Практические рекомендации по лицензированию ПО

Практические рекомендации по лицензированию ПО

Отказ от использования нелегального программного обеспечения — такая тема занимает в последнее время умы едва ли не большинства ИТ-директоров. Главным движущим фактором является усиление контроля в правовой сфере, громкие уголовные процессы, изменения в законодательстве в сфере защиты авторских и смежных прав, участившиеся случаи привлечения к ответственности ИТ-директоров и системных администраторов. При этом плюсы перехода на лицензионное ПО очевидны: это доступность технической поддержки, своевременные обновления безопасности.

Приятной для большинства CIO тенденцией можно назвать возросшее вниманиенетехнических руководителей организаций к надежности информационной инфраструктуры, а также к управлению рисками, связанными с использованием ИТ. Финансовые директора идут дальше — им требуется прозрачность бюджетирования, понимание отдачи от инвестиций и управление программным обеспечением как активами.

И таким образом, ИТ-директора подошли к ситуации, когда так называемая "легализация" им стала необходима.

Подходы к "легализации" ПО

Основных подходов два. Первый заключается в устранении нелегально используемого ПО и закупке необходимых лицензий по состоянию на определенный момент времени. Этот вариант и называется "легализацией".

Второй подход — внедрение технологий управления лицензиями, комплекса политик, процессов и процедур, стратегически направленных на эффективное управление активами программного обеспечения. Задача — постоянно поддерживать эффективность использования ПО, его соответствия бизнес-процессам в организации.

При этом к работам можно привлекать специалистов из консалтинговых компаний либо поручить весь проект специализированной компании. В любом случае проект идет по примерно одинаковому плану. Отличаться может количество этапов и затраты на каждый из них.

Этапы проекта по внедрению технологий управления лицензиями

Предваряет работы этап их первоначальной оценки — "этап знакомства". Необходимо получить общее представление об организации и ее ИТ-инфраструктуре и используемом софте, провести первичную оценку объема и бюджета работ.

До начала работ стоит также ответить на ряд деловых и административных вопросов. Кто и как управляет закупками ПО? Кто отвечает за поддержку пользователей? Кто отвечает за лицензионную чистоту? Как производится учет активов? Как хранятся дистрибутивы, контракты, пользовательская документация?

Среди технических вопросов стоит уделить внимание тем, от которых зависят затраты на проведение дальнейших работ. Сколько компьютеров в организации? Сколько подразделений: филиалов, складов, как они связаны? Какое количество мобильных устройств используется и как сложно получить к ним доступ для проверки?

Затем можно приступать к работам по аудиту. Для начала необходимо выяснить, какое ПО и в каком количестве установлено и используется в организации. Важно получить цифры с точностью до единственной копии, так как даже одно нелицензированное использование софта является нарушением.

"Легкие" инструменты

На этом этапе можно воспользоваться автоматизированными средствами аудита и учета использования ПО. Если цель работ — однократная "легализация", можно остановиться на "легких" инструментах. Такие программы, как правило, имеют невысокую стоимость, от 200 рублей за один компьютер, иногда бесплатны, не требуют сложного внедрения, а зачастую вообще могут быть запущены с рабочей станции. В числе таких средств можно отметить, например, Microsoft Software Inventory Analyzer, доступный бесплатно. Однако имеются у "легких" инструментов и свои недостатки. Чем ниже цена, тем, как правило, меньше возможностей для аудита, меньше база определяемого программного обеспечения, менее придирчивы механизмы проверки. Некоторые продукты невозможно определить путем сканирования только реестра, без проверки содержимого жестких дисков. А некоторые ИТ-решения требуют особых условий их лицензионного использования.

Профессиональные средства управления активами

Если перед организацией стоит задача решить стратегические вопросы управления активами ПО, стоит выбрать профессиональное средство управления активами. В числе таких средств можно отметить Microsoft System Management Server (SMS), Avocent LanDesk.

При оценке затрат необходимо учесть не только стоимость лицензии на сам инструментарий, но и затраты на его установку и настройку. Благодаря таким программам, организация получает возможность управлять активами, получать информацию об их использовании в реальном времени, контролировать установку и использование, превентивно реагировать на изменения, централизованно распространять и удалять многие программные продукты.

Затраты на данном этапе складываются из стоимости средств аудита, их внедрения, а также работ собственно по аудиту. Результатом этапа должен стать детальный отчет об установленном и используемом ПО.

Такие разные лицензии

Следующий шаг — сбор информации о лицензиях в наличии для сравнения данных, то есть проведение аудита лицензионности ПО в организации.

Здесь следует учитывать, что лицензии встречаются как на бумаге, так и электронные. Обратите внимание на условия использования бесплатного ПО. Например, бесплатная версия антивируса AVG может быть установлена только на личных компьютерах, а бесплатная версия Google Earth — на любом компьютере, но только для личных целей.

Лицензии могут сопутствовать другие документы, такие как наклейки на корпус компьютера (обычно для OEM-версий продуктов), сертификаты подлинности (COA), документация на программное обеспечение собственного производства. Помимо этого, каждой лицензии должны сопутствовать "доказательства приобретения": контракты на поставку, накладные и счета-фактуры.

Мастер-копии и дистрибутивные копии, независимо от типа поставки, подлежат учету и аудиту. Лицензия может требовать наличия и других сопутствующих активов, например упаковки и руководства по эксплуатации.

Важно понимать, что лицензия — это юридически сложный документ с техническими особенностями. Профессиональные юристы не во всех случаях могут понять и увидеть все спорные аспекты и ограничивающие условия. Для работ по анализу лицензий требуется привлечение профессионала в этой области.

Затраты на этапе зависят от количества используемого ПО и того, как ранее учитывались и хранились лицензии и связанные активы.

Если цель — однократная "легализация", на этом техническую часть работ можно считать завершенной. Однако в любом случае необходимо провести оценку итогов аудита и закупить недостающее лицензионное ПО. Помимо этого могут быть выявлены неоптимальные схемы лицензирования и закупок, и, как это ни странно звучит, излишнее лицензирование, как по некоторым продуктам, так и в целом по организации Работы по "легализации" заканчиваются в тот момент, когда все используемое программное обеспечение полностью соответствует приобретенным лицензиям.

Что дальше?

Есть ли смысл после "легализации" внедрять технологию управления лицензиями? Выбор стоит между постоянным "латанием дыр", то есть регулярным приведением лицензий в соответствие используемому ПО, и устранением самих причин возникновения недостатков лицензирования.

В том случае, если организация принимает стратегическое решение, подспорьем в дальнейших работах и основой для внедрения внутренних политик, процессов и процедур может послужить стандарт ISO/IEC 19770-1:2006 "Information technology — Software asset management — Part 1: Processes".

Преимуществом внедрения SAM для управления финансами является снижение затрат на закупку ПО — как за счет скидок от правильно спланированных объемных закупок, так и за счет снижения общего объема закупок при помощи оптимизации лицензирования и повторного использования лицензий. Другой плюс — меньшие затраты на переговоры с поставщиками за счет доступности более полной информации об активах организации, внутренних стандартах и потребностях. Стоит отметить также оптимизацию бюджетирования, оптимизацию расходов на управление активами за счет правильного внедрения процессов управления лицензиями и снижение расходов на техническую поддержку.

На основе стандарта ISO/IEC 19770 организация вырабатывает собственные правила, политики, процессы и процедуры, регулирующие такие аспекты, как учет, хранение активов, их использование, стандартизацию рабочих мест, процессы обновлений, установки программного обеспечения, процессы внесения изменений, процессы инцидентной поддержки, повторного использования лицензий и их вывода из эксплуатации. Всего стандарт устанавливает более 20 групп различных политик, процессов и регулярных процедур, направленных на профессиональное, эффективное управление программным обеспечением и связанными активами.

Переход к полному соответствию стандарту не может быть осуществлен моментально. Внедрение может затрагивать многие процессы в организации, поэтому нужен продуманный план действий. Универсального плана перехода не существует.

Что внедряем?

К внедряемым техническим средствам относятся средства регулярного подсчета установленных копий программного обеспечения и использования лицензий.

Внедряемые базы данных — это базы данных по наличию базовых (underlying) лицензий, полных (effective full) лицензий, контрактов, лицензионных соглашений, электронным способом подписанные документы, ключи (любая согласительная электронная документация, связанная с активами SAM).

В обязательном порядке внедряются журналы (протоколы). Это как минимум управление закупками и отношениями; управление изменениями, инцидентами и проблемами; управление установкой; управление разработкой и выпуском релизов.

Утвержденные процедуры должны быть поддержаны приказами в соответствии с принятыми в организации практиками, изменениями в соглашения с подрядчиками, заказчиками, изменениями в трудовых соглашениях.

Через полгода или год необходимо провести аудит результатов внедрения. Если планируется сертификация ISO, такой аудит обязательно будет назначен. Его всегда нужно делать силами привлекаемых сторонних специалистов-подрядчиков.

Александр Голев,
директор "Кварта Консалтинг"