Seguridad Informática
13. Niveles de Seguridad
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC (Trusted Computer System Evaluation Criteria), del Departamento de Defensa de los Estados Unidos en su Orange Book2, desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el subnivel B2 abarca los subniveles B1, C2, C1 y el D.
define siete niveles distintos de seguridad:
Nivel D1
El sistema no es seguro, ya que no cumple con ninguna especificación de seguridad. No dispone de protección del hardware ni autenticación de los usuarios.
Nivel C1
Se implementa un mecanismo de control de acceso laxo para la identificación y autenticación de los usuarios. Se distingue entre administradores del sistema y usuarios normales.
Nivel C2
Aplica un mecanismo seguro de control de acceso de los usuarios e implementa registros de auditoría.
Nivel B1
Incorpora un mecanismo de seguridad jerárquico o multinivel asignando etiquetas para ello a los distintos objetos del sistema, tanto a los datos como a los usuarios.
Nivel B2
Sistema de seguridad estructurado, en el que se etiquetan los objetos del sistema de nivel superior con respecto a los del inferior.
Nivel B3
Se incluyen dominios de seguridad y distintas políticas de acceso, gestionadas de manera centralizada y con un control de acceso seguro implementado.
Nivel A
El sistema implementa mecanismos de seguridad para el control y la verificación mediante métodos matemáticos. Este es el máximo nivel de seguridad de un sistema.
Actualmente, se utiliza otro estándar de referencia para medir el nivel de seguridad de un sistema, el Common Criteria, pero los niveles que definió el TCSEC son la base sobre la que se desarrolla este y otros intermedios, como el europeo ITSEC (Information Technology Security Evaluation Criteria) creado en 1991, el canadiense CTPEC (Canadian Trusted Computer Product Evaluation Criteria) de 1993, y el estadounidense FCITS (Federal Criteria for Information Technology Security), también de 1993.
ISO 27000
En concreto la familia de normas ISO/IEC 27000 representa un conjunto de estándares de seguridad (desarrollados o en fase de desarrollo) que proporciona un marco para la gestión de la seguridad.
Contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
La seguridad de la información, según la ISO 27001, se basa en la preservación de su confidencialidad, integridad y disponibilidad, así como la de los sistemas aplicados para su tratamiento.