CISSP 第九章 法律、法規、合規和調查

9.1 計算機法律的方方面面

9.2 計算機犯罪法律的關鍵點

3種類型的犯罪：
計算機輔助犯罪cpmputer-assistedcrime：使用計算機幫助實施犯罪
例：攻擊金融系統盜竊資金和敏感信息

針對計算機的犯罪computer-targetd crime：計算機是受害者
例：ddos攻擊、捕獲密碼或其他敏感數據、安裝惡意軟件造成破壞、安裝嗅探器、實施緩衝區溢出以控制一個系統

計算機牽涉型犯罪computer is incidental：計算機不一定是攻擊者或被攻擊者，只是攻擊發生時涉及其中

9.3 網絡犯罪的複雜性

法律規定金融機構必須報告安全違規和犯罪事件，但他們不一定遵守。

9.3.1 電子資產

數據：產品藍圖、社會安全號、醫療信息、信用卡號碼、個人信息、商業祕密、軍事部署及策略

9.3.2 攻擊的演變

APT高級持續性攻擊是一羣有知識有能力的黑客，尋找一切可以利用的途徑進入系統，等到最有利的時間和攻擊方向再進行攻擊，從而確保其行爲不被發現。

APT很難用主機型解決方案檢測出來，可以檢測網絡流量的改變來發現這種攻擊。

9.3.3 國際問題

歐洲理事會網絡犯罪公約是針對網絡犯罪而嘗試創建的一個國際性公約。
與其他國家交換數據的全球性組織必須瞭解和遵守經濟合作與發展組織OECD指導原則以及越境信息流規則。

OECD爲不同國家提供指導原則，以對數據進行適當保護，使每個國家遵守相同的規則。

非歐洲組織要與歐洲組織有業務往來，並交換特定類型的數據，就需要遵守安全港safe harbor要求。

進出口法律要求：例 瓦森納協議wassenaar agreement對常規武器和兩用貨品及技術實施出口管制。

9.3.4 法律的類型

普通法分爲刑法、民法/民事侵權、行政（管理）法
民法處理針對個人或公司的傷害而造成的破壞或者損失，結果是經濟賠償或社區服務。
民事侵權：非法入侵、毆打、過失和產品責任等

9.4 知識產權法

知識產權法說明了公司如何保護自己的資產以及在違法時這些法律將如何處理。

9.4.1 商業祕密

公司會要求員工簽訂保密協議nondisclos
商業祕密保護某種類型的資源不被未授權使用或公開。
商業祕密可以是一個新算法、一個程序的源代碼、製作軟糖的方法、烤肉醬的成分

9.4.2 版權

版權保護法控制原創作品公開發行、翻印、展覽和修改的權利

9.4.3 商標

商標用於保護一個單詞、名稱、符號、聲音、形狀、顏色、設備或這些項的組合
商品外觀，如可標識的包裝袋，也是商標

9.4.4 專利

專利是授予個人或公司的法律所有權，使他們能夠拒絕其他人使用或複製專利所指的發明。
發明者的專利被批准後，其他人在一定時間內（通常是批准之日起20年）就不得製造、使用或銷售該發明。

9.4.5 知識產權的內部保護

適當級別的訪問控制、審計啓用以及適當的存儲環境

9.4.6 軟件盜版

免費軟件、商業軟件、學術軟件

9.5 隱私

個人可標識信息Personally Identiable Information，PII
PII指可以用來唯一識別、聯繫或者定位一個人或者可以和其他資源一起用來識別某一個體的數據。

SOX法案對公司如何追蹤、管理和報告財務信息提出了專門要求，包括保護財務數據以及其完整性和真實性。是從經濟立場保護社會。

HIPPA法案爲個人醫療信息和保健數據的存儲、使用及傳輸提供了國家標準及措施。

GLBA也稱爲金融現代化法案，要求金融機構開發隱私通告，允許客戶選擇禁止銀行與第三方共享個人信息。

計算機欺詐與濫用法案，美國愛國者法案，身份盜竊與賠償法案

個人信息保護和電子文檔法案PIPEDA是爲了監控私有部門在常規商業活動中如何收集、使用和披露個人信息而制定的法律。

Basel II用於確定每個金融機構的實際風險並考慮緩解風險，促使成員機構關注和投資於安全舉措。

支付卡行業數據安全標準PCI DSS適用於處理、傳輸、存儲或接受信用卡機構的組織結構。

聯邦信息安全管理法案FISMA是用了對機構運營和資產提供支持的信息和信息系統進行保護，需要創建記錄和實施安全計劃。

經濟間諜法案定義了商業祕密涉及技術、業務、工程、科學或金融方面

9.6 義務及其後果

高級管理者有義務保護公司不受衆多消極活動的影響，如惡意代碼、自然災害、私人干擾和違反法律。

只有實行了適度勤奮，纔會有適度關注的發生。

下游責任downstream liability：互相合作的兩家公司應該保證他們的活動不會對合作伙伴產生負面影響

SAS70是審計員用來評估服務機構的控制措施的一套審計標準。

9.7 合規性

9.8 調查

事故管理
事故響應措施：分類、調查、遏制、分析、追蹤、恢復
計算機取證和適當的證據收集
國際計算機證據組織：IOCE和SWDGE
動機、機會和方式
取證調查過程：標識、保存、收集、調查、分析、呈現、決定
證據和保管鏈

幾種不同的攻擊類型：

• salami攻擊：會計部門常見，如每次從賬戶中扣除少量資金
• 數據欺騙：可通過訪問和賬戶控制、監管、審計、職責分離和授權限制來防範
• 密碼嗅探
• IP欺騙：IP spoofing
• 垃圾搜尋
• 搭線竊聽：屬於被動攻擊，是非入侵式的。主動攻擊（如DDos）是入侵式的
• 域名搶注

9.9 道德