Com que dicas legais um administrador de sistemas deve estar familiarizado?

Que questões legais você deve pesquisar como administrador de sistemas para evitar que você ou seu empregador sejam acusados ​​de negligência ou violação de privacidade, etc.?

Embora as leis variem de país para país e de estado para estado, ainda pode ser esclarecedor se você tiver um exemplo de uma lei que você, ou alguém que você conhece, violou sem perceber.

Isso varia muito em algumas coisas, como em que setor você está (o seguinte se aplica apenas aos EUA) ...

• Cuidados de Saúde: HIPAA
• Educação: FERPA
• Se sua empresa é negociada com a SEC: Sarbanes Oxley
• Se sua empresa faz transações com cartão de crédito - PCI DSS

Muitos dos trabalhos menores em que trabalhei foram muito ruins sobre o PCI DSS armazenando informações de CC em texto simples e servidor de banco de dados acessível ao público ... noções básicas que foram negligenciadas.

O seguinte se aplica apenas aos EUA;

CIPA: Lei de Proteção à Internet das Crianças

Especialmente se você estiver empregado por uma entidade educacional estadual ou federal: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Lei da Liberdade de Informação

Novamente, se você trabalha em uma entidade governamental: http://www.fcc.gov/foia/

FERPA: Lei de Privacidade e Direitos Educacionais da Família

Educação: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Esteja ciente do lado legal da análise de rede e detecção de intrusões. Em alguns lugares, o uso não autorizado nmappode ser considerado crime, assim como tentar invadir sistemas para fins de segurança (não maliciosos).

Esteja ciente dos problemas de licenciamento de software, tanto para usuários finais (se você lidar com eles) quanto para seus servidores e outros administradores de sistemas. Conheça as possíveis ramificações se você optar por executar um software pirata em um servidor de negócios.

Esteja ciente das leis de privacidade do seu local de negócios, nas leis local, estadual e federal. Saiba quais informações você é e não tem permissão para armazenar. Saiba também quais informações você tem e não pode ver, tanto em termos legais quanto nas diretrizes da sua empresa.

Por outro lado, esteja ciente das leis de retenção de informações para o seu local de negócios. Saiba quais informações você precisa manter, quanto tempo precisa mantê-las e para quem você deve divulgá-las quando solicitado. Ser capaz de traçar a linha entre privacidade e conformidade com os regulamentos (e saber quando defender uma ou outra).

Estou no Reino Unido e diria que as leis mais importantes para uma empresa de comércio eletrônico comum seriam:

• A Lei de Proteção de Dados
• Lei de Regulamentos de Vendas à Distância e Descrições Comerciais
• Certas partes do The Companies Act - por exemplo, você precisa ter o número e o endereço da empresa registrados em um site comercial, mesmo que não venda nada. Eu já vi esse quebrado muitas vezes.
• Conformidade com PCI (ok, não é uma lei, mas é importante)

Na verdade, esta pergunta só pode ser respondida se você nos informar onde está localizado.

Pessoalmente, considero que o SysAdmin é a pessoa responsável por cada bit de dados, portanto, apresenta o maior risco quando os dados são perdidos / expostos / abusados ​​(mesmo que você não enfrente consequências legais, seu chefe o procurará). e você terá que explicar por que diabos os dados podem sair da sua empresa).

Pessoalmente, garanto que:

• Caso seja necessário, eu posso acessar cada informação ( tudo , afinal, eu estou do lado errado do ventilador quando a merda bate nele)
• Eu digo isso ao meu chefe
• Eu digo ao meu chefe que não acessarei nada sem permissão
• Digo ao meu chefe que pedirei a outra parte que me observe e ao solicitante se não me sentir confortável com a solicitação de acesso a dados
• Quero que todos os itens acima sejam assinados e lacrados por escrito

Outras coisas que eu tenho certeza:

• Ouça tudo
• Veja tudo
• Falar sobre nada

Esses pontos não se referem a bisbilhotar arquivos ou algo assim, é apenas o bate-papo regular com colegas e colegas de trabalho e a tentativa de combinar as diferentes partes.

Falar sobre nada nada significa não participar das conversas a partir de um certo ponto; as pessoas me procuram regularmente com solicitações sobre senhas perdidas, arquivos a serem restaurados ou outras coisas. Isso poderia levar de volta a certas opiniões sobre pessoas que trabalhavam duro, não quero isso.

• Conte a todos sobre as coisas que meu chefe e eu concordamos

Isso pode ser em termos de falar de pessoa para pessoa, e-mails da empresa ou pôsteres com lembretes amigáveis ​​de que há uma parte na empresa que pode acessar todos os dados.

Estes não são exatamente exemplos de colegas de direito ou eu tropecei. Mas essa é a parte em que "falar sobre nada" vem à tona. Desculpe desapontá-lo com exemplos.

Sua legislação de proteção de dados. AUP do seu empregador - saiba de dentro para fora - se aplica a você também!

Existem várias legislações estaduais relativas às informações pessoais identificáveis ​​(PII) no caso de violação de dados. O 1386 da Califórnia exige que todos os que forem afetados pela violação de dados (comprometimento de suas informações) sejam notificados. Muitos outros estados têm disposições semelhantes.

Também como um esclarecimento sobre o PCI-DSS, que não é um requisito estritamente legal, as marcas de cartão (MasterCard, Visa, Discover, AmEx) exigem que seus bancos comerciais exijam que os fornecedores sigam o PCI-DSS. Se você violar o PCI, não será processado legalmente; no entanto, pode ser multado em milhares de dólares por dia (ou mais) pelo seu banco comercial enquanto estiver violando. Se você não cumprir, acabará perdendo a capacidade de realizar transações com cartão de crédito, o que seria um beijo da morte para a maioria dos varejistas on-line.

PCI DSS para clientes que aceitam cartões de crédito e a chance de, sempre que você habilitar o log, ser necessário que você produza esses logs no futuro. Às vezes é melhor não ter gravado nada.

A descoberta eletrônica é um grande problema. Esses são os requisitos nos EUA para preservar informações eletrônicas no caso de uma ação judicial e disponibilizá-las à outra parte.

O administrador de sistemas deve passar algum tempo com os advogados da empresa ANTES da primeira vez em que a empresa é processada, para que você tenha um plano para cumprir esses requisitos, se necessário. A falha em preservar todos os registros eletrônicos necessários (e da maneira correta) imediatamente após a abertura de um processo e prejudicar tremendamente a empresa (incluindo a perda de um processo que, de outra forma, não poderia ter sido perdido).

Em um ambiente de policiamento ou conselho da coroa, você precisa ter cuidado ao lidar com evidências digitais. A última coisa que você deseja é depor no tribunal quando tudo o que você fez foi ajudar a converter algum tipo de mídia de um formato para outro.