Обзор гарантий компании Apple в отношении безопасности
В рамках своих обязательств по обеспечению гарантий безопасности компания Apple регулярно обращается в сторонние организации для предоставления гарантий безопасности, сертификации и подтверждения безопасности аппаратного обеспечения, операционных систем и сервисов Apple. Наша цель — предоставить сертификаты, которые будут признаны пользователями Apple во всем мире.
В тех технических областях, где не приняты соглашения о взаимном признании (MRA) или отсутствуют тщательно проработанные стандарты сертификации в области безопасности, компания Apple совместно с другими компаниями и структурами может участвовать в разработке соответствующих стандартов безопасности с целью предоставить сертификаты соответствия в этих областях.
Часто сертификация необходима для соответствия требованиям законодательства, нормативных актов и производственных норм. Для операционных систем на устройствах часто применяется оценка по общим критериям или сертификация в соответствии со стандартом FIPS 140‑3. Все клиенты, включая государственные органы, предприятия и образовательные организации, развертывающие устройства Apple, могут использовать сертификаты устройств, операционных систем и сервисов для подтверждения соответствия требованиям.
Такие сервисы, как Apple School Manager, Apple Business Manager — и Бизнес-инструменты Apple —, сертифицируются компанией Apple по стандартам ISO/IEC 27001 и ISO/IEC 27018.
Документ Безопасность платформы Apple публикуется компанией Apple и включает подробную техническую информацию и описание функций безопасности. Как правило, независимая сертификация Apple включает проверку информации, предоставленной в документе «Безопасность платформы Apple».
Сертификация устройств
Поскольку программное обеспечение не может быть безопасным без надежного фундамента, предоставляемого аппаратным обеспечением, все устройства Apple, использующие iOS, iPadOS, macOS, tvOS, visionOS и watchOS, имеют встроенные в микросхему функции безопасности. Центральный процессор обеспечивает безопасность системы, а чип Apple отвечает за функции, связанные с безопасностью. Самым важным компонентом является сопроцессор Secure Enclave, которым оснащены все современные устройства iOS, iPadOS, macOS, tvOS, visionOS и watchOS. Secure Enclave предоставляет фундамент для шифрования хранящихся на устройстве данных, безопасной загрузки macOS и работы биометрических систем.
Для предоставления гарантий безопасности компания Apple сертифицирует фундаментальные компоненты безопасности в чипе: аппаратный корень доверия, обеспечение безопасной загрузки, безопасное хранилище ключей Secure Enclave и безопасную аутентификацию с помощью Optic ID, Face ID и Touch ID.
Сведения об открытой сертификации устройств и соответствующих компонентов прошивки доступны в следующих разделах:
Сертификация операционных систем
Apple обращается за независимой сертификацией и аттестацией своих операционных систем: криптографические модули проверяются на соответствие Федеральным стандартам обработки информации США (FIPS) 140-3, а операционные системы и службы — стандарту оценки по общим критериям. Сертификация проводится для следующих операционных систем: iOS, iPadOS, macOS, sepOS, T2OS, tvOS, visionOS и watchOS.
Сведения об открытой сертификации операционных систем Apple доступны по ссылкам ниже.
Сертификация сервисов
Apple проводит сертификацию безопасности для поддержки корпоративных клиентов и образовательных организаций. Благодаря этой сертификации клиенты Apple могут выполнять свои законодательные и контрактные обязательства при использовании сервисов Apple с аппаратным и программным обеспечением Apple. Сертификация позволяет пользователям получить независимую оценку практик компании Apple в области информационной безопасности, охраны окружающей среды и конфиденциальности относительно систем Apple.
Сведения об открытой сертификации интернет-сервисов Apple доступны по ссылкам ниже.
Сведения об открытой сертификации Apple Pay доступны по ссылкам ниже.
Дополнительные сертификаты
Apple проводит дополнительную сертификацию безопасности для соответствия законодательству и нормативным актам отдельных государств. Сведения об открытой сертификации, связанной с соответствием нормативным актам отдельных государств, доступны по ссылкам ниже.
Проекты по обеспечению соблюдения требований безопасности
Проекты по обеспечению соблюдения требований безопасности — это проекты с открытым исходным кодом, направленные на реализацию программного подхода к созданию руководств по безопасности. Эти проекты поддерживают несколько базовых уровней безопасности и соответствия требованиям и могут использоваться для создания полностью настраиваемой документации, скриптов (журналирования и устранения сбоев), профилей конфигурации и контрольных списков проверок на основе используемого базового уровня. См. приведенный ниже раздел.
По вопросам сертификации Apple в области безопасности и конфиденциальности обращайтесь на адрес электронной почты: security-certifications@apple.com.