politique de certification de l'infrastructure de gestion de clés ...

More documents

Recommendations

Info

5.3.2 Procédures de vérification des antécédents Préalablement à l’affectation à un rôle de confiance, les agents recrutés par l’AA de l’IGC/A devront avoir été habilités au niveau CONFIDENTIEL DEFENSE. Leur habilitation sera revue régulièrement, au minimum une fois tous les 5 ans. 5.3.3 Exigences en matière de formation initiale Les personnes intervenant dans les services de l’IGC/A, doivent être formées aux logiciels, matériels et procédures internes de fonctionnement des services opérés. 5.3.4 Exigences et fréquence en matière de formation continue Tout nouvel opérateur doit suivre une formation initiale au système, aux politiques de sécurité, au plan de secours, aux logiciels et opérations qu’il doit mettre en œuvre. Chaque opérateur devra assister à une formation après toute évolution importante du système. 5.3.5 Fréquence et séquence de rotation entre différentes attributions Aucune exigence spécifique concernant la fréquence de rotation n’est exprimée, à l’exception de la rotation des rôles de porteurs de secrets. Les porteurs de secret peuvent déléguer, selon les règles de délégation des ACSSI, leur part à une personne qui ne peut en aucun cas recevoir en propre ou en délégation, une autre part de secret durant toute la vie de la bi-clé partagée. 5.3.6 Sanctions en cas d’actions non autorisées L’ACR de l’IGC/A, en concertation avec l’AA, décide des sanctions à appliquer lorsqu’un agent abuse de ses droits ou effectue une opération non-conforme à ses attributions. 5.3.7 Exigences vis-à-vis du personnel des prestataires externes Les personnels contractants doivent respecter les mêmes conditions que celles énoncées dans les rubriques 5.3.1, 5.3.2, 5.3.3 et 5.3.4. 5.3.8 Documentation fournie au personnel Les documents dont doit disposer le personnel, en fonction de son besoin d’en connaître pour l’exécution de sa mission, sont les suivants : PC de l’IGC/A ; DPC de l’IGC/A ; documentation technique des matériels et logiciels utilisés ; manuels de formations ; procédures internes de fonctionnement. L’ACR et l’AE doivent veiller à ce que leur personnel respectif possède bien les documents identifiés ci-dessus en fonction de leur besoin d’en connaître comme le précise la DPC.
5.4 Procédures de constitution des données d’audit 5.4.1 Type d’événements à enregistrer Informations minimales pour tout événement : date et heure de l’opération ; ACR concernée par l’opération ; nom de l’opérateur ; caractéristiques de l’événement. Doivent être consignés ainsi dans le registre de cérémonies de l’IGC/A, les événements suivants : création de bi-clés IGC/A ; vérification des supports de parts de secrets IGC/A ; délivrance de certificats : o génération de certificat d’une ACR gouvernementale (nouveau certificat, o renouvellement, modification) ; génération de certificats propres à l’IGC/A ; révocation ; fin de vie de l’IGC. Sont consignés également dans le registre de cérémonies de l’IGC/A les événements physiques dont la trace n’est pas fournie automatiquement par le système, comme : accès physiques aux plates-formes de cérémonie et cryptographiques de l’IGC/A ; déménagement du matériel ; sortie pour maintenance ; changement de configuration du système ; modifications de droits d’accès ; changements de mots de passe ; destruction de secrets. Sont consignés dans d’autres registres, précisés dans la DPC, les événements tels que : accès physiques aux plates-formes ; changements concernant les personnes auxquelles un rôle de confiance est attribué (cf §5.2.1) ; communications avec le service de publication ; création et transmission de récépissés ; demandes d’ACR gouvernementales ; résultats d’audits.
Page 1 and 2: IGC/A POLITIQUE DE CERTIFICATION CO
Page 3 and 4: IGC/A Politique de certification ve
Page 5 and 6: 3.2.4 Validation de l’identité d
Page 7 and 8: 5.4 Procédures de constitution des
Page 9 and 10: 9.2 Responsabilité financière ...
Page 11 and 12: 1 INTRODUCTION 1.1 Définitions et
Page 13 and 14: AA Autorité Administrative AC Auto
Page 15 and 16: certificats émis. Elle s’accompa
Page 17 and 18: Le mandataire signe le registre de
Page 19 and 20: Une condition pour la délivrance d
Page 21 and 22: 2 Responsabilités concernant la mi
Page 23 and 24: 3 Identification et authentificatio
Page 25 and 26: 3.2.4 Validation de l’identité d
Page 27 and 28: 4 Exigences opérationnelles sur le
Page 29 and 30: 4.2.3 Délai de traitement de la de
Page 31 and 32: 4.5.3 Utilisation de la clé publiq
Page 33 and 34: 4.8.1 Certificat de l’ACR de l’
Page 35 and 36: contrôle de conformité informatio
Page 37 and 38: La fréquence de mise à jour des l
Page 39 and 40: 5 Mesures de sécurité non techniq
Page 41: des évaluateurs et auditeurs le ca
Page 45 and 46: sur les plates-formes sont nommés
Page 47 and 48: Une ACR gouvernementale peut toutef
Page 49 and 50: 6 Mesures de sécurité techniques
Page 51 and 52: 6.2.2 Contrôle de la clé privée
Page 53 and 54: 6.3 Autres aspects de la gestion de
Page 55 and 56: 6.6 Mesures de sécurité des syst
Page 57 and 58: ecommandé de se référer à un sy
Page 59 and 60: 8 Audit de conformité et autres é
Page 61 and 62: 9 Autres problématiques métiers e
Page 63 and 64: L’ACR gouvernementale dispose d
Page 65 and 66: définir les exigences minimales de
Page 67 and 68: 9.12 Amendements à la PC 9.12.1 Pr
Page 69 and 70: 9.16.5 Force majeure Sont considér
Page 71 and 72: confiance. Une IGC peut être compo
Page 73 and 74: 1.2 Documents techniques [RGS] Réf
Page 75 and 76: ANNEXE 3 : Règles de répartition
Page 77 and 78: Variable Description Entité concer
Page 79 and 80: ANNEXE 5 : Format des certificats e
Page 81 and 82: . Format des certificats des ACR go
Page 83 and 84: Point de distribution des listes de
Page 85 and 86: Liste CRL la plus récente (Freshes
Page 87 and 88: ANNEXE 6 : modalités de vérificat
Page 89: Niveau (*) du [RGS] Le module crypt

politique de certification de l'infrastructure de gestion de clés ...

Create successful ePaper yourself

Delete template?

Save as template?