Frage Mit welchen rechtlichen Fragen sollte ein Systemadministrator vertraut sein?


Welche rechtlichen Fragen sollten Sie als Systemadministrator untersuchen, um zu vermeiden, dass Sie oder Ihr Arbeitgeber wegen Fahrlässigkeit oder Verletzung der Privatsphäre usw. beschuldigt werden?

Während Gesetze von Land zu Land und von Staat zu Staat variieren, könnte es immer noch aufschlussreich sein, wenn Sie ein Beispiel für ein Gesetz haben, das Sie oder jemand, den Sie kennen, gebrochen hat, ohne es zu merken.


20


Ursprung


Ich wünschte, ich hätte ein gutes Synonym für "Gotcha" - ich hasse dieses Wort. - username


Antworten:


Es hängt stark von einigen Faktoren ab, wie in welcher Branche Sie sich befinden (das Folgende gilt nur für die USA) ...

  • Gesundheitsvorsorge: HIPAA 
  • Bildung: FERPA 
  • Wenn Ihr Unternehmen mit der SEC gehandelt wird: Sarbanes Oxley 
  • Wenn Ihr Unternehmen eine Kreditkarte hat Transaktionen - PCI DSS

Viele der kleineren Jobs, die ich gearbeitet habe, waren ziemlich schlecht über PCI DSS, die CC-Informationen im öffentlich zugänglichen Datenbankserver im Klartext speicherten ... Grundlagen, die einfach vernachlässigt wurden.


15



Eine der Herausforderungen, insbesondere für kleine Unternehmen, besteht darin, dass einige der erwähnten Vorschriften (zum Beispiel HIPAA) verwirrend oder mehrdeutig sein können. Die Theorie ist, dass die Regs nicht geschrieben werden, um Unternehmen zu zwingen, sich auf bestimmte Lösungen einzulassen, aber diesen Wiggle-Raum als selbstverständlich zu betrachten, könnte problematisch sein. - Milner
@nedm - danke für die Klarstellung. Bearbeitet. - andyhky
+1 @Milner, Versuche in diesem Reglement, "Technologie Agnostiker" zu sein, lassen wenig klare Richtung, die sowohl gut als auch schlecht ist. Das Beste, was die meisten von uns tun können, ist eine klare Richtlinie + Verfahren, die erklärt, wie Sie die Grauzonen ansprechen - und dann daran festhalten (oder überarbeiten und dann daran festhalten). Zu erklären, warum Sie Ihrer eigenen SOP nicht gefolgt sind, ist eine schlechte Situation. - nedm
Können wir Bundesforschungsregeln hinzufügen (law.com/jsp/legaltechnologie/ ...) in den USA (Aufbewahrungsvorschriften). Darüber hinaus gibt es in vielen Bundesstaaten Vorschriften zur Meldung von Verstößen gegen die Meldepflicht, und im Rahmen von ARRA wurde ein Standard zur Meldung von Sicherheitsverletzungen im Bundesdienst verabschiedet, der derzeit ausgearbeitet wird (dwt.com/LearningCenter/Advisories?find=79311) - nedm


Das Folgende gilt nur für die USA;

CIPA: Kinder-Internetschutzgesetz

Besonders, wenn Sie bei einer staatlichen oder bundesstaatlichen Bildungseinrichtung angestellt sind: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Informationsfreiheitsgesetz

Wenn Sie bei einer Regierungsstelle angestellt sind: http://www.fcc.gov/foia/

FERPA: Familienbildungsgesetz und Datenschutzgesetz

Bildung: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html


7



Kinderpornografie - Ihr Geschäft kann untergehen, weil Ihre Server in einem Datacenter NEXT zu einigen Servern waren, die Kinderpornographie auf ihnen hatten (in den USA). Daran kann man wirklich nicht paranoid sein. - Kara Marfia


Beachten Sie die rechtliche Seite der Netzwerkanalyse und Intrusion Detection. Einige Orte, eine nicht autorisierte Nutzung von nmap kann als Verbrechen betrachtet werden, ebenso wie der Versuch, in Systeme für (nicht bösartige) Sicherheitszwecke einzubrechen.

Beachten Sie Softwarelizenzprobleme, sowohl für Endbenutzer (wenn Sie mit ihnen umgehen) als auch für Ihre Server und andere Systemadministratoren. Informieren Sie sich über die möglichen Auswirkungen, wenn Sie Raubkopien auf einem Business-Server ausführen.

Beachten Sie die Datenschutzgesetze für Ihren Geschäftssitz, für das lokale, bundesstaatliche und bundesstaatliche Recht. Wissen Sie, welche Informationen Sie sind und dürfen nicht gespeichert werden. Außerdem wissen Sie, welche Informationen Sie sind und dürfen sich nicht ansehen, sowohl in rechtlicher Hinsicht als auch gemäß Ihren Unternehmensrichtlinien.

Auf der anderen Seite, beachten Sie die Gesetze zur Vorratsdatenspeicherung für Ihren Geschäftssitz. Wissen Sie, welche Informationen Sie aufbewahren müssen, wie lange Sie sie aufbewahren müssen und wem Sie sie bei Aufforderung mitteilen müssen. In der Lage sein, die Grenze zwischen Privatsphäre und Einhaltung von Vorschriften zu ziehen (und zu wissen, wann man für das eine oder andere aufstehen muss).


5



Lizenzierung ist mehr als nur Piraterie. Viele Software, die wir zu Hause als selbstverständlich betrachten, die liberale Lizenzen für den persönlichen Gebrauch haben, ist viel restriktiver lizenziert für den kommerziellen Gebrauch. Es ist nicht sicher anzunehmen, dass es überall Freeware ist. - Dennis Williamson


Ich bin in Großbritannien, und ich würde sagen, die wichtigsten Gesetze für ein durchschnittliches E-Commerce-Geschäft wären:

  • Das Datenschutzgesetz
  • Fernabsatzgesetz und Handelsbeschreibungsgesetz
  • Bestimmte Teile des Unternehmensgesetzes - zum Beispiel Sie haben um Ihre registrierte Firmennummer und Adresse auf einer Business-Website zu haben, auch wenn Sie nichts verkaufen. Ich habe das oft gebrochen gesehen.
  • PCI Compliance (ok, kein Gesetz, aber wichtig)

4





Diese Frage kann eigentlich nur beantwortet werden, wenn Sie uns mitteilen, wo Sie sich befinden.

Persönlich halte ich das SysAdmin für die Person, die für jedes einzelne Datenelement zuständig ist, und birgt somit das größte Risiko, wenn Daten verloren gehen / ausgesetzt / missbraucht werden. Auch wenn Sie keine rechtlichen Konsequenzen haben, wird Ihr Chef zu Ihnen kommen und Sie müssen erklären, warum in der Welt die Daten aus Ihrer Firma herauskommen könnten).

Ich persönlich stelle sicher, dass:

  • Wenn es nötig ist, kann ich auf jede Information zugreifen (alles, schließlich bin ich auf der falschen Seite des Fans, wenn Scheiße ihn trifft)
  • Das erzähle ich meinem Chef
  • Ich sage meinem Chef, dass ich ohne Erlaubnis nicht auf etwas zugreifen werde
  • Ich sage meinem Chef, dass ich um eine andere Partei bitten werde, um mir und dem Anfragenden zuzusehen, wenn ich mich mit der Datenzugriffsanfrage nicht wohl fühle
  • Ich möchte alle oben genannten unterzeichnet und versiegelt schriftlich

Andere Dinge, die ich sicherstellen kann:

  • Höre alles
  • Alles sehen
  • Rede über nichts

Bei diesen Punkten geht es nicht um das Herumschnüffeln in Dateien oder ähnlichem, es geht nur darum, regelmäßig mit Kollegen und Kollegen zu plaudern und die verschiedenen Teile zusammenzufügen.

Sprechen Sie über nichts nichts bedeutet, nicht an dem Chat von einem bestimmten Punkt zu beteiligen, kommen die Leute zu mir regelmäßig mit Anfragen über verlorene Passwörter, Dateien wiederhergestellt werden oder andere Sachen. Das könnte zu bestimmten Meinungen über ansonsten hart arbeitende Menschen führen, das will ich nicht.

  • Sagen jeder über das Zeug, über das mein Chef und ich uns einig waren

Dies kann in Bezug auf die Kommunikation von Person zu Person, Firmenmails oder Plakaten mit freundlicher Erinnerung sein, dass es eine Party in der Firma gibt, die auf alle Daten zugreifen kann.

Das sind nicht gerade Beispiele für Gesetzeskollegen oder ich stolperte darüber. Aber das ist der Teil, in dem "Talk over nothing" zum Einsatz kommt. Es tut uns leid, Sie mit Beispielen zu enttäuschen.


3





Ihre Datenschutzgesetzgebung. Die AUP Ihres Arbeitgebers - wissen Sie es von innen nach außen - Das gilt auch für dich!


2





Es gibt verschiedene staatliche Rechtsvorschriften zu personenbezogenen Daten (PII) im Falle eines Datenschutzes. Kaliforniens 1386 fordert, dass jeder, der von der Datenverletzung betroffen ist (eine Kompromittierung ihrer Informationen), benachrichtigt werden muss. Viele andere Staaten haben ähnliche Bestimmungen.

Auch zur Klarstellung von PCI-DSS, die keine streng rechtliche Verpflichtung darstellt, verlangen die Kartenmarken (MasterCard, Visa, Discover, AmEx) von ihren Händlerbanken, dass die Anbieter PCI-DSS einhalten müssen. Wenn Sie gegen PCI verstoßen, werden Sie nicht rechtlich belangt, aber Sie können von Ihrer Händlerbank Tausende von Dollar pro Tag (oder mehr) dafür bestraft werden, während Sie sich verletzen. Wenn Sie sich nicht an die Compliance halten, werden Sie möglicherweise Ihre Fähigkeit verlieren, Kreditkartentransaktionen durchzuführen, was für die meisten Online-Händler ein Todesstoß wäre.


1





PCI DSS für Kunden, die Kreditkarten akzeptieren, und die Möglichkeit, dass bei jeder Aktivierung der Protokollierung diese Protokolle zukünftig erstellt werden müssen. Manchmal ist es besser, nichts aufgezeichnet zu haben.


1





E-Discovery ist ein großes "Gotcha". Dies sind die Anforderungen in den USA, elektronische Informationen im Falle eines Rechtsstreits zu bewahren und der anderen Partei zur Verfügung zu stellen.

Der Systemadministrator sollte vor dem ersten Auftreten des Unternehmens einige Zeit mit den Anwälten des Unternehmens verbringen, so dass Sie einen Plan haben, um diese Anforderungen zu erfüllen, wenn Sie dies jemals tun müssen. Das Versäumnis, alle notwendigen elektronischen Aufzeichnungen (und in der richtigen Weise) sofort nach einem Rechtsstreit aufzubewahren und das Unternehmen enorm zu verletzen (einschließlich des Verlusts einer Klage, die andernfalls nicht verloren gewesen wäre).


1





In einer Polizei- oder Kronzeugen-Umgebung müssen Sie beim Umgang mit digitalen Beweismitteln vorsichtig sein. Das letzte, was Sie wollen, ist, dass Sie vor Gericht aussagen müssen, wenn Sie nur geholfen haben, eine Art von Medien von einem Format in ein anderes zu konvertieren.


0