Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Podstawowe zasady zarządzania licencjami

Data publikacji: 21-01-2019 Autor: Tomasz Cygan

Zarządzanie licencjami na oprogramowanie jest ważnym elementem bezpieczeństwa informatycznego, a problemy związane z tym zagadnieniem mogą prowadzić do zaburzenia, a nawet wstrzymania procesów biznesowych.

 

Zarządzanie licencjami znajduje również przełożenie na wymagania ochrony danych osobowych wynikające z rodo, choćby w zakresie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania (art. 32 ust. 1 lit. b rodo), a także zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (art. 32 ust. 1 lit. c rodo). W związku z powyższym warto podjąć próbę zdefiniowania podstawowych zasad dotyczących zarządzania licencjami na oprogramowanie. Jednak przed przystąpieniem do spisywania zasad i zatwierdzania procedur należy zidentyfikować sprzęt oraz posiadane licencje.

> INWENTARYZACJA ZASOBÓW

Jak zauważył Peter Drucker, uważany za jednego z najwybitniejszych myślicieli i teoretyków zarządzania XX wieku – jeśli nie możesz czegoś zmierzyć, nie możesz tym zarządzać. Podstawowym elementem każdego procesu jest inwentaryzacja posiadanych zasobów. W przypadku licencji na oprogramowanie działanie to może przyjąć postać ograniczoną wyłącznie do zliczenia i pogrupowania posiadanych licencji. Natomiast warto rozważyć pełniejsze podejście do inwentaryzacji tego typu zasobów – takie działania można wówczas połączyć z pełnym rozliczeniem każdego użytkownika z posiadanego sprzętu, nadanych uprawnień oraz używanego oprogramowania specjalistycznego i biurowego. Podejście to powinno uwzględniać także rzeczywiste potrzeby użytkownika oraz jego zakres obowiązków. Warto przy tym pamiętać o udzieleniu pozwolenia dotyczącego samodzielnego instalowania lub aktualizacji posiadanego oprogramowania lub zakazie podejmowania tego typu działań (systemy aktualizuje osoba odpowiedzialna za to) czy też konieczności każdorazowego uzyskania zgody.

Inwentaryzacja powinna obejmować również usługi udostępniane organizacji zdalnie, np. w przypadku korzystania z usług w modelu Soft­ware as a Service. Z jednej strony może to utrudniać zarządzanie takim oprogramowaniem (np. w zakresie zarządzania uprawnieniami), z drugiej jednak może okazać się konieczne zawarcie z dostawcą takich usług umów powierzenia przetwarzania danych. Oczywiście w sytuacji gdy dostawca jako podmiot przetwarzający przetwarza dane osobowe w imieniu administratora.

> OCENA REALNYCH POTRZEB

Zarządzając licencjami, warto uwzględniać rzeczywiste potrzeby organizacji i użytkowników, przede wszystkim po to, aby uniknąć zakupu licencji, z których nikt nie korzysta (kwestie ekonomiczne). Należy też zwrócić uwagę na rodzaj posiadanych czy nabywanych licencji. Dotyczy to zwłaszcza licencji stanowiskowych oraz możliwości ich elastycznego przekazywania pomiędzy użytkownikami w zależności od aktualnych potrzeb.

Posiadanie licencji nadmiarowych może być uzasadnione w przypadku, gdy rodzaj prowadzonej działalności, a także np. wyniki analizy ryzyka uzasadniają posiadanie dodatkowych licencji, których uzyskanie w krótkim czasie jest co najmniej utrudnione. Jednocześ­nie biorąc pod uwagę różne potrzeby i dostępne formaty oprogramowania, trzeba pamiętać o kompatybilności.

> RÓŻNE PLATFORMY I SYSTEMY

Włączenie wielu typów urządzeń do systemu informatycznego firmy może skutkować pojawieniem się różnego rodzaju zagrożeń. W pierwszej kolejności wskazać należy sytuację, gdy na sprzęcie używanym w ramach modelu BYOD zainstalowane jest nielegalne oprogramowanie. W takiej sytuacji zasadnicze znaczenie ma regulacja wynikająca z art. 117 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jedn. DzU z 2006 r. nr 90, poz. 631). Zgodnie z jego treścią: „kto bez uprawnienia albo wbrew jego warunkom w celu rozpowszechnienia utrwala lub zwielokrotnia cudzy utwór w wersji oryginalnej lub w postaci opracowania, artystyczne wykonanie, fonogram, wideogram lub nadanie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Natomiast jeżeli sprawca uczynił sobie z popełniania przestępstwa stałe źródło dochodu albo działalność przestępną organizuje lub nią kieruje, podlega karze pozbawienia wolności do lat 3”.

 

Oznacza to, że do powstania odpowiedzialności karnej użytkownika prowadzi już samo utrwalenie (np. pobranie) oprogramowania bez uprawnienia lub wbrew warunkom jego licencji. Jednocześnie należy zauważyć, że w sytuacji gdy pracodawca narzuca lub godzi się na wykorzystanie sprzętu zawierającego nielegalne oprogramowanie, może on narazić się na odpowiedzialność za organizowanie działalności polegającej na utrwalaniu cudzego utworu w wersji oryginalnej. Oczywiście, wiele zależy od okoliczności faktycznych danej sprawy. Do podobnych wniosków prowadzi sytuacja, w której na sprzęcie firmowym zainstalowane jest oprogramowanie przeznaczone do użytku domowego. Wówczas będzie ono wykorzystywane niezgodnie z warunkami licencji, co może prowadzić do odpowiedzialności na podstawie wskazanych powyżej przepisów prawa.

 

[...]

 

Adwokat, doświadczony konsultant i wykładowca, autor publikacji z zakresu bezpieczeństwa informacji oraz ochrony danych osobowych, współautor bloga poświęconego ochronie danych osobowych, audytor wewnętrzny normy ISO/IEC 27001:2014-12. 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"