ANSSI
La première version du Référentiel général de sécurité (RGS) fixe les règles permettant de qualifier deux catégories de PSCO : les prestataires de services de certification électronique (PSCE) et les prestataires de services d’horodatage électronique (PSHE). Ces règles figurent dans des référentiels techniques annexés au RGS, appelés "politiques de certification type" et "politique d’horodatage type".
Il existe une politique de certification type pour chacun des usages des certificats électroniques autorisés, à savoir :
A la différence de la politique d’horodatage type (annexe A12), qui ne fixe qu’un unique niveau de sécurité, les politiques de certification type distinguent trois niveaux de sécurité, aux exigences croissantes : une étoile (*), deux étoiles (**) et trois étoiles (***).
Annexes A6 à A12 du RGS
|
|
|
|
|
|
| ||
Le référentiel d’exigences relatif aux prestataires d’audit de la sécurité des systèmes d’information est un ensemble de règles qui s’imposent aux prestataires qui désirent obtenir une qualification de leurs services dans ce domaine. Il couvre des exigences relatives au prestataire d’audit, à son personnel ainsi qu’au déroulement des audits.
La qualification peut être délivrée aux prestataires d’audit pour les activités suivantes : audit d’architecture, audit de configuration, audit de code source, tests d’intrusion, audit organisationnel.
Ce référentiel sera référencé dans la prochaine version du Référentiel général de sécurité (RGS), au même titre que les référentiels qui permettent aujourd’hui la qualification des prestataires de certification électronique et d’horodatage électronique.
Les autorités administratives peuvent utiliser ce référentiel, en totalité ou en partie, dans les cahiers des charges de leurs appels d’offres de prestations d’audit. Une fois le nombre de qualifications de prestataires d’audit suffisant, elles pourront également requérir que l’audit soit réalisé par un prestataire qualifié.
|
