asp net mvc show pdf in div : Acrobat split pdf bookmark application control tool html azure wpf online p10756-part1320

Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 47 
9.3.1.5 Separation of Duties (AC-5) 
The agency must: 
a. Separate duties of individuals to prevent harmful activity without collusion; 
b. Document separation of duties of individuals; and 
c. Define information system access authorizations to support separation of duties. 
9.3.1.6 Least Privilege (AC-6) 
The agency must: 
a. Employ the principle of least privilege, allowing only authorized accesses for 
users (or processes acting on behalf of users) that are necessary to accomplish 
assigned tasks in accordance with agency missions and business functions; 
b. Explicitly authorize access to FTI; (CE1) 
c. Require that users of information system accounts, or roles, with access to FTI, 
use non-privileged accounts or roles when accessing non-security functions; and 
(CE2) 
d. Restrict privileged accounts on the information system to a limited number of 
individuals with a need to perform administrative duties; (CE5) 
The information system must: 
a. Audit the execution of privileged functions; and (CE9) 
b. Prevent non-privileged users from executing privileged functions, including 
disabling, circumventing, or altering implemented security 
safeguards/countermeasures. (CE10) 
9.3.1.7 Unsuccessful Logon Attempts (AC-7) 
The information system must: 
a. Enforce a limit of three consecutive invalid logon attempts by a user during a 
120-minute period; and 
b. Automatically lock the account until released by an administrator. 
Specific to mobile device requirements, the logon is to the mobile device, not to any one 
account on the device. Additional mobile device controls are addressed in Section 
9.3.1.14, Access Control for Mobile Devices (AC-19), and Section 9.4.8, Mobile Devices. 
Acrobat split pdf bookmark - Split, seperate PDF into multiple files in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Explain How to Split PDF Document in Visual C#.NET Application
break password on pdf; break a pdf file into parts
Acrobat split pdf bookmark - VB.NET PDF File Split Library: Split, seperate PDF into multiple files in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
VB.NET PDF Document Splitter Control to Disassemble PDF Document
break pdf into smaller files; break a pdf into multiple files
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 48 
9.3.1.8 System Use Notification (AC-8) 
The information system must: 
a. Before granting access to the system, display to users an IRS-approved warning 
banner that provides privacy and security notices consistent with applicable 
federal laws, Executive Orders, directives, policies, regulations, standards, and 
guidance and states that: 
1. The system contains U.S. Government information; 
2. Users actions are monitored and audited; 
3. Unauthorized use of the system is prohibited; and 
4. Unauthorized use of the system is subject to criminal and civil sanctions.  
The warning banner must be applied at the application, database, 
operating system, and network device levels for all systems that receive, 
process, store, or transmit FTI. 
b. Retain the warning banner on the screen until users acknowledge the 
usage conditions and take explicit actions to log on to or further access the 
information system. 
For publicly accessible systems, the information system must: 
a. Display the IRS-approved warning banner granting further access; 
b. Display references, if any, to monitoring, recording, or auditing that are consistent 
with privacy accommodations for such systems that generally prohibit those 
activities; and 
c. Include a description of the authorized uses of the system. 
For sample warning banners approved by the Office of Safeguards, see Exhibit 8. 
9.3.1.9 Session Lock (AC-11) 
The information system must: 
a. Prevent further access to the system by initiating a session lock after 15 minutes 
of inactivity or upon receiving a request from a user; and  
b. Retain the session lock until the user reestablishes access using established 
identification and authentication procedures. 
9.3.1.10 Session Termination (AC-12) 
The information system must automatically terminate a user session after 15 minutes of 
inactivity. 
C# PDF Converter Library SDK to convert PDF to other file formats
manipulate & convert standard PDF documents in .NET class applications independently, without using other external third-party dependencies like Adobe Acrobat.
acrobat split pdf into multiple files; pdf separate pages
.NET PDF Document Viewing, Annotation, Conversion & Processing
Merge, split PDF files. Insert, delete PDF pages. Edit, update, delete PDF annotations from PDF file. Print. Support for all the print modes in Acrobat PDF.
break apart a pdf in reader; cannot select text in pdf file
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 49 
This control addresses the termination of user-initiated logical sessions in 
contrast to SC-10 which addresses the termination of network connections 
that are associated with communications sessions (i.e., network 
disconnect). A logical session (for local, network, and remote access) is 
initiated whenever a user (or process acting on behalf of a user) accesses 
an organizational information system. 
9.3.1.11 Permitted Actions without Identification or Authentication (AC-14) 
The agency must: 
a. Identify specific user actions that can be performed on the information system 
without identification or authentication consistent with agency missions/business 
functions. FTI may not be disclosed to individuals on the information system 
without identification and authentication; and 
b. Document and provide supporting rationale in the SSR for the information system 
the user actions not requiring identification or authentication. 
Examples of access without identification and authentication would be 
instances in which the agency maintains a publicly accessible website for 
which no authentication is required. 
9.3.1.12 Remote Access (AC-17) 
The agency must: 
a. Establish and document usage restrictions, configuration/connection 
requirements, and implementation guidance for each type of remote access 
allowed; 
b. Authorize remote access to the information system prior to allowing such 
connections; and 
c. Authorize and document the execution of privileged commands and access to 
security-relevant information via remote access for compelling operational needs 
only. (CE4) 
The information system must: 
a. Monitor and control remote access methods; (CE1) 
b. Implement cryptographic mechanisms to protect the confidentiality and integrity 
of remote access sessions where FTI is transmitted over the remote connection; 
and (CE2) 
c. Route all remote accesses through a limited number of managed network access 
control points. (CE3) 
C# Windows Viewer - Image and Document Conversion & Rendering in
standard image and document in .NET class applications independently, without using other external third-party dependencies like Adobe Acrobat. Convert to PDF.
pdf link to specific page; break pdf into single pages
C# Word - Word Conversion in C#.NET
Word documents in .NET class applications independently, without using other external third-party dependencies like Adobe Acrobat. Word to PDF Conversion.
break password pdf; c# split pdf
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 50 
Remote access is defined as any access to an agency information system by 
a user communicating through an external network, for example, the Internet. 
Any remote access where FTI is accessed over the remote connection must 
be performed using multi-factor authentication. 
FTI cannot be accessed remotely by agency employees, agents, 
representatives, or contractors located offshore—outside of the United States 
territories, embassies, or military installations. Further, FTI may not be 
received, processed, stored, transmitted, or disposed of by IT systems 
located offshore. 
9.3.1.13 Wireless Access (AC-18) 
The agency must: 
a. Establish usage restrictions, configuration/connection requirements, and 
implementation guidance for wireless access; 
b. Authorize wireless access to the information system prior to allowing such 
connections; and 
c. Employ a wireless intrusion detection system to identify rogue wireless devices 
and to detect attack attempts and potential compromises/breaches to the 
information system. (SI-4, CE14) 
The information system must protect wireless access to the system using authentication 
and encryption. (CE1) 
Additional requirements for protecting FTI on wireless networks are provided in Section 
9.4.18, Wireless Networks
9.3.1.14 Access Control for Mobile Devices (AC-19) 
A mobile device is a computing device that (i) has a small form factor such 
that it can easily be carried by a single individual; (ii) is designed to 
operate without a physical connection (e.g., wirelessly transmit or receive 
information); (iii) possesses local, non-removable, or removable data 
storage; and (iv) includes a self-contained power source. 
The agency must: 
a. Establish usage restrictions, configuration requirements, connection 
requirements, and implementation guidance for agency-controlled mobile 
devices; 
b. Authorize the connection of mobile devices to agency information systems; 
c. Employ encryption to protect the confidentiality and integrity of information on 
mobile devices (e.g., smartphones and laptop computers) (CE5); and 
d. Purge/wipe information from mobile devices based on 10 consecutive, 
unsuccessful device logon attempts (e.g., personal digital assistants, 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 51 
smartphones and tablets). Laptop computers are excluded from this requirement 
(AC-7, CE2). 
Additional requirements on protecting FTI accessed by mobile devices are provided in 
Section 9.4.8, Mobile Devices. 
9.3.1.15 Use of External Information Systems (AC-20) 
Unless approved by the Office of Safeguards, the agency must prohibit: 
a. Access to FTI from external information systems; 
b. Use of agency-controlled portable storage devices (e.g., flash drives, external 
hard drives) containing FTI on external information systems; and (CE2) 
c. Use of non-agency-owned information systems; system components; or 
devices to process, store, or transmit FTI; any non-agency-owned information 
system usage requires the agency to notify the Office of Safeguards 45 days 
prior to implementation (see Section 7.4, 45-Day Notification Reporting 
Requirements). (CE3) 
External information systems include any technology used to receive, 
process, transmit, or store FTI that is not owned and managed by the 
agency. 
9.3.1.16 Information Sharing (AC-21) 
The agency must restrict the sharing/re-disclosure of FTI to only those authorized in 
IRC 6103 and as approved by the Office of Safeguards. 
9.3.1.17 Publicly Accessible Content (AC-22) 
The agency must: 
a. Designate individuals authorized to post information onto a publicly accessible 
information system; 
b. Train authorized individuals to ensure that publicly accessible information does 
not contain FTI; 
c. Review the proposed content of information prior to posting onto the publicly 
accessible information system to ensure that FTI is not included; and 
d. Review the content on the publicly accessible information system for FTI, at a 
minimum, quarterly and remove such information, if discovered. 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 52 
9.3.2 Awareness and Training 
9.3.2.1 Security Awareness and Training Policy and Procedures (AT-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. A security awareness and training policy that addresses purpose, scope, 
roles, responsibilities, management commitment, coordination among 
agency entities, and compliance; and 
2. Procedures to facilitate the implementation of the security awareness and 
training policy and associated security awareness and training controls; 
and 
b. Review and update the current: 
1. Security awareness and training policy every three years (or if there is a 
significant change); and 
2. Security awareness and training procedures at least annually. 
9.3.2.2 Security Awareness Training (AT-2) 
The agency must: 
a. Provide basic security awareness training to information system users (including 
managers, senior executives, and contractors): 
1. As part of initial training for new users; 
2. When required by information system changes; and 
3. At least annually thereafter. 
b. Include security awareness training on recognizing and reporting potential 
indicators of insider threat. (CE2) 
This section is closely coupled with Section 6.3, Disclosure Awareness 
Training, which provides the requirement for general FTI disclosure 
awareness training; however, this control is focused on information 
security and operational security awareness. 
Insider threat training should bring awareness of the potential for individuals (e.g., 
employees, contractors, former employees) to use insider knowledge of sensitive 
agency information (e.g., security practices, systems that hold sensitive data) to perform 
malicious actions, which could include the unauthorized access or re-disclosure of FTI. 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 53 
9.3.2.3 Role-Based Security Training (AT-3) 
The agency must provide role-based security training to personnel with assigned 
security roles and responsibilities: 
a. Before authorizing access to the information system or performing assigned 
duties that require access to FTI; 
b. When required by information system changes; and 
c. At least annually thereafter. 
9.3.2.4 Security Training Records (AT-4) 
The agency must: 
a. Document and monitor individual information system security training activities, 
including basic security awareness training and specific information system 
security training; and 
b. Retain individual training records for a period of five years. 
9.3.3 Audit and Accountability 
9.3.3.1 Audit and Accountability Policy and Procedures (AU-1) 
The agency must: 
a. Develop, document, and disseminate to designated agency officials: 
1. An audit and accountability policy that addresses purpose, scope, roles, 
responsibilities, management commitment, coordination among agency 
entities, and compliance; and 
2. Procedures to facilitate the implementation of the audit and accountability 
policy and associated audit and accountability controls; and 
b. Review and update the current: 
1. Audit and accountability policy every three years; and 
2. Audit and accountability procedures at least annually. 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 54 
9.3.3.3 Audit Events (AU-2) 
Security-relevant events must enable the detection of unauthorized access to 
FTI data. Auditing must be enabled to the greatest extent necessary to capture 
access, modification, deletion, and movement of FTI by each unique user. 
The agency must: 
a. Determine that the information system is capable, at a minimum, of auditing the 
following event types:  
1. Log onto system; 
2. Log off of system; 
3. Change of password; 
4. All system administrator commands, while logged on as system 
administrator; 
5. Switching accounts or running privileged actions from another account, 
(e.g., Linux/Unix SU or Windows RUNAS); 
6. Creation or modification of super-user groups; 
7. Subset of security administrator commands, while logged on in the security 
administrator role; 
8. Subset of system administrator commands, while logged on in the user role; 
9. Clearing of the audit log file; 
10. Startup and shutdown of audit functions; 
11. Use of identification and authentication mechanisms (e.g., user ID and 
password); 
12. Change of file or user permissions or privileges (e.g., use of suid/guid, 
chown, su); 
13. Remote access outside of the corporate network communication channels 
(e.g., modems, dedicated VPN) and all dial-in access to the system; 
14. Changes made to an application or database by a batch file; 
15. Application-critical record changes; 
16. Changes to database or application records, where the application has been 
bypassed to produce the change (via a file or other database utility); 
17. All system and data interactions concerning FTI; and 
18. Additional platform-specific events, as defined in SCSEMs located on the 
Office of Safeguards website. 
b. Coordinate the security audit function with other agency entities requiring audit-
related information to enhance mutual support and to help guide the selection of 
auditable events; 
c. Provide a rationale for why the auditable events are deemed to be adequate to 
support after-the-fact investigations of security incidents; and 
d. Review and update the audited events at a minimum, annually. (CE3) 
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 55 
Access to FTI must be audited at the operating system, software, and 
database levels. Software and platforms have differing audit capabilities. 
Each individual platform audit capabilities and requirements are 
maintained on the platform-specific Office of Safeguards SCSEM, which is 
available on the IRS Office of Safeguards website. 
9.3.3.4 Content of Audit Records (AU-3) 
The information system must: 
a. Generate audit records containing information that establishes what type of event 
occurred, when the event occurred, where the event occurred, the source of the 
event, the outcome of the event, and the identity of any individuals or subjects 
associated with the event; and 
b. Generate audit records containing details to facilitate the reconstruction of events 
if unauthorized activity or a malfunction occurs or is suspected in the audit 
records for audit events identified by type, location, or subject. (CE1) 
9.3.3.5 Audit Storage Capacity (AU-4) 
The agency must allocate audit record storage capacity to retain audit records for the 
required audit retention period of seven years. 
9.3.3.6 Response to Audit Processing Failures (AU-5) 
The information system must: 
a. Alert designated agency officials in the event of an audit processing failure; 
b. Monitor system operational status using operating system or system audit logs 
and verify functions and performance of the system. Logs shall be able to identify 
where system process failures have taken place and provide information relative 
to corrective actions to be taken by the system administrator; and 
c. Provide a warning when allocated audit record storage volume reaches a 
maximum audit record storage capacity. (CE1) 
9.3.3.7 Audit Review, Analysis, and Reporting (AU-6) 
The agency must: 
a. Review and analyze information system audit records at least weekly or more 
frequently at the discretion of the information system owner for indications of 
unusual activity related to potential unauthorized FTI access; and 
b. Report findings according to the agency incident response policy. If the finding 
involves a potential unauthorized disclosure of FTI, the appropriate special 
agent-in-charge, Treasury Inspector General for Tax Administration (TIGTA), and 
the IRS Office of Safeguards must be contacted, as described in Section 10.0, 
Reporting Improper Inspections or Disclosures
Computer System Security 
Section 9.0 
Publication 1075 (October 2014) 
Page 56 
The Office of Safeguards recommends agencies identify events that may indicate a 
potential unauthorized access to FTI. This recommendation is not a requirement at this 
time, but agencies are encouraged to contact the Office of Safeguards with any 
questions regarding implementation strategies. Methods of detecting unauthorized 
access to FTI include matching audit trails to access attempts (successful or 
unsuccessful) across the following categories: 
Table 8 – Proactive Auditing Methods to Detect Unauthorized Access to FTI 
Do Not 
Access List 
Create a Do Not Access list to identify high-profile individuals or companies 
whose records have a high probability of being accessed without proper 
authorization 
Time of Day 
Access 
Identify suspicious behavior by tracking FTI accesses outside normal 
business hours 
Name 
Searches 
Detect potential unauthorized access by monitoring name searches 
(especially searches on the same last name as the employee) 
Previous 
Accesses 
Identify employee accesses to Tax Identification Numbers (TINs) that the 
employee has accessed in the past but currently does not have a case 
assignment or need to access 
Volume 
Monitor the volume of accesses a person performs and compare them to 
past case assignment levels 
Zip Code 
Determine whether an employee is accessing taxpayers whose address of 
record is geographically close to the employee’s home or work location (i.e., 
same building, zip code, block) 
Restricted 
TIN 
Monitor all TINs associated with past employees’ tax returns (e.g., self, 
spouse, children, businesses). 
It is recommended the agency define a frequency in which the preceding categories are 
updated for an individual to ensure the information is kept current. 
9.3.3.8 Audit Reduction and Report Generation (AU-7) 
The information system must provide an audit reduction and report generation capability 
that: 
a. Supports on-demand audit review, analysis, and reporting requirements and 
after-the-fact investigations of security incidents; and 
b. Does not alter the original content or time ordering of audit records. 
Documents you may be interested
Documents you may be interested