法律、规章、调查及合规素材.pptxVIP

法律、规章、调查及合规Legal, Regulations, Compliance, and Investigations CISSP第六版培训PPT之八 关键知识领域 A. 理解国际范围内与信息安全相关的法律问题 A.1 计算机犯罪 A.2 许可证与知识产权（如版权、商标） A.3 进口/出口 A.4 跨境的数据流动 A.5 隐私权 B. 理解职业伦理 B.1 (ISC)2 职业伦理规范 B.2 拥护机构的伦理规范 C. 理解并支持调查 C.1 政策、角色与职责（如聘用规则、授权、适用范围） C.2 事故处理与应对 C.3 证据收集与处理（如监管链认证、面谈） C.4 汇报与记录 关键知识领域 D. 理解司法鉴定过程 D.1 媒介分析 D.2 网络分析 D.3 软件分析 D.4 硬件/嵌入式设备分析 E. 理解合规的要求与过程 E.1 监管环境 E.2 审计 E.3 汇报 F. 确保合约协议与采购过程的安全（如云计算、外包、供应商治理） 目录 电子犯罪的方方面面The Many Facets of Cyberlaw 计算机犯罪的难题The Crux of Computer Crime Laws 网络犯罪的复杂性Complexities in Cybercrime 知识产权法Intellectual Property Laws 隐私Privacy 责任及后果Liability and Its Ramifications 合规Compliance 调查Investigations 道德Ethics 电子犯罪的方方面面 计算机犯罪的难题 计算机辅助的犯罪（Computer Assisted Crime） 计算机在犯罪活动中并非必要因素（Not Unique），其作用只是做为工具协助了犯罪分子，如使用计算机进行欺诈活动或传播色情图片； 计算机特有或以计算机为目标的犯罪（Computer Specific or Targeted Crime） 针对（Direct At）计算机、网络以及这些系统中所存储信息的犯罪，如拒绝服务攻击、网络嗅探、口令破解等； 计算机只是附带因素（Computer is Incidental） 在于犯罪活动中，计算机只是偶然出现的附带因素，如贩毒分子的顾客列表（Customer List）等。 网络犯罪的复杂性 电子资产Electronic Assets 攻击的演变The Evolution of Attacks 国际问题International Issues 法律制度的类型Types of Legal Systems 电子资产 数字世界给社会带来的另一类复杂性，表现在定义需要保护哪些资产、进行到何种保护程度的复杂性上。在商业世界中，我们需要保护的资产已经发生了改变。以前的资产是有形资产（设备、建筑物、制造工具和库存）。如今，公司必须将数据添加到它们的资产表中，而且数据通常位于这个列表的最顶端，它们包括：产品蓝图、社会安全号、医疗信息、信用卡号码、个人信息、商业秘密、军事部署及策略等。不仅需要保护数字格式的数据，而且需要定义何为敏感数据以及保存这些数据的位置。 在许多国家，为了有效地打击计算机犯罪，立法机关已经放宽了对资产的定义，将数据包括在内。 攻击演变 以前黑客主要由享受攻击刺激的人构成。黑客活动被视为挑战性的游戏，而且没有任何伤害企图。攻击者攻破大型网站（Yahoo、MSN、Excite）的目的是登上新闻头条，并在黑客同行之间炫耀。病毒创作者编写出了不断复制或执行某种无害行为的病毒，尽管他们本可以实施更加恶意的攻击。 尽管还是有以黑客攻击作为乐趣的脚本小子（script kiddie）和其他人存在，但有组织犯罪已经出现在人们的视野中，并且显著加大了所造成损失的严重程度。这些有组织罪犯出于特殊的原因而寻找特定的目标，而且往往受利益驱使。它们尝试实施攻击，并保持隐秘，从而截获信用卡号、社会安全号和个人信息来进行欺诈和身份盗窃。 攻击演变 APT（advanced persistent threat ）攻击 高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 1 2 3 4 5 钓鱼和零日攻击 后门 横向运动 数据收集 泄露 几个用户成为两个钓鱼攻击的目标，一个用户打开了零日负载 用户计算机被一个特定工具远程访问 攻击者转而访问重要用户、服务、管理账户和特定系统 从目标服务器获取数据从而进入泄露阶段 数据通过FTP上的加密文件被泄露给位于托管帐务提供者的外部受损计算机 国际问题 欧洲（COE）网络犯罪公约理事会 针对网络犯罪而尝试创建的一个国际性标准 欧盟隐私原则 主要与使用和传输敏感数据有关 安全港隐私原则 通知 选择 向外