Proyecto OZ Arco Legro Seguridad
Ingeniería en Informática
Cátedra: Sistemas Operativos
Proyecto OZ – Seguridad
Integrantes
Arco, Martín
Legrottaglie, Emmanuel
PARTE TEORICA
1. Grafique en una tabla de doble entrada qué requerimientos se deben satisfacer
para obtener cada uno de los niveles de certificación que otorga el estándar
Common Criteria.
Niveles de confianza:
Nivel
EAL1
EAL2
EAL3
EAL4EAL5
EAL6
EAL7
Requerimientos
Es aplicable donde se requiere tener cierta confianza de la operación correcta, y donde además,
las amenazas a la seguridad no son vistas como serias. Una evaluación en este nivel debe
proporcionar evidencia de que las funciones del objeto de evaluación son consistentes con su
documentación, y que proporcionan protección útil contra amenazas identificadas.
Requierela cooperación del desarrollador en términos de la distribución de la información del
diseño, y los resultados de las pruebas y proporciona confianza a través de un análisis de las
funciones de seguridad, usando una especificación funcional y de interfaz, manuales y diseño de
alto nivel del producto para entender el comportamiento de seguridad. Además, en este nivel se
verifica que eldesarrollador realizó un análisis de vulnerabilidades a través de la ejecución de
pruebas de caja negra (black-box).
Permite a un desarrollador alcanzar una máxima garantía de ingeniería de seguridad positiva en
el estado de diseño sin la alteración substancial de prácticas de desarrollo válidas existentes. El
análisis en este nivel se apoya en las pruebas de caja gris (grey box), la confirmación selectivaindependiente de los resultados de las pruebas del desarrollador, y la evidencia de búsqueda de
vulnerabilidades obvias del desarrollador. Además, se realizan controles del entorno de desarrollo
y de gestión de configuración del producto.
Este nivel le permite a un desarrollador alcanzar máxima garantía de ingeniería de seguridad
positiva basada en buenas prácticas de desarrollo comercial, lascuales, aunque rigurosas, no
requieren del conocimiento especializado substancial, destreza, ni otros recursos. En este caso, el
análisis se apoya en el diseño de bajo nivel de los módulos del producto y se realiza búsqueda de
vulnerabilidades independiente de las pruebas realizadas por el desarrollador. Los controles de
desarrollo se apoyan en un modelo de ciclo de vida de desarrollo, identificaciónde las
herramientas utilizadas y gestión de configuración automatizada.
Permite a un desarrollador alcanzar máxima garantía de ingeniería de seguridad positiva
mediante la aplicación moderada de técnicas de ingeniería de seguridad. La confianza se apoya,
en este caso, en un modelo formal y una presentación semiformal de la especificación funcional y
el diseño de alto nivel. La búsqueda devulnerabilidades debe asegurar la resistencia relativa a los
ataques de penetración
Permite a los desarrolladores alcanzar una alta garantía en la aplicación de técnicas de ingeniería
de seguridad para un entorno de desarrollo riguroso y donde el objeto de evaluación es
considerado de gran valor para la protección del alto costo o estimación de esos bienes contra
riesgos significativos. Además, esaplicable para el desarrollo de objetos de evaluación, destinados
a salvaguardar la seguridad informática en situaciones de alto riesgo donde el valor de los bienes
protegidos justifica los costos adicionales. El análisis en este nivel se apoya en un diseño modular
y en una presentación estructurada de la implementación del producto. La búsqueda de
vulnerabilidades debe mostrar una alta resistencia a losataques de penetración.
Es aplicable al desarrollo de objetos de evaluación de seguridad, para su aplicación en situaciones
de muy alto riesgo o donde el alto valor de los bienes justifica los más altos costos. La aplicación
práctica del nivel EAL7 está limitada actualmente a objetos de evaluación con seguridad
estrechamente enfocada a la funcionalidad, y que es sensible al análisis formal y...
Regístrate para leer el documento completo.