Convalide dei moduli crittografici
Tutti i certificati Apple di convalida della conformità FIPS 140-2 sono disponibili nella pagina dei fornitori CMVP. Apple si impegna attivamente nella convalida dei moduli CoreCrypto e CoreCrypto Kernel per ogni versione principale di iOS. La convalida può essere eseguita solo rispetto alla versione finale del modulo e viene formalmente inviata con la versione pubblica del sistema operativo. CMVP ora conserva lo stato di convalida dei moduli crittografici in due elenchi separati, a seconda dello stato corrente. Inizialmente i moduli sono disponibili nell'elenco Implementation Under Test List (Implementazione sottoposta a test), poi vengono trasferiti nell'elenco Modules in Process List (Moduli in corso di elaborazione).
iOS 12
- Moduli crittografici 9.0 Apple convalidati FIPS per ARM
- Dispositivi compatibili con iOS 12
- Guida al ruolo di Crypto Officer 9.0 per la conformità FIPS 140-2 di ARM (PDF)
- N. 3433: modulo CoreCrypto 9.0 Apple per ARM
- N. 3438: modulo CoreCrypto Kernel 9.0 Apple per ARM
Convalida correlata (modulo in corso di elaborazione)
iOS 11
Convalida correlata
Versioni precedenti
Le versioni precedenti di iOS offrivano convalide dei moduli crittografici e ora sono archiviate:
- iOS 10
- iOS 9
- iOS 8
- iOS 7
Guide alla configurazione per la sicurezza
Le organizzazioni orientate alla sicurezza forniscono linee guida ben definite e approvate sulle modalità di configurazione delle varie piattaforme per l'utilizzo consentito. Le guide alla configurazione per la sicurezza offrono una panoramica delle funzioni di macOS e iOS che puoi utilizzare per proteggere al meglio il sistema secondo un processo noto come "hardening del dispositivo". La collaborazione tra Apple e le pubbliche amministrazioni di tutto il mondo ha portato allo sviluppo di linee guida volte a fornire istruzioni e consigli per il mantenimento di un ambiente più sicuro.
Tali guide si rivolgono soprattutto ad amministratori di sistema o utenti esperti, abituati a usare l'interfaccia utente o che abbiano una conoscenza approfondita degli strumenti di gestione per la piattaforma di destinazione. Per poter utilizzare queste guide è importante conoscere le nozioni di base del networking. Alcune istruzioni sono infatti complesse e una mancata comprensione potrebbe portare a risultati controproducenti o ridurre il livello di sicurezza. Verifica attentamente le eventuali modifiche apportate alle impostazioni del dispositivo prima di distribuirle.
Per ulteriori informazioni, consulta la guida Sicurezza iOS (PDF).
BSI (Germania)
Guida di sicurezza di base per iOS (Grundschutz iOS)
Guida all'implementazione di iOS (Umsetzungshinweise iOS)
Regno Unito (NCSC)
Guida EUD per iOS e macOS
DISA, NIST, NSA (Stati Uniti)
Guida di implementazione tecnica di sicurezza per Apple iOS 12
SCAP-on-Apple
CIS: Center for Internet Security
CIS iOS
ASD (Australia)
Guida all'hardening di iOS
Guida all'hardening di iOS (PDF)
Guida all'hardening di iOS (iBook)
GCSB (Nuova Zelanda)
Guida all'hardening di iOS
Guida all'hardening di iOS (PDF)
Guida all'hardening di iOS (iBook)
Certificazioni di sicurezza
Elenco delle certificazioni ottenute da Apple riconosciute, attive e completate.
Certificazione ISO 27001 e 27018
Apple ha ottenuto le certificazioni ISO 27001 e ISO 27018 per il sistema di gestione della sicurezza delle informazioni per l'infrastruttura, lo sviluppo e le operazioni che supportano i seguenti prodotti e servizi: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple gestiti, Siri e Schoolwork, in conformità alla Dichiarazione di applicabilità 2.1 dell'11 luglio 2017. La conformità di Apple agli standard ISO è stata certificata dal British Standards Institution (BSI). Sul sito web del BSI sono disponibili i certificati di conformità ISO 27001 e ISO 27018.
Certificazione Common Criteria
L'obiettivo, come dichiarato dalla community Common Criteria, è quello di disporre di una serie di standard di sicurezza approvati a livello internazionale per fornire una valutazione chiara e affidabile delle capacità di sicurezza dei prodotti informatici. Fornendo una valutazione indipendente della capacità di un prodotto di soddisfare gli standard di sicurezza, la certificazione Common Criteria aumenta la fiducia dei clienti nella sicurezza dei prodotti informatici consentendo loro di prendere decisioni più informate.
Il CCRA (Common Criteria Recognition Arrangement) è un accordo di mutuo riconoscimento delle certificazioni dei prodotti informatici sottoscritto in diversi Paesi e aree geografiche. I Paesi aderenti aumentano di anno in anno, così come il livello di dettaglio e ampiezza dei profili di protezione per estendere la protezione alle tecnologie emergenti. Questo accordo consente a uno sviluppatore di prodotti di ottenere un'unica certificazione in base a uno degli Schemi di autorizzazione.
I profili di protezione (PP) precedenti sono stati archiviati ed è iniziata la loro sostituzione con profili di protezione mirati, dedicati a soluzioni e ambienti specifici. Con un impegno concertato al fine di assicurare il continuo riconoscimento reciproco tra tutti i membri CCRA, la comunità tecnica internazionale (iTC) continua a orientare tutti i futuri sviluppi e aggiornamenti verso l'adozione dei profili di protezione collaborativi (cPP), sviluppati sin dal principio sulla base di più schemi.
Apple ha iniziato a certificare i prodotti in base al nuovo orientamento dei Common Criteria per specifici profili di protezione all'inizio del 2015. Le certificazioni ottenute da Apple riconosciute, attive e completate sono elencate di seguito.
iOS 12
Profilo di protezione |
VID |
Completamento |
|
Dispositivo mobile |
Marzo 2019 |
||
Agente MDM |
Marzo 2019 |
||
Agente WLAN |
Marzo 2019 |
||
Client VPN |
Marzo 2019 |
||
Software applicativo (Contatti) |
Febbraio 2019 |
||
Browser (Safari) |
ETA: marzo 2019 |
iOS 11
|
Profilo di protezione |
VID |
Completamento |
Dispositivo mobile |
30 marzo 2018 |
||
Agente MDM |
30 marzo 2018 |
||
Agente WLAN |
30 marzo 2018 |
||
Client VPN |
10 maggio 2018 |
||
Software applicativo (Contatti) |
13 settembre 2018 |
||
Browser (Safari) |
09 novembre 2018 |
Versioni precedenti
Le precedenti versioni di iOS hanno ottenuto certificazioni che ora sono state archiviate:
- iOS 10
- iOS 9
In generale, ogni 12-18 mesi vengono pubblicati aggiornamenti importanti alle versioni dei profili di protezione da parte della community Common Criteria, al fine di aggiungere o aggiornare i requisiti funzionali di sicurezza (SFR).
Nel portale dei Common Criteria è disponibile l'elenco completo dei profili di protezione (PP) e dei profili di protezione collaborativi (cPP) con le relative date di validità. Puoi anche individuarli nei diversi Schemi, ad esempio il NIAP (National Information Assurance Partnership) è lo Schema degli Stati Uniti.
Approvati per l'uso da parte delle pubbliche amministrazioni
Informazioni su Paesi e aree geografiche selezionati che hanno approvato i dispositivi per l'uso da parte delle pubbliche amministrazioni.
Governo australiano
Come sintetizzato nella pagina EPL - Evaluated Products List:
L'Australian Signals Directorate (ASD) mantiene l'elenco Evaluated Products List (EPL) dei prodotti di sicurezza ICT valutati dall'ASD per l'uso da parte delle agenzie governative in Australia e Nuova Zelanda.
- I prodotti presenti nell'elenco EPL sono certificati per scopi specifici.
- I prodotti presenti nell'elenco EPL possono essere utilizzati per creare reti e sistemi sicuri come descritto nell'Australian Government Information Security Manual (ISM).
- I prodotti sono certificati rispetto ai Common Criteria (CC) della normativa internazionale ISO 15408. Sul portale dei Common Criteria sono elencati altri prodotti con certificazione riconosciuta reciprocamente che possono essere utilizzati.
- L'ufficio di certificazione ASD, Australasian Certification Authority, sovrintende all'Australasian Information Security Evaluation Program (AISEP) che gestisce l'esecuzione dei test sui prodotti da parte di strutture di valutazione commerciale autorizzate.
- L'EPL elenca anche le valutazioni crittografiche ASD.
Prodotto: iOS 9
Tipo di prodotto: prodotti mobili
Stato del prodotto: completato
Livello di sicurezza: valutato dall'ASD
Versione: 9.3.5 o successiva
Guida: PDF
Governo del Regno Unito
Come sintetizzato nella pagina Commercial Product Assurance (CPA) - prodotti Foundation Grade dell'NCSC:
CPA valuta i prodotti commerciali disponibili sul mercato e i relativi sviluppatori rispetto agli standard di sicurezza e sviluppo pubblicati. Un prodotto di sicurezza valutato in maniera positiva viene insignito con la certificazione Foundation Grade. Ciò significa che il prodotto ha dimostrato di possedere caratteristiche di sicurezza commerciale idonee e di essere adatto ad ambienti con un grado di rischio inferiore.
- La certificazione CPA ha una validità di 2 anni e consente l'aggiornamento dei prodotti per la durata della certificazione, quando sono richiesti aggiornamenti e in caso di vulnerabilità.
- La certificazione CPA è accettata dal catalogo NATO e riconosciuta come una delle valutazioni necessarie per il catalogo UE.
- La certificazione Foundation Grade viene ulteriormente spiegata dall'NCSC.
Governo tedesco
Come indicato nella pagina sulla comunicazione mobile:
Panoramica
Con i numerosi vantaggi che offrono nella vita professionale e privata, smartphone e tablet sono diventati nostri compagni inseparabili in ogni situazione quotidiana. Nel caso di informazioni riservate, tuttavia, l'uso di tecnologie informatiche e di comunicazione mobili avviene spesso a discapito della sicurezza.
Le soluzioni sicure di comunicazione mobile per l'utilizzo nell'amministrazione federale devono sempre porsi l'obiettivo di soddisfare sia i requisiti di un mondo del lavoro moderno e mobile, sia gli elevati requisiti di sicurezza derivanti dall'elaborazione di dati sensibili.
Al fine di garantire la sicurezza dell'approvvigionamento per l'amministrazione federale, è altrettanto importante trovare diversi fornitori. Maggiori dettagli sono forniti nella brochure “Secure mobile work: problem definition, technical requirements and solutions based on the requirements for mobile devices in the federal administration” (Lavoro sicuro in mobilità: definizione dei problemi, requisiti tecnici e soluzioni basate sui requisiti per i dispositivi mobili nell'amministrazione federale).
SecurePIM Government SDS
Sistema operativo: iOS
Approvazione fino a VS-NfD
Produttore: virtual solution AG
Ultimi dispositivi iOS (iPhone, iPad dalla versione iOS ≥ 12)
Governo degli Stati Uniti
Come indicato nella pagina dedicata a Commercial Solutions for Classified:
Sempre più spesso, i clienti della pubblica amministrazione statunitense chiedono l'impiego immediato delle più recenti tecnologie hardware e software nell'ambito dei sistemi di sicurezza nazionale (NSS) per raggiungere i loro obiettivi di missione. Per questo motivo l'IAD (il servizio incaricato della sicurezza delle informazioni) dell'NSA/CSS (National Security Agency/Central Security Service) sta sviluppando nuovi metodi per sfruttare le tecnologie emergenti al fine di fornire soluzioni di sicurezza delle informazioni più veloci, adatte alle esigenze in evoluzione dei clienti.
Il programma Commercial Solutions for Classified (CSfC) dell'NSA/CSS è stato istituito per consentire l'uso dei prodotti commerciali in soluzioni a più livelli che proteggono i dati NSS riservati. Ciò permetterà di comunicare in modo sicuro sulla base di standard commerciali con una soluzione che può essere sviluppata in mesi, non anni.
Un numero crescente di ambienti che gestiscono informazioni riservate desidera utilizzare le soluzioni Apple, ma non può farlo per motivi di certificazione dei prodotti. Grazie all'impegno di Apple per ottenere le certificazioni Common Criteria per i profili di protezione indicati in precedenza, i prodotti Apple sono presenti nell'elenco dei componenti del CSfC.
Man mano che vengono avviate le certificazioni Common Criteria aggiuntive dei prodotti Apple per ciascuno dei profili di protezione correlati, viene inviata la richiesta di inserimento dei componenti Apple corrispondenti nell'elenco dei componenti del CSfC e i prodotti vengono aggiunti di seguito.
Elenco componenti CSfC
I seguenti prodotti Apple sono idonei all'utilizzo in una soluzione CSfC:
Aggiungere i prodotti Apple all'elenco di prodotti
Un numero crescente di pubbliche amministrazioni ha richiesto l'inserimento dei prodotti Apple nei propri programmi simili a CPA, EPL e CSfC. Gli incaricati di tali programmi che desiderano includere i prodotti Apple nel loro elenco di prodotti equivalente possono contattarci all'indirizzo security-certifications@apple.com.
Altri sistemi operativi
Scopri di più su linee guida, convalide e certificazioni di sicurezza per: