Портал №1 по управлению цифровыми
и информационными технологиями

Управление лицензиями ПО – зрим в корень

Очень часто сталкиваюсь с тем, что под управлением лицензиями ПО понимают учет установленных экземпляров ПО  и проверку этой информации на соответствие приобретенным лицензиям. Причем под соответствием понимается "сколько штук еще надо купить, чтобы не нарушать". 🙂

Но соответствие лицензионным соглашениям – это "не только ценный мех, но и два килограмма легкоусвояемого диетического мяса" 🙂 Если заглянуть в текст лицензионных соглашений (а особенно лицензионных соглашений с конечными пользователями, EULA), то мы найдем там массу условий и ограничений. Так что если вы честно купили одну лицензию и установили один экземпляр ПО в продуктивной среде – это не значит, что вы не нарушаете.

Соответствию (compliance) уделяется особое внимание и в стандарте по управлению активами ПО (ISO 19770), и в библиотеке лучшего опыта по управлению ИТ-активами (IBPL). 

Проблема в том, что такие условия у каждого производителя разные. Конечно, можно выделить некоторые общепринятые и часто встречающиеся (такую работу проделали ребята из международной ассоциации менеджеров по управлению ИТ-активами, IAITAM, и честно все это зафиксировали в библиотеке IBPL), однако при широком перечне используемого ПО это становится настоящей головной болью.

Мы на собственном опыте этого, что называется, "наелись". При изучении лицензионных соглашений выяснилось много "забавных" фактов: например, Adobe Reader при бесплатном использовании нельзя устанавливать на сервер; Infranviewer можно использовать только в некоммерческих целях, причем под "некоммерческим" понимается использование дома, а не в офисе, ну и так далее. Поэтому я теперь периодически получаю сообщения от ответственного товарища: "Миша, а вот это ПО надо удалить" 🙂

А что же происходит в крупных организациях, где перечень используемых программных продуктов в разы больше? На 99.9% уверен, что в лицензионные соглашения там особо никто и не заглядывает…. 🙂

«Управление ИТ-активами (ITAM)»
Трёхдневный практический курс на основе IBPL, ITIL, COBIT, ISO 20000 и ISO 19770

Комментариев: 21

  • Павел

    Пока нет широкой практики контроля лицензионной чистоты (за исключением некоторых вендоров), то в них никто заглядывать и не будет. Зачем?
    Вообще надо признать, что так и хочется посоветовать вендорам “не заниматься ерундой и быть проще при написании своих соглашений”, зачем писать то, что наврядли кто-то когда-то проверит, а если и проверит, то никаких санкций не примет.

    • “зачем писать то, что наврядли кто-то когда-то проверит, а если и проверит, то никаких санкций не примет”

      Откуда сведения? По-моему и проверяют, и принимают.

      • Георгий

        Как-то даже не смешно. Реально, есть прецеденты проверки бесплатного (условно-бесплатного ПО) на соответствие условиям лицензионного соглашения?? Или есть осязаемые предпосылки, что подобные проверки будут?
        Мне кажется, возможно я ошибаюсь, что такое “зрение в корень” безусловно забавное занятие, но совершенно бессмысленное с точки зрения здравой оценки вероятности рисков и их последствий.
        На территории РФ есть определенный список вендоров, которые активно защищают свои права и пытаются бороться с пиратством, вот их соглашения и надо читать.

        А читать про IfranViewer или adobe reader на сервере – это перебор )

        • Гоша, а почему ты решил, что я писал про бесплатное ПО?
          Вопрос Павла звучал так: “Пока нет широкой практики контроля лицензионной чистоты (за исключением некоторых вендоров), то в них никто заглядывать и не будет. Зачем?”. И он не про бесплатное ПО (или, по крайней мере, не только про бесплатное).

          • Георгий

            Сонный с утра ) прочел пост, там примеры про бесплатное и уже мозг дальше не отреагировал 🙂
            да, про платное ПО все верно. Читать и изучать надо всегда, тк проверки были есть и будут. Впрочем, все известные мне клиенты и партнеры – всегда очень внимательно относятся к этим моментам

        • На территории РФ действительно есть определенный список вендоров, которые активно защищают свои права. Кстати Adobe к ним относится – достаточно посмотреть статистику арбитражных дел. Проблема в том, что даже если у вендора к вам нет никаких претензий, то дело может быть спокойно возбуждено правоохранительными органами. ОБЭП может прийти и без помощи вендора 🙂 И это печальная практика. И если есть факт нарушения авторских прав – наступят последствия. Как я уже заметил, органы не лезут глубоко в лицензионные соглашения. Но это пока. Предлогом для дела может стать и тот же самый IfranViewer.

          • Георгий

            Михаил, ОБЭП может прийти действительно и без вендора. И повод может найти любой. Это известный риск в нашей стране. Просто минимизировать последствия прихода ОБЭПа путем изучения EULA IfranViewer или других подобных программ – это излишнее, мне кажется

          • Pavel Solopov

            Согласен с Георгием, ОБЭП может прийти и без всяких явных для вас поводов. 🙂
            А по лицензиям, в основном, отдел К ходит, это, кажется, не ОБЭП.

            • Ну, про ОБЭП я написал потому, что просмотрев несколько арбитражных дел, никакого отдела К там не встретил 🙂 (выбирал случайным образом). Везде фигурирует ОБЭП 🙂

              • Pavel Solopov

                Просмотрел сейчас презентацию от НППП, действительно две структуры, которые занимаются проверками ОБЭП и отдел К.

      • Pavel Solopov

        Проверяют, принимают, но по достаточно ограниченному кругу вендоров, которые активно работают с соответствующими органами в этом направлении.
        При этом проверяющие, как правило, сами не читают все эти соглашения, они действуют по схеме полученной от вендора. (Информация от специалистов, занимающихся SAM).
        Поэтому я и говорю, что если вендор не собирается мотивировать проверяющие органы работать по его софту и информировать их как и что проверять, то все их условия “от лукавого”.
        Тот же Adobe. Скорее всего, проверяющие даже не станут смотреть на него (по крайней мере на reader, photoshop поинтересней будет), а тем более разбираться установлен ли он на сервере или нет. Они посмотрят на 1С, на MS, и т.д.
        Не говоря уже о всяких там Infranviewer…

        • Как приятно видеть вокруг людей, прекрасно разбирающихся в действиях органов 🙂
          А я вот склонен не согласиться. Причины две:
          1. Органы в своих действиях и трактовках законов для рядового гражданина – как обезьяна с гранатой. Вот пример цитаты из постановления по факту проверки “Поскольку программный продукт «Microsoft Office 2002 Professional RUS» установлен на принадлежащем ответчику ноутбуке в двух экземплярах (рабочая версия и дистрибутив), общая их стоимость составляет 1024 долларов США”. Поэтому не надо строить свою работу на предположениях о том, как они работают.
          2. Чем надеяться, что они плохо сделают свою работу, лучше хорошо сделать свою 🙂 Зачем сначала организовывать контроль обращения ПО, “не парясь” по поводу того или иного ПО, чтобы потом начать делать это заново, когда его поставщик начнёт теснее работать с органами? Нелогично.

          • Pavel Solopov

            вы же сами, Дмитрий, часто говорите про то, что надо всегда думать о рациональности тех или иных действий.
            Например, не собирать в рамках конфига всевозможные сведения, если они нам пока не нужны и т.д.
            Здесь ситуация также, зачем тратить силы и время на то, что возможно пригодится в будущем?
            Я, опять же не то чтобы поддерживаю такой подход, скорее констатирую факт. Но с другой стороны этот подход вполне оправдан, с точки зрения рациональных затрат.

            • Георгий

              редкий случай, я согласен с Павлом 🙂
              Искренне поддерживаю прагматичный и рациональный подход и в данном случае подход “не лезь глубоко, нахрен кому надо” – максимально рационален. По крайней мере пока

        • Павел, дался Вам этот Infranviewer 🙂 Его коммерческое использование, стоит, кстати, целых 507 рублей (посмотрел только-что на каком-то сайте) 🙂 Не 1С, конечно….

  • Верно. Надо бы им написать. До востребования. А то они бегают каждый день на почту, а от нас опять ни звука…

  • До 2008 года и учетом лицензий никто особо не занимался, пока соответствующие законы не появились. Однако несоблюдение лицензионных соглашений влечет нарушение авторских прав, что чревато 🙂 Сейчас штрафуют и дают условные сроки за несоответствие в “штуках”, однако ничто не мешает правоохранительным органам копнуть поглубже – просто пока не пользуются такой возможностью.

    А по поводу множества типов соглашений – проблема глобальна, и пока лично мне известна только одна организация, выступающая в роли адвоката на стороне организаций-пользователей, а не вендоров – это IAITAM. Например, крупные организации могут диктовать условия при заключении соглашений тем же вендорам, и есть прецеденты. “Извините, батенька, но у нас тут есть корпоративный стандарт, хотите продать нам свой софт – давайте корректировать соглашение” 🙂

  • Dmitriy

    IBPL – гугл молчит.. А где почитать можно?


Добавить комментарий для Михаил ТобурдановскийОтменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM