotzman
83. Director
84. DoD Computer Security Center
85.  
86.  
87.                 i
88.  
89.                       ACKNOWLEDGMENTS
90.  
91. Acknowledgment is given to the following for formulating the computer security
92. requirements and the supporting technical and procedural rationale behind
93. these requirements: Col Roger R.  Schell, formerly DoDCSC, George F.  Jelen,
94. formerly DoDCSC, Daniel J.  Edwards, Sheila L.  Brand, and Stephen F.
95. Barnett, DoDCSC.
96.  
97. Acknowledgment is also given to the following for giving generously of their
98. time and expertise in the review and critique of these computer security
99. requirements: CDR Robert Emery, OJCS, Dan Mechelke, 902nd MI Gp, Mary Taylor,
100. DAMI-CIC, Maj.  Freeman, DAMI-CIC, Ralph Neeper, DAMI-CIC, Duane Fagg, NAVDAC,
101. H.  O.  Lubbes, HAVE LEX, Sue Berg, OPNAV, Susan Tominack, NAVDAC, Lt.  Linda
102. Fischer, OPNAV, Eugene Epperly, ODUSD(P), Maj.  Grace Culver, USAF- SITT, Capt
103. Mike Weidner, ASPO, and James P.  Anderson, James P.  Anderson & Co.
104.  
105. And finally, special recognition is extended to H.  William Neugent and Ingrid
106. M.  Olson of the MITRE Corporation and to Alfred W.  Arsenault of the DoDCSC
107. for preparation of this document.
108.  
109.  
110.  
111.  
112.  
113.  
114.  
115.  
116.  
117.  
118.  
119.  
120.  
121.                 ii
122.  
123.                      TABLE OF CONTENTS
124.                                                                        Page
125. FOREWORD..............................................................   i
126. ACKNOWLEDGMENTS.......................................................  ii
127. LIST OF TABLES........................................................  iv
128. 1.0 INTRODUCTION......................................................   1
129. 2.0 DEFINITIONS.......................................................   3
130. 3.0 RISK INDEX COMPUTATION............................................   7
131. 4.0 COMPUTER SECURITY REQUIREMENTS....................................  11
132. REFERENCES............................................................  13
133.  
134.  
135.  
136.  
137.  
138.  
139.  
140.  
141.  
142.  
143.  
144.  
145.                 iii
146.  
147.                       LIST OF TABLES
148.  
149.  
150. TABLE  1: Rating Scale for Minimum User Clearance.....................   8
151. TABLE  2: Rating Scale for Maximum Data Sensitivity...................   9
152. TABLE  3: Computer Security Requirements..............................  12
153.  
154.  
155.  
156.  
157.  
158.  
159.  
160.  
161.  
162.  
163.  
164.                                     iv
165.  
166.  
167.                             1
168.  1.0 INTRODUCTION
169.  
170. This document establishes computer security requirements for
171. the Department of Defense (DoD) by identifying the minimum class of system
172. required for a given risk index.  The classes are those defined by
173. CSC-STD-001-83, Department of Defense Trusted Computer System Evaluation
174. Criteria (henceforth referred to as the Criteria).(1) A system's risk index is
175. defined as the disparity between the minimum clearance or authorization of
176. system users and the maximum sensitivity of data processed by the system. [1]
177.  
178. The recommendations in this document are those that the DoD Computer Security
179. Center (DoDCSC) believes to be the minimum adequate to provide an acceptable
180. level of security.  These recommendations are made in part due to the fact
181. that there is no comprehensive policy in effect today which covers this area
182. of computer security.  Where current policy does exist, however, this document
183. shall not be taken to supersede or override that policy, nor shall it be taken
184. to provide exemption from any policy covering areas of security not addressed
185. in this document.
186.  
187. Section 2 of this document provides definitions of terms used.  Risk index
188. computation is described in Section 3, while Section 4 presents the computer
189. security requirements.
190.  
191.  
192.  
193.  
194.  
195.  
196.  
197.  
198.  
199.  
200. ----------------------------------
201. [1] Since a clearance implicitly encompasses lower clearance levels (e.g., a
202. Secret- cleared user has an implicit Confidential clearance), the phrase
203. "minimum clearance of the system users" is more accurately stated as "maximum
204. clearance of the least cleared system user." For simplicity, this document
205. uses the former phrase.
206.         
207.  
208.                                               3
209.  
210.  
211. 2.0 DEFINITIONS
212.  
213. Application
214.      Those portions of a system, including portions of the operating system,
215.      that are not responsible for enforcing the system's security policy.
216. Category
217.      A grouping of classified or unclassified but sensitive information to
218.      which an additional restrictive label is applied to signify that
219.      personnel are granted access to the information only if they have
220.      appropriate authorization (e.g., proprietary information (PROPIN),
221.      information that is Not Releasable to Foreign Nationals (NOFORN),
222.      compartmented information, information revealing sensitive intelligence
223.      sources and methods (WNINTEL)).  Closed security environment
224.      An environment in which both of the following conditions hold true:
225.  
226.      1.  Application developers (including maintainers) have sufficient
227.          clearances and authorizations to provide acceptable presumption that
228.          they have not introduced malicious logic.  Sufficient clearance is
229.          defined as follows: where the maximum classification of the data to
230.          be processed is Confidential or less, developers are cleared and
231.          authorized to the same level as the most sensitive data; where the
232.          maximum classification of the data to be processed is Secret or
233.          above, developers have at least a Secret clearance.
234.  
235.      2.  Configuration control provides sufficient assurance that
236.          applications are protected against the introduction of malicious
237.          logic prior to and during the operation of system applications.
238.  
239. Compartmented security mode
240.  
241.          The mode of operation which allows the system to process two or more
242.          types of compartmented information (information requiring a special
243.          authorization)6565 or any one type of compartmented information with
244.          other than compartmented information.  In this mode, all system users
245.          need not be cleared for all types of compartmented information
246.          processed, but must be fully cleared for at least.  Top Secret
247.          information for unescorted access to the computer.
248.  
249. Configuration control
250.          
251.          Management of changes made to a system's hardware, software,
252.          firmware, and documentation throughout the development and
253.          operational life of the system.
254.                              
255.  
256.     4
257.  
258.  
259.  
260.  
261. Controlled security mode
262.  
263.          The mode of operation that is a type of multilevel security mode in
264.          which a more limited amount of trust is placed in the
265.          hardware/software requirement base of the system, with resultant
266.          restrictions on the classification levels and clearance levels that
267.          may be supported.
268.  
269. Dedicated security mode
270.  
271.          The mode of operation in which the system is specifically and
272.          exclusively dedicated to and controlled for the processing of one
273.          particular type or classification of information, either for
274.          full-time operation or for a specified period of time.
275.  
276. Environment
277.  
278.          The aggregate of external circumstances, conditions, and events that
279.          affect the development, operation, and maintenance of a system.
280.  
281. Malicious logic
282.  
283.           Hardware, software, or firmware that is intentionally included in a
284.           system for the purpose of causing loss or harm (e.g., Trojan
285.           horses).
286.  
287. Multilevel security mode
288.  
289.           The mode of operation which allows two or more classification
290.           levels of information to be processed simultaneously within the
291.           same system when some users are not cleared for all levels of
292.           information present.
293.  
294. Open security environment
295.  
296.      An environment in which either of the following conditions holds true:
297.  
298.      1. Application developers (including maintainers) do not have sufficient
299.         clearance (or authorization) to provide an acceptable presumption that
300.         they have not introduced malicious logic.  (See "Closed security
301.         environment" for definition of sufficient clearance.)
302.  
303.      2. Configuration control does not provide sufficient assurance that
304.         applications are protected against the introduction of malicious
305.         logic prior to and during the operation of system applications.
306.  
307. Risk index
308.  
309.      The disparity between the minimum clearance or authorization of system
310.      users and the maximum sensitivity (e.g., classification and categories)
311.      of data processed by a system.
312.                                                                            5
313.  
314. Sensitive information
315.      
316.      Information that, as determined by a competent authority, must be
317.      protected because its unauthorized disclosure, alteration, loss, or
318.      destruction will at least cause perceivable damage to someone or
319.      something.
320.        
321.      System
322.      
323.      An assembly of computer hardware, software, and firmware configured for
324.      the purpose of classifying, sorting, calculating, computing, summarizing,
325.      transmitting and receiving, storing, and retrieving data with a minimum
326.      of human intervention.
327.  
328. System high security mode
329.      
330.      The mode of operation in which system hardware/software is only trusted
331.      to provide need-to-know protection between users.  In this mode, the
332.      entire system, to include all components electrically and/or physically
333.      connected, must operate with security measures commensurate with the
334.      highest classification and sensitivity of the information being processed
335.      and/or stored.  All system users in this environment must possess
336.      clearances and authorizations for all information contained in the
337.      system.  All system output must be clearly marked with the highest
338.      classification and all system caveats, until the information has been
339.      reviewed manually by an authorized individual to ensure appropriate
340.      classifications and caveats have been affixed.  
341.      
342. System users
343.      
344.      Those individuals with direct connections to the system, and also those
345.      individuals without direct connections who receive output or generate
346.      input that is not reliably reviewed for classification by a responsible
347.      individual.  The clearance of system users is used in the calculation of
348.      risk index.  
349.      
350. For additional definitions, refer to the Glossary of TheCriteria.(1)
351.      
352.      
353.                                                                            7
354.  
355.  
356. 3.0 RISK INDEX COMPUTATION
357.      
358.      
359. The initial step in determining the minimum evaluation class required for a
360. system is to determine the system's risk index.  The risk index for a system
361. depends on the rating associated with the system's minimum user clearance
362. (Rmin) taken from Table 1 and the rating associated with the system's maximum
363. data sensitivity (Rmax) taken from Table 2.  The risk index is computed as
364. follows:
365.  
366.      Case a.  If Rmin is less than Rmax, then the risk index is determined by
367. subtracting Rmin from Rmax.[1]
368.  
369.                            Risk Index =  Rmax - Rmin
370.  
371. Case b. If Rmin is greater than or equal to Rmax, then
372.  
373.             !---1, if there are categories on the system to which some users
374.             !      are not authorized access
375.             !
376. Risk Index =!
377.             !
378.             !--- 0, otherwise
379.  
380.  
381.  
382.  
383.  
384.  
385.  
386.  
387.  
388.  
389.  
390.  
391.  
392.  
393.  
394.  
395.  
396. [1]There is one anomalous value that results because there are two "types" of
397. Top Secret clearance and only one "type" of Top Secret data.  When the minimum
398. user clearance is TS/BI and the maximum data sensitivity is Top Secret without
399. categories, then the risk index is 0 (rather than the value 1- which would
400. result from a straight application of the formula)
401.  
402.  
403.  8
404.  
405.  
406.  
407.                                    TABLE 1
408.  
409.                  RATING SCALE FOR MINIMUM USER CLEARANCE [1].
410.  
411.  
412.                                                               RATING
413.                                                                (Rmin)
414.  
415.   Uncleared (U)                                                  0
416.   Not Cleared but Authorized Access to Sensitive Unclassified    1
417.   Information (N)
418.   Confidential (C)                                               2
419.   Secret                                                         3
420.   Top Secret (TS)/Current Background Investigation (BI)          4
421.   Top Secret (TS)/current Special Background Investigation (SBI) 5
422.   One Category (1C)                                              6
423.   Multiple Categories (MC)                                       7
424.  
425.  
426.  
427.  
428.  
429.  
430.  
431.  
432.  
433.  
434.  
435.  
436.  
437. ---------------------------------------
438. [1] The following clearances are as defined in DIS Manual 20-1(2):
439. Confidential, Secret, Top Secret/Current Background Investigation, Top
440. Secret/Current Special Background Investigation.
441.  
442.  
443.                                                                            9
444.  
445.  
446.                                    TABLE 2
447.  
448.                  RATING SCALE FOR MAXIMUM DATA SENSITIVITY
449.  
450.  
451.    MAXIMUM DATA
452.     SENSITIVITY
453.      RATINGS [2]       RATING      MAXIMUM DATA SENSITIVITY WITH
454.      WITHOUT           (Rmax)             CATEGORIES [1]
455.     CATEGORIES
456.         (Rmax)
457.  
458.     Unclassified(U)      0                 Not Applicable [3]
459.  
460.     Not Classified but   1         N With One or More Categories            2
461.       Sensitives [4]
462.  
463.     Confidential(C)      2         C With One or More Categories            3
464.  
465.        Secret (S)        3         S With One or More Categories With No    4
466.                                      More Than One Category Containing
467.                                               Secret Data
468.                                    S With Two or More Categories Containing 5
469.                                                  Secret Data
470.  
471.     Top Secret (TS)     5 [5]       TS With One or More Categories With No   6
472.                                       More Than One Category Containing
473.                                            Secret or Top Secret Data
474.                                     TS With Two or More Categories           7
475.                                     Containing Secret or Top Secret Data
476.  
477. -------------------------------
478.  
479. [1] The only categories of concern are those for which some users are not
480. authorized access.  When counting the number of categories, count all
481. categories regardless of the sensitivity level associated with the data.  If a
482. category is associated with more than one sensitivity level, it is only
483. counted at the highest level.
484.  
485. [2] Where the number of categories is large or where a highly sensitive
486. category is involved, a higher rating might be warranted.
487.  
488. [3] Since categories are sensitive and unclassified data is not, unclassified
489. data by definition cannot contain categories.
490.  
491. [4] Examples of N data include financial, proprietary, privacy, and mission
492. sensitive data.  In some situations (e.g., those involving extremely large
493. financial sums or critical mission sensitive data), a higher rating may be
494. warranted.  The table prescribes minimum ratings.
495.  
496. [5] The rating increment between the Secret and Top Secret data sensitivity
497. levels is greater than the increment between other adjacent levels.  This
498. difference derives from the fact that the loss of Top Secret data causes
499. exceptionally grave damage to the national security, whereas the loss of
500. Secret data causes only serious damage.
501.  
502.                                                                            11
503.  
504.  
505.  
506.  
507. 4.0 COMPUTER SECURITY REQUIREMENTS
508.  
509.  
510. Table 3 identifies the minimum evaluation class appropriate for systems based
511. on the risk index computed in Section 3.  The classes identified are those
512. from The Criteria.(1) A risk index of 0 encompasses those systems operating in
513. either system high or dedicated security mode.  Risk indices of 1 through 7
514. encompass those systems operating in multilevel, controlled, compartmented, or
515. the Navy's limited access security mode; that is, those systems in which not
516. all users are fully cleared or authorized access to all sensitive or
517. classified data being processed and/or stored in the system.  In situations
518. where the local environment indicates that additional risk factors are
519. present, a system of a higher evaluation class may be required.
520.  
521.  
522.  
523.  
524.  
525.  
526.  12
527.  
528.  
529.                                   TABLE 3
530.  
531.                        COMPUTER SECURITY REQUIREMENTS
532.  
533.  
534.                                            MINIMUM          MINIMUM
535.  RISK INDEX     SECURITY OPERATING MODE  CRITERIA CLASS  CRITERIA CLASS
536.                                           FOR OPEN         FOR CLOSED
537.                                           ENVIRONMENTS [4]  ENVIRONMENTS [4]
538.  
539.   0                Dedicated           No Prescribed   No Prescribed
540.                     Minimum [1]     Minimum [1]         
541.  
542.   0               System High               C2[2]            C2[2]
543.  
544.   1       Limited Access, Controlled,       B1[3]            B1[3]
545.            Compartmented, Multilevel
546.  
547.   2       Limited Access, Controlled,       B2               B2
548.              Compartmented, Multilevel
549.  
550.   3          Controlled, Multilevel         B3               B2
551.  
552.   4               Multilevel                A1               B3
553.  
554.   5               Multilevel                *                *
555.  
556.   6               Multilevel                *                *
557.  
558.   7               Multilevel                *                *
559.  
560.  
561.  
562.  
563.  
564. --------------------
565.  
566. [1] Although there is no prescribed minimum class, the integrity and denial of
567. service requirements of many systems warrant at least class C1 protection.
568.  
569. [2] If the system processes sensitive or classified data, at least a class C2
570. system is required.  If the system does not process sensitive or classified
571. data, a class C1 system is sufficient.
572.  
573. [3] Where a system processes classified or compartmented data and some users
574. do not have at least a Confidential clearance, or when there are more than two
575. types of compartmented information being processed, at least a class B2 system
576. is required.
577.  
578. [4] The asterisk (*) indicates that computer protection for environments with
579. that risk index is considered to be beyond the state of current computer
580. security technology.  Such environments must augment technical protection with
581. physical, personnel, and/or administrative security solutions.
582.  
583.  
584.     
585.                                                                       13
586.  
587.  
588.  
589.                       REFERENCES
590.  
591. 1.   DoD Computer Security Center, DoD Trusted Computer System Evaluation
592.      Criteria, CSC-STD-001-83, 15 August 1983.  
593.  
594. 2.  Defense Investigative Service (DIS) Manual 20-1, Manual for Personnel
595.     Investigations, 30 January 1981 .
596.