?

Log in

No account? Create an account

На просторах великой страны нас встречает могильный покой


Категория: it

ИТ: Уязвимости в SIP-телефонах Grandstream
seerozha
В далеком-далеком офисе на мягком-премягком кресле сидит толстый-толстый топ-менеджер, крепко-крепко сжимая в руках трубку шифрованного-перешифрованного SIP-телефона Grandstream, и невдомек ему, что Web-интерфейс телефона "торчит" напрямую в Интернет, прошивку для него писали криворукие-косорукие программисты, а из внешних сетей уже льют к себе топ-менеджерские конфигурационные файлы любопытные-прелюбопытные хакеры, чтобы слушать его разговоры, звонить за его счет, и спамить в его контакт-лист.

Топ-менеджер ! Будь бдителен ! Береги свой Granstream !

Подробности уязвимости ниже ...Свернуть )
Метки: , ,

Инструкция о прохождении проверок лицензионности программного обеспечения
seerozha
К несчастью для моего работодателя, кушать хотят все, в том числе и сотрудники правоохранительных органов. Одним из эффективных методов удовлетворения аппетита - организация проверки лицензионности и правомерности использования программного обеспечения. Поскольку платное ПО на все объекты уже давно приобретено, начинаются дурные вопросы по поводу легальности использования бесплатных программ, наличия клиентских и терминальных лицензий Windows, и прочее, прочее, прочее.

Зачастую проверяемые под прессом отдельных сотрудников правоохранительных органов теряются, и рассказывают совсем не то, что нужно, да и необходимой технической квалификацией (пониманием, что и каким образом работает и как лицензируется).

В общем, сделали инструкцию о прохождении проверок, которую можно использовать как шаблон-пособие:

Рекомендации для Заказчика по подтверждению

лицензионности используемого программного обеспечения

и действиях при проверках правоохранительными органами

 1. Учет компьютеров на объекте Заказчика.

Системный администратор (инженер) объекта Заказчика должен иметь в своем распоряжении следующие документы:
- сводную ведомость инвентаризации компьютерной техники и программного обеспечения в форме таблицы, включающую аппаратную конфигурацию компьютера (модель и частота процессора, модель и объем оперативной памяти, модель материнской платы, модель и объем жесткого диска), серийный номер компьютера, номер и дату счета-фактуры и товарной накладной на приобретение компьютера, список программного обеспечения, установленного на компьютере;

- копии счетов-фактур и товарных накладных на приобретение компьютеров, заверенных печатью организации;

- копии счетов-фактур и товарных накладных на приобретение программного обеспечения, заверенных печатью организации;

- копии лицензионных соглашений на программное обеспечение (например, Microsoft Open License) в случае их предоставления собственником (продавцом) программного обеспечения, заверенных печатью организации;

- упаковочные материалы (коробки) и дистрибутивы программного обеспечения в случае их предоставления собственником (продавцом) программного обеспечения;

- копии актов, договоров (поставки, продажи или аренды) или иных юридически значимых документов, подтверждающих правомерность использования программного обеспечения, заверенных печатью организации;

- копию настоящей инструкции.

            Все компьютеры, находящиеся на объектах Заказчика должны быть маркированы лицензионными наклейками, подтверждающими правомерность использования операционной системы (Microsoft Windows XP или Microsoft Windows Vista в соответствии с фактически установленной).

            Лицензионные ключи на программное обеспечение, указанные его при установке должны соответствовать фактически указанным на наклейках (коробках) или в лицензионных соглашениях.

            Установка и использование любого программного обеспечения, правомочность использования которого не подтверждена документально (включая свободно распространяемые, бесплатные, самостоятельно разработанные и пр.) не допускается. В случае использования свободно распространяемого (Open Source) программного обеспечения необходимо иметь распечатанный текст лицензии, на основании которой это программное обеспечение используется.

            Хранение на компьютерах и серверах объекта, а также на иных информационных носителях (flash-диски, носители CD/DVD, жесткие диски) дистрибутивов программного обеспечения (даже без их установки на компьютеры) правомочность хранения которых  не подтверждена документально (включая свободно распространяемые, бесплатные, самостоятельно разработанные и пр.) не допускается.

2. Нормативные документы и правовая ответственность за использование нелицензионного программного обеспечения.

Ответственность за использование нелицензионного программного обеспечения предусмотрена следующими нормативными документами:

- уголовный Кодекс РФ, ч. 2 и 3 ст. 146;

- гражданский Кодекс РФ, ст. 1301;

- кодекс РФ об Административных Правонарушениях (КоАП), ч.1 ст. 7.12;

- международные конвенции, в которых участвует Россия.

На основании этих документов за использование нелицензионного программного обеспечения предусмотрены следующие виды ответственности:

 

ВИДЫ

ОТВЕТСТВЕННОСТИ

КТО НЕСЕТ

ОТВЕТСТВЕННОСТЬ

САНКЦИИ

УГОЛОВНАЯ

ДОЛЖНОСТНОЕ ЛИЦО

(ИТ руководитель и/или

Руководитель

предприятия)

До 6 лет лишения свободы ,

ШТРАФ ДО 500 000 руб.

АДМИНИСТРАТИВНАЯ

ДОЛЖНОСТНОЕ ЛИЦО

ЮРИДИЧЕСКОЕ ЛИЦО (ИП)

ШТРАФ:

От 10000 до 20000 руб.

От 30000 до 40000 руб.

с конфискацией контрафактных экземпляров программ, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения;

ГРАЖДАНСКО-ПРАВОВАЯ

ЮРИДИЧЕСКОЕ ЛИЦО (ИП)

КОМПЕНСАЦИЯ в пользу правообладателя от 10000руб. до 5 000 000 руб.,

           

            Административная ответственность наступает в случае обнаружения контрафактного программного обеспечения на сумму до 50 000 руб., уголовная ответственность – в случае обнаружения контрафактного программного обеспечения на сумму более 50 000 руб. Гражданско-правовая ответственность наступает независимо от административной либо уголовной ответственности.

            Проверки лицензионности программного обеспечения в соответствии с законодательством Российской Федерации могут проводиться без заявления правообладателя. В случае возбуждения уголовного дела даже в случае достижения договоренности с правообладателем прекращение дела в досудебном порядке за примирением сторон невозможно  в связи с квалификацией данного правонарушения как особо тяжкого. 

 

3. Действия при проведении проверок.

Проверки лицензионности программного обеспечения могут проводиться следующими организациями:

- подразделения службы криминальной милиции Министерства Внутренних Дел (УБЭП, УСТМ и другие);

- налоговая инспекция;

- таможенные органы;

.- органы прокуратуры.

При проведении и проверок сотрудники проверяемого подразделения Заказчика (директор и системный администратор) должны:

- сообщить о факте осуществления проверки сотрудникам, ответственным за юридическое и бухгалтерское обслуживание Заказчика;

- проверить наличие у проверяющих постановления о проведении проверки и служебных удостоверений; в постановлении о проведении проверки должны быть обязательно указаны дата проведения проверки, наименование организации и адрес ее размещения; должность, фамилия и подпись начальника, отдавшего распоряжение о проведении проверки, гербовая печать;

- проверить, что среди проверяющих имеются как сотрудники правоохранительных органов, так и специалист, и понятые;

- назначить и предоставить в распоряжение проверяющих двух свидетелей (ими могут быть любые сотрудники организации);

- предоставить в распоряжение проверяющих компьютеры и имеющиеся документы только по их запросу;

-  при наличии возможности – провести фото или видеосъемку процесса проведения проверки.