31
Validación
Más general que la Verificación.
Incluye verificación pero también puede consistir en:
Chequeo de requerimientos.
Revisión de diseño y de código.
Testing de módulo y de sistema.
32
Criterios de Evaluación
El US DoD publicó a fines de los 70’s un conjunto de standards informalmente llamado Orange Book por el color de la tapa.
El nombre real es Trusted Computer System Evaluation Criteria o abreviado: TCSEC.
4 divisiones básicas: A, B, C, D.
A es el nivel más seguro.
Hay subcategorías a partir de estas divisiones:
D, C1, C2, B1, B2, B3, A1.
33
Clases de Seguridad (1)
Clase D: Protección mínima – sin características de seguridad (falló en las pruebas).
Clase C1: Protección de Seguridad Discreta
Usuarios al mismo nivel.
Separación entre usuarios y sus datos.
Limitación de acceso de algún tipo.
Keyword discreta: El usuario decide cuando se aplican controles y puede definir individuos y grupos de acceso.
34
Clases de Seguridad (2)
Clase C2: Protección de Acceso Controlado
Sigue implementando keyword discreta pero con controles más finos: usuario = 1 individuo.
Debe ser posible auditar todos los accesos de un individuo a un objeto.
Clase B
35
Clases de Seguridad (3)
Todo el nivel B incluye control de acceso no discreto.
Clase B1: Protección de Seguridad Etiquetada
Los objetos deben ser etiquetados (asignados) a un dado nivel de seguridad.
Debe basarse en niveles jerárquicos y no jerárquicos.
El control MAC sigue el modelo Bell-La Padula.
Debe implementar DAC para mayor control de acceso.
Clase B2
36
Clases de Seguridad (4)
Clase B2: Protección Estructurada
El diseño y la implementación de B2 debe habilitar testeo y revisión más exhaustivos.
Se debe presentar un nivel superior verificable.
El testing debe confirmar que el sistema implementa el diseño.
El principio de menor privilegio deber ser incluido en el diseño.
El control de acceso debe ser aplicado a objetos, individuos y dispositivos.
Se requiere análisis de covert channels.
37
Clases de Seguridad (5)
Clase B3: Dominios de Seguridad
Se debe contar con diseño de alto nivel: completo y conceptualmente simple (testing extensivo).
Debe existir un argumento fuerte que demuestre que el sistema implementa el diseño.
La implementación debe utilizar: capas, abstracción y ocultamiento de información.
Funciones de seguridad a prueba de interferencias.
Sistema altamente resistente a tiger teams.
Auditoría: requerida y debe identificar violaciones de seguridad inminentes.
38
Clases de Seguridad (6)
Clase A1: Diseño Verificado
Diseño formalmente verificado.
Mismas capacidades que B3.
Incluye:
Prueba de consistencia y debe ser adecuado.
Especificación formal de alto nivel del sistema de protección.
Demostración de que esta especificación corresponde al modelo.
Una implementación “informal” muestra ser consistente con la especificación.
Análisis formal de covert channels.
39
Otros Criterios de Evaluación
Europa: ITSEC (Information Technology Security Evaluation Criteria).
TCSEC se actualizó (1993) en respuesta al NIST y a la NSA y se creó el Combined General Criteria.
Introduce:
Profile de Protección: detalla las necesidades de protección.
Seguridad de Objetivo: crea el producto que debe concordar con el profile.
Common Criteria para todo el mundo a partir de estos dos criterios anteriores más proyecto canadiense.
40
Profile de Prot. & Seguridad de Objetivo
41
Resumen de Criterios de Evaluación
¿Hay un desarrollo exitoso de Criterios de Evaluación?
No se sabe.
El ámbito comercial no está utilizando productos “confiables”.
Algunos vendedores se quedan con evaluaciones de escaso vuelo.
El mercado, y no un documento de criterios, será quien dicte que es lo que realmente se desea.
 Página anterior | Volver al principio del trabajo | Página siguiente  |