Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 19770-1-2014 Информационные технологии (ИТ). Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням

     4.4 Процессы инвентаризации SAM

4.4.1 Общие положения

Процессы инвентаризации SAM формируют и поддерживают все учетные записи и отчеты по программному обеспечению и связанным активам, а также реализуют функционал управления данными, обеспечивающий целостность управления программным обеспечением и связанными активами в других процессах SAM.

Процессы инвентаризации SAM являются основой не только SAM, но и всего управления конфигурациями. Управление конфигурациями - более широкая категория, чем SAM, так как оно охватывает не только все ИТ-активы (не только программное обеспечение и связанные активы), но активы, не относящиеся к ИТ, а также взаимоотношения между всеми этими активами. В контексте программы, охватывающей весь менеджмент ИТ-услуг, процессы инвентаризации SAM рассматриваются как часть управления конфигурациями.

Для обеспечения надлежащего функционирования всего процесса SAM и любых процессов менеджмента ИТ-услуг (базирующихся на процессах инвентаризации), процессы инвентаризации необходимо выполнять на регулярной основе.

Примечание - Стандартизированные информационные структуры, например, определенные в других частях настоящего стандарта, облегчают использование информационных процессов SAM, в том числе обеспечивают их автоматизацию.


Процессы инвентаризации SAM состоят из следующих групп процессов:

a) идентификация программных активов;

b) управление инвентаризацией программных активов;

c) контроль программных активов.

4.4.2 Идентификация программных активов

4.4.2.1 Цель

Цель процесса "Идентификация программных активов" состоит в отборе, группировании и классификации по соответствующим характеристикам необходимых классов активов, обеспечивающих эффективное управление программным обеспечением и связанными активами

Применимо к уровням 1 и 4

4.4.2.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Идентификация программных активов" позволит организации продемонстрировать следующее:

a) в организации формально определены типы контролируемых активов и связанная с ними информация, характеризуемые следующими особенностями:

1) управляемые позиции выбраны в соответствии с установленными критериями отбора, сгруппированы, классифицированы и идентифицированы, что обеспечит их управляемость и отслеживаемость на протяжении всего жизненного цикла.

Примечание - Важные с точки зрения бизнеса и безопасности активы, а также активы высокого риска должны классифицироваться и контролироваться на более детальном уровне;


2) к управляемым позициям относятся:

i) все экземпляры устройств или платформ, на которых может устанавливаться или запускаться программное обеспечение;

ii) финальные основные версии и экземпляры для распространения программного обеспечения;

iii) сборки и релизы программного обеспечения (финальные основные версии и экземпляры для распространения);

iv) все установленное программное обеспечение;

v) версии программного обеспечения;

vi) методология, в соответствии с которой программное обеспечение идентифицируется в области применения.

Примечание - Необходимая информация может быть получена из соответствующим образом определенных и отслеживаемых дескрипторов идентификации программного обеспечения, как это определено в других частях настоящего стандарта;


vii) патчи и обновления;

viii) лицензии, в том числе составляющие лицензии и действующие полные лицензии;

ix) документы, доказывающие наличие лицензии ("Подтверждение лицензии");

x) контракты (включая количественные характеристики и условия), имеющие отношение к программным активам, в том числе их бумажные и электронные копии;

xi) физические и электронные хранилища и описи вышеуказанного (в зависимости от обстоятельств);

xii) модели лицензирования;

3) управление программным обеспечением осуществляется в организации, как по файлам, так и по пакетам, в соответствии с особенностями конкретных продуктов, выпущенных производителями программного обеспечения или разработчиками;

4) Базовая информация для всех активов:

i) уникальный идентификатор;

ii) имя/описание;

iii) расположение;

iv) ответственный (или владелец);

v) статус (например, тестовый/производственный; разработка/сборка и т.п.);

vi) тип (например, программное обеспечение, аппаратное обеспечение, устройство);

vii) версия (если имеется).

Примечания

1 В рамках данного процесса также могут определяться требования к проверке правильности данных.

2 Эта информация может быть извлечена из соответствующим образом определенного и отслеживаемого дескриптора идентификации программного обеспечения (см. ИСО/МЭК 19770-2);

b) в организации имеется реестр хранилищ и запасов, содержащий сведения о хранимых запасах и типах информации. Дублирование информации такого реестра допускается только в том случае, если дублируемую информацию можно отследить до определенной исходной записи.

Примечание - Обычно в этом реестре содержатся следующие типы информации о каждом физическом наборе (хранилище) хранимых активов или списке (инвентарной описи) активов:

1) определенный тип актива SAM;

2) имя лица, отвечающего за управление этой информацией;

3) место, в котором можно получить доступ к такому хранилищу или инвентарной описи

4.4.3 Управление инвентаризацией программных активов

4.4.3.1 Цель

Цель процесса "Управление инвентаризацией программных активов" состоит в обеспечении надлежащего хранения физических экземпляров программных активов и учете необходимых данных о характеристиках всех активов и элементов конфигурации на протяжении всего жизненного цикла. Этот процесс также выдает информацию о программных и связанных активах, необходимую для обеспечения эффективности других бизнес-процессов

Применимо к уровням 1 и 4

4.4.3.2 Результаты

Результат

Уровень

1

2

3

4

Реализация процесса "Управление инвентаризацией программных активов" позволит организации продемонстрировать следующее:

a) организацией разработаны, утверждены и выпущены политики и процедуры, относящиеся к управлению и обслуживанию физических/электронных хранилищ, в том числе имеются средства контроля доступа:

1) защищающие их от несанкционированного доступа, изменений или повреждений;

2) обеспечивающие аварийное восстановление после отказа

b) в организации имеются инвентарные описи:

1) всех экземпляров устройств или платформ, на которых могут устанавливаться или запускаться программные активы;

2) всего разрешенного установленного программного обеспечения с указанием пакетов и версий (которые могут быть лицензированы или разрешены к развертыванию по отдельности, статуса обновлений/патчей программного обеспечения по всем платформам, на которых они установлены.

Примечание - Инвентарная опись программного обеспечения, разрешенного для установки (или использования), является важным документом, однозначно устанавливающим тот факт, что программное обеспечение разрешено к установке, и определяющим, может ли какой-либо конкретный экземпляр платформы/устройства использовать программное обеспечение или разрешать его установку. Разрешение может выдаваться на любом уровне, например на уровне устройства, класса пользователя или всей организации;


3) имеющихся составляющих лицензий и действующих полных лицензий.

Примечание - Ведение отдельных инвентарных описей для составляющих и действующих полных лицензий не требуется, однако должна быть предусмотрена возможность различения этих двух типов

c) в организации имеются инвентарные описи и соответствующие физические/электронные хранилища:

1) программного обеспечения (финальных основных версий и экземпляров для распространения);

2) сборок и релизов программного обеспечения (финальных основных версий и экземпляров для распространения);

3) контрактов, имеющих отношение к программным активам, как бумажных, так и электронных;

4) документов, доказывающих наличие лицензии ("Подтверждение лицензии")

d) в организации имеются инвентарные описи или другие четко определенные механизмы анализа или отслеживания количественных показателей, позволяющие определить любое лицензированное использование на базе других критериев, помимо количества установленного программного обеспечения.

Примечание - Эти требования будут зависеть от моделей лицензирования используемого программного обеспечения. Например, они могут включать следующие количественные показатели: численность работников в указанных частях организации; количество ПК, удовлетворяющих указанным критериям; количество пользователей или оконечных станций, имеющих доступ к ресурсам сервера; количество процессоров и их производительные характеристики

e) организацией приняты меры, направленные на обеспечение постоянной доступности источников упомянутых выше инвентарных описей и хранилищ

f) все представленные инвентарные отчеты составлены в соответствии с четкой описательной схемой, в том числе содержат наименование, предназначение и подробные сведения об источнике данных

4.4.4 Контроль программных активов