Какие правовые вопросы вам следует изучить как системному администратору, чтобы избежать обвинения вас или вашего работодателя в халатности, нарушении конфиденциальности и т. Д.?
Хотя законы различаются от страны к стране и от штата к штату, было бы полезно, если бы у вас был пример закона, который вы или кто-то из ваших знакомых нарушили, не осознавая этого.
Это в значительной степени зависит от нескольких вещей, например, в какой отрасли вы работаете (следующее относится только к США) ...
Множество мелких работ, с которыми я работал, были довольно плохи в том, что PCI DSS хранит информацию CC в виде открытого текста, общедоступный сервер баз данных ... основы, которыми просто пренебрегли.
Следующее относится только к США;
Особенно, если вы работаете в государственном или федеральном образовательном учреждении: http://www.fcc.gov/cgb/consumerfacts/cipa.html
Опять же, если вы работаете в государственном учреждении: http://www.fcc.gov/foia/
Образование: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html
Помните о юридической стороне анализа сети и обнаружения вторжений. В некоторых местах несанкционированное использование nmap может считаться преступлением, как и попытка взлома системы в целях безопасности (не злонамеренных).
Помните о проблемах лицензирования программного обеспечения как для конечных пользователей (если вы с ними имеете дело), так и для ваших серверов и других системных администраторов. Знайте возможные последствия, если вы решите запускать пиратское программное обеспечение на бизнес-сервере.
Помните о законах о конфиденциальности вашего места работы, а также о местных законах, законах штата и федеральных законах. Знайте, какая информация у вас есть и что вам запрещено хранить. Также знайте, какую информацию вы имеете, а какую не можете просматривать, как с юридической точки зрения, так и в соответствии с правилами вашей компании.
С другой стороны, помните о законах о хранении информации для вашего предприятия. Знайте, какую информацию вам необходимо хранить, как долго вы должны ее хранить и кому вы должны ее передавать по запросу. Уметь проводить грань между конфиденциальностью и соблюдением правил (и знать, когда отстаивать то или другое).
Я нахожусь в Великобритании, и я бы сказал, что наиболее важными законами для среднего бизнеса электронной коммерции были бы следующие:
На этот вопрос можно ответить, только если вы сообщите нам, где вы находитесь.
Лично я считаю, что системный администратор - это человек, который отвечает за каждый бит данных, поэтому несет наибольший риск, когда данные потеряны / раскрыты / злоупотреблены (даже если вы не столкнетесь с юридическими последствиями, ваш босс придет к вам и вам нужно будет объяснить, почему данные могут исчезнуть из вашей компании).
Я лично убеждаюсь, что:
В остальном я уверен:
Это касается не того, чтобы копаться в файлах или чего-то подобного, это просто обычное общение с коллегами и коллегами и попытки соединить различные части.
Говорить ни о чем ничего не значит не участвовать в чате с определенного момента, люди регулярно приходят ко мне с просьбами об утерянных паролях, файлах, которые нужно восстановить, или о другом. Это может привести к определенным мнениям о трудолюбивых людях, которые в остальном трудны, я этого не хочу.
Это может быть разговор от человека к человеку, корпоративные письма или плакаты с дружескими напоминаниями о том, что в компании есть группа, которая может получить доступ ко всем данным.
Это не совсем примеры законов коллеги, о которых я споткнулся. Но это та часть, где "Разговор ни о чем" вступает в игру. Извините, что разочаровал вас примерами.
Ваше законодательство о защите данных. AUP вашего работодателя - знайте это наизнанку - это относится и к вам!
Существуют различные государственные законы, касающиеся PII (личной информации) в случае утечки данных. Закон штата Калифорния 1386 требует, чтобы все, кто пострадал от утечки данных (компрометации их информации), были уведомлены. Во многих других штатах есть аналогичные положения.
Также в качестве пояснения к PCI-DSS, который не является строго юридическим требованием, бренды карт (MasterCard, Visa, Discover, AmEx) требуют, чтобы их торговые банки требовали от поставщиков соблюдения PCI-DSS. Если вы нарушите PCI, вас не будут преследовать по закону, однако ваш торговый банк может оштрафовать вас на тысячи долларов в день (или более), пока вы нарушаете правила. Если вы не соблюдаете правила, вы в конечном итоге потеряете возможность совершать транзакции по кредитным картам, что станет смертельным поцелуем для большинства интернет-магазинов.
PCI DSS для клиентов, которые принимают кредитные карты, и вероятность того, что каждый раз, когда вы включаете ведение журнала, вам может потребоваться создавать эти журналы в будущем. Иногда лучше ничего не записывать.
Электронное открытие - это большая проблема. Это требования в США по сохранению электронной информации в случае судебного разбирательства и по обеспечению ее доступности для другой стороны.
Системный администратор должен провести некоторое время с юристами компании ДО первого предъявления иска, чтобы у вас был план выполнения этих требований, если вам когда-либо придется. Неспособность сохранить все необходимые электронные записи (и правильным образом) сразу после начала судебного процесса нанесет компании огромный ущерб (включая проигрыш судебного процесса, который в противном случае не был бы проигран).
В среде полицейских или королевских советов вам нужно быть осторожными при обращении с цифровыми доказательствами. Меньше всего вам нужно, чтобы вас требовали давать показания в суде, когда все, что вы делали, это помогали преобразовать какой-то носитель из одного формата в другой.