Linee guida, convalide e certificazioni di sicurezza del prodotto per iOS

In questo articolo sono riportati i riferimenti alle principali linee guida di sicurezza, convalide crittografiche e certificazioni del prodotto per le piattaforme iOS. In caso di domande, contattaci all'indirizzo security-certifications@apple.com.

Convalide dei moduli crittografici

Tutti i certificati Apple di convalida della conformità FIPS 140-2 sono disponibili nella pagina dei fornitori CMVP. Apple si impegna attivamente nella convalida dei moduli CoreCrypto e CoreCrypto Kernel per ogni versione principale di iOS. La convalida può essere eseguita solo rispetto alla versione finale del modulo e viene formalmente inviata con la versione pubblica del sistema operativo. CMVP ora conserva lo stato di convalida dei moduli crittografici in due elenchi separati, a seconda dello stato corrente. Inizialmente i moduli sono disponibili nell'elenco Implementation Under Test List (Implementazione sottoposta a test), poi vengono trasferiti nell'elenco Modules in Process List (Moduli in corso di elaborazione).

iOS 12

Apple si sta occupando della convalida dei moduli CoreCrypto 9.0 utilizzati in iOS 12 (che sarà disponibile nel corso dell'anno).

Versioni precedenti

Le versioni precedenti di iOS offrivano convalide dei moduli crittografici e ora sono archiviate:

  • iOS 8
  • iOS 7

Guide alla configurazione per la sicurezza

Le organizzazioni orientate alla sicurezza forniscono linee guida ben definite e approvate sulle modalità di configurazione delle varie piattaforme per l'utilizzo consentito. Le guide alla configurazione per la sicurezza offrono una panoramica delle funzioni di macOS e iOS che puoi utilizzare per proteggere al meglio il sistema secondo un processo noto come "hardening del dispositivo". La collaborazione tra Apple e le pubbliche amministrazioni di tutto il mondo ha portato allo sviluppo di linee guida volte a fornire istruzioni e consigli per il mantenimento di un ambiente più sicuro. 

Tali guide si rivolgono soprattutto ad amministratori di sistema o utenti esperti, abituati a usare l'interfaccia utente o che abbiano una conoscenza approfondita degli strumenti di gestione per la piattaforma di destinazione. Per poter utilizzare queste guide è importante conoscere le nozioni di base del networking. Alcune istruzioni sono infatti complesse e una mancata comprensione potrebbe portare a risultati controproducenti o ridurre il livello di sicurezza. Verifica attentamente le eventuali modifiche apportate alle impostazioni del dispositivo prima di distribuirle.

Per ulteriori informazioni, consulta la guida Sicurezza iOS (PDF).

Certificazioni di sicurezza

Elenco delle certificazioni ottenute da Apple riconosciute, attive e completate.

Certificazione ISO 27001 e 27018

Apple ha ottenuto le certificazioni ISO 27001 e ISO 27018 per il sistema di gestione della sicurezza delle informazioni per l'infrastruttura, lo sviluppo e le operazioni che supportano i seguenti prodotti e servizi: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID Apple gestiti, Siri e Schoolwork, in conformità alla Dichiarazione di applicabilità 2.1 dell'11 luglio 2017. La conformità di Apple agli standard ISO è stata certificata dal British Standards Institution (BSI). Sul sito web del BSI sono disponibili i certificati di conformità ISO 27001 e ISO 27018.

Certificazione Common Criteria

L'obiettivo, come dichiarato dalla community Common Criteria, è quello di disporre di una serie di standard di sicurezza approvati a livello internazionale per fornire una valutazione chiara e affidabile delle capacità di sicurezza dei prodotti informatici. Fornendo una valutazione indipendente della capacità di un prodotto di soddisfare gli standard di sicurezza, la certificazione Common Criteria aumenta la fiducia dei clienti nella sicurezza dei prodotti informatici consentendo loro di prendere decisioni più informate.

Il CCRA (Common Criteria Recognition Arrangement) è un accordo di mutuo riconoscimento delle certificazioni dei prodotti informatici sottoscritto da diversi Paesi. I Paesi aderenti aumentano di anno in anno, così come il livello di dettaglio e ampiezza dei profili di protezione per estendere la protezione alle tecnologie emergenti. Questo accordo consente a uno sviluppatore di prodotti di ottenere un'unica certificazione in base a uno degli Schemi di autorizzazione.

I profili di protezione (PP) precedenti sono stati archiviati ed è iniziata la loro sostituzione con profili di protezione mirati, dedicati a soluzioni e ambienti specifici. Con un impegno concertato al fine di assicurare il continuo riconoscimento reciproco tra tutti i membri CCRA, la comunità tecnica internazionale (iTC) continua a orientare tutti i futuri sviluppi e aggiornamenti verso l'adozione dei profili di protezione collaborativi (cPP), sviluppati sin dal principio sulla base di più schemi.

Apple ha iniziato a certificare i prodotti in base al nuovo orientamento dei Common Criteria per specifici profili di protezione all'inizio del 2015. Le certificazioni ottenute da Apple riconosciute, attive e completate sono elencate di seguito. 

iOS 11

 

Profilo di protezione

VID

Completamento

Dispositivo mobile

PP_MD_v3.1

10851

30 marzo 2018

Agente MDM

EP_MDM_Agent_v3.0

10851

30 marzo 2018

Agente WLAN

PP_WLAN_CLI_EP_v1.0

10851

30 marzo 2018

Client VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10 maggio 2018

Software applicativo (Contatti)

PP_APP_v1.2

10915

Tempi stimati: agosto 2018

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Tempi stimati: agosto 2018

Versioni precedenti

Le precedenti versioni di iOS hanno ottenuto certificazioni che ora sono state archiviate:

  • iOS 10
  • iOS 9

In generale, ogni 12-18 mesi vengono pubblicati aggiornamenti importanti alle versioni dei profili di protezione da parte della community Common Criteria, al fine di aggiungere o aggiornare i requisiti funzionali di sicurezza (SFR).

Nel portale dei Common Criteria è disponibile l'elenco completo dei profili di protezione (PP) e dei profili di protezione collaborativi (cPP) con le relative date di validità. Puoi anche individuarli nei diversi Schemi, ad esempio il NIAP (National Information Assurance Partnership) è lo Schema degli Stati Uniti.

Approvati per l'uso da parte delle pubbliche amministrazioni

Informazioni su Paesi selezionati che hanno approvato i dispositivi per l'uso da parte delle pubbliche amministrazioni.

Governo australiano


Come sintetizzato nella pagina EPL - Evaluated Products List:

L'Australian Signals Directorate (ASD) mantiene l'elenco Evaluated Products List (EPL) dei prodotti di sicurezza ICT valutati dall'ASD per l'uso da parte delle agenzie governative in Australia e Nuova Zelanda.

  • I prodotti presenti nell'elenco EPL sono certificati per scopi specifici.
  • I prodotti presenti nell'elenco EPL possono essere utilizzati per creare reti e sistemi sicuri come descritto nell'Australian Government Information Security Manual (ISM).
  • I prodotti sono certificati rispetto ai Common Criteria (CC) della normativa internazionale ISO 15408. Sul portale dei Common Criteria sono elencati altri prodotti con certificazione riconosciuta reciprocamente che possono essere utilizzati.
  • L'ufficio di certificazione ASD, Australasian Certification Authority, sovrintende all'Australasian Information Security Evaluation Program (AISEP) che gestisce l'esecuzione dei test sui prodotti da parte di strutture di valutazione commerciale autorizzate.
  • L'EPL elenca anche le valutazioni crittografiche ASD.

Prodotto: iOS 9
Tipo di prodotto: prodotti mobili
Stato del prodotto: completato
Livello di sicurezza: valutato dall'ASD
Versione: 9.3.5 o successiva
Guida: PDF

Governo del Regno Unito


Come sintetizzato nella pagina Commercial Product Assurance (CPA) - prodotti Foundation Grade dell'NCSC:

CPA valuta i prodotti commerciali disponibili sul mercato e i relativi sviluppatori rispetto agli standard di sicurezza e sviluppo pubblicati. Un prodotto di sicurezza valutato in maniera positiva viene insignito con la certificazione Foundation Grade. Ciò significa che il prodotto ha dimostrato di possedere caratteristiche di sicurezza commerciale idonee e di essere adatto ad ambienti con un grado di rischio inferiore.

  • La certificazione CPA ha una validità di 2 anni e consente l'aggiornamento dei prodotti per la durata della certificazione, quando sono richiesti aggiornamenti e in caso di vulnerabilità. 
  • La certificazione CPA è accettata dal catalogo NATO e riconosciuta come una delle valutazioni necessarie per il catalogo UE.
  • La certificazione Foundation Grade viene ulteriormente spiegata dall'NCSC.

Governo degli Stati Uniti


Come indicato nella pagina del Commercial Solutions for Classified Program:

Sempre più spesso, i clienti della pubblica amministrazione statunitense chiedono l'impiego immediato delle più recenti tecnologie hardware e software nell'ambito dei sistemi di sicurezza nazionale (NSS) per raggiungere i loro obiettivi di missione. Per questo motivo l'IAD (il servizio incaricato della sicurezza delle informazioni) dell'NSA/CSS (National Security Agency/Central Security Service) sta sviluppando nuovi metodi per sfruttare le tecnologie emergenti al fine di fornire soluzioni di sicurezza delle informazioni più veloci, adatte alle esigenze in evoluzione dei clienti.

Il programma Commercial Solutions for Classified (CSfC) dell'NSA/CSS è stato istituito per consentire l'uso dei prodotti commerciali in soluzioni a più livelli che proteggono i dati NSS riservati. Ciò permetterà di comunicare in modo sicuro sulla base di standard commerciali con una soluzione che può essere sviluppata in mesi, non anni.

Un numero crescente di ambienti che gestiscono informazioni riservate desidera utilizzare le soluzioni Apple, ma non può farlo per motivi di certificazione dei prodotti. Grazie all'impegno di Apple per ottenere le certificazioni Common Criteria per i profili di protezione indicati in precedenza, i prodotti Apple sono presenti nell'elenco dei componenti del CSfC.

Man mano che vengono avviate le certificazioni Common Criteria aggiuntive dei prodotti Apple per ciascuno dei profili di protezione correlati, viene inviata la richiesta di inserimento dei componenti Apple corrispondenti nell'elenco dei componenti del CSfC e i prodotti vengono aggiunti di seguito.

Elenco componenti CSfC

I seguenti prodotti Apple sono idonei all'utilizzo in una soluzione CSfC:

Aggiungere i prodotti Apple all'elenco di prodotti

Un numero crescente di pubbliche amministrazioni ha richiesto l'inserimento dei prodotti Apple nei propri programmi simili a CPA, EPL e CSfC. Gli incaricati di tali programmi che desiderano includere i prodotti Apple nel loro elenco di prodotti equivalente possono contattarci all'indirizzo security-certifications@apple.com.

Altri sistemi operativi

Scopri di più su linee guida, convalide e certificazioni di sicurezza per:

Le informazioni relative ai prodotti non fabbricati da Apple o ai siti web indipendenti non controllati o testati da Apple vengono fornite senza raccomandazioni o approvazioni. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Esistono rischi impliciti nell'uso di internet. Per ulteriori informazioni contattare il fornitore. Altri nomi di aziende e prodotti potrebbero essere marchi dei rispettivi proprietari.

Data di pubblicazione: