Certyfikaty zabezpieczeń produktów, atestacje i wytyczne dotyczące systemu iOS

Ten artykuł zawiera odnośniki do najważniejszych certyfikatów produktów, atestacji kryptograficznych oraz wytycznych dotyczących zabezpieczeń na platformach iOS. Prosimy o przesyłanie pytań na adres security-certifications@apple.com.

Weryfikacja modułów kryptograficznych

Wszystkie certyfikaty zgodności produktów Apple ze standardem FIPS 140-2 znajdują się na stronie producenta w programie CMVP. Apple aktywnie angażuje się w weryfikowanie modułów kryptograficznych CoreCrypto i CoreCrypto Kernel dla wszystkich głównych wersji systemu iOS. Weryfikacja może zostać przeprowadzona wyłącznie na ostatecznej wersji modułu i formalnie złożona wraz z oficjalną premierą systemu operacyjnego. W programie CMVP stan weryfikacji modułów kryptograficznych znajduje się teraz na dwóch odrębnych listach, w zależności od bieżącego stanu. Moduły początkowo znajdują się na stronie Lista wdrożeń poddawanych testom, a następnie zostają przeniesione na stronę Lista modułów w toku.

System iOS 12

Przewodniki po konfiguracji zabezpieczeń

Organizacje zajmujące się kwestiami bezpieczeństwa dostarczają starannie zdefiniowane i sprawdzone wytyczne dotyczące konfigurowania różnych platform, tak aby spełniały warunki akceptowanego użytku. Przewodniki po konfiguracji zabezpieczeń zawierają omówienie funkcji, przy użyciu których można zapewnić lepszą ochronę urządzeniu z systemem macOS lub iOS. Przedstawiciele rządów z całego świata we współpracy z firmą Apple, przygotowali przewodniki stanowiące zbiór instrukcji i zaleceń dotyczących utrzymywania bezpieczeństwa środowiska na wyższym poziomie. 

Przewodniki te są przeznaczone dla osób, które są doświadczonymi użytkownikami lub administratorami systemów, znają interfejs użytkownika i mają już pewne doświadczenie w korzystaniu z narzędzi służących do zarządzania docelową platformą. Wskazana jest też znajomość podstawowych zagadnień związanych z sieciami. Niektóre instrukcje zawarte w przewodnikach są dość złożone, a niewłaściwe zastosowanie się do nich może wywołać niekorzystne skutki lub doprowadzić do pogorszenia ochrony. Przed wdrożeniem należy dogłębnie przetestować wszelkie zmiany wprowadzone w ustawieniach urządzeń.

Więcej informacji zawiera przewodnik Bezpieczeństwo systemu iOS (PDF).

DE (BSI)
Podstawowy przewodnik dotyczący bezpieczeństwa systemu iOS (Grundschutz iOS)
Przewodnik dotyczący wdrażania systemu iOS (Umsetzungshinweise iOS)

UK (NCSC)
Wytyczne dotyczące urządzeń użytkowników końcowych z systemami iOS i macOS

USA (DISA, NIST, NSA)
Podręcznik realizacji technicznej zabezpieczeń (STIG) dla systemu Apple iOS 12
SCAP-on-Apple
Organizacja Center for Internet Security (CIS)
Organizacja Center for Internet Security (CIS) — iOS

AU (ASD)
Wytyczne dotyczące zwiększania poziomu bezpieczeństwa systemu iOS
Podręcznik zwiększania poziomu bezpieczeństwa systemu iOS (PDF)
Podręcznik zwiększania poziomu bezpieczeństwa systemu iOS (iBook)

NZ (GCSB)
Wytyczne dotyczące zwiększania poziomu bezpieczeństwa systemu iOS
Podręcznik zwiększania poziomu bezpieczeństwa systemu iOS (PDF)
Podręcznik zwiększania poziomu bezpieczeństwa systemu iOS (iBook)

Certyfikaty zabezpieczeń

Poniżej przedstawiono zidentyfikowane publicznie, aktywne i ukończone certyfikacje firmy Apple.

Certyfikacja ISO 27001 i 27018

Apple otrzymała certyfikaty ISO 27001 i ISO 27018 dla systemu zarządzania bezpieczeństwem informacji obejmującego infrastrukturę, opracowanie i działanie następujących produktów i usług: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, Zarządzane konta Apple ID, Siri oraz aplikacja Zadane zgodnie z Deklaracją stosowania w wersji 2.1 z 11 lipca 2017 r. Zgodność Apple z normą ISO została potwierdzona certyfikatem wydanym przez British Standards Institution (BSI). Witryna internetowa BSI ma certyfikaty zgodności z normami ISO 27001 i ISO 27018.

Certyfikaty Common Criteria

Celem określonym przez społeczność Common Criteria jest opracowanie uznanego na świecie zestawu standardów zabezpieczeń, który dostarcza jasnej i wiarygodnej oceny możliwości produktów informatycznych w kontekście zabezpieczeń. Oferując niezależną ocenę możliwości produktu w kwestii zgodności ze standardami zabezpieczeń, certyfikaty Common Criteria dają klientom większe zaufanie do produktów informatycznych w zakresie zabezpieczeń i prowadzą do podejmowania decyzji w oparciu o dokładniejsze informacje.

W ramach porozumienia Common Criteria Recognition Arrangement (CCRA) państwa i regiony sygnatariusze zgodziły się akceptować certyfikaty produktów informatycznych z tym samym poziomem zaufania. Liczba uczestników oraz zakres i szczegółowość profilów ochrony rośnie co roku, uwzględniając rozwijające się technologie. Dzięki temu porozumieniu deweloper produktu może uzyskać jeden certyfikat w ramach dowolnego schematu autoryzacji.

Wcześniejsze profile ochrony zostały zarchiwizowane i rozpoczęło się ich zastępowanie przez proces tworzenia docelowych profilów ochrony, które skupiają się na określonych rozwiązaniach i środowiskach. W ramach skoordynowanych działań, których celem jest zapewnienie wzajemnego uznania przez wszystkich sygnatariuszy porozumienia CCRA, organizacja International Technical Community (iTC) kontynuuje rozwój wszystkich przyszłych profilów ochrony i uaktualnień do wspólnych profilów ochrony (Collaborative Protection Profiles, cPP), które od początku są projektowane z myślą o uwzględnieniu wielu schematów.

Firma Apple na początku 2015 r. rozpoczęła uzyskiwanie certyfikatów w ramach nowych, zrestrukturyzowanych kryteriów Common Criteria z użyciem wybranych profilów ochrony. Poniżej przedstawiono zidentyfikowane publicznie, aktywne i ukończone certyfikacje firmy Apple. 

iOS 12

 

Wytyczne Protection Profile

VID

Zakończenie

Urządzenie mobilne

PP_MD_v3.1

10937

marzec 2019 r.

Agent MDM

EP_MDM_Agent_v3.0

10937

marzec 2019 r.

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10937

marzec 2019 r.

Klient VPN

MOD_VPN_CLI_V2.1

10937

marzec 2019 r.

Oprogramowanie aplikacji (Kontakty)

PP_APP_v1.2

10961

luty 2019 r.

Przeglądarka (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

Szacowany termin: marzec 2019 r.

In Eval Link

iOS 11

 

Wytyczne Protection Profile

VID

Zakończenie

Urządzenie mobilne

PP_MD_v3.1

10851

30.03.2018 r.

Agent MDM

EP_MDM_Agent_v3.0

10851

30.03.2018 r.

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018 r.

Klient VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10.05.2018 r.

Oprogramowanie aplikacji (Kontakty)

PP_APP_v1.2

10915

13.09.2018 r.

Przeglądarka (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

09.11.2018 r.

Poprzednie wersje

Poprzednie wersje systemu iOS miały atestacje, które są teraz zarchiwizowane:

  • iOS 10
  • iOS 9

Oczekuje się, że uaktualnienia wersji głównej profilów ochrony przez społeczność Common Criteria będą publikowane w tempie 12–18 miesięcy wraz z dodatkowymi lub uaktualnionymi wymaganiami funkcjonalnymi zabezpieczeń (Security Functional Requirements, SFR).

W portalu Common Criteria Portal można znaleźć pełną listę profilów ochrony (PP) i wspólnych profilów ochrony (cPP) wraz z ich datami ważności. Można je także znaleźć w wybranym schemacie, takim jak amerykański schemat National Information Assurance Partnership (NIAP).

Zatwierdzone do użytku rządowego

Informacje od wybranych krajów i regionów, które zatwierdziły urządzenia do użytku rządowego.

Rząd Australii

Podsumowanie wykonane na podstawie strony EPL — Evaluated Products List:

Australijska Dyrekcja ds. Sygnałów (Australian Signals Directorate, ASD) prowadzi listę produktów ocenionych (Evaluated Products List, EPL), na której znajdują się produkty zabezpieczeń ICT ocenione przez ASD jako nadające się do użycia przez australijskie i nowozelandzkie agencje rządowe.

Produkt: iOS 9
Rodzaj produktu: produkty mobilne
Status produktu: ukończono
Poziom zapewnienia ochrony: oceniony przez ASD
Wersja: 9.3.5 lub nowsza
Wytyczne: PDF

Rząd Wielkiej Brytanii

Podsumowanie wykonano na podstawie strony NCSC Commercial Product Assurance — produkty z oceną Foundation Grade:

CPA ocenia komercyjne gotowe produkty i ich deweloperów pod kątem opublikowanych standardów bezpieczeństwa i opracowania. Produkt wyposażony w zabezpieczenia, który został dobrze oceniony, otrzymuje certyfikat Foundation Grade. Oznacza to, że produkt okazał się komercyjnie bezpieczny i jest odpowiedni dla środowisk o mniejszym poziomie zagrożenia.

  • Certyfikat CPA jest ważny przez dwa lata, a podczas obowiązywania certyfikatu produkty mogą być uaktualniane z uwagi na potrzebę usuwania luk w zabezpieczeniach i przeprowadzania uaktualnień.
  • Certyfikat CPA jest akceptowany przez katalog NATO i jest uznawany jako jedna z ocen wymaganych do katalogu UE.
  • Certyfikat Foundation Grade jest szerzej objaśniony przez NCSC.

Rząd Niemiec

Jak stwierdzono na stronie Mobile Communication:

Omówienie

Smartfony i tablety zapewniają wiele korzyści zarówno w życiu prywatnym, jak i zawodowym, co sprawia, że są nieodłączną częścią codziennego życia. Jednak w przypadku poufnych informacji korzystanie z mobilnych technologii informacyjnych i komunikacyjnych często odbywa się kosztem bezpieczeństwa.

Bezpieczne mobilne rozwiązania komunikacyjne przeznaczone do użytku federalnego muszą spełniać wszystkie wymagania związane nowoczesnymi mobilnymi sposobami pracy oraz wysokie standardy bezpieczeństwa dotyczące przetwarzania poufnych danych.

Kluczowe znaczenie w kontekście bezpieczeństwa dostaw dla administracji federalnej ma także znalezienie kilku dostawców. Szczegółowe informacje znajdują się w broszurze „Bezpieczna praca mobilna: definicja zagadnienia, wymagania techniczne i rozwiązania oparte na wymaganiach związanych z urządzeniami mobilnymi wykorzystywanymi w administracji federalnej”.

SecurePIM Government SDS

System operacyjny: iOS

Zatwierdzenie dla VS-NfD

Producent: Virtual Solution AG

Najnowsze urządzenia z systemem iOS (iPhone, iPad z systemem iOS w wersji 12 lub nowszej)

Rząd Stanów Zjednoczonych

Jak stwierdzono na stronie Commercial Solutions for Classified:

Amerykańscy klienci rządowi coraz częściej wymagają możliwości natychmiastowego wykorzystania najnowocześniejszych komercyjnych technologii sprzętowych i programowych w narodowych systemach bezpieczeństwa, aby możliwe było realizowanie wyznaczanych celów. Z tego powodu dyrektoriat Information Assurance Directorate (IAD) amerykańskich agencji National Security Agency/Central Security Service (NSA/CSS) rozwija nowe sposoby wykorzystania rozwijających się technologii w celu szybszego dostarczania rozwiązań zabezpieczeń informacji, co pozwoli spełniać szybko zmieniające się wymagania klientów.

Program Commercial Solutions for Classified (CSfC) agencji NSA/CSS został utworzony w celu umożliwienia użycia produktów komercyjnych w rozwiązaniach warstwowych, które chronią poufne dane NSS. Zapewnia to możliwość bezpiecznej komunikacji w oparciu o standardy komercyjne w rozwiązaniu, które można wdrożyć w ciągu kilku miesięcy, a nie lat.

Coraz większa liczba środowisk wykorzystujących poufne dane chciałaby wdrożyć rozwiązania firmy Apple, ale nie było to możliwe ze względu na certyfikacje produktów. Dążenie firmy Apple do uzyskania certyfikatów Common Criteria dla powyższych profilów ochrony spowodowało umieszczenie produktów tej firmy na liście komponentów CSfC.

Po rozpoczęciu procesu certyfikacji Common Criteria produktów firmy Apple pod kątem wszystkich powiązanych profilów ochrony odpowiednie komponenty firmy Apple zostaną przesłane do akceptacji na liście komponentów CSfC i dodane poniżej.

Lista komponentów CSfC

Następujących produktów Apple można używać w rozwiązaniu CSfC:

Dodaj produkty firmy Apple do swojej listy produktów

Rosnąca liczba środowisk rządowych wyraziła prośbę, aby produkty firmy Apple zostały włączone do ich programów przypominających programy CPA, EPL oraz CSfC. Osoby będące autoryzowanymi przedstawicielami rządowego programu rozwiązań i zainteresowane umieszczeniem produktów firmy Apple na analogicznych listach produktów powinny skontaktować się z nami pod adresem security-certifications@apple.com.

Inne systemy operacyjne

Dowiedz się więcej na temat certyfikatów zabezpieczeń produktów, atestacji i wytycznych dotyczących:

Informacje o produktach niewytworzonych przez Apple lub o niezależnych witrynach internetowych, których Apple nie kontroluje ani nie testuje, są udostępniane bez żadnej rekomendacji ani poparcia. Apple nie ponosi żadnej odpowiedzialności za wybór, działanie lub wykorzystanie takich witryn lub produktów innych firm. Apple nie składa żadnych oświadczeń dotyczących dokładności lub wiarygodności witryn internetowych innych firm. Ryzyko jest wpisane w korzystanie z Internetu. Skontaktuj się z dostawcą, aby uzyskać więcej informacji. Pozostałe nazwy firm i produktów mogą być znakami towarowymi odpowiednich podmiotów.

Data publikacji: