Il TCSEC è stato utilizzato per valutare, classificare e selezionare i sistemi informatici presi in considerazione per l’elaborazione, l’archiviazione e il recupero di informazioni riservate o classificate. Il TCSEC, spesso indicato come Orange Book, è il fulcro delle pubblicazioni DoD Rainbow Series.
Quali sono le quattro divisioni di TCSEC?
Il TCSEC definisce quattro divisioni: D, C, B e A dove la divisione A ha la massima sicurezza. Ogni divisione rappresenta una differenza significativa nella fiducia che un individuo o un’organizzazione può riporre nel sistema valutato.
Quali sono le differenze fondamentali tra TCSEC e Itsec?
TCSEC vs ITSEC TCSEC riunisce funzionalità e garanzia in un’unica valutazione, mentre ITSEC valuta questi due attributi separatamente. ITSEC offre maggiore flessibilità rispetto a TCSEC. ITSEC si occupa di integrità, disponibilità e riservatezza, mentre TCSEC si occupa solo della riservatezza.
Quali caratteristiche di un sistema vengono valutate dai Trusted Computer System Evaluation Criteria (TCSEC)?
TCSEC misura la responsabilità in base a verifica, autenticazione e ordinazione indipendenti.
Qual è la Divisione C in TCSEC?
TCSEC Divisione C è protezione discrezionale. “Discrezionale” indica i sistemi discrezionali di controllo degli accessi (DAC). La divisione C comprende le classi C1 (protezione discrezionale della sicurezza) e C2 (protezione dell’accesso controllato). TCSEC Divisione B è protezione obbligatoria.
Quali sono i requisiti funzionali di TCSEC?
Obiettivi e requisiti fondamentali
Politica.
Responsabilità.
Assicurazione.
Documentazione.
D – Protezione minima.
C – Tutela discrezionale.
B – Tutela obbligatoria.
A – Protezione verificata.
Quali sono le diverse divisioni e classi TCSEC?
Il TCSEC definisce 6 classi di valutazione identificate dalla scala di valutazione dalla più bassa alla più alta: D, C1, C2, B1, B2, B3 e A1. Un prodotto informatico valutato potrebbe utilizzare la classificazione appropriata in base alla valutazione TCSEC di tale prodotto.
Che cos’è la conformità ai criteri comuni?
Common Criteria è un framework in cui gli utenti del sistema informatico possono specificare i propri requisiti funzionali di sicurezza (SFR) e requisiti di garanzia funzionale di sicurezza (SAR) utilizzando i profili di protezione (PP). Common Criteria viene utilizzato come base per uno schema di certificazione guidato dal governo.
Qual è lo scopo della ISO 15408?
ISO/IEC 15408 è utile come guida per lo sviluppo, la valutazione e/o l’approvvigionamento di prodotti IT con funzionalità di sicurezza. ISO/IEC 15408 è intenzionalmente flessibile e consente di applicare una gamma di metodi di valutazione a una gamma di proprietà di sicurezza di una gamma di prodotti IT.
Quante categorie definiscono i criteri TCSEC?
Il TCSEC suddivide gli AIS in quattro divisioni principali, denominate D, C, B e A, in ordine crescente di protezione e garanzia di sicurezza.
Itsec è ancora in uso?
L’ITSEC è stato ampiamente sostituito dai criteri comuni, che forniscono livelli di valutazione definiti in modo simile e implementano il concetto di obiettivo di valutazione e il documento sull’obiettivo di sicurezza.
Quale modello è noto anche come Orange Book?
The Orange Book è il soprannome dei Trusted Computer System Evaluation Criteria del Dipartimento della Difesa, un libro pubblicato nel 1985.
Cos’è TCB Cissp?
La Trusted Computer Base (TCB) è la somma di tutti i meccanismi di protezione all’interno di un computer ed è responsabile dell’applicazione della politica di sicurezza. Ciò include hardware, software, controlli e processi. Il TCB è responsabile della riservatezza e dell’integrità. Il TCB ha il compito di far rispettare la politica di sicurezza.
Quale valutazione di sicurezza Tcsec affronta l’uso dell’analisi del canale nascosto?
1.2 SCOPO Un importante insieme di requisiti TCSEC, che compare nelle classi da B2 ad A1, è quello dell’analisi del canale nascosto (CCA).
L’Orange Book è ancora in uso?
L’Orange Book, che è il soprannome dei Trusted Computer System Evaluation Criteria (TCSEC), è stato sostituito dai Common Criteria for Information Technology Security Evaluation a partire dal 2005, quindi non ha molto senso continuare a concentrarsi sull’Orange Book, sebbene i temi generali in esso esposti (politica,
Cos’è la responsabilità nella sicurezza informatica?
1. Il principio secondo cui un individuo è incaricato di salvaguardare e controllare l’attrezzatura, il materiale di chiave e le informazioni ed è responsabile davanti all’autorità competente per la perdita o l’uso improprio di tale attrezzatura o informazione.
Qual è lo scopo principale dell’ISO?
L’Organizzazione internazionale per la standardizzazione (nota in breve come ISO) è un’organizzazione globale che lavora per fornire la standardizzazione a una vasta gamma di prodotti e aziende. Il suo obiettivo principale è facilitare il commercio, ma si concentra sul miglioramento dei processi, sulla sicurezza e sulla qualità in diverse aree.
Quali sono i requisiti funzionali di sicurezza?
I requisiti funzionali descrivono cosa deve fare un sistema. Quindi i requisiti di sicurezza funzionale descrivono il comportamento funzionale che impone la sicurezza. I requisiti relativi al controllo degli accessi, all’integrità dei dati, all’autenticazione e ai blocchi delle password errate rientrano nei requisiti funzionali.
Cos’è la conformità PP?
Un PP dichiara rigorosamente un problema di sicurezza per una data raccolta di sistemi o prodotti, noto come Target of Evaluation (TOE) e specifica i requisiti di sicurezza per affrontare tale problema senza dettare come questi requisiti verranno implementati. Un PP può ereditare requisiti da uno o più altri PP.
Qual è lo scopo dei criteri comuni?
I Common Criteria consentono una valutazione obiettiva per convalidare che un particolare prodotto o sistema soddisfi un insieme definito di requisiti di sicurezza. Sebbene il focus dei Common Criteria sia la valutazione, presenta uno standard che dovrebbe interessare coloro che sviluppano requisiti di sicurezza.
Qual è l’obiettivo della valutazione?
Definizione/i: in conformità ai Common Criteria, un sistema informativo, parte di un sistema o prodotto, e tutta la documentazione associata, che è oggetto di una valutazione di sicurezza.
Cosa definisce un criterio comune per il sistema operativo di sicurezza?
Common Criteria è un framework in cui gli utenti del sistema informatico possono specificare i propri requisiti funzionali e di garanzia della sicurezza (rispettivamente SFR e SAR) in un Security Target (ST) e possono essere presi da Protection Profiles (PP).
Cosa ha sostituito la serie Rainbow?
Nota (2003): parti della serie Rainbow (ad esempio il libro arancione e il libro rosso) sono state sostituite dal Common Criteria Evaluation and Validation Scheme (CCEVS).
Quale modello di controllo degli accessi si basa sui Trusted Computer System Evaluation Criteria Tcsec )?
Trusted Computer System Evaluation Criteria (TCSEC) I Trusted Computer System Evaluation Criteria (TCSEC), comunemente noti come Orange Book, fanno parte della Rainbow Series sviluppata per il Dipartimento della Difesa degli Stati Uniti dal National Computer Security Center (NCSC). È l’implementazione formale del modello Bell-LaPadula.
Perché la Trusted Computer Base è importante?
La Trusted Computing Base (TCB) è la parte del sistema responsabile dell’applicazione delle politiche di sicurezza delle informazioni a livello di sistema. Installando e utilizzando il TCB, è possibile definire l’accesso utente al percorso di comunicazione attendibile, che consente comunicazioni sicure tra gli utenti e il TCB.