Добрый день, Хабр!
В качестве вступления хочу сказать спасибо администрации хабра, благодаря их поддержке мы обзавелись собственным тематическим блогом — habrahabr.ru/blogs/sam
Спасибо!
Все мы знаем, что основная группа риска по вопросам ответственности за нелицензионное ПО в организациях это руководители (они так или иначе отвечают в принципе за всё происходящее в организации) и ИТ-отдел (на который руководителям легче всего спихнуть проблему под лозунгом «я не знал о нелицензе, я думал всё легально, вот специалист — он говорил всё в порядке»).
Если отталкиваться от самого первого топика серии — habrahabr.ru/blogs/sam/97343
то этот будет четвёртым шагом под названием «разработка процедур», в котором говорилось о необходимости разработки внутренних документов, регулирующих весь жизненный цикл программного обеспечения в организации.
Для чего они нужны?
ИТ не стоит на месте, и если мы однажды провели инвентаризацию и полностью избавились от рискованного софта, то это не значит, что такой порядок будет сохраняться постоянно. На следующий день где-то появится новый пасьянс скачанный из сети, потом плагинчик к фотошопу, потом новая версия офиса принесённая из дома и т.д.
Так-же это прямым образом пересекается с вопросом уменьшения ответственности должностных лиц (руководство, ИТ-отдел) за возможные нарушения законов связанные с программным обеспечением производимые пользователями.
Для соблюдения порядка в программном обеспечении необходимо следить за двумя глобальными вещами:
1) Сохранность всей сопутствующей лицензиям документации, для того, что-бы уже имеющееся ПО вдруг не превратилось в пиратское из-за утери одной бумажки.
2) Недопустимость появления нового нелицензионного ПО на компьютерах.
Для этого рекомендуются следующие действия.
1) Разработка и принятие в организации документов утверждающих порядок появления нового программного обеспечения.
Шаблоны этих документов давать не вижу смысла — они сильно зависят от структуры компании. Главное расписать всё как можно подробнее с указанием всех возможных шагов и ответственных за каждый этап.
В качестве подсказки для разработки этих документов можно воспользоваться данной простейшей схемой:
- У пользователя возникает потребность в новом ПО (точнее у него потребность в функционале), он составляет заявку по форме.
- Заявка рассматривается
- В случае подтверждения заявки подбирается определённое ПО под нужные задачи.
- После подбора программы, если она платная — смотрим в реестре лицензий есть свободная лицензия на это ПО или нет.
- Если лицензия есть — устанавливаем пользователю и корректируем списки
- Если лицензии нет — переходим к процедуре получения лицензии
- Для платного ПО — определяем наличие бюджета, для свободного — достаём за минимальную цену.
- В случае отсутствие бюджета — делаем заявку на бюджет и ждём.
- В случае наличия или после выделения бюджета определяем поставщика.
- Заключаем с поставщиком договор, ждём поставку.
- Получаем ПО, корректируем список лицензий
- Устанавливаем пользователю, корректируем списки лицензий.
2) Разработка документа регулирующего порядок использования ПО.
В него вписываем всё, что сотрудника можно делать в этом плане и что нельзя, кроме прочего очень рекомендую внести пункт о сохранности наклеек на корпусах ПК.
3) Внесение дополнений в трудовой договор.
О ответственности за нарушение документов регулирующих порядок использования программного обеспечения и связанных активов на предприятии.
4) Составление списков установленного ПО на компьютерах.
На шагах 2-3,5 общего плана действий мы приводим инвентаризацию установленного софта на компьютерах и избавляемся от лишнего/не нужного.
После этого нам необходимо сделать списки установленного ПО на каждом компьютере (для этого рекомендуется эти наборы стандартизировать, об этом в отдельной теме).
Пример такого документа (составляется отдельный документ на каждый ПК).
***************************************************************
Список программного обеспечения.
Компьютер — тут_пишете_его_уникальное_название
Расположение компьютера — место_дислокации_пк
Сотрудник — тут_за_кем_закреплён_этот_пк
На данном компьютере установлен следующий список программного обеспечения.
номер | понятное название | название | версия | редакция | доп инфо |
---|---|---|---|---|---|
1 | Операционная система | Microsoft Windows | 7 | профессиональная | наклейка на корпус ПК |
2 | Офисный пакет | Open Office | 3.2 | ||
3 | Антивирус | Kaspersky | 6 | ||
4 | Графический пакет | Adobe Creative Suite | CS5 | Design Premium | |
5 | ICQ клиент | QIP | 8095 | ||
6 | Переключатель раскладки | Punto Switcher | 3.1.1 |
Своей подписью пользователь подтверждает наличие на его рабочем месте данного списпа программ и отсутствие других программ на момент составления списка. Добавление, удаление или изменение любых программ производится только согласно принятым в организации политикам использование программного обеспечения. Самостоятельные действия запрещены.
Подпись пользователя ___________________ Подпись ответственного за учёт ПО _______________________
***************************************************************
В список вносится АБСОЛЮТНО ВСЁ самостоятельное программное обеспечение, которое имеется в наличии на компьютере пользователя в установленном или portable видах, не зависимо от типа лицензии и способа распространения.
Каждую бумажку в двух экземплярах, на подпись и хранить по одному экземпляру в общей папке.
Чем поможет такой документ? Он позволит перенести ответственность за действия пользователя на него самого.
Классический пример:
Приходит проверка, находит нелиценз, идёт к руководству с результатми проверки. Руководство делает круглые глаза и говорит что вообще не понимает ничего в этом — есть ответственный человек (сисадмин) и все вопросы к нему. Проверка идёт к ответственному за ИТ и говорит что нашли нелиценз. Админ достаёт большую пачку бумажек и спрашивает — на каком компьютере и что они нашли? На этом компьютере согласно списка данного ПО не было и это самодеятельность сотрудника, за которую он подписался на вот этом листе, а так-же на куче правил использования ПО в организации. Проверка берёт лист и идёт к с вопросами к сотруднику.
Я не могу сказать, что данный пример полностью снимет ответственность со всех кроме пользователя — для этого мне известно слишком мало такой практики, но тот факт, что они помогут её снизить — это очевидно.
Итог
Итого внедрение данного комплекта документации позволит нам поддерживать однажды наведённый порядок в программном обеспечении и не бояться прихода проверки в любой конкретный момент времени. А всех, кто будет порядок нарушать — ждут внутренние исправительные меры.