20 Abbildungsverzeichnis

Transkript

1 20 Abbildungsverzeichnis Abbildung 2-1: Abbildung 5-1: Abbildung 5-2: Abbildung 5-3: Abbildung 5-4: Abbildung 5-5: Abbildung 6-1: Abbildung 6-2: Abbildung 6-3: Abbildung 7-1: Abbildung 10-1: Abbildung 10-2: Abbildung 11-1: Abbildung 11-2: Abbildung 11-3: Abbildung 11-4: Abbildung 11-5: Abbildung 11-6: Abbildung 11-7: Abbildung 11-8: Abbildung 11-9: Abbildung 11-10: Abbildung 11-11: Abbildung 11-12: Abbildung 11-13: Abbildung 11-14: Abbildung 11-15: Abbildung 11-16: Abbildung 11-17: Abbildung 11-18: Abbildung 11-19: Abbildung 11-20: Abbildung 12-1: Abbildung 12-2: Abbildung 16-1: Abbildung 16-2: Abbildung 17-1: Abbildung 18-1: dreidimensionale IT- bzw. IKT- bzw. IKT-Sicherheits(management)- pyramide V nach Dr.-Ing. Müllerbzw. ISM-PyramideDr.-Ing.Müller 18 Informationssicherheitsprozess orientiert an BSI 40 ISO 27000er-Familie 50 Service-Management-Prozesse 60 ITIL Service Life Cycle 62 Struktur einer SOAP-Nachricht (Beispiel) 84 Schutzobjektklassen 111 Detaillierter Sicherheitsdreiklang nach Dr.-Ing. Müller 113 Detaillierter Risikodreiklang nach Dr.-Ing. Müller 115 Sicherheitspyramide V nach Dr.-Ing. Müller bzw. Sicherheitsmanagementpyramide V nach Dr.-Ing. Müller 122 House of Safety, Security and Continuity (HoSSC) 169 Safety, Security and Continuity Function Deployment (SSCFD) 170 Risikolandkarte und Risikoklassen (Beispiel) 187 Kern-, Support- und Begleitprozesse im Lebenszyklus 211 Begleitprozesse (Managementdisziplinen) 218 Risiko(management)pyramide V nach Dr.-Ing. Müller 228 Business Continuity Management mit der Sicherheitspyramide V 263 Kontinuitätspyrarnide V nach Dr.-Ing. Müller bzw. Kontinuitätsmanagementpyramide V nach Dr.-Ing. Müller 265 Business ContinuityPyramidV accordingto Dr.-Ing. Müller or BCM pyramid V according to Dr.-Ing. Müller 266 Datensicherungsmethoden 282 Über-Kreuz-Sicherung 287 Allgemeines Sicherheitsschalenmodell nach Dr.-Ing. Müller 291 Elemente des Securitymanagements gemäß Sicherheitsschalenmodell nach Dr.-In.g. Müller 295 Berechtigungswürfel bzw. -kubus 297 Subjekt-Subjektgruppe-Recht-Objektgruppe-Objekt-Modell 298 Taschenauthentifikator (Prinzipdarstellung) 304 Verschlüsselungsverfahren 314 Speichermedien 342 DAS, NAS, SAN 347 Firewallebenen (Prinzipdarstellung) 351 Webanwendungen (Prinzip der Sicherheitszonen) 354 Interdependenznetz (prinzipielles und vereinfachtes Beispiel) 375 Notfallablauf 406 EskalationstrichterDr.-Ing. Müller 408 Sieherheits-/RiSiKo-Studie/- Analyse 452 Sicherheitsregelkreis 458 Reifegradmodell nachdr.-in.g. Müller, hier für Sicherheit und RiSiKo 473 Sicherheits-/RiSiKo-(Management-)prozess nach Dr.-In.g. Müller 481 K. R. Müller, IT-Sicherheit mit System, DOI / _20, Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2011

2 21 Markenverzeichnis Die folgenden Angaben erfolgen ohne Gewähr und ohne Haftung. An jeder Stelle des Buches gelten die jeweiligen Schutzbestimmungen und -rechte in ihrer jeweils aktuellen Fassung. CERT und CERT Coordination Center" (CERT ICC) sind eingetragene Marken der Camegie Mellon University. Certified Information Security Manager'", CISMTM, Certified Information Security Auditor" und CISATM sind Marken der Information Systems Audit and Control Association'", Inc. (ISACA ). CMM, CMMI, Capability Maturity Model, Capability Maturity Model Integration" sind eingetragene Marken der Carnegie Mellon University. COBIT ist eine eingetragene Marke der Information Systems Audit and Control Association'" und des IT Governance Institute'", Honeynet Project ist eine eingetragene Marke des Honeynet Project, einer NOT-FOR PROFIT CORPORATlON. IDEA ist eine eingetragene Marke der NagravisionS.A. Information Systems Audit and Control Association" und ISACA sind eingetragene Marken der Information Systems Audit and Control Association". IT Governance Institute" und ITGI sind eingetragene Marken der Information Systems Audit and Control Association. ITIL ist eine eingetragenemarke des Office of Government Comrnerce (OGC). Kerberost ist eine Marke des Massachusetts Institute of Technology (MIT). Lotus Notes'" ist eine eingetragene Marke der International Business Machines Corporation (IBM). Microsoftf', Windows, NT sind eingetragene Marken der Microsoft Corporation. Novell ist eine eingetragene Marke der Novell Inc., USA. OASIS sowie die üblichen Abkürzungen von OASIS-Spezifikationen sind Marken oder eingetragene Marken des OASIS Konsortiums OGFsM, Open Grid Forum-", Grid Forum SM sind Marken des Open Grid Forums. OGSA und Open Grid Services Architecture" sind eingetragene Marken des Open Grid Forums Oracle'" ist eine eingetragene Marke der Oracle Corporation RC5 ist eine eingetragene Marke der EMC Corporation SAP ist eine eingetragene Marke der SAP AG. Stratus'" und Continuous Processing'" sind eingetragene Marken von Stratus Technologies Bermuda Ltd. UNIX ist eine eingetragene Marke der "The Open Group". Wi-Fi ist eineeingetragenemarke derwi-fi Alliance. zseries ist eine eingetragene Marke der International Business Machines Corporation (IBM). K. R. Müller, IT-Sicherheit mit System, DOI / _21, Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2011

3 22 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Die folgenden Unterkapitel nennen einige Gesetze, Verordnungen, Ausführungsbestimmungen, Grundsätze, Vorschriften, Standards, Normen und Practices, die im Zusammenhang mit dem Sicherheits-, Kontinuitäts- und Risikomanagement eine Rolle spielen. Diese sind teils branchenübergreifend und teils branchenspezifisch. Sie behandeln z. B. Themen wie Sorgfaltspflicht der Vorstandsmitglieder, Überwachungssystem, Risiken, Notfallplanung, Datenschutz und Ordnungsmäßigkeit. Lagebericht zur Informationssicherheit 2010 der <kes> [101] Aufgrund der in [101.] erhobenen Informationen ist das Bundesdatenschutzgesetz (BDSG) bei den Teilnehmern an der Sicherheitsstudie mit rund 95 % am bekanntesten und für über 90 % der Befragten auch relevant. Demgegenüber sind z. B. das Telekommunikationsgesetz (TKG) und die Telekommunikations Überwachungsverordnung (TKÜV) 80 %, das Telemediengesetz (TMG) über 60 %, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) mehr als 60 % der Befragten bekannt. Dies ist insofern ernüchternd, als Gesetze und Verordnungen z. B. für die Protokollierung auf Firewalls, Web- und Mail-Servern (s. a. [102]) eine hohe Bedeutung besitzen und das KonTraG die Einrichtung eines Risikomanagementsystems fordert Gesetze, Verordnungen und Richtlinien AG AGG AktG AMG BDSG BGB ChernG GmbHG GwG HGB InvG KonTraG Deutschland: Gesetze und Verordnungen Abgabenordnung Allgemeines Gleichbehandlungsgesetz Aktiengesetz Arzneimittelgesetz Bundesdatenschutzgesetz Bürgerliches Gesetzbuch Chemikaliengesetz GmbH-Gesetz Geldwäschegesetz Handelsgesetzbuch Investmentgesetz Gesetz zur Kontrolle und Transparenz im Untemehmensbereich K. R. Müller, IT-Sicherheit mit System, DOI / _22, Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2011

4 22.1 Gesetze, Verordnungen und Richtlinien 491 KWG PatG PfandBG ProdHaftG SGB SGBW SGB VII SGBX SigG SigV SolvV TKG TKÜV TMG UMAG UrhG VAG WpHG Kreditwesengesetz Patentgesetz Pfandbriefgesetz Pro dukthaftungsgesetz Sozialgesetzbuch Viertes Sozialgesetzbuch - Gemeinsame Vorschriften für die Sozialversicherung Siebtes Sozialgesetzbuch - Gesetzliche Unfallversicherung Zehntes Sozialgesetzbuch - Sozialverwaltungverfahren und Sozialdatenschutz Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) Verordnung zur elektronischen Signatur (Signaturverordnung) Solvabilitätsverordnung Telekommunikationsgesetz Verordnung über die technische und organisatorische Umsetzung von Maßnahmen zur Überwachung der Telekommunikation (Telekommunikations- Überwachungsverordnung) Telemediengesetz Gesetz zur Unternehmensintegrität und Modemisierung des Anfechtungsrechts Urheberrechtsgesetz Gesetz über die Beaufsichtigung der Versicherungsunternehmen (Versieherungsaufsichtsgesetz) Gesetz über den Wertpapierhandel (Wertpapierhandelsgesetz) Österreich: Gesetze und Verordnungen BWG Bankwesengesetz DSG2000 Datenschutzgesetz 2000 InfoSiG InfoSiV VAG Bundesgesetz über die Umsetzung völkerrechtlicher Verpflichtungen zur sicheren Verwendung von Informationen (Informationssicherheitsgesetz) Verordnung der Bundesregierung über die Informationssicherheit Versicherungsaufsichtsgesetz BankG BankV DSG FINMA RS 08/7 Schweiz: Gesetze, Verordnungen und Rundschreiben Bundesgesetz über die Banken und Sparkassen (Bankengesetz) Verordnung über die Banken und Sparkassen (Bankenverordnung) Bundesgesetz über den Datenschutz Rundschreiben 2008/7, Outsourcing Banken

5 492 FINMA RS 08/21 FINMA RS 08/32 FINMA RS 08/35 GeBüV GwG GwV FINMA1 GwV FINMA2 GwV FINMA3 VAG VDSG FoIA 22 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices Rundschreiben 2008/21, Operationelle Risiken Banken - Eigenmittelanforderungen für operationelle Risiken bei Banken Rundschreiben 2008/32, Corporate Governance Versicherer - Corporate Governance, Risikomanagement und Internes Kontrollsystem bei Versicherern Rundschreiben 2008/35, Interne Revision Versicherer - Interne Revision bei Versicherern Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung) Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung im Finanzsektor (Geldwäschereigesetz) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinderung von Geldwäscherei und Terrorismusfinanzierung im Banken-, Effektenhändler- und Kollektivanlagenbereich (Geldwäschereiverordnung FINMA 1) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinderung von Geldwäscherei und Terrorismusfinanzierung im Privatversicherungsbereich (Geldwäschereiverordnung-FINMA 2, GwV-FINMA 2) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinderung von Geldwäscherei und Terrorismusfinanzierung im übrigen Finanzsektor (Geldwäschereiverordnung-FINMA 3, GwV-FINMA 3) Bundesgesetz betreffend die Aufsicht über Versicherungsuntemehmen (Versicherungsaufsichtsgesetz) Verordnung zum Bundesgesetz über den Datenschutz Großbritannien: Gesetze Freedomof InformationAct (FoIA) Entscheidung 2000/52 O/EG Entscheidung 2002/16/EG Richtlinie 95/46/EG Richtlinie 2000/31/EG Europa: Entscheidungen und Richtlinien Entscheidung der Kommission vom 26. Juli 2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des "sicheren Hafens" und der diesbezüglichen "Häufig gestellten Fragen" (FAQ) gewährleisteten Schutzes, vorgelegt vom Handelsministerium der USA, 2000/520/EG Entscheidung der Kommission vom 27. Dezember 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarb eiter in Drittländern nach der Richtlinie 95/46/EG Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt ("Richtlinie über den elektronischen Geschäftsverkehr")

6 22.1 Gesetze, Verordnungen und Richtlinien 493 Richtlinie 2002/58/EG Richtlinie 2006/43/EG EuroSOX PIC/S PE PIC/S PI Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) Richtlinie 2006/43/EG des europäischen Parlaments und der Rates vom 17. Mai 2006 über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen (EuroSOX) European Communities: Guidelines on best practices for using electronic information, 1997 Guide to Good Manufacturing Practice for Medicinal Products, Annexes, PE 009-9, PIC/S, 1. September2009 Good Practices for Computerised Systems in Regulated //GxP" Environments, PI 011-3, PIC/S, 25. September CFR Part CFR Part CFR Part CFR Part 820 CGMP COPPA COSO: Internal Control DPPA FDIC, Managing Multiple Service Providers FDIC, Selecting a Service Provider FERPA FFIEC, BCP FFIEC, D&A USA: Gesetze, Practices und Prüfvorschriften Electronic Records; Electronic Signatures, Code of Federal Regulations; Title 21, Part 11 Good Laboratory Practice for Nonclinical Laboratory Studies regulations, Code of Federal Regulations, Title 21, Part 58 Current Good Manufacturing Practice for Finished Pharmaceuticals, Code of FederalRegulations, Title 21, Part211 Quality System regulation, Code of Federal Regulations, Title 21, Part 820 Current Good Manufacturing Practice Children's Online Privacy Protection Act Internal Control - Integrated Framework (1992) Internal Control over Financial Reporting - Guidance for Smaller Public Companies (2006) Guidance on Monitoring Internal Control Systems (2009) Drivers Privacy Protection Act Electronic Communications Privacy Act Technology Outsourcing, Techniques for Managing Multiple Service Providers TechnologyOutsourcing, Effective Practices for Selecting a Service Provider Family Educational Rights and Privacy Act IT Examination Handbook, Business Continuity Planning, März 2008 IT Examination Handbook, Development and Acquisition, April 2004

7 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices FF1EC,1S FF1EC,MGT FF1EC,OPS FF1EC,OT FF1EC, TSP F1SMA GLBA sax SSA IT Examination Handbook, InformationSecurity, Juli 2006 IT Examination Handbook, Management (IT Risk Management Process), Juni 2004 IT Examination Handbook, Operations, Juli 2004 IT Examination Handbook, Outsourcing Technology Services, Juni 2004 IT Examination Handbook, Supervision of Technology Service Providers (TSP),März 2003 Federal Information Security Management Act of 2002 Gramrn-Leach-Bli1ey Act Privacy Act Sarbanes-Oxley Act Social SecurityAct Examination Manual for D.S. Branches and Agencies of Foreign Banking Organizations 22.2 Ausführungsbestimmungen, Grundsätze, Vorschriften Basel 11 GDPdU GoB GoBS GoDV GoS 1DW PH DW PS 330 1DW PS 525 1DW PS 880 1DW PS 951 1DW EPS 980 Internationale Konvergenz der Kapitalrnessung und Eigenkapitalanforderungen Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen Grundsätze ordnungsmäßiger Buchführung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme. Die GoBS sollen durch die "Grundsätze ordnungsmäßiger Buchführung beim IT-Einsatz" (GoBIT) abgelöst werden. Grundsätze ordnungsmäßiger Datenverarbeitung [7] Grundsätze ordnungsmäßiger Speicherbuchführung (neu gefasst in GoBS) Einsatz von Datenanalysen im Rahmen der Abschlussprüfung, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Stand: Abschlußprüfung bei Einsatz von Informationstechnologie, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Stand: Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Stand: Die Prüfung von Softwareprodukten, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Stand: Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungsuntemehmen ausgelagerte Funktionen, Verlautbarung des Instituts derwirtschaftsprüfer (IDW), Stand Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Entwurf, Stand:

8 22.3 Standards, Normen, Leitlinien und Rundschreiben 495 IDW RS FAlT 1 IDW RS FAlT 2 IDW RSFAIT3 InvMaRisk MaluK MaRiskBA MaRiskVA MaComp Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informationstechnologie, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Fachausschuss für Informationstechnologie (FAlT), Stand: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Fachausschuss für Informationstechnologie (FAlT), Stand: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW), Fachausschuss für Informationstechnologie (FAlT), Stand: Mindestanforderungen an das Risikomanagement für Investmentgesellschaften (InvMaRisk), Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informations- und Kommunikationstechnik - IuK-Mindestanforderungen Mindestanforderungen an das Risikomanagement (Bankenaufsicht), Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement (Versicherungsaufsicht), Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach 31 H. WpHG, Standards, Normen, Leitlinien und Rundschreiben ANSIIIEEE Std ANSIIIEEE Std ANSIIIEEE Std. 1012a-1998 ANSI TIA 942 ANSIINECAI BICSI-002 Baseler Ausschuss, Compliance, April 2005 Baseler Ausschuss, Risk Management Principles, Juli 2003 Baseler Ausschuss, Sound Practices, Februar 2003 BS 25777:2008 Standard for Software Test Documentation Standard for Software Unit Test Standard for Software Verification and Validation Plans Telecommunications Infrastructure Standard for Data Centers, 2005 Data Center Design and Implementation Best Practices, Stand: Mai 2010 Compliance and the compliance function in banks Risk Management Principles for Electronic Banking, Baseler Ausschuss Sound Practices for the Management and Supervision of Operational Risk, Baseler Ausschuss Information and communications technology continuity management - Code of practice

9 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices BS :2006 BS :2007 BSI-Standard 100-1:2008 BSI-Standard 100-2:2008 BSI-Standard 100-3:2008 BSI-Standard 100-4:2008 cc, V3.1, R3 CEM, V3.1, R3 CSPP-OS DIN EN ISO 9001 DIN ISO DIN ISO DINEN12251 DIN DIN DIN25424 DIN25448 DIN DIN Business Continuity Management - Code of practice. Diese britische Norm ersetzt PAS 56:2003 Business Continuity Management - Specification Managementsysteme für Informationssicherheit (ISMS), Version 1.5, Mai 2008 IT-Grundschutz-Vorgehensweise, Version 2.0, Mai 2008 Risikoanalyse auf der Basis von IT-Grundschutz, Version 2.5, Mai 2008 Notfallmanagement, Version 1.0, November 2008 Common Criteria, Version 3.1, Revision 3, Juli 2009 Common Methodology for Information Security Evaluation, Version 3.1, Revision 3, Juli 2009 Capability Maturity Model (Vorgänger des CMMI ) Capability Maturity Model Integration Control Objectives for Information and related Technology COTS Security Protection Profile - Operating Systems Qualitätsmanagementsysteme - Anforderungen Elektronischer Datenaustausch für Verwaltung, Wirtschaft und Transport (EDIFACT) - Syntax-Regeln auf Anwendungsebene - Teil 9: Sicherheitsschlüssel- und Zertifikatsverwaltung Qualitätsmanagement - Leitfaden für Konfigurationsmanagement Medizinische Informatik - Sichere Nutzeridentifikation im Gesundheitswesen - Management und Sicherheit für die Authentifizierung durch Passwörter, EDIFACT - Anwendungsregeln - Teil 15: Anwendung des Service Nachrichtentyps AUTACK zur Übermittlung von Integritäts- und Authentizitätsinformationen über versendete Nutzdaten Elektronischer Datenaustausch für Verwaltung, Wirtschaft und Transport (EDIFACT) - Teil 4: Regeln zur Auszeichnung von UN/EDIFACT Übertragungsdateien mit der extensible Markup Language (XML) unter Einsatz von Document Type Definitions (DTD's) Fehlerbaumanalyse, Teil 1: Methode und Bildzeichen, Teil 2: Handrechenverfahren zur Auswertung eines Fehlerbaumes Ausfalleffektanalyse (Fehler-Möglichkeits- und - Einfluss-Analyse) Büro- und Datentechnik - Vernichtung von Informationsträgem Teil 1: Anforderungen und Prüfungen an Maschinen und Einrichtungen Zuverlässigkeit; Begriffe

10 22.3 Standards, Normen, Leitlinien und Rundschreiben 497 DIN EN DIN EN DIN EN DIN EN DIN EN EN , 2 FinTS GAMP@ GERM HBCI IEC ISO/IEC Guide73 ISO/IEC ISO 10007:2003 ISO/lEC ISO/lEC 12207:2008 ISO/lEC ,2,3 Bahnanwendungen - Spezifikation und Nachweis der Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS) {RAMS = Reliability, Availability, Maintainability, Safety) Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Software für Eisenbahnsteuerungs- und Überwachungssysteme Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik Unterbrechungsfreie Stromversorgungssysteme (USV)- Teil 3: Methoden zur Festlegung der Leistungs- und Prüfungsanforderungen (IEC ) Anwendung des Risikomanagements für IT-Netzwerke mit Medizinprodukten - Teil 1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC 62A/668/CDV:2009);Deutsche Fassung FprEN :2009 Wertbehältnisse - Klassifizierung und Methoden zur Prüfung des Widerstandes gegen Brand Teil 1: Datensicherungsschränke Teil 2: Datensicherungsräume und Datensicherungscontainer Financial Transaction Services The Good Automated Manufacturing Practice (GAMp ) - Guide for Validation of Automated Systems in Pharmaceutical Manufacture Good Electronic Records Management Horne Banking Computer Interface Risk analysis of technological systems Risiko-Management - Wörterbuch - Leitfaden für die Berücksichtigung von termini zum Risiko-Management in Normen Informationstechnik - Begriffe - Teil 8: Sicherheit, Quality management systems - Guidelines for configuration management Information technology - Security techniques - Hash-functions Part 1: General, 2000 Part 2: Hash-functions using an n-bit block cipher, 2010 Part 3: Dedieated hash-functions, 2004, Amd 1:2006 Part 4: Hash-functions using modular arithrnetic, 1998 Systems and software engineering - Software life cycle proeesses Information technology - Security techniques - Non-repudiation Part 1: General, 2009 Part 2: Mechanisms using symmetrie techniques, 2010 Part 3: Mechanisms using asymmetric techniques, 2009

11 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices ISO/IEC ,2,3 ISO/TS ISO/lEC ,2,3 ISO/lEC TR ,2,3 ISO/lEC TR 15446:2009 ISO , 1 SO/TR ISO/IEC TR ISO/lEC ,5 Information technology - Security techniques - Digital signatures with appendix Part 1: General, 2008 Part 2: Integer factorization based mechanisms, 2008 Part 3: Discrete logarithm based mechanisms, 2006; Cor 1:2007; Cor. 2:2009;Amd 1:2010 Erweiterbare Auszeichnungssprache für das elektronische Geschäftswesen (ebxml),teil 1 bis 5, Vomorm Information technology - Security techniques - Evaluation criteria for IT security s. a. Common Criteria Part 1: Introduction and general model, 2009 Part 2: Security functional components, 2008 Part 3: Security assurance components, 2008 Information technology - Security techniques - A framework for IT security assurance (Ein Rahmenwerk zur Qualitätssicherung der IT-Sicherheit) Part 1: Overview and framework, 2005 Part 2: Assurance methods, 2005 Part 3: Analysis of assurance methods, 2007 Information technology - Security techniques - Guide for the production of Protection Profiles and Security Targets Information and documentation: Records management Part 1: General Part 2: Guidelines. Informationstechnik - Bewertung von Software-Prozessen Part 1: Concepts and vocabulary, 2004 Part 2: Performing an assessment, 2003;Cor 1: 2004 Part 3: Guidance on performing an assessment, 2004 Part 4: Guidance on use for process improvement and process capability determination, 2004 Part 5: An exemplar Process Assessment Model, 2006 Part 6: An exemplar system life cycle process assessment model, 2008 Part 7: Assessment of organizational maturity, 2008 Part 8: An exemplar process assessment model for IT service management, in Entwicklung Part 9: Capability Target Profiles, in Entwicklung Part 10: Safety Extensions, in Entwicklung Information technology - Security techniques - Cryptographic techniques based on elliptic curves Part 1: General, 2008, Cor 1:2009 Part 5: Elliptic curve generation, 2009

12 22.3 Standards, Normen, Leitlinien und Rundschreiben 499 ISO/IEC 16085:2006 ISO ISO/lEe ISO/lEC 18043:2006 ISO/lEC TR 18044:2004 ISO/lEC 18045:2008 ISO TR 18307:2001 ISO FDIS ISO 19092:2008 lso/iec : :2009 lso/iec 19791:2010 lso/iec 19792:2009 Systems and software engineering - Life cycle proeesses - Risk management Health informaties - Publie key infrastructure Part 1: Overview of digital certificate services, 2008 Part 2: Certifieate profile, 2008 Part3: Policy managementof eertifieation authority, 2008 Information technology - Security techniques - IT network security Part 2: Network security architeeture, 2006 Part 3: Securing eommunieations between networks using security gateways, 2005 Part 4: Securing remote aceess, 2005 Part 5: Securing communications across networks using virtual private networks, Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems Information Technology - Security Techniques - Information security incident management Information technology - Security techniques - Methodology for IT security evaluation Health informaties - Interoperability and eompatibility in messaging and communieation standards - Key characteristies Health informatics - Requirements for an electronic health record architecture Financial services - Biometries - Security framework Information technology - Software asset management Part 1: Proeesses Part2:Softwareidentificationtag Information technology - Security techniques - Security assessment of operational systems Die Norm gibt Anleitung und definiert Evaluationskriterien zur Sicherheitsbewertung von Betriebssystemen und erweitert so das Einsatzgebiet der ISO/IEC auf Betriebssysteme. Information technology - Security teehniques - Security evaluation of biometrics

13 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices ISO/IEC ,2, TR :2009 TR :2010 TR :2010 NP TR ISO/IEC WD20004 ISOTR 20514:2005 ISO/IEC :2004 ISO TS 21091:2005 ISO TS 21298:2008 ISO/IEC 21827:2008 ISOTR 22221:2006 ISO/DIS ISO/DIS ISO 22307:2008 ISO/CD ISO/DTR ISO/DIS ISO/WD ISO/CD ISO/PAS 22399:2007 ISO TS Information technology - Service management Part 1: Specification, In Überarbeitung. Part 2: Code of practice, 2005.In Überarbeitung. Part 3: Guidance on scope definition and applicability of ISO/IEC Part4: Process Reference Model Part5: Exemplar implementation plan for ISO/IEC Part 10: Concepts and terminology Information technology - Security techniques - Secure software development and evaluation under ISO/IEC and ISO/IEC Health informatics - Electronic health record - Definition, scope and context Information technology - Multimedia framework (MPEG-21) - Part 5: Rights Expression Language Health informatics - Directory services for security, communications and identification of professionals and patients Health informatics - Functional and structural roles Information technology - Security techniques - Systems Security Engineering - Capability Maturity Model (SSE-CJvIM ) Health informatics - Good principles and practices for a clinical data warehouse Societal security - Vocabulary Societal security - Preparedness and continuity management systems - Requirements Financial services - Privacy impact assessment Societal security - Videosurveillance Format for Interoperability Societal security - Technological Capabilities Societal security - Emergency management - Requirements for command and control Organizational resilience management systems - Requirements with guidance for use Societal security - Guidelines for exercises and testing Societal security - Guideline for incident preparedness and operational continuity management Health informatics - Privilege management and access control Part 1: Overview and policy management, 2006

14 22.3 Standards, Normen, Leitlinien und Rundschreiben 501 ISO/IEC TR :2007 TR :2010 ISO/IEC 24759:2008 ISO/IEC FCD AWI AWI ISO/IEC 24761:2009 ISO/IEC 24762:2008 ISO/IEC DTR24763 ISO/IEC 24764:2010 ISO/IEC 24775:2007 ISO/IEC 25000:2005 ISO/IEC 25001:2007 ISO FDIS ISO/IEC 27000:2009 Part 2: Formal models, 2006 Part 3: Implementations, 2009 Information technology - Programming languages, their environments and system software interfaces - Extensions to the C library Part 1: Bounds-checking interfaces Part 2: Dynamic Allocation Functions Information technology - Security techniques - Test requirements for cryptographic modules Information technology - Security techniques - A Framework for Identity Management Part2: Reference architecture and requirements Part 3: Practice Information technology - Security techniques - Authentication context for biometries (ACBio) Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services Information technology - Learning, education and training - Coneeptual referenee model for eompetencies and related objeets Information technology - Generic cabling systems for data-centres Information technology - Storage management Software Engineering - Software product Quality Requirements and Evaluation (SQuaRE) - Guide to SQuaRE Software Engineering - Software produet Quality Requirements and Evaluation (SQuaRE) - Planning and management Road vehicles - Functional safety Part 1: Vocabulary Part 2: Management of functional safety Part 3: Concept phase Part 4: Product development at the system level Part 5: Product development at the hardware level Part 6: Product development at the software level Part 7: Production and operation Part 8: Supporting processes Part 9: Automatie Safety Integrity Level Part 10: Guideline on ISO Information technology - Security techniques - Information security management systems - Overview and vocabulary

15 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2008 ISO/IEC 27006:2007 ISO/IEC FCD27007 ISO/lEC DTR27008 ISO/lEC CD ISO/lEC 27011:2008 ISO/lEC WD27013 ISO/lEC CD ISO/lEC WD27015 ISO/lEC WD TR27016 ISO/lEC FDIS ISO/lEC CD ISO/lEC :2009 FCD :2010 WD Information technology - Security techniques - Information security management systems - Requirements Information technology - Security techniques - Code of practice for information security management. Standard, der seit Juli 2007 die bisherige ISO 17799:2005 unter dieser neuen Nummer weiterführt. Information technology - Security techniques -Information security management system implementation guidance Information technology - Security techniques - Information security management - Measurement Information technolow - Security techniques - Information security risk management. In Uberarbeitung. Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems Information technology - Security techniques - Guidelines for information security management systems auditing Information technology - Security techniques - Guidance for auditors on ISMS controls Information security management for inter-sector and inter-organizationalcommurrications Information technology - Security techniques - Information security management guidelines for telecommurrications organizations based on ISO/IEC (s. a. X.I051 - Information Security Management System - Requirements for Telecommunications (ISMS-T» Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC and ISO/IEC Proposal on an Govemance of information security Proposal on Information security management guidelines for financial and insurance services Information technology - Security techniques - Information security management - Organizational economics Information technology - Security techniques - Guidelines for information and communication technology readiness for business continuity Guidelines for cybersecurity Information technology - Security techniques - Network security Part 1: Overview and concepts Part 2: Guidelines for the design and implementation of network security (ersetzt ISO/IEC :2006) Part 3: Reference networking seenarios - Threats, design techniques and control issues Part 4: Securing communications between networks using security

16 22.3 Standards, Normen, Leitlinien und Rundschreiben 503 ISO/IEC FCD WD NP NP NP ISO/IEC FCD27035 ISO/IEC NP ISO/IEC CD ISO 27799:2008 ISO/IEC FCD29100 ISO/lEC CD ISO/lEC TR 29125:2010 ISO/IEC WD29190 ISO/IEC 29361:2008 ISO/IEC 29362:2008 ISO/IEC 29363:2008 ISO 31000:2009 ISO/IEC 31010:2009 ISO/IEC 38500:2008 ISO/IEC 90003:2004 IT-GSK ITIL gateways - Threats, design techniques and control issues (ersetzt ISO/IEC :2005)Threats Information technology - Security techniques - Application security Part 1: Overview and concepts Part 2: Organization normative framework Part 3: Application security management process Part 4: Application security validation Part 5: Protocols and application security controls data structure Information technology - Security techniques - Information security incident management Information technology - Security techniques - Guidelines for security of outsourcing Guidelines for identification, collection, acquisition and preservation of digital evidence Health informatics - Information security management in health using ISO/IEC Information technology - Security techniques - Privacy framework Information technology - Security techniques - Privacy reference architecture Information technology - Telecommunications cabling requirements for remote powering of terminal equipment Proposal on Privacy capability assessment model Information technology - Web Services Interoperability - W5-I Basic Profile Version 1.1 Information technology - Web Services Interoperability - WS-I Attachments Profile Version 1.0. Information technology - Web Services Interoperability - WS-I Simple SOAP Binding Profile Version 1.0 Risk management - Principles and guidelines Risk management - Risk assessment techniques Corporate govemance of information technology Software engineering - Guidelines for the application of ISO 9001:2000 to computer software IT-Grundschutzkataloge des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI). IT Infrastructure Library des Office of Government Commerce (OGC)

17 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices ITSEC MISRA NIST IR 7298 NIST SP NIST SP , Rev.A NIST SP NIST SP NIST SP , Revision 1 NIST SP , Revision 3 NIST SP A, Revision 1 NIST SP NIST SP NIST SP NIST SP NIST SP NIST SP NIST SP OECDcGLP PAS 77:2006 SPICE The Joint Forum, Outsourcing, Februar 2005 Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC),Bundesanzeiger, Stand: Juni 1991 Guidelines for the use of the C language in critical systems Guidelines for the use of the C++language in critical systems Glossary of Key Information Security Terms, NIST IR 7298, Revision 1, NIST, Februar 2011 Information Security Training Requirements: A Role- and Performance-Based Model, Revision 1 (Draft), NIST, März 2009 Engineering Principles for IT Security, Revision A, NIST, Juni 2004 Risk Management Guide for Information Technology Systems, NIST, Juli 2002 Guide to Selecting Information Technology Security Products, NIST, Oktober 2003 Guidelines on Firewalls and Firewall Policy, Revision 1, NIST, September2009 Recommended Security Controls for Federal Information Systems and Organizations, Revision 3, NIST, August 2009, Errata Mai 2010 Guide for Assessing the Security Controls in Federal Information Systems and Organizations, Building Effective Security Assessment Plans, NIST, Juni 2010 Guide to Intrusion Detection and Prevention Systems (IDPS), NIST, Februar 2007 Guide to Secure Web Services, NIST, August 2007 Technical Guide to Information Security Testing and Assessment, NIST, September 2008 Guide to General Server Security, NIST, Oktober 2008 Guidelines on Cell Phone and PDA Security, NIST, Juli 2008 Guide for Security Configuration Management of Information Systems, DRAFT, NIST, März 2010 Information Security Continuous Monitoring for Federal Information Systems and Organizations, DRAFT, NIST, Dezember 2010 Die Anwendung der GLP-Grundsätze auf computergestützte Systeme, Schriftenreihe über die Grundsätze der Guten Laborpraxis und Überwachung ihrer Einhaltung, Nummer 10 IT Service Continuity Management - Code of Practice Software Process Improvement and Capability determination, s. a. ISO/IEC TR Outsourcing in Financial Services, The Joint Forum, Basel Committee on Banking Supervision

18 22.3 Standards, Normen, Leitlinien und Rundschreiben 505 TheJoint Forum, Business Continuity, August 2006 AVDL,2004 CAF,2010 DSS,2007 DSS: AdES, 2007 DSS: Abstract Code Signing,2007 DSS: EPM, 2007 DSS: GermanSignature Laui, 2007 DSS: J2ME Code Signing, 2007 DSS: Timestamping, 2007 EDXL-DE, 2006 EDXL-HAVE, 2009 EDXL-RM, 2009 SAML,200S SOA,2006 SPML,2006 UDDI,200S WSS: Kerberos, 2006 WSS: REL, 2006 High-level principles for business continuity, Consultative document, The Joint Forum, Basel Committee on Banking Supervision Application Vulnerability Description Language v1.0, Mai 2004 Common Alerting Protocol v1.2, Juli 2010 Digital Signature Service Core Protocols, Elements, and Bindings vl.0, Apri12007 Advanced Electronic Signature Profiles of the OASIS Digital Signature Service 1.0, 11. April 2007 Abstract Code-Signing Profile of the OASIS Digital Signature Services 1.0,OASIS, 11. April 2007 Electronic PostMark (EPM) Profile of the OASIS Digital Signature Service 1.0, OASIS, 11. April 2007 German Signature Law Profile of the OASIS Digital Signature Service Version 1.0, OASIS, 11. April 2007 J2ME Code-Signing Profile of the OASIS Digital Signature Services, OASIS, 11. April 2007 XML Timestamping Profile of the OASIS Digital Signature Services 1.0,OASIS, 11. April 2007 Emergency Data Exchange Language (EDXL),Distribution Element, v 1.0, OASIS, Mai 2006 Emergency Data Exchange Language (EDXL), Hospital AVailability Exchange (HAVE), Version 1.0, Incorporating Approved Errata, OA SIS, Dezember 2009 Emergency Data Exchange Language Resource Messaging (EDXL-RM) 1.0, Incorporating Approved Errata, OASIS, Dezember 2009 Security Assertion Markup Language (SAML) v2.0, OASIS, 15. März 2005 Reference Model for Service Oriented Architecture 1.0, OASIS@, Oktober 2006 Service Provisioning Markup Language, v2.0, OASIS@, April 2006 Universal Description, Discovery and Integration (UDDI), v3.0.2, OA SIS, Februar 2005 Web Services Security: Kerberos Token Profile 1.1, OASIS, Februar 2006 Web Services Security: Rights Expression Language (REL) Token Profile 1.1, OASIS, Februar 2006

19 Verzeichnis über Gesetze, Vorschriften, Standards, Normen, Practices WSS: SAML, 2006 WSS: SOAP, 2006 WSS: Username, 2006 WSS: X.S09, 2006 WS-Secure- Conversaiion, 2009 WS-SecurityPolicy, 2009 WS-Trust, 2009 XACML,2005 XCBF,2003 XSPA Profile of SAML for Healthcare,2009 XSPA Profile of XACML for Healthcare,2009 XSPA Profile of WS Trust for Healthcare, BasicSecurity Profile, 2008 SAML,2009 SecureAddressing Profile, 2008 SecureCommunicationProfile, 2008 Web Services Security: SAML Token Profile 1.1, OASIS, Februar2006 Web Services Security: SOAP Message Security 1.1, OASIS, November 2006 Web Services Security: Usemame Token Profile 1.1, OASIS, Februar 2006 Web Services Security: X.S09 Certificate Token Profile 1.1, OASIS, Februar 2006 Web Services SecureConversation 1.4, OASIS, Februar 2009 Web Services SecurityPolicy 1.3, OASIS, Februar 2009 Web Services Trust 1.4, OASIS, Februar 2009 extensible Access Control Markup Language (XACML) 2.0, OASIS, Februar200S XML Common Biometrie Format, OASIS, August 2003 Cross-Enterprise Security and Privacy Authorization (XSPA) Profile of Securi~ Assertion Markup Language (SAML) for Healthcare v1.0, OASIS, November 2009 Cross-Enterprise Security and Privacy Authorization (XSPA) Profile of XACML v2.0 for HeaIthcare vl.0, OASIS, November2009 Cross-Enterprise Security and Privacy Authorization (XSPA) Profile of W5-Trust for Healthcare v1.0, OASIS, November 2010 The Open Grid Services Architecture'" (OGSA ) 1.5, OGF, 24. Juli 2006 OGSA Basic Security Profile 2.0, OGF, 28. Juli 2008 Use of SAML to retrieve Authorization Credentials, P-REC, OGF, 13. November 2009 OGSA Secure Addressing Profile 1.0, P-REC, OGF, 13. Juni 2008 OGSA Secure Communication Profile 1.0, P-REC, OGF, 13. Juni 2008

20 22.3 Standards, Normen, Leitlinien und Rundschreiben 507 WS-TRUST, 2009 XACML,2009 VS-ITR SOAP,2007 WSDL,2007 XKMS,2005 Use of WS-TRUST and SAML to access a Credential Validation Service, P-REC, OGF, 13. November 2009 Use of XACML Request Context to Obtain an Authorisation Decision, P-REC, OGF, 13. November 2009 Verwaltungsvorschrift des Innenministeriums zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik (VS-IT-Richtlinien - VSITR), Az.: /77 Simple Object Access Protocol (SOAP) 1.2, 2. Ausgabe, W3C,27. April 2007 Part 0: Primer Part 1: Messaging Framework Part 2: Adjuncts Web Services DescriptionLanguage (WSDL) 2.0, W3C, 26. Juni 2007 Part 0: Primer Part 1: Core Language Part 2: Adjuncts XML Key Management Specification (XKMS) 2.0, W3C, 28. Juni 2005

21 23 Llteratur- und Quellenverzeichnis [1] Müller, Klaus-Rainer: IT-Sicherheitsmanagement und die Rolle der Unternehmensberater, Datensicherheitstage, 5. Oktober 1995 [2] <kes>/microsoft-sicherheitstudie 2010, Lagebericht zur Informations-Sicherheit, Teil 2, <kes>, 5/2010, S. 12ff. [3] Müller, Klaus-Rainer: IT-Sicherheitmit System, VIEWEG, Juli 2003 [4] Müller, Klaus-Rainer: Unternehmensberater - Ungeliebte Zaungäste?, KES, 2/1996 vom Mai 1996,S. 6ff. [5] Müller, Klaus-Rainer: Risiken vermeiden, Business Computing, 7/1996, S. 46ff. [6] Müller, Klaus-Rainer: Sicherheits- und Qualitätsmanagement - zwei Seiten einer Medaille?, KES, 3/1996, S. 111ff. [7] Von der Crone, Hans Caspar und Roth, Katja: Der Sarbanes-Oxley Act und seine extraterritoriale Bedeutung, AJP/PIA,2/2003, S. 131ff. [8] Schuppenhauer, Rainer: GoDV-Handbuch: Grundsätze ordnungsmäßiger Datenverarbeitung und DV-Revisionen, Heck Juristischer Verlag, Januar 2007 [9] Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, 3., aktualisierte und erweiterte Auflage, IDW Sonderdruck, IDW-Verlag GmbH, Juni 2009 [10] PIC/S: Guide to Good Manufacturing Practice for Medicinal Products, Annexes, PE 009-9, 1. September 2009 [11] PIC/S: Good Practices for Computerised Systems in Regulated "GxP" Environments, PI 011-3, 25. September 2007 [12] GAMp 5: A Risk-Based Approach to Compliant GxP Computerized Systems, Einsichtnahme [13] Müller, Klaus-Rainer: Lebenszyklus- und prozessimmanente IT-Sicherheit, <kes>, 3/2004, S. 72ff. [14] Müller, Klaus-Rainer: Zwei Welten verbinden, Bankmagazin 4/2006, S. SOff. [15] Office of Govemment Commerce: TI'll. Refresh: Scope and development plan, [une 2006 [16] Jürgen Dierlamm: Neues - und Offizielles - über ITIL Version 3, itservice Management, Heft 3, Apri12007 [17] eingesehen am 1. Juni 2007 [18] IT Govemance Institutef: COBIT 4.0, 2005 [19] Kaplan, Robert S.; Norton, David P.: Balanced Scorecard, Schäffer-Poeschel, 1997 [20] Müller, Klaus-Rainer: Genormte Sicherheit - Gesetze, Standards, Practices im Überblick, ix, 1/2007, S. 95ff. [21] Alberts, Christopher; Dorofee, Audrey; Stevens, [ames; Woody, Carol: Introduction to the OCTAVE Approach, Camegie Mellon University, August 2003 [22] Caralli, Richard A.; Stevens, [ames F.; Young, Lisa R.; Wilson, William R.: Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process, Camegie Mellon University, Software Engineering Institute, Mai 2007 K. R. Müller, IT-Sicherheit mit System, DOI / _, Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2011

22 23 Literatur- und Quellenverzeichnis 509 [23] Alberts, Christopher; Dorofee, Audrey: Managing Information Security Risks: The OCTAVEsM Approach, Addison-Wesley Professional, 2002 [24] Carnegie Mellon University: Systems Security Engineering Capability Maturity Model, Model Description Document, Version 3.0, 15. Juni 2003 [25] National Institute of Standards and Technology (NIST): Federal Information Technology Security Assessment Framework, 28. November 2000 [26] LibertyAlliance Project: Business Benefits of Federated Identity, April 2003 [27] Liberty Alliance Project: Introduction to the Liberty Alliance Identity Architecture, Revision 1.0, März 2003 [28] Liberty Alliance Project: Liberty ID-FF Architecture Overview, Version 1.2 [29] Liberty Alliance Project: Privacy and Security Best Practices, Version 2.0, 12. November, 2003 [30] Liberty Alliance Project: Liberty ID-WSF Security and Privacy Overview, Version 1.0 [31] Liberty Alliance Project: Liberty ID-WSF - Web Services Framework Overview, Version 2.0 [32] Liberty Alliance Project: Liberty ID-SIS Personal Profile Service Specification, Version 1.1 [33] Liberty Alliance Project: Liberty Alliance Web Services Framework: A Technical Overview, Version 1.0, 14. Februar 2008 [34] Kantara Initiative: Identity Assurance Framework: Overview, Version 2.0, [35] OASIS : Reference Model for Service Oriented Architecture 1.0, OASIS Standard, [36] Anderson, Ross: Security Engineering, Wiley, 2001 [37] Müller, Klaus-Rainer: Risikoanalyse diktiert die Handlung, Computerzeitung, 38/2004, S. 17 [38] Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC),Bundesanzeiger, Stand: Juni 1991 [39] Common Criteria for Information Technology Security Evaluation, Version 3.1, Rev. 3, Teil 1, 2, 3, Juli 2009 [40] DIN ISO/IEC 15408, Informationstechnik - IT-Sicherheitsverfahren - Evaluationskriterien für IT-Sicherheit, Teil 1, 2, 3 [41] Brockhaus, die Enzyklopädie in 24 Bänden, Studienausgabe, Band 18, Brockhaus, 2001 [42] Baseler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen, Überarbeitete Rahmenvereinbarung, Übersetzung der Deutschen Bundesbank, Juni 2004 [43] Masing, Walter (Hrsg.): Handbuch Qualitätsmanagement, 3. Auflage, 1994 [44] Suzaki, Kiyoshi: Die ungenutzten Potentiale, Carl Hanser Verlag, 1994 [45] DeMarco, Tom: Structured Analysis and System Specification, New York, Yourdon Press, 1978 [46] Bundesamt für Sicherheit in der Informationstechnik: Hinweise zur räumlichen Entfernung zwischen redundanten Rechenzentren, datumsfreie pdf-unterlage, eingesehen am 5. Oktober 2006 [47] The Federal Reserve Board: Examination Manual for V.S. Branches and Agencies of Foreign Banking Organizations, September 1997

23 Literatur- und Quellenverzeichnis [48] Basel Committee on Banking Supervision: Sound Praetices for the Management and Supervision of Operational Risk, February 2003 [49] Müller, Klaus-Rainer: Biometrie-Update Verfahren, Trends, Chaneen und Risiken - Teil 2, hakin9, 5/2009 [50] Kamiske, Gerd F.; Brauer, Jörg-Peter: Qualitätsmanagement von Abis Z, Carl Hanser Verlag, 1993 [51] Müller, Klaus-Rainer: In oder Out? - Soureing mit System, geldinstitute, 3/2004, S. 32ff. [52] Sherman, Larry: Stratus'" Continuous Processingf Technology'[, 2003 [53] Müller, Klaus-Rainer: Biometrie-Update Verfahren, Trends, Chancen und Risiken - Teil 1, hakin9, 4/2009 [54] Müller, Klaus-Rainer: Sicherheitsaspekte mobiler Datenkommunikation - Risikoanalyse, Schutzbedarf, Sicherheitspyramide, Schutzmaßnahmen; Seminar der ACG GmbH zur Mobilen Datenkommunikation - Chancen und Risiken, Konferenzzentrum des ZDF, 8. Oktober 1996 [55] Medvinsky, Sasha; Lalwaney, Poornima: Kerberos V Authentication Mode for Uninitialized Clients, 29. August 2000, [56] Cheswick, William R.; Bellovin, Steven M.: Firewalls und Sicherheit im Internet, Addison-Wesley,1996 [57] Federal Information Processing Standards Publication 197 (FIPS PUBS 197): Advanced Eneryption Standard (AES), 26. November 2001 [58] Baldwin, R.; Rivest, R.: RFC 2040, The RC5, RC5-CBC, RC5-CBC-Pad, and RC5-CTS Algorithm, Oktober 1996, Category: Informational [59] Callas, J.; Donnerhaeke, L.; Finney, H.; Thayer, R.: RFC 2440, OpenPGP Message Format, November 1998 [60] Gutmann, Peter: Secure Deletion of Data from Magnetic and Solid-State Memory, 6. USENIXSecurity Symposium Proceedings, Juli 1996 [61.] Sikora, Axel: Netzwerk-Sicherheit, in IT-Security, tecchannel eompact, 2/2003, S. 100ff. [62] Farmer, Dan; Venema, Wietse: The Coroner's Toolkit, tct.html, Stand [63] Dillaway, Blair: Hogg, [ason: Security Policy Assertion Language (SecPAL) Specification 1.0, 15. Februar 2007 [64] Müller, Klaus-Rainer: Der Architekturtrichter, geldinstitute, 6/2002, S. 44fI. [65] European Communities: Guidelines on best practices for using electronic information,1997 [66] Van Bogart, John W. C.: Media Stability, National Media Laboratory, 1996 [67] Die 21 Stufen zur Datensicherheit, Informationweek, 13/2000 [68] Storage Networking Industry Association (SNIA): Common RAID Disk Data Format Speeification, Version 2.0, Revision 19, 27. März 2009 [69] RAID Advisory Board: RAB Classification For Disk Systems, 19. November 1997, [70] Auspex Systems: A Storage Architeeture Guide, White Paper [71] IDC: WorldwideDisk StorageSystems Forecast, Mai 2007