Todos los tomos tenían una portada de un vivo color distinto, de ahí el nombre de la serie (Arcoiris), y cada uno de ellos era conocido por el color de su portada. El titulado ‘DoD Trusted Computer System Evaluation Criteria‘, TCSEC, (Criterios de evaluación de un sistema informático de confianza), que fue el primero de los volúmenes publicado (1983), era mundialmente conocido como el Libro Naranja (Orange Book), pues así era el color de su portada.
El Libro Naranja establecía los requerimientos y patrones básicos (clasificados por niveles) para evaluar la efectividad de los controles informáticos de seguridad construidos dentro de un sistema. Este manual, pues, se utilizaba para determinar, catalogar y seleccionar sistemas informáticos dedicados al proceso, almacenamiento y recuperación de información sensible y/o clasificada.
El libro es toda una joya a día de hoy y aún resulta curioso echarle un vistazo y, seguramente, todavía muy útil. Según este tratado, las políticas de seguridad deben ser explícitas, bien definidas y aplicadas en exclusiva para el sistema informático en cuestión. Tres políticas de seguridad son las que se consideran básicas: la obligatoria, la de marcas y la discrecional.
La responsabilidad es otra de las patas de los objetivos fundamentales, ya que debe existir un medio seguro para asegurar el acceso de un agente autorizado y competente que pueda evaluar la información de rendición de cuentas dentro de un tiempo razonable y sin dificultades indebidas; todo ello bajo tres requisitos: identificación, autenticación y auditoría.
Además, el manual destaca el aseguramiento de software y hardware y el proceso de documentación como otras dos de las formalidades imprescindibles.
El TCSEC define cuatro divisiones de seguridad, a saber: D, C, B y A, donde la división A tiene la seguridad más alta. Cada división representa una diferencia significativa en la confianza que un individuo u organización puede colocar en el sistema evaluado. Además, las divisiones C, B y A se subdividen, a su vez, en una serie de grupos jerárquicos llamados clases (C1, C2, B1, B2, B3 y A1) que expanden o modifican los requisitos de la división o clase inmediatamente superior.
El Libro Naranja es todo un mito en el orbe de la seguridad informática y en el mundo del hacking de los años ochenta y noventa. Fue uno de los primeros modelos para evaluar los sistemas de información en términos, cada vez mayores, de seguridad.
Como curiosidad, comentar que en la película ‘Hackers: piratas informáticos‘ (película bastante mala, por cierto, en lo que al aspecto técnico y tecnológico se refiere, pero considerada como de culto por aquello de ser una de las pocas que tratan el género) existe una escena mítica en la que los protagonistas intercambian impresiones acerca de varios libros de la época, y en la que se aprecia el culto a las portadas, a los colores y a los seudónimos que existían entonces. El TCSEC se menciona allí, por supuesto.
Hosting: Drive (Descarga Directa Para Desktop y Mobile)
Archivo: Pdf Original
Idioma: Ingles
Peso: (240 kb)
Hosting: Drive (Descarga Directa Para Desktop y Mobile)
Archivo: Pdf Resumen
Idioma: Español
Peso: (332 kb)