simatic hmi DOCUMENTATION SIMATIC WinCC flexible 2008 Konformitätserklärung Elektronische Aufzeichnungen Elektronische Unterschriften

Transkript

1 Compliance Response Ausgabe 06/2009 SIMATIC WinCC flexible 2008 Konformitätserklärung Elektronische Aufzeichnungen Elektronische Unterschriften simatic hmi DOCUMENTATION

2 Konformitätserklärung Elektronische Aufzeichnungen / Elektronische Unterschriften für SIMATIC WinCC flexible 2008 SIEMENS AG Industry Sector I IA VMM Pharma D Karlsruhe, Deutschland pharma.aud@siemens.com Juni 2009 SIMATIC WinCC flexible Konformitätserklärung A5E

3 Inhaltsverzeichnis Inhaltsverzeichnis Inhaltsverzeichnis...2 Einleitung Die Anforderungen im Überblick Erfüllung der Anforderungen durch SIMATIC WinCC flexible Systemlösung für den Zugriffschutz Systemlösung für Audit Trails Systemlösung zum Archivieren und Abrufen archivierter Daten Systemlösung für Elektronische Unterschriften Bewertungsliste für SIMATIC WinCC flexible Verfahrensanweisungen und Maßnahmen für geschlossene Systeme Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme Signierte elektronische Aufzeichnungen Elektronische Unterschriften (allgemein) Elektronische Unterschriften (nicht biometrisch) Elektronische Unterschriften (biometrisch) Kontrollen für Benutzerkennungen und Passworte...17 SIMATIC WinCC flexible 2008 Konformitätserklärung 2 A5E

4 Einleitung Einleitung Am 20. August 1997 trat die Vorschrift 21 CFR Part 11 zu "Elektronischen Aufzeichnungen und Elektronischen Unterschriften" der US-Aufsichtsbehörde Food and Drug Administration (FDA) in Kraft. 21 CFR Part 11 (kurz: Part 11) definiert die Akzeptanzkriterien der FDA an die Verwendung von elektronischen Aufzeichnungen und elektronischen Unterschriften anstelle von Aufzeichnungen in Papierform und handschriftlichen Unterschriften auf Papier. Dabei müssen elektronische Aufzeichnungen und Unterschriften ebenso vertrauenswürdig, verlässlich und gleichwertig sein wie traditionelle Aufzeichnungen. FDA-Vorschriften finden über die pharmazeutische Industrie hinaus auch in anderen sog. Life Sciences (bspw. Lebensmitteltechnologie, Kosmetik und Pflegemittel, etc.) Anwendung. Bereits 1992 hatte die Kommission der Europäischen Gemeinschaft zuvor im Anhang 11 zum EU- GMP-Leitfaden 1 (kurz Annex 11) ihre Anforderungen an den Einsatz computergestützter Systeme definiert. Dieser umfasst im Gegensatz zum Part 11 der FDA zwar Anforderungen an alle Themengebiete rund um computergestützte Systeme, geht jedoch bei den Anforderungen nicht so weit ins Detail wie 21 CFR Part 11 bei elektronischen Aufzeichnungen und elektronischen Unterschriften. Die Anwendung von Vorschriften wie Part 11 und EU-GMP-Leitfaden (bzw. dessen jeweilige Umsetzung in nationales Recht) ist bei der Verwendung elektronischer Aufzeichnungen und Unterschriften zwingend erforderlich. Sie gelten jedoch nur in ihrem jeweiligen nationalen Kontext und dort auch nur für regulierte elektronische Aufzeichnungen. Über die Verwendung elektronischer Aufzeichnungen und Unterschriften hinaus besteht die Möglichkeit herkömmliche Papierdokumente und handschriftliche Unterschriften oder eine Kombination der beiden auch weiterhin zu verwenden. Über die Gesetzestexte hinaus existieren zu dieser Thematik verschiedene Interpretationshilfen und Empfehlungen von Regulierungsbehörden wie der FDA und von Industrieverbänden wie der ISPE und PDA. Dieses Dokument stützt sich auf die weltweit anerkannte aktuelle Interpretation der ISPE-CoP GAMP 2 und der PDA 3. Wenn die Interpretation einer Anforderung bei einem Unternehmen von dem hier angegebenen abweicht, wenden Sie sich bitte für nähere Informationen an das I IA VMM Pharma der Siemens AG in Karlsruhe (Kontaktdaten siehe oben). Als Hilfe für unsere Kunden hat Siemens als Anbieter von SIMATIC WinCC flexible das System in der Version 2008 SP1 anhand dieser Anforderungen evaluiert. Aufgrund des höheren Detaillierungsgrades basiert diese Untersuchung auf den Detailanforderungen des Part 11 (FDA), berücksichtigt jedoch auch implizit die Anforderungen des Annex 11 (EU). Die Ergebnisse dieser Bewertung werden mit dem vorliegenden Dokument veröffentlicht. SIMATIC WinCC flexible 2008 erfüllt die funktionalen Anforderungen an elektronische Aufzeichnungen und elektronische Unterschriften umfassend. In Verbindung mit durch den Kunden zu etablierenden organisatorischen Maßnahmen und Verfahrensanweisungen ist der vorschriftskonforme Betrieb gewährleistet. Die Empfehlungen von Siemens für die Systemarchitektur, Konzeption und Konfiguration werden dem Anwender dabei helfen, die Konformität zu erreichen. Weitere Informationen und Hilfen finden sich im GMP Engineering-Handbuch: SIMATIC WinCC flexible 4. Das vorliegende Dokument ist in drei Teile gegliedert. Der erste Teil enthält einen kurzen Überblick über die Anforderungen von Part 11, der zweite Teil stellt Funktionalitäten von SIMATIC WinCC flexible 2008 im Kontext dieser Anforderungen vor, und der dritte Teil beinhaltet eine detaillierte Systembewertung auf Basis der einzelnen Anforderungen des Part EU Guidelines to Good Manufacturing Practice, Volume 4, Medicinal Products for Human and Veterinary Use, Annex 11 Computerised Systems; European Commission Brussels, GAMP Good Practice Guide A Risk-Based Approach to Compliant Electronic Records and Signatures ; ISPE Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften, Teil 2 Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften ; ISPE und PDA 2001/ GMP-Engineering Handbuch SIMATIC WinCC flexible, Siemens AG, I IA VMM Pharma SIMATIC WinCC flexible Konformitätserklärung A5E

5 Die Anforderungen im Überblick 1 Die Anforderungen im Überblick 21 CFR Part 11 trägt der Tatsache Rechnung, dass die Gefahr von Manipulation, Fehlinterpretationen und nicht nachvollziehbaren Änderungen bei elektronischen Aufzeichnungen und Unterschriften größer ist als bei herkömmlichen Papieraufzeichnungen und handschriftlichen Unterschriften bzw. schwerer zu entdecken sind. Aus diesem Grund sind zusätzliche Maßnahmen notwendig. Die Begriffe elektronische Aufzeichnung / "elektronisches Dokument meinen jede Kombination von Text, Grafik, Daten, Audio, bildliche oder andere Formen von Informationen in digitaler Form, die mit einem Computersystem erstellt, modifiziert, gewartet, archiviert, zurückgewonnen oder verteilt werden. 5 Der Begriff elektronische Unterschrift meint ein computertechnisch verarbeitetes Symbol oder eine Reihe von Symbolen, die von einer Person angefertigt, übernommen oder genehmigt wurde, um ein rechtlich bindendes Äquivalent einer handschriftlichen Unterschrift zu sein. 5 Forderung Validierung Audit Trails Aufbewahrung, Schutz, Reproduzierbarkeit und Abrufbarkeit Dokumentenlenkung Zugriffsschutz Elektronische Unterschrift Bescheinigung für die FDA Beschreibung Alle GMP-relevanten automatisierten Systeme müssen validiert werden, um eine präzise, zuverlässige und durchgängige Datenaufbereitung entsprechend den Vorgaben zu gewährleisten. Alle regulierten Bedienereinträge, die elektronische Aufzeichnungen erstellen, ändern oder löschen, müssen in einem sicheren, mit Zeitstempel versehenen, computergenerierten Audit Trail aufgezeichnet werden. Die Systeme müssen in der Lage sein, während der konfigurierbaren Aufbewahrungsdauer die Aufzeichnungen zu archivieren, zu schützen und auf Abruf bereitzustellen. Die elektronischen Aufzeichnungen müssen sowohl in einer menschenlesbaren als auch in elektronischer Form reproduzierbar sein. Für die Systembetriebs- und Wartungsdokumentation muss es Kontrollen im Hinblick auf ihren Zugang, Überprüfung, Verteilung und Verwendung geben. Der Zugriff auf elektronische Aufzeichnungen muss ausschließlich auf autorisierte und qualifizierte Personen beschränkt sein. Innerhalb von offenen Systemen müssen zusätzliche Sicherheitsmaßnahmen implementiert werden, um dies zu gewährleisten (siehe auch 21 CFR 11.30). Die Systeme müssen Maßnahmen anbieten, die sicherstellen, dass die Benutzung der elektronischen Unterschrift nur auf den echten Eigentümer beschränkt ist und dass eine versuchte Benutzung durch Dritte sofort entdeckt und aufgezeichnet wird. Nichtbiometrische Systeme müssen zwei unterschiedliche Identifizierungskomponenten einsetzen (z. B. Benutzerkennung und Passwort), die beim Signieren eingegeben werden. Zumindest das Passwort ist bei jeder nachfolgenden Signierungshandlung während der gleichen Sitzung erneut einzugeben. Die elektronische Unterschrift darf nicht wiederverwendet oder weitergegeben werden. Der Zweck der elektronischen Unterschrift muss klar und deutlich angegeben sein. Schließlich soll das System Funktionen enthalten, um eine Fälschung der elektronischen Unterschrift durch Standardtools zu vermeiden. Es müssen schriftliche Bestimmungen vorhanden sein, um die Personen für die Handlungen zur Verantwortung ziehen zu können, die unter ihrer elektronischen Unterschrift getätigt wurden. Eine schriftliche Bescheinigung muss dem regionalen FDA-Büro übergeben werden mit der Bestätigung, dass die elektronischen Unterschriften mit den herkömmlichen handschriftlichen Unterschriften übereinstimmen und demnach ebenso rechtlich bindend sind. 5 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften, Teil2 Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften, ISPE und PDA 2001/2002 SIMATIC WinCC flexible 2008 Konformitätserklärung 4 A5E

6 Erfüllung der Anforderungen durch SIMATIC WinCC flexible 2 Erfüllung der Anforderungen durch SIMATIC WinCC flexible Die Anforderungen, die von Systemeigenschaften erfüllt werden können, lassen sich in vier Themen zusammenfassen: Zugriffsschutz Audit Trail Archivieren und Abrufen archivierter Daten Elektronische Unterschrift 2.1 Systemlösung für den Zugriffschutz Der unerlaubte Zugriff auf das Dateisystem und die Verzeichnisstrukturen der Systemprogramme, der projektierten Daten und der Laufzeitdaten sollte verhindert und somit unerwünschte Manipulationen ausgeschlossen werden, indem dem Benutzer auf Betriebssystemebene nur die erforderlichen Zugriffsrechte zugewiesen werden. Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als offen bezeichnet. Falls es einen offenen Pfad gibt, müssen zusätzliche Anforderungen bei der Implementierung eingehalten werden. Die Projektierung der Benutzerverwaltung wird zentral an einem Engineering-System für jede Applikation durchgeführt und von dort auf das entsprechende HMI-Gerät (PC oder Panel) geladen. Um den Schutz von elektronischen Aufzeichnungen sicherzustellen, ermöglicht SIMATIC WinCC flexible sowohl eine lokale als auch eine zentrale Benutzerverwaltung. Lokale Benutzerverwaltung Bei der lokalen Benutzerverwaltung sind die einzelnen Benutzer und deren Zuweisung zu Benutzergruppen nur lokal bekannt. Die einzelnen Benutzer und deren Zuordnung zu Benutzergruppen werden in der WinCC flexible Projektierung definiert. Basierend auf den Benutzergruppen werden die Berechtigungen mit Berechtigungsstufen in der Benutzerverwaltung von WinCC flexible definiert. SIMATIC WinCC flexible Konformitätserklärung A5E

7 Erfüllung der Anforderungen durch SIMATIC WinCC flexible Abbildung 1: Zuordnung von Gruppenrechten zu Benutzergruppen Auf diese Weise werden die nachfolgenden Anforderungen an den Zugriffsschutz erfüllt: Die Anmeldung von Benutzern am HMI-Gerät ist nur über eine eindeutige Kombination aus Benutzerkennung und Passwort möglich. Das Ändern von Passworten ist selbstständig durch den Benutzer lokal am HMI-Gerät möglich. Folgende Einstellungen bezüglich der Passwortsicherheit sind möglich: Passwort mit mindestens einem Sonderzeichen Passwort mit mindestens einer Ziffer Passwortmindestlänge zwischen 3 und 24 Zeichen wählbar Die Alterung von Passwörtern wird unterstützt, wobei die Dauer der Gültigkeit eines Passworts und die Anzahl von Generationen konfigurierbar sind. Die Änderung des Initialpassworts, welches ein Benutzer für seinen ersten Login zugeteilt bekommt, kann systemseitig erzwungen werden. Der Benutzer wird automatisch nach einer einstellbaren Anzahl von fehlerhaften Anmeldeversuchen gesperrt und kann nur durch einen Administrator wieder entsperrt werden. Der angemeldete Benutzer wird nach einer konfigurierbaren Zeitdauer automatisch vom System abgemeldet, wenn keine Aktivität vorhanden ist. Log-Funktionen für Aktionen hinsichtlich Zugriffsschutz im Audit Trail, z. B. Anmelden, manuelles und automatisches Abmelden, Eingabe einer falschen Benutzerkennung oder eines falschen Passwortes, Sperrung des Benutzers nach mehrfacher Falscheingabe des Passwortes, Passwortänderung durch den Benutzer. SIMATIC WinCC flexible 2008 Konformitätserklärung 6 A5E

8 Erfüllung der Anforderungen durch SIMATIC WinCC flexible Abbildung 2: Konfiguration zu den Sicherheitseinstellungen der Benutzerverwaltung Zentrale Benutzerverwaltung Die zentrale Benutzerverwaltung wird mit dem Software-Paket SIMATIC Logon 6 realisiert. SIMATIC Logon wird dazu auf einem zentralen Rechner mit einem MS-Windows Betriebssystem (die unterstützten Betriebssysteme entnehmen Sie bitte den ReleaseNotes von SIMATIC Logon) installiert. Dort wird eine auf MS-Windows Sicherheitsmechanismen basierende Benutzerverwaltung eingerichtet. Die HMI-Geräte sind über Ethernet mit dem Rechner verbunden. Die einzelnen Benutzer und deren Zuordnung zu Windows Benutzergruppen werden in der Benutzerverwaltung von Windows definiert. Basierend auf den Benutzergruppen werden die Berechtigungen mit Berechtigungsstufen in der Benutzerverwaltung von SIMATIC WinCC flexible definiert. SIMATIC Logon stellt die Verbindung zwischen den Windows Benutzergruppen und den WinCC flexible Benutzergruppen her. Bei unterbrochener Netzwerkverbindung fällt die zentrale Benutzerverwaltung auf die lokale Benutzerverwaltung zurück. Dadurch können für diesen Notbetrieb lokal angelegte Benutzer zur Aufrechterhaltung des Betriebs eingesetzt werden. Bereits eingeloggte SIMATIC Logon Benutzer (zentrale Benutzer) bleiben bis zur Abmeldung aktiv. SIMATIC Logon erfüllt die Anforderungen hinsichtlich des Zugriffsschutzes in Kombination mit Verfahrensanweisungen, wie z. B. Festlegung der Zuständigkeit und Zugriffsberechtigung der Systembenutzer. 6 Ab SIMATIC Logon V1.4.1 (V1.4 SP1) SIMATIC WinCC flexible Konformitätserklärung A5E

9 Erfüllung der Anforderungen durch SIMATIC WinCC flexible 2.2 Systemlösung für Audit Trails Die Audit Trails sind besonders dort wichtig, wo der Benutzer für eine normierte Prozessdokumentation in elektronischer Form die Daten während des normalen Betriebs generieren, ändern oder löschen kann. SIMATIC WinCC flexible unterstützt die Anforderung der nachvollziehbaren Aufzeichnung von Bedieneraktionen, die GMP-relevant sind, indem es diese Aktionen in einer Audit Trail Protokolldatei speichert. Die GMP-relevanten Daten sind vom Kunden gemäß der für ihn gültigen gesetzlichen Richtlinien festzulegen. Wir unterscheiden zwischen Änderungen im laufenden Betrieb (Runtimephase) und Änderungen während der Offline- bzw. Projektierungsphase. Im laufenden Betrieb Die Daten, die zur Laufzeit im Audit Trail protokolliert werden sollen, sind auf dem Engineering- System konfigurierbar. Es werden für einzelne Datensätze die geforderten Informationen wie z.b. Objektname, alter Wert, neuer Wert, Datum- und Zeitstempel, sowie Benutzerkennung und optional ein Änderungskommentar gespeichert. Abbildung 3: Eine Variable wird als GMP relevant definiert, damit bei jeder Wertänderung durch den Benutzer ein Audit Trail Eintrag erzeugt wird Der Audit Trail wird in einer csv-datei oder einer unicodefähigen txt-datei gespeichert. Ein integrierter Algorithmus bildet automatisch eine Prüfsumme pro Datensatz und ermöglicht, manuelle Veränderungen der Datensätze zu erkennen. Während der Projektierung Mit der WinCC flexible Option ChangeControl können Änderungen in den WinCC flexible Projekten protokolliert werden wie z.b. Archiv, Alarmanzeigen und Grafiken, Definition der Zugriffsrechte, etc. Die Projektversionen sind vollständig reproduzierbar und wieder herstellbar. Zusätzlich ist es möglich, die entsprechende Projektversion im Audit Trail der Runtime zu identifizieren. SIMATIC WinCC flexible 2008 Konformitätserklärung 8 A5E

10 Erfüllung der Anforderungen durch SIMATIC WinCC flexible Abbildung 4: Änderungslogbuch, das die Konfigurationsänderungen mitschreibt 2.3 Systemlösung zum Archivieren und Abrufen archivierter Daten Prozessdaten Prozessdaten (Meldungen, Prozesswerte) können im csv- oder unicodefähigen txt-format oder auch als Binärdatei lokal gespeichert werden. Bei PC-Projekten werden für die Speicherung auch ODBC- Datenbanken (z.b. MS SQL-Server) unterstützt. Die gespeicherten Prozessdaten können manuell, zeit- oder prozessgesteuert zur Langzeitarchivierung im csv- oder unicodefähigen txt-format - also textbasiert - auf lokalen Datenträgern zwischengespeichert und dann über das Netz ausgelagert werden. Es können alle Langzeitspeichermedien eingesetzt werden, die Windows unterstützt. Rezepturdatensätze (Parameter) werden in einem internen Format vom System verwaltet und können auf Wunsch im csv-format exportiert und importiert werden. Bei einer Langzeitarchivierung ist das Anzeigen der Daten mit Hilfe des WinCC Audit Viewers, eines Tabellenkalkulationsprogramms oder eines Texteditors möglich. Audit Trail Die Protokollierungen der Bedieneingriffe zur Runtimephase werden innerhalb des Audit Trails als Endlosarchiv aufgezeichnet. Diese Daten werden zeit-, prozess- oder kapazitätsgesteuert vom HMI- Gerät auf einen lokalen Datenträger (z.b. CF-Card) zwischengespeichert und dann über das Netz ausgelagert. Von diesem Ablageort ist das Sichern auf andere Speichermedien wie z.b. CD möglich. Die Audit Trail Daten können mit dem WinCC Audit Viewer angezeigt und ausgedruckt werden. Zum Schutz der Datenintegrität sowohl der Prozessdaten als auch des Audit Trails können die im textbasierten Format vorliegenden Daten über einen Algorithmus vom System mit Prüfsummen verse- SIMATIC WinCC flexible Konformitätserklärung A5E

11 Erfüllung der Anforderungen durch SIMATIC WinCC flexible hen werden. Die Manipulation von Daten kann mit Hilfe von Prüfalgorithmen oder durch den WinCC Audit Viewer festgestellt werden. Somit lässt sich die Integrität der Daten gewährleisten. Abbildung 5: Der Audit Viewer zeigt den Audit Trail an und bestätigt mit der grünen Signallampe, dass der Audit Trail nicht manipuliert wurde 2.4 Systemlösung für Elektronische Unterschriften SIMATIC WinCC flexible ermöglicht das elektronische Unterschreiben von Handlungen durch den Benutzer. In der Projektierungsphase wird festgelegt, welche Variablen bei Veränderung mit einer elektronischen Unterschrift bestätigt werden müssen. Der Benutzer kann elektronisch unterschreiben, indem er die Handlungsabsicht durch sein Passwort bestätigt. Dadurch wird die elektronische Unterschrift im Audit Trail mit dem Benutzer, der durchgeführten Aktion und einem zusätzlichen Kommentar abgespeichert. Der Kommentar kann als Option oder zwingend zur Eingabe vorgeschrieben werden. Abbildung 6: Die Änderung des Wertes einer Variablen wird unter Berücksichtigung des Pflichtkommentars elektronisch unterschrieben. SIMATIC WinCC flexible 2008 Konformitätserklärung 10 A5E

12 Bewertungsliste für SIMATIC WinCC flexible 3 Bewertungsliste für SIMATIC WinCC flexible Die folgende Checkliste zur Bewertung eines Systems stammt aus einem Dokument der ISPE / PDA 7. Die Checkliste zur Systembewertung deckt alle Anforderungen ab und nicht nur diejenigen, die durch Systemlösungen erfüllt werden können. Zur Erfüllung einzelner Anforderungen des Regelwerkes 21 CFR Part 11 muss das pharmazeutische Unternehmen entsprechende Verfahrensanweisungen in seinem Unternehmen einführen. Die Vorgaben der Regelwerke beziehen sich immer auf die kundenspezifische Applikation, die mit SIMATIC WinCC flexible realisiert wurde. Daher sind die nachfolgend angegebenen Lösungen nur in Verbindung mit spezifischen Verfahrensanweisungen und organisatorischen Maßnahmen gültig. 3.1 Verfahrensanweisungen und Maßnahmen für geschlossene Systeme Wenn der Systemzugang von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "geschlossen" bezeichnet und muss auf die Anforderungen dieses Kapitels hin bewertet werden (a) 1 Ist das System validiert? Der Kunde ist für die Validierung der Applikationen / des Systems verantwortlich. Die Validierung sollte nach einem gängigen Systemlebenszyklus-Modell (System Life Cycle) erfolgen, wie z. B. im GAMP Leitfaden beschrieben. SIMATIC WinCC flexible wurde gemäß dem Qualitätsmanagementsystem von Siemens (ISO 9001:2008 zertifiziert) entwickelt. Die Validierung der Applikation kann von Siemens während der Projekte unterstützt werden. 7 Gute Praxis und Erfüllung der Anforderungen an Elektronische Aufzeichnungen und Unterschriften; Teil 2 Erfüllung der Anforderungen des 21 CFR Part 11, Elektronische Aufzeichnungen und Elektronische Unterschriften ; ISPE und PDA 2001/2002 SIMATIC WinCC flexible Konformitätserklärung A5E

13 Bewertungsliste für SIMATIC WinCC flexible 11.10(a) (b) (b) (c) Ist es möglich, ungültige oder veränderte Aufzeichnungen zu erkennen? Kann das System exakte und komplette Kopien von elektronischen Aufzeichnungen auf Papier erzeugen? Kann das System exakte und komplette Kopien von Aufzeichnungen in elektronischer Form erzeugen für die Inspektion, die Überprüfung und das Kopieren durch die FDA? Können die Aufzeichnungen während der Dauer ihrer Aufbewahrung lesbar gemacht werden? Indem für Bedieneingriffe durch den Benutzer ein Eintrag im Audit Trail erzeugt wird. Der Audit Trail Viewer ermöglicht die Anzeige der enthaltenen Datensätze. Die im Audit Trail zu protokollierenden Daten werden bei der Projektierung durch Setzen des Flags GMP-relevant gekennzeichnet. Für die einzelnen Datensätze wird eine Prüfsumme berechnet und in den Audit Trail eingebunden. Dadurch sind Manipulationen am Audit Trail erkennbar. Es werden für einzelne Datensätze die geforderten Informationen wie z.b. Objektname, alter Wert, neuer Wert, Datum- und Zeitstempel, sowie Benutzerkennung und optional ein Änderungskommentar gespeichert. Auch Manipulationen an Prozessdaten (Meldungen, Messwerte und Rezepturen) können festgestellt werden, da auch diese Daten mit einer Prüfsumme versehen werden können. Änderungen in der Projektierung von SIMATIC WinCC flexible können mit der Option Change Control zurückverfolgt werden. Alarme und Meldungen, Rezepturen sowie der Audit Trail können zur Laufzeit ausgedruckt werden. Zusätzlich können diese Daten sowie die Messwerte auch in Form einer Textdatei mit Prüfsumme auf eine Netzressource übertragen werden und stehen damit anderen Applikationen zum Ausdruck zur Verfügung. Sowohl Prozessdaten (Messwerte, Meldungen, Rezepturen) als auch Audit Trail-Aufzeichnungen werden als textbasierte Dateien generiert und können auf eine Netzressource ausgelagert werden. Das System nutzt über ein Netzwerk zugängliche Ressourcen zur dauerhaften Speicherung von Daten. Aufzeichnungen können von dort in einem lesbaren Format auf z. B. CD oder DVD gesichert werden. Wir gehen davon aus, dass diese Ausgabegeräte und Formate auch künftig lesbar sein werden. Weiterhin sollte der Kunde die Aufbewahrungszeiten definieren, sowie Verfahren für Archivierung, Backupund Zurücklesen für elektronische Aufzeichnungen festlegen. SIMATIC WinCC flexible 2008 Konformitätserklärung 12 A5E

14 Bewertungsliste für SIMATIC WinCC flexible 11.10(d) 11.10(e) (e) (e) (e) (f) Ist der Zugriff zum System auf berechtigte Personen beschränkt? Gibt es einen sicheren, vom Computer erzeugten, mit Zeitstempel versehenen Audit Trail, der das Datum und die Zeit von Eingaben und Aktionen des Benutzers aufzeichnet, der elektronische Aufzeichnungen erstellt, verändert oder löscht? Ist nach einer Änderung einer elektronischen Aufzeichnung die zuvor aufgezeichnete Information noch verfügbar? (z.b. nicht durch die Änderung verdeckt?) Ist der Audit Trail zu einer elektronischen Aufzeichnung während der Aufbewahrungszeit der Aufzeichnung verfügbar? Steht der Audit Trail für Überprüfung und Kopieren durch die FDA zur Verfügung? Wenn die Reihenfolge von Systemschritten oder Ereignissen wichtig ist, wird dies durch das System erzwungen (z. B. wie das bei Prozessleitsystemen der Fall ist)? Beim Einsatz der zentralen Benutzerverwaltung mit SIMATIC Logon greifen alle Möglichkeiten der Benutzerverwaltung von Windows. Bei einer lokalen Benutzerverwaltung ist die Anmeldung am System nur für berechtigte Personen mittels Benutzerkennung und Passwort möglich. In diesem Fall werden die lokalen Runtime-Sicherheitseinstellungen angewandt (siehe Kapitel 2.1 Systemlösung für den Zugriffschutz). Der Kunde sollte sicherstellen, dass nur Personen mit legitimiertem geschäftlichem Nutzungsbedarf einen physischen Zugang zum System haben (z. B. Bediengeräte, Engineering-System). Da diese Anforderung praktisch die gleiche wie 11.10(g) ist, wird sie allgemein so ausgelegt, dass sie sich jeweils auf den physischen Zugang als auch auf den logischen Zugriff bezieht. Der Audit Trail ist innerhalb des Systems sicher und kann nicht durch einen Benutzer geändert werden. Die Änderungen während der Produktion werden vom System selbst rückverfolgt und enthalten die Informationen mit Zeitstempel, Benutzerkennung, altem und neuem Wert und Kommentar. Bei über die Bedienoberfläche ausgeführten Änderungen an Parameterwerten wird im Audit Trail der alte und neue Wert aufgezeichnet. Elektronisch aufgezeichnete Prozessdaten können durch den Benutzer über die Bedienoberfläche nicht verändert werden. Der Audit Trail kann während der gesamten Aufbewahrungsdauer bereitgestellt werden. (siehe (c)) Die Verfügbarkeit ist durch die Protokollierung in einer separaten textbasierten Datei gegeben. Eine bestimmte Abfolge von Bedienhandlungen kann durch eine entsprechende Konfiguration der Applikation realisiert werden. SIMATIC WinCC flexible Konformitätserklärung A5E

15 Bewertungsliste für SIMATIC WinCC flexible 11.10(g) 11.10(h) 11.10(i) 11.10(j) 11.10(k) (k) 2 Stellt das System sicher, dass nur berechtigte Personen das System nutzen und elektronische Aufzeichnungen unterschreiben, auf die Bedienung oder Geräte zur Ein- oder Ausgabe zugreifen, Aufzeichnungen ändern oder andere Tätigkeiten durchführen können? Sofern es ein Erfordernis des Systems ist, dass Eingabedaten oder Befehle nur von bestimmten Eingabegeräten (z. B. Terminals) kommen können, prüft das System die Gültigkeit der Quelle aller eingehenden Daten und Befehle? (Anmerkung: Dies ist anzuwenden, wenn die Daten oder Befehle von mehr als einem Gerät stammen können und daher das System die Integrität der Quelle, wie Waage oder entfernte über Funk verbundene Terminals, verifizieren muss.) Gibt es Dokumentation über die Schulungen, einschließlich tätigkeitsbezogener Schulungen für System- Benutzer, Entwickler und IT-Service- Personal? Gibt es schriftlich festgelegte Grundsätze, mit denen der Einzelne voll haftbar gemacht wird für Aktivitäten, die unter seiner elektronischen Unterschrift eingeleitet werden? Ist die Verteilung von, der Zugriff auf und die Benutzung der Dokumentation zum Betrieb und zur Wartung des Systems kontrolliert? Gibt es ein formelles Verfahren des Change Control für die Systemdokumentation, das einen Audit Trail in zeitlicher Folge für diejenigen Änderungen bewahrt, die von der pharmazeutischen Organisation vorgenommen wurden? SIMATIC WinCC flexible stellt eine lokale Benutzerverwaltung mit Benutzergruppen, Berechtigungen und Benutzern zur Verfügung. Somit wird sowohl die Verwaltung des Systemzugangs, als auch der einzelnen Berechtigungen geregelt. Zur Durchführung einer elektronischen Unterschrift ist die Eingabe eines Kennwortes nötig. Mit SIMATIC Logon kann eine zentrale Benutzerverwaltung realisiert werden (siehe (d)). Die WinCC flexible Bediengeräte sind so projektierbar, dass spezielle Eingabedaten / Befehle nur von einer einzelnen dedizierten oder einer Gruppe von dedizierten Bediengeräten ausgeführt werden können. Alle anderen Bediengeräte verfügen höchstens über Lesezugriffsrechte. Siemens bietet zum einen Standardkurse an, aber auch Schulungen zu Kundenprojekten, welche gesondert geplant und ausgeführt werden. Es liegt in der Verantwortung des Kunden, die Kurse zu planen und durchzuführen. Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig. Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig. Der Kunde ist für die Bereitstellung von Verfahrensanweisungen zuständig. SIMATIC WinCC flexible 2008 Konformitätserklärung 14 A5E

16 Bewertungsliste für SIMATIC WinCC flexible 3.2 Zusätzliche Verfahrensanweisungen und Maßnahmen für offene Systeme Wenn der Systemzugang nicht von Personen kontrolliert wird, die für den Inhalt der elektronischen Aufzeichnungen verantwortlich sind, wird das System als "offen" bezeichnet und muss nach den Anforderungen bewertet werden, die in diesem Kapitel beschrieben sind. Wir empfehlen SIMATIC WinCC flexible für den Einsatz in geschlossenen Systemen Sind die Daten verschlüsselt? Werden digitale Unterschriften benutzt? SIMATIC WinCC flexible ist für den Einsatz in geschlossenen Systemen vorgesehen. Bei Einsatz in offenen Systemen sollte der offene Pfad des Datentransfers mittels marktgängigen Standardwerkzeugen zusätzlich abgesichert werden. SIMATIC WinCC flexible ist für den Einsatz in geschlossenen Systemen vorgesehen. Bei Einsatz in offenen Systemen sollte der offene Pfad des Datentransfers mittels marktgängigen Standardwerkzeugen zusätzlich abgesichert werden. 3.3 Signierte elektronische Aufzeichnungen Siehe auch Kapitel 2.4 (Systemlösung für Elektronische Unterschriften) Enthalten unterschriebene elektronische Aufzeichnungen die folgenden verbundenen Informationen? a) Gedruckter Name des Unterzeichnenden b) Datum und Zeit der Unterschrift c) Bedeutung der Unterschrift (wie Genehmigung, Überprüfung, Verantwortlichkeit) Erscheinen die oben genannten Informationen auf den angezeigten und gedruckten Kopien der elektronischen Aufzeichnung? Signierte elektronische Aufzeichnungen beinhalten neben anderen Informationen auch folgende: a) Benutzerkennung des Unterzeichnenden b) Datum- und Zeitstempel der Unterschriftsausführung c) einschließlich der Bedeutung Die oben genannten Informationen sind Bestandteil des Audit Trails und können angezeigt und gedruckt werden Ist die elektronische Unterschrift mit der elektronischen Aufzeichnung verknüpft, auf die sie sich bezieht, um sicherzustellen, dass die elektronische Unterschrift nicht in betrügerischer Absicht getrennt, kopiert oder auf andere Weise auf andere Aufzeichnungen übertragen werden kann? Die elektronische Unterschrift ist Bestandteil des unterzeichneten Datensatzes innerhalb des Audit Trails. Die Absicherung vor Veränderung ist durch die integrierte Prüfsumme gegeben. SIMATIC WinCC flexible Konformitätserklärung A5E

17 Bewertungsliste für SIMATIC WinCC flexible 3.4 Elektronische Unterschriften (allgemein) (a) (a) (b) Sind die elektronischen Unterschriften eindeutig für eine Person? Werden die elektronischen Unterschriften durch jemanden Anderen wiederverwendet oder neu zugeordnet? Wird die Identität einer Person überprüft, bevor eine elektronische Unterschrift zugeteilt wird? Die elektronische Unterschrift verwendet die Benutzerkennung und das Passwort des Benutzers. Die Eindeutigkeit der Benutzerkennung wird beim Einsatz von SIMATIC Logon durch das MS-Windows- Sicherheitssystem sichergestellt. Es ist nicht möglich einen Benutzer mit der gleichen Benutzerkennung innerhalb einer Arbeitsgruppe / Domäne zu definieren. Beim Einsatz der lokalen Benutzerverwaltung wird die Eindeutigkeit der Benutzerkennung und die Kombination von Benutzerkennung und Passwort mit SIMATIC WinCC flexible sichergestellt. Zusätzlich muss der Kunde die Eindeutigkeit der elektronischen Unterschrift zur Person gewährleisten. Der Kunde muss sicherstellen und ist dafür verantwortlich, dass eine Benutzerkennung immer nur einer Person zugeteilt wird. Dieses liegt in der Verantwortung des Kunden. Er muss organisatorische Maßnahmen ergreifen Elektronische Unterschriften (nicht biometrisch) (a)(1)(i) (a)(1)(ii) (a)(1)(iii) (a)(2) Besteht die Unterschrift aus mindestens zwei Komponenten, wie einer Benutzerkennung und Passwort, oder einer Chipkarte und Passwort? Wird, wenn mehrere Unterschriften während einer kontinuierlichen Sitzung gemacht werden, das Passwort für jede Unterschrift eingegeben? (Anmerkung: beide Komponenten sind zu Beginn der Sitzung auszuführen) Werden, wenn Unterschriften nicht in einer kontinuierlichen Sitzung geleistet werden, beide Komponenten der elektronischen Unterschrift bei jeder Unterschrift ausgeführt? Werden nicht-biometrische elektronische Unterschriften nur durch ihren authentischen Eigentümer genutzt? SIMATIC Logon bzw. SIMATIC WinCC flexible identifizieren die Person durch zwei unterschiedliche Komponenten: Benutzerkennung und Passwort. Beim Ausführen einer Unterschrift wird die Benutzerkennung des angemeldeten Benutzers vom System stets vorgegeben. Das Passwort muss bei jeder Unterschrift erneut eingegeben werden. Die Benutzerkennung ist immer vom System vorgegeben und nur die Passwortkomponente muss eingegeben werden. Der Kunde ist für die Bereitstellung von Verfahrensanweisungen verantwortlich, die eine Offenlegung von Passwörtern verbietet. SIMATIC WinCC flexible 2008 Konformitätserklärung 16 A5E

18 Bewertungsliste für SIMATIC WinCC flexible (a)(3) Erfordert der Versuch eine elektronische Unterschrift zu fälschen, die Zusammenarbeit von mindestens zwei Personen? Es ist nicht möglich eine elektronische Unterschrift bei der Unterzeichnung zu fälschen. Der Administrator kann die Unterschrift nicht missbrauchen, obwohl er Benutzerkennung und Initialpasswort einrichtet, weil der Benutzer gezwungen wird das Passwort beim ersten Einloggen zu ändern. Die nicht autorisierte Benutzung von Benutzerkennungen/ Passwörtern (fehlgeschlagene Anmeldeversuche) wird sofort festgestellt und aufgezeichnet. Ein Fälschungsversuch nach der Speicherung durch Administratoren würde zu einer Änderung der Prüfsumme im Datensatz führen und der Fälschungsversuch würde erkannt werden. Zusätzlich benötigt der Kunde Verfahrensanweisungen, die eine Offenlegung von Passwörtern verbietet Elektronische Unterschriften (biometrisch) (b) Wurde bewiesen, dass biometrische elektronische Unterschriften nur durch ihren authentischen Eigentümer genutzt werden können? Biometrische Signaturverfahren werden durch SIMATIC WinCC flexible derzeit nicht unterstützt. 3.5 Kontrollen für Benutzerkennungen und Passworte (a) (b) (b) 2 Sind Kontrollen vorhanden, um die Einzigartigkeit einer jeden Kombination von Benutzerkennung und Passwort zu erhalten, so dass keine Person die gleiche Kombination von Benutzerkennung und Passwort hat? Sind Verfahren vorhanden, um sicherzustellen, dass die Gültigkeit von Benutzerkennungen regelmäßig überprüft wird? Laufen Passwörter regelmäßig ab und sind diese regelmäßig zu überprüfen? Siehe (a). Der Kunde ist für die Erstellung von Verfahrensanweisungen zuständig. Der Kunde ist für die Erstellung von Verfahrensanweisungen zuständig. Ein Passwort erlischt nach einer definierbaren Anzahl von Tagen und kann für eine definierbare Anzahl von Generationen nicht mehr benutzt werden. SIMATIC WinCC flexible Konformitätserklärung A5E

19 Bewertungsliste für SIMATIC WinCC flexible (b) (c) (d) (d) 2 Gibt es ein Verfahren zur Zurücknahme von Benutzerkennungen und Passwörtern, wenn eine Person ausscheidet oder wechselt? Gibt es ein Verfahren, um eine Benutzerkennung oder ein Passwort elektronisch zu inaktivieren, falls es potentiell kompromittiert oder verloren wurde? Gibt es ein Verfahren mit dem Versuche einer unberechtigten Nutzung entdeckt werden und eine Information der für die Sicherheit verantwortlichen Personen erfolgt? Gibt es ein Verfahren mit dem wiederholte oder ernsthafte Versuche einer unberechtigten Nutzung dem Management berichtet werden? Bei Verwendung von SIMATIC Logon zur zentralen Benutzerverwaltung in Verbindung mit dem MS-Windows Sicherheitssystem können Benutzerkonten deaktiviert werden. Wird die lokale Benutzerverwaltung von SIMATIC WinCC flexible eingesetzt, ist das Deaktivieren bzw. Sperren von Benutzerzugängen nicht möglich. Organisatorisch kann jedoch eine Benutzergruppe ohne aktive Berechtigungen angelegt und dieser Benutzergruppe solche Mitarbeiter zugewiesen werden. Somit sind die Mitarbeiterdaten immer noch historisch im System vorhanden, er ist aber nicht mehr in der Lage unberechtigte Aktionen im System auszuführen Der Kunde ist für die Erstellung von Verfahrensanweisungen verantwortlich Der Benutzer kann sein Passwort beim Verdacht der Unsicherheit jederzeit selbst ändern. Das Ändern (Zurücksetzen) durch Administratoren bei Vergessen ist jederzeit möglich. Die Deaktivierung einer Benutzerkennung kann organisatorisch, wie unter (b) 3 beschrieben, durchgeführt werden. Fehlerhafte Zugangsversuche werden im Audit Trail aufgezeichnet und können dort identifiziert und nachvollzogen werden. Das Benutzerkonto wird nach einer bestimmten Anzahl von unbefugten Versuchen gesperrt. Zusätzlich ist der Kunde für die Bereitstellung der entsprechenden organisatorischen Maßnahmen zuständig. Der Kunde ist für die Bereitstellung der entsprechenden organisatorischen Maßnahmen zuständig. SIMATIC WinCC flexible 2008 Konformitätserklärung 18 A5E

20 Bewertungsliste für SIMATIC WinCC flexible Für Tokens, Karten und andere Geräte, die eine Information über Benutzerkennung oder Passwort enthalten oder generieren (c) (c) (c) (e) (e) 2 Gibt es ein Verfahren zur Handhabung von Verlusten, das zu befolgen ist, wenn ein Gerät verloren ging oder gestohlen wurde? Gibt es ein Verfahren, um ein verlorenes, gestohlenes oder potentiell kompromittiertes Gerät elektronisch zu inaktivieren? Gibt es Kontrollen für die Ausgabe von temporärem oder dauerhaftem Ersatz? Gibt es anfängliche oder regelmäßige Tests von Tokens und Karten? Beinhaltet dieses Testen Prüfungen, dass es keine ungenehmigten Änderungen gab? Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC flexible Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC flexible Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC flexible Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC flexible Nicht anwendbar für ein reines Software-Produkt wie SIMATIC WinCC flexible SIMATIC WinCC flexible Konformitätserklärung A5E

21 A5E Siemens AG Industry Sector Industry Automation VMM Pharma KARLSRUHE DEUTSCHLAND