Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 500 vistas

    Libro Naranja

    Cargado por

    Huberth St
    El documento describe las divisiones jerárquicas de seguridad establecidas en el Libro Naranja para la protección de la información, incluyendo las clases D, C, B y A. Cada clase exige requisitos más estrictos de seguridad, desde protección mínima hasta protección verificada formalmente. El propósito del Libro Naranja es estandarizar los requisitos de seguridad para sistemas del gobierno de EE. UU. a través de la medición, dirección y especificación de adquisiciones.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd

    Libro Naranja

    Cargado por

    Huberth St
    500 vistas22 páginas
    El documento describe las divisiones jerárquicas de seguridad establecidas en el Libro Naranja para la protección de la información, incluyendo las clases D, C, B y A. Cada clase exige requisitos más estrictos de seguridad, desde protección mínima hasta protección verificada formalmente. El propósito del Libro Naranja es estandarizar los requisitos de seguridad para sistemas del gobierno de EE. UU. a través de la medición, dirección y especificación de adquisiciones.

    Descripción original:

    Teoría del libro que toda institución debe tener para proteger la seguridad de sus datos.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe las divisiones jerárquicas de seguridad establecidas en el Libro Naranja para la protección de la información, incluyendo las clases D, C, B y A. Cada clase exige requisitos más estrictos de seguridad, desde protección mínima hasta protección verificada formalmente. El propósito del Libro Naranja es estandarizar los requisitos de seguridad para sistemas del gobierno de EE. UU. a través de la medición, dirección y especificación de adquisiciones.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    500 vistas22 páginas

    Libro Naranja

    Cargado por

    Huberth St
    El documento describe las divisiones jerárquicas de seguridad establecidas en el Libro Naranja para la protección de la información, incluyendo las clases D, C, B y A. Cada clase exige requisitos más estrictos de seguridad, desde protección mínima hasta protección verificada formalmente. El propósito del Libro Naranja es estandarizar los requisitos de seguridad para sistemas del gobierno de EE. UU. a través de la medición, dirección y especificación de adquisiciones.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    Está en la página 1de 22

    LIBRO NARANJA

    El Libro Naranja es consecuencia de la


    creciente conciencia de la seguridad por parte
    el gobierno de los Estados Unidos y de la
    industria, ambos con la creciente necesidad
    de estandarizar el propsito y el uso de las
    computadoras por el gobierno federal.

    DIVISIONES JERRQUICAS DE SEGURIDAD


    PARA LA PROTECCIN DE LA
    INFORMACIN

    D Proteccin Mnima
    C Proteccin Discrecional
    B Proteccin Obligatoria
    A Proteccin Controlada

    Cada divisin consiste en una o ms clases numeradas, entre ms


    grande sea el nmero se indica un mayor grado de seguridad.
    La divisin C contiene dos distintas clases C1y C2(de acuerdo a la
    nomenclatura adoptada: C2 ofrece una mayor seguridad que C1)
    La divisin B contiene 3 clases B1, B2y B3(B3 ofrece mayor seguridad
    que B2, y B2 ofrece ms seguridad que B1).
    La divisin A cuenta con solo una clase A1.

    REQUISITOS FUNDAMENTALES DE LA
    SEGURIDAD EN CMPUTO

    1. Polticas de Seguridad
    Requisito 1 - POLTICA DE SEGURIDAD
    Requisito 2 MARCAS
    2. Responsabilidad
    Requisito 3 - IDENTIFICACIN
    Requisito 4 RESPONSABILIDAD
    3. Confianza
    Requisito 5 ASEGURAMIENTO
    Requisito 6 - PROTECCIN CONTINUA

    PROPSITO DEL LIBRO NARANJA

    1. Medicin
    Para proporcionar de elementos cuantificables al Departamento
    de Defensa (DoD1) con los cuales poder evaluar el grado de
    confianza que se puede tener en los sistemas informticos
    seguros

    2. Direccin
    Para proporcionar un estndar a los fabricantes en cuanto a las
    caractersticas de seguridad que deben de implementar en sus
    productos nuevos y planearla con anticipacin, para aplicarla en
    sus productos comerciales

    3. Adquisicin
    El proporcionar las bases para especificar los requerimientos de
    seguridad en adquisiciones determinadas.

    D- PROTECCIN MNIMA

    Esta reservada para los sistemas que han sido


    evaluados que pero que no pueden cumplir los
    requisitos para una clase ms alta de la
    evaluacin.
    Cualquier sistema que no cumple con
    cualquier otra categora, o ha dejado de
    recibir una clasificacin ms alta. El sistema
    DOS para PCs se cae en esta categora.

    C- PROTECCIN
    DISCRECIONAL

    Las clases en esta divisin proporcionan una Proteccin


    discrecional (necesidad de identificacin) y, a travs
    de inclusin de capacidades de auditoria, exige la
    responsabilidad de los usuarios de las acciones que
    realiza

    C1- Proteccin de Seguridad discrecional


    Las TCB de un sistema de la clase C1, deben cubrir los
    requisitos de seguridad discrecional proporcionando la
    separacin de usuarios y de datos

    C- PROTECCIN
    DISCRECIONAL

    REQUISITOS MNIMOS PARA LOS SISTEMAS CON ASIGNACIN DE LA


    CLASE C1

    Proteccin de archivos optativa, por ejemplo Control de Listas de Acceso


    (ACL3s), Protecin a Usuario/ Grupo/Pblico.
    Usualmente para usuarios que estn todos en el mismo nivel de
    seguridad.
    Proteccin de la contrasea y banco de datos seguro de autorizaciones
    (ADB4).
    Proteccin del modo de operacin del sistema.
    Verificacin de Integridad del TCB.
    Documentacin de Seguridad del Usuario.
    Documentacin de Seguridad del Administracin de Sistemas.
    Documentacin para Comprobacin de la Seguridad.
    Diseo de documentacin de TCB.
    Tpicamente para usuarios en el mismo nivel de seguridad.
    Ejemplo de estos sistemas son las primeras versiones de Unix.

    C- PROTECCIN
    DISCRECIONAL

    C2- Proteccin de Acceso Controlado.


    Los sistemas en esta clase hacen cumplir ms fielmente
    un control de acceso discrecional ms fino que los
    sistemas C1, haciendo responsable individualmente a los
    usuarios de sus acciones a travs de procedimientos de
    conexin, revisin de eventos relevantes de seguridad, y
    el aislamiento de recursos.

    C- PROTECCIN
    DISCRECIONAL

    requisitos mnimos para los sistemas con asignacin


    de clase (C2)
    La proteccin de objetos puede estar con base al usuario, ej. De
    un ACL o una base de datos del administrador.
    La autorizacin para accesar slo puede ser asignada por
    usuarios autorizados.
    Proteccin de reuso de objetos (p.e. para evitar reasignacin de
    permisos de seguridad de objetos borrados).
    Identificacin obligatoria y procedimientos de autorizacin para
    los usuarios, p.e. contraseas.
    Auditoria de eventos de seguridad.
    Proteccin del modo de operacin del sistema.
    Agrega proteccin para autorizaciones y auditora de datos.

    B- PROTECCIN
    OBLIGATORIA

    La divisin B especifica que el sistema de


    proteccin del TCB debe ser obligatorio, no
    solo discrecional.
    La nocin de un TCB que preserve la integridad
    de etiquetas de sensibilidad de la informacin y
    se utilizan para hacer cumplir un conjunto de
    reglas obligatorias del control de acceso, es un
    requisito importante en esta divisin.

    B- PROTECCIN
    OBLIGATORIA

    B1- Proteccin de Seguridad por Etiquetas


    Los sistemas de la clase B1 requieren todas las
    caractersticas solicitadas para la clase C2.
    Adems una declaracin informal del modelo de
    la poltica de seguridad, de las etiquetas de los
    datos, y del control de acceso obligatorio sobre
    los eventos y objetos nombrados debe estar
    presente.

    B- PROTECCIN
    OBLIGATORIA

    Requisitos mnimos para los sistemas con asignaron de grado


    de la clase b1
    Seguridad obligatoria y acceso por etiquetas a todos los objetos, ej.
    archivos, procesos, dispositivos, etc.
    Verificacin de la Integridad de las etiquetas.
    Auditoria de objetos Etiquetados.
    Control de acceso obligatorio.
    Habilidad de especificar el nivel de seguridad impreso en salidas
    legibles al humano (ej. impresiones.).

    B- PROTECCIN
    OBLIGATORIA

    B2- Proteccin Estructurada


    En los sistemas de clase B2, los TCB deben estar
    basados en una documentacin formal clara y
    contar con un modelo de poltica de seguridad
    bien definido que requiera un control de acceso
    discrecional y obligatorio.

    B- PROTECCIN
    OBLIGATORIA

    requisitos mnimos para los sistemas con asignacin de grado


    de la clase B2
    Notificacin de cambios del nivel de seguridad que afecten
    interactivamente a los usuarios.
    Etiquetas de dispositivos jerrquicas.
    Acceso obligatorio sobre todos los objetos y dispositivos.
    Rutas Confiables de comunicaciones entre usuario y sistema.
    Rastreo de los canales secretos de almacenamiento.
    Modo de operacin del sistema ms firme en multinivel en unidades
    independientes.
    Anlisis de canales seguros.
    Comprobacin de la seguridad mejorada.
    Modelos formales de TCB.
    Versin, actualizacin y anlisis de parches y auditoria.
    Un ejemplo de estos sistemas operativos es el Honeywell
    Multics.

    B- PROTECCIN
    OBLIGATORIA

    B3- Proteccin por Dominios


    la clase B3 los TCB debe satisfacer los requisitos de herramientas
    de monitoreo como un monitor de referencia que Interviene en
    todos los accesos de usuarios a los objetos, a fin de ser
    comprobada, y que sea lo bastante pequea para ser sujeta al
    anlisis y pruebas.
    Al final, el TCB debe estar estructurado para excluir el cdigo no
    esencial para aplicar la poltica de seguridad, mediante
    ingeniera de sistemas durante el diseo y la implementacin
    del TCB, orientada hacia la reduccin de su complejidad al
    mnimo.

    B- PROTECCIN
    OBLIGATORIA

    requisitos mnimos para los sistemas con asignacin de un


    grado de clase B3
    ACLs adicionales basado en grupos e identificadores.
    Rutas de acceso confiables y autentificacin.
    Anlisis automtico de la seguridad.
    Modelos ms formales de TCB.
    Auditora de eventos de seguridad.
    Recuperacin confiable despus de baja del sistema y
    documentacin relevante.
    Cero defectos del diseo del TCB, y mnima ejecucin de errores.

    A- PROTECCIN VERIFICADA

    Esta divisin se caracteriza por el uso de


    mtodos formales para la verificacin de
    seguridad y as garantizar que los
    controles de seguridad
    obligatoria y
    discrecional empleados en el sistema
    pueden
    proteger
    con
    eficacia
    la
    informacin
    clasificada
    o
    sensitiva
    almacenada o procesada por el sistema.

    A- PROTECCIN VERIFICADA

    A1- Diseo verificado


    Los sistemas en la clase (A1) son funcionalmente
    equivalentes a los de la clase B3 en que no se agrega
    ningunas caractersticas o requisitos arquitectnicos
    adicionales de la poltica de seguridad. La
    caracterstica que distingue los sistemas en esta clase
    es el anlisis derivado de tcnicas formales de
    especificacin y la verificacin del diseo, y el alto
    grado de confiabilidad que resulta de la correcta
    implementacin del
    TCB.

    A- PROTECCIN VERIFICADA

    A1- Diseo verificado


    Los sistemas en la clase (A1) son funcionalmente equivalentes a los de
    la clase B3 en que no se agrega ningunas caractersticas o requisitos
    arquitectnicos adicionales de la poltica de seguridad. La caracterstica
    que distingue los sistemas en esta clase es el anlisis derivado de
    tcnicas formales de especificacin y la verificacin del diseo, y el alto
    grado de confiabilidad que resulta de la correcta implementacin del
    TCB.

    A2 en adelante
    La Propuesta hecha para los ms altos niveles de seguridad se
    denomina como A2, aunque sus requerimientos aun no han sido
    definidos formalmente.

    EVALUACIN DE CLASES Y
    EJEMPLO DE SISTEMAS

    CUADRO COMPARATIVO DE LOS


    CRITERIOS POR CADA CLASE Y EN
    TERMINOS GENERALES

    También podría gustarte