Сертификация, подтверждение безопасности продуктов и рекомендации для ОС iOS

В этой статье содержатся ссылки на ресурсы с информацией о сертификации ключевых продуктов и проверке криптографических модулей, а также с рекомендациями по безопасности платформ с ОС iOS. Свяжитесь с нами по адресу security-certifications@apple.com, если у вас есть вопросы.

Проверки криптографических модулей

Все сертификаты, выданные по результатам проверки криптографических модулей Apple на соответствие стандарту FIPS 140-2, приведены на странице поставщиков на сайте CMVP. Компания Apple активно участвует в проверке модулей CoreCrypto и CoreCrypto Kernel для каждого эталонного выпуска iOS. Проверяться могут только окончательные версии модулей. Результаты передаются на официальное рассмотрение после выпуска ОС. В настоящее время CMVP ведет два отдельных списка состояния проверки криптографических модулей. Сначала модули попадают в список тестируемых реализаций, а затем переходят в список обрабатываемых модулей.

iOS 12

Компания Apple активно участвует в проверке модулей CoreCrypto версии 9.0, используемых в ОС iOS 12, выпуск которой состоится в этом году.

Предыдущие версии

Предыдущие версии ОС iOS, перечисленные ниже, прошли проверку криптографических модулей и в настоящее время хранятся в архиве.

  • iOS 8
  • iOS 7

Руководства по настройке системы безопасности

Организации, обеспечивающие безопасность, предоставляют четкие и проверенные инструкции по настройке различных платформ для их дальнейшего санкционированного использования. В руководствах по настройке системы безопасности предоставляется краткий обзор функций ОС macOS и iOS, которые используются для улучшения защиты (для так называемой «закалки устройства»). Правительственные организации по всему миру вместе с компанией Apple разрабатывают руководства, в которых предоставляются инструкции и рекомендации по созданию более безопасной среды. 

Чтобы использовать эти руководства, вы должны быть опытным пользователем или системным администратором, знать пользовательский интерфейс и иметь представление о принципах работы инструментов управления для целевой платформы. Желательно также понимать основные принципы организации сетей. Некоторые инструкции в руководствах могут быть довольно сложными, однако отклонение от них может привести к нежелательным последствиям или снижению уровня защиты. Внимательно проверяйте все изменения, вносимые в настройки устройства, прежде чем принять их.

Дополнительные сведения см. в руководстве Безопасность iOS (PDF).

Сертификация безопасности

Список официально анонсированных, текущих и завершенных процедур сертификации продуктов компании Apple.

Сертификация ISO 27001 и 27018

Компания Apple получила сертификаты ISO 27001 и ISO 27018 для системы управления информационной безопасностью в отношении инфраструктуры, процессов разработки и процедур поддержки таких продуктов и услуг, как Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, управляемые идентификаторы Apple ID и Schoolwork, в соответствии с декларацией о применимости версии 2.1 от 7 ноября 2017 г. Сертификат о соответствии продуктов и услуг Apple стандартам ISO был выдан Британским институтом стандартов (BSI). На веб-сайте BSI доступны сертификаты соответствия стандартам ISO 27001 и ISO 27018.

Сертификация по общим критериям

Целью, как указано в сообществе Common Criteria, является создание международного утвержденного набора стандартов безопасности для понятной и точной оценки уровня безопасности информационных технологий. Сертификация по общим критериям позволяет получить независимую оценку соответствия продукта стандартам безопасности, тем самым давая клиентам большую уверенность в безопасности информационных технологий и возможность принимать более взвешенные решения.

Подписав соглашение о признании общих критериев (CCRA), страны и регионы-участники согласились признавать сертификацию информационных технологий с одинаковым уровнем доверия. В связи с постоянным появлением новых технологий количество государств, поддерживающих эти критерии, а также сложность профилей защиты и их число ежегодно увеличиваются. Это соглашение дает разработчикам продуктов возможность проходить единую сертификацию по одной из схем авторизации.

Предыдущие профили защиты были признаны устаревшими и теперь постепенно заменяются целевыми профилями защиты, в которых основное внимание уделено конкретным решениям и средам. В связи с необходимостью обеспечить дальнейшую поддержку нового подхода во всех странах, подписавших соглашение CCRA, Международное техническое сообщество (International Technical Community — iTC) продолжает разрабатывать профили защиты нового поколения и обновлять совместные профили защиты (Collaborative Protection Profiles — cPP), которые с самого начала разрабатывались с использованием нескольких схем.

В начале 2015 г. компания Apple начала проходить сертификацию на соответствие некоторым профилям защиты, разработанным с учетом системы общих критериев. Ниже перечислены официально анонсированные, текущие и завершенные процедуры сертификации продуктов компании Apple. 

iOS 11

 

Профиль защиты

Идентификатор VID

Готовность

Мобильное устройство

PP_MD_v3.1

10851

30 марта 2018 г.

Агент MDM

EP_MDM_Agent_v3.0

10851

30 марта 2018 г.

Агент WLAN

PP_WLAN_CLI_EP_v1.0

10851

30 марта 2018 г.

Клиент VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10 мая 2018 г.

Прикладное программное обеспечение (Контакты)

PP_APP_v1.2

10915

Ориентировочное время выпуска: август 2018 г.

Браузер (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

Ориентировочное время выпуска: август 2018 г.

Предыдущие версии

Предыдущие версии iOS имели сертификации, которые в настоящее время находятся в архиве:

  • iOS 10
  • iOS 9

Ожидается, что основные обновления версий профилей защиты сообщества Common Criteria будут публиковаться каждые 12–18 месяцев с дополнениями или обновлениями функциональных требований безопасности.

На портале Common Criteria доступен полный список профилей защиты и совместных профилей защиты, а также сроков их действия. Их можно также найти в выбранной схеме авторизации, такой как National Information Assurance Partnership (NIAP), которая является американской.

Одобрено для использования правительством

Информация из некоторых стран и регионов, которые одобрили устройства для использования правительством.

Правительство Австралии


Как указано на странице списка апробированных продуктов:

Австралийское агентство Australian Signals Directorate (ASD) ведет список апробированных продуктов (Evaluated Products List — EPL) для безопасных продуктов информационно-коммуникационной технологии, проверенных агентством ASD для использования в правительственных учреждениях Австралии и Новой Зеландии.

Продукт: ОС iOS 9
Тип продукта: мобильные продукты
Состояние продукта: завершено
Степень безопасности: оценено агентством ASD
Версия: 9.3.5 или выше
Руководство: PDF

Правительство Великобритании


Как указано на странице национального центра кибербезопасности (NCSC) Гарантия качества коммерческой продукции — продукты с сертификацией Foundation Grade:

Сертификация CPA оценивает коммерчески доступные продукты и их производителей по опубликованным стандартам безопасности и разработки. Средство обеспечения безопасности, которое положительно оценено, получает сертификат Foundation Grade. Это означает, что при проверке продукт продемонстрировал хорошую промышленную безопасность и подходит для сред с более низким уровнем угроз.

  • Сертификация CPA действует в течение 2 лет и позволяет в течение срока действия сертификации по мере необходимости выполнять обновления продуктов при обнаружении уязвимостей. 
  • Сертификация CPA принимается в каталоге НАТО и признается одним из способов проверки, которую необходимо пройти для внесения в каталог ЕС.
  • Понятие Foundation Grade более подробно объясняется на странице организации NCSC.

Правительство США


Как указано на странице Коммерческие решения для секретных программных компонентов:

Для достижения поставленных целей клиентам правительства США все чаще требуется незамедлительно внедрять в системы национальной безопасности самые современные аппаратные и программные коммерческие решения. Поэтому управление по обеспечению целостности и безопасности информации Агентства национальной безопасности/Центральной службы безопасности (National Security Agency/Central Security Service's — NSA/CSS) разрабатывает новые способы использования передовых технологий для своевременного предоставления решений по обеспечению целостности и безопасности информации, призванных удовлетворить быстро растущие требования клиентов.

Цель программы NSA/CSS по коммерческим решениям для секретных программных компонентов — поиск возможностей использования коммерческих продуктов в многоуровневых решениях, используемых для защиты секретных компонентов системы национальной безопасности. Таким образом, Агентство сможет секретно передавать данные с помощью решения на основе коммерческих стандартов, которое можно будет использовать через несколько месяцев, а не лет.

Число желающий развернуть решения Apple в своих конфиденциальных средах постоянно растет, но они вынуждены ждать окончания сертификации продукции. Поскольку компания Apple проходит сертификацию по общим критериям на соответствие указанным выше профилям защиты, ее продукты указаны и доступны в списке коммерческих решений для секретных программных компонентов.

Сразу после начала дополнительной сертификации продуктов Apple по общим критериям на соответствие каждому из смежных профилей защиты компоненты Apple в составе этих продуктов будут отправлены на утверждение в качестве коммерческих решений для секретных программных компонентов и добавлены в следующую таблицу.

Список коммерческих решений для секретных программных компонентов

Следующие продукты Apple разрешены к использованию в решениях для секретных программных компонентов CSfC:

Добавление продуктов Apple в список продуктов

Число правительственных агентств, которые запросили отправку продуктов Apple для проверки в свои программы, аналогичные CPA, EPL и коммерческим решениям для секретных программных компонентов, постоянно растет. Если вы являетесь официальным представителем государственной программы по внедрению решений и заинтересованы в том, чтобы продукты Apple были добавлены в подобный список ваших продуктов, напишите нам по адресу security-certifications@apple.com.

Другие операционные системы

Дополнительная информация о безопасности, проверках и рекомендациях для следующих продуктов.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного характера и не рекламируются компанией. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Помните, что использование любых сведений или продуктов, размещенных в Интернете, сопровождается риском. За дополнительной информацией обращайтесь к поставщику. Другие названия компаний или продуктов могут быть товарными знаками соответствующих владельцев.

Дата публикации: