Le domaine d'application général de l'ISO/TS 19299:2015 consiste à fournir un cadre de sécurité de l'information pour l'ensemble des entités organisationnelles et techniques d'un plan de perception du télépéage (EFC), et plus particulièrement pour les interfaces entre elles, sur la base de l'architecture système définie dans l'ISO 17573. Le cadre de sécurité décrit un ensemble d'exigences et de mesures de sécurité associées destinées à être mises en ?uvre par les parties prenantes, garantissant ainsi un fonctionnement sécurisé de leur partie d'un système EFC, tel que l'exige la politique de sécurité d'un environnement de confiance.

Le domaine d'application de l'ISO/TS 19299:2015 inclut:

• la définition d'un modèle de confiance;

Principes et hypothèses de base pour l'établissement de relations de confiance entre les parties prenantes.

• les exigences de sécurité;
• les mesures de sécurité ? contre-mesures;

Exigences de sécurité relatives à la prise en charge des mises en ?uvre du système EFC actuel.

• les spécifications de sécurité relatives à la mise en ?uvre de l'interface;

Ces spécifications offrent une extension de sécurité aux normes correspondantes.

• la gestion des clés;

Couvre l'instauration (initiale) de l'échange de clés entre les parties prenantes et plusieurs procédures opérationnelles telles que le renouvellement de clés, la révocation de certificats, etc.

• les profils de sécurité;
• la déclaration de conformité de la mise en ?uvre propose une liste de contrôle devant être utilisée par un fournisseur d'équipement, un chargé de mise en ?uvre d'un système ou l'acteur d'un rôle pour déclarer sa conformité à l'ISO/TS 19299:2015;
• les objectifs généraux de sécurité de l'information des parties prenantes qui constituent le principal motif des exigences de sécurité;
• l'analyse des menaces inhérentes au modèle de système EFC et à ses actifs en utilisant deux méthodes complémentaires distinctes, une analyse basée sur les attaques et une analyse basée sur les actifs;
• des exemples de politiques de sécurité;
• les recommandations relatives à une mise en ?uvre axée sur la protection de la vie privée;
• une proposition relative aux certificats d'entité finale.