SlideShare a Scribd company logo

Itsec (information technology security evaluation criteria)

Download as PPTX, PDF
Alexander Velasque Rimac
Alexander Velasque Rimac
TechnologyNews & Politics
1 of 26
ITSEC (Information Technology Security Evaluation Criteria) Alumnos Huacho Arroyo Víctor Urbina Cotaquispe Cesar ITSEC-Information technology security evaluation criteria
¿Qué es ITSEC? ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto) ITSEC-Information technology security evaluation criteria
NIVELES DE SEGURIDAD ITSEC-Information technology security evaluation criteria
PROCESO DE EVALUACIÓN La decisión de evaluar Preparación para la evaluación Los objetivos de seguridad Componentes del sistema Amenazas a la seguridad El ambiente en la cual operará el producto Especificar el nivel de seguridad Entregables para los evaluadores ITSEC-Information technology security evaluation criteria
PROCESO DE EVALUACIÓN Evaluación Certificación: comprobación de los objetivos de seguridad que deben ser cumplidos Re-Evaluación: Cuando un producto se modifica. La descomposición en componentes facilita este paso ITSEC-Information technology security evaluation criteria
EJEMPLO ORACLE 10g Enterprise Edition 10.1.0.4 ITSEC-Information technology security evaluation criteria
DESCRIPCIÓN DEL TOE TOE : Oracle Database 10g Enterprise Edition   VERSIÓN: 10.1.0.4   PLATAFORMA : Red hat Enterprise Enterprise Linux AS (para la cual se certifica)   SEGURIDAD : E4 ITSEC-Information technology security evaluation criteria
COMPENTES DEL SISTEMA ITSEC-Information technology security evaluation criteria
AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria
AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria
AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria
OBJETIVOS DE LA SEGURIDAD OBJETIVOS DE ACCESSO: El TOE debe proveer a los usuarios finales y administradores con la capacidad de controlar y limitar el acceso a los datos o a los recursos por la cual son responsables, de acuerdo a las políticas de seguridad de acceso. Incluye: Acceso a datos Acceso de control ITSEC-Information technology security evaluation criteria
OBJETIVOS DE LA SEGURIDAD OBJETIVO DE RECURSOS El TOE debe tener los medios para controlar el consumo de los recursos de la base de datos para los usuarios autorizados del TOE ITSEC-Information technology security evaluation criteria
OBJETIVOS DE LA SEGURIDAD OBJETIVOS DE AUDITORIA El TOE debe proveer los medios de registrar eventos relevantes en detalles para ayudar a los administradores a : - Detectar intentos de violaciones a la seguridad Detectar las acciones de los usuarios que se relacionan con la seguridad ITSEC-Information technology security evaluation criteria
SEGURIDAD DEL SISTEMA DE ORACLE ITSEC-Information technology security evaluation criteria
Mecanismos de seguridad ITSEC-Information technology security evaluation criteria CUOTAS EN LA CANTIDAD DE RECURSOS DE PROCESAMIENTO CPU/Sesión CPU/Llamada Tiempo de conexión Tiempo de inactividad Sesiones concurrentes(por usuario) SGA privada E/S de disco
MECANISMO DE SEGURIDAD ITSEC-Information technology security evaluation criteria Privilegios aplicando el principio de privilegios mínimos Sistema: Permite a los usuarios realizar acciones concretas en la base de datos Objeto: Permite a los usuarios acceder y manipular un objeto concreto
Mecanismos de seguridad ITSEC-Information technology security evaluation criteria Se arranca el disparador. El disparador crea el registro de auditoría. Un usuariorealiza un cambio. Se realizael cambio del usuario. Se inserta el registro de auditoría en una tabla de pista de auditoría. OPCIONES DE AUDITORIA Auditoria obligatoria: Independientemente de las opciones de auditoria (alert log , track files) Auditoria de la BD estándar: Se realiza al nivel del sistema, permite auditar privilegios, objetos(audit_trail) Auditoria basada en valores: Captura no solo el evento sino los valores que han cambiado Auditoria detalla: amplia las demás grabando las sentencias SQL
Correlación de amenazas y objetivos ITSEC-Information technology security evaluation criteria
CERTIFICACIÓN DE ORACLE ITSEC-Information technology security evaluation criteria
 ITSEC confirma la seguridad de Windows NT 4.0 Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSEC En una Conferencia de Reino Unido Infosec, los funcionarios de gobierno anunciaron que Microsoft ® Windows NT ® Server y Windows NT Workstation 4.0 sistemas operativos han pasado una rigurosa evaluación de seguridad realizada por la agencia de seguridad del gobierno británico. La evaluación de seguridad E3/F-C2 presentado por los Criterios de Información del Reino Unido de Evaluación de Tecnología de Seguridad (ITSEC).
Detalles nivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se puede lograr mediante un sistema operativo de propósito general.
Las características de seguridad que se requieren en el nivel ITSEC F-C2 son: Identificación obligatoria y la autenticación de todos los usuarios del sistema  Control de acceso discrecional La rendición de cuentas y auditoría Reutilización de objetos
Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen: Una ruta de confianza que permite a los usuarios para asegurarse de que las solicitudes de inicio de sesión y similares son manipulados por el sistema operativo Centralizado de gestión de seguridad cuenta con un sofisticado modelo de confianza de dominio
requisitos de garantía en el nivel E3 ITSEC incluyen: El examen del código fuente Examen de la documentación de diseño detallado Repetición de las pruebas para asegurarse de que los errores identificados durante la evaluación se han corregido.
En Conclusión: Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiable a sus clientes. La calificación resultante de la exitosa ITSEC confirma la arquitectura de seguridad robusta y el diseño de Windows NT.

Recommended

Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Firewall
FirewallFirewall
Firewallguajiro27
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De RedPaco Orozco
 
Administracion Redes
Administracion RedesAdministracion Redes
Administracion RedesIngeSistemas Redes
 

Recommended

Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Firewall
FirewallFirewall
Firewallguajiro27
 
Herramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaHerramientas y técnicas para la auditoría informática
Herramientas y técnicas para la auditoría informáticaAcosta Escalante Jesus Jose
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Gestion De Red
Gestion De RedGestion De Red
Gestion De RedPaco Orozco
 
Administracion Redes
Administracion RedesAdministracion Redes
Administracion RedesIngeSistemas Redes
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redesvanessarequejo
 
Ciberseguridad en la nube
Ciberseguridad en la nubeCiberseguridad en la nube
Ciberseguridad en la nubeOlaf Reitmaier Veracierta
 
Buenas Prácticas en Gestión de Servicios de TI
Buenas Prácticas en Gestión de Servicios de TIBuenas Prácticas en Gestión de Servicios de TI
Buenas Prácticas en Gestión de Servicios de TILorenzo Armenta Fonseca CAPM, MCP, MCTS
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas Taringa!
 
Metricas tecnicas del software
Metricas tecnicas del softwareMetricas tecnicas del software
Metricas tecnicas del softwareGabriel Romero Pastrana
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad jose_calero
 
Estándares para los centros de computo
Estándares para los centros de computoEstándares para los centros de computo
Estándares para los centros de computoJessy Zuñiga
 
Fundamentos de redes inalámbricas
Fundamentos de redes inalámbricasFundamentos de redes inalámbricas
Fundamentos de redes inalámbricasPaulo Colomés
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Clase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de RedClase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de RedJosé Ricardo Tillero Giménez
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 
Introduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareIntroduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareLia IS
 
Ensa module 3 (1)
Ensa module 3 (1)Ensa module 3 (1)
Ensa module 3 (1)Marco Antonio Perelli Henríquez
 
Proyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxProyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxTOMASCORONEL3
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redesOrlando Verdugo
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Firewall
FirewallFirewall
Firewallnachosport
 
Osstmm
OsstmmOsstmm
OsstmmDenys Flores
 
Estándares de Gestión de TI: materializando las buenas prácticas.
Estándares de Gestión de TI: materializando las buenas prácticas.Estándares de Gestión de TI: materializando las buenas prácticas.
Estándares de Gestión de TI: materializando las buenas prácticas.EXIN
 
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenWorkshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenEXIN
 

More Related Content

What's hot

Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas Taringa!
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical HackingJose Manuel Acosta
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad jose_calero
 
Estándares para los centros de computo
Estándares para los centros de computoEstándares para los centros de computo
Estándares para los centros de computoJessy Zuñiga
 
Fundamentos de redes inalámbricas
Fundamentos de redes inalámbricasFundamentos de redes inalámbricas
Fundamentos de redes inalámbricasPaulo Colomés
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemasHector Chajón
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Facultad de Informática UCM
 
Introduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareIntroduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareLia IS
 
Proyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxProyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxTOMASCORONEL3
 

What's hot (20)

Gestion de redes
Gestion de redesGestion de redes
Gestion de redes
 
Ciberseguridad en la nube
Ciberseguridad en la nubeCiberseguridad en la nube
Ciberseguridad en la nube
 
Buenas Prácticas en Gestión de Servicios de TI
Buenas Prácticas en Gestión de Servicios de TIBuenas Prácticas en Gestión de Servicios de TI
Buenas Prácticas en Gestión de Servicios de TI
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 
Dns diapositivas
Dns diapositivas Dns diapositivas
Dns diapositivas
 
Metricas tecnicas del software
Metricas tecnicas del softwareMetricas tecnicas del software
Metricas tecnicas del software
 
Introduccion al Ethical Hacking
Introduccion al Ethical HackingIntroduccion al Ethical Hacking
Introduccion al Ethical Hacking
 
Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad
 
Estándares para los centros de computo
Estándares para los centros de computoEstándares para los centros de computo
Estándares para los centros de computo
 
Fundamentos de redes inalámbricas
Fundamentos de redes inalámbricasFundamentos de redes inalámbricas
Fundamentos de redes inalámbricas
 
8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas8. Técnicas y herramientas de auditoria de sistemas
8. Técnicas y herramientas de auditoria de sistemas
 
Clase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de RedClase 5 Modelo Jerárquico de Red
Clase 5 Modelo Jerárquico de Red
 
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
Desarrollando sistemas de detección de intrusiones: del laboratorio a su impl...
 
Introduccion a la Ingeniería de Software
Introduccion a la Ingeniería de SoftwareIntroduccion a la Ingeniería de Software
Introduccion a la Ingeniería de Software
 
Ensa module 3 (1)
Ensa module 3 (1)Ensa module 3 (1)
Ensa module 3 (1)
 
Proyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docxProyecto Final de Seguridad Informática (1).docx
Proyecto Final de Seguridad Informática (1).docx
 
Gestion de redes
Gestion de redesGestion de redes
Gestion de redes
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Firewall
FirewallFirewall
Firewall
 
Osstmm
OsstmmOsstmm
Osstmm
 

Viewers also liked

Estándares de Gestión de TI: materializando las buenas prácticas.
Estándares de Gestión de TI: materializando las buenas prácticas.Estándares de Gestión de TI: materializando las buenas prácticas.
Estándares de Gestión de TI: materializando las buenas prácticas.EXIN
 
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenWorkshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenEXIN
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Viewers also liked (6)

Estándares de Gestión de TI: materializando las buenas prácticas.
Estándares de Gestión de TI: materializando las buenas prácticas.Estándares de Gestión de TI: materializando las buenas prácticas.
Estándares de Gestión de TI: materializando las buenas prácticas.
 
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenWorkshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
 
Ccnas v11 ch02_eb
Ccnas v11 ch02_ebCcnas v11 ch02_eb
Ccnas v11 ch02_eb
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Similar to Itsec (information technology security evaluation criteria)

Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroJavier Tallón
 
ATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_NormasATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_NormasCoatzozon20
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Juan Ignacio Oller Aznar
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Serveryecy cuno
 
Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Fernando Redondo Ramírez
 
Actividad obligatoria 6(1)
Actividad obligatoria 6(1)Actividad obligatoria 6(1)
Actividad obligatoria 6(1)vic150cc
 
Farfan auditoria de sistemas
Farfan auditoria de sistemasFarfan auditoria de sistemas
Farfan auditoria de sistemasevelin75
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadChema Alonso
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareJack Daniel Cáceres Meza
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...Javier Tallón
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Miguel A. Amutio
 

Similar to Itsec (information technology security evaluation criteria) (20)

Common Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguroCommon Criteria: Herramienta para el desarrollo seguro
Common Criteria: Herramienta para el desarrollo seguro
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
ATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_NormasATI_CAP10_EQ5_EXP_Normas
ATI_CAP10_EQ5_EXP_Normas
 
Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14Charla Azure Security Barcelona 2019-12-14
Charla Azure Security Barcelona 2019-12-14
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Ipsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 ServerIpsec Y Certificados Digitales En Windows 2003 Server
Ipsec Y Certificados Digitales En Windows 2003 Server
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoria
 
Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)Principales novedades del Esquema Nacional de Seguridad (ENS)
Principales novedades del Esquema Nacional de Seguridad (ENS)
 
Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3Springio2012 taller-seguridad-web-springsecurity-3
Springio2012 taller-seguridad-web-springsecurity-3
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
 
Actividad obligatoria 6(1)
Actividad obligatoria 6(1)Actividad obligatoria 6(1)
Actividad obligatoria 6(1)
 
Farfan auditoria de sistemas
Farfan auditoria de sistemasFarfan auditoria de sistemas
Farfan auditoria de sistemas
 
Asegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y SeguridadAsegúr@IT IV - Microsoft y Seguridad
Asegúr@IT IV - Microsoft y Seguridad
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
ISO 15408 Common Criteria
ISO 15408 Common CriteriaISO 15408 Common Criteria
ISO 15408 Common Criteria
 
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
LINCE. Una iniciativa de norma UNE para la evaluación de ciberseguridad de pr...
 
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 

More from Alexander Velasque Rimac

More from Alexander Velasque Rimac (20)

Presentacion TED 2019
Presentacion TED 2019Presentacion TED 2019
Presentacion TED 2019
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Controles
ControlesControles
Controles
 
Controles final
Controles finalControles final
Controles final
 
Comision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controlesComision nro 6 as- fiis- controles
Comision nro 6 as- fiis- controles
 
Presentación101
Presentación101Presentación101
Presentación101
 
Presentación101
Presentación101Presentación101
Presentación101
 
Controles de auditoria
Controles de auditoriaControles de auditoria
Controles de auditoria
 
Controle scomisión1
Controle scomisión1Controle scomisión1
Controle scomisión1
 
Medidas de control
Medidas de controlMedidas de control
Medidas de control
 
Is audit ..
Is audit ..Is audit ..
Is audit ..
 
Is auditing standars
Is auditing standarsIs auditing standars
Is auditing standars
 
Comision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasacComision nro 6 as- fiis- iiasac
Comision nro 6 as- fiis- iiasac
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
Cobit
CobitCobit
Cobit
 
Organigramas 1- exposicion
Organigramas 1- exposicionOrganigramas 1- exposicion
Organigramas 1- exposicion
 
Auditoria trabajo empresa
Auditoria trabajo empresaAuditoria trabajo empresa
Auditoria trabajo empresa
 
Empresas con auditorías de sistemas
Empresas con auditorías de sistemasEmpresas con auditorías de sistemas
Empresas con auditorías de sistemas
 

Recently uploaded

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 

Recently uploaded (20)

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 

Itsec (information technology security evaluation criteria)

  • 1. ITSEC (Information Technology Security Evaluation Criteria) Alumnos Huacho Arroyo Víctor Urbina Cotaquispe Cesar ITSEC-Information technology security evaluation criteria
  • 2. ¿Qué es ITSEC? ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto) ITSEC-Information technology security evaluation criteria
  • 3. NIVELES DE SEGURIDAD ITSEC-Information technology security evaluation criteria
  • 4. PROCESO DE EVALUACIÓN La decisión de evaluar Preparación para la evaluación Los objetivos de seguridad Componentes del sistema Amenazas a la seguridad El ambiente en la cual operará el producto Especificar el nivel de seguridad Entregables para los evaluadores ITSEC-Information technology security evaluation criteria
  • 5. PROCESO DE EVALUACIÓN Evaluación Certificación: comprobación de los objetivos de seguridad que deben ser cumplidos Re-Evaluación: Cuando un producto se modifica. La descomposición en componentes facilita este paso ITSEC-Information technology security evaluation criteria
  • 6. EJEMPLO ORACLE 10g Enterprise Edition 10.1.0.4 ITSEC-Information technology security evaluation criteria
  • 7. DESCRIPCIÓN DEL TOE TOE : Oracle Database 10g Enterprise Edition   VERSIÓN: 10.1.0.4   PLATAFORMA : Red hat Enterprise Enterprise Linux AS (para la cual se certifica)   SEGURIDAD : E4 ITSEC-Information technology security evaluation criteria
  • 8. COMPENTES DEL SISTEMA ITSEC-Information technology security evaluation criteria
  • 9. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria
  • 10. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria
  • 11. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria
  • 12. OBJETIVOS DE LA SEGURIDAD OBJETIVOS DE ACCESSO: El TOE debe proveer a los usuarios finales y administradores con la capacidad de controlar y limitar el acceso a los datos o a los recursos por la cual son responsables, de acuerdo a las políticas de seguridad de acceso. Incluye: Acceso a datos Acceso de control ITSEC-Information technology security evaluation criteria
  • 13. OBJETIVOS DE LA SEGURIDAD OBJETIVO DE RECURSOS El TOE debe tener los medios para controlar el consumo de los recursos de la base de datos para los usuarios autorizados del TOE ITSEC-Information technology security evaluation criteria
  • 14. OBJETIVOS DE LA SEGURIDAD OBJETIVOS DE AUDITORIA El TOE debe proveer los medios de registrar eventos relevantes en detalles para ayudar a los administradores a : - Detectar intentos de violaciones a la seguridad Detectar las acciones de los usuarios que se relacionan con la seguridad ITSEC-Information technology security evaluation criteria
  • 15. SEGURIDAD DEL SISTEMA DE ORACLE ITSEC-Information technology security evaluation criteria
  • 16. Mecanismos de seguridad ITSEC-Information technology security evaluation criteria CUOTAS EN LA CANTIDAD DE RECURSOS DE PROCESAMIENTO CPU/Sesión CPU/Llamada Tiempo de conexión Tiempo de inactividad Sesiones concurrentes(por usuario) SGA privada E/S de disco
  • 17. MECANISMO DE SEGURIDAD ITSEC-Information technology security evaluation criteria Privilegios aplicando el principio de privilegios mínimos Sistema: Permite a los usuarios realizar acciones concretas en la base de datos Objeto: Permite a los usuarios acceder y manipular un objeto concreto
  • 18. Mecanismos de seguridad ITSEC-Information technology security evaluation criteria Se arranca el disparador. El disparador crea el registro de auditoría. Un usuariorealiza un cambio. Se realizael cambio del usuario. Se inserta el registro de auditoría en una tabla de pista de auditoría. OPCIONES DE AUDITORIA Auditoria obligatoria: Independientemente de las opciones de auditoria (alert log , track files) Auditoria de la BD estándar: Se realiza al nivel del sistema, permite auditar privilegios, objetos(audit_trail) Auditoria basada en valores: Captura no solo el evento sino los valores que han cambiado Auditoria detalla: amplia las demás grabando las sentencias SQL
  • 19. Correlación de amenazas y objetivos ITSEC-Information technology security evaluation criteria
  • 20. CERTIFICACIÓN DE ORACLE ITSEC-Information technology security evaluation criteria
  • 21.  ITSEC confirma la seguridad de Windows NT 4.0 Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSEC En una Conferencia de Reino Unido Infosec, los funcionarios de gobierno anunciaron que Microsoft ® Windows NT ® Server y Windows NT Workstation 4.0 sistemas operativos han pasado una rigurosa evaluación de seguridad realizada por la agencia de seguridad del gobierno británico. La evaluación de seguridad E3/F-C2 presentado por los Criterios de Información del Reino Unido de Evaluación de Tecnología de Seguridad (ITSEC).
  • 22. Detalles nivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se puede lograr mediante un sistema operativo de propósito general.
  • 23. Las características de seguridad que se requieren en el nivel ITSEC F-C2 son: Identificación obligatoria y la autenticación de todos los usuarios del sistema  Control de acceso discrecional La rendición de cuentas y auditoría Reutilización de objetos
  • 24. Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen: Una ruta de confianza que permite a los usuarios para asegurarse de que las solicitudes de inicio de sesión y similares son manipulados por el sistema operativo Centralizado de gestión de seguridad cuenta con un sofisticado modelo de confianza de dominio
  • 25. requisitos de garantía en el nivel E3 ITSEC incluyen: El examen del código fuente Examen de la documentación de diseño detallado Repetición de las pruebas para asegurarse de que los errores identificados durante la evaluación se han corregido.
  • 26. En Conclusión: Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiable a sus clientes. La calificación resultante de la exitosa ITSEC confirma la arquitectura de seguridad robusta y el diseño de Windows NT.