Los Criterios de Evaluación de Seguridad de Tecnología de la Información ( ITSEC ) son un conjunto estructurado de criterios para evaluar la seguridad informática dentro de productos y sistemas. El ITSEC se publicó por primera vez en mayo de 1990 en Francia , Alemania , Países Bajos y Reino Unido basándose en trabajos existentes en sus respectivos países. Luego de una extensa revisión internacional, la Versión 1.2 fue publicada posteriormente en junio de 1991 por la Comisión de las Comunidades Europeas para uso operativo dentro de los esquemas de evaluación y certificación.
Desde el lanzamiento del ITSEC en 1990, varios otros países europeos han acordado reconocer la validez de las evaluaciones del ITSEC.
El ITSEC ha sido reemplazado en gran medida por Common Criteria , que proporciona niveles de evaluación definidos de manera similar e implementa el objetivo del concepto de evaluación y el documento de objetivos de seguridad.
El producto o sistema que se está evaluando, denominado objetivo de la evaluación , se somete a un examen detallado de sus características de seguridad que culmina en pruebas funcionales y de penetración integrales e informadas. El grado de examen depende del nivel de confianza deseado en el objetivo. Para proporcionar diferentes niveles de confianza, el ITSEC define niveles de evaluación , denominados E0 a E6. Los niveles de evaluación más altos implican un examen y prueba más extensos del objetivo.
A diferencia de criterios anteriores, en particular el TCSEC desarrollado por el establishment de defensa estadounidense , el ITSEC no requería que los objetivos evaluados contuvieran características técnicas específicas para lograr un nivel de seguridad particular. Por ejemplo, un objetivo ITSEC podría proporcionar funciones de autenticación o integridad sin proporcionar confidencialidad o disponibilidad. Las características de seguridad de un objetivo determinado se documentaban en un documento Security Target , cuyo contenido debía evaluarse y aprobarse antes de que se evaluara el objetivo en sí. Cada evaluación de ITSEC se basó exclusivamente en la verificación de las características de seguridad identificadas en el Security Target.
La notación Z formal se utilizó para demostrar las propiedades de seguridad del sistema de efectivo electrónico con tarjeta inteligente de Mondex , lo que le permitió alcanzar el nivel E6 de ITSEC, la clasificación de nivel de seguridad más alta otorgada. [1] [2]