Beveiligingsevaluatie

Overzicht

Oracle demonstreert haar leiderschapspositie en inzet voor productveiligheid door externe veiligheidsevaluaties en certificeringen uit te voeren. Deze evaluaties omvatten grondige tests door onafhankelijk geaccrediteerde laboratoria. Externe evaluaties en validaties bieden extra zekerheid bij de beveiliging van onze IT-producten. Wereldwijd zijn deze certificeringen vaak verplicht voor overheidsopdrachten en deze zorgen voor een acceptabel niveau van vertrouwen voor IT-kopers; of ze nu overheid, militair of commercieel zijn.

Er zijn twee belangrijke componenten van wereldwijde IT-beveiligingsevaluaties; de criteria en methodologie waartegen de evaluaties worden uitgevoerd, en de overheidssystemen die deze besturen. Hoewel de criteria hetzelfde zijn, ongeacht het land waarin u werkt, worden er verschillende beleidsregels afgedwongen. Op dit moment draagt Oracle actief bij aan twee internationaal erkende criteria voor beveiligingsevaluatie:

1. Common Criteria (CC) is de enige internationale richtlijn (ISO/IEC 15408) die een gemeenschappelijke aanpak definieert voor het evalueren van de beveiligingsfuncties en mogelijkheden van IT-producten. CC is afgeleid van drie andere nationale beveiligingsnormen en is in de loop der jaren geëvolueerd om de beveiligingstrends en producttechnologie bij te houden. Op het moment van schrijven erkennen 30 landen de richtlijn en 18 van die landen, inclusief de VS, zijn bevoegd om certificaten af te geven. Een Common Criteria-gecertificeerd product is een product dat volgens een geautoriseerd overheidsprogramma voldoet aan een evaluatie door een erkend en onafhankelijk evaluatielaboratorium.

2. De Federal Information Processing Standard (FIPS) 140-2 is een cryptografische norm ontwikkeld door het National Institute of Standards and Technology (NIST) in de VS voor de bescherming van gevoelige maar niet-geclassificeerde data. Modules die zijn gevalideerd als conform FIPS 140-2 worden geaccepteerd voor aanschaf door federale agentschappen in zowel de VS als Canada. Deze certificering bevestigt dat de cryptografische functionaliteit is getest door een onafhankelijk laboratorium en is gevalideerd door de overheid tegen de vereisten van de norm. De FIPS 140-2-vereisten zijn overgenomen door industrieën zoals de financiële sector (Payment Card Industry (PCI)), gezondheidszorg (Health Insurance Portability and Accountability Act (HIPAA)), Government Cloud (FedRAMP) en US Military (Joint Interoperability Command (JITC)) en Commercial Solutions for Classified (CSfC)).

Zie voor meer informatie de website van beveiligingsevaluaties. Voor een volledige lijst met Oracle-beveiligingsevaluaties die op dit moment worden uitgevoerd en die al zijn voltooid, gaat u naar de pagina Status Oracle-beveiligingsevaluaties.

Oracle-beveiligingsevaluatieblogs zijn voornamelijk gericht op overheidscertificeringen, validaties en accreditatieprogramma's:

  1. Common Criteria en de toekomst van beveiligingsevaluaties (Mary Ann Davidson)
  2. De snelheid van productevaluaties verbeteren (Joshua Brickman)
  3. FIPS: De crypto "Catch 22" (Joshua Brickman)

Stuur een e-mail naar seceval_us@oracle.com voor alle vragen over Oracle-beveiligingsevaluaties.

Beveiligingsvoordelen van evaluaties

Onafhankelijke verificatie Evaluatie van productbeveiligingsclaims komt van geaccrediteerde evaluatiefaciliteiten die zijn gecertificeerd door overheidsregelingen
Standaard betrouwbaarheidsmetingen Evaluatie van productbeveiligingsclaims komt van geaccrediteerde evaluatiefaciliteiten die zijn gecertificeerd door overheidsregelingen
Verbetering van producten Beveiligingsevaluaties kunnen leiden tot verbeteringen en het ontwerp en de implementatie van beveiliging in de gecertificeerde oplossingen
Zwakke plekken in de architectuur aanwijzen Beveiligingsevaluaties kunnen leiden tot het identificeren van zwakke plekken in de architectuur