Güvenlik Değerlendirmesi

Genel Görünüm

Oracle’ın lider konumunu ve ürün güvenliğine bağlılığını daha iyi göstermek için dış güvenlik değerlendirmeleri ve sertifikalandırmaları yapılmaktadır. Bu değerlendirmelerde onaylanmış bağımsız laboratuarlar tarafından sıkı testler gerçekleştirilir. Dış değerlendirmeler ve onaylamalar, BT ürünlerimizin güvenliğinde ek güvence sağlar. Küresel ölçekte bu sertifikalar genellikle devlet alımları için zorunludur ve sivil devlet kurumlarının yanı sıra askeri ve ticari kurumlardaki BT alıcıları için kabul edilebilir bir güven düzeyi oluşturur.

Küresel BT güvenlik değerlendirmelerinin iki önemli bileşeni vardır: Değerlendirmelerin yapıldığı kriterler ve metodoloji ile bunları yöneten hükümet programları. Kriterler, çalıştığınız ülke ne olursa olsun aynı olsa da, farklı programlarda farklı politikalar uygulanmaktadır. Bugün itibarıyla Oracle, uluslararası düzeyde kabul edilen iki güvenlik değerlendirmesi kriterine aktif katılmaktadır:

1. Genel Kriterler (CC), BT ürünlerinin güvenlik özelliklerinin ve yeteneklerinin değerlendirilmesine ilişkin genel bir yaklaşım tanımlayan tek uluslararası çerçevedir (ISO/IEC 15408). Diğer üç ulusal güvenlik standardından hareketle hazırlanan CC, güvenlik trendlerine ve ürün teknolojisine ayak uydurmak için yıllar içinde gelişti. Bu yazının yayınlandığı gün itibarıyla 30 ülke çerçeveyi tanımaktadır. ABD dahil olmak üzere bu ülkelerin 18'i, sertifika vermeye yetkilidir. Bir ürünün Genel Kriterler sertifikasına sahip olması, lisanslı ve bağımsız bir değerlendirme laboratuvarında değerlendirmeden geçtiği ve yetkili bir hükümet programının bunu tescil ettiği anlamına gelir.

2. Federal Bilgi İşleme Standardı (FIPS) 140-2, hassas ancak gizli olarak sınıflandırılmamış verilerin korunması için ABD'deki Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından geliştirilen bir şifreleme standardıdır. FIPS 140-2'ye uygun olduğu doğrulanan modüller, ABD ve Kanada'da Federal Kurumların satın alımı için kabul edilmiştir. Bu sertifika, kriptografik işlevin bağımsız bir laboratuvar tarafından test edildiğini ve hükümet programı tarafından standardın şartlarına uygunluğunun onaylandığını doğrular. FIPS 140-2 gereksinimleri Finans, (Ödeme Kartı Endüstrisi (PCI)), Sağlık (Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirliği Yasası (HIPAA)), Devlete Ait Bulut (FedRAMP) ve ABD Ordusu (Ortak Operasyon Komutanlığı (JITC) ve Gizli Bilgiler İçin Ticaret Çözümleri (CSfC)) gibi alanlarda kabul görmüştür.

Daha fazla bilgi için, Güvenlik Değerlendirmeleri web sitesini inceleyin. Devam etmekte olan ve tamamlanmış Oracle güvenlik değerlendirmelerinin tam listesi için lütfen Oracle Güvenlik Değerlendirmeleri Durum sayfasına gidin.

Oracle Güvenlik değerlendirme blogları çoğunlukla devlet sertifikalarına, onaylamalarına ve akreditasyon programlarına odaklanmaktadır:

  1. Genel Kriterler ve Güvenlik Değerlendirmelerinin Geleceği (Mary Ann Davidson)
  2. Ürün Değerlendirme Hızını Artırma (Joshua Brickman)
  3. FIPS: Kripto "Catch 22" (Joshua Brickman)

Oracle güvenlik değerlendirmeleri hakkındaki tüm sorular için lütfen seceval_us@oracle.com adresine e-posta gönderin.

Değerlendirmelerin Güvenlik Avantajları

Bağımsız doğrulama Ürün güvenliği iddiaları, hükümet programları tarafından onaylanmış akredite değerlendirme tesislerinde değerlendirilir.
Standart güvence önlemleri Ürün güvenliği iddiaları, hükümet programları tarafından onaylanmış akredite değerlendirme tesislerinde değerlendirilir.
Ürün geliştirmeleri Güvenlik değerlendirmeleri, sertifikalı çözümlerin genel tasarım ve güvenlik uygulamalarında iyileştirmeler yapılmasını sağlayabilir
Mimari açıkların tanımlanması Güvenlik değerlendirmeleri, mimarideki açıkların tanımlanmasını sağlayabilir