Niveles de seguridad informática ORANGE BOOK
Nivel C1 (Protección Discrecional):
Los
usuarios tienen igual nivel de seguridad pero la información o
recurso de cada usuario es privado, cualquier usuario no puede
borrar, editar, eliminar o ver el recurso de otro usuario sin
autorización. Un usuario que tiene el recurso “X” tiene la
libertad de permitir el derecho de acceso a los recursos que desea y
con que permisos.
Cada
usuario ingresa con su contraseña al sistema y solo el administrador
tiene el control total del sistema. Ejemplo: En
el sistema de Windows con nuestro usuario podemos definir los
derechos y permisos de nuestro archivo a otro usuario.
Nivel C2 (Protección de Acceso Controlado):
Añade
características al nivel C1, los diferentes niveles de usuarios
tienen asignados funciones especificas en el sistema. El
administrador del sistema puede permitir o autorizar que usuario
puede ejecutar ciertos comandos o acceder a ciertos recursos del
sistema. En este nivel los usuarios tienen la posibilidad de ejecutar
algunas funciones administrativas, las responsabilidades se van
compartiendo entre los usuarios. Y se añade en este nivel la
auditoria de seguridad que registra cada acción que se realiza en el
sistema relacionado con la seguridad, la auditoria también requiere
de autentificación adicional. Ejemplo: Sistema
con muchos usuarios y roles diferentes que es necesario segmentar y
organizar de forma eficaz y segura el acceso a los objetos y tareas.
Nivel B2 (Protección estructurada):
En
este nivel requiere que todos los objetos del sistema estén
etiquetados de manera jerárquica, los recursos como discos,
archivos, terminales pueden tener asignados uno o varios niveles de
seguridad. Los usuarios no solo necesitan el control de acceso
discrecional obligatorio, sino también un control obligatorio según
etiquetas. Las etiquetas dependen de las políticas de seguridad
determinado por el sistema administrador, que clasifica a sujetos y
objetos en niveles de seguridad que deben estar basados en una
documentación clara y formal. Ejemplo: Este
nivel se seguridad se utiliza en sistemas
multinivel que procesan información altamente confidencial, como el
gobierno o militar.
Nivel A (Protección Verificada):
Este
nivel va un paso más allá del nivel B, e incluye los niveles de
seguridad anteriores. En este nivel se utilizan métodos formales
(matemáticos) en el diseño, control y verificación del sistema
para mejorar la seguridad, se añade mejor confiabilidad con un
análisis formal y demostración matemática de que se cumple con el
modelo de seguridad y sus especificaciones de diseño en el sistema.
Ejemplo:
Los canales encubiertos utilizan métodos criptográficos para el
cifrado de la información y el hardware y el software están
debidamente protegidos durante su traslado.
Conclusión:
Estos
niveles de seguridad informática desde el nivel C1, C2, B y el nivel
A son una guía elaborado para clasificar el nivel de seguridad de un
sistema. Los fabricantes de equipos y desarrolladores de software
implementen mejoras o puedan anticiparse en el diseño del modelo de
seguridad de su sistema. Desde nuestro punto de vista (comprador)
podemos tener una mejor idea clara del tipo de sistema que
necesitamos y estar seguros que el sistema cuenta con diferentes
niveles de seguridad, cuando manejamos información sensible o
confidencial necesitamos un sistema capaz de ofrecer protección
adecuada y adicional.
A
mayor grado de confidencialidad de la información de un sistema, el
nivel de seguridad también debe poder cumplir con la especificación
del diseño del sistema. Esta guía es sólo una guía, depende de
cada sistema el cómo aplicar un método de seguridad, pero que este
al nivel de los requisitos que se exponen en cada nivel expuesto en
los “niveles de seguridad informática”.
Comentarios
Publicar un comentario