CISSP-10-Legal,Regulations,Investigations_and_Compliance.pdf

Legal,Regulations,InvestigationsandComplianceXu Hui,CISSPEmail:1CISSPExpectations Understandlegalissuesthatpertaintoinformationsecurityinternationally了解相关国际信息安全法律 Computercrime计算机犯罪 Licensingandintellectualproperty,e.g.,copyright,trademark授权、知识产权、版权、商标 Import/export进口、出口 Trans-borderdataflow跨境数据传输 Privacy隐私 Understandandsupportinvestigations调查取证 Policy Incidenthandlingandresponse Evidencecollectionandhandling,e.g.,chainofcustody,interviewing Reportinganddocumenting2CISSPExpectation-CISSPExpectations Understandforensic procedures理解计算机取证步骤 Mediaanalysis媒介分析 Networkanalysis法律分析 Softwareanalysis软件分析 Understandcompliancerequirementsandprocedures 理解合规性需求和流程 Regulatoryenvironment法规环境 Audits审计 Reporting报告3CISSPExpectation-Topics1.MajorLegalSystem2.MajorLawBranches3.InformationSecurityAspectofLaw4.ComputerForensics5.Ethics41.MAJORLEGALSYSTEM5主要法律体系LegalSystemsoftheWorld6CivillawCommonlawBijuridical(civilandcommonlaw)ReligiousLaw(Islamic)MajorLegalSystem-Civillaw 欧陆法系 CivillawisalegalsystemoriginatinginWesternEurope,intellectualizedwithintheframeworkoflateRomanlaw,andwhosemostprevalentfeatureisthatitscoreprinciplesarecodifiedintoareferablesystem whichservesastheprimarysourceoflaw.7MajorLegalSystem-CommonLaw 英美法系 Itsprimarydistinguishingfeatureisthesignificantemphasisonparticularcasesandjudicialprecedentasadeterminantoflaws theprinciple:itisunfairtotreatsimilarfactsdifferentlyondifferentoccasions8MajorLegalSystem-ReligiousLaw 伊斯兰法系 Religiousdoctrineorinterpretationcanbeasourceoflegalunderstandingandstatutes.9MajorLegalSystem-2.MAJORLAWBRANCHES10主要法律分支MajorLawBranches CriminalLaw（刑法）CivilLaw（民法）Administrative/RegulatoryLaw（行政法）11MajorLawBranches-CriminalLaw Criminallaw isthebodyoflawthatrelatestocrime.Itregulatessocialconductandproscribesthreatening,harming,orotherwiseendangeringthehealth,safety,andmoralwelfareofpeople.12MajorLawBranches-CivilLaw Civillaw isthebranchoflawdealingwithdisputesbetweenindividualsororganizations,inwhichcompensationmaybeawardedtothevictim.Forinstance,ifacarcrashvictimclaimsdamagesagainstthedriverforlossorinjurysustainedinanaccident,thiswillbeacivillawcase.13MajorLawBranches-AdministrativeLaw Administrativelaw isthebodyoflawthatgovernstheactivitiesofadministrativeagencies ofgovernment.Governmentagencyactioncanincluderulemaking,adjudication,ortheenforcementofaspecificregulatoryagenda.143.INFORMATIONSECURITYASPECTOFLAW15Computer Crime Computerasatool（80%）偷盗银行账户钱财 偷盗机密信息 开办黄色网站 利用计算机进行诈骗 钓鱼网站骗取钱财 在互联网上开办非法业务：赌博、卖药 利用互联网发布非法煽动性言论 互联网服务提供者非法利用、买卖用户信息 16ISLaw-Computer Crime Computerasatarget DDoS拒绝服务攻击 非法入侵网站篡改网页 病毒 偷取用户账户 17ISLaw-Computer Crime Computerisincidentaltoothercrimes Inthiscategoryofcomputercrime,thecomputerisnotessentialforthecrimetooccur,butitisrelatedtothecriminalact.Thismeansthatthecrimecouldoccurwithoutthetechnology;however,computerizationhelpsthecrimetooccurfaster CrimesAssociatedWiththePrevalenceofComputers Softwarepiracy/counterfeiting,Copyrightviolationofcomputerprograms18ISLaw-IntellectualProperty知识产权 Trademark商标 Patent专利 Copyright版权 License授权许可 TradeSecret商业秘密19ISLaw-IntellectualPropertyTrademarkAdistinguishingname,logo,symbol,orimagerepresents.Types(thetrademarksymbol,whichisthelettersTM,foranunregisteredtrademark,amarkusedtopromoteorbrandgoods)(whichisthelettersSMinsuperscript,foranunregisteredservicemark,amarkusedtopromoteorbrandservices)(theletterRsurroundedbyacircle,foraregisteredtrademark)中华人民共和国商标法、中华人民共和国商标法实施条例 注册商标的有效期为十年，自核准注册之日起计算。注册商标有效期满，需要继续使用的，应当在期满前六个月内申请续展注册。管理单位:国家工商行政管理总局商标局20ISLaw-IntellectualPropertyPatent Scope:授予专利权的发明和实用新型，应当具备:新颖性:该发明或者实用新型不属于现有技术 创造性:是指与现有技术相比，该发明具有突出的实质性特点和显著的进步 实用性:是指该发明或者实用新型能够制造或者使用，并且能够产生积极效果 中华人民共和国专利法 发明专利权的期限为二十年，实用新型专利权和外观设计专利权的期限为十年，均自申请日起计算 管理单位：国家知识产权局专利局21ISLaw-IntellectualPropertyCopyright Scopepoems,theses,plays,otherliteraryworks,movies,dances,musicalcompositions,audiorecordings,paintings,drawings,sculptures,photographs,software,radioandtelevisionbroadcasts,andindustrialdesigns Right 中国中华人民共和国著作权法发表权、署名权、修改权、保护作品完整权、复制权、发行权、出租权、展览权、放映权、广播权、信息网络传播权、摄制权、改编权、翻译权、汇编权。著作权人可以许可他人行使前款规定的权利，并依照约定或者本法有关规定获得报酬。著作权人可以全部或者部分转让本条款规定的权利，并依照约定或者本法有关规定获得报酬。保护期为作者终生及其死亡后五十年 管理单位：国家版权局 信息网络传播权保护条例22ISLaw-IntellectualPropertyLicense SoftwareLicense governingtheuseorredistributionofsoftware.Allsoftwareiscopyrightprotected,exceptmaterialinthepublicdomain.Freeandopen-sourcelicenses permissivelicenses aimtohaveminimalrequirementsabouthowthesoftwarecanberedistributed.Eg,BSDlicenseandtheMITlicense copyleft Licenses aimtopreservethefreedoms thatisgiventotheusersbyensuringthatallsubsequentusersreceivesthoserights Eg,GNUGeneralPublicLicense(GPL):23ISLaw-IntellectualPropertyTradeSecret Bywhichabusinesscanobtainaneconomicadvantageovercompetitorsorcustomers.中国尚无商业秘密保护法 反不正当竞争法第十条 刑法第二百一十九条（一）以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的；（二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的；（三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。24ISLaw-IntellectualPropertyUS-EU Law1970U.SFairCreditReportingAct美国信用报告法律，规范了收集、使用、传播用户信息的行为1970U.S.RacketeerInfluencedandCorruptOrganizationAct(RICO)美国反犯罪组织侵蚀合法组织法1973U.S.CodeofFairInformationPractices美国公平信息实践守则1974U.S.PrivacyAct美国隐私法1978USForeignIntelligenceSurveillanceAct外国情报监视法1980OrganizationforEconomicCooperationandDevelopment(OECD)Guidelines经合发展组织 准则1984U.S.MedicalComputerCrimeAct美国 医疗计算机犯罪法律1984(Strengthenedin1986and1994)FirstU.S.FederalComputerCrimeLawpassed美国 联邦计算机犯罪法25ISLaw-US-EULaw1986(Amendedin1996)U.S.ComputerFraudandAbuseAct美国 计算机欺诈与滥用法1986U.S.ElectronicCommunicationsPrivacyAct美国 电子通讯隐私法1987U.S.ComputerSecurityAct美国 计算机安全法1990UnitedKingdomComputerMisuseAct英国 计算机滥用法1991U.S.FederalSentencingGuidelines美国 联邦量刑指南1992OECDGuidelinestoServeasaTotalSecurityFrameworkOECD整体安全框架守则1994U.S.CommunicationAssistanceforLawEnforcementAct美国通信辅助强制法案1994U.S.ComputerAbuseAmendmentsAct美国计算机滥用修正法案1995CouncilDirective(Law)onDataProtectionfortheEuropeanUnion欧盟 数据保护法律26ISLaw-US-EULaw1996U.S.EconomicandProtectionofProprietaryInformationAct美国 专有信息保护和经济法案1996U.S.Kennedy-Kassenbaum HealthInsuance andPortabilityAccountabilityAct(HIPAA)美国 健康便利保险携带和责任法案1996U.S.NationalInformationInfrastructureProtectionAct美国 国家信息基础设施保护法案1998U.S.DigitalMillenniumCopyrightAct(DMCA)美国 数字千年版权法案1999U.S.UniformComputerInformationTransactionsAct(UCITA)统一计算机信息交易法案2000U.S.CongressElectronicSignaturesinGlobalNationalCommerceAct(ESIGN)美国 国会电子签名在全国贸易中的应用2001U.S.ProvideAppropriateToolsRequiredtoInterceptandObstructTerrorism(PATRIOT)Act美国 组织恐怖活动时提供适当的工具的法案2002U.S.FederalInformationSecurityManagementAct美国 联邦信息安全管理法案27ISLaw-美国电子通讯隐私法 ECPA延伸原先在电话有线监听的相关管制（包含透过电脑的电子数据传递）其主要是来防止政府未被允许而去接取监听私人的电子通讯。之后，美国爱国者法（USAPATRIOTAct）的一些条文施行后，也弱化、缩小了ECPA其所涵盖的内容。ECPA的2709条允许美国联邦调查局（FBI）发布国家安全令函给网路服务提供业者（ISP），以命令他们揭露客户记录 这在ACLUv.Ashcroft(2004)中被认定是违美国第一与第四宪法修正案。此被认为可以应用在其他的国家安全令函上。28ISLaw-数字千年版权法案第一部分:WIPO(世界知识产权组织)版权条约及表演和录影制品条约执行法案第二部分:网络著作权侵权责任限定法为在线服务提供商(OSP,其中包括互联网服务提供商(ISP)建立了一个“安全港”，对符合其特定要求的侵权行为进行打击。第三部分:电脑维修竞争保障法案 修改了版权法第117条，使得修理电脑时，可以获得暂时、有限的副本。第四部分:杂项条例 新增条例以方便远程教育；新增条例以帮助录音库的保存。第五部分:原始设计保护法 保护独一无二的原始设计。(此前这些设计并没有受著作权法保护)。29ISLaw-健康便利保险携带和责任法案 HIPAA 法案制定了一系列安全标准，就保健计划、供应商以及结算中心如何以电子文件的形式来传送、访问和存储受保护的健康信息做出详细的规定。法案规定在确保私密性的情况下保存病人信息档案六年 还详细规定了医疗机构处理病人信息规范，以及违法保密原则、通过电子邮件或未授权的网络注销病人档案的处罚方案。30ISLaw-美国爱国者法 这个法案以防止恐怖主义的目的(同FISA);警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录；减少对于美国本土外国情报单位的限制；扩张美国财政部长的权限以控制、管理金融方面的流通活动，特别是针对与外国人士或政治体有关的金融活动；并加强警察和移民管理单位对于居留、驱逐被怀疑与恐怖主义有关的外籍人士的权力。31ISLaw-InternationalCooperation OECD经济合作与发展组织是由30多个市场经济国家组成的政府间国际经济组织 在1980年制定的个人隐私保护原则有：信息收集限制原则和信息质量原则 表明目的原则和使用限制原则 安全保护原则和公开性原则 个人参与原则和负责任原则。CouncilofEuropeConventiononCybercrime欧洲理事会网络犯罪公约 amajorityofthe47Europeanmembercountries,andtheUnitedStates,havesignedandratified.TheprimaryfocusoftheConventiononCybercrimeisestablishingpolicystandardstopromoteinternationalcooperationduringinvestigationandprosecutionofcybercrime32ISLaw-ChineseLawandRegulatory 在中国，信息安全方面的法律法规主要包括以下几种形式：法律：是指由全国人民代表大会及其常委会通过的法律规范。行政法规：是指国务院为执行宪法和法律而制定的法律规范与信息网络安全有关的行政法规。形式：国务院令 第XX号 规章：是指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。形式：部（局）令（公告）第XX号 规范性文件：俗称“红头文件”地方性法律法规：33ISLaw-ChineseLawandRegulatory法律 宪法 刑法 中华人民共和国保守国家秘密法 中华人民共和国国家安全法 全国人大常务委员会关于维护互联网安全的决定 中华人民共和国电子签名法 全国人民代表大会常务委员会关于加强网络信息保护的决定 中华人民共和国侵权责任法34ISLaw-ChineseLawandRegulatory宪法 第二十八条：国家维护社会秩序，镇压叛国和其他反革命的活动，制裁危害社会治安、破坏社会主义经济和其他犯罪的活动，惩办和改造犯罪分子。第三十五条：中华人民共和国公民有言论、出版、集会、结社、游行和示威的自由。第三十八条：中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和造谣陷害。第四十条：中华人民共和国公民的通信自由和通信秘密受法律的保护。35ISLaw-ChineseLawandRegulatory刑法第217条规定：以营利为目的，有下列侵犯著作权情形之一，违法所得数额较大或者有其他严重情节的，处三年以下有期徒刑或者拘役，并处或者单处罚金；违法所得数额巨大或者有其他特别严重情节的，处三年以上七年以下有期徒刑，并处罚金：未经著作权人许可，复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的；出版他人享有专有出版权的图书的；未经录音录像制作者许可，复制发行其制作的录音录像的；制作、出售假冒他人署名的美术作品的。第218条规定：以营利为目的，销售明知是本法第二百一十七条规定的侵权复制品，违法所得数额巨大的，处三年以下有期徒刑或者拘役，并处或者单处罚金。第285条规定：违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。36ISLaw-ChineseLawandRegulatory刑法第286条规定：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第287条规定：利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。第288条规定：违反国家规定，擅自设置、使用无线电台（站），或者擅自占用频率，经责令停止使用后拒不停止使用，干扰无线电通讯正常进行，造成严重后果的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。37ISLaw-ChineseLawandRegulatory电子签名法第二条 本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。第十三条 电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。38ISLaw-ChineseLawandRegulatory法律解释 最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释39ISLaw-ChineseLawandRegulatory行政法规 商用密码管理条例 中华人民共和国计算机信息系统安全保护条例 计算机信息系统国际联网保密管理规定 信息网络传播权保护条例 规范互联网信息服务市场秩序若干规定 北京市微博客发展管理若干规定40ISLaw-ChineseLawandRegulatory部门规章国家密码管理局 电子认证服务密码管理办法国密 第2号，2005年3月发布,2009年修 商用密码科研管理规定国密 第4号，2005年12月 商用密码产品生产管理规定国密 第5号，2005年12月 商用密码产品销售管理规定国密 第6号，2005年12月 商用密码产品使用管理规定国密 第8号，2007年3月 境外组织和个人在华使用密码产品管理办法国密 第9号，2007年3月公安部 计算机信息系统安全专用产品检测和销售许可证管理办法公安部令第32号，1997年12月 计算机病毒防治管理办法公安部令 第51号，2000年3月发布 金融机构计算机信息系统安全保护工作暂行规定公通字199863号，1998年8月 信息安全等级保护管理办法公通字200743号，2007年6月41ISLaw-ChineseLawandRegulatory部门规章 国家保密局 计算机信息系统保密管理暂行规定国保发 第1号，1998年2月发布 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法中保办发 第6号，1998年发布 计算机信息系统国际联网保密管理规定国保发，2000年1月 工信部 电子认证服务管理办法2009年2月 银监会 电子银行业务管理办法2006年1月 证监会 网上证券委托暂行管理办法2000年 证券期货业信息安全保障管理暂行办法2005年4月42ISLaw-ChineseLawandRegulatory5.COMPUTERFORENSICS43Forensics DefinitionofDigitalForensicSciences:Theuseofscientificallyderivedandprovenmethodstowardthepreservation,collection,validation,identification,analysis,interpretation,documentationandpresentationofdigitalevidencederivedfromdigitalsourcesforthepurposeoffacilitatingorfurtheringthereconstructionofeventsfoundtobecriminal,orhelpingtoanticipateunauthorizedactionsshowntobedisruptivetoplannedoperations.44ComputerForensics-GenericGuideline IdentifyingEvidence Correctlyidentifyingthecrimescene,evidenceandpotentialcontainersofevidence.Collectingoracquiringevidence Usingsound,repeatable,collectiontechniquesthatallowforthedemonstrationoftheaccuracyandintegrityofevidence,orcopiesofevidence.Examiningoranalyzingtheevidence Presentationoffindings Interpretingtheoutputfromtheexaminationandanalysisbasedonfindingoffactandarticulatingtheseinaformatappropriatefortheintendedaudience45ComputerForensics-CrimeScene Thescenemayinclude Physical Server Workstation Laptop PDA USB Virtual Datainvolatilestorage Datainrunningprocess Dataonremoteside 46ComputerForensics-CrimeScene Onlythoseindividualswithknowledgeofbasiccrimesceneanalysisshouldbeallowedtodealwiththescene.Principlesofcriminalistics:identifythescene protecttheenvironment identifyevidenceandpotentialsourcesofevidence collectevidence andminimizethedegreeofcontamination47ComputerForensics-DigitalEvidence Anevidentisadmissiblewhen Beadmissible Beauthentic Beaccurate Becomplete Beconvincing Evidencehaslifecycle48ComputerForensics-TypesofEvidence Bestevidence originalorprimaryevidence,usuallydenotesanoriginalwriting,whichisconsideredthemostreliableproofofitsexistenceanditscontents.Secondaryevidence evidencethathasbeenreproducedfromanoriginaldocumentorsubstitutedforanoriginalitem.Forexample,aphotocopyofadocumentorphotographwouldbeconsideredsecondaryevidence.Courtspreferoriginal,orprimary,evidence.Theytrytoavoidusingsecondaryevidencewhereverpossible.Thisapproachiscalledthebestevidencerule.49ComputerForensics-6.ETHICS50Ethics(ISC)2CodeofEthics TheComputerEthicsInstitutesTenCommandmentsofComputerEthics TheInternetActivitiesBoard(IAB)EthicsandtheInternet(RFC1087)TheU.S.DepartmentofHealth,Education,andWelfareCodeofFairInformationPractices51(ISC)2CodeofEthics Protectsociety,thecommonwealth,andtheinfrastructure.Acthonorably,honestly,justly,responsibly,andlegally.Providediligentandcompetentservicetoprincipals.Advanceandprotecttheprofession.保护社会、财产和基础设施。自豪、诚实、公平、负责、合法的工作。为提升信息安全能力、保护信息安全专业贡献力量。勤奋并提供有质量保证服务。52SampleQuestionsWidgetsInc.wishestoprotectitslogofromunauthorizeduse.Whichofthefollowingwillprotectthelogoandensurethatotherscannotcopyanduseit?A.Patent B.Copyright C.Trademark D.Tradesecretlaw53SampleQuestionsThereareseveralcategoriesofevidence.Howisawitnesssoraltestimonycategorized?A.Bestevidence B.Secondaryevidence C.Circumstantialevidence D.Conclusiveevidence54SampleQuestionsAsaCISSPcandidate,youmustsignaCodeofEthics.Whichofthefollowingisfromthe(ISC)2CodeofEthicsfortheCISSP?A.Informationshouldbesharedfreelyandopenly;thus,sharingconfidentialinformationshouldbeethical.B.Thinkaboutthesocialconsequencesoftheprogramyouarewritingorthesystemyouaredesigning.C.Discourageunnecessaryfearordoubt.D.DonotparticipateinInternet-wideexperimentsinanegligentmanner.55