Seorang mitra menginginkan salinan kebijakan keamanan TI tertulis kami dan saya tidak yakin apa yang harus dilakukan [ditutup]

23

Perusahaan saya bekerja dengan perusahaan lain dan sebagai bagian dari kontrak mereka meminta salinan Kebijakan Keamanan TI tertulis perusahaan saya. Saya tidak memiliki kebijakan keamanan TI tertulis, dan saya tidak yakin apa yang ingin saya berikan kepada mereka. Kami adalah toko Microsoft. Kami memiliki jadwal pembaruan, akses terbatas ke akun untuk mengelola server, firewall, sertifikat ssl dan kami menjalankan Penganalisis Keamanan Baseline Microsoft dari waktu ke waktu.

Kami mengonfigurasikan layanan dan akun pengguna karena kami merasa sebagian besar aman dan aman (sulit ketika Anda tidak memiliki kendali penuh atas perangkat lunak apa yang Anda jalankan), tetapi saya tidak bisa masuk ke setiap detail, setiap layanan dan server berbeda. Saya mendapatkan lebih banyak informasi tentang apa yang mereka inginkan tetapi saya merasa seolah-olah mereka sedang dalam ekspedisi memancing.

Pertanyaan saya adalah, Apakah ini praktik standar untuk meminta informasi ini? (Saya tidak menentangnya dengan jujur, tetapi itu tidak pernah terjadi sebelumnya.) Dan jika ini standar, apakah ada format standar dan tingkat rincian yang diharapkan yang harus saya sampaikan?

best-practices pengintaian
sumber
1
Ternyata kami melamar sertifikasi c-tpat. Kami hanya dituntut untuk mematuhi dua hal. 1) Perlindungan Kata Sandi 2) Pertanggungjawaban ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/... ) Banyaknya jawaban yang baik di sini membuat saya berpikir, saya sudah memulai proyek untuk memiliki rencana formal menggunakan banyak saran Anda, bukan untuk sertifikasi tetapi untuk diri kita sendiri.
Reconbot
Pertanyaan ini di luar topik di bawah aturan aktualitas saat ini.
HopelessN00b

Jawaban:

44

Mereka tidak memerlukan salinan seluruh kebijakan internal TI Anda, tetapi saya pikir mereka mungkin mengejar sesuatu yang serupa dengan ini - seseorang pasti perlu memberi Anda cukup informasi tentang kontrak untuk menentukan berapa banyak detail yang perlu Anda berikan, dan tentang apa. Saya setuju dengan Joseph - jika mereka membutuhkan informasi untuk alasan hukum / kepatuhan, perlu ada masukan hukum.

Informasi latar belakang

1) Apakah ada karyawan Anda yang berada di luar AS?

2) Apakah perusahaan Anda telah meresmikan dan mendokumentasikan kebijakan keamanan informasi?

3) Apakah penanganan dan klasifikasi informasi dan data dilindungi oleh kebijakan keamanan informasi Anda?

4) Apakah ada masalah peraturan luar biasa yang saat ini Anda tangani di negara bagian tempat Anda beroperasi? Jika ya, tolong jelaskan.

Keamanan Umum

1) Apakah Anda memiliki program pelatihan kesadaran keamanan informasi untuk karyawan dan kontraktor?

2) Manakah dari metode berikut untuk mengautentikasi dan mengotorisasi akses ke sistem dan aplikasi Anda yang saat ini Anda gunakan:

  • Dilakukan oleh sistem operasi
  • Dilakukan oleh produk komersial
  • Sistem masuk tunggal
  • Sertifikat digital sisi klien
  • Otentikasi dua faktor lainnya
  • Rumah tumbuh
  • Tidak ada mekanisme otentikasi

3) Siapa yang memberi wewenang akses untuk karyawan, kontraktor, temps, vendor, dan mitra bisnis?

4) Apakah Anda mengizinkan karyawan Anda (termasuk kontraktor, temps, vendor, dll.) Memiliki akses jarak jauh ke jaringan Anda?

5) Apakah Anda memiliki rencana respons insiden keamanan informasi? Jika tidak, bagaimana insiden keamanan informasi ditangani?

6) Apakah Anda memiliki kebijakan yang menangani penanganan informasi internal atau rahasia dalam pesan email ke luar perusahaan Anda?

7) Apakah Anda meninjau kebijakan dan standar keamanan informasi Anda setidaknya setiap tahun?

8) Metode dan kontrol fisik apa yang tersedia untuk mencegah akses tidak sah ke area aman perusahaan Anda?

  • Server jaringan di ruang terkunci
  • Akses fisik ke server dibatasi oleh identifikasi keamanan (kartu akses, biometrik, dll.)
  • Pemantauan video
  • Log dan prosedur masuk
  • Lencana keamanan atau kartu ID terlihat setiap saat di area yang aman
  • Penjaga keamanan
  • Tidak ada
  • Lainnya, Harap berikan detail tambahan

9) Tolong jelaskan kebijakan kata sandi Anda untuk semua lingkungan? Yaitu. Panjang, kekuatan dan penuaan

10) Apakah Anda memiliki rencana pemulihan bencana (DR)? Jika ya, seberapa sering Anda mengujinya?

11) Apakah Anda memiliki rencana Business Continuity (BC)? Jika ya, seberapa sering Anda mengujinya?

12) Apakah Anda akan memberi kami salinan hasil tes Anda (BC dan DR) jika diminta?

Tinjauan arsitektur dan sistem

1) Apakah data dan / atau aplikasi [Perusahaan] disimpan dan / atau diproses pada server khusus atau bersama?

2) Jika pada server bersama, bagaimana data [Perusahaan] akan tersegmentasi dari data perusahaan lain?

3) Jenis konektivitas apa yang akan disediakan perusahaan?

  • Internet
  • Jalur pribadi / sewaan (mis., T1)
  • Panggilan
  • VPN (Virtual Private Network)
  • Layanan Terminal
  • Tidak ada
  • Lainnya, Harap berikan detail tambahan

4) Apakah konektivitas jaringan ini akan dienkripsi? Jika ya, metode enkripsi apa yang akan digunakan?

5) Apakah ada kode sisi klien (termasuk kode ActiveX atau Java) yang diperlukan untuk memanfaatkan solusi? Jika ya, tolong jelaskan.

6) Apakah Anda memiliki firewall untuk mengontrol akses jaringan eksternal ke server web Anda. Jika tidak, di mana server ini berada?

7) Apakah jaringan Anda menyertakan DMZ untuk akses Internet ke aplikasi? Jika tidak, di mana aplikasi ini berada?

8) Apakah organisasi Anda mengambil langkah-langkah untuk memastikan terhadap pemadaman Denial-of-Service? Tolong jelaskan langkah-langkah ini

9) Apakah Anda melakukan ulasan / tes keamanan informasi berikut?

  • Pemindaian sistem / jaringan internal
  • Penilaian mandiri yang dikelola secara internal dan / atau tinjauan uji tuntas
  • Ulasan kode internal / ulasan rekan
  • Tes / studi penetrasi pihak ketiga eksternal
  • Lainnya, Tolong berikan rincian Seberapa sering tes ini dilakukan?

10) Manakah dari praktik keamanan informasi berikut ini yang digunakan secara aktif dalam organisasi Anda

  • Daftar kontrol akses
  • Sertifikat digital - Sisi Server
  • Sertifikat digital - Sisi Klien
  • Tanda tangan digital
  • Deteksi / pencegahan intrusi berbasis jaringan
  • Deteksi / pencegahan intrusi berbasis Host
  • Pembaruan terjadwal untuk deteksi intrusi / file signature pencegahan
  • Pemantauan intrusi 24x7
  • Pemindaian virus berkelanjutan
  • Pembaruan terjadwal untuk file tanda tangan virus
  • Studi dan / atau tes penetrasi
  • Tidak ada

11) Apakah Anda memiliki standar untuk pengerasan atau pengamanan sistem operasi Anda?

12) Apakah Anda memiliki jadwal untuk menerapkan pembaruan dan perbaikan terbaru ke sistem operasi Anda? Jika tidak, beri tahu kami bagaimana Anda menentukan apa dan kapan menerapkan tambalan dan pembaruan penting

13) Untuk memberikan perlindungan dari kegagalan daya atau jaringan, apakah Anda mempertahankan sistem yang sepenuhnya redundan untuk sistem transaksional utama Anda?

Server Web (jika ada)

1) Apa URL yang akan digunakan untuk mengakses aplikasi / data?

2) Sistem operasi apa yang merupakan server web? (Harap berikan nama OS, versi dan paket layanan atau tingkat tambalan.)

3) Apa itu perangkat lunak server web?

Server Aplikasi (jika ada)

1) Sistem operasi apa sajakah server aplikasi? (Harap berikan nama OS, versi dan paket layanan atau tingkat tambalan.)

2) Apa perangkat lunak server aplikasi?

3) Apakah Anda menggunakan kontrol akses berbasis peran? Jika ya, bagaimana tingkat akses ditugaskan ke peran?

4) Bagaimana Anda memastikan bahwa ada otorisasi dan pemisahan tugas yang sesuai?

5) Apakah aplikasi Anda menggunakan akses / keamanan pengguna multi-level? Jika ya, berikan detailnya.

6) Apakah kegiatan dalam aplikasi Anda dipantau oleh sistem atau layanan pihak ketiga? Jika ya, mohon berikan nama perusahaan dan layanan kepada kami dan informasi apa yang dipantau

Server Database (jika ada)

1) Sistem operasi apa yang merupakan server basis data? (Harap berikan nama OS, versi dan paket layanan atau tingkat tambalan.)

2) Perangkat lunak server database mana yang digunakan?

3) Apakah DB direplikasi?

4) Apakah server DB bagian dari sebuah cluster?

5) Apa yang dilakukan (jika ada) untuk mengisolasi data [Perusahaan] dari perusahaan lain?

6) Apakah data [Perusahaan], ketika disimpan pada disk, akan dienkripsi? Jika ya, harap jelaskan metode enkripsi

7) Bagaimana sumber data diambil?

8) Bagaimana kesalahan integritas data ditangani?

Audit dan Logging

1) Apakah Anda mencatat akses pelanggan pada:

  • Server web?
  • Server aplikasi?
  • Server basis data?

2) Apakah log ditinjau? Jika ya, tolong jelaskan prosesnya dan seberapa sering mereka ditinjau?

3) Apakah Anda menyediakan sistem dan sumber daya untuk memelihara dan memantau log audit dan log transaksi? Jika ya, log apa yang Anda simpan dan berapa lama Anda menyimpannya?

4) Apakah Anda mengizinkan [Perusahaan] untuk meninjau log sistem Anda karena berkaitan dengan perusahaan kami?

Pribadi

1) Apa proses dan prosedur yang digunakan untuk mendeklasifikasi / menghapus / membuang data [Perusahaan] ketika tidak lagi diperlukan?

2) Apakah Anda pernah mengungkapkan informasi pelanggan secara keliru atau tidak sengaja?
Jika ya, tindakan korektif apa yang telah Anda terapkan sejak itu?

3) Apakah kontraktor (non-karyawan) memiliki akses ke informasi sensitif atau rahasia? Jika ya, sudahkah mereka menandatangani perjanjian non-pengungkapan?

4) Apakah Anda memiliki vendor yang berwenang untuk mengakses dan memelihara jaringan, sistem, atau aplikasi Anda? Jika ya, apakah vendor di bawah kontrak tertulis ini menyediakan kerahasiaan, pemeriksaan latar belakang, dan asuransi / ganti rugi terhadap kerugian?

5) Bagaimana data Anda diklasifikasikan dan diamankan?

Operasi

1) Berapa frekuensi dan tingkat cadangan Anda?

2) Apa periode retensi cadangan di tempat?

3) Apa format cadangan Anda disimpan?

4) Apakah Anda menyimpan cadangan di lokasi di luar lokasi? Jika ya, apa periode penyimpanannya?

5) Apakah Anda mengenkripsi data cadangan Anda?

6) Bagaimana Anda memastikan bahwa hanya program produksi yang valid yang dijalankan?

Kara Marfia
sumber
Kara, ini adalah salah satu respons yang dipikirkan dengan sangat baik dan terperinci yang bahkan saya dapatkan. Saya kira Anda telah melakukan ini beberapa kali.
Reconbot
1
Saya sudah terbiasa mengisinya, ya. ;) Saya curiga mereka disatukan oleh komite besar di ruangan gelap, penuh asap ... Saya senang itu membantu, tho. Pertengkaran yang Anda alami merupakan alasan besar keberadaan SF.
Kara Marfia
1
"Apakah ada karyawan Anda yang berada di luar AS?" -- lucu. Dari sudut pandang saya, lebih berisiko memiliki karyawan yang berlokasi di AS . Intinya adalah kita terikat oleh hukum untuk tidak membiarkan siapa pun mengakses data atau server (tanpa persetujuan oleh hakim) dan pengacara kami mengatakan bahwa persyaratan ini tidak dapat dipenuhi jika beberapa karyawan dari AS memiliki akses ke data ini: )
serverhorror
4

Saya hanya pernah dimintai informasi ini ketika bekerja dengan industri yang diatur (perbankan) atau pemerintah.

Saya tidak mengetahui "format standar", tapi saya selalu diberi template bahwa Pelanggan saya diberikan oleh auditor sebagai "tempat awal" ketika saya harus membuatnya.

Saya mungkin akan mulai dengan beberapa pencarian Google dan melihat apa yang bisa saya temukan dalam cara sampel dokumen kebijakan. SANS ( http://www.sans.org ) juga merupakan tempat yang baik untuk mulai mencari.

Sejauh tingkat detailnya, saya akan mengatakan bahwa itu mungkin perlu disesuaikan dengan audiens dan tujuannya. Saya akan menyimpan detail level tinggi kecuali saya secara khusus diminta untuk memberikan detail level rendah.

Evan Anderson
sumber
Saya dulu selalu menggunakan templat NIST untuk dengan cepat membuat kebijakan keamanan, tetapi saya tidak memiliki salinan lagi dan google cepat tidak dapat menemukan aslinya lagi (saya pikir NIST sekarang biaya). Pemerintah California memiliki beberapa sumber daya yang baik, termasuk templat, di oispp.ca.gov/government/Library/samples.asp saran di atas dari SANS Institute adalah sumber daya yang hebat juga.
hromanko
4

Ada beberapa alasan mengapa perusahaan ingin melihat kebijakan keamanan Anda. Salah satu contoh adalah bahwa Industri Kartu Pembayaran (Visa, MasterCard, AmEx, dll ...) mengharuskan perusahaan yang memproses kartu kredit harus mematuhi Industri Kartu Pembayaran - Standar Keamanan Data (PCI-DSS). Bagian dari PCI-DSS mensyaratkan bahwa mitra perusahaan juga harus mematuhi PCI-DSS (yang tentu saja memerlukan kebijakan tertulis).

Terus terang jika saya memberi Anda akses ke jaringan Anda melalui VPN atau koneksi langsung, maka saya ingin tahu bahwa Anda memiliki tingkat keamanan tertentu, kalau tidak saya membuka diri untuk segala macam masalah potensial.

Itulah mengapa sertifikasi PCI atau ISO 27001 dapat menjadi keuntungan dalam hal ini karena Anda dapat memberi tahu organisasi eksternal bahwa Anda memiliki masalah yang ditangani hingga tingkat tertentu. Jika kebijakan Anda sangat umum kebijakan mana yang seharusnya, maka mungkin bukan masalah untuk memberikan salinan kepada pasangan Anda. Namun jika mereka ingin melihat prosedur khusus atau informasi keamanan maka saya tidak akan membiarkan itu meninggalkan situs saya.

Kara memiliki panduan luar biasa tentang apa yang ingin Anda bahas dalam kebijakan Anda. Berikut ini contoh kebijakan.

Kebijakan Pencadangan / Pemulihan Sistem IT-001

I. Pendahuluan Bagian ini berbicara tentang bagaimana cadangan penting, bagaimana Anda berencana untuk menguji dan menyimpan salinan di luar kantor.

II Tujuan A. Kebijakan ini akan mencakup frekuensi, penyimpanan, dan pemulihan B. Kebijakan ini mencakup data, sistem operasi, dan perangkat lunak aplikasi C. Semua prosedur pencadangan / pemulihan harus didokumentasikan dan disimpan di tempat yang aman

AKU AKU AKU. Ruang Lingkup Bagian ini mencatat bahwa kebijakan tersebut mencakup semua server dan aset data di perusahaan Anda (dan area spesifik lainnya seperti kantor satelit).

IV. Peran dan Tanggung Jawab A. Manajer - memutuskan apa yang akan dicadangkan, menentukan frekuensi, media, dan prosedur, juga memeriksa apakah cadangan terjadi B. Admin Sistem - Menjalankan cadangan, memeriksa cadangan, menguji cadangan, mengangkut cadangan, menguji pemulihan, mempertahankan kakek / ayah / anak rotasi rotasi. Pengguna - Memiliki masukan tentang apa yang dicadangkan, harus menempatkan data di lokasi yang ditunjuk untuk dicadangkan

V. Kebijakan Deskripsi Cadangan - semua hal yang ingin Anda katakan tentang cadangan dalam arti umum Pemulihan - semua hal yang ingin Anda katakan tentang pemulihan dalam arti umum

Instruksi langkah demi langkah khusus harus dalam prosedur / dokumen instruksi kerja yang terpisah. Namun jika Anda memiliki organisasi yang sangat kecil, Anda mungkin tidak memisahkan kebijakan dari prosedur.

Saya harap ini membantu dan memberi Anda beberapa informasi yang bermanfaat.

David Yu
sumber
+1 karena saya bersedia bertaruh pada fakta bahwa ini adalah kontrak yang melibatkan PCI. (PCI kartu kredit, bukan konektor bus lama). jika ini masalahnya, mereka tidak ingin spesifikasi lengkap, hanya hal-hal yang mempengaruhi kepatuhan PCI mereka.
Matt
1

Saya harus menulis salah satunya baru-baru ini dan ternyata tidak terlalu sulit. Memang, poin Even tentang menjahit itu penting, karena beberapa detail akan membutuhkan lebih banyak pekerjaan untuk dijelaskan daripada yang lain. NIST juga memiliki perpustakaan besar publikasi online gratis yang menggambarkan langkah-langkah keamanan untuk berbagai tujuan, Anda dapat menggunakannya untuk ide-ide di mana Anda tidak yakin jenis / tingkat keamanan apa yang dibutuhkan.

Berikut adalah beberapa kategori umum yang akan dibahas dalam istilah level tinggi:

  • Kebijakan Penyimpanan Data
  • Prosedur Pencadangan / Akses ke cadangan
  • Pembatasan akses in-house (fisik dan virtual)
    • Jaringan (nirkabel, kabel)
    • Perangkat keras (server, workstation, kantor, off-site / telework)
    • Hosting / Pusat Data (penting jika Anda menyimpan data mitra)
    • Sistem operasi
  • Pemeriksaan Personil

Daftar ini dapat diperluas atau dikurangi berdasarkan pada sekarang banyak informasi yang diperlukan. Juga, tidak perlu khawatir jika Anda belum memiliki semua ini di tempat. Saran saya adalah tetap menjelaskan kebijakan 'yang dimaksudkan' Anda, tetapi bersiaplah untuk segera mengembangkannya untuk hal-hal yang kurang. Juga bersiaplah untuk dipanggil pada apa yang Anda klaim, tidak peduli seberapa kecil kemungkinannya (pengacara tidak akan peduli nanti).

Dana si Sane
sumber
1

Saya akan meminta penasihat hukum perusahaan Anda untuk memulainya terutama karena ini merupakan bagian dari kontrak.

Yusuf
sumber
1

Untuk mengatasi kebutuhan Anda harus mengirim salinan dokumen kebijakan keamanan Anda akan sedikit menentang keamanan. Saya telah menulis kebijakan keamanan kami dan telah menarik sebagian besar Documents dari Templat SAN. Yang lain yang dapat Anda isi dengan pencarian kebijakan khusus di Google. Cara kami menangani pihak luar yang ingin melihat kebijakan tersebut adalah membiarkan mereka duduk di kantor Direktur Operasi kami dan memungkinkan mereka untuk membacanya. Kebijakan kami adalah bahwa kebijakan itu tidak pernah meninggalkan gedung dan lebih khusus lagi pandangan kami. Kami memiliki perjanjian yang harus disetujui pihak ketiga mana pun ketika bekerja dalam kapasitas tertentu yang akan memerlukan akses ke informasi kami. Dan mereka berdasarkan kasus per kasus. Kebijakan ini mungkin tidak sesuai dengan lingkungan Anda dan tidak semua kebijakan yang ada di SAN '

TechGuyTJ
sumber
Senang saya bukan satu-satunya dengan pengalaman ini.
MathewC
Sangat menarik, tapi pengalaman yang luar biasa. Pengguna saya mungkin tidak terlalu menyukai saya tetapi jika Anda melihatnya dari perspektif statistik. Saya membaca di minggu terakhir atau minggu informasi bahwa di suatu tempat di lingkungan sekitar 70% dari semua perusahaan yang mengalami pelanggaran keamanan gagal pulih dan dalam 2 tahun menemukan pelanggaran menutup pintu mereka.
TechGuyTJ
1

Apakah ini praktik standar: pengalaman saya adalah ya untuk industri tertentu yang diatur, seperti perbankan, makanan, energi, dll.

Apakah ada format standar: ada sejumlah standar, tetapi jika kontrak Anda tidak menentukan standar (ISO, misalnya) maka Anda harus secara kontraktual OK untuk menyediakan format apa pun yang Anda pilih.

Seharusnya tidak sulit. Anda sudah memiliki standar tambalan dan kata sandi, jadi dokumen harus menentukan apa standar itu dan bagaimana Anda memastikannya diikuti. Jangan terjebak dalam menghabiskan terlalu banyak waktu untuk membuatnya cantik. Cukup dokumen sederhana saja sudah cukup.

Jika kontrak Anda ditentukan menggunakan standar tertentu, maka Anda harus mencari bantuan profesional untuk memastikan bahwa Anda patuh secara kontrak.

Shawn Anderson
sumber
1

Kami banyak mendapatkan pertanyaan ini karena kami adalah fasilitas hosting. Intinya adalah bahwa kita tidak memberikannya kecuali kita tahu persis apa yang mereka cari sebelumnya. Jika mereka mencari sesuatu dalam kebijakan keamanan kami yang tidak kami miliki, itu biasanya karena sifat bisnis kami tidak memerlukannya, dan kami memberi tahu mereka. Itu bisa subjektif, tapi itu tidak masalah - kita belum kehilangan bisnis apa pun karena itu. Lebih sering daripada tidak, mereka bertanya karena mereka harus memberi tahu orang lain bahwa mereka melakukannya. Jawaban 'TIDAK' tidak selalu berarti hal yang buruk atau pemecah kesepakatan.

Kami baru saja melewati sertifikasi SAS70 II, jadi sekarang kami hanya memberikan surat opini auditor dan membiarkannya berbicara untuk kebijakan tertulis kami.

Scott Kantner
sumber
0

Anda akan membutuhkan NDA sebelum menunjukkan apa pun kepada mereka. Lalu saya akan membiarkan mereka datang dan meninjau kebijakan keamanan, tetapi tidak pernah memiliki salinannya.

MathewC
sumber
Saya tidak akan mengecewakan Anda, tetapi sementara saya tidak akan mempublikasikannya, membagikannya kepada mitra bisnis tidak keluar dari pertanyaan. Meskipun tidak sama di setiap perusahaan tempat saya bekerja, departemen TI saya ada untuk kebutuhan bisnis di atas yang lain. Saya membayangkan berbagi rencana Keamanan TI kami mirip dengan berbagi proses bisnis atau rencana bisnis.
Reconbot
Saya telah melalui kepatuhan SAS70 dan banyak "mitra" hanya akan mengizinkan peninjauan. Merupakan kewajiban untuk memiliki sesuatu yang dicetak yang mengatakan Anda melakukan sesuatu, dan kemudian Anda tidak melakukannya, atau Anda melakukan sesuatu yang menyebabkan masalah. Maaf Anda tidak setuju, tapi saya memberikan pendapat saya dari pengalaman. Saya tidak berpikir itu layak untuk downvote.
MathewC
Hanya menjadi jelas bahwa saya tidak memilih Anda. Tidak perlu untuk itu. Pengalaman Anda adalah hal yang saya suka dengar. Terima kasih!
recbot
Jika saya punya perwakilan, saya akan memilih Anda. Mereka tidak perlu menandatangani NDA hanya untuk melihat Kebijakan Keamanan TI / Kebijakan InfoSec Anda. (Ada perbedaan antara kebijakan dan standar / prosedur) Ada banyak alasan yang sah untuk perlu melihat orgs InfoSec Kebijakan (kepatuhan Sox, PCI DSS, dll.) Sebagian besar org membuatnya sepenuhnya publik: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
Ini pencegahan. Jika Anda tidak ingin mengambilnya untuk melindungi diri Anda sendiri, maka itu ada pada Anda. Saya memberi alasan yang masuk akal mengapa Anda tidak harus melakukannya. Dan saya minta maaf Anda tidak memiliki perwakilan untuk memilih saya. Saya suka menyimpan suara turun saya untuk jawaban yang buruk / berbahaya, bukan kebijakan yang tidak saya setujui.
MathewC