Welche rechtlichen Fallstricke sollte ein Sysadmin kennen?

20

Welche rechtlichen Fragen sollten Sie als Systemadministrator untersuchen, um zu vermeiden, dass Sie oder Ihr Arbeitgeber wegen Fahrlässigkeit oder Verletzung der Privatsphäre usw. angeklagt werden?

Während die Gesetze von Land zu Land und von Staat zu Staat variieren, könnte es dennoch aufschlussreich sein, wenn Sie ein Beispiel für ein Gesetz haben, das Sie oder jemand, den Sie kennen, gebrochen haben, ohne es zu bemerken.

untagged Benutzername
quelle
Übrigens, ich wünschte, ich hätte ein gutes Synonym für "gotcha" - ich hasse dieses Wort.
Benutzername

Antworten:

15

Es hängt stark davon ab, in welcher Branche Sie tätig sind (Folgendes gilt nur für die USA) ...

  • Gesundheitswesen: HIPAA
  • Ausbildung: FERPA
  • Wenn Ihr Unternehmen an der SEC gehandelt wird: Sarbanes Oxley
  • Wenn Ihr Unternehmen Kreditkartentransaktionen durchführt - PCI DSS

Viele der kleineren Jobs, an denen ich gearbeitet habe, waren ziemlich schlecht darin, dass PCI DSS CC-Informationen in Klartext und öffentlich zugänglichen Datenbankservern speichert ... Grundlagen, die gerade vernachlässigt wurden.

andyh_ky
quelle
1
Eine der Herausforderungen, insbesondere für kleine Unternehmen, besteht darin, dass einige der genannten Vorschriften (z. B. HIPAA) verwirrend oder mehrdeutig sein können. Die Theorie ist, dass die Regs nicht geschrieben sind, um Unternehmen zu zwingen, sich auf bestimmte Lösungen festzulegen, aber es könnte problematisch sein, diesen Spielraum für selbstverständlich zu halten.
Milner
+1 @Milner, Versuche in diesen Vorschriften, "technologieunabhängig" zu sein, lassen wenig klare Richtung, was sowohl gut als auch schlecht ist. Das Beste, was die meisten von uns tun können, ist eine klare Richtlinie + Verfahren, die erklärt, wie Sie die grauen Bereiche ansprechen - und dann daran festhalten (oder überarbeiten und dann daran festhalten). Es ist eine schlechte Situation, erklären zu müssen, warum Sie Ihre eigene SOP nicht befolgt haben.
Mittwoch,
1
Können wir in den USA föderale Entdeckungsregeln ( law.com/jsp/legaltechnology/… ) hinzufügen ( Aufbewahrungspflichten ) ? Auch Breach Notification Gesetze gibt es in vielen Staaten und einen Bundesgesundheitsinformationen Verstoß Standard wurde im Rahmen des ARRA bestanden und wird derzeit ausgearbeitet ( dwt.com/LearningCenter/Advisories?find=79311 )
NEDM
7

Das Folgende gilt nur für die USA;

CIPA: Internet-Schutzgesetz für Kinder

Insbesondere, wenn Sie bei einer staatlichen oder bundesstaatlichen Bildungseinrichtung angestellt sind: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Informationsfreiheitsgesetz

Nochmals, wenn Sie bei einer Regierungsbehörde angestellt sind: http://www.fcc.gov/foia/

FERPA: Familienerziehungsrecht und Datenschutzgesetz

Ausbildung: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

l0c0b0x
quelle
3
Kinderpornografie - Ihr Unternehmen kann untergehen, da sich Ihre Server in einem Rechenzentrum neben einigen Servern befanden, auf denen Kinderpornografie gespeichert war (in den USA). Sie können wirklich nicht zu paranoid sein.
Kara Marfia
5

Beachten Sie die rechtlichen Aspekte der Netzwerkanalyse und der Erkennung von Eindringlingen. An einigen Stellen kann eine unbefugte Benutzung erfolgennmap als Straftat angesehen werden, ebenso wie der Versuch, aus Sicherheitsgründen (nicht böswillig) in Systeme einzudringen.

Beachten Sie die Probleme bei der Softwarelizenzierung, sowohl für Endbenutzer (wenn Sie sich damit befassen) als auch für Ihre Server und andere Systemadministratoren. Kennen Sie die möglichen Auswirkungen, wenn Sie Raubkopien auf einem Unternehmensserver ausführen.

Beachten Sie die Datenschutzgesetze für Ihren Geschäftssitz sowie die lokalen, staatlichen und bundesstaatlichen Gesetze. Wissen, welche Informationen Sie sind und nicht speichern dürfen. Sie sollten auch wissen, welche Informationen Sie anzeigen dürfen und welche nicht, sowohl rechtlich als auch gemäß den Richtlinien Ihres Unternehmens.

Beachten Sie auch die Gesetze zur Vorratsdatenspeicherung für Ihren Geschäftssitz. Wissen Sie, welche Informationen Sie aufbewahren müssen, wie lange Sie sie aufbewahren müssen und an wen Sie sie weitergeben müssen, wenn Sie dazu aufgefordert werden. Seien Sie in der Lage, die Grenze zwischen Datenschutz und Einhaltung von Vorschriften zu ziehen (und zu wissen, wann Sie sich für die eine oder andere einsetzen müssen).

Tim
quelle
1
Lizenzierung beinhaltet mehr als nur Piraterie. Viele Softwareprodukte, die wir zu Hause für selbstverständlich halten und die über liberale Lizenzen für den persönlichen Gebrauch verfügen, sind für den kommerziellen Gebrauch viel restriktiver lizenziert. Es ist nicht sicher anzunehmen, dass es überall Freeware ist.
Bis auf weiteres angehalten.
4

Ich bin in Großbritannien und würde sagen, die wichtigsten Gesetze für ein durchschnittliches E-Commerce-Geschäft sind:

  • Das Datenschutzgesetz
  • Fernabsatzbestimmungen und Handelsbeschreibungsgesetz
  • Bestimmte Teile des Companies Act - zum Beispiel Sie haben Ihre registrierten Firmennummer und Adresse auf eine Business - Website haben , auch wenn Sie nicht verkaufen nichts. Ich habe gesehen, dass man viele Male gebrochen.
  • PCI Compliance (ok, kein Gesetz, aber wichtig)
Draemon
quelle
3

Diese Frage kann eigentlich nur beantwortet werden, wenn Sie uns mitteilen, wo Sie sich befinden.

Persönlich betrachte ich den SysAdmin als die Person, die für jedes einzelne Datenbit verantwortlich ist und somit das größte Risiko birgt, wenn Daten verloren gehen / offengelegt / missbraucht werden (auch wenn Sie nicht mit rechtlichen Konsequenzen konfrontiert werden, wird Ihr Chef zu Ihnen kommen und Sie müssen erklären, warum in aller Welt die Daten aus Ihrem Unternehmen herauskommen könnten).

Ich persönlich stelle sicher, dass:

  • Im Bedarfsfall kann ich auf jede Information zugreifen ( alles , schließlich stehe ich auf der falschen Seite des Fans, wenn Scheiße draufkommt)
  • Ich erzähle das meinem Chef
  • Ich sage meinem Chef, dass ich ohne Erlaubnis auf nichts zugreifen werde
  • Ich sage meinem Chef, dass ich eine andere Partei bitten werde, mich und den Anforderer zu beobachten, wenn ich mich mit der Datenzugriffsanfrage nicht wohl fühle
  • Ich möchte, dass alle oben genannten Unterlagen schriftlich unterschrieben und versiegelt sind

Andere Dinge, die ich sicherstellen:

  • Alles hören
  • Alles sehen
  • Über nichts reden

Bei diesen Punkten geht es nicht darum, in Dateien herumzuschnüffeln oder so, sondern nur darum, regelmäßig mit Kollegen und Mitarbeitern zu chatten und zu versuchen, die verschiedenen Teile zusammenzufügen.

Über nichts reden, nichts bedeutet, ab einem bestimmten Punkt nicht am Chatten teilzunehmen. Leute kommen regelmäßig zu mir, um nach verlorenen Passwörtern, wiederherzustellenden Dateien oder anderem zu fragen. Das könnte zu bestimmten Meinungen über ansonsten hart arbeitende Menschen führen, das will ich nicht.

  • Erzählen Sie allen von dem Zeug, über das mein Chef und ich uns einig waren

Dies kann in Form von persönlichen Gesprächen, Unternehmensmails oder Postern mit freundlicher Erinnerung daran geschehen, dass eine Partei im Unternehmen auf alle Daten zugreifen kann.

Dies sind nicht gerade Beispiele für Gesetzeskollegen, über die ich gestolpert bin. Aber das ist der Teil, in dem "Talk about nothing" eine Rolle spielt. Tut mir leid, Sie mit Beispielen zu enttäuschen.

Serverhorror
quelle
2

Ihre Datenschutzbestimmungen. Ihr Arbeitgeber AUP - wissen , dass es von innen nach außen - es trifft auf Sie zu!

Maximus Minimus
quelle
1

Es gibt verschiedene staatliche Gesetze zu personenbezogenen Daten (PII) für den Fall eines Datenschutzverstoßes. Kaliforniens 1386 verlangt, dass jeder, der von der Datenschutzverletzung (Kompromittierung seiner Informationen) betroffen ist, benachrichtigt werden muss. Viele andere Staaten haben ähnliche Bestimmungen.

Auch als Klarstellung zu PCI-DSS, die nicht unbedingt gesetzlich vorgeschrieben ist, verlangen die Kartenmarken (MasterCard, Visa, Discover, AmEx) von ihren Händlerbanken, dass die Anbieter PCI-DSS einhalten. Wenn Sie gegen die PCI verstoßen, werden Sie nicht strafrechtlich verfolgt. Ihre Händlerbank kann Ihnen jedoch bei Verstößen eine Geldstrafe in Höhe von mehreren Tausend US-Dollar pro Tag (oder mehr) auferlegen. Wenn Sie die Vorschriften nicht einhalten, verlieren Sie möglicherweise die Fähigkeit, Kreditkartentransaktionen durchzuführen. Dies wäre für die meisten Online-Händler ein Todeskuss.

David Yu
quelle
1

PCI DSS für Kunden, die Kreditkarten akzeptieren, und die Möglichkeit, dass Sie jedes Mal, wenn Sie die Protokollierung aktivieren, diese Protokolle erstellen müssen. Manchmal ist es besser, nichts aufgenommen zu haben.

nray
quelle
1

E-Discovery ist ein großes "Gotcha". Dies sind die Anforderungen in den USA, um elektronische Informationen im Falle einer Klage aufzubewahren und der anderen Partei zur Verfügung zu stellen.

Der Systemadministrator sollte einige Zeit mit den Anwälten des Unternehmens verbringen, BEVOR das Unternehmen zum ersten Mal verklagt wird, damit Sie einen Plan haben, um diese Anforderungen zu erfüllen, falls dies jemals erforderlich sein sollte. Das Versäumnis, alle erforderlichen elektronischen Aufzeichnungen sofort (und auf die richtige Weise) aufzubewahren, nachdem eine Klage aufgetaucht ist und das Unternehmen massiv verletzt hat (einschließlich des Verlusts einer Klage, die ansonsten möglicherweise nicht verloren gegangen wäre).

Will M
quelle
0

In einer Polizei- oder Regierungsumgebung müssen Sie beim Umgang mit digitalen Beweisen vorsichtig sein. Das Letzte, was Sie möchten, ist, dass Sie vor Gericht aussagen müssen, wenn Sie lediglich beim Konvertieren von Medien von einem Format in ein anderes geholfen haben.

Matt Hanson
quelle