Certyfikaty zabezpieczeń produktów, atestacje i wytyczne dotyczące systemu iOS

Ten artykuł zawiera odnośniki do najważniejszych certyfikatów produktów, atestacji kryptograficznych oraz wytycznych dotyczących zabezpieczeń na platformach iOS. Prosimy o przesyłanie pytań na adres security-certifications@apple.com.

Weryfikacja modułów kryptograficznych

Wszystkie certyfikaty zgodności produktów Apple ze standardem FIPS 140-2 znajdują się na stronie producenta w programie CMVP. Apple aktywnie angażuje się w weryfikowanie modułów kryptograficznych CoreCrypto i CoreCrypto Kernel dla wszystkich głównych wersji systemu iOS. Weryfikacja może zostać przeprowadzona wyłącznie na ostatecznej wersji modułu i formalnie złożona wraz z oficjalną premierą systemu operacyjnego. W programie CMVP stan weryfikacji modułów kryptograficznych znajduje się teraz na dwóch odrębnych listach, w zależności od bieżącego stanu. Moduły początkowo znajdują się na stronie Lista wdrożeń poddawanych testom, a następnie zostają przeniesione na stronę Lista modułów w toku.

System iOS 12

Apple aktywnie angażuje się w proces atestacji modułów CoreCrypto 9.0 w systemie iOS 12, który będzie dostępny jeszcze w tym roku.

Poprzednie wersje

Wymienione poniżej poprzednie wersje systemu iOS miały atestacje modułów kryptograficznych i są teraz zarchiwizowane:

  • iOS 8
  • iOS 7

Przewodniki po konfiguracji zabezpieczeń

Organizacje zajmujące się kwestiami bezpieczeństwa dostarczają starannie zdefiniowane i sprawdzone wytyczne dotyczące konfigurowania różnych platform, tak aby spełniały warunki akceptowanego użytku. Przewodniki po konfiguracji zabezpieczeń zawierają omówienie funkcji, przy użyciu których można zapewnić lepszą ochronę urządzeniu z systemem macOS lub iOS. Przedstawiciele rządów z całego świata we współpracy z firmą Apple, przygotowali przewodniki stanowiące zbiór instrukcji i zaleceń dotyczących utrzymywania bezpieczeństwa środowiska na wyższym poziomie. 

Przewodniki te są przeznaczone dla osób, które są doświadczonymi użytkownikami lub administratorami systemów, znają interfejs użytkownika i mają już pewne doświadczenie w korzystaniu z narzędzi służących do zarządzania docelową platformą. Wskazana jest też znajomość podstawowych zagadnień związanych z sieciami. Niektóre instrukcje zawarte w przewodnikach są dość złożone, a niewłaściwe zastosowanie się do nich może wywołać niekorzystne skutki lub doprowadzić do pogorszenia ochrony. Przed wdrożeniem należy dogłębnie przetestować wszelkie zmiany wprowadzone w ustawieniach urządzeń.

Więcej informacji zawiera przewodnik Bezpieczeństwo systemu iOS (PDF).

Certyfikaty zabezpieczeń

Poniżej przedstawiono zidentyfikowane publicznie, aktywne i ukończone certyfikacje firmy Apple.

Certyfikacja ISO 27001 i 27018

Apple otrzymała certyfikaty ISO 27001 i ISO 27018 dla systemu zarządzania bezpieczeństwem informacji obejmującego infrastrukturę, opracowanie i działanie następujących produktów i usług: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Zarządzane konta Apple ID, Siri oraz aplikacja Zadane zgodnie z Deklaracją stosowania w wersji 2.1 z 11 lipca 2017 r. Zgodność Apple z normą ISO została potwierdzona certyfikatem wydanym przez British Standards Institution (BSI). Witryna internetowa BSI ma certyfikaty zgodności z normami ISO 27001 i ISO 27018.

Certyfikaty Common Criteria

Celem określonym przez społeczność Common Criteria jest opracowanie uznanego na świecie zestawu standardów zabezpieczeń, który dostarcza jasnej i wiarygodnej oceny możliwości produktów informatycznych w kontekście zabezpieczeń. Oferując niezależną ocenę możliwości produktu w kwestii zgodności ze standardami zabezpieczeń, certyfikaty Common Criteria dają klientom większe zaufanie do produktów informatycznych w zakresie zabezpieczeń i prowadzą do podejmowania decyzji w oparciu o dokładniejsze informacje.

W ramach porozumienia Common Criteria Recognition Arrangement (CCRA) państwa sygnatariusze zgodziły się akceptować certyfikaty produktów informatycznych z tym samym poziomem zaufania. Liczba uczestników oraz zakres i szczegółowość profilów ochrony rośnie co roku, uwzględniając rozwijające się technologie. Dzięki temu porozumieniu deweloper produktu może uzyskać jeden certyfikat w ramach dowolnego schematu autoryzacji.

Wcześniejsze profile ochrony zostały zarchiwizowane i rozpoczęło się ich zastępowanie przez proces tworzenia docelowych profilów ochrony, które skupiają się na określonych rozwiązaniach i środowiskach. W ramach skoordynowanych działań, których celem jest zapewnienie wzajemnego uznania przez wszystkich sygnatariuszy porozumienia CCRA, organizacja International Technical Community (iTC) kontynuuje rozwój wszystkich przyszłych profilów ochrony i uaktualnień do wspólnych profilów ochrony (Collaborative Protection Profiles, cPP), które od początku są projektowane z myślą o uwzględnieniu wielu schematów.

Firma Apple na początku 2015 r. rozpoczęła uzyskiwanie certyfikatów w ramach nowych, zrestrukturyzowanych kryteriów Common Criteria z użyciem wybranych profilów ochrony. Poniżej przedstawiono zidentyfikowane publicznie, aktywne i ukończone certyfikacje firmy Apple. 

iOS 11

 

Wytyczne Protection Profile

VID

Zakończenie

Urządzenie mobilne

PP_MD_v3.1

10851

30.03.2018 r.

Agent MDM

EP_MDM_Agent_v3.0

10851

30.03.2018 r.

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018 r.

Klient VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018 r.

Oprogramowanie aplikacji (Kontakty)

PP_APP_v1.2

10915

Szacowany termin: sierpień 2018 r.

Przeglądarka (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Szacowany termin: sierpień 2018 r.

Poprzednie wersje

Poprzednie wersje systemu iOS miały atestacje, które są teraz zarchiwizowane:

  • iOS 10
  • iOS 9

Oczekuje się, że uaktualnienia wersji głównej profilów ochrony przez społeczność Common Criteria będą publikowane w tempie 12–18 miesięcy wraz z dodatkowymi lub uaktualnionymi wymaganiami funkcjonalnymi zabezpieczeń (Security Functional Requirements, SFR).

W portalu Common Criteria Portal można znaleźć pełną listę profilów ochrony (PP) i wspólnych profilów ochrony (cPP) wraz z ich datami ważności. Można je także znaleźć w wybranym schemacie, takim jak amerykański schemat National Information Assurance Partnership (NIAP).

Zatwierdzone do użytku rządowego

Informacje od wybranych krajów, które zatwierdziły urządzenia do użytku rządowego.

Rząd Australii


Podsumowanie wykonane na podstawie strony EPL — Evaluated Products List:

Australijska Dyrekcja ds. Sygnałów (Australian Signals Directorate, ASD) prowadzi listę produktów ocenionych (Evaluated Products List, EPL), na której znajdują się produkty zabezpieczeń ICT ocenione przez ASD jako nadające się do użycia przez australijskie i nowozelandzkie agencje rządowe.

Produkt: iOS 9
Rodzaj produktu: produkty mobilne
Status produktu: ukończono
Poziom zapewnienia ochrony: oceniony przez ASD
Wersja: 9.3.5 lub nowsza
Wytyczne: PDF

Rząd Wielkiej Brytanii


Podsumowanie wykonano na podstawie strony NCSC Commercial Product Assurance — produkty z oceną Foundation Grade:

CPA ocenia komercyjne gotowe produkty i ich deweloperów pod kątem opublikowanych standardów bezpieczeństwa i opracowania. Produkt wyposażony w zabezpieczenia, który został dobrze oceniony, otrzymuje certyfikat Foundation Grade. Oznacza to, że produkt okazał się komercyjnie bezpieczny i jest odpowiedni dla środowisk o mniejszym poziomie zagrożenia.

  • Certyfikat CPA jest ważny przez dwa lata, a podczas obowiązywania certyfikatu produkty mogą być uaktualniane z uwagi na potrzebę usuwania luk w zabezpieczeniach i przeprowadzania uaktualnień.
  • Certyfikat CPA jest akceptowany przez katalog NATO i jest uznawany jako jedna z ocen wymaganych do katalogu UE.
  • Certyfikat Foundation Grade jest szerzej objaśniony przez NCSC.

Rząd Stanów Zjednoczonych


Jak stwierdzono na stronie Commercial Solutions for Classified:

Amerykańscy klienci rządowi coraz częściej wymagają możliwości natychmiastowego wykorzystania najnowocześniejszych komercyjnych technologii sprzętowych i programowych w narodowych systemach bezpieczeństwa, aby możliwe było realizowanie wyznaczanych celów. Z tego powodu dyrektoriat Information Assurance Directorate (IAD) amerykańskich agencji National Security Agency/Central Security Service (NSA/CSS) rozwija nowe sposoby wykorzystania rozwijających się technologii w celu szybszego dostarczania rozwiązań zabezpieczeń informacji, co pozwoli spełniać szybko zmieniające się wymagania klientów.

Program Commercial Solutions for Classified (CSfC) agencji NSA/CSS został utworzony w celu umożliwienia użycia produktów komercyjnych w rozwiązaniach warstwowych, które chronią poufne dane NSS. Zapewnia to możliwość bezpiecznej komunikacji w oparciu o standardy komercyjne w rozwiązaniu, które można wdrożyć w ciągu kilku miesięcy, a nie lat.

Coraz większa liczba środowisk wykorzystujących poufne dane chciałaby wdrożyć rozwiązania firmy Apple, ale nie było to możliwe ze względu na certyfikacje produktów. Dążenie firmy Apple do uzyskania certyfikatów Common Criteria dla powyższych profilów ochrony spowodowało umieszczenie produktów tej firmy na liście komponentów CSfC.

Po rozpoczęciu procesu certyfikacji Common Criteria produktów firmy Apple pod kątem wszystkich powiązanych profilów ochrony odpowiednie komponenty firmy Apple zostaną przesłane do akceptacji na liście komponentów CSfC i dodane poniżej.

Lista komponentów CSfC

Następujących produktów Apple można używać w rozwiązaniu CSfC:

Dodaj produkty firmy Apple do swojej listy produktów

Rosnąca liczba środowisk rządowych wyraziła prośbę, aby produkty firmy Apple zostały włączone do ich programów przypominających programy CPA, EPL oraz CSfC. Osoby będące autoryzowanymi przedstawicielami rządowego programu rozwiązań i zainteresowane umieszczeniem produktów firmy Apple na analogicznych listach produktów powinny skontaktować się z nami pod adresem security-certifications@apple.com.

Inne systemy operacyjne

Dowiedz się więcej na temat certyfikatów zabezpieczeń produktów, atestacji i wytycznych dotyczących:

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: