Anwendungen externer Anwendungsverantwortlicher werden den PV-Mitgliedern über PVP zur Verfügung gestellt; Vorgangsweise KKonventionK pv-ext-anw 1.0.2 EEmpfehlung Kurzbeschreibung Private Anbieter von Anwendungen, die für Mitarbeiter der öffentlichen Verwaltung von Interesse sind, können nicht Teilnehmer des Behörden-Portalverbundes werden. Diese Empfehlung regelt, wie einerseits den privaten „Externen Anwendungsverantwortlichen“ ermöglicht wird, ihre Anwendungen zugriffsberechtigten Stellen, die ihre Berechtigungen an Stammportalen verwalten zur Verfügung zu stellen, andererseits sicherstellt, dass nur ausgehende Zugriffe möglich sind. Autor(en): Alena Sirka, Wilfried Connert, Peter Pfläging. Projektteam / Arbeitsgruppe AG Recht /Sicherheit AG Integration / Zugänge Beiträge von: - - Version 1.0.2: 10.10.2008 Fristablauf: 31.10.2008 Unter-Version … : TT.MM.JJJJ Fristablauf: TT.MM.JJJJ (Länderangabe bei ablehnender Stellungnahme) Detail-Version … : TT.MM.JJJJ Freigabe: TT.MM.JJJJ (Detailangaben zur Freigabe) Portalverbund für externe Anwendungen Private Anbieter von Anwendungen, die für Mitarbeiter der öffentlichen Verwaltung von Interesse sind (zB www.lieferanzeiger.at, ANKÖ,...) können nicht Teilnehmer des Behörden-Portalverbundes werden (Die Teilnahme am Portalverbund ist Gebietskörperschaften, Körperschaften öffentlichen Rechts oder mit staatlichen Aufgaben betrauten Einrichtungen vorbehalten.) Allerdings bestehen aus der sicherheitstechnischen Struktur des Portalverbundes keine Bedenken, wenn diese Anbieter ihre Anwendungen hinter privaten externen Anwendungsportalen betreiben, die das Portalverbundprotokoll unterstützen und damit berechtigte Benutzer von Stammportalen aus dem Portalverbund auf ihre Anwendungen zugreifen lassen, da von einem Anwendungsportal keine Zugriffe von Benutzern auf Anwendungen im Portalverbund ausgehen können. Das gleiche gilt, wenn solche Anwendungen direkt aus einem Stammportal aufgerufen werden können und sichergestellt ist, dass nur ausgehende Zugriffe möglich sind. In beiden Fällen kommt das Portalverbundprotokoll zum Einsatz. Die Übertragung soll verschlüsselt erfolgen (https). Die Möglichkeit der Audit Query zur Abfrage der an einem Stammportal für eine Anwendung eingerichteten Berechtigungen kommt für externe Anwendungsverantwortliche nicht in Betracht, da sie die Einrichtung entsprechender Berechtigungen an einem Stammportal im Portalverbund voraussetzt. Es besteht ein Interesse der Teilnehmer bzw. zugriffsberechtigten Stellen, den Nutzern eine einheitliche Plattform für den Zugang zu allen Anwendungen zur Verfügung zu stellen und auch die Rechteverwaltung zu konzentrieren sowie aktuelle Informationen über das Angebot an Anwendungen im Portalverbund zu erhalten. Kommerzielle Vereinbarungen müssen direkt zwischen Anbieter und nutzender Organisationseinheit geregelt werden. Eine Gleichbehandlung und ein Zugang von allen Portalen aus müssen gewährleistet sein. Folgende Verfahrensschritte sind vorgesehen: Meldung der Anwendung durch den externen Anwendungsverantwortlichen an das für die IT-Koordination des Bundes zuständige Bundesministerium als Depositar der Portalverbundvereinbarung samt Verpflichtungserklärung (Beilage 1) Kundmachung der Anwendung durch den Depositar nach § 1 Abs. 3 der Portalverbundvereinbarung in eigenen Listen für externe Anwendungsportale und externe Anwendungen Möglichkeit des Widerspruchs binnen 1 Monat nach § 1 Abs. 2 der Portalverbundvereinbarung Sofern ein nur einzelner Stammportalbetreiber mit einem externer Anwendungsverantwortlichen eine Einigung über den Zugang zu seiner Anwendung für zugriffberechtigte Stellen treffen will, liegt zwar kein Anwendungsfall des Portalverbundes vor, es wird dennoch empfohlen, neben einer kommerziellen Vereinbarung eine Datensicherheitsvereinbarung laut Beilage 2 abzuschließen. Beilage 1 – Angebot des externen Anwendungsverantwortlichen Meldung von Anwendungen eines externen Anwendungsverantwortlichen und Verpflichtungserklärung An das Bundeskanzleramt IKT-Strategie des Bundes Ballhausplatz 2 1014 Wien Wir, (Bezeichnung des externen Anwendungsverantwortlichen), erklären ausdrücklich, den Mitgliedern des Portalverbundes die umseitige(n) Anwendung(en) unter folgenden Bedingungen im Rahmen des Portalverbundes anzubieten: 1. Wir verpflichten uns zur Einhaltung der Spezifikationen des Portalverbundprotokolls und der Sicherheitsklassen im Portalverbund. 2. Die umseitig angebotene Anwendung XXX [sowie das Anwendungsportal YYY] entsprechen den Vorgaben der Spezifikation Portalverbundprotokoll (PVP). 3. Die Kommunikation zwischen den Stammportalen der Mitglieder des PV und dem Anwendungs­portal YYY erfolgt gemäß den Vorgaben des Portalverbundprotokolls. Die Authentifizierung der BenutzerInnen erfolgt ausschließlich am jeweiligen Stammportal, das sie oder ihn über das PVP und Zertifikat am Anwendungsportal authentifiziert und autorisiert. Wir erklären ausdrücklich, keine wie immer strukturierte zusätzliche Zugriffsebene für die BenutzerInnen einzurichten. Die Übertragung erfolgt mittels SSL. 4. Für die BenutzerInnen sind die umseitig formulierten Rechteprofile erstellt. 5. Wir haben die Anwendung XXX gemäß der Spezifikation „SecClass“ mit der umseitig festgelegten Sicherheitsklasse definiert. 6. Wir erklären, dass keine automatische Abfrage der Zugriffs- und Benutzerlisten unsererseits erfolgt. Wir nehmen zur Kenntnis, dass eine Abfrage über Zugriffsdaten (Audit Query) unsererseits nicht möglich ist. 7. Das beiliegende Verrechnungsmodell wird in den bilateralen Vereinbarungen für die Nutzung der Anwendung herangezogen werden. Datum rechtsverbindliche Fertigung Angaben zum Portal Bezeichnung/URL Zugriffsberechtigte Stellen Ansprechpartner technisch ( Name, e-Mail, Telefon) Ansprechpartner organisatorisch (Name, e-Mail, Telefon) Hotline (Erreichbarkeit, Verfügbarkeit) Verfügbarkeit des Portals Angaben je Anwendung 1) Bezeichnung Anwendungsverantwortlicher (Name, e-Mail, Telefon) Anwendungsportal Zugriffsberechtigte Stellen Hotline (Erreich-barkeit/Verfügbarkeit) Verfügbarkeit der Anwendung Rechteprofile 2) Sicherheitsklasse bes. Schulungsmaßnahmen Beilage 2 – Bilaterale Vereinbarung Vereinbarung abgeschlossen zwischen AAA als Stammportalbetreiber und BBB als externem Anwendungsverantwortlichen betreffend den Zugriff zur Anwendung XXX vom Stammportal des Stammportalbetreibers in das E-Government Portalverbundsystem (im folgenden "Portalverbundsystem" genannt). 1. Die im Zusammenhang mit dem "Portalverbundsystem" verwendeten Begriffe sowie der Begriff "Portalverbundsystem" selbst sind in der "Vereinbarung über die einzuhaltenden Rahmenbedingungen bei der Errichtung und Benützung eines E-Government Portalverbundsystems" (im folgenden "Portalverbundvereinbarung" – PVV genannt, Anlage 1) in der jeweils geltenden Fassung beschrieben. 2. Der Stammportalbetreiber ist Teilnehmer am Portalverbundsystem und wendet auch gegenüber dem externen Anwendungsverantwortlichen die Bestimmungen der Portalverbundvereinbarung an, soweit in dieser Vereinbarung nichts anderes bestimmt ist. Insbesondere gelten die Rechte und Pflichten hinsichtlich Organisation der Benutzerverwaltung, Einrichtung von Zugriffsprofilen, Eintrag von Zugriffsrechten, Benutzerbelehrung und Sicherheitsrevision gemäß der Einstufung der Sicherheitsklasse. 3. Der externe Anwendungsverantwortliche ist zur Einhaltung der Bestimmungen der Portalverbundvereinbarung sowie der Datensicherheitsmaßnahmen laut Sec.class verpflichtet, soweit in dieser Vereinbarung nichts anderes bestimmt ist. Insbesondere gilt für ihn nicht § 4 Abs. 7 bis 9 PVV (Einsicht in Revisionsprotokolle und Benutzerrechte). Es erfolgt keine Abfrage der Zugriffs- und Benutzerlisten (Audit Query) durch den externen Anwendungsportalbetreiber. 4. Die Verpflichtung des Punktes 3 umfasst auch alle MitarbeiterInnen des externen Anwendungsverantwortlichen sowie alle Personen, die in seinem Auftrag tätig werden, bei allen Tätigkeiten, die mit dem Betrieb von Anwendungen im Portalverbundsystem zusammenhängen oder diese beeinflussen könnten. 5. Die Kommunikation zwischen dem Stammportal und dem Anwendungs­portal erfolgt gemäß den Vorgaben des Portalverbundprotokolls. Die Übertragung erfolgt mittels SSL. Die Authentifizierung der BenutzerInnen erfolgt ausschließlich am Stammportal, das diese über das PVP und Zertifikat am Anwendungsportal authentifiziert und autorisiert. Der externe Anwendungsverantwortliche sorgt dafür, dass keine wie immer strukturierte zusätzliche Zugriffsebene für die BenutzerInnen eingerichtet ist. 6. Der Stammportalbetreiber stellt ein Zertifikat zur Verfügung, welches vom Anwendungsportal anerkannt wird. 7. Der Entzug von Zugriffsberechtigungen im Missbrauchsfall erfolgt gemäß § 11 PVV. Angaben zum Portal Bezeichnung/URL Zugriffsberechtigte Stellen Ansprechpartner technisch ( Name, e-Mail, Telefon) Ansprechpartner organisatorisch (Name, e-Mail, Telefon) Hotline (Erreichbarkeit, Verfügbarkeit) Verfügbarkeit des Portals Angaben je Anwendung 1) Bezeichnung Anwendungsverantwortlicher (Name, e-Mail, Telefon) Anwendungsportal Zugriffsberechtigte Stellen Hotline (Erreich-barkeit/Verfügbarkeit) Verfügbarkeit der Anwendung Rechteprofile 2) Sicherheitsklasse bes. Schulungsmaßnahmen 8. Verrechnungsmodell: INDIVIDUELLER TEXT Für den Stammportalbetreiber: F. d. ext. Anwendg.sverantwortlichen ________________________ ________________________ Datum, Unterschrift Datum, Unterschrift Anlage 1: Portalverbundvereinbarung – pvv 1.0  Anlage 2: Sicherheitsklassen für den Zugriff von Benutzern auf Anwendungen - SecClass 2.1.0