Стандартизация программного обеспечения
Стандартизация – это область, в которой постоянно увеличивается число участников. Стандарты всегда играли особую роль в телекоммуникационной отрасли, поскольку они являются ключом к функциональной совместимости различных технологий: компьютерных систем, средств связи и передачи сигналов, программного обеспечения и мультимедийных систем. В этой области основной технологической проблемой является проблема взаимопонимания и взаимодействия систем, источником которой служит использование производителями таких технологий различного технологического моделирования и стандартизации. Разработка технологий на основе общих стандартов позволит реализовать принцип взаимной открытости систем, который является важнейшей характеристикой информационного общества. Технологически данный принцип свободного взаимодействия и свойства открытых систем называется интероперабельность, также данный термин определяется и законодательно. Интероперабельность представляет собой одно из главных свойств открытых систем и достигается за счет использования согласованных наборов стандартов.
Существует проблема реализации и разработки программного обеспечения на основе принципа интероперабельности. Так, в настоящее время вопрос принимать на себя обязательство использования стандартов либо нет, решается в добровольном порядке самими организациями. Федеральный закон от 06.12.2011 № 409-ФЗ "О техническом регулировании" в ст. 12 указывает, что стандартизация осуществляется в соответствии с принципоми добровольного применения документов в области стандартизации.
По мнению Т. А. Гусевой и Л. Е. Чапкевич, для некоторых отраслей сформировалась ситуация, при которой "добровольность" трактуется как необязательность исполнения каких- либо требований соответствующих стандартов, когда можно по своему усмотрению или исходя из складывающейся обстановки использовать стандарты[1].
Однако "добровольность" стандартов в развитых странах имеет не тот смысл, который вкладывают наши разработчики. В западном понимании "добровольность" понимается как необходимость и даже обязанность поставщика добровольно возлагать на себя ответственность за выполнение и даже превышение требований, изложенных в добровольных национальных или отраслевых стандартах на продукцию, процесс или услугу. Каждый участник цивилизованного рынка знает, что без выполнения требований действующих добровольных стандартов, разработанных при непосредственном добровольном участии поставщиков продукции или услуги, невозможны не только успешная деятельность, но и само существование организации.
По логике законодательства, добровольно принимая стандарт, субъект определенной деятельности тем самым демонстрирует потребителю безопасность своего производства, что дает ему определенное преимущество в конкуренции.
В то же время, следуя добровольности стандартизации в области аппаратно-программного комплекса, можно предположить, что на рынке появятся и существуют технологии, содержащие ошибки, посредством которых возможно получить информацию третьим лицам. Так, гл. 19 КоАП РФ устанавливает административную ответственность только за нарушения требований технических регламентов, обязательных требований государственных стандартов, правил обязательной сертификации, требований нормативных документов по обеспечению единства измерений, в которые аппаратно-программные комплексы общего назначения не попадают.
Соответственно получается, что согласно сегодняшним взглядам на качество программ возникновение любой ошибки не может быть поставлено в вину правообладателю, разработчику программного обеспечения и, следовательно, не влечет ответственности. Однако ошибки ошибкам рознь, в случае простого сбоя работы системы на компьютере пользователя и дальнейшей перезагрузке в принципе ничего не происходит, за что бы мог понести ответственность разработчик программного обеспечения, в то же время, если этот сбой привел к гибели людей, например отключения медицинского оборудования или утечки и распространения конфиденциальной информации, то в таком случае разработчик должен понести ответственность, так как такие действия произошли по его вине.
По российскому законодательству, если программа причинит вред лицензиату, и будет каким-то образом установлено, что этот вред причинен по вине лицензиара и "не охватывается конструкцией лицензионного договора", то лицензиар должен будет возместить его в полном объеме (ст. 15 ГК РФ) в силу ст. 1064 ГК РФ.
Соответственно в случае применения программного обеспечения и отсутствия стандартов по программному обеспечению, возникает вопрос об ответственности за вред, причиненный третьим лицам, причем условие о работоспособности программы должно являться существенным условием договора.
Отсюда следует, что для того, чтобы обеспечить нормальный оборот программного обеспечения, необходимо подтвердить, что разработанное программное обеспечение прошло какое-то тестирование. В то же время успешное прохождение тестирования еще не означает, что в программе нет ошибок, в том числе препятствующих ее нормальному использованию.
По общему положению, нет вины, если соблюдено все, что требовалось, однако четких требований для определения надежности разработанного программного обеспечения пока не сформулировано. Как было указано выше, в Национальном стандарте РФ ГОСТ Р 54593-2011 определено, что свободное программное обеспечение является безопасной, надежной и финансовопривлекательной платформой для построения информационных систем в корпорациях и государственном секторе. Свободное программное обеспечение обеспечивает: технологическую независимость разработки и использования программного обеспечения от монополиста; независимость в выборе аппаратной платформы; низкую начальную стоимость оборудования; раннее обнаружение дефектов в программном обеспечении и возможность быстрого их исправления; отсутствие обязательной платы за право использования продуктов.
В то же время предусмотрена общая ответственность в области программного обеспечения. Так, Доктрина информационной безопасности Российской Федерации, утвержденная Президентом РФ от 09.09.2000 № Пр-1895, определяет, что организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются, в том числе разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения (п. 5). Согласно ст. 16 Федерального закона "Об информации, информационных технологиях и о защите информации" защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
В нормативных актах закреплена необходимость обеспечения защиты информации и наличия ответственности за неправомерные действия, однако в части аппаратно-программного комплекса таких норм в законодательстве РФ нет. Связано это с добровольностью принятия стандарта разработчиками программного обеспечения и с отсутствием административной ответственности изготовителя продукции за недостоверное декларирование соответствия продукции, в том числе впервые выпускаемой в обращение продукции. В России, если стандарт принят и организация взяла на себя обязательство использовать его, должен возникнуть вопрос об ответственности за неисполнение, либо неправильное исполнение положений, установленных в стандарте.
В 2009 г. Еврокомиссия предложила законопроект о защите потребителей программного обеспечения от ошибок, заложенных в нем, в котором предусматривается ответственность поставщиков программного обеспечения за недостатки программного продукта и возмещение ущерба, нанесенного потребителю в результате его использования. 5 мая 2009 г. Европейская комиссия открыла сайт eYouGuide[2], онлайновое руководство по защите цифровых прав граждан Европейского Союза[3].