法律、規章、調查及合規

Legal,Regulations,Compliance,andInvestigations

CISSP第六版培訓PPT之八關鍵知識領域A.理解國際范圍內與信息安全相關的法律問題A.1計算機犯罪A.2許可證與知識產權（如版權、商標）A.3進口/出口A.4跨境的數據流動A.5隱私權B.理解職業倫理B.1(ISC)2職業倫理規范B.2擁護機構的倫理規范C.理解并支持調查C.1政策、角色與職責（如聘用規則、授權、適用范圍）C.2事故處理與應對C.3證據收集與處理（如監管鏈認證、面談）C.4匯報與記錄關鍵知識領域D.理解司法鑒定過程D.1媒介分析D.2網絡分析D.3軟件分析D.4硬件/嵌入式設備分析E.理解合規的要求與過程E.1監管環境E.2審計E.3匯報F.確保合約協議與采購過程的安全（如云計算、外包、供應商治理）目錄電子犯罪的方方面面TheManyFacetsofCyberlaw計算機犯罪的難題TheCruxofComputerCrimeLaws網絡犯罪的復雜性ComplexitiesinCybercrime知識產權法IntellectualPropertyLaws隱私Privacy責任及后果LiabilityandItsRamifications合規Compliance調查Investigations道德Ethics電子犯罪的方方面面計算機犯罪的難題計算機輔助的犯罪（ComputerAssistedCrime）計算機在犯罪活動中并非必要因素（NotUnique），其作用只是做為工具協助了犯罪分子，如使用計算機進行欺詐活動或傳播色情圖片；計算機特有或以計算機為目標的犯罪（ComputerSpecificorTargetedCrime）針對（DirectAt）計算機、網絡以及這些系統中所存儲信息的犯罪，如拒絕服務攻擊、網絡嗅探、口令破解等；計算機只是附帶因素（ComputerisIncidental）在于犯罪活動中，計算機只是偶然出現的附帶因素，如販毒分子的顧客列表（CustomerList）等。網絡犯罪的復雜性電子資產ElectronicAssets攻擊的演變TheEvolutionofAttacks國際問題InternationalIssues法律制度的類型TypesofLegalSystems電子資產數字世界給社會帶來的另一類復雜性，表現在定義需要保護哪些資產、進行到何種保護程度的復雜性上。在商業世界中，我們需要保護的資產已經發生了改變。以前的資產是有形資產（設備、建筑物、制造工具和庫存）。如今，公司必須將數據添加到它們的資產表中，而且數據通常位于這個列表的最頂端，它們包括：產品藍圖、社會安全號、醫療信息、信用卡號碼、個人信息、商業秘密、軍事部署及策略等。不僅需要保護數字格式的數據，而且需要定義何為敏感數據以及保存這些數據的位置。在許多國家，為了有效地打擊計算機犯罪，立法機關已經放寬了對資產的定義，將數據包括在內。攻擊演變以前黑客主要由享受攻擊刺激的人構成。黑客活動被視為挑戰性的游戲，而且沒有任何傷害企圖。攻擊者攻破大型網站（Yahoo、MSN、Excite）的目的是登上新聞頭條，并在黑客同行之間炫耀。病毒創作者編寫出了不斷復制或執行某種無害行為的病毒，盡管他們本可以實施更加惡意的攻擊。盡管還是有以黑客攻擊作為樂趣的腳本小子（scriptkiddie）和其他人存在，但有組織犯罪已經出現在人們的視野中，并且顯著加大了所造成損失的嚴重程度。這些有組織罪犯出于特殊的原因而尋找特定的目標，而且往往受利益驅使。它們嘗試實施攻擊，并保持隱秘，從而截獲信用卡號、社會安全號和個人信息來進行欺詐和身份盜竊。攻擊演變APT（advancedpersistentthreat）攻擊高級持續性威脅。是指組織(特別是政府)或者小團體利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。12345釣魚和零日攻擊后門橫向運動數據收集泄露幾個用戶成為兩個釣魚攻擊的目標，一個用戶打開了零日負載用戶計算機被一個特定工具遠程訪問攻擊者轉而訪問重要用戶、服務、管理賬戶和特定系統從目標服務器獲取數據從而進入泄露階段數據通過FTP上的加密文件被泄露給位于托管帳務提供者的外部受損計算機國際問題歐洲（COE）網絡犯罪公約理事會針對網絡犯罪而嘗試創建的一個國際性標準歐盟隱私原則主要與使用和傳輸敏感數據有關安全港隱私原則通知選擇向外轉移安全數據完整性訪問執行國際問題OECD個人數據保護的核心原則個人數據的收集應當受到限制，必須以合法和公正的方式獲得，并且得到了主體的認可。保留的個人數據應當是完整的和當前的，并且與其使用目的相關。在收集個人數據的時候應當向主題告知原因，而且組織機構應該將收集的個人數據僅用于指定目的。只有得到主體或法律權威機構的同意，個人數據才能夠被泄露，可供使用，或者用于上述陳述之外的其他目的。應當采用合理的防護措施來保護個人數據免受威脅，如丟失、未授權的訪問、更改以及泄露。與個人數據有關的開發、實踐和策略應當開放交流。此外，主體應當能夠容易地建立個人數據的存在和性質、它的用法、身份以及組織機構保管這些數據的常規位置。主體應當能夠發現組織機構是否擁有他們的個人信息以及信息的具體類型，能夠糾正錯誤的數據，能夠質疑拒絕執行上述操作的請求。組織機構應當可被問責是否遵循了前幾個原則所支持的措施。法律制度的類型普通法系（CommonLawSystem）也被稱為英美法系、海洋法系，采不成文法，尤其是判例法（CaseLaw），強調“遵循先例（Precedent）”，除非某一項目的法例因為客觀環境的需要或為了解爭議而需要以成文法制定，否則，只要根據當地過去對于該項目的習慣（CustomsandTraditions）而評定誰是誰非，美國、英格蘭、威爾斯、愛爾蘭前英國殖民地，包括香港均采用這種法系；大陸法系（CivilLawSystem）也被稱為歐陸法系、羅馬法系、民法法系、法典法系，以成文法為主，通常不承認判例法的地位，具有悠久的法典編篡（Codified）的傳統，在法學理論上崇尚理性主義、傾向于建構抽象化的概念體系，發源于歐洲大陸，日本、中國等國家采用這種法系。法律制度的類型民法（CivilLaw），也被稱為侵權法（TortLaw），適用于對他人或公司造成傷害（Damage）或損失（Loss）的案件，處罰是經濟賠償（FinancialRestitution）。刑法（Criminallaw），適當于違反政府頒布的法律（GovernmentLaws）的案件，處罰通常是監禁（JailTermorProbation）等刑罰。行政法（Administrativelaw），適用于違反行政法規（RegulatoryLaws）的案件，處罰可以是經濟賠償也可以是刑罰處罰。不同國家對同樣的計算機犯罪案件的適用法律可能不同，這增加了打擊難度。知識產權法商業秘密TradeSecret版權Copyright商標Trademark專利Patent知識產權內部保護InternalProtectionofIntellectualProperty軟件盜版SoftwarePiracy知識產權法素有的機構都應該重視知識產權（IntellectualProperty）保護問題，采取有效的保護措施防止公司的知識產權遭受侵害，也要防止機構及其雇員侵害他人的知識產權以免給機構帶來法律風險。法律保護的知識產權主要包括以下四類：商業秘密（Tradesecret）著作權（Copyright）商標（Trademark）專利（Patent）商業秘密商業秘密（Tradesecret）具有以下特征：不是眾所周知的（GenerallyKnowntothePublic），而是公司付出了相當的資源和努力（Effort）開發的。對于公司的競爭或市場能力至關重要。受到公司適當（Reasonable）保護以防止泄露或非授權使用。商業秘密的例子有：產品配方（Formula）程序源代碼（ProgramSourceCode）加密算法（CryptographicAlgorithm）版權著作權（Copyright），作者對其作品的公開發表（Distribution）、復制（Reproduction）、展示（Display）和修改（Adaptation）所具有的法律保護的權利（Right）。版權法并不保護作品的創意，而只保護創意的表現形式（Expression），即作品本身。作品中所涉及的方法、概念、操作規程都不是版權法保護的內容。版權法保護的內容包括：文學作品（Writings）、歌曲旋律、繪畫（Drawings）以及程序代碼。版權法保護程序源代碼（SourceCode）和執行代碼（ObjectCode），有些情況下也保護程序的組織結構形式，如用戶界面（UserInterface）。商標商標（Trademark）保護與著作權保護有所不同，它保護的是代表公司形象的單詞（Word）、名稱（Name）、符號（Symbol）、形狀（Shape）、聲音（Sound）顏色（Color）或其組合。公司通過消耗了一定的資源進行市場運作使其商標在市場中產生影響，使購買者在眾多的商品中能夠識別（Notice）出公司的產品，是公司質量和信譽的標志。商標通常在商標注冊保護機構進行了注冊（Register）。專利專利（Patent）權，對專利注冊人或公司的專利擁有權（LegalOwnership）的法律認可，禁止他人或公司未經擁有人授權而使用或復制專利所保護的發明。專利所保護的發明必須具有新穎（Novelty）、實用（Utility）和非顯而易見（Non-obviousness）的特性。專利有效期為20年，在此期間禁止他人使用，不過專利權人通常通過收取專利使用費（Fee）的方式允許他人使用其專利。專利的例子有藥品配方和加密算等。知識產權內部保護在內部采取措施來保護機密的資源通過適當的標識對主體和客體定義標簽并定義他們的訪問級別。訪問和操作資源的要求應被適當審計告知員工責任及義務軟件盜版軟件盜版指的是一個作者的智力或創造性工作被其他人使用或復制，但未得到作者許可或對作者進行賠償。軟件許可的幾種形式：免費軟件是公眾可以免費使用的軟件，而且能不受限制地使用、復制、研究、更改和重新分發。共享軟件或試用版；多個許可證，允許幾個用戶問時使用該產品。終端用戶許可協議（EndUserLicensingAgreement,EULA），它指定了比主協議更細粒化的條件和限制。隱私日益需要的隱私法TheIncreasingNeedforPrivacyLaws法律，指令和法規Laws,Directives,andRegulations隱私個人隱私（Privacy）尚無明確統一的定義，有人將其分為以下三種類型：獨處（LeftAlone）的權利；免受對個人不合理侵犯（FreefromUnreasonableIntrusion）的權利；決定何種個人信息可以被傳播以及傳播給何人（DetermineWhatPersonalInformationCanBeCommunicated,AndToWhom）的個人權利；在保護個人隱私數據時應關注以下問題：防止不合理侵犯（ProtectionAgainstUnreasonableIntrusion），底線是“知情同意”，采取適當保護措施；防治缺乏適當的方法（ProtectionAgainstLackofDueProcess），底線是“公正公平”，有糾錯機制。日益需要的隱私法數據匯總和檢索技術進步大型數據倉庫正在不斷創造充分的私人信息。邊界損失（全球化）從一個國家的私人數據流向全國許多不同的原因。業務全球化。融合技術的進步收集，挖掘和分發敏感信息。法律、指令和法規Sarbanes-Oxley法案（SOX）適用于美國上市的任何公司，404直接適用于信息技術健康保險便利及責任法案（HIPAA）個人醫療信息和保健數據的存儲、使用及傳輸提供了國家標準及措施Gramm-Leach-Bliley法案金融現代法案計算機欺詐與濫用法案最基本的聯邦反黑客法令聯邦隱私法案個人信息保護法律，指令和法規Basel

II國際結算銀行防止銀行因過度擴張而導致破產支付卡行業數據安全標準（PCI

DSS）構建和維護一個安全網絡；保護持卡人數據；維持一個脆弱性管理計劃；實現嚴格的訪問控制措施；定期監控和測試網絡；維持一個信息安全策略計算機安全法案美國聯邦機構標識出可能含有敏感信息的計算機系統經濟間諜法案處理商業間諜案例的必要框架責任及后果個人信息PersonalInformation黑客入侵HackerIntrusion第三方風險Third-PartyRisk合同協議ContractualAgreements采購與供應商流程ProcurementandVendorProcesses合規調查事件管理IncidentManagement事件響應程序IncidentResponseProcedures計算機取證和證據正確收集ComputerForensicsandProperCollectionofEvidence國際計算機證據組織InternationalOrganizationonComputerEvidence動機，機會和手段Motive,Opportunity,andMeans計算機犯罪行為ComputerCriminalBehavior事故調查IncidentInvestigators調查取證過程TheForensicsInvestigationProcess法庭可接受的證據WhatIsAdmissibleinCourt?監視，搜索，扣押Surveillance,Search,andSeizure采訪和詢問InterviewingandInterrogating幾種不同的攻擊類型AFewDifferentAttackTypes域名搶注Cybersquatting事件管理安全事件（Incident）的定義（Definition）：違反計算機安全政策（SecurityPolicies）、使用規范（AcceptableUsePolicies）或標準安全方法（StandardSecurityPractice）的事件或顯著威脅（Threat）。安全事件的分類（Categories）：拒絕服務（Denialofservice）有害代碼（Maliciouscode）非授權訪問（Unauthorizedaccess）違法使用規范（Inappropriateusage）人際工程（SocialEngineering）事件響應程序分類-調查-遏制-分析-追蹤-恢復安全事件處理機制的好處控制（Contain）和修復（Repair）事件造成的損害事件處理機制事先建立的報告體系、溝通管道和處理規程可以使機構對于事件的響應（Response）更加迅速、處置（Handle）和恢復（Recovery）工作更加協調、有效和快捷。預防未來的損害（FutureDamage）：得到大量威脅和缺陷方面的數據和信息用于風險評估（RiskAssessment）過程以確定更有效的防范措施。發現幾個內外部溝通（InternalCommunications）和應急準備（Preparedness）方面的問題以建立更有效的溝通和應急準備機制將所得到的信息用于員工培訓以幫助員工了解安全問題。將所得到的數據和信息通過協調機制如CERT進行分享以提高整個業界的防御能力。安全事件處理的準備建立正式、規范的事件響應和處理政策（Policy）、規程（Procedure）和指導方針（Guideline），并將這些信息傳達給內部員工，需要時還應讓商業伙伴（BusinessPartners）、定約人（Contractors）或客戶等相關方面了解；建立集中式（Centralized）的快捷、安全、方便和有效的報告和信息發布體系，應建立備份的（Alternate）報告和發布渠道，鼓勵員工報告事件并保證不會因此對報告人產生不利影響，也可允許匿名（Anonymous）報告；建立能力全面、責任明確、具有廣泛性代表性的事件響應團隊（IncidentResponseTeam），團隊不僅需要包括專業技術人員，還應包括公共關系、法律事務、人力資源、審計等部門的人員；建立廣泛的合作關系，包括與調查和執行機關、第三專業服務機構、新聞媒體的聯絡渠道。事件處理的生命周期事件處理的準備階段應確定事件的甄別（Triage）標準，包括分類定義（DefinitionandCategory）、排序方法（Prioritization），應針對不同事件及其影響的系統的特點分別建立相應的處理方法和規程（Procedures）；事件處理過程（除準備工作以外）有時也被為事件響應升級過程（ResponesEscalationProcess），該過程包括：檢測和分析（detectionandanalysis）控制/根除/恢復（containment/eradication/recovery）善后處理（post-incidentactivity）事件處理的檢測和分析事件征兆（indication和precursor）及其來源：IDS、反病毒、完整校驗、狀態監視等安全軟件警告；操作系統、應用程序、網絡設備日志的記錄和分析；各級計算機安全事件響應機構的警告；機構內部人員和外部人員的報告事件類型、原因、趨勢等特點的分析；根據事件的影響和影響對象確定事件的重要程度；將事件的情況通知給相關的機構和人員。對事件處理的過程進行詳細記錄，以便做為證據或今后進行相關事件處理的參考資料；事件處理的控制、清除和恢復按照事先制定（Predefined）的控制策略和規程，根據事件的不同類型（Category）采取不同應對措施以控制（Contain）事件的影響；對事件相關證據（Evidence）進行收集（Collect）和保存（Preserve），對此過程進行記錄（Document），確保證據保管鏈（ChainofCustodian）的有效性（Admissible）和證據的完整性；通過路由節點實時追蹤、檢查日志記錄、采取地址驗證（ValidatAttacker’sIPAddress）、主機掃描等技術手段以及通過網絡搜索、訪問事件數據庫（IncidentDatabases）和黑客網址（PossibleAttacker’sCommunicationChannels）等途徑識別攻擊者的身份；清除（Eradicate）攻擊者植入的有害代碼和賬戶等信息，恢復（Recovery）被破壞的系統和數據，對系統進行安全加固和安全控制的部署。事件處理的善后工作對事件處理工作的經驗和教訓（LessonLearned）進行回顧和總結，對于影響比較大的事件要舉行跨部門的事后分析（post-mortemanalysis）會議；事后分析的主要目的是利用所收集到的數據對安全形勢、趨勢、事件響應團隊的績效（Performance）進行評判，用于改善風險評估、安全控制部署和事件處理工作；善后處理可能涉及到對攻擊者的制裁（Sanction），制裁方式可包括刑事、民事指控（Prosecution）、紀律處分（JobSanctions）等；如果需要向執法機關報告，應事先指定聯系人并建立聯絡關系和規程，報告前應得到管理層的許可；如果需要與外部機構共享事件處理的相關信息，應注意防止泄露公司或個人的敏感信息。國際計算機證據組織在處理數字證據時，必須應用所有通用取證和過程化原則。在查封數字證據時，采取的行動不得改變這些證據。如果一個人需要訪問原始的數字證據，那么這個人必須經過專門培訓。所有與數字證據查封、訪問、存儲或傳輸有關的活動必須完全記錄在案，加以保護并可進行審查。如果組織機構擁有數字證據，那么應由專人負責所有關于數字證據的動作。任何負責查封、訪問、存儲或傳輸數字證據的機構都應遵守上述原則。對證據的要求相關性（Relevancy），與所證明事實的實質（Material）聯系；可靠性（Reliability），增加產生的過程是可靠、可信的（Trustworthy），對于電子證據，有時還需要電子數據的托管人（Custodian），如系統管理員或技術專家證明這一點；合法性（Legally），獲得證據的手段要合法；除非當事人自愿，搜查（Search）和扣押（Seizure）通常需要提供適當理由并事先獲得搜查令（Warrant）或傳票（Subpoena）陷害（Entrapment）是引誘或勸說他人進行非預謀（NoPreviousIntent）犯罪；誘捕（Enticement）為他人的預謀（ReadyandWilling）犯罪提供機會；證據的標識（Identification）要正確；證據應存儲在合適地點，在存儲、運輸過程中得到適當保護（Preservation），未遭篡改和破壞。取證調查過程為了確保以標準化的方式進行取證活動，取證團隊必須遵循一個特殊順序的步驟，以便不會遺漏什么內容，從而確保證據可被接受。標識保存收集檢查分析呈現決定調查過程不同階段的特征標識保存收集檢查分析顯現事件犯罪檢測案件管理保存保存保存文檔資料解析簽名成像技術獲許可的方法可追溯性可追溯性專家證詞配置文件檢查保管鏈獲許可的軟件確證技巧統計澄清異常檢測時間同步獲許可的硬件過濾技巧協議任務影響聲明投訴法律當局模式匹配數據挖掘建議的對策系統監控無損失壓縮發現隱藏的數據時間線統計解釋審計分析采樣提取隱藏的數據鏈接等等數據歸納空間性恢復技巧取證方法取證調查過程包括了刑事學的原則，這些原則是：犯罪現場的標識防治環境受到污染及證據丟失證據和潛在證據源的標識以及證據的收集。關鍵在于使改變最小化，并且記錄進行的處理、原因以及犯罪現場受到怎樣的影響。應當為原始介質創建兩個副本：一個主鏡像，這是保存在庫中的控制鏡像；一個工作鏡像，它用于分析和證據收集。這兩個副本應當進行時間標記，以說明證據被收集的時間。為確保原始鏡像不被更改，在分析證明原始鏡像的完整性前后都必須為文件和目錄創造消息摘要，這點十分重要。記錄保存應保存詳細的日志，其中記錄所有活動、系統、外圍設備及其序列號、每個團隊的行動。這有助于確保證據或收集過程能夠經得起審查，并可被法庭接受。此外，還要保證記錄組織機構中系統的角色。在大多數情況下，調查員的筆記本不能用作法庭證據。調查員只能使用它在行動過程中刷新記憶。證據保管鏈證據鏈（ChainEvidenceCustodian），其所指的是證據介質從最初的采集，到運輸、使用、中間的保管及最后的存放歸檔，都要有明確記錄（Document）、職責歸屬（Accountability），以確保原本的證據介質完全沒有任何機會被污染（Contaminate）和篡改（Tamper），證據鏈應顯示：誰獲得（Obtain）了證據證據是什么什么時間和地點獲得的證據誰保護（Secure）了證據誰控制（Control）或占用（Possession）了證據證據的分析確定證據的特征，如可作為主要證據或間接證據被接受，以及證據的來源、可靠性與持久。比較來自不同來源的證據，以確定事件的時間順序。事件重建，包括被刪除文件的恢復和系統上的其他活動。因為有硬件只讀鎖和取證軟件的參與，所以這些工作可以在一個受控的實驗環境中進行。當調查員在實驗室內分析證據時，他們處理的是固定證據，也就是只處理靜態數據。在現場的實時取證包括了易失數據證據的呈現對分析的解釋應當呈現給適當的人。這些人可能是法官、律師或董事會。因此，采用非技術人員能夠理解的格式呈現調查結果十分重要。應當通過使用比方和類推來以門外漢的術語闡述這些調查結果。當然，絕密或公司機密的調查結果應當呈現給授權方。這樣的授權方可能包括法律部門或任何幫助調查的外部法律顧問。證據的形式直接證據（DirectEvidence），即口頭證詞（OralTestimony），通過證人五官感覺獲得的認識；實物證據（RealEvidence），也被稱為物理證據（PhysicalEvidence），證明或反駁犯罪事實的有形物體，如犯罪工具、犯罪結果等；文書證據（DocumentaryEvidence），以商業文書、手冊、打印物等形式提交法庭和陪審團（Jury）的證據，在計算機犯罪案件中比較常見；展示證據（DemonstrtiveEvidence），模型、試驗、圖標、圖畫等協助陪審團理解相關問題的證明材料。司法證據類型最佳證據/首要證據（Bestevidence/primaryevidence），最可靠證據，通常是書面的文檔證據。次要證據（Secondaryevidence），比首要證據的等級和可靠性低的證據，例如書面證據的復制件或口頭證據。直接證據（Directevidence），無需假設（Presumptions）和推論（Inference）即可證明一個事實的證據，如證人證詞。階段證據（Circumstantialevidence），能夠證明階段性（Intermediate）事實，通過此階段性事實可推論出主要事實。司法證據類型（續）結論證據（Conclusiveevidence），無可爭辯的（Incontrovertible）證據，可駁倒其他任何相反的證據。附加證據（Corroborativeevidence），具有補充（Supplementary）、加強（Strengthen）和確認（Confirm）其他證據的作用。意見證據（Opinionevidence），證人被人親眼看見或親耳聽見的事實，也可以是專家基于事實提供的意見。轉述證據（Hearsayevidence），不是證人從親身經歷而得的證據，只是聽取其它人的轉述（Hearsay），或者呈交由他人制定的文件。一般缺乏法律效力，但是如果是常規業務活動（RegularBusinessRoutines）中制作的業務文書是可以得到法庭認可（Admissible）的。幾種不同的攻擊類型薩拉米香腸從每一筆交易中竊取可能不會引起交易者關注的微量資金，通過積少成多的方式竊取資金的行為。數據篡改通過篡改數據的方式進行