Форум ''Интернет и Право''

Основной раздел => Компьютерные преступления => Тема начата: De Nada от 17 Февраль 2010, 17:40:51



Название: Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 17 Февраль 2010, 17:40:51
С добрым утром!

Ситуация такова - в сети предприятия есть несколько компьютеров (win), в отношении которых (по тем или иным причинам) неприменима практика ограничения прав пользователя с целью недопущения установки им "некошерного" ПО.

В принципе данные пользователи не против того, чтобы самим отвечать за свои компьютеры (не, админ организации, конечно, может им помогать, но неофициально), однако требуется совершить некоторые ритуальные па.

Возникла идея издать приказ по конторе примерно такого содержания:

===  ПРИКАЗ ===
1. Настоящим приказом с <дата> IT-службе <организации> прекратить всякое техническое, информационное и иное  обслуживание компьютера тов.<имярек>.
2. Сотрудникам IT-службы запрещается вмешиваться в работу данного компьютера, в том числе устанавливать и/или удалять любое программное обеспечение.
3. Вся ответственность за функционирование компьютера тов.<имярек> возлагается на него самого (включая возможную юридическую ответственность за нарушающее действующее законодательство использование объектов, защищённых авторским правом).

С приказом ознакомлены: <имярек>
                                        <ITшник>

Руководитель: <подпись>

Дата.
=============

Такой приказ издаётся персонально на каждого "особого" сотрудника в трёх экземплярах - сотруднику, IT-службе и руководителю (делопроизводителю).

Данная идея возникла в силу сложившейся правоприменительной практики, когда всех собак вешают на админов (старинная мантра: "обладая специальными знаниями и осознавая свои действия в силу возложенных на него служебных обязанносте..." - ну, дальше все всё знают). Подобным образом, по сути дела, каждому такому "особому" компу официально назначается персональный администратор в лице его пользователя - "в случае чего" все вопросы по сложившемуся алгоритму должны быть предъявлены ему.

Дисклаймер: если в данной ветке можно выродить правильный документ для конкретной ситуации, то это может оказаться полезным и для других людей в том же положении (имею ввиду ITшников).
Ещё один дисклаймер: если сообщество посчитает невозможным для себя распылять свой интеллектуальный ресурс тут за здорово живёшь (коли будет неочевидна общая полезность, декларируемая предыдущим дисклаймером), то я готов воспользоваться чьей либо приватной помощью через личку (и оплачу её сам, бо это в моих интересах).


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 17 Февраль 2010, 19:40:21
Читаем FAQ ( http://www.internet-law.ru/intlaw/crime/faq.htm ) вопрос-ответ под номерами с 3 по 5.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 17 Февраль 2010, 20:16:37
Читаем FAQ ( http://www.internet-law.ru/intlaw/crime/faq.htm ) вопрос-ответ под номерами с 3 по 5.

Собственно, тема возникла уже после прочтения данного FAQ.
Берём Q04 (точнее, A04):
===
Следующие методы малоэффективны или вовсе бесполезны:
    * составление договоров, приказов, расписок и иных документов о "переложении ответственности": ответственность за нарушение закона определяется только законом и не может быть передана по соглашению сторон или как-то иначе;
===

Хотелось бы знать, откуда взялось данное утверждение (насчёт "бесполезности")?
В A03 и в А04 в самом начале есть такой абзац:
===
По закону, за использование ПО без разрешения правообладателя (без лицензионного договора) уголовную или административную ответственность должен нести тот человек, который это ПО использовал. В данном случае под "использованием" закон подразумевает воспроизведение программы, то есть её установку на компьютер. Иными словами, отвечает тот, кто инсталлировал. Но это по закону. На практике работники предприятия часто дают показания, что, дескать, всё ПО устанавливал сисадмин.
===

Обсуждаемый приказ, будучи добровольно подписанным согласным с таким положением дел сотрудником, служит доказательством того, что всё обнаруженное на компе ПО ставил он, а не админ. Админ в своих показаниях прямо утверждает, что данным приказом ему запрещено подходить к компьютеру пользователя <имярек>; что не он, а <имярек> ставил софт, обнаруженный на компе, т.к. у последнего есть как возложенная на него приказом обязанность администрирования данного компьютера, так и все права и полномочия в техническом плане.

В данном варианте "по соглашению сторон" передаётся не ответственность как таковая, а возможность/необходимость совершения тех действий, за которые эта ответственность может наступить. Соответственно, и ответственность ложится на того, кто реально (и доказанно) совершает инкриминируемые действия, а не "способен, обладая специальными знаниями и навыками..." и "занимая соответствующую должность...". Иначе это уже как в анекдоте про самогонный аппарат получается.

Что не так?

P.S.  Если уж скатываться в полный формализм, то ещё одним пунктом приказа можно сотрудника <имярек> назначить и.о.помощника системного администратора компании.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: eleron от 17 Февраль 2010, 20:25:18
Цитировать
Обсуждаемый приказ, будучи добровольно подписанным согласным с таким положением дел сотрудником, служит доказательством того, что всё обнаруженное на компе ПО ставил он, а не админ. Админ в своих показаниях прямо утверждает, что данным приказом ему запрещено подходить к компьютеру пользователя <имярек>; что не он, а <имярек> ставил софт, обнаруженный на компе, т.к. у последнего есть как возложенная на него приказом обязанность администрирования данного компьютера, так и все права и полномочия в техническом плане.
Что не так?

И что, работник согласится, что софт ставил именно он? А если экспертиза покажет, что софт был поставлен до подписания работником приказа? Как вы думаете, почему киллеры не оформляют бумажки аля "ответственность за убийство возлагается на Васю Пупкина"?


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 17 Февраль 2010, 20:40:57
Цитировать
Обсуждаемый приказ, будучи добровольно подписанным согласным с таким положением дел сотрудником, служит доказательством того, что всё обнаруженное на компе ПО ставил он, а не админ. Админ в своих показаниях прямо утверждает, что данным приказом ему запрещено подходить к компьютеру пользователя <имярек>; что не он, а <имярек> ставил софт, обнаруженный на компе, т.к. у последнего есть как возложенная на него приказом обязанность администрирования данного компьютера, так и все права и полномочия в техническом плане.
Что не так?

И что, работник согласится, что софт ставил именно он?

Встречный вопрос (видимо, к "юристам в чистом виде") - если работник и админ говорят, что не ставили (ситуация "слово против слова"), то имеет ли вес обсуждаемый приказ, согласно которому КОНТРОЛЬ за компьютером в явном виде передаётся от админа к работнику?

А если экспертиза покажет, что софт был поставлен до подписания работником приказа?

Подобный приказ не отменяет необходимости первоначальной передачи работнику "под акт" "чистого" компьютера. Но ведь корень проблемы как раз в том, что после этого невозможно или крайне затруднительно ежечасно контролировать дальнейшую "чистоту" этого компьютера. Соответственно, при наличии такового акта с подписью самого работника обнаружение у него на компе "неправильных" программ с датой ДО этого акта будет свидетельством того, что программы устанавливались с переводом часов назад - что уже тянет на умысел сознательного "перевода стрелок" на других.

Как вы думаете, почему киллеры не оформляют бумажки аля "ответственность за убийство возлагается на Васю Пупкина"?

Ну и зачем Вы передёргиваете?
Вы угодили в семантическую ловушку - не нужно смешивать "ответственность" (как "должностную обязанность по самостоятельной установке софта") с "ответственностью" (как "последствиями, устанавливаемыми законом за совершение неких действий").
 Данный приказ не возлагает "ответственность по закону" за установку нелиценза КЕМ-ТО на "нисномнидухом" пользователя данного компа: он только назначает данного пользователя "ответственным за компьютер" - единственным лицом, уполномоченным совершать те действия, за которые может возникнуть "ответственность по закону".

Т.ч. гипотетические киллеры тут совсем не в кассу.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: eleron от 17 Февраль 2010, 20:52:58
Цитировать
Подобный приказ не отменяет необходимости первоначальной передачи работнику "под акт" "чистого" компьютера.

А где написано, что так надо делать? Речь ведь идет только о "прекращении", "запрещении" и "ответственности".

Цитировать
Соответственно, при наличии такового акта с подписью самого работника обнаружение у него на компе "неправильных" программ с датой ДО этого акта будет свидетельством того, что программы устанавливались с переводом часов назад - что уже тянет на умысел сознательного "перевода стрелок" на других.

Странно, я думал, что вопрос "о переводе часов назад с последующей установкой "левых" программ" решают в ходе экспертизы, а не вот так сразу лишь на основании какой-то писульки-приказа.

Цитировать
Ну и зачем Вы передёргиваете?

...

Понял.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 17 Февраль 2010, 21:15:36
Цитировать
Подобный приказ не отменяет необходимости первоначальной передачи работнику "под акт" "чистого" компьютера.

А где написано, что так надо делать? Речь ведь идет только о "прекращении", "запрещении" и "ответственности".

 
Конечно, в самом приказе может (и, по уму, должна!)  фигурировать отдельным пунктом передача компа пользователю по акту как неотъемлемой части данного документа, без которого он недействителен (соответствующий экземпляр акта подшивается к экземпляру приказа).
Собственно, для того и поднята тема в публичном пространстве, чтобы светлые головы могли откорректировать макет данного приказа - надеюсь, к чему-то конкретному-полезному всё же доберёмся. :)

Цитировать
Соответственно, при наличии такового акта с подписью самого работника обнаружение у него на компе "неправильных" программ с датой ДО этого акта будет свидетельством того, что программы устанавливались с переводом часов назад - что уже тянет на умысел сознательного "перевода стрелок" на других.

Странно, я думал, что вопрос "о переводе часов назад с последующей установкой "левых" программ" решают в ходе экспертизы, а не вот так сразу лишь на основании какой-то писульки-приказа.

Будьте так добры, поясните свою мысль более "на пальцах". Что такое - "вопрос решают"?

Пойдём по порядку.
1 августа делается экспертиза компьютера, на которой находят программы (или даже всю систему с ними), установленные, скажем, 1 апреля.
Есть показания админа, что данный комп был оснащён только легальным софтом, например, 1 июля и передан работнику 5 июля. В случае, если работник утверждает, что он "ни ухом, ни рылом", возникает ситуация "слово против слова" (то ли админ "развёл" юзера как лоха, подсунув ему комп с палёным софтом апрельской давности, то ли юзер, самопалом переколбасивший всё под себя (с откруткой таймера взад) гонит, как Троцкий перед восстанием, убоясь "а-та-та по попе").

И тут на сцене появляется приказ и акт (подписанные в т.ч. и работником!), из которых следует, что все, подписавшие данные документы, полностью единодушны в том, что на момент передачи компа работнику 5 июля на нём стоИт такой-то легальный софт с такой-то (1 июля!) датой установки. Получается, что факт отсутствия палева на компе зафиксирован формальным образом вполне определённой процедурой, а вот последующие противоположные утверждения работника уже оказываются при этом голословным сотрясанием воздуха с совсем иной доказательной силой.

Что здесь не так по части экспертизы и пр.?


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Сергей Середа от 17 Февраль 2010, 22:21:58
Компы должны быть в собственности этих "неприкасаемых" сотрудников, а админы должны быть обязаны обслуживать только аппаратуру компании.

Но и это не освободит сисадмина от ответственности, если эти сотрудники укажут на него пальцем и скажут: "Это ОН!"...

Т.е. с фирмы ответственность снять ещё можно, а с конкретного сисадмина - нет.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 17 Февраль 2010, 22:34:14
Компы должны быть в собственности этих "неприкасаемых" сотрудников, а админы должны быть обязаны обслуживать только аппаратуру компании.

Но и это не освободит сисадмина от ответственности, если эти сотрудники укажут на него пальцем и скажут: "Это ОН!"...

Т.е. с фирмы ответственность снять ещё можно, а с конкретного сисадмина - нет.

Сергей, не сочти за личный выпад, но подчёркнутое звучит как-то голословненько, а жЫрное - безнадёжненько. Если уж тебе была судьба встрять, то попробуй аргументированно доказать утверждаемое тобою - хотя бы комментируя подробнее вышенаписанное в этой ветке.

Без обид, ОК? :)


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Colonel от 18 Февраль 2010, 03:22:05
Зачем всё ТАК усложнять? Или мы: "мы трудных путей не ищем, мы сами их прокладываем"?
Выдаешь пользоватлю настроенный компьютер, с оформлением  акта выдачи, с перечислением всех предустановленных программных и аппаратных средств. Под подпись.
А в "паспорте сети" указываем, что на компьютере, инвентарный номер такой-то, выдан такому-то сотруднику, акт такой-то, ввиду служебной необходимости не применяются параметры групповой полики.
В идеале у вас на руках будет заверенная бумажка и перечисленим установленного Вами ПО, за которое Вы и будете нести ответственности. А за остальное ПО, которое Вы не ставили, ответственность уже ляжет на человека, который установил/использовал его.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 18 Февраль 2010, 03:52:29
Зачем всё ТАК усложнять? Или мы: "мы трудных путей не ищем, мы сами их прокладываем"?
Выдаешь пользоватлю настроенный компьютер, с оформлением  акта выдачи, с перечислением всех предустановленных программных и аппаратных средств. Под подпись.
А в "паспорте сети" указываем, что на компьютере, инвентарный номер такой-то, выдан такому-то сотруднику, акт такой-то, ввиду служебной необходимости не применяются параметры групповой полики.
В идеале у вас на руках будет заверенная бумажка и перечисленим установленного Вами ПО, за которое Вы и будете нести ответственности. А за остальное ПО, которое Вы не ставили, ответственность уже ляжет на человека, который установил/использовал его.
На допросе пользователь пояснит, что когда он устроился на работу ему выдали компьютер и дали подписать какую-то бумажку. Что в бумажке написано он не помнит. Какое ПО было установлено на компьютере он знать не знает (тупо не понимает). Также скажет, что сам ничего не ставил а компьютеры в их организации обслуживал сисадмин Имярек...


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: podpol от 18 Февраль 2010, 08:27:45
Если так рассуждать, то за любые увечья на производстве
всегда будет нести ответственность главный инженер,
т.к. пострадавший "тупо" будет повторять про подписаный им
инструктаж, что не понимал, что подписывает.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Сергей Середа от 18 Февраль 2010, 10:20:57
Компы должны быть в собственности этих "неприкасаемых" сотрудников, а админы должны быть обязаны обслуживать только аппаратуру компании.

Но и это не освободит сисадмина от ответственности, если эти сотрудники укажут на него пальцем и скажут: "Это ОН!"...

Т.е. с фирмы ответственность снять ещё можно, а с конкретного сисадмина - нет.

Сергей, не сочти за личный выпад, но подчёркнутое звучит как-то голословненько, а жЫрное - безнадёжненько. Если уж тебе была судьба встрять, то попробуй аргументированно доказать утверждаемое тобою - хотя бы комментируя подробнее вышенаписанное в этой ветке.

Без обид, ОК? :)

Просто это было экспертное мнение, основанное на знаниях и опыте. Доказывать его долго - нужно делиться этими самыми знаниями и опытом. Кое-что из этого есть, например, здесь (http://infowatch.livejournal.com/93160.html?thread=962280#t962280).


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Сергей Середа от 18 Февраль 2010, 10:29:45
Если так рассуждать, то за любые увечья на производстве
всегда будет нести ответственность главный инженер,
т.к. пострадавший "тупо" будет повторять про подписаный им
инструктаж, что не понимал, что подписывает.

Глупости. На производстве работают специалисты (по этому самому производству), прошедшие инструктаж. А рядовые сотрудники компании, работающие на ПК, даже не специалисты по ИТ. Инструктаж по ТБ или даже ИБ они могут пройти, но специальными знаниями от этого они обладать не станут. Если с этого краю подходить - нужно каждому сотруднику давать второе айтишное образование, подтверждённое дипломом. Тогда он не сможет "прикинуться шлангом" и сказать, что не понимает, что у этого "телевизора" внутри...


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: podpol от 18 Февраль 2010, 11:10:28
От "простых" пользователей Microsoft Office и 1С  на самом
деле никаких проблем нет. Проблемы бывают с системными программистами, программистами и разработчиками систем,
а у них образование в сравнении с системным администратором
иногда намного "круче". Кстати, Вы не пробовали спросить у представителей Microsoft, нужны ли специальные знания для
инсталляции их продуктов?  И еще, как Вы будете определять
наличие этих знаний -- не по диплому ли?


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 12:27:08
Компы должны быть в собственности этих "неприкасаемых" сотрудников, а админы должны быть обязаны обслуживать только аппаратуру компании.

Но и это не освободит сисадмина от ответственности, если эти сотрудники укажут на него пальцем и скажут: "Это ОН!"...

Т.е. с фирмы ответственность снять ещё можно, а с конкретного сисадмина - нет.

Сергей, не сочти за личный выпад, но подчёркнутое звучит как-то голословненько, а жЫрное - безнадёжненько. Если уж тебе была судьба встрять, то попробуй аргументированно доказать утверждаемое тобою - хотя бы комментируя подробнее вышенаписанное в этой ветке.

Без обид, ОК? :)

Просто это было экспертное мнение, основанное на знаниях и опыте. Доказывать его долго - нужно делиться этими самыми знаниями и опытом. Кое-что из этого есть, например, здесь (http://infowatch.livejournal.com/93160.html?thread=962280#t962280).

Сергей, я тоже с удовольствием посещаю блог ННФ. :)
Приведённая тобою ссыла на ту приснопамятную дискуссию иллюстрирует тот незатейливый, но прискорбный факт, что правоприменительная практика в данном случае скатывается к какому-то совсем уж "пещерному" уровню, привлекая к ответственности за деяния, не имеющие отношения к "привлекаемым".
 
В этой связи позволю себе ещё один дисклаймер.
Да, я понимаю, что пытаться правовыми способами побороть неправовые методы, используемые т.н. "правоохранительными" органами вкупе с "судами" (или уже судилищами?) - это всё равно, что пытаться обыграть шулера. Однако, по всей видимости, время широкого распространения передового опыта "ворошиловских стрелков" пока ещё не наступило  :) - посему нам приходится "играть по правилам".

В этой связи обсуждаемый способ - это попытка максимально заострить и формализовать ситуацию именно в том месте, которое на данный момент является самым уязвимым для "обороняющейся стороны". А именно - официально назначить администратором компьютера его единственного пользователя, одновременно официально же освободив от администрирования этого компьютера штатного ITшника.

Позволю себе юридический трюизм - нельзя нести ответственность (в данном случае - "по закону") за то, что не имеешь возможности контролировать (предупредить, избежать). Иначе говоря, нельзя наказывать кого-либо за действия третьих лиц, влиять на которые наказаемому не представляется возможным. В нашем случае полная подконтрольность компьютера пользователю (и, соответственно, НЕподконтрольность админу) должна сопровождаться и смещением ответственности (в обоих смыслах) за этот компьютер с того, кто его НЕ контролирует, на того, кто его контролирует.

Возвращаясь к вышепомянутой аналогии с карточным шулерством: сейчас ситуация такова, что "атакующаа сторона" безбожно жухлит, вынимая нужные карты из рукава и пряча ненужные под стол. Так вот, моя попытка пересмотреть ситуацию с формальной точки зрения сродни тому, что игроки сидят в футболках-безрукавках за стеклянным столом - шулеры в данном случае могут по своей привычной манере продолжать внагляк передёргивать, вот только делать пристойную мину (мол, всё в порядке) будет гораздо труднее, бо всё на виду.
Для чего это нужно? Ну, полагаю, что в ординарных (не знаковых, "политических" и пр. громких) случаях существует определённый предел наглости, позволенной ординарному же составу противной команды. И моя задача - сделать шулерство не невозможным, а всего лишь "нерентабельным" (с т.з. возможной шумихи, опротестования, развала дела, наконец).

По поводу твоего высказывания, мол, все дружно показывают на админа...
Понимаешь, в нашем случае пускай весь коллектив показывает на админа - у него на 9/10-х всех компов "усё у парадке": полный лигалайз; в его должностной инструкции русским по белому прописана обязанность обслуживать компы "показывающих", "...за исключением отдельных компьютеров, особый режим обслуживания которых иными лицами может устанавливаться соответствующими приказами по предприятию..."(конец цЫтаты из ДИ). Однако из того, что админ "по инструкции" обслуживает большинство компов конторы (и об этом говорят его коллеги на допросе) не следует, что этот же админ обслуживает и отдельные компы, от обслуживания которых он официально устранён.

Теперь отвечу Полковнику и Podpolковнику... :)
Вы оба, безусловно, говорите резонные вещи, вот только я не совсем согласен с вашим "упрощённым" алгоритмом. ИМХО, предложение отразить "особый порядок" обслуживания максимально полно и формализованно на уровне делопроизводства и управления фирмы не есть "усложнение ради усложнения". Цель этого - усложнить задачу "атакующей стороне" до степени малоприемлемости достижения результата чрезмерными усилиями с риском подставиться "в инстанциях" (СМИ и т.п.). Если это и "прокладывание сложных путей", то лишь для "нападающих".


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 13:44:20
Если так рассуждать, то за любые увечья на производстве
всегда будет нести ответственность главный инженер,
т.к. пострадавший "тупо" будет повторять про подписаный им
инструктаж, что не понимал, что подписывает.

Глупости. На производстве работают специалисты (по этому самому производству), прошедшие инструктаж. А рядовые сотрудники компании, работающие на ПК, даже не специалисты по ИТ. Инструктаж по ТБ или даже ИБ они могут пройти, но специальными знаниями от этого они обладать не станут. Если с этого краю подходить - нужно каждому сотруднику давать второе айтишное образование, подтверждённое дипломом. Тогда он не сможет "прикинуться шлангом" и сказать, что не понимает, что у этого "телевизора" внутри...

Сергей, речь не идёт об "обычных" пользователях - у тех есть стандартный набор программ и настроек и шаблонные ограничения. Таким никто не собирается навяливать самоадминистрирование, соответственно и "отвечать" за них будет админ - ни о каких показаниях про "тупо подписал"(с)I.M. тут речь не идёт.

Думаю, настало время уточнить категории работников, ради которых я и замутил эту тему.

Собственно, для меня актуальны две такие категории.
1) IT-шники (отделы тестирования, техсаппорт, службы гарантии, программисты, etc.). По роду деятельности этим (и им подобным категориям) нельзя с помощью restricted rules (политиками, урезанными профилями и пр.)  ограничивать их возможности как пользователей данного компа. Нет, конечно, можно "закрутить им гайки", как большинству рядовых, но тогда слишком часто (и регулярно!) придётся бегать к ним для изменения настроек системы и/или установки тех или иных драйверов, программ (например, триалов) и т.д. - а это быстро подкосит даже ангела с крыльями.

2) "Политические" - некие "ключевые" сотрудники (часто - начальственного разлива), по тем или иным причинам (как объективным, так и не очень) не желающими мириться с ограничениями (и, как следствие, с невозможностью использовать тот или иной софт по своему усмотрению). Практика показывает, что заставить их подчиняться общему распорядку бывает зачастую невозможно даже с помощью руководства (точнее, последнее принимает их сторону под тем  или иным соусом - "ну ты же понимаешь, <имярек> ... ... ") - остаётся лишь вместе с возможностью производить манипуляции с компом (как локальный админ) передать этим пользователям и ответственность за эти манипуляции (сняв таковую с IT-персонала). Что характерно, никто из "политических" никогда не признаётся в своей недостаточной квалификации по части компа (и надо отметить, в ряде случаев их амбиции бывают небеспочвенными) - это к вопросу о "прикинуться ветошью".

И вдогонку - я вижу некоторую перспективу в том, что для инсталляции программ (кликая "Далее" - "Далее" - ...) не требуется специального технического (IT-шного) образования (респект ув.podpol за подсказку).
На этом месте можно устроить даже блиц-эксперимент (хотя бы и в суде, в рамках представления доказательств по существу дела), поставив перед судьёй ноутбук и несколькими кликами продемонстрировав, насколько ненапряжно любой, мОгущий удержать в руке "мышку" и не промахивающийся курсором по экрану ;), может сделать то, для чего обвинение полагает необходимость "спецподготовки".


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Сергей Середа от 18 Февраль 2010, 13:53:54
Сдаётся мне, Вы вместе с podpol-ом просто не вполне понимаете всю глубину смысла фразы "Имярек, обладая специальными знаниями и осознавая последствия своих действий, с целью наживы осуществил нарушение авторских прав в крупном размере...".

В примере, ссылку на который я дал, речь идёт об АБСОЛЮТНО ЗАКОННОЙ правоприменительной практике. В том-то вся и соль. Найдутся нужные свидетели, совпадут даты установки ПО - и привет...

А про интересующие Вас категории пользователей я знаю прекрасно. Т.к. прорабатывал все эти вопросы для проекта реализации SAM в одной маленькой федеральной сетевой компании.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: podpol от 18 Февраль 2010, 13:59:15
Уважаемый DeNada!
Я то как раз на Вашей стороне, хотя и
был когда-то (в прошлом веке и прошлой жизни!)
как Вы верно сообразили, подполковником.
Более того, поднятая Вами проблема актуальна и для меня.
В развитие идеи передачи компьютера по акту-
предлагаю указывать следующие параметры:
- серийный номер винчестера
- перечень установленного легального ПО,
   зафиксированный хотя бы программой DeFacto:)
-цифровая подпись (MD5, например) образа
  восстановления загрузочной области винчестера,
  содержащего это самое ПО


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 18 Февраль 2010, 14:19:45
И еще, как Вы будете определять
наличие этих знаний -- не по диплому ли?
У меня знакомый работает программистом (и как программист он очень не плох). В дипломе у него написана специальность: химия, квалификация: химик. Если поднять почасовку, самое близкое к компьютерам что ему преподавали - факультатив "компьютеры в химии" - 60 ч.  ;D


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 14:40:04
Сергей, а на "Вы" ты перешёл специально, или просто забыл, что мы с тобой ещё в очном знакомстве успели перейти на "ты"? :)

Сдаётся мне, Вы вместе с podpol-ом просто не вполне понимаете всю глубину смысла фразы "Имярек, обладая специальными знаниями и осознавая последствия своих действий, с целью наживы осуществил нарушение авторских прав в крупном размере...".

ОК, и в чём, по-твоему, состоит эта вся глубина в данном конкретном случае? Ну, когда админ, "обладая специальными знаниями, тем не менее в приказном порядке был лишён права и обязанности применить эти самые "специальные знания" в деле обслуживания обсуждаемого компа.
Здесь нельзя говорить о том, что он "осознавая последствия своих действий,  с целью наживы осуществил нарушение авторских прав в крупном размере...", не доказав предварительно того, что он нарушил приказ и полез на тот комп.

В примере, ссылку на который я дал, речь идёт об АБСОЛЮТНО ЗАКОННОЙ правоприменительной практике. В том-то вся и соль. Найдутся нужные свидетели, совпадут даты установки ПО - и привет...

Да, то была "весёлая" ветка. Там как раз речь шла о том, что чела, который настраивал программу, осудили за якобы её установку. "Доказательствами" послужили утверждения сотрудников о том, что именно этот чел "занимался компами" в их шараге... ну и убеждённость обвинения в том, что "больше некому" (ага, "аппарат же есть"). 49-ю статью Конституции РФ (п.3) в этом случае сочли возможным послать подальше, заслонившись т.н. "доказательствами".
Но это гнилой пример.
Во-первых, закон определяет доказательства как, любые сведения, имея в виду, что только сведения о конкретных фактах объективной действительности могут быть доказательствами по уголовному делу. Утверждения, предположения, догадки, общие заявления, что преступление совершил тот или иной человек, без приведения конкретных фактических данных, не могут служить доказательствами.
А в твоём примере "доказательствами" служат исключительно домыслы (не побоюсь этого слова) сотрудников лавки, не подкреплённые, заметь, никакими фактами в пользу того, что именно обвиняемый проделал то, что ему инкриминировалось.

А во-вторых, помянутых сотрудников нельзя считать незаинтересованными свидетелями -  они легко могут поменять статус на обвиняемых, поскольку тоже имели возможность установить на компы всё что угодно (и давай не будем про "специальные знания" - для кликанья "мышкой" "Далее" они не нужны); соответственно, в их показаниях можно усмотреть вполне прозрачный мотив. По сути получается ситуация "слово против слова", только в этом случае у голословных заявлений банальный численный перевес (что вполне понятно, т.к. переквалифицировать из свидетелей в обвиняемые можно любого сотрудника - отсюда массовый интерес оговорить кого-то одного конкретного). Ты правда считаешь, что в отсутствие(!) прямых и вещных доказательств сумма негодных свидетельств даёт годное показание?

А про интересующие Вас категории пользователей я знаю прекрасно. Т.к. прорабатывал все эти вопросы для проекта реализации SAM в одной маленькой федеральной сетевой компании.

И? Можешь поведать, что из этой проработки вышло (по части помянутых категорий)? Чем "сердце успокоилось"-то? :)


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 18 Февраль 2010, 14:48:26
Ты правда считаешь, что в отсутствие(!) прямых и вещных доказательств сумма негодных свидетельств даёт годное показание?
Николай Николаевич Федотов, не устает повторять, что живому свидетелю суд верит гораздо охотнее, чем десяти манускриптам написанным на птичьем языке экспертами мудрецами.

В чем я с ним полностью согласен.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 14:50:19
И еще, как Вы будете определять
наличие этих знаний -- не по диплому ли?
У меня знакомый работает программистом (и как программист он очень не плох). В дипломе у него написана специальность: химия, квалификация: химик. Если поднять почасовку, самое близкое к компьютерам что ему преподавали - факультатив "компьютеры в химии" - 60 ч.  ;D

BTW, а насколько изменится прочность/шаткость ходульного обвинения по алгоритму "...обладая специальными знаниями...", если у админа

а) высшее (около)IT-шное образование;
б) высшее техническое образование (НЕ IT-шное!);
в) высшее нетехническое образование;
г) нет высшего образования, есть среднеспециальное (около)IT-шное;
д) нет высшего, есть среднеспециальное техническое (НЕ IT-шное!);
е) нет высшего, есть среднеспециальное нетехническое (повар, медик. etc.)
ж) нет никакого, кроме среднего.

С пп.а) и г) и так ясно - враги будут педалировать это обстоятельство. б) будет в той же "зоне риска". С в), д), е) могут быть варианты, хотя тут уж нападающим резвиться должно быть стыдно (или не должно? :))
Самый прикол может быть с п.ж) (кстати, среди админов таковых хватает) - тут уж даже у поьзователя может быть верхне-технический диплом, т.е. формально он должен "... обладать специальными знаниями" куда круче админа. :D


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 14:57:01
Ты правда считаешь, что в отсутствие(!) прямых и вещных доказательств сумма негодных свидетельств даёт годное показание?
Николай Николаевич Федотов, не устает повторять, что живому свидетелю суд верит гораздо охотнее, чем десяти манускриптам написанным экспертами мудрецами.

В чем я с ним полностью согласен.

Ну, это констатация факта. Что не делает данное положение вещей более пристойным.
По сути (как уже много где и много кем отмечалось) засудить у нас могут кого угодно и за что угодно. Но нас, админов, получается, можно "закрыть" абсолютно без проблем и особых усилий - просто по факту честного (подчёркиваю - ЧЕСТНОГО!) выполнения своих прямых обязанностей. Выходит, что сочетание законов и практики их неподобающего применения просто выталкивают целую профессию прямиком в "группу риска" без объективных на то причин. :(



Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: podpol от 18 Февраль 2010, 15:04:33
Полностью согласен. Однако,
видимо это не распространяется
на "админов" в правоохранительных
структурах - на них не распространяется
формулировка "с целью наживы"


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 18 Февраль 2010, 15:21:29
Полностью согласен. Однако,
видимо это не распространяется
на "админов" в правоохранительных
структурах
Правильно. Индульгенция им прописана в той самой 4 части ГК.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: podpol от 18 Февраль 2010, 15:28:56
У Ф.Дзержинского была любимая поговорка: «То, что вы до сих пор не в тюрьме, – это не ваша заслуга, а наша недоработка».


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 18 Февраль 2010, 15:35:09
У Ф.Дзержинского была любимая поговорка: «То, что вы до сих пор не в тюрьме, – это не ваша заслуга, а наша недоработка».
Вы еще теорию заговора вспомните.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Colonel от 18 Февраль 2010, 18:11:54
На допросе пользователь пояснит, что когда он устроился на работу ему выдали компьютер и дали подписать какую-то бумажку. Что в бумажке написано он не помнит. Какое ПО было установлено на компьютере он знать не знает (тупо не понимает).  

А если обвиняемый на суде скажет, что раз он не помнит и не понимает какие бумажки он подписывал у следователя и на этом основании потребует закрытия дела, дело закроют? ???

BTW, а насколько изменится прочность/шаткость ходульного обвинения по алгоритму "...обладая специальными знаниями...", если у админа

а) высшее (около)IT-шное образование;
б) высшее техническое образование (НЕ IT-шное!);
в) высшее нетехническое образование;
г) нет высшего образования, есть среднеспециальное (около)IT-шное;
д) нет высшего, есть среднеспециальное техническое (НЕ IT-шное!);
е) нет высшего, есть среднеспециальное нетехническое (повар, медик. etc.)
ж) нет никакого, кроме среднего.

С пп.а) и г) и так ясно - враги будут педалировать это обстоятельство. б) будет в той же "зоне риска". С в), д), е) могут быть варианты, хотя тут уж нападающим резвиться должно быть стыдно (или не должно? :))
Самый прикол может быть с п.ж) (кстати, среди админов таковых хватает) - тут уж даже у поьзователя может быть верхне-технический диплом, т.е. формально он должен "... обладать специальными знаниями" куда круче админа. :D

Есть еще вариант (на моём собственном опыте) что к концу судебного слушание у обвиняемого "появится" законченное высшее (по необходимому профилю) образование.



Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Colonel от 18 Февраль 2010, 18:26:57
Да, еще хочу вот что сказать:
Вы не думаете что занимаясь через чур сильными запутываниями проверяющих, Вы можете создать ситуацию, когда вслед за ними (или вместе с ними) прийдут уже другие проверяющие?Налоговая, ОБЭП.. другие инстанции... Просто из "профессиональной" солидарности. А если компания занимается бизнесом, то нарушения всегда есть.. их не может не есть... это Россия...


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 19:31:16
Да, еще хочу вот что сказать:
Вы не думаете что занимаясь чересчур сильными запутываниями проверяющих, Вы можете создать ситуацию, когда вслед за ними (или вместе с ними) прийдут уже другие проверяющие?Налоговая, ОБЭП.. другие инстанции... Просто из "профессиональной" солидарности. А если компания занимается бизнесом, то нарушения всегда есть.. их не может не есть... это Россия...

Давайте смотреть... Коль скоро Ваша последняя фраза иллюстрирует реальное положение дел в нашей стране, то будем честны: при обнаружении нарушения возможны два варианта событий - проверяющие за "долю малую" закрывают глаза (т.е. как бы всё в порядке и никакого нарушения нет), либо (при отсутствии мзды, несоответствии её размера ожидаемому, наличии "заказа", выполнении плана по "палкам",  дурном настроении, <нужное вписАть>) раскручивается спираль "какбызаконного" преследования.

Хорошо, если при наличии альтернативы - откупиться деньгами или админом (по сути, сделав его "палкой" для проверяющих/наезжающих) - начальство примет решение раскошелиться. Правда, такое начальство ещё поискать - обычно админов никто откупать не спешит, скорее, сдают. А ещё случается, что "правохоронители" и деньги возьмут, и дело на админа заведут (типа - "надо же кого-то посадить, не директора же, он откупился") - перевод известных статей в разряд дел публично-частного обвинения делает ненужным даже наличие реальных пострадавших и/или претензий от них.

Да и в случае заказных наездов т.н."нелиценз" (реальный или мнимый) становится палочкой-выручалочкой для органов (примеров тому уже достаточно).
Причём упомянутое ув.Игорем Михайловым (со слов ув.ННФ) отношение суда к "живым свидетелям" и "заумным экспертизам", играет на руку "нeвepным мeнтaм", способным "найти" палёный софт и там, где его и быть не могло (например, на линукс-сервере): если в нормальном суде экспертиза может показать абсурдность утверждений "свидетелей" (в погонах и без) либо выявить явный подлог, то в нашем суде экспертизой подотрутся, а выслушают со всем вниманием "живых свидетелей", несущих околесицу.
Более того, при таких раскладах у нападающих появляется мощный рычаг давления на админа, как на одну из возможных ключевых фигур - "сдай шефа (инфу) или найдём(!) нелиценз и сядешь": благо квазизаконный механизм у них для выполнения своих обещаний уже имеется и заточен.
 
Получается, что при всех раскладах тут админ компании оказывается едва ли не самой уязвимой мишенью - выручать его некому, соблазн выкрутиться за его счёт велик, как мишень он весьма заманчив.

Отсюда вывод - обсуждаемый с начала топика "пакет нормативки" (приказ+акт+etc.) нацелен не на защиту фирмы, а на защиту её админа. Подчёркиваю - не для оформление индульгенции для безнаказанного использования "нелиценза", а для уменьшения риска пострадать за чужого дяду в случаях, предельно ясно описанных в данном топике.

* * *
А если обвиняемый на суде скажет, что раз он не помнит и не понимает какие бумажки он подписывал у следователя и на этом основании потребует закрытия дела, дело закроют?

Браво! Блестящий контраргумент, вполне уместный в устах какого-нибудь Кони или Плевако. Жаль, в нашем суде он канет втуне за отсутствием честной состязательности в процессе. :(


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Colonel от 18 Февраль 2010, 19:46:29
обобщая выше сказанное Вами:
лучший способ защиты - это хрустящие дензнаки крупного номинала.
Все остальные способы просто приведут к тому, что админа "посадят". Невзирая на недоказанность и необоснованность.




Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: De Nada от 18 Февраль 2010, 20:15:42
обобщая выше сказанное Вами:
лучший способ защиты - это хрустящие дензнаки крупного номинала.
Все остальные способы просто приведут к тому, что админа "посадят". Невзирая на недоказанность и необоснованность.

Не совсем так.
Бывают случаи, когда дензнаки либо отсутствуют (в нужном количестве), либо вообще не они нужны атакующей стороне (вариант - нужны, но не такой мизер и не от админа). Тогда остаётся уповать лишь на громкий публичный скандал. И чем абсурднее будет позиция нападающих, тем неприличнее будет информационный фон - вот на укрепление формально-законной позиции админа (читаем - на бOльшую абсурдизацию обвинения) и рассчитаны дискутируемые меры.

P.S. Вообще это странно и страшно - когда работники молодой, перспективной специальности "21-века" вынуждены ходить "под топором" чисто в силу сложившегося баланса чьих-то интересов.
Зато регулярно слышны стоны про нашу "отсталость" от развитых стран, про засилие "приходящих криворуких мальчиков-админов" (а как им не быть "приходящими-криворукими", когда штатный админ (имеющий возможность развиваться) вообще сидит как в капкане, а у приходящего есть хоть какие-то варианты).
А потом я узнаЮ, что то один, то другой коллега (причём админы, не программеры) уехал из страны. Грустно... :(


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Colonel от 19 Февраль 2010, 03:23:38
Я дензнаки привел в качестве единственного примера "индульгенции", который может реально работать.
А вот пытаться найти универсальное средство бесполезно. Это все нужно расматривать уже в каждом конкретном случае. И, как правило, уже в момент прихода проверяющих, или за столом у следователя.
Акт приемки-выдачи в будет наиболее удачным способом возложить ответственность на конкретно виновного человека (не будем говорить о добрых сослуживцах, любящих играть за чужими компьютерами). Приведенные Вами выше категории пользователей (техничекие) сами по себе, в силу профессиональных требований, не смогут "включить дурочку" и сказать, что ничего не понимают в компьютерах. Поэтому для них будет достаточно этого акта. А вот для "политических".... Можете провести на работе небольшой курс лекций, для ликвидации компьютерной безграмотности. Тогда на вашей стороне окажутся свидетели, которые в нужный момент подтвердят, что Вы обучали всех работников без исключения навыкам работы на компьютере. А если еще ключить в этот курс упминания о ответственности за нелицензионное ПО, то даже "элита" не отвертится.

..И чем абсурднее будет позиция нападающих, тем неприличнее будет информационный фон..

Этот фон не даст большого результата. Народ в массе своей - инертный электорат. Который только мычит о несправедливости и ничего не делает для устранения её.
Тем более что даже абсурдность и широкое освещение фактов не может служить гарантией для справедливого разбирательства. Посмотрите одну из соседних веток, человека обвиняют за установку пробной версии ПО. И был поднят шум, были написаны письма/жалобы вплоть до президента. Даже экспертиза была за обвиняемого. А результат? Дело не закрыто, а убрано на дальнюю полку чтобы глаза не мозолило.

P.S. Вообще это странно и страшно - когда работники молодой, перспективной специальности "21-века" вынуждены ходить "под топором" чисто в силу сложившегося баланса чьих-то интересов.
Зато регулярно слышны стоны про нашу "отсталость" от развитых стран, про засилие "приходящих криворуких мальчиков-админов" (а как им не быть "приходящими-криворукими", когда штатный админ (имеющий возможность развиваться) вообще сидит как в капкане, а у приходящего есть хоть какие-то варианты).
А потом я узнаЮ, что то один, то другой коллега (причём админы, не программеры) уехал из страны. Грустно... :(

Страшней не это. Страшней и печальней это то, что эти же админы не хотят слушать и учиться на чужих ошибках. когда они попадаются и им предлагаешь посильную помощь, они просто отворачиваются от тебя и делают так, как говорят опера/следователи. И беспрекословно получают свой срок. Даже незаслуженный.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: pvp от 19 Февраль 2010, 17:39:47
Правильно. Индульгенция им прописана в той самой 4 части ГК.
Ничего им не прописано. "Использование при правоприменении" не равносильно "использованию в целях правоприменения".


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Igor Michailov от 19 Февраль 2010, 19:28:39
Правильно. Индульгенция им прописана в той самой 4 части ГК.

Ничего им не прописано. "
Всё как обычно: "два юриста - три мнения".

Павел, надеюсь, вы согласитесь, что текст данной статьи допускает не однозначную её трактовку:

"Статья 1278. Свободное воспроизведение произведения для целей правоприменения

Допускается без согласия автора или иного правообладателя и без выплаты вознаграждения воспроизведение произведения для осуществления производства по делу об административном правонарушении, для производства дознания, предварительного следствия или осуществления судопроизводства в объеме, оправданном этой целью."


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: podpol от 20 Февраль 2010, 01:22:18
На мой взгляд - здесь ключевой является фраза
"в объеме, оправданном этой целью". Поэтому
ситуация набора текста обвинительного заключения
в "нелицензионном Worde" упомянутый объем неоправданно
расширяет.


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Николай Николаевич Федотов от 21 Февраль 2010, 21:35:51
Во-первых, закон определяет доказательства как, любые сведения, имея в виду, что только сведения о конкретных фактах объективной действительности могут быть доказательствами по уголовному делу. Утверждения, предположения, догадки, общие заявления, что преступление совершил тот или иной человек, без приведения конкретных фактических данных, не могут служить доказательствами.
А в твоём примере "доказательствами" служат исключительно домыслы (не побоюсь этого слова) сотрудников лавки, не подкреплённые, заметь, никакими фактами в пользу того, что именно обвиняемый проделал то, что ему инкриминировалось.
Попробуйте поставить себя на место судьи.

Пользователь показывает на админа. Админ показывает на пользователя. Слово против слова. Но прекратить дело нельзя. Запрещено. Надо определить, кто из них врёт.

Всем известно, что сисадмин - он на то и существует на предприятии, чтобы обслуживать компьютеры. Вот уже чаша Фемиды качнулась.

Защита вытаскивает документ, согласно которому этот специально нанятый обслуживать компьютеры специалист не имеет права обслуживать один-два компьютера. Именно те, на которых стояло контрафактное ПО. Какое совпадение! Чаша ещё сильнее качнулась.

Для чего такой документ создан? Совершенно очевидно, руководство предприятия предвидело, что именно на этом компьютере может появиться (или наверняка появится) контрафакт. И желало переложить ответственность. А то, что документы подписываются работниками "добровольно" под угрозой увольнения - для нашего судьи не новость. Вот и пользователь утверждает, что ему приказали подписать акт о передаче пустого компьютера, на котором на самом деле было пиратское ПО. Требуется ли это ПО для исполнения должностных обязанностей? Требуется. Всё окончательно встало на свои места.

Я на месте судьи уверен в виновности сисадмина.

А вы говорите "слово против слова"! А логика на что?


Название: Re:Редирект ответственности. Как грамотно формализовать?
Отправлено: Николай Николаевич Федотов от 21 Февраль 2010, 21:58:01
Причём упомянутое ув.Игорем Михайловым (со слов ув.ННФ) отношение суда к "живым свидетелям" и "заумным экспертизам", играет на руку "нeвepным мeнтaм", способным "найти" палёный софт и там, где его и быть не могло
Такой принцип - приоритет свидетельских показаний перед всякими "экспертизами" - справедливый и разумный принцип. Он царит в судах всех стран с древнейших времён. И это правильно.

Свидетель может ошибаться. И эксперт может ошибиться.
Свидетель может лжесвидетельствовать. И эксперт тоже.
Но эксперт, кроме того, может быть недостаточно компетентен, или его инструментарий может быть недостаточно развит (а то и вовсе ненаучен). А со свидетелем ("что вижу, то пою") такого не случится.

А всякие заранее составленные бумажки вообще имеют вес, близкий к нулю. Так же, как ранние показания свидетеля, от которых он отказался.