ITSEC es un conjunto de criterios de evaluación de seguridad de la información desarrollado por la Unión Europea para estandarizar la certificación de seguridad de productos tecnológicos. El documento describe el proceso de evaluación ITSEC que otorga niveles de seguridad de E1 al E6, y resume una evaluación exitosa de Oracle Database 10g Enterprise Edition que recibió una calificación de nivel E4.

1. ITSEC (Information Technology Security Evaluation Criteria)AlumnosHuacho Arroyo VíctorUrbina Cotaquispe CesarITSEC-Information technology security evaluation criteria

2. ¿Qué es ITSEC?ITSEC es un esfuerzo conjunto entre los miembros de la Unión Europea (UE) para desarrollar un criterio de evaluación de la seguridad estandarizado para la UE. La ITSEC concede a los productos que se evalúan satisfactoriamente niveles de seguridad de E1(el más bajo) al E6 ( el más alto)ITSEC-Information technology security evaluation criteria

3. NIVELES DE SEGURIDADITSEC-Information technology security evaluation criteria

4. PROCESO DE EVALUACIÓNLa decisión de evaluarPreparación para la evaluaciónLos objetivos de seguridadComponentes del sistemaAmenazas a la seguridadEl ambiente en la cual operará el productoEspecificar el nivel de seguridadEntregables para los evaluadoresITSEC-Information technology security evaluation criteria

5. PROCESO DE EVALUACIÓNEvaluaciónCertificación: comprobación de los objetivos de seguridad que deben ser cumplidosRe-Evaluación: Cuando un producto se modifica. La descomposición en componentes facilita este pasoITSEC-Information technology security evaluation criteria

6. EJEMPLOORACLE 10g Enterprise Edition 10.1.0.4ITSEC-Information technology security evaluation criteria

7. DESCRIPCIÓN DEL TOETOE : Oracle Database 10g Enterprise Edition VERSIÓN: 10.1.0.4 PLATAFORMA : Red hat Enterprise Enterprise Linux AS (para la cual se certifica) SEGURIDAD : E4ITSEC-Information technology security evaluation criteria

8. COMPENTES DEL SISTEMAITSEC-Information technology security evaluation criteria

9. AMENAZAS A LA SEGURIDAD ITSEC-Information technology security evaluation criteria

10. AMENAZAS A LA SEGURIDADITSEC-Information technology security evaluation criteria

11. AMENAZAS A LA SEGURIDADITSEC-Information technology security evaluation criteria

12. OBJETIVOS DE LA SEGURIDADOBJETIVOS DE ACCESSO:El TOE debe proveer a los usuarios finales y administradores con la capacidad de controlar y limitar el acceso a los datos o a los recursos por la cual son responsables, de acuerdo a las políticas de seguridad de acceso. Incluye:Acceso a datosAcceso de controlITSEC-Information technology security evaluation criteria

13. OBJETIVOS DE LA SEGURIDADOBJETIVO DE RECURSOSEl TOE debe tener los medios para controlar el consumo de los recursos de la base de datos para los usuarios autorizados del TOEITSEC-Information technology security evaluation criteria

14. OBJETIVOS DE LA SEGURIDADOBJETIVOS DE AUDITORIAEl TOE debe proveer los medios de registrar eventos relevantes en detalles para ayudar a los administradores a : - Detectar intentos de violaciones a la seguridadDetectar las acciones de los usuarios que se relacionan con la seguridadITSEC-Information technology security evaluation criteria

15. SEGURIDAD DEL SISTEMA DE ORACLEITSEC-Information technology security evaluation criteria

16. Mecanismos de seguridadITSEC-Information technology security evaluation criteriaCUOTAS EN LA CANTIDAD DE RECURSOS DE PROCESAMIENTOCPU/SesiónCPU/LlamadaTiempo de conexiónTiempo de inactividadSesiones concurrentes(por usuario)SGA privadaE/S de disco

17. MECANISMO DE SEGURIDADITSEC-Information technology security evaluation criteriaPrivilegios aplicando el principio de privilegios mínimosSistema: Permite a los usuarios realizar acciones concretas en la base de datosObjeto: Permite a los usuarios acceder y manipular un objeto concreto

18. Mecanismos de seguridadITSEC-Information technology security evaluation criteriaSe arranca el disparador.El disparador crea el registro de auditoría.Un usuariorealiza un cambio.Se realizael cambio del usuario.Se inserta el registro de auditoría en una tabla de pista de auditoría.OPCIONES DE AUDITORIAAuditoria obligatoria: Independientemente de las opciones de auditoria (alert log , track files)Auditoria de la BD estándar: Se realiza al nivel del sistema, permite auditar privilegios, objetos(audit_trail)Auditoria basada en valores: Captura no solo el evento sino los valores que han cambiadoAuditoria detalla: amplia las demás grabando las sentencias SQL

19. Correlación de amenazas y objetivosITSEC-Information technology security evaluation criteria

20. CERTIFICACIÓN DE ORACLEITSEC-Information technology security evaluation criteria

21. ITSEC confirma la seguridad de Windows NT 4.0Windows NT 4.0 completa con éxito la evaluación de la seguridad ITSECEn una Conferencia de Reino Unido Infosec, los funcionarios de gobierno anunciaron que Microsoft ® Windows NT ® Server y Windows NT Workstation 4.0 sistemas operativos han pasado una rigurosa evaluación de seguridad realizada por la agencia de seguridad del gobierno británico. La evaluación de seguridad E3/F-C2 presentado por los Criterios de Información del Reino Unido de Evaluación de Tecnología de Seguridad (ITSEC).

22. Detallesnivel E3/F-C2. E3/F-C2 es ampliamente reconocido como la más alta calificación ITSEC de evaluación que se puede lograr mediante un sistema operativo de propósito general.

23. Las características de seguridad que se requieren en el nivel ITSEC F-C2 son:Identificación obligatoria y la autenticación de todos los usuarios del sistema Control de acceso discrecionalLa rendición de cuentas y auditoríaReutilización de objetos

24. Windows NT 4.0 ofrece otras características que van más allá de los requeridos por los criterios de F-C2. Estos incluyen:Una ruta de confianza que permite a los usuarios para asegurarse de que las solicitudes de inicio de sesión y similares son manipulados por el sistema operativoCentralizado de gestión de seguridad cuenta con un sofisticado modelo de confianza de dominio

25. requisitos de garantía en el nivel E3 ITSEC incluyen:El examen del código fuenteExamen de la documentación de diseño detalladoRepetición de las pruebas para asegurarse de que los errores identificados durante la evaluación se han corregido.

26. En Conclusión:Este hito subraya el compromiso de Microsoft Corp. 's seguir proporcionando software seguro y confiable a sus clientes.La calificación resultante de la exitosa ITSEC confirma la arquitectura de seguridad robusta y el diseño de Windows NT.