Generelt sikkerhetsregister

De generelle sikkerhetsstandardene (RGS) er spesifisert i rekkefølgen nr .  2005-1516 av8. desember 2005knyttet til elektronisk utveksling mellom brukere og administrative myndigheter. Hans vilkår for utvikling, godkjenning, modifikasjon og publisering er fastlagt i dekret nr .  2010-112 av2. februar 2010 tatt for anvendelse av artiklene 9, 10 og 12 i den nevnte forordningen om sikkerhet for informasjon som utveksles elektronisk.

Presentasjon

Versjon 2.0 av RGS er i kraft og ble offisiell ved statsministerens dekret datert13. juni 2014. Denne versjonen erstatter den av6. mai 2010. Dette er resultatet av et felles arbeid mellom Generaldirektoratet for statlig modernisering (DGME) og National Agency for the Security of Information Systems (ANSSI).

Dette depotet setter, avhengig av sikkerhetsnivået som kreves, reglene som visse funksjoner som bidrar til informasjonssikkerhet må overholde, inkludert elektronisk signatur , autentisering , konfidensialitet og til og med tidsstempling . Reglene formulert i RGS gjelder og justeres i henhold til sikkerhetsnivået som administrativ myndighet opprettholder i sammenheng med å sikre de elektroniske tjenestene det er ansvarlig for. I tillegg til disse reglene inneholder RGS god praksis innen informasjonssystemsikkerhet (ISS), for å veilede de administrative myndighetene og tjenesteleverandørene som bistår dem i valgene som blir presentert for dem med hensyn til SSI. RGS belyser også fremgangsmåten som skal følges for å ta fullstendig hensyn til forskriftsbestemmelsene, særlig når det gjelder risikoanalyse og sikkerhetssertifisering av et informasjonssystem.

Referanse- og RGS-kvalifisering

Målet med RGS-referanse er å legge til rette for sikker elektronisk utveksling mellom brukere og administrative myndigheter, men også mellom administrative myndigheter ved å tilby en katalog med interoperable refererte sikkerhetsløsninger.

I samsvar med dekret nr. 2010-112 av 2. februar 2010(kjent som “RGS-dekretet”), blir henvisningen utført under tilsyn av DGME og inkluderer et obligatorisk innledende trinn for kvalifisering av sikkerhetsproduktet eller tjenesten som ANSSI retter seg mot. Denne kvalifiseringen bekrefter at den er i samsvar med et sikkerhetsnivå i RGS.

Som en del av migrasjonen til RGS-depotet (erstatter retningslinjen for intersektoriell sikkerhetshenvisning, PRIS, foreldet av mai 2013), er agenter for administrative myndigheter pålagt å bruke refererte løsninger og produkter til deres informasjonssystemer.

Dermed vil selskaper som lister opp sine produkter kunne tilby sine tjenester og produkter for statlige plattformer, men også til enkeltpersoner og bedrifter som ønsker å koble seg til disse plattformene.

Til syvende og sist opprettes dermed et interoperabelt miljø av tillit med et sett med markedsløsninger som er referert til for bruk av administrative myndigheter.

Siden Juli 2012, bare Dhimyotis-selskapet er referert .

Referanseprosedyre

Henvisning er en operasjon utført under DGMEs ansvar. Det tar sikte på å sertifisere at et produkt eller et sikkerhetstjenestetilbud fungerer riktig med informasjonssystemene til administrative myndigheter. Det utføres på grunnlag av spesifikasjoner som spesifiserer de interoperabilitetsreglene som skal overholdes.

Henvisningsanmodningen er en frivillig handling fra leverandøren av produkter eller tjenester eller av tillitsleverandøren (PSCO). Den er laget i forhold til en sikkerhetsfunksjon (autentisering, signatur, etc.) og et sikkerhetsnivå, identifisert av et tall fra en til tre stjerner (*, ** eller ***), og definert som beskrevet i RGS.

Bare produkter og tilbud som tidligere er kvalifisert av ANSSI kan refereres til.

Oppføringen uttales etter verifisering av samsvar med reglene i spesifikasjonene for oppføring av sikkerhetsprodukter eller tilbud fra pålitelige tjenesteleverandører. Dette offisielle dokumentet ble godkjent ved dekret av18. januar 2012 undertegnet for statsråden og ved delegasjon av generaldirektøren for statlig modernisering, og dermed gitt den regulatorisk verdi.

Store datoer

• 13. juni 2014 : utgivelse av General Security Repository versjon 2.0

• 2. mai 2012 : autorisasjon fra det første vurderingsorganet for oppføring av sikkerhetsprodukter eller tilbud fra pålitelige tjenesteleverandører (PSCo)
• 29. februar 2012 : oppdatering av godkjenningsprosedyren (v 1.1) og av sammensetningen av krav (v 1.1) for godkjenning av vurderingsorganer for henvisning i henhold til forskrift nr. 2005-1516
• 21. februar 2012 : publisering av bestillingen knyttet til notering av sikkerhetsprodukter eller PSCo-tilbud fra 18. januar 2012 i den offisielle tidsskriftet
• 18. mai 2010 : publisering av RGS-dekretet fra 6. mai 2010 i den offisielle tidsskriftet
• 6. mai 2010 : publisering av den generelle sikkerhetsreferansen
• 4. februar 2010 : publisering av RGS-dekret nr. 2010-112 av 2. februar 2010 i den offisielle tidsskriftet
• 8. desember 2005 : utgivelse av ordinanse nr. 2005-1516 om elektronisk utveksling mellom brukere og administrative myndigheter så vel som mellom administrative myndigheter

RGS sertifikat type

Det finnes 3 typer RGS-sertifikater:

• RGS-sertifikat *  : Enheten for å beskytte hemmelige elementer må være kvalifisert i det minste på elementært nivå, i henhold til prosessen beskrevet i RGS, og oppfylle sikkerhetskravene som må gjelde for enheten for å beskytte hemmelige elementer i en tjenesteapplikasjon. . Det anbefales imidlertid å bruke en slik enhet som er kvalifisert på standardnivå.
• RGS-sertifikat **  : Den hemmelige elementbeskyttelsesenheten må være kvalifisert i det minste på standardnivå, i henhold til prosessen beskrevet i RGS, og oppfylle sikkerhetskravene som ovenfor. Det anbefales imidlertid å bruke en hemmelig elementbeskyttelsesenhet som er kvalifisert på forsterket nivå.
• RGS-sertifikat ***  : Det hemmelige elementbeskyttelsessystemet må kvalifiseres på det forbedrede nivået, i henhold til prosessen beskrevet i RGS, og oppfylle kravene som ovenfor.

Sertifikatnivået tilsvarer sikkerhetsnivået det kan tilby klienten.

Bruk

Sertifikatene brukes i en sammenheng der klienten ønsker å utveksle konfidensiell informasjon på en sikker måte med en spesialisert struktur. Faktisk, ved hjelp av denne metoden, vil de fysiske dokumentene dematerialiseres, men ha samme juridiske verdi som på papiret. Disse sertifikatene utstedes i en kryptografisk nøkkel som inneholder kundens elektroniske signatur som han kan bruke og feste på alle digitale dokumenter.

Sektorer som bruker RGS-sertifikater

Her er en ikke-uttømmende liste over sektorer som bruker elektroniske signaturer:

• Banken
• Forsikringen
• Rettferdighet
• Handel
• utdanning
• Helse
• Offentlig anskaffelse

Fremgangsmåte for igangsetting av et RGS-sertifikat

For absolutt konfidensialitet og optimal sikkerhet er det en prosedyre som er etablert av det nøkkelutstedende selskapet for å levere nøkkelen til kunden. Denne prosedyren, som kan variere fra et selskap til et annet, men som i det hele tatt er like, dekker den essensielle delen av prosessen og som aktørene må respektere nøye. De aktuelle aktørene er som følger:

• Det utstedende selskapet  : Innen selve strukturen må forespørselen om nøkkelutstedelse sendes av 2 personer
  • En dataregistreringsoperatør: Denne personen må motta forespørselens dokumenter, sjekke dem for ektheten og sannheten til den sistnevnte, og deretter lagre dem i databasen. Han må også rapportere om eventuelle feil i forespørselen eller ethvert forsøk på å ta i bruk eller forfalske dokumenter.
  • En sjekker: Denne personen må sjekke igjen hva operatøren har skrevet inn og gjort. Hvis dokumentene er kompatible og gyldige, starter han den viktigste produksjonsprosedyren.
• Mellomhandler  : Som hovedregel kommer nøkkelforespørselen av en autoritetsrepresentant for kunden. Av sikkerhets- og sporbarhetsgrunner kan ikke kunden kontakte det utstedende selskapet for å fremlegge et sertifikat. På samme måte kan ikke selskapet utstede den kryptografiske nøkkelen til sluttkunden. Nøkkelaktiveringskoden vil imidlertid bli sendt til sluttkunden.
• Klienten  : Dette er søkeren som vil motta den kryptografiske nøkkelen gjennom et representativt selskap.

Relatert artikkel

• Sertifiseringsmyndighet

Merknader og referanser

Referanser

1. dekret nr. 2010-112 av 2. februar 2010
2. tverrsektorielle sikkerhets Referencing Regler
3. Spesifikasjoner for oppføring av sikkerhetsprodukter og tilbud fra pålitelige tjenesteleverandører

Kilder

• Generelt sikkerhetsregister for6. mai 2010 (versjon 1.0)
• Generelt sikkerhetsregister for13. juni 2014 (versjon 2.0)
• Spesifikasjoner datert 14. februar 2012 for oppføring av sikkerhetsprodukter og tilbud fra pålitelige tjenesteleverandører
• For n o  2005-1516 av 08.12.2005 om elektroniske utveksling mellom brukere og administrative myndigheter og mellom forvaltningsmyndighet)
• Dekret nr .  2010-112 av 2. februar 2010 tatt for anvendelse av artikkel 9, 10 og 12 i forordningen nr .  2005-1516 av8. desember 2005 om elektronisk utveksling mellom brukere og administrative myndigheter og mellom administrative myndigheter
• Bestilling av 6. mai 2010 om godkjenning av RGS og spesifisering av vilkår og betingelser for gjennomføring av valideringsprosedyren for elektroniske sertifikater
• Bestilling av 18. januar 2012 om oppføring av sikkerhetsprodukter eller tilbud fra pålitelige tjenesteleverandører
• Den franske staten oppretter en rotsertifiseringsmyndighet

Eksterne linker

• RGS - Generelt sikkerhetsregister, ANSSI-nettsted
• RGS - Generelt sikkerhetsregister, DGME-nettsted
• RGS-referanse, DGME-nettsted
• Alt om akkreditering / sertifisering, COFRAC nettsted