CISSP 第九章 法律、法规、合规和调查

最新推荐文章于 2024-01-02 17:54:32 发布
最新推荐文章于 2024-01-02 17:54:32 发布
阅读量969 收藏 9
点赞数 1
分类专栏: CISSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/waiwai3/article/details/104446861
版权

法律、法规、合规和调查

9.1 计算机法律的方方面面

9.2 计算机犯罪法律的关键点

3种类型的犯罪:
计算机辅助犯罪cpmputer-assistedcrime:使用计算机帮助实施犯罪
例:攻击金融系统盗窃资金和敏感信息

针对计算机的犯罪computer-targetd crime:计算机是受害者
例:ddos攻击、捕获密码或其他敏感数据、安装恶意软件造成破坏、安装嗅探器、实施缓冲区溢出以控制一个系统

计算机牵涉型犯罪computer is incidental:计算机不一定是攻击者或被攻击者,只是攻击发生时涉及其中

9.3 网络犯罪的复杂性

法律规定金融机构必须报告安全违规和犯罪事件,但他们不一定遵守。

9.3.1 电子资产

数据:产品蓝图、社会安全号、医疗信息、信用卡号码、个人信息、商业秘密、军事部署及策略

9.3.2 攻击的演变

APT高级持续性攻击是一群有知识有能力的黑客,寻找一切可以利用的途径进入系统,等到最有利的时间和攻击方向再进行攻击,从而确保其行为不被发现。

APT很难用主机型解决方案检测出来,可以检测网络流量的改变来发现这种攻击。

9.3.3 国际问题

欧洲理事会网络犯罪公约是针对网络犯罪而尝试创建的一个国际性公约。
与其他国家交换数据的全球性组织必须了解和遵守经济合作与发展组织OECD指导原则以及越境信息流规则。

OECD为不同国家提供指导原则,以对数据进行适当保护,使每个国家遵守相同的规则。

非欧洲组织要与欧洲组织有业务往来,并交换特定类型的数据,就需要遵守安全港safe harbor要求。

进出口法律要求:例 瓦森纳协议wassenaar agreement对常规武器和两用货品及技术实施出口管制。

9.3.4 法律的类型

普通法分为刑法、民法/民事侵权、行政(管理)法
民法处理针对个人或公司的伤害而造成的破坏或者损失,结果是经济赔偿或社区服务。
民事侵权:非法入侵、殴打、过失和产品责任等

9.4 知识产权法

知识产权法说明了公司如何保护自己的资产以及在违法时这些法律将如何处理。

9.4.1 商业秘密

公司会要求员工签订保密协议nondisclos
商业秘密保护某种类型的资源不被未授权使用或公开。
商业秘密可以是一个新算法、一个程序的源代码、制作软糖的方法、烤肉酱的成分

9.4.2 版权

版权保护法控制原创作品公开发行、翻印、展览和修改的权利
版权保护的是作品,不是思想。与专利相反。

9.4.3 商标

商标用于保护一个单词、名称、符号、声音、形状、颜色、设备或这些项的组合
商品外观,如可标识的包装袋,也是商标

9.4.4 专利

专利是授予个人或公司的法律所有权,使他们能够拒绝其他人使用或复制专利所指的发明。
发明者的专利被批准后,其他人在一定时间内(通常是批准之日起20年)就不得制造、使用或销售该发明。
专利保护的不是显而易见的作品,可以是思想。

9.4.5 知识产权的内部保护

适当级别的访问控制、审计启用以及适当的存储环境

9.4.6 软件盗版

免费软件、商业软件、学术软件

9.5 隐私

个人可标识信息Personally Identiable Information,PII
PII指可以用来唯一识别、联系或者定位一个人或者可以和其他资源一起用来识别某一个体的数据。

SOX法案对公司如何追踪、管理和报告财务信息提出了专门要求,包括保护财务数据以及其完整性和真实性。是从经济立场保护社会。

HIPPA法案为个人医疗信息和保健数据的存储、使用及传输提供了国家标准及措施。

GLBA也称为金融现代化法案,要求金融机构开发隐私通告,允许客户选择禁止银行与第三方共享个人信息。

计算机欺诈与滥用法案,美国爱国者法案,身份盗窃与赔偿法案

个人信息保护和电子文档法案PIPEDA是为了监控私有部门在常规商业活动中如何收集、使用和披露个人信息而制定的法律。

Basel II用于确定每个金融机构的实际风险并考虑缓解风险,促使成员机构关注和投资于安全举措。

支付卡行业数据安全标准PCI DSS适用于处理、传输、存储或接受信用卡机构的组织结构。

联邦信息安全管理法案FISMA是用了对机构运营和资产提供支持的信息和信息系统进行保护,需要创建记录和实施安全计划。

经济间谍法案定义了商业秘密涉及技术、业务、工程、科学或金融方面

9.6 义务及其后果

高级管理者有义务保护公司不受众多消极活动的影响,如恶意代码、自然灾害、私人干扰和违反法律。

只有实行了适度勤奋,才会有适度关注的发生。

下游责任downstream liability:互相合作的两家公司应该保证他们的活动不会对合作伙伴产生负面影响

SAS70是审计员用来评估服务机构的控制措施的一套审计标准。

9.7 合规性

9.8 调查

事故管理
事故响应措施:分类、调查、遏制、分析、追踪、恢复
计算机取证和适当的证据收集
国际计算机证据组织:IOCE和SWDGE
动机、机会和方式
取证调查过程:标识、保存、收集、调查、分析、呈现、决定
证据和保管链

几种不同的攻击类型:

  • salami攻击:会计部门常见,如每次从账户中扣除少量资金
  • 数据欺骗:可通过访问和账户控制、监管、审计、职责分离和授权限制来防范
  • 密码嗅探
  • IP欺骗:IP spoofing
  • 垃圾搜寻
  • 搭线窃听:属于被动攻击,是非入侵式的。主动攻击(如DDos)是入侵式的
  • 域名抢注

9.9 道德

waiwai3
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CISSP-OSG-每章小结梳理
小虫先生的博客
10-26 2653
CISSP-OSG-每章小结梳理
CISSP第二章 信息安全治理与风险管理
waiwai3的博客
11-20 5389
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
cissp中文版第九章
12-17
cissp考试教材类文档,本文档为中文版教材,共12章,此PDF为第九章
CISSP复习笔记-第9章 法律法规合规调查
mvpboss1004的博客
12-18 3019
CISSP复习笔记-第9章 法律法规合规调查9.3 网络犯罪的复杂性9.3.3 国际问题 欧洲理事会网络犯罪公约(Council of Europe (CoE) Convention on Cybercrime):针对网络犯罪而尝试创建的一个国际性标准 经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)指
CISSP 第4章:法律法规合规
最新发布
weixin_39757802的博客
01-02 876
UCITA 条款对先前可疑的收缩性薄膜包装许可证和单击包装许可证颁发行为提供了法律援助, 从而将它们变为有法律约束力的合同。UCITA 还要求生产制造者为软件用户提供选择,用户可以在完成安装过程之前拒绝许可证协议的条款, 并且能够收到软件订购价格的全额退款。PCI DSS 管理信用卡信息的安全, 并且有一个商业合同条款,在接受信用卡信息的业务与处理业务交易的银行之间强制执行。行为不应得到投权批准, 但是那些可能性很大的原因、受到誓词或证词支持的、特别描述的需要搜查的地方和需要被逮捕或扣押的人或物品除外。
CISSP备考系列之法律调查[10-30]
weixin_34406086的博客
05-02 223
CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。) 1,三种主要法律 刑法(Criminal law) 民法(Civil law) 行政法(Administrative/Regulatory law) ...
CISSP备考系列之事故与道德规范[10-32]
weixin_34006965的博客
05-03 435
CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。) 1,计算机犯罪(Computer crime)的主要类别: 军事和情报***(Military and Intelligence Attack)从执法机关或军...
2018-CISSP考纲变革及备考重点解析-知识点解读
11-15
- **合同、法律、行业标准和监管要求**:识别与企业活动相关的法规。 - **隐私要求**:遵守个人数据保护的规定。 **四、理解全球信息安全法律和监管问题** - **计算机犯罪和数据泄露**:了解相关的法律责任。 - **...
CISSP ALL in one考试指南第8版.pdf
12-17
本文档是CISSP考试指南第8版,英文版本。该版本有目录书签,里面的内容可以复制,可以做笔记亲测好用,挺不错的资源,大家快来下载吧!挺有用的!需要的话可以来下载哦!
CISSP备考资料分享.rar
12-05
CISSP备考资料,相关的电子版本材料(CISSP认证考试指南第七版CISSP All in One (中文第7版)-目录-非扫描版)、模拟题库、看书笔记和知识脑图等等。
CISSP考试指南笔记:2.3 责任分层
debugeeker的专栏
12-19 183
Senior management always carries the ultimate responsibility for the organization. Executive Management The CFO and CEO are responsible for informing stakeholders (creditors, analysts, employees, management, investors) of the firm’s financial condition and
CISSP认证2021年教材 OSG 第9版 增(改)知识点(汇总)
weixin_41820959的博客
01-18 5648
自官方2021年5月更新知识点后,主要教材《CISSP认证官方学习指南》(简称:OSG)也发布了新的第9版。由于新版教材中文版需一段时间后才会发布,而新版知识点可能会在考试中出现,因此我们组织进行了梳理,具体如下: ......
cissp 各章知识点临时记录
freshfox的博客
07-04 694
第一章 1. 安全三要素 2. 安全框架 27000 等 3. 法律相关。 4. 知识产权法 ,商业秘密, 版权,专利, 5 各种信息安全相关法案。 6 策略,标准,基线,指南 过程 7风险相关的几个公式 。 8 风险管理框架。 ...
CISSP重点知识总结1
weixin_43500133的博客
05-01 2486
CISSP 重点知识点总结-1-安全和风险管理 安全和风险管理 第 1 章 实现安全治理的原则和策略 1.1 基本概念 机密性, 完整性, 可用性 1. 机密性 Confidentiality 确保信息在存储,使用,传输过程中不会泄漏给非授权用户或实体 相反的为: 泄漏 Disclosure 2. 完整性 Integrity 防止 非授权 篡改 防止 授权用户不恰当 修改信息 保持信息内部一致性和外部一致性 内部一致性 存储在系统里的冗余信息要保持一致 外部一致性 存储在系统里的信息和外部
CISSP认证2021年教材 OSG 第9版 增(改)知识点:与 第8版 的目录对比
weixin_41820959的博客
08-12 2845
CISSP认证教材官方学习指南OSG第8版本与第9版目录对比表:
CISSP第一章:安全与风险管理知识点
qq_18209847的博客
09-12 3345
CISSP第一章:安全与风险管理知识点
CISSP认证考试指南(第7版)
cuibianzhen7802的博客
11-12 3878
第 1 章 安全和风险管理...............................1 1.1 安全基本原则.................................. 2 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值