Beveiligingscertificering van producten, validaties en richtlijnen voor iOS

Dit artikel bevat referenties voor de certificering van de belangrijkste producten, cryptografische validaties en beveiligingsrichtlijnen voor iOS-platformen. Neem bij vragen contact met ons op via security-certifications@apple.com.

Validatie van cryptografische modules

Alle Apple FIPS 140-2 Conformance Validation Certificates staan op de CMVP-leverancierspagina. Apple neemt actief deel aan de validatie van de modules CoreCrypto en CoreCrypto Kernel voor elke belangrijke release van iOS. Validatie kan alleen worden uitgevoerd op een definitieve releaseversie van de module en kan alleen formeel worden ingediend na de openbare release van het OS. CMVP houdt nu de validatiestatus van cryptografische modules bij in twee afzonderlijke lijsten, afhankelijk van hun huidige status. De modules beginnen in de Implementation Under Test List en gaan vervolgens naar de Modules in Process List.

iOS 12

Apple neemt actief deel aan de validatie van de CoreCrypto v9.0-modules die worden gebruikt in iOS 12, dat later dit jaar verkrijgbaar is.

Vorige versies

Deze vorige iOS-versies hadden cryptografische modulevalidaties en zijn nu gearchiveerd:

  • iOS 8
  • iOS 7

Handleidingen voor beveiligingsconfiguratie

Beveiligingsgerichte ondernemingen bieden goed omschreven en onderzochte richtlijnen voor het configureren van de diverse platformen voor aanvaardbaar gebruik. Handleidingen voor beveiligingsconfiguratie bieden een overzicht van functies in macOS en iOS die u kunt gebruiken om de beveiliging te verbeteren. Dit staat bekend als 'het verharden van uw apparaat'. Overheden wereldwijd hebben in samenwerking met Apple richtlijnen ontwikkeld voor het geven van instructies en aanbevelingen voor het behoud van een veiligere omgeving. 

Voor het gebruik van deze handleidingen moet u een ervaren gebruiker of systeembeheerder zijn, de gebruikersinterface kennen en weten hoe beheertools werken voor het doelplatform. Kennis van de basisconcepten van netwerken is een voordeel. Bepaalde instructies in de handleidingen zijn ingewikkeld. Als u deze niet precies opvolgt, kan dit leiden tot nadelige effecten of een slechtere bescherming. Test alle wijzigingen in de instellingen van een apparaat grondig voordat u overgaat tot implementatie.

Raadpleeg voor meer informatie de Handleiding iOS-beveiliging (pdf).

Beveiligingscertificeringen

Een lijst van openbaar geïdentificeerde, actieve en afgeronde certificeringen van Apple.

ISO 27001- en 27018-certificering

Apple is ISO 27001- en ISO 27018-gecertificeerd voor het Information Security Management System voor de infrastructuur, ontwikkeling en bewerkingen die deze producten en voorzieningen ondersteunen: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, beheerde Apple ID's, Siri en Schoolwork, in overeenstemming met het Statement of Applicability v2.1, d.d. 11 juli 2017. BSI (British Standards Institution) heeft gecertificeerd dat Apple voldoet aan de ISO-standaarden. Op de website van BSI staan de nalevingscertificaten voor ISO 27001 en ISO 27018.

Common Criteria-certificering

Het doel, zoals geformuleerd door de Common Criteria-community, is dat een internationaal goedgekeurde reeks beveiligingsnormen een duidelijke en betrouwbare evaluatie van de beveiligingsmogelijkheden van IT-producten biedt. Door de externe beoordeling van de mogelijkheden van een product om aan de veiligheidsnormen te voldoen, geeft een Common Criteria-certificering de klant meer vertrouwen in de veiligheid van een IT-product en heeft deze meer informatie om een beslissing te nemen.

Via een Common Criteria Recognition Arrangement (CCRA) zijn de deelnemende landen overeengekomen de certificering van IT-producten te erkennen met hetzelfde vertrouwen. Het aantal leden en de omvang en reikwijdte van beschermingsprofielen blijven jaarlijks groeien om aan de opkomende technologie te voldoen. Met deze overeenkomst kan een productontwikkelaar een bepaalde certificering nastreven die aan elk machtigingsschema voldoet.

Eerdere beschermingsprofielen zijn gearchiveerd en worden gaandeweg vervangen door de ontwikkeling van doelgerichte beschermingsprofielen die zijn gericht op specifieke oplossingen en omgevingen. In een gezamenlijke inspanning om een wederzijdse herkenning tussen alle CCRA-leden te behouden, blijft de iTC (International Technical Community) alle ontwikkelingen en updates van beschermingsprofielen in de toekomst stimuleren om cPP's (Collaborative Protection Profiles) te verkrijgen die vanaf het begin met meerdere schema's zijn ontwikkeld.

Apple streeft sinds het begin van 2015 naar certificeringen onder deze nieuwe Common Criteria-herstructurering met bepaalde beschermingsprofielen. De certificeringen van Apple die openbaar geïdentificeerd, actief en voltooid zijn, vindt u in de lijst hieronder. 

iOS 11

 

Beschermingsprofiel

VID

Opleverdatum

Mobiel apparaat

PP_MD_v3.1

10851

30 maart 2018

MDM Agent

EP_MDM_Agent_v3.0

10851

30 maart 2018

WLAN Agent

PP_WLAN_CLI_EP_v1.0

10851

30 maart 2018

VPN Client

PP_VPN_IPSEC_CLIENT_V1.4

10876

10 mei 2018

Toepassingssoftware (Contacten)

PP_APP_v1.2

10915

Naar verwachting augustus 2018

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Naar verwachting augustus 2018

Vorige versies

Certificeringen van vorige iOS-versies zijn nu gearchiveerd:

  • iOS 10
  • iOS 9

Grote versie-updates van beschermingsprofielen gepubliceerd door de Common Criteria-community vinden doorgaans om de 12-18 maanden plaats met aanvullende of bijgewerkte SFR's (Security Functional Requirements).

In het Common Criteria Portal vindt u een volledige lijst met beschermingsprofielen (PP's), Collaborative Protection Profiles (cPP's) alsook de bijbehorende geldigheidsdata. Deze zijn ook te vinden onder het schema van uw keuze, zoals de National Information Assurance Partnership (NIAP), het schema voor de VS.

Goedgekeurd voor gebruik door de overheid

Informatie van bepaalde landen die goedgekeurde apparaten hebben voor gebruik door de overheid.

Australische overheid


Zoals in het overzicht op de pagina EPL - Evaluated Products List wordt vermeld:

De Australian Signals Directorate (ASD) houdt de Evaluated Products List (EPL) van ICT-beveiligingsproducten bij die worden geëvalueerd door ASD voor gebruik door overheidsinstellingen in Australië en Nieuw-Zeeland.

  • Producten op de EPL zijn gecertificeerd voor bepaalde doeleinden.
  • Producten op de EPL worden mogelijk gebruikt om beveiligde systemen en netwerken te ontwikkelen zoals wordt beschreven in de Australian Government Information Security Manual (ISM).
  • Producten worden gecertificeerd aan de hand van de internationaal erkende ISO 15408 Common Criteria (CC). Het CC Portal bevat andere producten met gelijkwaardig erkende certificeringen die ook kunnen worden gebruikt.
  • Het certificeringskantoor van ASD, de Australasian Certification Authority, controleert het Australasian Information Security Evaluation Program (AISEP) waarmee producttests worden uitgevoerd door gelicentieerde commerciële evaluatiefaciliteiten.
  • Op de EPL staan ook de Cryptographic Evaluations van ASD.

Product: iOS 9
Producttype: mobiele producten
Productstatus: voltooid
Verzekeringsniveau: beoordeeld door ASD
Versie: 9.3.5 of hoger
Handleiding: pdf

Britse overheid


Zoals in het overzicht op de pagina Commercial Product Assurance van NCSC - producten op basisniveau staat:

CPA evalueert commerciële standaardproducten en de ontwikkelaars van deze producten aan de hand van gepubliceerde beveiligings- en ontwikkelingsstandaarden. Een beveiligingsproduct dat als goed wordt beoordeeld, krijgt het certificaat Foundation Grade. Dit betekent dat het product heeft aangetoond een goede commerciële beveiligingspraktijk te bevatten en dat het geschikt is voor omgevingen met een laag dreigingsniveau.

  • CPA-certificering is 2 jaar geldig en producten mogen worden bijgewerkt tijdens de geldigheid van de certificering naarmate kwetsbaarheden ontstaan en updates vereist zijn. 
  • CPA-certificering wordt geaccepteerd door de NAVO-catalogus en wordt erkend als een van de benodigde evaluaties voor de EU-catalogus.
  • Foundation Grade wordt verder uitgelegd door NCSC.

Amerikaanse overheid


Zoals staat op de pagina Commercial Solutions for Classified:

Klanten van Amerikaanse overheidsinstellingen vereisen steeds meer dat de meest moderne commerciële hardware- en softwaretechnologie die verkrijgbaar is op de markt, wordt gebruikt in National Security Systems (NSS) om de doelstellingen te verwezenlijken. Daarom is de Information Assurance Directorate (IAD) van de National Security Agency/Central Security Service (NSA/CSS) bezig met de ontwikkeling van nieuwe manieren om opkomende technologie zo te gebruiken dat meer tijdige IA-oplossingen voor snel evoluerende klantvereisten worden geleverd.

Het programma Commercial Solutions for Classified (CSfC) van NSA/CSS is opgesteld zodat commerciële producten kunnen worden gebruikt in gelaagde oplossingen die geclassificeerde NSS-gegevens beschermen. Hierdoor kan veilig worden gecommuniceerd op basis van commerciële standaarden in een oplossing die in maanden, en niet jaren, kan worden ingezet.

Steeds meer geclassificeerde omgevingen willen Apple oplossingen inzetten, maar worden hierin belemmerd door een gebrek aan productcertificeringen. Het streven van Apple naar Common Criteria-certificeringen bij het gebruik van de bovenstaande beschermingsprofielen heeft ervoor gezorgd dat de Apple producten op de CSfC-onderdelenlijst voorkomen en beschikbaar zijn.

Zodra extra Common Criteria-certificeringen van Apple producten zijn begonnen voor elk van de gerelateerde beschermingsprofielen, worden de bijbehorende Apple onderdelen ingediend ter goedkeuring voor vermelding op de CSfC-onderdelenlijst en toevoeging aan de onderstaande tabel.

CSfC-onderdelenlijst

De volgende Apple producten komen in aanmerking voor gebruik in een CSfC-oplossing:

Apple producten toevoegen aan de productenlijst

Steeds meer overheidsomgevingen vragen dat Apple producten worden toegevoegd aan hun programma's zoals CPA, EPL en CSfC. Als u een gemachtigde vertegenwoordiger bent van het overheidsprogramma in uw land voor oplossingen en producten van Apple op de equivalente productenlijst wilt plaatsen, neemt u contact met ons op door een e-mail te sturen naar security-certifications@apple.com.

Andere besturingssystemen

Raadpleeg deze artikelen voor meer informatie over productbeveiliging, validaties en richtlijnen voor:

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Aan het gebruik van internet zijn risico’s verbonden. Neem contact op met de leverancier voor meer informatie. Andere bedrijfs- en productnamen zijn mogelijk handelsmerken van de respectievelijke eigenaars.

Publicatiedatum: