Validering av kryptografiske moduler
Alle sertifikater for validering av Apple FIPS 140-2-samsvar finnes på CMVP-leverandørsiden. Apple er aktivt engasjert i valideringen av CoreCrypto- og CoreCrypto Kernel-moduler for alle større utgivelser av iOS. Validering kan bare utføres for en endelig versjon av en modulutgivelse og sendes inn formelt ved offentlig OS-utgivelse. CMVP vedlikeholder nå valideringsstatus for kryptografiske moduler under to separate lister, avhengig av deres nåværende status. Modulene begynner i Implementation Under Test List og fortsetter deretter til Modules in Process List.
iOS 12
- Apple FIPS kryptografiske moduler for ARM v9.0
- iOS 12-kompatible enheter
- Rolleveiledning for kryptoansvarlig for FIPS 140-2-samsvar for ARM v9.0 (PDF)
- #3433: Apple CoreCrypto Module for ARM v9.0
- #3438: Apple CoreCrypto Kernel Module for ARM v9.0
Relatert validering (pågående modul)
iOS 11
Beslektet validering
Tidligere versjoner
Disse tidligere iOS-versjonene hadde kryptografisk modulvalidering og er nå arkivert:
- iOS 10
- iOS 9
- iOS 8
- iOS 7
Veiledninger i sikkerhetskonfigurering
Sikkerhetsfokuserte organisasjoner har godt definerte og undersøkte veiledninger for hvordan man skal konfigurere forskjellige plattformer for godkjent bruk. Veiledninger i sikkerhetskonfigurering gir en oversikt over funksjoner i macOS og iOS som kan brukes til å forbedre beskyttelsen. Dette kalles også å «herde enheten». Regjeringer over hele verden har samarbeidet med Apple og utviklet veiledninger som skal gi instruksjoner og anbefalinger for vedlikehold av et sikrere miljø.
Hvis du skal bruke disse veiledningene, bør du være en erfaren bruker eller systemadministrator, være kjent med brukergrensesnittet og ha en del praktisk kunnskap om administrasjonsverktøy for målplattformen. Det er nyttig å være kjent med grunnleggende nettverksbegreper. Enkelte instruksjoner i håndbøkene er komplekse, og avvik fra disse kan føre til uheldige effekter eller redusert beskyttelse. Eventuelle endringer i enhetenes innstillinger bør testes grundig før de distribueres.
Finn ut mer i iOS-sikkerhetsveiledningen (PDF).
DE (BSI)
Grunnleggende sikkerhetsveiledning for iOS (Grundschutz iOS)
iOS-implementeringsveiledning (Umsetzungshinweise iOS)
Storbritannia (NCSC)
EUD-veiledning for iOS and macOS
USA (DISA, NIST, NSA)
Apple iOS 12 STIG
SCAP-on-Apple
CIS: iOS
AU (ASD)
iOS Hardening Guidance (iOS-forsterkningsveiledning)
iOS Hardening Guidance (iOS-forsterkningsveiledning) (PDF)
iOS Hardening Guide (iBook) (Veiledning for iOS-herding)
NZ (GCSB)
iOS Hardening Guidance (iOS-forsterkningsveiledning)
iOS Hardening Guidance (iOS-forsterkningsveiledning) (PDF)
iOS Hardening Guide (iBook) (Veiledning for iOS-herding)
Sikkerhetssertifiseringer
En liste over Apples offentlige identifiserte, aktive og fullførte sertifiseringer.
ISO 27001- og 27018-sertifisering
Apple har fått ISO 27001- og ISO 27018-sertifiseringen for administreringssystemet for informasjonssikkerhet for infrastrukturen, utviklingen og operasjonene som støtter disse produktene og tjenestene: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, administrerte Apple-ID-er, Siri og Schoolwork – i henhold til anvendelighetskunngjøringen v2.2 (Statement of Applicability) fra 5. november 2018. Apples samsvar med ISO-standarden ble sertifisert av British Standards Institution. BSI-nettstedet har sertifikater om samsvar for ISO 27001 og ISO 27018.
Common Criteria-sertifisering
Målet, slik det er formulert av Common Criteria-fellesskapet, er et internasjonalt godkjent sett av sikkerhetsstandarder for å få en klar og pålitelig vurdering av sikkerhetsegenskapene til informasjonsteknologiprodukter. Ved å gi en uavhengig vurdering av et produkts evne til å oppfylle sikkerhetsstandarder, gir en Common Criteria-sertifisering kundene større trygghet med hensyn til sikkerheten i informasjonsteknologiprodukter, og fører til mer informerte beslutninger.
Gjennom en CCRA-avtale (Common Criteria Recognition Arrangement) har medlemsland og -regioner blitt enige om å anerkjenne sertifiseringen av informasjonsteknologiprodukter med samme nivå av tiltro. Antall medlemskap fortsetter å vokse hvert år, og det samme gjør dybden og bredden i beskyttelsesprofilene for å ta høyde for nye teknologier. Denne avtalen gjør det mulig for en produktutvikler å ta sikte på én enkelt sertifisering under en av autorisasjonsordningene.
Tidligere beskyttelsesprofiler (Protection Profiles, PP) er arkivert og har begynt å bli erstattet gjennom utvikling av målrettede beskyttelsesprofiler som fokuserer på bestemte løsninger og miljøer. Med en samordnet innsats for å sikre fortsatt gjensidig anerkjennelse på tvers av alle CCRA-medlemmer fortsetter iTC (International Technical Community) arbeidet med å styre all PP-utvikling og -oppdatering i retning av samkjørte profiler (Collaborative Protection Profiles, cPP) som helt fra begynnelsen av er utviklet med involvering fra flere hold.
Apple begynte å søke sertifiseringer i henhold til denne Common Criteria-restruktureringen med utvalgte beskyttelsesprofiler i begynnelsen av 2015. Apples offentlige identifiserte, aktive og fullførte sertifiseringer er oppført nedenfor.
iOS 12
Beskyttelsesprofil |
VID |
Fullføring |
|
Mobilenhet |
2019.03 |
||
MDM Agent |
2019.03 |
||
WLAN Agent |
2019.03 |
||
VPN-klient |
2019.03 |
||
Applikasjonsprogramvare (Kontakter) |
2019.02 |
||
Nettleser (Safari) |
ETA: juni 2019 |
iOS 11
|
Beskyttelsesprofil |
VID |
Fullføring |
Mobilenhet |
2018.03.30 |
||
MDM Agent |
2018.03.30 |
||
WLAN Agent |
2018.03.30 |
||
VPN-klient |
2018.05.10 |
||
Applikasjonsprogramvare (Kontakter) |
2018.09.13 |
||
Nettleser (Safari) |
2018.11.09 |
Tidligere versjoner
Tidligere iOS-versjoner har hatt sertifiseringer som nå er arkivert:
- iOS 10
- iOS 9
Publisering av større versjonsoppdateringer av beskyttelsesprofilene fra Common Criteria-fellesskapet er stort sett ventet å følge en 12–18 måneders syklus med nye eller oppdaterte krav til sikkerhetsfunksjoner (Security Functional Requirement, SFR).
På Common Criteria-portalen kan du finne en fullstendig oversikt over beskyttelsesprofiler (PP), samkjørte beskyttelsesprofiler (cPP) sammen med gyldighetsdatoer. Du finner dem også under bedriftens foretrukne ordning, for eksempel National Information Assurance Partnership (NIAP) som er den amerikanske ordningen.
Godkjent for bruk av myndigheter
Informasjon fra utvalgte land og regioner som har godkjente enheter for bruk av myndighetene.
Myndighetene i Australia
Som oppsummert på siden for listen over evaluerte produkter (EPL):
ASD (The Australian Signals Directorate) opprettholder den evaluerte produktlisten (EPL) over ICT-sikkerhetsprodukter som er evaluert av ASD for bruk av statlige byråer i Australia og New Zealand.
- Produkter oppført på EPL er sertifisert for bestemte formål.
- Produkter oppført på EPL kan brukes til å bygge sikre systemer og nettverk som beskrevet i de australske myndighetenes Information Security Manual (ISM) (Veiledning for sikkerhetsinformasjon).
- Produkter er sertifisert i henhold den internasjonalt anerkjente til ISO 15408 Common Criteria (CC). CC-portalen har oppført andre produkter med gjensidig anerkjente sertifiseringer som også kan brukes.
- Sertifiseringskontoret for ASD – Australasian Certification Authority – overvåker AISEP (Australasian Information Security Evaluation Program) som administrer produkttesting av lisensierte kommersielle evalueringsanlegg.
- EPL inneholder også ASDs kryptografiske evalueringer.
Produkt: iOS 9
Produkttype: Mobilprodukter
Produktstatus: Fullført
Sikkerhetsnivå: Evaluert av ASD
Versjon: 9.3.5 eller nyere
Security Configuration Guide (veiledning i sikkerhetskonfigurering)
Myndighetene i Storbritannia
Som oppsummert fra NCSC-siden Commercial Product Assurance - products at foundation grade:
CPA evaluerer kommersielle produkter fra andre produsenter og utviklerne deres mot publiserte standarder for sikkerhet og utvikling. Et sikkerhetsprodukt som har bestått evalueringen, får en «Foundation Grade»-sertifisering. Dette betyr at produktet har bevist god kommersiell sikkerhetspraksis og er passende for miljøer på lavere trusselnivå.
- En CPA-sertifisering er gyldig i 2 år og tillater at produktet oppdateres i løpet av sertifiseringsperioden etter hvert som nye sårbarheter og oppdateringer krever det.
- En CPA-sertifisering godtas av NATO-katalogen og er anerkjent som en av de nødvendige evalueringene for EU-katalogen.
- «Foundation Grade» forklares nærmere av NCSC.
Myndighetene i Tyskland
Som det står oppført på siden for mobilkommunikasjon:
Oversikt
Smarttelefoner og nettbrett byr på en rekke fordeler både i jobbsammenheng og i privatlivet, og de har blitt en trofast partner i alle situasjoner i livet. Når det derimot kommer til håndtering av sensitiv informasjon, skjer ofte bruken av mobil IT og kommunikasjon på bekostning av sikkerhet.
Sikre løsninger for mobilkommunikasjon til bruk i føderale administrasjoner må alltid strebe etter å oppfylle kravene til moderne mobilt arbeid samt de strenge sikkerhetskravene i forbindelse med behandling av sensitiv data.
For å garantere at sikkerheten ivaretas for føderale administrasjoner er det også viktig å finne flere leverandører. Du finner detaljert informasjon i brosjyren «Sikkert mobilt arbeid: problemdefinisjon, tekniske krav og løsninger basert på kravene for mobilenheter i den føderale administrasjonen.»
SecurePIM Government SDS
Operativsystem: iOS
Godkjenning opptil VS-NfD
Produsent: virtuell løsning AG
Nyeste iOS-enheter (iPhone, iPad fra iOS-versjon ≥ 12)
Myndighetene i USA
Som det står oppført på siden Commercial Solutions for Classified:
Amerikanske forvaltningskunder krever i økende grad umiddelbar bruk av markedets mest moderne kommersielle maskinvare- og programvare innenfor National Security Systems (NSS) for å oppfylle sentrale målsetninger. Følgelig utvikler Information Assurance Directorate (IAD) hos National Security Agency/Central Security Service (NSA/CSS) nye måter å utnytte nye teknologier på, for å levere mer tidsriktige IA-løsninger i samsvar med stadig endrede krav fra kunder.
NSA/CSSs program Commercial Solutions for Classified (CSfC) er etablert for å kunne bruke kommersielle produkter i lagdelte løsninger som beskytter klassifiserte NSS-data. Det gir muligheten til å kommunisere sikkert basert på kommersielle standarder i en løsning som kan implementeres i løpet av måneder i stedet for år.
Det er et stadig økende antall klassifiserte miljøer som har ønsket å ta i bruk Apple-løsninger, men som har holdt tilbake av produktsertifiseringsårsaker. Apples søknader om Common Criteria-sertifiseringer i henhold til beskyttelsesprofilene som er angitt ovenfor, har gjort det mulig for Apple-produkter å bli ført opp og gjort tilgjengelig i CSfC-komponentlisten.
Når ytterligere Common Criteria-sertifiseringer av Apple-produkter har startet i henhold til hver av de aktuelle beskyttelsesprofilene, blir de tilsvarende Apple-komponentene sendt til godkjenning på CSfC-komponentlisten og lagt til i tabellen nedenfor.
CSfC-komponentliste
Følgende Apple-produkter er kvalifiserte til å bli brukt i en CSfC-løsning:
Legg til Apple-produkter på produktlisten din
Et økende antall statlige organisasjoner har bedt om at Apple-produkter blir sendt inn til programmene deres på samme måte som for CPA, EPL og CSfC. Hvis du er en autorisert representant for dine myndigheters løsningsprogram og er interessert i å få Apple-produkter på deres liste over ekvivalente produkter, kan du kontakte oss på security-certifications@apple.com.
Sertifiseringer av operativsystemet
Finn ut mer om sertifiseringer for produktsikkerhet, valideringer og veiledninger for: