CISSP备考系列之法律与调查[10-30]
CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)
1,三种主要法律
刑法(Criminal law)
民法(Civil law)
行政法(Administrative/Regulatory law)
刑法和民法收录在美国法典(United States Code)中,行政法收录在美国联邦法规(Code of Federal Regulations)中。
2,与计算机犯罪有关的几个法律
计算机诈骗与滥用法案(Computer Fraud and Abuse Act-CFAA) 制定于1984年,1986年进行了修正,主要保护政府,金融,医疗行业的信息系统,针对的是欺骗和非授权访问资源。
CFAA的修正案,修正于1994年,主要增加了下述内容:
* 编写恶意代码是被禁止的。
* 保护一切计算机系统。
* 允许关押罪犯,不管是否造成损失。
* 受害者可以提起民事诉讼追讨损失。
计算机安全法案(Computer Security Act-CSA),制定于1987年,是对内的法规,主要用于规范政府计算机系统的安全防护措施。为联邦机构设置了安全基准。美国国家标准技术研究所(the National Institute of Standards and Technology, NIST)负责具体内容的制定。
联邦判决指导方针(Federal Sentencing Guidelines-FSG),颁布于1991年,对资产的拥有者提出了更高的要求,管理员必须对信息安全足够重视,提出了due care(适度关注)的概念。如果能够证明自己在信息安全方面做到了适度关注,可减少处罚。
文书精简法案(Paperwork Reduction Act-PRA)用于约束机构获取公共信息的行为。获取信息的行为需要经过美国行政管理和预算局的批准。
国家信息基础设施保护法案(National Information Infrastructure Protection Act
)发布于1996年,是对CFAA的扩展。主要包括:
* 适用范围从州际贸易到国际贸易。
* 扩展了范围,包括国家铁路,燃气管道,电力网和通信线路。
* 损害严重的,按重罪处理。
政府信息安全改革法案(Government Information Security Reform Act,GISRA)发布于2000年,进一步对政府信息系统的安全性提出约束,为关键任务系统(国家安全系统,机密系统,影响范围巨大系统)定义了单独的保护级别。
3,知识产权(Intellectual Property-IP)包括版权,商标权,专利权和商业秘密。
4,版权(Copyright)保护八种作品
文学作品
音乐作品
戏剧作品
哑剧和舞蹈作品
绘画,图形和雕刻作品
电影和其他音像作品
声音录音
建筑作品
没有计算机软件,软件版权归属于文学作品(偷笑)。版权法只保护软件的内在表现,即实际的源代码,不保护背后的思想和过程。登记版权不是拥有版权的先决条件。
盗版(Piracy),反盗版(Anti-Piracy)。
5,数字千禧年版权法案(Digital Millennium Copyright),发布于1998年,用于保护数字介质,如CD和DVD,法案严惩盗版者,非盈利机构(图书馆和学校)除外。Internet服务提供商也受到管制,不得帮助盗版者实施侵权行为,在收到通知后要立刻阻止侵权行为。
6,商标(Trademark)商标是单词,口号和标志语。被用于标识某家公司及其产品和服务。可以向美国专利和商标局注册,但注册商标不是拥有商标的必要条件。TM符号用来表示商标,圈R则表示已注册商标。可以注册一个想要使用但还没有开始使用的商标。
注册商标的两个要求:1,不能与其它商标类似。2,不能包括对产品和服务的描述,如Mike's Software Company。
7,专利权(patent)保护发明者的知识产权,20年内(从提交申请的时间算起),发明者具有独家使用发明的权力。专有期结束后,任何人可以自由使用。要求:1,发明必须是新的,必须是原始创意;2,发明必须是有用的;3,发明不能是显而易见的。
8,商业秘密(Trade Secret)版权和专利技术可以用来保护商业秘密,但是也可能泄露商业秘密。保护商业秘密要限制秘密信息的访问,并要求有访问权限的人签属不泄露协议(Nondisclosure Agreement-NDA)。
9,软件许可证
合同许可证(Contractual License Agreement):书面合同描述双方责任。
收缩性薄膜包装许可证(Shrink-wrap license agreement)帖在软件外包装上的协议,撕开薄膜表示接受协议。
单击许可证协议(Click-wrap License Agreement)点击按钮表示接受协议。
统一计算机信息处理法案(Uniform Computer Information Transactions Act-UCITA)被美国所有的州都采纳的法律框架,主要用于解决不同软件许可证协议的合法性。
10,进出口管理
计算机出口和加密产品出口可能受到限制。
11,美国隐私保护法案
第四修正案(Fourth Amendment),个人财产不受侵犯,不接受无理的搜查和没收。
隐私法案(Privacy Act,1974)在未经当事人同意的情况下,政府不能泄露个人信息。政府只能为管理需要做必要的记录,并在不需要时销毁这些记录。
电子通信隐私法案(Electronic Communications Privacy Act-ECPA,1986)规定对个人电子隐私的侵犯是犯罪行为,对移动电话通讯的监听是非法行为。
执法通信协助法案(Communication Assistance for Law Enforcement Act,1994)规定通讯商有义务帮助持有许可的执法人员进行窃听。
经济和专有信息保护法案(Economic and Protection of Proprietary Information Act,1996)将财产的定义包括经济信息。修改了盗窃的法律定义。
健康保险的易移植性和可问责性法案(Health Insurance Portability and Accountability Act,HIPAA)要求医院,医师,保险公司等需要处理和存储个人医疗信息的组织采取严格的安全措施。
儿童联机隐私保护法案(Children's Online Privacy Protection Act,COPPA)规定从孩子那里收集信息要有明确的通知。孩子的父母可以复查并且可以永久删除收集的信息。如果孩子年龄小于13岁,收集信息前必须取得父母的同意。
Gramm-Leach-Bliley法案(GLBA,1999)在商业机构之间构筑严格的屏障,对商业机构所提供的服务,相互共享的信息做了严格限制。
美国爱国者法案(USA PATRIOT,2001)911事件之后,法案大大扩大了执法机构和情报机构权力,包括对电子通信的监视。可以一次取得对一个人的全部监视授权,ISP可以自愿地向政府提供大范围的信息。
子女教育权利和隐私法案(Family Educational and Privacy Act,FERPA)18岁以上的学生和父母有权检查教育记录,有要求更改不正确记录的权力,可以声明争辩,学校未经同意不得发布个人信息。
身份偷窃和冒用阻止法案(Identity Theft and Assumption Deterrence Act)原来只有身份偷窃的受害人才是侵害的权利人,此法案使身份偷窃成为对被偷窃身份的人的犯罪行为。
12,欧盟隐私法
个人权利:
* 访问数据的权利
* 知道数据源的权利
* 改正错误数据的权利
* 拒绝在某些情况下处理数据的权利
* 权利被违反时可采用合法行为
13,调查
证据:必须与事实相关,证据所确定的事实必须与案件相关,证据必须是合法取得。
证据分为实物证据(real evidence),文档证据(documentary evidence)和言词证据(testimonial evidence)。作为文档证据使用的必须是原始文档,副本无效,口头协议不可以修改书面协议。
【本章节结束】
本文出自 “西蒙[爱生活,爱学习]”
1,三种主要法律
刑法(Criminal law)
民法(Civil law)
行政法(Administrative/Regulatory law)
刑法和民法收录在美国法典(United States Code)中,行政法收录在美国联邦法规(Code of Federal Regulations)中。
2,与计算机犯罪有关的几个法律
计算机诈骗与滥用法案(Computer Fraud and Abuse Act-CFAA) 制定于1984年,1986年进行了修正,主要保护政府,金融,医疗行业的信息系统,针对的是欺骗和非授权访问资源。
CFAA的修正案,修正于1994年,主要增加了下述内容:
* 编写恶意代码是被禁止的。
* 保护一切计算机系统。
* 允许关押罪犯,不管是否造成损失。
* 受害者可以提起民事诉讼追讨损失。
计算机安全法案(Computer Security Act-CSA),制定于1987年,是对内的法规,主要用于规范政府计算机系统的安全防护措施。为联邦机构设置了安全基准。美国国家标准技术研究所(the National Institute of Standards and Technology, NIST)负责具体内容的制定。
联邦判决指导方针(Federal Sentencing Guidelines-FSG),颁布于1991年,对资产的拥有者提出了更高的要求,管理员必须对信息安全足够重视,提出了due care(适度关注)的概念。如果能够证明自己在信息安全方面做到了适度关注,可减少处罚。
文书精简法案(Paperwork Reduction Act-PRA)用于约束机构获取公共信息的行为。获取信息的行为需要经过美国行政管理和预算局的批准。
国家信息基础设施保护法案(National Information Infrastructure Protection Act
)发布于1996年,是对CFAA的扩展。主要包括:
* 适用范围从州际贸易到国际贸易。
* 扩展了范围,包括国家铁路,燃气管道,电力网和通信线路。
* 损害严重的,按重罪处理。
政府信息安全改革法案(Government Information Security Reform Act,GISRA)发布于2000年,进一步对政府信息系统的安全性提出约束,为关键任务系统(国家安全系统,机密系统,影响范围巨大系统)定义了单独的保护级别。
3,知识产权(Intellectual Property-IP)包括版权,商标权,专利权和商业秘密。
4,版权(Copyright)保护八种作品
文学作品
音乐作品
戏剧作品
哑剧和舞蹈作品
绘画,图形和雕刻作品
电影和其他音像作品
声音录音
建筑作品
没有计算机软件,软件版权归属于文学作品(偷笑)。版权法只保护软件的内在表现,即实际的源代码,不保护背后的思想和过程。登记版权不是拥有版权的先决条件。
盗版(Piracy),反盗版(Anti-Piracy)。
5,数字千禧年版权法案(Digital Millennium Copyright),发布于1998年,用于保护数字介质,如CD和DVD,法案严惩盗版者,非盈利机构(图书馆和学校)除外。Internet服务提供商也受到管制,不得帮助盗版者实施侵权行为,在收到通知后要立刻阻止侵权行为。
6,商标(Trademark)商标是单词,口号和标志语。被用于标识某家公司及其产品和服务。可以向美国专利和商标局注册,但注册商标不是拥有商标的必要条件。TM符号用来表示商标,圈R则表示已注册商标。可以注册一个想要使用但还没有开始使用的商标。
注册商标的两个要求:1,不能与其它商标类似。2,不能包括对产品和服务的描述,如Mike's Software Company。
7,专利权(patent)保护发明者的知识产权,20年内(从提交申请的时间算起),发明者具有独家使用发明的权力。专有期结束后,任何人可以自由使用。要求:1,发明必须是新的,必须是原始创意;2,发明必须是有用的;3,发明不能是显而易见的。
8,商业秘密(Trade Secret)版权和专利技术可以用来保护商业秘密,但是也可能泄露商业秘密。保护商业秘密要限制秘密信息的访问,并要求有访问权限的人签属不泄露协议(Nondisclosure Agreement-NDA)。
9,软件许可证
合同许可证(Contractual License Agreement):书面合同描述双方责任。
收缩性薄膜包装许可证(Shrink-wrap license agreement)帖在软件外包装上的协议,撕开薄膜表示接受协议。
单击许可证协议(Click-wrap License Agreement)点击按钮表示接受协议。
统一计算机信息处理法案(Uniform Computer Information Transactions Act-UCITA)被美国所有的州都采纳的法律框架,主要用于解决不同软件许可证协议的合法性。
10,进出口管理
计算机出口和加密产品出口可能受到限制。
11,美国隐私保护法案
第四修正案(Fourth Amendment),个人财产不受侵犯,不接受无理的搜查和没收。
隐私法案(Privacy Act,1974)在未经当事人同意的情况下,政府不能泄露个人信息。政府只能为管理需要做必要的记录,并在不需要时销毁这些记录。
电子通信隐私法案(Electronic Communications Privacy Act-ECPA,1986)规定对个人电子隐私的侵犯是犯罪行为,对移动电话通讯的监听是非法行为。
执法通信协助法案(Communication Assistance for Law Enforcement Act,1994)规定通讯商有义务帮助持有许可的执法人员进行窃听。
经济和专有信息保护法案(Economic and Protection of Proprietary Information Act,1996)将财产的定义包括经济信息。修改了盗窃的法律定义。
健康保险的易移植性和可问责性法案(Health Insurance Portability and Accountability Act,HIPAA)要求医院,医师,保险公司等需要处理和存储个人医疗信息的组织采取严格的安全措施。
儿童联机隐私保护法案(Children's Online Privacy Protection Act,COPPA)规定从孩子那里收集信息要有明确的通知。孩子的父母可以复查并且可以永久删除收集的信息。如果孩子年龄小于13岁,收集信息前必须取得父母的同意。
Gramm-Leach-Bliley法案(GLBA,1999)在商业机构之间构筑严格的屏障,对商业机构所提供的服务,相互共享的信息做了严格限制。
美国爱国者法案(USA PATRIOT,2001)911事件之后,法案大大扩大了执法机构和情报机构权力,包括对电子通信的监视。可以一次取得对一个人的全部监视授权,ISP可以自愿地向政府提供大范围的信息。
子女教育权利和隐私法案(Family Educational and Privacy Act,FERPA)18岁以上的学生和父母有权检查教育记录,有要求更改不正确记录的权力,可以声明争辩,学校未经同意不得发布个人信息。
身份偷窃和冒用阻止法案(Identity Theft and Assumption Deterrence Act)原来只有身份偷窃的受害人才是侵害的权利人,此法案使身份偷窃成为对被偷窃身份的人的犯罪行为。
12,欧盟隐私法
个人权利:
* 访问数据的权利
* 知道数据源的权利
* 改正错误数据的权利
* 拒绝在某些情况下处理数据的权利
* 权利被违反时可采用合法行为
13,调查
证据:必须与事实相关,证据所确定的事实必须与案件相关,证据必须是合法取得。
证据分为实物证据(real evidence),文档证据(documentary evidence)和言词证据(testimonial evidence)。作为文档证据使用的必须是原始文档,副本无效,口头协议不可以修改书面协议。
【本章节结束】
本文出自 “西蒙[爱生活,爱学习]”
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻