Evaluarea securităţii

Prezentare generală

Pentru a demonstra în continuare poziţia de lider a companiei Oracle şi angajamentul asumat privind securitatea produselor, sunt efectuate în mod sistematic evaluări şi certificări externe ale securităţii. Aceste evaluări implică testări riguroase efectuate de laboratoare acreditate în mod independent. Evaluările externe şi validările oferă o asigurare suplimentară în ceea ce priveşte securitatea produselor noastre IT. La nivel global, aceste certificări sunt adesea obligatorii pentru achiziţiile publice şi stabilesc un nivel acceptabil de încredere al cumpărătorilor de produse IT, indiferent dacă aceştia sunt organizaţii guvernamentale, militare sau comerciale.

Există două componente importante ale evaluărilor globale de securitate IT: criteriile şi metodologia în raport cu care se efectuează evaluările şi sistemele care le guvernează. Deşi criteriile sunt identice indiferent de ţara în care lucraţi, în cadrul sistemelor sunt aplicate politici diferite. În prezent, compania Oracle participă activ la două criterii de evaluare a securităţii recunoscute pe plan internaţional:

1. Criteriile Comune (CC) reprezintă unicul cadru internaţional (ISO/IEC 15408) care defineşte o abordare comună pentru evaluarea caracteristicilor de securitate şi a funcţionalităţilor produselor IT. Având la bază alte trei standarde naţionale de securitate, CC a evoluat de-a lungul anilor pentru a ţine pasul cu tendinţele de securitate şi tehnologia produselor. În acest sens, 30 de ţări recunosc acest cadru, în timp ce 18 dintre acestea, inclusiv S.U.A. sunt autorizate să emită certificate. Un produs certificat CC este unul despre care un sistem guvernamental autorizat afirmă că a trecut printr-o evaluare efectuată de un laborator autorizat şi independent.

2. Federal Information Processing Standard (FIPS) 140-2 este un standard de criptare elaborat de National Institute of Standards and Technology (NIST) din S.U.A. pentru protecţia datelor sensibile, dar neclasificate. Modulele validate ca fiind conforme cu FIPS 140-2 sunt acceptate pentru achiziţii de către agenţiile federale din S.U.A. şi Canada. Această certificare confirmă faptul că funcţionalitatea de criptare a fost testată de un laborator independent şi validată de sistemul guvernamental în raport cu cerinţele standardului. Cerinţele FIPS 140-2 au fost adoptate de domenii cum ar fi financiar, (Payment Card Industry (PCI)), sănătate (Health Insurance Portability and Accountability Act (HIPAA)), Government Cloud (FedRAMP) şi de armata S.U.A. (Joint Interoperability Command (JITC) şi Commercial Solutions for Classified (CSfC)).

Pentru informaţii suplimentare, consultaţi site-ul web Security Evaluations. Pentru lista completă a evaluărilor de securitate în curs de finalizare sau finalizate de la Oracle, accesaţi pagina Oracle Security Evaluations Status.

Blogurile de evaluare a securităţii Oracle se axează în principal pe certificările, validările şi programele de acreditare guvernamentale:

  1. Criteriile comune şi viitorul evaluărilor de securitate (Mary Ann Davidson)
  2. Îmbunătăţirea vitezei de evaluare a produselor (Joshua Brickman)
  3. FIPS: Criptarea „Catch 22” (Joshua Brickman)

Pentru orice întrebări privind evaluările de securitate Oracle, trimiteţi un e-mail la seceval_us@oracle.com.

Avantajele de securitate ale evaluărilor

Verificare independentă Cererile de evaluare a securităţii produselor provin de la instituţii de evaluare acreditate care sunt certificate de sisteme guvernamentale
Măsuri standard de asigurare Cererile de evaluare a securităţii produselor provin de la instituţii de evaluare acreditate care sunt certificate de sisteme guvernamentale
Îmbunătăţiri ale produselor Evaluarea securităţii poate duce la îmbunătăţirea generală a designului şi implementării securităţii pentru soluţiile certificate
Identificarea vulnerabilităţilor arhitecturale Evaluările de securitate pot duce la identificarea vulnerabilităţilor arhitecturale
Mai multe informaţii