Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AGENDA
OBJETIVOS
Comentar sobre la creacin de criterios para evaluacin de seguridad Destacar el rol que jug el departamento de defensa de USA con el TCSEC Mencionar los diferentes niveles de seguridad del TCSEC Explicar en que consiste Los Criterios Comunes/ISO 15408
Es un estndar del departamento de defensa del USA Establece los requisitos bsicos para evaluar la eficacia de los controles de seguridad integrados en un sistema informtico Se utiliz para evaluar, clasificar y seleccionar los sistemas informticos que se consideraban para el procesamiento, almacenamiento y recuperacin de informacin sensible o informacin clasificada .
http://www.fas.org/irp/nsa/rainbow.htm
TCSEC: Objetivos
TCSEC: Divisiones y Niveles Divisiones D Proteccin Mnima C Proteccin Discrecional Clases o Niveles D1 Proteccin mnima C1 Proteccin de Seguridad Discrecional C2 Proteccin de Control de Acceso B Proteccin Mandataria B1 Proteccin de seguridad etiquetada B2 Proteccin estructurada B3 Dominios de Seguridad A Proteccin Verificable A1 Diseo Verificado A2 Ms que A1
Poltica de Seguridad
La poltica de seguridad debe ser explcita, bien definida e impuesta por el sistema informtico. Hay dos polticas bsicas de seguridad: Mandataria: Se sustenta sobre reglas de control de acceso basadas directamente en Discrecional:
19-03-2012
TCSEC: D - Proteccin Mnima Esta divisin contiene slo una clase Est reservado para los sistemas que han sido evaluados, pero que no cumplen con los requisitos para una divisin ms alta Son sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la informacin Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh
19-03-2012
TCSEC
El TCSEC, a menudo referido como el Libro Naranja, es la pieza central del Departamento de Defensa de la serie Rainbow publicaciones. Inicialmente publicado en 1983 por el National Computer Security Center (NCSC), un brazo de la Agencia de Seguridad Nacional , y luego actualizado en 1985, TCSEC fue sustituido por el Common Criteria estndar internacional publicado originalmente en 2005.
Resumen
Ident/Authent DAC Audit MAC Labeled Output Device Labels Object Reuse Trusted Path
C1 N N
C2 N N N
B1 N = N N N
B2 = = N N = N
B3 A1 = = N = N = =
B3 A1 = = N = N = =
La norma ISO/IEC 15408 define un criterio estndar a usar como base para la evaluacin de las propiedades y caractersticas de seguridad de determinado producto o sistema IT. Proporciona una gua muy til a diferentes perfiles relacionados con las tecnologas de la seguridad:
Desarrolladores de productos o sistemas de tecnologas de la informacin, que pueden ajustar sus diseos. Consumidores que pueden conocer el nivel de confianza y seguridad que los productos de tecnologas de la informacin y sistemas le ofrecen. Evaluadores de seguridad, que juzgan y certifican en que medida se ajusta una especificacin de un producto o sistema IT a los requisitos de seguridad deseados
= N
Organizacin de CC Establece una clasificacin jerrquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos:
Clase: Conjunto de familias comparten un mismo objetivo de seguridad. Familia: un grupo de componentes que comparten objetivos de seguridad pero con diferente nfasis o rigor. Componente: un pequeo grupo de requisitos muy especficos y detallados. Es el menor elemento seleccionable para incluir en los documentos de perfiles de proteccin (PP) y especificacin de objetivos de seguridad (ST).
Ejemplo de clasificacin
Autenticacin:
Clase: Identificacin y autenticacin Familias de la clase:
Fallos de autenticacin Definicin de atributos de usuario Autenticacin de usuario Identificacin de usuario
19-03-2012
Proceso de Evaluacin
Niveles de Seguridad
EAL 1. Functionally tested Realizado a travs del anlisis de las funciones de seguridad usando especificaciones informales de aspectos funcionales, de interfaz y las guas y documentacin del producto o sistema IT para entender el comportamiento de seguridad. Es aplicable cuando se requiere confianza en la correcta operacin pero las amenazas de seguridad no se contemplan como un peligro serio. Este tipo de evaluacin proporciona evidencias de que las funciones de seguridad del TOE se encuentran implementadas de forma consistente con su documentacin y proporcionan una proteccin adecuada contra las amenazas identificadas.
19-03-2012
Niveles de Seguridad
EAL 6. Semiformally verified design and tested
Aade un detallado anlisis de las funciones de seguridad, una representacin estructurada de su implementacin y semiformal demostracin de la correspondencia entre las especificaciones de alto y bajo nivel con la implementacin. Adems debe demostrarse con un anlisis de vulnerabilidades independiente, que en el desarrollo se ha probado la robustez de las funciones de seguridad frente a atacantes de alto potencial de dao.