Information-security-cyber-law-quick-guide

提供:Dev Guides
移動先:案内検索

サイバー法-クイックガイド

サイバー法-はじめに

サイバースペース

サイバースペースは、人、ソフトウェア、サービス間の相互作用を伴う複雑な環境として定義できます。 情報および通信技術のデバイスとネットワークの世界的な流通によって維持されています。

技術の進歩によってもたらされる利点により、今日のサイバースペースは、市民、企業、重要な情報インフラストラクチャ、軍隊、政府がこれらの異なるグループ間の明確な境界を誘導するのを困難にする方法で使用される共通のプールになっています。 サイバースペースは、今後数年間でさらに複雑になり、それに接続されるネットワークとデバイスが増加すると予想されます。

サイバーセキュリティ

サイバーセキュリティとは、サイバー犯罪者によってインターネットを介して転送される違法な入場、弱点、および攻撃からコンピューター、ネットワーク、およびデータを保護するためのテクノロジーと手順を指します。

ISO 27001(ISO27001)は、情報セキュリティ管理システムを作成、適用、機能、監視、レビュー、保存、改善するためのモデルを提供する国際的なサイバーセキュリティ標準です。

インド政府の通信情報技術省は、国家サイバーセキュリティ政策と呼ばれる戦略概要を提供しています。 この政府機関の目的は、公共および民間のインフラストラクチャをサイバー攻撃から保護することです。

サイバーセキュリティポリシー

サイバーセキュリティポリシーは、情報通信技術(ICT)ユーザーおよびプロバイダーの全分野に対応する開発ミッションです。 それが含まれています-

  • ホームユーザー
  • 中小企業、大企業
  • 政府および非政府機関

これは、サイバースペースのセキュリティに関連するアクティビティを定義およびガイドする機関フレームワークとして機能します。 これにより、すべてのセクターと組織が適切なサイバーセキュリティポリシーを設計し、要件を満たすことができます。 このポリシーは、情報、情報システム、およびネットワークを効果的に保護するための概要を提供します。

それは、国内のサイバー空間のセキュリティに対する政府のアプローチと戦略への理解を与えます。 また、情報と情報システムを保護するために、公共部門と民間部門の共同作業を可能にするいくつかの指針をスケッチします。 そのため、このポリシーの目的は、サイバーセキュリティフレームワークを作成することです。これにより、サイバースペースのセキュリティキャリッジを増やすための詳細なアクションとプログラムにつながります。

サイバー犯罪

  • 2000年情報技術法*または国の法律は、*サイバー犯罪*という用語を説明または言及していません。 それは世界的に技術のより暗い顔とみなすことができます。 従来の犯罪とサイバー犯罪の唯一の違いは、サイバー犯罪がコンピューターに関連する犯罪に関与していることです。 私たちはそれをよりよく理解するために次の例を見てみましょう-

'__ 伝統的な盗難-泥棒がラムの家に侵入し、家に保管されている物を盗みます。

ハッキング-自分の家に座っているサイバー犯罪者/ハッカーがコンピューターを介してRamのコンピューターをハッキングし、Ramのコンピューターに保存されたデータを物理的にコンピューターに触れたり、Ramの家に入ることなく盗みます。 '__

I. Act、2000は用語を定義します-

  • *セクション2(a)*のコンピューターネットワークでのアクセス
  • *セクション2(i)*のコンピューター
  • *セクション(2j)*のコンピューターネットワーク
  • *セクション2(0)*のデータ
  • *セクション2(v)*の情報。

サイバー犯罪の概念を理解するには、これらの法律を知っておく必要があります。 サイバー犯罪の犯罪または標的の対象は、コンピューターまたはコンピューターに保存されているデータです。

脅威の性質

21世紀の最も深刻な課題の1つは、サイバーセキュリティの分野における一般的で起こりうる脅威です。 脅威はあらゆる種類のソースから発生し、個人、企業、国家インフラ、政府を同様に標的とする破壊的な活動に現れます。 これらの脅威の影響は、次の重要なリスクを送信します-

  • 公安
  • 国家の安全
  • グローバルにリンクされた国際社会の安定性

情報技術の悪用は簡単に隠すことができます。 犯人の起源や身元を特定することは困難です。 混乱の動機でさえ、見つけるのは簡単な仕事ではありません。 これらの活動の犯罪者は、標的、効果、または他の状況証拠からのみ解決できます。 脅威アクターは、事実上どこからでもかなりの自由度で活動できます。 混乱の動機は次のようなものです-

  • 単に技術力を示す
  • お金や情報の盗難
  • 国家紛争の拡大など

犯罪者、テロリスト、そして時には国家自身がこれらの脅威の源として行動します。 犯罪者とハッカーは、さまざまな種類の悪意のあるツールとアプローチを使用します。 犯罪行為が毎日新しい形を取っているため、有害な行為の可能性が広がります。

脅威の性質

人々を可能にする

単純な学校に通う子供、システム管理者、開発者、さらには企業のCEOである可能性があるユーザーの間での情報セキュリティの認識の欠如は、さまざまなサイバー脆弱性につながります。 認識ポリシーは、ユーザーの認識、教育、およびトレーニングを目的として、次のアクションとイニシアチブを分類します-

  • 全国レベルで推進される完全な意識向上プログラム。
  • 国家情報セキュリティ(学校、大学、大学のITセキュリティに関するプログラム)のニーズを満たすことができる包括的なトレーニングプログラム。
  • 一般的な情報セキュリティトレーニングプログラムの効果を高めます。 ドメイン固有のトレーニングプログラム(法執行機関、司法機関、電子政府など)を計画する
  • 専門的な情報セキュリティ認定に対する民間のサポートを推奨します。

情報技術法

インド政府は、次のようないくつかの主要な目的で情報技術法を制定しました-

  • 電子データ交換(EDI)およびその他の電子通信手段(通常は「電子商取引」またはEコマースと呼ばれる)を介して、取引を合法的に承認すること。 その目的は、紙ベースの通信方法と情報の保存方法の代わりを使用することでした。
  • 政府機関への文書の電子ファイリングを促進し、インド刑法、1872年インド証拠法、1891年銀行法典、1934年インド準備銀行法、およびそれに関連する事項または付随的な事項を修正するそれに。

2000年の情報技術法は、2000年の法律第21号として可決されました。 私。 T. 法は2000年6月9日に大統領の同意を得て、2000年10月17日に発効しました。 このサイバー法を採用することにより、インドはサイバー法制度を採用する世界で12番目の国家になりました。

Mission and Vision Cyber​​security Program

ミッション

次のミッションは、サイバーセキュリティに対応します-

  • サイバースペースの情報と情報インフラストラクチャを保護するため。
  • サイバー脅威を防止して対応する機能を構築する。
  • 制度的構造、人、プロセス、テクノロジー、および協力の組み合わせにより、脆弱性を減らし、サイバー事件による被害を最小限に抑えるため。

ビジョン

市民、企業、政府向けの安​​全で回復力のあるサイバースペースを構築する。

サイバー法-目的

米国の監視プログラムPRISMに関する最近のエドワードスノーデンの啓示は、特定の管轄区域外の法人ネットワークとコンピューターシステムが、そのような法人の知識なしに監視の対象となる方法を示しています。 傍受やスヌーピングに関連するサイバー事件は驚くべき速度で増加しています。 そのような犯罪を抑制するために、サイバー法はかなり定期的に改正されています。

サイバー法の新たな動向

報告によると、今後数年間はより多くのサイバー攻撃が発生します。 そのため、組織は、より良い検査方法でデータサプライチェーンを強化することをお勧めします。

サイバー法の新たな傾向のいくつかを以下に示します-

  • ネットワークへの不正アクセスを防止するために、多くの国で厳しい規制規則が設けられています。 そのような行為は、刑事犯罪として宣言されます。
  • モバイル企業の利害関係者は、新興のモバイルの脅威と犯罪を規制するために、サイバー法的システムと管理を強化するように世界の政府に呼びかけます。
  • プライバシーに対する意識の高まりは、もう1つの今後の傾向です。 GoogleのインターネットエキスパートであるVint Cerf氏は、「プライバシーは実際には異常である可能性がある」と述べています。
  • *クラウドコンピューティング*は、もう1つの大きな成長傾向です。 テクノロジーの進歩により、膨大な量のデータがクラウドに流れ込みますが、これはサイバー犯罪から完全に免れるわけではありません。
  • Bitcoins およびその他の仮想通貨の成長は、注意すべきもう1つのトレンドです。 ビットコイン犯罪は近い将来に増加する可能性があります。
  • 従うべきもう1つの主要な傾向であるデータ分析の到着と受け入れには、*ビッグデータ*に関する問題に適切な注意を払うことが必要です。

意識を高める

アメリカ 政府は10月を国家サイバーセキュリティ啓発月間と宣言しましたが、インドは一般大衆向けに厳格な意識向上スキームを実施する傾向に従っています。

一般の人々は、*ウィルスの転送*に関連する犯罪を部分的に認識しています。 しかし、彼らはサイバーライフに影響を与える可能性のある脅威の全体像を認識していません。 ほとんどのインターネットユーザーの間では、eコマースとオンラインバンキングのサイバー犯罪に関する知識が非常に不足しています。

あなたがオンライン活動に参加している間、警戒し、以下のヒントに従ってください-

  • ソーシャルサイトの個人情報の可視性をフィルターします。
  • 電子メールアドレスとパスワードに対して[パスワードを保存]ボタンをアクティブのままにしないでください
  • オンラインバンキングプラットフォームが安全であることを確認してください。
  • オンラインショッピング中は注意してください。
  • モバイルデバイスにパスワードを保存しないでください。
  • モバイルデバイスやコンピューターなどのログイン詳細を保護します。

開発分野

「2013年インドのサイバーローの動向」と「2014年のインドのサイバー法の発展」は、Perry4Law Organization(P4LO)が2013年と2014年に提供した2つの著名で信頼できるサイバー法関連の研究です。

インド政府による即時の検討に値する重大なサイバー法関連の問題がいくつかあります。 この問題は、P4LOおよびインドのサイバー犯罪調査センター(CCICI)が提供する2014年のインドのサイバー法のまとめによって提唱されました。 以下はいくつかの主要な問題です-

  • より良いサイバー法と効果的なサイバー犯罪防止戦略
  • サイバー犯罪調査のトレーニング要件
  • 専用暗号化法の策定
  • クラウドコンピューティングの法的採用
  • 電子メールポリシーの策定と実装
  • オンライン支払いの法的問題
  • オンラインギャンブルおよびオンライン薬局の合法性
  • ビットコインの合法性
  • Webサイトをブロックするためのフレームワーク
  • モバイルアプリケーションの規制

サイバー法の強制の形成により、サイバー盗難およびサイバー犯罪に対する銀行の義務は、近い将来大幅に増加するでしょう。 インドの銀行は、サイバー法の専門家の専任チームを維持するか、この点で外部の専門家の助けを求める必要があります。

サイバー攻撃とサイバー犯罪の増加の結果として、インドの保険部門はサイバー保険の取引を増やす必要があります。

サイバーセキュリティに関する国際ネットワーク

サイバーセキュリティに関する国際的なネットワークを構築するため、2014年3月にインドのニューデリーで会議が開催されました。

サイバーローとサイバー犯罪に関する国際会議で設定された目的は次のとおりです-

  • サイバーローの動向と、現在の状況でサイバースペースに影響を与える法律を認識すること。
  • デジタルおよびモバイルネットワークのすべての投資家に影響を与える最新のサイバー犯罪と戦うための、より良い認識を生み出すため。
  • Cyber​​lawをさらに進化させる必要があるデジタルおよびモバイルネットワークの利害関係者の領域を認識すること。
  • サイバー犯罪の国際的なネットワークを作成する方向で作業する。 司法当局は、世界中のサイバー犯罪とサイバー法のさらなる拡大において重要な発言者になる可能性があります。

サイバー法-知的財産権

知的財産権とは、作品の所有者および発明者であり、知的創造性で何かを創造した個人に与えられる特権をカバーする法的権利です。 文学、音楽、発明などの分野に関係する個人にそのような権利を付与することができ、それらの権利はビジネス慣行で使用することができます。

作成者/発明者は、事前の情報なしに作品の誤用または使用に対する独占的権利を取得します。 ただし、均衡を維持するために限られた期間だけ権利が付与されます。

知的財産権の対象となる次の活動リストは、世界知的所有権機関(WIPO)によって定められています-

  • 工業デザイン
  • 科学的発見
  • 不公正な競争に対する保護
  • 文学、芸術、および科学作品
  • 人間のあらゆる分野の発明
  • 出演アーティスト、レコード、および放送のパフォーマンス
  • 商標、サービスマーク、商号、および指定
  • 産業、科学、文学、芸術分野での知的活動に起因するその他のすべての権利

知的財産権の種類

知的財産権はさらに次のカテゴリに分類することができます-

  • 著作権
  • 特許
  • 特許
  • 営業秘密など

知的財産権タイプ

知的財産権の利点

知的財産権は次の点で有利です-

  • 作成者または発明者に排他的な権利を提供します。
  • 個人が情報やデータを機密にせずに配布および共有することを奨励します。
  • 法的防御を提供し、クリエイターに作品のインセンティブを提供します。
  • 社会的および財政的発展に役立ちます。

インドの知的財産権

インドの領土における知的財産権を保護するために、インドは、著作権、特許、商標、工業デザイン、または知的財産権のその他の部分を暗示しているかどうかにかかわらず、憲法、行政および司法の概要の形成を定義しました。

1999年に、政府は知的財産権を保護するための国際慣行に基づく重要な法律を可決しました。 同じことを垣間見てみましょう-

  • 1999年の Patents (Amendment)Actは、特許出願のためのメールボックスシステムの確立を促進します。 5年間の独占的な販売権を提供します。
  • 1999年の「商標」法案は、1958年の商標および商品商標法に取って代わりました。
  • 1999年の*著作権*(改正)法は、インド大統領によって署名されました。
  • sui generis 法律は承認され、1999年の商品の地理的表示(登録と保護)法案として命名されました。
  • 1999年の Industrial Designs Billは、1911年のDesigns Actに取って代わりました。
  • 1970年特許法をTRIPSに準拠してさらに修正した*特許(第2改正)*法案、1999年。

サイバースペースの知的財産

技術分野のすべての新しい発明には、さまざまな脅威があります。 インターネットはそのような脅威の1つであり、物理的な市場を獲得し、仮想市場に変換しました。

ビジネスの利益を守るには、サイバースペースで行われているかなりの量のビジネスと商取引を念頭に置いて、効果的な資産管理と保護メカニズムを作成することが重要です。

今日、すべての企業が効果的かつ協調的なIP管理メカニズムと保護戦略を開発することが重要です。 したがって、サイバネティックの世界で絶えず迫り来る脅威を監視し、限定することができます。

さまざまなアプローチと立法が立法者によって設計されており、こうしたサイバー脅威に対して安全な構成を提供するための準備を進めています。 ただし、知的財産権(IPR)の所有者の義務は、積極的な手段を講じることにより、このような犯罪者の行為を無効にし、削減することです。

サイバー法-サイバーセキュリティの戦略

安全なサイバースペースを設計および実装するために、いくつかの厳しい戦略が実施されています。 この章では、以下を含むサイバーセキュリティを確保するために採用された主要な戦略について説明します-

  • 安全なサイバーエコシステムの作成
  • 保証フレームワークの作成
  • オープンスタンダードの奨励
  • 規制の枠組みの強化
  • ITセキュリティのメカニズムを作成する
  • 電子政府サービスの保護
  • 重要な情報インフラストラクチャの保護

戦略1-安全なサイバーエコシステムの作成

サイバーエコシステムには、デバイス(通信技術やコンピューター)、個人、政府、民間組織など、さまざまな理由で相互に作用するさまざまなエンティティが含まれます。

この戦略では、サイバーデバイスが将来互いに連携して、サイバー攻撃の防止、有効性の低下、またはサイバー攻撃からの回復のための解決策を見つけることができる、強力で堅牢なサイバーエコシステムのアイデアを探ります。

このようなサイバーエコシステムには、そのサイバーデバイスに組み込まれた機能があり、安全な行動方法をデバイスのグループ内およびグループ間で整理できます。 このサイバーエコシステムは、ソフトウェア製品を使用してセキュリティの弱点を検出および報告する現在の監視技術によって監視できます。

強力なサイバーエコシステムには、自動化、相互運用性、*認証*という3つの共生構造があります。

  • 自動化-高度なセキュリティ対策の実装を容易にし、迅速性を高め、意思決定プロセスを最適化します。
  • 相互運用性-共同作業を強化し、認知度を高め、学習手順を加速します。 相互運用性には3つのタイプがあります-
  • セマンティック(つまり、共通の理解に基づいた共有語彙)
  • テクニカル
  • ポリシー-さまざまな貢献者を包括的なサイバー防御構造に取り込む際に重要です。
  • 認証-提供するために機能する識別および検証技術を改善します-
  • セキュリティ
  • 手頃な価格
  • 使いやすさと管理
  • スケーラビリティ
  • 相互運用性

攻撃の比較

次の表は、サイバーエコシステムの望ましい機能に対する攻撃カテゴリの比較-

image

ケーススタディ

次の図は、ニューヨークタイムズのギルバートゲーツによって作成されたものであり、インターネットを通じてイランの工場がどのようにハッキングされたかを示しています。

ケーススタディ

説明-プログラムは、イランの原子力発電所を自動的に実行するように設計されました。 残念ながら、脅威に気付いていなかった労働者がプログラムをコントローラーに導入しました。 このプログラムは、植物に関連するすべてのデータを収集し、情報を情報機関に送信しました。その後、情報機関がワームを開発して植物に挿入しました。 ワームを使用して、植物は悪党によって制御され、より多くのワームが生成され、その結果、プラントは完全に故障しました。

攻撃の種類

次の表は、攻撃のカテゴリを説明しています-

Attack Category Description of Attack
Attrition

Methods used to damage networks and systems. It includes the following −

  • 分散型サービス拒否攻撃
  • サービスまたはアプリケーションへのアクセスを損なうまたは拒否する
  • リソース枯渇攻撃
Malware Any malicious software used to interrupt normal computer operation and harm information assets without the owner’s consent. Any execution from a removable device can enhance the threat of a malware.
Hacking

An attempt to intentionally exploit weaknesses to get unethical access, usually conducted remotely. It may include −

  • データ漏洩攻撃
  • インジェクション攻撃と機能の濫用
  • なりすまし
  • 時状態攻撃
  • バッファおよびデータ構造攻撃
  • リソース操作
  • 盗まれた資格情報の使用
  • バックドア
  • パスワードに対する辞書攻撃
  • 認証の活用
Social Tactics

Using social tactics such as deception and manipulation to acquire access to data, systems or controls. It includes −

  • テキスト送信前(偽装調査)
  • フィッシングを扇動する
  • 会話を通じて情報を取得する
Improper Usage (Insider Threat)

Misuse of rights to data and controls by an individual in an organization that would violate the organization’s policies. It includes −

  • 不正なソフトウェアのインストール
  • 機密データの削除
Physical Action/Loss or Theft of Equipment

Human-Driven attacks such as −

  • 盗まれたIDトークンとクレジットカード
  • カードリーダーやPOS端末をいじったり交換したりする
  • センサーと干渉する
  • 組織が使用するラップトップなどのコンピューティングデバイスの盗難
Multiple Component Single attach techniques which contains several advanced attack techniques and components.
Other

Attacks such as −

  • サプライチェーン攻撃
  • ネットワーク調査

戦略2-保証フレームワークの作成

この戦略の目的は、従来の製品、プロセス、人、および技術を通じて、グローバルなセキュリティ標準に準拠したアウトラインを設計することです。

国家安全保障要件を満たすために、*サイバーセキュリティ保証フレームワーク*として知られる国家フレームワークが開発されました。 「有効化および承認」アクションを通じて、重要なインフラストラクチャ組織および政府に対応します。

  • 有効化*アクションは、商業的利益のない自治団体である政府機関によって実行されます。 ITセキュリティの実装とコンプライアンスを可能にする「国家セキュリティポリシーコンプライアンス要件」とITセキュリティガイドラインとドキュメントの発行は、これらの当局によって行われます。
  • 承認*アクションは、必須の資格基準を満たした後、収益性の高いサービスに関与し、それらには以下が含まれます-
  • ISO 27001/BS 7799 ISMS認証、ISシステム監査など。これらは本質的にコンプライアンス認証です。
  • 「Common Criteria」標準ISO 15408およびCryptoモジュール検証標準。ITセキュリティ製品の評価と認証です。
  • ITセキュリティ人材トレーニングなど、ITセキュリティの実装において消費者を支援するサービス。

信頼できる企業の認定

インドのIT/ITES/BPOは、アウトソーシング市場の発展に伴い、セキュリティとプライバシーに関する国際標準とベストプラクティスに準拠する必要があります。 ISO 9000、CMM、シックスシグマ、総合品質管理、ISO 27001などは、認証の一部です。

SEI CMMレベルなどの既存のモデルは、ソフトウェア開発プロセス専用であり、セキュリティの問題には対応していません。 したがって、自己認証の概念と米国CMUのソフトウェア機能成熟度モデル(SW-CMM)のラインに基づいてモデルを作成するために、いくつかの努力がなされています。

産業と政府の間のそのような協会を通じて生産されてきた構造は、次のもので構成されます-

  • 基準
  • ガイドライン
  • 慣行

これらのパラメータは、重要なインフラストラクチャの所有者と運営者がサイバーセキュリティ関連のリスクを管理するのに役立ちます。

戦略3-オープンスタンダードの奨励

基準は、地理的地域や社会全体で情報セキュリティ関連の問題に取り組む方法を定義する上で重要な役割を果たします。 オープン標準が奨励されています-

  • 主要プロセスの効率を高め、
  • システムの組み込みを可能にし、
  • ユーザーが新しい製品やサービスを測定するための媒体を提供し、
  • 新しいテクノロジーやビジネスモデルを整理するためのアプローチを整理し、
  • 複雑な環境を解釈し、
  • 経済成長を支持する。

ISO 27001 [3]などの標準は、顧客がプロセスを理解し、監査のコストを削減できる標準的な組織構造の実装を奨励しています。

戦略4-規制の枠組みの強化

この戦略の目的は、安全なサイバースペースエコシステムを作成し、規制の枠組みを強化することです。 National Critical Information Infrastructure Protection Center(NCIIPC)を通じてサイバー脅威に対処するための24時間365日のメカニズムが想定されています。 コンピューター緊急対応チーム(CERT-In)は、危機管理のノード機関として機能するように指定されています。

この戦略のいくつかのハイライトは次のとおりです-

  • サイバーセキュリティの研究開発の促進。
  • 教育および訓練プログラムによる人的資源の開発。
  • パブリックまたはプライベートを問わず、すべての組織に、サイバーセキュリティイニシアチブの責任を負う最高情報セキュリティ責任者(CISO)を務める人を指定するように奨励します。
  • インド国防軍は、防衛ネットワークと施設のサイバーセキュリティを強化する一環として、サイバー司令部を設立する過程にあります。
  • 官民パートナーシップの効果的な実装は、絶え間なく変化する脅威の状況に対するソリューションを作成する上で大いに役立つパイプラインにあります。

戦略5-ITセキュリティのメカニズムの作成

ITセキュリティを確保するための基本的なメカニズムには、リンク指向のセキュリティ対策、エンドツーエンドのセキュリティ対策、アソシエーション指向の対策、およびデータ暗号化があります。 これらのメソッドは、内部アプリケーション機能と、提供するセキュリティの属性が異なります。 それらについて簡単に説明しましょう。

リンク指向のメジャー

データの最終的な送信元と宛先に関係なく、2つのノード間でデータを転送しながらセキュリティを提供します。

エンドツーエンドの対策

プロトコルデータユニット(PDU)を送信元から宛先に保護された方法で転送するための媒体であり、通信リンクの中断がセキュリティを侵害しないようにします。

協会指向の測定

アソシエーション指向のメジャーは、すべてのアソシエーションを個別に保護するエンドツーエンドのメジャーの修正セットです。

データ暗号化

従来の暗号の一般的な機能と、最近開発された公開鍵暗号のクラスを定義しています。 権限のある担当者のみが情報を解読できるように情報をエンコードします。

戦略6-電子ガバナンスサービスの保護

電子ガバナンス(e-governance)は、責任ある方法で公共サービスを提供する政府にとって最も大切な手段です。 残念ながら、現在のシナリオでは、インドの電子政府に専念する法的構造はありません。

同様に、インドでは公共サービスの義務的な電子配信に関する法律はありません。 そして、十分なサイバーセキュリティなしで電子政府プロジェクトを実行することほど危険で面倒なことはありません。 そのため、特に国がカードを介して日々の取引を行っている場合、電子政府サービスを保護することが重要なタスクになりました。

幸いなことに、インド準備銀行は2013年10月1日から施行可能なインドでのカード取引のセキュリティおよびリスク軽減策を実施しました。 安全なカード取引を顧客ではなく銀行に保証する責任を負っています。

「電子政府」または電子政府は、以下のための政府機関による情報通信技術(ICT)の使用を指します-

  • 公共サービスの効率的な提供
  • 内部効率の改善
  • 市民、組織、政府機関間の簡単な情報交換
  • 管理プロセスの再構築。

戦略7-重要な情報インフラストラクチャの保護

重要な情報インフラストラクチャは、国の国家的および経済的セキュリティのバックボーンです。 これには、発電所、高速道路、橋、化学プラント、ネットワーク、および毎日何百万人もの人々が働く建物が含まれます。 これらは、厳しいコラボレーションプランと規律ある実装で保護できます。

サイバー脅威の発生から重要なインフラストラクチャを保護するには、構造化されたアプローチが必要です。 政府は、公的および民間部門と定期的に積極的に協力して、破壊的な試みや国家の重要なインフラストラクチャへの悪影響に対する緩和努力を防止、対応、調整することが求められています。

政府が企業の所有者や事業者と協力して、サイバーやその他の脅威情報を共有することでサービスやグループを強化することが求められています。

共通のプラットフォームをユーザーと共有してコメントやアイデアを送信する必要があります。これらを連携させることで、重要なインフラストラクチャを保護および保護するためのより強固な基盤を構築できます。

米国政府は、2013年に重要なインフラストラクチャサービスの提供に伴うサイバーセキュリティリスクの管理を優先する「重要なインフラストラクチャサイバーセキュリティの改善」という大統領令を可決しました。 このフレームワークは、組織に共通の分類とメカニズムを提供します-

  • 既存のサイバーセキュリティの方向性を定義し、
  • サイバーセキュリティの目標を定義し、
  • 絶え間ないプロセスの枠組みの中で開発の機会を分類し、優先順位をつけます。
  • サイバーセキュリティについてすべての投資家と通信します。

サイバー法-サイバーリスクを軽減するためのポリシー

この章では、サイバーリスクを最小限に抑えるためのさまざまなポリシーについて説明します。 明確に定義されたポリシーによってのみ、サイバースペースで生成される脅威を減らすことができます。

サイバーセキュリティの研究開発の推進

インターネットへの依存度がますます高まっているため、今日直面している最大の課題は、悪人からの情報のセキュリティです。 そのため、サイバーリスクを軽減するための堅牢なソリューションを考案できるように、サイバーセキュリティの研究開発を促進することが不可欠です。

サイバーセキュリティ研究

サイバーセキュリティ研究は、サイバー犯罪者に対処するためのソリューションの準備に関係する分野です。 インターネット攻撃の増加、高度で持続的な脅威、フィッシングに伴い、今後多くの研究と技術開発が必要になります。

サイバーセキュリティ研究-インドの視点

近年、インドはサイバー技術の大きな成長を目の当たりにしています。 したがって、サイバーセキュリティの研究開発活動への投資が必要です。 また、インドでは、地元のサイバーセキュリティ企業の出現により、多くの成功した研究成果がビジネスに反映されています。

脅威インテリジェンス

サイバー脅威を軽減するための研究作業は、すでにインドで開始されています。 サイバー脅威に対処するために、積極的な対応メカニズムが用意されています。 インドのさまざまな研究機関では、サイバースペースの脅威と戦うための研究開発活動がすでに進行中です。

次世代ファイアウォール

企業にセキュリティインテリジェンスを提供し、企業がネットワーク境界で最適なセキュリティ制御を適用できるようにする次世代ファイアウォールなどのマルチアイデンティティベースの専門技術も取り組んでいます。

安全なプロトコルとアルゴリズム

プロトコルとアルゴリズムの研究は、技術レベルでのサイバーセキュリティの統合にとって重要なフェーズです。 サイバースペースでの情報の共有と処理のルールを定義します。 インドでは、プロトコルおよびアルゴリズムレベルの研究には以下が含まれます-

  • セキュアルーティングプロトコル
  • 効率的な認証プロトコル
  • ワイヤレスネットワークの拡張ルーティングプロトコル
  • 安全な伝送制御プロトコル
  • 攻撃シミュレーションアルゴリズムなど

認証テクニック

キー管理、二要素認証、自動キー管理などの認証技術は、集中化されたキー管理システムとファイル保護なしで暗号化および復号化する機能を提供します。 これらの認証技術を強化するために継続的に研究が行われています。

BYOD、クラウドおよびモバイルセキュリティ

さまざまなタイプのモバイルデバイスの採用に伴い、モバイルデバイスでのセキュリティおよびプライバシー関連のタスクに関する研究が増加しています。 モバイルセキュリティテスト、クラウドセキュリティ、BYOD(Bring Your Own Device)のリスク軽減は、多くの研究が行われている分野の一部です。

サイバーフォレンジック

サイバーフォレンジックは、システムまたはデジタルストレージメディアからデータを収集および回復するための分析手法のアプリケーションです。 インドで研究が行われている特定の分野のいくつかは-

  • ディスクフォレンジック
  • ネットワークフォレンジック
  • モバイルデバイスフォレンジック
  • メモリフォレンジック
  • マルチメディアフォレンジック
  • インターネットフォレンジック

サプライチェーンのリスクを減らす

正式には、サプライチェーンのリスクは次のように定義できます-

'__対戦相手が損害を与えたり、悪意のある機能を書き込んだり、供給アイテムまたはシステムの設計、インストール、手順、またはメンテナンスを解体して、機能全体を劣化させるリスク。'__

サプライチェーンの問題

サプライチェーンは世界的な問題であり、顧客とサプライヤ間の相互依存関係を見つける必要があります。 今日のシナリオでは、次のことを知ることが重要です-SCRMの問題とは?_および_問題への対処方法

効果的なSCRM(サプライチェーンリスク管理)アプローチには、強力な官民パートナーシップが必要です。 政府は、サプライチェーンの問題を処理する強力な権限を持つ必要があります。 民間セ​​クターでさえ、多くの分野で重要な役割を果たすことができます。

サプライチェーンのリスクを管理するための万能の解決策を提供することはできません。 製品とセクターに応じて、リスクを軽減するためのコストの重さは異なります。 官民パートナーシップは、サプライチェーン管理に関連するリスクを解決するよう奨励されるべきです。

人材育成によるリスクの軽減

組織のサイバーセキュリティポリシーは、そのすべての従業員がその価値を理解し、それらの実装に向けて強いコミットメントを示す限り、効果的です。 人事部長は、次のいくつかの点を適用することで、組織をサイバー空間で安全に保つ上で重要な役割を果たすことができます。

従業員が抱えるセキュリティリスクの所有権の取得

ほとんどの従業員はリスク要因を真剣に受け止めていないため、ハッカーは組織を簡単に標的にすることができます。 この点で、HRは、従業員の態度や行動が組織のセキュリティに与える影響について従業員を教育する上で重要な役割を果たします。

セキュリティ対策が実用的かつ倫理的であることを保証する

企業のポリシーは、従業員の考え方や行動と同期している必要があります。 たとえば、システムにパスワードを保存することは脅威ですが、継続的な監視はそれを防ぐことができます。 人事チームは、ポリシーが機能する可能性があり、適切かどうかをアドバイスするのに最適です。

特定のリスクを提示する可能性のある従業員の特定

また、サイバー犯罪者が社内のインサイダーの助けを借りてネットワークをハッキングすることもあります。 したがって、特定のリスクを抱える可能性のある従業員を特定し、厳しいHRポリシーを設定することが不可欠です。

サイバーセキュリティ意識の創造

インドのサイバーセキュリティはまだ進化段階にあります。 これは、サイバーセキュリティに関連する問題について認識を高めるのに最適な時期です。 インターネットがどのように機能し、その潜在的な脅威は何かをユーザーに認識させることができる学校のような草の根レベルから認識を作成するのは簡単です。

すべてのサイバーカフェ、ホーム/パーソナルコンピューター、およびオフィスコンピューターはファイアウォールで保護する必要があります。 ユーザーは、サービスプロバイダーまたはゲートウェイを通じて、許可されていないネットワークに違反しないように指示する必要があります。 脅威は太字で説明し、影響を強調する必要があります。

サイバーセキュリティの意識に関する科目を学校や大学に導入して、継続的なプロセスにする必要があります。

政府は、テレビ/ラジオ/インターネット広告を通じてサイバーセキュリティを放送し、サイバーセキュリティを実施し、十分な意識を高めるために強力な法律を策定しなければなりません。

情報共有

米国は、サイバーセキュリティの脅威に関する情報の共有を強化することで国内のサイバーセキュリティを改善するために、*サイバーセキュリティ情報共有法2014(CISA)*と呼ばれる法律を提案しました。 このような法律は、脅威情報を市民間で共有するためにすべての国で義務付けられています。

サイバーセキュリティ侵害には必須の報告メカニズムが必要

*Uroburos/Snake* という名前の最近のマルウェアは、サイバースパイ活動とサイバー戦争の成長の一例です。 機密情報の盗用は新しいトレンドです。 ただし、通信会社/インターネットサービスプロバイダー(ISP)がネットワークに対するサイバー攻撃に関する情報を共有していないのは残念です。 その結果、サイバー攻撃に対抗するための堅牢なサイバーセキュリティ戦略を策定できません。

この問題は、通信会社/ISP側の義務的なサイバーセキュリティ侵害通知の規制体制を確立できる優れたサイバーセキュリティ法を策定することで対処できます。

自動化された送電網、火力発電所、衛星などのインフラストラクチャは、さまざまな形態のサイバー攻撃に対して脆弱であるため、侵害通知プログラムは、それらに取り組むように機関に警告します。

サイバーセキュリティフレームワークの実装

企業がサイバーセキュリティのイニシアチブに費やしているという事実にもかかわらず、データ侵害は引き続き発生しています。 ウォールストリートジャーナルによると、「重要なインフラストラクチャ産業によるグローバルなサイバーセキュリティ支出は、Allied Business Intelligence Incによると、前年から10%増加して2013年に460億ドルに達すると予想されていました。」これには、サイバーセキュリティフレームワークの効果的な実装が必要です。

サイバーセキュリティフレームワークのコンポーネント

フレームワークは3つの主要なコンポーネントで構成されています-

  • コア、
  • 実装層、および
  • フレームワークプロファイル。

Cyber​​security Framework

フレームワークコア

フレームワークコアは、5つの同時および一定の機能(識別、保護、検出、応答、および回復)を持つサイバーセキュリティアクティビティと適用可能な参照のセットです。 フレームワークのコアには、次のことを保証する方法があります-

  • 最も重要な知的財産と資産を保護するための手順を開発および実装します。
  • サイバーセキュリティ侵害を特定するためのリソースを用意します。
  • 違反が発生した場合は、違反から回復します。

実装層

フレームワーク実装層は、組織がサイバーセキュリティ慣行を適用する際に採用する高度さと一貫性のレベルを定義します。 次の4つのレベルがあります。

実装層レベル

ティア1(部分)-このレベルでは、組織のサイバーリスク管理プロファイルは定義されていません。 組織レベルでの組織のサイバーセキュリティリスクに対する部分的な意識があります。 サイバーセキュリティリスクを管理するための組織全体の方法論は認識されていません。

  • Tier 2(Risk Informed)*-このレベルでは、組織は上級管理者によって直接承認されるサイバーリスク管理ポリシーを確立します。 上級管理職は、サイバーセキュリティに関連するリスク管理目標を確立するために努力し、それらを実装します。
  • Tier 3(繰り返し可能)*-このレベルでは、組織は正式なサイバーセキュリティ対策を実行します。これは要件に基づいて定期的に更新されます。 組織は、その依存関係とパートナーを認識しています。 また、それらから情報を受け取ります。これは、リスクに基づいた管理上の決定を下すのに役立ちます。
  • Tier 4(Adaptive)*-このレベルでは、組織は以前および現在のサイバーセキュリティ活動から派生した「リアルタイム」でのサイバーセキュリティ慣行を適応させます。 高度なサイバーセキュリティ技術を組み合わせた絶え間ない開発プロセス、パートナーとのリアルタイムコラボレーション、システム上のアクティビティの継続的な監視を通じて、組織のサイバーセキュリティ慣行は高度な脅威に迅速に対応できます。

フレームワークプロファイル

フレームワークプロファイルは、サイバーセキュリティプログラムに関する情報を保存するためのプラットフォームを組織に提供するツールです。 プロファイルを使用すると、組織はサイバーセキュリティプログラムの目標を明確に表現できます。

フレームワークの実装はどこから始めますか?

取締役を含む上級管理職は、まずフレームワークに精通する必要があります。 その後、取締役は組織の実装層について経営陣と詳細な議論を行う必要があります。

フレームワークに関するマネージャーとスタッフを教育することで、全員がその重要性を理解できるようになります。 これは、活発なサイバーセキュリティプログラムの実装を成功させるための重要なステップです。 既存のフレームワーク実装に関する情報は、組織が独自のアプローチを行うのに役立つ場合があります。

サイバー法-ネットワークセキュリティ

ネットワークセキュリティは、不正アクセスとリスクからネットワークに提供されるセキュリティです。 ネットワーク管理者の義務は、潜在的なセキュリティの脅威からネットワークを保護するための予防措置を採用することです。

政府、個人、または企業内の定期的な取引と通信に関与するコンピューターネットワークには、セキュリティが必要です。 ネットワークリソースを保護する最も一般的で簡単な方法は、一意の名前と対応するパスワードを割り当てることです。

ネットワークセキュリティデバイスの種類

アクティブデバイス

これらのセキュリティデバイスは、余剰トラフィックをブロックします。 ファイアウォール、ウイルス対策スキャンデバイス、およびコンテンツフィルタリングデバイスは、そのようなデバイスの例です。

パッシブデバイス

これらのデバイスは、侵入検知アプライアンスなどの不要なトラフィックを識別して報告します。

予防装置

これらのデバイスはネットワークをスキャンし、潜在的なセキュリティ問題を特定します。 たとえば、侵入テストデバイスや脆弱性評価アプライアンス。

統合脅威管理(UTM)

これらのデバイスは、オールインワンセキュリティデバイスとして機能します。 例には、ファイアウォール、コンテンツフィルタリング、Webキャッシュなどが含まれます。

ファイアウォール

ファイアウォールは、いくつかのプロトコルに基づいてネットワークトラフィックを管理および規制するネットワークセキュリティシステムです。 ファイアウォールは、信頼できる内部ネットワークとインターネットの間の障壁を確立します。

ファイアウォールは、ハードウェア上で実行されるソフトウェアとハ​​ードウェアアプライアンスの両方として存在します。 ハードウェアベースのファイアウォールは、そのネットワークのDHCPサーバーとして機能するなど、他の機能も提供します。

ほとんどのパーソナルコンピューターは、ソフトウェアベースのファイアウォールを使用して、インターネットからの脅威からデータを保護します。 ネットワーク間でデータを渡す多くのルーターにはファイアウォールコンポーネントが含まれており、逆に多くのファイアウォールは基本的なルーティング機能を実行できます。

ファイアウォールは、インターネットからの不正アクセスを防ぐために、プライベートネットワークまたは_イントラネット_で一般的に使用されています。 イントラネットに出入りするすべてのメッセージは、ファイアウォールを通過してセキュリティ対策が検討されます。

理想的なファイアウォール構成は、ハードウェアベースのソフトウェアとソフトウェアベースのデバイスの両方で構成されます。 ファイアウォールは、安全な認証証明書とログインを通じてプライベートネットワークへのリモートアクセスを提供するのにも役立ちます。

ハードウェアおよびソフトウェアファイアウォール

ハードウェアファイアウォールはスタンドアロン製品です。 これらはブロードバンドルーターにもあります。 ほとんどのハードウェアファイアウォールは、他のコンピューターを接続するために少なくとも4つのネットワークポートを提供します。 大規模なネットワーク(ビジネス目的など)の場合、ビジネスネットワーキングファイアウォールソリューションが利用可能です。

ソフトウェアファイアウォールがコンピューターにインストールされます。 ソフトウェアファイアウォールは、インターネットの脅威からコンピューターを保護します。

アンチウイルス

ウイルス対策は、悪意のあるソフトウェアを検出して削除するために使用されるツールです。 もともとは、コンピューターからウイルスを検出して削除するために設計されました。

最新のウイルス対策ソフトウェアは、ウイルスだけでなく、ワーム、トロイの木馬、アドウェア、スパイウェア、キーロガーなどからも保護します。 一部の製品は、悪意のあるURL、スパム、フィッシング攻撃、ボットネット、DDoS攻撃などからの保護も提供します。

コンテンツフィルタリング

コンテンツフィルタリングデバイスは、不快で不快な電子メールまたはWebページを選別します。 これらは、企業やパソコンでファイアウォールの一部として使用されます。 これらのデバイスは、誰かが許可されていないWebページまたは電子メールにアクセスしようとすると、「アクセスが拒否されました」というメッセージを生成します。

通常、コンテンツはポルノコンテンツや、暴力または憎悪指向のコンテンツについてスクリーニングされます。 組織は、ショッピングや仕事関連のコンテンツも除外します。

コンテンツフィルタリングは、次のカテゴリに分けることができます-

  • Webフィルタリング
  • Webサイトまたはページのスクリーニング
  • メールフィルタリング
  • スパムの電子メールのスクリーニング
  • その他の不快なコンテンツ

侵入検知システム

侵入検知および侵入防止システムとも呼ばれる侵入検知システムは、ネットワーク内の悪意のあるアクティビティを監視し、そのようなアクティビティに関する情報をログに記録し、それらを停止するための措置を講じ、最終的にそれらを報告するアプライアンスです。

侵入検知システムは、ネットワーク内の悪意のあるアクティビティに対してアラームを送信し、パケットをドロップし、接続をリセットして、ブロックからIPアドレスを保存するのに役立ちます。 侵入検知システムは、次のアクションも実行できます-

  • 巡回冗長検査(CRC)エラーの修正
  • TCPシーケンスの問題を防ぐ
  • 不要なトランスポートおよびネットワークレイヤーオプションをクリーンアップする

サイバー法-I.T ACT

第1章で説明したように、インド政府は、合法的な電子、デジタル、およびオンライントランザクションを提供および促進し、サイバー犯罪を軽減するために、いくつかの主要な目的を持つ情報技術(I.T.)法を制定しました。

I.T法の顕著な特徴

I.T法の顕著な特徴は次のとおりです-

  • デジタル署名は電子署名に置き換えられ、より技術的に中立な行為になりました。
  • 犯罪、罰則、違反について詳しく説明します。
  • サイバー犯罪に対する司法制度の概要を説明しています。
  • 新しいセクションで、_cybercaféは、通常のビジネスの過程で一般の人々にインターネットへのアクセスが提供される施設です。
  • これは、サイバー規制諮問委員会の構成を規定しています。
  • インド刑法、1860年、インド証拠法、1872年、銀行図書証拠法、1891年、インド準備銀行法、1934年などに基づいています。
  • それは、法の条項が優先する効果を有するものとする条項81に条項を追加します。 この条項は、_法に含まれるものは何でも、1957年の著作権法に基づいて与えられた権利の行使を制限するものではないと述べています。

I.T法のスキーム

次のポイントは、ITのスキームを定義します。 行為-

  • I. Actには、* 13章*および* 90セクション*が含まれています。
  • 最後の4つのセクション、つまりI.T.のセクション91から94 Act 2000では、1860年のインド刑法、1872年のインド証拠法、1891年の銀行図書法、1934年のインド準備銀行法の修正が削除されました。
  • それは第1章の予備的側面から始まり、第1章の法の短い、タイトル、範囲、開始、適用を扱っている。 セクション2は定義を提供します。
  • 第2章では、電子記録、デジタル署名、電子署名などの認証を扱います。
  • 第11章では、違反と罰則を扱います。 法律のこの部分では、一連の犯罪が処罰とともに提供されています。
  • その後、デューデリジェンス、仲介者の役割、およびいくつかの雑則に関する規定が記載されています。
  • この法律には2つのスケジュールが組み込まれています。 最初のスケジュールは、法律が適用されない文書または取引を扱います。 2番目のスケジュールでは、電子署名または電子認証の手法と手順を扱います。 3番目と4番目のスケジュールは省略されています。

I.T法の適用

セクション1のサブ条項(4)に従って、この法の何も、最初のスケジュールで指定された文書またはトランザクションには適用されません。 以下は、法律が適用されない文書または取引です-

  • 交渉可能な手段(小切手以外)、1881年の交渉可能な手段法のセクション13で定義されています。
  • 1882年委任状法のセクション1Aで定義されている*委任状*。
  • 1882年のインド信託法のセクション3で定義されている*信託*。
  • 1925年、インド継承法のセクション2の条項(h)で定義されている will (その他の遺言的処分を含む)。
  • 不動産の売却または譲渡、またはそのような不動産への関心に関する*契約*
  • 中央政府から通知される可能性のある文書または取引のクラス。

I.T Actでの修正

I. 法律は、セクション91-94の4つの法律の改正をもたらしました。 これらの変更は、スケジュール1〜4で提供されています。

  • 最初のスケジュールには、刑法の改正が含まれています。 「ドキュメント」という用語の範囲を広げて、その範囲内に電子ドキュメントを持ち込みました
  • 2番目のスケジュールは、インド証拠法の改正を扱っています。 証拠の定義に電子文書を含めることに関係します
  • 3番目のスケジュールは、銀行の書籍証拠法を改正します。 _この修正により、「バンカーズブック」の定義が変更されます。 フロッピー、ディスク、テープ、またはその他の形式の電磁データストレージデバイスに保存されたデータのプリントアウトが含まれます。 「Certified-copy」という表現にも同様の変更が加えられ、purview_にそのような印刷物が含まれるようになりました。
  • 4番目のスケジュールは、インド準備銀行法を改正します。 _銀行間または銀行と他の金融機関の間の電子的手段による資金移動の規制に関するものです。

仲介責任

_特定の電子記録を扱う仲介者とは、他の人に代わってその記録を受け入れ、保存、送信したり、その記録に関するサービスを提供したりする人です。

上記の定義によると、次のものが含まれます-

  • 通信サービスプロバイダー
  • ネットワークサービスプロバイダー
  • インターネットサービスプロバイダー
  • Webホスティングサービスプロバイダー
  • サーチエンジン
  • オンライン決済サイト
  • オンラインオークションサイト
  • オンラインマーケットプレイスとサイバーカフェ

改正法のハイライト

新たに改正された行為は、次のハイライトが付属しています-

  • プライバシーの問題を強調し、情報セキュリティを強調しています。
  • デジタル署名を詳しく説明します。
  • 企業の合理的なセキュリティ慣行を明確にします。
  • 仲介者の役割に焦点を当てています。
  • サイバー犯罪の新しい顔が追加されました。

サイバー法-署名

デジタル署名

デジタル署名は、デジタルメッセージまたはドキュメントの正当性を検証する手法です。 有効なデジタル署名は、送信者がメッセージの送信を拒否できないように、メッセージが既知の送信者によって生成されたことを受信者に保証します。 デジタル署名は、主にソフトウェアの配布、金融取引、および偽造のリスクがある他の場合に使用されます。

電子署名

電子署名または電子署名は、メッセージの作成を要求した人がメッセージを作成した人であることを示します。

署名は、人に関連する回路図スクリプトとして定義できます。 文書の署名は、その人が文書に記録された目的を受け入れることを示す記号です。 多くのエンジニアリング企業では、認証とセキュリティの別のレイヤーにもデジタルシールが必要です。 デジタルシールおよび署名は、手書きの署名およびスタンプシールと同じです。

デジタル署名から電子署名

  • デジタル署名*は、旧I.T.で定義された用語です。 法律、2000年。 *電子署名*とは、改正法(I.T. 法律、2008年)。 電子署名の概念は、デジタル署名よりも広範です。 法律のセクション3では、デジタル署名を添付することにより、電子記録の検証を行います。

改正により、電子署名または電子認証技術による電子記録の検証は信頼できるものとみなされるものとする。

  • 国際貿易法に関する国連委員会(UNCITRAL)*によれば、電子認証および署名方法は、次のカテゴリに分類される場合があります-
  • ユーザーまたは受信者の知識、すなわちパスワード、個人識別番号(PIN)などに基づくもの
  • これらは、ユーザーの身体的特徴、つまり生体認証に基づいています。
  • ユーザーによるオブジェクトの所有に基づくもの、つまり、磁気カードに保存されているコードまたはその他の情報。
  • 上記のカテゴリのいずれにも該当しない認証および署名方法の種類は、電子通信の発信者を示すためにも使用される可能性があります(手書き署名のファクシミリ、または電子メッセージの下部に入力される名前など) 。

電子署名に関するUNCITRAL MODEL法によると、次の技術が現在使用されています-

  • 公開キー基盤(PKI)内のデジタル署名
  • 生体認証デバイス
  • PINs
  • パスワード
  • スキャンされた手書きの署名
  • デジタルペンによる署名
  • クリック可能な「OK」または「同意する」または「同意する」クリックボックス

サイバー法-犯罪と罰則

より高速な世界規模の接続により、多数のオンライン犯罪が発生し、これらの犯罪の増加により、保護のための法律が必要になりました。 インドの議会は、世代交代に歩調を合わせるために、国際貿易法に関する国連委員会(UNCITRAL)モデル法で概念化された2000年情報技術法を可決しました。

法律では、犯罪を各カテゴリの罰則とともに詳細に定義しています。

オフェンス

サイバー犯罪とは、コンピューターがツールまたはターゲットのいずれかまたは両方である場合に、上品な方法で実行される不正な行為です。

サイバー犯罪は通常、次のとおりです-

  • コンピューターの不正アクセス
  • データディドリング
  • ウイルス/ワーム攻撃
  • コンピューターシステムの盗難
  • ハッキング
  • 攻撃の拒否
  • 論理爆弾
  • トロイの木馬攻撃
  • インターネット時間盗難
  • Webジャッキング
  • メール爆撃
  • サラミ攻撃
  • 物理的に損傷を与えるコンピューターシステム。

I.T.に含まれる違反 2000年法は次のとおりです-

  • コンピューターのソース文書の改ざん。
  • コンピューターシステムでのハッキング。
  • 電子形式でわいせつな情報の公開。
  • 指示を与えるためのコントローラーの力。
  • 情報を解読するための施設を拡張するための加入者へのコントローラーの指示。
  • 保護されたシステム。
  • 不実表示に対する罰則。
  • 機密性とプライバシーの侵害に対する罰則。
  • 特定の詳細においてデジタル署名証明書の発行に対するペナルティ。
  • 詐欺目的の出版物。
  • インドの没収外で行われた犯罪または違反を申請するための法律。
  • 他の罰を妨げないための罰則または没収。
  • 違反を調査する権限。

'__ * It Act 2000に基づく違反*

セクション65。 コンピューターのソース文書の改ざん

コンピューターのソースコードを保持する必要がある場合、コンピューター、コンピュータープログラム、コンピューターシステム、またはコンピューターネットワークに使用されるコンピューターソースコードを、故意または故意に隠蔽、破壊、変更、または故意または故意に他者に隠蔽、破壊、または変更させる者施行期間中は法律により維持され、最高3年の懲役、最高2ラールルピー、またはその両方の罰金が科せられます。

説明-このセクションの目的では、「コンピューターソースコード」とは、プログラム、コンピューターコマンド、設計とレイアウトのリスト、および任意の形式のコンピューターリソースのプログラム分析を意味します。

オブジェクト-このセクションの目的は、コンピューターに投資された「知的財産」を保護することです。 これは、著作権法の下で利用できるものを超えて、コンピューターのソースドキュメント(コード)を保護する試みです

セクションの必須成分

故意または故意に隠蔽する

故意または故意に破壊する

故意または意図的に変更する

故意または故意に他人に隠蔽させる

故意にまたは意図的に他の人に破壊させる

故意にまたは意図的に別の人を変更させます。

このセクションは著作権法を対象としており、企業がプログラムのソースコードを保護するのに役立ちます。

ペナルティ-セクション65は、どの判事によっても試されます。

これは認識可能であり、保釈できない犯罪です。

ペナルティ-3年以下の懲役および/または 

 *Fine* -2ラクルピー。
____ ____

次の表は、上記のすべてのセクションに対する違反と罰則を示しています。 行為-

Section Offence Punishment Bailability and Congizability
65 Tampering with Computer Source Code Imprisonment up to 3 years or fine up to Rs 2 lakhs Offence is Bailable, Cognizable and triable by Court of JMFC.
66 Computer Related Offences Imprisonment up to 3 years or fine up to Rs 5 lakhs Offence is Bailable, Cognizable and
66-A Sending offensive messages through Communication service, etc…​ Imprisonment up to 3 years and fine Offence is Bailable, Cognizable and triable by Court of JMFC
66-B Dishonestly receiving stolen computer resource or communication device Imprisonment up to 3 years and/or fine up to Rs. 1 lakh Offence is Bailable, Cognizable and triable by Court of JMFC
66-C Identity Theft Imprisonment of either description up to 3 years and/or fine up to Rs. 1 lakh Offence is Bailable, Cognizable and triable by Court of JMFC
66-D Cheating by Personation by using computer resource Imprisonment of either description up to 3 years and/or fine up to Rs. 1 lakh Offence is Bailable, Cognizable and triable by Court of JMFC
66-E Violation of Privacy Imprisonment up to 3 years and/or fine up to Rs. 2 lakh Offence is Bailable, Cognizable and triable by Court of JMFC
66-F Cyber Terrorism Imprisonment extend to imprisonment for Life Offence is Non-Bailable, Cognizable and triable by Court of Sessions
67 Publishing or transmitting obscene material in electronic form On first Conviction, imprisonment up to 3 years and/or fine up to Rs. 5 lakh On Subsequent Conviction imprisonment up to 5 years and/or fine up to Rs. 10 lakh Offence is Bailable, Cognizable and triable by Court of JMFC
67-A Publishing or transmitting of material containing sexually explicit act, etc…​ in electronic form On first Conviction imprisonment up to 5 years and/or fine up to Rs. 10 lakh On Subsequent Conviction imprisonment up to 7 years and/or fine up to Rs. 10 lakh Offence is Non-Bailable, Cognizable and triable by Court of JMFC
67-B Publishing or transmitting of material depicting children in sexually explicit act etc., in electronic form On first Conviction imprisonment of either description up to 5 years and/or fine up to Rs. 10 lakh On Subsequent Conviction imprisonment of either description up to 7 years and/or fine up to Rs. 10 lakh Offence is Non Bailable, Cognizable and triable by Court of JMFC
67-C Intermediary intentionally or knowingly contravening the directions about Preservation and retention of information Imprisonment up to 3 years and fine Offence is Bailable, Cognizable.
68 Failure to comply with the directions given by Controller Imprisonment up to 2 years and/or fine up to Rs. 1 lakh Offence is Bailable, Non-Cognizable.
69 Failure to assist the agency referred to in sub section (3) in regard interception or monitoring or decryption of any information through any computer resource Imprisonment up to 7 years and fine Offence is Non-Bailable, Cognizable.
69-A Failure of the intermediary to comply with the direction issued for blocking for public access of any information through any computer resource Imprisonment up to 7 years and fine Offence is Non-Bailable, Cognizable.
69-B Intermediary who intentionally or knowingly contravenes the provisions of sub-section (2) in regard monitor and collect traffic data or information through any computer resource for cybersecurity Imprisonment up to 3 years and fine Offence is Bailable, Cognizable.
70 Any person who secures access or attempts to secure access to the protected system in contravention of provision of Sec. 70 Imprisonment of either description up to 10 years and fine Offence is Non-Bailable, Cognizable.
70-B Indian Computer Emergency Response Team to serve as national agency for incident response. Any service provider, intermediaries, data centres, etc., who fails to prove the information called for or comply with the direction issued by the ICERT. Imprisonment up to 1 year and/or fine up to Rs. 1 lakh Offence is Bailable, Non-Cognizable
71 Misrepresentation to the Controller to the Certifying Authority Imprisonment up to 2 years and/or fine up to Rs. 1 lakh. Offence is Bailable, Non-Cognizable.
72 Breach of Confidentiality and privacy Imprisonment up to 2 years and/or fine up to Rs. 1 lakh. Offence is Bailable, Non-Cognizable.
72-A Disclosure of information in breach of lawful contract Imprisonment up to 3 years and/or fine up to Rs. 5 lakh. Offence is Cognizable, Bailable
73 Publishing electronic Signature Certificate false in certain particulars Imprisonment up to 2 years and/or fine up to Rs. 1 lakh Offence is Bailable, Non-Cognizable.
74 Publication for fraudulent purpose Imprisonment up to 2 years and/or fine up to Rs. 1 lakh Offence is Bailable, Non-Cognizable.

オフェンスのコンパウンド

_Iのセクション77-Aに従って T. 法律、管轄権を有する裁判所は、法の下で3年を超える期間の終身刑または禁固刑が提供された犯罪以外の犯罪を悪化させる場合があります。

次の場合、違反は発生しません。

  • 被告人は、彼の以前の有罪判決の理由により、強化された刑罰または異なる種類の刑罰のいずれかに責任を負います。 OR
  • 犯罪は国の社会経済状況に影響を与えます。 OR
  • Offenceは、18歳未満の子供に対してコミットされています。 OR
  • 女性に対して犯罪が犯されました。

この法律に基づいて違反が疑われる人は、裁判所に複利申請を提出することができます。 その後、犯罪は裁判およびCrのセクション265-Bおよび265-Cの条項に対して保留されます。 P.C. 適用されます。

サイバー法-まとめ

サイバー法は、サイバー犯罪と戦う唯一の救世主です。 国家の情報に解読不能なセキュリティを提供できるのは、厳格な法律のみです。 I. インドの行為は、サイバー犯罪の問題に取り組む特別な行為として登場しました。 この法律は、2008年の改正法によって強化されました。

サイバー犯罪は時々行われますが、まだほとんど報告されていません。 したがって、法廷に到達するサイバー犯罪の事例はごくわずかです。 デジタルエビデンスの収集、保存、評価には実際的な困難があります。 したがって、この法律は、真に効果を発揮するまでにマイルが必要です。

このチュートリアルでは、サイバー法とITセキュリティに関連する現在および主要なトピックをすべてカバーしようとしました。 このチュートリアルを締めくくるために、著名なサイバー法の専門家とパバン・ダガル氏を提唱する最高裁判所の言葉を引用したいと思います。

'__立法者たちは、インドのサイバー法のさまざまな欠陥を取り除き、技術的に中立にする立派な仕事を補完する必要がありますが、それでも国の期待と改正法の結果の間に大きな不一致があったようです。 新しい修正の最も奇妙で驚くべき側面は、これらの修正がインドのサイバー法をサイバー犯罪に優しい法律にすることを目指していることです。 -サイバー犯罪者に対して非常にソフトな心を持つ法律。既存の法律の下で彼らに与えられる刑罰の量を減らすことによりサイバー犯罪者を奨励することを選択する法律。 …​. IT法の下で保釈可能な犯罪として規定されているサイバー犯罪の大部分を作成する法律。インドが世界の潜在的なサイバー犯罪の首都になるための道を開く可能性が高い法律。_

サイバー法-よくある質問

1. サイバー犯罪とは 

*A.* サイバー犯罪とは、サイバースペースで犯罪目的で行われるすべての活動を指します。 インターネットは匿名であるため、悪党はさまざまな犯罪活動に従事しています。 サイバー犯罪の分野は新たに出現したばかりであり、サイバースペースでの犯罪活動の新しい形態が日々過ぎて最前線に来ています。

2. サイバー犯罪の完全な定義はありますか? 

*A.* いいえ、残念ながら、サイバー犯罪の完全な定義はありません。 ただし、基本的に人間の感覚を損なうオンラインアクティビティは、サイバー犯罪と見なすことができます。

3. サイバー犯罪にはさまざまなカテゴリがありますか? 

*A.* サイバー犯罪は、基本的に3つの主要なカテゴリに分類できます-
  • 人に対するサイバー犯罪、
  • 財産に対するサイバー犯罪、および
  • 政府に対するサイバー犯罪。

4. 人に対するサイバー犯罪について詳しく教えてください。 

*A.* 人に対するサイバー犯罪には、児童ポルノの送信、電子メールを使用した嫌がらせ、サイバーストーキングなどのさまざまな犯罪が含まれます。 わいせつな素材の投稿と配布は、今日知られている最も重要なサイバー犯罪の1つです。

5. サイバーハラスメントもサイバー犯罪ですか? 

*A.* サイバーハラスメントは明確なサイバー犯罪です。 サイバースペースではさまざまな種類の嫌がらせが発生します。 嫌がらせは性的、人種的、宗教的、またはその他の可能性があります。 犯罪としてのサイバーハラスメントは、ネチズンのプライバシー侵害に関連する別の分野にもつながります。 オンライン市民のプライバシー侵害は、重大な性質のサイバー犯罪です。

6. 財産に対するサイバー犯罪とは 

*A.* あらゆる形態の財産に対するサイバー犯罪には、サイバースペースを介した不正なコンピューター侵入、コンピューター破壊行為、有害プログラムの送信、コンピューター化された情報の不正な所有が含まれます。

7. ハッキングはサイバー犯罪ですか? 

*A.* ハッキングは、これまで知られている最も重大なサイバー犯罪の1つです。 見知らぬ人があなたの知らないうちにあなたのコンピューターシステムに侵入し、貴重な機密データを改ざんしたことを知るのは恐ろしい気持ちです。

厳しい真実は、世界中のどのコンピューターシステムもハッキングの証拠がないということです。 たとえどんなに安全に見えても、どんなシステムでもハッキングされる可能性があるということは満場一致で合意されています。 E-bay、Yahoo、Amazonなどの人気のある商用サイトで見られる最近のサービス拒否攻撃は、非常に危険なものとして徐々に出現しているサイバー犯罪の新しいカテゴリです。

自分のプログラミング機能を使用してコンピューターまたはネットワークに不正アクセスすることは、非常に重大な犯罪です。 同様に、コンピューターシステムに修復不可能な損害を与える有害なコンピュータープログラムの作成と普及も、サイバー犯罪の一種です。

8. 政府に対するサイバー犯罪とは 

*A.* サイバーテロリズムは、政府に対するサイバー犯罪の明確な例です。 インターネットの成長は、サイバースペースの媒体が個人やグループによって使用され、政府を脅し、国民を恐怖に陥れていることを示しています。 この犯罪は、個人が政府または軍が管理するWebサイトに侵入したときにテロとして現れます。

9. 今日、サイバー犯罪に関する包括的な法律はありますか? 

*A.* 現在のところ、世界のどこにもサイバー犯罪に関する包括的な法律はありません。 これが、FBIのような調査機関がサイバースペースを非常に難しい地形であると判断している理由です。 サイバー犯罪は、既存の法律では完全にも部分的にもカバーされていないインターネット法の灰色の領域に該当します。 しかし、各国はサイバー犯罪に関する厳しい法律を制定するために重要な手段を講じています。

10. 各国の管轄区域内でサイバー犯罪に関するサイバー法を制定することの重要性を示す最近の事例はありますか? 

*A.* 「I love you」というウイルスの最新の事例は、さまざまな国の管轄区域でのサイバー犯罪に関するサイバー法の必要性を示しています。 この機能のウェブ公開の時点で、ロイターは「フィリピンは、コンピューター犯罪に対処する法律がないため、「ラブバグ」コンピューターウイルスの疑いのある作成者をまだ逮捕していない」と上級警察官は述べた。 問題の事実は、フィリピンにはサイバー犯罪に関連する法律がないということです。

11. Vishingとは 

*A.* ビッシングとは、電話システムに社会的影響を与える犯罪行為であり、ほとんどの場合、Voice over IP(VoIP)によって促進される機能を使用して、一般からクレジットカードの詳細などの機密情報にアクセスします。 この用語は、「音声」とフィッシングの組み合わせです。

12. メール詐欺とは? 

*A.* 郵便詐欺は、米国連邦法に基づく犯罪です。これには、刑事犯罪の委託の任意の時点で郵便システムが使用されている金銭または貴重品を違法に入手しようとするスキームが含まれます。

13. IDスプーフィングとは何ですか? 

*A.* 電話ネットワークを使用して、実際の発信局の番号ではない番号を受信者の発信者IDディスプレイに表示する方法です。

14. サイバースパイとは何ですか? 

*A.* インターネット上の違法な搾取方法を使用して、軍事的、政治的、または経済的利益のために、個人、競合他社、ライバル、グループ、政府、および敵から秘密を取得する行為または慣行です。

15. サボタージュの意味は何ですか? 

*A.* 妨害行為とは、文字通り、機械または材料への故意の損傷、または作業の中断を意味します。 サイバースペースの文脈では、軍事活動で使用されるコンピューターと衛星の存在に対する脅威です

16. サイバー名誉law損法が最初に導入された民主主義国に名前を付けます。 

*A.* 韓国は、この法律が最初に導入された最初の民主主義国です。

17. ボットとは何ですか? 

*A.* ボットは、今日インターネットに直面している最も洗練されたタイプの犯罪ウェアの1つです。 ボットは、サイバー犯罪者に代わってさまざまな自動化されたタスクを実行することにより、独自の名前を獲得します。 彼らは、インターネットの「サービス拒否」攻撃に関与しています。

18. トロイの木馬とスパイウェアとは何ですか? 

*A.* トロイの木馬およびスパイウェアは、サイバー犯罪者が不正なアクセスを取得し、攻撃の一環として被害者から情報を盗むために使用するツールです。

19. フィッシングとファーミングとは何ですか? 

*A.* フィッシングとファーミングは、犯罪者がインターネットを使用して他人から個人情報を盗むサイバー犯罪の一形態である個人情報盗難を実行する最も一般的な方法です。

20. サイバー犯罪を防ぐためのヒントをいくつか挙げてください。

  • ハッカーがフィッシング詐欺を作成して個人情報にアクセスする最新の方法をお読みください。
  • コンピュータにファイアウォールをインストールして、望ましくない脅威や攻撃を最小限に抑えます。
  • メールを開いてリンクをクリックするときは注意してください。 未検証のソースからコンテンツをダウンロードする際には、注意深くお読みください。
  • 個人情報が保存されているWebサイトの強力なパスワードを作成します。
https://www.finddevguides.com/index.php?title=Information-security-cyber-law-quick-guide&oldid=1430」から取得
Powered by MediaWiki