Rambler's Top100
Статьи ИКС № 04 2014
Михаил ЛЕБЕДЬ  08 апреля 2014

Закон в сетях информационных технологий

ИТ-менеджеры не всегда осознают, что их деятельность регламентируется не только технической документацией, но и положениями законов и других юридических актов.

Михаил ЛЕБЕДЬ, руководитель группы верификации программного обеспечения, Научно-технический центр «ИБМ Сколково»Права собственности и правила доступа

С развитием ИТ и их проникновением в бизнес-процессы в России достаточно быстро был разработан ряд законов, которые в полном объеме охватили сферу применения новых технологий. В них были определены права собственности на программные и информационные продукты; указаны меры против ненадлежащего доступа к компьютерной информации и к информационно-телекоммуникационным сетям, нарушения правил использования средств хранения, обработки и передачи информации, правонарушений с использованием средств вычислительной техники; дано определение электронного документа и т.д.

Одним из первых инновационных актов в отношении ИТ стало определение правового статуса разрабатываемых программ и компьютерных баз данных. В законе РФ от 23.09.1992 №3523-I «О правовой охране программ для электронных вычислительных машин и баз данных», а затем и в статье 1295 части 4 Гражданского кодекса РФ, введенной в действие с 1 января 2008 г., было установлено: «Исключительное право на служебное произведение принадлежит работодателю, если трудовым или иным договором между работодателем и автором не предусмотрено иное». Такая установка на первых порах шокировала разработчиков в сфере ИТ, поскольку традиционно любой программист, без всяких на то правовых оснований и последствий, считал «своей» созданную им программу или базу данных. Но психологический барьер был быстро преодолен, а в работе корпоративных ИТ-подразделений еще четче утвердилось требование безусловно обеспечить работодателю неоспоримые права на полноценные программно-информационные продукты (что означает в данном контексте требование «полноценности», поясняет приведенный во врезке пример).

СПОР О ПРАВАХ

В одном банковском учреждении программисты, перегруженные работой, привлекали к делу пользователей, знавших и операционную работу, и информатику. Так, сотрудник отдела межбанковских расчетов А. писал небольшие вспомогательные программы, объединяя серьезные блоки, разрабатываемые банковскими программистами. Но когда его перевели в другой отдел, требование программистов передать им исходные тексты своих программ А. проигнорировал, и только после разъяснения ему права работодателя на программы, созданные в рабочее время на рабочем месте, удалось получить исходные модули. Через некоторое время потребовалось внести изменения в технологию работы отдела межбанковских расчетов и в написанные А. программы. Оказалось, что для этого нужна его личная библиотека макрокоманд. Но передать макрокоманды в ИТ-отдел А. категорически отказался, мотивируя это тем, что их он делал дома. Программистам пришлось срочно разрабатывать аналог его программ и реорганизовывать технологию работы в отделе.

Здесь ошибка ИТ-отдела очевидна: допущено включение посторонних элементов в программы, право обладания которыми принадлежит работодателю, из-за чего правообладатель фактически не получил во владение полноценных результатов труда.

Чтобы работодатель получил работоспособный программный продукт, т.е. чтобы обеспечивалось его законное право, в ИТ-подразделении необходимо определять архив и технологию разработки. А именно: в архив разработки должны включаться проектные материалы, исходные модули, библиотеки подпрограмм и макрокоманд, тестовые задания и данные, а также концепции тестирования. Процессы разработки исходных модулей и изготовления исполнительных модулей должны технологически разделяться на «разработку» и «сборку» и должны быть поручены разным исполнителям. При внедрении ИТ обязательно следует выделять этапы разработки, сборки, тестирования, опытной эксплуатации. С помощью таких организационных мероприятий можно предотвратить использование в разрабатываемом программном продукте посторонних элементов, внедрение закладок, непредусмотренных или необъявленных функций, а правообладателю в итоге гарантируется полноценный продукт. Кроме того, в корпоративных программных продуктах не должны использоваться материалы сторонних фирм, которые не были получены официально, а стали доступны в порядке пробной или опытной эксплуатации чужих продуктов, тестовых и демонстрационных примеров. Без особых решений не должны использоваться и популярные сейчас открытые коды.

Статья 272 Уголовного кодекса Российской Федерации устанавливает ответственность за «неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации…». Статья 274 УК РФ предусматривает ответственность за «нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб…». Понятие «крупного ущерба» является субъективным, применимость его оценивается в каждом конкретном случае, но ответственность пользователя, если он умышленно или случайно наносит вред информации, установлена однозначно. ИТ-подразделения должны организовать свою работу так, чтобы у работодателя не возникало конфликтов с работниками по поводу нарушения правил использования компьютеров или неправомерного доступа к информации.

Электронный документооборот

Принятие закона от 10.01.2002 №1-ФЗ «Об электронной цифровой подписи» (ЭЦП) и закона от 06.04.2011 №63-ФЗ «Об электронной подписи» помогло свести к минимуму потенциальный ущерб от задержек оборота документов, от хищений средств или информации. Эти законы установили правовое регулирование отношений в области использования ЭЦП, заложив основу для формирования юридически значимого электронного документооборота (ЭД).

Благодаря этому правовому основанию к середине 2000-х на государственном уровне сложились такие значимые для бизнеса процессы документооборота, использующего ЭЦП, как передача платежных документов в расчетную систему Центрального банка РФ и представления титульных частей кредитных историй в Центральный каталог кредитных историй (ЦККИ).

Требования перечисленных законов признаются корпоративными менеджерами и, как это и должно быть, отражаются в договорах между партнерами по ЭД с использованием ЭЦП. Но в договорах при определении требований к ЭД лишь декларируется необходимость соответствующей организации работы. Ответственность же за детализацию ЭД и использования ЭЦП, которая обеспечивает работодателю уверенность в юридической правомочности его действий, берут на себя корпоративные ИТ-подразделения.

В частности, назначение всех исполнителей, использующих ЭЦП, проводится приказами корпоративного руководителя, в которых четко определяются их права, обязанности и ответственность. Учреждения, работающие в информационных системах общего пользования, для генерации секретной части ключевой информации в обязательном порядке обращаются в удостоверяющий центр, который генерирует и регистрирует ключевую информацию, а также регулярно проводит смену ее у исполнителей. Разрабатывается корпоративный порядок использования ЭЦП и взаимодействия с удостоверяющим центром. Основными положениями этого порядка являются недопустимость выполнения одним и тем же исполнителем установки программного обеспечения на рабочих местах, их администрирования и эксплуатации, а также требование генерации носителей ключа с гарантией сохранения в тайне закрытой ключевой информации. Конечная цель такой кропотливой работы – предоставить в распоряжение работодателя информацию, соответствующую требованиям законов об ЭЦП и имеющую доказательную силу. Если есть хотя бы малейшие отклонения, работодатель в случае конфликта с партнером по вопросу достоверности ЭД не сможет доказать свою правоту.

В публикациях, описывающих организацию ЭД, нередко можно обнаружить, что корпоративные удостоверяющие центры не используются (неправомочную ЭЦП в этом случае лукаво называют «кодом аутентификации»), при генерации ключей нет правовой гарантии сохранения в тайне закрытой ключевой информации, а ключевая информация из удостоверяющего центра передается пользователям по обычной учрежденческой почте. Несоблюдение требований обычно оправдывают тем, что ЭД в учреждении является внутренним и претензий сторонних партнеров быть не может. Но в такой организации работы все же есть слабое звено: могут возникнуть именно внутренние конфликты между работодателем и исполнителями. При описанных выше отклонениях невозможно предъявить и отстоять законную претензию к исполнителю, случайно или даже преднамеренно нарушившему или фальсифицировавшему ЭД.

Человек и компьютер

Корпоративное программное обеспечение, которое предполагается использовать, кроме проверки на легальность и работоспособность должно проходить проверку в части вербального интерфейса с пользователями, а также в части представления текстовых сообщений в распечатках. Современные вычислительные средства предоставляют широкие возможности организации диалога человека с компьютером, этот диалог должен быть корректным. Выдаваемые пользователю сообщения должны быть грамотными, однозначно определяющими ситуацию, в них не должно быть жаргонных, двусмысленных, оскорбительных, неблагозвучных или нецензурных слов, сообщения должны соответствовать эксплуатационной документации, документация должна давать разъяснения сообщений и четко определять необходимые действия. Точно так же должны строго документироваться и проверяться сообщения и тексты, которые распечатываются на бумажных выходных материалах. Отступление от этих правил может привести к срыву работы или к неправильной обработке информации, ответственность за которые устанавливается статьями 272 и 274 УК РФ.

ИТ-менеджменту нельзя оставлять без контроля и молодежные увлечения – создание на рабочих местах фотогалерей на тему путешествий, автомашин и т.д., электронных библиотек, собраний музыкальных записей, библиотек эксклюзивных программ. Прежде всего это нерациональное использование корпоративного ресурса и рабочего времени исполнителей. Кроме того, это возможное нарушение авторских и смежных прав (ст. 146 УК РФ), при коллекционировании кадровой персональной информации или информации медицинских подразделений – нарушение неприкосновенности частной жизни (ст. 137 УК РФ), при создании подборок вирусов и «крэков» – распространение вредоносных программ (ст. 273 УК РФ). К перечисленному относится и увлечение распечатками на цветных принтерах открыток, поздравлений, коллажей, сувенирных денежных купюр. Наиболее распространенные нарушения в настоящее время – это некорректное поведение исполнителей в социальных сетях и попытки несанкционированного проникновения на сторонние сайты в интернете. Бесконтрольное использование корпоративных ресурсов предотвращается внедрением электронных паспортов АРМ и серверов, применением программ, контролирующих состав и объем корпоративной файловой системы по электронным паспортам.

* * *

Целый ряд статей УК РФ устанавливает ответственность за клевету, мошенничество, кражу, причинение ущерба и другие правонарушения с использованием компьютеров, в том числе корпоративных. Для предотвращения таких нарушений должны предусматриваться меры, не допускающие бесконтрольного использования техники как исполнителями бизнес-процессов, так и сотрудниками ИТ-подразделений. Не претендуя на исчерпывающий список противоправных деяний, которые могут быть совершены с использованием компьютеров, сети или серверов, подчеркнем, что если какие-то элементы корпоративных вычислительных систем будут признаны средством, обеспечившим совершение противоправного действия, то они могут быть изъяты, и ущерб от этого трудно переоценить. Обязанность корпоративных ИТ-подразделений – организовать свою работу так, чтобы гарантированно защитить работодателя от подобного ущерба. 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!