Ocena zabezpieczeń

Omówienie

Aby dodatkowo wykazać wiodącą pozycję firmy Oracle i jej dbałość o zapewnianie bezpieczeństwa produktów, przeprowadzane są zewnętrzne oceny i certyfikacje zabezpieczeń. Oceny te obejmują rygorystyczne testy przeprowadzane przez niezależne akredytowane laboratoria. Zewnętrzne oceny i weryfikacje stanowią dodatkową gwarancję bezpieczeństwa naszych produktów IT. Na całym świecie certyfikaty te są często wymagane w przypadku zamówień rządowych i określają akceptowany poziom zaufania dla kupujących rozwiązania IT w sektorze administracji, wojskowym lub komercyjnym.

Istnieją dwa istotne czynniki globalnych ocen bezpieczeństwa IT: kryteria metody dokonywania ocen oraz schematy administracyjne, które je regulują. Mimo że kryteria są takie same bez względu na kraj, w którym pracujesz, w ramach schematów obowiązują różne zasady. Obecnie Oracle aktywnie uczestniczy w tworzeniu dwóch międzynarodowych standardów oceny zabezpieczeń:

1. Common Criteria (CC) to jedyna międzynarodowa norma (ISO/IEC 15408) definiująca wspólne podejście do oceny funkcji zabezpieczeń infrastruktury IT. Norma CC została opracowana na podstawie trzech innych krajowych norm bezpieczeństwa i przez lata była dostosowywana do najnowszych trendów dotyczących zabezpieczeń i technologii produktów. W momencie powstawania tego dokumentu 30 krajów wykorzystuje tę normę, a 18 z nich, w tym Stany Zjednoczone, ma uprawnienia do wydawania certyfikatów. Produkt z certyfikatem Common Criteria to taki, który zgodnie ze schematem urzędowym uzyskał pozytywną ocenę licencjonowanego i niezależnego laboratorium kontrolnego.

2. Federal Information Processing Standard (FIPS) 140-2 to norma kryptograficzna opracowana przez National Institute of Standards and Technology (NIST) w Stanach Zjednoczonych w celu ochrony danych wrażliwych, ale nie zastrzeżonych. Moduły określone jako zgodne z normą FIPS 140-2 są akceptowane podczas zakupów przez agencje federalne Stanów Zjednoczonych i Kanady. Ten certyfikat stanowi potwierdzenie, że funkcja kryptograficzna została przetestowana przez niezależne laboratorium i zatwierdzona przez schemat administracyjny pod kątem wymagań normy. Wymagania normy FIPS 140-2 zostały przyjęte przez różne branże, na przykład finansową (Payment Card Industry (PCI)), ochrony zdrowia (Health Insurance Portability and Accountability Act (HIPAA)), chmurę administracji publicznej (FedRAMP) i Armię Stanów Zjednoczonych (Joint Interoperability Command (JITC) oraz Commercial Solutions for Classified (CSfC)).

Więcej informacji znajduje się na stronie internetowej Security Evaluations. Kompletną listę aktualnie realizowanych i zakończonych ocen zabezpieczeń Oracle można znaleźć na stronie Oracle Security Evaluations Status.

Blogi Oracle na temat oceny zabezpieczeń dotyczą głównie programów certyfikacji, weryfikacji i akredytacji państwowej:

  1. Common Criteria i przyszłość oceny zabezpieczeń (Mary Ann Davidson)
  2. Skracanie czasu oceny produktów (Joshua Brickman)
  3. FIPS: Kryptograficzny „Paragraf 22” (Joshua Brickman)

Wszelkie pytania dotyczące ocen bezpieczeństwa wykonywanych przez Oracle należy kierować na adres seceval_us@oracle.com.

Korzyści związane z bezpieczeństwem wynikające z oceny

Niezależna weryfikacja Oceny zabezpieczeń produktów dokonywane są przez akredytowane instytucje oceniające, które z kolei są certyfikowane w oparciu o schematy administracyjne
Standardowe metody oceny zgodności Oceny zabezpieczeń produktów dokonywane są przez akredytowane instytucje oceniające, które z kolei są certyfikowane w oparciu o schematy administracyjne
Ulepszenia produktów Oceny zabezpieczeń mogą prowadzić do ogólnych ulepszeń produktu i wdrożenia zabezpieczeń w certyfikowanych rozwiązaniach
Identyfikowanie luk w zabezpieczeniach architektury Analizy systemu zabezpieczeń pozwalają na identyfikację luk w zabezpieczeniach architektury systemu