Які юридичні проблеми має бути знайомий систематику?

Які юридичні питання слід досліджувати як систематичний адміністратор, щоб уникнути звинувачення вас або вашого роботодавця у халатності чи порушенні конфіденційності тощо?

Хоча закони різняться від країни до країни і від держави до держави, це все ще може бути освічуючим, якщо у вас є приклад закону, який ви або хтось, кого ви знаєте, порушили, не усвідомлюючи цього.

Він значною мірою залежить від кількох речей, таких як галузь, у якій ви перебуваєте (наступне стосується лише США) ...

• Охорона здоров'я: HIPAA
• Освіта: FERPA
• Якщо ваша компанія торгується SEC: Sarbanes Oxley
• Якщо ваша компанія здійснює операції з кредитною карткою - PCI DSS

Багато менших робочих місць, якими я працював, були досить поганими щодо зберігання інформації про PCI DSS в простому тексті, загальнодоступному сервері баз даних ... основи, які були просто знехтувані.

Наступне стосується лише США;

CIPA: Закон про захист Інтернету для дітей

Спеціально, якщо ви працевлаштовані у державному чи федеральному навчальному закладі: http://www.fcc.gov/cgb/consumerfacts/cipa.html

Закон про свободу інформації

Знову ж таки, якщо ви працюєте в урядовій структурі: http://www.fcc.gov/foia/

FERPA: Закон про права на сім'ю та захист приватних прав

Освіта: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Будьте в курсі юридичної сторони мережевого аналізу та виявлення вторгнень. Деякі місця, несанкціоноване використання nmapможе вважатися злочином, як і спроба вторгнення в системи з метою безпеки (зловмисних).

Будьте в курсі проблем з ліцензуванням програмного забезпечення, як для кінцевих користувачів (якщо ви ними займаєтесь), так і ваших серверів та інших системних адміністраторів. Знайте можливі наслідки, якщо ви вирішите запускати піратське програмне забезпечення на бізнес-сервері.

Будьте в курсі законів про конфіденційність для вашого місця роботи, місцевого, штату та федерального закону. Знайте, яка інформація ви є, і зберігати їх заборонено. Також знайте, що ви є інформацією, і заборонено їх переглядати, як з юридичної точки зору, так і відповідно до правил компанії.

З іншого боку, пам’ятайте про закони про збереження інформації щодо вашого місця роботи. Знайте, яку інформацію вам потрібно зберігати, скільки часу вам потрібно зберігати, і кому ви маєте її розголошувати, коли вимагаєте. Вміти провести межу між конфіденційністю та дотриманням правил (і знати, коли потрібно відстоювати те чи інше).

Я перебуваю у Великобританії, і я б сказав, що найважливішими законами середнього електронного комерційного бізнесу були б:

• Закон про захист даних
• Закон про правила дистанційного продажу та торговельні описи
• Деякі частини Закону про компанії - наприклад, ви повинні мати свій зареєстрований номер компанії та адресу на діловому веб-сайті, навіть якщо ви нічого не продаєте. Я бачив, що один зламався багато разів.
• Відповідність PCI (добре, не закон, але важливо)

На це питання насправді можна відповісти, лише якщо ви скажете нам, де ви знаходитесь.

Особисто я вважаю, що SysAdmin є особою, яка відповідає за кожен біт даних, і таким чином несе найбільший ризик, коли дані втрачаються / піддаються / зловживаються (Навіть якщо ви не зіткнетесь з юридичними наслідками, до вас прийде ваш начальник і вам доведеться пояснити, чому на землі дані можуть вийти з вашої компанії).

Я особисто переконуюсь, що:

• У випадку, якщо це потрібно, я можу отримати доступ до кожної інформації ( усе-таки , адже я стою на неправильній стороні вентилятора, коли лайно її вдарить)
• Я розповідаю це своєму начальнику
• Я кажу своєму начальникові, що я не матиму доступу до нічого без дозволу
• Я кажу своєму начальникові, що я попрошу іншу сторону спостерігати за мною та запитувачем, якщо я не відчуваю себе комфортно із запитом на доступ до даних
• Я хочу, щоб все вищезазначене було підписане та скріплене печаткою у письмовій формі

Інші речі, про які я впевнений:

• Почуйте все
• Побачити все
• Говорити ні про що

Ці пункти не полягають у перегляді файлів чи чомусь подібному, а лише у регулярному спілкуванні з колегами та колегами та спробі з'єднати різні частини.

Говорити ні про що нічого не означає не брати участі в чаті з певного моменту, люди регулярно приходять до мене з проханнями про втрачені паролі, файли, які потрібно відновити чи інші речі. Це могло б повернутись до отримання думки про інакше працьовитих людей, я цього не хочу.

• Розкажіть усім про речі, з якими я начальник і я погодився

Це може стосуватися розмови від людини до людини, електронної пошти компанії або плакатів з дружніми нагадуванням про те, що в компанії є учасник, який може отримати доступ до всіх даних.

Це не зовсім приклади колег із законів, або я наткнувся на це. Але це та частина, де «Розмова про ніщо» приходить до гри. Вибачте, що розчарували вас у прикладах.

Ваше законодавство про захист даних. AUP вашого роботодавця - знайте це зсередини - це стосується і вас!

Існують різні державні законодавчі норми щодо PII (Персональна інформація) у разі порушення даних. Каліфорнійський 1386 рік вимагає повідомляти всіх, хто постраждав від порушення даних (компрометація їх інформації). Багато інших держав мають подібні положення.

Крім того, як роз'яснення щодо PCI-DSS, це не суворо юридична вимога, брендові картки (MasterCard, Visa, Discover, AmEx) вимагають від своїх торгових банків вимагати від продавців дотримуватися PCI-DSS. Якщо ви порушите PCI, ви не притягнете до кримінальної відповідальності, проте ваш банк-торговець може штрафувати тисячі доларів на день (або більше), коли ви порушуєте. Якщо ви не дотримаєтесь відповідності, з часом ви втратите здатність робити транзакції кредитною карткою, що було б поцілунком смерті для більшості інтернет-магазинів.

PCI DSS для клієнтів, які беруть кредитні картки, та ймовірність, що кожного разу, коли ви вмикаєте ведення журналу, вам можуть знадобитися виготовлення цих журналів у майбутньому. Іноді краще нічого не записати.

Електронне відкриття - це велика "готча". Такі вимоги в США зберігати електронну інформацію у разі судового розгляду та надавати її доступній іншій стороні.

Сисадмін повинен провести деякий час з юристами компанії ДО ПЕРШОГО першого разу, коли компанія подасть до суду, щоб у вас був план, щоб виконати ці вимоги, якщо вам це доведеться. Незбереження всіх необхідних електронних записів (і правильним способом) негайно після судового позову і надзвичайно пошкодило компанію (включаючи втрату судового позову, який інакше не може бути втрачений).

У оточенні поліції чи ради коронної ради вам потрібно бути обережними під час поводження з цифровими доказами. Останнє, що ви хочете, - це вимагати, щоб ви давали свідчення в суді, коли все, що ви робили, - це допомогти перетворити якийсь носій з одного формату в інший.