Zulässige Nutzung und Oracle Mitarbeiter

Oracle hat formelle Anforderungen für die Nutzung des Oracle Unternehmensnetzwerks, der Computersysteme, Telefoniesysteme, Messaging-Technologien, des Internetzugangs, der Unternehmensdaten, Kundendaten und anderer Unternehmensressourcen, die Oracle Mitarbeitern, Auftragnehmern und Besuchern zur Verfügung stehen.

Allgemeine Sicherheitsgrundsätze für die Kommunikation

Die Kommunikation zum und vom Oracle Unternehmensnetzwerk muss über Netzwerksicherheitsgeräte an der Netzwerkgrenze erfolgen. Der Zugriff auf das Unternehmensnetzwerk von Oracle durch Dritte bedarf der vorherigen Genehmigung. Remote-Verbindungen zum Oracle Unternehmensnetzwerk dürfen ausschließlich über zugelassene VPN-Lösungen (Virtual Private Network) hergestellt werden. Weitere Informationen zu den Netzwerkmanagementpraktiken von Oracle finden Sie unter Sicherheit der Netzwerkkommunikation.

Zugriffskontrolle

Die Betriebsabläufe sind in Funktionsgruppen organisiert, wobei jede Funktion von separaten Mitarbeitergruppen ausgeführt wird. Beispiele für Funktionsgruppen sind Entwickler, Datenbankadministratoren, Systemadministratoren und Netzwerktechniker. Weitere Informationen zu Oracle Access Controls.

Sicherheitslückenmanagement

Oracle verfügt über formelle Anforderungen zur Identifizierung, Analyse und Behebung technischer Sicherheitslücken, die sich auf unsere Unternehmenssysteme und Ihre Oracle Cloud Services-Umgebung auswirken können.

Die IT-, Sicherheits- und Entwicklungsteams von Oracle sind verpflichtet, relevante Hersteller- und Branchenmitteilungen, einschließlich der eigenen Sicherheitshinweise von Oracle, zu überwachen, um relevante Sicherheitspatches zu identifizieren und zu bewerten. Darüber hinaus verlangt Oracle, dass regelmäßig Schwachstellen-Scans mit automatisierten Scansystemen für die von ihm verwalteten internen und externen Systeme durchgeführt werden. Cloud-Service-Umgebungen werden je nach Systemrisikostufe Penetrationstests unterzogen.

Die strategische Priorität von Oracle beim Umgang mit entdeckten Schwachstellen in Oracle Cloud besteht darin, diese Probleme entsprechend ihrer Schwere und den potenziellen Auswirkungen auf die Oracle Cloud Services zu beheben. Der Basiswert des Common Vulnerability Scoring System (CVSS) ist eines der Kriterien, die zur Bewertung der relativen Schwere von Schwachstellen herangezogen werden. Oracle verlangt, dass identifizierte Sicherheitslücken in einem Fehlerverfolgungssystem erfasst und nachverfolgt werden.

Oracle ist bestrebt, die Maßnahmen zur Behebung von Problemen mit Cloud-Services, einschließlich Tests, Implementierung und Neustart/Neuprovisionierung (falls erforderlich), innerhalb der geplanten Wartungsfenster abzuschließen. Es können jedoch zusätzliche Sicherheitswartungsarbeiten außerhalb der geplanten Wartungsfenster durchgeführt werden, wie in den Oracle Cloud Hosting and Delivery Policies und gegebenenfalls in der zugehörigen Pillar-Dokumentation beschrieben.

Oracle Software Security Assurance ist die Methodik von Oracle zur Integration von Sicherheit in die Entwicklung, den Aufbau, das Testen und die Wartung seiner Produkte, unabhängig davon, ob diese vor Ort beim Kunden eingesetzt oder über Oracle Cloud bereitgestellt werden.

Kunden und Sicherheitsforscher können vermutete Sicherheitslücken an Oracle melden, wie auf der Seite So melden Sie Sicherheitslücken an Oracle beschrieben oder indem sie eine Serviceanfrage in ihrem dafür vorgesehenen Supportsystem einreichen.

In der Customer Security Testing Policy von Oracle werden die Sicherheitstests (z.B. Penetrationstests, Schwachstellenscans) beschrieben, die von Oracle Kunden für ihre Oracle On-Premises-Produkte und Oracle Cloud Services durchgeführt werden können.

Überwachung und Schutz von Audit-Protokollinformationen

Oracle verlangt, dass Systeminhaber Protokolle für bestimmte sicherheitsrelevante Aktivitäten auf Betriebssystemen, Anwendungen, Datenbanken und Netzwerkgeräten erfassen und aufbewahren. Es sind Systeme erforderlich, um den Zugriff auf Oracle Systeme und -Anwendungen zu protokollieren und Systemwarnungen, Konsolenmeldungen und Systemfehler aufzuzeichnen. Oracle implementiert Kontrollen zum Schutz vor Betriebsproblemen, darunter das Erreichen der Kapazitätsgrenze von Log-Dateien, das Ausbleiben der Aufzeichnung von Ereignissen und/oder das Überschreiben von Logs.

Die Richtlinien von Oracle verlangen, dass die Geschäftsbereiche Protokolle zu Zwecken der Untersuchung von Sicherheitsvorfällen und der forensischen Analyse überwachen. Identifizierte anomale Aktivitäten müssen in die Sicherheitsereignis-Managementprozesse für den Geschäftsbereich, der für dieses System verantwortlich ist, einfließen. Der Zugriff auf Sicherheitsprotokolle erfolgt nach dem Prinzip der Kenntnis nur bei Bedarf und mit geringstmöglichen Berechtigungen. Soweit möglich, werden Logdateien zusätzlich zu anderen Sicherheitskontrollen durch starke Verschlüsselung geschützt und der Zugriff wird überwacht. Protokolle, die von Systemen mit Internetzugang erstellt werden, müssen auf Systeme ohne Internetzugang verschoben werden.

Bestandsmanagement

Die Oracle Richtlinie zur Bestandsaufnahme von Informationssystemen verlangt eine genaue Bestandsaufnahme aller Informationssysteme und Geräte, auf denen Informationsressourcen gespeichert sind, während ihres gesamten Lebenszyklus mithilfe eines vom Unternehmen genehmigten Bestandsaufnahmesystems. Diese Richtlinie definiert die erforderlichen Identifizierungsmerkmale, die für Server-Hardware, Software, auf Informationssystemen gespeicherte Daten und Informationen, die für Disaster Recovery und Geschäftskontinuität erforderlich sind, erfasst werden müssen.

Kommunikationstechnologie

Oracle IT verwaltet Unternehmenslösungen für die Zusammenarbeit und Kommunikation innerhalb von Oracle und mit externen Parteien. Die Richtlinien von Oracle verlangen, dass Mitarbeiter bei der Verarbeitung vertraulicher Informationen diese genehmigten Unternehmens-Tools verwenden. Jede dieser Lösungen nutzt präventive und detektive Sicherheitskontrollen wie Anti-Malware- und Antiviren-Technologien.

Oracle hat Richtlinien für den sicheren Austausch von Informationen mit Lieferanten und anderen Dritten definiert.

Akquisen

Unternehmen, die von Oracle übernommen werden, müssen sich im Rahmen des Integrationsprozesses an diese Sicherheitspraktiken anpassen. Die Dauer und das Ergebnis jedes Aspekts des Integrationsprozesses hängen von der Größe, Komplexität, früheren vertraglichen Verpflichtungen und regulatorischen Anforderungen ab, die für die Produkte, Dienstleistungen, Mitarbeiter und Geschäftstätigkeiten des übernommenen Unternehmens gelten.