法律、规章、调查及合规教材.pptx

法律、规章、调查及合规 Legal, Regulations, Compliance, and Investigations CISSP第六版培训PPT之八 关键知识领域 A. 理解国际范围内与信息安全相关的法律问题 A.1 计算机犯罪 A.2 许可证与知识产权（如版权、商标） A.3 进口/出口 A.4 跨境的数据流动 A.5 隐私权 B. 理解职业伦理 B.1 (ISC)² 职业伦理规范 B.2 拥护机构的伦理规范 C. 理解并支持调查 C.1 政策、角色与职责（如聘用规则、授权、适用范围） C.2 事故处理与应对 C.3 证据收集与处理（如监管链认证、面谈） C.4 汇报与记录 关键知识领域 D. 理解司法鉴定过程 D.1 媒介分析 D.2 网络分析 D.3 软件分析 D.4 硬件/嵌入式设备分析 E. 理解合规的要求与过程 E.1 监管环境 E.2 审计 E.3 汇报 F. 确保合约协议与采购过程的安全（如云计算、外 包、供应商治理） 目录 电子犯罪的方方面面The Many Facets of Cyberlaw 计算机犯罪的难题The Crux of Computer Crime Laws 网络犯罪的复杂性Complexities in Cybercrime 知识产权法Intellectual Property Laws 隐私Privacy 责任及后果Liability and Its Ramifications 合规Compliance 调查Investigations 道德Ethics 电子犯罪的方方面面 计算机犯罪的难题 计算机辅助的犯罪（Computer Assisted Crime） 计算机在犯罪活动中并非必要因素（Not Unique），其作 用只是做为工具协助了犯罪分子，如使用计算机进行欺诈 活动或传播色情图片； 计算机特有或以计算机为目标的犯罪（Computer Specific or Targeted Crime） 针对（Direct At）计算机、网络以及这些系统中所存储信 息的犯罪，如拒绝服务攻击、网络嗅探、口令破解等； 计算机只是附带因素（Computer is Incidental） 在于犯罪活动中，计算机只是偶然出现的附带因素，如贩 毒分子的顾客列表（Customer List）等。

网络犯罪的复杂性 电子资产Electronic Assets 攻击的演变The Evolution of Attacks 国际问题International Issues 法律制度的类型Types of Legal Systems 电子资产 数字世界给社会带来的另一类复杂性，表现在定义需 要保护哪些资产、进行到何种保护程度的复杂性上 在商业世界中，我们需要保护的资产已经发生了改 变以前的资产是有形资产（设备、建筑物、制造工 具和库存）如今，公司必须将数据添加到它们的资 产表中，而且数据通常位于这个列表的最顶端，它们 包括：产品蓝图、社会安全号、医疗信息、信用卡号 码、个人信息、商业秘密、军事部署及策略等不仅 需要保护数字格式的数据，而且需要定义何为敏感数 据以及保存这些数据的位置 在许多国家，为了有效地打击计算机犯罪，立法机关 已经放宽了对资产的定义，将数据包括在内 攻击演变 以前黑客主要由享受攻击刺激的人构成黑客活动被 视为挑战性的游戏，而且没有任何伤害企图攻击者 攻破大型网站（Yahoo、MSN、Excite）的目的是登 上新闻头条，并在黑客同行之间炫耀病毒创作者编 写出了不断复制或执行某种无害行为的病毒，尽管他 们本可以实施更加恶意的攻击。

尽管还是有以黑客攻击作为乐趣的脚本小子（script kiddie）和其他人存在，但有组织犯罪已经出现在人 们的视野中，并且显著加大了所造成损失的严重程 度这些有组织罪犯出于特殊的原因而寻找特定的目 标，而且往往受利益驱使它们尝试实施攻击，并保 持隐秘，从而截获信用卡号、社会安全号和个人信息 来进行欺诈和身份盗窃 攻击演变 APT（advanced persistent threat ）攻击 高级持续性威胁是指组织(特别是政府)或者小团体利用先 进的攻击手段对特定目标进行长期持续性网络攻击的攻击 形式 12 345 钓鱼和零日攻 击 后门横向运动数据收集泄露 几个用户成为 两个钓鱼攻击 的目标，一个 用户打开了零 日负载 用户计算机被 一个特定工具 远程访问 攻击者转而访 问重要用户、 服务、管理账 户和特定系统 从目标服务器 获取数据从而 进入泄露阶段 数据通过FTP 上的加密文件 被泄露给位于 托管帐务提供 者的外部受损 计算机 国际问题 欧洲（COE）网络犯罪公约理事会 针对网络犯罪而尝试创建的一个国际性标准 欧盟隐私原则 主要与使用和传输敏感数据有关 安全港隐私原则 通知 选择 向外转移 安全 数据完整性 访问 执行 国际问题 OECD个人数据保护的核心原则 个人数据的收集应当受到限制，必须以合法和公正的方式获得， 并且得到了主体的认可。

保留的个人数据应当是完整的和当前的，并且与其使用目的相 关 在收集个人数据的时候应当向主题告知原因，而且组织机构应该 将收集的个人数据仅用于指定目的 只有得到主体或法律权威机构的同意，个人数据才能够被泄露， 可供使用，或者用于上述陈述之外的其他目的 应当采用合理的防护措施来保护个人数据免受威胁，如丢失、未 授权的访问、更改以及泄露 与个人数据有关的开发、实践和策略应当开放交流此外，主体 应当能够容易地建立 个人数据的存在和性质、它的用法、身份 以及组织机构保管这些数据的常规位置 主体应当能够发现组织机构是否拥有他们的个人信息以及信息的 具体类型，能够纠正错误的数据，能够质疑拒绝执行上述操作的 请求 组织机构应当可被问责是否遵循了前几个原则所支持的措施 法律制度的类型 普通法系（Common Law System） 也被称为英美法系、海洋法系，采不成文法，尤其是判例 法（Case Law），强调“遵循先例（Precedent）”，除 非某一项目的法例因为客观环境的需要或为了解争议而需 要以成文法制定，否则，只要根据当地过去对于该项目的 习惯（Customs and Traditions）而评定谁是谁非，美国、 英格兰、威尔斯、爱尔兰前英国殖民地，包括香港均采用 这种法系； 大陆法系（Civil Law System） 也被称为欧陆法系、罗马法系、民法法系、法典法系，以 成文法为主，通常不承认判例法的地位，具有悠久的法典 编篡（Codified）的传统，在法学理论上崇尚理性主义、倾 向于建构抽象化的概念体系，发源于欧洲大陆，日本、中 国等国家采用这种法系。

法律制度的类型 民法（Civil Law）， 也被称为侵权法（Tort Law），适用于对他人或公司造成 伤害（Damage）或损失（Loss）的案件，处罚是经济赔 偿（Financial Restitution） 刑法（Criminal law）， 适当于违反政府颁布的法律（Government Laws）的案件 ，处罚通常是监禁（Jail Term or Probation）等刑罚 行政法（Administrative law）， 适用于违反行政法规（Regulatory Laws）的案件，处罚可 以是经济赔偿也可以是刑罚处罚 不同国家对同样的计算机犯罪案件的适用法律可能不 同，这增加了打击难度 知识产权法 商业秘密Trade Secret 版权Copyright 商标Trademark 专利Patent 知识产权内部保护Internal Protection of Intellectual Property 软件盗版Software Piracy 知识产权法 素有的机构都应该重视知识产权（Intellectual Property）保护问题，采取有效的保护措施防止公司 的知识产权遭受侵害，也要防止机构及其雇员侵害他 人的知识产权以免给机构带来法律风险。

法律保护的 知识产权主要包括以下四类： 商业秘密（Trade secret） 著作权（Copyright） 商标（Trademark） 专利（Patent） 商业秘密 商业秘密（Trade secret）具有以下特征： 不是众所周知的（Generally Known to the Public），而是 公司付出了相当的资源和努力（Effort）开发的 对于公司的竞争或市场能力至关重要 受到公司适当（Reasonable）保护以防止泄露或非授权使 用 商业秘密的例子有： 产品配方（Formula） 程序源代码（Program Source Code） 加密算法（Cryptographic Algorithm） 版权 著作权（Copyright），作者对其作品的公开发表（ Distribution）、复制（Reproduction）、展示（ Display）和修改（Adaptation）所具有的法律保护的 权利（Right） 版权法并不保护作品的创意，而只保护创意的表现形 式（Expression），即作品本身作品中所涉及的方 法、概念、操作规程都不是版权法保护的内容。

版权法保护的内容包括：文学作品（Writings）、歌 曲旋律、绘画（Drawings）以及程序代码 版权法保护程序源代码（Source Code）和执行代码 （Object Code），有些情况下也保护程序的组织结 构形式，如用户界面（User Interface） 商标 商标（Trademark）保护与著作权保护有所不同，它 保护的是代表公司形象的单词（Word）、名称（ Name）、符号（Symbol）、形状（Shape）、声音 （Sound）颜色（Color）或其组合 公司通过消耗了一定的资源进行市场运作使其商标在 市场中产生影响，使购买者在众多的商品中能够识别 （Notice）出公司的产品，是公司质量和信誉的标 志 商标通常在商标注册保护机构进行了注册（Register ） 专利 专利（Patent）权，对专利注册人或公司的专利拥有 权（Legal Ownership）的法律认可，禁止他人或公司 未经拥有人授权而使用或复制专利所保护的发明 专利所保护的发明必须具有新颖（Novelty）、实用（ Utility）和非显而易见（Non-obviousness）的特性。

专利有效期为20年，在此期间禁止他人使用，不过专 利权人通常通过收取专利使用费（Fee）的方式允许 他人使用其专利 专利的例子有药品配方和加密算等 知识产权内部保护 在内部采取措施来保护机密的资源通过适当的标识 对主体和客体定义标签并定义他们的访问级别访问 和操作资源的要求应被适当审计 告知员工责任及义务 软件盗版 软件盗版指的是一个作者的智力或创造性工作被其他 人使用或复制，但未得到作者许可或对作者进行赔 偿 软件许可的几种形式： 免费软件是公众可以免费使用的软件，而且能不受限 制地使用、复制、研究、更改和重新分发 共享软件或试用版； 多个许可证，允许几个用户问时使用该产品 终端用户许可协议（End User Licensing Agreement, EULA），它指定了比主协议更细粒化的条件和限 制 隐私 日益需要的隐私法The Increasing Need for Privacy Laws 法律，指令和法规Laws, Directives, and Regulations 隐私 个人隐私（Privacy）尚无明确统一的定义，有人将其 分为以下三种类型： 独处（Left Alone）的权利； 免受对个人不合理侵犯（Free from。