Centro Nacional de Seguridad Informática | |
---|---|
Centro Nacional de Seguridad Informática | |
País | EE.UU |
Creado | 1981 |
Jurisdicción | Departamento de Defensa de EE. UU. |
Presupuesto | clasificado |
Población media | clasificado |
administración | |
Supervisor | clasificado |
Diputado | ex diputado |
Sitio web | nsa.gov |
El Centro Nacional de Seguridad Informática de EE. UU . forma parte de la Agencia de Seguridad Nacional de EE . UU . Es el responsable de la seguridad informática a nivel federal. [1] A finales de los años 80 y principios de los 90, la Agencia de Seguridad Nacional y el Centro Nacional de Seguridad Informática de EE. UU. [2] publicaron un conjunto de criterios para evaluar la confiabilidad de los sistemas informáticos en la serie de libros del arco iris.
El Centro Nacional de Seguridad Informática (NCSC) es parte de la organización gubernamental de la Agencia de Seguridad Nacional de EE. UU . Constituye un criterio para evaluar la seguridad de los equipos de cómputo. Estos criterios garantizan que las instalaciones de procesamiento de información confidencial utilicen solo sistemas y componentes informáticos confiables [3] . La organización trabaja en la industria, la educación y el gobierno, en áreas relacionadas con la confidencialidad o un alto grado de sigilo de la información. El centro también apoya la investigación científica y la estandarización de proyectos para el desarrollo de sistemas de seguridad de la información. El nombre más antiguo del Centro Nacional de Seguridad Informática es el Centro de Seguridad Informática (CSC) del Departamento de Defensa, el centro de protección informática del Departamento de Defensa.
En octubre de 1967 , se reunió un consejo científico operativo para discutir temas de seguridad informática, en particular, el almacenamiento y procesamiento de información clasificada en sistemas informáticos de acceso remoto [4] . En febrero de 1970 , el grupo de trabajo publicó un informe, "Controles de seguridad para sistemas informáticos [5] ". Hizo una serie de recomendaciones sobre las medidas políticas y técnicas necesarias para reducir la amenaza de fuga de información clasificada. A principios y mediados de la década de 1970, se demostraron los problemas técnicos asociados con el intercambio de recursos e información en los sistemas informáticos. La Iniciativa de Seguridad Informática del Departamento de Defensa [6] se inició en 1977 bajo los auspicios del Secretario de Defensa para abordar los problemas de seguridad informática. Simultáneamente con los esfuerzos del Secretario de Defensa, se inició otro estudio. Consistía en identificar y resolver problemas de seguridad informática para construir un sistema informático seguro y evaluar su seguridad. El estudio fue dirigido por la Oficina Nacional de Normas (NBS) . Como parte de este trabajo, la Oficina Nacional de Normas realizó dos talleres sobre pruebas y evaluación de seguridad informática. La primera tuvo lugar en marzo de 1977 y la segunda en noviembre de 1978 . El segundo taller produjo un documento final sobre los desafíos que implica proporcionar criterios de evaluación de la seguridad informática. El Centro de Seguridad Informática del DoD fue formado en enero de 1981 por el Departamento de Defensa para ampliar el trabajo iniciado por la Iniciativa de Seguridad Informática del DoD y cambió su nombre actual a Centro Nacional de Seguridad Informática en 1985. Parte de la Agencia de Seguridad Nacional de EE.UU.
El objetivo principal del centro, como se indica en su estatuto [7] , es fomentar la amplia disponibilidad de sistemas informáticos fiables que manejen información clasificada o confidencial. Los criterios presentados en este documento han evolucionado a partir de los criterios anteriores de la Oficina Nacional de Normas .
Los objetivos de creación indicados en los documentos:
El Centro Nacional de Seguridad Informática de EE. UU. ha desarrollado seis requisitos básicos: cuatro se relacionan con el control de acceso a la información; y dos se refieren a la obtención de fuertes garantías de que se accederá a la información en un sistema informático de confianza [8] .
Debe haber una política de seguridad claramente definida que guíe el sistema. Dados los sujetos y objetos identificados, se debe definir un conjunto de reglas que son utilizadas por el sistema para poder determinar si un sujeto dado puede acceder a un objeto en particular. Los sistemas informáticos deben estar guiados por una política de seguridad que incluya reglas de acceso a la información confidencial o secreta para su posterior procesamiento. Además, se necesita un control de acceso discrecional para garantizar que solo los usuarios o grupos de usuarios seleccionados puedan acceder a los datos.
Las etiquetas de control de acceso deben estar asociadas con los objetos. Para controlar el acceso a la información almacenada en una computadora, debe ser posible, de acuerdo con las reglas obligatorias de la política de seguridad, etiquetar cada objeto con una etiqueta que lo identifique de manera confiable. Por ejemplo, la clasificación de sujetos y objetos para dar acceso a aquellos sujetos que potencialmente pueden acceder al objeto.
Los sujetos individuales deben ser identificados. El acceso a la información debe basarse en quién solicita acceso y a qué clases de información tiene acceso. La identificación y la autorización deben ser mantenidas de forma segura por el sistema informático y asociadas a todo elemento activo que realice actividades en el sistema relacionadas con su seguridad.
La información de auditoría debe almacenarse y protegerse de manera selectiva para que las actividades que afectan la seguridad puedan rastrearse hasta la parte responsable de esas actividades. Un sistema confiable debe poder registrar eventos relacionados con la seguridad. Los datos de registro mantenidos con el fin de investigar violaciones de seguridad deben protegerse contra modificaciones y destrucción no autorizada.
El sistema informático debe contener mecanismos de hardware o software que puedan evaluarse de forma independiente. Esto se hace para estar razonablemente seguro de que el sistema cumple con los requisitos 1-4 anteriores. Para garantizar que un sistema informático aplique la política de seguridad, el marcado, la identificación y la rendición de cuentas, se necesita una colección definida y unificada de hardware y software que realice estas funciones. Estos mecanismos generalmente están integrados en el sistema operativo y están diseñados para realizar una tarea de manera segura. La base para confiar en tales mecanismos debe estar claramente documentada de tal manera que sea posible una revisión independiente para probar la suficiencia de estos mecanismos.
Los mecanismos confiables que cumplan con estos requisitos básicos deben estar permanentemente protegidos contra la falsificación y los cambios no autorizados. Ningún sistema informático puede ser realmente seguro si los mecanismos subyacentes de hardware y software que implementan la política de seguridad son susceptibles de modificaciones o subversiones no autorizadas .
El Centro de Seguridad Informática difunde información sobre temas de seguridad informática con fines educativos. La organización también alberga la Conferencia Nacional Anual sobre Sistemas de Seguridad de la Información. La conferencia contribuye a aumentar la demanda y aumentar la inversión en el campo de la investigación en seguridad de la información. La primera conferencia nacional es NISSC - la Conferencia Nacional de Seguridad de Sistemas de Información [9] . Durante 23 años, 10 años antes de que se aprobara la Ley de seguridad informática en 1987, la conferencia ha sido el principal foro mundial sobre sistemas de seguridad informática y de la información.
El Centro Nacional de Seguridad Informática es el encargado de publicar los Libros Naranja y Rojo que detallan el uso seguro de los sistemas y redes informáticas en materia de seguridad de la información. Los criterios para determinar la seguridad de los sistemas informáticos forman parte de las publicaciones de la Serie Rainbow , que en su mayoría se repiten en los Criterios Comunes . Asimismo, el Centro de Seguridad Informática ha lanzado varias publicaciones sobre el tema de la seguridad informática.
[CSC] Departamento de Defensa, "Pautas de administración de contraseñas" [10] , CSC-STD-002-85, 12 de abril de 1985, 31 páginas.
La guía describe los pasos para minimizar la vulnerabilidad de la contraseña en cada uno de los escenarios de autenticación basada en contraseña.[NCSC1] NCSC, "Una guía para comprender AUDIT en sistemas confiables" [11] , NCSC-TG-001, Versión-2, 1 de junio de 1988, 25 páginas.
Una guía de auditoría en sistemas confiables para detectar intrusiones en un sistema informático e identificar el mal uso de sus recursos.[NCSC2] NCSC, "Una guía para comprender el CONTROL DE ACCESO DISCRECIONAL en sistemas confiables" [12] , NCSC-TG-003, Versión-1, 30 de septiembre de 1987, 29 páginas.
Una guía para auditar en sistemas confiables sobre control de acceso discreto. El control de acceso discrecional es el tipo más común de mecanismo de control de acceso implementado en los sistemas informáticos en la actualidad.[NCSC3] NCSC, "Una guía para comprender la GESTIÓN DE LA CONFIGURACIÓN en sistemas confiables" [13] , NCSC-TG-006, Versión-1, 28 de marzo de 1988, 31 páginas.
Orientación sobre la auditoría en sistemas confiables para el control de la configuración. El control de configuración consta de los siguientes pasos: identificación, control, registro de estado y auditoría.[NTISS] NTISS, "Memorándum consultivo sobre las pautas de seguridad de la automatización de oficinas" [14] , NTISSAM CONPUSEC/1-87, 16 de enero de 1987, 58 páginas.
Este documento es una guía para los usuarios o administradores responsables de la seguridad y de la provisión de software y hardware en la UA. Esta guía describe lo siguiente: seguridad física, seguridad del personal, seguridad de procedimientos, medidas de software y hardware, protección contra PEMIN y seguridad de comunicación para SS autónomos, SS utilizados como terminales conectados a un host y SS utilizados en una LAN. Se diferencia entre altavoces equipados con disquetera (floppy disk drive) y HDD (unidad de disco duro).[NCSC4] Centro Nacional de Seguridad Informática, "Glosario de Términos de Seguridad Informática", NCSC-TG-004, NCSC, 21 de octubre de 1988.
Glosario de términos en seguridad informática.
[NCSC5] Centro Nacional de Seguridad Informática, "Criterios de evaluación de sistemas informáticos de confianza", DoD 5200.28-STD, CSC-STD-001-83, NCSC, diciembre de 1985.
[NCSC7] Centro Nacional de Seguridad Informática, "Orientación para aplicar los criterios de evaluación de sistemas informáticos de confianza del Departamento de Defensa en entornos específicos", CSC-STD-003-85, NCSC, 25 de junio de 1985.
[NCSC8] Centro Nacional de Seguridad Informática, "Razones técnicas detrás de CSC-STD-003-85: Requisitos de seguridad informática", CSC-STD-004-85, NCSC, 25 de junio de 85.
[NCSC9] Centro Nacional de Seguridad Informática, "Guía de seguridad de remanencia magnética", CSC-STD-005-85, NCSC, 15 de noviembre de 1985.
[NCSC10] Centro Nacional de Seguridad Informática, "Pautas para Sistemas de Verificación Formal", lista de envío n.º: 89-660-P, The Center, Fort George G. Meade, MD, 1 de abril de 1990.
[NCSC11] Centro Nacional de Seguridad Informática, "Glosario de Términos de Seguridad Informática", número de lista de envío: 89-254-P, The Center, Fort George G. Meade, MD, 21 de octubre de 1988.
[NCSC12] Centro Nacional de Seguridad Informática, "Fundamento del Trusted UNIX Working Group (TRUSIX) para seleccionar funciones de lista de control de acceso para el sistema UNIX", Lista de envío n.º: 90-076-P, The Center, Fort George G. Meade, MD , 1990.
[NCSC13] Centro Nacional de Seguridad Informática, "Interpretación de redes de confianza", NCSC-TG-005, NCSC, 31 de julio de 1987.
[NCSC14] Tinto, M., "Virus informáticos: prevención, detección y tratamiento", Centro Nacional de Seguridad Informática Informe técnico C1 C1-001-89, junio de 1989.
[NCSC15] Conferencia Nacional de Seguridad Informática, "12.ª Conferencia Nacional de Seguridad Informática: Centro de Convenciones de Baltimore, Baltimore, MD, 10 al 13 de octubre de 1989: Seguridad de los Sistemas de Información, Soluciones para Hoy - Conceptos para el Mañana", Instituto Nacional de Estándares e Informática Nacional Centro de Seguridad, 1989.