Il Trusted Computer System Evaluation Criteria (TCSEC) è uno standard di sicurezza stabilito dalla National Security Agency nel 1985. È stato progettato per garantire la sicurezza dei sistemi informatici utilizzati dal governo e dalle forze armate degli Stati Uniti. I criteri stabiliscono requisiti di sicurezza specifici per i sistemi, tra cui la sicurezza fisica e logica, l'autenticazione degli utenti, il controllo degli accessi, l'auditing e l'integrità del sistema.
Il TCSEC stabilisce quattro livelli di sicurezza, noti come Orange Book. I quattro livelli sono A1, A2, B1 e B2. Il livello A1 è il livello di sicurezza più alto e viene utilizzato per i sistemi più sensibili. Il livello B2 è il livello di sicurezza più basso e viene utilizzato per i sistemi meno sensibili.
Il TCSEC richiede l'adozione di misure di sicurezza fisica per proteggere il sistema da accessi non autorizzati. Ciò include barriere fisiche intorno al sistema, come pareti, serrature e protezioni. Il sistema deve inoltre essere protetto da minacce ambientali quali incendi, inondazioni e terremoti.
Il TCSEC richiede anche l'adozione di misure di sicurezza logica. Queste includono metodi di autenticazione, come password e biometria, nonché misure di controllo degli accessi, come diritti e privilegi di accesso. Il sistema deve anche essere in grado di rilevare e rispondere alle attività dannose.
Il TCSEC richiede l'autenticazione dell'utente per consentire l'accesso al sistema solo agli utenti autorizzati. Ciò include metodi quali password, biometria e smart card. Il sistema deve essere in grado di riconoscere un utente e verificarne l'identità prima di concedere l'accesso.
Il TCSEC richiede anche un sistema di controllo degli accessi per garantire che solo gli utenti autorizzati possano accedere al sistema. Ciò include i diritti e i privilegi di accesso, come ad esempio la possibilità di visualizzare, modificare o eliminare i file. Il sistema deve anche essere in grado di rilevare e rispondere ai tentativi di aggirare il sistema di controllo degli accessi.
Il TCSEC richiede un sistema di auditing per registrare e monitorare l'attività degli utenti. Ciò include il monitoraggio degli accessi degli utenti, delle attività di sistema e delle modifiche a file e impostazioni. Il sistema deve anche essere in grado di rilevare e rispondere ai tentativi di aggirare il sistema di auditing.
Il TCSEC richiede anche misure di integrità del sistema per garantirne il corretto funzionamento. Ciò include metodi quali controlli di integrità dei dati, checksum di integrità e backup del sistema. Il sistema deve essere in grado di rilevare e rispondere ai tentativi di corruzione dei dati o delle impostazioni.
Il Trusted Computer System Evaluation Criteria (TCSEC) è un importante standard di sicurezza per garantire la sicurezza dei sistemi informatici utilizzati dal governo e dalle forze armate statunitensi. I criteri stabiliscono i requisiti di sicurezza fisica e logica, l'autenticazione degli utenti, il controllo degli accessi, l'auditing e le misure di integrità del sistema per proteggere il sistema da accessi non autorizzati e attività dannose.
Il TCSEC prevede quattro categorie principali di criteri di valutazione: riservatezza, integrità, disponibilità e responsabilità.
Il TCSEC, o Trusted Computer System Evaluation Criteria, è un insieme di linee guida per la valutazione della sicurezza dei sistemi informatici. Sviluppato originariamente nei primi anni '80, il TCSEC è stato aggiornato l'ultima volta nel 1985. Anche se non è più un documento attivo, il TCSEC rimane rilevante come esempio storico di approccio alla sicurezza informatica. Il TCSEC ha influenzato lo sviluppo di standard di sicurezza successivi, come i Common Criteria.
Il TCSEC contiene 17 requisiti.
I criteri di valutazione della sicurezza informatica (TCSEC) sono un insieme di standard sviluppati dalla National Security Agency (NSA) degli Stati Uniti per valutare le caratteristiche di sicurezza dei sistemi informatici. Gli standard sono stati originariamente pubblicati nel 1985 come Rainbow Series e aggiornati nel 1994 come Orange Book. Il TCSEC è spesso indicato come i criteri dell'Orange Book.
I criteri di valutazione dei sistemi informatici affidabili (TCSEC) definiscono quattro categorie principali di sicurezza: riservatezza, integrità, disponibilità e responsabilità.