Сертификация, подтверждение безопасности продуктов и рекомендации для ОС iOS

В этой статье содержатся ссылки на ресурсы с информацией о сертификации ключевых продуктов и проверке криптографических модулей, а также с рекомендациями по безопасности платформ с ОС iOS. Свяжитесь с нами по адресу security-certifications@apple.com, если у вас есть вопросы.

Проверки криптографических модулей

Все сертификаты, выданные по результатам проверки криптографических модулей Apple на соответствие стандарту FIPS 140-2, приведены на странице поставщиков на сайте CMVP. Компания Apple активно участвует в проверке модулей CoreCrypto и CoreCrypto Kernel для каждого эталонного выпуска iOS. Проверяться могут только окончательные версии модулей. Результаты передаются на официальное рассмотрение после выпуска ОС. В настоящее время CMVP ведет два отдельных списка состояния проверки криптографических модулей. Сначала модули попадают в список тестируемых реализаций, а затем переходят в список обрабатываемых модулей.

iOS 12

Компания Apple активно участвует в проверке модулей CoreCrypto версии 9.0, используемых в ОС iOS 12, выпуск которой состоится в этом году.

Предыдущие версии

Предыдущие версии ОС iOS, перечисленные ниже, прошли проверку криптографических модулей и в настоящее время хранятся в архиве.

  • iOS 8
  • iOS 7

Руководства по настройке системы безопасности

Организации, обеспечивающие безопасность, предоставляют четкие и проверенные инструкции по настройке различных платформ для их дальнейшего санкционированного использования. В руководствах по настройке системы безопасности предоставляется краткий обзор функций ОС macOS и iOS, которые используются для улучшения защиты (для так называемой «закалки устройства»). Правительственные организации по всему миру вместе с компанией Apple разрабатывают руководства, в которых предоставляются инструкции и рекомендации по созданию более безопасной среды. 

Чтобы использовать эти руководства, вы должны быть опытным пользователем или системным администратором, знать пользовательский интерфейс и иметь представление о принципах работы инструментов управления для целевой платформы. Желательно также понимать основные принципы организации сетей. Некоторые инструкции в руководствах могут быть довольно сложными, однако отклонение от них может привести к нежелательным последствиям или снижению уровня защиты. Внимательно проверяйте все изменения, вносимые в настройки устройства, прежде чем принять их.

Дополнительные сведения см. в руководстве Безопасность iOS (PDF).

Сертификация безопасности

Список официально анонсированных, текущих и завершенных процедур сертификации продуктов компании Apple.

Сертификация ISO 27001 и 27018

Компания Apple получила сертификаты ISO 27001 и ISO 27018 для системы управления информационной безопасностью в отношении инфраструктуры, процессов разработки и процедур поддержки таких продуктов и услуг, как Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, управляемые идентификаторы Apple ID и Schoolwork, в соответствии с декларацией о применимости версии 2.1 от 7 ноября 2017 г. Сертификат о соответствии продуктов и услуг Apple стандартам ISO был выдан Британским институтом стандартов (BSI). На веб-сайте BSI доступны сертификаты соответствия стандартам ISO 27001 и ISO 27018.

Сертификация по общим критериям

Целью, как указано в сообществе Common Criteria, является создание международного утвержденного набора стандартов безопасности для понятной и точной оценки уровня безопасности информационных технологий. Сертификация по общим критериям позволяет получить независимую оценку соответствия продукта стандартам безопасности, тем самым давая клиентам большую уверенность в безопасности информационных технологий и возможность принимать более взвешенные решения.

Подписав соглашение о признании общих критериев (CCRA), государства-участники согласились признавать сертификацию информационных технологий с одинаковым уровнем доверия. В связи с постоянным появлением новых технологий количество государств, поддерживающих эти критерии, а также сложность профилей защиты и их число ежегодно увеличиваются. Это соглашение дает разработчикам продуктов возможность проходить единую сертификацию по одной из схем авторизации.

Предыдущие профили защиты были признаны устаревшими и теперь постепенно заменяются целевыми профилями защиты, в которых основное внимание уделено конкретным решениям и средам. В связи с необходимостью обеспечить дальнейшую поддержку нового подхода во всех странах, подписавших соглашение CCRA, Международное техническое сообщество (International Technical Community — iTC) продолжает разрабатывать профили защиты нового поколения и обновлять совместные профили защиты (Collaborative Protection Profiles — cPP), которые с самого начала разрабатывались с использованием нескольких схем.

В начале 2015 г. компания Apple начала проходить сертификацию на соответствие некоторым профилям защиты, разработанным с учетом системы общих критериев. Ниже перечислены официально анонсированные, текущие и завершенные процедуры сертификации продуктов компании Apple. 

iOS 11

 

Профиль защиты

Идентификатор VID

Готовность

Мобильное устройство

PP_MD_v3.1

10851

30 марта 2018 г.

Агент MDM

EP_MDM_Agent_v3.0

10851

30 марта 2018 г.

Агент WLAN

PP_WLAN_CLI_EP_v1.0

10851

30 марта 2018 г.

Клиент VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10 мая 2018 г.

Прикладное программное обеспечение (Контакты)

PP_APP_v1.2

10915

Ориентировочное время выпуска: август 2018 г.

Браузер (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Ориентировочное время выпуска: август 2018 г.

Предыдущие версии

Предыдущие версии iOS имели сертификации, которые в настоящее время находятся в архиве:

  • iOS 10
  • iOS 9

Ожидается, что основные обновления версий профилей защиты сообщества Common Criteria будут публиковаться каждые 12–18 месяцев с дополнениями или обновлениями функциональных требований безопасности.

На портале Common Criteria доступен полный список профилей защиты и совместных профилей защиты, а также сроков их действия. Их можно также найти в выбранной схеме авторизации, такой как National Information Assurance Partnership (NIAP), которая является американской.

Одобрено для использования правительством

Информация из некоторых стран, которые одобрили устройства для использования правительством.

Правительство Австралии


Как указано на странице списка апробированных продуктов:

Австралийское агентство Australian Signals Directorate (ASD) ведет список апробированных продуктов (Evaluated Products List — EPL) для безопасных продуктов информационно-коммуникационной технологии, проверенных агентством ASD для использования в правительственных учреждениях Австралии и Новой Зеландии.

Продукт: ОС iOS 9
Тип продукта: мобильные продукты
Состояние продукта: завершено
Степень безопасности: оценено агентством ASD
Версия: 9.3.5 или выше
Руководство: PDF

Правительство Великобритании


Как указано на странице национального центра кибербезопасности (NCSC) Гарантия качества коммерческой продукции — продукты с сертификацией Foundation Grade:

Сертификация CPA оценивает коммерчески доступные продукты и их производителей по опубликованным стандартам безопасности и разработки. Средство обеспечения безопасности, которое положительно оценено, получает сертификат Foundation Grade. Это означает, что при проверке продукт продемонстрировал хорошую промышленную безопасность и подходит для сред с более низким уровнем угроз.

  • Сертификация CPA действует в течение 2 лет и позволяет в течение срока действия сертификации по мере необходимости выполнять обновления продуктов при обнаружении уязвимостей. 
  • Сертификация CPA принимается в каталоге НАТО и признается одним из способов проверки, которую необходимо пройти для внесения в каталог ЕС.
  • Понятие Foundation Grade более подробно объясняется на странице организации NCSC.

Правительство США


Как указано на странице Коммерческие решения для секретных программных компонентов:

Для достижения поставленных целей клиентам правительства США все чаще требуется незамедлительно внедрять в системы национальной безопасности самые современные аппаратные и программные коммерческие решения. Поэтому управление по обеспечению целостности и безопасности информации Агентства национальной безопасности/Центральной службы безопасности (National Security Agency/Central Security Service's — NSA/CSS) разрабатывает новые способы использования передовых технологий для своевременного предоставления решений по обеспечению целостности и безопасности информации, призванных удовлетворить быстро растущие требования клиентов.

Цель программы NSA/CSS по коммерческим решениям для секретных программных компонентов — поиск возможностей использования коммерческих продуктов в многоуровневых решениях, используемых для защиты секретных компонентов системы национальной безопасности. Таким образом, Агентство сможет секретно передавать данные с помощью решения на основе коммерческих стандартов, которое можно будет использовать через несколько месяцев, а не лет.

Число желающий развернуть решения Apple в своих конфиденциальных средах постоянно растет, но они вынуждены ждать окончания сертификации продукции. Поскольку компания Apple проходит сертификацию по общим критериям на соответствие указанным выше профилям защиты, ее продукты указаны и доступны в списке коммерческих решений для секретных программных компонентов.

Сразу после начала дополнительной сертификации продуктов Apple по общим критериям на соответствие каждому из смежных профилей защиты компоненты Apple в составе этих продуктов будут отправлены на утверждение в качестве коммерческих решений для секретных программных компонентов и добавлены в следующую таблицу.

Список коммерческих решений для секретных программных компонентов

Следующие продукты Apple разрешены к использованию в решениях для секретных программных компонентов CSfC:

Добавление продуктов Apple в список продуктов

Число правительственных агентств, которые запросили отправку продуктов Apple для проверки в свои программы, аналогичные CPA, EPL и коммерческим решениям для секретных программных компонентов, постоянно растет. Если вы являетесь официальным представителем государственной программы по внедрению решений и заинтересованы в том, чтобы продукты Apple были добавлены в подобный список ваших продуктов, напишите нам по адресу security-certifications@apple.com.

Другие операционные системы

Дополнительная информация о безопасности, проверках и рекомендациях для следующих продуктов.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: