Produktsikkerhetssertifiseringer, valideringer og veiledning for macOS

Denne artikkelen inneholder henvisninger til viktige produktsertifiseringer, kryptografiske valideringer og sikkerhetsveiledning for macOS-plattformer. Kontakt oss på security-certifications@apple.com hvis du har spørsmål.

Validering av kryptografiske moduler

Alle sertifikater for validering av Apple FIPS 140-2-samsvar finnes på CMVP-leverandørsiden. Apple er aktiv når det gjelder valideringen av CoreCrypto- og CoreCrypto Kernel-moduler for alle større utgivelser av macOS. Validering kan bare utføres for en endelig versjon av en modulutgivelse og sendes inn formelt ved offentlig OS-utgivelse. CMVP vedlikeholder nå valideringsstatus for kryptografiske moduler under to separate lister, avhengig av deres nåværende status. Modulene begynner i Implementation Under Test List og fortsetter deretter til Modules in Process List.

macOS Mojave

Apple er aktivt engasjert i valideringen av CoreCrypto v9.0-moduler brukt i macOS Mojave, som kommer senere i år.

macOS High Sierra

Tidligere versjoner

Disse tidligere OS X-versjonene hadde validering av kryptografiske moduler og er nå arkivert:

  • OS X Yosemite 10.10
  • OS X Mavericks 10.9
  • OS X Mountain Lion 10.8
  • OS X Lion 10.7
  • OS X Snow Leopard 10.6

Veiledninger i sikkerhetskonfigurering

Sikkerhetsfokuserte organisasjoner har godt definerte og undersøkte veiledninger for hvordan man skal konfigurere forskjellige plattformer for godkjent bruk. Veiledninger i sikkerhetskonfigurering gir en oversikt over funksjoner i OS X og iOS som kan brukes til å forbedre beskyttelsen, noe som også kalles "å forsterke enheten." Regjeringer over hele verden har samarbeidet med Apple og utviklet veiledninger som skal gi instruksjoner og anbefalinger for vedlikehold av et sikrere miljø. 

Du bør være en erfaren bruker eller systemadministrator for å bruke disse håndbøkene. Du bør være kjent med brukergrensesnittet og ha noe praktisk erfaring med administrasjonsverktøy for målplattformen. Det er nyttig å være kjent med grunnleggende nettverksbegreper. Enkelte instruksjoner i håndbøkene er komplekse, og avvik fra disse kan føre til uheldige effekter eller redusert beskyttelse. Eventuelle endringer i enhetenes innstillinger bør testes grundig før de distribueres.

Finn ut mer i macOS-sikkerhetsveiledningen (PDF).

  macOS High Sierra 10.13                  macOS Sierra 10.12 OS X El Capitan 10.11

Apple
SCAP-On-Apple SCAP-On-Apple SCAP-on-Apple

Storbritannia
(NCSC)
Sikkerhetsveiledning for sluttbrukeres enheter: macOS 10.13 High Sierra Sikkerhetsveileding for sluttbrukeres enheter Sikkerhetsveileding for sluttbrukeres enheter

Sikkerhetsveileding for sluttbrukeres enheter
 (PDF)

OS X 10.11 klargjøringsskript

USA
(DISA, NIST, NSA)
macOS STIGs

macOS 10.12 Arbeidsstasjon STIG

NIST-sjekkliste

Apple OS X 10.11 Arbeidsstasjon STIG

Sikkerhetssertifiseringer

En liste over Apples offentlige identifiserte, aktive og fullførte sertifiseringer.

ISO 27001- og 27018-sertifisering

Apple har fått ISO 27001- og ISO 27018-sertifiseringen for administreringssystemet for informasjonssikkerhet for infrastrukturen, utviklingen og operasjonene som støtter disse produktene og tjenestene: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, administrerte Apple-ID-er, Siri og Schoolwork – i henhold til Statement of Applicability v2.1 (anvendelighetskunngjøringen) datert 11. juli 2017. Apples samsvar med ISO-standarden ble sertifisert av British Standards Institution. BSI-nettstedet har sertifikater om samsvar for ISO 27001 og ISO 27018.

Common Criteria-sertifisering

Målet, slik det er formulert av Common Criteria-fellesskapet, er et internasjonalt godkjent sett av sikkerhetsstandarder for å få en klar og pålitelig vurdering av sikkerhetsegenskapene til informasjonsteknologiprodukter. Ved å gi en uavhengig vurdering av et produkts evne til å oppfylle sikkerhetsstandarder, gir en Common Criteria-sertifisering kundene større trygghet med hensyn til sikkerheten i informasjonsteknologiprodukter, og fører til mer informerte beslutninger.

Gjennom en CCRA-avtale (Common Criteria Recognition Arrangement) har medlemsland og -regioner blitt enige om å anerkjenne sertifiseringen av informasjonsteknologiprodukter med samme nivå av tiltro. Antall medlemskap fortsetter å vokse hvert år, og det samme gjør dybden og bredden i beskyttelsesprofilene for å ta høyde for nye teknologier. Denne avtalen gjør det mulig for en produktutvikler å ta sikte på én enkelt sertifisering under en av autorisasjonsordningene.

De som ikke er kjent med den relativt nylige omstruktureringen av sertifiseringen under de nye Common Criteria, bør merke seg at det ikke lenger henvises til EAL-numre (Evaluated Assurance Levels). Tidligere beskyttelsesprofiler (Protection Profiles, PP) er arkivert og har begynt å bli erstattet gjennom utvikling av målrettede beskyttelsesprofiler som fokuserer på bestemte løsninger og miljøer. Med en samordnet innsats for å sikre fortsatt gjensidig anerkjennelse på tvers av alle CCRA-medlemmer fortsetter iTC (International Technical Community) arbeidet med å styre all PP-utvikling og -oppdatering i retning av samkjørte profiler (Collaborative Protection Profiles, cPP) som helt fra begynnelsen av er utviklet med involvering fra flere hold.

Apple begynte å søke sertifiseringer i henhold til denne Common Criteria-restruktureringen med utvalgte beskyttelsesprofiler i begynnelsen av 2015. Apples offentlige identifiserte, aktive og fullførte sertifiseringer er oppført nedenfor.

macOS

Apple er aktivt engasjert i valideringen av macOS mot General Purpose Operating System Protection Profile. 

Flyktighetserklæringer

Offentlige organisasjoner og underleverandørene deres som er pålagt å framskaffe en flyktighetserklæring fra produktprodusenten, kan få en slik ved å sende en e-postforespørsel til AppleFederal@apple.com og oppgi hvilket offentlig organ som ber om erklæringen, navn på Apple-produkt, produktets serienummer og en teknisk myndighetskontaktperson for forespørselen.

Andre operativsystemer

Finn ut mer om sertifiseringer for produktsikkerhet, valideringer og veiledninger for:

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: