IT Security in EU GMP Annex 11 und EMA Concept Paper zum Annex 11
Momentan findet man im EU-GMP Annex 11 nur 4 Einzelpunkte im Abschnitt 12 Sicherheit (Abbildung 1). Es handelt sich hier um 4 Punkte, in denen es im Wesentlichen um den Zugang und Zugriff auf Systeme und Anwendungen geht.
Der Zugriffsschutz
Bei EU-GMP Annex 11, 12.1 werden Schutzmöglichkeiten beschrieben.
12.1 Es sollten physikalische und / oder logische Maßnahmen implementiert sein, um den Zugang zu computergestützten Systemen auf autorisierte Personen zu beschränken. Geeignete Maßnahmen zur Vermeidung unerlaubten Systemzugangs können die Verwendung von Schlüsseln, Kennkarten, persönlichen Codes mit Kennworten, biometrische Verfahren sowie den eingeschränkten Zugang zu Computern mit zugehöriger Ausrüstung und Datenspeicherungsbereichen einschließen.
Wichtig es geht um physikalische und logische Maßnahmen, also um eine physische Zutrittskontrolle zu Räumlichkeiten und entsprechender Hardware und um logische Zugriffskontrolle auf Software.
Hierbei handelt es sich zunächst nur um eine Aufzählung von Möglichkeiten, wie man einen unautorisierten Zugang zu einem System verhindern kann. Eine Wertung oder Priorisierung der Möglichkeiten findet nicht statt. Der Begriff Zugang ist nicht weiter beschrieben. Der Hinweis auf physikalische und logische Maßnahmen deutet aber an, dass hier Zugriff auf bestimmte Anwendungen und Daten gemeint ist. Dies ergibt sich auch aus einem Hinweis in der AMWHV (Arzneimittel- und Wirkstoffherstellungsverordnung):
§ 20 Die Zugriffsberechtigung zu den Aufzeichnungen nach Satz 1 ist durch geeignete Maßnahmen auf dazu befugte Personen einzuschränken.
§ 10 Die Unterlagen dürfen nur dafür autorisierten Personen zugänglich sein.
Hilfreich sind hier Hinweise im BSI IT-Grundschutzkompendium. Es wird unterschieden zwischen Zutritt, Zugang und Zugriff. Mit Zutritt wird das Betreten von abgegrenzten Bereichen wie z. B. Räumen oder geschützten Arealen in einem Gelände bezeichnet. Zugang ist der Zugang zum System (einloggen) und zu Anwendungen und Zugriff ist der Zugriff auf Daten. Hierzu findet man folgenden wichtigen Hinweis im IT Grundschutzkompendium:
G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
- Ohne geeignete Mechanismen zur Zutritts-, Zugriffs- und Zugangskontrolle kann eine unberechtigte Nutzung von Geräten und Systemen praktisch nicht verhindert oder erkannt werden.
- Bei IT-Systemen ist der grundlegende Mechanismus die Identifikation und Authentisierung von Benutzern.
Im Zusammenhang mit den Zugriffsrechten und den genutzten Maßnahmen ergeben sich dann für den Inspektor doch relativ viele Fragen, die im Rahmen einer GMP-Inspektion gestellt werden könnten. Hilfreich sind hier insbesondere die Hinweise in PIC/S PI 011 und im AIM der EFG 11
Hier einige Beispiele von Fragen aus dem AIM der EFG 11:
- Welche Methoden werden eingesetzt, um den Zugang zum System durch Nichtberechtigte zu verhindern?
- Welche Regelungen gibt es zur Festlegung der Zugriffsrechte?
- Wer vergibt den jeweiligen Status der Zugriffsrechte und wie ist das Prozedere?
- Wer hat Systemadministratorzugriff auf das System und die Daten?
- Welche Festlegungen wurden getroffen, um den Einsatz sicherer Passwörter zu gewährleisten
Gerade zu Administratorrechten findet man keine Hinweise im aktuellen EU-GMP Annex 11. Hier kann man die Hinweise aus PIC/S PI 041 nutzen. Folgendes wird hier unter anderem beschrieben:
Administrator access rights should not be given to normal users on the system (i.e. segregation of duties). |
Diese Problematik tut sich immer wieder in den Laboren der Qualitätskontrolle auf. Inspektionen haben gezeigt, dass nicht selten Labormitarbeiter Administratorrechte besitzen.
Normal users should not have access to critical aspects of the computer system, e.g. system clocks, file deletion functions. |
Das Löschen von Daten muss in einem kontrollierten Verfahren erfolgen. Eine Audit Trail ist hier zwingend erforderlich. GxP-Daten dürfen nur am Ende der Aufbewahrungsfrist gelöscht werden.
System administrators should normally be independent from users performing the task, and have no involvement or interest in the outcome of the data generated or available in the electronic system. |
Ein wichtiger Hinweis: Systemadministratoren sollten in der Regel unabhängig von Benutzern sein und keine Beteiligung oder Interesse am Ergebnis der Daten haben, die im elektronischen System generiert oder verfügbar sind. Hierzu findet man im AIM der EFG 11 auch noch folgenden Hinweis:
"Systemadministratoren sollten unabhängig von den Systemanwendern sein. Dies betrifft v. a. die Aufgaben Sicherheitseinstellungen (wie Konfigurationseinstellungen), Back-Up, Archivierung".
Seminarempfehlung
Mannheim15./16. Oktober 2024
Change Control bei computergestützten Systemen (CV 24)
Problematisch ist diese Forderung allerdings in sehr kleinen Laboren. Hier findet man einen wichtigen Hinweis in PIC/S PI 041:
In kleineren Organisationen kann es für eine dafür ausgewählte Person zulässig sein, einen Zugang als Administrator zu haben. In solchen Fällen sollte der Administratorenzugang jedoch nicht zur Durchführung von Routinetätigkeiten verwendet werden, und der Benutzer sollte einen zweiten, eingeschränkten Zugang zur Durchführung von Routinetätigkeiten besitzen.
For example, QC supervisors and managers should not be assigned as the system administrators for electronic systems in their laboratories |
Typically, individuals outside of the quality and production organisations (e.g., Information Technology administrators) should serve as the system administrators and have enhanced permission levels. |
Welche Sicherheitsmaßnahmen sind erforderlich?
Wesentlich ist jetzt der Hinweis in 12.2. EU-GMP Annex 11:
12.2 Der Umfang der Sicherheitsmaßnahmen ist von der Kritikalität des computergestützten Systems abhängig.
Eine Bewertung bzw. Abstufung der Kritikalität ist in bestimmten Einzelfällen schwierig. Glücklicherweise gibt es eine Legaldefinition zu kritischen Systemen in der AMWHV im § 2 Begriffsdefinitionen:
§ 2 Begriffsbestimmungen
Im Sinne dieser Verordnung
19. sind kritische Ausrüstungsgegenstände oder Geräte solche, die mit den Produkten in Berührung kommen oder einen anderen Einfluss auf die Qualität oder Sicherheit der Produkte haben können.
Wichtig, hier sind nicht nur Maßnahmen gemeint, die im Zusammenhang mit den Zugriffsrechten stehen, sondern auch alle anderen möglichen Schutzmaßnahmen wie Antiviren-Software, Malware-Schutz, Firewalls, Patch-Management oder die Installation eines Intrusion Detection System (IDS).
In 12.3 geht es schließlich um die Dokumentation von Zugriffsberechtigungen.
Dokumentation von Rechten
12.3 Erteilung, Änderung und Entzug von Zugriffsberechtigungen sollten aufgezeichnet werden.
Das bedeutet also, dass eine entsprechende Dokumentation zu führen ist. Wer hat welche Rechte bekommen? Wer ist nicht mehr berechtigt? Was hat sich geändert? Name wegen Heirat. Wechsel in eine andere Abteilung oder die Position in der Abteilung.
Die Inspektoren wünschen sich hier wohl das Führen eines entsprechenden Registers wie man dem AIM der EFG 11 entnehmen kann:
"Es sollte ein Register über autorisierte Personen gepflegt werden, welches bei der Inspektion überprüft werden kann."
Aufzeichnung von GxP Aktivitäten
EU-GMP Annex 11, 12.4 ist nicht einfach zu interpretieren.
EU-GMP Annex, 12.4 :
Systeme zur Verwaltung von Daten und Dokumenten sollten die Identität des Anwenders, der Daten eingibt, ändert, bestätigt oder löscht, mit Datum und Uhrzeit aufzeichnen.
Hier geht es zunächst einmal um Systeme zur Verwaltung von Daten und Dokumenten. Doch wo ist die Grenze zwischen dem Verwalten von Daten und dem Sammeln und Aufzeichnen von Daten.
Eindeutig sind die Hinweise auf die Rechte dieses Anwenders. Diese liegen beim Eingeben, Ändern, Bestätigen oder Löschen. Bei solchen Systemen sollten offensichtlich User Log-Dateien erstellt werden: Wer loggt wann ein ohne dass jetzt hier von der Protokollierung seiner Tätigkeit die Rede ist.
Angaben im Concept Paper on the revision of Annex 11
Die Vorgaben und Hinweise über die beschriebenen vier Punkte des EU-GMP Annex zu IT-Security sind doch sehr eng formuliert, betrachtet man das komplette und komplexe Feld der IT Sicherheit. Dies wird dann auch im Concept Paper zum Annex 11 berücksichtigt. Insgesamt fünf Einzelpunkte werden im Concept Paper genannt. Damit ist die Rubrik IT-Security im Concept Paper nach der Rubrik zum Audit Trail der Abschnitt bei dem man den umfangreichsten Revisionsbedarf sieht. Hier nun die Betrachtung der Einzelpunkte aus dem Concept Paper.
26. [12.1] The current section has only focus on restricting system access to authorised individuals; however, there are other important topics. In line with ISO 27001, a section on IT security should include a focus on system and data confidentiality, integrity and availability. |
Der erste Hinweis in Bezug auf den Zugang ist sicher so richtig, wobei momentan schon auch bestimmte Rechte und die Dokumentation angesprochen werden. Im zweiten Satz wird nun die ISO 27001 mit ins Spiel gebracht. Hinweise zur ISO 27001 findet man auch in der GAMP® 5 2nd Edition. Hier heißt es:
Appendix O11 - Security Management
43.4.2
Ein ISMS (wie in ISO 27001 [44] definiert) sollte eingerichtet werden, um die Richtlinien, Verfahren und Instrumente festzulegen, die zum Schutz der Daten und Aufzeichnungen computergestützter Systeme zu befolgen sind.
Nach GAMP® 5 2nd Edition ist eine Zertifizierung auch erwünscht:
43.4.9 Security Certification Programs
Third party independently certified security certifications such as ISO27001 Information security management systems [44], ISO/IEC 27017 Information technology [46], ISO/IEC 27701 Security techniques [82], and AICPA SOC 1®, SOC 2®, and SOC 3® reports [40] can be a useful benchmark for service providers to evaluate the efficacy of their ISMS.
Ein ISMS (Information Security Management System) wurde bereits in der zweiten Version von PIC/S PI 011 (2004) genannt, dargestellt und befürwortet. Der Draft zum aktuellen EU-GMP Annex 11 aus 2008 hatte ein ISMS im GMP-Bereich gefordert. Diese Forderung wurde kategorisch von der Industrie abgelehnt und deshalb aus dem damaligen Entwurf wieder entfernt.
Die Forderung nach der ISO 27001 bedeutet eigentlich eine Zertifizierung nach der Norm. Dies sollte in GMP nicht eingefordert werden, da dies regulatorisch problematisch werden könnte. Auf der anderen Seite wird gemäß BSIG und BSI-KritisV (Betreiber kritischer Infrastrukturen) eine Zertifizierung gefordert, wenn ein bestimmter Schwellenwert überschritten wird. Auch das AIM der EFG 11 fordert ein ISMS ohne allerdings auf eine Zertifizierung zu verweisen. Wer soll dann allerdings die Einhaltung der ISMS-Maßnahmen überprüfen? Die GMP-Inspektoren kämen dann tatsächlich erst dann ins Spiel, wenn das ISMS konkret im Annex 11 gefordert wird.
Seminarempfehlung
Mannheim17./18. Oktober 2024
GxP-gerechte IT-/OT-Infrastruktur und Virtualisierung (CV 12)
27. [12.1] The current version says that "Physical and/or logical controls should be in place to restrict access to computerised system to authorised persons". However, it is necessary to be more specific and to name some of the expected controls, e.g. multi-factor authentication, firewalls, platform management, security patching, virus scanning and intrusion detection/prevention. |
Wie bereits oben beschrieben muss 12.1 zusammen mit 12.2 gelesen werden. Es gilt der Stand der Technik und dieser sollte nicht im Detail in einer Rechtsgrundlage beschrieben werden. Wir haben hierzu bereits ausreichende Hinweise in PIC/S PI 041 und auch im AIM der EFG 11 (Aide-Mémoire der EFG 11 - Überwachung computergestützter Systeme).
12.2 meint nicht nur Maßnahmen, die im Zusammenhang mit den Zugriffsrechten stehen, sondern auch alle anderen möglichen Schutzmaßnahmen wie bereits oben beschrieben.
28. [12.1] It should be specified that authentication on critical systems should identify the regulated user with a high degree of certainty. Therefore, authentication only by means of a 'pass card' might not be sufficient, as it could have been dropped and later found by anyone. |
Auch hier wird im Prinzip 12.2 ignoriert. Eine ausreichende Identifizierung über eine Karte in Bezug auf den Systemzugang würde sicherlich momentan kein Inspektor akzeptieren.
29. [12.1] Two important expectations for allocation of system accesses should be added either here or elsewhere; i.e. 'segregation of duties', that day-to-day users of a system do not have admin rights, and the 'least privilege principle', that users of a system do not have higher access rights than what is necessary for their job function. |
Auch diese Vorgaben werden momentan schon in der Regel von den Betrieben praktiziert. Dies ergibt sich letztendlich aus der Risikobetrachtung. Auf Grund der Aussage im aktuellen Annex 11 in 12.2 (Der Umfang der Sicherheitsmaßnahmen ist von der Kritikalität des computergestützten Systems abhängig) sind keine weiteren Vorgaben in der Rechtsgrundlage notwendig.
30. [12.3] The current version says that "Creation, change, and cancellation of access authorisations should be recorded". However, it is necessary to go further than just recording who has access to a system. Systems accesses and roles should be continually managed as people assume and leave positions. System accesses and roles should be subject to recurrent reviews in order to ensure that forgotten and undesired accesses are removed. |
Diese Forderung ist so sicher berechtigt und sollte in einem geänderten Annex 11 auch berücksichtigt werden. Im Gegenteil, hier sollte noch eine weitere Forderung formuliert werden. Insbesondere bei Geräten in der Qualitätskontrolle ist es immer wieder möglich, dass nicht mehr aktive User gelöscht werden. Dies entspricht nicht dem GMP-Gedanken. Das ist auch Löschen von Daten und aus GMP-Sicht nicht zulässig. User werden höchstens inaktiv gesetzt!
Über den Autor:
Klaus Feuerhelm
... war bei der Leitstelle Arzneimittelüberwachung Baden-Württemberg im Regierungspräsidium Tübingen tätig.