Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 87 Security Engineering Principles (SA-8) 
The agency must apply information system security engineering principles in the 
specification, design, development, implementation, and modification of the information 
system. External Information System Services (SA-9) 
The agency must: 
a. Require that providers of external information system services comply with 
agency information security requirements and employ to include (at a minimum) 
security requirements contained within this publication and applicable federal 
laws, Executive Orders, directives, policies, regulations, standards, and 
established service-level agreements; 
b. Define and document government oversight and user roles and responsibilities 
with regard to external information system services; 
c. Monitor security control compliance by external service providers on an ongoing 
basis; and 
d. Restrict the location of information systems that receive, process, store, or 
transmit FTI to areas within the United States territories, embassies, or military 
installations. (CE5) 
Agencies must prohibit the use of non-agency-owned information 
systems, system components, or devices that receive, process, store, or 
transmit FTI unless explicitly approved by the Office of Safeguards. For 
notification requirements, refer to Section 7.4.5, Non-Agency-Owned 
Information Systems. 
The contract for the acquisition must contain Exhibit 7 language, as appropriate (see 
Section, Acquisition Process (SA-4), and Exhibit 7, Safeguarding Contract 
Language). Developer Configuration Management (SA-10) 
The agency must require the developer of the information system, system component, 
or information system service to: 
a. Perform configuration management during system, component, or service 
development, implementation, and operation; 
b. Document, manage, and control the integrity of changes to the system, 
component, or service; 
c. Implement only agency-approved changes to the system, component, or service; 
d. Document approved changes to the system, component, or service and the 
potential security impacts of such changes; and 
e. Track security flaws and flaw resolution within the system, component, or service 
and report findings to designated agency officials. 
A pdf page cut - Split, seperate PDF into multiple files in, ASP.NET, MVC, Ajax, WinForms, WPF
Explain How to Split PDF Document in Visual C#.NET Application
combine pages of pdf documents into one; break a pdf into separate pages
A pdf page cut - VB.NET PDF File Split Library: Split, seperate PDF into multiple files in, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Splitter Control to Disassemble PDF Document
break pdf into multiple documents; break a pdf password
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 88 Developer Security Testing and Evaluation (SA-11) 
The agency must require the developer of the information system, system component, 
or information system service to: 
a. Create and implement a security assessment plan; 
b. Perform security testing/evaluation; 
c. Produce evidence of the execution of the security assessment plan and the 
results of the security testing/evaluation; 
d. Implement a verifiable flaw remediation process; and 
e. Correct flaws identified during security testing/evaluation. Unsupported System Components (SA-22) 
The agency must replace information system components when support for the 
components is no longer available from the developer, vendor, or manufacturer. 
9.3.16 System and Communications Protection System and Communications Protection Policy and Procedures (SC-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A system and communications protection policy that addresses purpose, 
scope, roles, responsibilities, management commitment, coordination 
among agency entities, and compliance; and 
2. Procedures to facilitate the implementation of the system and 
communications protection policy and associated system and 
communications protection controls; and 
b. Review and update the current: 
1.  System and communications protection policy every three years; and 
2.  System and communications protection procedures at least annually. Application Partitioning (SC-2) 
The information system must separate user functionality (including user interface 
services) from information system management functionality. Information in Shared Resources (SC-4) 
The information system must prevent unauthorized and unintended information transfer 
via shared system resources. 
VB.NET PDF copy, paste image library: copy, paste, cut PDF images
VB.NET DLLs: Copy, Paste, Cut Image in PDF Page. In order to run the sample code, the following steps would be necessary. VB.NET: Cut Image in PDF Page.
break apart pdf pages; a pdf page cut
C# PDF Page Extract Library: copy, paste, cut PDF pages in
If using x86, the platform target should be x86. C#.NET Sample Code: Clone a PDF Page Using C#.NET. Load the PDF file that provides the page object.
pdf split; break pdf password
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 89 Denial of Service Protection (SC-5) 
The information system must protect against or limit the effects of denial of service 
Refer to NIST SP 800-61 R2, Computer Security Incident Handling Guide, for additional 
information on denial of service. Boundary Protection (SC-7) 
The information system must: 
a. Monitor and control communications at the external boundary of the system and 
at key internal boundaries within the system; 
b. Implement subnetworks for publicly accessible system components that are 
physically and logically separated from internal agency networks; and 
c. Connect to external networks or information systems only through managed 
interfaces consisting of boundary protection devices arranged in accordance with 
agency security architecture requirements. 
Managed interfaces include, for example, gateways, routers, firewalls, 
guards, network-based malicious code analysis and virtualization systems, 
or encrypted tunnels implemented within the security architecture (e.g., 
routers protecting firewalls or application gateways residing on protected 
The agency must limit the number of external network connections to the information 
system. (CE3) 
The agency must: (CE4) 
a. Implement a secure managed interface for each external telecommunication 
b. Establish a traffic flow policy for each managed interface; 
c. Protect the confidentiality and integrity of the information being transmitted 
across each interface; 
d. Document each exception to the traffic flow policy with a supporting 
mission/business need and duration of that need, and accept the associated risk; 
e. Review exceptions to the traffic flow policy at a minimum annually, and remove 
exceptions that are no longer supported by an explicit mission/business need. 
The information system at managed interfaces must deny network 
communications traffic by default and allow network communications 
traffic by exception (i.e., deny all, permit by exception). (CE5) 
C# PDF copy, paste image Library: copy, paste, cut PDF images in
C#.NET Project DLLs: Copy, Paste, Cut Image in PDF Page. C#.NET Demo Code: Cut Image in PDF Page in C#.NET. PDF image cutting is similar to image deleting.
break pdf into multiple pages; pdf link to specific page
VB.NET PDF Page Extract Library: copy, paste, cut PDF pages in vb.
Pages. |. Home ›› XDoc.PDF ›› VB.NET PDF: Copy and Paste PDF Page. Please refer to below listed demo codes. VB.NET DLLs: Extract, Copy and Paste PDF Page.
pdf format specification; can print pdf no pages selected
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 90 
The information system must, in conjunction with a remote device, prevent the device 
from simultaneously establishing non-remote connections with the system and 
communicating via some other connection to resources in external networks. (CE7) 
Additional requirements for protecting FTI on networks are provided in Section 9.4.10, 
Network Protections Transmission Confidentiality and Integrity (SC-8) 
Information systems that receive, process, store, or transmit FTI, must: 
a. Protect the confidentiality and integrity of transmitted information. 
b. Implement cryptographic mechanisms to prevent unauthorized disclosure of FTI 
and detect changes to information during transmission across the wide area 
network (WAN) and within the local area network (LAN). (CE1) 
If encryption is not used, to reduce the risk of unauthorized access to FTI, the agency 
must use physical means (e.g., by employing protected physical distribution systems) to 
ensure that FTI is not accessible to unauthorized users. The agency must ensure that 
all network infrastructure, access points, wiring, conduits, and cabling are within the 
control of authorized agency personnel. Network monitoring capabilities must be 
implemented to detect and monitor for suspicious network traffic. For physical security 
protections of transmission medium, see Section, Access Control for 
Transmission Medium (PE-4)
This control applies to both internal and external networks and all types of information 
system components from which information can be transmitted (e.g., servers, mobile 
devices, notebook computers, printers, copiers, scanners, fax machines). Network Disconnect (SC-10) 
The information system must terminate the network connection associated with a 
communications session at the end of the session or after 30 minutes of inactivity.  
This control addresses the termination of network connections that are 
associated with communications sessions (i.e., network disconnect) in 
contrast to user-initiated logical sessions in AC-12. Cryptographic Key Establishment and Management (SC-12) 
The agency must establish and manage cryptographic keys for required cryptography 
employed within the information system. 
Cryptographic key management and establishment can be performed using manual 
procedures or automated mechanisms with supporting manual procedures.  
C# PDF remove image library: remove, delete images from PDF in C#.
page. Define position to remove a specific image from PDF document page. Able to cut and paste image into another PDF file. Export
pdf will no pages selected; pdf specification
How to C#: Basic SDK Concept of XDoc.PDF for .NET
you may easily create, load, combine, and split PDF file(s), and add, create, insert, delete, re-order, copy, paste, cut, rotate, and save PDF page(s), etc.
pdf split pages in half; acrobat split pdf into multiple files
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 91 Cryptographic Protection (SC-13) 
The information system must implement cryptographic modules in accordance with 
applicable federal laws, Executive Orders, directives, policies, regulations, and 
standards. Collaborative Computing Devices (SC-15) 
The information system must: 
a. Prohibit remote activation of collaborative computing devices; and 
b. Provide an explicit indication of use to users physically present at the devices. 
Collaborative computing devices include, for example, networked white 
boards, cameras, and microphones. Explicit indication of use includes, for 
example, signals to users when collaborative computing devices are 
activated. Public Key Infrastructure Certificates (SC-17) 
The agency must issue public key infrastructure certificates or obtain public key 
infrastructure certificates from an approved service provider. Mobile Code (SC-18) 
The agency must: 
a. Define acceptable and unacceptable mobile code and mobile code technologies; 
b. Establish usage restrictions and implementation guidance for acceptable mobile 
code and mobile code technologies; and 
c. Authorize, monitor, and control the use of mobile code within the information 
Mobile code technologies include, for example, Java, JavaScript, ActiveX, 
Postscript, PDF, Shockwave movies, Flash animations, and VBScript, 
which are common installations on most end user workstations. Usage 
restrictions and implementation guidance apply to both the selection and 
use of mobile code installed on servers and mobile code downloaded and 
executed on individual workstations and devices (e.g., tablet computers 
and smartphones). Voice over Internet Protocol (SC-19) 
The agency must: 
a. Establish usage restrictions and implementation guidance for VoIP technologies 
based on the potential to cause damage to the information system if used 
maliciously; and 
VB.NET PDF: Basic SDK Concept of XDoc.PDF
you may easily create, load, combine, and split PDF file(s), and add, create, insert, delete, re-order, copy, paste, cut, rotate, and save PDF page(s), etc.
pdf split pages; break a pdf
VB.NET PDF Page Delete Library: remove PDF pages in, ASP.
XDoc.PDF ›› VB.NET PDF: Delete PDF Page. using RasterEdge.Imaging.Basic; using RasterEdge.XDoc.PDF; How to VB.NET: Delete a Single PDF Page from PDF File.
break a pdf apart; break a pdf into multiple files
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 92 
b. Authorize, monitor, and control the use of VoIP within the information system. 
Additional requirements for protecting FTI transmitted by VoIP systems are provided in 
Section 9.4.15, VoIP Systems Session Authenticity (SC-23) 
The information system must protect the authenticity of communications sessions.  
This control addresses communications protection at the session level versus the 
packet level (e.g., sessions in service-oriented architectures providing Web-based 
services) and establishes grounds for confidence at both ends of communications 
sessions in ongoing identities of other parties and in the validity of information 
transmitted. Protection of Information at Rest (SC-28) 
The information system must protect the confidentiality and integrity of FTI at rest. 
Information at rest refers to the state of information when it is located on storage 
devices as specific components of information systems. 
Agencies may employ different mechanisms to achieve confidentiality and 
integrity protections, including the use of cryptographic mechanisms, file 
share scanning, and integrity protection. Agencies may also employ other 
security controls, including, for example, secure offline storage in lieu of 
online storage, when adequate protection of information at rest cannot 
otherwise be achieved or when continuously monitoring to identify 
malicious code at rest. 
The confidentiality and integrity of information at rest shall be protected 
when located on a secondary (non-mobile) storage device (e.g., disk 
drive, tape drive) with cryptography mechanisms. 
FTI stored on deployed user workstations, in non-volatile storage, shall be encrypted 
with FIPS-validated or National Security Agency (NSA)-approved encryption during 
storage (regardless of location) except when no approved encryption technology 
solution is available that addresses the specific technology. 
Mobile devices do require encryption at rest (see Section, Access Control for 
Mobile Devices (AC-19), and Section 9.4.8, Mobile Devices
9.3.17 System and Information Integrity System and Information Integrity Policy and Procedures (SI-1) 
The agency must:  
a. Develop, document, and disseminate to designated agency officials: 
VB.NET PDF Page Insert Library: insert pages into PDF file in vb.
PDF Pages. |. Home ›› XDoc.PDF ›› VB.NET PDF: Insert PDF Page. Professional .NET PDF control for inserting PDF page in Visual Basic .NET class application.
break pdf into separate pages; pdf no pages selected
C# PDF Page Insert Library: insert pages into PDF file in
PDF ›› C# PDF: Insert PDF Page. C# PDF - Insert Blank PDF Page in C#.NET. Guide C# Users to Insert (Empty) PDF Page or Pages from a Supported File Format.
how to split pdf file by pages; break up pdf into individual pages
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 93 
1. A system and information integrity policy that addresses purpose, scope, 
roles, responsibilities, management commitment, coordination among 
agency entities, and compliance; and 
2. Procedures to facilitate the implementation of the system and information 
integrity policy and associated system and information integrity controls; 
b. Review and update the current: 
1. System and information integrity policy every three years; and 
2. System and information integrity procedures at least annually. Flaw Remediation (SI-2) 
The agency must: 
a. Identify, report, and correct information system flaws; 
b. Test software and firmware updates related to flaw remediation for effectiveness 
and potential side effects before installation; 
c. Install security-relevant software and firmware updates based on severity and 
associated risk to the confidentiality of FTI;  
d. Incorporate flaw remediation into the agency configuration management process; 
e. Centrally manage the flaw remediation process. (CE1) 
Security-relevant software updates include, for example, patches, service packs, hot 
fixes, and antivirus signatures. Malicious Code Protection (SI-3) 
Malicious code protection includes antivirus software and antimalware and intrusion 
detection systems. 
The agency must: 
a. Employ malicious code protection mechanisms at information system entry and 
exit points to detect and eradicate malicious code; 
b. Update malicious code protection mechanisms whenever new releases are 
available in accordance with agency configuration management policy and 
c. Configure malicious code protection mechanisms to: 
1. Perform periodic scans of the information system weekly and real-time 
scans of files from external sources at endpoint and network entry/exit 
points as the files are downloaded, opened, or executed in accordance 
with agency security policy; and 
2. Either block or quarantine malicious code and send an alert to the 
administrator in response to malicious code detection; and 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 94 
d. Address the receipt of false positives during malicious code detection and 
eradication and the resulting potential impact on the availability of the information 
system; and 
e. Centrally manage malicious code protection mechanisms. (CE1) 
The information system must automatically update malicious code protection 
mechanisms. (CE2) 
Information system entry and exit points include, for example, firewalls, 
electronic mail servers, Web servers, proxy servers, remote access 
servers, workstations, notebook computers, and mobile devices. Malicious 
code includes, for example, viruses, worms, Trojan horses, and spyware. 
Malicious code can also be encoded in various formats (e.g., 
UUENCODE, Unicode), contained within compressed or hidden files or 
hidden in files using steganography. Malicious code can be transported by 
different means, including, for example, Web accesses, electronic mail, 
electronic mail attachments, and portable storage devices. Information System Monitoring (SI-4) 
The agency must: 
a. Monitor the information system to detect: 
1. Attacks and indicators of potential attacks; and 
2. Unauthorized local, network, and remote connections. 
b. Identify unauthorized use of the information system; 
c. Deploy monitoring devices: (i) strategically within the information system to 
collect agency-determined essential information; and (ii) at ad hoc locations 
within the system to track specific types of transactions of interest to the agency; 
d. Protect information obtained from intrusion-monitoring tools from unauthorized 
access, modification, and deletion; 
e. Heighten the level of information system monitoring activity whenever there is an 
indication of increased risk to agency operations and assets, individuals, other 
organizations, or the nation, based on law enforcement information, intelligence 
information, or other credible sources of information; 
f. Provide information system monitoring information to designated agency officials 
as needed; 
g. Analyze outbound communications traffic at the external boundary of the 
information system and selected interior points within the network (e.g., 
subnetworks, subsystems) to discover anomalies—anomalies within agency 
information systems include, for example, large file transfers, long-time persistent 
connections, unusual protocols and ports in use, and attempted communications 
with suspected malicious external addresses; 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 95 
h. Employ automated mechanisms to alert security personnel of inappropriate or 
unusual activities with security implications; and (CE11) 
i. Implement host-based monitoring mechanisms (e.g., Host intrusion prevention 
system (HIPS)) on information systems that receive, process, store, or transmit 
FTI. (CE23) 
The information system must: 
a. Monitor inbound and outbound communications traffic continuously for unusual 
or unauthorized activities or conditions; (CE4) 
b. Alert designated agency officials when indications of compromise or potential 
compromise occur—alerts may be generated from a variety of sources, including, 
for example, audit records or inputs from malicious code protection mechanisms; 
intrusion detection or prevention mechanisms; or boundary protection devices, 
such as firewalls, gateways, and routers and alerts can be transmitted, for 
example, telephonically, by electronic mail messages, or by text messaging; 
agency personnel on the notification list can include, for example, system 
administrators, mission/business owners, system owners, or information system 
security officers; and (CE5) 
c. Notify designated agency officials of detected suspicious events and take 
necessary actions to address suspicious events. (CE7) 
Information system monitoring includes external and internal monitoring. External 
monitoring includes the observation of events occurring at the information system 
boundary (i.e., part of perimeter defense and boundary protection). Internal monitoring 
includes the observation of events occurring within the information system.  
Information system monitoring capability is achieved through a variety of tools and 
techniques (e.g., intrusion detection systems, intrusion prevention systems, malicious 
code protection software, scanning tools, audit record monitoring software, network 
monitoring software).  
Strategic locations for monitoring devices include, for example, selected 
perimeter locations and nearby server farms supporting critical 
applications, with such devices typically being employed at the managed 
interfaces. Security Alerts, Advisories, and Directives (SI-5) 
The agency must: 
a. Receive information system security alerts, advisories, and directives from 
designated external organizations on an ongoing basis; 
b. Generate internal security alerts, advisories, and directives as deemed 
c. Disseminate security alerts, advisories, and directives to designated agency 
officials; and 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 96 
d. Implement security directives in accordance with established time frames or 
notify the issuing agency of the degree of noncompliance. Spam Protection (SI-8) 
The agency must: 
a. Employ spam protection mechanisms at information system entry and exit points 
to detect and take action on unsolicited messages; and 
b. Update spam protection mechanisms when new releases are available in 
accordance with agency configuration management policy and procedures. Information Input Validation (SI-10) 
The information system must check the validity of information inputs. Error Handling (SI-11) 
The information system must: 
a. Generate error messages that provide information necessary for corrective 
actions without revealing information that could be exploited by adversaries; and 
b. Reveal error messages only to designated agency officials. Information Handling and Retention (SI-12) 
The agency must handle and retain information within the information system and 
information output from the system in accordance with applicable federal laws, 
Executive Orders, directives, policies, regulations, standards, and operational 
requirements. Memory Protection (SI-16) 
The information system must implement safeguards to protect its memory from 
unauthorized code execution. 
Some adversaries launch attacks with the intent of executing code in non-executable 
regions of memory or in memory locations that are prohibited. Security safeguards 
employed to protect memory include, for example, data execution prevention and 
address space layout randomization. Data execution prevention safeguards can either 
be hardware-enforced or software-enforced, with hardware providing the greater 
strength of mechanism. 
Documents you may be interested
Documents you may be interested