Bir sistem yöneticisi hangi yasal bilgileri bilmelidir?

Sizi veya işvereninizi ihmal etmekle veya mahremiyeti ihlal etmekle vb. Önlemek için sistem yöneticisi olarak hangi yasal konuları araştırmalısınız?

Yasalar ülkeden ülkeye ve eyaletten eyalete farklılık gösterse de, sizin veya tanıdığınız birinin farkında olmadan kırdığı bir yasa örneğiniz varsa yine de aydınlatıcı olabilir.

İçinde bulunduğunuz endüstri gibi birkaç şeye büyük ölçüde değişir (aşağıdakiler sadece ABD için geçerlidir) ...

• Sağlık Hizmetleri: HIPAA
• Eğitim: FERPA
• Şirketiniz SEC ile işlem görüyorsa: Sarbanes Oxley
• Şirketiniz kredi kartı işlemleri yapıyorsa - PCI DSS

Çalıştığım daha küçük işler, CC DSS'nin düz metin, genel olarak erişilebilir veritabanı sunucusunda CC bilgilerini depolaması konusunda oldukça kötüydü ... sadece ihmal edilen temeller.

Aşağıdaki hususlar yalnızca ABD için geçerlidir;

CIPA: Çocukların İnternet Koruması Yasası

Özellikle bir eyalet veya federal eğitim kurumu tarafından istihdam edildiyseniz: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Bilgi Özgürlüğü Yasası

Yine bir devlet kuruluşu tarafından çalışıyorsanız: http://www.fcc.gov/foia/

FERPA: Aile Eğitim Hakları ve Gizlilik Yasası

Eğitim: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Ağ analizi ve saldırı tespitinin yasal tarafının farkında olun. Bazı yerlerde, yetkisiz kullanımı, nmapgüvenlik (kötü amaçlı olmayan) amaçlar için sistemlere girmeye çalışmak gibi bir suç olarak kabul edilebilir.

Hem son kullanıcılar (onlarla ilgileniyorsanız) hem de sunucularınız ve diğer sistem yöneticileri için yazılım lisanslama sorunlarının farkında olun. Bir iş sunucusunda korsan yazılım çalıştırmayı seçerseniz olası sonuçları öğrenin.

İş yeriniz, yerel, eyalet ve federal yasalar hakkındaki gizlilik yasalarının farkında olun. Hangi bilgilere sahip olduğunuzu ve depolamanıza izin verilmediğini bilin. Ayrıca, hem yasal şartlarda hem de şirket kurallarınızda belirtildiği gibi hangi bilgilere baktığınıza ve bakmanıza izin verilmediğini de bilin.

Diğer taraftan, iş yeriniz için bilgi saklama yasalarına dikkat edin. Hangi bilgileri saklamanız gerektiğini, ne kadar süreyle saklamanız gerektiğini ve istendiğinde kime vermeniz gerektiğini bilin. Gizlilik ve yönetmeliklere uyma arasındaki çizgiyi çizebilmeli (ve ne zaman biri ya da diğeri için ayağa kalkacağını bilmeli).

İngiltere'de yaşıyorum ve ortalama bir e-ticaret işletmesinin en önemli yasalarının şöyle olacağını söyleyebilirim:

• Veri Koruma Yasası
• Mesafeli Satış Mevzuatı ve Ticaret Tanımları Yasası
• Şirketler Yasası'nın bazı bölümleri - örneğin , hiçbir şey satmasanız bile kayıtlı şirket numaranızın ve adresinizin bir işletme web sitesinde olması gerekir. Birinin defalarca kırıldığını gördüm.
• PCI Uyumluluğu (tamam, yasa değil önemli)

Bu soru sadece bize nerede olduğunuzu söylerseniz cevaplanabilir.

Şahsen SysAdmin'i her bir veri bitinden sorumlu olan kişi olarak görüyorum, bu nedenle veri kaybolduğunda / ifşa edildiğinde / kötüye kullanıldığında en büyük riski taşır (Yasal sonuçlarla karşılaşmasanız bile patronunuz size gelecektir) ve verilerin neden şirketinizden çıkabileceğini açıklamanız gerekir).

Şahsen emin olun:

• Gerektiğinde her bilgiye erişebilirim ( her şeyden önce , bok vurduğunda fanın yanlış tarafında duruyorum)
• Bunu patronuma söylüyorum
• Patronuma izinsiz hiçbir şeye erişemeyeceğimi söylüyorum
• Veri erişim talebinden rahatsız olmazsam patronuma başka bir tarafın beni ve talep eden kişiyi izlemesini isteyeceğimi söylüyorum
• Yukarıdakilerin hepsinin yazılı olarak imzalanmasını ve mühürlenmesini istiyorum

Emin olduğum diğer şeyler:

• Her şeyi duy
• Her şeyi görün
• Hiçbir şey hakkında konuş

Bu noktalar, dosyalarda veya bunun gibi bir şeyde dolaşmakla ilgili değildir, sadece meslektaşlarınızla ve iş arkadaşlarınızla düzenli olarak sohbet etmek ve farklı parçaları bir araya getirmeye çalışmakla ilgilidir.

Hiçbir şey hakkında konuşmayın, sohbet etmeye belirli bir noktadan katılmamak anlamına gelmez, insanlar düzenli olarak kayıp şifreler, geri yüklenecek dosyalar veya diğer şeyler hakkında isteklerle gelirler. Bu, aksi halde çalışkan insanlar hakkında kesin görüşlere yol açabilir, bunu istemiyorum.

• Herkese patronum ve ben üzerinde anlaştığımız şeyleri anlatın

Bu, şirket içinde tüm verilere erişebilen bir parti olduğunu hatırlatan kişilerle, kişiden kişiye, şirket postalarıyla veya posterlerle konuşmak olabilir.

Bunlar meslektaşlarımın tam örneği değil ya da tökezlediğim. Ama bu, "Hiçbir şeyden bahset" in oynadığı bölümdür. Sizi örneklerle hayal kırıklığına uğrattığım için üzgünüm.

Veri Koruma mevzuatınız. İşvereninizin AUP'si - içten dışa bilin - bu sizin için de geçerli!

Veri ihlali durumunda kişisel bilgilerin tanınması ile ilgili çeşitli devlet mevzuatları vardır. California'daki 1386, veri ihlallerinden (bilgilerinden ödün verilmesi) etkilenen herkesin bilgilendirilmesini gerektirir. Diğer birçok devletin de benzer hükümleri vardır.

Ayrıca, kesinlikle yasal bir gereklilik olmayan PCI-DSS hakkında bir açıklama olarak, kart markaları (MasterCard, Visa, Discover, AmEx) satıcı bankalarından satıcıların PCI-DSS'ye uymalarını istemektedir. PCI'yı ihlal ederseniz, yasal olarak kovuşturmayacaksınız, ancak ihlalde bulunduğunuz sırada ticari bankanız tarafından günde binlerce dolar (veya daha fazla) para cezasına çarptırılabilir. Eğer uyum sağlamazsanız, sonunda çoğu çevrimiçi perakendeci için bir ölüm öpücüğü olacak kredi kartı işlemleri yapma yeteneğinizi kaybedeceksiniz.

Kredi kartı alan müşteriler için PCI DSS ve günlüğe kaydetmeyi her etkinleştirdiğinizde gelecekte bu günlükleri oluşturmanız gerekebilir. Bazen hiçbir şey kaydetmemek daha iyidir.

E-keşif büyük bir “yakaladım”. Bunlar, ABD'de bir dava durumunda elektronik bilgilerin korunması ve diğer tarafın kullanımına sunulması için aranan şartlardır.

Sysadmin, şirketin ilk kez dava açılmasından önce şirket avukatları ile biraz zaman harcamalıdır, böylece ihtiyacınız varsa bu gereksinimlere uymak için bir planınız olur. Gelen bir davada derhal gerekli tüm elektronik kayıtların (ve doğru şekilde) saklanmaması ve şirkete büyük zarar vermesi (aksi halde kaybolmamış olabilecek bir davanın kaybedilmesi dahil).

Polislik veya veliaht meclisi ortamında, dijital kanıtlarla çalışırken dikkatli olmanız gerekir. İstediğiniz son şey, yaptığınız tek şey, bir tür medyayı bir formattan diğerine dönüştürmeye yardımcı olmaktır.