Rollentrennung
[r9.15]
Durch die Einrichtung von Rollenkonzepten soll verhindert werden, dass einzelne Personen Sicherheitsvorkehrungen der D-CA/des D-CP umgehen. Hierzu werden den einzelnen Rollen jeweils beschränkte Rechte und Pflichten zugewiesen. Die genaue Ausgestaltung hängt von den konkreten Abläufen bei der D-CA/dem D-CP ab und bleibt dem Betriebskonzept der D-CA/des D-CP vorbehalten.
Folgende Rollen sind in der D-CA aber mindestens vorzusehen: - •
- D-CA-Verantwortlicher (CA-R)
- •
- PIN-Verwalter (PV)
- •
- IT-Sicherheitsbeauftragter (ISSO)
Keine Person der vorstehenden Rollen darf gleichzeitig mehr als eine dieser Rollen wahrnehmen.- •
- CA-Administrator (CAA)
- •
- Key-Manager (KM)
Jede dieser Rollen ist mit mindestens einer Person zu besetzen; mindestens ein Vertreter ist zu benennen.
Folgende Rollen sind beim D-CP aber mindestens vorzusehen: - •
- D-CP-Verantwortlicher (CP-R)
- •
- System Administrator (SysAdmin)
- •
- IT-Sicherheitsbeauftragter (ISSO)
- •
- Key-Manager (KM)
Keine Person darf gleichzeitig mehr als eine dieser Rollen wahrnehmen.
Jede dieser Rollen ist mit mindestens einer Person zu besetzen; mindestens ein Vertreter ist zu benennen.
Die Inhaber dieser Rollen sind von den IT-Systemen der D-CA/des D-CP zuverlässig zu authentifizieren.
[r9.16]
Die CA-R/CP-R-Rolle umfasst: - •
- Er ist für den sicheren und störungsfreien Betrieb der D-CA bzw. des D-CP als Organisation zuständig.
- •
- Er vertritt die Organisation nach außen und ist in der D-CA/D-CP-Organisation weisungsbefugt.
- •
- Er ist nicht direkt an der Realisierung von Geschäftsprozessen beteiligt, sondern neben der Gesamtleitung der D-CA/des D-CP verantwortlich für die Einhaltung und Überwachung von Sicherheitsmaßnahmen.
- •
- Er übernimmt die Verantwortung für das Change-Management.
[r9.17]
Die KM-Rolle umfasst: - •
- die sichere Durchführung der Key-Management-Prozesse,
- •
- die Erzeugung, Zertifizierung, Verwaltung und Löschung der asymmetrischen Schlüssel der D-CA/des D-CP sowie der symmetrischen Schlüssel, die zur Verschlüsselung von Daten der Kontrollgeräte bzw. Werkstattkarten dienen.
Die Rolle Key-Manager kann nur im 4-Augen-Prinzip umgesetzt werden.
[r9.18]
Die CAA-Rolle umfasst: •: Verantwortung für den reibungslosen Betrieb der technischen Systeme und Netzwerkkomponenten der D-CA.
[r9.19]
Die PV-Rolle umfasst: - •
- die alleinige Kenntnis über die PIN, die den Zugriff auf die Mitgliedstaatenschlüssel und den Zugriff auf die symmetrischen Schlüssel sichert,
- •
- Mitwirkung bei der Schlüsselgenerierung,
- •
- Mitwirkung bei allen Aktivitäten der D-CA, bei denen ein Zugriff auf die Mitgliedstaatenschlüssel oder den symmetrischen Schlüssel für die Verschlüsselung der Bewegungsgeber-Daten notwendig ist (z. B. Schlüsselgenerierung, Inbetriebnahme der Schlüssel, Schlüsselerneuerung).
[r9.20]
Die SysAdmin-Rolle umfasst: •: Verantwortung für den reibungslosen Betrieb der Netzwerkkomponenten und der IT-Systeme des D-CP (Installation, Konfiguration, Administration, Update, Backup, Wiederherstellung).
[r9.21]
Die ISSO-Rolle umfasst: - •
- die Überwachung der Sicherheit aller Geschäftsprozesse im Detail und die Auswertung der Sicherheitsmaßnahmen,
- •
- die Überwachung aller anderen Rollen, die Umsetzung der Security Policy, das Change-Management bzw. die Realisierung der Geschäftsprozesse und Anweisungen innerhalb der D-CA/D-CP-Organisation,
- •
- die Verantwortung zur Durchführung der Audits, die regelmäßig innerhalb der D-CA/D-CP-Organisation vorgenommen werden müssen,
- •
- die Verantwortung für die Erstellung und Pflege des Sicherheitskonzeptes,
- •
- die Teilnahme an der Mitgliedstaatenschlüssel-Generierung.
[r9.22]
Sofern die D-CA/der D-CP Teile ihrer/seiner Aufgaben an externe Dienstleister überträgt, müssen diese ein ihren Aufgaben entsprechendes Rollenkonzept einrichten.