home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / HACKING / CSL8_93.TXT < prev    next >
Text File  |  1994-07-17  |  12KB  |  241 lines

  1.  
  2.                    CSL BULLETIN
  3.                    August 1993 
  4.  
  5.  
  6. SECURITY PROGRAM MANAGEMENT 
  7. This bulletin discusses the establishment and operation of a
  8. security program as a management function and describes some of
  9. the features and issues common to most organizations.  OMB
  10. Circular A-130, "Management of Federal Information Resources,"
  11. June 25, 1993, requires that federal agencies establish computer
  12. security programs.  Because organizations differ in size,
  13. complexity, management styles, and culture, it is not possible to
  14. describe one ideal security program.  
  15.  
  16. Structure of a Security Program 
  17. Security programs are often distributed throughout the
  18. organization with different elements performing different
  19. functions.  Sometimes the distribution of the security function
  20. may be haphazard, based on chance.  Ideally, the structure of a
  21. security program should result from the implementation of a
  22. planned and integrated management philosophy.
  23.  
  24. Figure 1. shows a management structure based on that of an actual
  25. federal agency.  The agency consists of five major units, each
  26. with several large computer facilities.  Each facility runs
  27. multiple applications.  This type of organization needs to manage
  28. security at the agency level, the unit level, the computer
  29. facility level, and the application level.
  30.  
  31. Managing computer security at multiple levels brings many
  32. benefits.  Each level contributes to the overall security program
  33. with different types of expertise, authority, and resources.  In
  34. general, the higher levels (such as the headquarters or unit
  35. levels) better understand the organization as a whole, exercise
  36. more authority, set policy, and enforce compliance with
  37. applicable policies and procedures.  On the other hand, the
  38. systems levels (such as the computer facility and applications
  39. levels) know the technical and procedural requirements and
  40. problems.  The levels of security program management are
  41. complementary; each helps the other be more effective.
  42.  
  43. Most organizations have at least two levels of security
  44. management.  The central security program addresses the overall
  45. management of security within the organization or a major
  46. component of the organization, including such activities as
  47. policy development and oversight.  The system level security
  48. program focuses on the management of security for a particular
  49. information processing system.  This function includes activities
  50. such as selecting and installing safeguards and may be performed
  51. by users, functional managers, or computer systems personnel.  
  52.  
  53. Central Security Program 
  54. A central security program which manages or coordinates the use
  55. of security-related resources across the entire organization
  56. provides these benefits:
  57.  
  58. Efficiency and Economy
  59. A central program can disseminate security-related information
  60. throughout the agency in an efficient and cost-effective manner.
  61. Information to be shared includes policies, regulations,
  62. standards, training opportunities, and security incident reports. 
  63. Internal security-related information, such as procedures which
  64. worked or did not work, virus infections, security problems and
  65. solutions also should be shared within an organization.  Often
  66. these issues are specific to the operating environment and
  67. culture of the organization.  
  68.  
  69. Another use of an organization-wide conduit of information is the
  70. increased ability to influence external and internal policy
  71. decisions.  A central security program office which speaks for
  72. the entire organization is more likely to be listened to by upper
  73. management and external organizations.  
  74.  
  75. Also the central organization can share information with external
  76. groups as illustrated in Figure 2.  Since external interaction
  77. occurs at both the organization and system levels, a central
  78. security organization should be aware of the interactions at the
  79. system level to exploit all important sources.
  80.  
  81. Sources of Security Information
  82. NIST:     Federal Information Processing Standards (FIPS), NIST
  83.           Publication List 91, Computer Security Publications,
  84.           and the NIST Computer Security BBS.
  85. GSA:      Federal Information Resources Management Regulation     
  86.           (FIRMR) Parts 201-20 and 201-39.
  87. OMB:      OMB Circular A-130, Management of Federal Information
  88.           Resources, June 25, 1993
  89. FIRST:    Forum of Incident Response and Security Teams for
  90.           security incident-related information.
  91.  
  92. The central security program assists the organization in spending
  93. its scarce security dollars more efficiently.  Such organizations
  94. can develop expertise and share it, reducing the need to contract
  95. out repeatedly for similar services, such as contingency planning
  96. or risk analysis.  The expertise can be resident in the central
  97. security program or distributed throughout the system-level
  98. programs.  Another advantage of a centralized program is its
  99. ability to negotiate discounts based on volume purchasing of
  100. security hardware and software.
  101.  
  102. Oversight
  103. A central security program serves as an independent evaluation or
  104. enforcement function to ensure that organizational subunits
  105. secure resources cost-effectively and follow applicable policy. 
  106. With a central oversight function, organizations can take
  107. responsibility for their own security programs, identify and
  108. correct problems before they become major concerns, and avoid
  109. external investigations and audits.  
  110.  
  111. Elements of a Central Security Program
  112.  
  113.   A program manager should be selected as the information
  114. technology (IT) security program manager.  The program should be
  115. staffed with able personnel and linked to the program management
  116. function and IT security personnel in other parts of the
  117. organization.  The security program requires a stable base in
  118. terms of personnel, funding, and other support.  Additionally,
  119. the benefits of an oversight function cannot be achieved if the
  120. security program is not recognized within an organization as
  121. having expertise and authority.
  122.  
  123. To be effective, a central security program must be an
  124. established part of organization management.  If system managers
  125. and applications owners do not consistently interact with the
  126. security program, it becomes an empty token of upper management's
  127. "commitment to security."  
  128.  
  129.   A security policy provides the foundation for the IT security
  130. program and is the means for documenting and promulgating
  131. important decisions about IT security.  The central security
  132. program should also publish standards, regulations, and
  133. guidelines which implement and expand on policy.  
  134.  
  135.   A published mission and function statement grounds the IT
  136. security program into the unique operating environment of the
  137. organization.  The statement should clearly establish the
  138. function of the IT security program, define responsibilities for
  139. the IT security program and other related programs and entities,
  140. and provide the basis for evaluating the effectiveness of the IT
  141. security program.
  142.  
  143.   Long-term strategies should be developed to incorporate
  144. security into the next generation of information technology. 
  145. Since the IT field moves rapidly, planning for future operating
  146. environments is essential.
  147.  
  148.   A compliance program enables the organization to assess
  149. conformance with national and organization-specific policies and
  150. requirements.  National requirements include those prescribed
  151. under the Computer Security Act of 1987, OMB Circular A-130,
  152. Federal Information Resources Management Regulations (FIRMR), and
  153. Federal Information Processing Standards (FIPS).
  154.  
  155.   Liaisons should be established with internal groups including
  156. the information resources management (IRM) office and traditional
  157. security offices (such as personnel or physical security), other
  158. offices such as Safety, Reliability, and Quality Assurance,
  159. Internal Control, and the agency Inspector General.  These
  160. relationships facilitate integrating security into the management
  161. of an organization.  The relationships must be more than just
  162. sharing information; the offices must influence each other to
  163. assure that security is considered in agency plans for
  164. info