La serie Rainbow (a veces conocida como Rainbow Books ) es una serie de estándares y pautas de seguridad informática publicados por el gobierno de los Estados Unidos en las décadas de 1980 y 1990. Fueron publicados originalmente por el Centro de Seguridad Informática del Departamento de Defensa de EE. UU. Y luego por el Centro Nacional de Seguridad Informática .
Objetivo
Estos estándares describen un proceso de evaluación para sistemas confiables . En algunos casos, las entidades gubernamentales de EE. UU. (Así como las empresas privadas) requerirían una validación formal de la tecnología informática utilizando este proceso como parte de sus criterios de adquisición . Muchos de estos estándares han influido y han sido reemplazados por los Criterios Comunes .
Los libros tienen apodos basados en el color de su portada. Por ejemplo, los Criterios de evaluación de sistemas informáticos de confianza se denominaron "El libro naranja". [1] En el libro titulado Criptografía aplicada , el experto en seguridad Bruce Schneier afirma de NCSC-TG-021 que "ni siquiera puede comenzar a describir el color de [la] portada" y que algunos de los libros de esta serie tienen " cubiertas de horribles colores ". Luego continúa describiendo cómo recibir una copia de ellos, diciendo "No les digas que te envié". [2]
Los libros más importantes de la serie Rainbow
Documento | Título | Fecha | Color | |
---|---|---|---|---|
5200.28-STD | Criterios de evaluación del sistema informático de confianza del Departamento de Defensa | 15 de agosto de 1983 | naranja | |
CSC-STD-002-85 | Directriz de administración de contraseñas del DoD | 12 de abril de 1985 | Verde | |
CSC-STD-003-85 | Orientación para la aplicación de TCSEC en entornos específicos | 25 de junio de 1985 | Amarillo claro | |
CSC-STD-004-85 | Justificación técnica de CSC-STD-003-85: Requisitos de seguridad informática | 25 de junio de 1985 | Amarillo | |
NCSC-TG-001 | Una guía para comprender la auditoría en sistemas confiables | 1 de junio de 1988 | Broncearse | |
NCSC-TG-002 | Programa de evaluación de seguridad de productos de confianza | 22 de junio de 1990 | Azul brillante | |
NCSC-TG-003 | Control de acceso discrecional en sistemas confiables | 30 de septiembre de 1987 | Naranja neón | |
NCSC-TG-004 | Glosario de términos de seguridad informática | 21 de octubre de 1988 | Verde azulado | |
NCSC-TG-005 | Interpretación de la red de confianza | 31 de julio de 1987 | rojo | |
NCSC-TG-006 | Gestión de la configuración en sistemas fiables | 28 de marzo de 1988 | Ámbar | |
NCSC-TG-007 | Una guía para comprender la documentación de diseño en sistemas confiables | 6 de octubre de 1988 | borgoña | |
NCSC-TG-008 | Una guía para comprender la distribución confiable en sistemas confiables | 15 de diciembre de 1988 | Lavanda oscura | |
NCSC-TG-009 | Interpretación del subsistema de seguridad informática del TCSEC | 16 de septiembre de 1988 | Venecia Azul | |
NCSC-TG-010 | Una guía para comprender el modelado de seguridad en sistemas confiables | Octubre de 1992 | Agua | |
NCSC-TG-011 | Pauta de entornos de interpretación de redes confiables (TNI) | 1 de agosto de 1990 | rojo | |
NCSC-TG-012 | Interpretación del sistema de gestión de bases de datos de confianza [3] | Abril de 1991 | ||
NCSC-TG-013 | Documento de programa RAMP | 1989 | Rosa | |
NCSC-TG-013 V2 | Documento de programa RAMP versión 2 | 1 de marzo de 1995 | Rosa | |
NCSC-TG-014 | Directrices para sistemas formales de verificación | 1 de abril de 1989 | Púrpura | |
NCSC-TG-015 | Guía para comprender la administración de instalaciones confiables | 18 de octubre de 1989 | marrón | |
NCSC-TG-016 | Directrices para la redacción de manuales de instalaciones de confianza | Octubre de 1992 | Amarillo verde | |
NCSC-TG-017 | Identificación y autenticación en sistemas confiables | Septiembre de 1991 | Azul claro | |
NCSC-TG-018 | Reutilización de objetos en sistemas confiables | Julio de 1992 | Azul claro | |
NCSC-TG-019 | Cuestionario de evaluación de productos de confianza | 2 de mayo de 1992 | Azul | |
NCSC-TG-020 | Trusted UNIX Working Group (TRUSIX) Justificación para seleccionar funciones de lista de control de acceso para el sistema UNIX | 7 de julio de 1989 | Plata | |
NCSC-TG-020-A | Trusted UNIX Working Group (TRUSIX) Justificación para seleccionar funciones de lista de control de acceso para el sistema UNIX (R) | 18 de agosto de 1989 | Gris plata | |
NCSC-TG-021 | Interpretación del sistema de gestión de bases de datos fiables del TCSEC (TDI) | Abril de 1991 | Púrpura | |
NCSC-TG-022 | Recuperación confiable en sistemas confiables | 30 de diciembre de 1991 | Amarillo | |
NCSC-TG-023 | Pruebas de seguridad y documentación de pruebas en sistemas confiables | Julio de 1993 | Naranja brillante | |
NCSC-TG-024 Vol. 1/4 | Adquisición de sistemas confiables: Introducción a los iniciadores de adquisiciones sobre los requisitos de seguridad informática | Diciembre de 1992 | Púrpura | |
NCSC-TG-024 Vol. 2/4 | Adquisición de sistemas confiables: lenguaje para especificaciones de RFP y declaraciones de trabajo | 30 de junio de 1993 | Púrpura | |
NCSC-TG-024 Vol. 3/4 | Adquisición de sistemas confiables: Lista de requisitos de datos del contrato de seguridad informática y descripción del elemento de datos | 28 de febrero de 1994 | Púrpura | |
NCSC-TG-024 Vol. 4/4 | Adquisición de sistemas confiables: cómo evaluar el documento de propuesta de un licitante | Publicación TBA | Púrpura | |
NCSC-TG-025 | Guía para comprender la remanencia de datos en sistemas de información automatizados. | Septiembre de 1991 | Bosque verde | |
NCSC-TG-026 | Redacción de la guía del usuario de funciones de seguridad para sistemas de confianza | Septiembre de 1991 | Melocotón caliente | |
NCSC-TG-027 | Responsabilidades del oficial de seguridad del sistema de información para los sistemas de información automatizados | Mayo de 1992 | Turquesa | |
NCSC-TG-028 | Evaluación de la protección de acceso controlado | 25 de mayo de 1992 | Violeta | |
NCSC-TG-029 | Conceptos de certificación y acreditación | Enero de 1994 | Azul | |
NCSC-TG-030 | Análisis de canal encubierto de sistemas confiables | Noviembre de 1993 | Rosa claro |
Referencias
- ^ Steve Lipner, "El nacimiento y la muerte del libro naranja" IEEE Annals of the History of Computing 37 no. 2 (2015): 19-31 en DOI
- ^ Schneier, Bruce (1996), Criptografía aplicada (2.a ed.), Nueva York, NY: John Wiley and Sons, ISBN 978-0-471-11709-4
- ^ https://biotech.law.lsu.edu/blaw/dodd/corres/pdf/85101m_0700/p85101m.pdf
enlaces externos
- Rainbow Series de la Federación de Científicos Estadounidenses , con más explicaciones
- Serie Rainbow del Archivo de Aseguramiento de la Información