На сегодняшний день увеличилось количество организаций, уполномоченных правообладателями для проведения аудита программного обеспечения, причем в Россию приходят международные компании, имеющие большой опыт такой работы. По данным ассоциации производителей программного обеспечения BSA, расходы российских компаний на урегулирование отношений с правообладателями в связи с незаконным использованием программного обеспечения составили в 2011 году более 63 млн руб., а самая крупная компенсация, выплаченная российской компанией по решению арбитражного суда, превысила 1,7 млн руб. Вместе с тем во многих компаниях набор приобретенных лицензий на программное обеспечение никак не связан с тем, что реально установлено на компьютерах пользователей. Поэтому, несмотря на значительные бюджетные инвестиции в программное обеспечение, организации не защищены от возможного несоответствия купленных и установленных лицензий, что влечет за собой финансовые, юридические и прочие риски.
Сделать прозрачными и гибкими взаимосвязи между легально приобретенным и установленным программным обеспечением, предоставить четкие и своевременные отчеты, дать рекомендации по недопущению несоответствия лицензионным соглашениям в будущем, просветить сотрудников в вопросах, касающихся их поведения по отношению к программному обеспечению в организациях, помочь получить международный сертификат МС ISO/IEC 19770, подтверждающий степень зрелости процессов перед аудиторами и партнерами, — вот основные задачи сервисов по управлению лицензиями.
Работы по упорядочению лицензий на ПО в организации можно разделить на несколько этапов (рис.1). Методологические основы такого разделения заложены в новой версии стандарта МС ISO/IEC 19770-1:2012, модели Microsoft SAM Maturity Model и методологии IAITAM. Поскольку первый стандарт содержит требования не только к процессам управления лицензиями, но и к результатам выполнения процедур, относящихся к управлению ИТ-сервисами в целом, он позволит компаниям подготовиться и пройти сертификацию по другим стандартам ISO в области ИТ, таким как МС ISO/IEC 20000-1:2011 (IS Service Management) и ISO/IEC 27001:2005 (Information Security Management).
Рис.1. Этапы упорядочения лицензий на ПО |
Этап 1. Инвентаризация программного обеспечения, установленного на компьютерах пользователей. Основной задачей этапа является сбор информации о программном обеспечении, установленном на компьютерах организации, и формирование консолидированных отчетов. Ожидаемый результат — предоставление точной, полной и актуальной информации для руководства об установленном на компьютерах пользователей программном обеспечении, необходимой для принятия решений. Ориентировочный срок выполнения данных работ — до нескольких недель в зависимости от масштаба и распределенности организаций.
Этап 2. Стандартизация программного обеспечения. Основной задачей здесь является выполнение работ по анализу предоставленных на первом этапе отчетов и выработка корпоративных стандартов на рабочие места для различных категорий сотрудников. Дополнительно проводится централизация и стандартизация процессов установки программного обеспечения. Ожидаемый эффект от выполнения этапа — сокращение видов используемого в организации программного обеспечения и упрощение контроля за его использованием, что снижает затраты и риски. Ориентировочный срок выполнения данных работ — от одной до нескольких недель в зависимости от масштаба и распределенности организаций.
Этап 3. Достижение соответствия. Основной задачей данного этапа является достижение соответствия приобретенного и установленного в компании ПО. В рамках этапа проводится юридический аудит документов организации, устанавливающих права на использование программного обеспечения: лицензионных договоров, лицензионных соглашений конечного пользователя, документов, определяющих аффилированность подразделений крупных холдингов и т. д. После проведения юридического аудита выявляются случаи несоответствия купленного и используемого ПО, а также даются рекомендации по исправлению найденных несоответствий — от перерегистрации лицензий на программное обеспечение на соответствующие подразделения холдингов (если это позволено правообладателем), до предложения приобрести недостающие лицензии по различным вариантам лицензирования. Ожидаемый эффект — снижение рисков. Срок выполнения данных работ может варьироваться от нескольких дней для небольших организаций до нескольких месяцев для крупных холдинговых структур. Работы выполняет команда специализированных юристов и экспертов по лицензированию программного обеспечения. В рамках крупных проектов для выполнения этих работ предусматривается использование средств автоматизации, например LANDesk Management Suite, LANDesk Asset Lifecycle Manager.
Этап 4. Построение системы учета лицензий. Основная задача здесь состоит в получении своевременных, многопрофильных и основанных на реальных данных отчетов по имеющимся в компании лицензиям, включающих информацию о купленных лицензиях, датах, наличии условий по предоставлению обновлений, информации о том, где были куплены лицензии и условиях приобретения. Основные элементы процедуры учета программного обеспечения базируются на рекомендациях международной ассоциации менеджеров по управлению ИТ-активами IAITAM, изложенных в документах «Управление документацией» и «Управление приобретением», а также на рекомендациях российских юристов. Примечательно, что при построении системы учета 80% работ приходится на построение процессов и только 20% — на их автоматизацию. Ожидаемый эффект — снижение юридических рисков, связанных с нехваткой документов и информации по приобретенному программному обеспечению, а также экономия на затратах по поддержке и обновлению «лишних» лицензий. Срок выполнения данных работ может варьироваться от нескольких дней для небольших организаций до нескольких месяцев для крупных холдинговых структур. Работы выполняет команда специалистов, сертифицированных IAITAM CSAM (Certified Software Asset Management), юристов и специалистов по лицензированию программного обеспечения. Предусматривается использование средств автоматизации.
Этап 5. Построение системы управления программными ИТ-активами в организации. Основной задачей этапа является разработка и внедрение процессов управления жизненным циклом ПО от момента понимания потребности в нем до приобретения, назначения пользователей и списания; оптимизация этого процесса и его автоматизация, минимизация трудозатрат на обеспечение выполнения данных процессов. В рамках данного этапа проводится обследование существующих процессов управления жизненным циклом программного обеспечения, производится их формализация и визуализация, даются рекомендации по оптимизации этих процессов, производится их согласование и автоматизация. Теоретической основой предлагаемых модернизаций являются рекомендации IAITAM, изложенные в документах «Управление приобретением», «Управление списанием», «Управление политиками», «Управление проектами». Ожидаемый эффект — снижение затрат за счет переназначения программного обеспечения между сотрудниками и повышения степени использования имеющихся лицензий, снижение затрат на отслеживание соответствия установленного и купленного программного обеспечения, снижение рисков несоответствия перед аудиторами, снижение затрат за счет автоматизации рутинных операций по установке и удалению ПО вплоть до полностью автоматической обработки заявок на ПО и удаления неиспользуемого ПО без привлечения ИТ-специалистов. Срок выполнения данных работ может варьироваться от нескольких недель до нескольких месяцев в зависимости от степени охвата программного обеспечения.
Рис. 2. Пример взаимосвязи объектов при реализации процессов управления лицензиями |
На рис. 2 приведен пример взаимосвязи объектов при реализации процедуры управления программными ИТ-активами посредством продуктов LANDesk Management Suite и LANDesk Asset Lifecycle Manager в одной из крупных холдинговых компаний нефтедобывающего комплекса. В данном примере под активом ПО понимается виртуальная учетная единица, представляющая собой совокупность всех лицензий на определенное ПО, принадлежащих определенной компании. Система управления активами автоматически выполняет следующие действия.
- При создании или изменении карточки «Актив ПО» система привязывает к ней все лицензии на ПО.
- После согласования запроса пользователя на необходимое ему ПО менеджер в карточке запроса указывает, какая будет использована лицензия, а система создает объект «Назначение на пользователя и устройство», который «привязывается» к карточке лицензии; пересчитывает сводку по имеющимся, назначенным и свободным лицензиям, привязывая данные о лицензии к пользователю и компьютеру; создает задание на установку запрошенного ПО в системе управления компьютерным парком; после успешной автоматической инсталляции или выполнения заявки в службе Service Desk (в случае сбоя) система переводит запрос в состояние «Выполнено».
- При переводе объекта в состояние жизненного цикла «Снять назначение» система управления активами автоматически разрывает связь в карточке соответствующей лицензии; пересчитывает сводку по имеющимся, назначенным и свободным лицензиям; удаляет cоответствующие записи в базе по пользователю и компьютеру; создает задание на удаление соответствующего ПО в системе управления компьютерным парком; после успешного автоматического удаления ПО или выполнения заявки в службе Service Desk система переводит «Назначение на пользователя и устройство» в состояние жизненного цикла «Назначение снято».
- Ежедневно из системы управления компьютерным парком импортируются инвентарные данные об отслеживаемом ПО и статистика его использования (количество инсталляций данного ПО, количество инсталляций без соответствующего назначения лицензии, количество назначений лицензии на ПК, на которых данное ПО не обнаружено, количество назначений лицензии на ПК, на которых данное ПО обнаружено, но не запускалось Х дней, общее количество лицензий на данное ПО, общее количество назначенных лицензий на данное ПО, общее количество доступных лицензий на данное ПО).
Этап 6. Обучение и сертификация специалистов. Основной задачей данного этапа является формирование максимально полного, в рамках служебных иерархий, представления у руководителей и сотрудников организаций о действиях, которые необходимо производить для снижения рисков, связанных с программным обеспечением в организации. В рамках данного этапа руководство и ведущие ИТ-менеджеры организаций должны пройти обучение на сертифицированных курсах по управлению программным обеспечением IAITAM CSAM, включающих тренинги по таким вопросам, как: ведение переговоров по поставке и лицензированию ПО; составление договоров, связанных с ПО; управление соответствиями лицензионным соглашениям; оценка общей стоимости владения ПО и возврата на инвестиции; выбор и внедрение репозитория для управления ИТ-активами; выбор и внедрение инструментария обнаружения и инвентаризации ИТ-активов; разработка стратегических политик, связанных с оптимизацией процессов управления активами (Software Asset Management, SAM); техника управления проектами, связанными с SAM; снижение затрат на протяжении всего жизненного цикла посредством эффективного управления ИТ; успешные техники управления изменениями; текущее законодательство, влияющее на практики SAM.
В рамках данного этапа проводятся работы над составлением Положений по пользованию программным обеспечением для разных групп пользователей. Ожидаемый эффект — возможность самостоятельной организации процессов ITAM в соответствии с международными практиками, снижение рисков, связанных с «человеческим фактором», при пользовании программным обеспечением в организации, создание базы знаний организации по управлению программным обеспечением. Срок выполнения тренингов — от половины дня до нескольких дней в зависимости от целевой аудитории и тем.
Этап 7. Oценка степени зрелости процессов управления ИТ-активами и рекомендации по их совершенствованию. Основной задачей данного этапа является формирование наиболее эффективного плана действий организации по совершенствованию управления ИТ-активами. Работы проводятся на базе анкетирования по методике IAITAM и предполагают обследование предприятия, анализ полученной информации и выдачу рекомендаций по совершенствованию конкретных направлений по управлению ИТ-активами. Ожидаемый эффект — экономия средств для достижения более высокой степени зрелости процессов управления ИТ-активами и снижение соответствующих рисков. Срок выполнения — от одного месяца. В работе предполагается участие специалистов IAITAM.
Этап 8. Сертификация процессов управления ИТ-активами в соответствии с международными стандартами ISO/IEC. Основной задачей данного этапа является проверка действующих в организации процессов управления ИТ-активами на соответствие требованиям стандарта ISO/IEC 197701:2012. В результате успешной проверки выдается сертификат на соответствие любому из четырех уровней подхода к внедрению управления активами ПО. Четвертый уровень — это наивысший уровень управления активами ПО в организации, он предполагает сертификацию на соответствие всем требованиям ISO/IEC 19770-1:2012. Компания может сертифицировать процессы в том количестве и на том уровне, который действительно необходим и который организация сможет поддерживать в рабочем состоянии на данный момент. Ожидаемый эффект — рациональное управление программными активами, прогнозируемые и измеримые результаты управления ими, преобразование бизнес-процессов организации таким образом, что использование нелицензионного ПО становится невозможным. Получая сертификат системы SAM, компания признает значимость процессов управления программным обеспечением, в том числе процессов по недопущению использования нелицензионного программного обеспечения. Стандарт МС ISO/IEC 19770-1:2012 интегрируется со стандартами, использующими процессный подход ISO 9001, ISO/IEC 20000-1, ISO/IEC 27001, сертификация интегрированной системы менеджмента демонстрирует, что управление программными ресурсами организации соответствует уровню, который удовлетворяет требованиям корпоративного управления и который обеспечивает эффективную глобальную поддержку в управлении ресурсами ИТ. Срок выполнения этапа зависит от эффективной численности персонала организации.
Инвентаризация, обучение и анализ степени зрелости процессов — это три отправные точки, с которых можно начать или продолжить построение системы управления лицензиями на программное обеспечение. Компаниям, которые не имеют данных о лицензиях на программное обеспечение, рекомендуется начать с первого этапа. Для всех компаний будет полезным обучение специалистов: от коротких тренингов до сертифицированных курсов (этап 6). Компаниям, уже имеющим значительную степень зрелости процессов — как управления лицензиями на программное обеспечение, так и других процессов, — рекомендуется пройти обследование по методологии IAITAM (этап 7) для определения наиболее эффективных направлений дальнейшего совершенствования процессов управления лицензиями на программное обеспечение и подготовки к сертификации. (этапы 4–5, 8).
Наталья Калиманова (kalimanova@arbyte.com) — руководитель департамента программных решений группы Arbyte (Москва).