go.eIDAS eIDAS Blog News

Entwurf einer Taxonomie der OZG-relevanten Standards

Onlinezugangsgesetz
#1

OZG-Standards
OZG-Standards1047×545 36 KB

Eine denkbare Gliederung der für die OZG-Umsetzung relevanten Standards könnte die folgenden Kategorien umfassen:

  • Anwendung – enthält die verschiedenen Standards der OZG-Anwendungsebene, die weiter in die 14 Themenfelder gemäß des OZG-Leistungskatalogs untergliedert ist. Beispielsweise würde sich in der Unterkategorie „Bauen & Wohnen“ der XBau -Standard wiederfinden.
  • Dienst – enthält die verschiedenen Webservice-Standards, die als Basis für die effiziente OZG-Umsetzung genutzt werden sollten. Hier existieren folgende Unterkategorien:
    • API – enthält Standards für die deklarative Beschreibung von Webservice-Schnittstellen, wie z.B. WSDL und OpenAPI , sowie standardisierte Schnittstellen-Spezifikationen für Dienste, die für die OZG-Umsetzung relevant sind. Dies umfasst Standards wie z.B. SAML für die Realisierung der Servicekonten im Portalverbund, aber auch Schnittstellenstandards für weitere Basisdienste des eIDAS-Ökosystems sowie Dienste für Postfächer, Bezahlverfahren, Formularmanagementsysteme oder zukünftig denkbare Partizipationsdienste samt der zugehörigen Standards für Metadaten für z.B. SAML oder DSS .
    • Protokoll – enthält Standards für die grundlegenden Webservice-Protokolle, wie z.B. SOAP und REST , sowie verwandte sicherheitspezifische Protokolle, wie z.B. WS-Security , OAuth und OpenID Connect .
    • Portal – enthält Standards, die für die Umsetzung von Portalen potenziell relevant sind, wie z.B. die Portlet-Spezifikationen JSR 168 , JSR 286 , JSR 362 , WRSP oder Web Components .
    • Syntax – enthält Standards für die syntaktische Beschreibung von Daten, wie z.B. ASN.1 , XML , XML-Schema , JSON und JSON-Schema .
    • Semantik – enthält Standards für die semantische Beschreibung und „schlaue“ Verarbeitung von Daten, wie z.B. RDF und JSON-LD .
    • Sonstiges – enthält bei Bedarf weitere Standards für OZG-Dienste.
    • Werkzeuge – enthält keine Standard-Dokumente im Sinne der „OpenStand“ Definition , sondern vielmehr Werkzeuge und dokumentierte „Best Practices“, die bei der effizienten und sicheren OZG-Umsetzung nützlich sind.
  • Infrastruktur – addressiert die für die OZG-Umsetzung nötige Infrastruktur, welche die beiden Kategorien „Internet“ und „Betrieb“ umfasst:
    • Internet – enthält Internet-Standards, wie z.B. TCP / IP , http , HTML , DNSSec und NTP .
    • Betrieb – enthält wieder typischerweise keine Standard-Dokumente, sondern Open Source Komponenten für den robusten und vertrauenswürdigen Betrieb der OZG-Infrastruktur, wie sie z.B. im Sovereign Cloud Stack und unzähligen weiteren Open Source Projekten zu finden sind.
  • Konformität – addressiert schließlich die Konformität der OZG-Lösungen mit folgenden Unterkategorien:
    • Methodik – enthält beispielsweise Standards zum föderalen Informationsmanagement ( FIM ), für das Anforderungsmanagement ( ISO/IEC/IEEE 29148 ), zur Modellierung von Systemen, wie z.B. UML oder BPMN , zum Testen ( ISO/IEC/IEEE 29119 ) und schließlich Standards für das allgemeine Projektmanagement ( ISO 21500 ) oder die Durchführung von IT-Projekten ( V-Modell XT ) und Wirtschaftlichkeitsbetrachtungen ( WiBe ).
    • Sicherheit – enthält Standards für das Informationssicherheitsmanagement, wie z.B. ISO/IEC 27001 und die entsprechenden IT-Grundschutz-Standards sowie die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
    • Datenschutz – enthält Standards für das Datenschutzmanagement, wie z.B. ISO/IEC 27701 und SDM sowie entsprechende Zertifizierungskritierien gemäß Art. 42 DSGVO, wie z.B. DIN SPEC 27557 .
    • Qualität – enthält Standards für das Qualitätsmanagement, wie z.B. ISO 9001 und ISO 90003 .
    • Sonstiges – enthält bei Bedarf weitere Standards für die Konformitätsbewertung von Produkten und Diensten mit Relevanz für die OZG-Umsetzung.