Certifikácie, overenia a poradenstvo týkajúce sa zabezpečenia produktov so systémom iOS

Tento článok obsahuje odkazy na kľúčové certifikácie produktov, kryptografické overenia a bezpečnostné pokyny pre platformy iOS. V prípade akýchkoľvek otázok nás kontaktujte na adrese security-certifications@apple.com.

Overenia kryptografických modulov

Všetky certifikáty overenia súladu s normou FIPS 140-2 týkajúce sa spoločnosti Apple sú uvedené na stránke dodávateľov programu CMVP. Spoločnosť Apple sa aktívne podieľa na overovaní modulov CoreCrypto a CoreCrypto Kernel v každom hlavnom vydaní systému iOS. Overovanie sa vykonáva až po finálnej vydanej verzii modulu. Modul sa na schválenie predkladá po verejnom vydaní operačného systému. V programe CMVP sa teraz stav overenia kryptografických modulov uvádza v dvoch samostatných zoznamoch v závislosti od ich aktuálneho stavu. Moduly sa najskôr zaradia do zoznamu Implementation Under Test List (Zoznam testovaných implementácií) a potom prejdú do zoznamu Modules in Process List (Zoznam spracúvaných modulov).

iOS 12

Súvisiace overovanie (spracúvaný modul)

iOS 11

Súvisiace overovanie
Predchádzajúce verzie

Nasledujúce staršie verzie systému iOS obsahovali overené kryptografické moduly a v súčasnosti sú archivované:

  • iOS 10
  • iOS 9
  • iOS 8
  • iOS 7

Príručky ku konfigurácii zabezpečenia

Organizácie zaoberajúce sa zabezpečením ponúkajú presne definované a overené poradenstvo v oblasti konfigurácie rôznych platforiem na schválené používanie. Príručky ku konfigurácii zabezpečenia poskytujú prehľad funkcií systémov macOS a iOS, ktoré možno použiť na zvýšenie ochrany zariadení. Organizácie štátnej správy z celého sveta vyvinuli v spolupráci so spoločnosťou Apple príručky, ktoré obsahujú pokyny a odporúčania na udržiavanie bezpečnejšieho prostredia. 

Ak chcete používať tieto príručky, mali by ste byť skúseným používateľom alebo správcom systému, poznať používateľské rozhranie a mať praktické skúsenosti s nástrojmi na správu cieľovej platformy. Je užitočné rozumieť základným konceptom počítačových sietí. Niektoré pokyny v týchto príručkách sú zložité a odchýlky môžu mať nežiaduce následky alebo spôsobiť zníženie úrovne ochrany. Všetky zmeny nastavení zariadenia je pred nasadením potrebné dôkladne otestovať.

Ďalšie informácie nájdete v príručke iOS Security Guide (Príručka zabezpečenia systému iOS) (PDF).

Nemecko (BSI)
Grundschutz iOS
(Príručka základného zabezpečenia systému iOS) Umsetzungshinweise iOS (Príručka implementácie systému iOS)

Spojené kráľovstvo (NCSC)
EUD Guidance for iOS and macOS (Poradenstvo EUD pre systémy iOS a macOS)

Spojené štáty (DISA, NIST, NSA)
Apple iOS 12 STIG
SCAP-on-Apple
CIS: Center for Internet Security
CIS iOS

Austrália (ASD)
iOS Hardening Guidance
(Príručka zvýšenia úrovne zabezpečenia systému iOS) iOS Hardening Guide (Príručka zvýšenia úrovne zabezpečenia systému iOS) (PDF)
iOS Hardening Guide (Príručka zvýšenia úrovne zabezpečenia systému iOS) (iBook)

Nový Zéland (GCSB)
iOS Hardening Guidance
(Príručka zvýšenia úrovne zabezpečenia systému iOS) iOS Hardening Guide (Príručka zvýšenia úrovne zabezpečenia systému iOS) (PDF)
iOS Hardening Guide (Príručka zvýšenia úrovne zabezpečenia systému iOS) (iBook)

Certifikácie zabezpečenia

Zoznam verejne známych, aktívnych a dokončených certifikácií spoločnosti Apple.

Certifikácia ISO 27001 a 27018

Spoločnosť Apple je držiteľom certifikácií ISO 27001 a ISO 27018 zameraných na systém riadenia zabezpečenia informácií, ktorý zahŕňa infraštruktúru, vývoj a prevádzkovanie súvisiacich produktov a služieb (Apple School Manager, iTunes U, iCloud, iMessage, FaceTime, spravované účty Apple ID, Siri a Škola) v súlade s verziou 2.1 vyhlásenia o aplikovateľnosti z 11. 7. 2017. Potvrdenie o tom, že spoločnosť Apple vyhovuje týmto normám ISO, vydala organizácia British Standards Institution. Na webovej lokalite BSI sú uvedené certifikáty zhody so štandardmi ISO 27001ISO 27018.

Certifikácia Common Criteria

Cieľom tejto certifikácie (ako ho uvádza komunita Common Criteria) je vytvoriť medzinárodne schválenú skupinu štandardov zabezpečenia, ktoré by umožňovali jasne a spoľahlivo hodnotiť funkcie zabezpečenia produktov z oblasti informačných technológií. Nezávislým hodnotením schopnosti produktov spĺňať štandardy zabezpečenia poskytuje certifikácia Common Criteria zákazníkom väčšiu istotu v oblasti zabezpečenia produktov informačných technológií a vedie k lepšie informovaným rozhodnutiam.

Prostredníctvom dohody Common Criteria Recognition Arrangement (CCRA) sa členské krajiny a oblasti dohodli, že budú uznávať certifikáciu produktov z oblasti informačných technológií s rovnakou úrovňou dôvery. Počet členov sa spolu s hĺbkou a záberom profilov ochrany každý rok rozrastá, aby program zohľadňoval nové technológie. Táto dohoda umožňuje vývojárom produktov, aby sa snažili o získanie jednej certifikácie v rámci ľubovoľnej autorizačnej schémy.

Predchádzajúce profily ochrany (PP) boli archivované a začali sa nahrádzať vývojom zacielených profilov ochrany, ktoré sa zameriavajú na konkrétne riešenia a prostredia. V rámci spoločnej snahy o zaistenie pokračujúceho spoločného uznávania štandardov všetkými členmi CCRA sa komunita International Technical Community (iTC) naďalej venuje podpore budúceho vývoja a aktualizácií profilov ochrany smerom k profilom cPP (Collaborative Protection Profile), do vývoja ktorých boli od začiatku zahrnuté viaceré schémy.

Spoločnosť Apple začala svoje produkty certifikovať na základe tejto novej reštrukturalizácie programu Common Criteria s vybranými profilmi ochrany na začiatku roka 2015. Nižšie sú uvedené verejne známe, aktívne a dokončené certifikácie spoločnosti Apple. 

iOS 12

 

Profil ochrany

VID

Dokončenie

Mobilné zariadenie

PP_MD_v3.1

10937

Marec 2019

Agent MDM

EP_MDM_Agent_v3.0

10937

Marec 2019

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10937

Marec 2019

Klient VPN

MOD_VPN_CLI_V2.1

10937

Marec 2019

Aplikačný softvér (Kontakty)

PP_APP_v1.2

10961

Február 2019

Prehliadač (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10960

Odhad: marec 2018

In Eval Link

iOS 11

 

Profil ochrany

VID

Dokončenie

Mobilné zariadenie

PP_MD_v3.1

10851

30. 3. 2018

Agent MDM

EP_MDM_Agent_v3.0

10851

30. 3. 2018

Agent WLAN

PP_WLAN_CLI_EP_v1.0

10851

30. 3. 2018

Klient VPN

PP_VPN_IPSEC_CLIENT_V1.4

10876

10. 5. 2018

Aplikačný softvér (Kontakty)

PP_APP_v1.2

10915

13. 9. 2018

Prehliadač (Safari)

PP_APP_v1.2

PP_APPWEBBROWSER_EP_v2.0

10916

9. 11. 2018

Predchádzajúce verzie

Predchádzajúce verzie systému iOS získali certifikácie, ktoré sú teraz archivované:

  • iOS 10
  • iOS 9

Vo všeobecnosti sa očakáva, že komunita Common Criteria bude aktualizácie hlavných verzií profilov ochrany publikovať každých 12 až 18 mesiacov s ďalšími alebo aktualizovanými požiadavkami SFR (Security Functional Requirement).

Na portáli Common Criteria Portal nájdete úplný zoznam profilov Protection Profile (PP) a profilov Collaborative Protection Profile (cPP) spolu s dátumami ich platnosti. Nájdete ich aj pod svojou zvolenou schémou, napr. NIAP (National Information Assurance Partnership), ktorá sa nachádza v schéme USA.

Schválené na používanie v štátnej správe

Informácie z vybraných krajín a oblastí, ktoré schválili zariadenia na používanie v štátnej správe.

Austrálska vláda

Podľa zhrnutia na stránke EPL – Evaluated Products List:

Austrálska agentúra ASD (Australian Signals Directorate) spravuje zoznam EPL (Evaluated Products List) bezpečnostných produktov v oblasti informačných technológií, ktoré vyhodnotila ako vhodné na používanie austrálskymi a novozélandskými úradmi štátnej správy.

  • Produkty v zozname EPL sú certifikované na konkrétne účely.
  • Produkty v zozname EPL možno používať na budovanie bezpečnostných systémov a sietí podľa pokynov v príručke Information Security Manual (ISM) austrálskej vlády.
  • Produkty sú certifikované na základe medzinárodne uznávanej normy ISO 15408 Common Criteria (CC). Portál CC uvádza ďalšie produkty so vzájomne uznávanou certifikáciou, ktoré je takisto možné používať.
  • Certifikačný úrad agentúry ASD, Australasian Certification Authority, dohliada na program AISEP (Australasian Information Security Evaluation Program), ktorý spravuje testovanie produktov licencovanými komerčnými hodnotiacimi strediskami.
  • Zoznam EPL obsahuje aj kryptografické hodnotenia agentúry ASD.

Produkt: iOS 9
Typ produktu: Mobilné produkty
Stav produktu: Dokončené
Úroveň záruky: Vyhodnotené agentúrou ASD
Verzia: 9.3.5 alebo novšia
Príručka: PDF

Vláda Spojeného kráľovstva

Podľa zhrnutia na stránke Commercial Product Assurance – products at foundation grade spoločnosti NCSC:

Program CPA vyhodnocuje štandardné komerčné produkty a ich vývojárov na základe publikovaných štandardov zabezpečenia a vývoja. Úspešne vyhodnotený bezpečnostných produkt získa certifikáciu Foundation Grade. Znamená to, že pre príslušný produkt bolo preukázané dostatočné dodržiavanie správnych bezpečnostných postupov, takže je vhodný pre prostredia s nízkou úrovňou hrozieb.

  • Certifikácia CPA je platná 2 roky a počas tejto doby umožňuje aktualizáciu produktov podľa požiadaviek vyplývajúcich z nedostatočne zabezpečených miest a na základe dostupnosti nových aktualizácií. 
  • Certifikácia CPA je akceptovaná katalógom NATO a uznávaná ako jedno z hodnotení vyžadovaných pre katalóg EÚ.
  • Certifikáciu Foundation Grade ďalej vysvetľuje spoločnosť NCSC.

Nemecká vláda

Podľa informácií uvedených na stránke o mobilnej komunikácii:

Prehľad

Smartfóny a tablety ponúkajú široké spektrum výhod v profesionálnom aj osobnom živote a stali sa trvalým sprievodcom vo všetkých životných situáciách. Pri manipulácii s citlivými informáciami sa však technológia IT a komunikácie prostredníctvom mobilných zariadení často využíva na úkor zabezpečenia.

Riešenia zabezpečenej mobilnej komunikácie na použitie v spolkovej správe musia vždy smerovať k tomu, aby spĺňali požiadavky modernej mobilnej práce a tiež vysoké požiadavky na zabezpečenie, ktoré vyplývajú zo spracúvania citlivých údajov.

Je tiež dôležité nájsť viac poskytovateľov, aby sa zaistilo zabezpečenie dodávok pre spolkovú správu. Podrobné informácie sú uvedené v brožúre„Secure mobile work: problem definition, technical requirements and solutions based on the requirements for mobile devices in the federal administration“ (Zabezpečená mobilná práca: definícia problému, technické požiadavky a riešenia založené na požiadavkách na mobilné zariadenia v spolkovej správe).

SecurePIM Government SDS

Operačný systém: iOS

Schválenie až po: VS-NfD

Výrobca: virtual solution AG

Najnovšie zariadenia so systémom iOS (iPhone, iPad so systémom iOS vo verzii ≥ 12)

Vláda USA

Podľa informácií uvedených na stránke programu Commercial Solutions for Classified:

Zákazníci zo štátnej správy USA v čoraz väčšej miere vyžadujú okamžité nasadenie najmodernejších komerčných hardvérových a softvérových technológií v rámci systémov NSS (National Security Systems), aby mohli dosahovať svoje ciele. Direktoriát IAD (Information Assurance Directorate) organizácií National Security Agency/Central Security Service (NSA/CSS) preto vyvíja nové spôsoby využívania najnovších technológií na rýchlejšie poskytovanie riešení IA, ktoré by vyhovovali rýchlo sa vyvíjajúcim požiadavkám zákazníkov.

Organizácie NSA/CSS vytvorili program Commercial Solutions for Classified (CSfC), cieľom ktorého je umožniť používanie komerčných produktov vo viacúrovňových riešeniach chrániacich utajené dáta systémov NSS. Tento program umožní bezpečne komunikovať použitím komerčných štandardov v riešení, ktoré možno nasadiť v priebehu mesiacov, a nie rokov.

Počet prostredí s tajnými informáciami, ktoré požiadali o nasadenie riešení spoločnosti Apple, sa neustále zvyšuje, celý proces sa však zdržiava z dôvodu certifikácie produktov. Rozhodnutie spoločnosti Apple prejsť z profilov ochrany PP na certifikáciu Common Criteria (pozrite si informácie uvedené vyššie) umožnilo, že produkty Apple možno zaradiť do zoznamu komponentov CSfC.

Keď sa pre jednotlivé súvisiace profily ochrany spustia ďalšie procesy certifikácie Common Criteria produktov spoločnosti Apple, zodpovedajúce komponenty spoločnosti Apple budú odoslané na zaradenie do zoznamu komponentov CSfC a pridané do nasledujúcej časti.

Zoznam komponentov CSfC

Nasledujúce produkty Apple sú k dispozícii na používanie v rámci riešenia CSfC:

Pridanie produktov Apple do zoznamu produktov

Čoraz väčší počet prostredí štátnej správy vyžaduje, aby boli do ich programov, ktoré sú podobné programom CPA, EPL a CSfC, zaraďované produkty Apple. Ak ste autorizovaným zástupcom štátnej správy pre program riešení a máte záujem o zaradenie produktov spoločnosti Apple do zodpovedajúceho zoznamu produktov, kontaktujte nás na adrese security-certifications@apple.com.

Iné operačné systémy

Prečítajte si viac o zabezpečení, overeniach a poradenstve pre produkty:

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Používanie internetu má svoje riziká. Ak potrebujete ďalšie informácie, obráťte sa na dodávateľa. Ďalšie názvy spoločností a produktov môžu byť ochrannými známkami príslušných vlastníkov.

Dátum zverejnenia: