C_11942_Anlage_V1.0.0
Prereleases:
C_11942_Anlage
Inhaltsverzeichnis
1 Änderungsbeschreibung
Die Anforderungen an die Trust Service Provider (TSP) entsprechen nicht den aktuellen Anforderungen oder sind einzelnen TSP-Anbietern noch nicht wirksam zugeordnet. Deshalb ist eine Überarbeitung der Anforderungen notwendig für einen stabilen Betrieb und eine Voraussetzung für zukünftige Beauftragungen.
Dazu werden Zuweisungen von Anforderungen aus SI-Spezifikationen in den Anbietertypsteckbriefen vorgenommen.
2 Änderung Zuweisung aus gemSpec_DS_Anbieter
2.1 Ergänzung um Anforderungen der erweiterten Schwachstellenbewertung und erweitertes Security Monitoring
Aufgrund zunehmender Kritikalität der TSP-Dienste in Bezug auf die ePA werden erweiterte Sicherheitsanforderungen zugewiesen.
Die folgenden Steckbriefe werden um Anforderungen der erweiterten Schwachstellenbewertung und des erweiterten Security Monitorings aus gemSpec_DS_Anbieter ergänzt.
Die Steckbriefe, die diese Anpassung betreffen, sind:
- Anb_X.509_TSP_eGK
- Anb_CVC_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
Die folgenden Anforderungen werden mit den referenzierten Prüfverfahren den obigen Steckbriefen zugewiesen:
| AFO-ID | Titel | Prüfverfahren |
| A_20714 | Abstimmung der Maßnahmen im Security Monitoring mit gematik | sich.techn. Eignung: "Dokumentenprüfung" |
| A_20715 | kontinuierliche Verbesserung und Dokumentation des Security Monitorings | sich.techn. Eignung: "Dokumentenprüfung" |
| A_20716 | Überwachung von Systemen | sich.techn. Eignung: "Anbietererklärung" |
| A_20717 | Zentrale Auswertung sicherheitsrelevanter Ereignisse | sich.techn. Eignung: "Anbietererklärung" |
| A_20718 | Reaktion auf detektierte Ereignisse | sich.techn. Eignung: "Anbietererklärung" |
| A_20719 | Weiterleitung erkannter Alarme an TI SIEM | sich.techn. Eignung: "Prozessprüfung" |
| A_20720 | Weiterleitung von Logdaten (Rohdaten) an TI SIEM | sich.techn. Eignung: "Prozessprüfung" |
| A_21719 | Weiterleitung von Reports TI SIEM | sich.techn. Eignung: "Prozessprüfung" |
| A_21716 | Unverzügliche Bewertung von Schwachstellen | sich.techn. Eignung: "Anbietererklärung" |
| A_21717 | Bereitstellung der Bewertung von Schwachstellen gegenüber der gematik | sich.techn. Eignung: "Anbietererklärung" |
| A_21718 | Umsetzen von Gegenmaßnahmen in Abhängigkeit der Kritikalität | sich.techn. Eignung: "Anbietererklärung" |
2.2 Verbesserung der Konsistenz in der Anforderungslage zwischen eGK, HBA und SMC-B
Die Zuweisung der folgenden Anforderungen wird zu Verbesserung der Konsistenz der verschiedenen Anbietersteckbriefe angepasst.
2.2.1 Zuweisung Anforderungen TSP X.509 und CVC eGK
Folgende Liste an Anforderungen werden auch den Steckbriefen Anb_X.509_TSP_eGK und Anb_CVC_TSP_eGK zugewiesen:
| AFO-ID | Titel | Prüfverfahren |
| GS-A_3078 | Anbieter einer Schlüsselverwaltung: verpflichtende Migrationsstrategie bei Schwächung kryptographischer Primitive | sich.techn. Eignung: Gutachten (Anbieter) |
| GS-A_3125 | Schlüsselinstallation und Verteilung: Dokumentation gemäß Minimalitätsprinzip | sich.techn. Eignung: Gutachten (Anbieter) |
| GS-A_3130 | Krypto_Schlüssel_Installation: Dokumentation der Schlüsselinstallation gemäß Minimalitätsprinzip | sich.techn. Eignung: Gutachten (Anbieter) |
| GS-A_3139 | Krypto_Schlüssel: Dienst Schlüsselableitung | sich.techn. Eignung: Gutachten (Anbieter) |
| GS-A_3141 | Krypto_Schlüssel_Ableitung: Maßnahmen bei Bekanntwerden von Schwächen in der Schlüsselableitungsfunktion | sich.techn. Eignung: Gutachten (Anbieter) |
| GS-A_3149 | Krypto_Schlüssel_Archivierung: Dokumentation der Schlüsselarchivierung gemäß Minimalitätsprinzip | sich.techn. Eignung: Gutachten (Anbieter) |
2.2.2 Zuweisung Anforderung GS-A_5324-02 zu CVC eGK
Die Anforderung GS-A_5324-02 (kDSM: Teilnahme des Anbieters an Sitzungen des kDSM) wird aus Gründen der Konsistenz zu den Anbietern TSP eGK, HBA und SMC-B dem Steckbrief Anb_CVC_TSP_eGK zugewiesen:
| AFO- ID | Titel | Prüfverfahren |
|---|---|---|
| GS-A_5324-02 | kDSM: Teilnahme des Anbieters an Sitzungen des kDSM | sich.techn. Eignung: "Anbietererklärung" |
3 Änderung Zuweisung aus gemSpec_Krypt
3.1 Entfernen von gemSpec_Krypt-Anforderungen aus folgenden Steckbriefen
Folgende Anforderungen aus der gemSpec_Krypt werden aus den Steckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
entfernt, weil entweder den Anbietertypsteckbriefen bereits eine aktuellere Version zugewiesen ist oder es sich um produktspezifische Anforderungen handelt.
| AFO-ID | Titel |
| A_17124-01 | TLS-Verbindungen (ECC-Migration) |
| GS-A_4384-01 | TLS-Verbindungen |
| GS-A_4385 | TLS-Verbindungen, Version 1.2 |
| GS-A_4387 | TLS-Verbindungen, nicht Version 1.0 |
| GS-A_4388 | DNSSEC-Kontext |
| GS-A_5035 | Nichtverwendung des SSL-Protokolls |
3.2 Prüfverfahren für GS-A_5131 anpassen
Für die Anforderung GS-A_5131 (Hash-Algorithmus bei OCSP/CertID) soll aus Gründen der Konsistenz zu Anbieter TSP eGK und HBA das Prüfverfahren gewechselt zu "sich.techn. Eignung: Gutachten (Anbieter)" gewechselt werden.
4 Änderung Zuweisung aus gemRL_TSL_SP_CP
4.1 Entfernung der Zuweisung der Anforderung A_23328 aus Anb_HBA
Die Zuweisung der Anforderung A_23328 (Bereitstellung der Identifikation mittels HBA-Antragssignatur auf Basis der QES) wird aus dem Steckbrief Anb_HBA entfernt, weil sie erfahrungsgemäß keinen Mehrwert mehr liefert.
4.2 Ersatz Anforderung A_23260 durch A_26412
Die Anforderung A_23260 wird abgelöst durch folgende neue Anforderung. Die Anforderung definiert, dass die Anbieter einen Sperrantrag binnen 60 Minuten bearbeiten müssen, da es sich bei den betroffenen Zertifikaten um ein hohes Sicherheitsniveau handelt.
A_26412 - Umsetzung des Sperrantrags
Ein Anbieter der Produkte gematik Root-CA oder TSP X.509 nonQES MUSS Anträge zur Sperrung von Zertifikaten entgegennehmen und diese binnen 60 Minuten umsetzen. [<=]
Zuweisung zu funkt. Eignung: Anbietererklärung - Anb_SMC-B, Anb_HBA, Anb_X.509_TSP_eGK, Anb_ZD
Hinweis: Die dafür notwendigen technischen Voraussetzungen müssen die jeweiligen Produkte gem. A_26411 erbringen, diese Anforderung wird den Produkten im Änderungseintrag C_11919 zugewiesen.
4.3 Ablösen von Anbieteranforderungen aus Produkttyp- und Zuweisung zu Anbietertypsteckbriefen
Diese folgenden Anforderungen waren zuvor Produkttypsteckbriefen zugewiesen. Jedoch richten sich diese Anforderungen primär an Anbieter und werden daher aus Gründen der Konsistenz Anbietertypsteckbriefen zugewiesen.
4.3.1 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung SiGU
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
zugewiesen mit dem Prüfverfahren 'sich.techn. Eignung: Gutachten (Anbieter)'.
| AFO-ID | Titel |
|---|---|
| GS-A_4173 | Erbringung von Verzeichnisdienstleistungen |
| GS-A_4191 | Einsatz interoperabler Systeme durch einen externen Dienstleister |
| GS-A_4230 | Gewährleistung der Online-Verfügbarkeit von Sperrinformationen |
| GS-A_4247 | Obligatorische Vorgaben für das Rollenkonzept |
| GS-A_4249 | Standort für Backup-HSM |
| GS-A_4255 | Nutzung des HSM im kontrollierten Bereich |
| GS-A_4259 | Vorgaben für die informationstechnische Trennung sicherheitskritischer Bestandteile der Systemumgebung |
| GS-A_4260 | Manipulationsschutz veröffentlichter Daten |
| GS-A_4261 | Vorgaben zur Betriebsumgebung für sicherheitskritische Bestandteile des Systems |
| GS-A_4268 | Anforderungen an den Einsatz freier Mitarbeiter |
| GS-A_4271 | Aufzeichnung von organisatorischen Ereignissen |
| GS-A_4272 | Aufbewahrungsfrist für sicherheitsrelevante Protokolldaten |
| GS-A_4274 | Archivierung von für den Zertifizierungsprozess relevanten Daten |
| GS-A_4275 | Dokumentationspflicht für Prozesse zum Schlüsselwechsel |
| GS-A_4276 | Aktionen und Verantwortlichkeit im Rahmen der Notfallplanung |
| GS-A_4284 | Beachtung des betreiberspezifischen Sicherheitskonzepts bei der Erzeugung von Schlüsselpaaren |
| GS-A_4285 | Sicherheitsniveau bei der Generierung von Signaturschlüsseln |
| GS-A_4287 | Sichere Aufbewahrung des privaten Schlüssels einer CA |
| GS-A_4288 | Verwendung eines Backup-HSM zum Im-/Export von privaten Schlüsseln |
| GS-A_4289 | Unterstützung des sicheren Löschen von Schlüsseln durch HSM |
| GS-A_4290 | Generieren und Löschen von Schlüsselpaaren gemäß Vier-Augen-Prinzip |
| GS-A_4291 | Berechnungen mit dem privaten Schlüssel gemäß Vier-Augen-Prinzip |
| GS-A_4292 | Protokollierung der HSM-Nutzung |
| GS-A_4294 | Bedienung des Schlüsselgenerierungssystems |
| GS-A_4295 | Berücksichtigung des aktuellen Erkenntnisstands bei der Generierung von Schlüsseln |
| GS-A_4304 | Speicherung und Anwendung von privaten Schlüsseln |
| GS-A_4305 | Ordnungsgemäße Sicherung des privaten Schlüssels |
| GS-A_4306 | Verwendung von privaten Schlüsseln |
| GS-A_4307 | Vorgaben an HSM-Funktionalität |
| GS-A_4308 | Speicherung und Auswahl von Schlüsselpaaren im HSM |
| GS-A_4309 | Verwendung von zertifizierten kryptographischen Modulen |
| GS-A_4310 | Vorgaben an die Prüftiefe der Evaluierung eines HSM |
| GS-A_4311 | Hinterlegung des privaten Signaturschlüssels |
| GS-A_4314 | Sichere Übermittlung von Aktivierungsdaten |
| GS-A_4315 | Konformität zum betreiberspezifischen Sicherheitskonzept |
| GS-A_4316 | Härtung von Betriebssystemen |
| GS-A_4317 | Obligatorische Sicherheitsmaßnahmen |
| GS-A_4396 | Speicherung hinterlegter Root- und CA-Schlüssel |
| GS-A_4906 | Zuordnung von Schlüsseln zu Identitäten |
| GS-A_4188 | Zuverlässige Identifizierung und vollständige Prüfung der Antragsdaten |
| GS-A_4190 | Regelung für die Berechtigung zur Antragstellung |
4.3.2 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung SiGU und Betriebshandbuch
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
zugewiesen mit dem Prüfverfahren 'sich.techn. Eignung: Gutachten (Anbieter)' und 'organ./betriebl. Eignung: Betriebshandbuch'.
| AFO-ID | Titel |
|---|---|
| GS-A_4186 | Prüfung auf den Besitz des privaten Schlüssels bei dem Zertifikatsnehmer |
| GS-A_4201 | Dokumentation des Registrierungsprozesses |
| GS-A_4202 | Identifikation des Zertifikatsnehmers im Rahmen der Registrierung |
| GS-A_4203 | Dokumentationspflichten für die Beantragung von Zertifikaten |
4.3.3 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung sich.techn. Eignung Anbietererklärung
Die Anforderung A_17860 (OCSP-Statusauskunft bei Übernahme durch einen anderen TSP-X.509 nonQES) wird den Anbietertypsteckbriefen mit dem Prüfverfahren 'sich.techn. Eignung: Gutachten (Anbieter)' zugewiesen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
4.3.4 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funktn. Eignung Anbietererklärung
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
zugewiesen mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung'.
| AFO-ID | Titel |
|---|---|
| GS-A_4208 | Ausgabe von Zertifikaten |
| GS-A_4225 | Festlegung eines Sperrberechtigten für Endanwenderzertifikate |
| GS-A_4395 | Benachrichtigung des Zertifikatsnehmer |
4.3.5 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung sich. tech. Eignung Anbietererklärung
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
zugewiesen mit dem Prüfverfahren 'sich.techn. Eignung: Anbietererklärung'.
| AFO-ID | Titel |
|---|---|
| GS-A_4250 | Verwendung des Backup-HSM gemäß Vier-Augen-Prinzip |
| GS-A_4252 | Besetzung von Rollen und Informationspflichten |
| GS-A_4254 | Rollenzuordnung unter Wahrung der Vier-Augen-Prinzips |
| GS-A_4256 | Zugang zu Systemen für die Zertifikatserzeugung |
| GS-A_4262 | Gewährleistung des Zugangs zur Betriebsstätte |
| GS-A_4263 | Rollenunterscheidung im organisatorischen Konzept |
| GS-A_4264 | Mitteilungspflicht für Zuordnung der Rollen |
| GS-A_4265 | Obligatorische Rollen für sicherheitsrelevante Tätigkeiten |
| GS-A_4266 | Ausschluss von Rollenzuordnungen |
| GS-A_4267 | Rollenaufteilung auf Personengruppen |
| GS-A_4269 | Einsicht in Dokumente für Mitarbeiter |
| GS-A_4277 | Anzeigepflicht bei Beendigung der Zertifizierungsdienstleistungen |
| GS-A_4278 | Maßnahmen zur Einstellung des Zertifizierungsbetriebs |
| GS-A_4281 | Fristen bei der Einstellung des Zertifizierungsbetriebs für einen TSP-X.509 nonQES |
| GS-A_4282 | Erforderliche Form bei Einstellung des Zertifizierungsbetriebs |
| GS-A_4283 | Gültigkeit der Zertifikate bei Einstellung des Zertifizierungsbetriebs |
| GS-A_4296 | Anlass für den Wechsel von Schlüsselpaaren |
| GS-A_4297 | Behandlung einer Kompromittierung eines Schlüsselpaares |
| GS-A_4318 | Maßnahmen zur Beurteilung der Systemsicherheit |
| GS-A_4319 | Prüfpflichten vor Nutzung neuer Software im Wirkbetrieb |
| GS-A_4321 | Bereitstellung eines Certificate Policy Disclosure Statements |
| GS-A_4322 | Zusicherung der Dienstqualität |
| GS-A_4323 | Wahrung der Vertraulichkeit |
| GS-A_4324 | Zusicherung der Dienstgüte |
| GS-A_4325 | Zweckbindung von Zertifikaten |
| GS-A_4326 | Dokumentationspflicht für beschränkte Gültigkeit |
| GS-A_4327 | Transparenz für Nachträge zum Certificate Policy Statement |
| GS-A_4328 | Informationspflicht bei Änderung des CPS |
| GS-A_4332 | Dokumentation der Pflichten des Antragstellers eines Komponentenzertifikats |
| GS-A_4394 | Dokumentation der Zertifikatsausgabeprozesse |
4.3.6 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funk. Eignung Anbietererklärung
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
zugewiesen mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung'.
| AFO-ID | Titel |
|---|---|
| A_17861 | Aufnahme der OCSP- und CRL-Signerzertifikate der TI in die TSL |
| GS-A_4174 | Veröffentlichung von CA- und Signer-Zertifikaten |
| GS-A_4175 | Veröffentlichungspflicht für kritische Informationen |
| GS-A_4176 | Mitteilungspflicht bei Änderungen |
| GS-A_4177 | Zugriffskontrolle auf Verzeichnisse |
| GS-A_4178 | Standardkonforme Namensvergabe in Zertifikaten |
| GS-A_4179 | Format von E-Mail-Adressen in Zertifikaten |
| GS-A_4180 | Gestaltung der Struktur der Verzeichnisdienste |
| GS-A_4181 | Eindeutigkeit der Namensform des Zertifikatsnehmers |
| GS-A_4183 | Kennzeichnung von maschinen-, rollenbezogenen oder pseudonymisierten (nicht personenbezogenen) Zertifikaten |
| GS-A_4185 | Unterscheidung von Zertifikaten |
| GS-A_4192 | Prüfung der Berechtigung zur Antragstellung auf Schlüsselerneuerung |
| GS-A_4195 | Schriftform für Aufnahme eines Zertifikats in die TSL |
| GS-A_4199 | Berechtigung für Beantragung von CA-Zertifikaten |
| GS-A_4207 | Vorgaben für die Ausgabe von Endnutzerzertifikaten |
| GS-A_4211 | Bereitstellung von CA-Zertifikaten bei Aufnahme in die TSL |
| GS-A_4212 | Verwendung des privaten Schlüssels durch den Zertifikatsnehmer |
| GS-A_4214 | Veröffentlichung der öffentlichen Schlüssel durch den TSP-X.509 nonQES |
| GS-A_4219-01 | Sperrung von Anwenderzertifikaten |
| GS-A_4221 | Anzeige der Kompromittierung des privaten Signaturschlüssels |
| GS-A_4227 | Dokumentation der Fristen für einen Sperrantrag |
| GS-A_4231 | Anforderungen zur Online-Prüfung von Sperrinformationen |
| GS-A_4238 | Funktionsbeschreibung des Statusabfragedienstes |
| GS-A_4245 | Anzeige von Änderung an der Gesellschafterstruktur des Betreibers |
| GS-A_4248 | Bereitstellung der Protokollierungsdaten |
| GS-A_4299 | Zulassung/Abnahme und Aufnahme in den Vertrauensraum der TI |
| GS-A_4300 | Zweckbindung von Schlüsselpaaren |
| GS-A_4302 | Transportmedium für die Übergabe des privaten Schlüssels eines Schlüsselpaars |
| GS-A_5083 | Zertifikatsantragstellung im Vier-Augen-Prinzip |
| GS-A_5084 | Zugang zu HSM-Systemen im Vier-Augen-Prinzip |
| GS-A_4241 | Sperrung von Zertifikaten bei Kündigung durch den Zertifikatsnehmer |
4.3.7 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funk. Eignung Anbietererklärung (ohne Anb_ZD)
Die Anforderung GS-A_4182 (Kennzeichnung von personen- bzw. organisationsbezogenen Zertifikaten) wird den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
zugewiesen mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung'.
4.3.8 Zuweisung von eGK Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funk. Eignung Anbietererklärung
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
zugewiesen mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung'.
| AFO-ID | Titel |
|---|---|
| GS-A_4187 | Nutzung bestehender SGB-Datensätze bei Registrierung für Endanwender (Versicherte) |
| GS-A_4234 | Zusammenhang zwischen Zertifikatssperrung und -suspendierung |
| GS-A_4235 | Festlegung zu Verantwortlichkeit für Suspendierung |
| GS-A_4236 | Verfahren für Anträge auf Suspendierung |
| GS-A_4237 | Festlegung zu maximaler Dauer von Suspendierungen |
4.3.9 Zuweisung von GS-A_4189 aus gemRL_TSL_SP_CP zu Anbietersteckbriefen
Die Anforderung GS-A_4189 (Prüfungspflicht für Person, Schlüsselpaar, Schlüsselaktivierungsdaten und Name) wird den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
zugewiesen mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung'.
4.3.10 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funk. Eignung Anbietererklärung und Betriebshandbuch
Die Anforderungen aus der folgenden Tabelle werden den Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
zugewiesen mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung' und 'organ./betriebl. Eignung: Betriebshandbuch'
| AFO-ID | Titel |
|---|---|
| GS-A_4210 | Dokumentation der Annahme eines Zertifikatsantrags und der sicheren Ausgabe des Zertifikats |
| GS-A_4215 | Bedingungen für eine Zertifizierung nach Schlüsselerneuerung |
| GS-A_4218 | Beschreibung der Bedingungen für die Sperrung eines Anwenderzertifikats |
| GS-A_4226 | Verfahren für einen Sperrantrag |
| GS-A_4229 | Methoden zum Prüfen von Sperrinformationen |
| GS-A_4242 | Dokumentationspflicht für Prozesse der Schlüsselhinterlegung |
| GS-A_4251 | Backup-Konzept |
4.3.11 Zuweisung von Anforderungen aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funk. Eignung Produkttest
Folgende Anforderungen werden dem Anbieter ZD zugeordnet mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung':
| AFO-ID | Titel |
|---|---|
| GS-A_4333 | Informationspflicht gegenüber Antragsteller bei Sperrung eines Komponentenzertifikats |
| GS-A_4336 | Sperranträge der gematik für Komponentenzertifikate |
4.3.12 Zuweisung von GS-A_4352 aus gemRL_TSL_SP_CP zu Anbietersteckbriefen mit Prüfung funk. Eignung Produkttest
Die Anforderung GS-A_4352 (Maximale Gültigkeitsdauer eines Endbenutzerzertifikats) wird den folgenden Anbietertypsteckbriefen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
- Anb_ZD
mit dem Prüfverfahren "funkt. Eignung: Anbietererklärung" zugewiesen.
4.3.13 Anforderungen Anbieter ZD zuordnen mit SiGU
Folgende Anforderungen werden dem Anbieter ZD zugeordnet mit dem Prüfverfahren 'sich.techn. Eignung: Gutachten (Anbieter)':
| AFO-ID | Titel |
| GS-A_4339 | Autorisierung für die Sperrung von Komponentenzertifikaten |
| GS-A_4342 | Verbot einer Schlüsselhinterlegung für Komponentenzertifikate |
| GS-A_4343 | Unterstützung der Übergabe bei Schließung eines TSP-X.509 nonQES für Komponentenzertifikate |
4.3.14 Anforderungen Anbieter ZD zuordnen mit funktionaler Eignung Anbietererklärung
Die Anforderung GS-A_4345 (Automatisierte Zertifikatsanträge für Komponentenzertifikate) wird dem Anbietertypsteckbrief Anb_ZD mit dem Prüfverfahren 'funkt. Eignung: Anbietererklärung' zugewiesen.
4.3.15 Anforderungen Anbieter ZD zuordnen mit Anbietererklärung
Folgende Anforderungen werden dem Anbieter ZD zugeordnet mit dem Prüfverfahren 'sich.techn. Eignung: Anbietererklärung':
| AFO-ID | Titel |
|---|---|
| GS-A_4331 | Sicherstellungspflicht des Antragstellers eines Komponentenzertifikats |
| GS-A_4337 | Sonderregelung für die Sperrung von Komponentenzertifikaten |
| GS-A_4340 | Befristung von Sperranträgen für Komponentenzertifikate |
| GS-A_4344 | Sperrung von Komponentenzertifikate bei Schließung eines TSP-X.509 nonQES |
4.4 Zuordnung von Anforderungen zu Anbietertypsteckbriefen entfernen
Diese folgenden Anforderungen sind aktuell Anbietertypsteckbriefen zugewiesen. Jedoch richten sich diese Anforderungen primär an Produkte und werden daher aus Gründen der Konsistenz im Änderungseintrag C_11919 den Produkttypsteckbriefen zugewiesen.
Die Zuweisung der Anforderung aus der Tabelle werden aus den folgenden Anbietertypsteckbriefen abgelöst:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
| AFO-ID | Titel |
| GS-A_4270 | Aufzeichnung von technischen Ereignissen |
| GS-A_4273 | Schutz vor Zugriff, Löschung und Manipulation elektronischer Protokolldaten |
| GS-A_4312 | Aktivierung privater Schlüssel |
| GS-A_4313 | Deaktivierung privater Schlüssel |
4.5 Definition von Verzeichnisdiensten
Aufnahme folgender Definition in Kapitel 3.1 der gemRL_TSL_SP_CP:
Verzeichnisdienstleistungen beziehen sich auf den Betrieb eines Verzeichnisdienstes, wobei ein Verzeichnisdienst ein Dienst ist, welcher in einem Datennetz Informationen über beliebige Objekte in einer definierten Art zur Verfügung stellt. (vgl. BSI-Grundschutz APP.2.1)
4.6 Streichung der Anforderung GS-A_4289
Die Anforderung GS-A_4289 entfällt ersatzlos. Die Sicherheitsleistung wird bereits durch GS-A_4310 erbracht.
4.7 Ablösung von GS-A_4310 durch GS-A_4310-01
Der Text von GS-A_4310 wird wie folgt angepasst und die Nachfolgeanforderung GS-A_4310-01 identisch wie GS-A_4310 zugewiesen:
GS-A_4310-01 - Vorgaben an die Prüftiefe der Evaluierung eines HSM
Die gematik Root-CA und ein TSP-X.509 nonQES MÜSSEN für alle eingesetzten Hardware-Sicherheitsmodule (HSM) sicherstellen, dass diese nach einer der folgenden Kombinationen aus Evaluierungsschema und Prüftiefe evaluiert wurden:
- FIPS 140-2 Level 3,
- FIPS 140-3 Level 3,
- Common Criteria EAL 4+ erweitert um AVA_VAN.5 [<=]
4.8 Ablösung von GS-A_4292 durch GS-A_4292-01
Der Text der GS-A_4292 wird zweimal durch das Wort "administrative" ergänzt und als GS-A_4292-01 identisch wie GS-A_4292 zugewiesen:
GS-A_4292-01 - Protokollierung der HSM-Nutzung
Die gematik Root-CA und ein TSP-X.509 nonQES MÜSSEN sicherstellen, dass die administrative Nutzung des HSM revisionssicher protokolliert wird, insbesondere welche Rolle/Person zu welchem Zeitpunkt für welche administrative Funktion das HSM genutzt hat und für welche Profile das HSM konfiguriert ist. [<=]
4.9 Kommentar zu GS-A_4348 bzgl. gSMC-K
Die Anforderung GS-A_4348 wird um folgenden nicht normativen Kommentar ergänzt:
Eine Erneuerung von Zertifikaten ohne Erneuerung des Schlüsselmaterials ist zulässig für Zertifikate vom Typ gSMC-K, sofern dieses Vorgehen explizit von der gematik beauftragt wird.
5 Änderung Zuweisung aus gemSpec_Net
Diese folgenden Anforderungen waren zuvor Produkttypsteckbriefen zugewiesen. Jedoch richten sich diese Anforderungen primär an Anbieter und werden daher aus Gründen der Konsistenz Anbietertypsteckbriefen zugewiesen.
5.1 Zuweisung Anforderung A_20574-02 TSP eGK
Die Anforderung A_20574-02 (Beachtung der ISI-LANA für Übergänge zu Fremdnetzen) wird den folgenden Steckbriefen mit dem Prüfungsverfahren 'sich.techn. Eignung: Gutachten (Anbieter)' zugewiesen:
- Anb_X.509_TSP_eGK
- Anb_HBA
- Anb_SMC-B
5.2 Zuweisung Anforderung GS-A_4062-01 zu eGK und ZD
Die Anforderung GS-A_4062-01 (Sicherheitsanforderungen für Netzübergänge zu Fremdnetzen) wird den folgenden Steckbriefen mit dem Prüfungsverfahren 'sich.techn. Eignung: Gutachten (Anbieter)' zugewiesen:
- Anb_X.509_TSP_eGK
- Anb_ZD
- Anb_HBA
- Anb_SMC-B
Diese Anforderung war zuvor Produkttypsteckbriefen zugewiesen. Jedoch richtet sich diese Anforderung primär an Anbieter und wird daher aus Gründen der Konsistenz den Anbietern zugewiesen.
5.3 Zuweisung Anforderung GS-A_4054 zu eGK, ZD und HBA
Die Anforderung GS-A_4054 (Paketfilter Default Deny) wird den folgenden Steckbriefen mit dem Prüfungsverfahren 'sich.techn. Eignung: Gutachten (Anbieter)' zugewiesen:
- Anb_X.509_TSP_eGK
- Anb_ZD
- Anb_HBA
- Anb_SMC-B
Diese Anforderung war zuvor Produkttypsteckbriefen zugewiesen. Jedoch richtet sich diese Anforderung primär an Anbieter und wird daher aus Gründen der Konsistenz den Anbietern zugewiesen.
5.4 Zuweisung Anforderung GS-A_4879 zu eGK, HBA und SMC-B
Die Anforderung GS-A_4879 (DNSSEC, Zonen im Namensraum Internet mittels DNSSEC sichern) wird den folgenden Steckbriefen mit dem Prüfungsverfahren 'sich.techn. Eignung: Gutachten (Anbieter)' zugewiesen:
- Anb_X.509_TSP_eGK
- Anb_SMC-B
- Anb_HBA
Diese Anforderung war zuvor Produkttypsteckbriefen zugewiesen. Jedoch richtet sich diese Anforderung primär an Anbieter und wird daher aus Gründen der Konsistenz den Anbietern zugewiesen.