Учёт лицензий программного обеспечения — процесс, который многие организации откладывают до первой проверки или судебного иска. Между тем нелицензионное ПО грозит штрафами до 5 млн рублей, уголовной ответственностью и реальными рисками информационной безопасности. В этом руководстве — полная методика организации учёта лицензий: от понимания юридических рисков до автоматизации контроля, с пошаговыми инструкциями и сравнением инструментов.
Зачем контролировать лицензии ПО в организации
Контроль лицензий — не бюрократическая формальность, а защита от финансовых, юридических и технических рисков. Организация, которая не ведёт учёт ПО, рискует одновременно переплачивать за неиспользуемые лицензии и нарушать закон из-за недолицензирования.
Юридические риски: штрафы и уголовная ответственность
Законодательство Российской Федерации предусматривает серьёзные санкции за использование нелицензионного программного обеспечения:
| Нормативный акт | Санкция |
|---|---|
| Ст. 146 УК РФ (ч. 2) | Штраф до 200 000 руб. или лишение свободы до 2 лет |
| Ст. 146 УК РФ (ч. 3) | При крупном ущербе (от 100 000 руб.) — до 6 лет лишения свободы |
| Ст. 7.12 КоАП | Штраф на юрлицо от 30 000 до 40 000 руб. + конфискация |
| Гражданский иск правообладателя | Компенсация от 10 000 до 5 000 000 руб. за каждый экземпляр |
| Двукратная стоимость | Правообладатель вправе требовать двукратную стоимость лицензии |
Проверки проводят правоохранительные органы (по заявлению правообладателя или по собственной инициативе), а также сами вендоры через аудиторские программы. Microsoft, Autodesk, Adobe регулярно инициируют проверки в России.
Финансовые потери: переплата за неиспользуемые лицензии
Обратная сторона проблемы — избыточные лицензии. По данным Gartner, до 30% корпоративных лицензий не используются: сотрудник уволился, но подписка не отменена; закуплены лицензии «с запасом», которые никому не назначены; параллельно используются несколько продуктов с одинаковой функциональностью.
Типичные потери средней организации (200-500 сотрудников):
- Неиспользуемые подписки Microsoft 365 — 50-150 тыс. руб./год
- Избыточные лицензии на СУБД — 200-500 тыс. руб./год
- Дублирующие средства защиты — 100-300 тыс. руб./год
- Забытые SaaS-сервисы — 30-100 тыс. руб./год
Учёт лицензий позволяет перераспределить или отказаться от неиспользуемых лицензий, экономя 15-30% бюджета на ПО.
Риски ИБ: нелицензионное ПО как вектор атаки
Нелицензионное ПО несёт прямую угрозу информационной безопасности:
- Модифицированные дистрибутивы — «крякнутые» версии часто содержат вредоносный код: трояны, майнеры, бэкдоры
- Отсутствие обновлений — нелицензионное ПО не получает патчей безопасности, оставаясь уязвимым
- Неконтролируемое ПО — если ИТ-служба не знает, что установлено на рабочих станциях, она не может защитить инфраструктуру
- Нарушение требований ФСТЭК — использование несертифицированного ПО в ИСПДн и на объектах КИИ — отдельное нарушение
Аудиторские проверки вендоров
Крупные вендоры имеют программы лицензионного аудита:
- Microsoft — SAM-аудит (Software Asset Management), может запросить данные об установленном ПО
- Oracle — известна жёсткими аудитами, особенно в части виртуализации
- 1С — проверки через партнёров-франчайзи
- Kaspersky, Positive Technologies — аудит использования средств защиты
Отказ от аудита или предоставление недостоверных данных ведёт к принудительным мерам через суд.
Виды лицензий ПО и их особенности учёта
Для корректного учёта необходимо понимать различия между типами лицензий. Каждый тип требует своего подхода к контролю.
Бессрочные, подписки, конкурентные
Бессрочная лицензия (Perpetual) — разовая покупка, ПО можно использовать неограниченно. Обновления обычно платные. Учёт: фиксация номера лицензии, привязка к устройству или пользователю, контроль версии.
Подписка (Subscription) — ежемесячная или годовая оплата. При прекращении оплаты ПО перестаёт работать. Учёт: дата начала, дата окончания, автопродление, количество лицензий, уведомления за 30/60/90 дней до истечения.
Конкурентная (Concurrent / Floating) — ограничение по числу одновременных пользователей. 50 лицензий означает, что одновременно работать могут 50 человек, а не 50 установок. Учёт: контроль пиковых нагрузок, мониторинг одновременных подключений.
OEM, корпоративные, open-source
OEM — предустановлена на оборудование производителем. Не переносится на другое устройство. Учёт: привязка к конкретному серийному номеру оборудования, при списании оборудования лицензия тоже списывается.
Корпоративная (Volume License) — одно соглашение на определённое количество установок. Учёт: номер соглашения, количество купленных лицензий, количество использованных, дата продления.
Open-source — бесплатная, но с условиями (GPL, MIT, Apache). Учёт: тип лицензии (GPL требует раскрытия исходного кода при модификации), совместимость с коммерческим ПО, версии.
Таблица: тип лицензии и что учитывать
| Тип лицензии | Ключевой параметр | Риск без учёта | Периодичность контроля |
|---|---|---|---|
| Бессрочная | Номер лицензии, привязка | Дублирование покупок | Ежегодно |
| Подписка | Дата окончания | Прекращение работы ПО | Ежемесячно |
| Конкурентная | Пиковые подключения | Недолицензирование | Еженедельно |
| OEM | Серийный номер устройства | Использование после списания | При списании |
| Корпоративная | Количество установок | Превышение лимита | Ежеквартально |
| Open-source | Тип лицензии (GPL, MIT) | Юридические риски при модификации | При обновлении |
Как организовать учёт лицензий: пошаговое руководство
Шаг 1. Провести инвентаризацию установленного ПО
Первый шаг — узнать, что фактически установлено в инфраструктуре. Методы сбора данных:
- Агентное сканирование — установка агента на каждую рабочую станцию, автоматический сбор данных о ПО, версиях, дате установки
- Безагентное сканирование — сбор данных по протоколам WMI (Windows), SSH (Linux) без установки агентов
- Интеграция с Active Directory — импорт данных о компьютерах и установленном ПО из групповых политик
- Ручная инвентаризация — физический обход для малых организаций (до 50 рабочих мест)
Результат: полный перечень ПО с указанием версий и устройств, на которых оно установлено.
Шаг 2. Собрать данные о приобретённых лицензиях
Соберите все документы, подтверждающие право использования:
- Договоры с вендорами и дистрибьюторами
- Лицензионные ключи и серийные номера
- Подтверждения подписок (SaaS-порталы)
- Сертификаты соответствия ФСТЭК и ФСБ (для средств защиты)
- OEM-наклейки на оборудовании
- Корпоративные соглашения (EA, CSP, Open License)
Шаг 3. Сопоставить и выявить расхождения
Ключевой этап — reconciliation (сверка). Для каждого наименования ПО определите:
- Установлено — количество фактических установок
- Куплено — количество имеющихся лицензий
- Разница — недолицензирование (риск) или избыточность (переплата)
| ПО | Установлено | Лицензий | Разница | Статус |
|---|---|---|---|---|
| Microsoft Office 2021 | 180 | 200 | +20 | Избыток |
| Adobe Acrobat Pro | 45 | 30 | -15 | Нарушение |
| КриптоПро CSP 5.0 | 60 | 60 | 0 | Норма |
| AutoCAD 2024 | 12 | 5 | -7 | Нарушение |
| 1С:Предприятие | 90 | 100 | +10 | Избыток |
Шаг 4. Назначить ответственных
Определите роли и ответственность:
- Владелец процесса SAM — отвечает за методологию и контроль (обычно ИТ-директор или руководитель ИТ)
- Администратор лицензий — ведёт реестр, обрабатывает запросы на ПО
- Владельцы ПО — руководители подразделений, инициирующие закупку
- ИБ-специалист — контролирует разрешённое ПО и средства защиты
Шаг 5. Настроить регулярный мониторинг
Учёт лицензий — непрерывный процесс:
- Автоматическое обнаружение нового ПО на рабочих станциях
- Уведомления об истечении подписок за 30, 60 и 90 дней
- Ежеквартальная сверка «установлено vs куплено»
- Ежегодный полный аудит лицензий
- Блокировка установки ПО не из белого списка
Инструменты для учёта лицензий ПО
Excel и ручной учёт (ограничения)
Таблица в Excel — стартовая точка для малых организаций. Минимальные поля: наименование ПО, версия, тип лицензии, номер лицензии, количество, дата окончания, ответственный.
Проблемы Excel:
- Нет автоматического обнаружения ПО — данные устаревают мгновенно
- Нет связи «ПО — устройство» — невозможно понять, где конкретно установлен продукт
- Нет уведомлений — истечение подписки замечается постфактум
- Версионирование — несколько копий файла у разных сотрудников
- При 100+ записях — неуправляемо
SAM-системы (Snow, Flexera)
Специализированные решения для управления лицензиями:
- Snow License Manager — автоматический сбор данных об установленном ПО, сопоставление с лицензиями, оптимизация
- Flexera IT Asset Management — управление лицензиями, контрактами, облачными ресурсами
Преимущества: глубокая экспертиза в лицензионных метриках вендоров (особенно Oracle, SAP, Microsoft). Недостатки: высокая стоимость, ограниченная доступность в России из-за санкций, нет интеграции с процессами ИБ.
ITAM-платформы (GLPI, Lansweeper)
- GLPI — open-source ITAM с модулем лицензий, бесплатный, но требует экспертизы для настройки
- Lansweeper — автоматическое сканирование сети и учёт ПО, удобный интерфейс
Преимущества: доступность, хорошее покрытие инвентаризации. Недостатки: нет связи с процессами ИБ, нет учёта СКЗИ и сертификатов ФСТЭК.
SGRC-платформа КиберОснова
КиберОснова объединяет учёт лицензий ПО с задачами информационной безопасности:
- Автоматическое обнаружение установленного ПО (агентный и безагентный сбор)
- Реестр лицензий с привязкой к устройствам и пользователям
- Сопоставление «установлено vs куплено» с автоматическим выявлением расхождений
- Учёт сертификатов ФСТЭК и ФСБ на средства защиты
- Уведомления об истечении лицензий и сертификатов
- Связь ПО с рисками и уязвимостями — при обнаружении уязвимости в ПО система показывает, на каких активах оно установлено
Не рискуйте. Автоматизируйте учёт лицензий: КиберОснова сканирует сеть и сопоставляет установленное ПО с лицензиями, а также связывает данные с процессами информационной безопасности.
Автоматизация контроля лицензий
Автоматическое обнаружение установленного ПО
Современные системы учёта используют несколько методов обнаружения:
- Агенты на рабочих станциях — собирают данные о ПО при каждом включении или по расписанию
- Сканирование сети — обнаружение ПО по протоколам WMI, SNMP, SSH
- Интеграция с SCCM/WSUS — импорт данных из систем управления обновлениями Microsoft
- Мониторинг запуска ПО — фиксация фактического использования (не только установки)
Мониторинг запуска критически важен для конкурентных лицензий: если ПО установлено, но не используется 90+ дней, лицензию можно перераспределить.
Сопоставление «установлено vs куплено»
Автоматическая reconciliation работает по алгоритму:
- Нормализация названий ПО (Microsoft Office Professional Plus 2021 = Office 2021 ProPlus)
- Группировка по продуктам и версиям
- Подсчёт установок по каждому продукту
- Сопоставление с реестром лицензий
- Формирование отчёта: норма / недолицензирование / избыток
Уведомления об истечении подписок
Автоматизированная система оповещений:
- 90 дней до истечения — уведомление владельцу ПО и администратору лицензий
- 60 дней — напоминание с запросом решения: продлить, отказаться, заменить
- 30 дней — эскалация руководителю, если решение не принято
- 7 дней — критическое уведомление
- День истечения — фиксация в реестре, блокировка (если настроена)
Отчёты для руководства
Ключевые отчёты, которые формирует система учёта лицензий:
- Лицензионный комплаенс — процент соответствия по каждому вендору
- Стоимость неиспользуемых лицензий — потенциальная экономия
- Расходы на ПО по подразделениям — кто сколько тратит
- Прогноз затрат — предстоящие продления и закупки
- Риск-экспозиция — потенциальные штрафы за недолицензирование
Учёт лицензий ПО и информационная безопасность
Нелицензионное ПО как угроза ИБ
Связь между лицензионным комплаенсом и информационной безопасностью прямая:
- Модифицированные дистрибутивы содержат вредоносный код в 35-40% случаев (по данным BSA)
- Отсутствие обновлений — нелицензионное ПО не получает патчей, уязвимости остаются открытыми
- Несертифицированное ПО — использование средств защиты без действующего сертификата ФСТЭК нарушает требования Приказов №117, №21, №239
- Shadow IT — ПО, установленное сотрудниками без ведома ИТ-службы, не контролируется и не обновляется
Контроль разрешённого ПО (whitelist/blacklist)
Эффективная практика — вести два списка:
Белый список (whitelist) — разрешённое ПО, одобренное ИТ-службой и ИБ-подразделением. Любое ПО не из списка — нарушение.
Чёрный список (blacklist) — явно запрещённое ПО: торрент-клиенты, средства удалённого доступа без согласования, ПО для обхода блокировок, несертифицированные СКЗИ.
Система учёта лицензий автоматически обнаруживает ПО, не входящее в белый список, и уведомляет ИБ-специалиста.
Связь учёта ПО с требованиями ФСТЭК
Нормативные акты ФСТЭК требуют контроля установленного ПО:
- Приказ ФСТЭК №21 (ИСПДн) — меры ОЦЛ.3 «Контроль установки обновлений ПО», УПД.3 «Ограничение программной среды»
- Приказ ФСТЭК №117 (ГИС) — аналогичные требования для государственных информационных систем
- Приказ ФСТЭК №239 (КИИ) — контроль ПО на значимых объектах КИИ, требование к учёту СЗИ
- Методика оценки угроз (2021) — несанкционированное ПО рассматривается как источник угроз
Использование платформы КиберОснова позволяет не только учитывать лицензии, но и связывать установленное ПО с требованиями нормативных актов, автоматически формируя перечень мер защиты.
Оптимизация расходов на ПО через учёт лицензий
Перераспределение неиспользуемых лицензий
Анализ фактического использования выявляет лицензии для перераспределения:
- ПО не запускалось 90+ дней — лицензию можно передать другому сотруднику
- Сотрудник уволился — лицензия возвращается в пул
- Перевод в другое подразделение — пересмотр набора ПО
- Дублирование функций — один продукт вместо двух
Типичный результат: возврат в оборот 10-20% лицензий без дополнительных закупок.
Консолидация закупок
Учёт лицензий позволяет оптимизировать закупки:
- Переход с поименных лицензий на корпоративное соглашение при достаточном объёме
- Объединение закупок разных подразделений для получения скидки
- Выбор оптимальной модели лицензирования (подписка vs бессрочная) на основе данных об использовании
- Планирование продлений заранее — избежание экстренных закупок по завышенным ценам
Переход на альтернативы
В условиях импортозамещения 2024-2026 учёт ПО помогает планировать миграцию:
- Выявление всех установок зарубежного ПО, подлежащего замене
- Оценка масштаба миграции: количество рабочих мест, интеграции, данные
- Отслеживание прогресса перехода на российские аналоги
- Контроль параллельного использования (переходный период)
| Зарубежное ПО | Российская альтернатива | Особенности миграции |
|---|---|---|
| Microsoft Office | Р7-Офис, МойОфис | Конвертация шаблонов, макросов |
| Oracle DB | PostgreSQL (Postgres Pro) | Миграция схемы и данных |
| VMware | ROSA Virtualization, Аstra | Конвертация виртуальных машин |
| Windows | Astra Linux, ROSA | Совместимость прикладного ПО |
Реестр ПО в КиберОснова позволяет отслеживать процесс импортозамещения: какое зарубежное ПО ещё используется, на каких устройствах, какие альтернативы внедрены.
Связь учёта лицензий с другими процессами
Учёт лицензий ПО — часть более широкой системы управления ИТ-активами и информационной безопасностью:
- Инвентаризация ИТ-активов — лицензии привязаны к оборудованию, на котором установлено ПО
- Учёт СКЗИ — лицензии на криптографические средства (КриптоПро, VipNet) учитываются по тем же принципам, но с дополнительными требованиями ФСБ
- Управление уязвимостями — обнаружение уязвимости в ПО требует знания, где это ПО установлено
- Автоматизация ИБ — контроль лицензий как часть единого процесса управления безопасностью
Использование единой SGRC-платформы обеспечивает эти связи автоматически. Запросите демо и посмотрите, как контролировать лицензии ПО автоматически в связке с процессами информационной безопасности.
Типичные ошибки в учёте лицензий ПО
1. Учёт только на момент закупки. Лицензия куплена — и забыта. Без регулярного аудита установки накапливаются нарушения: ПО установлено на большем числе машин, чем разрешено, или срок подписки истёк, а ПО продолжает использоваться.
2. Нет разграничения «куплено» и «установлено». Организация купила 100 лицензий и считает, что всё в порядке. Но установлено может быть 120 или 80. Без учёта фактических установок неизвестно, есть ли нарушение лицензионного соглашения.
3. Игнорирование условий лицензии. OEM-лицензия (привязана к устройству), корпоративная (плавающая), подписочная (привязана к пользователю) — разные условия требуют разного учёта. Попытка использовать OEM-лицензию на другом оборудовании — нарушение, даже если устройств меньше, чем лицензий.
4. Отсутствие учёта ПО с открытым исходным кодом. Open-source ≠ бесплатно для любого использования. GNU GPL, AGPL, LGPL имеют условия: например, AGPL требует публикации исходного кода сервисов на его основе. Нарушение — юридический риск.
5. Нет процесса при смене сотрудника. Сотрудник уволен, но его персональная лицензия (подписка) продолжает действовать и оплачиваться. При системном учёте лицензия автоматически высвобождается при деактивации учётной записи.
FAQ
Что такое лицензионный аудит и когда он проводится? Лицензионный аудит — это процесс проверки соответствия фактического использования ПО условиям лицензионных соглашений. Проводится внутренними силами (ИТ-отдел, ИБ) как плановое мероприятие раз в год или перед крупными закупками. Внешний аудит инициируется производителем ПО — Microsoft, Oracle, SAP вправе запросить данные об использовании своего ПО. При обнаружении нарушений производитель выставляет счёт за недолицензирование или обращается в суд.
Как правильно списать лицензию при замене оборудования? При замене оборудования необходимо: деинсталлировать ПО со старого устройства, деактивировать лицензию (для многих продуктов это online-операция), зафиксировать факт деинсталляции в журнале учёта. Только после этого лицензия считается доступной для установки на новое устройство. Просто физически заменить компьютер без деактивации лицензии — нарушение соглашения для большинства OEM-лицензий.
Систематический учёт лицензий ПО — это не только защита от штрафов, но и оптимизация бюджета: в большинстве организаций при первом аудите обнаруживается 15–25% неиспользуемых лицензий, которые можно не продлевать.
