Spezifikationsbericht E-Procurement

Weitere Magazine

Empfehlungen

Info

SPEZIFIKATION DES VERFAHRENS „E-PROCUREMENT“ sein, dass es sich bei der Kommunikation mit dem Web-Server tatsächlich um den Server der ausschreibenden Behörde handelt (Web-Server Authentizität). In diesem Zusammenhang muss durch den Systemanbieter gewährleistet werden, dass Sperrinformationen zu Zertifikaten (z. B. bei Kartenverlust oder beim Wegfall bestimmter Eigenschaften) rechtzeitig vom System erkannt und verarbeitet werden können. Über ein personalisiertes Berechtigungs- und Rollenkonzept werden die Pflegeberechtigungen für die Ausschreibungsdaten sichergestellt. Für die folgenden Anwendergruppen sind Berechtigungs- und Rollenkonzepte zu realisieren: • Einkäufer • Zentrale Vergabestelle • Bieterfirmen Es muss die Möglichkeit bestehen, diese Rollen an die spezifischen Anforderungen der Organisation der jeweiligen Stadt anzupassen. Neue Rollen müssen eingerichtet bzw. an bestehende Hierarchien angepasst werden können. Hinsichtlich der Vergabe eines Passwortes sind folgende Kriterien zu erfüllen: • verdeckte Eingabe • Mindestlänge • Sperrung nach einer definierten Anzahl an Fehlversuchen Vertraulichkeit: Der Schutzbedarf der ausgetauschten Daten im E-Procurement-Verfahren hinsichtlich Vertraulichkeit ist als hoch bis sehr hoch zu bezeichnen (siehe hierzu auch Abschnitt 4.5.2.1). Deshalb müssen Verschlüsselungssysteme eingesetzt werden, die eine Ende-zu-Ende-Verschlüsselung der zu übermittelnden Daten ermöglichen. Bei der Datenübermittlung ist die Vertraulichkeit der Informationen durch Verwendung von SSL/TLS-verschlüsselten Kanälen unter Nutzung zugehöriger Server- Zertifikate sicherzustellen. Derzeitiger Standard für eine sichere Kommunikation bei symmetrischen Verfahren ist eine Schlüssellänge von 128 Bit RC4 oder 112 Bit 3- DES. Darüber hinaus muss durch geeignete Verschlüsselungsmechanismen für die Dokumente die Vertraulichkeit der Angebote sichergestellt werden. Bei einer softwarebasierten Verschlüsselung ist der derzeitige Standard ein RSA-Algorithmus mit einer Schlüssellänge von mindestens 1024 Bit. Auf Seiten der digitalen Signatur wird als Verschlüsselungsstandard ein Verfahren angewendet, das den aktuellen Stand des Signaturgesetzes (SigG) und der Signaturverordnung (SigV) einhält und somit eine Grundlage zur Schaffung rechtsgültiger Dokumente in digitaler Form schafft. Die Kommunikation ist bei dem E-Procurement- Verfahren generell mittels SSL-Verschlüsselung durchzuführen. 44 von 64
SPEZIFIKATION DES VERFAHRENS „E-PROCUREMENT“ Verbindlichkeit: Verbindlichkeit wird durch die Gewährleistung der Integrität, der Authentizität und Nicht-Abstreitbarkeit sowie der Authentizität der Kommunikationspartner erreicht. Entsprechende Maßnahmen können der Schutz der Daten vor unberechtigter Veränderung durch entsprechende Rollen- und Zugriffsrechtekonzepte (siehe auch Beschreibungen zum Punkt „Rechte-Rollen-Konzept“) und die Sicherung der Datenverbindung sein. Verfügbarkeit: Mit der Verfügbarkeit der Vergabeplattform sind Anforderungen verknüpft, welche die kontinuierliche Bereitstellung der Lösung für die Nutzer gewährleisten. In diesem Zusammenhang sind Maßnahmen zur Sicherstellung eines geordneten Geschäftsverkehrs im „üblichen“ Rahmen zu ergreifen, so z. B. ein regelmäßiges Back-up. Integrität: Die Zuordnung empfangener Daten zu einem konkreten Absender und die nachweisbare Feststellung ihrer Unverfälschtheit ist insbesondere bei rechtsverbindlichen Verwaltungsprozessen unabdingbar, speziell dann, wenn grundsätzlich damit zu rechnen ist, dass diese Daten als Beweismittel in einem gerichtlichen Verfahren verwendet werden müssen. Zu diesem Zweck sind die zu übertragenen Dokumente unter Verwendung der qualifizierten elektronischen Signatur zu signieren. Damit kann eine Manipulation des Dokuments relativ sicher erkannt werden. Alle Unterlagen unterliegen dem Grundsatz der Vertraulichkeit, und jede Verletzung der Integrität würde dazu führen, dass sich der so genannte Hashwert, der gebildet wird, verändert. Bei Öffnung der Unterlagen wird als erstes die Unversehrtheit der Unterlagen geprüft. Nichtabstreitbarkeit: Beim Vergabeprozess handelt es sich um einen Austausch von Dokumenten, deren Zugang/Abgang mit Aufzeichnung des Zeitpunkts unabstreitbar dokumentiert werden muss. Diese Zeitpunkte beziehen sich auf das Erstellen, Signieren, Empfangen, Senden und erstmalige Öffnen der Dokumente. Diese Zeitpunkte müssen im Geschäftsprozess zuverlässig bestimmt und nachvollziehbar dokumentiert werden. Dazu muss ein qualifizierter Zeitstempel verwendet werden. Die Urheberschaft der übertragenen Dokumente ist zweifelsfrei durch digitale Signierung nachzuweisen (alternative teilelektronische Verfahren mit Mantelbogen sind zulässig, s. o.). Vertrauenswürdigkeit der Software: Der Geschäftsprozess der elektronischen Vergabe ist stark von der eingesetzten Software abhängig. Deshalb ist es unbedingt erforderlich, für die Signaturkomponenten das E-Procurement-Verfahren nur Software einzusetzen, die nach anerkannten 45 von 64
Seite 1 und 2: Spezifikationsbericht „E-Procurem
Seite 3 und 4: VORWORT Vorwort An der Nahtstelle v
Seite 5 und 6: INHALTSVERZEICHNIS Inhaltsverzeichn
Seite 7 und 8: ABBILDUNGSVERZEICHNIS Abbildungsver
Seite 9 und 10: ABKÜRZUNGSVERZEICHNIS Abkürzungsv
Seite 11 und 12: EINLEITUNG 1 Einleitung Die Initiat
Seite 13 und 14: EINLEITUNG zu stellen, wurden diese
Seite 15 und 16: HARMONISIERUNG IM RAHMEN DER INITIA
Seite 17 und 18: HARMONISIERUNG IM RAHMEN DER INITIA
Seite 19 und 20: BESCHREIBUNG DES VERFAHRENS „E-PR
Seite 25 und 26: SPEZIFIKATION DES VERFAHRENS „E-P
Seite 43: SPEZIFIKATION DES VERFAHRENS „E-P
Seite 47 und 48: PRAXISBEISPIELE AUS DEN TRANSFER-KO
Seite 55 und 56: LITERATURVERZEICHNIS Literaturverze
Seite 57 und 58: ANHANG 1 - SCHUTZBEDARFSFESTSTELLUN
Seite 59 und 60: ANHANG 1 - SCHUTZBEDARFSFESTSTELLUN
Seite 61 und 62: ANHANG 2 - KRITERIENKATALOG FÜR SO
Seite 63 und 64: ANHANG 2 - KRITERIENKATALOG FÜR SO

Spezifikationsbericht E-Procurement

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?