Overview Domain 5 : Legal, Regulations, Compliance and Investigations : P.17

Summary - Tổng kết hoàn thành kiến thức lĩnh vực Legal, Regulations, Compliance and Investigations của CISSP

Law, ethics, investigations là những thành phần rất quan trọng đối với An Toàn Thông Tin. Chúng là những yếu tố thường không nằm trong tâm trí bạn khi nói về ATTT, nhưng chúng phải có nếu như xã hội bị đe dọa về các loại vụ án, tội phạm, hình phạt liên quan đến máy tính. Hiện nay luật pháp và tòa án ở nhiều quốc gia thật tế chỉ đang trong giai đoạn sơ khai, khi họ cố gắng đối phó với tội phạm máy tính.

Họ đang phải đối mặt với những điều chưa bao giờ có tiền lệ (precedents), chưa bao giờ xảy ra, khi giải thích về những gì Hợp pháp và Bất Hợp pháp, những hình phạt thích hợp cho từng loại tội phạm máy tính. Tuy nhiên, hệ thống pháp luật đang được phát triển nhanh chóng và cung cấp cách giải thích đúng đắn cho họ, để giúp đỡ cho các cơ quan thực thi pháp luật và nạn nhân.

Trong những năm trước đây, Hacking và Cracking chủ yếu là để tìm niềm vui, do các cá nhân tò mò về máy tính, nhưng khi hình phạt đã được gia tăng, thì sự vui vẻ đó có thể nhanh chóng đi đến hồi kết thúc. Chuyên gia bảo mật cần phải có nhận thức và thành thạo trong Computer Security Laws & Regulations, để áp dụng trong môi trường của họ.

Quick Tips :

•  Dumpster diving đề cập đến việc lục lòi thùng rác của một ai đó, để tìm thông tin Confidential hoặc hữu ích. Điều này hợp pháp, trừ khi nó liên quan đến Trespassing (tội xâm phạm), nhưng trong mọi trường hợp thì cách này đều được xem là Unethical - phi đạo đức.

•  Wiretapping là Passive Attack, nghe lén liên lạc của người khác. Nó chỉ hợp pháp khi được sự đồng ý trước của cá nhân hoặc có trát tòa yêu cầu (Warrant).

•  Social engineering là hành động gian lận (tricking) hoặc lừa gạt (deceiving) một người nào đó, để họ cung cấp thông tin bí mật hoặc nhạy cảm, mà thông tin đó có thể chống lại anh ta hoặc công ty của anh ta.

•  Civil Law System - Hệ thống Luật dân sự dùng tại lục địa Châu Âu như Pháp và Đức
  •  Sử dụng Prewritten rules, không dựa trên Precedence (quyền ưu tiên)
  •  Có sự khác nhau với Civil (tort) Laws, hoạt động theo Common Law System

• Common Law System - Hệ thống Thông Luật dùng tại Anh và Mỹ
  • Tạo ra Criminal, Civil và Administrative Laws

• Customary Law System - Hệ thống Luật tập quán
  •  Xử lý chủ yếu các vấn đề liên quan đến hành vi cá nhân, sử dụng phong tục tập quán truyền thống của khu vực làm nền tảng cho Laws.
  •  Thường được "mixed" với các loại Legal System khác đã được liệt kê, chứ không phải là hệ thống luật được sử dụng đơn độc.

• Religious Law System - Hệ thống Luật tôn giáo
 •  Laws bắt nguồn từ tín ngưỡng tôn giáo (religious beliefs), xử lý các vấn đề liên quan đến trách nhiệm tôn giáo, thường được sử dụng ở các nước hoặc các khu vực Muslim - Hồi giáo.

• Mixed Law System - Hệ thống luật Hỗn hợp
 •  Sử dụng từ hai hoặc nhiều hệ thống pháp luật.

•  Data diddling là loại tấn công cố ý sửa đổi thông tin dữ liệu, chương trình, hoặc documentation, nhằm mục đích gian lận hoặc làm gián đoạn sản xuất (disrupt production).

•  Excessive privileges nghĩa là một nhân viên có quá nhiều quyền hạn không cần thiết để hoàn thành nhiệm vụ của anh ta.

•  Criminal law xử lý các vấn đề về hành vi cá nhân, vi phạm pháp luật của chính phủ đã phát triển để bảo vệ cộng đồng.

•  Civil law xử lý các vấn đề sai phạm mà cá nhân hoặc tổ chức đã cam kết, gây ra kết quả thương tích hoặc thiệt hại. Civil law không có hình phạt án tù, nhưng thường yêu cầu bồi thường tài chính.

•  Administrative hoặc Regulatory Law, bao gồm các standards về Performance hoặc những hành vi mong đợi từ cơ quan chính phủ đến các tổ chức, doanh nghiệp.

•  Patent cấp ownership và cho phép chủ sở hữu thực thi quyền hạn của mình, để loại trừ những người khác sử dụng sáng chế (invention) của họ.

•  Copyright bảo vệ quyền lợi kinh tế của người sở hữu bản quyền (owner of the Copyright) hơn là chính tác giả.

•  Trademarks bảo vệ : words (từ ngữ), names (tên), product shapes (hình dáng sản phẩm), symbols (biểu tượng), colors (màu), hoặc sự kết hợp của những thứ này. Những hạng mục này được sử dụng để phân biệt sản phẩm của mình với sản phẩm của đối thủ.

•  Trade secrets cho thấy quyền sở hữu độc quyền (proprietary) của tổ chức, thường gồm các thông tin cung cấp lợi thế cạnh tranh trên thương trường (competitive edge).

•  Tội phạm trên Internet đã mang lại nhiều problems cho Jurisdiction, cơ quan thực thi pháp luật và tòa án .

•  Privacy laws chỉ ra rằng, dữ liệu được thu thập bởi các cơ quan chính phủ phải thu thập theo cách chính đáng (fairly) và đúng pháp luật. chỉ được sử dụng cho mục đích mà họ đã cam kết khi thu thập, chỉ được giữ trong một thời gian nhất định, phải chính xác và đúng hạn.

•  Nếu công ty sử dụng bất kỳ loại hình Monitoring nào, họ cũng cần phải đảm bảo nó hợp pháp trong lĩnh vực kinh doanh của họ, và phải thông báo (inform) cho tất cả các nhân viên, rằng nhân viên có thể phải chịu sự giám sát.

•  Các nhân viên cần phải được thông báo về những hành vi được chấp nhận, liên quan đến việc sử dụng hệ thống máy tính, network, email, phone của công ty.

•  Logo banners cần được sử dụng để thông báo cho người dùng, những gì có thể xảy ra nếu họ không tuân thủ quy định liên quan đến việc sử dụng tài nguyên. Điều này cung cấp sự bảo vệ pháp lý cho công ty.

•  Các quốc gia khác nhau về quan điểm mức độ nghiêm trọng của tội phạm máy tính, cũng như có hình phạt khác nhau đối với một số loại tội phạm đặc biệt. Điều này làm cho việc thực thi pháp luật trở nên khó khăn hơn, khi nó mang tính chất phạm tội đa quốc gia.

•  3 loại thiệt hại chính được xử lý trong Computer Crime Law là : xâm nhập trái phép, thay đổi hoặc phá hủy trái phép, sử dụng mã độc hại.

•  Cơ quan thực thi pháp luật và tòa án đang có một khoảng thời gian khó khăn đối với tội phạm máy tính, bởi vì sự mới mẻ của loại tội phạm này, sự phức tạp liên quan đến các vấn đề pháp lý và thu thập chứng cứ. Các bộ luật mới đang được viết để đối phó với tội phạm công nghệ cao.

•  Nếu một công ty không thực hành Due Care để tự bảo vệ mình khỏi tội phạm máy tính, họ có thể bị xem là cẩu thả (negligent) và phải chịu trách nhiệm pháp lý bồi thường thiệt hại.

•  Các yếu tố của sự cẩu thả (Negligence) bao gồm : không thực hiện nghĩa vụ được pháp luật công nhận (legally recognized obligation), không tuân theo standard khiến xảy ra thiệt hại, hoặc nguyên nhân trực tiếp (proximate causation).

•  Hầu hết các vụ án máy tính không được report, bởi vì nạn nhân không nhận thức được về vụ án hoặc quá xấu hổ không muốn cho ai biết.

•  Theft - Hành vi trộm cắp không còn bị giới hạn bởi Physical. Tài sản ngày nay còn được xem là đối tượng Intangible (vô hình), cũng có thể bị đánh cắp hoặc tiết lộ trái phép thông qua các công nghệ.

•  Lý do chính cần Chain of Custody cho Evidence là, để đảm bảo nó sẽ được chấp nhận (admissible) tại tòa án, bằng cách trình bày ra nó đã được kiểm soát và xử lý như thế nào trước khi trình bày ra tòa.

•  Các tổ chức nên phát triển Incident Response Team của chính mình, được tạo nên từ những người trong các bộ phận như Management, IT, Legal, HR, PR, Security, và các bộ phận quan trọng khác trong tổ chức.

•  Hearsay evidence là loại gián tiếp, thường không được chấp nhận tại tòa án.

•  Để được chấp nhận tại tòa án, Business Records - Các hồ sơ kinh doanh phải được thực hiện và thu thập thường xuyên trong quá trình hoạt động kinh doanh bình thường, chứ không phải được đặt biệt tạo ra dành cho vụ án tại tòa án.

•  Life Cycle của chứng cứ bao gồm : identification and collection of the evidence, and its storage, preservation, transportation, presentation in court, and return to the owner.

•  Thu thập chứng cứ máy tính rất là phức tạp. Chỉ có những người có kỹ năng cao mới có thể thực hiện; nếu không, chứng có sẽ bị hủy hoại vĩnh viễn.

•  Khi tìm kiếm nghi phạm, điều quan trọng là phải xem xét Motive, Opportunity, và Means (MOM).

•  Để bằng chứng có thể được chấp nhận tại tòa án, nó cần phải : Relevant (thích hợp), Sufficient (đầy đủ), và Reliable (đáng tin cậy).

•  Bằng phải bắt buộc phải được chấp nhận về mặt pháp lý (legally permissible), nghĩa là nó được seized (thu thập) hợp pháp và Chain of Custody không bị hỏng.

•  Tại nhiều khu vực pháp lý (jurisdictions), cơ quan thực thi pháp luật bắt buộc phải có Warrant - Trát tòa, mới được phép tìm kiếm và thu thập tài sản của cá nhân, như đã nêu trong Fourth Amendment. Private Citizens - Công dân cá nhân không bị yêu cầu bảo vệ quyền Fourth Amendment của người khác, trừ khi họ là đại diện của cơ quan cảnh sát.

•  Enticement là hành động thu hút kẻ xâm nhập, nó hợp pháp. Entrapment là lừa đảo người khác phạm tội, cái này bất hợp pháp.

•  Salami Attack được thực hiện bằng cách phạm tội kiểu "nho nhỏ", hy vọng không bị phát hiện ra. Các cuộc tấn công Salami thông thường là rút 1 lượng tiền nhỏ từ 1 đống tiền lớn.

•  Sau khi hệ thống máy tính bị thu thập, điều tra viên cần tạo ra Bit Mirror Image, bản sao của các phương tiện lưu trữ trước khi làm bất cứ điều gì khác.

Nguyễn Phước Đức - DNA

Email: This email address is being protected from spambots. You need JavaScript enabled to view it.