ГОСТ Р ИСО/МЭК 19770-1-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

УПРАВЛЕНИЕ ИТ-АКТИВАМИ

Часть 1

Системы управления ИТ-активами. Требования

Information technology. IT asset management. Part 1. IT asset management systems. Requirements

ОКС 35.020

Дата введения 2022-04-30

Предисловие

1 ПОДГОТОВЛЕН Ассоциацией организаций и специалистов в сфере управления информационными технологиями "ИТ сервис-менеджмент форум" (ИТСМ ФОРУМ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 25 октября 2021 г. N 1289-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 19770-1:2017* "Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования" (ISO/IEC 19770-1:2017 "Information technology - IT asset management - Part 1: IT asset management systems - Requirements", IDT).

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 19770-1:2017 разработан подкомитетом ПК 7 "Программная и системная инженерия" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)

5 ВЗАМЕН ГОСТ Р ИСО/МЭК 19770-1-2014

6 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. Международная организация по стандартизации (ИСО) и Международная электротехническая комиссия (МЭК) не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение

Настоящий стандарт определяет требования к созданию, внедрению, обслуживанию и совершенствованию системы управления ИТ-активами.

В настоящем стандарте изложены дополнительные требования к ИСО 55001:2014 "Управление активами. Национальная система стандартов. Система менеджмента. Требования", в котором указаны требования к созданию, внедрению, сопровождению и совершенствованию системы управления активами. В настоящем стандарте изложены дополнительные или более подробные требования, которые считаются необходимыми для управления ИТ-активами. Основным отличием является необходимость управления программными активами с их особыми характеристиками. Несмотря на то, что ИСО 55001:2014 может быть использован для управления программными активами, если организации надлежащим образом определяют их область применения и предъявляют соответствующие требования, ИСО 55001:2014 в первую очередь ориентирован на физические активы, с незначительным фокусом на управление программными активами.

Существует ряд характеристик ИТ-активов, для которых необходимы эти дополнительные или более подробные требования. Они описаны в приложении C. В результате появления таких характеристик ИТ-активов, к системе управления ИТ-активами, следовательно, будут предъявляться явные требования, дополнительно к тем, что определены в ИСО 55001:2014, касающиеся:

- контроля модификации, дублирования и распространения программного обеспечения, с особым вниманием к контролю доступа и целостности;

- аудиторской прослеживаемости авторизации и изменений, внесенных в ИТ-активы;

- контроля лицензирования, недостаточного лицензирования, избыточного лицензирования и соблюдения условий лицензирования;

- контроля ситуаций, связанных со смешанным владением и ответственностью, например в облачных вычислениях и с практикой "принести свое собственное устройство" (BYOD);

- сверки данных управления ИТ-активами с данными в других информационных системах, если это оправдано ценностью для бизнеса, в частности с финансовыми информационными системами учета активов и расходов.

Кроме того, поскольку информация, связанная с ИТ-активами, как правило, является объемной, очень сложной и быстро меняющейся, вполне вероятно, что организациям с такой информацией потребуется использовать автоматизированные информационные системы.

Другое различие между ИСО 55001:2014 и настоящим стандартом состоит в том, что настоящий стандарт дополнительно обеспечивает несколько различных явных групп целей процессов (или уровней). Наиболее важным из них является базовый уровень, называемый достоверные данные, который является наиболее важным для большинства организаций конечных пользователей, а также для разработчиков программного обеспечения. Второй уровень предназначен для интеграции жизненного цикла, а третий - для оптимизации. Более подробная информация об уровнях и их соответствующих группах целей приведена в приложении В.

Поскольку основные физические активы все чаще включают в свой состав программное обеспечение или зависят от него, вполне вероятно, что дополнительные требования настоящего стандарта будут актуальны в таких ситуациях. Вполне вероятно, что большинству организаций, имеющих преимущественно физические активы, потребуются системы управления, отвечающие сочетанию "чистых" требований ИСО 55001:2014 с дополнительными требованиями настоящего стандарта.

ИТ-активы охватывают широкий спектр типов активов. На рисунке 1 схематически показаны основные типы ИТ-активов.

Настоящий стандарт может использоваться любой организацией и может применяться ко всем типам ИТ-активов. Организация определяет, к какому из ее ИТ-активов относится настоящий стандарт.

Настоящий стандарт, в первую очередь, предназначен для использования:

- теми, кто участвует в создании, внедрении, сопровождении и совершенствовании системы управления ИТ-активами;

- теми, кто занимается предоставлением услуг по управлению ИТ-активами, включая поставщиков услуг;

- внутренними и внешними сторонами для оценки способности организации соответствовать юридическим, нормативным и договорным требованиям и собственным требованиям организации.

     Рисунок 1 - Основные типы ИТ-активов

Порядок, в котором требования представлены в настоящем стандарте, не отражает их важность и не подразумевает порядок, в котором должно обеспечиваться их выполнение.

Дальнейшие рекомендации, касающиеся исполнения требований, определенных настоящим стандартом, совместно с ИСО 55001:2014, приведены в ИСО 55002.

Общая информация об управлении активами и об управлении ИТ-активами, а также информация о терминологии, используемой в настоящем стандарте, представлена в ИСО 55000 и ИСО/МЭК 19770-5 "Управление активами. Национальная система стандартов. Общее представление, принципы и терминология" и в ИСО/МЭК 19770-5.

В настоящем стандарте применяется термин "риск", определенный в ИСО 31000:2009 "Менеджмент риска. Принципы и руководство" и в Руководстве ИСО/МЭК 73:2009. Кроме того, используется термин "акционер" вместо термина "заинтересованное лицо".

Настоящий стандарт предназначен для того, чтобы позволить организации согласовать и интегрировать свою систему управления ИТ-активами с соответствующими требованиями к системе управления, например указанными в ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

Настоящий стандарт не должен противоречить каким-либо политикам, процедурам и стандартам организации. Любой такой конфликт должен быть разрешен перед использованием настоящего стандарта.

     1 Предметная область

     1.1 Назначение

В настоящем стандарте указаны требования к системе управления ИТ-активами в контексте организации.

Настоящий стандарт может быть применен организациями всех типов и размеров ко всем типам ИТ-активов.

Примечания

1 Настоящий стандарт, в основном, предназначен к использованию для управления ИТ-активами, но он также может применяться к другим типам активов. Он может быть полезен, полностью или частично, для управления встроенным программным обеспечением и прошивками, однако его использование для этих целей не было определено. Он не предназначен для управления информационными активами как таковыми, то есть он не предназначен для управления информацией как активом независимым от аппаратных и программных активов. Некоторые типы данных и информации охватываются, такие как данные и информация об ИТ-активах в предметной области, и в зависимости оттого, как определена предметная область, она может охватывать цифровые информационные активы. См. разъяснение об ИТ-активах во введении.

2 В настоящем стандарте не представлены финансовые, бухгалтерские или технические требования для управления конкретными типами ИТ-активов.

3 В настоящем стандарте используется термин "система управления ИТ-активами" для обозначения системы управления, предназначенной для управления ИТ-активами.

Настоящий стандарт является конкретным расширением предметной области ИСО 55001:2014, с изменениями, и не является отраслевым применением данного стандарта. В основном, ИСО 55001:2014 предназначен для управления физическими активами, но он также может применяться к другим типам активов. В настоящем стандарте определены требования к управлению ИТ-активами, которые являются дополнительными к требованиям, определенным в ИСО 55001:2014. Соответствие настоящему стандарту не означает соответствия ИСО 55001:2014.

Настоящий стандарт может использоваться внутренними и внешними сторонами для оценки способности организации соответствовать собственным требованиям по управлению ИТ-активами.

     1.2 Область применения

Настоящий стандарт относится к процессам управления ИТ-активами и может быть применен организациями для достижения немедленных выгод.

Настоящий стандарт может быть применен ко всем ИТ-активам. Например, он может применяться не только для ИТ-оборудования, но и для исполняемого программного обеспечения (такого как прикладные программы и операционные системы), а также для неисполняемого программного обеспечения (такого как шрифты и информация о конфигурации). Он может применяться ко всем технологическим средам и вычислительным платформам (например, виртуализированным программным приложениям, локальным приложениям или приложениям, предоставляемым как услуга; равно применим для облачных вычислений, и для унаследованных вычислительных сред).

     1.3 Ограничения

В настоящем стандарте не детализируются процессы управления ИТ-активами с точки зрения методов или процедур, необходимых для удовлетворения требований к результатам процесса.

В настоящем стандарте не указывается последовательность шагов, которые должны выполняться организацией для реализации управления ИТ-активами.

В настоящем стандарте не детализируется документация сточки зрения наименования, формата, явного содержания и носителя записей.

     2 Нормативные ссылки

В настоящем стандарте нормативные ссылки отсутствуют.

     3 Термины и определения

ИСО и МЭК поддерживают терминологические базы данных, используемые для стандартизации по следующим адресам:

- Электропедия МЭК: доступна по адресу https://www.rst.gov.ru/portal/gost/home/systems/electroportal

- платформа онлайн-просмотра ИСО доступна по адресу https://www.iso.org/ru/home.html

В настоящем стандарте применены следующие термины и определения.

Некоторые из этих терминов приведены из ИСО 55000:2014 и относятся к активам в целом. Эти термины применимы для ИТ-активов при использовании в контексте управления ИТ-активами, при этом термин "актив" понимается как "ИТ-актив". В некоторых случаях добавлены термины, специфичные для ИТ-активов. Никакая конкретная интерпретация не предполагается на основе того, был ли определен термин, специфичный для ИТ, или не был определен.

3.1 актив (asset): Произвольный объект, предмет или сущность, которые имеют потенциальную или фактическую ценность для организации (3.38).

Примечания

1 Ценность может быть материальной или нематериальной, финансовой или нефинансовой, и включать риски (3.48) и обязательства. На разных этапах жизненного цикла (3.2) активов ценность может быть как положительной, так и отрицательной.

2 Физические активы обычно относятся к оборудованию, инвентарю и недвижимости, принадлежащим организации. Физические активы противоположны нематериальным активам, которые являются нефизическими активами, такими как аренда, бренды, цифровые активы, права на использование, лицензии, права интеллектуальной собственности, репутация или соглашения.

3 Группа активов, именуемая системой активов (3.7), также может считаться активом.

[ИСО 55000:2014, 3.2.1]

3.2 жизненный цикл актива (asset life): Период от создания актива (3.1) до окончания срока службы актива.

[ИСО 55000:2014, 3.2.2]

3.3 управление активами (asset management): Скоординированная деятельность организации (3.38) для получения ценности от активов (3.1).