Acrónimos:
TCSEC
Ver:
·
ITSEC -
Information Technology Security Evaluation Criteria
·
http://en.wikipedia.org/wiki/TCSEC
Los TCSEC
tiene por objetivo aplicar la política de seguridad del Departamento de Defensa
estadounidense. Esta política se preocupa fundamentalmente del mantenimiento de
la confidencialidad de la información clasificada a nivel nacional.
Los TCSEC
definen siete conjuntos de criterios de evaluación denominados clases (D, C1,
C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la
evaluación: política de seguridad, imputabilidad, aseguramiento y
documentación. Los criterios correspondientes a estas cuatro áreas van ganando
en detalle de una clase a otra, constituyendo una jerarquía en la que D es el
nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto
de funcionalidad como de confianza.
A
continuación se enumeran las siete clases:
·
D Protección mínima. Sin
seguridad.
·
C1 Limitaciones de accesos a
datos.
·
C2 Acceso controlado al SI.
Archivos de log y de auditoría del sistema.
·
B1 Equivalente al nivel C2 pero
con una mayor protección individual para cada fichero.
·
B2 Los sistemas deben estar
diseñados para ser resistentes al acceso de personas no autorizadas.
·
B3 Dominios de seguridad. Los
sistemas deben estar diseñados para ser altamente resistentes a la entrada de
personas no autorizadas.
·
A1 Protección verificada. En la
práctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en
la fase de análisis del sistema.
El Libro
Naranja fue desarrollado por el NCSC (National Computer Security Center) de la
NSA (National Security Agency) del Departamento de Defensa de EEUU.
Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un
organismo civil, el NIST (National Institute of Standards and Technology).
http://www.csi.map.es/csi/silice/Segurd21.html
Criterios de
evaluación de la seguridad de los sistemas de computación, conocidos también
con el nombre de Orange Book (Libro naranja), definidos originalmente por el
Ministerio de Defensa de los EE.UU.
http://www.iso27000.es/glosario.html
A document published by the
National Computer Security Center containing a uniform set of basic
requirements and evaluation classes for assessing degrees of assurance in the
effectiveness of hardware and software security controls built into systems.
These criteria are intended for use in the design and evaluation of systems
that will process and/or store classified or Sensitive Unclassified data.
This document is Government
Standard DoD 5200.28-STD and is frequently referred to as "The
Criteria" or "The Orange Book."
[IRM-5239-8:1995]
Trusted Computer System
Evaluation Criteria (TCSEC) is a set of basic requirements for assessing the
effectiveness of computer security controls built into a computer system which
was evaluated for use by the United States Department of Defense (DoD). The
TCSEC was used to classify and select computer systems being considered for the
processing, storage and retrieval of sensitive or classified information. The
TCSEC, frequently referred to as the Orange Book is the centerpiece of the DoD
Rainbow Series publications. Initially issued by the National Computer Security
Center (NCSC) an arm of the National Security Agency in 1983 and then updated
in 1985, TCSEC was replaced with the development of the Common Criteria
international standard originally published in 2005.
http://en.wikipedia.org/wiki/TCSEC