Repositório de segurança geral

Os padrões gerais de segurança (RGS) está especificado na ordem n ó  2005-1516 de8 de dezembro de 2005relativas às trocas eletrónicas entre utilizadores e autoridades administrativas. Seus termos de desenvolvimento, aprovação, modificação e publicação são fixados pelo decreto n o  2010-112 de2 de fevereiro de 2010 tomadas para aplicação dos artigos 9º, 10º e 12º da citada portaria relativos à segurança das informações trocadas por meios eletrónicos.

Apresentação

A versão 2.0 do RGS está em vigor e foi oficializada por decreto do Primeiro Ministro datado de13 de junho de 2014. Esta versão substitui a de6 de maio de 2010. Este é o resultado de um trabalho conjunto entre a Direção-Geral da Modernização do Estado (DGME) e a Agência Nacional para a Segurança dos Sistemas de Informação (ANSSI).

Este repositório define, dependendo do nível de segurança exigido, as regras que certas funções que contribuem para a segurança da informação devem cumprir, incluindo assinatura eletrônica , autenticação , confidencialidade e até carimbo de data / hora . As regras formuladas no RGS são aplicáveis ​​e ajustadas em função do nível de segurança retido pela autoridade administrativa no âmbito da proteção dos serviços online da sua responsabilidade. Além dessas regras, o RGS contém boas práticas em segurança de sistemas de informação (ISS), com o objetivo de orientar as autoridades administrativas e os prestadores de serviços que os auxiliam nas escolhas que lhes são apresentadas em termos de SSI. O RGS também esclarece o procedimento a seguir para ter na devida conta as disposições regulamentares, nomeadamente no que se refere à análise de risco e à certificação de segurança de um sistema de informação.

Referência e qualificação RGS

O objetivo da referência RGS é facilitar trocas eletrônicas seguras entre usuários e autoridades administrativas, mas também entre autoridades administrativas, fornecendo um catálogo de soluções de segurança referenciadas interoperáveis.

De acordo com o decreto n ° 2010-112 de 2 de fevereiro de 2010(conhecido como “decreto RGS”), a referenciação é efectuada sob a supervisão da DGME e inclui uma fase preliminar obrigatória de qualificação do produto ou serviço de segurança visado pela ANSSI. Esta qualificação atesta a sua conformidade com o nível de segurança do RGS.

Como parte de sua migração para o repositório RGS (substituindo a Política de Referência de Segurança Intersetorial, PRIS, obsoleta por Maio de 2013), os agentes de autoridades administrativas são obrigados a usar soluções e produtos referenciados para seus sistemas de informação.

Assim, as empresas que listam seus produtos poderão oferecer seus serviços e produtos para plataformas governamentais, mas também para pessoas físicas e jurídicas que desejam se conectar a essas plataformas.

Em última análise, um ambiente interoperável de confiança é, portanto, criado com um conjunto de soluções de mercado referenciadas para uso por autoridades administrativas.

Desde a Julho de 2012, apenas a empresa Dhimyotis é referenciada .

Procedimento de referência

A referenciação é uma operação realizada sob a responsabilidade da DGME. Tem como objetivo atestar o bom funcionamento de um produto ou oferta de um serviço de segurança junto dos sistemas de informação das autoridades administrativas. É realizado com base em especificações que especificam as regras de interoperabilidade a serem observadas.

A solicitação de encaminhamento é um ato voluntário do fornecedor de produtos ou serviços ou do provedor de serviços de confiança (PSCO). É feito em relação a uma função de segurança (autenticação, assinatura, etc.) e a um nível de segurança, identificado por um número de uma a três estrelas (*, ** ou ***), e definido conforme descrito no RGS.

Apenas produtos e ofertas previamente qualificados pela ANSSI podem ser referenciados.

A listagem é pronunciada após a verificação da conformidade com as regras contidas nas especificações para listar produtos de segurança ou ofertas de fornecedores de serviços confiáveis. Este documento oficial foi aprovado pelo decreto de18 de janeiro de 2012 assinada pelo Ministro e por delegação do Diretor-Geral da Modernização do Estado, conferindo-lhe valor regulamentar.

Grandes datas

• 13 de junho de 2014 : publicação do General Security Repository Versão 2.0

• 2 de maio de 2012 : autorização do primeiro órgão avaliador para a listagem de produtos de segurança ou ofertas de prestadores de serviços de confiança (PSCo)
• 29 de fevereiro de 2012 : atualização do procedimento de autorização (v 1.1) e do compêndio de requisitos (v 1.1) para a autorização de órgãos avaliadores para referenciação de acordo com a portaria n ° 2005-1516
• 21 de fevereiro de 2012 : publicação do pedido relativo à listagem de produtos de segurança ou ofertas PSCo de 18 de janeiro de 2012 no Jornal Oficial
• 18 de maio de 2010 : publicação do decreto RGS de 6 de maio de 2010 no Jornal Oficial
• 6 de maio de 2010 : publicação da Referência Geral de Segurança
• 4 de fevereiro de 2010 : publicação do decreto RGS n ° 2010-112 de 2 de fevereiro de 2010 no Jornal Oficial
• 8 de dezembro de 2005 : publicação da portaria n ° 2005-1516 relativa às trocas eletrônicas entre usuários e autoridades administrativas, bem como entre autoridades administrativas

Tipo de certificado RGS

Existem 3 tipos de certificados RGS:

• Certificado RGS *  : O dispositivo de proteção de elemento secreto deve ser qualificado pelo menos no nível elementar, de acordo com o processo descrito no RGS, e cumprir os requisitos de segurança que devem ser aplicados ao dispositivo de proteção de elemento secreto de um aplicativo de serviço. No entanto, é recomendado o uso de tal dispositivo qualificado no nível padrão.
• Certificado RGS **  : O dispositivo de proteção de elemento secreto deve ser qualificado pelo menos no nível padrão, de acordo com o processo descrito no RGS, e estar em conformidade com os requisitos de segurança acima. No entanto, é recomendado o uso de um dispositivo de proteção de elementos secretos qualificado no nível reforçado.
• Certificado RGS ***  : O sistema de proteção de elemento secreto deve ser qualificado no nível aprimorado, de acordo com o processo descrito no RGS, e estar em conformidade com os requisitos acima.

O nível do certificado corresponde ao nível de segurança que ele pode oferecer ao cliente.

Usar

Os certificados são utilizados em um contexto em que o cliente deseja trocar informações confidenciais de forma segura com uma estrutura especializada. Com efeito, através deste método, os documentos físicos serão desmaterializados mas terão o mesmo valor jurídico que no papel. Esses certificados são emitidos em uma chave criptográfica que contém a assinatura eletrônica do cliente que ele pode usar e afixar em todos os documentos digitais.

Setores usando certificados RGS

Aqui está uma lista não exaustiva de setores que usam assinaturas eletrônicas:

• O banco
• O seguro
• Justiça
• Troca
• Educação
• Saúde
• Procuração pública

Procedimento para comissionar um certificado RGS

Para absoluta confidencialidade e segurança ideal, existe um procedimento implementado pela empresa emissora da chave para entregar a chave ao cliente. Com efeito, este procedimento, que pode variar de uma empresa para outra, mas que são semelhantes no seu conjunto, abrange a parte essencial do processo e que os atores devem respeitar escrupulosamente. Os atores envolvidos são os seguintes:

• A empresa emissora  : Dentro da própria estrutura, o pedido de emissão da chave deve ser passado por 2 pessoas
  • Operador de introdução de dados: Esta pessoa deverá receber os documentos do pedido, verificar a sua autenticidade e a veracidade desta e, em seguida, guardá-los na base de dados. Ele também deve relatar qualquer erro na solicitação ou qualquer tentativa de usurpar ou falsificar documentos.
  • Um verificador: Esta pessoa terá que verificar novamente o que o operador inseriu e fez. Se os documentos forem compatíveis e válidos, ele inicia o procedimento de fabricação das chaves.
• O operador intermediário  : Como regra geral, o pedido de chave é feito por uma autoridade que representa o cliente. Por motivos de segurança e rastreabilidade, o cliente não pode entrar em contato com a empresa emissora para produzir um certificado. Da mesma forma, a empresa não pode emitir a chave criptográfica para o cliente final. No entanto, o código de ativação da chave será enviado ao cliente final.
• O cliente  : é o solicitante que receberá a chave criptográfica por meio de uma empresa representativa.

Artigo relacionado

• Autoridade de Certificação

Notas e referências

Referências

1. decreto n ° 2010-112 de 2 de fevereiro de 2010
2. Política de referência de segurança intersetorial
3. Especificações para a listagem de produtos e ofertas de segurança de prestadores de serviços confiáveis

Origens

• Repositório de segurança geral de6 de maio de 2010 (versão 1.0)
• Repositório de segurança geral de13 de junho de 2014 (versão 2.0)
• Especificações datadas de 14 de fevereiro de 2012 para a lista de produtos de segurança e ofertas de provedores de serviços confiáveis
• Ordem n o  2005-1516 de 08 de dezembro de 2005 em intercâmbios electrónicos entre usuários e autoridades administrativas e entre as autoridades administrativas)
• Decreto n o  2010-112 de 02 de fevereiro de 2010 tomado para a aplicação dos artigos 9, 10 e 12 do Decreto n o  2005-1516 de8 de dezembro de 2005 sobre trocas eletrônicas entre usuários e autoridades administrativas e entre autoridades administrativas
• Despacho de 6 de maio de 2010 que aprova o RGS e especifica os termos e condições para a implementação do procedimento de validação de certificados eletrónicos
• Ordem de 18 de janeiro de 2012 relativa à lista de produtos de segurança ou ofertas de provedores de serviços confiáveis
• O Estado francês cria uma autoridade de certificação raiz

links externos

• RGS - repositório de segurança geral, site ANSSI
• RGS - repositório geral de segurança, site DGME
• Referência de RGS, site DGME
• Tudo sobre acreditação / certificação, site do COFRAC