Valutazione della sicurezza

Panoramica

Per dimostrare ulteriormente la posizione di leadership Oracle e l'impegno per la sicurezza del prodotto, vengono eseguite valutazioni di sicurezza esterne e certificazioni. Queste valutazioni richiedono test rigorosi da parte di laboratori accreditati in modo indipendente. Le valutazioni e le convalide esterne forniscono ulteriore garanzia sulla sicurezza dei nostri prodotti IT. A livello globale, queste certificazioni sono spesso obbligatorie per gli appalti pubblici e stabiliscono un livello accettabile di fiducia per gli acquirenti IT, sia governativi, militari o commerciali.

Esistono due componenti importanti delle valutazioni di sicurezza IT globali; i criteri e la metodologia con cui vengono eseguite le valutazioni e gli schemi governativi che li governano. Sebbene i criteri siano gli stessi indipendentemente dal paese in cui si lavora, vengono applicate politiche diverse tra i vari schemi. Al momento, Oracle partecipa attivamente a due criteri di valutazione della sicurezza riconosciuti a livello internazionale:

1. Common Criteria (CC) è il solo quadro internazionale (ISO/IEC 15408) che stabilisce un approccio comune per valutare le caratteristiche e le funzionalità di sicurezza dei prodotti IT. Derivante da altri tre standard di sicurezza nazionali, CC si è evoluto nel corso degli anni per tenere il passo con le tendenze della sicurezza e la tecnologia dei prodotti. Al momento in cui scriviamo, 30 paesi riconoscono questo quadro, mentre 18 di questi paesi, compresi gli Stati Uniti, sono autorizzati a rilasciare certificati. Un prodotto certificato Common Criteria è un prodotto che, in base a uno schema governativo autorizzato, ha superato una valutazione da parte di un laboratorio di valutazione indipendente e autorizzato.

2. Il Federal Information Processing Standard (FIPS) 140-2 è uno standard crittografico sviluppato dal National Institute of Standards and Technology (NIST) negli Stati Uniti per la protezione di dati sensibili ma non classificati. I moduli convalidati come conformi a FIPS 140-2 sono accettati per l'approvvigionamento da parte delle agenzie federali sia negli Stati Uniti sia in Canada. Questa certificazione conferma che la funzionalità crittografica è stata testata da un laboratorio indipendente e convalidata dallo schema governativo in base ai requisiti dello standard. I requisiti FIPS 140-2 sono stati adottati da settori quali Financial, (Payment Card Industry (PCI)), Health (Health Insurance Portability and Accountability Act (HIPAA)), Government Cloud (FedRAMP), US Military (Joint Interoperability Command (JITC) e Commercial Solutions for Classified (CSfC)).

Per ulteriori informazioni, consultare il sito web Valutazioni di sicurezza. Per un elenco completo delle valutazioni della sicurezza di Oracle attualmente in corso e quelle già completate, consulta la pagina sullo stato delle valutazioni della sicurezza di Oracle.

I blog di valutazione di Oracle Security si concentrano principalmente su certificazioni governative, convalide e programmi di accreditamento:

  1. Criteri comuni e il futuro delle valutazioni di sicurezza (Mary Ann Davidson)
  2. Migliorare la velocità delle valutazioni dei prodotti (Joshua Brickman)
  3. FIPS: The Crypto "Catch 22" (Joshua Brickman)

Per qualsiasi domanda sulle valutazioni della sicurezza di Oracle, invia un'e-mail all'indirizzo seceval_us@oracle.com.

Vantaggi delle valutazioni per la sicurezza

Verifica indipendente La valutazione delle richieste di sicurezza dei prodotti proviene da strutture di valutazione accreditate certificate da schemi governativi
Misure standard di affidabilità La valutazione delle richieste di sicurezza dei prodotti proviene da strutture di valutazione accreditate certificate da schemi governativi
Migliorie dei prodotti Le valutazioni della sicurezza possono determinare miglioramenti nella progettazione e nell'implementazione complessive della sicurezza nelle soluzioni certificate
Individuazione delle vulnerabilità legate all'architettura Le valutazioni della sicurezza possono portare all'individuazione di vulnerabilità nell'architettura
Maggiori informazioni