Produktsikkerhetssertifiseringer, valideringer og veiledning for iOS

Denne artikkelen inneholder henvisninger til viktige produktsertifiseringer, kryptografiske valideringer og sikkerhetsveiledning for iOS-plattformer. Kontakt oss på security-certifications@apple.com hvis du har spørsmål.

Validering av kryptografiske moduler

Alle sertifikater for validering av Apple FIPS 140-2-samsvar finnes på CMVP-leverandørsiden. Apple er aktivt engasjert i valideringen av CoreCrypto- og CoreCrypto Kernel-moduler for alle større utgivelser av iOS. Validering kan bare utføres for en endelig versjon av en modulutgivelse og sendes inn formelt ved offentlig OS-utgivelse. CMVP vedlikeholder nå valideringsstatus for kryptografiske moduler under to separate lister, avhengig av deres nåværende status. Modulene begynner i Implementation Under Test List og fortsetter deretter til Modules in Process List.

iOS 12

Apple er aktivt engasjert i valideringen av CoreCrypto v9.0-moduler brukt i iOS 12, som kommer senere i år.

Tidligere versjoner

Disse tidligere iOS-versjonene hadde kryptografisk modulvalidering og er nå arkivert:

  • iOS 8
  • iOS 7

Veiledninger i sikkerhetskonfigurering

Sikkerhetsfokuserte organisasjoner har godt definerte og undersøkte veiledninger for hvordan man skal konfigurere forskjellige plattformer for godkjent bruk. Veiledninger i sikkerhetskonfigurering gir en oversikt over funksjoner i macOS og iOS som kan brukes til å forbedre beskyttelsen. Dette kalles også å «herde enheten». Regjeringer over hele verden har samarbeidet med Apple og utviklet veiledninger som skal gi instruksjoner og anbefalinger for vedlikehold av et sikrere miljø. 

Hvis du skal bruke disse veiledningene, bør du være en erfaren bruker eller systemadministrator, være kjent med brukergrensesnittet og ha en del praktisk kunnskap om administrasjonsverktøy for målplattformen. Det er nyttig å være kjent med grunnleggende nettverksbegreper. Enkelte instruksjoner i håndbøkene er komplekse, og avvik fra disse kan føre til uheldige effekter eller redusert beskyttelse. Eventuelle endringer i enhetenes innstillinger bør testes grundig før de distribueres.

Finn ut mer i iOS-sikkerhetsveiledningen (PDF).

Sikkerhetssertifiseringer

En liste over Apples offentlige identifiserte, aktive og fullførte sertifiseringer.

ISO 27001- og 27018-sertifisering

Apple har fått ISO 27001- og ISO 27018-sertifiseringen for administreringssystemet for informasjonssikkerhet for infrastrukturen, utviklingen og operasjonene som støtter disse produktene og tjenestene: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, administrerte Apple-ID-er, Siri og Schoolwork – i henhold til Statement of Applicability v2.1 (anvendelighetskunngjøringen) datert 11. juli 2017. Apples samsvar med ISO-standarden ble sertifisert av British Standards Institution. BSI-nettstedet har sertifikater om samsvar for ISO 27001 og ISO 27018.

Common Criteria-sertifisering

Målet, slik det er formulert av Common Criteria-fellesskapet, er et internasjonalt godkjent sett av sikkerhetsstandarder for å få en klar og pålitelig vurdering av sikkerhetsegenskapene til informasjonsteknologiprodukter. Ved å gi en uavhengig vurdering av et produkts evne til å oppfylle sikkerhetsstandarder, gir en Common Criteria-sertifisering kundene større trygghet med hensyn til sikkerheten i informasjonsteknologiprodukter, og fører til mer informerte beslutninger.

Gjennom en CCRA-avtale (Common Criteria Recognition Arrangement) har medlemsland og -regioner blitt enige om å anerkjenne sertifiseringen av informasjonsteknologiprodukter med samme nivå av tiltro. Antall medlemskap fortsetter å vokse hvert år, og det samme gjør dybden og bredden i beskyttelsesprofilene for å ta høyde for nye teknologier. Denne avtalen gjør det mulig for en produktutvikler å ta sikte på én enkelt sertifisering under en av autorisasjonsordningene.

Tidligere beskyttelsesprofiler (Protection Profiles, PP) er arkivert og har begynt å bli erstattet gjennom utvikling av målrettede beskyttelsesprofiler som fokuserer på bestemte løsninger og miljøer. Med en samordnet innsats for å sikre fortsatt gjensidig anerkjennelse på tvers av alle CCRA-medlemmer fortsetter iTC (International Technical Community) arbeidet med å styre all PP-utvikling og -oppdatering i retning av samkjørte profiler (Collaborative Protection Profiles, cPP) som helt fra begynnelsen av er utviklet med involvering fra flere hold.

Apple begynte å søke sertifiseringer i henhold til denne Common Criteria-restruktureringen med utvalgte beskyttelsesprofiler i begynnelsen av 2015. Apples offentlige identifiserte, aktive og fullførte sertifiseringer er oppført nedenfor. 

iOS 11

 

Beskyttelsesprofil

VID

Fullføring

Mobilenhet

PP_MD_v3.1

10851

2018.03.30

MDM Agent

EP_MDM_Agent_v3.0

10851

2018.03.30

WLAN Agent

PP_WLAN_CLI_EP_v1.0

10851

2018.03.30

VPN-klient

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Applikasjonsprogramvare (Kontakter)

PP_APP_v1.2

10915

ETA: august 2018

Nettleser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA: august 2018

Tidligere versjoner

Tidligere iOS-versjoner har hatt sertifiseringer som nå er arkivert:

  • iOS 10
  • iOS 9

Publisering av større versjonsoppdateringer av beskyttelsesprofilene fra Common Criteria-fellesskapet er stort sett ventet å følge en 12–18 måneders syklus med nye eller oppdaterte krav til sikkerhetsfunksjoner (Security Functional Requirement, SFR).

På Common Criteria-portalen kan du finne en fullstendig oversikt over beskyttelsesprofiler (PP), samkjørte beskyttelsesprofiler (cPP) sammen med gyldighetsdatoer. Du finner dem også under bedriftens foretrukne ordning, for eksempel National Information Assurance Partnership (NIAP) som er den amerikanske ordningen.

Godkjent for bruk av myndigheter

Informasjon fra utvalgte land og regioner som har godkjente enheter for bruk av myndighetene.

Myndighetene i Australia


Som oppsummert på siden for listen over evaluerte produkter (EPL):

ASD (The Australian Signals Directorate) opprettholder den evaluerte produktlisten (EPL) over ICT-sikkerhetsprodukter som er evaluert av ASD for bruk av statlige byråer i Australia og New Zealand.

  • Produkter oppført på EPL er sertifisert for bestemte formål.
  • Produkter oppført på EPL kan brukes til å bygge sikre systemer og nettverk som beskrevet i de australske myndighetenes Information Security Manual (ISM) (Veiledning for sikkerhetsinformasjon).
  • Produkter er sertifisert i henhold den internasjonalt anerkjente til ISO 15408 Common Criteria (CC). CC-portalen har oppført andre produkter med gjensidig anerkjente sertifiseringer som også kan brukes.
  • Sertifiseringskontoret for ASD – Australasian Certification Authority – overvåker AISEP (Australasian Information Security Evaluation Program) som administrer produkttesting av lisensierte kommersielle evalueringsanlegg.
  • EPL inneholder også ASDs kryptografiske evalueringer.

Produkt: iOS 9
Produkttype: Mobilprodukter
Produktstatus: Fullført
Sikkerhetsnivå: Evaluert av ASD
Versjon: 9.3.5 eller nyere
Veiledning: PDF

Myndighetene i Storbritannia


Som oppsummert fra NCSC-siden Commercial Product Assurance - products at foundation grade:

CPA evaluerer kommersielle produkter fra andre produsenter og utviklerne deres mot publiserte standarder for sikkerhet og utvikling. Et sikkerhetsprodukt som har bestått evalueringen, får en «Foundation Grade»-sertifisering. Dette betyr at produktet har bevist god kommersiell sikkerhetspraksis og er passende for miljøer på lavere trusselnivå.

  • En CPA-sertifisering er gyldig i 2 år og tillater at produktet oppdateres i løpet av sertifiseringsperioden etter hvert som nye sårbarheter og oppdateringer krever det. 
  • En CPA-sertifisering godtas av NATO-katalogen og er anerkjent som en av de nødvendige evalueringene for EU-katalogen.
  • «Foundation Grade» forklares nærmere av NCSC.

Myndighetene i USA


Som det står oppført på siden Commercial Solutions for Classified:

Amerikanske forvaltningskunder krever i økende grad umiddelbar bruk av markedets mest moderne kommersielle maskinvare- og programvare innenfor National Security Systems (NSS) for å oppfylle sentrale målsetninger. Følgelig utvikler Information Assurance Directorate (IAD) hos National Security Agency/Central Security Service (NSA/CSS) nye måter å utnytte nye teknologier på, for å levere mer tidsriktige IA-løsninger i samsvar med stadig endrede krav fra kunder.

NSA/CSSs program Commercial Solutions for Classified (CSfC) er etablert for å kunne bruke kommersielle produkter i lagdelte løsninger som beskytter klassifiserte NSS-data. Det gir muligheten til å kommunisere sikkert basert på kommersielle standarder i en løsning som kan implementeres i løpet av måneder i stedet for år.

Det er et stadig økende antall klassifiserte miljøer som har ønsket å ta i bruk Apple-løsninger, men som har holdt tilbake av produktsertifiseringsårsaker. Apples søknader om Common Criteria-sertifiseringer i henhold til beskyttelsesprofilene som er angitt ovenfor, har gjort det mulig for Apple-produkter å bli ført opp og gjort tilgjengelig i CSfC-komponentlisten.

Når ytterligere Common Criteria-sertifiseringer av Apple-produkter har startet i henhold til hver av de aktuelle beskyttelsesprofilene, blir de tilsvarende Apple-komponentene sendt til godkjenning på CSfC-komponentlisten og lagt til i tabellen nedenfor.

CSfC-komponentliste

Følgende Apple-produkter er kvalifiserte til å bli brukt i en CSfC-løsning:

Legg til Apple-produkter på produktlisten din

Et økende antall statlige organisasjoner har bedt om at Apple-produkter blir sendt inn til programmene deres på samme måte som for CPA, EPL og CSfC. Hvis du er en autorisert representant for dine myndigheters løsningsprogram og er interessert i å få Apple-produkter på deres liste over ekvivalente produkter, kan du kontakte oss på security-certifications@apple.com.

Andre operativsystemer

Finn ut mer om sertifiseringer for produktsikkerhet, valideringer og veiledninger for:

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato: