воскресенье, 28 ноября 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 3

В этой части рассмотрены следующие вопросы:
  • Законодательство в области интеллектуальной собственности
  • Коммерческая тайна
  • Авторское право
  • Торговая марка
  • Патент
  • Внутренняя защита интеллектуальной собственности
  • Компьютерное пиратство


Законы, связанные с интеллектуальной собственностью, направлены в первую очередь на предоставление компании возможности защитить то, что по праву принадлежит ей, а не выяснение – кто прав или неправ.

Основным вопросом при нарушении интеллектуальной собственности чаще всего является вопрос, что компания сделала для защиты ресурсов, которые по ее утверждению, были использованы с нарушением ее прав. Компания должна предпринять множество шагов по защите ресурсов, на которые она претендует, как свою интеллектуальную собственность, компания должна показать, что она проявила должную заботу и затратила определенные усилия для защиты этих ресурсов. Если сотрудник компании отправил другу некий файл, и компания пытается уволить этого сотрудника, заявляя, что он незаконно предоставил постороннему лицу доступ к интеллектуальной собственности компании, компания должна доказать суду и присяжным, во-первых, почему данный файл является столь важным для компании, какой ущерб может быть (или был) причинен в результате того, что с содержимым файла ознакомилось постороннее лицо, а, во-вторых, и это самое главное, какие меры предприняла компания, чтобы защитить этот файл. Если компания не обеспечила защиту этого файла, а просто сказала своим сотрудникам, что им не разрешается копировать и распространять его, компания, скорее всего, проиграет дело. Если же компания действительно применила ряд мер для защититы этого файла, объяснила своим сотрудникам, что нельзя копировать и распространять информацию из этого файла, что наказанием за рарушение этого требования может быть увольнение, в таком случае компании не может быть предъявлено обвинение в незаконном увольнении сотрудника.

В зависимости от типа ресурса, информация которого является интеллектуальной собственностью компании, для его защиты могут применяться различные законы. Интеллектуальная собственность делится на две категории: промышленная собственность (industrial property) – например, изобретения (патенты), промышленные проекты, торговые марки, и авторское право (copyright), которое распространяется на литературу, искусство и т.п. Эти вопросы рассматриваются более детально далее в этом Домене.


Законодательство в области коммерческой тайны защищает определенные типы информации или ресурсы от несанкционированного использования или разглашения. Ресурс содержит коммерческую тайну, если он дает компании некоторое конкурентное преимущество, а его создание требует специальных навыков, знаний и / или денежных и трудовых затрат. Это означает, что компания не может назвать своей коммерческой тайной, например, утверждение, что небо – синее.

Коммерческая тайна (trade secret) – это то, что является собственностью компании и имеет важное значение для ее существования на рынке и получения прибыли. Примером коммерческой тайны может быть формула производства безалкогольных напитков, например, кока-колы, исходный код компьютерной программы и т.п. Компания должна принять разумные меры по защите ресурса, который она объявила своей коммерческой тайной.

Многие компании требуют от своих сотрудников подписать соглашение о неразглашении (NDA – nondisclosure agreement), подтверждающее, что сотрудники взяли на себя обязательство не делиться секретами компании с ее конкурентами. При этом компании преследуют сразу две цели: во-первых, это информирование работников о важности сохранения в тайне определенной информации, а, во-вторых, это способ удержать сотрудников от разглашения такой информации. Подписанное сотрудником соглашение о неразглашении дает право компании уволить его или привлечь к ответственности в случае, если сотрудник раскроет коммерческую тайну компании.


В США законодательство по защите авторских прав (copyright law) защищает права автора на контроль распространения, воспроизведения, отображения и изменение его оригинальной работы. Это законодательство охватывает множество различных видов произведений: живопись, графика, музыка, драма, литература, пантомима, кино, скульптура, звуковые записи и архитектура. Законодательство по защите авторских прав не распространяется на конкретные ресурсы, в отличие от коммерческой тайны. Оно защищает идею создания ресурса, а не сам ресурс. Закон об авторском праве, как правило, используются для защиты работ писателя, рисунков художника, исходного кода программиста, музыкальных ритмов, созданных музыкантом. Объект авторского права попадает под действие закона об авторском праве сразу после его создания. Закон об авторском праве не требует обязательного предупреждения и/или использования знака авторского права (©), но рекомендуется делать это для того, чтобы другие не могли заявить о своей невиновности, скопировав чужие работы.

Защита законодательства об авторских правах не распространяется на любые методы выполнения операций, процессы, концепции или процедуры – оно направлено только на защиту от несанкционированного копирования и распространения авторских работ. В отличие от патента, авторское право защищает форму выражения, а не сам объект. С этой точки зрения, авторское право обеспечивает меньший уровень защиты по сравнению с патентом, однако продолжительность действия защиты авторского права больше (законодательство обеспечивает защиту авторских прав человека в течение всей его жизни плюс 50 лет).

Компьютерные программы могут защищаться законодательством об авторском праве также, как литературные произведения. Законодательство защищает как исходный, так и объектный код, который может представлять из себя операционную систему, приложение или базу данных. Закон может защищать не только код, но и различные структуры, элементы интерфейса и т.п.


Торговая марка (trademark) несколько отличается от авторского права, поскольку она используется для защиты слова, названия, символа, звука, формы, цвета или их сочетания. Торговые марки используются компаниями для своего предстваления группе людей или всему миру, путем создания узнаваемого бренда. Маркетинговые отделы компаний усердно работают, чтобы придумать что-то новое, что позволит компании быть замеченой и выделиться из толпы конкурентов и множества других торговых марок. Результат этой работы должен быть защищен, должны быть исключены возможности его копирования другими.

Компании не могут использовать в качетсве торговых марок числа и частоиспользуемые слова. Однако торговой маркой может быть уникальный цвет, узнаваемая упаковка и т.п.


Патенты (patent) дают компаниям и частным лицам законную возможность владения изобретением, запрещая без их разрешения другим использовать и копировать изобретение, защищенное патентом. Патент обеспечивает наибольший уровень защиты интеллектуальной собственности. При этом изобретение должно вносить что-то новое, полезное и не быть очевидным, поэтому компания, например, не может запатентовать воздух. Иначе мы вынуждены были бы платить ей за каждый вдох.

После утверждения поданной изобретателем заявки на выдачу патента, изобретателю предоставляется исключительное право собственности, запрещающее изготовление, использование или продажу изобретения другими в течение определенного периода времени. Например, фармацевтическая компания может получить патент на созданное ей лекарство, который будет означать, что эта компания является единственной, кто может производить и продавать это лекарство до указанного в патенте срока. После этого срока, любые компании могут производить и продавать это лекарство (это часто приводит к существенному снижению цен на медикаменты после окончания срока действия патента).

То же самое относится и к алгоритмам программ. Изобретатель алгоритма может получить патент, что даст ему полный контроль над использованием этого алгоритма в любых продуктах. Если кто-то хочет воспользоваться этим алгоритмом, он должен обратиться к изобретателю и договориться с ним об условиях использования алгоритма (обычно такими условиями является единовременная плата или процент от каждого проданного экземпляра продукта, содержащего этот алгоритм).


Компании необходимо убедиться, что определенные ее ресурсы защищены рассмотренными выше законами. Однако не менее важно принять и ряд мер внутри самой компании для надлежащей защиты этих ресурсов.

Ресурсы, защищенные одним таких законов, должны быть идентифицированы и интегрированы в схему классификации данных компании. Это должно выполняться персоналом ИТ под контролем руководства. Для таких ресурсов должна быть обеспечена надлежащая защита от несанкционированного доступа, созданы безопасные условия хранения, должен вестись аудит их использования. Лица, которым разрешен доступ к этим ресурсам, должны быть четко идентифицированы, уровень их доступа должен быть детально определен. Любые попытки доступа к этим ресурсам должны контролироваться, ресурсы должны храниться на защищенном сервере с необходимыми механизмами безопасности.

Работники должны быть информированы о степени секретности или конфиденциальности ресурсов, с которыми они работают, об ожидаемом от них поведении в отношении этих ресурсов.

Если компания не выполнила хотя бы один из этих шагов, на нее не распространяется защита рассмотренного ранее законодательства, поскольку она не проявила должную заботу и не обеспечила надлежащую защиту своих ресурсов, которые (по ее утверждению) так важны для ее конкурентоспособности и успешного существования на рынке.


Компьютерное пиратство (software piracy) – это использование или копирование интеллектуальной или творческой работы автора без разрешения с его стороны и компенсации. Это является посягательством на права собственности, поэтому в случае поимки пирата, ему может быть предъявлен иск о возмещении ущерба и/или он может быть привлечен к уголовной ответственности.

Производитель программного обеспечения, как правило, выдает лицензии на его использование, а не продает целиком. При этом в лицензионном соглашении предусматриваются требовния, касающиеся порядка использования и защиты программного обеспечения, а также документанции к нему. Если частное лицо или компания нарушает эти требования, лицензия может быть аннулирована, а на нарушителя может быть заведено уголовное дело (в отдельных случаях). Риском для производителя, который разработал и выдает лицензии на свое программное обеспечение, является потеря прибыли, которую он мог бы получить. Следует отметить, что в наше время многие компании нарушают лицензионные соглашения на используемое программное обеспечение, а сотрудники компаний не редко используют дома программное обеспечение, купленное компанией.

Существует четыре категории лицензий на программное обеспечение. Бесплатное программное обеспечение (freeware) свободно распространяется, оно может бесплатно использоваться, копироваться, анализироваться, изменяться и распространяться в обновленном виде без каких-либо ограничений. Условно-бесплатное программное обеспечение (shareware) или пробные версии программного обеспечения (trialware) используется производителями для продажи своего программного обеспечения. Они предоставляют пользователям возможность бесплатно получить пробную версию программного обеспечения. После испытания программы, пользователь должен приобрести ее копию или отказаться от ее использования. Коммерческое программное обеспечение (commercial software) – это программное обеспечение, которое продается и используется в коммерческой деятельности. И, наконец, учебное программное обеспечение (academic software) – это программное обеспечение, используемое исключительно в учебных целях и поэтому продаваемое по сниженной стоимости. Учебным программным обеспечением может быть программное обеспечение с открытым исходным кодом (open source), бесплатное или коммерческое программное обеспечение.

Некоторые производители программного обеспечения продают групповые лицензионные соглашения (bulk license), позволяющие нескольким пользователям использовать продукт одновременно. Эти соглашения (master agreement) определяют разрешенный порядок использования программного обеспечения и различные ограничения. Другой распространенной формой лицензирования программного обеспечения является Лицензионное соглашение для конечного пользователя (EULA – End User Licensing Agreement). В нем более детально указываются условия и ограничения, по сравнению с обычным лицензионным соглашением (master agreement). Другие производители применяют систему мониторинга (часто при этом используются решения третьих сторон), контролирующую, чтобы клиент не превысил купленное им количество лицензий. Офицер безопасности должен хорошо знать требования лицензионных соглашений на используемое в компании программное обеспечение. Он обязан убедиться, что все требования лицензионных соглашений соблюдаются и внедрить необходимые защитные меры, позволяющие ему выявлять их нарушение. В случае обвинения компании в незаконном копировании программного обеспечения или использовании большего количества копий, чем предусмотрено лицензией, именно офицер безопасности будет в первую очередь нести за это ответственность.

Благодаря легкости использования сети Интернет и постоянного повышения скоростей доступа, у пользователей постоянно растет соблазн загрузить и использовать пиратскую версию программы. По оценкам BSA и IDC (International Data Corporation) в мире в 36% случаев программное обеспечение используется нелегально.

Не в каждой стране компьютерное пиратство считается преступлением, но таких стран становится все меньше, благодаря усилиям ряда международных организаций. Для обеспечения соблюдения своих имущественных прав на программное обеспечение, группа крупных компаний организовала Ассоциацию по защите программного обеспечения (SPA – Software Protection Association). Изначально эта ассоциация была создана для защиты именно этой группы компаний, однако в настоящее время она предоставляет свои услуги и другим компаниям, желающим защитить свои интересы. Пиратство является большой проблемой для производителей программного обеспечения, поскольку большинство из них от лицензионных сборов получают основную часть своих доходов.

Также были созданы и другие международные группы по борьбе с пиратством, в том числе Федерация по борьбе с программным пиратством (FAST – Federation Against Software Theft) со штаб-квартирой в Лондоне, и Альянс производителей программного обеспечения для коммерческих организаций (BSA – Business Software Alliance), базирующийся в Вашингтоне. Они выполняют функции, аналогичные SPA, обеспечивая защиту программного обеспечения по всему миру.

Одим из вариантов правонарушений в отношении программного обеспечения, является декомпиляция скомпилированного программного кода. Обычно это делается для получения исходного кода программы, чтобы проанализировать его и понять, как работает приложение. Исходный код коммерческой программы, как правило, является конфиденциальным, поскольку его использование может позволить понять и использовать в своих целях детали функционирования программного обеспечения. Другой возможной целью проведения обратного инжиниринга кода программного обеспечения является попытка обнаружить проблемы безопасности, которые впоследствии могут быть использованы. Примером может быть выявление уязвимости, позволяющей провести атаку переполнения буфера.

Декомпилируя объектный код в исходный код, исследователи могут найти проблемы безопасности и воспользоваться ими, либо внести изменения в код программы, чтобы реализовать в ней определенную функциональность, которую не предусмотрел разработчик. В качестве примера можно привести случай, когда человек декомпилировал программу, предназначенную для чтения электронных книг, в которой был реализован механизм защиты от несанкционированного копирования и использования книг. Производитель не хотел, чтобы появилась возможность обхода защиты, реализованной в его продукте, поэтому он закодировал отдельные участики кода программного обеспечения. Декомпилировав объектный код, этот человек выяснил, как можно создать декодер. Это помогло ему преодолеть устанавливаемые программой ограничения и получить возможность свободно копировать и использовать электронные книги в нарушение авторских прав авторов и издателей.

Этот человек был арестован и обвинен в нарушении Закона об авторском праве в цифровом тысячелетии (DMCA – Digital Millennium Copyright Act), в соответствии с которым изготовление программ для обхода механизмов защиты авторских прав, является незаконным. Введение этого закона вызвало множество дискуссий и споров из-за его возможного негативного воздействия на свободу слова и законные научные исследования.

Любопытно, что многие компьютерщики начали активно протестовать против ареста этого человека, в связи с чем обвинившая его компания (Adobe) решила по-быстрому снять все свои обвинения.

Ссылки по теме:

Комментариев нет: