Những vấn đề pháp lý mà một sysadmin nên làm quen với?

Những vấn đề pháp lý nào bạn nên nghiên cứu như một sysadmin để tránh bạn, hoặc chủ nhân của bạn, bị buộc tội cẩu thả, hoặc vi phạm quyền riêng tư, v.v.?

Mặc dù luật pháp khác nhau giữa các quốc gia và tiểu bang này sang tiểu bang khác, nó vẫn có thể được khai sáng nếu bạn có một ví dụ về luật mà bạn hoặc ai đó bạn biết đã vi phạm mà không nhận ra.

Nó chủ yếu thay đổi ở một vài điều như ngành nghề của bạn (những điều sau chỉ áp dụng cho Hoa Kỳ) ...

• Chăm sóc sức khỏe: HIPAA
• Giáo dục: FERPA
• Nếu công ty của bạn được giao dịch với SEC: Sarbanes Oxley
• Nếu công ty của bạn thực hiện giao dịch thẻ tín dụng - PCI DSS

Rất nhiều công việc nhỏ hơn mà tôi đã làm đã khá tệ về việc lưu trữ thông tin CC DSS của PCI trong bản rõ, máy chủ cơ sở dữ liệu có thể truy cập công khai ... những điều cơ bản đã bị bỏ qua.

Những điều sau đây chỉ áp dụng cho Hoa Kỳ;

CIPA: Đạo luật bảo vệ Internet của trẻ em

Đặc biệt nếu bạn được tuyển dụng bởi một tổ chức giáo dục của tiểu bang hoặc liên bang: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Đạo luật tự do thông tin

Một lần nữa nếu bạn được tuyển dụng bởi một thực thể chính phủ: http://www.fcc.gov/foia/

FERPA: Đạo luật về quyền riêng tư và quyền giáo dục gia đình

Giáo dục: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Hãy nhận biết khía cạnh pháp lý của phân tích mạng và phát hiện xâm nhập. Một số nơi, việc sử dụng trái phép nmapcó thể được coi là một tội ác, như có thể cố gắng xâm nhập vào các hệ thống cho mục đích bảo mật (không độc hại).

Lưu ý về các vấn đề cấp phép phần mềm, cho cả người dùng cuối (nếu bạn xử lý chúng) và cho máy chủ của bạn cũng như các hệ thống khác. Biết các phân nhánh có thể có nếu bạn chọn chạy phần mềm lậu trên máy chủ doanh nghiệp.

Hãy nhận biết luật riêng tư cho địa điểm kinh doanh của bạn, về luật địa phương, tiểu bang và liên bang. Biết bạn là thông tin gì và không được phép lưu trữ. Cũng biết bạn là ai và không được phép xem xét, cả về mặt pháp lý và theo quy định của công ty bạn.

Mặt khác, hãy lưu ý đến luật lưu giữ thông tin cho địa điểm kinh doanh của bạn. Biết những thông tin bạn cần giữ, thời gian bạn cần giữ và thông tin bạn phải tiết lộ cho ai khi được yêu cầu. Có thể vạch ra ranh giới giữa quyền riêng tư và tuân thủ các quy định (và biết khi nào nên đứng lên vì cái này hay cái khác).

Tôi đang ở Vương quốc Anh và tôi muốn nói rằng các luật quan trọng nhất đối với một doanh nghiệp thương mại điện tử trung bình sẽ là:

• Đạo luật bảo vệ dữ liệu
• Quy định bán hàng từ xa và luật mô tả thương mại
• Một số phần của Đạo luật công ty - ví dụ: bạn phải có số và địa chỉ công ty đã đăng ký trên trang web doanh nghiệp ngay cả khi bạn không bán bất cứ thứ gì. Tôi đã thấy rằng một lần bị hỏng nhiều lần.
• Tuân thủ PCI (ok, không phải là luật nhưng quan trọng)

Câu hỏi này thực sự chỉ có thể được trả lời nếu bạn cho chúng tôi biết bạn đang ở đâu.

Cá nhân tôi coi SysAdmin là người chịu trách nhiệm cho từng bit dữ liệu, do đó có rủi ro lớn nhất khi dữ liệu bị mất / bị lộ / lạm dụng (Ngay cả khi bạn không phải đối mặt với hậu quả pháp lý, sếp sẽ đến với bạn và bạn sẽ phải giải thích tại sao dữ liệu có thể thoát ra khỏi công ty của bạn).

Cá nhân tôi chắc chắn rằng:

• Trong trường hợp cần thiết, tôi có thể truy cập từng thông tin ( tất cả mọi thứ , sau tất cả, tôi đứng về phía sai của quạt khi shit chạm vào nó)
• Tôi nói điều này với sếp của tôi
• Tôi nói với sếp rằng tôi sẽ không truy cập bất cứ thứ gì nếu không được phép
• Tôi nói với sếp rằng tôi sẽ yêu cầu một bên khác theo dõi tôi và người yêu cầu nếu tôi không cảm thấy thoải mái với yêu cầu truy cập dữ liệu
• Tôi muốn tất cả các bên trên đã ký và đóng dấu bằng văn bản

Những thứ khác tôi chắc chắn:

• Nghe mọi thứ
• Nhìn thấy mọi thứ
• Nói về không có gì

Những điểm này không phải là về việc rình mò trong các tập tin hoặc bất cứ điều gì tương tự, đó chỉ là về việc trò chuyện thường xuyên với đồng nghiệp và đồng nghiệp và cố gắng khớp với các phần khác nhau.

Nói về không có gì có nghĩa là không tham gia trò chuyện từ một thời điểm nhất định, mọi người đến với tôi thường xuyên với các yêu cầu về mật khẩu bị mất, các tệp sẽ được khôi phục hoặc các nội dung khác. Điều đó có thể dẫn đến những ý kiến ​​trái chiều về những người làm việc chăm chỉ, tôi không muốn điều đó.

• Nói với mọi người về những thứ ông chủ của tôi và tôi đã đồng ý

Điều này có thể là về mặt nói chuyện từ người này sang người khác, thư công ty hoặc áp phích với lời nhắc nhở thân thiện rằng có một bên trong công ty có thể truy cập tất cả dữ liệu.

Đây không phải là ví dụ chính xác về luật đồng nghiệp hoặc tôi vấp ngã. Nhưng đó là phần mà "Nói về không có gì" đến chơi. Xin lỗi đã làm bạn thất vọng với các ví dụ.

Pháp luật bảo vệ dữ liệu của bạn. AUP của nhà tuyển dụng của bạn - biết điều đó từ trong ra ngoài - nó cũng áp dụng cho bạn!

Có nhiều luật pháp tiểu bang khác nhau liên quan đến PII (Thông tin nhận dạng cá nhân) trong trường hợp vi phạm dữ liệu. 1386 của California yêu cầu tất cả những người bị ảnh hưởng bởi vi phạm dữ liệu (thỏa hiệp thông tin của họ) phải được thông báo. Nhiều tiểu bang khác có quy định tương tự.

Cũng như một sự làm rõ về PCI-DSS, đó không phải là một yêu cầu pháp lý nghiêm ngặt, các thương hiệu thẻ (MasterCard, Visa, Discover, AmEx) yêu cầu các ngân hàng thương mại của họ yêu cầu các nhà cung cấp phải tuân thủ PCI-DSS. Nếu bạn vi phạm PCI, bạn sẽ không bị truy tố hợp pháp, tuy nhiên bạn có thể bị phạt hàng ngàn đô la mỗi ngày (hoặc hơn) bởi ngân hàng thương mại của bạn trong khi bạn vi phạm. Nếu bạn không tuân thủ, cuối cùng bạn sẽ mất khả năng thực hiện các giao dịch thẻ tín dụng, đó sẽ là một nụ hôn chết chóc đối với hầu hết các nhà bán lẻ trực tuyến.

PCI DSS cho khách hàng sử dụng thẻ tín dụng và cơ hội mỗi khi bạn kích hoạt đăng nhập mà bạn có thể được yêu cầu để tạo các nhật ký đó trong tương lai. Đôi khi tốt hơn là không ghi lại bất cứ điều gì.

Khám phá điện tử là một "gotcha" lớn. Đây là những yêu cầu ở Mỹ để bảo toàn thông tin điện tử trong trường hợp khởi kiện và để cung cấp cho bên kia.

Sysadmin nên dành thời gian với luật sư của công ty TRƯỚC KHI lần đầu tiên công ty bị kiện để bạn có kế hoạch tuân thủ các yêu cầu này nếu bạn phải làm. Thất bại trong việc lưu giữ tất cả các hồ sơ điện tử cần thiết (và đúng cách) ngay lập tức khi một vụ kiện sắp xảy ra và gây tổn hại lớn cho công ty (bao gồm mất một vụ kiện mà có thể không bị mất).

Trong một môi trường chính trị hoặc hội đồng vương miện, bạn cần cẩn thận khi xử lý bằng chứng kỹ thuật số. Điều cuối cùng bạn muốn là được yêu cầu làm chứng trước tòa khi tất cả những gì bạn đã làm là giúp chuyển đổi một số loại phương tiện truyền thông từ định dạng này sang định dạng khác.