ITSEC (Information Technology Security Evaluation Criteria)<br />Alumnos<br />Huacho Arroyo Víctor<br />Urbina Cotaquispe ...
¿Qué es ITSEC?<br />ITSEC  es un  esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criter...
NIVELES DE SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />
PROCESO DE EVALUACIÓN<br />La decisión de evaluar<br />Preparación para la evaluación<br />Los objetivos de seguridad<br /...
PROCESO DE EVALUACIÓN<br />Evaluación<br />Certificación: comprobación de los objetivos de seguridad que deben ser cumplid...
EJEMPLO<br />ORACLE 10g Enterprise Edition 10.1.0.4<br />ITSEC-Information technology security evaluation criteria<br />
DESCRIPCIÓN DEL TOE<br />TOE : Oracle Database 10g  Enterprise Edition<br /> <br />VERSIÓN: 10.1.0.4<br /> <br />PLATAFORM...
COMPENTES DEL SISTEMA<br />ITSEC-Information technology security evaluation criteria<br />
AMENAZAS A LA SEGURIDAD <br />ITSEC-Information technology security evaluation criteria<br />
AMENAZAS A LA SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />
AMENAZAS A LA SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />
OBJETIVOS DE LA SEGURIDAD<br />OBJETIVOS DE ACCESSO:<br />El TOE debe proveer a los usuarios finales y administradores con...
OBJETIVOS DE LA SEGURIDAD<br />OBJETIVO DE RECURSOS<br />El TOE debe tener los medios para controlar el consumo de los rec...
OBJETIVOS DE LA SEGURIDAD<br />OBJETIVOS DE AUDITORIA<br />El TOE debe proveer los medios de registrar eventos relevantes ...
SEGURIDAD DEL SISTEMA DE ORACLE<br />ITSEC-Information technology security evaluation criteria<br />
Mecanismos de seguridad<br />ITSEC-Information technology security evaluation criteria<br />CUOTAS  EN LA CANTIDAD DE RECU...
MECANISMO DE SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />Privilegios aplicando el princi...
Mecanismos de seguridad<br />ITSEC-Information technology security evaluation criteria<br />Se arranca el disparador.<br /...
Correlación de amenazas y objetivos<br />ITSEC-Information technology security evaluation criteria<br />
CERTIFICACIÓN DE ORACLE<br />ITSEC-Information technology security evaluation criteria<br />
 ITSEC confirma la seguridad de Windows NT 4.0<br />Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSEC<...
Detalles<br />nivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se pu...
Las características de seguridad que se requieren en el nivel ITSEC F-C2 son:<br />Identificación obligatoria y la autenti...
Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen:<...
requisitos de garantía en el nivel E3 ITSEC incluyen:<br />El examen del código fuente<br />Examen de la documentación de ...
En Conclusión:<br />Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiabl...
Upcoming SlideShare
Loading in …5
×

Itsec (information technology security evaluation criteria)

2,010
-1

Published on

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,010
On Slideshare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
52
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Itsec (information technology security evaluation criteria)

  1. 1. ITSEC (Information Technology Security Evaluation Criteria)<br />Alumnos<br />Huacho Arroyo Víctor<br />Urbina Cotaquispe Cesar<br />ITSEC-Information technology security evaluation criteria<br />
  2. 2. ¿Qué es ITSEC?<br />ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto)<br />ITSEC-Information technology security evaluation criteria<br />
  3. 3. NIVELES DE SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />
  4. 4. PROCESO DE EVALUACIÓN<br />La decisión de evaluar<br />Preparación para la evaluación<br />Los objetivos de seguridad<br />Componentes del sistema<br />Amenazas a la seguridad<br />El ambiente en la cual operará el producto<br />Especificar el nivel de seguridad<br />Entregables para los evaluadores<br />ITSEC-Information technology security evaluation criteria<br />
  5. 5. PROCESO DE EVALUACIÓN<br />Evaluación<br />Certificación: comprobación de los objetivos de seguridad que deben ser cumplidos<br />Re-Evaluación: Cuando un producto se modifica. La descomposición en componentes facilita este paso<br />ITSEC-Information technology security evaluation criteria<br />
  6. 6. EJEMPLO<br />ORACLE 10g Enterprise Edition 10.1.0.4<br />ITSEC-Information technology security evaluation criteria<br />
  7. 7. DESCRIPCIÓN DEL TOE<br />TOE : Oracle Database 10g Enterprise Edition<br /> <br />VERSIÓN: 10.1.0.4<br /> <br />PLATAFORMA : Red hat Enterprise Enterprise Linux AS (para la cual se certifica)<br /> <br />SEGURIDAD : E4<br />ITSEC-Information technology security evaluation criteria<br />
  8. 8. COMPENTES DEL SISTEMA<br />ITSEC-Information technology security evaluation criteria<br />
  9. 9. AMENAZAS A LA SEGURIDAD <br />ITSEC-Information technology security evaluation criteria<br />
  10. 10. AMENAZAS A LA SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />
  11. 11. AMENAZAS A LA SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />
  12. 12. OBJETIVOS DE LA SEGURIDAD<br />OBJETIVOS DE ACCESSO:<br />El TOE debe proveer a los usuarios finales y administradores con la capacidad de controlar y limitar el acceso a los datos o a los recursos por la cual son responsables, de acuerdo a las políticas de seguridad de acceso. Incluye:<br />Acceso a datos<br />Acceso de control<br />ITSEC-Information technology security evaluation criteria<br />
  13. 13. OBJETIVOS DE LA SEGURIDAD<br />OBJETIVO DE RECURSOS<br />El TOE debe tener los medios para controlar el consumo de los recursos de la base de datos para los usuarios autorizados del TOE<br />ITSEC-Information technology security evaluation criteria<br />
  14. 14. OBJETIVOS DE LA SEGURIDAD<br />OBJETIVOS DE AUDITORIA<br />El TOE debe proveer los medios de registrar eventos relevantes en detalles para ayudar a los administradores a :<br /> - Detectar intentos de violaciones a la seguridad<br />Detectar las acciones de los usuarios que se relacionan con la seguridad<br />ITSEC-Information technology security evaluation criteria<br />
  15. 15. SEGURIDAD DEL SISTEMA DE ORACLE<br />ITSEC-Information technology security evaluation criteria<br />
  16. 16. Mecanismos de seguridad<br />ITSEC-Information technology security evaluation criteria<br />CUOTAS EN LA CANTIDAD DE RECURSOS DE PROCESAMIENTO<br />CPU/Sesión<br />CPU/Llamada<br />Tiempo de conexión<br />Tiempo de inactividad<br />Sesiones concurrentes(por usuario)<br />SGA privada<br />E/S de disco<br />
  17. 17. MECANISMO DE SEGURIDAD<br />ITSEC-Information technology security evaluation criteria<br />Privilegios aplicando el principio de privilegios mínimos<br />Sistema: Permite a los usuarios realizar acciones concretas en la base de datos<br />Objeto: Permite a los usuarios acceder y manipular un objeto concreto<br />
  18. 18. Mecanismos de seguridad<br />ITSEC-Information technology security evaluation criteria<br />Se arranca el disparador.<br />El disparador crea el registro de auditoría.<br />Un usuariorealiza un cambio.<br />Se realizael cambio del usuario.<br />Se inserta el registro de auditoría en una tabla de pista de auditoría.<br />OPCIONES DE AUDITORIA<br />Auditoria obligatoria: Independientemente de las opciones de auditoria (alert log , track files)<br />Auditoria de la BD estándar: Se realiza al nivel del sistema, permite auditar privilegios, objetos(audit_trail)<br />Auditoria basada en valores: Captura no solo el evento sino los valores que han cambiado<br />Auditoria detalla: amplia las demás grabando las sentencias SQL<br />
  19. 19. Correlación de amenazas y objetivos<br />ITSEC-Information technology security evaluation criteria<br />
  20. 20. CERTIFICACIÓN DE ORACLE<br />ITSEC-Information technology security evaluation criteria<br />
  21. 21.  ITSEC confirma la seguridad de Windows NT 4.0<br />Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSEC<br />En una Conferencia de Reino Unido Infosec, los funcionarios de gobierno anunciaron que Microsoft ® Windows NT ® Server y Windows NT Workstation 4.0 sistemas operativos han pasado una rigurosa evaluación de seguridad realizada por la agencia de seguridad del gobierno británico. La evaluación de seguridad E3/F-C2 presentado por los Criterios de Información del Reino Unido de Evaluación de Tecnología de Seguridad (ITSEC).<br />
  22. 22. Detalles<br />nivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se puede lograr mediante un sistema operativo de propósito general.<br />
  23. 23. Las características de seguridad que se requieren en el nivel ITSEC F-C2 son:<br />Identificación obligatoria y la autenticación de todos los usuarios del sistema <br />Control de acceso discrecional<br />La rendición de cuentas y auditoría<br />Reutilización de objetos<br />
  24. 24. Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen:<br />Una ruta de confianza que permite a los usuarios para asegurarse de que las solicitudes de inicio de sesión y similares son manipulados por el sistema operativo<br />Centralizado de gestión de seguridad cuenta con un sofisticado modelo de confianza de dominio<br />
  25. 25. requisitos de garantía en el nivel E3 ITSEC incluyen:<br />El examen del código fuente<br />Examen de la documentación de diseño detallado<br />Repetición de las pruebas para asegurarse de que los errores identificados durante la evaluación se han corregido. <br />
  26. 26. En Conclusión:<br />Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiable a sus clientes.<br />La calificación resultante de la exitosa ITSEC confirma la arquitectura de seguridad robusta y el diseño de Windows NT.<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×