Libro Naranja-Universidad Tecnológica de Hermosillo
Páginas: 5 (1023 palabras)
Publicado: 16 de septiembre de 2014
INTRODUCCION
Este libro se creó teniendo en mente varios factores, el primero que los usuarios puedan medir el nivel de confianza con el cual ellos pueden introducir información importante o delicada a las computadoras.
CONTENIDO
El libro naranja o el Trusted Computer System Evaluation Criteria (TCSEC) tiene como principal función aplicar la política de seguridad del Departamento de laDefensa de los Estados Unidos, todo esto con el propósito de proteger la información clasificada a nivel confidencial.
La política de seguridad debe de ser explicita, bien definida y apoyada por el sistema informático. Se siguen por lo general 2 políticas básicas:
La primera es la política mandatoria de seguridad- se basa en el control de acceso basado en el nivel de acceso de las personas, laautorización e la información y la confiabilidad de esta. Estas políticas deben de seguir al pie las leyes, políticas generales y otras guías que se hayan usado para crear estas.
La otra política principal es la de Etiquetamiento; sistemas diseñados para guardar la integridad del acceso de control por medio de etiquetas, estas para su clasificación y para detectar si esta a sido sacada de sulugar de origen.
En 1999 el ISO adopto los criterios comunes de estandarización de la TCSEC como estándar internacional para la evaluación de la seguridad y protección de la información; para poder certificar un producto con estas normas se deben comprobar una serie de criterios comunes, esto realizado por un tercero, ya sea alguna compañía independiente, estos criterios se han aceptado en mas de 22países a nivel mundial.
En este libro se definen 4 divisiones en los niveles de seguridad empezando con el nivel D siendo el de menor rango hasta el nivel A siendo el de mayor jerarquía: D protección mínima, C protección controlada, B protección obligatoria y A protección controlada.
NIVEL D: sin seguridad, son aquellos que no cumplen ninguna norma de seguridad , no ha sido clasificado paraninguna categoría realmente por lo tanto no cuenta con ningún nivel de protección, un ejemplo son los sistemas operativos como el MS-DOS/
NIVEL C1: limitaciones de acceso a la información, dependiendo del usuario, dispone de mecanismos de autentificación y de control de acceso, todo esto en base a que los archivos de un usuario no sean destruidos o leídos sin permiso, un ejemplo de estos sonlas laptops, que cuentan con la posibilidad de alojar varios usuarios, teniendo una separación de los archivos que se pueden ver entre cada uno. Un ejemplo de esto son las primeras versionas del sistemas operativo UNIX.
NIVEL C2: esta de de acceso controlado, se hace una auditoria del sistema por parte del administrador, este tiene la capacidad de implementar restricciones en el sistema, comoque programas y aplicaciones pueden usar, además de poner las limitaciones de acceso a archivos o servicios, ejemplo: WindowsNT, UNIX, Windows 2000.
NIVEL B: es prácticamente igual al C2 solo que este cuenta con protección individual para cada archivo o carpeta en especifico, se establecen controles para evitar la propagación o modificación de los diferentes archivos seleccionados. En estenivel se diseñan especificaciones y verificaciones, además de cualquier falla que se descubre debe de ser eliminada o mitigada, dando esto a entender que el administrador debe siempre estar controlando el acceso, además de estar al pendiente de la etiquetación de los archivos de contenido sensible. Un ejemplo de esto es cuando ponemos passwords a ciertos archivos para que no sean modificados, oque estos estén ocultos para los demás usuarios, Un ejemplo de este es cuando el usuario pone etiquetas a cada usuario (como contabilidad, finanzas, administración, etc.) y a su vez este les pone un nivel de jerarquía dentro del sistema.
NIVEL B2: el sistema debe ser diseñado para resistir ataques de personas no deseadas, la configuración de los controles del sistema es impuesta siendo solo el...
Este libro se creó teniendo en mente varios factores, el primero que los usuarios puedan medir el nivel de confianza con el cual ellos pueden introducir información importante o delicada a las computadoras.
CONTENIDO
El libro naranja o el Trusted Computer System Evaluation Criteria (TCSEC) tiene como principal función aplicar la política de seguridad del Departamento de laDefensa de los Estados Unidos, todo esto con el propósito de proteger la información clasificada a nivel confidencial.
La política de seguridad debe de ser explicita, bien definida y apoyada por el sistema informático. Se siguen por lo general 2 políticas básicas:
La primera es la política mandatoria de seguridad- se basa en el control de acceso basado en el nivel de acceso de las personas, laautorización e la información y la confiabilidad de esta. Estas políticas deben de seguir al pie las leyes, políticas generales y otras guías que se hayan usado para crear estas.
La otra política principal es la de Etiquetamiento; sistemas diseñados para guardar la integridad del acceso de control por medio de etiquetas, estas para su clasificación y para detectar si esta a sido sacada de sulugar de origen.
En 1999 el ISO adopto los criterios comunes de estandarización de la TCSEC como estándar internacional para la evaluación de la seguridad y protección de la información; para poder certificar un producto con estas normas se deben comprobar una serie de criterios comunes, esto realizado por un tercero, ya sea alguna compañía independiente, estos criterios se han aceptado en mas de 22países a nivel mundial.
En este libro se definen 4 divisiones en los niveles de seguridad empezando con el nivel D siendo el de menor rango hasta el nivel A siendo el de mayor jerarquía: D protección mínima, C protección controlada, B protección obligatoria y A protección controlada.
NIVEL D: sin seguridad, son aquellos que no cumplen ninguna norma de seguridad , no ha sido clasificado paraninguna categoría realmente por lo tanto no cuenta con ningún nivel de protección, un ejemplo son los sistemas operativos como el MS-DOS/
NIVEL C1: limitaciones de acceso a la información, dependiendo del usuario, dispone de mecanismos de autentificación y de control de acceso, todo esto en base a que los archivos de un usuario no sean destruidos o leídos sin permiso, un ejemplo de estos sonlas laptops, que cuentan con la posibilidad de alojar varios usuarios, teniendo una separación de los archivos que se pueden ver entre cada uno. Un ejemplo de esto son las primeras versionas del sistemas operativo UNIX.
NIVEL C2: esta de de acceso controlado, se hace una auditoria del sistema por parte del administrador, este tiene la capacidad de implementar restricciones en el sistema, comoque programas y aplicaciones pueden usar, además de poner las limitaciones de acceso a archivos o servicios, ejemplo: WindowsNT, UNIX, Windows 2000.
NIVEL B: es prácticamente igual al C2 solo que este cuenta con protección individual para cada archivo o carpeta en especifico, se establecen controles para evitar la propagación o modificación de los diferentes archivos seleccionados. En estenivel se diseñan especificaciones y verificaciones, además de cualquier falla que se descubre debe de ser eliminada o mitigada, dando esto a entender que el administrador debe siempre estar controlando el acceso, además de estar al pendiente de la etiquetación de los archivos de contenido sensible. Un ejemplo de esto es cuando ponemos passwords a ciertos archivos para que no sean modificados, oque estos estén ocultos para los demás usuarios, Un ejemplo de este es cuando el usuario pone etiquetas a cada usuario (como contabilidad, finanzas, administración, etc.) y a su vez este les pone un nivel de jerarquía dentro del sistema.
NIVEL B2: el sistema debe ser diseñado para resistir ataques de personas no deseadas, la configuración de los controles del sistema es impuesta siendo solo el...
Leer documento completo
Regístrate para leer el documento completo.