iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 30
0
Security

認證信息系統安全專業人員(CISSP)學習筆記系列 第 30

法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)

####法律,法規,調查和規範

  • 歐洲委員會網絡犯罪公約(Council of Europe Convention on Cybercrime)
    嘗試對網絡犯罪做出國際反應
  • 經濟合作組織(OECD)
    經濟合作與發展組織
    保護隱私和個人資料越境規則的準則。
  • 歐盟隱私權原則(European Union Principles on Privacy)
    這套原則旨在解決使用和傳輸本質上屬於私有的訊息。
  • 避風港(Harbor)
    幫助美國公司遵守歐盟隱私原則
    1.注意
    必須告知個人其資料正在收集中以及如何使用
    2.選擇
    個人必須選擇退出集合
    3.繼續轉移
    向第三方傳輸資料僅可能發生在遵循適當資料保護原則的其他組織中
    4.安全性
    必須做出合理的努力以防止丟失收集的資料
    5.資料完整性
    資料必須與收集目的相關且可靠
    6.訪問
    個人必須能夠訪問有關他們的訊息,如果訊息不正確,則可以對其進行糾正或刪除
    7.執法
    必須有有效的手段來執行這些規則

進出口要求

  • 瓦森納(Wassenaar)安排
    《常規武器和兩用物品和技術出口管制瓦森納安排》)是一個多邊出口管制制度(MECR),有41個參與國,其中包括許多前COMECON(華沙公約)國家。
    它是冷戰時期多邊出口管制協調委員會(COCOM)的繼任者,該委員會於1996年7月12日在荷蘭海牙附近的瓦瑟納爾成立。 Wassenaar安排沒有COCOM嚴格,主要側重於國家出口管制制度的透明度,不對組織成員的個人決定授予否決權。 執行協議的秘書處位於奧地利維也納。 但是,與COCOM一樣,它不是條約,因此沒有法律約束力。
  • 進口
    中國,俄羅斯,伊朗,伊拉克等一些國家/地區對密碼進口設有限制。

####法律制度

  • 民法
    基於規則而不基於優先級。
    下級法院不被迫遵循上級法院的決定
  • 普通法
    在英國開發
    根據先前對法律的解釋
    如今,普通法使用同行的法官和陪審團。
    如果放棄陪審團審判,法官將決定事實。
    刑事=>監獄
    民事/侵權=>經濟賠償,社區服務
    行政=>處理法規標準
  • 宗教法
    基於該地區的宗教信仰
    涵蓋人類生活的方方面面
    宗教意義上的法律也包括道德和道德守則,這是上帝所維護和要求的。
    印度教法
    伊斯蘭教法-伊斯蘭教
    哈拉卡語(Halakha):猶太人
  • 混合法
    兩種或兩種以上的法律制度一起使用,可以累加或相互適用
    最常見的是民法和普通法
    荷蘭,加拿大,南非
  • 習慣
    主要處理個人行為和行為方式
    基於該地區的傳統和習俗

####知識產權法

  • 商業秘密(Trade Secret)
    保護某些類型的訊息或資源,防止未經授權的使用或披露。
    公司使用NDA的方式是員工確認他們了解其內容並承諾不分享公司的商業秘密
  • 版權(Copyright)
    保護作者控制原始作品的公共發行,複製,展示和改編的權利
  • 數字千年版權法案(Digital Millennium Copyright Act)
    美國法律將生產,傳播技術,設備或服務的行為定為刑事犯罪,這些技術,設備或服務會規避為保護版權材料而採取的訪問控制措施。
  • 版權指令(Copyright directive)
    DMCA的歐洲版本
  • 商標(Trademark)
    保護單詞,符號,聲音,形狀,顏色或這些的組合
    WIPO-世界知識產權組織是聯合國的機構,負責監督註冊
  • 專利(Patent)
    授予個人或公司專利以授予他們合法的所有權,並使他們能夠排除他人使用或複制專利所涵蓋的發明。
    專利期限通常為20年
    它是最強大的知識產權保護形式。

####隱私(Privacy)

  • PII
    個人身份訊息
    是可用於唯一標識,聯繫或定位單個人的資料,或可與其他來源一起用於唯一標識單個人的資料。
    • 全名
      -國家身份證
    • IP地址
      -車輛登記號
    • 駕照
      -臉部,指紋或筆跡
      -信用卡號
      -數字身份
      -生日
      -出生地
      -遺傳訊息
  • REP
    對隱私的合理期望
    如果沒有特別向員工解釋監控是可能和/或可能的,則在進行監控時,他可以聲稱自己的隱私權受到侵犯

政府規章

  • 奧克斯利法案(Sarbanes-Oxley act, SOX)
    水平調節
    是在公司醜聞和欺詐之後創立的。
    要求公司必須如何跟踪,管理和報告財務訊息。
    必須有適當的過程和控制來保護存儲在電腦上的資料。
    不遵守可能導致高管人員受到經濟罰款和監禁。
  • 《健康保險可攜性和責任法》(HIPAA)
    個人醫療訊息的存儲,使用和傳輸程序
  • 格拉姆-里奇-布萊利法案(GLBA)
    要求金融機構制定隱私聲明,並為其客戶提供禁止金融機構與非附屬第三方共享其訊息的選項。
  • 巴塞爾協議II
    建立要求金融機構保留的最低資本額的系統。
  • 聯邦隱私法(Federal Privacy Act)
    適用於聯邦政府特定部門開發的記錄和文件。
    未經個人書面許可,代理機構不得披露訊息。
    代理商只能收集有關個人的相關訊息,並且只有在獲得批准的情況下才能共享這些訊息。
  • 聯邦訊息安全管理法(FISMA)
    要求每個聯邦機構創立,記錄和實施整個機構範圍的安全計劃以提供訊息保護的法律
    它要求對安全計劃進行年度審查,並將結果報告給管理和預算辦公室OMB
  • 電腦欺詐和濫用行為(Computer fraud and abuse act)
    由美國愛國者法案和身份盜用執法和賠償法修改
    這是美國的主要反黑客法規。
  • 經濟間諜法(Economic Espionage act)
    提供處理這些類型案件的結構,並將商業秘密進一步定義為技術,商業,工程,科學,財務。
    該法案使聯邦調查局能夠調查工業和公司的間諜案件。
  • 愛國者法案(Patriot Act)
    減少對執法機構的限制
    將恐怖主義的定義擴大到包括國內恐怖主義
    擴大監管金融交易的可能性
  • PIPEDA
    個人訊息保護和電子文件法
    有關個人訊息保護的加拿大法律

自我監理(Self-regulation)

  • PCI DSS
    信用卡公司聯手製定了《支付卡行業資料安全標準》
    明尼蘇達州授權 PCI DSS 設定法律罰則
    在其他地區,這可能只會導致罰款
    這適用於處理,傳輸,存儲或接受信用卡資料的任何實體。
    -建立和維護安全網絡
    -保護持卡人資料
    -維護漏洞管理程序
    -實施強有力的訪問控制措施
    -測試和監控網絡
    -維護訊息安全政策

責任及其後果

- 盡職調查(Due diligence)
	意味著該公司已對所有可能的弱點和漏洞進行了適當的調查		
- 謹慎(Due care)
	意味著在這種情況下,公司會盡一切可能的合理努力來防止違反安全性的行為,並且還採取了合理的步驟來確保如果發生了違反安全性的行為,則應採取適當的控制措施或對策以減輕損害。
- SAS 70
	關於第70號服務組織審核標準的聲明
	是由第三方進行的審核,以評估服務組織的內部控制
- 下游責任(Downstream liability)
	B 公司可以起訴 A 公司職務過失(病毒感染從 A 到 B )
- 法律認可的義務(Legally recognized obligation)
	保護資產的責任
- 因果關係(Proximate causation)
	過失的結果

規範(Compliance)

我們需要遵守哪些法律法規。安全框架。風險方法。控制目標標準
- 治理風險與規範(GRC)
	允許集成和調整在安全程序的每個孤島中發生的活動
- KPI
	關鍵績效指標
	如果在治理,風險和規範性審計活動中使用相同的KPI,則生成的報告可以有效地說明這些不同概念的重疊和集成。
	

調查

  • 證據
    • 合法證據
      • 相關:必須與調查結果具有合理和合理的關係
      • 完整:必須陳述問題的全部真相
      • 足夠:必須有足夠的說服力才能說服一個合理的人該證據的有效性
      • 可靠:必須與事實相符。這是事實而不是間接的
      • 國際電腦證據組織IOCE
      • 制定國際原則,如何收集和處理數字證據
    • 首要(Best)
      是主要證據,提供最大的可靠性
      例如最初簽訂的合同
    • 次要(Secondary)
      與最佳證據相比,次要證據在證明無罪或有罪(或民事案件中的責任)方面不被認為是可靠且有力的。
      口頭證據(例如證人的證詞)和原始文件的副本位於輔助證據類別中。
    • 直接(Direct)
      直接證據本身可以完全證明事實,不需要備份訊息即可引用。如果使用直接證據,則不需要推定。
      直接證據的一個例子是見證犯罪的證人的證詞。
      儘管這種口頭證據本質上是次要的,這意味著案件不能僅靠它本身,但它也是直接的證據,這意味著律師不一定需要提供其他證據來支持它。
      直接證據通常基於從證人的五種感官中收集的訊息。
    • 結論性(Conclusive)
      確鑿的證據是無可辯駁的,不能矛盾。
    • 附帶(Circumstantial)
      間接證據可以證明一個中間事實,然後可以用來推斷或假設另一個事實的存在。
      使用這種類型的事實,因此法官或陪審團將在邏輯上假定存在主要事實。
      例如,如果嫌疑人告訴朋友他要關閉eBay的網站,則案件僅憑該證據就不能成立,因為這是偶然的。
      但是,這一證據可能使陪審團認為,由於嫌疑人說他將要這樣做,而事發幾小時後,也許是他犯罪了。
  • 佐證(Corroborative)
    確證是輔助證明觀點或觀點的證據。它不能獨立存在,但可以用作輔助工具來證明主要證據。
  • 意見(Opinion)
    意見證據
    證人作證時,意見規則規定,她必須僅對問題的事實作證,而不是對事實的見解。
    這與使用專家證人時稍有不同,因為專家主要是出於他的受過教育的見解。
    大多數律師請專業證人作證,以幫助辯護方或起訴方更好地理解標的,從而幫助法官和陪審團更好地理解案件。
  • 傳聞(Hearsay)
    傳聞證據涉及在法庭上提供的二手口頭或書面證據,而沒有第一手準確性或可靠性的證據。如果證人就他聽到別人說過的話作證,那麼它離事實太遠了,並且有太多的變量可以掩蓋真相。
    如果商業文件是在常規商業程序中製作的,則可以接受。但是,如果僅將這些記錄做成法庭陳述,則可以將它們歸類為傳聞證據。
  • 證據保管鏈(Chain of custody of evidence )
    證據保管鏈的主要原因是要確保在法庭上出示之前已經對其進行了適當的控制和處理,以確保在法庭上可以接受該證據。

生命週期

身份證明(Identification)
採集(Collection)
存儲(Storage)
保存(Preservation)
運輸(Transportation)
展示(Presentation)
回覆擁有者(Return to owner)

MOM

動機(Means)
機會(Opportunity)
手段(Motives)

誘惑(Enticement)

是誘騙入侵者的行為

陷害(Entrapment)

造成犯罪,欺騙他人和違法

事件回應(Incident response)

- 分流(Triage)
- 調查
- 遏制(Containment)
- 分析
- 追踪
- 復原
- 道德

電腦倫理研究所(Computer Ethics Institute)

  • Internet體系結構委員會
    Internet設計,工程和管理的協調委員會。
    負責Internet工程任務組(IETF)活動的體系結構監督,Internet標準流程的監督和申訴,以及請求意見稿(RFC)的編輯。
  • 不道德行為
    未經授權訪問Internet資源。
    破壞網際網路的預定用途。
    有目的行動浪費資源(人員,可用性容量和電腦)。
    破壞電腦訊息的完整性。
    損害他人的隱私。
    不正當的方式進行整個Internet的實驗。
  • 電腦犯罪法的關鍵
    電腦犯罪法中涉及的主要問題是:
    • 未經授權的修改,披露,破壞或訪問和插入惡意代碼。
    • 電腦輔助犯罪
      電腦被用作幫助實施犯罪的工具。
    • 以電腦為目標的犯罪
      旨在攻擊電腦(及其所有者)。

上一篇
應用程式安全(Application Security)
系列文
認證信息系統安全專業人員(CISSP)學習筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言