7 июль 2017

Содержание

Статья 27 из 27 ( Материал id: 978 Журнал id: 111666 )
Страница № 60

Нелицензионное ПО в организации: риски и контроль

По результатам исследования Ассоциации производителей программного обеспечения BSA TheSoftwareAlliance уровень использования нелицензионного программного обеспечения (далее – ПО) в Республике Беларусь в 2016 г. составил 85 %, в то время как в Японии, например, всего – 18 %. Использование нелицензионного ПО осуществляется не только на домашних компьютерах пользователей, но и на компьютерных системах юридических лиц. Чем рискует компания, работая с «пиратским» ПО, и как наладить внутренний контроль за использованием лицензионного, рассмотрим в статье.

 

Использование контрафактного ПО сопряжено для нанимателей с весомыми рисками, которые необходимо учитывать.

 

Во-первых, для юридических лиц предусмотрена административная и уголовная ответственность за нелицензионное ПО на компьютерах, используемых работниками для выполнения их трудовых функций. В частности, за незаконное использование объектов авторского права, которыми являются в т.ч. компьютерные программы, налагается штраф на юридическое лицо в размере до 300 базовых величин с конфискацией предмета административного правонарушения или без конфискации (ст. 9.21 КоАП). При этом, если в течение 1 года с даты привлечения юридического лица к административной ответственности было снова выявлено незаконное использование им объектов авторского права, то должностные лица могут быть привлечены к уголовной ответственности по ст. 201 УК. Санкция данной статьи предусматривает наказание в виде общественных работ, штрафа, ограничения свободы на срок до 3 лет или лишения свободы на срок до 2 лет.

Документ:

Кодекс Республики Беларусь об административных правонарушениях (далее – КоАП).

Документ:

Уголовный кодекс Республики Беларусь (далее – УК).

 

Во-вторых, использование контрафактного ПО неразрывно связано с рисками хакерских атак и потери данных. Нелицензионное ПО может стать причиной нестабильности работы компьютерных систем организации, быть их уязвимым местом и ослаблять защиту данных предприятия. Использование нелицензионного ПО может быть непосредственной причиной утечки информации, в отношении которой на предприятии установлен режим коммерческой тайны.

В-третьих, использование нелицензионного ПО влечет репутационные риски для организации. На сегодняшний день количество судебных дел в Республике Беларусь по такой категории споров с участием юридических лиц все еще не очень велико, что делает каждое из них предметом обсуждения широкой общественности. Это, в свою очередь, может негативно сказаться на имидже предприятия, объеме его продаж, сделках на экспорт в Европейский союз или США, так как в этих странах очень внимательно относятся к вопросам использования нелицензионного ПО.

Все указанное выше подчеркивает важность и значимость обеспечения и контроля за использованием в организации только лицензионного ПО. Для этого рекомендуем предусмотреть ряд мер и шагов, направленных:

1) на выявление процессов, при неправильной организации которых возникает риск использования нелицензионного ПО в организации;

2) определение круга должностных лиц, задействованных в таких процессах;

3) установление правил деятельности должностных лиц, задействованных в процессе обеспечения и контроля за использованием лицензионного ПО;

4) придание таким процессам и правилам деятельности должностных лиц документального закрепления.

Выявление процессов

Полагаем, что в рамках любой организации можно выделить 2 основных процесса, упорядочивание которых будет обеспечивать использование на предприятии лицензионного ПО:

– закупка лицензионного ПО (обеспечительный процесс);

– контроль за установкой ПО на рабочих компьютерах работников организации (контрольно-запретительный процесс).

Определение круга должностных лиц

В рамках каждой организации должны быть определены должности работников с особым уровнем ответственности в вопросах обеспечения использования лицензионного ПО. К ним рекомендуется относить:

1) юрисконсульта;

2) системного администратора;

3) специалиста по закупкам;

4) работника службы безопасности.

Контроль за установкой ПО на рабочих компьютерах (контрольно-запретительный процесс) должен охватывать абсолютно всех работников, чей труд так или иначе связан с компьютерами. Рекомендуем смотреть на этот вопрос максимально широко и не ограничивать круг только работниками административного корпуса и специалистами в сфере разработки ПО. Если у работника есть фактическая возможность доступа к компьютеру (например, сотрудник охраны, который не работает непосредственно на компьютере, но имеет доступ к нему и может устанавливать/удалять программы, файлы), его деятельность должна охватываться задокументированными процедурами по контролю за использованием лицензионного ПО в организации.

Установление правил деятельности должностных лиц

Обязанности лиц с особой степенью ответственности в вопросах обеспечения использования лицензионного ПО на предприятии необходимо закрепить в первую очередь в их должностных инструкциях. За подготовку такого документа в организации чаще отвечают специалист по кадрам или юрисконсульт. Им надлежит детально проанализировать роль и степень участия таких должностных лиц на разных стадиях закупки лицензионного ПО (обеспечительный процесс), а также в процессе обеспечения контроля за использованием лицензионного ПО на компьютерных системах организации (контрольно-запретительный процесс).

Закупка лицензионного ПО. Предлагаем следующие примерные формулировки для должностных инструкций лиц, участвующих в процедуре закупки лицензионного ПО:

«Системный администратор/специалист по закупкам/работник службы безопасности обязан осуществлять подбор необходимого ПО с учетом его приобретения только у правообладателей, авторизованных дистрибьюторов, уполномоченных поставщиков».

«Юрисконсульт при визировании лицензионного договора/договора поставки или купли-продажи экземпляров лицензионного ПО обязан проверять статус контрагента как правообладателя или официального дистрибьютора ПО».

В первую очередь юрисконсульту надлежит проверить контрагента в Реестре коммерческих организаций и индивидуальных предпринимателей с повышенным риском совершения правонарушений в экономической сфере. Реестр находится на интернет-портале Министерства по налогам и сборам Республики Беларусь. После этого проверка может включать истребование сертификатов или свидетельств, подтверждающих статус контрагента как авторизованного дистрибьютора лицензионного ПО. Если договор заключается с правообладателем, то можно запросить предоставление свидетельства о регистрации компьютерной программы в специальном органе (при наличии такого свидетельства, так как указанная регистрация не является обязательной процедурой). Например, в рамках Республики Беларусь регистрирующим органом в отношении компьютерных программ является Национальный центр интеллектуальной собственности. Кроме того, некоторые крупные производители лицензионного ПО размещают на своих интернет-ресурсах перечень юридических лиц – официальных дистрибьюторов их ПО.

Контроль за установкой ПО на рабочих компьютерах сотрудников организации. Деятельность должностных лиц с особой степенью ответственности должна быть направлена на ликвидацию возможности самостоятельной установки работниками нелицензионного ПО на рабочие компьютеры. В связи с этим предлагаются следующие формулировки для их должностных инструкций:

«Системный администратор/работник службы безопасности несет особую ответственность за установку и использование на рабочих компьютерах в организации лицензионного ПО. В связи с этим он обязан:

1) обеспечивать посредством использования специальных технических средств блокировку возможности самостоятельного скачивания, копирования и разворачивания работниками ПО на рабочих компьютерах;

2) обеспечивать контролируемую блокировку работы USB-портов на всех компьютерах в организации;

3) обеспечивать наличие на всех системных блоках компьютеров организации наклеек контроля вскрытия».

Важно информировать всех работников о недопустимости осуществления ими ряда действий, которые могут привести к установке на компьютерные системы организации нелицензионного ПО. Это можно сделать, включив соответствующие обязанности в должностные инструкции всех работников организации. Можно также использовать и альтернативный вариант – определить такие обязанности в Положении о внутреннем трудовом распорядке организации (далее – ПВТР).

ПВТР является локальным нормативным правовым актом и обычно готовится специалистом по кадрам или юрисконсультом организации. ПВТР определяет основы деятельности работников и нанимателя. Один из блоков ПВТР – обязанности работников организации, в перечень которых можно включить следующую: воздерживаться от самостоятельной установки ПО на рабочие компьютеры любым возможным способом, если только такая установка не входит в прямые должностные обязанности работника.

Дополнительно рекомендуем включать нормы, направленные на обеспечение использования лицензионного ПО в организации, в Положение о коммерческой тайне, которое, как правило, готовится юрисконсультом или специалистом по кадрам.

Как уже отмечалось ранее, использование нелицензионного ПО повышает риски потери данных, хакерских атак, утечки информации, т.е. увеличивает вероятность распространения данных, составляющих коммерческую тайну организации. В отношении таких данных на предприятии должен быть установлен специальный режим, представляющий собой совокупность правовых, организационных, технических и иных мер, направленных на обеспечение их конфиденциальности. В качестве таких мер, в частности, можно определить те обязанности, что предусмотрены в должностных инструкциях и ПВТР для должностных лиц с особой степенью ответственности и всех сотрудников в целом в отношении вопросов закупки и контроля за использованием лицензионного ПО.

Таким образом, основными документами, закрепляющими особую ответственность отдельных должностных лиц по обеспечению и контролю за использованием лицензионного ПО, а также общую обязанность работников воздерживаться от действий, которые могут способствовать появлению на компьютерных системах нанимателя нелицензионного ПО, являются:

– ПВТР;

– должностные инструкции;

– Положение о коммерческой тайне организации.

С указанными документами работники должны быть ознакомлены под роспись.

 

Екатерина Рудько, юрист

Печать
В закладки
AA
Наверх

You can highlight and get a piece of text that will get a unique link in your browser.