KONZEPT RECHTE UND ROLLEN

Transkript

1 Projekt NaLa Konzept Rechte und Rollen Phase III - Umsetzungsempfehlung Version 1.0 Im Auftrag der Staatskanzlei SH erstellt durch

2 Verantwortliche Stelle: Staatskanzlei SH Zentrales IT-Management SH Dataport LI 23 Version: V 1.0 vom von 15

3 Dokumentinformationen Autoren Autoren Staatskanzlei SH Christiane Coenen (CC) 0431/ Eckhard Lübcke (EL) 0431/ Ute Schlüter (US) 0431/ Autoren Dataport Henner Bock (HB) 0431/ Ulla Dreger (UD) 0431/ Dr. Martina Jäger (MJ) 0431/ Claudia Resech (CR) 0431/ Änderungsübersicht Version Änderungsdatum Grund / Bemerkung Verantwortliche Bearbeitung Ersterstellung MJ Qualitätssicherung CC, EL, US Überarbeitung und Abgleich mit Organisationskonzept MJ Qualitätssicherung CC, EL, US Überarbeitung MJ Qualitätssicherung CC, EL, US Finalisierung MJ von 15

4 INHALTSVERZEICHNIS 1 Einleitung Übersicht über Daten und Funktionen Die Daten Die Funktionen Lesender Zugriff des Fachbereichs auf den passiven Datenbestand Aussonderung Administration Rollen und ihre Aufgaben Bearbeitungsebene Rolle Führungskraft und Rolle Sachbearbeitung Rolle Aussonderung Rolle Archiv Administrationsebene Rollen der Organisationsebene Zentraler Verantwortungsbereich Dezentraler Verantwortungsbereich Sicherheitsmanagement Rechtevergabe Paradigmen und Strategien Rollenspezifische Rechteprofile Zugangsberechtigung zu IT-Systemen, IT-Komponenten und Netzen Zugriffsberechtigung auf die Daten Zugriffsberechtigung auf die Funktionen Quellen- und Literaturverzeichnis von 15

5 1 Einleitung Das NaLa-Modul Rechte und Rollen beschreibt die zur Nutzung und Bereitstellung der NaLa-Dienste erforderlichen Rollen, die den Rollen zugeordneten Aufgaben sowie die Berechtigungen, die zur Aufgabenerfüllung erforderlich sind von 15

6 2 Übersicht über Daten und Funktionen Ein Langzeitspeichersystem umfasst die Komponenten Passiver Datenbestand Aussonderung Administration 2.1 Die Daten Die Daten, die im Langzeitspeichersystem behandelt werden, sind dieselben wie in den beteiligten Fachverfahren. Diese Daten werden bei ihrer Überführung vom aktiven in den passiven Datenbestand im Langzeitspeichersystem abgelegt. 2.2 Die Funktionen Lesender Zugriff des Fachbereichs auf den passiven Datenbestand Ein schreibender Zugriff auf das Schriftgut im passiven Datenbestand ist nicht mehr möglich. Jedoch verbleibt das Schriftgut während seiner Aufbewahrungsfrist im Zugriff und dem Verantwortungsbereich der Behörde und kann weiterhin recherchiert und gelesen werden. In diesem Sinne können Führungskräfte und Sachbearbeitungen im passiven Datenbestand auf das Schriftgut ihrer Verantwortungsbereiche weiterhin zugreifen Aussonderung Im Rahmen des Aussonderungsverfahrens sind folgende Funktionalitäten nötig: Verschieben von Schriftgut vom aktiven in den passiven Datenbestand. Anbieteverfahren an das zuständige Archiv. Der Prozess der Anbietung von Schriftgut aus dem passiven Datenbestand an das Archiv ist zu konkretisieren, um die benötigten Funktionalitäten im Einzelfall identifizieren zu können. Diese können, je nach den verwendeten Systemen und Workflows, voneinander abweichen. Insbesondere ist es, je nach Umsetzung, ggf. notwendig, dass Mitarbeiter des Archivs zur Prüfung der Archivwürdigkeit von Schriftgutobjekten direkt auf den Originaldatenbestand zugreifen. Löschen von Schriftgutobjekten. Die Löschfunktionalität wird für zwei Fälle benötigt: o o Löschen von Schriftgut in der aktenführenden Behörde nach Abgabe an das Archiv Vernichtung von Schriftgut, das vom Archiv als nicht-archivwürdig eingestuft wurde Das Löschen von Daten und Dokumenten nach Ablauf des gesetzlich vorgeschriebenen Aufbewahrungszeitraums kann nach [TR-ESOR, 5.1.5, S. 29, (A5.1-25)] initiiert werden durch: o o organisatorisch berechtigte Nutzer einer technisch berechtigten vorgelagerten IT- Anwendung, oder einen zentralen Prozess, der diese Funktion für das Langzeitspeichersystem ausführt und entsprechend berechtigt ist von 15

7 2.2.3 Administration Zu den administrativen Aufgaben im Bereich des Langzeitspeichersystems zählen auf jeden Fall der Serverbetrieb und die Verfahrensadministration. Innerhalb der fachlichen Administration können weitere Funktionalitäten anfallen, die von den verwendeten Komponenten abhängen und im konkreten Fall zu beschreiben sind von 15

8 3 Rollen und ihre Aufgaben In diesem Abschnitt werden die Rollen aufgeführt, die für die Konzeption nationale Langzeitspeicherung relevant sind, und die ihnen zugeordneten Aufgaben beschrieben. Die konkrete Besetzung der Rollen im <Name der aktenführenden Behörde> wird in einer Anlage gesondert aufgeführt. 3.1 Bearbeitungsebene Rolle Führungskraft und Rolle Sachbearbeitung Die speziellen Aufgaben der Führungsebene und der Sachbearbeitungen sind im Geschäftsverteilungsplan der aktenführenden Behörde festgelegt. Im Rahmen dieser Aufgaben können die Führungskräfte und die Sachbearbeitungen weiterhin lesend auf das Schriftgut ihrer Aufgabenbereiche zugreifen. Im Kontext der Langzeitspeicherung übernehmen die Rolleninhaber von Führungskraft und Sachbearbeitung vielfach auch die Rolle der Bedarfsträger (siehe auch 3.3.2), da sie fachliche Anforderungen an ein Langzeitspeichersystem stellen und diese über die Langzeitspeicherung-Koordination (siehe 3.3.2) an die Langzeitspeicherung-Fachverantwortung (siehe 3.3.1) kommunizieren Rolle Aussonderung Die Aufgaben dieser Rolle, die typischerweise meist in der Registratur angesiedelt ist, sind: Steuerung der Aussonderungsprozesse Verlagern des Schriftguts, dessen Transferfrist abgelaufen ist, in den passiven Datenbestand Anbieten des Schriftguts, dessen Aufbewahrungsfrist abgelaufen ist, an das zuständige Archiv Abgabe des archivwürdigen Schriftguts an das zuständige Archiv Löschen von Schriftgut, o das vom Archiv als nicht-archivwürdig eingestuft wurde o nach (bestätigter) Abgabe an das Archiv In der Terminologie von [OAIS 1.7.2, S. 13] übernimmt der Rolleninhaber der Aussonderung die Rolle Produzent (Producer), die dort wie folgt definiert wird: Die Rolle, die von denjenigen Personen oder Client-Systemen eingenommen wird, die die Information zur Verfügung stellen, die erhalten werden soll. Dies kann andere OAIS oder OAIS-interne Personen oder Systeme einschließen Rolle Archiv Diese Rolle, die die jeweils zuständige Archivbehörde bezeichnet, liegt nicht im Verantwortungsbereich der aktenführenden Behörde. Zu ihren Aufgaben gehört, neben der Verwaltung des Archivschriftguts, zusätzlich die Beratung der aktenführenden Verwaltungen in Fragen hinsichtlich folgender Punkte, die einen Einfluss auf eine spätere Langzeitspeicherung oder Archivierung haben können: Archivwürdigkeit von Schriftgut, Aktenführung, Einführung neuer IT-Systeme von 15

9 Für den Aussonderungsprozess sind Details der Umsetzung von Schriftgut, beispielsweise für Form und Inhalt der Übergabeinformationspakete (vgl. [OAIS, 2.2.3, S. 23]), einvernehmlich zwischen aktenführender Behörde und zuständiger Archivbehörde zu klären. Bei Unstimmigkeiten entscheidet in vielen Punkten letztendlich die Archivbehörde; so werden z. B. das Verfahren der Übergabe und die zu verwendenden Datenformate grundsätzlich von der Archivbehörde vorgegeben (vgl. [DOMEA, 4.1, S. 21]). [OAIS, 3.1, S. 27] beschreibt als Aufgaben eines Offenen Archiv-Informations-Systems (OAIS) hinsichtlich der Übernahme von Schriftgut: mit Informations-Produzenten über Information verhandeln und diese entsprechend annehmen, genügend Kontrolle über die angebotene Information bekommen, in dem Maß, das benötigt wird, um deren Langzeiterhaltung sicherzustellen. 3.2 Administrationsebene Zur Administration des Langzeitspeichersystems sind die Rollen Systemadministration und Verfahrensadministration zu besetzen: Systemadministration Die Inhaber dieser Rolle sind zuständig für die Administration des Langzeitspeichersystems, inkl. des Betriebes der verwendeten Server. Verfahrensadministration Die Verfahrensadministration ist zuständig für die Administration der Verfahren, die die Funktionalitäten des Langzeitspeichersystems sicherstellen. Innerhalb der fachlichen Administration kann Bedarf für weitere Rollen entstehen, die von den verwendeten Komponenten abhängen und im konkreten Fall zu beschreiben sind. Diese hängen stark von den verwendeten Systemen ab und werden hier deshalb nicht weiter ausgeführt. In einer konkreten Umsetzung müssen diese Rollen jedoch beschrieben und besetzt werden. Im <Bezeichnung der aktenführenden Stelle> werden keine Rollen für die Fachadministration benötigt / werden folgende Rollen für die Fachadministration eingeführt: <Rolle 1>: Abhängig von dem verwendeten Langzeitspeichersystem können außerdem administrative Rollen auf Systemebene anfallen. Dabei handelt es sich z. B. um Systemkennungen. In der Regel werden diese Kennungen benötigt, um Software zu starten oder den Datenzugriff zu erhalten, und sind nicht mit Personen besetzt. Im <Bezeichnung der aktenführenden Stelle> gibt es keine Rollen auf Systemebene / werden folgende Rollen eingeführt: <Rolle 2>: 3.3 Rollen der Organisationsebene Die Verantwortung zu Langzeitspeicherung unterteilt sich in einen zentralen und ggf. mehrere <Ressort/Senat/Behörden>-spezifische dezentrale Verantwortungsbereiche. Eine detaillierte Beschreibung der Verantwortungsbereiche, der organisatorischen Rollen und ihren Aufgaben findet sich im Kapitel 4 des NaLa-Konzepts Organisation. Die organisatorischen Rollen und ihre Aufgaben werden daher im Folgenden nur kurz aufgeführt von 15

10 3.3.1 Zentraler Verantwortungsbereich In den zentralen Verantwortungsbereich Langzeitspeicherung fallen die beiden Rollen Langzeitspeicherung-Fachverantwortung und Langzeitspeicherung-Verfahrensverantwortung. Details zu diesem Verantwortungsbereich finden sich im NaLa-Konzept Organisation, 3.2. Langzeitspeicherung-Fachverantwortung (LZS-FV) Die Langzeitspeicherung-Fachverantwortung trägt die zentrale fachliche Verantwortung zur Langzeitspeicherung im Bundesland <Name des Bundeslandes> und ist zuständig für übergreifende Regelungen und Prozesse zu den fachlichen Bedarfen. Langzeitspeicherung-Verfahrensverantwortung (LZS-VV) Die Langzeitspeicherung-Verfahrensverantwortung verantwortet die Gewährleistung der Ordnungsmäßigkeit der Langzeitspeicherung im Bundesland <Name des Bundeslandes> und trägt die Verantwortung als Auftraggeber Dezentraler Verantwortungsbereich In dem dezentralen Verantwortungsbereich zur Langzeitspeicherung, der im NaLa-Konzept Organisation in 3.1. beschrieben wird, sind folgende Rollen angesiedelt: Langzeitspeicherung-Koordination (LZS- Koo) Die Langzeitspeicher-Koordination <der/des Ressort/Senat/Behörden> ist zuständig für Fragen der Langzeitspeicherung in der jeweiligen Behörde und für <Ressort/Senat/Behörden>-interne Regelungen und Prozesse zu den fachlichen Bedarfen. Bedarfsträger Bedarfsträger bezüglich der Langzeitspeicherung sind die Organisationseinheiten einer Behörde, die Daten aus E-Akte-konformen Fachverfahren im Langzeitspeicher ablegen, vertreten durch die jeweiligen Verfahrensverantwortlichen der Fachverfahren. Ein Bedarfsträger benötigt nicht zwingend Zugriff auf die Daten im Langzeitspeicher. Datenverarbeitende Stellen Die Organisationseinheiten einer Behörde, die Daten aus E-Akte-konformen Fachverfahren im Langzeitspeicher ablegen, sind die datenverarbeitenden Stellen. 3.4 Sicherheitsmanagement Zum Erreichen des angestrebten Sicherheitsniveaus wird die Rolle Sicherheitskoordination Langzeitspeicherung (SiKo LZS) eingeführt. Die Sicherheitskoordination ist für die IT-Sicherheitsfragen im Bereich des Langzeitspeichers zuständig. Ihre/seine Aufgaben sind Umsetzung der vereinbarten Maßnahmen zur IT-Sicherheit, Sicherstellung der Einhaltung von Vereinbarungen zur IT-Sicherheit, Mitarbeit im zuständigen Sicherheitsmanagement-Team, Koordination der Erstellung der festgelegten Sicherheitsnachweise von 15

11 4 Rechtevergabe In diesem Kapitel werden grundlegende Paradigmen und Strategien für die Rechtevergabe aufgeführt. Außerdem werden zu den in Kapitel 3 eingeführten Rollen die Zugangsberechtigungen zu zentralen Komponenten sowie die Zugriffsberechtigung auf die in Kapitel 2 erläuterten Daten und Funktionen festgelegt. 4.1 Paradigmen und Strategien Bei der Rechtevergabe sind einige grundsätzliche Paradigmen zu beachten, die im Folgenden aufgezählt werden. Abweichungen und Ausnahmen für konkrete Realisierungsfälle sind festzuhalten. Datenschutzgrundsatz: Jeder erhält nur die Berechtigungen, die für die Ausübung seiner Aufgaben notwendig sind. Führungskräfte haben bis in die oberste Hierarchiestufe Leseberechtigung auf alle Objekte, die in ihrem Zuständigkeitsbereich liegen (für die untergeordnete Organisati-onseinheiten/Arbeitsplätze die Federführung haben). Stellvertretungen erhalten die zur Ausübung der Stellvertretung notwendigen Rechte nur für den Zeitraum der Stellvertretung. Außerdem sollten die in [DIN 31644, 6.3.1, S. 15] für ein digitales Langzeitarchiv (dlza) aufgestellten Kriterien K15, Integrität: Funktionen der Archivablage K16, Integrität: Nutzerschnittstelle beachtet werden, die hier statt auf ein dlza für ein Langzeitspeichersystem anzuwenden sind. Für die beiden Kriterien sind auf S. 27 im Anhang B folgende Beispiele aufgeführt: Für K15 Das dlza hat ein nachvollziehbares Verfahren zur Bestimmung des erforderlichen Grades der physischen Redundanz sowie zur Bestimmung geeigneter Lokationen von Speichermedien und zugehörigen Subsystemen. Das dlza legt die erforderliche Qualität der Speichermedien fest (z. B. durch die Verwendung normierter und zertifizierter Speichermedien) Das dlza hat eine Politik für den logischen Zugang zur Archivablage festgelegt (dies schließt dlza-interne Nutzer wie z. B. Systemadministratoren mit ein) Das dlza hat den physischen Zugang zu den IT-Systemen eindeutig geregelt. Das dlza hat Regeln zur Auffrischung (Refreshment) der Medien bzw. zur Migration der digitalen Objekte auf andere Medien. Absehbare technische Unvollkommenheiten, sind durch entsprechende Verfahren der Fehlerkorrektur oder Fehlererkennung so weit wie möglich auszugleichen oder zu signalisieren. Für K16 Das dlza analysiert die Qualität seiner zur Verfügung gestellten Interpretationshilfen und macht die Ergebnisse den Nutzern bekannt. Das dlza trägt Sorge dafür, dass ein unbefugter Nutzer keine Rechte über digitale Objekte, Metadaten oder sonstige Systembestandteile erhalten kann. Das dlza definiert, wie weit seine Verantwortlichkeit für die Integrität der digitalen Objekte beim Auslieferungsprozess reicht von 15

12 Das Bundesamt für Sicherheit in der Informationstechnik verlangt in [TR-ESOR, 5, S. 26, (A5.1-1) und 5.1.2, S. 27, (A5.1-11)], dass ein Zugriff auf das Langzeitspeichersystem zu Zwecken der Ablage, des Änderns, des Abrufs oder Löschens von Daten in jedem Fall nachweisbar (z. B. protokolliert) über definierte Schnittstellen und einen sicheren Kommunikationskanal aus berechtigten IT-Anwendungen (in der Regel die Fachverfahren, deren Daten im Langzeitspeicher vorliegen) zu erfolgen hat. Diese Aktionen dürfen nur von dazu autorisierten Personen vorgenommen werden. Unberechtigte Zugriffe sind zuverlässig zu verhindern. 4.2 Rollenspezifische Rechteprofile In diesem Abschnitt werden die Rechte beschrieben, die den eingeführten Rollen zuzuordnen sind. 4.3 Zugangsberechtigung zu IT-Systemen, IT-Komponenten und Netzen Der konkrete Anwendungsfall wird in der Regel die vorhandene Systemumgebung nutzen, die für den konkreten Fall beschrieben werden sollte, z. B. hinsichtlich der Arbeitsplätze, des Netzes, über das die Kommunikation erfolgt, genutzter Authentifizierungsmethoden. Zusätzlich benötigen die Anwender und Anwenderinnen die Zugangsberechtigung auf den eingesetzten Langzeitspeicher und die von diesem genutzten Server. Im konkreten Fall sind außerdem die Router, über die die nötigen Verbindungen erfolgen, und die Ports, die dafür freigeschaltet wurden, zu beschreiben. [OAIS, , S ] bietet mit dem Abschnitt Allgemeine Dienste einen Überblick über die Leistungen, die Betriebssystem-, Netzwerk- und Sicherheitsdienste zur Verfügung stellen Zugriffsberechtigung auf die Daten Die Zugriffsberechtigungen auf Schriftgutobjekte und die darin enthaltenen Dateien müssen im Langzeitspeicher, in dem das Schriftgut abgelegt ist, differenziert vergeben werden können. Detaillierte Betrachtungen und ihre Umsetzung sind abhängig von den verwendeten Systemen aufzustellen. In diesem Abschnitt werden die Rechte aufgeführt, die den einzelnen Rollen zugeordnet sind. Rolle Führungskraft und Rolle Sachbearbeitung: Führungskräfte und Sachbearbeitungen behalten für die Schriftgutobjekte, für die sie während ihrer Bearbeitungs- und Transferfrist im aktiven Datenbestand (lesend oder schreibend) Zugriff hatten, auch im passiven Datenbestand den Lesezugriff. Bei der Rechtevergabe ist darauf zu achten, dass jeder Nutzer lediglich die Rechte auf das Schriftgut erhält, auf das er im aktiven Datenbestand Zugriff hatte! Schreibender Zugriff auf das Schriftgut im passiven Datenbestand ist im Rahmen der Sachbearbeitung nicht mehr möglich. Den Rollen Führungskraft und Sachbearbeitung sind somit, unter Beachtung der oben aufgeführten Einschränkungen, folgende Berechtigungen zuzuordnen: Lesen von Metadaten Lesen von Inhalten Rolle Aussonderung: Die Rolle Aussonderung benötigt im passiven Datenbestand folgende Rechte: von 15

13 Lesen von Metadaten Lesen von Inhalten Schreiben von Metadaten - um beispielsweise zu markieren, dass ein Schriftgutobjekt sich bereits im Anbieteverfahren befindet ggf. Schreiben von Inhalten - z. B. zum Ablegen von Signaturdateien ggf. Erzeugen von Objekten - falls der Langzeitspeicher durch ein anderes System umgesetzt wird und nicht durch das Verschieben von Schriftgut vom aktiven in den passiven Datenbestand innerhalb desselben Systems. An dieser Stelle sei auf Kapitel 3, Varianten des passiven Datenbestands, des NaLa-Konzepts Transfer verwiesen Löschen von Objekten (nach Abgabe an das Archiv oder nicht-archivwürdig eingestuft wurde Zur Umsetzung des Löschens von Schriftgut sei hier noch einmal auf die in zitierten Ausführungen aus [TR-ESOR] verwiesen. Weitere Rollen: Die Rollen der Administrations- und Systemebene, Organisationsebene und des Sicherheitsmanagements besitzen in der Regel keinerlei Berechtigung auf das Schriftgut des passiven Datenbestands. Abweichungen und Ausnahmen sind in der Konzeption einer konkreten Umsetzung aufzuführen. Die Rolle Archiv liegt in der Zuständigkeit einer Archivbehörde und ist damit nicht Gegenstand dieses Konzepts. Bereits an dieser Stelle kann jedoch festgehalten werden, dass die Inhaber der Rolle Archiv lesenden Zugriff auf Metadaten und Inhalte benötigen, falls das zuständige Archiv zur Prüfung der Archivwürdigkeit von Schriftgutobjekten direkt auf den Originaldatenbestand zugreifen soll Zugriffsberechtigung auf die Funktionen In diesem Abschnitt werden die rollenspezifischen Zugriffsrechte auf die Funktionen fest-gehalten. Die Rollen Führungskraft und Sachbearbeitung haben die Berechtigungen auf die Schriftgutverwaltung. Das Schriftgut kann im passiven Datenbestand weiterhin gesucht und gelesen werden Die Rolle Aussonderung benötigt die Rechte zum Ausführen folgender Funktionen: Transfer von Schriftgut vom aktiven in den passiven Datenbestand (Verbringen von Daten in den Langzeitspeicher) Durchführung des Anbieteverfahrens an die zuständige Archivbehörde Erstellen der Transferpakete und Ausliefern an das zuständige Archiv Löschen von Daten im Langzeitspeicher Den Rollen der Administrationsebene sind die Rechte für die Administration des Langzeitspeichersystems zuzuordnen. Je nach Umsetzung benötigen auch einzelne Rollen aus der Organisationsebene die Rechte für Administrationsfunktionalitäten, etwa für Controlling- oder Informationszwecke. Details darüber sind in den Konzeptionen für konkrete Umsetzungen auszuarbeiten. Die Rollen der Systemebene und des Sicherheitsmanagements besitzen in der Regel keine Rechte auf Funktionen des Langzeitspeichersystems. Zur Maßnahmenüberprüfung sind den Rollen des Sicherheitsmanagements die erforderlichen Werkzeuge und Berechtigungen zeitweise zur Verfügung zu von 15

14 stellen. Zur Dokumentation der Maßnahmenüberprüfung und zur Risikoanalyse steht ihnen das GSTool des BSI 1 zur Verfügung. Weitere Abweichungen und Ausnahmen sind in der Konzeption einer konkreten Umsetzung aufzuführen. Die Rolle Archiv liegt in der Zuständigkeit einer Archivbehörde und ist damit nicht Gegenstand dieses Konzepts 1 Mit dem GSTOOL (Grundschutz-Software) stellt das Bundesamt für Sicherheit in der Informationstechnik seit 1998 eine regelmäßig aktualisierte, zuverlässige und ergonomisch handhabbare Software bereit, die den Anwender bei Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten entsprechend dem IT-Grundschutz effizient unterstützt von 15

15 Quellen- und Literaturverzeichnis [DIN 31644] DIN Deutsches Institut für Normung e.v., August 2010, DIN 31644, Entwurf, Kriterien für vertrauenswürdige digitale Langzeitarchive [DOMEA] [OAIS] KBSt, 2004, Aussonderung und Archivierung elektronischer Akten, DOMEA -Konzept: Erweiterungsmodul zum Organisationskonzept 2.0, Schriftenreihe der KBSt, Band 66, Berlin nestor-arbeitsgruppe OAIS-Übersetzung/Terminologie, Referenzmodell für ein Offenes Archiv- Informations-System - Deutsche Übersetzung - [TR-ESOR] Bundesamt für Sicherheit in der Informationstechnik, , Version 1.1, BSI Technische Richtlinie Beweiswerterhaltung kryptographisch signierter Dokumente von 15