Securitatea produselor iOS: certificări, validări și îndrumări

Acest articol conține referințe la certificări de produse, validări criptografice și îndrumări importante privind securitatea pentru platforme iOS. Dacă ai întrebări, contactează-ne la security-certifications@apple.com.

Validări ale modulelor criptografice

Toate certificatele de validare Apple în ceea ce privește conformitatea cu norma FIPS 140-2 sunt disponibile pe pagina cu furnizorii care se conformează CMVP. Apple se angajează activ în validarea modulelor CoreCrypto și CoreCrypto Kernel în cazul fiecărei ediții majore de iOS. Validarea nu poate fi efectuată decât în raport cu o versiune finală de lansare de modul și nu poate fi publicată oficial decât după lansarea publică a sistemului de operare. Acum CMVP administrează starea de validare a modulelor criptografice în două liste separate, în funcție de starea lor actuală. Modulele sunt inițiate în Lista Implementation Under Test și continuă în Lista Modules in Process.

iOS 12

Apple se angajează activ în validarea modulelor CoreCrypto v9.0, utilizate în iOS 12, care vor fi lansate mai târziu în acest an.

Versiuni anterioare

Versiunile anterioare de iOS au avut validări de modul criptografic, care sunt acum arhivate:

  • iOS 8
  • iOS 7

Ghiduri de configurare a securității

Organizațiile concentrate pe securitate oferă îndrumare bine definită și verificată pentru modul de configurare a diferitelor platforme pentru utilizarea acceptată. Ghidurile de configurare a securității asigură o prezentare generală a caracteristicilor din macOS și iOS pe care le poți utiliza pentru a îmbunătăți protecția; acest lucru este cunoscut drept „consolidarea dispozitivului”. Guverne din lumea întreagă au colaborat cu Apple și au dezvoltat ghiduri concepute pentru a oferi instrucțiuni și recomandări pentru întreținerea unui mediu mai securizat. 

Pentru a utiliza aceste ghiduri, trebuie să fii un utilizator experimentat sau administrator de sistem, să fii familiarizat cu interfața cu utilizatorul și să ai cunoștințe privind modul de lucru al instrumentelor de administrare pentru platforma vizată. Este bine să fii familiar cu conceptele de bază privind lucrul în rețea. Anumite instrucțiuni din ghiduri sunt complexe, iar nerespectarea strictă poate duce la efecte nefavorabile sau la o protecție redusă. Înaintea implementării, testează temeinic toate modificările efectuate asupra setărilor dispozitivului.

Află mai multe din Ghidul de securitate iOS (PDF).

Certificări de securitate

O listă cu certificările Apple identificate, active și finalizate în mod public.

Certificare ISO 27001 și 27018

Apple a primit certificări ISO 27001 și ISO 27018 pentru sistemul de gestionare a securității informațiilor destinat infrastructurii, dezvoltării și activităților care stau la baza acestor produse și servicii: Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, ID-uri Apple gestionate, Siri și Schoolwork în conformitate cu Statement of Applicability v2.1 din 11.07.2017. Respectarea de către Apple a standardelor ISO a fost certificată de British Standards Institution. Site-ul web BSI deține certificate de conformitate pentru ISO 27001 și ISO 27018.

Certificarea Common Criteria

Obiectivul, așa cum menționează comunitatea Common Criteria, este obținerea unui set de standarde de securitate care să asigure o evaluare transparentă și de încredere a capacităților de securitate ale produselor IT. Furnizând un cadru de evaluare independentă a capacităților unui produs de a respecta standardele de securitate, certificarea Common Criteria le oferă clienților mai multă încredere în securitatea produselor IT și are ca rezultat luarea unor decizii bazate pe o mai bună informare.

Prin intermediul acordului Common Criteria Recognition Arrangement (CCRA), țările membre au convenit să recunoască certificarea produselor IT acordându-le același nivel de încredere. Numărul membrilor înscriși, precum și amploarea profilurilor de protecție continuă să crească anual pe măsură ce apar noi tehnologii. Acest acord îi permite unui producător să vizeze obținerea unei singure certificări sub oricare dintre schemele de autorizare.

Profilurile PP (Protection Profiles - Profiluri de protecție) anterioare au fost arhivate și s-a început înlocuirea lor prin dezvoltarea unor profiluri de protecție orientate spre anumite soluții și medii. Într-un efort concertat de a asigura o recunoaștere reciprocă continuă între toți membrii CCRA, comunitatea iTC (International Technical Community - Comunitatea tehnică internațională) stimulează în permanență dezvoltarea și actualizarea profilurilor de protecție viitoare urmând linia profilurilor cPP (Collaborative Protection Profiles - Profiluri de protecție bazate pe colaborare), care sunt dezvoltate din start cu implicarea mai multor scheme.

Apple a început să urmărească obținerea certificărilor prevăzute de această nouă restructurare Common Criteria pentru anumite profiluri de protecție începând din prima parte a anului 2015. Certificările Apple identificate în mod public, active și finalizate sunt enumerate mai jos. 

iOS 11

 

Profil de protecție

VID

Finalizare

Dispozitiv mobil

PP_MD_v3.1

10851

30.03.2018

Agent MDM

EP_MDM_Agent_v3.0

10851

30.03.2018

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

30.03.2018

Client VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

2018.05.10

Software pentru aplicații (persoane de contact)

PP_APP_v1.2

10915

ETA:2018.08

Browser (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

ETA:2018.08

Versiuni anterioare

Versiunile anterioare de iOS au avut certificări care sunt acum arhivate:

  • iOS 10
  • iOS 9

În general, comunitatea Common Criteria publică actualizări importante ale profilurilor de protecție o dată la 12 - 18 luni. Acestea sunt însoțite de cerințe SFR (Security Functional Requirements - Cerințe funcționale de securitate) suplimentare sau actualizate.

În portalul Common Criteria poți găsi lista cu toate profilurile de protecție (PP) și cu toate profilurile de protecție bazate pe colaborare (cPP) însoțite de datele de valabilitate. De asemenea, le poți localiza sub Schema selectată, precum National Information Assurance Partnership (NIAP), care este schema din SUA.

Aprobat pentru uz guvernamental

Informații din țări selectate care au dispozitive aprobate pentru uz guvernamental.

Guvernul Australiei


Așa cum este rezumat în pagina EPL - Evaluated Products List (Lista produselor evaluate):

Australian Signals Directorate (ASD) administrează lista Evaluated Products List (EPL) de produse de securitate ICT evaluate de ASD pentru utilizare în agenții guvernamentale din Australia și Noua Zeelandă.

  • Produsele din lista EPL sunt certificate pentru scopuri specifice.
  • Produsele din lista EPL pot fi utilizate pentru construirea de sisteme și rețele securizate așa cum este descris în Information Security Manual (ISM) (Manualul de securizare a informațiilor) al Guvernului Australiei.
  • Produsele sunt certificate în raport cu Common Criteria (CC) (Criteriile comune) din ISO 15408 recunoscute la nivel internațional. Portalul CC listează alte produse cu certificare recunoscută mutual care pot fi, de asemenea, utilizate.
  • Oficiul de certificare ASD, Autoritatea de certificare pentru Australasia, supraveghează Australasian Information Security Evaluation Program (AISEP) (Programul de evaluare a securității informațiilor pentru Australasia) care administrează testarea produselor de către facilități licențiate de evaluări comerciale.
  • EPL listează, de asemenea, evaluările criptografice ale ASD.

Produs: iOS 9
Tip de produs: produse mobile
Stare produs: finalizat
Nivel de siguranță: evaluat de ASD
Versiune: 9.3.5 sau superioară
Ghid: PDF

Guvernul Regatului Unit


Așa cum este rezumat în pagina Commercial Product Assurance - products at foundation grade (Asigurarea produselor comerciale – produse de calitate de bază) a NCSC:

CPA evaluează produsele gata de folosință comerciale și dezvoltatorii lor în raport cu standardele de securitate și dezvoltare publicate. Unui produs de securitate evaluat cu succes i se atribuie certificare Foundation Grade (Calitate de bază). Acest lucru înseamnă că produsul s-a dovedit că demonstrează bunele practici de securitate comerciale și este potrivit pentru medii cu niveluri mai reduse de amenințare.

  • Certificarea CPA este valabilă timp de 2 ani și permite actualizarea produselor pe parcursul duratei de viață a certificării atunci când sunt necesare vulnerabilități și actualizări. 
  • Certificarea CPA este acceptată de catalogul NATO și recunoscută ca fiind una dintre evaluările necesare pentru catalogul UE.
  • Noțiunea Foundation Grade (Calitate de bază) este explicată detaliat de NCSC.

Guvernul SUA


Așa cum este specificat în pagina Commercial Solutions for Classified (Soluții comerciale pentru medii clasificate):

Clienții din rândul autorităților SUA cer din ce în ce mai insistent utilizarea imediată a celor mai moderne tehnologii hardware și software comerciale de pe piață în cadrul sistemelor NSS (National Security Systems - Sisteme de securitate națională) pentru a-și îndeplini îndatoririle profesionale. În consecință, conducerea departamentului Information Assurance (IAD) al instituției National Security Agency/Central Security Service (NSA/CSS) elaborează noi moduri de a valorifica tehnologiile emergente în vederea oferirii de soluții IA într-un mod mai oportun pentru îndeplinirea cerințelor din ce în ce mai exigente ale clienților.

Programul Commercial Solutions for Classified (CSfC) al NSA/CSS a fost inițiat pentru a permite folosirea produselor comerciale în cadrul soluțiilor stratificate de protejare a datelor NSS secrete. Astfel, va fi posibilă comunicarea securizată pe baza unor standarde comerciale prin intermediul unei soluții care poate fi implementată în câteva luni, nu în câțiva ani.

Un număr tot mai mare de medii clasificate doresc să implementeze soluții Apple, însă nu pot face acest lucru din motive de certificare a produselor. În urma acțiunilor companiei Apple de obținere de certificări Common Criteria în ceea ce privește profilurile de protecție menționate mai sus, produse Apple sunt listate și disponibile în Lista de componente CSfC.

Odată cu apariția de certificări Common Criteria suplimentare pentru produse Apple pentru fiecare dintre profilurile de protecție corelate, componentele Apple corespunzătoare vor fi trimise în vederea admiterii în Lista de componente CSfC și adăugării lor mai jos.

Listă de componente CSfC

Următoarele produse Apple sunt eligibile pentru a fi utilizate în cadrul unei soluții CSfC:

Adaugă produse Apple la lista ta de produse

Un număr tot mai mare de medii guvernamentale au solicitat remiterea de produse Apple în programele lor similare CPA, EPL și CSfC. Dacă sunteți un agent autorizat al unui program guvernamental de soluții și vă interesează admiterea de produse Apple într-o listă de produse echivalentă cu cea menționată anterior, contactați-ne la adresa security-certifications@apple.com.

Alte sisteme de operare

Află mai multe despre securitatea produselor, validări și îndrumări pentru:

Informaţiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu îşi asumă nicio responsabilitate în ceea ce priveşte selectarea, funcţionarea sau utilizarea site-urilor web sau produselor de la terţi. Apple nu face niciun fel de declaraţii privind acurateţea sau fiabilitatea site-urilor web terţe. La utilizarea Internetului, riscurile sunt inerente. Contactează distribuitorul pentru informaţii suplimentare. Alte nume de companii şi produse pot fi mărci comerciale ale proprietarilor respectivi.

Data publicării: