ebook img

Official PDF

609 Pages·2007·5.86 MB·English
Save to my drive
Quick download
Download
Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.

Preview Official

OFFICIAL ® 2 (ISC) GUIDE TO ® ® THE SSCP CBK Contesti_AU2774_C000.indd i 3/30/2007 12:16:11 PM 2® OTHER BOOKS IN THE (ISC) PRESS SERIES Building and Implementing a Security Certification and Accreditation 2® cm ® Program: Official (ISC) Guide to the CAP CBK Patrick D. Howard ISBN: 0-8493-2062-3 2® ® ® Official (ISC) Guide to the SSCP CBK Diana-Lynn Contesti, Douglas Andre, Eric Waxvik, Paul A. Henry, and Bonnie A. Goins ISBN: 0-8493-2774-1 2® ® ® ® Official (ISC) Guide to the CISSP -ISSEP CBK Susan Hansche ISBN: 0-8493-2341-X 2® ® ® Official (ISC) Guide to the CISSP CBK Harold F. Tipton and Kevin Henry, Editors ISBN: 0-8493-8231-9 Contesti_AU2774_C000.indd i 3/30/2007 12:16:16 PM OFFICIAL ® 2 (ISC) GUIDE TO THE ® ® SSCP CBK Diana-Lynn Contesti, Douglas Andre, Eric Waxvik, Paul A. Henry, and Bonnie A. Goins Boca Raton New York Auerbach Publications is an imprint of the Taylor & Francis Group, an informa business Contesti_AU2774_C000.indd i 3/30/2007 12:16:16 PM Auerbach Publications Taylor & Francis Group 6000 Broken Sound Parkway NW, Suite 300 Boca Raton, FL 33487-2742 © 2007 by Taylor & Francis Group, LLC Auerbach is an imprint of Taylor & Francis Group, an Informa business No claim to original U.S. Government works Printed in the United States of America on acid-free paper 10 9 8 7 6 5 4 3 2 1 International Standard Book Number-10: 0-8493-2774-1 (Hardcover) International Standard Book Number-13: 978-0-8493-2774-2 (Hardcover) This book contains information obtained from authentic and highly regarded sources. Reprinted material is quoted with permission, and sources are indicated. A wide variety of references are listed. Reasonable efforts have been made to publish reliable data and information, but the author and the publisher cannot assume responsibility for the validity of all materials or for the conse- quences of their use. No part of this book may be reprinted, reproduced, transmitted, or utilized in any form by any electronic, mechanical, or other means, now known or hereafter invented, including photocopying, microfilming, and recording, or in any information storage or retrieval system, without written permission from the publishers. For permission to photocopy or use material electronically from this work, please access www. copyright.com (http://www.copyright.com/) or contact the Copyright Clearance Center, Inc. (CCC) 222 Rosewood Drive, Danvers, MA 01923, 978-750-8400. CCC is a not-for-profit organization that provides licenses and registration for a variety of users. For organizations that have been granted a photocopy license by the CCC, a separate system of payment has been arranged. Trademark Notice: Product or corporate names may be trademarks or registered trademarks, and are used only for identification and explanation without intent to infringe. Library of Congress Cataloging-in-Publication Data Official (ISC)2 guide to the SSCP CBK / Diana-Lynn Contesti ... [et al.]. p. cm. -- ((ISC)2 press series) Includes index. ISBN 0-8493-2774-1 (978-0-8493-2774-2 : alk. paper) 1. Computer networks--Security measures--Examinations--Study guides. 2. Electronic data processing personnel--Examinations--Study guides. I. Contesti, Diana-Lynn. TK5105.59.O44 2007 005.8--dc22 2007011467 Visit the Taylor & Francis Web site at http://www.taylorandfrancis.com and the Auerbach Web site at http://www.auerbach-publications.com Contesti_AU2774_C000.indd iv 3/30/2007 12:16:17 PM Contents Foreword to the Official (ISC)2® Guide to the SSCP® CBK® . . . . . . . . . . xxv Introduction to the (ISC)2® SSCP® CBK® . . . . . . . . . . . . . . . . . . . . . . . . xxvii The SSCP Credential . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxvii Global Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxviii The (ISC)2 SSCP CBK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxix Organization of the Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxi The Official (ISC)2 SSCP CBK Review Seminar . . . . . . . . . . . . . . . . . . . . xxxi SSCP Examination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxxii Acknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .xxxii Authors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxxiii Domain 1 Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Paul A. Henry, CISSP Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Logical Access Controls in Terms of Subjects . . . . . . . . . . . . . . . . . . . . . . . 3 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Group Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 User Account Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Password Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Account Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Access Rights and Permissions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Logical Access Controls in Terms of Objects . . . . . . . . . . . . . . . . . . . . . . . . 6 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Object Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Authentication Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Authentication Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Multi-Factor Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Common Authentication Methodologies . . . . . . . . . . . . . . . . . . . . . . . . . 7 Static Passwords and Passphrases . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 One-Time Password Token . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 v Contesti_AU2774_C000a.indd v 4/5/2007 5:52:22 PM 2® ® ® OFFICIAL (ISC) GUIDE TO THE SSCP CBK Asynchronous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Synchronous . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Smart Card . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Biometrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Fingerprint Verification Technology . . . . . . . . . . . . . . . . . . . . . . . 10 Hand Geometry Technology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Eye Features — Retina Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Eye Features — Iris Scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Facial Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Voice Recognition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Signature Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Keystroke Dynamics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Biometric Accuracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Remote Access Protocols and Applications . . . . . . . . . . . . . . . . . 13 Indirect Access and Authentication . . . . . . . . . . . . . . . . . . . . . . . . 14 Indirect Access and Authentication Technologies . . . . . . . . . . . 15 Single Sign-On (SSO). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Terminal Server Controller Access Control System (TACACS). . 16 Extended Terminal Server Controller Access Control System (XTACACS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Terminal Server Controller Access Control System Plus (TACACS+) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Remote Authentication Dial-In User Services (RADIUS) . . . . . . . 17 X.509 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Secure European System for Application in a Multi-Vendor Environment (SESAME) . . . . . . . . . . . . . . . . . . . . 20 Remote Terminal Solution — Secure Shell (SSH) . . . . . . . . . . . . . 21 Access Control Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Access Control Formal Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Bell–LaPadula Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Biba Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Clark–Wilson Formal Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Access Control Evaluation Criteria — Orange Book . . . . . . . . . . . . 24 Orange Book B Level — Mandatory Access Control . . . . . . . . . . . . 26 Orange Book C Level — Discretionary Access Control . . . . . . . . . . 27 Other Discretionary Access Control Considerations . . . . . . . . . . . . 29 Authorization Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Time-Based ACL Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Non-Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . 30 Role-Based Access Control (RBAC) . . . . . . . . . . . . . . . . . . . . . . . . 30 Rule Set-Based Access Control (RSBAC) . . . . . . . . . . . . . . . . . . . . 30 Content Dependent Access Control . . . . . . . . . . . . . . . . . . . . . . . . 31 Context-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 vi Contesti_AU2774_C000a.indd vi 4/5/2007 5:52:43 PM Contents View-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Temporal Isolation (Time-Based) Access Control . . . . . . . . . . . . 33 Other Access Control Considerations . . . . . . . . . . . . . . . . . . . . . . . . 34 Capability Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Operating System Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Patch Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Vulnerability Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 Sample Questions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Domain 2 Security Operations and Administration . . . . . . . . . . . . . . . . . . . . . . . . . 43 Bonnie Goins, CISSP What Is “Security Administration”? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Fundamentals of Information Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 The A-I-C Triad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Monitoring and Maintenance of Appropriate Environmental Controls over Data and Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Policies and Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 Compliance with Policy Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Security Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Information Security Compliance Liaison . . . . . . . . . . . . . . . . . . . . . . . 47 Remediation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Security Administration: Data Classification . . . . . . . . . . . . . . . . . . . . . . . 47 Marking and Labeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Labels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 Assurance and Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Identity Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 Security Administration: Configuration Management . . . . . . . . . . . . . . . . 51 What Is Configuration Management (CM)? . . . . . . . . . . . . . . . . . . . . . . 51 Why Is CM Important? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 Change Control Roles in CM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Baseline Measurements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Change Management Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Change Control Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 CCB Charter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Concept of Risk-Based, Cost-Effective Controls . . . . . . . . . . . . . . . . . . 54 Validation of Security Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 Configuration Management Plan Development and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 vii Contesti_AU2774_C000a.indd vi 4/5/2007 5:52:43 PM 2® ® ® OFFICIAL (ISC) GUIDE TO THE SSCP CBK Impact of Security Environment Changes . . . . . . . . . . . . . . . . . . . . . . . 55 Patches, Fixes, and Updates Validation . . . . . . . . . . . . . . . . . . . . . . . . . 55 Secure System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 The System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 Risk Assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Qualitative Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Quantitative Risk Assessments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Selecting Tools/Techniques for Risk Assessment . . . . . . . . . . . . . . . . . 62 Risk Assessment Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Identification of Vulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Identification of Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Likelihood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Determination of “Risk” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Reporting Findings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Countermeasure Selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Avoidance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Transfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Mitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Risk Acceptance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Software Development Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 The Waterfall Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Requirements Analysis and Definition . . . . . . . . . . . . . . . . . . . . . . . . . . 66 System and Software Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Development . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Testing and Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Operation and Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 The Iterative Development Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 The Exploratory Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 The Rapid Application Development (RAD) Model . . . . . . . . . . . . . . . . . . 69 The Spiral Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 The Computer Aided Software Engineering (CASE) Model . . . . . . . . . . . 70 Extreme Programming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Security Management Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 Creating the Security Statement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Security Policy Creation and Maintenance . . . . . . . . . . . . . . . . . . . . . . 73 Security Policy Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Security Procedure Development and Documentation . . . . . . . . . . . . 74 Organization Security Evaluation and Assistance . . . . . . . . . . . . . . . . . . . 74 The Protection Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Modes of Operation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 viii Contesti_AU2774_C000a.indd vi 4/5/2007 5:52:43 PM Contents System High Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Compartmented Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Multilevel Secure Mode (MLS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 Operating Utilities and Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 The Central Processing Unit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Service Level Agreement Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Non-Disclosures (NDA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Non-Competition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Service Level Agreements (SLA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 User Security Awareness Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Awareness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Security Education . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 Security Awareness and Training Plan . . . . . . . . . . . . . . . . . . . . . . . . 81 Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 2 (ISC) Code of Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 RFC 1087: Ethics and the Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 Acceptable Use Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Security Administration: Policies, Standards, and Guidelines . . . . . . . . . 83 Security Policy Implementation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 Implementing Security Requirements Guidance . . . . . . . . . . . . . . . . . . . . 84 Certification and Accreditation Process Concepts . . . . . . . . . . . . . . . . 84 Systems Accreditation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 System Certification Effort Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 British Standard (BS) 7799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 ISO 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 TEMPEST . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Security Administration: Security Control Architecture . . . . . . . . . . . 86 What Is a Security Control Architecture? . . . . . . . . . . . . . . . . . . . . . 86 Bell–LaPadula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Biba Integrity Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Clark–Wilson Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Non-Interference Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Information Flow Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Evaluation Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Trusted Computer System Evaluation Criteria . . . . . . . . . . . . . . . . . . . 88 Goal of TCSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 TCSEC Classes of Trust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Information Technology Evaluation Criteria (ITSEC) . . . . . . . . . . . . 90 Security Target . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Target of Evaluation (TOE) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Comparison of ITSEC to TCSEC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 ix Contesti_AU2774_C000a.indd ix 4/5/2007 5:52:44 PM

See more

The list of books you might like

Most books are stored in the elastic cloud where traffic is expensive. For this reason, we have a limit on daily download.