시스템 관리자는 어떤 법적 문제를 숙지해야합니까?

귀하 또는 귀하의 고용주가 태만으로 고발되거나 프라이버시를 위반하는 등을 피하기 위해 시스템 관리자로서 어떤 법적 문제를 조사해야합니까?

법률은 국가마다, 주마다 다르지만, 본인이나 아는 사람이 모르는 법의 예가 있다면 깨달을 수 있습니다.

그것은 당신이 속한 산업과 같은 몇 가지 요소에 따라 크게 다릅니다 (다음은 미국에만 적용됩니다) ...

• 건강 관리 : HIPAA
• 교육 : FERPA
• 회사가 SEC와 거래되는 경우 : Sarbanes Oxley
• 회사에서 신용 카드 거래를하는 경우 -PCI DSS

필자가 작업 한 많은 소규모 작업은 PCI DSS가 CC 정보를 일반 텍스트, 공개적으로 액세스 가능한 데이터베이스 서버에 저장하는 것에 대해 꽤 나빴습니다. 방금 무시한 기본 사항입니다.

다음은 미국에만 적용됩니다.

CIPA : 어린이 인터넷 보호법

특히 주 또는 연방 교육 기관에서 근무하는 경우 : http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA : 자유 정보 법

정부 기관에서 고용 한 경우 : http://www.fcc.gov/foia/

FERPA : 가족 교육 권리 및 개인 정보 보호법

교육 : http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

네트워크 분석 및 침입 탐지의 법적 측면에 유의하십시오. nmap보안 (악의적이지 않은) 목적으로 시스템에 침입하려고 시도 할 수있는 일부 장소, 무단 사용은 범죄로 간주 될 수 있습니다.

최종 사용자 (처리하는 경우)와 서버 및 기타 sysadmin 모두에 대한 소프트웨어 라이센스 문제를 알고 있어야합니다. 비즈니스 서버에서 불법 복제 소프트웨어를 실행하기로 결정한 경우 가능한 결과를 파악하십시오.

사업장, 지역, 주 및 연방법에 대한 개인 정보 보호법에 유의하십시오. 귀하가 저장 ​​한 정보가 무엇인지 알고 있어야합니다. 또한 법률 정보와 회사 가이드 라인에 따라 귀하가 어떤 정보를 보거나 볼 수없는지도 알 수 있습니다.

반면에, 사업장에 대한 정보 보존법을 숙지하십시오. 어떤 정보를 보관해야하는지, 얼마나 오래 보관해야하는지, 요청시 정보를 누구에게 알려야하는지 파악하십시오. 프라이버시와 규정 준수 사이의 경계를 잡을 수 있어야합니다 (그리고 언제 서로 맞설 지 알아야합니다).

저는 영국에 있으며 일반적인 전자 상거래 비즈니스에서 가장 중요한 법률은 다음과 같습니다.

• 데이터 보호법
• 거리 판매 규정 및 거래 설명 법
• 회사법의 특정 부분 - 당신이 예를 들어 가지고는 당신이 판매 아무것도 할 경우에도 비즈니스 웹 사이트에 등록 된 회사 번호와 주소를 가지고 있습니다. 나는 여러 번 부서지는 것을 보았습니다.
• PCI 규정 준수 (법은 아니지만 중요)

이 질문은 귀하가 어디에 있는지 알려 주시면 실제로 답변 될 수 있습니다.

개인적으로 SysAdmin은 모든 데이터 비트를 담당하는 사람으로 간주되므로 데이터가 손실 / 노출되거나 악용 될 때 가장 큰 위험이 따릅니다 지구상에서 왜 데이터가 회사에서 나올 수 있는지 설명해야합니다.)

나는 개인적으로 다음을 확인합니다.

• (경우에 내가 각각의 정보에 액세스 할 수 있습니다 필요한 모든 똥을 칠 때 결국 나는 팬의 잘못된 측면에 서있어)
• 나는 이것을 상사에게 말한다
• 나는 상사에게 허락 없이는 아무것도 접근하지 않을 것이라고 말한다
• 상사에게 데이터 액세스 요청이 불편한 경우 다른 당사자가 나와 요청자를 보도록 요청하겠다고 말합니다.
• 위의 모든 내용을 서면으로 서명하고 봉인하고 싶습니다.

내가 확인해야 할 다른 것들 :

• 모든 것을 들으십시오
• 모든 것을보십시오
• 아무것도 말 하지마

이 요점은 파일이나 그와 비슷한 것을 스누핑하는 것이 아니라 동료 및 동료와 정기적으로 채팅하고 서로 다른 조각을 맞추려고하는 것입니다.

아무 말도하지 않는다는 말은 특정 시점부터 채팅에 참여하지 않는다는 것을 의미합니다. 사람들은 비밀번호 분실, 복원 할 파일 또는 기타 정보에 대해 정기적으로 요청합니다. 그것은 열심히 일하는 사람들에 대한 의견을 다시 불러 일으킬 수 있습니다.

• 내 상사와 내가 동의 한 것들에 대해 모두 에게 알리 십시오.

이는 모든 데이터에 액세스 할 수있는 파티가 회사에 있다는 것을 알리는 알림 메시지가있는 사람과 사람, 회사 메일 또는 포스터와 대화 할 수 있습니다.

이들은 법률 동료의 정확한 예가 아니거나 넘어졌습니다. 그러나 "아무것도 말하지 말라"는 부분이 있습니다. 예를 들어 실망 시켜서 죄송합니다.

귀하의 데이터 보호 법률. 고용주의 AUP- 내부를 아십시오 -그것은 당신에게도 적용됩니다!

데이터 유출시 PII (개인 식별 정보)에 관한 다양한 주 법률이 있습니다. 캘리포니아주의 1386은 데이터 침해 (정보 침해)의 영향을받는 모든 사람에게 통보해야합니다. 다른 많은 주에서도 비슷한 조항이 있습니다.

또한 법적 요건이 아닌 PCI-DSS에 대한 설명으로, 카드 브랜드 (MasterCard, Visa, Discover, AmEx)는 판매자 은행에 공급 업체가 PCI-DSS를 준수하도록 요구합니다. PCI를 위반하면 법적으로 기소되지는 않지만, 위반시 상인 은행은 하루에 수천 달러 (또는 그 이상)의 벌금을 물을 수 있습니다. 규정을 준수하지 않으면 신용 카드 거래를 할 수있는 능력을 잃게되며, 이는 대부분의 온라인 소매점에서 입맞춤 일 것입니다.

신용 카드를 사용하는 고객을위한 PCI DSS 및 로깅을 활성화 할 때마다 나중에 해당 로그를 생성해야 할 가능성이 있습니다. 때로는 아무것도 기록하지 않는 것이 좋습니다.

전자 발견은 큰 "gotcha"입니다. 이는 소송시 전자 정보를 보존하고 상대방이 이용할 수 있도록하기 위해 미국에서 요구하는 사항입니다.

sysadmin은 회사에 처음으로 소송을 제기하기 전에 회사 변호사와 시간을 보내야하므로 필요한 경우 이러한 요구 사항을 준수 할 계획을 마련해야합니다. 소송 발생 즉시 필요한 모든 전자 기록을 (그리고 올바른 방법으로) 보존하지 않으면 회사에 엄청난 피해를 입 힙니다 (다른 방법으로 잃어 버렸을 수도있는 소송의 상실 포함).

치안 또는 크라운 협의회 환경에서는 디지털 증거를 처리 할 때주의해야합니다. 마지막으로 원하는 것은 어떤 종류의 미디어를 한 형식에서 다른 형식으로 변환하는 데 도움을 주었을 때 법정에서 증언해야합니다.