Orange book
Páginas: 51 (12744 palabras)
Publicado: 25 de diciembre de 2010
Marzo, 2000 Elaborado por: Departamento de Control de Calidad y Auditoría Informática
Dirección General de Servicios de Cómputo Académico Dirección de Sistema
Subdirección de Sistemas
Subdirección de Sistemas
1
Vista General del Libro Naranja (Orange Book)
Contenido
Vista General del Libro Naranja (Orange Book) Introducción Requisitos Fundamentales de la Seguridad en CómputoPolíticas de Seguridad. Responsabilidad Confianza Cual es el Propósito del Libro Naranja. Medición Dirección Adquisición D- Protección Mínima C- Protección Discrecional. C1- Protección de Seguridad discrecional. C2- Protección de Acceso Controlado B- Protección Obligatoria. B1- Protección de Seguridad por Etiquetas B2- Protección Estructurada B3- Protección por Dominios Protección Verificada A1-Diseño verificado A2- En Adelante
Evaluación de Clases y Ejemplo de Sistemas Control de Acceso Discrecional Reutilización de Objetos Etiquetas Integridad de Etiquetas Exportación de Información Etiquetada Exportación en Dispositivos Multinivel
Subdirección de Sistemas
2
Vista General del Libro Naranja (Orange Book)
Exportación en Dispositivos de Nivel Único Etiquetado de SalidasLegibles a la Persona Etiquetas Sensitivas de Eventos Dispositivos Etiquetados Control de Acceso Obligatorio Identificación y Autentificación Rutas Seguras Auditoría Arquitectura del Sistema Integridad del Sistema Análisis de Canales Secretos Facilidad de Administración de la Seguridad Recuperación Confiable Diseño de Especificaciones y Verificación Pruebas de Seguridad Administración de ConfiguraciónDistribución Confiable Guía del Usuario de Características de Seguridad Facilidades del Manual de Seguridad Pruebas de Documentación Documentación de Pruebas Diseño de Documentación Glosario de Términos. Bibliografia
Subdirección de Sistemas
3
Vista General del Libro Naranja (Orange Book)
Vista General del Libro Naranja (Orange Book)
Antes de entrar a fondo con el tema de seguridad, hayque tomar en cuenta que existen diferentes organizaciones, con diferentes tipos de información y por lo tanto con distintos requerimientos de seguridad. La necesidad de evaluar la seguridad, o de tener una medición confiable, es el motivo principal al desarrollar este documento por el gobierno de los E.E. U.U. El documento original puede ser consultado en línea en la dirección:http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html Y obtenerse en las siguientes versiones: Versión Texto ASCII (txt) Versión Postscript (ps) Formato Adobe Portable Document (pdf) Versión Gzipped Postscript en la dirección: http://www.radium.ncsc.mil/tpep/library/rainbow/
Introducción
El Libro Naranja es consecuencia de la creciente conciencia de la seguridad por parte el gobierno de los EstadosUnidos y de la industria, ambos con la creciente necesidad de estandarizar el propósito y el uso de las computadoras por el gobierno federal. El Libro Naranja define cuatro extensas divisiones jerárquicas de seguridad para la protección de la información. En orden creciente de confiabilidad se tienen: D C B A Protección Mínima Protección Discrecional Protección Obligatoria Protección ControladaSubdirección de Sistemas
4
Vista General del Libro Naranja (Orange Book)
Cada división consiste en una o más clases numeradas, entre más grande sea el número se indica un mayor grado de seguridad. La división C contiene dos distintas clases C1 y C2 (de acuerdo a la nomenclatura adoptada: C2 ofrece una mayor seguridad que C1) La división B contiene 3 clases B1, B2 y B3 (B3 ofrece mayorseguridad que B2, y B2 ofrece más seguridad que B1). La división A cuenta con solo una clase A1. Cada clase se define con un grupo específico de criterios que un sistema debe cubrir, para ser certificado con la evaluación en alguna clase. Este criterio cae en 4 categorías generales: Políticas de seguridad, Responsabilidad, Confianza y Documentación.
Requisitos Fundamentales de la Seguridad en...
Dirección General de Servicios de Cómputo Académico Dirección de Sistema
Subdirección de Sistemas
Subdirección de Sistemas
1
Vista General del Libro Naranja (Orange Book)
Contenido
Vista General del Libro Naranja (Orange Book) Introducción Requisitos Fundamentales de la Seguridad en CómputoPolíticas de Seguridad. Responsabilidad Confianza Cual es el Propósito del Libro Naranja. Medición Dirección Adquisición D- Protección Mínima C- Protección Discrecional. C1- Protección de Seguridad discrecional. C2- Protección de Acceso Controlado B- Protección Obligatoria. B1- Protección de Seguridad por Etiquetas B2- Protección Estructurada B3- Protección por Dominios Protección Verificada A1-Diseño verificado A2- En Adelante
Evaluación de Clases y Ejemplo de Sistemas Control de Acceso Discrecional Reutilización de Objetos Etiquetas Integridad de Etiquetas Exportación de Información Etiquetada Exportación en Dispositivos Multinivel
Subdirección de Sistemas
2
Vista General del Libro Naranja (Orange Book)
Exportación en Dispositivos de Nivel Único Etiquetado de SalidasLegibles a la Persona Etiquetas Sensitivas de Eventos Dispositivos Etiquetados Control de Acceso Obligatorio Identificación y Autentificación Rutas Seguras Auditoría Arquitectura del Sistema Integridad del Sistema Análisis de Canales Secretos Facilidad de Administración de la Seguridad Recuperación Confiable Diseño de Especificaciones y Verificación Pruebas de Seguridad Administración de ConfiguraciónDistribución Confiable Guía del Usuario de Características de Seguridad Facilidades del Manual de Seguridad Pruebas de Documentación Documentación de Pruebas Diseño de Documentación Glosario de Términos. Bibliografia
Subdirección de Sistemas
3
Vista General del Libro Naranja (Orange Book)
Vista General del Libro Naranja (Orange Book)
Antes de entrar a fondo con el tema de seguridad, hayque tomar en cuenta que existen diferentes organizaciones, con diferentes tipos de información y por lo tanto con distintos requerimientos de seguridad. La necesidad de evaluar la seguridad, o de tener una medición confiable, es el motivo principal al desarrollar este documento por el gobierno de los E.E. U.U. El documento original puede ser consultado en línea en la dirección:http://www.radium.ncsc.mil/tpep/library/rainbow/5200.28-STD.html Y obtenerse en las siguientes versiones: Versión Texto ASCII (txt) Versión Postscript (ps) Formato Adobe Portable Document (pdf) Versión Gzipped Postscript en la dirección: http://www.radium.ncsc.mil/tpep/library/rainbow/
Introducción
El Libro Naranja es consecuencia de la creciente conciencia de la seguridad por parte el gobierno de los EstadosUnidos y de la industria, ambos con la creciente necesidad de estandarizar el propósito y el uso de las computadoras por el gobierno federal. El Libro Naranja define cuatro extensas divisiones jerárquicas de seguridad para la protección de la información. En orden creciente de confiabilidad se tienen: D C B A Protección Mínima Protección Discrecional Protección Obligatoria Protección ControladaSubdirección de Sistemas
4
Vista General del Libro Naranja (Orange Book)
Cada división consiste en una o más clases numeradas, entre más grande sea el número se indica un mayor grado de seguridad. La división C contiene dos distintas clases C1 y C2 (de acuerdo a la nomenclatura adoptada: C2 ofrece una mayor seguridad que C1) La división B contiene 3 clases B1, B2 y B3 (B3 ofrece mayorseguridad que B2, y B2 ofrece más seguridad que B1). La división A cuenta con solo una clase A1. Cada clase se define con un grupo específico de criterios que un sistema debe cubrir, para ser certificado con la evaluación en alguna clase. Este criterio cae en 4 categorías generales: Políticas de seguridad, Responsabilidad, Confianza y Documentación.
Requisitos Fundamentales de la Seguridad en...
Leer documento completo
Regístrate para leer el documento completo.