CISSP复习笔记-第9章 法律、法规、合规和调查

CISSP复习笔记-第9章 法律、法规、合规和调查

9.3 网络犯罪的复杂性

9.3.2 攻击的演变

• 脚本小子（script kiddie）：除网上提供的工具包外没有技能实施特定攻击的低级黑客

9.3.3 国际问题

• 欧洲理事会网络犯罪公约（Council of Europe (CoE) Convention on Cybercrime）：针对网络犯罪而尝试创建的一个国际性标准
• 经济合作与发展组织（Organization for Economic Co-operation and Development，OECD）指导原则
  
  • 个人数据的收集应当受到限制，必须以合法和和公正的方式获得，并且得到主体的认可
  • 保留的个人数据应当是完整的和当前的，并且与其使用目的相关
  • 在收集个人数据的时候应当向主体告知原因，而且组织机构应该将收集的个人数据仅用于指定目的
  • 只有得到主体或法律权威机构的同意，个人数据才能够被泄露，可供使用，或者用于上述陈述之外的其他目的
  • 应当采用合理的防护措施来保护个人数据免受威胁，如丢失、未授权的访问、更改以及泄露
  • 个人数据有关的开发、实践和策略应当开放交流；此外，主体应当能够容易地建立个人数据的存在和性质、它的用法、身份以及组织机构保管这些数据的常规位置
  • 主体应当能够发现组织机构是否拥有他们的个人信息以及信息的具体类型，能够纠正错误的数据，能够质疑拒绝执行上述操作的请求
  • 组织机构应当可被问责是否遵循了前几个原则所支持的措施
• 欧盟隐私原则（European Union Principles on Privacy）及美国公司应对欧盟隐私原则的安全港隐私原则（Safe Harbor Privacy Principles）：
  
  • 通知：必须通知个人正在收集他们的数据以及将如何使用这些数据
  • 选择：个人必须能够拒绝数据被收集并转给第三方
  • 向外转移：仅仅允许向遵循充分数据保护原则的第三方组织机构转移数据
  • 安全：必须付出相应努力来防止丢失收集到的信息
  • 数据完整性：数据必须相关且可靠，符合收集目标
  • 访问：个人必须能够访问有关他们的信息，如果信息有误，可以修正或删除
  • 执行：必须有有效的方式方法来执行这些规则
• 瓦森纳协议（Wassennaar Arrangement）：对常规武器和两用货品及技术实施出口管制
  
  • 密码系统被认为是两用产品，出口带有加密功能的产品到那些“爱攻击”的国家是危险的

9.3.4 法律的类型

• 民法（民事准则）体系：基于准则而非优先权
• 普通法体系：基于前面的法律解释，无罪假定，
  
  • 民法（侵权法）：处理针对个人或公司的伤害而造成的破坏或者损失，民事诉讼判定是谁的责任，导致的结果是经济赔偿和/或社区服务
  • 刑法：在一个人的行为违反政府法律时使用，它的制定是为了保护公众，判定是否有罪，判罚通常是坐牢
  • 行政/管理法：主要处理用于监管表现和行为的规范标准，通常对公司及特定行业内的人员生效
• 习惯法体系：基于该地区的传统和习俗
• 宗教法体系：以该地区的宗教信仰为基础
• 混合法体系：最常见的混合法体系由民法和普通法组成

9.4 知识产权法

9.4.1 商业秘密

• 保护某些类型的资源不被未授权使用或公开
  
  • 该资源必须给公司提供一些竞争价值或优势
  • 该资源并未为很多人所知，并且它要求专门技术、精巧和/或花费金钱与精力进行开发
• 商业秘密是公司特有资产，没有过期一说
• 要求员工签订一个保密协议

9.4.2 版权

• 保护的是有资源意义的表达而不是资源本身，防止对作品进行未授权的复制和散布
• 保护期是在受保护者的寿命基础上再加50年

9.4.3 商标

• 保护一个单词、名称、符号、声音、形状、颜色、设备或这些项的组合

9.4.4 专利

• 授予个人或公司的法律所有权，使他们能够拒绝其他人使用或复制专利所指的发明
• 发明必须是新奇的、有用的、非显而易见的

9.4.6 软件盗版

• 软件保护协会（Software Protection Association，SPA）
• 反软件盗窃联盟（Federation Against Software Theft，FAST）

9.5 隐私

9.5.2 法律、指令和法规

• Sarbanes-Oxley法案（SOX）：SOX对公司如何追踪、管理和报告财务信息提出了专门要求，这包括保护财务数据并保证它的完整性
• 健康保险便利及责任法案（Health Insurance Portability and Accountability Act，HIPAA）：为个人医疗信息和保健数据的存储、使用及传输提供国家标准及措施
• Gramm-Leach-Bliley法案（Gramm-Leach-Bliley Act of 1999，GLBA）：也称为金融现代化法案，要求金融机构开发隐私通告，并允许其客户选择禁止银行与非成员第三方共享他们的信息
• 计算机欺诈与滥用法案（Computer Fraud and Abuse Act，CFAA）：最基本的联邦反黑客法令
• 联邦隐私法案
• 个人信息保护和电子文档法案（Personal Information Protection and Electronic Documents Act，PIPEDA）：监督私有部门在常规商业活动中如何收集、使用和披露个人信息
• Basel II：防止银行因过度扩张而导致破产，由3个主要部分组成：最小资本要求（Minimum Capital Requirements）、监管（Supervision）、市场约束（Market Discipline）
• 支付卡行业数据安全标准（Payment Card Industry Data Security Standard，PCI DSS）：适用于任何处理、传输、存储或接受信用卡数据的组织机构
• 联邦信息安全管理法案（Federal Information Security Management Act of 2002，FISMA）：要求每个联邦机构在整个机构范围内创建、记录和实施安全计划，以对那些为本机构运营和资产提供支持的信息和信息系统进行保护
• 国际经济间谍法案（Economic Espionage Act of 1996）
• 美国爱国者法案：使用适当手段来组织或避免恐怖主义以团结并强化美国的法律（Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001，PATRIOT Act）：为美国政府打击恐怖组织提供更多权力
• 员工隐私问题：如果公司认为有必要监控电子邮件消息和使用，应当要求员工签署“对隐私的合法期待”（Reasonable Expectation of Privacy，REP）的弃权证书

9.6 义务及其后果

• 应有的注意（due care）：公司应该做的、试图阻止安全违规的努力，同时采用合理的步骤来确保在发生安全违规时通过适当的控制或对策减轻所遭受的破坏
• 应有的努力（due diligence）：公司对所有可能的缺陷和脆弱性都进行了适当的调查
• 下游责任（downstream liabilities）：当几家公司以某些整合的方式共同工作时，必须采取适当的措施来保证每一方都同意必要级别的保护、义务和责任，这些可以在各方签订的合同中详细说明

9.8 调查

9.8.5 动机、机会和方式（Motive，Opportunity，Means，MOM）

9.8.8 取证调查过程

• 应为原始介质创建两个副本并进行时间标记，以说明证据被收集的时间
  
  • 主镜像：保存在库中
  • 工作镜像：用于分析和数据收集
• 为确保原始镜像不被更改，在分析证明原始镜像的完整性前后都必须为文件和目录创建消息摘要
• 保持一个适当的关于证据的保管链（chain of custody）：保管链是一个历史记录，它展示如何收集、分析、传输及保存证据，从而可呈现在法庭上

9.8.9 法庭上可接受的证据

• 证据的生命周期包括
  
  • 收集和标识
  • 存储、保管和运输
  • 法庭出示
  • 将证据返还给受害者或所有者
• 法庭审理中可以使用以下几种类型的证据：书面的、口头的、计算机生成的、视觉的或听觉的
• 证据的标准：probative、relevant、authentic、accurate、complete、convincing、admissible
• 最佳证据（best evidence）：法庭使用的基本证据，提供最大的可靠性，例如原始合同
• 辅助证据（secondary evidence）：例如原始合同的复印件或对其内容的口头描述
• 直接证据（direct evidence）：证据本身便能证明一些事实，常常是基于证人5种感官收集的信息
• 决定性证据（conclusive evidence）：不能驳倒，不得被抵触
• 间接证据（circumstantial evidence）：可证明中间事实，中间事实可用于推论或认定另一事实的存在
• 确定性证据（corroborative evidence）：支持性证据，用来帮助提供一个想法或观点
• 观点证据（opinion evidence）：专家证人使用自己的专业知识提供的观点，或非专家证人仅对事实作证、不加入自己的观点
• 传闻证据（hearsay evidence）：法庭上陈述的二手的口头或书面证据
• 大多数时候与计算机相关的文件被认为是传闻证据，如果要将计算机日志作为法庭证据，它们必须是在业务的规范过程中收集的

9.8.10 监视、搜索和查封

• 两种监视类型
  
  • 物理监视：采用了可以捕获证据的安全照相机、保安和闭路电视
  • 计算机监视：通过使用网络嗅探器、键盘监控器、窃听器和有线监控设备来被动地监控时间
• 美国公民受到《第四修正案（Fourth Amendment）》的保护，以防止非法的搜索和查封，《第四修正案》只的限制作用于警察或警务人员
• 紧急状况：如果证据有可能被破坏，那么执法机构可以立即查封证据以防其受到破坏
• 诱骗（enticement）：合法的和道德的，例如蜜罐
• 圈套（entrapment）：不合法、不道德的，不能证明嫌疑人企图实施犯罪

9.8.12 几种不同类型的攻击

• salami攻击：实施几个小型的犯罪，希望它们结合起来的较大犯罪不会引起人们的注意
• 数据欺骗（data diddling）：对现有数据的更改，这种更改发生在数据进入应用程序之前，或者发生在处理刚刚结束并即将输出结果之时
• 搭线窃听：很多通信信号容易遭受某些类型的搭线窃听攻击，并且不被发现
• 垃圾搜寻：合法但不道德，如果用于侵权则是非法的

9.9 道德

• (ISC)²道德规范（Code of Ethics）
  
  • 体面、诚实、公正、负责并合法地行事，保护社会
  • 勤奋工作，称职服务，推进安全事业
  • 鼓励研究的发展——教育、指导，并实现证书的价值
  • 防止不必要的恐惧或怀疑，不同意任何不良行为
  • 阻止不安全行为，保护并加强公共基础设施的完整性
  • 遵守所有明确或隐含的合同，并给出谨慎的建议
  • 避免任何利益冲突，尊重并信任他人向你提出的问题，并只承担那些你完全有能力执行的工作
  • 保持在技术前沿，并且不参与任何可能伤害其他安全从业人员声誉的行为
• Code of Ethics Canons
  
  • Protect society, the common good, necessary public trust and confidence, and the infrastructure
  • Act honorably, honestly, justly, responsibly, and legally.
  • Provide diligent and competent service to principles
  • Advance and protect the profession.

9.9.1 计算机道德协会（Computer Ethics Institute，CEI）

• 计算机道德10诫（Ten Commandments of Computer Ethics）
  
  1. 不得使用计算机伤害他人
  2. 不得干预其他人的计算机工作
  3. 不得窥探其他人的计算机文件
  4. 不得使用计算机进行盗窃
  5. 不得使用计算机提交伪证
  6. 不得复制或使用尚未付款的专利软件
  7. 在未获授权或未提交适当赔偿的前提下，不得使用他人的计算机资源
  8. 不得盗用他人的知识成果
  9. 应该考虑你所写的程序或正在设计的系统的社会后果
  10. 在使用计算机时，应考虑尊重人类

9.9.2 Internet架构委员会（Internet Architecture Board，IAB）

• RFC1087：被称为“道德与Internet”，该输了IAB人为的不道德和不可接受的行为相关的概念
  
  • 故意寻求访问未获授权的Internet资源
  • 破坏Internet的使用
  • 通过有目的的行为浪费资源（人、容量和计算机）
  • 破坏计算机信息的完整性
  • 危害他人的隐私安全
  • 在进行Internet范围的实验时出现过失

9.9.3 企业道德计划

• 联邦组织机构判罚指导原则（Federal Sentencing Guidelines for Organizations，FSGO）：为道德要求建立了一个大纲