- Die für die Tätigkeit der D-CA/des D-CP und ggf. externer Dienstleister eingesetzten IT-Systeme müssen so betrieben werden, dass mögliche Schädigungen durch Viren und andere schadhafte Codes weitestgehend verhindert sowie die möglichen Folgen von Schäden und Störungen minimiert werden.Die Systeme müssen über wirksame Zugangskontrollen verfügen und insbesondere die in dieser Policy und den zugehörigen Sicherheits- und Betriebskonzepten beschriebenen Rollenkonzepte wirksam implementieren.[r9.7]Die Initialisierung von Systemen, die den privaten Signaturschlüssel der D-CA oder die geheimen symmetrischen Schlüssel Km, Kmoder Km enthalten, darf nur in Kooperation von zwei Personen erfolgen, welches durch organisatorische Maßnahmen sichergestellt wird.[r9.8]Die D-CA/der D-CP soll für ihre/seine Aufgaben vertrauenswürdige Systeme und Software einsetzen, die durch geeignete Maßnahmen wirksam gegen unautorisierte Veränderungen geschützt sind.Sofern speziell entwickelte Soft- oder Hardware eingesetzt wird, müssen die relevanten Sicherheitsvorgaben bereits im Entwicklungsprozess nachvollziehbar berücksichtigt werden.Bei allen Veränderungen der eingesetzten Soft- und Hardware müssen dokumentierte Kontrollmechanismen umgesetzt werden.[r9.9]Die innerhalb der D-CA/des D-CP eingesetzten Netzwerke und die dort gespeicherten und verarbeiteten Daten sind durch besondere Schutzmechanismen (wie z. B. Firewalls) gegen externe Zugriffe zu schützen.[r9.10]
- Alle sicherheitsrelevanten Aktionen und Prozesse auf den für die Tätigkeit der D-CA/des D-CP relevanten IT-Systemen sind so zu protokollieren, dass sich der zugehörige Zeitpunkt und die entsprechenden Personen mit hinreichender Sicherheit nachvollziehen lassen. Dazu gehören zumindest:
- •
- das Einrichten von Benutzerbereichen (Accounts),
- •
- alle Transaktions-Anforderungen (Account des Anfordernden, Typ, Status (erfolgreich/nicht erfolgreich), Gründe für das Fehlschlagen usw.),
- •
- Software-Installationen und -Updates,
- •
- Hardware-Modifikationen,
- •
- Herunterfahren und Neustarts des Systems,
- •
- Zugriff auf Audits und Archive.