2.2 Conceptos básicos del libro naranja.pptx

2.2 Conceptos básicos del libro naranja El Libro Naranja es consecuencia de la creciente conciencia de la seguridad por parte el gobierno de los Estados Unidos y de la industria, ambos con la creciente necesidad de estandarizar el propósito y el uso de las computadoras por el gobierno federal.

2.2.4 Protección continua 2.2.3 Mecanismos de seguridad 2.2.1 Niveles de seguridad y políticas 2.2.2 Rendición de cuentas

2.2.1 Niveles de seguridad y políticas El libro naranja es parte de la serie arcoíris publicada por el Departamento de Defensa de Estados Unidos, su propósito es dar una clasificación del nivel de seguridad de los sistemas en base a los controles que implementen.

El libro naranja define cuatro divisiones jerárquicas de seguridad para la protección de la información: D, C, B y A en orden creciente de confiabilidad. El nivel de protección mínimo es D, C y B son los niveles discrecional y obligatorio respectivamente en tanto que A es el verificado o controlado. La división C contiene a su vez dos subdivisiones la C1 y C2 donde el nivel C2 ofrece una mayor seguridad que el nivel C1, análogamente la división B tiene tres subdivisiones B1, B2 y B3 D Protección Mínima C Protección Discrecional B Protección Obligatoria A Protección Controlada

Debe existir una política de seguridad explícita y bien definida reforzada por el sistema. Identificados los eventos y los objetos, debe haber un conjunto de reglas que son utilizadas por el sistema para determinar si un evento dado se puede permitir para acceder a un objeto específico. Los sistemas informáticos de interés deben hacer cumplir una política obligatoria de seguridad, en la cual puedan implementarse eficientemente reglas del acceso para manejo de información sensitiva Requisitos fundamentales de la Seguridad en cómputo Requisito 1. Política de Seguridad

El control de acceso por etiquetas debe de estar asociado a los objetos. Para controlar el acceso a la información almacenada en una computadora, según las reglas de una política obligada de seguridad, debe de ser posible el marcar cada objeto con uno una etiqueta que identifique confiablemente el nivel de la sensibilidad del objeto ( p.e ., clasificación), y/o los modos de obtener acceso y acordar quien puede tener acceso potencial al objeto. Requisito 2. Marcas

Los eventos individuales deben de ser identificados. Cada acceso a la información debe ser registrado teniendo como base quién está teniendo acceso a la información y qué autorización posee para ocupar cierta clase de información. La información de la identificación y la autorización debe ser administrada con seguridad por el sistema informático y asociar cierta seguridad a cada elemento activo que realice una cierta acción relevante en el sistema. Requisito 3. Identificación

Las auditorias de la información deben ser selectivamente guardadas y protegidas de las acciones que puedan afectar la seguridad y de testa forma poder rastrear al responsable. Un sistema confiable debe tener la capacidad de registrar la ocurrencia de acontecimientos relevantes sobre seguridad en una bitácora auditable Requisito 4. Responsabilidad

El sistema informático debe contener los mecanismos de hardware/software que puedan ser evaluados independientemente para proporcionar una seguridad suficiente que el sistema haga cumplir los requisitos 1 a 4 mencionados anteriormente. La base para confiar en tales mecanismos del sistema operativo, radica en su configuración operacional, la cual debe ser claramente documentada a fin de hacer posible el examinar independientemente los eventos para su evaluación. Requisito 5. Aseguramiento

Los mecanismos de seguridad que hacen cumplir estos requisitos básicos, se deben de proteger continuamente contra cambios no autorizados o modificaciones que traten de alterarlos. Ningún sistema de cómputo puede ser considerado verdaderamente seguro si los mecanismos que hacen cumplir las políticas de seguridad, están sujetos a modificaciones no autorizadas. El requisito de protección continua tiene implicaciones directas a través del ciclo de vida de los sistemas. Requisito 6. Protección continua

Propósito del libro naranja 1. Medición Para proporcionar de elementos cuantificables al Departamento de Defensa (DoD1) con los cuales poder evaluar el grado de confianza que se puede tener en los sistemas informáticos seguros 2 . Dirección Para proporcionar un estándar a los fabricantes en cuanto a las características de seguridad que deben de implementar en sus productos nuevos y planearla con anticipación, para aplicarla en sus productos comerciales 3. Adquisición El proporcionar las bases para especificar los requerimientos de seguridad en adquisiciones determinadas.

2.2.2 Rendición de cuentas El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

Responsabilidad por rendición de cuentas de los activos : Mantener una adecuada protección de los activos de la organización. Clasificación de la información: Garantizar que los recursos de información reciban un apropiado nivel de protección.

2.2.3 Mecanismos de seguridad Los mecanismos de seguridad de la protección continua se deben de proteger continuamente contra cambios no autorizados o modificaciones que traten de alterarlos. Ningún sistema de cómputo puede ser considerado verdaderamente seguro si los mecanismos que hacen cumplir las políticas de seguridad, están sujetos a modificaciones no autorizadas. El requisito de protección continua tiene implicaciones directas a través del ciclo de vida de los sistemas.

Permisos: dominios de ejecución Un sistema informático contiene objetos que requieren ser protegidos como el procesador, segmentos de memoria y archivos, cada objeto tiene un único nombre por el cual es identificado y un conjunto de operaciones relacionadas, por ejemplo lectura y escritura son operaciones para archivos.

2.2.4 Protección continua

Ataques comunes al sistema operativo Muchos sistemas operativos al no eliminar la información que se guarda en los dispositivos de almacenamiento secundario como usb16 o discos duros externos son susceptibles a que un atacante pueda recuperar información sensible de estos dispositivos. Intento de ejecutar de manera ilegal llamadas al sistema o utilización de las mismas con parámetros ilegales. Proceso de autenticación no debidamente implementado, por ejemplo que el proceso de autenticación termine anómalamente o que se considere satisfactorio bajo esta circunstancia, así como el manejo de reintentos posibles dependiendo del nivel de seguridad del sistema operativo. Dejar una puerta trasera para reservarse la admisión al sistema generalmente con máximos privilegios.

2.2.5 TCB La combinación de los componentes ejecutores de la seguridad y relevantes para la seguridad se denomina a menudo la Base Informática Segura ( Trusted Computing Base: TCB)

2.2 Conceptos básicos del libro naranja.pptx

About This Presentation

Slide Content

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

2.2 Conceptos básicos del libro naranja.pptx

About This Presentation

Slide Content

Slide 1

Slide 2

Slide 3

Slide 4

Slide 5

Slide 6

Slide 7

Slide 8

Slide 9

Slide 10

Slide 11

Slide 12

Slide 13

Slide 14

Slide 15

Slide 16

Slide 17

Slide 18

Tags

Categories

Download

Quick Actions

Statistics

Related Slideshows

Pray For The Peace Of Jerusalem and You Will Prosper

Don_t_Waste_Your_Life_God.....powerpoint

VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf

Fertility awareness methods for women in the society

Chapter 5 Arithmetic Functions Computer Organisation and Architecture

syakira bhasa inggris (1) (1).pptx.......