Стратегическое управление активами. Система менеджмента программных активов ГОСТ Р ИСО/МЭК 19770-1

Опубликовано: 20 мая 2016 г.

Менеджмент программных активов (Software Asset Management – SAM) является одной из развитых управленческих практик, для которых разработан международный стандарт. За последние 5 лет в России вырос интерес к теме управления программными активами не только как к способу подтверждения и поддержания лицензионного соответствия, но и как к новому резерву повышения эффективности деятельности организации.

Компаниям, стремящимся к повышению качества предоставляемых услуг, необходимо постоянное совершенствование их деятельности. Именно это условие является необходимым для возможности долгосрочного развития в условиях высокой конкуренции. Управление программным обеспечением (ПО) как активом является одним из ключевых направлений оптимизации. Использование лучших практик в этой области, наличие постоянно доступных достоверных данных и их применение в процессах планирования дают организации неоспоримое конкурентное преимущество, а также позволяют снизить риски и оптимизировать затраты, связанные с использованием ПО. Менеджмент программных активов — это методология, направленная на оптимизацию процессов управления программными активами в организации, и предусматривающая учет ПО и документов, подтверждающих наличие прав на его использование (лицензионных сертификатов, соглашений, договоров, бухгалтерских документов), а также разработку и применение регламентов, определяющих управление ПО на всех этапах жизненного цикла. Применение системы менеджмента программных активов дает организации ряд преимуществ:

  1. Систематическая оценка рисков;
  2. Соблюдение действующих законов нормативных документов;
  3. Повышение отказоустойчивости и безопасности ИТ-инфраструктуры;
  4. Увеличение эффективности и продуктивности бизнеса;
  5. Снижение прямых и косвенных затрат на ПО.
Задачи, которые первоначально ставит перед собой организация, обращаясь к методологии SAM, могут быть различными. Самой распространенной из них является разовый аудит, проводимый своими силами или с привлечением внешних консультантов. Целью такого аудита является показать текущее положение дел в сфере лицензирования путем инвентаризации приобретенного и установленного ПО. На выходе демонстрируется лицензионное соответствие и рекомендации о новых закупках. Этот проект включает в себя проведение сбора достоверных данных об установленном ПО, проверку правоустанавливающих документов, лицензионный анализ, подготовку отчетности и рекомендаций. Для организаций с количеством рабочих мест более 100 это достаточно трудоемкая и длительная процедура, требующая установки и настройки автоматизированных средств инвентаризации. Не стоит также забывать, что схемы лицензирования различных производителей ПО достаточно сложны сами по себе и время от времени изменяются вендорами.

Если процессы инвентаризации не поддерживаются процедурами и политиками внутри компании, то через несколько месяцев полученная информация утратит актуальность и для принятия новых решений потребуется повторный аудит. Такое положение дел характерно для подавляющего большинства российских компаний, в том числе признающих значимыми для себя правовые риски, связанные с использованием ПО.

Как правило, организации не выделяют отдельного эксперта по вопросам лицензирования используемых программных продуктов. Тем не менее, если у руководства предприятия есть понимание ценности внедрения SAM, текущее состояние может стать отправной точкой для дальнейшей работы по выстраиванию процессов, поддерживающих управление программными активами. Этот путь выбирают компании, достигшие определенного уровня зрелости с точки зрения процессов управления ИТ. В тех случаях, когда руководство, располагая качественными данными, берет под контроль проблемы управления программными активами, принимаемые им меры обычно идут по двум направлениям:

  1. Вводятся базовые улучшения в административном управлении (например, уточняются роли и обязанности);
  2. Запускаются специальные проекты для устранения выявленных проблем, чтобы незамедлительно получить максимум доступных преимуществ.
Передовой опыт и лучшие практики в области менеджмента программных активов легли в основу стандарта ИСО/МЭК 19770-1:2012 «Информационные технологии. Менеджмент программных активов. Часть 1: Процессы и оценка соответствия по уровням». В России принята национальная версия указанного стандарта – ГОСТ Р ИСО/МЭК 19770-1 – 2014.

Стандарт предусматривает поэтапное внедрение методик SAM, причем эти этапы (уровни) призваны соответствовать потребностям организации с учетом естественных показателей ее зрелости и приоритетов в управлении. Это позволяет проходить независимую автономную сертификацию на соответствие заявленному уровню. В стандарте выделены четыре уровня SAM (рис. 1).


Уровень 1. Достоверные данные. Информация обо всем закупленном и используемом ПО доступна.


Уровень 2. Практическое управление. Руководство организации оценивает степень подверженности рискам, а также потенциал для усовершенствований и оптимизации за счет использования данных, полученных на уровне 1. В результате повышается качество административного управления, что быстро позволяет достичь преимуществ – снижения рисков и сокращения затрат.


Уровень 3. Операционная интеграция. На основе результатов, достигнутых на предыдущих двух уровнях, процессы SAM интегрируются в операционные процессы организации, что влечет повышение эффективности и результативности ее деятельности.


Уровень 4. Полное соответствие стандарту ISO/IEC 19770-1:2012. На этом уровне достигается выполнение более сложные требования комплексного подхода к методологии SAM, включая интеграцию процессов менеджмента программных активов в процессы стратегического планирования организации.

Наличие достоверных данных о приобретенном и используемом ПО в любой момент позволяет подтвердить лицензионное соответствие и соответствие требованиям внешних и внутренних регуляторов, а также оптимизировать затраты за счет эффективного управления программными активами. По данным исследований рыночного спроса на внедрение методологии SAM, соблюдение лицензионного соответствия является приоритетной задачей для всех категорий респондентов. Ниже приведены некоторые дополнительные аспекты, указывающие на необходимость учета и контроля программных активов, которые связаны с требованиями законодательства.

1. Использование только лицензионного ПО является обязательным требованием для вступления в некоторые саморегулируемые организации и для участия в ряде тендеров. В частности, приложениями к постановлению Правительства РФ от 24 марта 2011 г. № 207 устанавливаются требования к имуществу организаций для допуска к строительным работам на опасных и сложных объектах.


2. Согласно постановлению Правительства РФ от 26.06.2013 г. № 644 федеральным органам исполнительной власти и органам управления государственными внебюджетными фондами надлежит обеспечить размещение в системе учета информационных систем сведений об информационных системах и компонентах информационно-коммуникационной инфраструктуры, к которым относятся в том числе технические и программные средства. Предоставлять эти сведения рекомендуется и иным государственным органам.


3. Риски использования неучтенного ПО, которое может представлять угрозу для информационной безопасности организации, приобретают особое значение в связи с принятием Федерального закона «О персональных данных» (№ 152-ФЗ от 27.07.2006), согласно которому оператор при обработке персональных данных обязан принять меры по обеспечению их безопасности.

Рис. 2 иллюстрирует направления (группы процессов), на которые делается основной упор при оценке соответствия тому или иному уровню.
На уровне 1 в центре внимания находятся процессы идентификации и управления инвентаризацией программных активов, которые являются основой для определения набора используемого ПО. Помимо контроля над установленным ПО необходим анализ приобретённого ПО, а также проверка на лицензионное соответствие. Полученные результаты поддерживаются группой процессов: «Процессы проверки правильности и соблюдения соответствия SAM». Как видно из графика, перечисленные направления – лишь малая часть того, что необходимо сделать для получения максимума преимуществ внедрения SAM, кроме того, они охватывают только его базовые процессы.


На уровне 2 внимание акцентируется на административных процессах и процедурах SAM. Это означает, что данный вид менеджмента осознан руководством организации как отдельное направление, требующее управления и контроля, для чего разработаны соответствующие нормативы и назначены ответственные лица. Кроме того, предусмотрены периодические процедуры пересмотра этих нормативов. В компании развиваются собственные компетенции в сфере лицензирования, а также в области SAM в целом. Отдельное внимание на данном уровне уделяется процессам закупки ПО и контрактов на его поддержку, а также процессам финансового управления – это те направления, где ожидается наибольший эффект, причем для его получения не требуется значительных временных или человеческих ресурсов.


На уровне 3 подтверждается дальнейшая интеграция процессов менеджмента программных активов в операционную деятельность организации. Более широкий набор требований к процессам взаимодействия с поставщиками и финансового управления наряду с управлением уровнем обслуживания SAM образуют основную группу процессов на данном уровне – «Процессы и интерфейсы управления операциями SAM». Также большОе внимание уделяется всем этапам жизненного цикла ПО – закупке, развертыванию и выводу из эксплуатации (списанию). Кроме того, уровень 3 предъявляет требования к безопасности программных активов.


Уровень 4 затрагивает каждую группу процессов, при этом наибольший акцент сделан на группе «Планирование и внедрение процессов SAM», так как именно в ней заложена основа постоянного улучшения и развития менеджмента программных активов в соответствии со стратегическими целями компании.


Уровни стандарта ГОСТ Р ИСО/МЭК 19770-1 – 2014 разработаны таким образом, чтобы они удовлетворяли минимальным требованиям к признанию соответствия, однако они не всегда полностью удовлетворяют потребностям организации. Важно отметить, что трудность достижения того или иного уровня сама по себе не является базовым принципом группирования и упорядочивания уровней.

В заключении хотелось бы еще раз подчеркнуть, что применение методик стандарта ГОСТ Р ИСО/МЭК 19770-1 – 2014 – не только способ устранения рисков недолицензирования ПО. Первостепенное значение оно имеет с точки зрения возможности компании для фундаментального улучшения менеджмента. Такие преобразования обеспечивают практические преимущества за счет оптимального баланса между рисками нелегального использования ПО и неэффективными закупками/применением тех или иных программных продуктов. Важно отметить, что при четком следовании стандарту этот баланс соблюдается постоянно и согласуется со стратегическими целями компании.


Одним из наиболее адекватных способов подтверждения внедрения методик стандарта в организации является сертификация в рамках упомянутой выше Системы добровольной сертификации «Менеджмент программных активов». Наличие сертификата, выданного в рамках этой системы, расценивается производителями ПО и бизнес партнерами как значимое свидетельство лицензионной чистоты используемых программных активов.