1. ITSEC (Information Technology Security Evaluation Criteria) Alumnos Huacho Arroyo Víctor Urbina Cotaquispe Cesar ITSEC-Information technology security evaluation criteria

2. ¿Qué es ITSEC? ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto) ITSEC-Information technology security evaluation criteria

3. NIVELES DE SEGURIDAD ITSEC-Information technology security evaluation criteria

4. PROCESO DE EVALUACIÓN La decisión de evaluar Preparación para la evaluación Los objetivos de seguridad Componentes del sistema Amenazas a la seguridad El ambiente en la cual operará el producto Especificar el nivel de seguridad Entregables para los evaluadores ITSEC-Information technology security evaluation criteria

5. PROCESO DE EVALUACIÓN Evaluación Certificación: comprobación de los objetivos de seguridad que deben ser cumplidos Re-Evaluación: Cuando un producto se modifica. La descomposición en componentes facilita este paso ITSEC-Information technology security evaluation criteria

6. EJEMPLO ORACLE 10g Enterprise Edition 10.1.0.4 ITSEC-Information technology security evaluation criteria

7. DESCRIPCIÓN DEL TOE TOE : Oracle Database 10g Enterprise Edition VERSIÓN: 10.1.0.4 PLATAFORMA : Red hat Enterprise Enterprise Linux AS (para la cual se certifica) SEGURIDAD : E4 ITSEC-Information technology security evaluation criteria

8. COMPENTES DEL SISTEMA ITSEC-Information technology security evaluation criteria

9. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria

10. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria

11. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria

12. OBJETIVOS DE LA SEGURIDAD OBJETIVOS DE ACCESSO: El TOE debe proveer a los usuarios finales y administradores con la capacidad de controlar y limitar el acceso a los datos o a los recursos por la cual son responsables, de acuerdo a las políticas de seguridad de acceso. Incluye: Acceso a datos Acceso de control ITSEC-Information technology security evaluation criteria

13. OBJETIVOS DE LA SEGURIDAD OBJETIVO DE RECURSOS El TOE debe tener los medios para controlar el consumo de los recursos de la base de datos para los usuarios autorizados del TOE ITSEC-Information technology security evaluation criteria

14. OBJETIVOS DE LA SEGURIDAD OBJETIVOS DE AUDITORIA El TOE debe proveer los medios de registrar eventos relevantes en detalles para ayudar a los administradores a : - Detectar intentos de violaciones a la seguridad Detectar las acciones de los usuarios que se relacionan con la seguridad ITSEC-Information technology security evaluation criteria

15. SEGURIDAD DEL SISTEMA DE ORACLE ITSEC-Information technology security evaluation criteria

16. Mecanismos de seguridad ITSEC-Information technology security evaluation criteria CUOTAS EN LA CANTIDAD DE RECURSOS DE PROCESAMIENTO CPU/Sesión CPU/Llamada Tiempo de conexión Tiempo de inactividad Sesiones concurrentes(por usuario) SGA privada E/S de disco

17. MECANISMO DE SEGURIDAD ITSEC-Information technology security evaluation criteria Privilegios aplicando el principio de privilegios mínimos Sistema: Permite a los usuarios realizar acciones concretas en la base de datos Objeto: Permite a los usuarios acceder y manipular un objeto concreto

18. Mecanismos de seguridad ITSEC-Information technology security evaluation criteria Se arranca el disparador. El disparador crea el registro de auditoría. Un usuariorealiza un cambio. Se realizael cambio del usuario. Se inserta el registro de auditoría en una tabla de pista de auditoría. OPCIONES DE AUDITORIA Auditoria obligatoria: Independientemente de las opciones de auditoria (alert log , track files) Auditoria de la BD estándar: Se realiza al nivel del sistema, permite auditar privilegios, objetos(audit_trail) Auditoria basada en valores: Captura no solo el evento sino los valores que han cambiado Auditoria detalla: amplia las demás grabando las sentencias SQL

19. Correlación de amenazas y objetivos ITSEC-Information technology security evaluation criteria

20. CERTIFICACIÓN DE ORACLE ITSEC-Information technology security evaluation criteria

21. ITSEC confirma la seguridad de Windows NT 4.0 Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSEC En una Conferencia de Reino Unido Infosec, los funcionarios de gobierno anunciaron que Microsoft ® Windows NT ® Server y Windows NT Workstation 4.0 sistemas operativos han pasado una rigurosa evaluación de seguridad realizada por la agencia de seguridad del gobierno británico. La evaluación de seguridad E3/F-C2 presentado por los Criterios de Información del Reino Unido de Evaluación de Tecnología de Seguridad (ITSEC).

22. Detalles nivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se puede lograr mediante un sistema operativo de propósito general.

23. Las características de seguridad que se requieren en el nivel ITSEC F-C2 son: Identificación obligatoria y la autenticación de todos los usuarios del sistema Control de acceso discrecional La rendición de cuentas y auditoría Reutilización de objetos

24. Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen: Una ruta de confianza que permite a los usuarios para asegurarse de que las solicitudes de inicio de sesión y similares son manipulados por el sistema operativo Centralizado de gestión de seguridad cuenta con un sofisticado modelo de confianza de dominio

25. requisitos de garantía en el nivel E3 ITSEC incluyen: El examen del código fuente Examen de la documentación de diseño detallado Repetición de las pruebas para asegurarse de que los errores identificados durante la evaluación se han corregido.

26. En Conclusión: Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiable a sus clientes. La calificación resultante de la exitosa ITSEC confirma la arquitectura de seguridad robusta y el diseño de Windows NT.