1、 Numro de rfrenceISO/CEI TR 14516:2002(F)ISO/CEI 2002Technologies de linformation Techniques de scurit Lignes directrices pour lutilisation et la gestion des services de tiers de confiance Information technology Security techniques Guidelines for the use and management of Trusted Third Party service
2、s Norme nationale du CanadaCAN/CSA-ISO/CEI TR 14516:04(ISO/CEI TR 14516:2002)Rapport technique ISO/CEI TR 14516:2002 (premire dition, 2002-06-15) adopte sans modifications (IDT)porte la dsignation CAN/CSA-ISO/CEI TR 14516:04. Elle a t approuve en tant que Norme nationale du Canadapar le Conseil cana
3、dien des normes. ISBN 1-55397-388-7 Janvier 2004LAssociation canadienne de normalisation (CSA), Le Conseil canadien des normes est lorganismesous les auspices de laquelle cette Norme nationale a t de coordination du Systme de Normes nationales,prpare, a reu ses lettres patentes en 1919 et son une fd
4、ration dorganismes indpendants etaccrditation au sein du Systme de Normes nationales par autonomes qui travaillent au dveloppement et le Conseil canadien des normes en 1973. Association lamlioration de la normalisation volontaire dansdaffiliation libre, sans but lucratif ni pouvoir de lintrt nationa
5、l.rglementation, elle se consacre llaboration de normes Les principaux buts du Conseil sont dencourager etet la certification. de promouvoir la normalisation volontaire commeLes normes CSA refltent le consensus de producteurs et moyen damliorer lconomie nationale, ainsi que ladusagers de partout au
6、pays, au nombre desquels se sant, la scurit et le bien-tre du public, daider ettrouvent des fabricants, des consommateurs, des dtaillants de protger le consommateur, de faciliter leet des reprsentants de syndicats, de corps professionnels commerce national et international et de favoriser laet dagen
7、ces gouvernementales. Lutilisation des normes coopration internationale dans le domaine de laCSA est trs rpandue dans lindustrie et le commerce, et normalisation.leur adoption divers ordres de lgislation, tant municipal Une Norme nationale du Canada est une normeet provincial que fdral, est chose co
8、urante, approuve par le Conseil canadien des normes, quiparticulirement dans les domaines de la sant, de la reflte une entente raisonnable parmi les points descurit, du btiment, de la construction et de vue dun certain nombre de personnes comptenteslenvironnement. dont les intrts runis forment, au d
9、egr le plus levLes Canadiens dun bout lautre du pays tmoignent de possible, une reprsentation quilibre desleur appui au travail de normalisation men par la CSA en producteurs, utilisateurs, consommateurs et autresparticipant bnvolement aux travaux des comits de la personnes intresses, selon le domai
10、ne envisag. IlCSA et en appuyant ses objectifs par leurs cotisations de sagit gnralement dune norme qui peut apportermembres de soutien. Les quelque 7000 volontaires faisant une contribution apprciable, en temps opportun, partie des comits et les 2000 membres de soutien lintrt national.constituent l
11、ensemble des membres de la CSA parmi Lapprobation dune norme en tant que Normelesquels ses administrateurs sont choisis. Les cotisations des nationale du Canada indique quelle est conforme membres de soutien reprsentent une source importante aux mthodes et critres tablis par le Conseil de revenu pou
12、r les services de soutien la normalisation canadien des normes. Lapprobation ne porte volontaire. pas sur laspect technique de la norme ; cet LAssociation offre des services de certification et de mise aspect demeure la responsabilit de lorganisme lessai qui appuient et compltent ses activits dans l
13、e rdacteur de normes accrdit.domaine de llaboration de normes. De manire assurer Il est recommand aux personnes qui ont besoin lintgrit de son processus de certification, lAssociation de normes de se servir des Normes nationales duprocde de faon rgulire et continue lexamen et Canada lorsque la chose
14、 est possible. Ces normes linspection des produits portant la marque CSA. font lobjet dexamens priodiques ; cest pourquoi ilOutre son sige social et ses laboratoires Toronto, la est recommand aux utilisateurs de se procurerCSA possde des bureaux rgionaux dans des centres ldition la plus rcente de la
15、 norme auprs devitaux partout au Canada, de mme que des agences lorganisme qui la prpare.dinspection et dessai dans huit pays. Depuis 1919, La responsabilit dapprouver les Normes nationaleslAssociation a parfait les connaissances techniques qui lui du Canada incombe aupermettent de remplir sa missio
16、n dentreprise, savoir la Conseil canadien des normesCSA est un organisme de services indpendant dont la 270, rue Albert, bureau 200mission est doffrir une tribune libre et efficace pour la Ottawa (Ontario) K1P 6N7ralisation dactivits facilitant lchange de biens et de Canadaservices par lintermdiaire
17、 de services de normalisation, decertification et autres, pour rpondre aux besoins de nosclients, tant lchelle nationale quinternationale.Pour plus de renseignements sur les services de la CSA, sadresser Association canadienne de normalisation5060, Spectrum Way, bureau 100Mississauga (Ontario) L4W 5
18、N6CanadaThis National Standard of Canada is available in English and French.Bien que le but premier vis par cette norme soit nonc sous sa rubrique Domaine dapplication, il estimportant de retenir quil incombe lutilisateur de juger si la norme convient ses besoins particuliers.Marque dpose de lAssoci
19、ation canadienne de normalisationzTechnologies de linformation Techniques de scurit Lignes directricesCAN/CSA-ISO/CEI TR 14516:04 pour lutilisation et la gestion des services de tiers de confianceJanvier 2004 Association canadienne de normalisation CSA/1CAN/CSA-ISO/TR 14516:04Technologies de linform
20、ation Techniques de scurit Lignesdirectrices pour lutilisation et la gestion des services de tiers de confiance Prface CSALes normes du secteur de la technologie de linformation sont harmonises avec les normesinternationales. Au nom du Conseil canadien des normes (CCN), organisme membre de lISO et p
21、arraindu Comit national canadien de la CEI, le Comit technique CSA sur la technologie de linformation(CTTI) reprsente le Comit consultatif canadien (CCC) au sein du Comit technique conjoint 1 ISO/CEIsur la technologie de linformation (JTC1 ISO/CEI). En outre, titre de membre de lUnion internationale
22、des tlcommunications (UIT), le Canada fait partie du comit consultatif international tlgraphique ettlphonique (CCITT).Ce rapport technique a t examin puis accept pour le Canada par le CTTI de la CSA, sous lautoritdu Comit directeur stratgique sur la technologie de linformation. (La liste des membres
23、 du comitpeut tre obtenue sur demande auprs du charg de projet CSA.) De temps autre, lISO et la CEIpublient des addenda, des modifications, etc. Le CTTI de la CSA examine ces documents aux finsdapprobation et de publication. Pour prendre connaissance de la liste de ces documents, veuillezconsulter l
24、e catalogue des produits dinformation CSA ou la publication Info Update ou, encore,communiquer avec un reprsentant des ventes CSA. De plus, ce rapport technique a t officiellementapprouv, sans modifications, par le Comit technique et approuv en tant que Norme nationale duCanada par le Conseil canadi
25、en des normes.Janvier 2004 Association canadienne de normalisation 2004Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite par quelque moyen que ce soit sans lapermission pralable de lditeur. Limpression du document ISO/CEI a t autorise. Si le texte dit *ce rapport techniqu
26、e+,le lecteur doit comprendre *cette Norme nationale du Canada+. Toute demande de renseignements sur cette Norme nationale du Canada devrait tre adresse Association canadienne de normalisation5060, Spectrum Way, bureau 100, Mississauga (Ontario) Canada L4W 5N6 1 800 463-6727 416-747-4044www.csa.caNu
27、mro de rfrenceISO/CEI TR 14516:2002(F)ISO/CEI 2002RAPPORT TECHNIQUE ISO/CEITR14516Premire dition2002-06-15Technologies de linformation Techniques de scurit Lignes directrices pour lutilisation et la gestion des services de tiers de confiance Information technology Security techniques Guidelines for
28、the use and management of Trusted Third Party services ISO/CEI TR 14516:2002(F) PDF Exonration de responsabilit Le prsent fichier PDF peut contenir des polices de caractres intgres. Conformment aux conditions de licence dAdobe, ce fichier peut tre imprim ou visualis, mais ne doit pas tre modifi moin
29、s que lordinateur employ cet effet ne bnficie dune licence autorisant lutilisation de ces polices et que celles-ci y soient installes. Lors du tlchargement de ce fichier, les parties concernes acceptent de fait la responsabilit de ne pas enfreindre les conditions de licence dAdobe. Le Secrtariat cen
30、tral de lISO dcline toute responsabilit en la matire. Adobe est une marque dpose dAdobe Systems Incorporated. Les dtails relatifs aux produits logiciels utiliss pour la cration du prsent fichier PDF sont disponibles dans la rubrique General Info du fichier; les paramtres de cration PDF ont t optimis
31、s pour limpression. Toutes les mesures ont t prises pour garantir lexploitation de ce fichier par les comits membres de lISO. Dans le cas peu probable o surviendrait un problme dutilisation, veuillez en informer le Secrtariat central ladresse donne ci-dessous. ISO/CEI 2002 Droits de reproduction rse
32、rvs. Sauf prescription diffrente, aucune partie de cette publication ne peut tre reproduite ni utilise sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie et les microfilms, sans laccord crit de lISO ladresse ci-aprs ou du comit membre de lISO dans le
33、pays du demandeur. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel. + 41 22 749 01 11 Fax. + 41 22 749 09 47 E-mail copyrightiso.org Web www.iso.org ii ISO/CEI 2002 Tous droits rservsISO/CEI TR 14516:2002(F) ISO/CEI 2002 Tous droits rservs iiiTABLE DES MATIRES Page 1 Domaine dapplication
34、1 2 Rfrences normatives 1 2.1 Recommandations | Normes internationales identiques 1 2.2 Paires Recommandations | Normes internationales quivalentes par leur contenu technique. 1 2.3 Autres rfrences. 1 3 Dfinitions 2 4 Aspects gnraux . 3 4.1 Base de lassurance scurit et de la confiance 3 4.2 Interact
35、ion entre le TTP et les entits utilisant ses services 4 4.2.1 Services TTP en ligne . 4 4.2.2 Services TTP indirects 5 4.2.3 TTP indpendants . 5 4.3 Interfonctionnement des services TTP . 5 5 Aspects oprationnels et de gestion du TTP 6 5.1 Questions dordre juridique . 6 5.2 Obligations contractuelle
36、s 7 5.3 Responsabilits . 7 5.4 Politique de scurit . 7 5.4.1 Elments de la politique de scurit . 8 5.4.2 Normes . 9 5.4.3 Directives et procdures . 9 5.4.4 Gestion du risque 9 5.4.5 Choix des protections . 9 5.4.6 Implmentation de la scurit dans les IT 10 5.4.7 Aspects oprationnels de la scurit dans
37、 les IT 12 5.5 Qualit du service . 13 5.6 Ethique . 13 5.7 Taxes 13 6 Interfonctionnement . 13 6.1 TTP-utilisateurs 13 6.2 Utilisateur-utilisateur 13 6.3 TTP-TTP 14 6.4 TTP-Service charg de lapplication des lois 14 7 Principales catgories de services TTP 15 7.1 Service dhorodalge . 15 7.1.1 Autorit
38、dhorodatage . 15 7.2 Services de non-rpudiation . 15 7.3 Services de gestion des cls 16 7.3.1 Service de production de cls . 17 7.3.2 Service denregistrement de cls . 17 7.3.3 Service de certification de cls . 17 7.3.4 Service de distribution de cls 17 7.3.5 Service dinstallation de cls . 17 7.3.6 S
39、ervice de stockage de cls 17 7.3.7 Service de drivation de cls 18 7.3.8 Service darchivage de cls . 18 7.3.9 Service de rvocation de cls 18 7.3.10 Service de destruction de cls . 18 7.4 Service de gestion de certificats . 18 7.4.1 Service de certificats de cl publique . 18 7.4.2 Service des attribut
40、s de privilge 19 ISO/CEI TR 14516:2002(F) iv ISO/CEI 2002 Tous droits rservsPage 7.4.3 Service dauthentification en ligne fond sur des certificats . 20 7.4.4 Service de rvocation de certificats 20 7.5 Services publics de notaire lectronique . 20 7.5.1 Service de production de preuves . 21 7.5.2 Serv
41、ice de stockage de preuves 21 7.5.3 Service darbitrage 21 7.5.4 Autorit notariale 21 7.6 Service darchivage numrique lectronique 22 7.7 Autres services . 23 7.7.1 Service dannuaire . 23 7.7.2 Service didentification et dauthentification . 24 7.7.3 Service de transposition en ligne 26 7.7.4 Services
42、de rcupration . 26 7.7.5 Service de personnalisation 27 7.7.6 Service de contrle daccs . 27 7.7.7 Service de signalisation des incidents et de gestion des alertes 27 Annexe A Prescriptions de scurit pour la gestion des TTP . 29 Annexe B Questions relatives la gestion des autorits de certification 30
43、 B.1 Exemple de procdure de processus denregistrement . 30 B.2 Exemple de conditions remplir par les autorits de certification 30 B.3 Politique de certification et dclaration relative aux mthodes de certification (CPS). 32 Annexe C Bibliographie 34 ISO/CEI TR 14516:2002(F) ISO/CEI 2002 Tous droits r
44、servs vAvant-propos LISO (Organisation internationale de normalisation) et la CEI (Commission lectrotechnique internationale) forment le systme spcialis de la normalisation mondiale. Les organismes nationaux membres de lISO ou de la CEI participent au dveloppement de Normes internationales par linte
45、rmdiaire des comits techniques crs par lorganisation concerne afin de soccuper des domaines particuliers de lactivit technique. Les comits techniques de lISO et de la CEI collaborent dans des domaines dintrt commun. Dautres organisations internationales, gouvernementales et non gouvernementales, en
46、liaison avec lISO et la CEI participent galement aux travaux. Dans le domaine des technologies de linformation, lISO et la CEI ont cr un comit technique mixte, lISO/CEI JTC 1. Les Normes internationales sont rdiges conformment aux rgles donnes dans les Directives ISO/CEI, Partie 3. La tche principal
47、e du comit technique mixte est dlaborer les Normes internationales. Les projets de Normes internationales adopts par le comit technique mixte sont soumis aux organismes nationaux pour vote. Leur publication comme Normes internationales requiert lapprobation de 75 % au moins des organismes nationaux
48、votants. Exceptionnellement, le comit technique mixte peut proposer la publication dun rapport technique de lun des types suivants: type 1: lorsque, en dpit de maints efforts, laccord requis ne peut tre ralis en faveur de la publication dune Norme internationale; type 2: lorsque le sujet en question est encore en cour
