Acrónimos:
TCSEC
Ver:
· ITSEC - Information Technology Security Evaluation Criteria
· http://en.wikipedia.org/wiki/TCSEC
Los TCSEC
tiene por objetivo aplicar la política de seguridad del Departamento de Defensa
estadounidense. Esta política se preocupa fundamentalmente del mantenimiento de
la confidencialidad de la información clasificada a nivel nacional.
Los TCSEC
definen siete conjuntos de criterios de evaluación denominados clases (D, C1,
C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la
evaluación: política de seguridad, imputabilidad, aseguramiento y
documentación. Los criterios correspondientes a estas cuatro áreas van ganando
en detalle de una clase a otra, constituyendo una jerarquía en la que D es el
nivel más bajo y A1 él más elevado. Todas las clases incluyen requisitos tanto
de funcionalidad como de confianza.
A
continuación se enumeran las siete clases:
· D Protección mínima. Sin seguridad.
· C1 Limitaciones de accesos a datos.
· C2 Acceso controlado al SI. Archivos de log y de auditoría del sistema.
· B1 Equivalente al nivel C2 pero con una mayor protección individual para cada fichero.
· B2 Los sistemas deben estar diseñados para ser resistentes al acceso de personas no autorizadas.
· B3 Dominios de seguridad. Los sistemas deben estar diseñados para ser altamente resistentes a la entrada de personas no autorizadas.
· A1 Protección verificada. En la práctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en la fase de análisis del sistema.
El Libro Naranja
fue desarrollado por el NCSC (National Computer Security Center) de la NSA
(National Security Agency) del Departamento de Defensa de EEUU. Actualmente, la
responsabilidad sobre la seguridad de SI la ostenta un organismo civil, el NIST
(National Institute of Standards and Technology).
http://www.csi.map.es/csi/silice/Segurd21.html
Criterios de
evaluación de la seguridad de los sistemas de computación, conocidos también
con el nombre de Orange Book (Libro naranja), definidos originalmente por el
Ministerio de Defensa de los EE.UU.
http://www.iso27000.es/glosario.html
A document
published by the National Computer Security Center containing a uniform set of
basic requirements and evaluation classes for assessing degrees of assurance in
the effectiveness of hardware and software security controls built into
systems. These criteria are intended for use in the design and evaluation of
systems that will process and/or store classified or Sensitive Unclassified
data.
This document is
Government Standard DoD 5200.28-STD and is frequently referred to as "The
Criteria" or "The Orange Book."
[IRM-5239-8:1995]
Trusted Computer
System Evaluation Criteria (TCSEC) is a set of basic requirements for assessing
the effectiveness of computer security controls built into a computer system
which was evaluated for use by the United States Department of Defense (DoD).
The TCSEC was used to classify and select computer systems being considered for
the processing, storage and retrieval of sensitive or classified information. The
TCSEC, frequently referred to as the Orange Book is the centerpiece of the DoD
Rainbow Series publications. Initially issued by the National Computer Security
Center (NCSC) an arm of the National Security Agency in 1983 and then updated
in 1985, TCSEC was replaced with the development of the Common Criteria
international standard originally published in 2005.
http://en.wikipedia.org/wiki/TCSEC
Temas relacionados