Die Sicherheitsbeurteilung ist ein Prozess, bei dem unabhängige, akkreditierte Unternehmen die Sicherheit von IT-Produkten und Systemen für kommerzielle, behördliche und militärische Institutionen prüfen. Diese Beurteilungen und die ihnen zugrunde liegenden Kriterien sollen ein Maß für Vertrauenswürdigkeit für IT-Käufer und -Anbieter schaffen. Darüber hinaus lassen sich die Kriterien und Bewertungen der Sicherheitsbeurteilung als einheitliche Angaben für die IT-Sicherheitsanforderungen nutzen. IT-Sicherheitsbeurteilungen umfassen zwei wichtige Elemente: die Kriterien, anhand derer die Beurteilungen vorgenommen werden, und die Pläne oder Methodiken, die festlegen, wie und durch wen solche Bewertungen offiziell durchgeführt werden dürfen.
Die Sicherheitsbeurteilung ist ein Prozess, bei dem unabhängige, akkreditierte Unternehmen die Sicherheit von IT-Produkten und Systemen für kommerzielle, behördliche und militärische Institutionen prüfen. Diese Beurteilungen und die ihnen zugrunde liegenden Kriterien sollen ein akzeptables Maß an Vertrauenswürdigkeit für IT-Käufer und -Anbieter schaffen. Darüber hinaus lassen sich die Kriterien und Bewertungen der Sicherheitsbeurteilung als einheitliche Angaben für die IT-Sicherheitsanforderungen nutzen. IT-Sicherheitsbeurteilungen umfassen zwei wichtige Elemente: die Kriterien, anhand derer die Beurteilungen vorgenommen werden, und die Pläne oder Methodiken, die festlegen, wie und durch wen solche Bewertungen offiziell durchgeführt werden dürfen.
1. Bei den Common Criteria handelt es sich um einen internationalen Standard (ISO/IEC 15408), der einen allgemeinen Ansatz für die Bewertung der Sicherheitsfunktionen von IT-Produkten definiert. Ein Produkt gilt als zertifiziert, wenn eine anerkannte Zertifizierungsstelle das Produkt in einem qualifizierten, akkreditierten und unabhängigen Bewertungslabor, das über Expertise im Bereich der IT-Sicherheit verfügt, entsprechend den Anforderungen der allgemeinen Kriterien und der allgemeinen Methodik für die Bewertung der Sicherheit von Informationstechnologie beurteilt hat.
2. Das Programm FIPS 140-2 wird von den USA und Kanada gemeinsam verwaltet. In den USA wird das Programm im Rahmen des Cryptographic Module Validation Program (CMVP) durch das National Institute of Standards and Technology (Nationales Institut für Standards und Technologie; NIST) verwaltet. In Kanada wird das Programm von der Communications Security Establishment Canada (CSEC) betreut.
Weitere Informationen finden Sie auf der Seite Sicherheitsbeurteilungen im Oracle Technology Network. Eine Matrix aller Sicherheitsbeurteilungen von Oracle, die aktuell durchgeführt werden oder bereits abgeschlossen sind, finden Sie unter Status der Oracle Sicherheitsbeurteilungen.
Bei Fragen zu den Sicherheitsbeurteilungen von Oracle senden Sie eine E-Mail an seceval_us@oracle.com.
| Unabhängige Überprüfung | Sicherheitsbeurteilungen von Angaben zur Produktsicherheit von akkreditierten Beurteilungsstellen. |
| Standardmäßige und unabhängige Bewertungen von Zusicherungen | Die Sicherheitszusicherungen jedes Anbieters werden anhand standardmäßiger Bewertungen von Zusicherungen überprüft. |
| Produktverbesserungen | Sicherheitsbeurteilungen können zu Verbesserungen des allgemeinen Designs und zur Implementierung von Sicherheitsfunktionen bei den zertifizierten Lösungen führen. |
| Identifikation von Schwachstellen in der Architektur | Sicherheitsbewertungen können Schwachstellen in der Architektur aufdecken. |