Что такое технология ITAM, для чего и с чем ее едят / Хабр

   OSA: Operational Support and Analysis (Операционная поддержка и анализ)
Service Operation: Incident Management, Problem Management, Event Management, Request Fulfillment, Access Management

   PRO: Planning, Protection & Optimisation (Планирование, Безопасность и Оптимизация)
Service Design: Capacity Managemen, Availability Management, IT Continuity Management, Information Security Management)

   RCV: Release Control and Validation (Управление Релизами и Контроль)
Service Transition: Release and Deployment Management, Service Asset and Configuration Management

   SOA: Service Offerings and Agreement (Сервисные предложения и соглашения)
Service Strategy: Service Level Management, Financial Management, Demand Management

На хабре много пишут о самом разнообразном программном обеспечении для частного и корпоративного использования, начиная от маленьких плагинов и утилит и заканчивая огромными комплексами для распределённых клиент-серверных систем.

Но меня всегда удивляет отношение к такой вещи как программное обеспечение в организациях. Большинство (т.е. больше 50%) из тех, с кем мне приходилось общаться по своей профессии (руководители среднего и высшего звена) вообще не представляют что у них творится с софтом. За парком машин следят — всё наперечёт, за недвижимостью следят, за ТМЦ следят, за туалетной бумагой и то следят, а вот за софтом как-то не очень. Скорее всего это связано с нематериальностью данного «явления» — пощупать нельзя.

Но программное обеспечение это тоже активы предприятия и зачастую более ценные чем другие активы (сравните стоимость любого абстрактного проприетарного серверного решения и стоимость кресла сотрудника). И этот актив рекомендуется держать в порядке. В наведении этого порядка нам и поможет наука называемая Software Asset Management (SAM) — Технология управления активами программного обеспечения.

В этой статье я постараюсь вкратце описать суть этой технологии и как её применить у себя.

Тут я сделаю ремарку во избежании причисления моего топика к многочисленным темам о защите авторских прав и появления множества соответствующих комментариев, речь пойдёт совсем не о том, как важно платить за софт.

9 мая 2006 года был выпущен международный стандарт ISO 19770-1 «SAM Processes» который может нам помочь в этом направлении.

Итак у нас есть организация с количеством компьютеров от 1 до бесконечности, на компьютерах стоит абсолютно любой софт. Организация хочет внедрить у себя данную технологию. Поможем.

Шаг первый: Сбор информации.

Собираем всю общую информацию которая может касаться программного обеспечения — количество компьютеров, серверов, структура сети, расположение компьютеров территориально (офисы, филиалы), как происходит процесс выбора ПО, покупки (если покупаем), установки, настройки, использования, удаления, хранения, кто отвечает за все эти процессы и т.п.
Т.е. нам надо максимально полно оценить что происходит в организации сейчас не вдавайсь в мелкие подробности.

Итогом этого этапа для небольших компаний будет несколько строк текста, для больших тут могут легко выйти десятки и сотни листов.

Шаг второй: Проведение инвентаризации программного обеспечения.

На этом этапе нам необходимо любых доступным и удобным способом собрать абсолютно весь список ПО имеющегося на всех устройствах организации — компьютеры, ноутбуки, сервера, кпк, сервера находящиеся у хостеров, личные компьютеры используемые в работе и т.п.
Всё, что установлено, записано, сохранено и т.п. на всех относящихся к работе организации устройствах нам необходимо найти и занести в единый список, это касается как обычных программ, так и всевозможных плагинов и даже сторонних шрифтов.
Этот процесс можно проводить несколькими способами или их комбинированием:
а) в ручную через список установленного софта и путём осмотра содержимого жёстких дисков (маленький парк ПК, удалённые офисы)
б) полуавтоматически — подошли с флешкой к компьютеру, запустили любой понравившийся нам сканер, сохранили отчёт в файлик, пошли к следующему компьютеру
в) полностью автоматически — установив на всю сеть программный комплекс для сбора и консолидации такой информации

Итогом этого этапа должна стать сводная таблица со списком всего найденного ПО, количеством, расположением и т.п.

Шаг третий: Проведение инвентаризации имеющихся лицензий.

Если организация хотя-бы раз покупала ПО в любом его виде и проявлении — нам нужен этот шаг. Мы собираем всё полученные при покупках подтверждения наших прав на использование ПО и сопутствующие им материалы — сертификаты, лицензионные соглашения, коробки, пересчитываем наклейки на корпусах, установочные диски, серийные номера в электронном виде и т.п. Где всё это искать в своей организации Вы знаете лучше меня — ВЕЗДЕ. Начиная от шкафа сисадмина и заканчивая складом со старыми коробками от техники.
Так-же на этом этапе нам надо сделать копии всех документов касающихся софта, но хранящихся в бухгалтерии — договора поставки, накладные, акты приёма-передачи прав и т.п.
После сбора нам необходимо проанализировать найденные документы, что-бы точно понимать — на что они дают право, а на что нет (часто тут не обойтись без специалистов в этой области).

Итогом этого этапа будет сводная таблица со списком имеющихся лицензий на программное обеспечение и количеством.

Шаг третий с половиной: Сопоставление двух списков.

Соединяя две имеющиеся таблицы в одну общую мы ищем совпадения и разногласия в них.
Если совпадение — на данный софт у нас имеются лицензии и его использование легально.
Если расхождение в сторону отсутствия лицензии или лишней лицензии — разбираем каждый случай индивидуально.
Маленькая ремарка — я знаю что такое GPL, BSD и прочие симпатизирующие мне слова, но на данный момент если у нас в таблице найденного ПО есть что-нибудь вроде убунты, а в таблице найденных лицензий и документов у нас нет ничего упоминающего убунту — у нас могут быть проблемы.

Тут мы должны свести расхождение таблиц к нулю тем или иным способом.

Шаг четвёртый: Разработка процедур.

На этом этапе нам нужна сводная информация полученная в самом начале и очень пригодится стандарт ISO-19770-1
Здесь нам необходимо разработать внутренние документы и положения, которые будут регулировать весь жизненный цикл программного обеспечения в организации.
Т.е. пошаговые инструкции, описывающие необходимые действия ответственных лиц и обычных пользователей в конкретных ситуациях. Например что должен делать пользователь если ему понадобилось новое ПО для работы. Как новое ПО должно попадать в организацию извне. Как с ним обращаться в процессе — установка, использование, хранение, списание и т.п.
Количество и сложность документов зависит от размера организации, небольшие обходятся двумя-тремя бумажками по 1 странице, большие составляют некислый многотомник.
ISO-19770-1 поможет нам в этом деле тем, что даст множество шаблонов таких процедур.

Данные документы позволят поддерживать наведённый на прошлом этапе порядок постоянно.

Шаг пятый: Внедрение.

Применить сразу два-три десятка документов и процедур в устоявшуюся жизнь компании — практически невозможно, мы рискуем вообще парализовать её работу.
Поэтому тут мы разрабатываем план постепенного принятия составленных нами документов для избежания шокового эффекта. После того как приняли последний — со второго по третий с половиной лучше по возможности повторить, ибо внедрение всех документов может занимать достаточно много времени.

PROFIT!

В чём профит для организации от такого порядка? Думаю человек разумный и так всё поймёт, но я некоторые перечислю:

1) Полная лицензионная чистота — думаю не надо объяснять почему это хорошо, статья 146 до шести лет и много-много денег

2) Экономия на приобретаемом ПО — много видел ситуаций когда покупалость то, что уже есть, но затерялось в закромах или покупалось совсем не то, что нужно.

3) Дополнительная безопасность всей ИТ-инфраструктуры — у кого хоть раз пользователи не ловили вируса вместе со скачанным из инета непонятным софтом

4) Возможность планирования расходов на ПО — за счёт формализации процесса приобретения

можно придумать ещё десяток пунктов не столь явных, но остановимся на этом.

Если аудитории данная тема интересна — каждый из пяти шагов я могу разобрать в дополнительный топик, что в принципе и планирую сделать вскоре.

послесловие:
1) Если набить SAM в поисковике — можно увидеть, что эту технологию активнее всего продвигает Microsoft, связано это лишь с тем — что он лидер на рынке программного обеспечения и соответственно больше всех заинтересован в наведении порядка у пользователей (чаще всего выявляются именно недостачи лицензий естественно).

2) Стандарт ISO-19770 можно найти тут — www.iso.org/iso/catalogue_detail?csnumber=33908
к сожалению платный — 112 франков.

В наши дни наличие сертификатов, подтверждающих профессиональные навыки, является весьма важной составляющей квалификации любого ИТ-специалиста и все чаще – одним из условий при приеме на работу.

Во многих компаниях наличие сертификатов ITIL^® у кандидатов, претендующих на должность системного администратора, становится не просто дополнительным плюсом, но решающим фактором при прохождении собеседования; для специалистов, претендующих на более высокие должности, наличие сертификатов по ITIL уже является обязательным требованием на этапе рассмотрения резюме.

Согласно разработанному OGC¹ плану по прекращению приема экзаменов по второй версии ITIL, опубликованному осенью 2009 года, на текущий момент закончился прием любых экзаменов по второй версии ITIL. Единственным возможным вариантом получения сертификатов по ITIL является сдача экзаменов по третьей версии

Сертификация ITIL версии 3

Официальный выход ITIL версии 3 состоялся летом 2007 года. На текущий момент все экзамены данной версии доступны для сдачи за исключением экзамена на статус «ITIL Master» (Advanced Level в схеме сертификации, представленной на рисунке ниже), который находится на завершающих этапах тестирования.

Сама схема сертификации в 3 версии претерпела значительные изменения:

На рисунке1 представлена схема сертификации ITIL версии 3:

© Reproduced under licence from  AXELOS Limited

Остановимся более подробно на каждом уровне сертификации:

1. Foundation Level – базовый уровень сертификации, который подтверждает знание основных терминов и концепций процессов ITIL v3. При успешной сдаче данного экзамена ИТ-специалист получает сертификат «ITIL v3 Foundation Certificate in IT Service Management» и зарабатывает первые 2 балла.

Условия прохождения экзамена, по сравнению с аналогичным экзаменом во второй версии, не изменились: это – тест, состоящий из 40 вопросов с 4 вариантами ответов, из которых нужно выбрать один правильный (приносит 1 балл). Проходной балл – 26 и более правильных ответов. Длительность – 60 минут.

2. ITIL Practitioner – новая, появившаяся только в 2021 году ступень сертификации.
Зачастую бывает так, что пройдя курс “ITIL Foundation” сотрудник возвращается на рабочее место с огромным потенциалом, готовый совершить «переворот в своем ИТ-подразделении» на благо организации. Но практического опыта ему для этого часто не хватает, даже если он получил международный сертификат «ITIL Foundation». 
Сертификация ITIL Practitioner подтверждает способность применять и адаптировать лучшие практики по построению и постоянному совершенствованию процессов ITSM в контексте организации. 

Для допуска к экзамену по направлени ITIL Practitioner необходимо выполнить ряд обязательных требований:

Экзамен проходит на основании кейса и состоит из 40 вопросов с 4 вариантами ответов, из которых нужно выбрать один правильный (приносит 1 балл). Проходной балл 28 и более баллов.

За сданный экзамен начисляется 3 балла, которыми можно заменить один из экзаменов в линейке Intermediate Level, которые идут далее.

3. Следующая ступень сертификации – Intermediate Level. Данный уровень сертификации подтверждает способности специалиста анализировать и применять концепции ITIL, умения по созданию и поддержке отдельно взятых процессов ITIL.

Для допуска к экзамену по любому из перечисленных выше направлений необходимо выполнить ряд обязательных требований:

Экзамен проходит на основании кейса в форме теста, состоит из 8 вопросов с 4 вариантами ответов и градиентной системой оценки: правильный ответ (5 баллов), почти правильный (3 балла), не очень правильный(1 балл), неправильный (0 баллов). Проходной балл – 28 и более баллов. Длительность – 120 минут.

Intermediate Level состоит из 2 направлений:

3а. Lifecycle modules включает в себя 5 модулей (экзаменов), созданных на основе 5 книг ITIL v3: Service Strategy, Service Design, Service Transition, Service Operation и Continual Service Improvement. 
Сертификат «ITIL. Intermediate Examination: Intermediate Lifecycle Stream (название книги)» подтверждает знания содержания соответствующей книги ITIL v3 и приносит 3 балла. 

Успешная сдача экзаменов по данному направлению подтверждается следующими сертификатами:

3b. Capability modules включает в себя 4 модуля (экзамена), которые условно можно сравнить с экзаменами уровня Practitioner второй версии ITIL. Сертификат «ITIL. Intermediate Examination: Intermediate Capability Stream (название экзамена)» подтверждает знания и умения по организации и поддержке 2-3 тесно взаимосвязанных процессов, заявленных в названии экзамена, и приносит 4 балла. Два из четырех экзаменов доступны на русском языке.

Успешная сдача экзаменов по данному направлению подтверждается следующими сертификатами:

• «ITIL. Intermediate Examination: Intermediate Capability Stream: Operational Support & Analysis» (OSA) – это сертификат, подтверждающий знания и умения по организации, поддержке и оптимизации процессов Event, Incident, Request, Problem & Access Management (управление событиями, инцидентами, запросам, проблемами и доступом) а также службы Service Desk (Сервис Деск). Есть возможность сдать экзамен на русском языке.
• «ITIL. Intermediate Examination: Intermediate Capability Stream: Release, Control & Validation» (RCV) – это сертификат, подтверждающий знания и умения по организации, поддержке и оптимизации процессов Service Asset and Configuration, Validation and Testing, Release and Deployment, Request fulfillment, Evolution, Knowledge Management (управление сервисными активами и конфигурациями, подтверждением и тестированием, релизами и развертыванием, запросами на обслуживание, оценкой и знаниями). Есть возможность сдать экзамен на русском языке.
• «ITIL. Intermediate Examination: Intermediate Capability Stream: Service Offerings & Agreements» (SOA) – это сертификат, подтверждающий знания и умения по организации, поддержке и оптимизации процессов Service Portfolio, Service Catalogue, Service Level Management, Demand, Supplier & Financial Management (управление портфелем услуг, каталогом услуг, уровнем сервиса, спросом, поставщиками и финансами).
• ITIL. Intermediate Examination: Intermediate Capability Stream: Planning, Protection & Optimization» (PPO) – это сертификат, подтверждающий знания и умения по организации, поддержке и оптимизации процессов Capacity, Availability, Continuity Management, Information Security & Demand Management (управление мощностью, доступностью, непрерывностью, информационной безопасностью и спросом).

Для того, чтобы перейти на следующий уровень сертификации ITIL v3 – «ITIL Expert» кандидат должен набрать на данном уровне 17 баллов (включая 2 балла, присваиваемые за успешно сданный экзамен ITIL Foundation).

Ниже приведена таблица с возможными вариантами получения необходимых для перехода к следующему этапу сертификации 15 баллов:

Внимание! За сданный экзамен ITIL Practitioner начисляется 3 балла, которыми можно заменить один из экзаменов в линейке Intermediate Level.

4.  ITIL Expert Level – самая высокая ступень сертификации в ITIL третьей версии, доступная для получения на сегодняшний день. Сертификат «ITIL Expert»подтверждает, что его обладатель способен решать как тактические, так и стратегические задачи, возникающие в работе ИТ-подразделения (ИТ-компании).

Для допуска к экзамену необходимо выполнить ряд обязательных требований:

Экзамен, как и на уровне Intermediate,  проходит на основании кейса в форме теста, состоит из 8 вопросов с 4 вариантами ответов и градиентной системой оценки: правильный ответ (5 баллов), почти правильный (3 балла), не очень правильный(1 балл), неправильный (0 баллов). Проходной балл – 28 и более баллов. Длительность – 120 минут.

Успешная сдача данного экзамена оценивается в 5 баллов и позволяет не только получить один из наиболее высоких статусов в третьей версии ITIL, но и дает право на сертификацию на самый высокий статус – ITIL Master.

5. ITIL Master Level (Advanced Level) – высшая ступень сертификации в ITIL третьей версии. Сертификат «ITIL Master» подтверждает способность ИТ-специалиста применить и анализировать концепцию ITIL в новых областях.

Данная ступень сертификации проходит завершающие этапы тестирования.

Для получения статуса ITIL Master будет необходимо выполнить ряд требований:

Предполагается, что претендент на данный статус обладает глубокими знаниями тех областей ITIL, которые были им описаны в рамках проекта, а также навыками планирования и управления в указанных областях. Поэтому жестких требований к обучению нет: кандидату предоставляется возможность самому определить спектр и формат обучения.

1. The Swirl logo™ is a Registered Trade Mark of AXELOS Limited
2. ITIL® is a Registered Trade Mark of AXELOS Limited
3. APM Group, APMG-International – Независимый международный институт аккредитации и аттестации организаций, процессов и людей. http://www.apmg-international.com

4. OGC (http://www.ogc.gov.uk ) – независимое подразделение в Министерстве Финансов, созданное для оказания помощи правительству Великобритании; работает с центральными правительственными ведомствами и другими организациями государственного сектора. На сегодняшний день OGC (в начале 80-х годов, по заказу Британского правительства, приступивший к разработке более эффективной и рентабельной схемы работы ИТ, результатом чего явилась первая версия ITIL) является официальным издателем библиотеки ITIL. В настоящее время OGC переименована в Cabinet Office.