¿QUÉ ES EL ITSEC ?
ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC se apunta a evaluaciones de productos y sistemas ( que puede estar compuesto de muchos componentes y productos seguros). La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto)
El estándar de seguridad TCSEC, aunque es bien conocido a nivel global por los distintos países, no está reconocido formalmente en Europa. En Europa se gestó el estándar ITSEC y su cubierta blanca hizo que se conociera como “Libro Blanco”. El ITSEC se aplica a un TOE(target of evaluation) , que es el sistema o producto que se someterá a un análisis y que está sujeto a evaluación en cuanto a su seguridad. El TOE contiene dos elementos:
1. Un conjunto de componentes del sistema que contribuyen directamente a satisfacer los objetivos de seguridad
2. Un conjunto de componentes que no se encargan de cumplir la seguridad, pero que deben estar presentes y operar, de forma correcta, para que la seguridad se cumpla. Son componentes relevantes para la seguridad
El ITSEC es un sistema estructurado de los criterios para la seguridad de evaluación de la computadora dentro de productos y de sistemas.
El producto o el sistema que es evaluado, llamado blanco de la evaluación, se sujeta a una examinación detallada de sus características de la seguridad que culminan en la prueba funcional y de la penetración comprensiva e informada.
La aparición de los estándares es uno de los signos de una industria madura. Todos están de acuerdo que son importantes. En el área de la seguridad, el esquema ITSEC ya ha preparado el terreno, definiendo un estándar internacional, documentándolo, y estableciendo mecanismos de apoyo para examinar los productos
FUNCIONALIDAD Y CONFIANZA
ITSEC al igual que CTCPEC (Canadian Trusted Computer Evaluation Ctiteria), y siguiendo lo que ya había hecho antes la agencia alemana de seguridad de la información, establece una diferencia entre ambos términos
La funcionalidad se refiere a lo que hace un sistema para ser seguro
Confianza se refiere a lo que los desarrolladores y evaluadores del sistema han hecho para garantizar la seguridad del sistema
CLASES Y NIVELES: RELACIONES CON TCSEC (libro naranja)
En ITSEC se han definido diez clases, de las cuales cinco (F-C1, F-C2, F-B1, F-B2, F-B3) forman un a jerarquía, ya que han sido derivadas de los requisitos de funcionalidad de las clases jerarquizadas de TCSEC (libro naranja). Las otras cinco (F-IN, F-AV, F-DI, F-DC, F-DX) serán creadas en el futuro para incluir más tipos de seguridad
Como se ha dicho las clases entre ITSEC y TCSEC (libro naranja) se corresponden así
F-C1 está basada de los requisitos de funcionalidad de la clase C1
F-C2 está basada de los requisitos de funcionalidad de la clase C2
F-B1 está basada de los requisitos de funcionalidad de la clase B1
F-B2 está basada de los requisitos de funcionalidad de la clase B2
F-B3 está basada de los requisitos de funcionalidad de la clase B3 y A1
Por otra parte ITSEC define siete niveles (E0, E1, E2, E3, E4, E5, E6). Estos niveles , unidos a las cinco clases que se han señalado, se corresponden con las clases del libro naranja de la siguiente forma….
Deseas saber más?
DESCARGAR
DESCARGAR
0 comentarios:
Publicar un comentario