Linee guida, convalide e certificazioni di sicurezza del prodotto per iOS

• Moduli crittografici 9.0 FIPS Apple per ARM
• Dispositivi compatibili con iOS 12
• Guida al ruolo di Crypto Officer 9.0 per la conformità FIPS 140-2 di ARM (PDF)
• N. 3433: modulo CoreCrypto 9.0 Apple per ARM 
  • Certificato
  • Politica sulla sicurezza (PDF)
  • Riferimenti CMVP
• N. 3438: modulo CoreCrypto Kernel 9.0 Apple per ARM
  • Certificato
  • Politica sulla sicurezza (PDF)
  • Riferimenti CMVP

Convalida correlata (modulo in corso di elaborazione)

• Moduli crittografici 8.0 FIPS Apple
• Dispositivi compatibili con iOS
• Guida al ruolo di Crypto Officer per la conformità FIPS 140-2 di ARM (PDF)
• CoreCrypto n. 3148: certificato del modulo e politica sulla sicurezza
• CoreCrypto Kernel n. 3147: certificato del modulo e politica sulla sicurezza

Convalida correlata

Le versioni precedenti di iOS offrivano convalide dei moduli crittografici e ora sono archiviate:

• iOS 10
• iOS 9
• iOS 8
• iOS 7

BSI (Germania)
Guida di sicurezza di base per iOS (Grundschutz iOS)
Guida all'implementazione di iOS (Umsetzungshinweise iOS)

Regno Unito (NCSC)
Guida EUD per iOS e macOS

DISA, NIST, NSA (Stati Uniti)
Guida di implementazione tecnica di sicurezza per Apple iOS 12
SCAP-on-Apple
CIS: iOS

ASD (Australia)
Guida all'hardening di iOS
Guida all'hardening di iOS (PDF)
Guida all'hardening di iOS (iBook)

GCSB (Nuova Zelanda)
Guida all'hardening di iOS
Guida all'hardening di iOS (PDF)
Guida all'hardening di iOS (iBook)

Apple ha ottenuto le certificazioni ISO 27001 e ISO 27018 per l'implementazione di un sistema di gestione della sicurezza delle informazioni (ISMS) per l'infrastruttura, lo sviluppo e le operazioni che supportano i seguenti prodotti e servizi: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple gestiti, Siri e Schoolwork, in conformità alla Dichiarazione di applicabilità 2.2 del 5 novembre 2018. La conformità di Apple agli standard ISO è stata certificata dal British Standards Institution. Sul sito web del BSI sono disponibili i certificati di conformità ISO 27001 e ISO 27018.

L'obiettivo, come dichiarato dalla community Common Criteria, è quello di disporre di una serie di standard di sicurezza approvati a livello internazionale per fornire una valutazione chiara e affidabile delle capacità di sicurezza dei prodotti informatici. Fornendo una valutazione indipendente della capacità di un prodotto di soddisfare gli standard di sicurezza, la certificazione Common Criteria aumenta la fiducia dei clienti nella sicurezza dei prodotti informatici consentendo loro di prendere decisioni più informate.

Il CCRA (Common Criteria Recognition Arrangement) è un accordo di mutuo riconoscimento delle certificazioni dei prodotti informatici sottoscritto da diversi Paesi e aree geografiche. I Paesi aderenti aumentano di anno in anno, così come il livello di dettaglio e ampiezza dei profili di protezione per estendere la protezione alle tecnologie emergenti. Questo accordo consente a uno sviluppatore di prodotti di ottenere un'unica certificazione in base a uno degli Schemi di autorizzazione.

I profili di protezione (PP) precedenti sono stati archiviati ed è iniziata la loro sostituzione con profili di protezione mirati, dedicati a soluzioni e ambienti specifici. Con un impegno concertato al fine di assicurare il continuo riconoscimento reciproco tra tutti i membri CCRA, la comunità tecnica internazionale (iTC) continua a orientare tutti i futuri sviluppi e aggiornamenti verso l'adozione dei profili di protezione collaborativi (cPP), sviluppati sin dal principio sulla base di più schemi.

Apple ha iniziato a certificare i prodotti in base al nuovo orientamento dei Common Criteria per specifici profili di protezione all'inizio del 2015. Le certificazioni ottenute da Apple riconosciute, attive e completate sono elencate di seguito. 

iOS 12

iOS 11

Versioni precedenti

In generale, ogni 12-18 mesi vengono pubblicati aggiornamenti importanti alle versioni dei profili di protezione da parte della community Common Criteria, al fine di aggiungere o aggiornare i requisiti funzionali di sicurezza (SFR).

Nel portale dei Common Criteria è disponibile l'elenco completo dei profili di protezione (PP) e dei profili di protezione collaborativi (cPP) con le relative date di validità. Puoi anche individuarli nei diversi Schemi, ad esempio il NIAP (National Information Assurance Partnership) è lo Schema degli Stati Uniti.

Come sintetizzato nella pagina EPL - Evaluated Products List:

L'Australian Signals Directorate (ASD) mantiene l'elenco Evaluated Products List (EPL) dei prodotti di sicurezza ICT valutati dall'ASD per l'uso da parte delle agenzie governative in Australia e Nuova Zelanda.

• I prodotti presenti nell'elenco EPL sono certificati per scopi specifici.
• I prodotti presenti nell'elenco EPL possono essere utilizzati per creare reti e sistemi sicuri come descritto nell'Australian Government Information Security Manual (ISM).
• I prodotti sono certificati rispetto ai Common Criteria (CC) della normativa internazionale ISO 15408. Sul portale dei Common Criteria sono elencati altri prodotti con certificazione riconosciuta reciprocamente che possono essere utilizzati.
• L'ufficio di certificazione ASD, Australasian Certification Authority, sovrintende all'Australasian Information Security Evaluation Program (AISEP) che gestisce l'esecuzione dei test sui prodotti da parte di strutture di valutazione commerciale autorizzate.
• L'EPL elenca anche le valutazioni crittografiche ASD.

Prodotto: iOS 9
Tipo di prodotto: prodotti mobili
Stato del prodotto: completato
Livello di sicurezza: valutato dall'ASD
Versione: 9.3.5 o successiva
Guida alla configurazione della sicurezza

Come sintetizzato nella pagina Commercial Product Assurance (CPA) - prodotti Foundation Grade dell'NCSC:

CPA valuta i prodotti commerciali disponibili sul mercato e i relativi sviluppatori rispetto agli standard di sicurezza e sviluppo pubblicati. Un prodotto di sicurezza valutato in maniera positiva viene insignito con la certificazione Foundation Grade. Ciò significa che il prodotto ha dimostrato di possedere caratteristiche di sicurezza commerciale idonee e di essere adatto ad ambienti con un grado di rischio inferiore.

• La certificazione CPA ha una validità di 2 anni e consente l'aggiornamento dei prodotti per la durata della certificazione, quando sono richiesti aggiornamenti e in caso di vulnerabilità. 
• La certificazione CPA è accettata dal catalogo NATO e riconosciuta come una delle valutazioni necessarie per il catalogo UE.
• La certificazione Foundation Grade viene ulteriormente spiegata dall'NCSC.

Come indicato nella pagina sulla comunicazione mobile:

Panoramica

Con i numerosi vantaggi che offrono nella vita professionale e privata, smartphone e tablet sono diventati nostri compagni inseparabili in ogni situazione quotidiana. Nel caso di informazioni riservate, tuttavia, l'uso di tecnologie informatiche e di comunicazione mobili avviene spesso a discapito della sicurezza.

Le soluzioni sicure di comunicazione mobile per l'utilizzo nell'amministrazione federale devono sempre porsi l'obiettivo di soddisfare sia i requisiti di un mondo del lavoro moderno e mobile, sia gli elevati requisiti di sicurezza derivanti dall'elaborazione di dati sensibili.

Al fine di garantire la sicurezza dell'approvvigionamento per l'amministrazione federale, è altrettanto importante trovare diversi fornitori. Maggiori dettagli sono forniti nella brochure “Secure mobile work: problem definition, technical requirements and solutions based on the requirements for mobile devices in the federal administration” (Lavoro sicuro in mobilità: definizione dei problemi, requisiti tecnici e soluzioni basate sui requisiti per i dispositivi mobili nell'amministrazione federale).

SecurePIM Government SDS

Sistema operativo: iOS

Approvazione fino a VS-NfD

Produttore: virtual solution AG

Dispositivi iOS più recenti (iPhone, iPad dalla versione iOS ≥ 12)

Come indicato nella pagina dedicata a Commercial Solutions for Classified:

Sempre più spesso, i clienti della pubblica amministrazione statunitense chiedono l'impiego immediato delle più recenti tecnologie hardware e software nell'ambito dei sistemi di sicurezza nazionale (NSS) per raggiungere i loro obiettivi di missione. Per questo motivo l'IAD (il servizio incaricato della sicurezza delle informazioni) dell'NSA/CSS (National Security Agency/Central Security Service) sta sviluppando nuovi metodi per sfruttare le tecnologie emergenti al fine di fornire soluzioni di sicurezza delle informazioni più veloci, adatte alle esigenze in evoluzione dei clienti.

Il programma Commercial Solutions for Classified (CSfC) dell'NSA/CSS è stato istituito per consentire l'uso dei prodotti commerciali in soluzioni a più livelli che proteggono i dati NSS riservati. Ciò permetterà di comunicare in modo sicuro sulla base di standard commerciali con una soluzione che può essere sviluppata in mesi, non anni.

Un numero crescente di ambienti che gestiscono informazioni riservate desidera utilizzare le soluzioni Apple, ma non può farlo per motivi di certificazione dei prodotti. Grazie all'impegno di Apple per ottenere le certificazioni Common Criteria per i profili di protezione indicati in precedenza, i prodotti Apple sono presenti nell'elenco dei componenti del CSfC.

Man mano che vengono avviate le certificazioni Common Criteria aggiuntive dei prodotti Apple per ciascuno dei profili di protezione correlati, viene inviata la richiesta di inserimento dei componenti Apple corrispondenti nell'elenco dei componenti del CSfC e i prodotti vengono aggiunti di seguito.

Elenco componenti CSfC

Un numero crescente di pubbliche amministrazioni ha richiesto l'inserimento dei prodotti Apple nei propri programmi simili a CPA, EPL e CSfC. Gli incaricati di tali programmi che desiderano includere i prodotti Apple nel loro elenco di prodotti equivalente possono contattarci all'indirizzo security-certifications@apple.com.