Πιστοποιήσεις, επικυρώσεις και καθοδήγηση ασφάλειας προϊόντων για το iOS

Το άρθρο αυτό περιέχει αναφορές σε κύριες πιστοποιήσεις προϊόντων, επικυρώσεις κρυπτογράφησης και καθοδήγηση ασφάλειας για πλατφόρμες iOS. Αν έχετε ερωτήσεις, επικοινωνήστε μαζί μας στη διεύθυνση security-certifications@apple.com.

Επικυρώσεις μονάδων κρυπτογράφησης

Όλα τα Πιστοποιητικά επικύρωσης συμμόρφωσης κατά FIPS 140-2 της Apple βρίσκονται στη σελίδα προμηθευτών CMVP. Η Apple δραστηριοποιείται ενεργά στην επικύρωση των μονάδων CoreCrypto και CoreCrypto Kernel για κάθε κύρια έκδοση του iOS. Η επικύρωση μπορεί να εκτελεστεί μόνο σε μια τελική έκδοση κυκλοφορίας της μονάδας και να υποβληθεί επισήμως με τη δημόσια κυκλοφορία του λειτουργικού συστήματος. Τώρα, το CMVP διατηρεί την κατάσταση επικύρωσης των μονάδων κρυπτογράφησης σε δύο ξεχωριστές λίστες, ανάλογα με την τρέχουσα κατάστασή τους. Οι μονάδες ξεκινούν από τον κατάλογο Implementation Under Test List (Κατάλογος υλοποίησης υπό δοκιμή) και, κατόπιν, καταχωρούνται στον κατάλογο Modules in Process List (Κατάλογος μονάδων σε επεξεργασία).

iOS 12

Η Apple συμμετέχει ενεργά στην επικύρωση των μονάδων CoreCrypto v9.0 που χρησιμοποιούνται στο iOS 12 το οποίο θα κυκλοφορήσει αργότερα φέτος.

Προηγούμενες εκδόσεις

Αυτές οι προηγούμενες εκδόσεις του iOS είχαν επικυρώσεις μονάδων κρυπτογράφησης και έχουν πλέον αρχειοθετηθεί:

  • iOS 8
  • iOS 7

Οδηγοί διαμόρφωσης ασφάλειας

Οι οργανισμοί με υψηλές απαιτήσεις ασφάλειας παρέχουν πλήρως καθορισμένη και προσεκτικά ελεγμένη καθοδήγηση σχετικά με τον τρόπο διαμόρφωσης σε διάφορες πλατφόρμες με σκοπό την αποδεκτή χρήση. Οι Οδηγοί διαμόρφωσης ασφάλειας παρέχουν μια επισκόπηση λειτουργιών στο macOS και το iOS τις οποίες μπορείτε να χρησιμοποιήσετε για να βελτιώσετε την προστασία. Οι ενέργειες αυτές είναι γνωστές ως «ενίσχυση της συσκευής σας». Πολλές κυβερνήσεις σε όλον τον κόσμο έχουν συνεργαστεί με την Apple και έχουν αναπτύξει οδηγούς σχεδιασμένους για την παροχή οδηγιών και συστάσεων σχετικά με τη διατήρηση ενός ασφαλέστερου περιβάλλοντος. 

Για να χρησιμοποιήσετε αυτούς τους οδηγούς, θα πρέπει να είστε έμπειροι χρήστες ή διαχειριστές συστήματος, να είστε εξοικειωμένοι με το περιβάλλον εργασίας και να έχετε ορισμένες πρακτικές γνώσεις των εργαλείων διαχείρισης για την πλατφόρμα προορισμού. Είναι χρήσιμο να είστε εξοικειωμένοι με βασικές έννοιες δικτύων. Ορισμένες οδηγίες στους οδηγούς είναι περίπλοκες και η παρέκκλιση από αυτές θα μπορούσε να έχει ανεπιθύμητα αποτελέσματα ή να επιφέρει μειωμένη προστασία. Δοκιμάστε διεξοδικά κάθε αλλαγή που κάνετε στις ρυθμίσεις της συσκευής σας πριν από την ανάπτυξη.

Μάθετε περισσότερα στον iOS Security Guide (Οδηγός ασφάλειας iOS) (PDF).

Πιστοποιήσεις ασφαλείας

Κατάλογος με τις δημόσια αναγνωρισμένες, ενεργές και ολοκληρωμένες πιστοποιήσεις της Apple.

Πιστοποιήσεις ISO 27001 και 27018

Η Apple έχει λάβει τις πιστοποιήσεις ISO 27001 και ISO 27018 για το Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών αναφορικά με την υποδομή, την ανάπτυξη και τις λειτουργίες που υποστηρίζουν τα ακόλουθα προϊόντα και τις υπηρεσίες: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Διαχειριζόμενα Apple ID, Siri και Εργασίες σύμφωνα με το έγγραφο Statement of Applicability v2.1 με ημερομηνία 11/7/2017. Η συμμόρφωση της Apple με τα πρότυπα ISO πιστοποιήθηκε από το British Standards Institution. Ο ιστότοπος του BSI διαθέτει τα πιστοποιητικά συμμόρφωσης για τις πιστοποιήσεις ISO 27001 και ISO 27018.

Πιστοποίηση κοινών κριτηρίων (Common Criteria)

Ο στόχος, όπως αναφέρει η κοινότητα Common Criteria, είναι ένα διεθνώς εγκεκριμένο σύνολο προτύπων ασφάλειας που θα παρέχουν σαφή και αξιόπιστη αξιολόγηση των δυνατοτήτων ασφάλειας των προϊόντων πληροφορικής. Με την παροχή μιας ανεξάρτητης αξιολόγησης της δυνατότητας ενός προϊόντος να ανταποκρίνεται στα πρότυπα ασφάλειας, η Πιστοποίηση κοινών κριτηρίων (Common Criteria) κάνει τους πελάτες να εμπιστεύονται περισσότερο την ασφάλεια των προϊόντων πληροφορικής και οδηγεί σε πιο ενημερωμένες αποφάσεις.

Μέσω μιας Διευθέτησης αναγνώρισης κοινών κριτηρίων (Common Criteria Recognition Arrangement, CCRA), χώρες-μέλη συμφώνησαν να αναγνωρίζουν την πιστοποίηση των προϊόντων πληροφορικής με τον ίδιο βαθμό εμπιστοσύνης. Ο αριθμός των μελών, καθώς και το βάθος και το εύρος των Προφίλ προστασίας εξακολουθούν να αυξάνονται κάθε χρόνο, για να ανταποκριθούν στη συνεχώς αναπτυσσόμενη τεχνολογία. Αυτή η συμφωνία επιτρέπει σε έναν προγραμματιστή προϊόντων να επιδιώξει μία μοναδική πιστοποίηση στο πλαίσιο ενός από τα Προγράμματα εξουσιοδότησης.

Τα προηγούμενα Προφίλ προστασίας (Protection Profiles, PP) αρχειοθετήθηκαν και έχουν αρχίσει να αντικαθίστανται με την ανάπτυξη στοχευμένων Προφίλ προστασίας τα οποία εστιάζουν σε συγκεκριμένες λύσεις και περιβάλλοντα. Σε μια συντονισμένη προσπάθεια να εξασφαλιστεί η συνεχόμενη αμοιβαία αναγνώριση από όλα τα μέλη της CCRA, η Διεθνής τεχνική κοινότητα (International Technical Community, iTC) εξακολουθεί να οδηγεί την ανάπτυξη και τις ενημερώσεις όλων των μελλοντικών PP προς τα Συνεργατικά προφίλ προστασίας (Collaborative Protection Profiles, cPP) τα οποία αναπτύσσονται εξαρχής με συμμετοχή πολλών προγραμμάτων.

Η Apple άρχισε να επιδιώκει πιστοποιήσεις στο πλαίσιο αυτής της νέας διάρθρωσης των κοινών κριτηρίων με επιλεγμένα PP από τις αρχές του 2015. Οι δημόσια αναγνωρισμένες, ενεργές και ολοκληρωμένες πιστοποιήσεις της Apple αναφέρονται παρακάτω. 

iOS 11

 

Προφίλ προστασίας

VID

Ολοκλήρωση

Κινητή συσκευή

PP_MD_v3.1

10851

30/03/2018

Παράγοντας MDM

EP_MDM_Agent_v3.0

10851

30/03/2018

Παράγοντας WLAN

PP_WLAN_CLI_EP_v1.0

10851

30/03/2018

Υπολογιστής-πελάτης VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10/05/2018

Λογισμό εφαρμογής (Επαφές)

PP_APP_v1.2

10915

ETA:08.2018

Πρόγραμμα περιήγησης (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:08.2018

Προηγούμενες εκδόσεις

Οι προηγούμενες εκδόσεις του iOS διέθεταν πιστοποιήσεις οι οποίες έχουν πλέον αρχειοθετηθεί:

  • iOS 10
  • iOS 9

Οι δημοσιευμένες κύριες ενημερώσεις έκδοσης των Προφίλ προστασίας από την κοινότητα Common Criteria γενικά ακολουθούν έναν ρυθμό 12-18 μηνών με πρόσθετες ή ενημερωμένες Λειτουργικές απαιτήσεις ασφάλειας (Security Functional Requirements, SFR).

Στην Πύλη της κοινότητας Common Criteria μπορείτε να βρείτε πλήρεις λίστες των Προφίλ προστασίας (PP), των Συνεργατικών προφίλ προστασίας (cPP), μαζί με τις ημερομηνίες ισχύος τους. Μπορείτε επίσης να τα εντοπίσετε στο Πρόγραμμα της επιλογής σας, όπως αυτό της Εθνικής Συμμαχίας Ασφάλειας Πληροφοριών (National Information Assurance Partnership, NIAP) που είναι το πρόγραμμα των ΗΠΑ.

Εγκεκριμένες συσκευές για χρήση από κυβερνητικούς οργανισμούς

Πληροφορίες από συγκεκριμένες χώρες που έχουν εγκρίνει συσκευές για χρήση από κυβερνητικούς οργανισμούς.

Κυβέρνηση της Αυστραλίας


Σε σύνοψη από τη σελίδα Κατάλογος αξιολογημένων προϊόντων (EPL):

Η Διεύθυνση Σημάτων Αυστραλίας (Australian Signals Directorate - ASD) διατηρεί έναν Κατάλογο αξιολογημένων προϊόντων (Evaluated Products List - EPL) των προϊόντων ασφαλείας ICT, τα οποία έχουν εγκριθεί από την ASD για χρήση από κυβερνητικούς οργανισμούς της Αυστραλίας και της Νέας Ζηλανδίας.

  • Τα προϊόντα του καταλόγου EPL είναι πιστοποιημένα για συγκεκριμένες χρήσεις.
  • Τα προϊόντα του καταλόγου EPL μπορούν να χρησιμοποιηθούν για τη δημιουργία ασφαλών συστημάτων και δικτύων, σύμφωνα με τις επιταγές του Εγχειριδίου ασφαλείας πληροφοριών (Information Security Manual - ISM) της κυβέρνησης της Αυστραλίας.
  • Τα προϊόντα είναι πιστοποιημένα βάσει των διεθνώς αναγνωρισμένων κοινών κριτηρίων (Common Criteria (CC)) του προτύπου ISO 15408. Στη διαδικτυακή πύλη CC αναφέρονται κι άλλα προϊόντα με αμοιβαία αναγνωρισμένη πιστοποίηση που μπορούν να χρησιμοποιηθούν επίσης.
  • Το γραφείο πιστοποιήσεων της ASD, η Αρχή Πιστοποίησης Αυστραλασίας (Australasian Certification Authority), επιβλέπει το Πρόγραμμα αξιολόγησης ασφάλειας πληροφοριών (Australasian Information Security Evaluation Program (AISEP)), στα πλαίσια του οποίου διεξάγονται δοκιμές προϊόντων από αδειοδοτημένες ιδιωτικές εγκαταστάσεις αξιολόγησης.
  • Στον κατάλογο EPL περιλαμβάνονται επίσης οι Αξιολογήσεις κρυπτογράφησης (Cryptographic Evaluations) της ASD.

Προϊόν: iOS 9
Τύπος προϊόντος: Κινητές συσκευές
Κατάσταση προϊόντος: Ολοκληρώθηκε
Επίπεδο αξιοπιστίας: Αξιολογήθηκε από την ASD
Έκδοση: 9.3.5 ή νεότερη
Οδηγός: PDF

Κυβέρνηση Ηνωμένου Βασιλείου


Σε σύνοψη από τη σελίδα Commercial Product Assurance - προϊόντα θεμελιώδους επιπέδου ασφάλειας του NCSC:

H Commercial Product Assurance (CPA) αξιολογεί τα προϊόντα εμπορίου και τους δημιουργούς τους βάσει δημοσιευμένων προτύπων ασφάλειας και ανάπτυξης. Τα προϊόντα ασφαλείας που περνούν με επιτυχία τη διαδικασία αξιολόγησης λαμβάνουν την πιστοποίηση Foundation Grade (θεμελιώδες επίπεδο ασφάλειας). Αυτό σημαίνει ότι το προϊόν εφαρμόζει αποδεδειγμένα ορθές πρακτικές ασφαλείας και είναι κατάλληλο για χρήση σε περιβάλλοντα με χαμηλό βαθμό κινδύνου.

  • Η πιστοποίηση CPA ισχύει για 2 χρόνια και επιτρέπει στα προϊόντα να ενημερώνονται κατά τη διάρκεια της πιστοποίησης, καθώς ανακαλύπτονται ευπάθειες και απαιτούνται ενημερώσεις. 
  • Η πιστοποίηση CPA αναγνωρίζεται από τον κατάλογο του NATO και θεωρείται μία από τις προαπαιτούμενες αξιολογήσεις για τον κατάλογο της Ευρωπαϊκής Ένωσης.
  • Το θεμελιώδες επίπεδο ασφάλειας εξηγείται περαιτέρω από το NCSC.

Κυβέρνηση των Η.Π.Α.


Όπως αναφέρεται στη σελίδα Commercial Solutions for Classified:

Οι πελάτες που ανήκουν στην κυβέρνηση των ΗΠΑ απαιτούν, όλο και περισσότερο, άμεση χρήση των πιο σύγχρονων τεχνολογιών εμπορικού υλικού και λογισμικού της αγοράς στο πλαίσιο των Συστημάτων εθνικής ασφάλειας (National Security Systems, NSS) για την επίτευξη των στόχων της αποστολής τους. Συνεπώς, η Διεύθυνση Ασφάλειας Πληροφοριών (Information Assurance Directorate, IAD) της Υπηρεσίας Εθνικής Ασφάλειας/Κεντρικής Υπηρεσίας Ασφάλειας (National Security Agency/Central Security Service, NSA/CSS) αναπτύσσει νέους τρόπους αξιοποίησης των τεχνολογιών που προκύπτουν για την παροχή πιο έγκαιρων λύσεων ασφάλειας πληροφοριών για τις ραγδαία εξελισσόμενες απαιτήσεις των πελατών.

Το πρόγραμμα Εμπορικών λύσεων για απόρρητες πληροφορίες (CSfC) της NSA/CSS δημιουργήθηκε για να προσφέρει τη δυνατότητα σε εμπορικά προϊόντα να χρησιμοποιούνται σε πολυεπίπεδες λύσεις για την προστασία απόρρητων δεδομένων των NSS. Αυτό θα καταστήσει δυνατή την ασφαλή επικοινωνία με βάση τα εμπορικά πρότυπα σε μια λύση που θα μπορεί να τεθεί σε εφαρμογή σε μήνες και όχι σε χρόνια.

Ολοένα περισσότερα διαβαθμισμένα περιβάλλοντα επιθυμούν την εγκατάσταση λύσεων της Apple, αλλά δεν έχουν τη δυνατότητα για λόγους πιστοποίησης προϊόντων. Η επιδίωξη της Apple για Πιστοποιήσεις κοινών κριτηρίων αντί για τα Προφίλ προστασίας που αναφέρθηκαν παραπάνω, επιτρέπει πλέον στα προϊόντα της Apple να περιλαμβάνονται και να διατίθενται στον Κατάλογο στοιχείων του προγράμματος CSfC.

Μόλις τεθούν σε ισχύ οι πρόσθετες Πιστοποιήσεις κοινών κριτηρίων των προϊόντων της Apple στη θέση κάθε ενός από τα σχετικά προφίλ προστασίας, τα αντίστοιχα στοιχεία της Apple θα υποβληθούν για αποδοχή στον Κατάλογο στοιχείων του CSfC και θα προστεθούν στον παρακάτω πίνακα.

Κατάλογος στοιχείων του CSfC

Τα ακόλουθα προϊόντα πληρούν τις προϋποθέσεις χρήσης σε μια λύση CSfC:

Προσθέστε προϊόντα της Apple στον Κατάλογο προϊόντων σας

Ολοένα περισσότεροι κυβερνητικοί οργανισμοί ζητούν την υποβολή των προϊόντων της Apple για πιστοποίηση βάσει προγραμμάτων παρόμοιων με τα CPA, EPL και CSfC. Αν είστε εξουσιοδοτημένος αντιπρόσωπος του κρατικού προγράμματος λύσεων της χώρας σας και ενδιαφέρεστε να συμπεριλάβετε τα προϊόντα της Apple στον αντίστοιχο Κατάλογο προϊόντων σας, επικοινωνήστε μαζί μας στη διεύθυνση security-certifications@apple.com.

Άλλα λειτουργικά συστήματα

Μάθετε περισσότερα σχετικά με την ασφάλεια, τις επικυρώσεις και την καθοδήγηση ασφάλειας προϊόντων για τα εξής:

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: