ГОСТ Р ИСО/МЭК 19770-1-2014
Группа П85
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
МЕНЕДЖМЕНТ ПРОГРАММНЫХ АКТИВОВ
Часть 1
Процессы и оценка соответствия по уровням
Information technologies. Software asset management. Part 1. Processes and tiered assessment of conformance
ОКС 35.080
ОКСТУ 4090
Дата введения 2015-03-01
1 ПОДГОТОВЛЕН Закрытым акционерным обществом "Консистент Софтвеа Дистрибушн" на основе перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 076 "Системы менеджмента"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 мая 2014 г. N 483-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 19770-1:2012* "Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням (ISO/IEC 19770-1:2012 "Information technology - Software asset management - Part 1: Processes and tiered assessment of conformance", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с требованиями ГОСТ Р 1.5-2012 (пункт 3.5).
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ. Январь 2017 г.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт предназначен для организаций, желающих освоить передовой опыт в области менеджмента программных активов (Software Asset Management, SAM). Настоящий стандарт идентичен ИСО/МЭК 19770-1:2012, который разработан на базе ИСО/МЭК 19770-1:2006 "Информационные технологии. Менеджмент программного обеспечения. Часть 1. Процессы" - комплексного стандарта, разработанного для применения ко всему менеджменту услуг, как это описано в ИСО/МЭК 20000.
Опыт применения ИСО/МЭК 19770-1:2006 выявил потребность в поэтапном внедрении, причем такие этапы должны наилучшим образом соответствовать потребностям организации. Настоящий стандарт разработан с целью обеспечения внедрения SAM в соответствии с требованиями настоящего стандарта в рамках любого из этапов наращивания, именуемых далее уровнями (кумулятивными по своей сути). Это позволяет организациям проходить независимую автономную сертификацию, соответствующую естественным уровням развития и приоритетов в управлении. Последующее подтверждение дается таким организациям через возможность публично заявлять о пройденной сертификации на соответствие заявленному уровню.
Разделение на уровни разработано таким образом, чтобы стандартизированные процессы менеджмента программных активов (SAM) были доступны для большинства организаций. Организации, внедряющие SAM впервые, часто могут ускорить этот процесс, тщательно определяя программные активы и части организации, охватываемые SAM. Обычно организация не стремится к достижению всех возможных внутренних целей, целей программного обеспечения и целей организации, описанных в настоящем стандарте в разделе 1 "Цель документа". Организация может определить для себя любую цель, если она является однозначной.
В тех случаях, когда организация предпочитает сузить цель SAM указанным выше образом, она должна учесть определенные факторы, обеспечивающие достижение всех необходимых преимуществ и целей организации. Например, для обеспечения надежного уровня безопасности обычно необходимо, чтобы в цели SAM были включены все активы, относящиеся к определенным разделам организационной инфраструктуры. Кроме того, управлять программными активами невозможно, не управляя одновременно аппаратными средствами, на базе которых оно работает, соответственно, настоящий стандарт может использоваться для управления и тем, и другим. Термин SAM предполагает охват всех связанных с программным обеспечением активов в инфраструктуре информационных технологий (ИТ) и применение термина SAM в настоящем стандарте отражает организационный выбор ответственной рабочей группы ИСО/МЭК и обычную практику рынка. SAM обладает большим набором преимуществ перед другими взаимосвязанными методами управления ИТ-активами, и разработчики качественных методик SAM могут ожидать получения дополнительных преимуществ помимо возможностей собственно управления программным обеспечением.
На рисунке 1 показаны четыре уровня SAM, определенные в настоящем стандарте. Более полное описание этих уровней приведено в разделе 5 "Уровни". Их можно кратко охарактеризовать следующим образом:
Рисунок 1 - Четыре уровня SAM
Основные связанные преимущества каждого уровня:
Уровень 1: Достоверные данные. Достижение этого уровня означает получение знаний о том, что у вас есть, чтобы уметь управлять этим.
Наличие достоверных данных - обязательное условие качественных процессов SAM. Здесь применим общий управленческий принцип, состоящий в том, что "невозможно управлять тем, чего не знаешь". На этом уровне также осуществляется демонстрация лицензионного соответствия, что обычно является высокоприоритетной целью управления.
Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения ( см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу получения достоверных данных.
Уровень 2: Практическое управление. Достижение этого уровня означает повышение качества административного управления и получение немедленных преимуществ.
На практике руководство организации обычно начинает заниматься вопросами, относящимися к SAM, только после того, как будут выявлены проблемы, связанные с недостоверностью данных. Организация выясняет степень подверженности рискам, а также потенциал для усовершенствований и экономии. Этот уровень охватывает базовую среду административного управления (см. 4.2 "Контрольная среда SAM"), включая политики, роли и обязанности. На этом уровне также определяются цели и достигаются немедленные преимущества (за счет использования данных уровня 1).
Уровень 3: Операционная интеграция. Достижение этого уровня означает повышение эффективности и результативности.
Этот уровень, основываясь на результатах, полученных на двух предыдущих уровнях, интегрирует процессы SAM в операционные процессы (см. 4.6 "Процессы и интерфейсы управления операциями SAM"). В результате повышается эффективность и результативность.
Примечание - Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения (см. ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см. ИСО/МЭК 19770-3), имеющие целью упростить задачу интеграции.
Уровень 4: Полное соответствие настоящего стандарта SAM. Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM.
Этот уровень охватывает более сложные и требовательные аспекты комплексного SAM, включая полную интеграцию процессов SAM в процессы стратегического планирования организации.
Уровни 1-3 определены как подмножества полного набора групп процессов и результатов, определенных в настоящем стандарте, т.е. у каждой группы процессов SAM имеется единственная цель, например, идентификация программных активов, и каждая группа процессов содержит множество результатов процессов для достижения каждой цели. Сводная таблица, иллюстрирующая эту структуру, приведена в приложении A.
Уровни формируются один над другим, причем уровень 4 определяется как полный набор групп процессов и результатов, определенных в настоящем стандарте. Следует обратить внимание, что группы процессов и результаты, определенные в настоящем стандарте, если сравнивать их с ИСО/МЭК 19770-1:2006, практически не изменились, не считая некоторых незначительных разъяснений. Также в целом сохранена структура целей групп процессов, устанавливающих множество результатов, после чего может быть установлено соответствие любому конкретному уровню. Несмотря на то, что любой из уровней можно сертифицировать по отдельности, все они рассчитаны на то, что все предыдущие уровни в любое время остаются функциональными. На практике это обычно означает, что в организации, претендующей на сертификацию более высокого уровня, аудитор при регулярной проверке любого предыдущего уровня или уровней также осуществит проверку более высокого уровня.
Более подробное описание уровней и их структуры приведено в разделе 5.
Общие преимущества SAM:
a) управление рисками: например, минимизация степени воздействия прерываний или снижения качества работы ИТ/служб; снижение юридических и регуляторных рисков;
b) контроль затрат: снижение прямых затрат на программное обеспечение и связанные активы (см. описание связанных активов в 1.2), контроль затрат, связанных с постоянной поддержкой, контроль контрактных издержек;
c) конкурентное преимущество: лучшие бизнес-решения и чувство удовлетворения от наличия постоянно доступных достоверных данных.
Обычно бизнес-требования относятся к приоритетным областям, например к конкретным производителям программного обеспечения, а иногда к конкретным группам организационных подразделений. Правильно выбрав уровни и соответствующим образом определив масштабы, организации получат преимущества от использования стандартизированных процессов SAM, описанные в настоящем стандарте в разделе 1 "Цель документа".
В принципе для определения стандарта, соответствие которому может быть поэтапно достигнуто, можно также применить подход на базе использования модели способности или зрелости. Однако на практике такой подход, если он предполагает независимую сертификацию, представляется значительно более сложным. Несмотря на это, по итогам переработки первой редакции ИСО/МЭК 15504 предполагается разработка такого подхода, что позволит объединить подходы, основанные на настоящем стандарте и других рыночных методологиях, исходя из уровня зрелости.
Настоящий стандарт определяет основу комплексного набора процессов менеджмента программных активов (Software Asset Management, SAM), разделенного на уровни, предусматривающие поэтапное внедрение, оценку и утверждение процессов SAM.
Настоящий стандарт применяется к процессам SAM и может использоваться организациями для получения немедленных преимуществ. ИСО/МЭК 19770-2 определяет соответствующую спецификацию дескрипторов идентификации программного обеспечения. Для получения всех преимуществ данная спецификация должна быть внедрена производителями программного обеспечения (внешними и внутренними) и разработчиками инструментальных средств.
Предполагается, что настоящий стандарт станет стандартом внедрения для организаций. В последующих редакциях могут быть предусмотрены инструменты измерений, согласованные с требованиями ИСО/МЭК 15504-2:2003 или ИСО/МЭК 33003*.
________________
* ИСО/МЭК 33003 Системное проектирование и разработка программного обеспечения. Требования к инфраструктуре измерения процессов.
Настоящий стандарт применим к организациям любого размера или отрасли. С целью обеспечения соответствия, настоящий стандарт может применяться только к юридическому лицу или к частям отдельного юридического лица. Он также может применяться к нескольким юридическим лицам (например, родительской и дочерним предприятиям транснациональной компании), если между ними существуют юридические отношения (например, одна компания осуществляет контроль над другими). Настоящий раздел стандарта применяется только в тех случаях, когда контролирующая компания осуществляет контроль над всей областью применения (как это определено с целью обеспечения соответствия), а аудитор соглашается с таким определением организационной области применения.
Примечание - Определение организационной области применения документируется в разделе "Процесс корпоративного управления SAM" (4.2.2).
Настоящий стандарт может применяться к организации, передавшей процессы SAM в субподряд, при этом ответственность за демонстрацию соответствия всегда лежит на организации, привлекающей субподрядчиков.
Настоящий стандарт может применяться ко всему программному обеспечению и связанным активам, независимо от характера программного обеспечения, при этом под связанными активами понимаются активы, необходимые для использования программного обеспечения или управления им. Например, он может быть применен как к исполняемому программному обеспечению (прикладным программам, операционным системам и программным утилитам), так и к неисполняемому программному обеспечению (шрифтам, графике, аудио- и видеозаписям, шаблонам, словарям, документам и данным). Он может применяться ко всем технологическим средам и вычислительным платформам (например, виртуализированным приложениям, программному обеспечению, установленному на компьютерах организации или программному обеспечению "как услуга" (SaaS); в равной мере она применима к облачным сервисам и устаревшим вычислительным средам).
Примечание - Определение области применения программного актива (типов программного обеспечения, входящих в область применения), документируется как часть Плана SAM, разработанного в ходе процесса "Планирование SAM". Эта область может быть определена любым удобным для организации способом, например, ею может быть все программное обеспечение, компьютерные программы, программное обеспечение конкретных платформ или программное обеспечение конкретных производителей, при условии, что такое определение области является однозначным. См. также пояснения ниже после данного подраздела и в таблице 1.
За исключением требований, оговоренных в 4.7.4 "Процесс разработки программного обеспечения", применение настоящего стандарта при разработке программного обеспечения (в части написания и поддержания программного кода) не требуется. Он предназначен для применения ко всему программному обеспечению в производственной среде, в том числе к процессам конфигурирования программного обеспечения, создания и контроля сборок и релизов. Провести четкую границу между чистой разработкой (исключаемой, таким образом, из рассмотрения) и производственной средой (включаемой, таким образом, в рассмотрение) можно, однозначно формально определив организационную область или область применения программного обеспечения.
Примечание - Программное обеспечение, используемое для разработки другого программного обеспечения, считается частью производственной среды, другими словами, программное обеспечение, используемое разработчиками, само должно быть под контролем.
В рамках настоящего стандарта различают следующие формы программных активов:
a) права на использование программного обеспечения, выражаемые полной собственностью (в отношении программного обеспечения, разработанного внутри организации) и обладанием лицензиями (в отношении коммерческого программного обеспечения и программного обеспечения с открытым исходным кодом сторонней разработки);
b) программное обеспечение, предназначенное для использования, содержащее ценность, связанную с наличием интеллектуальной собственности (в том числе исходное программное обеспечение, предоставленное производителями и разработчиками программного обеспечения, сборки программного обеспечения и программного обеспечения в том виде, в котором оно было установлено и иным образом предоставлено, использовано или исполнено); и
c) носители, содержащие программное обеспечение для использования.
Примечание - В финансовом учете под активами в первую очередь понимается категория, приведенная в перечислении a), но даже в этом случае этот актив может быть полностью списан. Категория, приведенная в перечислении b) при использовании не лицензированного должным образом коммерческого программного обеспечения фактически может рассматриваться как пассив (а не актив). Настоящий стандарт предусматривает, что собственные активы категорий по перечислениям b) и c) должны контролироваться так же, как и категории перечисления а). Лицензии могут иметь бухгалтерскую стоимость, однако используемое программное обеспечение должно иметь коммерческую стоимость и рассматриваться как бизнес-актив.
Под связанными активами в области применения понимаются все активы с характеристиками, необходимыми для использования или управления программным обеспечением в этой области применения. Любые характеристики связанных активов, не требуемые для использования программного обеспечения или управления им, лежат вне области применения. В таблице 1 приведены примеры таких активов.
Таблица 1 - Применение настоящего стандарта к активам, не являющимся программным обеспечением