首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册

正在浏览:   1 名游客





第十一讲:法律与标准的符合性要求
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
帖子: 7077
等级: 58; EXP: 5
HP : 0 / 1426
MP : 2359 / 204012
离线
第十一讲:法律与标准的符合性要求
目前,Internet上至少有三万多个公开的黑客网站,这些网站除了黑客知识与技能的培训外,还提供了大量的黑客工具,一个稍具电脑知识的中学生经过黑客网站的培训,利用下载的黑客工具就可以发起有一定威胁性的攻击。最近有人甚至在网上以几百元的价格兜售定制的病毒。



但同样的情况如果发生在现实生活中,结果就不一样了。比如有人想办一个小偷培训学校,可能还没开张就被取缔了;很少有人敢故意培养并散布传染病病毒,否则必将受到法律的严惩。这是因为现实世界中有完善的法律对那些有危害性的行为进行约束,而网络虚拟世界基本上处于无政府主义状态,因此滋生了大量的计算机病毒侵害、日益增多的“黑客”攻击以及盗窃密码、偷窃信息、内部滥用等信息安全犯罪问题。如何保障互联网的信息安全已经引起全世界的普遍关注,人们已经认识到,解决信息安全问题不能仅依靠安全技术,制订一系列完善的法律、法规才是保护信息安全的最重要手段。


如果法律明确了对虚拟世界的不负责任的行为怎么处罚,黑客也就不敢轻易就实施攻击;如果发生的攻击行为,入侵者将承担相应的责任。信息安全立法不仅可以保障用户的权益,更是对黑客等网络犯罪分子的一种威慑。


虽然信息安全相关法律法规的制定总是滞后于信息技术的发展,但我国政府近年来颁布并实施的一系列有关计算机及互联网的法规、部门规章或条例,已经对网络犯罪有了一定的威慑作用。例如,被业界人士称为“中国首部真正意义上的信息化法律”的《电子签名法》已于2005年4月1日正式实施,在面对我国网络信用与数据电文法律效力保障缺乏的情况下,《电子签名法》的适出台,赋予网上数据电文以法律效力保障,将在很大程度上消除网络信用危机,从而对电子商务起到规范保障作用。


组织识别出己有的法律、法规并遵守及应用,可以更可靠、更有效地保护信息安全。

ISO17799强调了组织在建立信息安全体系时,除了要遵守组织内的方针、策略、程序、作业指导书的要求以外,还要服从国家的法律、法规要求,遵守行业规范,符合相关技术标准的要求,及考虑信息审核时对信息安全的影响等因素,这些都可以称为信息安全的符合性要求(Compliance),这种要求是往往是强制性的。

1、控制目标-符合法律法规的要求


目标:避免违反法律、法规、规章、合同要求和其他的安全要求。
要把信息系统的设计、运行、使用和管理置于法律规定的和合同约定安全要求的约束之下。

组织不仅要遵守法律、法规,而且要利用法律法规来保护组织利益。为避免违反任何刑法、民法、法规、规章或合同义务以及其他安全要求,组织首先应当识别相关的法律、法规,这涉及到了组织信息系统设计、运营及管理的方方面面;识别出来的法律、法规及标准要遵照执行。

l
控制措施-识别出适用的法律法规






=>对于任何一个信息系统,无论是法律条文、行政法规,还是合同内容所规定的相关要求,都应加以明确界定并记录在案。



与组织相关的信息系统的相关法令、规章和合同的要求,组织都要进行识别,这包括知识产权、组织记录、数据保护与个人隐私保护、防止信息处理设施滥用、密码技术、证据收集六个方面的法律法规。被识别出的法律、法规要求,应当在组织中清晰地界定并文件化。


特定的法律要求方面的建议应从组织的法律顾问或者合格的法律从业人员处获得。





l
控制措施-知识产权



 =>应实施适当的程序,以确保在使用具有知识产权的材料及他人专属的软件产品时,能符合法律的限制要求。


知识产权是指法律规定公民、法人对其科学、技术、文化等知识领域中的创造性智力成果所享有的专有权。知识产权主要包括两部分:一部分为版权,如出版物著作权、软件版权;另一部分为工业产权,主要指专利、实用新型与外观设计、商标以及服务标记、厂商名称、货源标记等。



l
控制措施-组织记录的保护



 =>应防止属于组织的重要纪录被遗失、破坏及篡改。


应当防止组织的重要记录被丢失、损坏和篡改。有的记录可能需要安全存放,以满足法律法规的要求及支持基本的业务活动,组织要确保记录有足够的防范潜在民事和刑事破坏行为的能力,记录也有向股东、合伙人和审计人员确认组织财务状况的能力。记录信息保留的时间长短和数据内容可参考国家的有关法律规定。



l
控制措施-个人隐私及数据保护



 =>应使用有效控制方法,并依照相关的法律保护个人信息。


个人数据或信息的机密性或隐私权是个人决定愿意在何种程度上与他人共享有关其个人信息的权利。如果在其他人或组织间非法交换这种信息会给个带来危害。如个人的身份与健康状况、信用与财产状况,上网习惯与网络活动踪迹、电子邮箱地址、网络通讯内容、存储在计算机的数据等都是需要保护的个人隐私内容。



l
控制措施-防止对信息处理设施的滥用



  =>使用信息处理设施应经管理者授权并进行有效控制,以防止遭受不正当的使用。


组织的信息处理设备是用于特定业务目的,管理层应当对它们的使用进行授权。任何将这些设备用于非业务目的,或者未经授权的使用都应当看作是对设备的滥用。
如果通过检测或者其它方式确认了对信息处理设施的滥用行为,组织应当对违规者进行必要的惩戒。



l
控制措施-遵守密码技术控制规定



   =>应有适当的控制措施,以确保使用或访问密码技术符合国家法律规定或其它正式文件的要求。



密码技术属于国家秘密,与国家军事、经济安全密切相关。组织应当寻求法律建议,确保符合国家法律。在把加密信息转移到境外之前,也要征求法律建议。



l
控制措施-证据收集



   =>当组织对某个人或其他组织采取法律行动时,无论是涉及民法还是刑法,所提供的证据应符合相关法律要求或审理该案件的法庭对于证据所作的规定。



组织应当有相应策略和程序,以确保在对个人或其他组织采取法律诉讼时能提供充分的证据;所提供的证据应具有可接受性、完整性、充分性,而且符合有关法律、法规所要求的证据法则;证据一旦被搜集,就应当被安全地管理与存储;防止未经授权的访问与修改。

2、控制目标-安全策略与技术符合性检查


目标:确保信息符合组织安全策略和技术标准。
应当定期检查信息系统的安全。这种检查应当针对适当的安全策略与程序,并且应当评审技术平台和信息系统是否符合安全运行标准。

组织所制订的信息安全方针、策略、程序、规章、标准是否被正确实施?实施的结果是否有效?这就需要组织按照一定程序对方针、策略、程序、标准的执行情况进行审核,及时发现问题并分析原因,采取必要纠正预防措施,保持信息安全管理体系的持续改进,即进行风险管理的PDCA过程的检查与改进。
这包括技术与管理两方面的审核,审核可以由组织内部来完成,也可以由第三方机构来完成。另外,组织还要考虑审核本身对信息安全的影响。



l
控制措施-定期评审,确保符合信息安全策略与标准



=>管理者应确保在其责任范围内的所有安全程序被正确地执行,并且对组织的所有信息安全范围定期加以审查,以确保符合安全策略及标准。

组织应当定期(至少一年一次)对与信息安全管理有关的各部门与信息系统进行全面的独立的内部审核,也可以通过公正、独立的第三方认证机构的审核。审核的范围应该是与组织信息安全管理有关的所有区域,包括信息系统、信息拥有者、信息资产、用户、系统供应商、管理人员等。无论是内部还是外部审核,组织应保留对审核计划、不符合报告、审核报告等审核记录。



l
控制措施-定期进行技术符合性检查






=>信息系统应被定期检查是否符合安全技术标准。


应当定期检查信息系统是否符合安全运行标准。技术符合性检测涉及对操作系统的测试,以确保正确地执行了硬件和软件管理措施。这种符合性检测要求专家的技术支持。应当由一位有经验的系统工程师亲手(如果需要的话,可用适当的软件工具帮助)做这种检测,或者自动软件包执行检测,它可以产生技术报告供技术专家做后续分析。
3、控制目标-系统审核相关事项


目的:将系统审核程序的有效性最大化并把对该程序的干扰降到最低限度。
在对信息系统审核期间,应当有管理措施来保护运行系统与审核工具的安全,防止滥用行为的发生。

在进行系统审核过程中,如果对审核过程本身的安全不进行适当的控制,也会给组织带来风险,例如在使用计算机审核工具的地方,存在审核工具被滥用的威胁。为使系统审核过程的有效性最大化,并使干扰最小,组织在审核期间应考虑进行适当控制,以保护运行系统和审核工具的安全。



l
控制措施-对系统审核进行控制



=>对于信息系统的审核,应加以规划与控制,以将对企业正常运营造成影响的风险降至最小。

为使审核活动对组织业务的影响最小,在对系统进行正式审核或检查之前,应明确审核的安全要求,并对审核活动进行严格的周密的策划,并形成审核计划文件,经管理都批准后实施。实施审核时应当遵循以下几点:
?
审查要求应当得到适当管理层的同意并得到控制;
?
审查应当被限制在对软件和数据的只读访问的层次;
?
变更操作只允许对系统文件的隔离副本进行。在审核完成后应删除。
?
应当明确完成审核所需IT资源,并使其可以利用。
?
应当识别并同意特殊或者附加处理的要求。
?
所有的访问都要受到监视,并被记录在案,以便跟踪。
?
所有的程序、要求和责任都应当记录在案。



l
控制措施-对审核进工具进行保护






=>对于系统审核工具的访问应加以保护,以防止被滥用,从而造成敏感信息泄密。


系统审核工具是由审核员使用的程序和专门的数据文件。如果被未经授权的人使用,就会对系统产生完整性与保密性方面的风险,因此组织应对系统审核工具的使用进行控制。
例如,使审核工具与开发系统和操作系统分离;对其进行使用授权,并进行记录;审核结束后,将审核工具收回并进行妥善保管。

2008/12/13 21:57
应用扩展 工具箱






可以查看帖子.
不可发帖.
不可回复.
不可编辑自己的帖子.
不可删除自己的帖子.
不可发起投票调查.
不可在投票调查中投票.
不可上传附件.
不可不经审核直接发帖.

[高级搜索]



系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号