Илья Панкратов, директор по консалтингу,Александр Устимчик, менеджер по ИТ-инфраструктуре,Лилия Фадеева, руководитель направления SAM,Андрей Щуренков, руководитель инновационных проектов,Consistent Software Distribution (CSD – ЗАО «Консистент Софтвеа Дистрибушн»)

Согласно исследованиям BSA/IDC ситуация с нелегальным использованием ПО в России вот уже на протяжении последних 11 лет меняется в лучшую сторону. Одновременно меняется и ценность управления программным обеспечением как активом. Еще несколько лет назад было вполне привычным считать достижение лицензионного соответствия основным результатом применения методик SAM. На фоне масштабного использования коммерческого программного обеспечения без покупки необходимых для этого лицензий в странах СНГ, Восточной Европы, Южной Америки и ряде других стран подтверждение лицензионной чистоты для российских компаний было самодостаточной задачей.

Благодаря усилиям ведущих вендоров ПО многие компании начинают системно подходить к вопросам лицензирования. В рамках специальных программ, направленных на проведение периодических SAM-аудитов, правообладателям удается обратить внимание заказчиков не только на вопросы соответствия правилам лицензирования, но и на выстраивание процессов управления программными активами. Наиболее успешным примером такой работы можно считать программу SAM Services компании Microsoft.

В последние годы мы наблюдаем увеличение доли компаний, которые расценивают менеджмент программных активов в первую очередь как средство повышения эффективности. Действительно, планомерный и системный подход к внедрению SAM может принести существенную экономию. К основным источникам этой экономии относятся: точная информация об установленном ПО при закупках, отказ от неиспользуемого ПО и от избыточной техподдержки, консолидация скидок при лицензировании и экономия трудозатрат при централизованном развертывании ПО.

В любом случае, идет ли речь о единовременном аудите ПО или о полномасштабном внедрении методологии SAM, необходимо обеспечить достоверные данные об использовании программных продуктов. Цели проекта и масштаб компании во многом определяют выбор технических инструментов, позволяющих упростить или автоматизировать процесс сбора данных. Условно можно выделить два класса решений: средства для инвентаризации ПО и полноценные платформы для управления лицензированием. Для компаний, приступивших к проектам начального уровня, необходимо прежде всего актуализировать информацию об установленном программном обеспечении для последующего анализа своими силами или с помощью внешних консультантов.

Безусловно, можно форсировать события и начать с внедрения дорогостоящей платформы для постоянного мониторинга соответствия правилам лицензирования. Но более разумным решением будет единовременная оценка рисков с использованием простых инструментов.

Подходящий простой SAM-инструмент

Как выбрать подходящий? Сразу оговоримся, что не стоит списывать со счетов вариант подсчета своими силами: мы были свидетелями изобретений различной сложности «колеса», продиктованных в основном требованиями политик безопасности. Комбинацией различных технологий можно достичь приемлемого результата с помощью скриптов. Например, связка VBS/PowerShell в сочетании с WMI – наиболее верный вариант для сред Windows. Однако это скорее исключение, и основная аудитория ориентируется на готовые решения.

Такие программные продукты могут быть бесплатными (MAP, Spiceworks), с открытым кодом (OCS Inventory NG, Fusion Inventory) и платными (Lansweeper, Network Inventory Advisor). Выбор зависит от наличия финансовых средств, однородности среды и возможности установки агентов. На все эти вопросы лучше ответить заранее, но последний заслуживает отдельного комментария.

Агент – это небольшая программа, занимающаяся сбором данных на каждом устройстве (ноде) и посылающая эту информацию на управляющий сервер. Как правило, применение агентов обеспечивает более высокую точность, поскольку:

  • позволяет отслеживать запуск исполняемых файлов независимо от реестра и наличия самого файла на локальном диске;
  • запуск агента и сканирования привязан к запуску самого компьютера, а отправка отчетов – к наличию в сети управляющего сервера.

Существенный минус агентов состоит в том, что сама необходимость установки и решения связанных с ней проблем может затормозить процесс внедрения. Поэтому в некоторых случаях используется сканирование без агентов. В среде Windows оно происходит обычно по интерфейсу управления Windows (WMI) и при наличии прав администратора на сканируемой системе позволяет получить массу полезной информации об установленном ПО и системе в целом. В качестве дополнения используются метод сканирования удаленного реестра и мониторинг запущенных сервисов. Точность подобных измерений (70–90%) приемлема для большинства задач инвентаризации.

Самый простой инструмент для среды Windows – Microsoft Assessment and Planning Toolkit (MAP). Он имеет свои ограничения, поскольку в основном ориентирован на сбор данных о продуктах Microsoft: Windows Server, SharePoint, System Center Configuration Manager, Exchange, Lync, Forefront Endpoint Protection, SQL Server и Remote Desktop Services. Работает без применения агентов.

Помимо MAP обороты набирает бесплатное решение от Spiceworks Community. Оно не только бесплатно, но и универсально – получает данные с Windows, Mac, UNIX-систем и сетевых устройств по протоколу SNMP. Само сообщество Spiceworks вызывает лишь позитивные эмоции у любого специалиста. Однако управляющий веб-интерфейс работает только под Windows и прилично тормозит, в самом интерфейсе встроена реклама, да и возможности построения отчетов ограничены.

В редких случаях может стоять задача избежать запуска ПО с закрытым исходным кодом для сбора данных об инфраструктуре: как правило, такое ограничение могут накладывать требования службы информационной безопасности. Еще одной причиной использования продуктов, распространяемых под лицензией GNU, может стать заточенность инфраструктуры под UNIX-подобные системы при условии использования коммерческого ПО. Здесь следует обратить внимание на OCS Inventory NG или Fusion Inventory (плагин для GLPI). Рассмотрим подробнее первый. OCS Inventory позволяет собирать данные практически с любой операционной системы посредством установки агента: Windows, Linux, *BSD, Sun Solaris, IBM AIX, HP-UX, MacOS X. Сам сервер тоже может быть развернут на любой ОС, кроме IBM AIX, HP-UX, а также Home-редакциях Windows. Из минусов здесь можно упомянуть возможные (но решаемые) проблемы с локализацией и более высокий уровень сложности по сравнению с решениями под Windows.

Среди коммерческого ПО для инвентаризации наибольшую популярность завоевали Lansweeper и Network Inventory Advisor. При практически одинаковой цене они обладают схожим функционалом – успешно сканируют гетерогенные сети (Windows, MacOS, Linux), позволяют комбинировать agentless- и agent-based сканирование, запускать его по расписанию, создавать настраиваемые отчеты. Отличия состоят разве что в интерфейсе: Lansweeper настраивается из своего веб-сервера, запускаемого под IIS/IIS Express, тогда как Network Inventory Advisor имеет GUI, основанный на Ribbon-интерфейсе (как в MS Office). Помимо этого система построения собственных отчетов в Lansweeper показалась нам намного более продвинутой, хотя для решения базовых задач пользоваться ею сложнее.

SAM-платформы с продвинутой аналитикой

Все технические инструменты, описанные выше, способны решить лишь часть задач, возникающих при внедрении методологии SAM. После сбора данных об установленном ПО необходима аналитика с пониманием как инфраструктуры, так и программ лицензирования каждого конкретного вендора. Чтобы автоматизировать большую часть работы и быть уверенным в ежедневном соответствии политикам лицензирования, нужно обратиться к полноценным платформам для управления лицензиями.

Что же могут дать нам эти системы? Помимо стандартной функции сбора данных в них заложена интеллектуальная составляющая – отчетность в соответствии с программами лицензирования крупных вендоров. С помощью агентов и постоянно обновляющейся базы они автоматически определят принадлежность продукта к набору (например, suite, bundle), использование по праву upgrade/downgrade, право на использование одной копии на двух или более устройствах, анализ виртуализованных сред, частоту использования и много других нюансов (например, возможность оценки лицензионного соответствия не только по одной компании, но и с учетом нескольких юридических лиц). Большинство имеет возможность выгружать данные из SCCM, LANDesk, Altiris, при этом данные проходят процесс «очистки» или «нормализации» для дальнейшего использования. Кроме того, современные инструменты позволяют загрузить информацию о приобретенных лицензиях, автоматически распознать и отсортировать продукты, например, импортировав Microsoft License Statement.

К системам данного уровня можно отнести FlexNet Manager и Snow License Manager. В 2013 г. в список лидеров входил продукт License Dashboard, но в настоящее время он перестал распространяться в «коробочном» варианте и теперь предлагается как SAM-сервис на базе собственной платформы, что представляется более современным, но менее гибким подходом.

Рис. 1. Решения FlexNet Manager для автоматизации процессов управления лицензиями

Конечно, решения подобного класса доступны далеко не каждой организации, поскольку обе системы имеют относительно высокую стоимость лицензий, внедрения и поддержки. Они лицензируются по количеству управляемых устройств, можно приобрести бессрочную лицензию или подписку. В случае бессрочной лицензии неизбежны постоянные расходы на обновление баз, а потому подписка может быть привлекательным вариантом для ряда заказчиков. В целом стоимость владения такой системой напрямую зависит от масштабов организации и, по некоторым оценкам, сравнима с аутсорсингом SAM.

Возможности Программное средство
  MAP Spiceworks OCS Inventory Lansweeper Network Inventory Advisor FlexNet Manager Snow License Manager
Режим работы Без агентов Без агентов С агентами Оба Оба Оба Оба
Определение виртуальных машин Да Да Да Да Да Да Да
Определение баз данных Да Да Возможно с плагинами Да Да Да Да
Интеллектуальное распознавание приложений Нет Нет Нет Нет Нет Да Да
Создание контрактов Нет Нет Возможно при интеграции с GLPI Да Да Да Да
Возможность обработки данных стороннего ПО (SCCM, Altiris) Нет Нет Нет Нет Нет Да Да
Шаблоны лицензий Нет Нет Нет Нет Нет Да Да
Учет актуальных моделей лицензирования вендоров (Software Assurance, Upgrade/Downgrade, пр.) Ограничено Нет Нет Нет Нет Да Да
Импорт MVLS / Экспорт ELP Нет Нет Нет Нет Нет Нет Да

Таблица. Сравнение программных средств SAM

Следующий уровень зрелости SAM: аудит процессов

И все же программное решение – это только средство для автоматизации процессов. Выбор и развертывание средства можно рассматривать как один из первых шагов по внедрению SAM в компании. Как инструменты инвентаризации ПО, так и полнофункциональные системы не позволят получить ожидаемого эффекта без должного внимания к оценке и построению процессов управления программными активами.

Как можно оценить текущий уровень и построить целевую модель SAM-процессов? Передовой опыт и лучшие практики в области менеджмента программных активов легли в основу международного стандарта ISO/IEC 19770-1:2012, который предусматривает поэтапное внедрение методик, причем эти этапы («уровни») должны соответствовать потребностям компании с учетом показателей зрелости и приоритетов в управлении. В частности, это позволяет проходить независимую автономную сертификацию на соответствие заявленному уровню. В России существует национальная версия этого стандарта: ГОСТ Р ИСО 19770-1-2014 «Информационные технологии – Менеджмент программных активов. Часть 1: Процессы и оценка соответствия по уровням».

Для оценки SAM-процессов также применяются более упрощенные подходы и инструменты. К ним, в частности, можно отнести SOM-модель (SAM Optimization Model), разработанную компанией Microsoft и используемую для аудита процессов управления ПО в рамках проектов SAM Assessment.

Остановимся более подробно на том, какие области затрагивает построение процессов по методикам международного стандарта ISO/IEC 19770-1:2012.

Рис. 2. Количество процессов, рассматриваемых для соответствия заданному уровню и сгруппированных по категориям SAM-процессов стандарта ISO/IEC 19770-1:2012

На рис. 2 представлены направления (группы процессов), подлежащие оценке, построению или изменению для соответствия тому или иному уровню стандарта. На уровне 1 в центре внимания находятся процессы идентификации и управления инвентаризацией программных активов. Они являются основой для определения используемого ПО. Помимо контроля над установленным ПО требуются анализ записей о приобретенном ПО на основе имеющихся контрактов и проведенных закупок, а также проверка лицензионного соответствия. Эти результаты поддерживаются группой процессов «Процессы проверки правильности и соблюдения соответствия SAM». Перечисленные направления – лишь малая часть того, что необходимо сделать для получения максимального преимущества менеджмента программных активов. Кроме того, они охватывают только базовые процессы SAM.

На уровне 2 внимание акцентируется на административных процессах и процедурах SAM. Это означает, что руководство компании рассматривает менеджмент программных активов как отдельное направление, требующее управления и контроля. Для этого разработаны соответствующие внутренние нормативы, определены ответственные лица. Кроме того, предусмотрены периодические процедуры пересмотра этих нормативов. Внутри компании развиваются собственные компетенции в сфере лицензирования и в области SAM в целом. Отдельное внимание на этом уровне уделяется процессам закупки ПО и контрактов на поддержку, а также процессам финансового управления. Это те направления, где ожидается наиболее значительный эффект, причем для его получения не требуется больших временных или человеческих ресурсов.

Уровень 3 обеспечивает дальнейшую интеграцию процессов менеджмента программных активов в операционную деятельность компании. Расширен набор требований к процессам взаимодействия с поставщиками и финансового управления. Наряду с управлением уровнем обслуживания SAM эти процессы образуют основную группу на данном уровне – «Процесс и интерфейсы управления операциями SAM». Большое внимание уделяется всем этапам жизненного цикла ПО – закупке, развертыванию, поддержке и списанию (выводу из эксплуатации).

Уровень 4 затрагивает каждое направление. Акцент сделан на группе процессов «Планирование и внедрение процессов SAM» – по сути, в нем заложена основа постоянного улучшения и развития менеджмента программных активов в соответствии со стратегическими целями компании.

Каким образом можно зафиксировать полученные результаты по внедрению SAM-процессов? Несколько российских компаний предлагают возможность подтверждения соответствия требованиям международного стандарта ISO/IEC 19770-1:2012 путем проведения аудита на базе разработанных ими систем сертификации (в частности, «Консистент Софтвеа Дистрибушн») или выступая в качестве аккредитованного аудитора одной из таких систем.

Не так давно в России стал доступен еще один вариант – подтверждение внедрения методик SAM по системе сертификации Verafirm Ассоциации производителей программного обеспечения (Business Software Alliance – BSA). Ассоциация объединяет крупнейших вендоров по всему миру, таких как Microsoft, Oracle, Autodesk, Adobe и др. Существенное отличие этой системы сертификации заключается в подтверждении не только наличия действующих SAM-процессов, но и лицензионного соответствия по программным продуктам вендоров – участников программы Verafirm.

Поэтапность внедрения методик SAM стала нововведением текущей версии стандарта и существенно облегчила его применение на практике. В построении процессов управления программными активами можно не ставить заведомо недостижимых целей, а ориентироваться на доступный уровень. Например, без наличия четко регламентированных процедур закупки невозможно устойчиво встроить в них процессы закупки ПО – часть процессов жизненного цикла SAM. Внедряемые процессы должны быть гармонизированы с остальными бизнес-процессами компании, а требования к результатам SAM-проекта следует формировать с учетом уровня организационной зрелости.

Другая привлекательная сторона применения методик SAM – возможность снижения рисков и неэффективных расходов уже на базовых уровнях, или, выражаясь терминами стандарта, в получении «немедленных преимуществ». Наличие работающего средства инвентаризации ПО, процедур управления контрактами и процедур оптимизации лицензий позволяет сразу же достичь экономии затрат. Если в компании нет внутреннего эксперта по лицензированию, можно обратиться к услугам внешних консультантов. Это относительно легко достижимые выгоды, которые не стоит упускать.

Таким образом, после объективной оценки сложности инфраструктуры, масштаба затрат на приобретение ПО и состояния процессов компании можно переходить к практическим шагам – выбору платформы для управления программными активами (средства инвентаризации), оценке процессов SAM и работе по выстраиванию этих процессов на требуемом уровне в соответствии со стандартом ISO/IEC 19770-1:2012.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку