¿Cuántos niveles tendrá el estándar de evaluación de seguridad de la información para los sistemas informáticos?

Según el nivel de seguridad de mayor a menor, se divide en cuatro niveles: A, B, C y D. Estos niveles de seguridad no son lineales, sino que aumentan exponencialmente.

Hace unos años, el Departamento de Defensa de Estados Unidos desarrolló cuatro directrices para diferentes niveles de seguridad informática. El Libro Naranja (formalmente conocido como Criterios de evaluación estándar de computadoras confiables) incluye una clasificación de los niveles de seguridad informática. Echar un vistazo a estas categorías puede ayudarle a comprender los diversos riesgos de seguridad inherentes a algunos sistemas y aprender cómo reducirlos o eliminarlos.

1. Nivel D1

Este es el nivel más bajo de seguridad informática. Todo el sistema informático no es confiable y el hardware y el sistema operativo se ven comprometidos fácilmente. El estándar del sistema informático de nivel D1 estipula que no existe autenticación para los usuarios, es decir, cualquiera puede utilizar el sistema informático sin ningún obstáculo. El sistema no requiere registro de usuario (que requiere que los usuarios proporcionen un nombre de usuario) ni protección con contraseña (que requiere que los usuarios proporcionen una cadena única para acceder). Cualquiera puede sentarse frente a una computadora y comenzar a usarla.

Los sistemas informáticos de nivel D1 incluyen:

MS-Dos

MS-Windows3.xe y Windows95 (no en modo grupo de trabajo)

System7.x

2. Nivel C1

Los sistemas de nivel C1 requieren hardware con ciertos mecanismos de seguridad (como dispositivos de bloqueo de hardware y que requieren una clave para usar la computadora, etc.) Los usuarios deben iniciar sesión en el sistema antes de su uso. Los sistemas de nivel C1 también requieren la capacidad de tener control de acceso total, lo que debería permitir a los administradores del sistema establecer permisos de acceso para algunos programas o datos. La desventaja del nivel de protección C1 es que los usuarios acceden directamente a la raíz del sistema operativo. El nivel C1 no puede controlar el nivel de acceso de los usuarios que ingresan al sistema, por lo que los usuarios pueden eliminar datos del sistema a voluntad.

Los sistemas informáticos comunes compatibles con el nivel C1 se enumeran a continuación:

Sistema UNIX

XENIX

Novell3.x o superior

Windows NT

3. Nivel C2

El nivel C2 fortalece varias características en algunas deficiencias del nivel C1. El nivel C2 introduce características mejoradas de un entorno de acceso controlado. . Esta característica no solo se basa en los permisos del usuario, sino que también restringe aún más la ejecución de ciertos comandos del sistema. Las jerarquías de autorización permiten a los administradores del sistema agrupar usuarios y otorgarles acceso a ciertos programas o acceso a directorios jerárquicos. Por otro lado, los permisos de usuario autorizan a los usuarios de forma individual a acceder al directorio donde se encuentra un determinado programa. Si otros programas y datos también están en el mismo directorio, el usuario automáticamente tendrá acceso a esta información. Los sistemas de nivel C2 también emplean auditoría de sistemas. La función de auditoría rastrea todos los "eventos de seguridad", como los inicios de sesión (exitosos y fallidos), así como las acciones del administrador del sistema, como los cambios en el acceso de los usuarios y las contraseñas.

Los sistemas operativos de nivel C2 comunes incluyen:

Sistema UNIX

XENIX

Novell3.x o superior

WindowsNT