Разнообразные риски нелегального использования проприетарного ПО — актуальная мировая проблема. Но даже если политика компании предполагает покупку и установку исключительно легального ПО, это совсем не означает, что она не несет правовых и технологических рисков, и чем крупнее организация — тем сказанное вернее.
В одной из крупнейших российских нефтегазовых компаний “Башнефть” (входит в топ-10 предприятий России по объему добычи нефти и в топ-5 — по нефтепереработке) с целью решения данной проблемы была внедрена специализированная система по управлению ИТ-активами. О ходе проекта и его результатах рассказали представители компаний “Башнефть” и Arbyte (исполнитель проекта).
Предыстория и основные параметры проекта
Алексей Викулов, руководитель проекта со стороны заказчика, отметил, что основной предпосылкой для его реализации стало отсутствие централизованной базы лицензий (на каждом предприятии велся собственный учет) и связанные с этим высокие правовые риски в случае проверки. Проект стартовал в июне 2011 г., а в октябре 2012-го перешел в стадию промышленной эксплуатации. Помимо нескольких компаний, входящих в “Башнефть”, решением было охвачено порядка семисот АЗС, а общий размер сети управляемых персональных компьютеров составил около 14 тыс. единиц (серверы в перспективе тоже планируется включить в систему у правления ИТ-активами).
В предшествовавшем проекту исследовании инструментов управления жизненным циклом ИТ специалисты компании “Башнефть” изучили продукты мировых лидеров в решениях данного класса, рассказал г-н Викулов, а именно — Symantec (Altiris), Microsoft (SCCM), HP (Asset Manager), LANDesk Software (LDMS, AssetLM), CA (IT Asset Manager), Flexera Software (Flexnet Manager), TruconneXion (AuditPro).
После отсеивания по различным причинам ряда решений на финальной стадии предварительного этапа конкурировали системы компаний LANDesk Software, Flexera Software и TruconneXion, по каждому из которых было проведено бесплатное пилотное внедрение. Сделанный в итоге выбор в пользу продуктов LANDesk докладчик аргументировал более высоким по отношению к перечисленным конкурентам быстродействием при сканировании удаленных ИТ-ресурсов, расширенным функционалом и отсутствием нагрузки при этом на сеть. По словам г-на Викулова, одна из предыдущих версий продукта AuditPro порядка пяти лет эксплуатировалась до этого на одном из дочерних предприятий “Башнефти”, причем довольно масштабно — несколько тысяч лицензий — и в сравнении с выбранным решением сильно проигрывала в скорости сканирования. Продукт компании Flexera понравился в управлении лицензиями, но, как и в случае с AuditPro, заказчика проекта, во-первых, не устроила скорость обработки данных при сканировании, а во-вторых, на тот момент возможность перехода на Windows 7 при помощи FlexNet осталась для заказчика неподтвержденной (“была заявлена, но показать ее не смогли”). Что касается Altiris Symantec, то здесь не устроила цена вопроса, а также отсутствие в системе функционала управления мобильными устройствами.
Однако возможность управления мобильными устройствами рассматривалась заказчиком лишь с точки зрения перспективы развития системы, сообщил г-н Викулов. Функционал будущей системы управления ИТ-активами в первую очередь оценивался в плане автоматизации процессов управления лицензионной информацией о ПО, инвентаризации ИТ-ресурсов (с обязательным штрихкодированием), механизма удаленного доступа к рабочим станциям пользователей (с функциями удаленного управления рабочим столом — перенос данных, просмотр рабочего стола и др.), перевода рабочих станций пользователей на ОС Windows 7 (с поддержкой автоматизации переноса пользовательских настроек и данных), а также возможности дистанционной установки/удаления ПО и интеграции с рядом системных программных продуктов, уже работающих в компании.
По словам г-на Викулова, ключевыми этапами проекта в “Башнефти” стали (последовательно) сбор инвентарных данных об управляемом парке компьютеров, правовой аудит установленного ПО, реализация функционала управления компьютерным парком и, наконец, автоматизация процессов управления ИТ-активами. Итоговая конфигурация решения — LANDesk Management Suite (подсистема инвентаризации и управления компьютерным парком), LAN Desk Asset LifeCycle Management (репозитарий ИТ-активов) и LANDesk Process Management (автоматизация ИТ-процессов). Архитектура системы базируется на одном виртуальном сервере VMWare, на каждом из управляемых компьютеров установлена специальная программа-агент, которая доставлялась на компьютер по протоколу http без существенной нагрузки на сеть (“вес” агента менее 1 мб).
Владимир Максимов, директор по развитию бизнеса департамента программных решений Arbyte, сказал, что архитектурное решение проекта на базе виртуального сервера поначалу вызывало сомнения у специалистов компании (“ожидали, что будет тормозить”). Однако в ходе реализации проекта оказалось, что опасения были напрасны: список из 14 тыс. компьютеров открывается “за секунды”. Представитель исполнителя проекта отметил также, что управление ИТ-активами в рамках проекта было интегрировано с продуктом CA Service Desk (в рамках обслуживания заявок на установку ПО, выдачу оборудования), с модулем IDM (Identity Management, для получения информации о предприятиях, должностях пользователей) и системой Exchange (в целях организации рассылки информации).
Что касается экономики проекта, то внятных комментариев на этот счет, как это часто бывает, не последовало. Однако по словам еще одного представителя заказчика, Алексея Шицина, башкирской компании удалось осуществить то, что на практике встречается не часто, — приобрести продукт “за минимальную цену с максимальным функционалом”, а за счет минимизации количества закупаемых лицензий проект себя окупил еще на стадии внедрения. В качестве двух “побочных” направлений, на которых компания надеется в ближайшем будущем использовать LANDesk и достичь экономической эффективности, г-н Шицин назвал энергосбережение и управление мобильными устройствами.
К любопытным особенностям проекта следует отнести и то, что 90% работ по его реализации было осуществлено в удаленном режиме, без выезда специалистов Arbyte на места, а со стороны заказчика основной объем работы был возложен на одного сотрудника — руководителя проекта Алексея Викулова.
О возможностях инвентаризации и автоматизации управления
О возможностях инвентаризации и автоматизации управления ИТ на базе решений LANdesk рассказал технический директор Arbyte Антон Ступин, но для начала он вспомнил любопытную деталь: в первоначальные планы заказчика входил лишь разовый аудит ПО. Нерациональность такого подхода состоит в том, пояснил он, что как только разовый аудит завершен, его можно начинать заново — за время его проведения наверняка уже произошли новые неконтролируемые изменения с ИТ-активами. В результате выбор был сделан в пользу установки постоянно работающего решения.
В ходе комплексной инвентаризации обнаружение персональных компьютеров осуществлялось по ARP (Add Remove Program) без сканирования сети, причем помимо компьютеров были обнаружены также сетевые принтеры, коммуникаторы и прочие сетевые устройства с полной информацией о каждом из них — вплоть до серийных номеров и производителей (хотя, как пояснил докладчик, задача управления сетевыми устройствами не ставилась).
Когда система заработала, в процессе мониторинга стало возможно отслеживать такие аспекты работы компьютера, как, например, соотношение общего объема мультимедийных файлов и свободного места на диске, и в случае соотношения 10:1 выдавать соответствующее указание о необходимости освободить место для нормальной работы операционной системы. Можно провести сканирование по параметрам — например, на обнаружение исполняемых файлов, а обнаружив один и тот же дистрибутив в нескольких местах, выдавать указание удалить дублирующие размещения. В плане эффективного контроля действий пользователей можно отслеживать, с какими программами они работают, и даже если пользователь запускает исполняемый файл с сетевого ресурса, можно установить, что это за файл, с какого ресурса запускался и как долго работал с ним пользователь. Предусмотрено и разделение прав, ролей и зон доступа администраторов сети (например, администратор по бухгалтерской программе “1С” может видеть только компьютеры, на которых данная программа установлена).
Методология наведения порядка с управлением ИТ
Владимир Максимов в числе прочего остановился в своем докладе на методологических аспектах реализации подобных проектов. Правильный выбор инструментария для управления ИТ-активами предприятия важен, но это только 20% успеха, отметил он. Основная составляющая положительного результата — правильная настройка внутренних бизнес-процессов, которая зачастую требует изменить внутренние политики и даже организационную структуру компании. Именно на это ориентирована методология ITAM (IT Asset Management), отметил представитель Arbyte.
Докладчик подчеркнул, что в отличие от методологии ITIL, которая по сути является методологией управления сервисами, ITAM решает другую задачу — как выстроить бизнес-процессы, чтобы в случае необходимости без проблем пройти аудит правомерности закупки и эксплуатации ИТ-активов.
Согласно ITAM система управления активами (SAM, Software Assets Management) может быть четырех уровней зрелости. На первом, начальном уровне система позволяет осуществлять инвентаризацию ИТ-активов в режиме онлайн. Второй предполагает возможность сравнения данных инвентаризации с данными учета лицензий, а также раздельное управление лицензиями и контрактами. На третьем система способна осуществлять автоматизированный контроль соответствия приобретенных лицензий и установленного ПО вкупе с управлением контрактами и обеспечением непрерывного лицензионного соответствия (т. е. обеспечивает непрерывность соответствия). И наконец, четвертый, высший уровень обеспечивает автоматизированное назначение лицензий с минимизацией неэффективного использования ПО и затрат на лицензии. Построенная в компании “Башнефть” система управления ИТ-активами, определил докладчик, находится по уровню зрелости между третьей и четвёртой ступенями.
Правовой аудит документов на ПО
Яна Иванова, руководитель юридического департамента Arbyte, отметила, что с правовой точки зрения общая цель управления ИТ-активами — выявление нелицензионных продуктов и контроль правомерности использования приобретенных законно, поэтому одной из важных составляющих подобных проектов является правовой аудит правоустанавливающих документов на ПО, основные аспекты которого она и пояснила слушателям.
Систематизация договорной базы и иных разрешительных документов на программные продукты и выявление возможных нарушений, по разным причинам оставшихся незамеченными, — одна из подзадач правового аудита. Например, пояснила г-жа Иванова, договор мог быть заключен в рамках утратившего силу закона, что может привести к правовым коллизиям и необходимости заключать новый договор или дополнительное соглашение к старому. Или такой случай: ПО было приобретено у сублицензиатов, чьи лицензии не были проверены и не соответствуют требованиям законодательства.
Как известно, реализация ПО не облагается НДС, но при одном условии, напомнила Яна Иванова: должен быть лицензионный договор, а лицензия — строго соответствовать предъявляемым к ней требованиям налогового законодательства. Если вдруг в процессе аудита выяснится, что какие-либо требования не были соблюдены (например — лицензию приобрели, а договор заключить забыли), нулевая ставка становится недействительной, а претензии со стороны налоговой инспекции — реальной угрозой.
Необходимо также уточнять сроки действия лицензии и вовремя заключать новый договор либо соглашение о пролонгации, а также установить возможные способы лицензирования программных продуктов и проверить правомерность заключения договоров о приобретении ПО между юридическим лицом и его аффилированными структурами.
Результатом выполнения правового аудита, заключила Яна Иванова, является подготовленное квалифицированными юристами письменное заключение, содержащее информацию относительно законности использования программного обеспечения на момент проведения аудита и имеющее целью исключить возможность его неправомерного использования в перспективе. В случае несоответствия правоустанавливающих документов компании гражданскому или налоговому законодательству РФ в части правового регулирования отношений в сфере интеллектуальной собственности либо в случае юридической некорректности формулировок, используемых в документах, отметила руководитель юридического департамента Arbyte, заключение по итогам правового аудита должно содержать конкретные рекомендации и проекты изменений, которые необходимо внести.