Dr. Prisznyák Szabolcs
informatikai főosztályvezető
Nemzeti Adó- és Vámhivatal
A cikk első publikációja: Biztonságtudományi szemle 2021. III. évf. 3. szám
Absztrakt
Publikációm témája a szoftverlicenc-gazdálkodás jelenlegi helyzete, fejlesztési lehetőségei a hazai közigazgatásban. A téma különös jelentőségét, aktualitását kiemeli, hogy 2021-ben jogszabálymódosítás következtében a kormányzati szakpolitika is előtérbe helyezi a közigazgatási szervezetek hatékony szoftverlicenc-gazdálkodását.
Kutatásomban arra kerestem a választ, hogy a közigazgatásban a szoftverlicenc-gazdálkodás milyen érettségi szinten van, hogy célszerű kialakítani a szervezeti, szabályozási rendszerét, folyamatait, továbbá, hogy milyen speciális követelményeket kell érvényesíteni a tevékenységet támogató informatikai rendszerre vonatkozóan.
Kulcsszavak
szoftverlicenc-gazdálkodás, érettségi szint, folyamat, nyilvántartás, közigazgatás
BEVEZETÉS
Mindannyian tapasztaljuk, hogy modern technológia, informatika nélkül ma már szinte egyetlen mikróvállalkozás sem tud működni. A nagyobb szervezeteknél pedig az informatika – korábbi támogató, kiszolgáló szerepéből kilépve, – ma már a szervezeti stratégia megvalósításának alapvető pillére [1, p. 78]. A versenyszféra mellett nincs ez másként a közigazgatásban sem, fontos kormányzati cél a szolgáltató állam kialakítása, a digitális köz-szolgáltatások szerepének növelése. „A közigazgatás egyik lényeges újítása az Elektronikus támogatások fejlesztése (Digitális Állam felépítése) program megvalósítása.” [2, p. 274] Fentiekből következően a közigazgatási szervezeteknél is egyre inkább kiemelt szerepe van az informatika fejlődésének.
Az ezredforduló éveiben „A szoftver éhség a vezetés részéről is egyre határozottabban jelenik meg, tényleges vezetői irányító megoldások igényében, döntése előkészítést támogató automatikus adatszolgáltatásban.” [3, p. 30]. Napjainkra nagyon széles az alkalmazott szoftverek köre, megjelennek az operációs rendszerek, az adatbáziskezelők, az irodai munkát, a csoportmunkát támogató rendszerek, térinformatikai, vállalatirányítási megoldások, valamint sok más további termék mellett – napjainkban kiemelt jelentőséggel – a videókommunikációs alkalmazások. Ezen – úgynevezett dobozos termékek mellett – a speciális szaktevékenységek informatikai támogatását egyedileg fejlesztett megoldásokkal valósítják meg. A közigazgatási szervezetek napjainkra széleskörű szoftver porfólióval rendelkeznek, amelyek értéke – a szervezet feladatkörétől, méretétől függően – akár a több tízmilliárd forintot is elérheti. A szoftverlicencek nyilvántartására azonos jogszabályok vonatkoznak, mint más javakra. Ezek a nyilvántartások azonban nem tartalmaznak valamennyi adatot az egyes termékek használatának lehetőségeivel, szabályaival kapcsolatosan. Ezt fokozza, hogy az egyes gyártók szabályrendszere egymástól jelentősen eltérő. Ebből következően a szoftverlicencek nyilvántartása, életciklusa során történő kezelése speciális folyamatokat, eljárásrendet, szabályozást és szakértelmet igényel.
A közigazgatási informatika fejlődését támasztja alá a Központi Statisztikai hivatal mérése is, hiszen 2010-2020 között közel duplájára emelkedett az elektronikus közszolgáltatásokat igénybe vevő felhasználók aránya [4]. Magyarország saját költségvetésből és az Európai Unió által biztosított alapok felhasználásával jelentős forrásokat (az Európai Szociális Alapból 2021. április 30-ig több, mint 892 millió Euro) fordított a közigazgatás fejlesztésére, ennek meghatározó része a digitalizációt, az állampolgárok által elérhető szolgáltatások számának növelését, minőségének bővítését szolgálja [5, pp. 77-78.]. Az elektronikus közszolgáltatások folyamatos fejlesztéséhez, funkcionalitásának bővítéséhez elen-gedhetetlen a közigazgatási szervezetek által – a háttérben – működtetett informatikai rend-szerek – eszközök, rendelkezésre állást biztosító infrastruktúra és szoftverek – ciklikus meg-újítása, bővítése. Ebből következően az alkalmazott szoftverek, valamint a működtetésükhöz szükséges gyártói támogatások (support) mennyisége, ezzel együtt értéke is folyamatosan növekedik. A dinamikusan növekvő szoftvervagyon megköveteli ezen érték professzionális megoldással történő kezelését.
A szoftverlicenc-gazdálkodás az utóbbi években azon informatikához köthető egyik újszerű feladat, ami -a digitalizáció, a mesterséges intelligencia, a robotizáció, az adatvagyon gazdálkodás mellett – egyre fontosabb szerepet tölt be a vállalatok működésben. Az új feladatok a korábbi – elsősorban technológiai szemléletű kompetenciát kiszélesítve – a szervezetek több szakterületét átfogó komplexebb látásmódot igényelnek. Ezen új kihívások egyike a szoftverlicenc-gazdálkodás, amely a közigazgatási szervezeteknél – azok működésének szabályrendszere, ebből következő sajátosságai, valamint a versenypiaci szereplőktől eltérő gazdálkodása okán – a piaci szféra résztvevőihez hasonlítva bár közel azonos alapelveken, de végeredményben – elsősorban a szervezeti, szabályozási, technológiai oldalt tekintve – részben eltérő módon valósul meg.
A szoftverlicence-gazdálkodás rendszerének, folyamatainak, szervezeti kereteinek kialakítása évtizedes adósság a közigazgatásban, ez hatványozottan igaz a nagy mennyiségű és ebből következően nagy értékű szoftverekkel rendelkező szervezeteknél. E hiátus kezelésének szükségességét kormányzati szinten is a megoldandó problémák közé sorolta a szakpolitika. Ennek eredményeként 2021. január 1-től módosult a Nemzeti Hírközlési és Informatikai Tanácsról, valamint a Digitális Kormányzati Ügynökség Zártkörűen Működő Részvénytársaság és a kormányzati informatikai beszerzések központosított közbeszerzési rendszeréről szóló 301/2018. (XII. 27.) Korm. rendelet. A korábban az informatikai közbeszerzések egységes kezelését szabályozó Korm. rendelet kiegészült a szoftverlicenc-gazdálkodásra vonatkozó rendelkezésekkel. A szoftverlicenc-gazdálkodást a jogszabály „a szoftverlicencek, a kapcsolódó licenckövetési és támogatási szolgáltatások nyilvántartásához, menedzsmentjéhez, optimalizálásához, valamint céltudatos, hatékony felhasználásához, beszerzéséhez kapcsolódó tevékenységek összessége”-ként határozza meg. A jogszabály 14/A. § -a részletesen szabályozza a szoftverlicenc-gazdálkodással kapcsolatosan a Digitális Kormányzati Ügynökség Zrt. (továbbiakban DKÜ Zrt.) feladat- és hatáskörét. A DKÜ Zrt. a kormányzati szoftverlicenc-gazdálkodási feladatait – jogszabályban foglalt felhatalmazása alapján – a Kormányzati Szoftverlicenc-gazdálkodási Kft. (továbbiakban KSZG Kft.) bevonásával látja el. Fontos kiemelni, hogy a DKÜ Zrt. és a KSZG Kft. jogosult az érintett szervezetektől – tehát valamennyi közigazgatási szervezettől – a szoftverlicenc szerződései adatairól, gazdálkodása körülményeiről vagy egyéb szükséges adatokról adatszolgáltatást kérni. Ezt a közigazgatási szervezetek tíz munkanapon belül kötelesek teljesíteni.
Fenti jogszabálymódosítás okán tehát valamennyi közigazgatási szervezetnél rövid- vagy középtávon ki kell alakítani a szoftverlicenc-gazdálkodás rendszerét – személyi, szervezeti, szabályozási és eszköz feltételeit – hiszen a szervezetek csak ezzel válhatnak képessé a jogszabályban meghatározott adatszolgáltatás teljesítésére. A fajsúlyos informatikai rendszerekkel rendelkező szervezeteknél szükséges lehet, hogy a szoftverlicenc-gazdálkodás folyamatait informatikai rendszer támogassa, ezzel biztosítva az automatizálást, beleértve a DKÜ Zrt. és a KSZG Kft. részére történő adatszolgáltatást is.
A SZOFTVERESZKÖZ-GAZDÁLKODÁS HIÁNYÁNAK KOCKÁZATAI
A kifejezetten szoftvereszköz-gazdálkodással foglalkozó terület, tevékenység hiánya miatt a közigazgatási szervezeteknek kockázatok sorával kell szembenéznie. Egyrészt jelentős gazdasági, anyagi kockázatot rejt magában, ha a szervezetek nincsenek tisztában a rendelkezésükre álló eszközökkel, mivel így nehezebbé vagy esetleg teljesen lehetetlenné válik a hatékony tervezés, melynek következtében jelentős többlet forrást igényelhet az informatikai infrastruktúra fenntartása.
Fennáll az illegális szoftverfelhasználás veszélye is, amely polgári jogi és büntetőjogi felelősségre vonást is eredményezhet, és további anyagi hátrányokat jelenthet, valamint a szer-vezet reputációját is veszélyezteti. Az illegális szoftverfelhasználás biztonsági, adatvédelmi kockázatokat is jelent. Mindezeken túl az alábbi kockázatok merülhetnek fel: – A szoftver felhasználás pontos nyilvántartása és a változáskezelés hiánya miatt el-fordulhat szükségtelen szoftver beszerzés.
– A nem használt szoftver licencek esetében elfordulhat – szükségtelen – támogatás (support) beszerzés.
– Ha nem ismert a pontos felhasználás, akkor az érintett szakterület nem értesül arról, hogy új beszerzést kell indítani. A későn elindított közbeszerzési (vagy beszerzési) eljárás kockázatos lehet a szervezetek jogszabályban meghatározott tevékenységére.
– A nem konszolidált igények okán rosszul előkészített beszerzés miatt a szervezet eleshet a nagyobb arányú szállítói kedvezménytől.
A szoftvereszköz-gazdálkodás hiánya miatt a szervezet az adatszolgáltatási kötelezettségé-nek sem tud jó minőségben eleget tenni, ezzel a jogszabályban meghatározott határidő mulasztását is kockáztatja. Ugyanakkor kontra produktív, hogy az adatszolgáltatáshoz szükséges információk összegyűjtése időigényes, erőforrás pazarló tevékenység.
JOGI HÁTTÉR, NYILVÁNTARTÁSI KÖTELEZETTSÉG
A szoftverek nagy értékű immateriális javak, melyek nyilvántartására a számvitelről szóló 2000. évi C. törvény kötelezettséget ír elő. A könyvelésben is meg kell különböztetni, hogy az adott szervezet használati jogot szerez a szoftverre, vagy véglegesen tulajdonába kerül. Előbbi esetben a szoftvert vagyoni értékű jogként, míg utóbbiban szellemi termékként kell könyvelni [6].
Jogi szempontból a szoftverekre, a szellemi alkotások felhasználására vonatkozó szerzői jogi szabályok, mellett más jogterületek normái is érvényesek. Elsősorban ilyen a szerzői jog anyajogát képező polgári jog, azonban jogsértő magatartás estén a Büntető Tör-vénykönyv rendelkezései szerint kell eljárni. Ugyanakkor egyes szakértők véleménye szerint „a szoftverjog a szerzői jogból kinővő jogterületként egyre inkább önálló és differenciáltabb szabályozást igényel, hiszen … a jogkimerülés intézménye sem értelmezhető és alkalmazható más szerzői művekkel teljesen analóg módon” [7, p. 1.].
A szoftvereszköz-gazdálkodás a szervezet számára egyrészt az informatikai működés biztonsága, másrészt a jogi és pénzügyi kockázatok csökkentése végett is elengedhetetlen.
Amennyiben egy szervezet nem alkalmaz dedikált, kifejezetten erre a célra készült szoftverlicenc nyilvántartást, törvényi kötelezettségének akkor is eleget tesz, mivel a fő-könyvi nyilvántartásban, valamint különböző további nyilvántartásokban (beszerzést támogató rendszer, szerződés-nyilvántartás, elektronikus iktató rendszer, stb.) megtalálhatók a szoftverlicencekre vonatkozó adatok. Tekintettel arra, hogy ezek a nyilvántartások nem kifejezetten szoftverlicenc nyilvántartásra készültek, az adatszolgáltatási kötelezettséget hosszútávon csak támogató informatikai rendszerrel, szakértő humán erőforrás bevonásával és részletesen meghatározott folyamatokkal lehet pontosan és szakszerűen teljesíteni.
SZOFTVERESZKÖZ-KEZELÉS (SAM) MEGKÖZELÍTÉSE
A szoftvereszköz-kezelés (SAM – Software Asset Management angol nyelvű rövidítése) bevezetésével egy olyan rendszert – jó gyakorlatot – kell kialakítani, amely magába foglalja a szoftverek beszerzésének, telepítésének, karbantartásának, hasznosításának, selejtezésének (megsemmisítésének) kezelését, valamint a standardizálást és az optimalizálást is.
A SAM szabványosított megoldási módokat biztosít a szervezeteknek. Ezek közül a legjobb iparági gyakorlatokat összegző szabvány – az informatikai szolgáltatás irányítási rendszerének MSZ ISO/IEC 20000-1 számú szabványa, amely alapját az ITIL adta – az, amit célszerű a SAM koncepció kialakításakor alapul venni. Az ITIL a következőképpen határozza meg a SAM hatókörét: „A szoftvereszköz kezelés (SAM) azon szükséges infrastruktúrák és folyamatok összessége, amelyek a szoftvervagyon hatékony kezeléséhez, ellenőrzéséhez és védelméhez szükségesek egy szervezetben, a szoftver életciklus minden szakaszában.” [8, p. 4.]
A szoftvereszköz kezelés alapvető célja, hogy a licenc nyilvántartás – a szervezet informatikai stratégiájának részeként – csökkentse az informatikára fordított költségeket, valamint korlátozza a szoftverek tulajdonjogával és alkalmazásával kapcsolatos üzleti és jogi kockázatokat [9, p. 13]. Mindemellett hatókörének fontos eleme, hogy növelje az informatikai szervezet reagáló készségét ezzel erősítve a szervezet rugalmasságát, sőt ezen túllépve pillére legyen egy reziliens működésű szervezetnek (azaz képes legyen ellenállni a szervezetet ért hatásoknak). A szoftverlicenc-gazdálkodást támogató technológiák nyomon követik a licenc életciklusát, ezáltal biztosítva a közigazgatási szervezetek számára, hogy a szoftver-megfelelőségi előírások betartásával működjön, ez fontos mind a licencszerződések megsértéséhez, mind a szoftverhasználati joghoz kapcsolódó kockázatok kezelése szempontjából is.
A szoftverlicenc-gazdálkodás folyamatainak, szervezeti kereteinek, szabályozásának kialakítása során egyedileg fel kell mérni az érintett közigazgatási szervezetnél, hogy az alaptevékenységéhez milyen szinten kapcsolódik az informatika. Elengedhetetlen annak meghatározása, hogy az informatika klasszikus kiszolgáló szerepkörben működik, vagy ezen túllépve – folyamatszervező képességét is kihasználva – a szervezeti stratégia végre-hajtásának meghatározó elemévé vált [1, p. 55]. Fel kell mérni, hogy az informatika a vizsgált szervezetnél milyen belső és külső szolgáltatásokat nyújt, ezt milyen infrastruktúra és milyen szoftver portfólió használatával valósítja meg. Az így kialakításra kerülő SAM program stratégiai jelentőségűvé válik abban az esetben, ha maga az informatika is a szervezeti stratégia megvalósításának alapja, illetve erős támogató funkciója lesz abban az esetben, ha az informatika működése kiszolgáló jellegű. A szoftverlicenc-gazdálkodásnak valamennyi szervezetnél kifejezetten a megvásárolt és a felhasznált szoftverlicencek optimalizálása a feladata, így biztosítania kell a megvásárolt és a felhasznált szoftver mennyiség kiegyensúlyozását, úgy, hogy a telepített szoftverek használata megfeleljen a licencszerződésben meghatározott követelményeknek.
A SAM ÉRETTSÉGI SZINT MEGHATÁROZÁSA
A részletes szoftverleltár kialakítását – majd annak folyamatos karbantartását – meg kell, hogy előzze az érintett szervezet – szoftverlicenc-gazdálkodásra vonatkozó – érettségi szintjének megállapítása. A közigazgatási szervezeteknél első lépésként ehhez el kell végezni egy felmérést, amelynek adatai alapján meghatározásra kerül az érettségi szint. Ennek ismeretében lehet tervezni, majd meghatározni a szoftverlicenc-gazdálkodás kialakításának – vagy továbbfejlesztésének – részletekre lebontott lépéseit, folyamatát, az egyes szakaszok mérföldköveit.
Az érettségi modellen belül minden szint tovább léphet a következő szintre, fontos azonban, hogy mindig csak az adott szint – valamennyi kritériumának teljes körű – teljesítését követően lehetséges a továbblépés, és mindig csak a következő érettségi szint következhet. A szakirodalom négy – egyes esetekben öt – érettségi szintet határoz meg, amelyek az alábbiak:
Alap: Jellemzője az alacsony kontrolláltsági szint, az eszközök használatára vonatkozóan, továbbá hiányoznak a folyamatok, a szabályozás, az erőforrások és az eszközök. A szervezet ezen a szinten is megfelelhet az alkalmankénti vizsgálatoknak, de az adatszolgáltatás nagy erőforrást igénylő manuális tevékenységen alapul, ahol több különböző – egy-mással nem összekapcsolt – rendszerből – amelyek sok esetben keresési lehetőséget sem biztosítanak – történik az adatgyűjtés. Az így szerzett információkat – céleszköz hiányában – táblázatkezelő rendszerbe töltik be, és kezelik.
Standardizált: A szoftverlicenc-gazdálkodás eszközei elérhetők, kialakított a folyamat. Rendelkezésre állnak az adatok, ezek azonban nem teljeskörűek és nem minden esetben pontosak. Az is jellemzője ennek a szintnek, hogy – mivel a nyilvántartás nem teljes-körű és pontos – az információkat nem használják fel döntésekre. A standardizált szint feladata a beszerzési folyamatok egységesítése, a licencraktár aktualizálása és a szoftverek kategorizálása. Ezen a szinten a szervezet már megfelel a gyártói auditoknak, illetve képes saját magára vonatkozó auditot végezni önellenőrzés céljából. Ez a szint már biztosíthatja a jogtiszta szoftverhasználatot, az adatgyűjtő rendszerek mellett megvalósul a licenckezelés, a raktár és a leltár.
Racionalizált (Aktív): Stratégiát, szabályzatokat, eljárásokat és eszközöket használnak a szoftverek teljes életciklusa alatt. Az információk megbízhatók, így alkalmasak a vezetői döntések támogatására. Ezen a szinten a szoftverhasználat a szükséges mértékű. A szoftverkatalógus teljes körű. A racionalizált szinten megvalósul a különböző informatikai rendszerek feltérképezése és a szoftverhasználat mérésének kialakítása.
Dinamikus (Optimalizált): Közel valós időben követik az igényeket, a szoftverlicenc-gazdálkodás rendszere stratégiai eszköz a szervezeti – stratégiában meghatározott – céljainak elérésében. Ezt a szintet a naprakész adatok és a hatékony folyamatok jellemzik. Folyamatos a licenc- és szoftverleltárak frissítése, a licencek optimalizálása. Megvalósulhat az integráció más rendszerekkel (pl. üzleti elemző rendszerek, BI), valamint elérhető a szoftver önkiszolgálás [10].
Egyes szakértők által készített érettségi modellben egy ötödik érettségi szint is beiktatásra került. Az öt szintű érettségi modellben az egyes szinteket elnevezése: Ad-hoc, Kezdetleges, Követő, Gazdálkodó, Hatékony [11]
A szakértők döntő többsége a négy szintű érettségi modellt használja a szervezetek érettségi szintjének meghatározása során, de a közigazgatási szervezetek esetében hasznos lehet az öt szintű modell is, hiszen sok szervezet rendelkezik olyan informatikai üzemeltetést támogató menedzsment rendszerrel, amelynek segítségével a szoftverlicenceinek egy részét képes felmérni (Kezdetleges szint).
A LEGFONTOSABB SAM FOLYAMATOK, SZABVÁNYOK
A szervezet érettségi szintjétől függően kell elkészíteni azt a stratégiát, majd ennek alapján a részfeladatokat is tartalmazó akciótervet, amelynek segítségével elérhető a dinamikus érettségi szint. Fontos, hogy a technológiai támogatás bevezetése előtt fel kell mérni a folyamatokat, ki kell alakítani a nyilvántartást, létre kell hozni, vagy ki kell jelölni a szervezetet, és szabályozni kell a tevékenység teljes folyamatát.
Azt azonban már a stratégia kialakításánál meg kell határoznunk, hogy a technológiának mely legfontosabb feladatokat kell támogatnia, ezek az alábbiak [8, pp. 47-66].
– Szoftverleltár (software inventory) készítés,
– Licenckezelő megoldás (license manager),
– Szoftverlicenc felhasználást mérő eszközök (software metering)
– Alkalmazásellenőrző eszközök (application control)
– Szoftvertelepítő (software deployment) eszközök
– Javítócsomagokat kezelő eszközök (patch management)
– Igénykezelő eszközök (request management)
– Termékkatalógus eszközök (product catalog)
A technológiával támogatott szoftverlicenc-gazdálkodás kialakítása során törekedni kell a szabványos megoldásra. A fent említett ITIL alapú szabvány (MSZ ISO/IEC 20000-1) mellett kifejezetten a szoftverlicenc-gazdálkodás magvalósítására vonatkozó nemzetközi szabványok is léteznek az alábbiak szerint.
– ISO 19770-1 keretrendszert biztosít a szoftverlicenc-gazdálkodás folyamatainak ki-alakításához, végrehajtásához [12, pp. 25-27].
– ISO 19770-2 a szoftver azonosító (SWID) címkék kialakítására és alkalmazására ad egységes előírást és eljárásrendet.
– ISO 19770-3 a szoftverjogosultsági címkézésre ad útmutatást.
Az ISO 19770-1 [13, p. 7] az informatikai vagyonelemek egyik nagy csoportjaként határozza meg a digitális vagyont (Digital Asset), amelyet további két csoportra oszt. Egyik csoport a „Digitális információ tartalmú vagyon”, ebbe tartoznak a különböző dokumentumok, hang, kép és videóformátumok, valamint adatbázisok. A másik csoport a „Szoftver vagyon”, ezen belül a szabvány megkülönbözteti a futtatható programokat – amennyiben rendelkezésre áll, úgy forráskóddal -, illetve a nem futtatható szoftvereket. Emellett meg-különbözteti a virtuális gépek működéséhez szükséges szoftvereket. A szabvány alapján a csoportosítás tehát technológiai alapon, és nem licencelés szerint történik. Az ITIL alapú szoftverlicenc-gazdálkodásról szóló könyvének függelékében Rudd részletesen csoportosítja a szoftverlicencek típusait és ebben a csoportosításban licenc alapú megközelítést alkalmaz [8, pp. 111-119].
Egyes szakmai fórumok a licencek csoportosítását – részben technológiai szempontok alapján, de – a szabványnál bővebben, több csoportot elkülönítve végzik [14]. Mások – mind hazai mind nemzetközi viszonylatban – azonban – a szabvánnyal ellentétesen – nem műszaki-technológiai, hanem jogi megközelítésből csoportosítják a szoftvereket. A licencelés vizsgálata szempontjából „a licencelés metódusa, valamint a jogtulajdonosi érdekérvényesítés szempontja szerint” [15, p. 1] történő csoportosítás a jobb megközelítés. A jogi szakterület sok esetben nem is magát a szoftvert vizsgálja, hanem a szoftverlicenc-szerződések típusait [16].
SZOFTVERLICENC-GAZDÁLKODÁS ÉRETTSÉGE A KÖZIGAZGATÁSBAN
A szoftverlicenc-gazdálkodás kialakítása előtt elengedhetetlen, hogy az érintett szervezet alapos és részletes szakmai átvilágításon essen át annak érdekében, hogy a területről átfogó információval rendelkezzen. Egy ilyen felmérést célszerű külső szakértőkkel végeztetni, hiszen egyrészt olyan szaktudást igényel a tevékenység, amely csak specialisták által elvégezhető, másrészt a független külső szakértő bevonásával valamennyi területről objektív képet kaphatunk.
Nyilvánvalóan egy rendszer kialakításánál a szervezeteket egyesével kell felmérni, de a dolgozatomban egy átfogó helyzetképet szeretnék exponálni a közigazgatásban jelenleg tapasztalható szoftverlicenc-gazdálkodással kapcsolatos információkra vonatkozóan. A felmérés eszközéül a mélyinterjút választottam, de megoldást jelenthet egy kifejezetten erre a célra kidolgozott kérdőív is. Az érettségi szint felméréséhez alkalmazható módszertan be-mutatása, valamint a mélyinterjú kérdéseinek, az azokra kapott válaszoknak részletes ismertetése meghaladja jelen mű kereteit, ezeket önálló cikkben tervezem feldolgozni. Jelen műben a felmérés eredményét ismertetem.
Interjúm alanyainak országos hatáskörű, több szintű hierarchiával rendelkező szervezetek szakembereit választottam. Összesen tíz szervezetet vizsgáltam, ezek közül nyolc klasszikus közigazgatási szervezet, kettő pedig 100%-ban állami tulajdonú gazdasági társaság. Valamennyi szervezet több ezer számítógépből álló informatikai rendszerrel és nagy értékű szoftver vagyonnal rendelkezik. A kutatásban résztvevő szervezeteket nem kívánom konkrétan megnevezni, célom, hogy a teljes közigazgatásra vonatkozó megállapításokat tegyek. A kérdéscsoportokba sorolt kérdések a szervezetek és az informatikai rendszerek méretére, az alkalmazott legfontosabb szoftverrendszerekre, ezek nyilvántartására, a kifejezetten szoftverlicenc-gazdálkodást támogató informatikai rendszerre, szervezetre, szabályozásra vonatkoztak.
A kérdéscsoportra adott válaszok értékelésével megállapítottam, hogy a szervezetek melyik érettségi szinten állnak a szoftverlicenc-gazdálkodás érettségi modellje szerint. Azt is megállapítottam hogy, ahol szoftverlicenc-gazdálkodást támogató informatikai rendszer bevezetése mellett döntenek, ott szervezeti és szabályozási oldalon ezzel párhuzamosan megtörténik a szükséges előrelépés. A négy szintű modellt vizsgálva megállapítottam, hogy hat közigazgatási szervezet alap szinten van, három racionalizált, egy pedig dinamikus szinten. Célszerűnek tartottam azonban az érettségi szintet megvizsgálni a ritkábban alkalmazott – de bizonyos szempontokból pontosabb eredményt adó – öt szintű modellt tekintve is. Nyilvánvalóan ebben az esetben csak a négy szintű modellben az alap szinten lévő hat szervezet helyzete változhat. Ebből a hat szervezetből négy esetében volt megállapítható, hogy rendelkeznek olyan megoldással, amely részinformációkat ad a szoftverlicencekkel kapcsolatosan, jellemzően egyes gyártók egyes termékek, vagy az informatikai rendszer egy meghatározott szegmensére vonatkozóan. Az öt szintű modellben tehát az általam vizsgált szervezetek közül kettő ad-hoc, négy kezdetleges, három gazdálkodó, egy pedig hatékony szinten van. Összességében megállapítottam, hogy a közigazgatási szervezetek többsége a szoftverlicenc-gazdálkodást tekintve alacsony érettségi szinten áll. Jelentős fejlesztések szükségesek mind a támogató informatikai rendszer vonatkozásában, mind a szervezeti és szabályozási területen, hogy képesek legyenek megfelelni a jogszabályokban foglalt adatszolgáltatási kötelezettségnek.Fontos eredménynek tartom annak megállapítását is, hogy a négy magasabb érettségi szinten álló szervezet közül kettő 100% állami tulajdon gazdasági társaság. Az állami tulajdonú gazdasági társaságok működése részben eltér a versenyszféra szereplőinek működésétől, hiszen jellemzően jogszabályban történik működésük rendjének és feladataiknak a meghatározása. Ugyanakkor abban viszont eltérnek a közigazgatás szereplőitől, hogy üzleti tervet készítenek, és működésüket jelentősen meghatározza gazdálkodásuk alakulása, a bevételeik és kiadásaik összefüggése tevékenységük értékének egyik lényeges mérőszáma. Fentiek alapján megállapítható, hogy egy felelősen gazdálkodó szervezetnek alapvető üzleti érdeke azt diktálja, hogy működtessen szoftverlicenc-gazdálkodást. Az interjúkból nyilvánvalóvá vált, hogy ezek a szervezetek valóban kiemelten fontosnak tartják a szoftverlicenc-gazdálkodási tevékenységre történő ráfordítást, ez abból következik, hogy ismert számukra az optimális felhasználásból következő megtakarítás lehetősége.
FEJLESZTENDŐ TERÜLETEK
Folyamatok meghatározása
A korábban jelzett előzetes felmérés egyik eleme, a szervezeten belüli folyamatok meghatározása, ezeket testre kell szabni az adott szervezet igényei, lehetőségei szerint, majd ennek megfelelően kell kialakítani a szervezetet és elkészíteni a belső szabályozást.
A folyamatok tervezésénél minden egyes folyamat valamennyi folyamatlépését meg kell határozni, továbbá azt is, hogy az egyes folyamatlépésekben milyen szervezetek, szerepkörök érintettek. A folyamatokat az egyértelmű rendszer kialakítása, az egyszerűbb megérthetőség érdekében javasolt vizuális formában, folyamatábrákon is megjeleníteni. Így szemléltethetők a szerepkörök, felelősségek, döntési pontok.
Az érettségi modell alap (ad-hoc) szintjén lévő szervezeteknél az alábbi folyamatokat javaslom részletesen kidolgozni és dokumentálni: szoftverlicenc szükségletek tervezése, igénylés folyamata, szoftverlicenc konstrukció kiválasztás folyamata, módszere és a beszerzés folyamata, számlakezelés a nyilvántartó rendszerekben, szoftverlicenc nyilvántartásba vétel, nyilvántartásokhoz való hozzáférések kezelése, szoftverlicenc aktiválás, eltávolítás (raktárba visszavétel), selejtezés, szoftverlicenc felülvizsgálatok (konszolidáció, optimalizáció, frissítés, licenc konstrukció váltás), telepítések felmérése, leltározás, eltérések kezelése (hiány, többlet), szoftverlicencek kivezetése (törlése), engedély nélküli szoftverlicencek kezelése, szoftverlicenc-gazdálkodással kapcsolatos információk szolgáltatása (lekérdezések, jelentések, riportok) [8, pp. 47-66] [9, p. 6].
Szervezet kialakítása, szabályozás
A közigazgatási szervezetek informatikai működéséhez szükséges szoftverlicencek nyilvántartásához, a jogszabályi feltételek és a beszállítói szerződések betartásához, az optimális gazdálkodás, továbbá a DKÜ Zrt. és a KSZG Kft. részére történő adatszolgáltatási kötelezettség biztosítása érdekében szoftverlicenc-gazdálkodási területet kell kialakítani.
Az, hogy ez a terület a szervezet melyik szervezeti egységének irányításával jön, milyen mérettel, létszámmal, munkamegosztással működik, vagy esetleg ezt a tevékenységet egyes szervezetek kiszervezik, vagyis külső szállítóval kötött szolgáltatási szerződés keretében valósítják meg a szoftverlicenc-gazdálkodási tevékenységet vezetői (felsővezetői) döntés kérdése. Ezt a döntést befolyásolhatja a szervezet mérete, az informatikai rendszer felépítése, kiterjedtsége, az érintett szoftvervagyon értéke, esetleg állhat a háttérben szakmai vagy gazdasági megfontolás. Véleményem szerint a hierarchikus – lineáris-funkcionális – felépítésű, több ezer alkalmazottal rendelkező és nagy kiterjedésű informatikai rendszert üzemeltető közigazgatási szervezeteknél, ahol több száz vagy egyes esetekben akár több ezer szervert és kulcsfontosságú adatbáziskezelő rendszereket üzemeltetnek, a szoftvervagyon értéke eléri vagy meghaladja a milliárdos – egyes nagyobb informatikai rendszerrel rendelkező szervezeteknél a tízmilliárdos – értéket, ott szükségszerű és indokolt, hogy a szervezeten belül is megvalósuljon a szoftverlicenc-gazdálkodás területén szakértő alkalmazott foglalkoztatása.
A szoftverlicenc-gazdálkodás a teljes vállalton átívelő tevékenység, több szakterület (jogi, pénzügyi, informatikai, beszerzési) együttműködését igényli. A szervezeti egység irányítását a szervezet informatikai vezetőjének hatáskörébe célszerű delegálni. A szervezeti egységet a szoftverlicenc-gazdálkodási terület vezetője vezeti, irányításával dolgozik az informatikai (licenc) szakértő és a folyamatszervező, valamint a pénzügyi, a nyilvántartási és a jogi szakértő. A vezetőnek, az informatikai szakértő és a folyamatszervező munkatársaknak célszerű együtt, egy szervezeti egységnél, egy vezető irányításával – praktikusan az informatikai szakterületen – dolgozni. A létszám a szervezet és a feladat függvényében változhat, igény szerint eseti külső szakértelem bevonásával.
A közigazgatási szerveken belüli feladatok szervezeti egységekhez rendelését a szervezeti és működési szabályzatok, az egyes szervezeti egységek belső működését pedig az ügyrendek határozzák meg. Az egyes szaktevékenységek folyamatait – különösen abban az esetben., ha a szervezeten belül több szervezeti egységet is érintenek – úgynevezett közjogi szervezetszabályozó eszközök határozzák meg. Ezeknek az egyes szervezeteknél egymástól eltérő az elnevezésük, de összefoglaló néven belső utasításnak nevezhetjük őket.
A szoftverlicenc-gazdálkodási tevékenységet – mivel több szervezeti egység is érintett – indokolt belső utasításban szabályozni. Szintén a szabályozást determinálja, az a speciális helyzet, hogy a szoftvereket is számviteli nyilvántartásban kell nyilvántartani, megjelenik a gazdálkodási és a selejtezési folyamat is, de ezek eltérnek más tárgyi eszközökkel végzett hasonló tevékenységektől.
A belső szabályzatnak a szervezet egészére érvényesnek kell lennie, ez garantálja az egységes tevékenységet. A szabályzat hatóköre mellett meg kell határozni a szoftverlicenc-gazdálkodási tevékenység célját, valamint a szervezeten belüli felügyeletet gyakorló vezetőt.
A szabályzatban célszerű meghatározni, hogy a szoftverlicenc-gazdálkodási terület tevékenységéhez milyen eszközöket – elsősorban szoftvereket – használ és feladatai végrehajtása során milyen nyilvántartásokat vezet.
A szabályzat mellett előnyös lehet kiadni a szervezet szoftverlicenc-gazdálkodási politikáját is. Ebben a – 4-8 pontból álló – dokumentumban a szervezet a szoftverlicenc-gazdálkodási tevékenysége alapelveit határozza meg. A szoftverlicenc-gazdálkodási politika egyrészt a feladat szervezeten belüli súlyát hangsúlyozza, másrészt a szervezet elkötelezettségére hívja fel a figyelmet. Ilyen elkötelezettség lehet a jogtiszta, legális, licenc-szerződésben megfogalmazott követelmények szerinti szoftver használata, valamint a szerzői jogok védelme, érvényesítése melletti kiállás.
Informatikai támogató eszköz kiválasztásának szempontjai
Az informatikai támogató eszköz kiválasztásának első lépése a lehetséges szoftverek körének meghatározása, felmérése. Ezt végezheti maga az érintett szervezet, vagy egy – szerződés alapján – megbízott speciális szakértelemmel rendelkező külső szolgáltató. Szoftverlicenc-gazdálkodást támogató rendszerekkel kapcsolatosan nyilvánosan is elérhetők információk mértékadó tanácsadó cégek kutatásai, felmérései, rangsorolása alapján, az egyik legismertebb a Gartner szakmai listája [17].
A tevékenységet támogató informatikai rendszer kiválasztása előtti előkészítő munka során meg kell vizsgálni, hogy a szervezetnél van-e használatban olyan rendszer, menedzsment szoftver, igénykezelő rendszer, esetleg más olyan megoldás, amelynek képességeit, a benne tárolt információkat a szoftverlicenc-gazdálkodást támogató rendszer hasznosítani tudja. Amennyiben van ilyen rendszer, akkor azt is meg kell vizsgálni, hogy lehetséges-e erre felépíteni a szoftverlicenc-gazdálkodást támogató rendszert. Ha ez lehetséges és a rendszer a további követelményeknek is megfelel, vagy vállalható – aránytalan kockázatot nem jelentő – kompromisszummal kezelhető a megfeleltetés, akkor több szem-pontból is célszerű annak bevezetése. Egyrészt az informatikai rendszer a homogén, együtt-működő rendszer irányába lép tovább, másrészt a meglévő megoldások, licencek az új rend-szer (modul) bevezetésének költségeit mérsékelik, továbbá kevesebb műszaki kockázattal kell számolnunk, illetve rövidebb lehet a bevezetés időtartama is.
A jogszabályokban foglaltak, illetve a Nemzeti Kibervédelmi Intézet iránymutatása alapján a közigazgatási szervezeteknek célszerű olyan szoftverlicenc-gazdálkodást támogató informatikai rendszer beszerezni, amely képes kizárólag a megrendelő szervezet saját hálózatába telepítve működni (úgynevezett on-premise), úgy, hogy működése során nem folytat adatcserét felhőben működő informatikai rendszerrel.
ÖSSZEFOGLALÁS, KUTATÁSI EREDMÉNYEK
Munkám során a hazai közigazgatási szervezetek szoftverlicenc-gazdálkodási helyzetével foglalkoztam. Témaválasztásom aktualitását a 2021-ben történt jogszabályi változások indokolják, hiszen kormányzati szinten is szükségesnek tartják a terület fejlesztését.
Dolgozatomban elemeztem a szoftverlicenc-gazdálkodás jogi környezetét, illetve a nyilván-tartás elmaradásának kockázatait. Egyidejűleg ismertettem a tevékenység felépítését, rávilágítottam lényeges elemeire a nemzetközi szabványok és a legjobb gyakorlatok alapján. Ezt követően – mélyinterjúk alapján – megállapítottam, hogy a közigazgatási szervezetek a szoftverlicenc-gazdálkodás milyen érettségi szintjén vannak. Ezután javaslatot dolgoztam ki a szoftverlicenc-gazdálkodáshoz szükséges folyamatok és szervezeti keretek kialakítására, a belső szabályozás legfontosabb elemeire. illetve javaslatot tettem arra, hogy egy szoftverlicenc-gazdálkodást támogató informatikai rendszer beszerzése során milyen körülményeket kell hangsúlyosan kezelni.
Összefoglalva – véleményem szerint – publikációm jól hasznosítható a szoftverlicenc-gazdálkodás területén fejlesztést, előrelépést tervező közigazgatási szervezeteknél a közép- és hosszútávon fejlődést eredményező legfontosabb teendők tervezéséhez.
IRODALOMJEGYZÉK
[1] PRISZNYÁK, Szabolcs: A rendvédelmi informatika egyes szervezési és oktatási kérdései [PhD értekezés] Óbudai Egyetem 2020. p. 55; p. 78
[2] CZUPRÁK, Ottó, & KOVÁCS, Gábor: A szervezetvezetés elmélete. Budapest: Dialóg Campus Kiadó. 2017. ISBN 978-615-5764-43-1. p. 274 [3]SEBESTYÉN, Attila: Stációk és determinánsok a rendvédelmi szervek informatikai mű-ködésének fejlődésében [PhD értekezés]. Zrínyi Miklós Nemzetvédelmi Egyetem 2010. p. 30
[4] Központi Statisztikai Hivatal https://www.ksh.hu/docs/hun/xstadat/xstadat_eves/i_oni018.html (letöltve: 2021. április 27.)
[5] Nemzeti Digitalizációs Stratégia 2021-2030, pp. 77-78.
[6] LEHOCZKY, Mónika: Szoftvert hova könyveljük?
http://merlegkepestanoncok.hu/szamvitel/szoftvert-hova-könyveljuk 2014 (letöltve: 2021. április 20.)
[7] JACZÓ, Dániel: A használt szoftverekkel való kereskedés szerzői jogi értékelése és bírósági gyakorlata az Európai Unió irányelveinek és esetjogának tükrében. Infokommunikáció és Jog, 2014. p. 1.
[8] RUDD, Colin: ITIL V3 Guide to Software Asset Management. Norwich, United King-dom, 2014., ISBN 978 0 11 331106 4. p. 4, pp. 47-66, pp. 111-119.
[9] KPMG International: Software Asset Management: Mitigating Risk and Realizing Op-portunities. 2009., p. 13
[10] AUERHAMMER, Nóra: Így építhető ki a hatékony szoftvergazdálkodási rendszer. bitport.hu., https://bitport.hu/igy-epitheto-ki-a-hatekony-szoftvergazdalkodasi-rendszer (2019. május 30.) (letöltve: 2021. március 28.)
[11] B. SZABÓ, Edina: Intelligens szoftvermenedzsment, Innotéka. https://www.in-noteka.hu/cikk/intelligens_szoftvermenedzsment.1234.html (2015. október 2.) (letöltve: 2021. április 20.)
[12] KAY, Peter: Shaping the software agenda. ISO Focus, 2007. 4. évfolyam, 5. szám, ISSN 1729-8709. pp. 25-27
[13] International Standard ISO/IEC 19770-1. (2017. december). Vernier, Svájc: iso.org
[14] Freshservice.com https://freshservice.com/software-license-management (évszám nél-kül) (letöltve: 2021. április 27.)
[15] JACZÓ, Dániel: A szoftverlicencek tipológiája. https://jdlaw.hu/wp-content/up-loads/2015/03/A_szoftverlicencek_tipologiaja.pdf (2015. március 12.) (letöltve: 2021. január 30.)
[16] GROSS, Balázs: A szoftver-licenc szerződések típusai. Jogi Fórum. Pécs: Jogászoknak Kft., https://www.jogiforum.hu/publikaciok/19 (2001. május 5) (letöltve: 2021. április 28.)
[17] GARTNER: Software Asset Management (SAM) Tools Reviews and Ratings https://www.gartner.com/reviews/market/software-asset-management-tools (letöltve: 2021. április 27.)
JOGSZABÁLYOK
301/2018. (XII. 27.) Korm. rendelet a Nemzeti Hírközlési és Informatikai Tanácsról, vala-mint a Digitális Kormányzati Ügynökség Zártkörűen Működő Részvénytársaság és a kormányzati informatikai beszerzések központosított közbeszerzési rendszeréről
2000. évi C. törvény a számvitelről
2016. évi XCIII. törvény a szerzői jogok és a szerzői joghoz kapcsolódó jogok közös kezeléséről
2013. évi V. törvény a Polgári Törvénykönyvről 017. ISBN 978-615-5764-43-1. p. 2742012. évi C. törvény a Büntető Törvénykönyvről
SZABVÁNYOK
MSZ ISO/IEC 20000-1:2013 Informatika. Szolgáltatásirányítás. 1. rész: A szolgáltatásirá-nyítási rendszer követelményei
http://www.mszt.hu/web/guest/webaruhaz?p_p_id=msztwebshop_WAR_MsztWAport-let&p_p_lifecycle=1&p_p_state=normal&p_p_mode=view&p_p_col_id=column-1&p_p_col_pos=1&p_p_col_count=2&_msztwebshop_WAR_MsztWAport-let_ref=154719&_msztwebshop_WAR_MsztWAportlet_javax.portlet.action=search (le-töltve: 2021. április 30.)
MSZ ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények http://www.mszt.hu/web/guest/ingyenes-szabvany-lista?p_p_id=msztwebshop_WAR_MsztWAportlet&p_p_lifecycle=1&p_p_state=nor-mal&p_p_mode=view&p_p_col_id=column-1&p_p_col_count=1&_msztwebshop_WAR_MsztWAport-let_ref=157993&_msztwebshop_WAR_MsztWAportlet_javax.portlet.action=search (le-töltve: 2021. április 30.)
ISO/IEC 19770-1:2017(en) Information technology — IT asset management — Part 1: IT asset management systems https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-1:ed-3:v1:en (letöltve: 2021. március 28.)
ISO/IEC 19770-2:2015(en) Information technology — Software asset management — Part 2: Software identification tag https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-2:ed-2:v2:en (letöltve: 2021. március 28.)
ISO/IEC 19770-3:2016(en) Information technology — IT asset management — Part 3: En-titlement schema https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-3:ed-1:v1:en (letöltve: 2021. március 28.)
ISO/IEC 27005:2018(en) Information technology — Security techniques — Information security risk management https://www.iso.org/obp/ui/#iso:std:iso-iec:27005:ed-3:v1:en (letöltve:2021. április 30.)