MAPA MENTAL DEL LIBRO NARANJA DEPARTAMENTO DE DEFENSA

CRITERIOS DE EVALUACIÓN DE LA SEGURIDAD DE LOS SISTEMAS

INFORMÁTICOS

Universidad Autónoma de Querétaro

Maestría en Sistemas de Información : Gestión y Tecnología

Raúl Deanda Quintero

Agosto 2014

Libro Naranja, Criterios de evaluación de la seguridad en los Sistemas Informáticos.

REQUISITOS FUNDAMENTALES DE LA SEGURIDAD DE CÓMPUTO

PROPÓSITOS

Medición Dirección Adquisición

D Protección

Mínima

A Protección Controlada

C Protección

Discrecional

B Protección Obligatoria

Reservada para los sistemas que han sido evaluados, pero que no pueden cumplir los requisitos para una clase más alta de evaluación.

Necesidad de identificación, inclusión de capacidades de auditoría, responsabilidad de los usuarios de las actividades que realiza.

CLASES

C -1 Protección de

Seguridad Discrecional

Separación de Usuarios y Datos, Incorpora mecanismos de Control y Acreditación, restricciones de acceso a base individual.

C -2 Protección de

Acceso Controlado

Responsabilidad de las acciones de los usuarios en base a procedimientos de conexión, aislamiento de recursos, revisión de eventos relevantes de seguridad.

Requiere que el sistema de protección sea obligatorio y no solo discrecional.

B-1 Protección de Seguridad por

Etiquetas

B-2 Protección

Estructurada

B-3 Protección por

Dominios

Requieren todas las características de C-2, modelo de la política de seguridad, etiquetas de los datos y control de acceso.

Estructurado en elementos de protección críticos y no críticos, mecanismos de autentificación, recursos seguros, funciones de administrador y operador.

Monitoreo de acceso de usuarios a objetos, Administrador de seguridad, mecanismos de auditoria, procedimientos de recuperación de sistemas. altamente impenetrable

Uso de métodos formales para verificación de seguridad, garantizar controles de seguridad , protección de información clasificada y sensitiva.