CPS PA PKIoverheid v2.0 - Logius

More documents

Recommendations

Info

5.2 Dienstverlening Policy AuthorityDe Policy Authority (PA) is verantwoordelijk voor het beheer van de PKI voor de overheid. Naderetoelichting op de dienstverlening is gegeven in de volgende hoofdstukken. In algemene zin is dePA verantwoordelijk voor:1. beheer van het normenstelsel van de PKI voor de overheid, het Programma van Eisen;2. beheer van Object Identifiers, de unieke nummers voor CSP’s en hun CPS’s;3. creatie en beheer van sleutelpaar en het bijbehorende stamcertificaat;4. intrekken van het stamcertificaat en ad hoc publicatie van de CRL;5. periodieke publicatie van de CRL;6. creatie en beheer van sleutelparen en de bijbehorende domeincertificaten;7. intrekken van domeincertificaten en ad hoc publicatie van bijbehorende CRL’s;8. voorbereiding inzake het toelaten van CSP’s tot de PKI voor de overheid;9. effectuering van de toelating van CSP’s met inbegrip van creatie, uitgifte en beheer van CSPcertificaten;10. voorbereiding inzake het intrekken van CSP-certificaten;11. effectuering van het intrekken van CSP-certificaten;12. houden van toezicht op toegelaten CSP’s;13. registreren en beoordelen van meldingen omtrent aantasting van de PKI voor de overheid.5.3 Kwaliteitsbeoordeling PAPeriodiek wordt de werkwijze van de Policy Authority getoetst door de departementaleAccountantsdienst. Tevens wordt de werkwijze van de Policy Authority jaarlijks door een externeauditor getoetst in het kader van de WebTrust-audit. Hierbij wordt nagegaan of de kwaliteit en debeveiligingsmaatregelen van de ingerichte organisatie voldoen aan de gestelde eisen. Indienadditionele beveiligingsmaatregelen worden aanbevolen, dan zal de PA terstond actiesondernemen om deze maatregelen te implementeren.5.4 Toetreden CSP’s tot de PKI voor de overheidDe CSP die wil toetreden tot de PKI voor de overheid zal conform bepaalde procedures moetenhandelen. Een volledig overzicht is opgenomen in deel 2 van het PvE: Toetreding tot en Toezichtbinnen de PKI voor de overheid. Onderstaande opsomming geeft een overzicht van debelangrijkste formaliteiten die moeten worden geregeld in het kader van toetreding.• Toetreding tot de PKI voor de overheid wordt formeel bevestigd met een overeenkomst ofwerkafspraak tussen het ministerie van BZK en de CSP. Van een werkafspraak is sprake alsde CSP onderdeel is van de Rijksoverheid.• CSP’s die in Nederland gekwalificeerde certificaten uitgeven aan het publiek dienen bij deOPTA geregistreerd te zijn. Op deze wijze wordt aangetoond dat de CSP handelt inovereenstemming met de Wet en het Besluit op de Elektronische Handtekeningen en debijbehorende regelingen.• CSP’s die toe willen treden tot de PKI voor de overheid zijn verplicht zich te laten certificerenonder het TTP.nl-schema (of een gelijkwaardig schema in een andere Europese lidstaat) dooreen certificerende instelling die geaccrediteerd is door de Raad voor Accreditatie.• De PKI voor de overheid vereist TTP.nl-certificatie voor uitgifte van certificaten ten behoevevan gekwalificeerde handtekeningen, authenticiteit en vertrouwelijkheid. Met een aanvullendeauditverklaring dient de CSP aan te tonen dat wordt voldaan aan de aanvullende eisen die inhet Programma van Eisen zijn opgenomen.Het toetreden van een CSP tot de PKI voor de overheid resulteert in het creëren van een CSPcertificaatvoor de publieke sleutel van de signing key van de CSP; dit CSP-certificaat is getekenddoor de PA.CPS Policy Authority PKIoverheidversie: 2.0 pagina: 12 van 25datum: 14-12-2005 doc.nr.: PKI00085
5.4.1 Bewijs van conformiteit CSPEen CSP dient bij toetreding tot de PKI voor de overheid een bewijs van conformiteit aan de PolicyAuthority te overleggen. Een onafhankelijke externe auditor zal de werkwijze van de CSP toetsenaan de TTP.nl criteria en de aanvullende eisen die zijn opgenomen in het Programma van Eisen.In geval van goedkeuring geeft de auditor na beoordeling een conformiteitcertificaat af; ditcertificaat heeft een geldigheidsduur van drie jaar. De CSP overlegt een kopie van hetconformiteitcertificaat aan de PA, evenals kopieën van de audit- en controlerapporten. Gezien hetbewijs van conformiteit een geldigheidsduur van drie jaar heeft, dient de CSP na toetreding tot dePKI voor de overheid ééns in de drie jaar een herbeoordeling te laten uitvoeren.Tevens is de CSP verplicht zich jaarlijks te laten beoordelen door een onafhankelijke externeauditor middels een controle-audit. Belangrijke tussentijdse wijzigingen die van invloed kunnen zijnop de CSP-dienstverlening meldt de CSP bij de auditor. De auditor voert desgewenst ad hoc eencontrolebeoordeling van de CSP uit.Op basis van uitgevoerde audits dienen door de CSP jaarlijks 3 de volgende documenten te wordenoverhandigd aan de Policy Authority:• Bewijs van conformiteit aan ETSI TS 101 456 c.q. TTP.NL certificatie;• Goedkeurende auditverklaring voor de PKIo-eisen van de PKI voor de overheid;• Goedkeurende verklaring dat aan de op ETSI TS 102 042 gebaseerde eisen van de CPservices is voldaan voor zover deze van ETSI TS 101 456 afwijken 4 .Nadere verplichtingen van de CSP jegens de Policy Authority in dit verband zijn opgenomen in hetProgramma van Eisen, deel 2: Toetreding tot en Toezicht binnen de PKI voor de overheid.5.4.2 Procedurele afspraken CSPGedurende het proces van toelating van de CSP tot de PKI voor de overheid is de Policy Authorityhet aanspreekpunt voor de CSP. Derhalve benoemt de CSP de contactpersonen en draagt de PAvervolgens zorg voor het met zekerheid identificeren van de (vertegenwoordigers van de) CSP.Tevens stelt de PA vast dat de CSP in het bezit is van de private sleutel die hoort bij de voorverificatie aangeboden publieke sleutel.Voor de procedures voor het totstandkomen, het vernieuwen en intrekken van CSP-certificatenwordt verwezen naar hoofdstuk 6 van dit document.5.4.3 ContractenBZK en een CSP sluiten een contract dan wel werkafspraak over het deelnemen van debetreffende CSP aan de PKI voor de overheid. Inhoudelijk betekent dit dat de CSP verplicht is haardiensten te verlenen binnen de door BZK gestelde voorwaarden, met name de voorwaarden zoalsgesteld in het Programma van Eisen. De PA is hierbij het aanspreekpunt voor de CSP.Bepalingen omtrent aansprakelijkheid van BZK jegens een CSP zijn opgenomen in de contractentussen BZK en de CSP. De eisen waaraan de aansprakelijkheid van de CSP moet voldoen zijngeformuleerd in het Programma van Eisen, deel 3: Certificate Policies.De CSP sluit overeenkomsten met abonnees en vertrouwende partijen. In deze overeenkomstenwordt ook de aansprakelijkheid van de CSP jegens abonnees en vertrouwende partijen geregeld.De eisen waaraan deze aansprakelijkheid moet voldoen zijn opgenomen in de Algemenebepalingen van het Programma van Eisen, deel 3: Certificate Policies.3 De termijn start op het moment dat de overeenkomst met BZK, niet zijnde de overeenkomst voorvoorlopige toetreding, door beide partijen is ondertekend.4 Deze verklaring hoeft uiteraard alleen te worden ingeleverd wanneer de CSP is toegetreden om servicescertificaten uit te geven.CPS Policy Authority PKIoverheidversie: 2.0 pagina: 13 van 25datum: 14-12-2005 doc.nr.: PKI00085
Page 1 and 2: CPS Policy Authority PKIoverheidvoo
Page 3 and 4: INHOUDSOPGAVE1 Inleiding ..........
Page 5 and 6: 1 Inleiding1.1 VoorafDe PKI voor de
Page 7 and 8: 3 Doel CPS3.1 Doelgroepen CPSDit CP
Page 9: Dit CPS beschrijft de procedure die
Page 14 and 15: 5.5 Programma van Eisen en Klankbor
Page 16 and 17: 6.5 Publicatie certificaten en intr
Page 18 and 19: In bijlage B is in een overzicht de
Page 20 and 21: 7.2 Technische beveiligingEen aanta
Page 22 and 23: 8 Specificatie van onderhoud van he
Page 24 and 25: BIJLAGE BInhoud velden stamcertific

CPS PA PKIoverheid v2.0 - Logius

Create successful ePaper yourself

Delete template?

Save as template?