Abychom ještě názorněji předvedli vedoucí postavení a závazek společnosti Oracle v oblasti bezpečnosti produktů, provádíme externí hodnocení zabezpečení a certifikace. Tato hodnocení zahrnují přísné testování prováděné nezávislými akreditovanými laboratořemi. Externí hodnocení a ověřování poskytují další záruku bezpečnosti našich IT produktů. Globálně jsou tyto certifikace často povinné v případě zakázek pro veřejnou správu a nastavují přijatelnou úroveň důvěryhodnosti pro nákupčí IT – z oblasti veřejné správy, armády nebo obchodu.
Existují dvě důležité složky globálního hodnocení bezpečnosti IT. Kritéria a metodika, na jejichž základě se hodnocení provádí, a veřejné systémy, kterými se tato hodnocení řídí. I když jsou kritéria stejná bez ohledu na zemi, ve které pracujete, jsou v rámci jednotlivých systémů se prosazují různé zásady. Společnost Oracle se v současnosti podílí na dvou mezinárodně uznávaných kritériích hodnocení zabezpečení:
1. Společným kritériem (CC) je pouze mezinárodní rámec (ISO/IEC 15408), který definuje společný přístup k hodnocení bezpečnostních funkcí a vlastností IT produktů. Společná kritéria, která vycházejí ze tří dalších národních bezpečnostních norem, se v průběhu let vyvíjela, aby udržela krok s bezpečnostními trendy a technologiemi produktů. V době psaní tohoto dokumentu tento rámec uznává 30 zemí, zatímco 18 z nich včetně USA je oprávněno vydávat certifikáty. Produkt s certifikací CC (Společná kritéria) je produktem, o kterém oprávněný veřejný systém prohlašuje, že prošel hodnocením v oprávněné a nezávislé hodnotící laboratoři.
2. Norma FIPS (Federální standard pro zpracování informací) 140-2 je šifrovací normou vytvořenou ústavem NIST (National Institute of Standards and Technology) v USA pro ochranu citlivých, ale nikoli tajných údajů. Moduly ověřené jako vyhovující normě FIPS 140-2 jsou přijímány při zásobování federálních úřadů v USA i Kanadě. Tato certifikace potvrzuje, že šifrovací funkce byla otestována nezávislou laboratoří a ověřena veřejným systémem podle požadavků této normy. Požadavky normy FIPS 140-2 byly přijaty průmyslovými odvětvími, jako jsou finančnictví, (odvětví platebních karet (PCI)), zdravotnictví (zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA)), vládní cloud (FedRAMP) a americká armáda (Joint Interoperability Command (JITC) a komerční řešení pro klasifikované (CSfC)).
Více informací naleznete na webové stránce Hodnocení zabezpečení. Úplný seznam probíhajících i dokončených hodnocení zabezpečení společnosti Oracle naleznete na stránce Stav hodnocení zabezpečení společnosti Oracle.
Blogy společnosti Oracle zaměřené na zabezpečení se zabývají především na státními certifikacemi, hodnoceními a akreditační programy:
Veškeré dotazy týkající se hodnocení zabezpečení společnosti Oracle zasílejte na adresu seceval_us@oracle.com.
| Nezávislé ověření | Hodnocení nároků na zabezpečení produktů pochází od akreditovaných hodnotících zařízení, která jsou certifikována prostřednictvím veřejných systémů. |
| Standardní metriky | Hodnocení nároků na zabezpečení produktů pochází od akreditovaných hodnotících zařízení, která jsou certifikována prostřednictvím veřejných systémů. |
| Vylepšení produktů | Hodnocení zabezpečení mohou vést ke zlepšení celkového návrhu a implementace zabezpečení v certifikovaných řešeních. |
| Identifikace zranitelností v architektuře | Hodnocení zabezpečení mohou odhalit zranitelnosti v architektuře. |