С какими юридическими проблемами должен быть знаком системный администратор?

Какие правовые вопросы вы должны исследовать как системный администратор, чтобы избежать обвинений в халатности, нарушении конфиденциальности и т. Д. Для вас или вашего работодателя?

В то время как законы варьируются от страны к стране и от штата к штату, это может быть полезным, если у вас есть пример закона, который вы или кто-то из ваших знакомых нарушил, не осознав его.

Это в значительной степени зависит от нескольких факторов, например, от того, в какой отрасли вы работаете (следующее относится только к США) ...

• Здравоохранение: HIPAA
• Образование: FERPA
• Если ваша компания торгуется с SEC: Sarbanes Oxley
• Если ваша компания проводит транзакции по кредитным картам - PCI DSS

Множество небольших заданий, над которыми я работал, были довольно плохи в том, что PCI DSS хранит информацию CC в виде открытого текста, общедоступного сервера баз данных ... основами, которыми просто пренебрегали.

Следующее относится только к США;

CIPA: Закон о защите детей в Интернете

Особенно, если вы работаете в государственном или федеральном образовательном учреждении: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Закон о свободе информации

Опять же, если вы работаете в государственном учреждении: http://www.fcc.gov/foia/

FERPA: Закон об образовательных правах и конфиденциальности семьи

Образование: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Помните о правовой стороне сетевого анализа и обнаружения вторжений. В некоторых местах несанкционированное использование nmapможет считаться преступлением, так как могут пытаться проникнуть в системы в целях безопасности (не злонамеренных).

Знайте о проблемах лицензирования программного обеспечения, как для конечных пользователей (если вы имеете дело с ними), так и для ваших серверов и других системных администраторов. Знайте возможные последствия, если вы решите запустить пиратское программное обеспечение на бизнес-сервере.

Помните о законах о неприкосновенности частной жизни для вашего бизнеса, о местных, государственных и федеральных законах. Знайте, какая информация у вас есть и вам не разрешено хранить. Также знайте, какую информацию вы имеете и на которую вам запрещено просматривать, как с юридической точки зрения, так и в соответствии с рекомендациями вашей компании.

С другой стороны, имейте в виду законы о сохранении информации для вашего бизнеса. Знайте, какую информацию вы должны хранить, как долго вам нужно ее хранить и кому вы должны разглашать ее по запросу. Быть в состоянии провести границу между конфиденциальностью и соблюдением правил (и знать, когда стоит защищать одно или другое).

Я нахожусь в Великобритании, и я бы сказал, что самые важные законы для среднего бизнеса в сфере электронной коммерции:

• Закон о защите данных
• Закон о дистанционных продажах и Закон о торговых описаниях
• Определенные части Закона о компаниях - например, вы должны иметь свой зарегистрированный номер компании и адрес на бизнес-сайте, даже если вы ничего не продаете. Я видел этот сломанный много раз.
• Соответствие PCI (хорошо, не закон, но важно)

На этот вопрос можно ответить, только если вы сообщите нам, где вы находитесь.

Лично я считаю, что системный администратор является лицом, отвечающим за каждый бит данных, и, таким образом, несет наибольший риск, когда данные утеряны / раскрыты / злоупотреблены (даже если вы не столкнетесь с юридическими последствиями, ваш босс придет к вам и вам придется объяснить, почему данные могут попасть в вашу компанию).

Я лично уверен, что:

• В случае необходимости, я могу получить доступ к каждой части информации ( все , в конце концов, я стою на неправильной стороне вентилятора, когда дерьмо поражает его)
• Я говорю это своему боссу
• Я говорю своему боссу, что я не получу доступ к чему-либо без разрешения
• Я говорю своему боссу, что я попрошу другую сторону наблюдать за мной и подателем запроса, если я не чувствую себя комфортно с запросом доступа к данным
• Я хочу, чтобы все вышеперечисленное было подписано и скреплено печатью

Другие вещи, которые я проверяю:

• Услышать все
• Видеть все
• Говорить ни о чем

Эти пункты не о слежке за файлами или чем-то в этом роде, а о регулярном общении с коллегами и коллегами и попытке соединить разные части.

Говорить ни о чем не значит не участвовать в чате с определенной точки, люди регулярно приходят ко мне с просьбами о потерянных паролях, файлах, которые нужно восстановить, или других вещах. Это может привести к тому, что у меня возникнут мнения о трудолюбивых людях, я этого не хочу.

• Расскажите всем о том, что мой босс и я согласились

Это может быть разговор с человеком от человека, письма компании или постеры с дружескими напоминаниями о том, что в компании есть вечеринка, которая может получить доступ ко всем данным.

Это не совсем примеры коллег по законам, или я наткнулся. Но это та часть, где «Разговор ни о чем» начинает играть роль. Извините, что разочаровал вас примерами.

Ваше законодательство о защите данных. AUP вашего работодателя - знайте это наизнанку - это относится и к вам!

Существуют различные государственные законы, касающиеся PII (Личная информация) в случае утечки данных. В Калифорнии 1386 года требуется, чтобы все, кто пострадал от взлома данных (компрометации их информации), должны быть уведомлены. Многие другие штаты имеют аналогичные положения.

Кроме того, в качестве разъяснения по PCI-DSS, которое не является строго юридическим требованием, бренды карт (MasterCard, Visa, Discover, AmEx) требуют, чтобы их банки-продавцы требовали от поставщиков соблюдения PCI-DSS. Если вы нарушите PCI, вы не будете преследоваться по закону, однако ваш торговый банк может быть оштрафован на тысячи долларов в день (или более), когда вы совершаете нарушение. Если вы не соблюдаете требования, вы в конечном итоге потеряете способность совершать транзакции по кредитным картам, что было бы смертельным поцелуем для большинства интернет-магазинов.

PCI DSS для клиентов, которые берут кредитные карты, и вероятность того, что при каждом включении ведения журнала вам может потребоваться произвести эти журналы в будущем. Иногда лучше ничего не записывать.

Электронное открытие - это большая «ошибка». Таковы требования в США по сохранению электронной информации в случае судебного иска и предоставлению ее другой стороне.

Системный администратор должен провести некоторое время с адвокатами компании ДО первого раза, когда к компании предъявляется иск, чтобы у вас был план, чтобы выполнить эти требования, если вам когда-либо придется. Неспособность сохранить все необходимые электронные записи (и в правильном порядке) сразу же после подачи судебного иска и нанесения огромного ущерба компании (включая проигрыш судебного иска, который иначе не был бы потерян).

В полицейской среде или в совете короны вам необходимо соблюдать осторожность при работе с цифровыми доказательствами. Последнее, что вы хотите, - это чтобы вы давали показания в суде, когда все, что вы делали, - это помогали конвертировать какой-либо вид мультимедиа из одного формата в другой.