Linee guida, convalide e certificazioni di sicurezza del prodotto per iOS

Apple si sta occupando della convalida dei moduli CoreCrypto 9.0 utilizzati in iOS 12 (che sarà disponibile nel corso dell'anno).

• Moduli crittografici 8.0 FIPS Apple
• Dispositivi compatibili con iOS
• Guida al ruolo di Crypto Officer per la conformità FIPS 140-2 di ARM (PDF)
• CoreCrypto n. 3148: certificato del modulo e politica sulla sicurezza
• CoreCrypto Kernel n. 3147: certificato del modulo e politica sulla sicurezza

• Certificato 3223: modulo crittografico Apple SEP Secure Key Store 1.0

• Moduli crittografici 7.0 Apple convalidati FIPS per iOS
• Dispositivi compatibili con iOS
• Guida al ruolo di Crypto Officer per la conformità FIPS 140-2 di iOS 10 (PDF)
• CoreCrypto n. 2827: certificato del modulo n. 2827 e politica sulla sicurezza (PDF)
• CoreCrypto Kernel n. 2828: certificato del modulo n. 2828 e politica sulla sicurezza (PDF)

• Moduli crittografici Apple 6.0 convalidati FIPS per iOS
• Dispositivi compatibili
• Guida al ruolo di Crypto Officer per la conformità FIPS 140-2 di iOS 9 (PDF)
• CoreCrypto n. 2594: certificato del modulo n. 2594 e politica sulla sicurezza (PDF)
• CoreCrypto Kernel n. 2609: Certificato del modulo n. 2609 e politica sulla sicurezza (PDF)

Le versioni precedenti di iOS offrivano convalide dei moduli crittografici e ora sono archiviate:

• iOS 8
• iOS 7

BSI (Germania)
Consigli per la configurazione

Regno Unito (NCSC)
Guida alla sicurezza EUD: iOS 11

DISA, NIST, NSA (Stati Uniti)
iOS 10 ISCG Apple
SCAP-on-Apple
CIS: Center for Internet Security

ASD (Australia)
Guida all'hardening di iOS
Guida all'hardening di iOS (PDF)
Guida all'hardening di iOS (iBook)

GCSB (Nuova Zelanda)
Guida all'hardening di iOS
Guida all'hardening di iOS (PDF)
Guida all'hardening di iOS (iBook)

 

Apple ha ottenuto le certificazioni ISO 27001 e ISO 27018 per il sistema di gestione della sicurezza delle informazioni per l'infrastruttura, lo sviluppo e le operazioni che supportano i seguenti prodotti e servizi: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple gestiti, Siri e Schoolwork, in conformità alla Dichiarazione di applicabilità 2.1 dell'11 luglio 2017. La conformità di Apple agli standard ISO è stata certificata dal British Standards Institution (BSI). Sul sito web del BSI sono disponibili i certificati di conformità ISO 27001 e ISO 27018.

L'obiettivo, come dichiarato dalla community Common Criteria, è quello di disporre di una serie di standard di sicurezza approvati a livello internazionale per fornire una valutazione chiara e affidabile delle capacità di sicurezza dei prodotti informatici. Fornendo una valutazione indipendente della capacità di un prodotto di soddisfare gli standard di sicurezza, la certificazione Common Criteria aumenta la fiducia dei clienti nella sicurezza dei prodotti informatici consentendo loro di prendere decisioni più informate.

Il CCRA (Common Criteria Recognition Arrangement) è un accordo di mutuo riconoscimento delle certificazioni dei prodotti informatici sottoscritto da diversi Paesi. I Paesi aderenti aumentano di anno in anno, così come il livello di dettaglio e ampiezza dei profili di protezione per estendere la protezione alle tecnologie emergenti. Questo accordo consente a uno sviluppatore di prodotti di ottenere un'unica certificazione in base a uno degli Schemi di autorizzazione.

I profili di protezione (PP) precedenti sono stati archiviati ed è iniziata la loro sostituzione con profili di protezione mirati, dedicati a soluzioni e ambienti specifici. Con un impegno concertato al fine di assicurare il continuo riconoscimento reciproco tra tutti i membri CCRA, la comunità tecnica internazionale (iTC) continua a orientare tutti i futuri sviluppi e aggiornamenti verso l'adozione dei profili di protezione collaborativi (cPP), sviluppati sin dal principio sulla base di più schemi.

Apple ha iniziato a certificare i prodotti in base al nuovo orientamento dei Common Criteria per specifici profili di protezione all'inizio del 2015. Le certificazioni ottenute da Apple riconosciute, attive e completate sono elencate di seguito. 

Come sintetizzato nella pagina EPL - Evaluated Products List:

L'Australian Signals Directorate (ASD) mantiene l'elenco Evaluated Products List (EPL) dei prodotti di sicurezza ICT valutati dall'ASD per l'uso da parte delle agenzie governative in Australia e Nuova Zelanda.

• I prodotti presenti nell'elenco EPL sono certificati per scopi specifici.
• I prodotti presenti nell'elenco EPL possono essere utilizzati per creare reti e sistemi sicuri come descritto nell'Australian Government Information Security Manual (ISM).
• I prodotti sono certificati rispetto ai Common Criteria (CC) della normativa internazionale ISO 15408. Sul portale dei Common Criteria sono elencati altri prodotti con certificazione riconosciuta reciprocamente che possono essere utilizzati.
• L'ufficio di certificazione ASD, Australasian Certification Authority, sovrintende all'Australasian Information Security Evaluation Program (AISEP) che amministra l'esecuzione dei test sui prodotti da parte di strutture di valutazione commerciale autorizzate.
• L'EPL elenca anche le valutazioni crittografiche ASD.

Prodotto: iOS 9
Tipo di prodotto: prodotti mobili
Stato del prodotto: completato
Livello di sicurezza: valutato dall'ASD
Versione: 9.3.5 o successiva
Guida: PDF

Come sintetizzato nella pagina Commercial Product Assurance (CPA) - prodotti Foundation Grade dell'NCSC:

CPA valuta i prodotti commerciali disponibili sul mercato e i relativi sviluppatori rispetto agli standard di sicurezza e sviluppo pubblicati. Un prodotto di sicurezza valutato in maniera positiva viene insignito con la certificazione Foundation Grade. Ciò significa che il prodotto ha dimostrato di possedere caratteristiche di sicurezza commerciale idonee e di essere adatto ad ambienti con un grado di rischio inferiore.

• La certificazione CPA ha una validità di 2 anni e consente l'aggiornamento dei prodotti per la durata della certificazione, quando sono richiesti aggiornamenti e in caso di vulnerabilità. 
• La certificazione CPA è accettata dal catalogo NATO e riconosciuta come una delle valutazioni necessarie per il catalogo UE.
• La certificazione Foundation Grade viene ulteriormente spiegata dall'NCSC.

Come indicato nella pagina del Commercial Solutions for Classified Program:

Sempre più spesso, i clienti della pubblica amministrazione statunitense chiedono l'impiego immediato delle più recenti tecnologie hardware e software nell'ambito dei sistemi di sicurezza nazionale (NSS) per raggiungere i loro obiettivi di missione. Per questo motivo l'IAD (il servizio incaricato della sicurezza delle informazioni) dell'NSA/CSS (National Security Agency/Central Security Service) sta sviluppando nuovi metodi per sfruttare le tecnologie emergenti al fine di fornire soluzioni di sicurezza delle informazioni più veloci, adatte alle esigenze in evoluzione dei clienti.

Il programma Commercial Solutions for Classified (CSfC) dell'NSA/CSS è stato istituito per consentire l'uso dei prodotti commerciali in soluzioni a più livelli che proteggono i dati NSS riservati. Ciò permetterà di comunicare in modo sicuro sulla base di standard commerciali con una soluzione che può essere sviluppata in mesi, non anni.

Un numero crescente di ambienti che gestiscono informazioni riservate desidera utilizzare le soluzioni Apple, ma non può farlo per motivi di certificazione dei prodotti. Grazie all'impegno di Apple per ottenere le certificazioni Common Criteria per i profili di protezione indicati in precedenza, i prodotti Apple sono presenti nell'elenco dei componenti del CSfC.

Man mano che vengono avviate le certificazioni Common Criteria aggiuntive dei prodotti Apple per ciascuno dei profili di protezione correlati, viene inviata la richiesta di inserimento dei componenti Apple corrispondenti nell'elenco dei componenti del CSfC e i prodotti vengono aggiunti di seguito.