home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / LEGAL / CSA87.TXT < prev    next >
Text File  |  1994-07-17  |  28KB  |  462 lines
  1.  
  2.  
  3.  
  4.         101 STAT. 1724                   PUBLIC LAW 100-235--JAN. 8, 1988
  5.                                                                                      
  6.         Public Law 100-235
  7.         100th Congress
  8.         
  9.                                      AN ACT                                     
  10.         
  11.         To provide  for a computer standards program within the  National 
  12.              Bureau of Standards, to provide for Government-wide computer 
  13.              security,  and to provide for the training in security  mat-
  14.              ters  of persons who are involved in the management,  opera-
  15.              tion,  and  use of Federal computer systems, and  for  other 
  16.              purposes.
  17.         
  18.              Be it enacted by the Senate and House of Representatives  of 
  19.         the United States of America in Congress assembled,
  20.         
  21.         SECTION 1. SHORT TITLE.
  22.              This  Act  may  be cited as the "Computer  Security  Act  of 
  23.         1987".
  24.         
  25.         SEC. 2. PURPOSE.
  26.         
  27.              (a)  In General.--The Congress declares that  improving  the 
  28.         security and privacy of sensitive information in Federal computer 
  29.         systems is in the public interest, and hereby creates a means for 
  30.         establishing minimum acceptable security practices for such  sys-
  31.         tems,  without  limiting the scope of security  measures  already 
  32.         planned or in use.
  33.              (b) Specific Purposes.--The purposes of this Act are--
  34.                        (1)  by  amending  the Act of March  3,  1901,  to 
  35.                   assign to the National Bureau of Standards responsibil-
  36.                   ity for developing standards and guidelines for Federal 
  37.                   computer systems, including responsibility for develop-
  38.                   ing standards and guidelines needed to assure the cost-
  39.                   effective security and privacy of sensitive information 
  40.                   in  Federal computer systems, drawing on the  technical 
  41.                   advice and assistance (including work products) of  the 
  42.                   National  Security  Agency,  where  appropriate;
  43.                        (2) to provide for promulgation of such  standards 
  44.                   and guidelines by amending section 111(d) of the Feder-
  45.                   al Property and Administrative Services Act of 1949;
  46.                        (3) to require establishment of security plans  by 
  47.                   all operators of Federal computer systems that  contain 
  48.                   sensitive information; and
  49.                        (4) to require mandatory periodic training for all 
  50.                   persons  involved in management, use, or  operation  of 
  51.                   Federal computer systems that contain sensitive  infor-
  52.                   mation.
  53.         
  54.         SEC. 3. ESTABLISHMENT OF COMPUTER STANDARDS PROGRAM.
  55.         
  56.              The Act of March 3, 1901 (15 U.S.C. 271-278h), is amended--
  57.                        (1) in section 2(f), by striking out "and" at  the 
  58.                   end  of paragraph (18), by striking out the  period  at 
  59.  
  60.  
  61.  
  62.  
  63.  
  64.  
  65.                   the end of paragraph (19) and inserting in lieu thereof: 
  66.                   ";  and",  and by inserting after  such  paragraph  the 
  67.                   following:
  68.                        "(20) the study of computer systems (as that  term 
  69.                   is defined in section 20(d) of this Act) and their  use 
  70.                   to control machinery and processes.";
  71.                        (2) by redesignating section 20 as section 22, and 
  72.                   by  inserting after section 19 the following  new  sec-
  73.                   tions:
  74.              "Sec. 20. (a) The National Bureau of Standards shall--
  75.                        "(1)  have  the mission of  developing  standards, 
  76.                   guidelines,  and associated methods and techniques  for 
  77.                   computer systems;
  78.                        "(2) except as described in paragraph (3) of  this 
  79.                   subsection  (relating to security  standards),  develop 
  80.                   uniform  standards and guidelines for Federal  computer 
  81.                   systems, except those systems excluded by section  2315 
  82.                   of title 10, United States Code, or section 3502(2)  of 
  83.                   title 44, United States Code;
  84.                        "(3)  have responsibility within the Federal  Gov-
  85.                   ernment for developing technical, management, physical, 
  86.                   and  administrative  standards and guidelines  for  the 
  87.                   cost-effective security and privacy of sensitive infor-
  88.                   mation in Federal computer systems except--
  89.                                  "(A)  those systems excluded by  section 
  90.                        2315  of title 10, United States Code, or  section 
  91.                        3502(2) of title 44, United States Code; and
  92.                                  "(B)  those systems which are  protected 
  93.                        at all times by procedures established for  infor-
  94.                        mation  which  has  been  specifically  authorized 
  95.                        under  criteria established by an Executive  order 
  96.                        or  an  Act of Congress to be kept secret  in  the 
  97.                        interest of national defense or foreign policy,
  98.                   the  primary purpose of which standards and  guidelines 
  99.                   shall be to control loss and unauthorized  modification 
  100.                   or disclosure of sensitive information in such  systems 
  101.                   and to prevent computer-related fraud and misuse;
  102.                        "(4)  submit  standards and  guidelines  developed 
  103.                   pursuant to paragraphs (2) and (3) of this  subsection, 
  104.                   along  with recommendations as to the extent  to  which 
  105.                   these  should  be made compulsory and binding,  to  the 
  106.                   Secretary  of Commerce for promulgation  under  section 
  107.                   111(d)  of  the  Federal  Property  and  Administrative 
  108.                   Services Act of 1949;
  109.                        "(5)  develop guidelines for use by  operators  of 
  110.                   Federal computer systems that contain sensitive  infor-
  111.                   mation  in training their employees in security  aware-
  112.                   ness  and  accepted security practice, as  required  by 
  113.                   section 5 of the Computer Security Act of 1987; and
  114.                        "(6) develop validation procedures for, and evalu-
  115.                   ate  the  effectiveness of,  standards  and  guidelines 
  116.                   developed  pursuant to paragraphs (1), (2), and (3)  of 
  117.                   this subsection through research and liaison with other 
  118.                   government and private agencies.
  119.              "(b)  In fulfilling subsection (a) of this section, the  Na-
  120.  
  121.  
  122.  
  123.  
  124.  
  125.  
  126.         tional Bureau of Standards is authorized--
  127.                        "(1)  to assist the private sector, upon  request, 
  128.                   in  using and applying the results of the programs  and 
  129.                   activities under this section;
  130.                        "(2)  to make recommendations, as appropriate,  to 
  131.                   the  Administrator of General Services on policies  and 
  132.                   regulations proposed pursuant to section 111(d) of  the 
  133.                   Federal  Property  and Administrative Services  Act  of 
  134.                   1949;
  135.                        "(3)  as  requested, to provide  to  operators  of 
  136.                   Federal computer systems technical assistance in imple-
  137.                   menting the standards and guidelines promulgated pursu-
  138.                   ant  to  section  111(d) of the  Federal  Property  and 
  139.                   Administrative Services Act of 1949;
  140.                        "(4)  to  assist, as appropriate,  the  Office  of 
  141.                   Personnel Management in developing regulations pertain-
  142.