Diseo de Sistemas Seguros

Arquitectura y Modelos de Seguridad

Temario

Introduccin Requerimientos de proteccin de Informacin Entornos de proteccin de la Informacin Modelos de Seguridad Evaluacin y Certificacin Certificaciones de organizaciones Certificacin de productos

Qu se espera de un sistema de informacin?

En el Mundo Ideal
En todo proyecto, la seguridad es considerada un punto

fundamental desde el inicio.

Los desarrollos deben cumplir con la poltica de seguridad

existente en la organizacin.
Modelos de Amenazas son utilizados a la hora de descubrir

fallos y/o vulnerabilidades.

Los desarrolladores se encuentran capacitados en aspectos

relacionados con la seguridad en las aplicaciones.

Se utilizan prcticas de programacin segura. El grupo de desarrollo incluye especialistas en seguridad de la

informacin.
Se realizan evaluaciones y revisiones de cdigo en forma

peridica.
4

En el Mundo Real

Las aplicaciones son inseguras. La seguridad no se encuentra integrada sino que es integrada. Vulnerabilidades triviales presuponen un gran riesgo. La mayora de las veces el atacante solo requiere de un browser para vulnerar la seguridad de las aplicaciones. No se realizan evaluaciones ni revisiones de cdigo en forma peridica.

Problemtica General
Un atacante solo necesita conocer una vulnerabilidad. El defensor debe proteger todos los puntos de entrada. Los atacantes tienen tiempo ilimitado. El defensor trabaja con limitaciones de tiempo y dinero. Los sistemas seguros son por lo general, mas difciles de utilizar. Las contraseas complejas y seguras son difciles de recordar. Los usuarios prefieren emplear contraseas sencillas (Y si el

administrador las piensa por ellos mucho mejor)

El equipo de desarrollo y los responsables de proyectos creen

que la seguridad no aporta ningn valor.

Resolver vulnerabilidades antes del lanzamiento de un producto

es un proceso muy costoso.

6

Problemtica General
Desarrollador
No hace falta agregar estos chequeos aqu, de todos modos se ha configurado seguridad a nivel de base de datos

DBA
Menos mal que el desarrollador pens en la seguridad, de no ser as tendra que haber lidiado con estos extraos permisos a nivel filas y columnas, adems de todos modos el server esta seguro pues el administrador lo ha asegurado

Administrador
Mmm aqu no incluir ACLs de todos modos, la aplicacin y la base de datos seguramente estn configurados para evitar este tipo de accesos
7

Problemtica General

Cuanto le cuesta la inseguridad informtica a nuestro negocio? Qu impacto tiene la falta de seguridad en la productividad? Qu impacto tendra una interrupcin de seguridad catastrfica? Cul es la solucin ms costo-efectiva? Qu impacto tendra la solucin sobre la productividad?

Requerimientos de proteccin de Informacin

Arquitectura de seguridad
Vista total de la arquitectura del sistema desde un punto de vista de seguridad. Da a conocer recomendaciones de donde, dentro del contexto general de la arquitectura del sistema, se deben colocar los mecanismos de seguridad. Proporciona una percepcin de los servicios de seguridad, mecanismos, tecnologas y caractersticas que pueden ser usados para satisfacer requerimientos de seguridad del sistema.

10

Puntos a tomar en cuenta

La seguridad es un requerimiento desde un principio. Es otra caracterstica que necesita ser incluida. Se enfoca en los servicios de seguridad del sistema

Mecanismos de alto nivel. Ubicacin de funcionalidades

relacionadas con

seguridad Identificar interdependencias entre componentes relacionados con seguridad, servicios, mecanismos y tecnologas, y al mismo tiempo arreglar cualquier conflicto entre ellos.
11

La Triada de Seguridad

La Arquitectura de seguridad se disea de manera tal que las metas de C-I-D de la seguridad de informacin puedan converger las necesidades de la seguridad y el negocio de la organizacin.

INFORMACION

12

Entornos de proteccin de la Informacin

13

Entornos de proteccin de la Informacin

La Arquitectura de seguridad incluye varias arquitecturas subsidiarias:

Arquitectura de la plataforma (SW y HW) Arquitectura de la Red Arquitectura de la Empresa Etc.

14

Arquitectura de la plataforma: Accesos a Memoria

15

Las Aplicaciones y los procesos que ellas utilizan, solo acceden a sus propios segmentos de memoria.

Separacin de procesos en anillos de confianza

Ring 0: Kernel del SO Ring 1: Partes restantes del SO Ring 2: Drivers I/O Ring 3: Aplicaciones y programas

16

Arquitectura de Sistema
3. La proteccin puede controlar las operaciones entre el Usuario y la Data.

1.

La proteccin puede suceder en el lado del Usuario.

2.

La proteccin puede suceder en el lado de los Datos.

17

Arquitectura de Sistema

Funcionalidad aumenta y la seguridad aumenta en complejidad.

A medida que la funcionalidad aumenta, se incrementa la complejidad y la garanta de seguridad decrece.

Funcionalidad

Funcionalidad disminuye y la seguridad disminuye en complejidad.

Aplicaciones Servicios
Sistema Operativo

Kernel

Seguridad
18

Usabilidad

Capa de Hardware

Garanta de los mecanismos de seguridad disminuyen a medida que la complejidad aumenta.

Arquitectura de la Plataforma

19

Arquitectura de la Empresa

20

Modelos de Seguridad

21

Qu es un Modelo de Seguridad?

Un Modelo de Seguridad es una descripcin formal de una Poltica de Seguridad. Las polticas son descripciones implementar la seguridad. de cmo

22

Poltica de Seguridad
Especifica

las caractersticas de seguridad que un sistema debe observar y proveer

conjunto de reglas que deben respetarse para mantener la

seguridad de la informacin.
Especifica las amenazas contra las que la organizacin

debe protegerse y cmo debe protegerse Depende de los objetivos y metas de la organizacin. Generalmente es expresada en un lenguaje no tcnico. Tpicamente establecida en trminos de sujetos y objetos.

23

Paradigmas
Paranoico: Nada est permitido. Prudente: Lo que no est expresamente

permitido, est prohibido.

Permisivo: Lo que no est expresamente

prohibido, est permitido.

Promiscuo: Todo est permitido.
24

Tipos polticas de seguridad

Polticas administrativas. Procedimientos administrativos. Polticas de control de acceso. Privilegios de acceso del usuario o programa. Poltica de menor privilegio. Polticas de flujo de informacin. Normas bajo las cuales se comunican los sujetos dentro

del sistema. La informacin a la que se accede, se enva y recibe por:

Canales claros o canales ocultos? Seguros o no?

Qu es lo que hay que potenciar? La confidencialidad o la integridad? La disponibilidad?

25

Principios de escritura de una Poltica

Basado en riesgos Propsito claro del enunciado Nivel de detalle consistente Neutralidad tecnolgica Describir el qu, no el cmo Apoyarse en polticas existentes

26

Ejemplo de Poltica (en lenguaje natural)

Slo se permitir el intercambio de correo electrnico con redes de confianza. Toda adquisicin de software a travs de la red debe ser autorizada por el administrador de seguridad. Debe impedirse la inicializacin de los equipos mediante disco.

27

Qu es un Modelo de Seguridad?

Un Modelo de Seguridad es una descripcin formal de una Poltica de Seguridad.

28

Modelos de Seguridad

Bell-LaPadula Biba Clark & Wilson No-interferencia Mquinas de estados Matriz de accesos Flujo de informacin Brewer & Nash (Muralla China)

29

Modelo Bell-LaPadula
Modelo

basado en mquinas de estado. Fue desarrollado para formalizar la Poltica de Mltiples Niveles del Departamento de Defensa (DoD) de los Estados Unidos. en el Control de Acceso.

Permite capturar los conceptos de confidencialidad

Una persona que recibe CLEARANCE a Secreto

puede obtener acceso a informacin de ese nivel o inferior. modelo slo Confidencialidad. ve los aspectos de

Este

30

Modelo Bell-LaPadula
Este modelo define un estado seguro a travs de tres

propiedades de mltiples niveles. Las dos primeras reglas definen Acceso Mandatorio, la tercera permite Acceso Discreto. Las tres reglas son:
Simple Security Property (ss Property): esta regla define

que ningn nivel inferior puede acceder a un nivel superior. Esto se conoce como la regla no read up La regla * ( star) establece que un sujeto de un nivel ms alto no puede escribir a un nivel ms bajo no write down Discretionary Security Property: esta permite el uso de una matriz de acceso para especificar control de acceso discreto.

31

Modelo Bell-LaPadula

32

Modelo Bell-LaPadula

33

Modelo Bell-LaPadula

Esta sola falencias

aproximacin

presenta

algunas

No estn considerados los Canales ocultos. Este modelo no es vlido en sistemas de redes

donde se comparten archivos. El modelo no especifica claramente qu se considera una transicin segura. Solo se considera la poltica de mltiples niveles, pero no considera otras polticas que podran ser exigidas por la empresa o institucin.

34

Modelo Biba
Modelo centrado en la Integridad de la Informacin. Ocupa control de acceso mandatorio. Al igual que Bell-LaPadula, fue creado por el Gobierno

Norteamericano para ser usado en sus sistemas. Esta basado en el modelo de las mquinas de estado. Se debe tener en cuenta que este modelo solo se preocupa de la Integridad de la Informacin. Se definen niveles de Integridad anlogos a los de confidencialidad. El criterio es asignar niveles de credibilidad a los sujetos.

35

Modelo Biba

36

Modelo Biba

37

Modelo Clark-Wilson
Fue publicado en 1987 por David Clark y David

Wilson. Se enfoca en las actividades autorizadas de los usuarios autorizados y de las amenazas internas a la integridad. Este modelo hace la pregunta el Software hace lo que debera hacer? Cumple con las tres metas de la integridad:
Previene

que usuarios no autorizados modificaciones a objetos. Previene que usuarios autorizados modificaciones impropias a objetos. Mantiene la consistencia interna y externa.

efecten efecten

38

Modelo Clark-Wilson

Define transacciones bien definidas:

Preserva/asegura la consistencia interna Los usuarios pueden manipular la data solo de

forma que se asegure la consistencia interna

Separacin de Tareas:
Las operaciones estn divididas en sub-partes Cada parte es ejecutada por una entidad distinta Se asegura la consistencia externa

39

Modelo Clark-Wilson

40

Modelo Matriz de Acceso

Se definen Sujetos, Objetos y permisos. Las interacciones se implementan a travs de una Matriz.

41

Modelo Flujo de Informacin

Este modelo ilustra la direccin del flujo de los datos entre los objetos. Basado en niveles de seguridad de los objetos El flujo de informacin Objeto-Objeto esta contenido en concordancia con los atributos de seguridad del objeto

42

Modelo Brewer & Nash (Gran Muralla China)

Los modelos anteriores haban sido desarrollados para ser implementados en ambientes militares. Chinese Wall es creada en 1989 como una poltica para ser ocupada por el ambiente comercial. Los principios que la guan se basan en la definicin de acceso a datos por sujetos u objetos que no tengan conflictos de intereses.

43

Modelo Brewer & Nash (Gran Muralla China)

Se definen tres niveles para catalogar los datos: Nivel Bajo: Aqu se consideran partidas individuales de

informacin, corporacin.
Nivel

cada

una

concerniente

a una

sola

Intermedio: Se agrupan todos los objetos pertenecientes a la misma corporacin en algo que se llama conjunto de datos de la Compaa.

Nivel Alto: Aqu se agrupan todos los conjuntos de datos

de las compaas cuyas corporaciones estn en competencia; a dichas agrupaciones se les llama clases de Conflicto de Inters .

44

Modelo Brewer & Nash (Gran Muralla China)

El modelo se basa en la libertad de un sujeto de acceder a un tipo de informacin. Su decisin le auto limita los datos en base a los conflictos de intereses que este grupo tiene. El sujeto puede tener acceso a ms de un conjunto de datos de la Compaa en la medida que no hayan conflictos de intereses.

45

Modelo Brewer & Nash (Gran Muralla China)

Para asegurar la consistencia del modelo, se deben analizar los datos, indicndose sus conflictos de intereses. Mientras esto no ocurra, los datos no revisados son confinados a su propio conjunto de datos. Una vez que ha sido revisada y los conflictos especificados, entonces la informacin puede fluir libremente por el sistema.

46

Modelo Brewer & Nash (Gran Muralla China)

Ejemplo: Si un asesor econmico de una empresa tiene acceso a la cuenta de la radio FM Infinita, no puede tener acceso a informacin de otras radios, pero si podra tener acceso a la cuenta del Banco BCI.

47

Modelo Brewer & Nash (Gran Muralla China)

48

Modelo Brewer & Nash (Gran Muralla China)

Este tipo de modelos no es fcilmente comparable con

modelos como Biba o Bell-LaPadula.

Lo interesante es que en ambientes militares se limita

el acceso a niveles bien definidos, pero no se ven los conflictos de intereses ya que comnmente estos no existen.
Es por lo anterior que este tipo de modelos son

importantes en ambientes ms competitivos donde las empresas si presentan conflictos de intereses.

49

Algunas crticas a los modelos

Los modelos permiten una aproximacin formal a las polticas de seguridad. Los modelos permiten formarnos slidos conceptos de la forma de asegurar el control de acceso. Las principales criticas se fundamentan en que estn basados en estructuras estticas. Lo que significa que no estn hechos para sistemas dinmicos como las actuales empresas e instituciones. Por otro lado, no consideran aspectos tan importantes como las comunicaciones entre redes.

50

Algunas crticas a los modelos

Ninguno de los modelos consideran aspectos como:

Virus Troyanos Cortafuegos Detectores de intrusos Filtros de contenidos Etc.

51

Evaluacin y Certificacin

52

Evaluacin y Certificacin
Tan importante como es disear una arquitectura segura, lo es poder verificar si esa arquitectura es segura. Para el usuario es importante poder estar seguro que el producto que utiliza provee los requerimientos de seguridad necesarios. Para verificar lo anterior, se han desarrollado mtodos que provean esta seguridad al usuario.

53

Certificaciones de organizaciones
ISO 17799 / BS 7799 / UNE 71502 / NCH-ISO 27001 y 27002

54

Norma ISO 17799 / BS 7799 / UNE 71502 / NCH-ISO 27001 y 27002

Un conjunto de controles basados en las buenas prcticas en seguridad de la informacin; Estndar internacional que cubre todos los aspectos de la seguridad informtica:

Equipos Polticas de gestin Recursos humanos Aspectos jurdicos

55

ISO 17799
Una organizacin puede optar a implantar y "certificar"

su sistema de gerencia en la gestin de integridad y seguridad en el manejo de informacin y datos.

comprende

de elementos y clusulas enfocados a prcticas y mtodos fundamentales de seguridad

La precursora de ISO 17799 es la adopcin de la

normativa britnica BS 7799.

La BS 7799 se public en febrero del 1995 y se revis en

mayo del 1999. Esta normativa aplica invariablemente a organizaciones pequeas, medianas y multinacionales.
Desde finales de 2005 estas normas se estn revisando y cambiando de numeracin a partir del nmero 27001.

56

reas control ISO 17799

57

Poltica de Seguridad Organizacin de Seguridad Clasificacin y Control de Activos Aspectos humanos de la seguridad Seguridad Fsica y Ambiental Gestin de Comunicaciones y Operaciones Sistema de Control de Accesos Desarrollo y Mantenimiento de Sistemas Plan de Continuidad del Negocio Cumplimiento

La Serie 27000

58

La seguridad de la informacin tiene asignada la serie 27000 dentro de los estndares ISO/IEC: ISO 27000: Publicada en mayo de 2009. Contiene la descripcin general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento ms claro de la serie y la relacin entre los diferentes documentos que la conforman. ISO 27001:2007 Siste mas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos. Fecha de la de la versin espaola 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestin de Seguridad de la Informacin. Los SGSIs debern ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO17799). ISO 27002: (anteriormente denominada ISO17799).Gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles. ISO 27003: En fase de desarrollo. Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los aos con recomendaciones y guas de implantacin. ISO 27004: Publicada en diciembre de 2009. Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y eficacia de la implantacin de un SGS I y de los controles relacionados. ISO 27005: Publicada en junio de 2008. Consiste en una gua para la gestin del riesgo de la seguridad de la informacin y sirve, por tanto, de apoyo a la ISO 27001 y a la implantacin de un SGSI. Incluye partes de la ISO 13335. ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin

La ISO 27001
Anunciada como el reemplazo del BS7799 Aprobada y publicada como estndar internacional en octubre de 2005. Publicacin hermana del ISO 17799 ISO 17799 es un cdigo de prcticas

describe

controles implementaciones

individuales

para

posibles

BS7799-2 es la parte del estndar contra la cual se otorga la certificacin

esto se pas a la ISO 27001

59

Norma chilena 2777

Esta basada y es equivalente a la norma ISO 17799, la que a su vez es equivalente a la BS 7799.

60

Nch 2777
Captulo 3 Captulo 4 Captulo 5 Captulo 6 Captulo 7 Captulo 8 Captulo 9 Captulo 10 Captulo 11 Captulo 12

: Polticas de Seguridad : Seguridad Organizacional : Clasificacin y Control de un bien : Seguridad del Personal : Seguridad Fsica y del Ambiente : Gestin de las Operaciones y de las Comunicaciones : Control de Acceso : Desarrollos de Sistemas y Mantenimiento : Gestin de la Continuidad Comercial : Cumplimiento

61

Normas Chilenas

Norma Chilena Oficial NCH-ISO 27002.Of2009:

Listado de Mejores Practicas Internacionalmente

homologada

de

ISO/IEC

27002:2005 Antes Norma Chilena NCh2777.Of2003

Norma Chilena Oficial NCH-ISO 27001.Of2009:

Sistema

de gestin de la seguridad de la Informacin / SGSI Information Security management system / ISMS Internacionalmente homologada de ISO/IEC 27001:2005
62

Legislacin Chilena
Leyes:

19.628: 1999, sobre proteccin de la vida privada. 19.799: 2002, sobre documentos electrnicos, firma electrnica y servicios de certificacin de dicha firma. 20.453: 2010, consagra el principio de neutralidad en la red para los consumidores y usuarios de internet. 20.478:2010, sobre recuperacin y continuidad en condiciones crticas y de emergencia del sistema pblico de telecomunicaciones. 20.500:2011, sobre asociaciones y participacin ciudadana en la gestin pblica.

DS:

77:2004, aprueba norma tcnica sobre eficiencia de las comunicaciones electrnicas entre rganos de la administracin del estado y entre estos y los ciudadanos. 81:2004, aprueba norma tcnica para los rganos de la administracin del estado sobre interoperabilidad de documentos electrnicos. 83:2004, aprueba norma tcnica para los rganos de la administracin del estado sobre seguridad y confidencialidad de los documentos electrnicos.
63

La certificacin de productos
TCSEC, ITSEC, CTCPEC, CC

64

Trusted Computer System Evaluation Criteria (TCSEC)

Documento publicado por el

Departamento de Defensa de los Estados Unidos en 1983 (DOD 5200.28-STD) conocido tambin como el Orange Book. Actualizado en 1985. Pgina (Rainbow Series Library) http://www.radium.ncsc.mil/tpe p/library/rainbow/
65

Objetivos TCSEC
Proporcionar una gua a los fabricantes de productos

comerciales en relacin a las caractersticas de seguridad que deben cumplir sus productos.

Dotar al DoD de los Estados Unidos con una mtrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar informacin clasificada. Proporcionar una base a los usuarios finales para establecer requerimientos de seguridad en sus adquisiciones de productos.

66

Trusted Computer System Evaluation Criteria (TCSEC)

Se preocupa fundamentalmente del mantenimiento de la confidencialidad de la informacin clasificada a nivel nacional. Definen siete conjuntos de criterios de evaluacin denominados clases (D, C1, C2, B1, B2, B3 y A1). Cada clase de criterios cubre cuatro aspectos de la evaluacin: poltica de seguridad, imputabilidad, aseguramiento y documentacin.

67

Criterios y niveles

68

Los niveles
Nivel D C1 C2 B1 B2 B3 A1 Descripcin Proteccin mnima. Sin seguridad. Limitaciones de accesos a datos. Acceso controlado al SI. Archivos de log y de auditora del sistema. Equivalente al nivel C2 pero con una mayor proteccin individual para cada archivo. Los sistemas deben estar diseados para ser resistentes al acceso de personas no autorizadas. Dominios de seguridad. Los sistemas deben estar diseados para ser altamente resistentes a la entrada de personas no autorizadas. Proteccin verificada. En la prctica, es lo mismo que el nivel B3, pero la seguridad debe estar definida en la fase de anlisis del sistema.

69

Estndares creados a partir del TCSEC

ITSEC
Information Technology Security Evaluation Criteria http://www.cordis.lu/infosec/src/crit.htm la versin europea

CTCPEC
Canadian Trusted Computer Product Evaluation

Criteria ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii la versin canadiense

70

Information Technology Security Evaluation Criteria (ITSEC)

Surge de la armonizacin de

varios sistemas europeos de criterios de seguridad en TI. Tiene un enfoque ms amplio que TCSEC. Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir teniendo presentes las leyes y reglamentaciones).
71

Information Technology Security Evaluation Criteria (ITSEC)

Se definen siete niveles de evaluacin, denominados E0 a

E6, que representan una confianza para alcanzar la meta u objetivo de seguridad. E0 representa una confianza inadecuada. E1, el punto de entrada por debajo del cual no cabe la confianza til, y E6 el nivel de confianza ms elevado. Por ello, los presentes criterios pueden aplicarse a una gama de posibles sistemas y productos ms amplia que los del TCSEC. El objetivo del proceso de evaluacin es permitir al evaluador la preparacin de un informe imparcial en el que se indique si el sistema bajo estudio satisface o no su meta de seguridad al nivel de confianza precisado por el nivel de evaluacin indicado.
72

Evolucin de la Norma

73

Common Criteria (CC) (ISO/IEC 15408)

Iniciativa de varios pases Flexible
No cuenta con perfiles predeterminados. Permite la adicin de nuevos criterios.

Parte de las necesidades de cada usuario/fabricante

No de las necesidades del DoD.

Cada nueva evaluacin implica la creacin de un

modelo o marco de referencia (Security Target o ST). Al igual que en el Orange Book la evaluacin se enfoca a los componentes relevantes desde el punto de vista Seguridad (Target of Evaluation o TOE).
74

Common Criteria (CC)

Tiene como finalidad el ser usado como base para la

evaluacin de las propiedades de seguridad de los productos y sistemas de Tecnologas de la Informacin (TI). Estableciendo esta base de criterios comunes, los resultados de una evaluacin de seguridad de TI ser significativa para una mayor audiencia. Los CC permitirn la comparacin entre los resultados de evaluaciones de seguridad independientes, al proporcionar un conjunto comn de requisitos para las funciones de seguridad de los productos y sistemas de TI y para las medidas de garanta aplicadas a stos durante la evaluacin de seguridad.
75

Common Criteria (CC)

El proceso de evaluacin establece un nivel

de confianza del grado en que las funciones de seguridad de tales productos y sistemas y las medidas de garanta aplicadas coinciden con aquellos requisitos.

Los resultados de la evaluacin pueden ayudar a los consumidores a determinar si el producto o sistema de TI es suficientemente seguro para la aplicacin pretendida y si los riesgos de seguridad implcitos en su uso son aceptables.

76

Objetivos CC

Permitir a los usuarios el especificar sus requerimientos de seguridad. Permitir a los desarrolladores especificar los atributos de sus productos. Permitir que los evaluadores determinen si los productos cumple con lo que estipulan.

77

Tipos de Documentos CC
El CC define un conjunto de requerimientos de

seguridad
dividido en requerimientos funcionales y de seguridad

Dos tipos de documentos

Protection Profiles (PPs): documento creado por un

usuario o comunidad de usuarios que identifica requerimientos de seguridad por parte del usuario. Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidades de un producto en particular
Un ST puede indicar la implementacin de cero o ms PPs
78

Los niveles del CC (EAL)

Usuario puede contar con una evaluacin independiente

que compruebe que el producto cumple con lo estipulado en el ST

evaluacin conocida como TOE -Target of Evaluation

EAL: Evaluation Assurance Level numeradas del 1 al 7 EALs superiores requieren de un mayor esfuerzo de

evaluacin los EAL de mayor valor garantizan ms seguridad, pero su evaluacin requiere de mayor tiempo y cuesta ms dinero EAL valor grande no significa mejor seguridad, solo estipula que seguridad proclamada fue extensamente validada
79

Niveles CC
Common Criteria EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL7
80

Descripcin Probado funcionalmente Estructuralmente probado Metodolgicamente probado Metodolgicamente diseado, probado, y revisado Semiformalmente diseado y probado Semiformalmente verificado (diseo) y probado Formalmente verificado (diseo) y probado

Referencia TCSEC -C1 C2 B1 B2 B3 A1

Certificaciones CC

81

Certificaciones CC

82

http://www.commoncriteriaportal.org/products/

FIPS 140-2
Estndar de Seguridad de computadores del gobierno de los Estados Unidos para la acreditacin de mdulos criptogrficos (Security Requirements for Cryptographic Modules) La primera versin es del 2001 y la ltima actualizacin es de 2003. Define cuatro niveles de seguridad, los cuales especifican el nivel de seguridad al que se ajusta el producto bajo pruebas.

83

FIPS 140-2: Niveles

Nivel 1: normalmente se utiliza en productos de cifrado de software

exclusivamente e impone requisitos de seguridad muy limitados. Nivel 2: requiere autenticacin basada en el cargo del usuario. (No se requiere la autenticacin individual de los usuarios). Tambin requiere la capacidad para detectar la intrusin fsica mediante sistemas de bloqueo fsico. Nivel 3: aade resistencia a la intrusin fsica con fines de desmontaje o modificacin, de manera que dificulta al mximo los ataques. Si se detecta la intrusin, el dispositivo debe ser capaz de borrar los parmetros de seguridad crticos. El Nivel 3 tambin incluye proteccin criptogrfica eficaz y administracin de claves, autenticacin basada en la identidad y separacin fsica o lgica entre las interfaces a travs de las que se accede a los parmetros de seguridad crtica y se sale de ellos. Nivel 4: incluye proteccin avanzada contra intrusiones y est diseado para productos que operan en entornos desprotegidos fsicamente.
84

FIPS 140-2: Niveles

85

FIPS 140-2

86

Diseo de Sistemas Seguros

Arquitectura y Modelos de Seguridad

87