TCSEC, el libro naranja de la seguridad informática

DoD TCSEC

DoD TCSEC

Los libros de la Serie Arcoiris (Rainbow Series) componen una colección de volúmenes sobre estándares y directrices de seguridad informática editados por el gobierno de los Estados Unidos de América entre 1983 y 1993. Originalmente publicados por el Departamento de Defensa, y posteriormente por el Centro Nacional de Seguridad Informática (departamento dependiente de la Agencia de Seguridad Nacional), cada uno trata de un tema de seguridad en concreto, perfectamente desarrollado y estudiado. Los libros fueron, en un principio, de uso interno y secreto del gobierno estadounidense, pero terminaron filtrándose y recorriendo las manos de todos los expertos (y no tanto) en seguridad de la época. Hoy se pueden descargar de Internet.

Todos los tomos tenían una portada de un vivo color distinto, de ahí el nombre de la serie (Arcoiris), y cada uno de ellos era conocido por el color de su portada. El titulado ‘DoD Trusted Computer System Evaluation Criteria‘, TCSEC, (Criterios de evaluación de un sistema informático de confianza), que fue el primero de los volúmenes publicado (1983), era mundialmente conocido como el Libro Naranja (Orange Book), pues así era el color de su portada.

El Libro Naranja (que se puede descargar en formato PDF) establecía los requerimientos y patrones básicos (clasificados por niveles) para evaluar la efectividad de los controles informáticos de seguridad construidos dentro de un sistema. Este manual, pues, se utilizaba para determinar, catalogar y seleccionar sistemas informáticos dedicados al proceso, almacenamiento y recuperación de información sensible y/o clasificada.

DoD TCSEC

DoD TCSEC

El libro es toda una joya a día de hoy y aún resulta curioso echarle un vistazo y, seguramente, todavía muy útil. Según este tratado, las políticas de seguridad deben ser explícitas, bien definidas y aplicadas en exclusiva para el sistema informático en cuestión. Tres políticas de seguridad son las que se consideran básicas: la obligatoria, la de marcas y la discrecional.

La responsabilidad es otra de las patas de los objetivos fundamentales, ya que debe existir un medio seguro para asegurar el acceso de un agente autorizado y competente que pueda evaluar la información de rendición de cuentas dentro de un tiempo razonable y sin dificultades indebidas; todo ello bajo tres requisitos: identificación, autenticación y auditoría.

Además, el manual destaca el aseguramiento de software y hardware y el proceso de documentación como otras dos de las formalidades imprescindibles.

El TCSEC define cuatro divisiones de seguridad, a saber: D, C, B y A, donde la división A tiene la seguridad más alta. Cada división representa una diferencia significativa en la confianza que un individuo u organización puede colocar en el sistema evaluado. Además, las divisiones C, B y A se subdividen, a su vez, en una serie de grupos jerárquicos llamados clases (C1, C2, B1, B2, B3 y A1) que expanden o modifican los requisitos de la división o clase inmediatamente superior.

El Libro Naranja es todo un mito en el orbe de la seguridad informática y en el mundo del hacking de los años ochenta y noventa. Fue uno de los primeros modelos para evaluar los sistemas de información en términos, cada vez mayores, de seguridad.

Como curiosidad, comentar que en la película ‘Hackers: piratas informáticos‘ (película bastante mala, por cierto, en lo que al aspecto técnico y tecnológico se refiere, pero considerada como de culto por aquello de ser una de las pocas que tratan el género) existe una escena mítica en la que los protagonistas intercambian impresiones acerca de varios libros de la época, y en la que se aprecia el culto a las portadas, a los colores y a los seudónimos que existían entonces. El TCSEC se menciona allí, por supuesto.

2 comentarios a “TCSEC, el libro naranja de la seguridad informática”

Escribe tu comentario

eBook ‘retroPLOF!’

retroPLOF!

Especifica tu dirección de correo electrónico y pulsa 'Comprar ahora'. Puedes pagar con tu cuenta de PayPal o con cualquier tarjeta bancaria.

E-mail envío eBook:

Sigue teknoPLOF! vía…
 
RSS
Twitter
Facebook
Google
 
Ready Set Click!

Utilizamos cookies propias y de terceros para mejorar la experiencia de navegación. Más información.

ACEPTAR
Aviso de cookies