Что используется для контроля за незаконным применением программного обеспечения и содержимого

Обновлено: 05.07.2024

Сфера деятельности – работа в фирме системным администратором. Парк фирмы – несколько десятков компьютеров. В обязанности входит установка программного обеспечения, помощь c настройками пользователям, поддержание работы сети и администрирование. Фирмой закуплено три лицензионных комплекта операционной системы (ОС), офисный пакет (для первых лиц фирмы), один комплект для разработки и компиляции программ. На три компьютера устанавливаются лицензионная ОС и офисный пакет. На все остальные заставляют скачивать из Интернета взломанные версии или поддельные лицензии. Если ПО не будет установлено и работоспособно, то системного администратора увольняют и нанимают нового. Кто и за что несет ответственность в описанной ситуации? Несет ли системный администратор ответственность за то, что скачал из Интернета взломанные программы и установил? Нарушает ли системный администратор какой-либо закон? Если человек пользуется дома не лицензионным ПО (для личного пользования и для извлечения прибыли, работая фрилансером), нарушает ли он закон?

По закону, за использование программного обеспечения (далее – ПО) без разрешения правообладателя (без лицензионного договора) уголовную или административную ответственность должно нести то лицо, которое это ПО использовало. В данном случае под "использованием" закон подразумевает воспроизведение программы, т.е. ее установку на компьютер. Иными словами, отвечает тот, кто инсталлировал данное ПО. Таким образом, системный администратор становится ответственным лицом. Для того чтобы ответственность легла на руководителя, нужно, чтобы инициатива приобретения ПО исходила от руководства. Компьютеры должны использоваться организацией, а лучше — стоять на балансе. Также следует формализовать то, что вы информируете руководство о том, что использование контрафакта наказуемо уголовно и административно.

При соблюдении вышеуказанных условий ответственность будет нести руководитель организации.

В ст. 146 "Нарушение авторских и смежных прав Уголовного кодекса РФ предусмотрена следующая ответтсвенность.

1. Присвоение авторства (плагиат), если это деяние причинило крупный ущерб автору или иному правообладателю, наказывается штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок до 480 часов, либо исправительными работами на срок до одного года, либо арестом на срок до шести месяцев.

2. Незаконное использование объектов авторского права или смежных прав, а равно приобретение, хранение, перевозка контрафактных экземпляров произведений или фонограмм в целях сбыта, совершенные в крупном размере, наказываются штрафом в размере до 200 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок до 480, либо исправительными работами на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

3. Деяния, предусмотренные ч. 2 этой статьи, если они совершены: группой лиц по предварительному сговору или организованной группой; в особо крупном размере; лицом с использованием своего служебного положения, наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до шести лет со штрафом в размере до 500 тыс. руб. или в размере заработной платы или иного дохода осужденного за период до трех лет или без такового.

Деяния, предусмотренные указанной статьей, признаются совершенными в крупном размере, если стоимость экземпляров произведений или фонограмм либо стоимость прав на использование объектов авторского права и смежных прав превышают 100 тыс. руб., а в особо крупном размере — 1 млн руб.

В случае отсутствия крупного ущерба наступает административная ответственность.

В соответствии с ч. 1 ст. 7.12 "Нарушение авторских и смежных прав, изобретательских и патентных прав" КоАП РФ ввоз, продажа, сдача в прокат или иное незаконное использование экземпляров произведений или фонограмм в целях извлечения дохода в случаях, если экземпляры произведений или фонограмм являются контрафактными в соответствии с законодательством РФ об авторском праве и смежных правах либо на экземплярах произведений или фонограмм указана ложная информация об их изготовителях, о местах их производства, а также об обладателях авторских и смежных прав, а равно иное нарушение авторских и смежных прав в целях извлечения дохода, влечет наложение административного штрафа на граждан в размере от 1500 до 2000 руб. с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на должностных лиц — от 10 до 20 тыс. руб. с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на юридических лиц — от 30 до 40 тыс. руб. с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.

Также правообладатель сможет выставить в суде гражданские требования о возмещении убытков. ПО - это результаты интеллектуальной деятельности. В силу ст. 1301 Гражданского кодекса РФ в случаях нарушения исключительного права на произведение автор или иной правообладатель наряду с использованием других применимых способов защиты и мер ответственности, установленных ГК РФ (ст. 1250, 1252 и 1253), вправе в соответствии с п. 3 ст. 1252 ГК РФ требовать по своему выбору от нарушителя вместо возмещения убытков выплаты компенсации.

ПО является объектом авторских прав (ст. 1259 ГК РФ) и охраняется так же, как и литературные произведения (см. ст. 1256, 1261 ГК РФ). Ответственными за нарушение авторских прав на лицензионное ПО могут выступать как организации, так и физические лица.

Таким образом, системный администратор, который использует в домашних условиях нелицензионное ПО, также будет нести ответственность за незаконное использование.

Федеральной службы по техническому

и экспортному контролю

приказом ФСТЭК России

15 февраля 2017 г. N 27

1) в абзаце втором пункта 3 слова ", Высшего Арбитражного Суда Российской Федерации" исключить;

2) в абзаце первом пункта 12 слова "и в ходе эксплуатации" заменить словами ", в ходе эксплуатации и вывода из эксплуатации";

3) в абзаце втором пункта 14.2 слово "четыре" заменить словом "три", слово "четвертый" заменить словом "третий";

в абзаце первом слова ", оснащенности и мотивации" исключить;

дополнить абзацем вторым следующего содержания:

"В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2006, N 49, ст. 5192; 2008, N 43, ст. 4921; N 47, ст. 5431; 2012, N 7, ст. 818; 2013, N 26, ст. 3314; N 53, ст. 7137; 2014, N 36, ст. 4833; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 1, ст. 211) (далее – банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.";

после абзаца седьмого дополнить абзацами следующего содержания:

"стадии (этапы работ) создания системы защиты информационной системы;

требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;

функции заказчика и оператора по обеспечению защиты информации в информационной системе;

требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);";

слова "в случае их разработки по ГОСТ Р ИСО/МЭК 27001 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" исключить;

6) в абзаце восьмом пункта 15.1 слова "параметры настройки" заменить словами "требования к параметрам настройки";

7) абзац пятый пункта 15.3 исключить;

8) пункт 16.6 дополнить абзацем следующего содержания:

"По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно";

9) пункт 17 дополнить абзацем следующего содержания:

"Проведение аттестационных испытаний информационной системы должностными лицами, осуществляющими проектирование и (или) внедрение системы защиты информации информационной системы, не допускается";

10) пункт 17.2 дополнить абзацами следующего содержания:

"При проведении аттестационных испытаний должны применяться следующие методы проверок (испытаний):

экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;

анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;

испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.";

11) в пункте 17.4 слова "в случае окончания срока действия аттестата соответствия" заменить словами "по окончании срока действия аттестата соответствия, который не может превышать 5 лет,";

12) дополнить пунктом 17.6 следующего содержания:

"17.6. Информационные системы, функционирующие на базе общей инфраструктуры (средств вычислительной техники, серверов телекоммуникационного оборудования) в качестве прикладных сервисов, подлежат аттестации в составе указанной инфраструктуры.

В случае, если информационная система создается на базе центра обработки данных уполномоченного лица, такой центр обработки данных должен быть аттестован по классу защищенности не ниже класса защищенности, установленного для создаваемой информационной системы.

При аттестации информационной системы должны использоваться результаты аттестации общей инфраструктуры оператора информационной системы.";

13) пункт 25 изложить в следующей редакции:

"25. Организационные меры и средства защиты информации, применяемые в информационной системе, должны обеспечивать:

в информационных системах 1 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с высоким потенциалом;

в информационных системах 2 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже усиленного базового;

в информационных системах 3 класса защищенности – защиту от угроз безопасности информации, связанных с действиями нарушителей с потенциалом не ниже базового.

Потенциал нарушителей определяется в ходе оценки их возможностей, проводимой при определении угроз безопасности информации в соответствии с пунктом 14.3 настоящих Требований.

Оператором может быть принято решение о применении в информационной системе соответствующего класса защищенности мер защиты информации, обеспечивающих защиту от угроз безопасности информации, реализуемых нарушителями с более высоким потенциалом.";

14) пункт 26 изложить в следующей редакции:

"26. Технические меры защиты информации реализуются посредством применения средств защиты информации, в том числе программных (программно-аппаратных) средств, в которых они реализованы, имеющих необходимые функции безопасности. При этом:

в информационных системах 1 класса защищенности применяются средства защиты информации не ниже 4 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 2 класса защищенности применяются средства защиты информации не ниже 5 класса, а также средства вычислительной техники не ниже 5 класса;

в информационных системах 3 класса защищенности применяются средства защиты информации 6 класса, а также средства вычислительной техники не ниже 5 класса.

В информационных системах 1 и 2 классов защищенности применяются средства защиты информации, прошедшие проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.

Классы защиты определяются в соответствии с нормативными правовыми актами ФСТЭК России, изданными в соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

В информационных системах применяются средства защиты информации, сертифицированные на соответствие обязательным требованиям по безопасности информации, установленным ФСТЭК России, или на соответствие требованиям, указанным в технических условиях (заданиях по безопасности). При этом функции безопасности таких средств должны обеспечивать выполнение настоящих Требований.";

В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.

Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли "…уничтожение, блокирование, модификацию, либо копирование информации…"(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.

Рис. 1. Классификация методов и средств защиты информации

Формальные методы и средства

Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.

Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.

Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:

• защиту территории и помещений вычислительного центра от проникновения злоумышленников;
• защиту аппаратуры и носителей информации от повреждения или хищения;
• предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна;
• предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных;
• контроль за режимом работы персонала;
• организацию доступа в помещение сотрудников;
• контроль за перемещением персонала в различных рабочих зонах и т.д.

Криптографические методы и средства

Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.

В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:

• идентификация и аутентификация;
• разграничение доступа;
• шифрования защищаемых данных;
• защита программ от несанкционированного использования;
• контроль целостности информации и т.д.

Неформальные методы и средства защиты информации

Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.

К неформальным средствам относятся:

Организационные средства

Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:

• мероприятия, осуществляемые при создании ИС;
• мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах, распределение реквизитов разграничения доступа(паролей, профилей, полномочий и т.п.) ;
• мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование мероприятий по защите информации и т.п.

Законодательные средства

Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:

Морально – этические нормы

Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).

С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.

1.3.2. Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации являются:

• нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую, судебную, врачебную и коммерческую тайну, а также персональных данных;
• нарушение работоспособности (дезорганизация работы) ИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИС, а также фальсификация (подделка) документов.

Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.

Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:

• применение подслушивающих устройств;
• дистанционное наблюдение, видео и фотосъемка;
• перехват электромагнитных излучений, регистрация перекрестных наводок и т.п.

Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:

Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :

• незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или к линиям связи;
• злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
• злоумышленный вывод из строя механизма защиты.

1.3.3. Ограничение доступа к информации

В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:

• идентификация;
• аутентификация;
• авторизация.

При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).

Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.

Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.

Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.

Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.

Весь процесс идентификации и аутентификации можно схематично представить следующим образом:

Рис. 2. Схема процесса идентификации и аутентификации

1- запрос на разрешение доступа к ИС;

2- требование пройти идентификацию и аутентификацию;

3- отсылка идентификатора;

4- проверка наличия полученного идентификатора в базе учетных записей;

5- запрос аутентификатора;

6- отсылка аутентификаторов;

7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.

Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.

При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).

Общую схему защиты информации в ИС можно представить следующим образом (рис.3):

Рис. 3. Съема защиты информации в информационной системе

Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.

Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.

В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:

• сокрытие информации;
• защита авторских прав.

Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):

Рис. 4. Классификация систем шифрования

Основными характеристиками любой системы шифрования являются:

В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.

Из десяти законов безопасности Microsoft два посвящены паролям:

Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:

1.3.4. Технические средства защиты информации

В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств

• соотношение энергии носителя и помех на входе приемника установленного в канале утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;
• злоумышленник не может обнаружить источник или носитель информации;
• вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную.

Эти варианты реализуют следующие методы защиты:

• воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны;
• скрытие достоверной информации;
• "подсовывание" злоумышленнику ложной информации.

Применение инженерных конструкций и охрана - наиболее древний метод защиты людей и материальных ценностей. Основной задачей технических средств защиты является недопущение (предотвращение) непосредственного контакта злоумышленника или сил природы с объектами защиты.

Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.

Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

1.3.5. Программные средства защиты информации

Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:

1.3.6. Антивирусные средства защиты информации

Используя бухгалтерские (и любые другие!) программы и справочные правовые системы, организации и граждане обязаны соблюдать нормы авторского права. Использование нелицензионного ПО и баз данных влечет ответственность, вплоть до уголовной. Рассказываем, что бывает за применение контрафактного ПО.

Кто и как ищет нелицензионное ПО

Расследованием нарушений и преступлений в сфере авторских прав на компьютерные программы и базы данных занимается полиция. Поводом для возбуждения административных/уголовных дел по фактам использования пиратского ПО может являться (ст. 28.1 КоАП РФ и ст. 140 УПК РФ):

Подтверждение факта нарушения может грозить либо административной, либо уголовной ответственностью.

Шпаргалка по статье от редакции БУХ.1С для тех, у кого нет времени

1. Расследованием нарушений и преступлений в сфере авторских прав на компьютерные программы и базы данных занимается полиция.

3. Полиции помогают разные общественные некоммерческие организации.

4. Незаконное использование компьютерных программ и баз данных является основанием для привлечения граждан к административной или уголовной ответственности.

5. Одновременно и к административной, и к уголовной ответственности не привлекают.

6. Помимо уголовной и административной ответственности для желающих сэкономить на лицензионном софте предусмотрена еще и статья 1301 ГК РФ. Она защищает интересы правообладателей и устанавливает материальную ответственность за нарушение исключительных прав, в том числе на компьютерные программы и базы данных.

Административная ответственность за использование нелицензионного ПО

Незаконное использование компьютерных программ и баз данных является основанием для привлечения граждан к административной ответственности по ст. 7.12 КоАП РФ. Данная норма предусматривает следующие штрафы:

• от 1 500 до 2 000 рублей – для физлиц;
• от 10 000 до 20 000 рублей – для должностных лиц и индивидуальных предпринимателей;
• от 30 000 до 40 000 рублей – для организаций.

Оштрафовать по данной статье могут одновременно и саму организацию, и ее должностных лиц, допустивших использование нелицензионных программ. Например, генерального директора, системного администратора или главбуха, работавшего на пиратских версиях программ.

Причем штраф последует не только за использование, но и за незаконное обновление программ (см., например, постановление Мирового суда судебного участка № 99 г. Санкт-Петербурга от 26.04.2018).

Помимо штрафов, по ст. 7.12 КоАП РФ предусматривается обязательная конфискация контрафактных экземпляров компьютерных программ, а также оборудования, на котором они работали.

То есть если организация использовала в своей деятельности нелицензионные продукты, ее не только оштрафуют и изымут контрафактное ПО, но еще и конфискуют все компьютеры, на которые оно было установлено. Возмещать стоимость компьютеров никто не будет.

Если величина ущерба, причиненного правообладателю, превысит указанное значение, действия нарушителя будут квалифицироваться уже не как административное правонарушение, а как преступление по УК РФ.

Одновременно за нелицензионный софт к административной и уголовной ответственности не привлекают.

Уголовная ответственность за нелицензионное ПО

Если стоимость контрафактных экземпляров ПО превысит 100 000 рублей, нарушителя привлекут к уголовной ответственности по ч. 2 ст. 146 УК РФ. При расчете стоимости пиратского софта полицией используются рыночные цены на аналогичный лицензионный софт. Как правило, берут самые высокие цены на программы.

Для установления реальной стоимости пиратских программ и подтверждения этой стоимости полиция обращается непосредственно к правообладателю или его официальным дилерам/представителям. Они и выдают полиции справки о стоимости программных продуктов.

За использование пиратских компьютерных программ и баз данных предусматривается одно из следующих наказаний:

• штраф в размере до 200 000 рублей;
• обязательные работы на срок до 480 часов;
• исправительные либо принудительные работы на срок до 2 лет;
• лишение свободы до 2 лет.

Если стоимость пиратских программ превысит 1 млн рублей, нарушитель понесет наказание в виде (ч. 3 ст. 146 УК РФ):

• принудительных работ на срок до 5 лет;
• лишения свободы на срок до 6 лет со штрафом в размере до 500 000 рублей или без такового.

Такое же наказание последует за преступление, совершенное должностным лицом организации (например, для гендиректора компании, принявшего решение использовать нелицензионный софт), а также группой лиц по предварительному сговору (например, когда пиратские программы устанавливаются сисадмином по распоряжению гендиректора организации).

В этих случаях преступление будет квалифицироваться по ч. 3 ст. 146 УК РФ, даже если совокупная стоимость нелицензионных программ и баз данных меньше 1 млн рублей.

Часто обвиняемыми в таких делах становятся руководители организаций/ИП. При этом тот факт, что они могли не знать, что установленные версии программ являлись нелицензионными, не освобождает их от ответственности.

Как правило, в ходе предварительного следствия по ст. 146 УК РФ полиция выдает руководству компаний обязательное предписание на проверку программного обеспечения, установленного на компьютерах и используемого работниками. В ответ на данное предписание руководство либо предоставляет полиции лицензии на используемое ПО, либо заявляет об отсутствии программ, требующих обязательных лицензий.

Таким образом, у руководства фирм всегда есть несколько дней, чтобы проверить, нет ли на компьютерах пиратских программ. Поэтому сослаться на неосведомленность и неведение руководителям организаций не удастся (см., например, апелляционное определение Свердловского областного суда от 17.05.2018 № 22-3666/2018).

Правообладатели проходят в подобных уголовных делах в качестве потерпевших. В рамках уголовного дела они имеют право заявить к нарушителю гражданский иск, по которому им будет выплачена денежная компенсация.

Уголовный срок и миллионное взыскание за использование нелицензионного ПО

Получить реальный уголовный срок и миллионное взыскание можно даже за несколько пиратских программ. Например, Сысертский районный суд Свердловской области вынес приговор № 1-127/2016 1-3/2017 от 25.11.2017 по делу № 1-127/2016 о незаконном использовании компьютерных программ на общую сумму в 600 000 рублей.

В обоснование своей невиновности бывший директор организации ссылался на то, что он даже не догадывался об использовании в его фирме нелицензионного программного обеспечения. Спорные программные продукты были установлены неизвестными лицами, найденными по объявлению. Никаких распоряжений об установке пиратских программ он не давал и поэтому считал, что основания для привлечения его к уголовной и гражданско-правовой ответственности отсутствуют.

Суд отклонил эти доводы обвиняемого. Материалами дела подтверждалось, что обвиняемый занимал должность руководителя организации. Соответственно, за все организационные вопросы, в том числе и за законность устанавливаемого на компьютеры фирмы ПО, ответственность нес именно он. Неосведомленность о незаконном характере используемых программ не освобождает от ответственности за пиратский софт.

В связи с этим суд признал бывшего директора виновным в незаконном использовании объектов авторского права в крупном размере с использованием своего служебного положения и назначил ему наказание в виде лишения свободы сроком на 2 года. Кроме того, его обязали выплатить правообладателю компенсацию в размере 1 253 086 рублей.

Гражданско-правовая ответственность за нелицензионный софт

Помимо всех вышеперечисленных видов наказаний для желающих сэкономить на лицензионном софте предусмотрена еще и статья 1301 ГК РФ. Она защищает интересы правообладателей и устанавливает материальную ответственность за нарушение исключительных прав, в том числе на компьютерные программы и базы данных.

Кстати, сам правообладатель может и не участвовать в возбуждении уголовного дела/дела об административном нарушении по факту использования нелицензионного ПО. Он даже может и не знать о нарушении своих прав.

Часто о нарушениях правообладатели узнают от полиции, которая, как мы уже говорили, обращается к ним за получением информации о стоимости лицензионных версий ПО. В рамках уголовных дел они становятся гражданскими истцами, в пользу которых взыскивается денежная компенсация.

В соответствии со ст. 1301 ГК РФ правообладатель вправе требовать от нарушителя выплаты компенсации в следующих размерах:

• в двукратном размере стоимости программы,
• в размере от 10 000 до 5 млн рублей.

Конкретный размер компенсации устанавливается по усмотрению суда, исходя из характера нарушения.

Компенсация взыскивается за каждую нелицензионную программу, установленную на компьютере организации/ИП. При этом сам факт использования конкретной программы в предпринимательской деятельности для взыскания компенсации значения не имеет.

Программа может и не использоваться, а просто храниться на компьютере. Важен сам факт наличия программы на носителе, принадлежащем нарушителю (апелляционное определение Свердловского областного суда от 29.05.2018 № 22-3969/2018).

Если правообладателю будет недостаточно привлечения нарушителя к ответственности и взыскания с него компенсации, он может обратиться в прокуратуру с требованием о ликвидации организации-нарушителя или о прекращении деятельности ИП (1253 ГК РФ).

Если прокуратура подтвердит, что организация неоднократно нарушала исключительные права на результаты интеллектуальной деятельности, суд может принять решение о ее ликвидации по требованию прокурора. То же самое касается и ИП, неоднократно уличенного в использовании контрафактных программ.

Таким образом, высокая стоимость официального ПО и обновлений не может служить оправданием для использования пиратских программ. Наказание за контрафактные программы очень жесткое – вплоть до многомиллионных штрафов, реальных тюремных сроков и прекращения деятельности.

Нелегальные обновления программ

Обновления программ – такие же объекты интеллектуальной собственности, как и само программное обеспечение. При этом вендором, помимо правовой и юридической защиты, могут использоваться и технологические, программные способы защиты обновлений.

Незаконное обновление программ чревато судимостью, и такие прецеденты уже есть. В зависимости от способа обхода защиты, и распространителю, и исполнителю, и пользователю могут вменить как ст. 272 УК РФ, так и 273 УК РФ (максимальное наказание по ним - лишение свободы на срок до 5 лет).

Следите за нашими материалами - мы готовим статью с рекомендациями по самостоятельному аудиту лицензионной чистоты используемого в вашей организации программного обеспечения и обновлений к нему.

Читайте также:

  
• На что можно потратить деньги со счета несовершеннолетнего ребенка от наследства
  
• Современная система растений и животных какие признаки положены в основу
  
• Имеет ли право банк передавать информацию третьим лицам
  
• Как написать уведомление прокурору о рассмотрении представления
  
• Что значит право на свободу ассоциаций