C_12635_Anlage_X_V1.0.0
C_12635_Anlage
Inhaltsverzeichnis
1 Änderungsbeschreibung
Die Security-Anforderungen des Anbieters Zentraler Plattformdienste (AZPD) und die vom AZPD angebotenen Dienste entsprechen nicht dem aktuellen Anforderungen an Anbieter sowie Produkte.
Mittels Änderungseintrag sollen folgende Schieflagen behoben werden:
- Seit der Veröffentlichung des DS_Anbieters 2.0 wurden nicht lückenlos alle Anforderungen dem Anbietertypsteckbrief des AZPD zugewiesen.
- Produkttypsteckbriefe der vom AZPD betriebenen Dienste beinhalten teilweise noch Anforderungen des DS_Anbieters 1.6 sowie die Anforderung zur Umsetzung des TI-Security Standards, also Anforderungen an den Anbieter (= AZPD) und nicht dem Hersteller.
- Die Anforderung GS-A_4388 parallel zum gemSpec_Krypt aus ATV/PTVs zum AZPD entfernen.
2 Zuweisung aus gemSpec_DS_Anbieter und gemSpec_DS_Hersteller aus PTVen entfernen.
In folgender Tabelle sind die Anforderungen durch ein "x" markiert, die aus den jeweiligen Produkttypsteckbriefen entfernt werden sollen und die aus dem DS_Anbieter stammen. Nur im Falle der "gemProdT_X509_TSP_nonQES_Komp" stammen die Anforderungen (hier mit "H" markiert) aus dem Steckbrief DS_Hersteller, was jedoch nichts an der fachlichen Beurteilung der Notwendigkeit dieser Anforderungen ändert, dass sie analog zu den anderen Produkttypsteckbriefen entfernt werden sollen.
Es wurde dabei jedoch sichergestellt, dass diese Anforderung bereits dem Steckbrief des AZPD zugewiesen sind.
| Afos | gemProdT_SG_BestNetze | gemProdT_X509_TSP_nonQES_Komp | gemProdT_gematik_Root_CA | gemProdT_ZeitD | gemProdT_ZentrNetz | gemProdT_VZD | gemProdT_OCSP_Proxy | gemProdT_NamD | gemProdT_KSR | gemProdT_Intermediaer_VSDM | |
| GS-A_4980-02 | Umsetzung der Norm ISO/IEC 27001 | x | H | x | x | x | x | x | x | x | x |
| GS-A_4981-01 | Erreichen der Ziele der Norm ISO/IEC 27001 Annex A | x | H | x | x | x | x | x | x | x | x |
| GS-A_4982-01 | Umsetzung der Maßnahmen der Norm ISO/IEC 27002 | x | H | x | x | x | x | x | x | x | x |
| GS-A_4983-01 | Umsetzung der Maßnahmen aus dem BSI-Grundschutz | x | H | x | x | x | x | x | x | x | x |
| GS-A_2076-01 | kDSM: Datenschutzmanagement nach BSI | x | x | x | x | x | x | ||||
| GS-A_5626 | kDSM: Auftragsverarbeitung | x | x | x | x | x | x | ||||
| GS-A_5551-01 | Betriebsumgebung in einem Mitgliedstaat der EU bzw. des EWR oder der Schweiz | x | x | x | x | x | x | x | x | x | |
| A_27098-01 | Verpflichtung zur Umsetzung des TI Security Standards | x | x | x | x | x | x |
3 Zuweisung Afos aus DS_Anbieterin zum AZPD
Seit der Veröffentlichung des DS_Anbieters 2.0 wurden nicht lückenlos alle Anforderungen dem Anbietertypsteckbrief des AZPD zugewiesen.
Folgende Anforderungen sollen daher dem Anbietertypsteckbrief AZPD zugewiesen werden:
- GS-A_5554 - Aufrechterhaltung der Informationssicherheit
- A_27099 - Audits und Sicherheitsanalysen
4 Ablösung Afo GS-A_4388 aus ATV/PTV
Analog zur Entfernung der Anforderung "GS-A_4388 DNSSEC-Kontext" soll diese auch aus den folgenden Steckbriefen entfernt werden:
- gemAnbT_ZPD
- gemProdT_SG_BestNetze
- gemProdT_X509_TSP_nonQES_Komp
- gemProdT_ZentrNetz
- gemProdT_VZD
- gemProdT_OCSP_Proxy
- gemProdT_KSR
- gemProdT_Intermediaer_VSDM
Die Verwendung von DNSSEC innerhalb der TI wird seit 2018 nicht mehr in den TI-Spezifikationen vorgeschrieben. DNSSEC wird in der TI von den meisten Komponenten und Fachdiensten nicht mehr verwendet. Die Entfernung der Zuweisung von einigen der DNSSEC-Anforderung wurde versehentlich vergessen. Diese Entfernung wird nun nachgeholt.