Die Trusted Computer System Evaluation Criteria (TCSEC) sind eine Reihe von Sicherheitskriterien, die in den 80er Jahren vom Verteidigungsministerium der Vereinigten Staaten aufgestellt wurden. Seitdem wurden sie von anderen Ländern und Organisationen als Standard für die Computersicherheit verwendet. Aufgrund des orangefarbenen Einbands der Originalversion der Publikation ist sie auch als "Orange Book" bekannt.
In den 1980er Jahren war die Computersicherheit ein aufstrebendes Gebiet, und es bestand ein Bedarf an einer umfassenden Reihe von Sicherheitsstandards, die bei der Entwicklung sicherer Systeme verwendet werden sollten. Die TCSEC wurden geschaffen, um diesen Standard zu schaffen, und sie werden auch heute noch häufig verwendet.
Bei den TCSEC handelt es sich um eine Reihe von Leitlinien und Kriterien, die zur Bewertung der Sicherheit von Computersystemen verwendet werden. Sie definieren eine Reihe von Sicherheitszielen und Bewertungskriterien, die erfüllt werden müssen, um die Sicherheit eines Systems zu gewährleisten. Die TCSEC sind in acht Sicherheitsklassen unterteilt, wobei jede Klasse strenger ist als die vorherige.
Die TCSEC bestehen aus fünf Hauptkomponenten: Sicherheitspolitik, Sicherheitsarchitektur, Systemsicherheitsmechanismen, Gewährleistungsmaßnahmen und Einhaltung der Vorschriften. Die Sicherheitspolitik ist eine Reihe von Regeln und Richtlinien, die die Sicherheit eines Systems definieren. Die Sicherheitsarchitektur ist der Entwurf eines sicheren Systems, einschließlich der Hardware- und Softwarekomponenten. System-Sicherheitsmechanismen sind die Methoden, die zum Schutz des Systems eingesetzt werden, wie z. B. Authentifizierung und Verschlüsselung. Zuverlässigkeitsmaßnahmen sind Methoden, mit denen überprüft werden kann, ob das System sicher ist. Schließlich ist die Konformität der Prozess der Überprüfung, ob das System die von den TCSEC definierten Sicherheitsanforderungen erfüllt.
Die TCSEC definieren eine Reihe von Kriterien, die ein System erfüllen muss, um als sicher zu gelten. Zu diesen Kriterien gehören vertrauenswürdige Pfade, Zugangskontrolle, Auditing und Kennzeichnung. Vertrauenswürdige Pfade sind Methoden, die sicherstellen, dass ein System nur genehmigten Code ausführt. Die Zugriffskontrolle stellt sicher, dass nur autorisierte Benutzer auf das System zugreifen können. Auditing ist der Prozess des Sammelns und Analysierens von Systemprotokollen, um Sicherheitsvorfälle zu erkennen. Die Kennzeichnung schließlich ist der Prozess, bei dem Dateien und Systemkomponenten mit ihrer Sicherheitsklassifizierung gekennzeichnet werden.
Die TCSEC definieren acht Sicherheitsklassen, wobei jede Klasse strenger ist als die vorherige. Diese Sicherheitsklassen sind in zwei Kategorien unterteilt: Klasse A und Klasse B. Systeme der Klasse A sind für den Schutz der Vertraulichkeit von Daten ausgelegt, während Systeme der Klasse B sowohl die Vertraulichkeit als auch die Integrität von Daten schützen sollen. Die acht Sicherheitsklassen werden weiter in vier Bereiche unterteilt: Bereich A, Bereich B, Bereich C und Bereich D.
Die TCSEC bieten einen Standard für die Bewertung der Sicherheit von Computersystemen. Dieser Standard wird von Organisationen und Regierungen auf der ganzen Welt verwendet. Durch die Verwendung der TCSEC können Organisationen sicherstellen, dass ihre Systeme sicher und nicht anfällig für Angriffe sind.
Die Umsetzung der TCSEC kann aufgrund ihrer Komplexität eine Herausforderung darstellen. Die in den TCSEC definierten Kriterien sind nur mit erheblichem Aufwand zu erfüllen, und die Implementierung von Sicherheitskontrollen kann kostspielig sein. Darüber hinaus bieten die TCSEC keine Anleitungen für den Umgang mit neuen Bedrohungen.
Die TCSEC sind ein umfassender Satz von Sicherheitskriterien, der in den 80er Jahren vom US-Verteidigungsministerium aufgestellt wurde. Sie werden auch heute noch weitgehend als Standard für die Bewertung der Sicherheit von Computersystemen verwendet. Er definiert eine Reihe von Sicherheitszielen und Bewertungskriterien, die erfüllt werden müssen, um die Sicherheit eines Systems zu gewährleisten. Die TCSEC bietet einen Standard für Unternehmen, um die Sicherheit ihrer Systeme zu gewährleisten, kann aber aufgrund ihrer Komplexität schwierig umzusetzen sein.
Es gibt vier Hauptkategorien der TCSEC Trusted Computer Security Evaluation Criteria (TCSEC-Kriterien für vertrauenswürdige Computersicherheit):
1) Sicherheitspolitik
2) Funktionsspezifikationen
3) Entwurfsdokumentation
4) Tests
Der TCSEC wurde in den Vereinigten Staaten von der National Security Agency (NSA) entwickelt und 1985 veröffentlicht. Er diente als Leitfaden für die Bewertung der Sicherheit von Computersystemen. Der Itsec wurde 1992 in Europa entwickelt und basiert auf einem ähnlichen Sicherheitsmodell wie der TCSEC. Es hat jedoch einen anderen Schwerpunkt und soll Anleitungen für die Umsetzung von Sicherheitsmaßnahmen liefern.
Die Trusted Computer System Evaluation Criteria (TCSEC) sind eine Reihe von Standards, die von der Nationalen Sicherheitsbehörde der Vereinigten Staaten (NSA) zur Bewertung der Sicherheit von Computersystemen verwendet werden. Die TCSEC wurden erstmals 1985 als Orange Book veröffentlicht und sind aufgrund der Farben ihrer Einbände auch als Rainbow Series bekannt.
Ein vertrauenswürdiges System ist ein System, das so konzipiert wurde, dass es sicher ist und dem seine Benutzer vertrauen. Vertrauenswürdige Systeme werden in einer Vielzahl von Branchen eingesetzt, z. B. im Bankwesen, im Gesundheitswesen und in Behörden. Vertrauenswürdige Systeme sind so konzipiert, dass sie sensible Informationen schützen und unbefugten Zugriff verhindern.