El libro Trusted Computer System Evaluation Criteria (TCSEC) es un estándar del Departamento de Defensa de los Estados Unidos que analiza la clasificación de los controles de seguridad para un sistema informático.
El TCSEC se utilizó para evaluar, clasificar y seleccionar los sistemas informáticos que se consideraban para el procesamiento, almacenamiento y recuperación de información confidencial o clasificada.
También se le suele llamar el “libro naranja”. Este estándar se publicó originalmente en 1983 y se actualizó en 1985, antes de ser reemplazado por un estándar de “Criterios comunes” en 2005.
El estándar del libro naranja incluye cuatro categorías de seguridad de nivel superior: seguridad mínima, protección discrecional, protección obligatoria y protección verificada.
El TCSEC, frecuentemente conocido como el Libro Naranja, es la pieza central de las publicaciones de la serie Rainbow del Departamento de Defensa. Emitido inicialmente en 1983 por el Centro Nacional de Seguridad Informática (NCSC), un brazo de la Agencia de Seguridad Nacional, y luego actualizado en 1985, TCSEC finalmente fue reemplazado por el estándar internacional Common Criteria, publicado originalmente en 2005.
Es la pieza central de las publicaciones de la serie Rainbow del Departamento de Defensa. Emitido inicialmente en 1983 por el Centro Nacional de Seguridad Informática (NCSC), un brazo de la Agencia de Seguridad Nacional y luego actualizado en 1985, TCSEC finalmente fue reemplazado por el estándar internacional Common Criteria , publicado originalmente en 2005.
En este estándar, la seguridad “comienza en las clases más bajas en un mecanismo de control de acceso y termina en la clase más alta con un mecanismo que un usuario inteligente y decidido no puede eludir”.
El libro naranja también define un “sistema de confianza” y mide la confianza en términos de garantía y políticas de seguridad. TCSEC mide la responsabilidad de acuerdo con la verificación, autenticación y orden independientes.
El TCSEC o “libro naranja” es parte de una “serie arcoíris” de diferentes manuales publicados por las agencias del gobierno federal de los EE. UU., llamados así por sus coloridas portadas impresas.
Objetivos y requisitos fundamentales
El 24 de octubre de 2002, The Orange Book (también conocido como DoDD 5200.28-STD) fue cancelado por DoDD 8500.1, que luego se volvió a publicar como DoDI 8500.02, el 14 de marzo de 2014.
Política
La política de seguridad debe ser explícita, bien definida y aplicada por el sistema informático. Se especifican tres políticas básicas de seguridad:
- Política de seguridad obligatoria: hace cumplir las reglas de control de acceso basadas directamente en la autorización de un individuo, la autorización para la información y el nivel de confidencialidad de la información que se busca. Otros factores indirectos son físicos y ambientales. Esta política también debe reflejar con precisión las leyes, las políticas generales y otras guías relevantes de las que se derivan las reglas.
- Marcado: los sistemas diseñados para hacer cumplir una política de seguridad obligatoria deben almacenar y preservar la integridad de las etiquetas de control de acceso y conservar las etiquetas si se exporta el objeto.
- Política de seguridad discrecional: hace cumplir un conjunto coherente de reglas para controlar y limitar el acceso en función de las personas identificadas que se ha determinado que necesitan conocer la información.
Responsabilidad
Se debe hacer cumplir la responsabilidad individual independientemente de la política. Debe existir un medio seguro para asegurar el acceso de un agente autorizado y competente que luego pueda evaluar la información de rendición de cuentas dentro de un período de tiempo razonable y sin dificultad indebida. El objetivo de rendición de cuentas incluye tres requisitos:
- Identificación: el proceso utilizado para reconocer a un usuario individual.
- Autenticación: la verificación de la autorización de un usuario individual para categorías específicas de información.
- Auditoría: la información de auditoría debe conservarse y protegerse de forma selectiva para que las acciones que afecten a la seguridad puedan rastrearse hasta la persona autenticada.
Garantía
El sistema informático debe contener mecanismos de hardware/software que puedan evaluarse de forma independiente para proporcionar una garantía suficiente de que el sistema hace cumplir los requisitos anteriores. Por extensión, el aseguramiento debe incluir una garantía de que la parte confiable del sistema funciona solo según lo previsto. Para lograr estos objetivos, se necesitan dos tipos de aseguramiento con sus respectivos elementos:
- Mecanismos de Aseguramiento
- Garantía operativa: arquitectura del sistema, integridad del sistema, análisis de canales encubiertos, administración de instalaciones confiables y recuperación confiable
- Garantía del ciclo de vida: pruebas de seguridad, especificación y verificación del diseño, gestión de la configuración y distribución de sistemas de confianza
- Garantía de protección continua: los mecanismos confiables que hacen cumplir estos requisitos básicos deben estar protegidos continuamente contra alteraciones o cambios no autorizados.
Documentación
Dentro de cada clase, un conjunto adicional de documentación aborda el desarrollo, la implementación y la gestión del sistema en lugar de sus capacidades. Esta documentación incluye:
- Guía del usuario de características de seguridad, manual de instalación de confianza, documentación de prueba y documentación de diseño
Divisiones y clases
El TCSEC define cuatro divisiones: D, C, B y A, donde la división A tiene la mayor seguridad. Cada división representa una diferencia significativa en la confianza que una persona u organización puede depositar en el sistema evaluado. Además, las divisiones C, B y A se dividen en una serie de subdivisiones jerárquicas denominadas clases: C1, C2, B1, B2, B3 y A1.
Cada división y clase amplía o modifica, según se indica, los requisitos de la división o clase inmediatamente anterior:
D – Protección mínima
- Reservado para aquellos sistemas que hayan sido evaluados pero que no cumplan con el requisito de una división superior.
C – Protección discrecional
- C1 – Protección de seguridad discrecional
- Identificación y autenticación
- Separación de usuarios y datos
- Control de acceso discrecional (DAC) capaz de imponer limitaciones de acceso de forma individual
- Documentación requerida del sistema y manuales de usuario
- C2 – Protección de acceso controlado
- DAC de grano más fino
- Responsabilidad individual a través de procedimientos de inicio de sesión
- Pistas de auditoría
- Reutilización de objetos
- Aislamiento de recursos
- Un ejemplo de tal sistema es HP-UX
B – Protección obligatoria
- B1 – Protección de seguridad etiquetada
- Declaración informal del modelo de política de seguridad
- Etiquetas de confidencialidad de datos
- Control de acceso obligatorio (MAC) sobre sujetos y objetos seleccionados
- Capacidades de exportación de etiquetas
- Algunas fallas descubiertas deben eliminarse o mitigarse de otra manera
- Especificaciones de diseño y verificación
- B2 – Protección Estructurada
- Modelo de política de seguridad claramente definido y documentado formalmente
- Aplicación de DAC y MAC extendida a todos los sujetos y objetos
- Los canales de almacenamiento encubiertos se analizan en busca de ocurrencia y ancho de banda
- Cuidadosamente estructurado en elementos críticos y no críticos para la protección
- El diseño y la implementación permiten pruebas y revisiones más completas
- Se fortalecen los mecanismos de autenticación
- La gestión de instalaciones de confianza se proporciona con segregación de administrador y operador
- Se imponen estrictos controles de gestión de la configuración
- Los roles de operador y administrador están separados.
- Un ejemplo de tal sistema fue Multics
- B3 – Dominios de seguridad
- Cumple con los requisitos del monitor de referencia
- Estructurado para excluir el código que no es esencial para la aplicación de la política de seguridad
- Ingeniería de sistemas significativa dirigida a minimizar la complejidad
- Rol de administrador de seguridad definido
- Auditar eventos relevantes para la seguridad
- Detección, notificación y respuesta automatizadas de intrusión inminente
- Ruta de confianza a la TCB para la función de autenticación de usuario
- Procedimientos de recuperación del sistema confiable
- Los canales de tiempo encubiertos se analizan en busca de ocurrencia y ancho de banda
- Un ejemplo de tal sistema es el XTS-300, un precursor del XTS-400
A – Protección verificada
- A1 – Diseño Verificado
- Funcionalmente idéntico a B3
- Diseño formal y técnicas de verificación que incluyen una especificación formal de alto nivel
- Procedimientos formales de gestión y distribución
- Ejemplos de sistemas de clase A1 son SCOMP de Honeywell, GEMSOS de Aesec y SNS Server de Boeing. Dos que no se evaluaron fueron la plataforma LOCK de producción y el kernel de seguridad DEC VAX cancelado.
- Más allá de A1
- System Architecture demuestra que los requisitos de autoprotección y completitud para los monitores de referencia se han implementado en Trusted Computing Base (TCB).
- Security Testing genera automáticamente un caso de prueba a partir de la especificación formal de nivel superior o de las especificaciones formales de nivel inferior.
- La especificación y verificación formales es donde el TCB se verifica hasta el nivel del código fuente, utilizando métodos de verificación formales cuando sea factible.
- Entorno de diseño confiable es donde el TCB está diseñado en una instalación confiable con solo personal confiable (autorizado).