4.4.1 Общие положения
Процессы инвентаризации SAM формируют и поддерживают все учетные записи и отчеты по программному обеспечению и связанным активам, а также реализуют функционал управления данными, обеспечивающий целостность управления программным обеспечением и связанными активами в других процессах SAM.
Процессы инвентаризации SAM являются основой не только SAM, но и всего управления конфигурациями. Управление конфигурациями - более широкая категория, чем SAM, так как оно охватывает не только все ИТ-активы (не только программное обеспечение и связанные активы), но активы, не относящиеся к ИТ, а также взаимоотношения между всеми этими активами. В контексте программы, охватывающей весь менеджмент ИТ-услуг, процессы инвентаризации SAM рассматриваются как часть управления конфигурациями.
Для обеспечения надлежащего функционирования всего процесса SAM и любых процессов менеджмента ИТ-услуг (базирующихся на процессах инвентаризации), процессы инвентаризации необходимо выполнять на регулярной основе.
Примечание - Стандартизированные информационные структуры, например, определенные в других частях настоящего стандарта, облегчают использование информационных процессов SAM, в том числе обеспечивают их автоматизацию.
Процессы инвентаризации SAM состоят из следующих групп процессов:
a) идентификация программных активов;
b) управление инвентаризацией программных активов;
c) контроль программных активов.
4.4.2 Идентификация программных активов
4.4.2.1 Цель
| |
Цель процесса "Идентификация программных активов" состоит в отборе, группировании и классификации по соответствующим характеристикам необходимых классов активов, обеспечивающих эффективное управление программным обеспечением и связанными активами
| Применимо к уровням 1 и 4
|
4.4.2.2 Результаты
| | | | |
Результат
| Уровень |
| 1
| 2 | 3 | 4 |
Реализация процесса "Идентификация программных активов" позволит организации продемонстрировать следующее:
|
a) в организации формально определены типы контролируемых активов и связанная с ними информация, характеризуемые следующими особенностями:
1) управляемые позиции выбраны в соответствии с установленными критериями отбора, сгруппированы, классифицированы и идентифицированы, что обеспечит их управляемость и отслеживаемость на протяжении всего жизненного цикла.
Примечание - Важные с точки зрения бизнеса и безопасности активы, а также активы высокого риска должны классифицироваться и контролироваться на более детальном уровне;
2) к управляемым позициям относятся:
i) все экземпляры устройств или платформ, на которых может устанавливаться или запускаться программное обеспечение;
ii) финальные основные версии и экземпляры для распространения программного обеспечения;
iii) сборки и релизы программного обеспечения (финальные основные версии и экземпляры для распространения);
iv) все установленное программное обеспечение;
v) версии программного обеспечения;
vi) методология, в соответствии с которой программное обеспечение идентифицируется в области применения.
Примечание - Необходимая информация может быть получена из соответствующим образом определенных и отслеживаемых дескрипторов идентификации программного обеспечения, как это определено в других частях настоящего стандарта;
vii) патчи и обновления;
viii) лицензии, в том числе составляющие лицензии и действующие полные лицензии;
ix) документы, доказывающие наличие лицензии ("Подтверждение лицензии");
x) контракты (включая количественные характеристики и условия), имеющие отношение к программным активам, в том числе их бумажные и электронные копии;
xi) физические и электронные хранилища и описи вышеуказанного (в зависимости от обстоятельств);
xii) модели лицензирования;
3) управление программным обеспечением осуществляется в организации, как по файлам, так и по пакетам, в соответствии с особенностями конкретных продуктов, выпущенных производителями программного обеспечения или разработчиками;
4) Базовая информация для всех активов:
i) уникальный идентификатор;
ii) имя/описание;
iii) расположение;
iv) ответственный (или владелец);
v) статус (например, тестовый/производственный; разработка/сборка и т.п.);
vi) тип (например, программное обеспечение, аппаратное обеспечение, устройство);
vii) версия (если имеется).
Примечания
1 В рамках данного процесса также могут определяться требования к проверке правильности данных.
2 Эта информация может быть извлечена из соответствующим образом определенного и отслеживаемого дескриптора идентификации программного обеспечения (см. ИСО/МЭК 19770-2);
| | | | |
b) в организации имеется реестр хранилищ и запасов, содержащий сведения о хранимых запасах и типах информации. Дублирование информации такого реестра допускается только в том случае, если дублируемую информацию можно отследить до определенной исходной записи.
Примечание - Обычно в этом реестре содержатся следующие типы информации о каждом физическом наборе (хранилище) хранимых активов или списке (инвентарной описи) активов:
1) определенный тип актива SAM;
2) имя лица, отвечающего за управление этой информацией;
3) место, в котором можно получить доступ к такому хранилищу или инвентарной описи
| | | | |
4.4.3 Управление инвентаризацией программных активов
4.4.3.1 Цель
| |
Цель процесса "Управление инвентаризацией программных активов" состоит в обеспечении надлежащего хранения физических экземпляров программных активов и учете необходимых данных о характеристиках всех активов и элементов конфигурации на протяжении всего жизненного цикла. Этот процесс также выдает информацию о программных и связанных активах, необходимую для обеспечения эффективности других бизнес-процессов
| Применимо к уровням 1 и 4
|
4.4.3.2 Результаты
| | | | |
Результат | Уровень |
| 1
| 2 | 3 | 4 |
Реализация процесса "Управление инвентаризацией программных активов" позволит организации продемонстрировать следующее:
|
a) организацией разработаны, утверждены и выпущены политики и процедуры, относящиеся к управлению и обслуживанию физических/электронных хранилищ, в том числе имеются средства контроля доступа:
1) защищающие их от несанкционированного доступа, изменений или повреждений;
2) обеспечивающие аварийное восстановление после отказа
| | | | |
b) в организации имеются инвентарные описи:
1) всех экземпляров устройств или платформ, на которых могут устанавливаться или запускаться программные активы;
2) всего разрешенного установленного программного обеспечения с указанием пакетов и версий (которые могут быть лицензированы или разрешены к развертыванию по отдельности, статуса обновлений/патчей программного обеспечения по всем платформам, на которых они установлены.
Примечание - Инвентарная опись программного обеспечения, разрешенного для установки (или использования), является важным документом, однозначно устанавливающим тот факт, что программное обеспечение разрешено к установке, и определяющим, может ли какой-либо конкретный экземпляр платформы/устройства использовать программное обеспечение или разрешать его установку. Разрешение может выдаваться на любом уровне, например на уровне устройства, класса пользователя или всей организации;
3) имеющихся составляющих лицензий и действующих полных лицензий.
Примечание - Ведение отдельных инвентарных описей для составляющих и действующих полных лицензий не требуется, однако должна быть предусмотрена возможность различения этих двух типов
| | | | |
c) в организации имеются инвентарные описи и соответствующие физические/электронные хранилища:
| | | | |
1) программного обеспечения (финальных основных версий и экземпляров для распространения);
| | | | |
2) сборок и релизов программного обеспечения (финальных основных версий и экземпляров для распространения);
| | | | |
3) контрактов, имеющих отношение к программным активам, как бумажных, так и электронных;
| | | | |
4) документов, доказывающих наличие лицензии ("Подтверждение лицензии")
| | | | |
d) в организации имеются инвентарные описи или другие четко определенные механизмы анализа или отслеживания количественных показателей, позволяющие определить любое лицензированное использование на базе других критериев, помимо количества установленного программного обеспечения.
Примечание - Эти требования будут зависеть от моделей лицензирования используемого программного обеспечения. Например, они могут включать следующие количественные показатели: численность работников в указанных частях организации; количество ПК, удовлетворяющих указанным критериям; количество пользователей или оконечных станций, имеющих доступ к ресурсам сервера; количество процессоров и их производительные характеристики
| | | | |
e) организацией приняты меры, направленные на обеспечение постоянной доступности источников упомянутых выше инвентарных описей и хранилищ
| | | | |
f) все представленные инвентарные отчеты составлены в соответствии с четкой описательной схемой, в том числе содержат наименование, предназначение и подробные сведения об источнике данных
| | | | |
4.4.4 Контроль программных активов