Security Controls for Computer Systems , comúnmente llamado el informe Ware , [1] [2] es un texto de 1970 de Willis Ware que fue fundamental en el campo de la seguridad informática. [3]
Un contratista de defensa en St. Louis, Missouri, había comprado una computadora central IBM , que estaba usando para trabajos clasificados en un avión de combate . [4] Para proporcionar ingresos adicionales, el contratista solicitó al Departamento de Defensa (DoD) permiso para vender tiempo de computadora en la computadora central a empresas locales a través de terminales remotas, mientras continuaba el trabajo clasificado. [4]
En ese momento, el DoD no tenía una política para cubrir esto. La Agencia de Proyectos de Investigación Avanzada (ARPA) del DoD le pidió a Ware, un empleado de RAND , que presidiera un comité para examinar e informar sobre la viabilidad de los controles de seguridad para los sistemas informáticos. [4] [5]
El informe del comité era un documento clasificado entregado en enero de 1970 a la Junta de Ciencias de la Defensa (DSB), que se había hecho cargo del proyecto de ARPA. [4] Tras la desclasificación, RAND publicó el informe en octubre de 1979. [4]
La IEEE Computer Society dijo que el informe tuvo una amplia circulación, [1] y los IEEE Annals of the History of Computing dijeron que, junto con la sesión de Spring Joint Computer Conference de Ware de 1967 , marcó el inicio del campo de la seguridad informática. [3] [6]
El informe influyó en los estándares y procesos de certificación de seguridad, especialmente en las industrias bancaria y de defensa, donde el informe fue fundamental para la creación del Libro Naranja . [2]
Controles de seguridad para sistemas informáticos , tecnología. informe R-609-PR, RAND, Grupo de Trabajo de la Junta de Ciencias de la Defensa sobre Seguridad Informática, 1972. R-609-1-PR se volvió a publicar en octubre de 1979. Este informe de amplia circulación se conocía informalmente como "el informe Ware".
El legado de la mayoría de los estándares de certificación de seguridad en la industria bancaria se remonta a ... 'Controles de seguridad para sistemas informáticos' (comúnmente conocido como Informe Ware ...), centrado en el problema de proteger la información clasificada en múltiples accesos , recursos compartidos, sistemas informáticos que en ese momento eran cada vez más utilizados tanto por el gobierno como por los contratistas de defensa. El informe incluía no solo recomendaciones sobre qué funciones de seguridad deberían tener dichos sistemas para procesar de manera segura la información clasificada, sino también procedimientos de certificación propuestos para verificar si un sistema cumple con estos criterios. Estos procedimientos de certificación formaron la base de los Criterios de evaluación de sistemas informáticos de confianza.(TCSEC). Los requisitos y criterios de evaluación para TCSEC se dan en 5200.28-STD, conocido coloquialmente como el 'Libro Naranja', pero esa publicación es aumentada por otras en la ' Serie Arco Iris ', ampliando y aclarando varios aspectos.
La sesión de la Conferencia Conjunta de Computación de Primavera de 1967 organizada por Willis Ware y el Informe Ware de 1970 son ampliamente celebradas por profesionales e historiadores de seguridad informática que han definido el origen del campo.Mantenimiento CS1: formato de fecha ( enlace )
Willis Ware (presidente), Estudio de la Junta de Ciencias de la Defensa de 1967. Problema: Se está adquiriendo un número significativo de sistemas para uso militar. Cargo: Formule recomendaciones para salvaguardas de hardware y software para proteger la información clasificada en sistemas informáticos de uso compartido de recursos y multiusuario.
El informe de 1970 (Willis H.) Ware y la sesión sobre seguridad informática y privacidad de la Spring Joint Computer Conference (SJCC) dirigida por Ware son puntos focales de historiadores y científicos de seguridad informática y generalmente se consideran el comienzo de la seguridad informática multinivel.Mantenimiento CS1: formato de fecha ( enlace )