Hodnocení zabezpečení

Přehled

Abychom ještě názorněji předvedli vedoucí postavení a závazek společnosti Oracle v oblasti bezpečnosti produktů, provádíme externí hodnocení zabezpečení a certifikace. Tato hodnocení zahrnují přísné testování prováděné nezávislými akreditovanými laboratořemi. Externí hodnocení a ověřování poskytují další záruku bezpečnosti našich IT produktů. Globálně jsou tyto certifikace často povinné v případě zakázek pro veřejnou správu a nastavují přijatelnou úroveň důvěryhodnosti pro nákupčí IT – z oblasti veřejné správy, armády nebo obchodu.

Existují dvě důležité složky globálního hodnocení bezpečnosti IT. Kritéria a metodika, na jejichž základě se hodnocení provádí, a veřejné systémy, kterými se tato hodnocení řídí. I když jsou kritéria stejná bez ohledu na zemi, ve které pracujete, jsou v rámci jednotlivých systémů se prosazují různé zásady. Společnost Oracle se v současnosti podílí na dvou mezinárodně uznávaných kritériích hodnocení zabezpečení:

1. Společným kritériem (CC) je pouze mezinárodní rámec (ISO/IEC 15408), který definuje společný přístup k hodnocení bezpečnostních funkcí a vlastností IT produktů. Společná kritéria, která vycházejí ze tří dalších národních bezpečnostních norem, se v průběhu let vyvíjela, aby udržela krok s bezpečnostními trendy a technologiemi produktů. V době psaní tohoto dokumentu tento rámec uznává 30 zemí, zatímco 18 z nich včetně USA je oprávněno vydávat certifikáty. Produkt s certifikací CC (Společná kritéria) je produktem, o kterém oprávněný veřejný systém prohlašuje, že prošel hodnocením v oprávněné a nezávislé hodnotící laboratoři.

2. Norma FIPS (Federální standard pro zpracování informací) 140-2 je šifrovací normou vytvořenou ústavem NIST (National Institute of Standards and Technology) v USA pro ochranu citlivých, ale nikoli tajných údajů. Moduly ověřené jako vyhovující normě FIPS 140-2 jsou přijímány při zásobování federálních úřadů v USA i Kanadě. Tato certifikace potvrzuje, že šifrovací funkce byla otestována nezávislou laboratoří a ověřena veřejným systémem podle požadavků této normy. Požadavky normy FIPS 140-2 byly přijaty průmyslovými odvětvími, jako jsou finančnictví, (odvětví platebních karet (PCI)), zdravotnictví (zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)), vládní cloud (FedRAMP) a americká armáda (Joint Interoperability Command (JITC) a komerční řešení pro klasifikované (CSfC)).

Více informací naleznete na webové stránce Hodnocení zabezpečení. Úplný seznam probíhajících i dokončených hodnocení zabezpečení společnosti Oracle naleznete na stránce Stav hodnocení zabezpečení společnosti Oracle.

Blogy společnosti Oracle zaměřené na zabezpečení se zabývají především na státními certifikacemi, hodnoceními a akreditační programy:

  1. Společná kritéria a budoucnost hodnocení zabezpečení (Mary Ann Davidson)
  2. Zlepšení rychlosti hodnocení produktů (Joshua Brickman)
  3. FIPS: Krypto „Catch 22“ (Joshua Brickman)

Veškeré dotazy týkající se hodnocení zabezpečení společnosti Oracle zasílejte na adresu seceval_us@oracle.com.

Bezpečnostní výhody hodnocení

Nezávislé ověření Hodnocení nároků na zabezpečení produktů pochází od akreditovaných hodnotících zařízení, která jsou certifikována prostřednictvím veřejných systémů.
Standardní metriky Hodnocení nároků na zabezpečení produktů pochází od akreditovaných hodnotících zařízení, která jsou certifikována prostřednictvím veřejných systémů.
Vylepšení produktů Hodnocení zabezpečení mohou vést ke zlepšení celkového návrhu a implementace zabezpečení v certifikovaných řešeních.
Identifikace zranitelností v architektuře Hodnocení zabezpečení mohou odhalit zranitelnosti v architektuře.