Informationssicherheit

Informationssicherheit, manchmal verkürzt auf Infosec, ist die Praxis des Schutzes Information durch mildernde Informationsrisiken. Es ist Teil von Informationsrisikomanagement.[1][2] In der Regel werden die Wahrscheinlichkeit eines nicht autorisierten/unangemessenen Zugangs verhindern oder reduziert Daten, oder die rechtswidrige Verwendung, Offenlegung, Störung, Löschung, Korruption, Änderung, Inspektion, Aufzeichnung oder Abwertung von Informationen.[3] Es umfasst auch Maßnahmen, die die nachteiligen Auswirkungen solcher Vorfälle verringern sollen. Geschützte Informationen können jedes Formular annehmen, z. elektronisch oder physisch, greifbar (z. Papierkram) oder immateriell (z. Wissen).[4][5] Der Hauptaugenmerk der Informationssicherheit liegt im ausgewogenen Schutz der Vertraulichkeit, Integrität, und Verfügbarkeit von Daten (auch als CIA -Triade bezeichnet) gleichzeitig einen Fokus auf effizientes Fokus Politik Implementierung, alles ohne die Organisation zu behindern Produktivität.[6] Dies wird größtenteils durch ein strukturiertes erreicht Risikomanagement Prozess, der beinhaltet:

  • Informationen und verwandte Identifizierung Vermögenswerte, plus Potenzial Bedrohungen, Schwachstellenund Auswirkungen;
  • Bewertung der Risiken
  • Entscheidung, wie die Risiken angegangen oder behandelt werden sollen, d. H. Sie zu vermeiden, zu mildern, zu teilen oder zu akzeptieren
  • Wenn die Risikominderung erforderlich ist, die Auswahl oder Entwerfen geeigneter Sicherheitskontrollen und implementieren
  • Überwachung der Aktivitäten, Anpassungen nach Bedarf, um Probleme, Änderungen und Verbesserungsmöglichkeiten anzugehen[7]

Um diese Disziplin zu standardisieren, arbeiten Akademiker und Fachleute zusammen, um Anleitung, Richtlinien und Branchenstandards zu bieten Passwort, Antiviren Software, Firewall, Verschlüsselungssoftware, rechtliche Haftung, Sicherheitsbewusstsein und Training und so weiter.[8] Dies Standardisierung Kann weiter von einer Vielzahl von Gesetzen und Vorschriften getrieben werden, die sich auf die Daten auswirken, die auf Daten zugegriffen, verarbeitet, gespeichert, übertragen und zerstört werden.[9] Die Umsetzung von Standards und Leitlinien innerhalb eines Unternehmens kann jedoch nur begrenzte Auswirkungen haben, wenn eine Kultur von Kultur ständige Verbesserung wird nicht adoptiert.[10]

Definition

vectorial version
Informationssicherheitsattribute: oder Qualitäten, d. h., Vertraulichkeit, Integrität und Verfügbarkeit (CIA). Informationssysteme sind in drei Hauptabschnitten, Hardware, Software und Kommunikation mit dem Ziel, die Identifizierung und Anwendung von Standards der Informationssicherheitsindustrie als Schutz- und Präventionsmechanismen auf drei Ebenen oder Schichten zu bestimmen: physischpersönlich und organisatorisch. Im Wesentlichen werden Verfahren oder Richtlinien implementiert, um Administratoren, Benutzern und Betreiber mitzuteilen, wie sie Produkte verwenden, um die Informationssicherheit innerhalb der Organisationen zu gewährleisten.[11]

Verschiedene Definitionen der Informationssicherheit werden nachstehend vorgeschlagen, zusammengefasst aus verschiedenen Quellen:

  1. "Erhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Hinweis: Darüber hinaus können auch andere Eigenschaften wie Authentizität, Rechenschaftspflicht, Nicht-Repudiation und Zuverlässigkeit beteiligt sein." (ISO/IEC 27000: 2009)[12]
  2. "Der Schutz von Informations- und Informationssystemen vor nicht autorisierten Zugriff, Verwendung, Offenlegung, Störung, Änderung oder Zerstörung, um Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten." (CNSS, 2010)[13]
  3. "Stellen Sie sicher, dass nur autorisierte Benutzer (Vertraulichkeit) Zugriff auf genaue und vollständige Informationen (Integrität) haben, wenn dies erforderlich ist (Verfügbarkeit)." (Isaca, 2008)[14]
  4. "Informationssicherheit ist der Prozess des Schutzes des geistigen Eigentums einer Organisation." (Pipkin, 2000)[15]
  5. "... Informationssicherheit ist eine Disziplin der Risikomanagement, deren Aufgabe darin besteht, die Kosten des Informationsrisikos für das Unternehmen zu verwalten." (McDermott und Geer, 2001)[16]
  6. "Ein gut informiertes Gefühl der Gewissheit, dass Informationsrisiken und Kontrollen im Gleichgewicht stehen." (Anderson, J., 2003)[17]
  7. "Informationssicherheit ist der Schutz von Informationen und minimiert das Risiko, Informationen nicht autorisierter Parteien auszusetzen." (Venter und Eloff, 2003)[18]
  8. "Informationssicherheit ist ein multidisziplinärer Studienbereich und beruflicher Aktivität, der sich mit der Entwicklung und Umsetzung von Sicherheitsmechanismen aller verfügbaren Typen (technischer, organisatorischer, menschlicher orientierter und legaler) befasst, um Informationen an allen Standorten (innerhalb und) zu halten außerhalb des Umkreises der Organisation) und folglich Informationssysteme, in denen Informationen erstellt, verarbeitet, gespeichert, übertragen und zerstört werden, frei von Bedrohungen.[19] Bedrohungen für Informations- und Informationssysteme können kategorisiert und ein entsprechendes Sicherheitsziel für jede Kategorie von Bedrohungen definiert werden.[20] Eine Reihe von Sicherheitszielen, die als Ergebnis einer Bedrohungsanalyse identifiziert wurden, sollte regelmäßig überarbeitet werden, um ihre Angemessenheit und Konformität mit der sich entwickelnden Umgebung zu gewährleisten.[21] Die derzeit relevanten Sicherheitsziele können umfassen: Vertraulichkeit, Integrität, Verfügbarkeit, Privatsphäre, Authentizität und Vertrauenswürdigkeit, Nicht-Repudiation, Rechenschaftspflicht und Prüfbarkeit."(Cherdantseva und Hilton, 2013)[11]
  9. Informations- und Informationsressourcensicherheit unter Verwendung von Telekommunikationssystem oder Geräten bedeutet, Informationen, Informationssysteme oder Bücher vor nicht autorisierten Zugriff, Schaden, Diebstahl oder Zerstörung zu schützen (Kurose und Ross, 2010).[22]

Überblick

Im Zentrum der Informationssicherheit steht Informationssicherheit, die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) von Informationen aufrechterhalten, um sicherzustellen, dass dies sicherstellt, dass dies sichergestellt wird Information wird in keiner Weise beeinträchtigt, wenn kritische Probleme auftreten.[23] Diese Probleme umfassen, ohne auf Naturkatastrophen, Computer/Server -Fehlfunktionen und physischer Diebstahl zu beschränken. Während papierbasierte Geschäftsbetriebe noch weit verbreitet sind und ihre eigenen Informationssicherheitspraktiken verlangen, werden digitale Unternehmensinitiativen zunehmend betont,[24][25] Mit der Informationssicherung werden in der Regel Sicherheitsspezialisten für Informationstechnologie (IT) behandelt. Diese Spezialisten wenden Informationssicherheit auf Technologie an (meistens irgendeine Form von Computersystemen). Es lohnt sich zu beachten, dass a Computer bedeutet nicht unbedingt einen Home -Desktop.[26] Ein Computer ist jedes Gerät mit einem Prozessor und etwas Gedächtnis. Solche Geräte können von nicht-networkierten eigenständigen Geräten reichen, die so einfach sind wie Taschenrechner bis hin zu vernetzten mobilen Computergeräten wie Smartphones und Tablet-Computern.[27] IT -Sicherheitsspezialisten sind aufgrund der Art und des Werts der Daten in größeren Unternehmen fast immer in einem größeren Unternehmen/Establishment zu finden.[28] Sie sind dafür verantwortlich, alle alle zu behalten Technologie Innerhalb des Unternehmens sichern Sie sich vor böswilligen Cyber ​​-Angriffen, die häufig versuchen, kritische private Informationen zu erwerben oder die Kontrolle über die internen Systeme zu erlangen.[29][30]

Das Gebiet der Informationssicherheit ist in den letzten Jahren erheblich gewachsen und hat sich erheblich weiterentwickelt.[31] Es bietet viele Bereiche für die Spezialisierung, einschließlich Sicherung von Netzwerken und Verbands Infrastruktur, sichere Anwendungen und Datenbanken, Sicherheitstests, Informationssysteme Prüfung, Geschäftskontinuitätsplanung, elektronische Aufzeichnung Entdeckung und digitale Forensik. Fachleute für Informationssicherheit sind in ihrer Beschäftigung sehr stabil.[32] Ab 2013 Mehr als 80 Prozent der Fachleute hatten in einem Zeitraum von einem Jahr keine Veränderung des Arbeitgebers oder Beschäftigung, und die Zahl der Fachkräfte wird voraussichtlich von 2014 bis 2019 kontinuierlich mehr als 11 Prozent pro Jahr wachsen.[33]

Bedrohungen

Informationssicherheit Bedrohungen kommen in vielen verschiedenen Formen.[34][35] Einige der häufigsten Bedrohungen sind heute Softwareangriffe, Diebstahl von geistigem Eigentum, Diebstahl der Identität, Diebstahl von Geräten oder Informationen, Sabotage und Informationserpressung.[36][37] Die meisten Menschen haben Softwareangriffe in irgendeiner Art erlebt. Viren,[38] Würmer, Phishing -Angriffe, und trojanische Pferde sind einige häufige Beispiele für Softwareangriffe. Das Diebstahl des geistigen Eigentums war auch ein umfangreiches Thema für viele Unternehmen in der Informationstechnologie (ES) aufstellen.[39] Identitätsdiebstahl ist der Versuch, als jemand anderes zu fungieren, um die persönlichen Daten dieser Person zu erhalten oder ihren Zugang zu lebenswichtigen Informationen durch zu nutzen soziale Entwicklung.[40][41] Der Diebstahl von Geräten oder Informationen wird heute immer häufiger, da die meisten Geräte heute mobil sind.[42] sind anfällig für Diebstahl und sind mit zunehmender Datenkapazität auch weitaus wünschenswerter geworden. Sabotage besteht normalerweise aus der Zerstörung der Organisation einer Organisation Webseite in dem Versuch, Vertrauensverlust seiner Kunden zu verursachen.[43] Informationserpressung besteht aus Diebstahl des Eigentums oder Informationen eines Unternehmens als Versuch, eine Zahlung als Gegenleistung für die Rückgabe der Informationen oder des Eigentums an seinen Eigentümer wie bei der Rückgabe an seinen Eigentümer zu erhalten Ransomware.[44] Es gibt viele Möglichkeiten, sich vor einigen dieser Angriffe zu schützen, aber eine der funktionalsten Vorsichtsmaßnahmen ist die Durchführung regelmäßiger Benutzerbewusstsein.[45] Die Bedrohung Nummer eins für eine Organisation sind Benutzer oder interne Mitarbeiter, sie werden auch als Insider -Bedrohungen bezeichnet.[46]

Regierungen, Militär-, Unternehmen, Finanzinstitutionen, Krankenhäuser, gemeinnützige Organisationen und privat Unternehmen Setzen Sie viel vertrauliche Informationen über ihre Mitarbeiter, Kunden, Produkte, Forschung und finanziellen Status an.[47] Sollten vertrauliche Informationen über die Kunden oder Finanzen eines Unternehmens oder eine neue Produktlinie in die Hände eines Konkurrenten oder eines Konkurrenten fallen Black Hat HackerEin Unternehmen und seine Kunden könnten weit verbreitete, irreparable finanzielle Verluste sowie Schäden am Ruf des Unternehmens erleiden.[48] Aus geschäftlicher Sicht muss die Informationssicherheit gegen Kosten ausgeglichen werden. das Gordon-Loeb-Modell Bietet einen mathematischen wirtschaftlichen Ansatz zur Bekämpfung dieses Anliegens.[49]

Für die Person hat die Informationssicherheit erhebliche Auswirkungen auf Privatsphäre, was in verschiedenen sehr unterschiedlich angesehen wird Kulturen.[50]

Antworten auf Bedrohungen

Mögliche Antworten auf eine Sicherheitsbedrohung oder Risiko sind:[51]

  • Reduzieren/Minderung - Implementieren von Schutzmaßnahmen und Gegenmaßnahmen, um Schwachstellen zu beseitigen oder Bedrohungen zu blockieren
  • Zuweisen/Übertragung - Legen Sie die Kosten für die Bedrohung in ein anderes Unternehmen oder eine andere Organisation, z. B. den Einkaufsversicherung oder das Outsourcing
  • Akzeptieren - Bewerten Sie, ob die Kosten der Gegenmaßnahme die möglichen Verlustkosten aufgrund der Bedrohung überwiegt[52]

Geschichte

Seit den frühen Kommunikationszeit Manipulationen.[53] Julius Caesar wird der Erfindung der zugeschrieben Caesar -Chiffre c. 50 v.[54] Zum größten Teil wurde der Schutz jedoch durch die Anwendung von prozeduralen Handhabungskontrollen erreicht.[55][56] Sensible Informationen wurden markiert, um anzuzeigen, dass sie von vertrauenswürdigen Personen geschützt und transportiert werden sollten, bewacht und in einer sicheren Umgebung oder in einer starken Schachtel gespeichert werden sollten.[57] Als Postdienste erweiterten, schuf die Regierungen offizielle Organisationen, um Briefe abzufangen, zu entschlüsseln, zu lesen und wieder zu verschließen (z. B. das Geheimbüro des Vereinigten Königreichs, das 1653 gegründet wurde[58]).

Mitte des neunzehnten Jahrhunderts komplexer Klassifizierungssysteme wurden entwickelt, um den Regierungen ihre Informationen entsprechend dem Sensibilitätsgrad zu ermöglichen.[59] Zum Beispiel kodierte die britische Regierung dies in gewissem Maße mit der Veröffentlichung der Offizielles Geheimnisgesetz 1889.[60] Abschnitt 1 des Gesetzes betraf die Spionage und rechtswidrige Angaben von Information, während Abschnitt 2 sich mit Verstößen gegen das offizielle Vertrauen befasste.[61] Eine Verteidigung des öffentlichen Interesses wurde bald hinzugefügt, um die Offenlegung im Interesse des Staates zu verteidigen.[62] Ein ähnliches Gesetz wurde 1889 in Indien verabschiedet, dem indischen offiziellen Geheimungsgesetz, das mit der britischen Kolonialzeit verbunden war und gegen Zeitungen vorangetrieben wurde, die sich der RAJ -Politik widersetzten.[63] Eine neuere Version wurde 1923 verabschiedet, die sich auf alle Angelegenheiten vertraulicher oder geheimer Informationen für die Governance erstreckte.[64] Zum Zeitpunkt der Zeit Erster WeltkriegEs wurden mehrstufige Klassifizierungssysteme verwendet, um Informationen an und von verschiedenen Fronten zu kommunizieren, was eine stärkere Verwendung von Abschnitten für Codeherstellung und Brechen im diplomatischen und militärischen Hauptquartier förderte.[65] Die Codierung wurde zwischen den Kriegen anspruchsvoller, als Maschinen eingesetzt wurden, um Informationen zu durchsuchen und zu entschlüsseln.[66]

Die Einrichtung von Computersicherheit Eröffnete die Geschichte der Informationssicherheit. Die Notwendigkeit solcher erschien während Zweiter Weltkrieg.[67] Das Informationsvolumen der alliierten Länder während des Zweiten Weltkriegs erforderte eine formelle Ausrichtung von Klassifizierungssystemen und Verfahrenskontrollen.[68] Ein arkaner Markierungsbereich entwickelte sich, um anzuzeigen, wer Dokumente (normalerweise Offiziere anstatt eingetragene Truppen) bewältigen könnte und wo sie als zunehmend komplexe Safes und Lagereinrichtungen aufbewahrt werden sollten.[69] Das Enigma -Maschine, das von den Deutschen verwendet wurde, um die Daten der Kriegsführung zu verschlüsseln und erfolgreich entschlüsselt von Alan Turing, kann als auffälliges Beispiel für das Erstellen und Verwenden gesicherter Informationen angesehen werden.[70] Verfahren entwickelt, um sicherzustellen, dass die Dokumente ordnungsgemäß zerstört wurden, und es war das Versäumnis, diese Verfahren zu befolgen, was zu einigen der größten Geheimdienstputme des Krieges führte (z. B. die Erfassung von U-570[70]).

Verschiedene Mainframe -Computer wurden während der online verbunden Kalter Krieg Um ausgefeiltere Aufgaben zu erledigen, in einem Kommunikationsprozess leichter als das Versenden Magnetbänder hin und her durch Computerzentren. Als solche die Agentur für fortschrittliche Forschungsprojekte (ARPA), von der Verteidigungsministerium der Vereinigten Staaten, begann mit der Erforschung der Machbarkeit eines vernetzten Kommunikationssystems, um Informationen innerhalb der zu handeln Streitkräfte der Vereinigten Staaten. 1968 die Arpanet Das Projekt wurde von Dr. formuliert Larry Roberts, was sich später zu dem entwickeln würde, was als die genannt wird Internet.[71]

1973 wurden von Internet Pioneer wichtige Elemente der Arpanet -Sicherheit gefunden Robert Metcalfe viele Mängel wie die: "Sicherheitsanfälligkeit von Kennwortstruktur und Formaten; mangelnde Sicherheitsverfahren für Verbindungen wählen; und nicht vorhandene Benutzeridentifikation und -genehmigungen ", abgesehen von den mangelnden Kontrollen und Schutzmaßnahmen, um Daten vor unbefugtem Zugriff zu schützen. Hacker hatten mühelose Zugang zu Arpanet, da die öffentlichen Telefonnummern die Telefonnummern bekannt waren.[72] Aufgrund dieser Probleme in Verbindung mit dem ständigen Verstoß gegen die Computersicherheit sowie der exponentiellen Zunahme der Anzahl der Hosts und Benutzer des Systems wurde "Netzwerksicherheit" häufig als "Netzwerkunsicherheit" angespielt.[72]

Das Ende des 20. Jahrhunderts und in den frühen Jahren des 21. Jahrhunderts verzeichneten rasante Fortschritte in Telekommunikation, Computer Hardware- und Softwareund Daten Verschlüsselung.[73] Die Verfügbarkeit kleinerer, leistungsfähigerer und günstigerer Computergeräte gemacht elektronische Datenverarbeitung in Reichweite von Kleinunternehmen und Heimnutzer.[74] Die Festlegung des Protokolls/Internet -Protokolls (Transfer -Steuerungsprotokoll)/Internetwork (TCP/IP) in den frühen 1980er Jahren ermöglichte verschiedene Computertypen, um zu kommunizieren.[75] Diese Computer wurden schnell durch die miteinander verbunden Internet.[76]

Das schnelle Wachstum und die weit verbreitete Verwendung der elektronischen Datenverarbeitung und elektronisches Geschäft durchgeführt über das Internet zusammen mit zahlreichen Ereignissen internationaler Terrorismus, befugte die Notwendigkeit besserer Methoden zum Schutz der Computer und der Informationen, die sie speichern, verarbeiten und übertragen.[77] Die akademischen Disziplinen von Computersicherheit und Informationsabsicherung trat zusammen mit zahlreichen Berufsverbänden hervor, die alle die gemeinsamen Ziele der Gewährleistung der Sicherheit und Zuverlässigkeit von trugen Informationssysteme.

Grundprinzipien

Schlüssel Konzepte

Poster zur Förderung der Informationssicherheit durch den Russen Verteidigungsministerium

Die CIA -Triade der Vertraulichkeit, Integrität und Verfügbarkeit steht im Mittelpunkt der Informationssicherheit.[78] (Die Mitglieder der klassischen Infosec -Triade - Konfiguration, Integrität und Verfügbarkeit - werden in der Literatur austauschbar als Sicherheitsattribute, Eigenschaften, Sicherheitsziele, grundlegende Aspekte, Informationskriterien, kritische Informationsmerkmale und grundlegende Bausteine ​​bezeichnet.)[79] Die Debatte setzt sich jedoch fort, ob diese CIA -Triade ausreicht, um sich schnell verändernde Technologie- und Geschäftsanforderungen zu erfüllen, und die Empfehlungen, um die Kreuzungen zwischen Verfügbarkeit und Vertraulichkeit sowie die Beziehung zwischen Sicherheit und Privatsphäre zu erweitern.[23] Manchmal wurden andere Prinzipien wie "Rechenschaftspflicht" vorgeschlagen; Es wurde darauf hingewiesen, dass Probleme wie Nicht-Repudiation Passen Sie nicht gut in die drei Kernkonzepte.[80]

Die Triade scheint zum ersten Mal in a erwähnt worden zu sein NIST Veröffentlichung im Jahr 1977.[81]

1992 und überarbeitet im Jahr 2002 die OECD's Richtlinien für die Sicherheit von Informationssystemen und Netzwerken[82] schlug die neun allgemein anerkannten Prinzipien vor: Bewusstsein, Verantwortung, Reaktion, Ethik, Demokratie, Risikobewertung, Sicherheitsdesign und -umsetzung, Sicherheitsmanagement und Neubewertung.[83] Aufbau auf diesen, im Jahr 2004 die NIST's Engineering -Prinzipien für die Sicherheit der Informationstechnologie[80] Vorgeschlagene 33 Prinzipien. Aus jeder dieser abgeleiteten Richtlinien und Praktiken.

In 1998, Donn Parker schlug ein alternatives Modell für die klassische CIA -Triade vor, die er das nannte Sechs atomare Informationselemente. Die Elemente sind Vertraulichkeit, Besitz, Integrität, Authentizität, Verfügbarkeit, und Dienstprogramm. Die Verdienste der Parkerian Hexad sind Gegenstand von Debatten unter Sicherheitsfachleuten.[84]

In 2011, Die offene Gruppe veröffentlichte den Standard für Information Security Management Standard O-ISM3.[85] Dieser Standard schlug ein vor Arbeitsdefinition von den Schlüsselkonzepten der Sicherheitsbekämpfung mit Elementen, die als "Sicherheitsziele" bezogen werden, bezogen auf Zugangskontrolle (9), Verfügbarkeit (3), Datenqualität (1), Compliance und technisch (4). In 2009, Dod Softwareschutzinitiative Archiviert 2016-09-25 bei der Wayback -Maschine veröffentlichte die Drei Grundsätze der Cybersicherheit Archiviert 2020-05-10 am Wayback -Maschine die Systemanfälligkeit, Zugang zum Fehler und die Fähigkeit, den Fehler auszunutzen.[86][87][88] Keines dieser Modelle wird weit verbreitet.

Vertraulichkeit

In der Informationssicherheit ist Vertraulichkeit "das Eigentum, dass Informationen nicht zur Verfügung gestellt oder nicht autorisierten Personen, Unternehmen oder Prozessen offengelegt oder offengelegt werden."[89] Ähnlich wie "Privatsphäre" sind die beiden Wörter nicht austauschbar. Vertraulichkeit ist vielmehr ein Bestandteil der Privatsphäre, der zum Schutz unserer Daten vor nicht autorisierten Zuschauern implementiert wird.[90] Beispiele für die Vertraulichkeit elektronischer Daten, die beeinträchtigt werden, sind Laptop -Diebstahl, Kennwortdiebstahl oder sensible E -Mails an die falschen Personen.[91]

Integrität

In der IT -Sicherheit, Datenintegrität bedeutet, die Genauigkeit und Vollständigkeit von Daten über den gesamten Lebenszyklus aufrechtzuerhalten und zu sichern.[92] Dies bedeutet, dass Daten nicht autorisiert oder unentdeckt geändert werden können.[93] Dies ist nicht dasselbe wie Referenzintegrität in Datenbanken, obwohl es als Sonderfall der Konsistenz angesehen werden kann, wie im Klassiker verstanden SÄURE Modell von Transaktionsverarbeitung.[94] Informationssicherheitssysteme enthalten in der Regel Steuerelemente, um ihre eigene Integrität zu gewährleisten, insbesondere den Schutz des Kernels oder der Kernfunktionen vor absichtlichen und zufälligen Bedrohungen.[95] Computersysteme für Mehrzweck- und Mehrfachbenutzer zielen darauf ab, die Daten und die Verarbeitung zu unterteilen, so dass kein Benutzer oder Prozess einen anderen beeinflussen kann und Privatsphäre Verstöße.[96]

Im weiteren Sinne ist Integrität ein Prinzip der Informationssicherheit, das sowohl menschliche/soziale, prozess- und kommerzielle Integrität als auch Datenintegrität betrifft. Als solches berührt es Aspekte wie Glaubwürdigkeit, Konsistenz, Wahrhaftigkeit, Vollständigkeit, Genauigkeit, Aktualität und Sicherheit.[97]

Verfügbarkeit

Damit ein Informationssystem seinen Zweck erfüllt, müssen die Informationen sein verfügbar Wenn es benötigt wird.[98] Dies bedeutet, dass die Computersysteme zum Speichern und Verarbeiten der Informationen verwendet werden, die Sicherheitskontrollen Wird zum Schutz verwendet, und die Kommunikationskanäle, die zum Zugriff verwendet werden, müssen korrekt funktionieren.[99] Hohe Verfügbarkeit Die Systeme sollen jederzeit verfügbar bleiben und Servicestörungen aufgrund von Stromausfällen, Hardwarefehlern und Systemaufrüstungen verhindern.[100] Die Sicherstellung der Verfügbarkeit beinhaltet auch die Verhinderung Denial-of-Service-Angriffe, wie eine Flut eingehender Nachrichten an das Zielsystem, die es im Wesentlichen zum Abschalten zwingen.[101]

Im Bereich der Informationssicherheit kann die Verfügbarkeit häufig als einer der wichtigsten Teile eines erfolgreichen Information Sicherheitsprogramms angesehen werden. Letztendlich müssen Endbenutzer in der Lage sein, Jobfunktionen auszuführen. Durch die Gewährleistung der Verfügbarkeit kann eine Organisation die Standards, die die Stakeholder einer Organisation erwarten, ausführen.[102] Dies kann Themen wie Proxy -Konfigurationen, außerhalb des Webzugriffs, die Möglichkeit umfassen, auf freigegebene Laufwerke zuzugreifen und E -Mails zu senden.[103] Führungskräfte verstehen oft nicht die technische Seite der Informationssicherheit und betrachten die Verfügbarkeit als einfache Behebung. Dies erfordert jedoch häufig die Zusammenarbeit vieler verschiedener Organisationsteams wie Netzbetrieb, Entwicklungsvorgängen, Vorfälle und Richtlinien-/Änderungsmanagement.[104] Ein erfolgreiches Informationssicherheitsteam beinhaltet viele verschiedene Schlüsselrollen, um die CIA -Triade effektiv zu erfüllen und auszurichten.[105]

Nicht-Repudiation

Vor dem Gesetz, Nicht-Repudiation impliziert die Absicht, ihre Verpflichtungen zu einem Vertrag zu erfüllen. Dies impliziert auch, dass eine Partei einer Transaktion weder eine Transaktion erhalten hat, noch kann die andere Partei eine Transaktion verweigern.[106]

Es ist wichtig zu beachten, dass Technologie wie kryptografische Systeme zwar bei Nicht-Repudiation-Bemühungen beitragen kann, das Konzept jedoch in ihrem Kern ist, ein rechtliches Konzept, das den Bereich der Technologie überschreitet.[107] Es reicht beispielsweise nicht aus, zu zeigen, dass die Nachricht mit einer digitalen Signatur übereinstimmt, die mit dem privaten Schlüssel des Absenders signiert ist, und daher hätte nur der Absender die Nachricht senden können, und niemand hätte sie im Transport ändern können (Datenintegrität).[108] Der mutmaßliche Absender könnte im Gegenzug nachweisen, dass der digitale Signaturalgorithmus verletzlich oder fehlerhaft ist oder behauptet oder beweist, dass sein Unterzeichnungsschlüssel beeinträchtigt wurde.[109] Der Fehler für diese Verstöße kann beim Absender liegen oder nicht, und solche Behauptungen können den Absender von der Haftung entlasten oder nicht, aber die Behauptung würde die Behauptung ungültig machen, dass die Unterschrift notwendigerweise Authentizität und Integrität beweist. Daher kann der Absender die Nachricht zurückweisen (weil Authentizität und Integrität Voraussetzungen für die Nicht-Repudiation sind).[110]

Risikomanagement

Im Großen und Ganzen ist das Risiko die Wahrscheinlichkeit, dass etwas Schlimmes passieren wird, das einem Informationsvermögen (oder dem Verlust des Vermögenswerts) zu Schaden zugefügt wird.[111] Eine Schwachstelle ist eine Schwäche, die verwendet werden könnte, um einen Informationsvermögen zu gefährden oder Schaden zuzufügen. Eine Bedrohung ist alles (künstlich oder Akt der Natur) Das hat das Potenzial, Schaden zu verursachen.[112] Die Wahrscheinlichkeit, dass eine Bedrohung eine Anfälligkeit nutzt, schadet ein Risiko. Wenn eine Bedrohung eine Anfälligkeit nutzt, um Schaden zuzufügen, hat sie Auswirkungen.[113] Im Kontext der Informationssicherheit sind die Auswirkungen ein Verlust der Verfügbarkeit, Integrität und Vertraulichkeit sowie möglicherweise anderer Verluste (verlorenes Einkommen, Lebensverlust, Verlust von Immobilien).[114]

Das Wirtschaftsprüfer zertifizierter Informationssysteme (CISA) Überprüfungshandbuch 2006 Definiert Risikomanagement als "der Prozess der Identifizierung Schwachstellen und Bedrohungen zu den Informationsressourcen, die von einer Organisation zur Erreichung von Geschäftszielen verwendet und entscheiden, was Gegenmaßnahmen,[115] Wenn überhaupt, reduzieren Sie das Risiko auf ein akzeptables Niveau, basierend auf dem Wert der Informationsressource für die Organisation. "[116]

In dieser Definition gibt es zwei Dinge, die möglicherweise etwas Klarstellung benötigen. Zuerst die Prozess des Risikomanagements ist ein fortlaufender, iterativer Prozess. Es muss auf unbestimmte Zeit wiederholt werden. Das Geschäftsumfeld verändert sich ständig und neu Bedrohungen und Schwachstellen tauchen jeden Tag auf.[117] Zweitens die Wahl von Gegenmaßnahmen (Kontrollen) Zum Verwalten von Risiken muss ein Gleichgewicht zwischen Produktivität, Kosten, Wirksamkeit der Gegenmaßnahme und dem Wert des geschützten Informationsvermögens hergestellt werden.[118] Darüber hinaus haben diese Prozesse Einschränkungen, da Sicherheitsverletzungen im Allgemeinen selten sind und in einem bestimmten Kontext entstehen, der möglicherweise nicht leicht dupliziert wird.[119] Daher sollte jeder Prozess und jede Gegenmaßnahme selbst auf Schwachstellen bewertet werden.[120] Es ist nicht möglich, alle Risiken zu identifizieren, und es ist auch nicht möglich, alle Risiken zu beseitigen. Das verbleibende Risiko wird als "Restrisiko" bezeichnet.[121]"

A Risikoabschätzung wird von einem Team von Menschen durchgeführt, die Kenntnisse bestimmter Geschäftsbereiche haben.[122] Die Mitgliedschaft im Team kann im Laufe der Zeit variieren, da verschiedene Teile des Geschäfts bewertet werden.[123] Die Bewertung kann eine subjektive qualitative Analyse verwenden, die auf informierter Meinung basiert oder wenn zuverlässige Dollar -Zahlen und historische Informationen verfügbar sind, kann die Analyse verwendet werden quantitative Analyse.

Untersuchungen haben gezeigt, dass der am stärksten gefährdete Punkt in den meisten Informationssystemen der menschliche Nutzer, Operator, Designer oder andere Menschen ist.[124] Das ISO/IEC 27002: 2005 Praxiskodex für Informationssicherheitsmanagement Empfiehlt, dass die folgenden Untersuchungen während einer Risikobewertung untersucht werden:

Im Wesentlichen besteht der Risikomanagementprozess aus:[125][126]

  1. Identifizierung von Vermögenswerten und Schätzung ihres Wertes. Hören Sie: Personen, Gebäude, Hardware, Software, Daten (elektronisch, drucken, andere), Lieferungen.[127]
  2. Verhalten a Bedrohungsanalyse. Hören Sie: Naturhandlungen, Kriegshandlungen, Unfälle, böswillige Handlungen, die von innen oder außerhalb der Organisation stammen.[128]
  3. Verhalten a Schwachstellenanalyseund für jede Verwundbarkeit berechnen Sie die Wahrscheinlichkeit, dass sie ausgenutzt wird. Richtlinien, Verfahren, Standards, Schulungen, Richtlinien bewerten, Schulung, physische Sicherheit, Qualitätskontrolle, technische Sicherheit.[129]
  4. Berechnen Sie die Auswirkungen, die jede Bedrohung auf jedes Vermögenswert haben würde. Verwenden Sie qualitative Analyse oder quantitative Analyse.[130]
  5. Identifizieren, auswählen und implementieren Sie geeignete Steuerelemente. Eine proportionale Antwort geben. Berücksichtigen Sie Produktivität, Kosteneffektivität und Wert des Vermögenswerts.[131]
  6. Bewerten Sie die Wirksamkeit der Kontrollmaßnahmen. Stellen Sie sicher, dass die Kontrollen den erforderlichen kostengünstigen Schutz ohne erkennbare Produktivitätsverlust bieten.[132]

Für ein bestimmtes Risiko kann sich das Management dafür entscheiden, das Risiko zu akzeptieren, das auf dem relativ niedrigen Wert des Vermögenswerts, der relativen geringen Häufigkeit des Auftretens und der relativ geringen Auswirkungen auf das Unternehmen basiert.[133] Eine Führung kann sich dafür entscheiden, das Risiko zu mildern, indem geeignete Kontrollmaßnahmen ausgewählt und implementiert werden, um das Risiko zu verringern. In einigen Fällen kann das Risiko in ein anderes Unternehmen übertragen werden, indem Versicherungen abgeschlossen oder an ein anderes Unternehmen ausgelagert werden.[134] Die Realität einiger Risiken kann umstritten sein. In solchen Fällen kann die Führung das Risiko verweigern.[135]

Sicherheitskontrollen

Durch die Auswahl und Implementierung der ordnungsgemäßen Sicherheitskontrollen können eine Organisation zunächst das Risiko auf akzeptable Niveaus verringern.[136] Die Kontrollauswahl sollte folgen und auf der Risikobewertung basieren.[137] Kontrollen können in der Natur variieren, aber im Grunde sind sie Möglichkeiten, die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen zu schützen. ISO/IEC 27001 hat Kontrollen in verschiedenen Bereichen definiert.[138] Organisationen können zusätzliche Kontrollen gemäß den Anforderungen der Organisation umsetzen.[139] ISO/IEC 27002 Bietet eine Richtlinie für Organisationsinformationssicherheitsstandards.[140]

Administrativ

Verwaltungskontrollen (auch Verfahrenskontrollen genannt) bestehen aus genehmigten schriftlichen Richtlinien, Verfahren, Standards und Richtlinien. Verwaltungskontrollen bilden den Rahmen für die Führung des Geschäfts und die Verwaltung von Personen.[141] Sie informieren die Leute darüber, wie das Geschäft geführt werden soll und wie täglich der Betrieb durchgeführt werden soll. Gesetze und Vorschriften, die von Regierungsstellen geschaffen wurden, sind ebenfalls eine Art Verwaltungskontrolle, da sie das Geschäft informieren.[142] Einige Branchen haben Richtlinien, Verfahren, Standards und Richtlinien, die befolgt werden müssen - die Zahlungskartenbranche Datensicherheitsstandard[143] (PCI DSS) erforderlich durch Visa und MasterCard ist ein solches Beispiel. Weitere Beispiele für Verwaltungskontrollen sind die Unternehmenssicherheitsrichtlinie. Kennwortrichtlinie, Einstellungspolitik und Disziplinarpolitik.[144]

Verwaltungskontrollen bilden die Grundlage für die Auswahl und Implementierung logischer und physikalischer Kontrollen. Logische und physikalische Kontrollen sind Manifestationen von administrativen Kontrollen, die von größter Bedeutung sind.[141]

Logisch

Logische Steuerelemente (auch technische Steuerelemente genannt) verwenden Software und Daten, um den Zugriff auf Informationen zu überwachen und zu steuern. Computer Systeme. Passwörter, Netzwerk- und Host-basierte Firewalls, Netzwerk Intrusionserkennung Systeme, Zugriffskontrolllistenund Datenverschlüsselung sind Beispiele für logische Kontrollen.[145]

Eine wichtige logische Steuerung, die häufig übersehen wird, ist das Prinzip der geringsten Privilegien, bei dem ein Individuum, ein Programm oder ein Systemprozess nicht mehr Zugriffsberechtigungen gewährt werden, als für die Ausführung der Aufgabe erforderlich sind.[146] Ein offensichtliches Beispiel für das Versäumnis, sich an das Prinzip der geringsten Privilegien zu halten, ist die Anmeldung in Windows als Benutzeradministrator, um E -Mails zu lesen und im Web zu surfen. Verstöße gegen dieses Prinzip können auch auftreten, wenn eine Person im Laufe der Zeit zusätzliche Zugangsberechtigte sammelt.[147] Dies geschieht, wenn sich die Arbeitsaufgaben der Mitarbeiter ändern, Mitarbeiter in eine neue Position befördert oder Mitarbeiter in eine andere Abteilung übertragen werden.[148] Die von ihren neuen Aufgaben erforderlichen Zugangsberechtigten werden häufig zu ihren bereits vorhandenen Zugriffsberechtigten hinzugefügt, was möglicherweise nicht mehr erforderlich oder angemessen ist.[149]

Physisch

Physische Steuerelemente überwachen und kontrollieren die Umgebung des Arbeitsortes und der Computereinrichtungen.[150] Sie überwachen und steuern auch den Zugang zu und aus solchen Einrichtungen und umfassen Türen, Schlösser, Heizung und Klimaanlage, Rauch- und Brandalarme, Brandunterdrückungssysteme, Kameras, Barrikaden, Zäune, Sicherheitskräfte, Kabelschlösser usw. Die Trennung des Netzwerks und des Arbeitsplatzes In funktionelle Bereiche befinden sich auch physikalische Kontrollen.[151]

Eine wichtige physikalische Kontrolle, die häufig übersehen wird, ist die Trennung von Pflichten, die sicherstellt, dass eine Person eine kritische Aufgabe nicht selbst erledigen kann.[152] Beispielsweise sollte ein Mitarbeiter, der eine Erstattungsanfrage einreicht, auch nicht in der Lage sein, die Zahlung zu genehmigen oder den Scheck auszudrucken.[153] Ein Anwendungsprogrammierer sollte nicht auch der sein Serveradministrator oder der Datenbankadministrator; Diese Rollen und Verantwortlichkeiten müssen voneinander getrennt sein.[154]

Verteidigung in der Tiefe

Das Zwiebelmodell der Tiefe der Verteidigung

Informationssicherheit muss Informationen während ihrer gesamten Lebensdauer von der ersten Erstellung der Informationen bis zur endgültigen Verfügung der Informationen schützen.[155] Die Informationen müssen in Bewegung und in Ruhe geschützt werden. Während seiner Lebensdauer können Informationen viele verschiedene Informationsverarbeitungssysteme und viele verschiedene Teile von Informationsverarbeitungssystemen durchlaufen.[156] Es gibt viele verschiedene Möglichkeiten, wie die Informations- und Informationssysteme bedroht werden können. Um die Informationen während ihrer gesamten Lebensdauer vollständig zu schützen, muss jeder Komponente des Informationsverarbeitungssystems eigene Schutzmechanismen haben.[157] Das Aufbau, das Schichten und die Überlappung von Sicherheitsmaßnahmen wird als "Verteidigung eingehend" bezeichnet.[158] Im Gegensatz zu einer Metallkette, die nur so stark ist wie das schwächste Glied, zielt die Verteidigung der Tiefenstrategie auf eine Struktur ab, in der eine Verteidigungsmaßnahme ausfällt, und andere Maßnahmen werden weiterhin Schutz bieten.[159]

Erinnern Sie sich an die frühere Diskussion über administrative Kontrollen, logische Kontrollen und physische Kontrollen. Die drei Arten von Kontrollen können verwendet werden, um die Grundlage für die Aufstellung einer Verteidigung der Tiefenstrategie zu bilden.[141] Mit diesem Ansatz kann die Verteidigung der Tiefe als drei unterschiedliche Schichten oder Flugzeuge konzipiert werden, die übereinander gelegt werden.[160] Zusätzlicher Einblick in die Verteidigung in der Tiefe kann gewonnen werden, indem sie sich als die Bildung der Schichten einer Zwiebel, mit Daten im Kern der Zwiebel, den Menschen in der nächsten äußeren Außenschicht der Zwiebel und erwerben können Netzwerksicherheit, hostbasierte Sicherheit und Anwendungssicherheit die äußersten Schichten der Zwiebel bilden.[161] Beide Perspektiven sind gleichermaßen gültig, und jeder bietet wertvolle Einblicke in die Umsetzung einer guten Verteidigung der Tiefenstrategie.[162]

Einstufung

Ein wichtiger Aspekt der Informationssicherheit und des Risikomanagements ist es, den Wert von Informationen zu erkennen und geeignete Verfahren und Schutzanforderungen für die Informationen zu definieren.[163] Nicht alle Informationen sind gleich, und daher erfordern nicht alle Informationen den gleichen Schutzgrad.[164] Dies erfordert, dass Informationen zugewiesen werden a Sicherheitsklassifizierung.[165] Der erste Schritt in der Informationsklassifizierung besteht darin, ein Mitglied der Geschäftsleitung als Eigentümer der jeweiligen Informationen zu identifizieren. Entwickeln Sie als nächstes eine Klassifizierungsrichtlinie.[166] Die Richtlinie sollte die verschiedenen Klassifizierungsbezeichnungen beschreiben, die Kriterien für die Zuweisung eines bestimmten Etiketts definieren und die erforderlichen Auflistung auflisten Sicherheitskontrollen Für jede Klassifizierung.[167]

Einige Faktoren, die die Klassifizierungsinformationen beeinflussen, sind zugewiesen, wie viel Wert diese Informationen an die Organisation haben, wie alt die Informationen sind und ob die Informationen veraltet sind oder nicht.[168] Gesetze und andere behördliche Anforderungen sind ebenfalls wichtige Überlegungen bei der Klassifizierung von Informationen.[169] Das Informationssystem Audit- und Steuerungsverband (Isaca) und seine Geschäftsmodell für Informationssicherheit Außerdem dient es als Instrument für Sicherheitsfachleute, um die Sicherheit aus systembedingter Sicht zu untersuchen und eine Umgebung zu schaffen, in der Sicherheit ganzheitlich verwaltet werden kann, sodass tatsächliche Risiken angegangen werden können.[170]

Die Art der ausgewählten und verwendeten Klassifizierungsbezeichnungen zur Informationssicherheit hängt von der Art der Organisation ab, wobei Beispiele:[167]

  • Im Geschäftsbereich Bezeichnungen wie: öffentlich, sensibel, privat, vertraulich.
  • Im staatlichen Sektor sind Bezeichnungen wie: nicht klassifiziert, inoffiziell, geschützt, vertraulich, geheim, heimliches Geheimnis und ihre nicht englischen Äquivalente.[171]
  • In Kreuzsektorformationen die Ampelprotokoll, was besteht aus: Weiß, Grün, Bernstein und Rot.

Alle Mitarbeiter in der Organisation sowie Geschäftspartner müssen im Klassifizierungsschema geschult werden und die erforderlichen Sicherheitskontrollen und -handhabungsverfahren für jede Klassifizierung verstehen.[172] Die Klassifizierung eines bestimmten Informationsvermögens, der zugewiesen wurde, sollte regelmäßig überprüft werden, um sicherzustellen, dass die Klassifizierung weiterhin für die Informationen geeignet ist und sicherzustellen, dass die durch die Klassifizierung erforderlichen Sicherheitskontrollen vorhanden sind und in ihren rechten Verfahren eingehalten werden.[173]

Zugangskontrolle

Der Zugriff auf geschützte Informationen muss auf Personen beschränkt sein, die befugt sind, auf die Informationen zuzugreifen.[174] Die Computerprogramme und in vielen Fällen müssen auch die Computer, die die Informationen verarbeiten, genehmigt werden.[175] Dies erfordert, dass Mechanismen vorhanden sind, um den Zugriff auf geschützte Informationen zu steuern.[175] Die Raffinesse der Zugangskontrollmechanismen sollte mit dem Wert der geschützten Informationen in Parität sein. Je empfindlicher oder wertvoller die Informationen, desto stärker müssen die Kontrollmechanismen sein.[176] Die Grundlage, auf der Zugangskontrollmechanismen aufgebaut sind, beginnen mit der Identifizierung und Authentifizierung.[177]

Die Zugangskontrolle wird im Allgemeinen in drei Schritten berücksichtigt: Identifizierung, Authentifizierung, und Genehmigung.[178][91]

Identifikation

Identifizierung ist eine Behauptung darüber, wer jemand ist oder was etwas ist. Wenn eine Person die Erklärung abgibt "Hallo, mein Name ist John Doe"Sie behaupten, wer sie sind.[179] Ihre Behauptung kann jedoch wahr sein oder nicht. Bevor John Doe Zugang zu geschützten Informationen erhalten kann, muss die Person, die behauptet, John Doe zu sein, wirklich John Doe ist.[180] Normalerweise erfolgt die Behauptung in Form eines Benutzernamens. Wenn Sie diesen Benutzernamen eingeben, behaupten Sie "Ich bin die Person, zu der der Benutzername gehört".[181]

Authentifizierung

Die Authentifizierung ist der Akt der Überprüfung eines Identitätsanspruchs. Als John Doe in eine Bank geht, um einen Rückzug zu erzielen, erzählt er dem Bankangestellter Er ist John Doe, ein Anspruch auf Identität.[182] Der Bank -Kassierer bittet um einen Foto -Ausweis, also gibt er dem Kassierer seine über Führerschein.[183] Der Bankangestellte überprüft die Lizenz, um sicherzustellen, dass John Doe darauf gedruckt ist, und vergleicht das Foto auf der Lizenz mit der Person, die behauptet, John Doe zu sein.[184] Wenn das Foto und der Name mit der Person übereinstimmen, hat der Kassierer authentifiziert, dass John Doe, der er behauptet hat, zu sein. In ähnlicher Weise liefert der Benutzer durch die Eingabe des richtigen Passworts Beweise dafür, dass er die Person ist, zu der der Benutzername gehört.[185]

Es gibt drei verschiedene Arten von Informationen, die zur Authentifizierung verwendet werden können:[186][187]

Eine starke Authentifizierung erfordert die Bereitstellung von mehr als einer Art von Authentifizierungsinformationen (Zwei-Faktor-Authentifizierung).[193] Das Nutzername ist heute die häufigste Form der Identifizierung auf Computersystemen und das Kennwort ist die häufigste Form der Authentifizierung.[194] Benutzernamen und Passwörter haben ihren Zweck erfüllt, aber sie sind zunehmend unzureichend.[195] Benutzernamen und Passwörter werden langsam ersetzt oder ergänzt durch ausgefeiltere Authentifizierungsmechanismen wie z. Zeitbasierte einmalige Passwortalgorithmen.[196]

Genehmigung

Nachdem eine Person, ein Programm oder ein Computer erfolgreich identifiziert und authentifiziert wurden, muss festgelegt werden, auf welche Informationsressourcen sie zugreifen dürfen und auf welche Aktionen sie ausführen dürfen (ausführen, ausführen, erstellen, löschen oder ändern).[197] Das nennt man Genehmigung. Die Genehmigung zum Zugriff auf Informationen und andere Computerdienste beginnt mit Verwaltungsrichtlinien und -verfahren.[198] Die Richtlinien verschreiben vor, auf welche Informationen und Computerdienste zugreifen können, von wem und unter welchen Bedingungen. Die Zugangskontrollmechanismen werden dann konfiguriert, um diese Richtlinien durchzusetzen.[199] Verschiedene Computersysteme sind mit verschiedenen Arten von Zugangskontrollmechanismen ausgestattet. Einige bieten möglicherweise sogar eine Auswahl verschiedener Zugangskontrollmechanismen.[200] Der Zugangskontrollmechanismus, der ein System bietet, basiert auf einem von drei Ansätzen zur Zugangskontrolle oder kann aus einer Kombination der drei Ansätze abgeleitet werden.[91]

Der nicht diskretionäre Ansatz konsolidiert alle Zugangskontrolle unter einer zentralisierten Verwaltung.[201] Der Zugang zu Informationen und anderen Ressourcen basiert normalerweise auf der Einzelpersonenfunktion (Rolle) in der Organisation oder den Aufgaben, die der Einzelne ausführen muss.[202][203] Der diskretionäre Ansatz gibt dem Schöpfer oder Eigentümer der Informationsressource die Möglichkeit, den Zugriff auf diese Ressourcen zu steuern.[201] Im obligatorischen Zugangskontrollansatz wird der Zugriff gewährt oder verweigert das Basis der der Informationsressource zugewiesenen Sicherheitsklassifizierung.[174]

Beispiele für gemeinsame Zugriffskontrollmechanismen, die heute verwendet werden Rollenbasierte Zugriffskontrolle, in vielen erweiterten Datenbankverwaltungssystemen verfügbar; einfach Dateiberechtigungen in den UNIX- und Windows -Betriebssystemen bereitgestellt;[204] Gruppenrichtlinienobjekte in Windows Network Systems bereitgestellt; und Kerberos, RADIUS, Tacacsund die einfachen Zugriffslisten, die in vielen verwendet werden Firewalls und Router.[205]

Um effektiv zu sein, müssen Richtlinien und andere Sicherheitskontrollen durchsetzbar und bestätigt sein. Effektive Richtlinien stellen sicher, dass Menschen für ihre Handlungen zur Rechenschaft gezogen werden.[206] Das US-FinanzministeriumDie Richtlinien für die Systemverarbeitung sensibler oder proprietärer Informationen, z. B. gibt beispielsweise an, dass alle fehlgeschlagenen und erfolgreichen Authentifizierungs- und Zugriffsversuche protokolliert werden müssen, und alle Zugriff auf Informationen müssen irgendeine Art von Arten hinterlassen Buchungskontrolle.[207]

Außerdem muss das Bedürfnis zu wissen, dass das Prinzip in Kraft sein muss, wenn Sie über die Zugriffskontrolle sprechen. Dieses Prinzip gibt Zugriffsrechten für eine Person, um ihre Jobfunktionen auszuführen.[208] Dieses Prinzip wird in der Regierung im Umgang mit Differenzenträgern verwendet.[209] Obwohl zwei Mitarbeiter in verschiedenen Abteilungen a haben TOPSCHREISUNGENSie müssen die Notwendigkeit haben, zu wissen, damit Informationen ausgetauscht werden können. Im Rahmen des Bedarfs-Wissens-Prinzips gewähren Netzwerkadministratoren dem Mitarbeiter den geringsten Privileg, um die Mitarbeiter daran zu hindern, mehr zugreifen, als sie sollen.[210] Die Notwendigkeit, die Bedürfnisse zu kennen, hilft, die Vertraulichkeit und die Triade zur Verfügbarkeit zu durchsetzen. Die Notwendigkeit wirkt sich direkt auf den vertraulichen Bereich der Triade aus.[211]

Kryptographie

Informationssicherheit Verwendungszwecke Kryptographie verwendbare Informationen in ein Formular umzuwandeln, das es von anderen als einem autorisierten Benutzer unbrauchbar macht; Dieser Prozess wird genannt Verschlüsselung.[212] Informationen, die verschlüsselt (unbrauchbar gemacht) wurden, können von einem autorisierten Benutzer, der das besitzt kryptografischer Schlüsseldurch den Prozess der Entschlüsselung.[213] Die Kryptographie wird in der Informationssicherheit verwendet, um Informationen vor nicht autorisierter oder zufälliger Offenlegung zu schützen, während die Information ist im Transport (entweder elektronisch oder physisch) und während Informationen im Speicher sind.[91]

Die Kryptographie bietet Informationssicherheit auch andere nützliche Anwendungen, einschließlich verbesserter Authentifizierungsmethoden, Nachrichtenverdauungen, digitale Signaturen, Nicht-Repudiationund verschlüsselte Netzwerkkommunikation.[214] Ältere, weniger sichere Anwendungen wie z. Telnet und Dateitransferprotokoll (FTP) werden langsam durch sicherere Anwendungen wie z. Sichere Schale (SSH), die verschlüsselte Netzwerkkommunikation verwenden.[215] Die drahtlose Kommunikation kann mit Protokollen wie beispielsweise verschlüsselt werden WPA/WPA2 oder das älter (und weniger sicher) Wep. Kabelgebundene Kommunikation (wie z. Itu -t G.hn) werden mithilfe dessen gesichert AES für Verschlüsselung und X.1035 zur Authentifizierung und zum Schlüsselaustausch.[216] Softwareanwendungen wie z. Gnupg oder PGP Kann verwendet werden, um Datendateien und E -Mails zu verschlüsseln.[217]

Kryptographie kann Sicherheitsprobleme einführen, wenn sie nicht korrekt implementiert wird.[218] Kryptografische Lösungen müssen mithilfe von Branchenkompetenzlösungen implementiert werden, die durch unabhängige Experten in Kryptographie strengen Peer-Reviews unterzogen wurden.[219] Das Länge und Stärke des Verschlüsselungsschlüssels ist ebenfalls eine wichtige Überlegung.[220] Ein Schlüssel, das ist schwach Oder zu kurz erzeugt eine schwache Verschlüsselung.[220] Die für die Verschlüsselung und Entschlüsselung verwendeten Schlüssel müssen mit dem gleichen Grad an Strenge wie jeder anderen vertraulichen Informationen geschützt werden.[221] Sie müssen vor nicht autorisierter Offenlegung und Zerstörung geschützt werden und müssen bei Bedarf verfügbar sein.[222] Öffentliche Schlüsselinfrastruktur (PKI) -Lösungen behandeln viele der Probleme, die umgeben Schlüsselverwaltung.[91]

Verfahren

Die Begriffe "angemessene und umsichtige Person", "Sorgfalt"und" Due Diligence "werden seit vielen Jahren in den Bereichen Finanzen, Wertpapiere und Recht verwendet. In den letzten Jahren haben diese Begriffe ihren Weg in die Bereiche von Computer- und Informationssicherheit gefunden.[126] UNS. Bundesverurteilungsrichtlinien Ermöglichen Sie nun, Unternehmensbeauftragte für die Versäumnis, die Behandlung und Sorgfalt bei der Verwaltung ihrer Informationssysteme nicht auszuüben.[223]

In der Geschäftswelt haben Aktionäre, Kunden, Geschäftspartner und Regierungen die Erwartung, dass Unternehmensbeauftragte das Geschäft gemäß den anerkannten Geschäftspraktiken sowie den Einhaltung von Gesetzen und anderen behördlichen Anforderungen führen werden. Dies wird oft als "vernünftige und umsichtige Person" -Regel beschrieben. Eine umsichtige Person sorgt dafür, dass alles notwendig ist, um das Geschäft durch fundierte Geschäftsprinzipien und rechtliche, ethische Weise zu betreiben. Eine umsichtige Person ist auch fleißig (achtsam, aufmerksam, anhaltend) in ihrer gebührenden Betreuung des Geschäfts.

Im Bereich der Informationssicherheit, Harris[224] Bietet die folgenden Definitionen von gebührender Pflege und Due Diligence an:

"Genauige Sorgfalt sind Schritte, die zeigen, dass ein Unternehmen die Verantwortung für die Aktivitäten übernommen hat, die innerhalb des Unternehmens stattfinden, und die erforderlichen Schritte unternommen hat, um das Unternehmen, seine Ressourcen und die Mitarbeiter zu schützen[225]. " Und [Due Diligence sind die] "kontinuierliche Aktivitäten, die sicherstellen, dass die Schutzmechanismen kontinuierlich gewartet und betriebsbereit sind."[226]

Es sollte auf zwei wichtige Punkte in diesen Definitionen beachtet werden.[227][228] Zunächst werden in gebührender Sorgfalt Schritte unternommen, um zu zeigen; Dies bedeutet, dass die Schritte verifiziert, gemessen oder sogar greifbare Artefakte erzeugen können.[229][230] Zweitens gibt es in Due Diligence kontinuierliche Aktivitäten; Dies bedeutet, dass Menschen tatsächlich Dinge tun, um die Schutzmechanismen zu überwachen und aufrechtzuerhalten, und diese Aktivitäten sind noch nicht abgeschlossen.[231]

Organisationen haben die Verantwortung für die praktizierende Sorgfaltspflicht bei der Anwendung der Informationssicherheit. Die Pflichtrisikoanalysestandard (DOCRA)[232] Bietet Prinzipien und Praktiken zur Bewertung des Risikos.[233] Es berücksichtigt alle Parteien, die von diesen Risiken betroffen sein könnten.[234] DOCRA hilft bei der Bewertung von Schutzmaßnahmen, wenn sie andere vor Schaden schützen und gleichzeitig eine angemessene Belastung darstellen.[235] Mit erhöhten Rechtsstreitigkeiten mit Datenverletzungen müssen Unternehmen Sicherheitskontrollen, Compliance und ihre Mission in Einklang bringen.[236]

Sicherheit Governance

Das Software Engineering Institute bei Carnegie Mellon Universitätin einer Veröffentlichung mit dem Titel " GES -Implementierungshandbuch für Enterprise Security (GES)definiert Merkmale einer wirksamen Sicherheit Governance. Diese beinhalten:[237]

  • Ein unternehmungsweites Problem
  • Führungskräfte sind rechenschaftspflichtig
  • Als geschäftliche Anforderung angesehen
  • Risikobasierte
  • Rollen, Verantwortlichkeiten und Trennung von Pflichten definiert
  • In Richtlinien angesprochen und durchgesetzt
  • Angemessene Ressourcen begangen
  • Mitarbeiter bewusst und geschult
  • Eine Entwicklungslebenszyklusanforderung
  • Geplant, verwaltet, messbar und gemessen
  • Überprüft und geprüft

Vorfälle Antwortpläne

Ein Vorfallreaktionsplan (IRP) ist eine Gruppe von Richtlinien, die eine Organisationsreaktion auf einen Cyberangriff bestimmen. Sobald ein Sicherheitsverstoß ermittelt wurde, wurde der Plan eingeleitet.[238] Es ist wichtig zu beachten, dass es rechtliche Auswirkungen auf eine Datenverletzung geben kann. Es ist entscheidend, lokale und föderale Gesetze zu kennen.[239] Jeder Plan ist einzigartig für die Bedürfnisse der Organisation und kann Fähigkeiten einbeziehen, die nicht Teil eines IT -Teams sind.[240] Beispielsweise kann ein Anwalt in den Antwortplan aufgenommen werden, um die rechtlichen Auswirkungen auf eine Datenverletzung zu steuern.[241]

Wie oben erwähnt, ist jeder Plan einzigartig, aber die meisten Pläne werden Folgendes enthalten:[242]

Vorbereitung

Eine gute Vorbereitung umfasst die Entwicklung eines Vorfall -Reaktionsteams (IRT).[243] Die Fähigkeiten müssen von diesem Team verwendet werden, Penetrationstests, Computer -Forensik, Netzwerksicherheit usw.[244] Dieses Team sollte auch die Trends im Auge behalten Internet-Sicherheit und moderne Angriffsstrategien.[245] Ein Schulungsprogramm für Endbenutzer ist wichtig, und die meisten modernen Angriffsstrategien zielen auf Benutzer im Netzwerk ab.[242]

Identifikation

Dieser Teil des Vorfalls -Antwortplans identifiziert, ob es ein Sicherheitsereignis gab.[246] Wenn ein Endbenutzer Informationen oder ein Administrator unregelmäßig meldet, wird eine Untersuchung eingeleitet. Ein einfallendes Protokoll ist ein entscheidender Bestandteil dieses Schritts.[247] Alle Mitglieder des Teams sollten dieses Protokoll aktualisieren, um sicherzustellen, dass die Informationen so schnell wie möglich fließen.[248] Wenn festgestellt wurde, dass ein Sicherheitsverstoß aufgetreten ist, sollte der nächste Schritt aktiviert werden.[249]

Eindämmung

In dieser Phase isoliert das IRT die Bereiche, die der Verstoß stattfand, um den Umfang des Sicherheitsereignisses zu begrenzen.[250] In dieser Phase ist es wichtig, Informationen forensisch zu erhalten, damit sie später im Prozess analysiert werden kann.[251] Die Eindämmung kann so einfach sein wie physikalisch einen Serverraum oder so komplex wie die Segmentierung eines Netzwerks, um die Ausbreitung eines Virus nicht zuzulassen.[252]

Ausrottung

Hier wird die identifizierte Bedrohung aus den betroffenen Systemen entfernt.[253] Dies könnte das Löschen böswilliger Dateien, das Beenden von kompromittierten Konten oder das Löschen anderer Komponenten umfassen.[254][255] Einige Ereignisse erfordern diesen Schritt nicht. Es ist jedoch wichtig, das Ereignis vollständig zu verstehen, bevor sie zu diesem Schritt wechselt.[256] Dies wird dazu beitragen, dass die Bedrohung vollständig entfernt wird.[252]

Wiederherstellung

In dieser Phase werden die Systeme wieder in den ursprünglichen Betrieb wiederhergestellt.[257] Diese Phase kann die Wiederherstellung von Daten, die Änderung von Benutzerzugriffsinformationen oder die Aktualisierung von Firewall -Regeln oder -Richtlinien umfassen, um in Zukunft einen Verstoß zu verhindern.[258][259] Ohne diesen Schritt auszuführen, könnte das System immer noch anfällig für zukünftige Sicherheitsbedrohungen sein.[252]

gewonnene Erkenntnisse

In diesem Schritt wird Informationen, die während dieses Prozesses gesammelt wurden, verwendet, um zukünftige Entscheidungen über die Sicherheit zu treffen.[260] Dieser Schritt ist entscheidend dafür, dass zukünftige Ereignisse verhindert werden. Die Verwendung dieser Informationen zur weiteren Ausbildung von Administratoren ist entscheidend für den Prozess.[261] Dieser Schritt kann auch verwendet werden, um Informationen zu verarbeiten, die von anderen Unternehmen verteilt sind, die ein Sicherheitsereignis erlebt haben.[262]

Änderungsmanagement

Das Änderungsmanagement ist ein formeller Prozess, um Änderungen in die Informationsverarbeitungsumgebung zu lenken und zu kontrollieren.[263][264] Dies umfasst Änderungen an Desktop -Computern, Netzwerk, Servern und Software.[265] Ziel des Änderungsmanagements ist es, die Risiken zu verringern, die durch Änderungen in der Informationsverarbeitungsumgebung ausgestattet sind und die Stabilität und Zuverlässigkeit der Verarbeitungsumgebung nach vorgenommenen Änderungen verbessern.[266] Es ist nicht das Ziel des Änderungsmanagements, die erforderlichen Änderungen zu verhindern oder zu behindern.[267][268]

Jede Änderung der Informationsverarbeitungsumgebung führt zu einem Risikoelement.[269] Auch anscheinend einfache Veränderungen können unerwartete Auswirkungen haben.[270] Eine der vielen Aufgaben des Managements ist das Management des Risikos.[271][272] Change Management ist ein Instrument zur Verwaltung der Risiken, die durch Änderungen in der Informationsverarbeitungsumgebung eingeführt werden.[273] Ein Teil des Änderungsmanagementprozesses stellt sicher, dass Änderungen nicht zu unpassenden Zeiten implementiert werden, wenn sie kritische Geschäftsprozesse stören oder andere Änderungen beeinträchtigen.[274]

Nicht jede Änderung muss verwaltet werden.[275][276] Einige Arten von Änderungen sind Teil der alltäglichen Routine der Informationsverarbeitung und halten sich an ein vordefiniertes Verfahren ein, wodurch das Gesamtrisiko für die Verarbeitungsumgebung verringert wird.[277] Erstellen eines neuen Benutzerkontos oder Bereitstellung eines neuen Desktop -Computers sind Beispiele für Änderungen, die im Allgemeinen keine Änderungsverwaltung erfordern.[278] Die Verlagerung von Benutzerdateifreigaben oder das Upgrade des E -Mail -Servers stellt jedoch ein viel höheres Risiko für die Verarbeitungsumgebung dar und ist keine normale tägliche Aktivität.[279] Die kritischen ersten Schritte im Änderungsmanagement sind (a) Veränderung (und kommunizieren diese Definition) und (b) den Umfang des Änderungssystems.[280]

Das Änderungsmanagement wird in der Regel von einem Änderungsüberprüfungsausschuss überwacht, der aus Vertretern aus wichtigen Geschäftsbereichen besteht,[281] Sicherheit, Netzwerk, Systemadministratoren, Datenbankverwaltung, Anwendungsentwickler, Desktop -Support und Helpdesk.[282] Die Aufgaben des Änderungsüberprüfungsausschusses können durch die Verwendung der automatisierten Arbeitsflussanwendung erleichtert werden.[283] Die Verantwortung des Änderungsüberprüfungsausschusses besteht darin, sicherzustellen, dass die dokumentierten Änderungsmanagementverfahren der Organisation befolgt werden.[284] Der Änderungsmanagementprozess ist wie folgt[285]

  • Anfrage: Jeder kann eine Änderung anfordern.[286][287] Die Person, die die Änderungsanforderung stellt, kann dieselbe Person sein oder nicht, die die Analyse durchführt oder die Änderung implementiert.[288][289] Wenn ein Änderungsantrag empfangen wird, kann sie einer vorläufigen Überprüfung unterzogen werden, um festzustellen, ob die angeforderte Änderung mit den Organisationen kompatibel ist Geschäftsmodell und Praktiken und um die Anzahl der Ressourcen zu bestimmen, die zur Umsetzung der Änderung erforderlich sind.[290]
  • Genehmigen: Das Management führt das Geschäft aus und kontrolliert die Zuteilung von Ressourcen. Daher muss das Management Anforderungen an Änderungen genehmigen und für jede Änderung eine Priorität zuweisen.[291] Das Management könnte sich dafür entscheiden, eine Änderungsanforderung abzulehnen, wenn die Änderung nicht mit dem Geschäftsmodell, den Branchenstandards oder den Best Practices kompatibel ist.[292][293] Das Management kann sich auch dafür entscheiden, eine Änderungsanforderung abzulehnen, wenn die Änderung mehr Ressourcen erfordert, als für die Änderung zugewiesen werden kann.[294]
  • Planen: Die Planung einer Änderung beinhaltet die Entdeckung des Umfangs und der Auswirkungen der vorgeschlagenen Veränderung. Analyse der Komplexität der Veränderung; Zuteilung von Ressourcen und Entwicklung, Testen und Dokumentation sowohl der Implementierung als auch der Rückfahrpläne.[295] Müssen die Kriterien definieren, über die eine Entscheidung getroffen werden soll.[296]
  • Prüfen: Jede Änderung muss in einer sicheren Testumgebung getestet werden, die die tatsächliche Produktionsumgebung genau widerspiegelt, bevor die Änderung auf die Produktionsumgebung angewendet wird.[297] Der Backout -Plan muss ebenfalls getestet werden.[298]
  • Zeitlicher Ablauf: Ein Teil der Verantwortung des Änderungsüberprüfungsausschusses besteht darin, die Planung von Änderungen durch Überprüfung des vorgeschlagenen Umsetzungsdatums für potenzielle Konflikte mit anderen geplanten Änderungen oder kritischen Geschäftsaktivitäten zu unterstützen.[299]
  • Kommunizieren: Sobald eine Änderung geplant ist, muss sie kommuniziert werden.[300] Die Kommunikation soll anderen die Möglichkeit geben, das Änderungsüberprüfungsausschuss an andere Änderungen oder kritische Geschäftsaktivitäten zu erinnern, die bei der Planung der Änderung möglicherweise übersehen wurden.[301] Die Kommunikation dient auch dazu, den Helpdesk zu machen, und die Benutzer werden sich bewusst, dass eine Änderung vorhanden ist.[302] Eine weitere Verantwortung des Änderungsüberprüfungsausschusses besteht darin, sicherzustellen, dass geplante Änderungen denjenigen, die von der Änderung betroffen sind oder auf andere Weise ein Interesse an der Änderung haben, ordnungsgemäß mitgeteilt wurden.[303][304]
  • Implementieren: Zum festgelegten Datum und Uhrzeit müssen die Änderungen umgesetzt werden.[305][306] Ein Teil des Planungsprozesses bestand darin, einen Implementierungsplan, einen Testplan und einen Rückplan zu entwickeln.[307][308] Wenn die Implementierung der Änderung fehlschlagen sollte oder die Post -Implementierungstests fehlschlagen oder andere "Drop Dead" -Kriterien erfüllt wurden, sollte der Rückplan implementiert werden.[309]
  • Dokumentieren: Alle Änderungen müssen dokumentiert werden.[310][311] Die Dokumentation enthält die erste Änderungsanforderung, die Genehmigung, die ihm zugewiesene Priorität, die Implementierung,[312] Testen und Rückschläge, die Ergebnisse der Änderungsüberprüfungs -Kritik, das Datum/die Uhrzeit, die die Änderung implementiert wurde.[313] Wer es implementiert hat und ob die Änderung erfolgreich umgesetzt, gescheitert oder verschoben wurde.[314][315]
  • Post-Change-Bewertung: Das Änderungsüberprüfungsausschuss sollte eine Überprüfung der Änderungen nach der Implementierung durchführen.[316] Es ist besonders wichtig, fehlgeschlagen zu überprüfen und Änderungen auszuziehen. Das Überprüfungsausschuss sollte versuchen, die Probleme zu verstehen, die auftreten, und nach Verbesserungsbereichen zu suchen.[316]

Änderungsmanagementverfahren, die einfach zu befolgen sind und einfach zu bedienen sind, können die insgesamt erzeugten Gesamtrisiken erheblich verringern, wenn Änderungen an der Informationsverarbeitungsumgebung vorgenommen werden.[317] Gute Verfahren zur Veränderung des Wandels verbessern die Gesamtqualität und den Erfolg von Änderungen, die implementiert sind.[318] Dies wird durch Planung, Peer -Review, Dokumentation und Kommunikation erreicht.[319]

ISO/IEC 20000, Das sichtbare Ops -Handbuch: Implementierung von ITIL in 4 praktischen und praktischen Schritten[320] (Vollständige Buchzusammenfassung),[321] und Itil Alle bieten wertvolle Anleitungen zur Implementierung einer effizienten und effektiven Sicherheit des Änderungsmanagementprogramms.[322]

Geschäftskontinuität

Wirtschaftskontinuitätsmanagement (BCM) Bedenken Vereinbarungen, die darauf abzielen, die kritischen Geschäftsfunktionen eines Unternehmens vor Unterbrechungen aufgrund von Vorfällen zu schützen oder zumindest die Auswirkungen zu minimieren.[323][324] BCM ist für jede Organisation von wesentlicher Bedeutung, um Technologie und Geschäft mit den aktuellen Bedrohungen für die Fortsetzung des Geschäfts wie gewohnt zu halten.[325] Das BCM sollte in eine Organisation aufgenommen werden Risikoanalyse Planen Sie sicherzustellen, dass alle erforderlichen Geschäftsfunktionen das, was sie benötigen, um im Falle einer Bedrohung für jede Geschäftsfunktion weiterzumachen.[326]

Es umfasst:

  • Analyse der Anforderungen, z. B. Identifizierung kritischer Geschäftsfunktionen, Abhängigkeiten und potenziellen Misserfolgspunkte, potenziellen Bedrohungen und damit Vorfällen oder Besorgnisrisiken für die Organisation;[327][328]
  • Spezifikation, z. B. maximale tolerierbare Ausfallperioden; Erholungspunktziele (maximal akzeptable Zeiträume des Datenverlusts);[329]
  • Architektur und Design, z. B. eine geeignete Kombination von Ansätzen, einschließlich Belastbarkeit (z. B. technische IT -Systeme und -prozesse für die hohe Verfügbarkeit,[330] Vermeidung oder Verhinderung von Situationen, die das Geschäft unterbrechen können), Vorfälle und Notfallmanagement (z. B. Evakuierung von Räumlichkeiten, Rufen der Notdienste, Triage/Situation[331] Bewertung und Aufrufen von Wiederherstellungsplänen), Wiederherstellung (z. B. Wiederaufbau) und Notfallmanagement (generische Fähigkeiten, um sich positiv mit dem zu tun, was mit den verfügbaren Ressourcen auftritt);[332]
  • Implementierung, z. B. Konfigurieren und Planung von Backups, Datenübertragungen usw., kritische Elemente duplizieren und stärken; Vertrag mit Service- und Ausrüstungslieferanten;
  • Testen, z. B. Geschäftskontinuitätsübungen verschiedener Arten, Kosten und Sicherheit;[333]
  • Management, z. B. Strategien definieren, Ziele und Ziele festlegen; Planung und Regie der Arbeit; Zuweisung von Mitteln, Menschen und anderen Ressourcen; Priorisierung im Vergleich zu anderen Aktivitäten; Teambildung, Führung, Kontrolle, Motivation und Koordination mit anderen Geschäftsfunktionen und Aktivitäten[334] (z. B. IT, Einrichtungen, Humanressourcen, Risikomanagement, Informationsrisiko und Sicherheit, Operationen); Überwachung der Situation, Überprüfung und Aktualisierung der Arrangements, wenn sich die Dinge ändern; Auszug des Ansatzes durch kontinuierliche Verbesserung, Lernen und angemessene Investitionen;
  • Zuverlässigkeit, z. B. Tests gegen bestimmte Anforderungen; Messung, Analyse und Berichterstattung wichtige Parameter; Durchführung zusätzlicher Tests, Bewertungen und Audits, um mehr Vertrauen zu erhalten, dass die Vereinbarungen für den Plan erfolgen, wenn er aufgerufen wird.[335]

Während BCM einen umfassenden Ansatz zur Minimierung von katastrophenbedingten Risiken verfolgt, indem sowohl die Wahrscheinlichkeit als auch die Schwere der Vorfälle reduziert werden, a Katastrophenerholungsplan (DRP) konzentriert sich speziell auf die Wiederaufnahme der Geschäftsabläufe nach einer Katastrophe.[336] Ein Katastrophenwiederherstellungsplan, der kurz nach einer Katastrophe aufgerufen wird Informations-und Kommunikationstechnologie (IKT) Infrastruktur.[337] Die Planung der Disaster Recovery umfasst die Einrichtung einer Planungsgruppe, die Durchführung der Risikobewertung, die Festlegung von Prioritäten, die Entwicklung von Wiederherstellungsstrategien, die Vorbereitung von Beständen und die Dokumentation des Plans, die Entwicklung von Überprüfungskriterien und -verfahren und letztendlich die Umsetzung des Plans.[338]

Gesetze und Richtlinien

Privacy International 2007 Datenschutzranking
Grün: Schutz und Schutzmaßnahmen
Rot: Endemische Überwachungsgesellschaften

Im Folgenden finden Sie eine teilweise Auflistung der staatlichen Gesetze und Vorschriften in verschiedenen Teilen der Welt, die einen erheblichen Effekt auf die Datenverarbeitung und Informationssicherheit hatten oder haben.[339][340] Es wurden auch wichtige Vorschriften des Branchensektors aufgenommen, wenn sie erhebliche Auswirkungen auf die Informationssicherheit haben.[339]

  • Das Vereinigte Königreich Datenschutzgesetz 1998 Erstellt neue Bestimmungen für die Regulierung der Verarbeitung von Informationen in Bezug auf Einzelpersonen, einschließlich der Erlangung, Haltung, Verwendung oder Offenlegung solcher Informationen.[341][342] Die Datenschutzrichtlinie der Europäischen Union (EUDPD) verlangt, dass alle E.U. Mitglieder nehmen nationale Vorschriften an, um den Schutz von zu standardisieren Datenprivatsphäre Für Bürger in der gesamten E.U.[343][344]
  • Das Computermissbrauchsgesetz 1990 ist ein Akt der UK Parlament Computerkriminalität (z. B. Hacking) zu einer Straftat machen.[345] Das Gesetz ist zu einem Modell geworden, auf dem mehrere andere Länder,[346] einschließlich Kanada und die Irische Republik, haben inspiriert, wenn sie anschließend ihre eigenen Gesetze zur Informationssicherheit entwerfen.[347][348]
  • Die E.U.'s Datenbindungsrichtlinie (Annulled) Erforderte Internetdienstanbieter und Telefonunternehmen, Daten zu jeder gesendeten elektronischen Nachricht und Telefonanruf für sechs Monate und zwei Jahre zu führen.[349]
  • Das Familienbildungsrechte und Datenschutzgesetze (Ferpa) (20 U.S.C. § 1232 g; 34 CFR Teil 99) ist ein US -Bundesgesetz, das die Privatsphäre der Aufzeichnungen über die Bildung von Studenten schützt.[350] Das Gesetz gilt für alle Schulen, die Mittel im Rahmen eines anwendbaren Programms der erhalten US -Bildungsministerium.[351] Im Allgemeinen müssen die Schulen die Erlaubnis des Elternteils oder der berechtigten Schüler schriftlich haben[351][352] Um Informationen aus dem Bildungsaufzeichnung eines Schülers zu veröffentlichen.[353]
  • Das Federal Financial Institutions PrüfungsratDie Sicherheitsrichtlinien für Wirtschaftsprüfer (FFIEC) sind Anforderungen für das Online -Banking -Sicherheit an.[354]
  • Das Gesundheitsversicherung und Rechenschaftspflichtgesetz (HIPAA) von 1996 erfordert die Einführung nationaler Standards für elektronische Gesundheitstransaktionen und nationale Identifikatoren für Anbieter, Krankenversicherungspläne und Arbeitgeber.[355] Darüber hinaus müssen Gesundheitsdienstleister, Versicherer und Arbeitgeber die Sicherheit und Privatsphäre von Gesundheitsdaten schützen.[356]
  • Das Gramm -Leach -Bliley -Akt von 1999 (GLBA), auch als Financial Services Modernization Act von 1999 bekannt, schützt die Privatsphäre und Sicherheit privater Finanzinformationen, die Finanzinstitute sammeln, halten und verarbeiten.[357]
  • Abschnitt 404 der Sarbanes -Oxley Act von 2002 (SOX) Fordert börsennotierte Unternehmen die Effektivität ihrer internen Kontrollen für die Finanzberichterstattung in Jahresberichten, die sie zum Ende jedes Geschäftsjahres einreichen.[358] Chief Information Officers sind für die Sicherheit, Genauigkeit und die Zuverlässigkeit der Systeme verantwortlich, die die Finanzdaten verwalten und melden.[359] Das Gesetz verpflichtet auch börsennotierte Unternehmen, sich mit unabhängigen Wirtschaftsprüfern zu beschäftigen, die die Gültigkeit ihrer Bewertungen bestätigen und darüber berichten müssen.[360]
  • Das Zahlungskartenindustrie Datensicherheitsstandard (PCI DSS) Erstellt umfassende Anforderungen für die Verbesserung der Sicherheit des Zahlungskontos.[361] Es wurde von den Gründungszahlungsmarken des PCI Security Standards Council entwickelt - einschließlich American Express, Finanzdienstleistungen entdecken, JCB, MasterCard weltweit,[362] und Visa International - Erleichterung der umfassenden Einführung konsistenter Datensicherheit misstrauen auf globaler Basis.[363] Das PCI DSS ist ein vielfältiger Sicherheitsstandard, der Anforderungen für Sicherheitsmanagement, Richtlinien, Verfahren und umfasst Netzwerkarchitektur, Softwaredesign und andere kritische Schutzmaßnahmen.[364]
  • Bundesland Benachrichtigungsgesetze für Sicherheitsverletzungen (Kalifornien und viele andere) verlangen Unternehmen, gemeinnützige Organisationen und staatliche Institutionen, Verbraucher zu benachrichtigen, wenn unverschlüsselte "persönliche Daten" möglicherweise beeinträchtigt, verloren oder gestohlen wurden.[365]
  • Das Gesetz über persönliche Informationen und Elektronik -Dokumenten (Dokument (ElektronikPIPEDA) von Kanada unterstützt und fördert den elektronischen Handel, indem personenbezogene Daten geschützt, die unter bestimmten Umständen gesammelt, verwendet oder offengelegt werden.[366][367] Durch Bereitstellung der Verwendung elektronischer Mittel zur Kommunikation oder Aufzeichnung von Informationen oder Transaktionen und durch Änderung des Canada Evidence Act, das Gesetz über gesetzliche Instrumente und das Gesetz über die Gesetz über Revision.[368][369][370]
  • Griechenlands hellenische Behörde für Kommunikationssicherheit und Privatsphäre (ADAE) (Gesetz 165/2011) legt die Mindestkontrollen für Informationssicherheit fest, die von jedem Unternehmen eingesetzt werden sollten, das elektronische Kommunikationsnetzwerke und/oder Dienstleistungen in Griechenland anbietet, um die Vertraulichkeit der Kunden zu schützen .[371] Dazu gehören sowohl Management- als auch technische Kontrollen (z. B. sollten Protokolldatensätze für zwei Jahre gespeichert werden).[372]
  • Griechenlands hellenische Behörde für Kommunikationssicherheit und Datenschutz (ADAE) (Gesetz 205/2013) konzentriert sich auf den Schutz der Integrität und Verfügbarkeit der von griechischen Telekommunikationsunternehmen angebotenen Dienste und Daten.[373] Das Gesetz zwingt diese und andere verwandte Unternehmen, geeignete Geschäftskontinuitätspläne und redundante Infrastrukturen aufzubauen, einzusetzen und zu testen.[374]

Kultur

Die Informationssicherheitskultur ist die Ideen, Bräuche und soziale Verhaltensweisen einer Organisation, die die Informationssicherheit auf positive und negative Weise beeinflusst, mehr als nur, wie sich die Kultur der Informationssicherheit bewusst ist.[375] Kulturelle Konzepte können unterschiedlichen Segmenten der Organisation effektiv arbeiten oder gegen die Wirksamkeit der Informationssicherheit innerhalb einer Organisation arbeiten. Die Art und Weise, wie Mitarbeiter über Sicherheit und die von ihnen ergriffenen Maßnahmen denken und fühlen können einen großen Einfluss auf die Informationssicherheit in Organisationen haben. Roer & Petric (2017) identifizieren sieben Kerndimensionen der Informationssicherheitskultur in Organisationen:[376]

  • Einstellungen: Gefühle und Emotionen der Mitarbeiter zu den verschiedenen Aktivitäten, die sich auf die organisatorische Informationssicherheit beziehen.[377]
  • Verhaltensweisen: Tatsächliche oder beabsichtigte Aktivitäten und Risikobereitungen von Mitarbeitern, die direkte oder indirekte Auswirkungen auf die Informationssicherheit haben.
  • Wahrnehmung: Bewusstsein der Mitarbeiter, überprüfbares Wissen und Überzeugungen in Bezug auf Praktiken, Aktivitäten und Selbstwirksamkeit Beziehung, die sich auf die Informationssicherheit beziehen.
  • Kommunikation: Wie Mitarbeiter miteinander kommunizieren, Zugehörigkeitsgefühl, Unterstützung für Sicherheitsprobleme und Vorfälle berichten.
  • Compliance: Einhaltung der organisatorischen Sicherheitspolitik, Bewusstsein für die Existenz solcher Richtlinien und die Fähigkeit, die Substanz solcher Richtlinien zu erinnern.
  • Normen: Wahrnehmung von Sicherheitsbezogener organisatorisches Verhalten und Praktiken, die von Mitarbeitern und ihren Kollegen, z. Versteckte Erwartungen in Bezug auf Sicherheitsverhalten und ungeschriebene Regeln zur Verwendung von Informationskommunikationstechnologien.
  • Verantwortlichkeiten: Verständnis der Mitarbeiter für die Rollen und Verantwortlichkeiten, die sie als entscheidender Faktor für die Aufrechterhaltung oder gefährdeter Informationssicherheit und damit die Organisation haben.

Andersson und Reimers (2014) stellten fest, dass Mitarbeiter sich oft nicht als Teil der "Aufwand" der Organisation Information Security "sehen und häufig Maßnahmen ergreifen, die die Interessen der Organisationsinformationen ignorieren.[378] Die Forschung zeigt, dass die Kultur der Informationssicherheit kontinuierlich verbessert werden muss. Im Informationssicherheitskultur von der Analyse zu VeränderungenDie Autoren kommentierten: "Es handelt sich um einen nie Endprozess, ein Zyklus der Bewertung und Änderung oder Wartung." Um die Informationssicherheitskultur zu verwalten, sollten fünf Schritte unternommen werden: Vorbewertung, strategische Planung, Operationsplanung, Implementierung und Nachbewertung.[379]

  • Vorbewertung: Ermittlung des Bewusstseins für die Informationssicherheit innerhalb der Mitarbeiter und die Analyse der aktuellen Sicherheitsrichtlinien
  • Strategische Planung: Um ein besseres Bewusstseinsprogramm zu erreichen, müssen wir klare Ziele festlegen. Menschen zu gruppieren ist hilfreich, um es zu erreichen
  • Operative Planung: Erstellen Sie eine gute Sicherheitskultur, die auf interner Kommunikation, Management-Buy-In, Sicherheitsbewusstsein und Schulungsprogrammen basiert
  • Implementierung: Sollte das Engagement des Managements, die Kommunikation mit Organisationsmitgliedern, Kurse für alle Organisationsmitglieder und das Engagement der Mitarbeiter vorliegen[379]
  • Nachbewertung: Um die Wirksamkeit der früheren Schritte besser einzuschätzen und auf kontinuierlicher Verbesserung aufzubauen

Standards für Standards

Das Internationale Standardisierungsorganisation (ISO) ist eine internationale Standardorganisation, die als Konsortium der nationalen Standardinstitutionen aus 167 Ländern organisiert ist und durch ein Sekretariat in Genf, Schweiz, koordiniert wird. ISO ist der weltweit größte Entwickler internationaler Standards. Das Internationale Elektrotechnische Kommission (IEC) ist eine internationale Standardorganisation, die sich mit Electrotechnologie befasst und eng mit ISO zusammenarbeitet. ISO/IEC 15443: "Informationstechnologie - Sicherheitstechniken - Ein Rahmen für die IT -Sicherheitssicherung", ISO/IEC 27002: "Informationstechnologie - Sicherheitstechniken - Praxiskodex für Informationssicherheitsmanagement", ISO/IEC 20000: "Informationstechnologie - Service Management" und ISO/IEC 27001: "Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen" sind für Informationssicherheitsfachleute von besonderem Interesse.

Die USA Nationales Institut für Standards und Technologie (NIST) ist eine nicht regulatorische Bundesbehörde innerhalb der US -Handelsministerium. Die NIST Computer Security Division entwickelt Standards, Metriken, Tests und Validierungsprogramme sowie Standards und Richtlinien zur Erhöhung der sicheren IT -Planung, -verwaltung, -verwaltung und -betrieb. NIST ist auch der Verwalter der USA Bundesverarbeitungsstandard für Informationsverarbeitung Veröffentlichungen (FIPS).

Die Internet Society ist eine professionelle Mitgliedergesellschaft mit mehr als 100 Organisationen und über 20.000 Einzelmitgliedern in über 180 Ländern. Es bietet Führungsqualitäten bei der Beantwortung von Fragen, die sich der Zukunft des Internets konfrontieren, und es ist das Organisationshaus für die Gruppen, die für Internet -Infrastrukturstandards verantwortlich sind, einschließlich der Internettechnik-Arbeitsgruppe (Ietf) und die Internet Architecture Board (IAB). Die ISOC hostet die Anfragen nach Kommentaren (RFCs), die die offiziellen Internet-Protokollstandards und die RFC-2196 enthalten Website -Sicherheitshandbuch.

Das Informationssicherheitsforum (ISF) ist eine globale gemeinnützige Organisation von mehreren hundert führenden Organisationen in Finanzdienstleistungen, Fertigung, Telekommunikation, Konsumgütern, Regierung und anderen Bereichen. Es führt Forschungen zu Informationssicherheitspraktiken durch und bietet Beratung in seinem halbjährlichen Standard der guten Praxis und detailliertere Ratschläge für Mitglieder.

Das Fachleute des Instituts für Informationssicherheit (IISP) ist eine unabhängige, gemeinnützige Organisation, die seinen Mitgliedern regiert, mit dem Hauptziel, die Professionalität der Informationssicherheitspraktiker und damit die Professionalität der gesamten Branche voranzutreiben. Das Institut entwickelte den IISP -Skills -Framework. Dieser Rahmen beschreibt das Angebot der Kompetenzen, die von Informationssicherheit und Fachleuten für Informationssicherheit bei der effektiven Leistung ihrer Rollen erwartet werden. Es wurde durch Zusammenarbeit zwischen Organisationen des privaten und öffentlichen Sektors, weltbekannten Akademikern und Sicherheitsleitern entwickelt.[380]

Das Deutsch Bundesamt zur Informationssicherheit (auf Deutsch Bundesamt für Sicherheit in der InformationStechnik (BSI)) BSI-Standards 100–1 bis 100-4 sind eine Reihe von Empfehlungen, darunter "Methoden, Prozesse, Verfahren, Ansätze und Maßnahmen zur Informationssicherheit".[381] Der BSI-Standard 100-2 IT-Grundschutz-Methodik Beschreibt, wie Informationssicherheitsmanagement implementiert und betrieben werden kann. Der Standard umfasst eine sehr spezifische Anleitung, die IT-Basisschutzkataloge (auch als IT-Grundschutz-Kataloge bezeichnet). Vor 2005 waren die Kataloge früher als "bekannt"Es Basisschutz Handbuch ". Die Kataloge sind eine Sammlung von Dokumenten, die zur Erkennung und Bekämpfung von Sicherheitsrelevanten in der IT-Umgebung (IT-Cluster) nützlich sind. Die Sammlung umfasst ab September 2013 über 4.400 Seiten mit Einführung und Katalogen. ist mit der ISO/IEC 2700X -Familie ausgerichtet.

Das Europäische Telekommunikationsstandards Institut standardisiert einen Katalog von Informationssicherheitsindikatoren, geleitet von der Industrial Specification Group (ISG) ISI.

Siehe auch

Verweise

  1. ^ Joshi, Chanchala; Singh, Umesh Kumar (August 2017). "Informationssicherheitsrisikomanagement -Framework - Ein Schritt zur mildernden Sicherheitsrisiken im Universitätsnetzwerk". Journal of Information Security und Anwendungen. 35: 128–137. doi:10.1016/j.jisa.2017.06.006. ISSN 2214-2126.
  2. ^ Fletcher, Martin (14. Dezember 2016). "Eine Einführung in das Informationsrisiko". Das Nationalarchive. Abgerufen 23. Februar 2022.
  3. ^ "SANS -Institut: Informationssicherheitsressourcen". www.sans.org. Abgerufen 2020-10-31.
  4. ^ Daniel, Kent D.; Titman, Sheridan (2001). "Marktreaktionen auf materielle und immaterielle Informationen". SSRN Electronic Journal. doi:10.2139/ssrn.274204. ISSN 1556-5068. S2CID 154366253.
  5. ^ Fink, Kerstin (2004). Wissenspotentialmessung und Unsicherheit. Deutscher Universitätsverlag. ISBN 978-3-322-81240-7. OCLC 851734708.
  6. ^ Keyser, Tobias (2018-04-19), "Sicherheitsrichtlinie", Das Information Governance Toolkit, CRC Press, S. 57–62, doi:10.1201/9781315385488-13, ISBN 978-1-315-38548-8, abgerufen 2021-05-28
  7. ^ Danzig, Richard (1995-06-01). "Die großen drei: Unsere größten Sicherheitsrisiken und wie man sie anspricht". Fort Belvoir, VA. Archiviert Aus dem Original am 19. Januar 2022. Abgerufen 18. Januar 2022.
  8. ^ Lyu, M. R.; Lau, L.K.Y. (2000). "Firewall -Sicherheit: Richtlinien, Test- und Leistungsbewertung". Proceedings 24. jährliche internationale Computersoftware- und Anwendungskonferenz. Compsac2000. IEEE Comput. SOC: 116–121. doi:10.1109/cmpsac.2000.884700. ISBN 0-7695-0792-1. S2CID 11202223.
  9. ^ "Wie der Mangel an Datenstandardisierung die datengesteuerte Gesundheitsversorgung beeinträchtigt", Datenorientiertes Gesundheitswesen, Hoboken, NJ, USA: John Wiley & Sons, Inc., p. 29, 2015-10-17, doi:10.1002/9781119205012.Ch3, ISBN 978-1-119-20501-2, abgerufen 2021-05-28
  10. ^ Fastenzeit, Tom; Walsh, Bill (2009), "Grüne Gebäudestandards für umfassende kontinuierliche Verbesserungen überdenken", Gemeinsamkeiten, Konsensaufbau und kontinuierliche Verbesserung: internationale Standards und nachhaltiges Gebäude, West Conshohocken, PA: ASTM International, S. 1–1–10, doi:10.1520/stp47516s, ISBN 978-0-8031-4507-8, abgerufen 2021-05-28
  11. ^ a b Cherdantseva Y. und Hilton J.: "Informationssicherheit und Informationssicherung. Die Diskussion über die Bedeutung, den Umfang und die Ziele". Im: Organisations-, Rechts- und technologische Dimensionen des Informationssystemadministrators. Almeida F., Portela, I. (Hrsg.). IGI Global Publishing. (2013)
  12. ^ ISO/IEC 27000: 2009 (E). (2009). Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Überblick und Wortschatz. ISO/IEC.
  13. ^ Ausschuss für nationale Sicherheitssysteme: National Information Assurance (IA) Glossar, CNSS -Anweisung Nr. 4009, 26. April 2010.
  14. ^ Isaca. (2008). Glossar der Begriffe, 2008. abgerufen von http://www.isaca.org/knowledge-center/documents/glosary/glosary.pdf
  15. ^ Pipkin, D. (2000). Informationssicherheit: Schutz des globalen Unternehmens. New York: Hewlett-Packard Company.
  16. ^ B., McDermott, E. & Geer, D. (2001). Informationssicherheit ist Informationsrisikomanagement. In Proceedings of the 2001 Workshop zu neuen Sicherheitsparadigmen NSPW ‘01 (S. 97 - 104). ACM. doi:10.1145/508171.508187
  17. ^ Anderson, J. M. (2003). "Warum wir eine neue Definition der Informationssicherheit brauchen". Computer & Sicherheit. 22 (4): 308–313. doi:10.1016/s0167-4048 (03) 00407-3.
  18. ^ Venter, H. S.; Eloff, J. H. P. (2003). "Eine Taxonomie für Informationssicherheitstechnologien". Computer & Sicherheit. 22 (4): 299–307. doi:10.1016/s0167-4048 (03) 00406-1.
  19. ^ Gold, S (Dezember 2004). "Bedrohungen, die über den Umfang hinausgehen". Technischer Bericht über Informationssicherheit. 9 (4): 12–14. doi:10.1016/s1363-4127 (04) 00047-0. ISSN 1363-4127.
  20. ^ Parker, Donn B. (Januar 1993). "Eine umfassende Liste der Bedrohungen für Informationen". Sicherheit von Informationssystemen. 2 (2): 10–14. doi:10.1080/19393559308551348. ISSN 1065-898x.
  21. ^ Sullivant, John (2016), "Die sich entwickelnde Bedrohungsumgebung", Aufbau einer Unternehmenskultur der SicherheitElsevier, S. 33–50, doi:10.1016/b978-0-12-802019-7.00004-3, ISBN 978-0-12-802019-7, abgerufen 2021-05-28
  22. ^ Бчик, с. С; Юдін, о. К.; Нетребко, р. В. (2016-12-21). "Die Analyse von Methoden zur Bestimmung der funktionalen Sicherheitsarten des Informations-Telekommunikationssystems von einem nicht autorisierten Zugriff". Probleme der Informatisierung und des Managements. 4 (56). doi:10.18372/2073-4751.4.13135. ISSN 2073-4751.
  23. ^ a b Samonas, S.; Coss, D. (2014). "Die CIA schlägt zurück: Neudefinition von Vertraulichkeit, Integrität und Verfügbarkeit in der Sicherheit". Sicherheit Journal of Information Systems. 10 (3): 21–45. Archiviert von das Original Am 2018-09-22. Abgerufen 2018-01-25.
  24. ^ "Gartner sagt, dass digitale Disruptoren alle Branchen beeinflussen; digitale KPIs sind entscheidend für die Messung des Erfolgs". Gärtner. 2. Oktober 2017. Abgerufen 25. Januar 2018.
  25. ^ "Die Gartner -Umfrage zeigt, dass 42 Prozent der CEOs die digitale Geschäftstransformation begonnen haben.". Gärtner. 24. April 2017. Abgerufen 25. Januar 2018.
  26. ^ Forte, Dario; Power, Richard (Dezember 2007). "Basiskontrollen in einigen wichtigen, aber oft übersehenen Bereichen Ihres Informationsprogramms". Computerbetrug und Sicherheit. 2007 (12): 17–20. doi:10.1016/s1361-3723 (07) 70170-7. ISSN 1361-3723.
  27. ^ Niedrigspannungsschalter und Steuereinar. Geräteprofile für vernetzte Industriegeräte, BSI Britische Standards, doi:10.3403/bsen61915, abgerufen 2021-05-28
  28. ^ Fetzer, James; Hochfüllung, Tina; Hossiso, Kassu; Howells, Thomas; Strassner, Erich; Young, Jeffrey (November 2018). "Berücksichtigung der festen Heterogenität der US-Industrie: Erweiterte Versorgungsnutzentabellen und Wertschwere, die mit Daten der Unternehmens- und Aufbauebene hinzugefügt wurden.". Cambridge, MA. doi:10.3386/w25249. S2CID 169324096. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  29. ^ "Sichere Schätzung unterliegt Cyber ​​-stochastische Angriffe", Cloud -Steuerungssysteme, Aufkommende Methoden und Anwendungen in der Modellierung, Elsevier: 373–404, 2020, doi:10.1016/b978-0-12-818701-2.00021-4, ISBN 978-0-12-818701-2, S2CID 240746156, abgerufen 2021-05-28
  30. ^ Nijmeijer, H. (2003). Synchronisation mechanischer Systeme. Welt wissenschaftlich. ISBN 978-981-279-497-0. OCLC 262846185.
  31. ^ "Kapitel 1. Wie sich die Verwendung von Computern der Schüler in den letzten Jahren entwickelt hat". dx.doi.org. doi:10.1787/888933277851. Abgerufen 2021-05-28.
  32. ^ Informationstechnologie. Sicherheitstechniken. Kompetenzanforderungen für Informationssicherheitsmanagementsysteme Fachleute, BSI Britische Standards, doi:10.3403/30342674, abgerufen 2021-05-29
  33. ^ "Informationssicherheit Qualifikationen Fact Sheet" (PDF). IT Governance. Abgerufen 16. März 2018.
  34. ^ MA, Ruiqing Ray (März 2016). "Flexible Displays sind in vielen Formen erhältlich". Informationsanzeige. 32 (2): 4–49. doi:10.1002/j.2637-496x.2016.tb00883.x. ISSN 0362-0972.
  35. ^ Rahim, Noor H. (März 2006). Menschenrechte und interne Sicherheit in Malaysia: Rhetorik und Realität. Verteidigungstechnischer Informationszentrum. OCLC 74288358.
  36. ^ Kramer, David (2018-09-14). "Nukleardiebstahl und Sabotage -Bedrohungen bleiben hoch, warnt Bericht". Physik heute. doi:10.1063/pt.6.2.20180914a. ISSN 1945-0699. S2CID 240223415.
  37. ^ Wilding, Edward (2. März 2017). Informationsrisiko und Sicherheit: Verhinderung und Untersuchung von Computerkriminalität am Arbeitsplatz. ISBN 978-1-351-92755-0. OCLC 1052118207.
  38. ^ Stewart, James (2012). CISSP -Studienhandbuch. Kanada: John Wiley & Sons. S. 255–257. ISBN 978-1-118-31417-3.
  39. ^ "2,2. Das Produktivitätswachstum hat sich in vielen Sektoren niedergeschlagen". dx.doi.org. doi:10.1787/734700048756. Abgerufen 2021-05-28.
  40. ^ "Identitätsdiebstahl: Die neueste digitale Angriffsbranche muss ernst nehmen". Probleme in Informationssystemen. 2007. doi:10.48009/2_iis_2007_297-302. ISSN 1529-7314.
  41. ^ Wendel-Perssson, Anna; Ronnhed, Fredrik (2017). It-säkerhet och människan: de har världens Starkaste Mur Männer Porten Står Altid På Glämt. Umeå Universitet, institutionelle För -Informatik. OCLC 1233659973.
  42. ^ Enge, Eric (5. April 2017). "Steintempel". Handys
  43. ^ Shao, Ruodan; Skarlicki, Daniel P. (2014). "Sabotage gegenüber den Kunden, die die Mitarbeiter misshandelt haben", skalieren ". Psyctests Datensatz. doi:10.1037/t31653-000. Abgerufen 2021-05-28.
  44. ^ Küche, Julie (Juni 2008). "7side - Unternehmensinformationen, Unternehmensformationen und Immobiliensuche". Rechtsinformationsmanagement. 8 (2): 146. doi:10.1017/s1472669608000364. ISSN 1472-6696. S2CID 144325193.
  45. ^ Young, Courtenay (2018-05-08), "Mit Panikattacken arbeiten", Helfen Sie sich selbst in der psychischen Gesundheit, Routledge, S. 209–214, doi:10.4324/9780429475474-32, ISBN 978-0-429-47547-4, abgerufen 2021-05-28
  46. ^ "Einführung: Innerhalb der Insider -Bedrohung", Insider -Bedrohungen, Cornell University Press, S. 1–9, 2017-12-31, doi:10.7591/9781501705946-003, ISBN 978-1-5017-0594-6, abgerufen 2021-05-28
  47. ^ "Tabelle 7.7 Frankreich: Vergleich der Gewinnanteile von nichtfinanziellen Unternehmen und nichtfinanziellen Unternehmen sowie nicht rechtsfähigen Unternehmen". dx.doi.org. doi:10.1787/888933144055. Abgerufen 2021-05-28.
  48. ^ "Wie ist alles zustande gekommen?", Das Compliance -Geschäft und seine Kunden, Basingstoke: Palgrave Macmillan, 2012, doi:10.1057/9781137271150.0007, ISBN 978-1-137-27115-0, abgerufen 2021-05-28
  49. ^ Gordon, Lawrence; Loeb, Martin (November 2002). "The Economics of Information Security Investment". ACM -Transaktionen zur Informations- und Systemsicherheit. 5 (4): 438–457. doi:10.1145/581271.581274. S2CID 1500788.
  50. ^ Cho Kim, Byung; Khansa, Lara; James, Tabitha (Juli 2011). "Individuelle Vertrauen und Verbraucherrisikowahrnehmung". Journal of Information Privacy and Security. 7 (3): 3–22. doi:10.1080/15536548.2011.10855915. ISSN 1553-6548. S2CID 144643691.
  51. ^ Stewart, James (2012). CISSP -zertifizierte Informationssystem Security Professional Study Guide Sechste Ausgabe. Kanada: John Wiley & Sons, Inc. S. 255–257. ISBN 978-1-118-31417-3.
  52. ^ Gillett, John (März 1994). "Das Kosten-Nutzen des Outsourcings: Bewertung der wahren Kosten Ihrer Outsourcing-Strategie". Europäisches Journal of Buying & Supply Management. 1 (1): 45–47. doi:10.1016/0969-7012 (94) 90042-6. ISSN 0969-7012.
  53. ^ "2,1. Trotz starker Wachstum hat Österreich seit den frühen neunziger Jahren etwas Boden verloren". dx.doi.org. doi:10.1787/645173688502. Abgerufen 2021-05-29.
  54. ^ "Einführung: Caesar ist tot. Es lebe Caesar!", Julius Caesars selbst geschaffenes Bild und sein dramatisches Leben nach dem Tod, Bloomsbury Academic, 2018, doi:10.5040/9781474245784.0005, ISBN 978-1-4742-4578-4, abgerufen 2021-05-29
  55. ^ Suetonius tranquillus, Gaius (2008). Leben der Caesars (Oxford Worlds Classics). New York: Oxford University Press. p. 28. ISBN 978-0-19-953756-3.
  56. ^ Singh, Simon (2000). Das Codebuch. Anker. pp.289–290. ISBN 978-0-385-49532-5.
  57. ^ Tan, Heng Chuan (2017). Auf vertrauenswürdige und sichere Kommunikation in einer Fahrzeugumgebung (These). Technische Universität Nanyang. doi:10.32657/10356/72758.
  58. ^ Johnson, John (1997). Die Entwicklung der britischen SIGINT: 1653–1939. Das Schreibwarenbüro Ihrer Majestät. WIE IN B00GYX1GX2.
  59. ^ Willison, Matthew (2018). "Waren Banken spezielle Standpunkte in Großbritannien Mitte des neunzehnten Jahrhunderts.". SSRN Electronic Journal. doi:10.2139/ssrn.3249510. ISSN 1556-5068. S2CID 169606130.
  60. ^ Ruppert, K. (2011). "Offizielles Geheimnisgesetz (1889; New 1911; geändert 1920, 1939, 1989)". In Hastedt, G.P. (ed.). Spione, Abhören und geheime Operationen: Eine Enzyklopädie der amerikanischen Spionage. Vol. 2. ABC-Clio. S. 589–590. ISBN 9781851098088.
  61. ^ "2. Das Clayton Act: Eine Berücksichtigung von Abschnitt 2, die rechtswidrige Preisdiskriminierung definiert.", Das Bundeskartnergesetz, Columbia University Press, S. 18–28, 1930-12-31, doi:10.7312/dunn93452-003, ISBN 978-0-231-89377-0, abgerufen 2021-05-29
  62. ^ Maer, Lucinda; Gay (30. Dezember 2008). "Offizielle Geheimhaltung" (PDF). Föderation der amerikanischen Wissenschaftler.
  63. ^ "Das offizielle Secrets Act von 1989, das Abschnitt 2 des Act von 1911 ersetzte", Spionage und Geheimhaltung (Routledge Revivals), Routledge, S. 267–282, 2016-06-10, doi:10.4324/9781315542515-21, ISBN 978-1-315-54251-5, abgerufen 2021-05-29
  64. ^ "Offizielles Geheimnisse Act: Was es abdeckt; wenn es verwendet wurde, befragt wurde". Der indische Express. 2019-03-08. Abgerufen 2020-08-07.
  65. ^ Singh, Gajendra (November 2015). ""Brechen der Ketten, mit denen wir gebunden waren": Die Verhörkammer, die indische Nationalarmee und die Negation der militärischen Identitäten, 1941–1947 ". Brills digitale Bibliothek des Ersten Weltkriegs I.. doi:10.1163/2352-3786_dlws1_B9789004211452_019. Abgerufen 2021-05-28.
  66. ^ Duncanson, Dennis (Juni 1982). "Das Scramble nach französischer Indochina" krambiert ". Asiatische Angelegenheiten. 13 (2): 161–170. doi:10.1080/03068378208730070. ISSN 0306-8374.
  67. ^ Whitman et al. 2017, S. 3.
  68. ^ "Allied Power. Mobilisierung von Wasserkraft während Kanadas Zweiten Weltkrieg", Alliierte Kraft, University of Toronto Press, S. 1–2, 2015-12-31, doi:10.3138/9781442617117-003, ISBN 978-1-4426-1711-7, abgerufen 2021-05-29
  69. ^ Glatthaar, Joseph T. (2011-06-15), "Offiziere und engagierte Männer", Soldat in der Armee Nord -Virginia, University of North Carolina Press, S. 83–96, doi:10.5149/9780807877869_glatthaar.11, ISBN 978-0-8078-3492-3, abgerufen 2021-05-28
  70. ^ a b Sebag -Montefiore, H. (2011). Enigma: Der Kampf um den Code. Orion. p. 576. ISBN 9781780221236.
  71. ^ Whitman et al. 2017, S. 4–5.
  72. ^ a b Whitman et al. 2017, p. 5.
  73. ^ "Weisheit des 20. Jahrhunderts für Gemeinschaften des 21. Jahrhunderts", Thomas Merton, The Lutterworth Press, S. 160–184, 2012-04-26, doi:10.2307/j.ctt1cg4k28.13, ISBN 978-0-7188-4069-3, abgerufen 2021-05-29
  74. ^ Murphy, Richard C. (2009-09-01). "Erstellen leistungsstärkerer, günstigerer Supercomputer mithilfe von LDRD-Abschlussbericht für Verarbeitung in Memory (PIM)". doi:10.2172/993898. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  75. ^ "Eine kurze Geschichte des Internets". www.usg.edu. Abgerufen 2020-08-07.
  76. ^ "Durch den Blick von Delft gehen - im Internet". Computer & Grafiken. 25 (5): 927. Oktober 2001. doi:10.1016/s0097-8493 (01) 00149-2. ISSN 0097-8493.
  77. ^ Denardis, L. (2007). "Kapitel 24: Eine Geschichte der Internetsicherheit". In de Leeuw, K.M.M.; Bergstra, J. (Hrsg.). Die Geschichte der Informationssicherheit: Ein umfassendes Handbuch. Elsevier. pp.681–704. ISBN 9780080550589.
  78. ^ Perrin, Chad (30. Juni 2008). "Die CIA -Triade". Abgerufen 31. Mai 2012.
  79. ^ Sandhu, Ravi; Jajodia, Sushil (2000-10-20), "Relationale Datenbanksicherheit", Handbuch für Informationssicherheitsmanagement, vier Volumensatz, Auerbach -Veröffentlichungen, doi:10.1201/9780203325438.CH120, ISBN 978-0-8493-1068-3, abgerufen 2021-05-29
  80. ^ a b Stoneburner, G.; Hayden, C.; Feringa, A. (2004). "Engineering Prinzipien für die Sicherheit der Informationstechnologie" (PDF). csrc.nist.gov. doi:10.6028/nist.sp.800-27ra. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  81. ^ A. J. Neumann, N. Statland und R. D. Webb (1977). "Nachbearbeitungsprüfungswerkzeuge und -techniken" (PDF). US -Handelsministerium, Nationales Bureau of Standards. S. 11-3-11-4.
  82. ^ "OECD.org" (PDF). Archiviert von das Original (PDF) am 16. Mai 2011. Abgerufen 2014-01-17.
  83. ^ "GSSP (allgemein akzeptierte Systeme zur Systemsicherheit): Eine Reise nach Abilene". Computer & Sicherheit. 15 (5): 417. Januar 1996. doi:10.1016/0167-4048 (96) 82630-7. ISSN 0167-4048.
  84. ^ Slade, Rob. "(ICS) 2 Blog".
  85. ^ Aceituno, Vicente. "Reifegradmodell für Informationssicherheit". Abgerufen 12. Februar 2017.
  86. ^ "George Cybenko - George Cybenkos persönliche Homepage" (PDF).
  87. ^ Hughes, Jeff; Cybenko, George (21. Juni 2018). "Quantitative Metriken und Risikobewertung: Das drei Grundsätze Modell der Cybersicherheit". Überprüfung des technologischen Innovationsmanagements. 3 (8).
  88. ^ Teplow, Lily. "Fallen Ihre Kunden in diese IT -Sicherheitsmythen? [Diagramm]". continuum.net.
  89. ^ Beckers, K. (2015). Muster- und Sicherheitsanforderungen: Ingenieurbasierte Festlegung von Sicherheitsstandards. Springer. p. 100. ISBN 9783319166643.
  90. ^ "Datenschutz und Vertraulichkeit", SpringerReference, Berlin/Heidelberg: Springer-Verlag, 2011, doi:10.1007/SpringerReference_205286, abgerufen 2021-05-29
  91. ^ a b c d e Andress, J. (2014). Die Grundlagen der Informationssicherheit: Verständnis der Grundlagen von Infosec in Theorie und Praxis. Syngress. p. 240. ISBN 9780128008126.
  92. ^ Boritz, J. Efrim (2005). "Ist die Ansichten von Praktikern zu Kernkonzepten der Informationsintegrität". Internationales Journal of Accounting Information Systems. Elsevier. 6 (4): 260–279. doi:10.1016/j.accinf.2005.07.001.
  93. ^ Hryshko, I. (2020). "Nicht autorisierte Besetzung von Land und nicht autorisierter Konstruktion: Konzepte und Arten taktischer Untersuchungsmittel". International Humanitarian University Herald. Jurisprudenz (43): 180–184. doi:10.32841/2307-1745.2020.43.40. ISSN 2307-1745.
  94. ^ Kim, Bonn-OH (2000-09-21), "Referenzielle Integrität für Datenbankdesign", Hochleistungs-Webdatenbanken, Auerbach Publications, S. 427–434, doi:10.1201/9781420031560-34, ISBN 978-0-429-11600-1, abgerufen 2021-05-29
  95. ^ Pevnev, V. (2018). "Modellbedrohungen und die Integrität der Information sicherstellen". Systeme und Technologien. 2 (56): 80–95. doi:10.32836/2521-6643-2018.2-56.6. ISSN 2521-6643.
  96. ^ Fan, Lejun; Wang, Yuanzhuo; Cheng, Xueqi; Li, Jinming; Jin, Shuyuan (2013-02-26). "Datenschutzdiebstahl Malware Multi-Process Collaboration Analysis". Sicherheits- und Kommunikationsnetzwerke. 8 (1): 51–67. doi:10.1002/Sek. 705. ISSN 1939-0114.
  97. ^ "Vollständigkeit, Konsistenz und Integrität des Datenmodells". Messung der Datenqualität für kontinuierliche Verbesserungen. MK -Serie über Business Intelligence. Elsevier. 2013. S. e11–e19. doi:10.1016/b978-0-12-397033-6.00030-4. ISBN 978-0-12-397033-6. Abgerufen 2021-05-29.
  98. ^ "Video von Spie - Die Internationale Gesellschaft für Optik und Photonik". dx.doi.org. doi:10.1117/12.2266326.5459349132001. Abgerufen 2021-05-29.
  99. ^ "Kommunikationsfähigkeiten von Absolventen des Informationssystems". Probleme in Informationssystemen. 2005. doi:10.48009/1_iis_2005_311-317. ISSN 1529-7314.
  100. ^ "Ausfälle der elektrischen Stromversorgung durch Kabelausfälle Boston Edison Company System". 1980-07-01. doi:10.2172/5083196. Osti 5083196. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  101. ^ Loukas, G.; Oke, G. (September 2010) [August 2009]. "Schutz gegen Denial -of -Service -Angriffe: Eine Umfrage" (PDF). Computer. J. 53 (7): 1020–1037. doi:10.1093/comjnl/bxp078. Archiviert von das Original (PDF) Am 2012-03-24. Abgerufen 2015-08-28.
  102. ^ "In der Lage sein, eine klinische Aktivität auszuführen", Definitionen, Qeios, 2020-02-02, doi:10.32388/dine5x, S2CID 241238722, abgerufen 2021-05-29
  103. ^ Ohta, Mai; Fujii, Takeo (Mai 2011). "Iterative kooperative Erkennung des gemeinsamen Primärspektrums zur Verbesserung der Erfassungsfähigkeit". 2011 IEEE International Symposium für dynamische Spektrum -Zugriffsnetzwerke (Dyspan). IEEE: 623–627. doi:10.1109/dyspan.2011.5936257. ISBN 978-1-4577-0177-1. S2CID 15119653.
  104. ^ Informationstechnologie. Incident Management für Informationssicherheit, BSI Britische Standards, doi:10.3403/30387743, abgerufen 2021-05-29
  105. ^ Blum, Dan (2020), "Identifizieren und ausrichten von Sicherheitsrollen", Rationale Cybersicherheit für Geschäft, Berkeley, CA: Apress, S. 31–60, doi:10.1007/978-1-4842-5952-8_2, ISBN 978-1-4842-5951-1, S2CID 226626983, abgerufen 2021-05-29
  106. ^ McCarthy, C. (2006). "Digitale Bibliotheken: Überlegungen zur Sicherheit und Erhaltung". In Bidgoli, H. (Hrsg.). Handbuch für Informationssicherheit, Bedrohungen, Schwachstellen, Prävention, Erkennung und Management. Vol. 3. John Wiley & Sons. S. 49–76. ISBN 9780470051214.
  107. ^ Informationstechnologie. Offene Systemverbindung. Sicherheitsrahmen für offene Systeme, BSI Britische Standards, doi:10.3403/01110206u, abgerufen 2021-05-29
  108. ^ Christofori, Ralf (2014-01-01), "So hätte es sein können", Julio Rondo - O.K., Meta -Speicher, Wilhelm Fink Verlag, doi:10.30965/9783846757673_003, ISBN 978-3-7705-5767-7, abgerufen 2021-05-29
  109. ^ Atkins, D. (Mai 2021). "Verwendung des Walnuss -digitalen Signaturalgorithmus mit CBOR -Objektsignierung und Verschlüsselung (COSE)". doi:10.17487/rfc9021. S2CID 182252627. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  110. ^ Le May, I. (2003), "Strukturintegrität in der petrochemischen Industrie", Umfassende strukturelle IntegritätElsevier, S. 125–149, doi:10.1016/b0-08-043749-4/01001-6, ISBN 978-0-08-043749-1, abgerufen 2021-05-29
  111. ^ Sodjahin, Amos; Champagner, Claudia; Coggins, Frank; Gillet, Roland (2017-01-11). "Leit- oder Verzögerungsindikatoren für Risiken? Der Informationsinhalt von außerfinanziellen Leistungswerten". Journal of Asset Management. 18 (5): 347–370. doi:10.1057/s41260-016-0039-y. ISSN 1470-8272. S2CID 157485290.
  112. ^ Reynolds, E H (1995-07-22). "Folsäure hat das Potenzial, Schaden zu verursachen". BMJ. 311 (6999): 257. doi:10.1136/bmj.311.6999.257. ISSN 0959-8138. PMC 2550299. PMID 7503870.
  113. ^ Randall, Alan (2011), "Schaden, Risiko und Bedrohung", Risiko und Vorsichtsmaßnahme, Cambridge: Cambridge University Press, S. 31–42, doi:10.1017/CBO9780511974557.003, ISBN 978-0-511-97455-7, abgerufen 2021-05-29
  114. ^ Grama, J. L. (2014). Rechtsfragen in der Informationssicherheit. Jones & Bartlett Learning. p. 550. ISBN 9781284151046.
  115. ^ Cannon, David L. (2016-03-04). "Prüfungsprozess". CISA: Zertifizierter Informationssystem Auditor Study Guide (Viertes Ausgabe). S. 139–214. doi:10.1002/9781119419211.ch3. ISBN 9781119056249.
  116. ^ CISA Review Manual 2006. Informationssystem Audit und Steuereland. 2006. p. 85. ISBN 978-1-933284-15-6.
  117. ^ Kadlec, Jaroslav (2012-11-02). "Zweidimensionale Prozessmodellierung (2dpm)". Business Process Management Journal. 18 (6): 849–875. doi:10.1108/14637151211283320. ISSN 1463-7154.
  118. ^ "Alle Gegenmaßnahmen haben einen gewissen Wert, aber keine Gegenmaßnahme ist perfekt", Jenseits von Angst, New York: Springer-Verlag, S. 207–232, 2003, doi:10.1007/0-387-21712-6_14, ISBN 0-387-02620-7, abgerufen 2021-05-29
  119. ^ "Datenverletzungen: Deloitte erleidet einen schwerwiegenden Hit, während weitere Details über Equifax und Yahoo auftauchen.". Computerbetrug und Sicherheit. 2017 (10): 1–3. Oktober 2017. doi:10.1016/s1361-3723 (17) 30086-6. ISSN 1361-3723.
  120. ^ Spagnoletti, Paolo; Resca A. (2008). "Die Dualität des Informationssicherheitsmanagements: Kämpfe gegen vorhersehbare und unvorhersehbare Bedrohungen". Sicherheit Journal of Information Systems. 4 (3): 46–62.
  121. ^ Yusoff noch Hashim; Yusof, Mohd Radzuan (2009-08-04). "Verwalten des HSE -Risikos in hartem Umfeld". Alle Tage. Spe. doi:10.2118/122545-ms.
  122. ^ Baxter, Wesley (2010). Ausverkauft: Wie sich die Unternehmensverbesserungsgebiete in der Innenstadt von Ottawa in den städtischen Raum gesichert und valorisiert haben (These). Carleton University. doi:10.22215/etd/2010-09016.
  123. ^ de Souza, André; Lynch, Anthony (Juni 2012). "Ist die Leistung der Investmentfonds über den Geschäftszyklus variiert?". Cambridge, MA. doi:10.3386/w18137. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  124. ^ Kiountouzis, E. A.; Kokolakis, S. A. (1996-05-31). Sicherheit von Informationssystemen: steht vor der Informationsgesellschaft des 21. Jahrhunderts. London: Chapman & Hall, Ltd. ISBN 978-0-412-78120-9.
  125. ^ Newsome, B. (2013). Eine praktische Einführung in Sicherheit und Risikomanagement. Sage Publications. p. 208. ISBN 9781483324852.
  126. ^ a b Whitman, M.E.; Mattord, H. J. (2016). Management der Informationssicherheit (5. Aufl.). Cengage -Lernen. p. 592. ISBN 9781305501256.
  127. ^ "Hardware, Stoffe, Klebstoffe und andere Theaterartikel", Illustrierter Theaterproduktionsleitfaden, Routledge, S. 203–232, 2013-03-20,, doi:10.4324/9780080958392-20, ISBN 978-0-08-095839-2, abgerufen 2021-05-29
  128. ^ Grund, James (2017-03-02), "Wahrnehmungen unsicherer Handlungen", Der menschliche Beitrag, CRC Press, S. 69–103, doi:10.1201/9781315239125-7, ISBN 978-1-315-23912-5, abgerufen 2021-05-29
  129. ^ "Informationssicherheitsverfahren und Standards", Informationssicherheitsrichtlinien, Verfahren und Standards, Boca Raton, FL: Auerbach Publications, S. 81–92, 2017-03-27, doi:10.1201/9781315372785-5, ISBN 978-1-315-37278-5, abgerufen 2021-05-29
  130. ^ Zhuang, Haifeng; Chen, Yu; Sheng, Xianfu; Hong, Lili; Gao, Ruilan; Zhuang, Xiaofen (25. Juni 2020). "Abbildung S1: Analyse der prognostischen Auswirkung jedes einzelnen Signaturgens". Peerj. 8: e9437. doi:10.7717/peerj.9437/Supp-1. Abgerufen 2021-05-29.
  131. ^ Standaert, b.; Ethgen, O.; Emerson, R.A. (Juni 2012). "CO4 -Analyse der Kosteneffizienz - für alle Situationen geeignet?". Wert in der Gesundheit. 15 (4): A2. doi:10.1016/j.jval.2012.03.015. ISSN 1098-3015.
  132. ^ "GRP-Überdachungen bieten kostengünstigen Übertürschutz". Verstärkte Kunststoffe. 40 (11): 8. November 1996. doi:10.1016/s0034-3617 (96) 91328-4. ISSN 0034-3617.
  133. ^ "Abbildung 2.3. Relatives Risiko, je nach persönlichen Umständen ein niedriger Künstler zu sein (2012)". dx.doi.org. doi:10.1787/888933171410. Abgerufen 2021-05-29.
  134. ^ Stoneburner, Gary; Goguen, Alice; Feringa, Alexis (2002). "NIST SP 800-30 Risikomanagement-Leitfaden für Informationstechnologiesysteme". doi:10.6028/nist.sp.800-30. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  135. ^ "Darf ich wählen? Kann ich wählen? Unterdrückung und Wahl", Eine Theorie der Freiheit, Palgrave Macmillan, 2012, doi:10.1057/9781137295026.0007, ISBN 978-1-137-29502-6, abgerufen 2021-05-29
  136. ^ Parker, Donn B. (Januar 1994). "Eine Anleitung zur Auswahl und Implementierung von Sicherheitskontrollen". Sicherheit von Informationssystemen. 3 (2): 75–86. doi:10.1080/10658989409342459. ISSN 1065-898x.
  137. ^ Zoccali, Carmine; Mallamaci, Francesca; Tripepi, Giovanni (2007-09-25). "Gastredakteur: Rajiv Agarwal: Kardiovaskuläre Risikoprofilbewertung und Medikamentenkontrolle sollten an erster Stelle stehen". Seminare in Dialyse. 20 (5): 405–408. doi:10.1111/j.1525-139x.2007.00317.x. ISSN 0894-0959. PMID 17897245. S2CID 33256127.
  138. ^ Leitfaden zur Implementierung und Prüfung von ISMS -Steuerelementen basierend auf ISO/IEC 27001. London: BSI Britische Standards. 2013-11-01. doi:10.3403/9780580829109. ISBN 978-0-580-82910-9.
  139. ^ Johnson, L. (2015). Sicherheitskontrollen Bewertung, Test und Bewertungshandbuch. Syngress. p. 678. ISBN 9780128025642.
  140. ^ Informationstechnologie. Sicherheitstechniken. Zuordnen der überarbeiteten Ausgaben von ISO/IEC 27001 und ISO/IEC 27002, BSI Britische Standards, doi:10.3403/30310928, abgerufen 2021-05-29
  141. ^ a b c "Verwaltungskontrollen", Berufliche Ergonomie, CRC Press, S. 443–666, 2003-03-26, doi:10.1201/9780203507933-6, ISBN 978-0-429-21155-3, abgerufen 2021-05-29
  142. ^ Chen, J.; Demers, E.A.; Lev, B. (Juni 2013). "Wie sich die Tageszeit auf Geschäftsgespräche auswirkt". doi:10.13007/141. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)CS1 Wartung: Mehrere Namen: Autorenliste (Link)
  143. ^ 44 U.S.C. § 3542(b) (1)
  144. ^ "Anhang D", Entwicklung der Informationssicherheitspolitik für Einhaltung, Auerbach Publications, S. 117–136, 2013-03-22, doi:10.1201/B13922-12, ISBN 978-1-4665-8058-9, abgerufen 2021-05-29
  145. ^ "Firewalls, Intrusion Detection Systems und Verwundbarkeitsbewertung: Eine überlegene Konjunktion?". Netzwerksicherheit. 2002 (9): 8–11. September 2002. doi:10.1016/s1353-4858 (02) 09009-8. ISSN 1353-4858.
  146. ^ Ransome, J.; Misra, A. (2013). Kernsoftwaresicherheit: Sicherheit an der Quelle. CRC Press. S. 40–41. ISBN 9781466560956.
  147. ^ "Prinzip der geringsten Privilegien", SpringerReference, Berlin/Heidelberg: Springer-Verlag, 2011, doi:10.1007/SpringerReference_17456, abgerufen 2021-05-29
  148. ^ Emir, Astra (September 2018). "19. Aufgaben von Ex-Arbeitnehmern". Gesetz. doi:10.1093/He/9780198814849.003.0019. ISBN 978-0-19-185251-0.
  149. ^ Leitfaden für Informationen zu Zugang zu Privilegien für Gesundheitsinformationen, ASTM International, doi:10.1520/e1986-09, abgerufen 2021-05-29
  150. ^ Drury, Bill (2009-01-01), "Physische Umgebung", Steuerungstechniken, Laufwerke und Steuerelemente Handbuch, Institution of Engineering und Technologie: 355–381, doi:10.1049/pbpo057e_chb3, ISBN 978-1-84919-013-8, abgerufen 2021-05-29
  151. ^ Branderkennungs- und Brandalarmsysteme, BSI Britische Standards, doi:10.3403/30266863, abgerufen 2021-05-29
  152. ^ Silverman, Arnold B. (November 2001). "Mitarbeitern beenden Interviews - ein wichtiges, aber häufig übersehenes Verfahren". Jom. 53 (11): 48. Bibcode:2001jom .... 53k..48s. doi:10.1007/s11837-001-0195-4. ISSN 1047-4838. S2CID 137528079.
  153. ^ "Viele Mitarbeiter -Apotheker sollten in der Lage sein, zu profitieren können". Das Pharmajournal. 2013. doi:10.1211/pj.2013.11124182. ISSN 2053-6186.
  154. ^ "Trennung der Pflichten Kontrollmatrix". Isaca. 2008. archiviert von das Original am 3. Juli 2011. Abgerufen 2008-09-30.
  155. ^ "Die Bewohner müssen ihre privaten Informationen schützen". Jama. 279 (17): 1410b. 1998-05-06. doi:10.1001/jama.279.17.1410. ISSN 0098-7484.
  156. ^ "Gruppen Weisheitsunterstützungssysteme: Aggregation der Erkenntnisse vieler durch Informationstechnologie". Probleme in Informationssystemen. 2008. doi:10.48009/2_iis_2008_343-350. ISSN 1529-7314.
  157. ^ "Interdependenzen von Informationssystemen", Lektionen erlernt: kritischer Informationsinfrastrukturschutz, IT Governance Publishing, S. 34–37, 2018, doi:10.2307/j.ctt1xhr7hq.13, ISBN 978-1-84928-958-0, abgerufen 2021-05-29
  158. ^ "Verwaltung der Netzwerksicherheit", Sicherheit der Netzwerkperimeter, Auerbach Publications, S. 17–66, 2003-10-27, doi:10.1201/9780203508046-3, ISBN 978-0-429-21157-7, abgerufen 2021-05-29
  159. ^ Kakareka, A. (2013). "Kapitel 31: Was ist die Bewertung der Verwundbarkeit?". In Vacca, J. R. (Hrsg.). Handbuch für Computer- und Informationssicherheit (2. Aufl.). Elsevier. S. 541–552. ISBN 9780123946126.
  160. ^ Duke, P. A.; Howard, I. P. (2012-08-17). "Verarbeitung vertikaler Größenunterschiede in verschiedenen Tiefenebenen". Journal of Vision. 12 (8): 10. doi:10.1167/12.8.10. ISSN 1534-7362. PMID 22904355.
  161. ^ "Sicherheits Zwiebelkontrollskripte". Angewandte Netzwerksicherheitsüberwachung. Elsevier. 2014. S. 451–456. doi:10.1016/b978-0-12-417208-1.09986-4. ISBN 978-0-12-417208-1. Abgerufen 2021-05-29.
  162. ^ "Metabolomics bietet wertvolle Einblicke in die Untersuchung von Durumweizen: eine Überprüfung". dx.doi.org. doi:10.1021/acs.jafc.8b07097.s001. Abgerufen 2021-05-29.
  163. ^ "Überblick", Informationssicherheitsrichtlinien, Verfahren und Standards, Auerbach Publications, 2001-12-20, doi:10.1201/9780849390326.ch1, ISBN 978-0-8493-1137-6, abgerufen 2021-05-29
  164. ^ Elektrische Schutzrelais. Informationen und Anforderungen für alle Schutzrelais, BSI Britische Standards, doi:10.3403/BS142-1, abgerufen 2021-05-29
  165. ^ Dibattista, Joseph D.; Reimer, James D.; Stat, Michael; Masucci, Giovanni D.; Biondi, Piera; Brauwer, Maarten DE; Bunce, Michael (6. Februar 2019). "Ergänzende Informationen 4: Liste aller kombinierten Familien in alphabetischer Reihenfolge in Megan Vers 5.11.3". Peerj. 7: e6379. doi:10.7717/peerj.6379/opp-4. Abgerufen 2021-05-29.
  166. ^ Kim, Sung-Won (2006-03-31). "Eine quantitative Analyse von Klassifizierungsklassen und klassifizierten Informationsressourcen des Verzeichnisses". Journal of Information Management. 37 (1): 83–103. doi:10.1633/jim.2006.37.1.083. ISSN 0254-3621.
  167. ^ a b Bayuk, J. (2009). "Kapitel 4: Informationsklassifizierung". In Axelrod, C.W.; Bayuk, J. L.; Betzer, D. (Hrsg.). Sicherheit und Datenschutz für Unternehmensinformationen. Artech House. S. 59–70. ISBN 9781596931916.
  168. ^ "Willkommen im Informationsalter", Überlast!, Hoboken, NJ, USA: John Wiley & Sons, Inc., S. 43–65, 2015-09-11, doi:10.1002/9781119200642.ch5, ISBN 978-1-119-20064-2, abgerufen 2021-05-29
  169. ^ Crooks, S. (2006). "102. Fallstudie: Wenn Bemühungen zur Expositionskontrolle andere wichtige Entwurfsüberlegungen außer Kraft setzen". AIHCE 2006. Aiha. doi:10.3320/1.2759009.
  170. ^ "Geschäftsmodell für Informationssicherheit (BMIS)". Isaca. Abgerufen 25. Januar 2018.
  171. ^ McAuliffe, Leo (Januar 1987). "Top -Geheimnis/Geschäftsgeheimnis: Zugriff auf und schützen Sie eingeschränkte Informationen". Regierungsinformationen vierteljährlich. 4 (1): 123–124. doi:10.1016/0740-624x (87) 90068-2. ISSN 0740-624X.
  172. ^ Khairuddin, Ismail Mohd; Kumpel, Shahrul Naim; Abdul Majeed, Anwar P.P.; Razman, Mohd Azraai Mohd; Puzi, Asmarani Ahmad; Yusof, Hazlina MD (25. Februar 2021). "Abbildung 7: Klassifizierungsgenauigkeit für jedes Modell für alle Merkmale". Peerj Informatik. 7: e379. doi:10.7717/peerj-cs.379/Abb-7. Abgerufen 2021-05-29.
  173. ^ "Asset Classification", Grundlagen für Informationssicherheit, Auerbach Publications, S. 327–356, 2013-10-16, doi:10.1201/B15573-18, ISBN 978-0-429-13028-1, abgerufen 2021-06-01
  174. ^ a b Almehmadi, Abdulaziz; El-Khatib, Khalil (2013). "Autorisiert! Zugang verweigert, nicht autorisiert! Zugang gewährt". Proceedings der 6. Internationalen Konferenz zur Sicherheit von Informations- und Netzwerken - SIN '13. Sünde '13. New York, New York, USA: ACM Press: 363–367. doi:10.1145/2523514.2523612. ISBN 978-1-4503-2498-4. S2CID 17260474.
  175. ^ a b Peiss, Kathy (2020), "Das Land des Geistes muss auch angreifen", Informationsjäger, Oxford University Press, S. 16–39, doi:10.1093/oso/9780190944612.003.0003, ISBN 978-0-19-094461-2, abgerufen 2021-06-01
  176. ^ Fugini, M.G.; Martella, G. (Januar 1988). "Ein Petri-Net-Modell für Zugangskontrollmechanismen". Informationssysteme. 13 (1): 53–63. doi:10.1016/0306-4379 (88) 90026-9. ISSN 0306-4379.
  177. ^ Informationstechnologie. Personalausweis. ISO-konformer Führerschein, BSI Britische Standards, doi:10.3403/30170670U, abgerufen 2021-06-01
  178. ^ Santos, Omar (2015). CCNA Security 210-260 Offizieller Leitfaden. Cisco Press. ISBN 978-1-58720-566-8. OCLC 951897116.
  179. ^ "Was ist Behauptung?", Behauptungstraining, Abingdon, Großbritannien: Taylor & Francis, S. 1–7, 1991, doi:10.4324/9780203169186_Chapter_one, ISBN 978-0-203-28556-5, abgerufen 2021-06-01
  180. ^ Doe, John (1960). "Die Feldsaison in Illinois beginnt am 2. Mai". Bodenhorizont. 1 (2): 10. doi:10.2136/sh1960.2.0010. ISSN 2163-2812.
  181. ^ Leech, M. (März 1996). "Benutzername/Passwortauthentifizierung für Socken v5". doi:10.17487/rfc1929. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  182. ^ Kirk, John; Wall, Christine (2011), "Teller, Verkäufer, Gewerkschaftsaktivist: Klassenbildung und Änderung der Identitäten der Bankangestellten", Arbeit und Identität, London: Palgrave Macmillan UK, S. 124–148, doi:10.1057/9780230305625_6, ISBN 978-1-349-36871-6, abgerufen 2021-06-01
  183. ^ Dewi, Mila Nurmala (2020-12-23). "Perbandingan Kinerja Teller Kriya Dan Teller Organik Pt. Bank Syariah Mandiri". Nisbah: Jurnal Perbanka Syariah. 6 (2): 75. doi:10.30997/jn.v6i2.1932. ISSN 2528-6633. S2CID 234420571.
  184. ^ Vile, John (2013), "Lizenzprüfungen", Enzyklopädie der vierten Änderung, Washington DC: CQ Press, doi:10.4135/9781452234243.N462, ISBN 978-1-60426-589-7, abgerufen 2021-06-01
  185. ^ "Er sagte sie sagte", Mein Geist hat einen Namen, University of South Carolina Press, S. 17–32, doi:10.2307/j.ctv6wgjjv.6, ISBN 978-1-61117-827-2, abgerufen 2021-05-29
  186. ^ Bacigalupo, Sonny A.; Dixon, Linda K.; Gubbins, Simon; Kucharski, Adam J.; Drewe, Julian A. (26. Oktober 2020). "Ergänzende Informationen 8: Methoden zur Überwachung verschiedener Kontaktarten". Peerj. 8: e10221. doi:10.7717/peerj.10221/opp-8. Abgerufen 2021-06-01.
  187. ^ Igelnik, Boris M.; Zurada, Jacek (2013). Effizienz- und Skalierbarkeitsmethoden für den rechnerischen Intellekt. ISBN 978-1-4666-3942-3. OCLC 833130899.
  188. ^ "Die Versicherungsträger muss Ihren Namen als Anbieter haben", Bevor Sie Ihren ersten Kunden sehen, Routledge, S. 37–38, 2005-01-01,, doi:10.4324/9780203020289-11, ISBN 978-0-203-02028-9, abgerufen 2021-06-01
  189. ^ Kissell, Joe. Übernehmen Sie die Kontrolle über Ihre Passwörter. ISBN 978-1-4920-6638-5. OCLC 1029606129.
  190. ^ "Neuer Smart Queensland -Führerschein angekündigt". Kartentechnologie heute. 21 (7): 5. Juli 2009. doi:10.1016/s0965-2590 (09) 70126-4. ISSN 0965-2590.
  191. ^ Lawrence Livermore National Laboratory. Vereinigte Staaten. Energiebehörde. Amt für wissenschaftliche und technische Informationen (1995). Eine menschliche Ingenieurwesen und ergonomische Bewertung der Schnittstelle für Sicherheitszugriffsgremien. Vereinigte Staaten. Energieabteilung. OCLC 727181384.
  192. ^ Lee, Paul (April 2017). "Drucke charmant: Wie Fingerabdrücke die bahnbrechende Mainstream -Biometrie sind". Biometrische Technologie heute. 2017 (4): 8–11. doi:10.1016/s0969-4765 (17) 30074-7. ISSN 0969-4765.
  193. ^ "Zwei-Faktor-Authentifizierung", SpringerReference, Berlin/Heidelberg: Springer-Verlag, 2011, doi:10.1007/SpringerReference_546, abgerufen 2021-06-01
  194. ^ "Abbildung 1.5. Die Ehe bleibt die häufigste Form der Partnerschaft zwischen Paaren, 2000-07". dx.doi.org. doi:10.1787/888932392533. Abgerufen 2021-06-01.
  195. ^ Akpeninor, James Ohwofasa (2013). Moderne Sicherheitskonzepte. Bloomington, in: Autorhouse. p. 135. ISBN 978-1-4817-8232-6. Abgerufen 18. Januar 2018.
  196. ^ Richards, G. (April 2012). "Einmalige Kennwort (OTP) Vorauthentifizierung". doi:10.17487/rfc6560. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  197. ^ Schumacher, Dietmar (2016-04-03). "Geochemische Oberflächenuntersuchung nach 85 Jahren: Was hat erreicht und was noch mehr getan werden muss". Internationale Konferenz und Ausstellung, Barcelona, ​​Spanien, 3. bis 6. April 2016. SEG Global Meeting Abstracts. Society of Exploration Geophysiker und American Association of Petroleum Geologen: 100. doi:10.1190/ice2016-6522983.1.
  198. ^ "Autorisierungs- und Genehmigungsprogramm", Richtlinien und Verfahren für interne Kontrollpersonen, Hoboken, NJ, USA: John Wiley & Sons, Inc., S. 69–72, 2015-10-23, doi:10.1002/9781119203964.ch10, ISBN 978-1-119-20396-4, abgerufen 2021-06-01
  199. ^ "Welche Antworten unter welchen Bedingungen?", Lokale Politik und der europäische Sozialfonds, Policy Press, S. 81–102, 2019-10-02, doi:10.2307/j.ctvqc6hn1.12, ISBN 978-1-4473-4652-4, S2CID 241438707, abgerufen 2021-06-01
  200. ^ Cheng, Liang; Zhang, Yang; Han, Zhihui (Juni 2013). "Quantitativ messen Sie die Zugangskontrollmechanismen über verschiedene Betriebssysteme hinweg". 2013 IEEE 7. Internationale Konferenz für Software -Sicherheit und Zuverlässigkeit. IEEE: 50–59. doi:10.1109/sere.2013.12. ISBN 978-1-4799-0406-8. S2CID 13261344.
  201. ^ a b "Diskretionäre Zugangskontrolle", SpringerReference, Berlin/Heidelberg: Springer-Verlag, 2011, doi:10.1007/SpringerReference_12629, abgerufen 2021-06-01
  202. ^ "Einzelne Untereinheiten des Glutamattransporters EAAC1 Homotrimer funktionieren unabhängig voneinander". dx.doi.org. doi:10.1021/bi050987n.s001. Abgerufen 2021-06-01.
  203. ^ Ellis Ormrod, Jeanne (2012). Wesentliche der Bildungspsychologie: Große Ideen, um effektive Lehre zu leiten. Pearson. ISBN 978-0-13-136727-2. OCLC 663953375.
  204. ^ Belim, S. V.; Bogachenko, N. F.; Kabanov, A. N. (November 2018). "Schweregrad der Berechtigungen in der rollenbasierten Zugriffskontrolle". 2018 Dynamik von Systemen, Mechanismen und Maschinen (Dynamik). IEEE: 1–5. Arxiv:1812.11404. doi:10.1109/dynamics.2018.8601460. ISBN 978-1-5386-5941-0. S2CID 57189531.
  205. ^ "Konfigurieren von TACACs und erweiterten TACACs", Sicherung und Kontrolle von Cisco -Routern, Auerbach Publications, 2002-05-15, doi:10.1201/9781420031454.Ch11, ISBN 978-0-8493-1290-8, abgerufen 2021-06-01
  206. ^ "Entwicklung effektiver Sicherheitspolitik", Risikoanalyse und Sicherheit für die Sicherheit der Sicherheit, CRC Press, S. 261–274, 2009-12-18, doi:10.1201/9781420078718-18, ISBN 978-0-429-24979-2, abgerufen 2021-06-01
  207. ^ "Die Verwendung von Prüfungsspuren zur Überwachung wichtiger Netzwerke und Systeme sollte Teil der Schwäche der Computersicherheit bleiben". www.treasury.gov. Abgerufen 2017-10-06.
  208. ^ "Fixing-Canadas-Access-to-Medicine-Regime-What-you-Need-zu-A-A-Age-Bill-C398". Menschenrechtsdokumente online. doi:10.1163/2210-7975_HRD-9902-0152. Abgerufen 2021-06-01.
  209. ^ Salazar, Mary K. (Januar 2006). "Umgang mit unsicheren Risiken - wenn das Vorsorgeprinzip angewendet wird". AAohn Journal. 54 (1): 11–13. doi:10.1177/216507990605400102. ISSN 0891-0162. S2CID 87769508.
  210. ^ "Wir müssen mehr darüber erfahren, wie die Regierung ihre Mitarbeiter zensiert.". Menschenrechtsdokumente online. doi:10.1163/2210-7975_HRD-9970-2016117. Abgerufen 2021-06-01.
  211. ^ Pournelle, Jerry (2004-04-22), "1001 Computerwörter, die Sie wissen müssen", Oxford University Press, doi:10.1093/oso/9780195167757.003.0007, ISBN 978-0-19-516775-7, abgerufen 2021-07-30 {{}}: Fehlen oder leer |title= (Hilfe)
  212. ^ Easttom, William (2021), "Kryptographie elliptische Kurve", Moderne Kryptographie, Cham: Springer International Publishing, S. 245–256, doi:10.1007/978-3-030-63115-4_11, ISBN 978-3-030-63114-7, S2CID 234106555, abgerufen 2021-06-01
  213. ^ Follman, Rebecca (2014-03-01). Von jemandem, der dort war: Informationen, die im Mentoring suchen. Ikonferenz 2014 Proceedings (These). ischools. doi:10.9776/14322. HDL:1903/14292. ISBN 978-0-9884900-1-7.
  214. ^ Weiss, Jason (2004), "Nachrichtenverdauungen, Nachrichtenauthentifizierungscodes und digitale Signaturen", Java Cryptography ExtensionsElsevier, S. 101–118, doi:10.1016/b978-012742751-5/50012-8, ISBN 978-0-12-742751-5, abgerufen 2021-06-05
  215. ^ Bider, D. (März 2018). "Verwendung von RSA-Tasten mit SHA-256 und SHA-512 im SSH-Protokoll (SSH)". doi:10.17487/rfc8332. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  216. ^ Noh, Jaewon; Kim, Jeehyeong; Kwon, Giwon; Cho, Sunghyun (Oktober 2016). "Sicheres Schlüsselaustauschschema für WPA/WPA2-PSK mit öffentlicher Schlüsselkryptographie". 2016 IEEE International Conference on Consumer Electronics-Asia (ICCE-Asia). IEEE: 1–4. doi:10.1109/ICCE-Asia.2016.7804782. ISBN 978-1-5090-2743-9. S2CID 10595698.
  217. ^ Van Buren, Roy F. (Mai 1990). "Wie Sie den Datenverschlüsselungsstandard verwenden können, um Ihre Dateien und Datenbasis zu verschlüsseln.". ACM Sigsac Review. 8 (2): 33–39. doi:10.1145/101126.101130. ISSN 0277-920x.
  218. ^ Bonneau, Joseph (2016), "Warum kaufen, wenn Sie mieten können?", Finanzkryptographie und Datensicherheit, Vorlesungen in Informatik, Berlin, Heidelberg: Springer Berlin Heidelberg, Vol. 9604, S. 19–26, doi:10.1007/978-3-662-53357-4_2, ISBN 978-3-662-53356-7, abgerufen 2021-06-05
  219. ^ Coleman, Heather; Andron, Jeff (2015-08-01), "Was GIS -Experten und politische Fachkräfte über die Verwendung von Marxan in Multiobjektivplanungsprozessen wissen müssen", Ozeanlösungen, Erdlösungen, Esri Press, doi:10.17128/9781589483651_2, ISBN 978-1-58948-365-1, abgerufen 2021-06-05
  220. ^ a b "Schlüsselverschlüsselungsschlüssel", SpringerReference, Berlin/Heidelberg: Springer-Verlag, 2011, doi:10.1007/SpringerReference_323, abgerufen 2021-06-05
  221. ^ Giri, Debase; Barua, Prithayan; Srivastava, P. D.; Jana, Biswapati (2010), "Ein Kryptosystem zur Verschlüsselung und Entschlüsselung langer vertraulicher Nachrichten", Kommunikation in Computer- und Informationswissenschaft, Berlin, Heidelberg: Springer Berlin Heidelberg, vol. 76, S. 86–96, Bibcode:2010isa..conf ... 86g, doi:10.1007/978-3-642-13365-7_9, ISBN 978-3-642-13364-0, abgerufen 2021-06-05
  222. ^ "Video von Spie - Die Internationale Gesellschaft für Optik und Photonik". dx.doi.org. doi:10.1117/12.2266326.5459349132001. Abgerufen 2021-06-05.
  223. ^ Vallabanei, S.R. (2008). Unternehmensmanagement, Governance und Best Practices der Ethik. John Wiley & Sons. p. 288. ISBN 9780470255803.
  224. ^ Shon Harris (2003). All-in-One CISSP-Zertifizierungsprüfungshandbuch (2. Aufl.). Emeryville, Kalifornien: McGraw-Hill/Osborne. ISBN 978-0-07-222966-0.
  225. ^ Boncardo, Robert (2018-09-20). "Jean-Claude Milners Mallarmé: Nichts hat stattgefunden". Edinburgh University Press. 1. doi:10.3366/Edinburgh/9781474429528.003.0005. S2CID 172045429.
  226. ^ "Die Bedeutung der operativen Due Diligence", Hedgefonds operative Due Diligence, Hoboken, NJ, USA: John Wiley & Sons, Inc., S. 49–67, 2015-10-16, doi:10.1002/9781119197485.ch2, ISBN 978-1-119-19748-5, abgerufen 2021-06-05
  227. ^ Hall, Gaylord C. (März 1917). "Einige wichtige diagnostische Punkte des allgemeinen Praktikers [sic] Sollte über die Nase wissen ". Southern Medical Journal. 10 (3): 211. doi:10.1097/00007611-191703000-00007. ISSN 0038-4348.
  228. ^ Renes, J. (1999). Landschappen van Maas en Peel: Een Toegepast Historisch-Geografisch Onderzoek in Het Streekplangebied Noord-en Midden-Limburg. Eisma. ISBN 90-74252-84-2. OCLC 782897414.
  229. ^ Thomas, Brook (2017-06-22). "Vorherige Schritte unternommen". Oxford Stipendium online. doi:10.1093/ACPROF: OSO/9780190456368.003.0002. ISBN 978-0-19-045639-9.
  230. ^ Lundgren, Regina E. (2018). Risikokommunikation: Ein Handbuch zur Kommunikation von Umwelt-, Sicherheit und Gesundheitsrisiken. ISBN 978-1-119-45613-1. OCLC 1043389392.
  231. ^ Jensen, Eric Talbot (2020-12-03), "Due Diligence bei Cyberaktivitäten", Due Diligence in der internationalen Rechtsordnung, Oxford University Press, S. 252–270, doi:10.1093/oso/9780198869900.003.0015, ISBN 978-0-19-886990-0, abgerufen 2021-06-05
  232. ^ "Die Sorgfaltspflicht der Analyse des Sorgfaltsrisikos" Standard ". Docra. Archiviert von das Original Am 2018-08-14. Abgerufen 2018-08-15.
  233. ^ Sutton, Adam; Cherney, Adrian; White, Rob (2008), "Bewertung der Kriminalprävention", Kriminalprävention, Cambridge: Cambridge University Press, S. 70–90, doi:10.1017/CBO9780511804601.006, ISBN 978-0-511-80460-1, abgerufen 2021-06-05
  234. ^ Check, Erika (2004-09-15). "Die FDA betrachtet Antidepressivumrisiken für Kinder". Natur. doi:10.1038/news040913-15. ISSN 0028-0836.
  235. ^ Auckland, Cressida (2017-08-16). "Ich schütze mich vor meiner Richtlinie: Gewährleistung geeigneter Sicherheitsvorkehrungen für Vorabrichtlinien in Demenz". Überprüfung des medizinischen Rechts. 26 (1): 73–97. doi:10.1093/medlaw/fwx037. ISSN 0967-0742. PMID 28981694.
  236. ^ Takach, George S. (2016), "Vorbereitung auf Verstoß gegen Rechtsstreitigkeiten", Vorbereitung und Reaktion von DatenverletzungenElsevier, S. 217–230, doi:10.1016/b978-0-12-803451-4.00009-5, ISBN 978-0-12-803451-4, abgerufen 2021-06-05
  237. ^ Westby, J. R.; Allen, J.H. (August 2007). "GES -Implementierungshandbuch für Enterprise Security (GES)" (PDF). Software Engineering Institute. Abgerufen 25. Januar 2018.
  238. ^ Fowler, Kevvie (2016), "Entwicklung eines Vorfall -Reaktionsplans für Computersicherheit", Vorbereitung und Reaktion von DatenverletzungenElsevier, S. 49–77, doi:10.1016/b978-0-12-803451-4.00003-4, ISBN 978-0-12-803451-4, abgerufen 2021-06-05
  239. ^ Bisogni, Fabio (2015). "Nachweis der Grenzen staatlicher Datenverletzungsgesetze: Ist ein Bundesgesetz die angemessenste Lösung?". SSRN Electronic Journal. doi:10.2139/ssrn.2584655. ISSN 1556-5068. S2CID 150627614.
  240. ^ "Plan für jeden Teil verstehen", Turbofluss, Productivity Press, S. 21–30, 2017-07-27, doi:10.1201/b10336-5, ISBN 978-0-429-24603-6, abgerufen 2021-06-05
  241. ^ "Iltanget.org". iLtanet.org. 2015.
  242. ^ a b Leonard, Wills (2019). Ein kurzer Leitfaden zum Umgang mit einem Cyber ​​-Vorfall. S. 17–18.
  243. ^ Johnson, Leighton R. (2014), "Teil 1. Vorfall -Reaktionsteam", Computer -Incident -Reaktion und Forensik -TeammanagementElsevier, S. 17–19, doi:10.1016/b978-1-59749-996-5.00038-8, ISBN 978-1-59749-996-5, abgerufen 2021-06-05
  244. ^ "Reaktion des Computerbetrags und Forensik -Teammanagement". Netzwerksicherheit. 2014 (2): 4. Februar 2014. doi:10.1016/s1353-4858 (14) 70018-2. ISSN 1353-4858.
  245. ^ "Cybersecurity -Bedrohungslandschaft und zukünftige Trends", Internet-Sicherheit, Routledge, S. 304–343, 2015-04-16, doi:10.1201/B18335-12, ISBN 978-0-429-25639-4, abgerufen 2021-06-05
  246. ^ Informationstechnologie. Sicherheitstechniken. Incident Management für Informationssicherheit, BSI Britische Standards, doi:10.3403/30268878u, abgerufen 2021-06-05
  247. ^ "Untersuchung eines Flussschrittvorfalls. dx.doi.org. doi:10.1021/acs.oprd.9b00366.s001. Abgerufen 2021-06-05.
  248. ^ Turner, Tim (2011-09-07), "Unser Anfang: Teammitglieder, die die Erfolgsgeschichte begonnen haben", Ein Team auf allen Ebenen, Productivity Press, S. 9–36, doi:10.4324/9781466500020-2, ISBN 978-0-429-25314-0, abgerufen 2021-06-05
  249. ^ Erlanger, Leon (2002). Verteidigungsstrategien. PC Magazine. p. 70.
  250. ^ "von Belgrads Hauptstraße. Die Veranstaltung fand in Absolute statt", Radikale Straßenleistung, Routledge, S. 81–83, 2013-11-05, doi:10.4324/9781315005140-28, ISBN 978-1-315-00514-0, abgerufen 2021-06-05
  251. ^ "Warum Auswahl so wichtig ist und was getan werden kann, um es zu bewahren". Die Manipulation der Wahl. Palgrave Macmillan. 2013. doi:10.1057/9781137313577.0010. ISBN 978-1-137-31357-7. Abgerufen 2021-06-05.
  252. ^ a b c "Handbuch zur Handhabung der Computersicherheit" (PDF). Nist.gov. 2012.
  253. ^ Borgström, Pernilla; Streengbom, Joachim; Viketoft, Maria; Bommarco, Riccardo (4. April 2016). "Tabelle S3: Ergebnisse aus linear gemischten Modellen, in denen nicht signifikant [sic] Parameter wurden nicht entfernt ". Peerj. 4: e1867. doi:10.7717/peerj.1867/opp-3. Abgerufen 2021-06-05.
  254. ^ Penfold, David (2000), "Auswahl, Kopieren, Verschieben und Löschen von Dateien und Verzeichnissen", ECDL -Modul 2: Verwenden des Computers und Verwaltung von Dateien, London: Springer London, S. 86–94, doi:10.1007/978-1-4471-0491-9_6, ISBN 978-1-85233-443-7, abgerufen 2021-06-05
  255. ^ Gumus, Onur (2018). ASP. Net Core 2-Grundlagen: Erstellen Sie plattformübergreifende Apps und dynamische Webdienste mit diesem serverseitigen Webanwendungs-Framework. Packt Publishing Ltd. ISBN 978-1-78953-355-2. OCLC 1051139482.
  256. ^ "Verstehen die Schüler, was sie lernen?", Probleme mit dem Schießen Ihres Unterrichts, Routledge, S. 36–40, 2005-02-25, doi:10.4324/9780203416907-8, ISBN 978-0-203-41690-7, abgerufen 2021-06-05
  257. ^ "Wo werden Filme restauriert, woher kommen sie und wer restauriert sie?", Filmrestauration, Palgrave Macmillan, 2013, doi:10.1057/9781137328724.0006, ISBN 978-1-137-32872-4, abgerufen 2021-06-05
  258. ^ Liao, Qi; Li, Zhen; Striegel, Aaron (2011-01-24). "Könnte Firewall -Regeln öffentlich sein - eine theoretische Spielperspektive". Sicherheits- und Kommunikationsnetzwerke. 5 (2): 197–210. doi:10.1002/Sek. 307. ISSN 1939-0114.
  259. ^ Boeckman, Philip; Greenwald, David J.; Von Bismarck, Nilufer (2013). Zwölftes jährliches Institut für Wertpapierregulierung in Europa: Überwindung von Deal-Making-Herausforderungen in den aktuellen Märkten. Praktizierender Rechtsinstitut. ISBN 978-1-4024-1932-4. OCLC 825824220.
  260. ^ "Abbildung 1.8. Die Ausgaben der sozialen Sicherheit sind gewachsen, während die Selbstfinanzierung gefallen ist". dx.doi.org. doi:10.1787/888932459242. Abgerufen 2021-06-05.
  261. ^ "Information Governance: Der entscheidende erste Schritt", Sicherung kritischer E-Dokumente, Hoboken, NJ, USA: John Wiley & Sons, Inc., S. 13–24, 2015-09-19, doi:10.1002/9781119204909.Ch2, ISBN 978-1-119-20490-9, abgerufen 2021-06-05
  262. ^ Er, Ying (1. Dezember 2017). "Herausforderungen des Lernens der Informationssicherheit Vorfälle: Eine industrielle Fallstudie in einer chinesischen Gesundheitsorganisation" (PDF). Informatik für Gesundheit und Sozialfürsorge. 42 (4): 394–395. doi:10.1080/17538157.2016.1255629. PMID 28068150. S2CID 20139345.
  263. ^ Kampfner, Roberto R. (1985). "Formale Spezifikation der Anforderungen des Informationssystems". Informationsverarbeitung und -verwaltung. 21 (5): 401–414. doi:10.1016/0306-4573 (85) 90086-x. ISSN 0306-4573.
  264. ^ Jenner, H.A. (1995). Bewertung von ökotoxikologischen Risiken von Elementauswaschungen aus pulverisierter Kohleasche. S.N.] OCLC 905474381.
  265. ^ "Desktop -Computer: Software", Praktische Pathologie -Informatik, New York: Springer-Verlag, S. 51–82, 2006, doi:10.1007/0-387-28058-8_3, ISBN 0-387-28057-x, abgerufen 2021-06-05
  266. ^ Wilby, R. L.; Orr, H.G.; Hedger, M.; Forrow, D.; Blackmore, M. (Dezember 2006). "Risiken, die durch den Klimawandel bei der Erbringung von Zielen der Wasserrahmenanweisung in Großbritannien ausgestattet sind". Umwelt International. 32 (8): 1043–1055. doi:10.1016/j.envint.2006.06.017. ISSN 0160-4120. PMID 16857260.
  267. ^ Campbell, T. (2016). "Kapitel 14: sichere Systementwicklung". Praktisches Informationssicherheitsmanagement: Ein vollständiger Leitfaden zur Planung und Implementierung. Apress. p. 218. ISBN 9781484216859.
  268. ^ L., Koppelman, Kent (2011). Verständnis menschlicher Unterschiede: Multikulturelle Bildung für ein vielfältiges Amerika. Pearson/Allyn & Bacon. OCLC 1245910610.
  269. ^ "NACHBEARBEITUNG", Einfache Szene, sensationeller Schuss, Routledge, S. 128–147, 2013-04-12, doi:10.4324/9780240821351-9, ISBN 978-0-240-82135-1, abgerufen 2021-06-05
  270. ^ Kumar, Binay; Mahto, Tulsi; Kumari, Vinita; Ravi, Binod Kumar; Deepmala (2016). "Quacksalber: Wie es sich auch in scheinbar einfachen Fällen als tödlich erweisen kann-ein Fallbericht". Medico-Legal-Update. 16 (2): 75. doi:10.5958/0974-1283.2016.00063.3. ISSN 0971-720x.
  271. ^ Priester, Sally (2019-02-22). "Gemeinsame Rollen und Verantwortlichkeiten im Hochwasserrisikomanagement". Journal of Flood Risk Management. 12 (1): e12528. doi:10.1111/jfr3.12528. ISSN 1753-318X. S2CID 133789858.
  272. ^ Vereinigte Staaten. Energiebehörde. Generalinspektor Office. Amt für wissenschaftliche und technische Informationen (2009). Prüfungsbericht, "Brandschutzmängel im Los Alamos National Laboratory.". Vereinigte Staaten. Energieabteilung. OCLC 727225166.
  273. ^ Toms, Elaine G. (Januar 1992). "Verwaltung von Änderungen in Bibliotheken und Informationsdiensten; ein Systemansatz". Informationsverarbeitung und -verwaltung. 28 (2): 281–282. doi:10.1016/0306-4573 (92) 90052-2. ISSN 0306-4573.
  274. ^ Abolhassan, Ferri (2003), "Der bei IDS Scheer implementierte Änderungsmanagementprozess", Geschäftsprozessänderungsmanagement, Berlin, Heidelberg: Springer Berlin Heidelberg, S. 15–22, doi:10.1007/978-3-540-24703-6_2, ISBN 978-3-642-05532-4, abgerufen 2021-06-05
  275. ^ Dawson, Chris (2020-07-01). Führender Kulturwandel. doi:10.1515/9780804774673. ISBN 9780804774673. S2CID 242348822.
  276. ^ McCormick, Douglas P. (22. März 2016). Family Inc.: Verwenden von Geschäftsprinzipien, um den Wohlstand Ihrer Familie zu maximieren. ISBN 978-1-119-21976-7. OCLC 945632737.
  277. ^ Schuler, Rainer (August 1995). "Einige Eigenschaften von Mengen unter jeder polynomialen rechtzeitigen Verteilung übergreifbar". Informationsverarbeitungsbriefe. 55 (4): 179–184. doi:10.1016/0020-0190 (95) 00108-o. ISSN 0020-0190.
  278. ^ "Abbildung 12.2. Anteil der Arbeitnehmer für eigene Konten, die im Allgemeinen nicht mehr als einen Kunden haben" (Excel). dx.doi.org. doi:10.1787/888933881610. Abgerufen 2021-06-05.
  279. ^ "Multi-Benutzer-Dateiserver für DOS LANS". Computerkommunikation. 10 (3): 153. Juni 1987. doi:10.1016/0140-3664 (87) 90353-7. ISSN 0140-3664.
  280. ^ "Organisatorische Veränderung definieren", Organisatorische Veränderungen, Oxford, Großbritannien: Wiley-Blackwell, S. 21–51, 2011-04-19, doi:10.1002/9781444340372.Ch1, ISBN 978-1-4443-4037-2, abgerufen 2021-06-05
  281. ^ Kirchmer, Mathias; Scheer, August-Wilhelm (2003), "Änderungsmanagement - Schlüssel für Business Process Excellence", Geschäftsprozessänderungsmanagement, Berlin, Heidelberg: Springer Berlin Heidelberg, S. 1–14, doi:10.1007/978-3-540-24703-6_1, ISBN 978-3-642-05532-4, abgerufen 2021-06-05
  282. ^ Mehr, Josh; Stieber, Anthony J.; Liu, Chris (2016), "Tier 2 - Advanced Help Desk - Help Desk Supervisor", In die Informationssicherheit einbrechenElsevier, S. 111–113, doi:10.1016/b978-0-12-800783-900029-x, ISBN 978-0-12-800783-9, abgerufen 2021-06-05
  283. ^ "Eine Anwendung von Bayes'schen Netzwerken bei der automatisierten Bewertung computergestützter Simulationsaufgaben", Automatisierte Bewertung komplexer Aufgaben bei computergestützten Tests, Routledge, S. 212–264, 2006-04-04, doi:10.4324/9780415963572-10, ISBN 978-0-415-96357-2, abgerufen 2021-06-05
  284. ^ Kavanagh, Michael J. (Juni 1994). "Veränderung, Veränderung, Veränderung". Gruppen- und Organisationsmanagement. 19 (2): 139–140. doi:10.1177/1059601194192001. ISSN 1059-6011. S2CID 144169263.
  285. ^ Taylor, J. (2008). "Kapitel 10: Verständnis des Projektveränderungsprozesses". Projektplanung und Kostenkontrolle: Planung, Überwachung und Kontrolle der Basislinie. J. Ross Publishing. S. 187–214. ISBN 9781932159110.
  286. ^ "17. Innovation und Veränderung: Kann jemand das tun?", Backstage in einer Bürokratie, University of Hawaii Press, S. 87–96, 2017-12-31, doi:10.1515/9780824860936-019, ISBN 978-0-8248-6093-6, abgerufen 2021-06-05
  287. ^ Braun, Adam (3. Februar 2015). Versprechen eines Bleistifts: Wie eine gewöhnliche Person außergewöhnliche Veränderungen führen kann. ISBN 978-1-4767-3063-9. OCLC 902912775.
  288. ^ "Beschreibung von Veränderungen innerhalb der Person im Laufe der Zeit", Längsschnittanalyse, Routledge, S. 235–306, 2015-01-30, doi:10.4324/9781315744094-14, ISBN 978-1-315-74409-4, abgerufen 2021-06-05
  289. ^ Ingraham, Carolyn; Ban, Patricia W. (1984). Gesetzgebung bürokratischer Veränderungen: Das Gesetz zur Reform des öffentlichen Dienstes von 1978. State University of New York Press. ISBN 0-87395-886-1. OCLC 10300171.
  290. ^ Wei, J. (2000-05-04). "Vorläufige Änderungsanfrage für den SNS 1.3 GeV-kompatiblen Ring". doi:10.2172/1157253. Osti 1157253. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  291. ^ Chen Liang (Mai 2011). "Zuteilungsprioritätsmanagement landwirtschaftlicher Wasserressourcen basierend auf der Theorie des virtuellen Wassers". 2011 Internationale Konferenz für Unternehmensmanagement und elektronische Informationen. IEEE. 1: 644–647. doi:10.1109/icbmei.2011.5917018. ISBN 978-1-61284-108-3. S2CID 29137725.
  292. ^ "Veränderungsrisiken und Best Practices im Geschäftsveränderungsmanagement Unverwaltetes Veränderungsrisiko führt zu Problemen für das Änderungsmanagement", Führung und Implementierung des Geschäftsumwandlungsmanagements, Routledge, S. 32–74, 2013-07-18, doi:10.4324/9780203073957-9, ISBN 978-0-203-07395-7, abgerufen 2021-06-05
  293. ^ Bragg, Steven M. (2016). Best Practices für Buchhaltung. Wiley. ISBN 978-1-118-41780-5. OCLC 946625204.
  294. ^ "Eine erfolgreiche Veränderung erfordert mehr als Änderungsmanagement". Human Resource Management International Digest. 16 (7). 2008-10-17. doi:10.1108/hrmid.2008.04416gad.005. ISSN 0967-0734.
  295. ^ "Planung der Wasserressourcen unter Klimawandel", Raumplanung und Klimawandel, Routledge, S. 287–313, 2010-09-13, doi:10.4324/9780203846537-20, ISBN 978-0-203-84653-7, abgerufen 2021-06-05
  296. ^ Rowan, John (Januar 1967). "Beantwortung des Computers zurück". Managemententscheidung. 1 (1): 51–54. doi:10.1108/eb000776. ISSN 0025-1747.
  297. ^ Biswas, Margaret R.; Biswas, Asit K. (Februar 1981). "Klimawandel und Lebensmittelproduktion". Landwirtschaft und Umwelt. 5 (4): 332. doi:10.1016/0304-1131 (81) 90050-3. ISSN 0304-1131.
  298. ^ "Backout", SpringerReference, Berlin/Heidelberg: Springer-Verlag, 2011, doi:10.1007/SpringerReference_8663, abgerufen 2021-06-05
  299. ^ "Redaktionsberater und Überprüfungsausschuss", Geschäft und Nachhaltigkeit: Konzepte, Strategien und Veränderungen, Kritische Studien zu Unternehmensverantwortung, Governance und Nachhaltigkeit, Emerald Group Publishing Limited, Vol. 3, S. XV-XVII, 2011-12-06, doi:10.1108/s2043-9059 (2011) 0000003005, ISBN 978-1-78052-438-2, abgerufen 2021-06-05
  300. ^ "Wo einmal ein Trugbild gewesen ist, das Leben muss sein", Neue und ausgewählte Gedichte, University of South Carolina Press, p. 103, 2014, doi:10.2307/j.ctv6sj8d1.65, ISBN 978-1-61117-323-9, abgerufen 2021-06-05
  301. ^ Bell, Marvin (1983). "Zwei, wenn es vielleicht drei gewesen sein könnte". The Antioch Review. 41 (2): 209. doi:10.2307/4611230. ISSN 0003-5769. JStor 4611230.
  302. ^ "Wir können auch Veränderungen vornehmen". Menschenrechtsdokumente online. doi:10.1163/2210-7975_HRD-0148-2015175. Abgerufen 2021-06-05.
  303. ^ Mazikana, Anthony Tapiwa (2020). "„Veränderung ist das Gesetz des Lebens. Und diejenigen, die nur in die Vergangenheit oder Gegenwart schauen, vermissen die Zukunft- John F. Kennedy ', die diese Aussage mit Verweisen auf Organisationen in Simbabwe bewerten, die von Veränderungen betroffen sind. ". SSRN Electronic Journal. doi:10.2139/ssrn.3725707. ISSN 1556-5068. S2CID 238964905.
  304. ^ Ramanadham, V. V. (Hrsg.). Privatisierung in Großbritannien. ISBN 978-0-429-19973-8. OCLC 1085890184.
  305. ^ "Komplexere/realistischere Rheologie muss implementiert werden; numerische Konvergenztests müssen durchgeführt werden". dx.doi.org. 2020-09-22. doi:10.5194/GMD-2020-107-RC2. S2CID 241597573. Abgerufen 2021-06-05.
  306. ^ Stein, Edward. Edward C. Stone Collection. OCLC 733102101.
  307. ^ Lientz, B (2002), "Entwickeln Sie Ihren Implementierungsplan für Verbesserungen", Verbesserung der Prozessverbesserung erzielenElsevier, S. 151–171, doi:10.1016/b978-0-12-449984-3.50011-8, ISBN 978-0-12-449984-3, abgerufen 2021-06-05
  308. ^ Smeets, Peter (2009). Expeditie Agroparken: Ontwerpend Ondderzoek Nais Metropolitan Landbouw en duozame Ontwikkeling. S.N.] ISBN 978-90-8585-515-6. OCLC 441821141.
  309. ^ "Abbildung 1.3. Ungefähr 50 Prozent der Wachstumsempfehlungen wurden implementiert oder sind im Umsetzungsprozess". dx.doi.org. doi:10.1787/888933323735. Abgerufen 2021-06-05.
  310. ^ Kekes, John (2019-02-21), "Muss Gerechtigkeit um jeden Preis erfolgen?", Harte Fragen, Oxford University Press, S. 98–126, doi:10.1093/oso/9780190919986.003.0005, ISBN 978-0-19-091998-6, abgerufen 2021-06-05
  311. ^ Forrester, Kellie (2014). Makroökonomische Auswirkungen von Veränderungen in der Zusammensetzung der Erwerbsbevölkerung. ISBN 978-1-321-34938-2. OCLC 974418780.
  312. ^ Choudhury, Gagan L.; Rappaport, Stephen S. (Oktober 1981). "Die Bedarf hat mehrere Zugriffssysteme mithilfe von Kollisionstypanforderungen zugewiesen". ACM Sigcomm Computerkommunikation Review. 11 (4): 136–148. doi:10.1145/1013879.802667. ISSN 0146-4833.
  313. ^ Crinson, Mark (2013). ""Bestimmte alte und schöne Dinge, deren Bedeutung abstrakt, veraltet ist": James Stirling und Nostalgie ". Im Laufe der Zeit ändern. 3 (1): 116–135. doi:10.1353/cot.2013.0000. ISSN 2153-0548.
  314. ^ Ahwidy, Mansour; Pemberton, Lyn (2016). "Welche Änderungen müssen innerhalb der LNHS vorgenommen werden, damit EHealth -Systeme erfolgreich umgesetzt werden sollen?". Proceedings der Internationalen Konferenz über Informations- und Kommunikationstechnologien für das Altern und E-Health. ScitePress: 71–79. doi:10.5220/0005620400710079. ISBN 978-989-758-180-9.
  315. ^ Mortimer, John (April 2010). Paradies verschoben. ISBN 978-0-14-104952-6. OCLC 495596392.
  316. ^ a b Soriani, Marco (2021-04-08). "Die Empfehlung von Bedenken hinsichtlich der SARS-CoV-2-Entwicklung der Fakultät sollte keine Bemühungen zur Erweiterung der Impfung zurückhalten". Nature Reviews. Immunologie. 21 (5). doi:10.3410/f.739855011.793584529. S2CID 242286470. Abgerufen 2021-06-05.
  317. ^ Frampton, Michael (2014-12-26), "Verarbeitungsdaten mit Kartenreduzierung", Big Data machte einfach, Berkeley, CA: Apress, S. 85–120, doi:10.1007/978-1-4842-0094-0_4, ISBN 978-1-4842-0095-7, abgerufen 2021-06-05
  318. ^ "Eine gute Studie insgesamt, aber mehrere Verfahren müssen repariert werden" (PDF). 2016-02-23. doi:10.5194/hess-2015-520-RC2. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  319. ^ Harrison, Kent; Craft, Walter M.; Hiller, Jack; McCluskey, Michael R. (1996-07-01). "Peer Review Coordinating Draft. Aufgabenanalyse für die Planung von Intelligenz in der Verhalten (kritische Kampffunktion 1): Wie von einer Bataillon -Task Force erreicht". Fort Belvoir, VA. Archiviert Aus dem Original am 19. Januar 2022. Abgerufen 18. Januar 2022.
  320. ^ itpi.org Archiviert 10. Dezember 2013 bei der Wayback -Maschine
  321. ^ "Buchzusammenfassung des sichtbaren Ops -Handbuchs: Implementierung von ITIL in 4 praktischen und praktischen Schritten". Wikisummaries.org. Abgerufen 2016-06-22.
  322. ^ Bigelow, Michelle (2020-09-23), "Veränderung der Kontrolle und Änderung des Managements", Implementierung der Informationssicherheit im Gesundheitswesen, Himss Publishing, S. 203–214, doi:10.4324/9781003126294-17, ISBN 978-1-003-12629-4, S2CID 224866307, abgerufen 2021-06-05
  323. ^ Wirtschaftskontinuitätsmanagement. Leitlinien zur Organisationserholung nach störenden Vorfällen, BSI Britische Standards, doi:10.3403/30194308, abgerufen 2021-06-05
  324. ^ Hoanh, Chu Thai (1996). Entwicklung einer computergestützten Hilfe zur integrierten Landnutzungsplanung (Cailup) auf regionaler Ebene in bewässerten Gebieten: Eine Fallstudie für die Quan Lo Phung Himep -Region im Mekong -Delta, Vietnam. ITC. ISBN 90-6164-120-9. OCLC 906763535.
  325. ^ 1 Hibberd, Gary (2015-09-11), "Entwicklung einer BCM -Strategie im Einklang mit der Geschäftsstrategie", Das endgültige Handbuch des Geschäftskontinuitätsmanagements, Hoboken, NJ, USA: John Wiley & Sons, Inc., S. 23–30, doi:10.1002/9781119205883.Ch2, ISBN 978-1-119-20588-3, abgerufen 2021-06-05
  326. ^ Hotchkiss, Stuart. Business Continuity Management: In der Praxis, British Informatics Society Limited, 2010. Proquest eBook Central, https://ebookcentral.proquest.com/lib/pensu/detail.action?docid=634527.
  327. ^ "Identifizieren potenzieller Fehler verursacht", Systemversagenanalyse, ASM International, S. 25–33, 2009, doi:10.31399/asm.tb.sfa.t52780025, ISBN 978-1-62708-268-6, abgerufen 2021-06-05
  328. ^ Clemens, Jeffrey. Risiken für die Renditen zur medizinischen Innovation: Der Fall der unzähligen Genetik. OCLC 919958196.
  329. ^ Beilageer, Genevieve (2013), "Maximal akzeptabler Ausfall", Enzyklopädie des Krisenmanagements, Thousand Oaks, CA: Sage Publications, Inc., doi:10.4135/9781452275956.n204, ISBN 978-1-4522-2612-5, abgerufen 2021-06-05
  330. ^ "Segmentdesign -Kompromisse", Software -Radioarchitektur, New York, USA: John Wiley & Sons, Inc., S. 236–243, 2002-01-17, doi:10.1002/047121664x.ch6, ISBN 978-0-471-21664-3, abgerufen 2021-06-05
  331. ^ Blundell, S. (1998). "In -Not - Integriertes Vorfallmanagement, Gesundheitswesen und Umweltüberwachung in Straßennetzwerken". IEE -Seminar nutzt es im öffentlichen Verkehr und in Rettungsdiensten. IEE. 1998: 9. doi:10.1049/IC: 19981090.
  332. ^ King, Jonathan R. (Januar 1993). "Notfallpläne und Business Recovery". Informationssystemmanagement. 10 (4): 56–59. doi:10.1080/10580539308906959. ISSN 1058-0530.
  333. ^ Phillips, Brenda D.; Landahl, Mark (2021), "Stärkung und Prüfung Ihres Geschäftskontinuitätsplans", GeschäftskontinuitätsplanungElsevier, S. 131–153, doi:10.1016/b978-0-12-813844-1.00001-4, ISBN 978-0-12-813844-1, S2CID 230582246, abgerufen 2021-06-05
  334. ^ Schnurr, Stephanie (2009), "Die 'andere' Seite des Führungsdiskurses: Humor und die Leistung relationaler Führungsaktivitäten", Führungsdiskurs bei der Arbeit, London: Palgrave Macmillan UK, S. 42–60, doi:10.1057/9780230594692_3, ISBN 978-1-349-30001-3, abgerufen 2021-06-05
  335. ^ Angegebene Zeitrelais für den industriellen Gebrauch, BSI Britische Standards, doi:10.3403/02011580U, abgerufen 2021-06-05
  336. ^ "Probe Generic Plan und Verfahren: Disaster Recovery Plan (DRP) für Operationen/Rechenzentrum". Gewalt am Arbeitsplatz. Elsevier. 2010. S. 253–270. doi:10.1016/b978-1-85617-698-900025-4. ISBN 978-1-85617-698-9. Abgerufen 2021-06-05.
  337. ^ "Informationstechnologie Disaster Recovery Plan". Katastrophenplanung für Bibliotheken. Chandos Information Professional Series. Elsevier. 2015. S. 187–197. doi:10.1016/b978-1-84334-730-9.00019-3. ISBN 978-1-84334-730-9. Abgerufen 2021-06-05.
  338. ^ "Der Katastrophenerholungsplan". Ohne Institut. Abgerufen 7. Februar 2012.
  339. ^ a b "Abbildung 1.10. Die Vorschriften im Nichtherstellungssektor haben erhebliche Auswirkungen auf das verarbeitende Gewerbe". dx.doi.org. doi:10.1787/888933323807. Abgerufen 2021-06-05.
  340. ^ Ahupuaʻa [Elektronische Ressource]: Weltumwelt- und Wasserressourcenkongress 2008, 12.-16. Mai 2008, Honolulu, Hawaii. Amerikanische Gesellschaft der Bauingenieure. 2008. ISBN 978-0-7844-0976-3. OCLC 233033926.
  341. ^ Großbritannien. Parlament. House of Commons (2007). Datenschutz [H.L.] Ein Gesetzesentwurf [in dem ständigen Ausschuss geändert] intituliert ein Gesetz, um eine neue Bestimmung für die Regulierung der Verarbeitung von Informationen zu Personen zu treffen, einschließlich der Erlangung, Haltung, Verwendung oder Offenlegung solcher Informationen. Proquest LLC. OCLC 877574826.
  342. ^ "Datenschutz, Zugriff auf persönliche Informationen und Datenschutzschutz", Regierungs- und Informationsrechte: Das Gesetz in Bezug auf den Zugang, die Offenlegung und deren Verordnung, Bloomsbury Professional, 2019, doi:10.5040/9781784518998.Kapitel-002, ISBN 978-1-78451-896-7, S2CID 239376648, abgerufen 2021-06-05
  343. ^ Lehonen, Lasse A. (2017-07-05), "Genetische Informationen und die Datenschutzrichtlinie der Europäischen Union", Die Datenschutzrichtlinie und die medizinische Forschung in ganz Europa, Routledge, S. 103–112, doi:10.4324/9781315240350-8, ISBN 978-1-315-24035-0, abgerufen 2021-06-05
  344. ^ "Data Protection Act 1998". Gesetzgebung.gov.uk. Das Nationalarchive. Abgerufen 25. Januar 2018.
  345. ^ "Computermissbrauchsgesetz 1990", Strafrechtsgesetze 2011-2012, Routledge, S. 114–118, 2013-06-17, doi:10.4324/9780203722763-42, ISBN 978-0-203-72276-3, abgerufen 2021-06-05
  346. ^ Dharmapala, Dhammika; Hines, James (Dezember 2006). "Welche Länder werden zu Steuerhasen?". Cambridge, MA. doi:10.3386/w12802. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  347. ^ "Abbildung 1.14. Die Teilnahmequoten sind gestiegen, aber das Erwerbswachstum hat sich in mehreren Ländern verlangsamt". dx.doi.org. doi:10.1787/888933367391. Abgerufen 2021-06-05.
  348. ^ "Computermissbrauchsgesetz 1990". Gesetzgebung.gov.uk. Das Nationalarchive. Abgerufen 25. Januar 2018.
  349. ^ "Richtlinie 2006/24/EC des Europäischen Parlaments und des Rates vom 15. März 2006". Eur-Glex. europäische Union. Abgerufen 25. Januar 2018.
  350. ^ "Verleumdung, Studentenaufzeichnungen und das Bundesgesetz über Familienausbildung und Datenschutz", Hochschulrecht, Routledge, S. 361–394, 2010-12-14, doi:10.4324/9780203846940-22, ISBN 978-0-203-84694-0, abgerufen 2021-06-05
  351. ^ a b "Die Schulen in Alabama erhalten NCLB -Stipendien, um die Leistungen der Schüler zu verbessern.". Psycextra -Datensatz. 2004. doi:10.1037/e486682006-001. Abgerufen 2021-06-05.
  352. ^ Turner-Goottschang, Karen (1987). China gebunden: Ein Leitfaden für das akademische Leben und die Arbeit in der VR China: Für den Ausschuss für wissenschaftliche Kommunikation mit der Volksrepublik China, National Academy of Sciences, American Council of Learned Societies, Social Science Research Council. National Academy Press. ISBN 0-309-56739-4. OCLC 326709779.
  353. ^ Kodifiziert bei 20 U.S.C. § 1232gmit Umsetzung Vorschriften in Titel 34, Teil 99 der Kodex für Bundesvorschriften
  354. ^ "Audit -Broschüre". Handbuch für Informationstechnologieprüfung. Ffiec. Abgerufen 25. Januar 2018.
  355. ^ Ray, Amy W. (2004), "Gesundheitsversicherung und Rechenschaftspflicht (HIPAA)", Enzyklopädie des Gesundheitswesens, Thousand Oaks, CA: Sage Publications, Inc., doi:10.4135/9781412950602.N369, ISBN 978-0-7619-2674-0, abgerufen 2021-06-05
  356. ^ "Public Law 104 - 191 - Gesetz zur Portabilität und Rechenschaftspflicht von Krankenversicherungen von 1996". US -Regierung Publishing Office. Abgerufen 25. Januar 2018.
  357. ^ "Öffentliches Recht 106 - 102 - Gramm -Leach -Bliley Act von 1999" (PDF). US -Regierung Publishing Office. Abgerufen 25. Januar 2018.
  358. ^ Alase, Abayomi Oluwatosin (2016). Die Auswirkungen des Sarbanes-Oxley Act (SOX) auf kleine öffentlich gehandelte Unternehmen und ihre Gemeinden (These). Bibliothek der Northeastern University. doi:10.17760/d20204801.
  359. ^ Solis, Lupita (2019). Bildungs- und berufliche Trends der Chief Financial Officers (These). Bibliothek der Portland State University. doi:10.15760/ehren.763.
  360. ^ "Public Law 107 - 204 - Sarbanes -Oxley Act von 2002". US -Regierung Publishing Office. Abgerufen 25. Januar 2018.
  361. ^ "PCI DSS Glossary, Abkürzungen und Akronyme", Zahlungskartenbranche Datensicherheit Standard Handbuch, Hoboken, NJ, USA: John Wiley & Sons, Inc., S. 185–199, 2015-09-18, doi:10.1002/9781119197218.Gloss, ISBN 978-1-119-19721-8, abgerufen 2021-06-05
  362. ^ "PCI -Aufschlüsselung (Kontrollziele und zugehörige Standards)", Zahlungskartenbranche Datensicherheit Standard Handbuch, Hoboken, NJ, USA: John Wiley & Sons, Inc., p. 61, 2015-09-18, doi:10.1002/9781119197218.Part2, ISBN 978-1-119-19721-8, abgerufen 2021-06-05
  363. ^ Ravallion, Martin; Chen, Shaohua (August 2017). "Wohlfahrtskonsistente globale Armutsmaßnahmen". doi:10.3386/w23739. Abgerufen 18. Januar 2022. {{}}: Journal zitieren erfordert |journal= (Hilfe)
  364. ^ "Zahlungskartenindustrie (PCI) Datensicherheitsstandard: Anforderungen und Sicherheitsbewertungsverfahren - Version 3.2" (PDF). Sicherheitsstandardsrat. April 2016. Abgerufen 25. Januar 2018.
  365. ^ "Benachrichtigungsgesetze für Sicherheitsverletzungen". Nationale Gesetzgebungskonferenz der Staatskonferenz. 12. April 2017. Abgerufen 25. Januar 2018.
  366. ^ Stein, Stuart G.; Schaberg, Richard A.; Biddle, Laura R., Hrsg. (23. Juni 2015). Finanzinstitutionen Antwortbuch, 2015: Recht, Governance, Compliance. ISBN 978-1-4024-2405-2. OCLC 911952833.
  367. ^ "Persönliche Informationen und Datenschutz", Schutz der persönlichen Informationen, Hart Publishing, 2019, doi:10.5040/9781509924882.Ch-002, ISBN 978-1-5099-2485-1, S2CID 239275871, abgerufen 2021-06-05
  368. ^ Kapitel 5. Ein Gesetz zur Unterstützung und Förderung des elektronischen Handels durch Schutz persönlicher Informationen, die unter bestimmten Umständen gesammelt, verwendet oder offengelegt werden, durch Bereitstellung der Verwendung elektronischer Mittel zur Kommunikation oder Aufzeichnung von Informationen oder Transaktionen und durch Änderung des Canada Evidence Act, die Gesetzesgesetze für gesetzliche Instrumente und das Gesetz über die Gesetz über Revision. Königindrucker für Kanada. 2000. OCLC 61417862.
  369. ^ "Kommentare". Überprüfung des Gesetzesgesetzes. 5 (1): 184–188. 1984. doi:10.1093/slr/5.1.184. ISSN 0144-3593.
  370. ^ "Persönlicher Datenschutz und elektronische Dokumente Gesetz" (PDF). Kanadischer Justizminister. Abgerufen 25. Januar 2018.
  371. ^ Werner, Martin (2011-05-11). "Datenschutzgeschützte Kommunikation für standortbasierte Dienste". Sicherheits- und Kommunikationsnetzwerke. 9 (2): 130–138. doi:10.1002/Sek. 330. ISSN 1939-0114.
  372. ^ "Regulierung für die Gewissheit der Vertraulichkeit in der elektronischen Kommunikation" (PDF). Regierungsblatt der Hellenic Republic. Hellenische Autorität für Kommunikationssicherheit und Privatsphäre. 17. November 2011. Abgerufen 25. Januar 2018.
  373. ^ de Guise, Preston (2020-04-29), "Sicherheit, Privatsphäre, ethische und rechtliche Überlegungen", Datenschutz, Auerbach Publications, S. 91–108, doi:10.1201/9780367463496-9, ISBN 978-0-367-46349-6, S2CID 219013948, abgerufen 2021-06-05
  374. ^ "Αριθμ. Απomat. 205/2013" (PDF). Regierungsblatt der Hellenic Republic. Hellenische Autorität für Kommunikationssicherheit und Privatsphäre. 15. Juli 2013. Abgerufen 25. Januar 2018.
  375. ^ "Definition der Sicherheitskultur". Der Rahmen der Sicherheitskultur. 9. April 2014.
  376. ^ Roer, Kai; Petric, Gregor (2017). Der Bericht über Sicherheitskultur 2017 - Einführliche Einblicke in den menschlichen Faktor. Cltre North America, Inc. S. 42–43. ISBN 978-1544933948.
  377. ^ Akhtar, Salman, hrsg. (2018-03-21). Gute Gefühle. Routledge. doi:10.4324/9780429475313. ISBN 9780429475313.
  378. ^ Anderson, D., Reimers, K. und Barretto, C. (März 2014). Sicherheit nach dem Sekundarer Bildungsnetzwerk: Ergebnisse der Bekämpfung der Endbenutzerherausforderung.
  379. ^ a b Schlienger, Thomas; Teufel, Stephanie (Dezember 2003). "Informationssicherheitskultur - von der Analyse zu Veränderungen". South African Computer Society (SAICSIT). 2003 (31): 46–52. HDL:10520/EJC27949.
  380. ^ "Iisp Skills Framework". Archiviert von das Original Am 2014-03-15. Abgerufen 2014-04-27.
  381. ^ "BSI-STANDARDS". BSI. Archiviert von das Original am 3. Dezember 2013. Abgerufen 29. November 2013.

Weitere Lektüre

Literaturverzeichnis

  • Allen, Julia H. (2001). Der CERT -Leitfaden für System- und Netzwerksicherheitspraktiken. Boston, MA: Addison-Wesley. ISBN 978-0-201-73723-3.
  • Krutz, Ronald L.; Russell Dean Vines (2003). Der CISSP -Vorbereitungshandbuch (Gold Ed.). Indianapolis, in: Wiley. ISBN 978-0-471-26802-4.
  • Layton, Timothy P. (2007). Informationssicherheit: Entwurf, Implementierung, Messung und Einhaltung. Boca Raton, FL: Auerbach Publications. ISBN 978-0-8493-7087-8.
  • McNab, Chris (2004). Bewertung der Netzwerksicherheit. Sebastopol, CA: O'Reilly. ISBN 978-0-596-00611-2.
  • Peltier, Thomas R. (2001). Analyse des Risikos der Informationssicherheit. Boca Raton, FL: Auerbach Publications. ISBN 978-0-8493-0880-2.
  • Peltier, Thomas R. (2002). Richtlinien, Verfahren und Standards für Informationssicherheit: Richtlinien für ein effektives Informationssicherheitsmanagement. Boca Raton, FL: Auerbach Publications. ISBN 978-0-8493-1137-6.
  • White, Gregory (2003). All-in-One Security+ Zertifizierungsprüfungshandbuch. Emeryville, CA: McGraw-Hill/Osborne. ISBN 978-0-07-222633-1.
  • Dhillon, Gurpreet (2007). Prinzipien der Informationssysteme Sicherheit: Text und Fälle. NY: John Wiley & Sons. ISBN 978-0-471-45056-6.
  • Whitman, Michael; Mattord, Herbert (2017). Prinzipien der Informationssicherheit. Cengage. ISBN 978-1337102063.

Externe Links