SSH ISO/IEC 27099:2022

Teknologjia e informacionit - Infrastruktura me çelëspublik - Kuadri i praktikave dhe politikave

Information technology — Public key infrastructure — Practices and policy framework

Scope

ISO/IEC 27099:2022 Ky dokument përcakton një kornizë kërkesash për menaxhimin e sigurisë së informacionit për ofruesit e shërbimeve të besimit të infrastrukturës së çelësit publik (PKI) përmes politikave të certifikatave, deklaratave të praktikës së certifikatës dhe, kur është e zbatueshme, mbështetjes së tyre të brendshme nga një sistem i menaxhimit të sigurisë së informacionit (ISMS). Kuadri i kërkesave përfshin vlerësimin dhe trajtimin e rreziqeve të sigurisë së informacionit, të përshtatura për të përmbushur kërkesat e dakorduara të shërbimit të përdoruesve të tij, siç specifikohet përmes politikës së certifikatës. Ky dokument synon gjithashtu të ndihmojë ofruesit e shërbimeve të besojnë për të mbështetur politika të shumta certifikate. Ky dokument adreson ciklin jetësor të certifikatave të çelësit publik që përdoren për nënshkrimet dixhitale, vërtetimin ose vendosjen e çelësit për enkriptimin e të dhënave. Ai nuk trajton metodat e vërtetimit, kërkesat e mosrefuzimit ose protokollet e menaxhimit të çelësave bazuar në përdorimin e certifikatave të çelësit publik. Për qëllimet e këtij dokumenti, termi "certifikatë" i referohet certifikatave të çelësit publik. Ky dokument nuk është i zbatueshëm për certifikatat e atributeve. Ky dokument përdor konceptet dhe kërkesat e një ISMS siç përcaktohet në familjen e standardeve ISO/IEC 27000. Ai përdor kodin e praktikës për kontrollet e sigurisë së informacionit siç përcaktohet në ISO/IEC 27002. Kërkesat specifike të PKI (p.sh. përmbajtja e certifikatës, verifikimi i identitetit, trajtimi i revokimit të certifikatës) nuk adresohen drejtpërdrejt nga një ISMS siç përcaktohet nga ISO/IEC 27001 [26 ]. Përdorimi i një ISMS ose ekuivalenti është përshtatur me zbatimin e kërkesave të shërbimit PKI të specifikuara në politikën e certifikatës siç përshkruhet në këtë dokument. Një ofrues i shërbimit të besimit PKI është një klasë e veçantë shërbimi besimi për përdorimin e certifikatave të çelësit publik. Ky dokument bën një dallim midis sistemeve PKI të përdorura në mjedise të mbyllura, të hapura dhe kontraktuale. Ky dokument synon të lehtësojë zbatimin e kontrolleve dhe praktikave operacionale, bazë në një mjedis kontraktual. Ndërsa fokusi i këtij dokumenti është në mjedisin kontraktual, aplikimi i këtij dokumenti në mjedise të hapura ose të mbyllura nuk përjashtohet në mënyrë specifike.