Sicherheitsbeurteilung

Überblick

Oracle verdeutlicht erneut seine Führungsposition und Engagement für Produktsicherheit, indem sie externe Sicherheitsbewertungen und Zertifizierungen durchführen lassen. Diese Bewertungen umfassen strenge Tests durch unabhängig akkreditierte Labore. Die externen Bewertungen und Validierungen bieten zusätzliche Gewissheit bei der Sicherheit unserer IT-Produkte. Weltweit sind diese Zertifizierungen häufig für die Beschaffung auf Behördenebene obligatorisch und schaffen ein akzeptables Vertrauensniveau für IT-Einkäufer, ungeachtet dessen, ob diese von der Regierung, aus dem Militär oder dem Handel stammen.

Es gibt zwei wichtige Komponenten für globale IT-Sicherheitsbewertungen: die Kriterien und die Methoden, nach denen die Bewertungen durchgeführt werden, sowie die zugrundeliegenden Regierungsvorschriften, die für die Bewertungen gelten. Obwohl die Kriterien unabhängig vom Land, in dem Sie arbeiten, die gleichen sind, werden in den verschiedenen Systemen unterschiedliche Richtlinien durchgesetzt. Oracle ist derzeit aktiv an der Entwicklung von zwei international anerkannten Kriterien zur Sicherheitsbeurteilung beteiligt:

1. Bei Common Criteria (CC) handelt es sich um einen internationalen Standard (ISO/IEC 15408), der einen allgemeinen Ansatz für die Bewertung der Sicherheitsfunktionen von IT-Produkten definiert. CC stammt ursprünglich aus drei anderen nationalen Sicherheitsstandards und hat sich im Laufe der Jahre weiterentwickelt, um mit den Sicherheitstrends und den Produkttechnologien Schritt zu halten. Zum jetzigen Zeitpunkt erkennen 30 Länder die Rahmenbedingungen an, während 18 Länder, einschließlich der USA, zur Ausstellung von Zertifikaten berechtigt sind. Ein nach Common Criteria zertifiziertes Produkt ist ein Produkt, das von einem autorisierten Staatssystem basierend auf einer Bewertung durch ein zugelassenes und unabhängiges Evaluierungslabor als bestanden anerkannt wird.

2. Der Federal Information Processing Standard (FIPS) 140-2 ist ein kryptografischer Standard, der vom National Institute of Standards und Technology (NIST) in den USA zum Schutz von sensiblen, jedoch nicht klassifizierten Daten entwickelt wurde. Mit FIPS 140-2 konforme Module werden von Bundesbehörden in den USA und in Kanada zur Beschaffung akzeptiert. Diese Zertifizierung bestätigt, dass die kryptographische Funktionalität von einem unabhängigen Labor getestet und vom staatlichen System in Bezug auf die Anforderungen der Standards validiert wurde. Die FIPS 140-2-Anforderungen wurden von Branchen wie dem Finanzwesen, der Zahlungskartenindustrie (PCI), dem Gesundheitswesen (Health Insurance Portability and Accountability Act – HIPAA), der Government Cloud (FedRAMP), dem US-Militär (Joint Interoperability Command, JITC) sowie Commercial Solutions for Classified (CSfC) übernommen.

Weitere Informationen finden Sie auf der Website Sicherheitsbeurteilungen. Eine vollständige Liste aller Sicherheitsbeurteilungen von Oracle, die aktuell durchgeführt werden oder bereits abgeschlossen sind, finden Sie auf der Seite Status der Oracle Sicherheitsbeurteilungen.

Oracle Security Evaluation-Blogs konzentrieren sich hauptsächlich auf staatliche Zertifizierungen, Validierungen und Akkreditierungsprogramme:

  1. Common Criteria und die Zukunft der Sicherheitsbeurteilungen (Mary Ann Davidson)
  2. Verbesserung der Geschwindigkeit von Produktbewertungen (Joshua Brickman)
  3. FIPS: „Catch 22“ der Kryptografie (Joshua Brickman)

Bei Fragen zu den Sicherheitsbeurteilungen von Oracle senden Sie eine E-Mail an seceval_us@oracle.com.

Sicherheitsvorteile von Bewertungen

Unabhängige Überprüfung Die Bewertung von Produktsicherheitsansprüchen stammt von akkreditierten Evaluierungsstellen, die durch staatliche Systeme zertifiziert sind
Standardsicherheitsmaßnahmen Die Bewertung von Produktsicherheitsansprüchen stammt von akkreditierten Evaluierungsstellen, die durch staatliche Systeme zertifiziert sind
Produktverbesserungen Sicherheitsbeurteilungen können zu Verbesserungen des allgemeinen Designs und zur Implementierung von Sicherheitsfunktionen bei den zertifizierten Lösungen führen
Identifikation von Schwachstellen in der Architektur Sicherheitsbewertungen können Schwachstellen in der Architektur aufdecken