Καλησπέρα σε όλους. Θα μπορούσε  κάποιος να μου εξηγήσει ή να παραθέσει links με νόμους ή με αποφάσεις της αρχής προστασίας προστασίας προσωπικών δεδομένων  σχετικά με το τι επιτρέπεται και τι δεν επιτρέπεται σε ένα administrator σε ένα εταιρικό δίκτυο σχετικά με την καταγραφή  προσωπικών  δεδομένων των χρηστών και την απομακρυσμένη πρόσβαση από τον administrator σε υπολογιστές χρηστών. Γνωρίζω ότι υπάρχει μία απόφαση σχετικά με την καταγραφή των ιστοσελίδων που επισκέπτονται οι χρήστες. Επίσης, υπάρχει κανένας κώδικας δεοντολογίας από κάνενα επιστημονικό σύλλογο, πανεπιστημιακό τμήμα,εργατικό σωματείο για το πώς πρέπει να λειτουργούμε στην εργασία σχετικά με τέτοια θέματα

Να δεις τα ΦΕΚ 87/2005 και 88/2005. Το πρώτο αφορά σε Telecom και το δεύτερο σε IT. Λογικά σε ενδιαφέρει το 88/2005. Περιέχει 3 αποφάσεις 632, 633 και 634

- Διασφάλιση Απορρήτου σε Διαδικτυακές επικοινωνίες και συναφείς Υπηρεσίες & Εφαρμογές
- Διασφάλιση Απορρήτου Διαδικτυακών Υποδομών
- Διασφάλιση Απορρήτου Εφαρμογων και Χρήστη Διαδικτύου

Μπορείς να βρεις και άλλα σχετικά στο site www.adae.gr

Πάντως, δεν είναι κώδικές δεοντολογίας κτλ, αλλά είναι νομικά επιβεβλημένο η εταιρία σου να καταρτίσει Πολιτικές και Διαδικασίες Ασφαλείας, οι οποίες, αφού εγκριθούν από την ΑΔΑΕ θα πρέπει να εφαρμόζονται και η εταιρία να υπόκειται σε τακτικούς και έκτακτους ελέγχους από την ΑΔΑΕ.

Η μη κατάρτιση των εν λόγω πολιτικων και διαδικασιών (ιδίως των πρώτων) επισύρει νομικές κυρώσεις που εφαρμόζονται από την ανεξάρτητη αρχή. Συγκεκριμένα, αν η εταιρία σου -εφόσον φυσικά έχει τη σχετικά υποχρέωση- δεν έχει ήδη καταθέσει τα ως άνω (το οποίο έχει γίνει από όλους τους μεγάλους ICT companies στο χώρο) βρίσκεται ήδη υπόλογη στον πρώτο έλεγχο που θα γίνει.

Η αρχική προθεσμία κατάθεσησ των πολιτικών ήταν Ιούλιος 2005. Θεωρώ ότι πάντως ότι το νομικό σας τμήμα δεν γίνεται να μην έχει ανημερωθεί για τα σχετικά ΦΕΚ και να μην έχει προβεί στις αντίστοιχες ενέργειες γιατί υπάρχει μεγάλη κινητικότητα τους τελευταίους μήνες σχετικά με αυτό το θέμα

Το 88/2005 αφορά όπως λέει:

* Πάροχοι πρόσβασης στο Διαδίκτυο (σταθεροί και κινητοί τηλεπικοινωνιακοί πάροχοι, Internet Service Providers κλπ.)

* Πάροχοι διαδικτυακών υπηρεσιών

* Πάροχοι διαδικτυακών υπηρεσιών προστιθέμενης αξίας.



Δεν νομίζω οτί εμπίπτει για εταιρικό δίκτυο. Ισχύει αυτό ?

---

Nikos Κ.
ALT.NET

Καλά, δεν φτάνανε οι δυσκολίες στο administration, πρέπει τώρα και για κάθε εγγραφή που γίνεται στο event log να στέλνουμε και χαρτί στην ΑΔΑΕ? Και κάθε φορά που παίρνω ένα router, ή ένα firewall ή ένα intrusion detection system ή βάλω ένα log analyzer βρε παιδί, θα πρέπει να στέλνω και μια διορθωτική δήλωση?

Άσε που οι εταιρείες με 100+ άτομα μπορεί να έχουν και νομικό τμήμα, όλες οι άλλες συνεργάζονται με κάποιο δικηγόρο.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Αξίζει να κοιτάξεις το System Administrator's Code of Ethics. Μπορείς επίσης να δεις τα παρακάτω Code of Ethis κάποιων επαγγελματικών οργανισμών όπως το γενικό Code of Ethics του IEEE , το Software Engineering Code of Ethics for Software Developers του IEEE Computer Society, το γενικό Code of Ethics του ACM και το Software Engineering Code of Ethics του ACM.

Προσωπικά θεωρώ πολύ σημαντικότερα αυτά τα code of ethics από οποιδήποτε φιρμάνι της ΑΔΑΕ. Αυτά τα code of ethics τα δέχεται κανείς εθελοντικά και τα ακολουθεί επειδή πιστεύει σε αυτά. Τα φιρμάνια της ΑΔΑΕ βγαίνουν για να δικαιολογήσουν την ύπαρξη της και να παρουσιάσουν κυβερνητικό έργο, χωρίς να καταλαβαίνουν αυτοί που τα συντάσουν τα θέματα στα οποία αναφέρονται.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Ωραία τα Ethics αλλά, υπάρχουν Admins που δεν κρυφοκοιτάνε δεξιά και αριστερά;

---

Vir prudens non contra ventum mingit

Κρυφοκοιτάνε και αυτό είναι μέρος της δουλιάς τους. Το θέμα είναι πως χειρίζονται τις πληροφορίες που βλέπουν.

---

Χρήστος Γεωργακόπουλος

KelMan wrote:

Ωραία τα Ethics αλλά, υπάρχουν Admins που δεν κρυφοκοιτάνε δεξιά και αριστερά;

Αλλά αν δέν είσαι σύμφωνος με τα Φιρμάνια της ΑΔΑΕ εσύ θα βρεθείς υπόλογος και άντε μετά να βγάλεις άκρη.Νομίζετε ότι εταιρίες που έχουν 20-30 αλλά και μέχρι 100 χρήστες έχει ασχοληθεί το νομικό τους τμήμα ή κάποιος δικηγόρος που πληρώνουν με το συγκεκκριμένο θέμα?.

Εγώ πιστεύω πω μάλλον όχι.

Εκτός ίσως από αυτές που ασχολούνται με υπηρεσίες διαδυκτίου.

---

Ιωάννης Μανουσάκης

Έχετε δίκιο ότι αφορά ΚΥΡΙΩΣ την παροχη υπηρεσιών σε πελάτες είτε ISP είτε VAS, είτε οτιδήποτε άλλο, κοινώς αυτό που λέμε providers. Ακόμα και αυτοί που φτιάχνουν web sites εμπίπτουν στην κατηγορία.

Επειδή ο αρχικός poster αναφέρθηκε σε administrators παραθέτω ενδεικτικά ορισμένες σχετικές πολιτικές ανφαλείας, που έχουμε γράψει για πελάτες (τόσο στον ιδιωτικό όσο και στο δημόσιο τομέα). Είναι προφανές ότι εμπλέκονται στην εργασία του administrator

- ΠΟΛΙΤΙΚΗ ΑΝΤΙΓΡΑΦΩΝ ΑΣΦΑΛΕΙΑΣ
- ΠΟΛΙΤΙΚΗ ΔΙΑΧΕΙΡΙΣΗΣ ΚΑΙ ΕΓΚΑΤΑΣΤΑΣΗΣ ΕΠΙΚΟΙΝΩΝΙΑΚΟΥ ΕΞΟΠΛΙΣΜΟΥ
- ΠΟΛΙΤΙΚΗ ΕΛΕΓΧΟΥ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΟΥ ΚΑΙ ΑΠΟΤΙΜΗΣΗΣ ΚΙΝΔΥΝΩΝ
- ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΚΑΙ ΑΠΟΤΡΟΠΗΣ ΙΩΝ
- ΠΟΛΙΤΙΚΗ ΠΡΟΣΤΑΣΙΑΣ ΚΩΔΙΚΩΝ ΑΣΦΑΛΕΙΑΣ
- ΠΟΛΙΤΙΚΗ ΧΕΙΡΙΣΜΟΥ ΠΕΡΙΣΤΑΤΙΚΩΝ ΑΣΦΑΛΕΙΑΣ
- ΠΟΛΙΤΙΚΗ ΣΥΜΒΑΣΗΣ ΥΠΕΡΓΟΛΑΒΙΑΣ
κτλ κτλ