ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Информационные технологии МЕНЕДЖМЕНТ ПРОГРАММНЫХ АКТИВОВ

Часть 1

Процессы и оценка соответствия по уровням

ISO/IEC 19770-1:2012 Information technology — Software asset management —

Parti:

Processes and tiered assessment of conformance

(IDT)

Издание официальное

Москва Станда ртм нформ 2015

Предисловие

1    ПОДГОТОВЛЕН Закрытым акционерным обществом «Консистент Софтвеа Дистрибушн» на основе аутентичного перевода на русский язык международного стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 076 «Системы менеджмента»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 мая 2014 г № 483-ст

4    Настоящий стандарт идентичен международному стандарту ИСО 19770-1:2014 «Информационные технологии. Менеджмент программных активов. Часть 1. Процессы и оценка соответствия по уровням (ISO/IEC 19770-1:2012 «Information technology — Software asset management — Part 1: Processes and tiered assessment of conformance»).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www gost.ru)

©Стандартинформ. 2015

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

ГОСТ Р ИСО/МЭК 19770-1—2014

Содержание

1    Общие положения...................................................................1

1.1    Цель документа..................................................................1

1.2    Область применения .............................................................1

1.3    Ограничения....................................................................3

2    Соответствие требованиям............................................................3

2.1    Предусмотренное использование...................................................3

2.2    Методы демонстрации полного соответствия .........................................4

3    Термины и определения..............................................................4

4    Процессы SAM......................................................................6

4.1    Общие положения ...............................................................6

4.2    Контрольная среда SAM ..........................................................7

4.3    Процессы планирования и внедрения SAM..........................................12

4.4    Процессы инвентаризации SAM ...................................................15

4.5    Процессы проверки правильности и соблюдения соответствия SAM .....................19

4.6    Процессы и интерфейсы управления операциями SAM................................22

4.7    Интерфейсы процессов жизненного цикла SAM......................................26

5    Уровни ...........................................................................32

5.1    Обзор.........................................................................32

5.2    Уровень 1. Достоверные данные...................................................34

5.3    Уровень 2. Практическое управление...............................................35

5.4    Уровень 3. Операционная интеграция ..............................................36

5.5    Уровень 4. Полное соответствие настоящего стандарта SAM...........................37

Приложение А (справочное) Справочная диаграмма результатов по уровням...................38

Приложение В (справочное) Руководство по избранным темам...............................44

Приложение С (справочное) Перекрестные ссылки на руководства по отраслевой передовой

практике...............................................................45

Приложение D (справочное) План развития .............................................100

Приложение Е (справочное) Отраслевые подходы к оценке зрелости процессов...............102

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации (и действующим в этом

качестве межгосударственным стандартам) ...............................106

Библиография......................................................................107

III

Введение

Настоящий стандарт предназначен для организаций, желающих освоить передовой опыт в области менеджмента программных активов (Software Asset Management. SAM). Настоящий стандарт идентичен ИСО/МЭК 19770-1:2012. который разработан на базе ИСО/МЭК 19770-1:2006 «Информационные технологии. Менеджмент программного обеспечения. Часть 1. Процессы» — комплексного стандарта, разработанного для применения ко всему менеджменту услуг, как это описано в ИСО/МЭК 20000.

Опыт применения ИСО/МЭК 19770-1:2006 выявил потребность в поэтапном внедрении, причем такие этапы должны наилучшим образом соответствовать потребностям организации. Настоящий стандарт разработан с целью обеспечения внедрения SAM в соответствии с требованиями настоящего стандарта в рамках любого из этапов наращивания, именуемых далее уровнями (кумулятивными по своей сути). Это позволяет организациям проходить независимую автономную сертификацию, соответствующую естественным уровням развития и приоритетов в управлении. Последующее подтверждение дается таким организациям через возможность публично заявлять о пройденной сертификации на соответствие заявленному уровню.

Разделение на уровни разработано таким образом, чтобы стандартизированные процессы менеджмента программных активов (SAM) были доступны для большинства организаций. Организации, внедряющие SAM впервые, часто могут ускорить этот процесс, тщательно определяя программные активы и части организации, охватываемые SAM. Обычно организация не стремится к достижению всех возможных внутренних целей, целей программного обеспечения и целей организации, описанных в настоящем стандарте в раздепе 1 «Цепь документа». Организация может определить для себя любую цель, если она является однозначной.

В тех случаях, когда организация предпочитает сузить цель SAM указанным выше образом, она должна учесть определенные факторы, обеспечивающие достижение всех необходимых преимуществ и целей организации. Например, для обеспечения надежного уровня безопасности обычно необходимо. чтобы в цели SAM были включены все активы, относящиеся к определенным разделам организационной инфраструктуры. Кроме того, управлять программными активами невозможно, не управляя одновременно аппаратными средствами, на базе которых оно работает, соответственно, настоящий стандарт может испопьзоваться для управления и тем, и другим. Термин SAM предполагает охват всех связанных с программным обеспечением активов в инфраструктуре информационных технологий (ИТ) и применение термина SAM в настоящем стандарте отражает организационный выбор ответственной рабочей группы ИСО/МЭК и обычную практику рынка. SAM обладает большим набором преимуществ перед другими взаимосвязанными методами управления ИТ-активами. и разработчики качественных методик SAM могут ожидать получения дополнительных преимуществ помимо возможностей собственно управления программным обеспечением.

На рисунке 1 показаны четыре уровня SAM. определенные в настоящем стандарте. Более полное описание этих уровней приведено в разделе 5 «Уровни». Их можно кратко охарактеризовать следующим образом:

IV

ГОСТ Р ИСО/МЭК 19770-1—2014

Основные связанные преимущества каждого уровня:

Уровень 1: Достоверные данные. Достижение этого уровня означает получение знаний о том. что у вас есть, чтобы уметь управлять этим.

Наличие достоверных данных — обязательное условие качественных процессов SAM. Здесь применим общий управленческий принцип, состоящий в том. что «невозможно управлять тем. чего не знаешь». На этом уровне также осуществляется демонстрация лицензионного соответствия, что обычно является высокоприоритетной целью управления.

Примечание —Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения ( см ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см ИСО/МЭК 19770-3). имеющие целью упростить задачу получения достоверных данных

Уровень 2: Практическое управление. Достижение этого уровня означает повышение качества административного управления и получение немедленных преимуществ.

На практике руководство организации обычно начинает заниматься вопросами, относящимися к SAM. только после того, как будут выявлены проблемы, связанные с недостоверностью данных. Организация выясняет степень подверженности рискам, а также потенциал для усовершенствований и экономии. Этот уровень охватывает базовую среду административного управления (см. 4,2 «Контрольная среда SAM»), включая политики, роли и обязанности. На этом уровне также определяются цели и достигаются немедленные преимущества (за счет использования данных уровня 1).

Уровень 3: Операционная интеграция Достижение этого уровня означает повышение эффективности и результативности.

Этот уровень, основываясь на результатах, полученных на двух предыдущих уровнях, интегрирует процессы SAM в операционные процессы (см. 4.6 «Процессы и интерфейсы управления операциями SAM»). В результате повышается эффективность и результативность.

Примечание — Другие части ИСО/МЭК 19770 определяют дескриптор идентификации программного обеспечения (см ИСО/МЭК 19770-2) и дескриптор права на программное обеспечение (см ИСО/МЭК 19770-3), имеющие целью упростить задачу интеграции

Уровень 4: Полное соответствие настоящего стандарта SAM Достижение этого уровня означает достижение лучшего в своем классе стратегического SAM

Этот уровень охватывает более сложные и требовательные аспекты комплексного SAM, включая полную интеграцию процессов SAM в процессы стратегического планирования организации.

V

Уровни 1—3 определены как подмножества полного набора групп процессов и результатов, определенных в настоящем стандарте, т. е. у каждой группы процессов SAM имеется единственная цель, например, идентификация программных активов, и кахщая группа процессов содержит множество результатов процессов для достижения каждой цели. Сводная таблица, иллюстрирующая эту структуру, приведена в приложении А.

Уровни формируются один над другим, причем уровень 4 определяется как полный набор групп процессов и результатов, определенных в настоящем стандарте. Следует обратить внимание, что группы процессов и результаты, определенные в настоящем стандарте, если сравнивать их с ИСО/МЭК 19770-1:2006. практически не изменились, не считая некоторых незначительных разъяснений. Также в целом сохранена структура целей групп процессов, устанавливающих множество результатов, после чего может быть установлено соответствие любому конкретному уровню. Несмотря на то. что любой из уровней можно сертифицировать по отдельности, все они рассчитаны на то. что все предыдущие уровни в любое время остаются функциональными. На практике это обычно означает, что в организации, претендующей на сертификацию более высокого уровня, аудитор при регулярной проверке любого предыдущего уровня или уровней также осуществит проверку более высокого уровня.

Более подробное описание уровней и их структуры приведено в разделе 5.

Общие преимущества SAM:

a)    управление рисками: например, минимизация степени воздействия прерываний или снижения качества работы ИТ/служб: снижение юридических и регуляторных рисков;

b)    контроль затрат: снижение прямых затрат на программное обеспечение и связанные активы (см. описание связанных активов в 1.2). контроль затрат, связанных с постоянной поддержкой, контроль контрактных издержек;

c)    конкурентное преимущество: лучшие бизнес-решения и чувство удовлетворения от наличия постоянно доступных достоверных данных.

Обычно бизнес-требования относятся к приоритетным областям, например к конкретным производителям программного обеспечения, а иногда к конкретным группам организационных подразделений. Правильно выбрав уровни и соответствующим образом определив масштабы, организации получат преимущества от использования стандартизированных процессов SAM. описанные в настоящем стандарте в разделе 1 «Цель документа».

В принципе для определения стандарта, соответствие которому может быть поэтапно достигнуто, можно также применить подход на базе использования модели способности или зрелости. Однако на практике такой подход, если он предполагает независимую сертификацию, представляется значительно более сложным. Несмотря на это, по итогам переработки первой редакции ИСО/МЭК 15504 предполагается разработка такого подхода, что позволит объединить подходы, основанные на настоящем стандарте и других рыночных методологиях, исходя из уровня зрелости.

VI

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии МЕНЕДЖМЕНТ ПРОГРАММНЫХ АКТИВОВ Часть 1

Процессы и оценка соответствия по уровням

Information technologies Software asset management Part 1 Processes and tiered assessment of conformance

Дата введения — 2015—03—01

1 Общие положения

1.1    Цель документа

Настоящий стандарт определяет основу комплексного набора процессов менеджмента программных активов (Software Asset Management. SAM), разделенного на уровни, предусматривающие поэтапное внедрение, оценку и утверждение процессов SAM.

1.2    Область применения

Настоящий стандарт применяется к процессам SAM и может использоваться организациями для получения немедленных преимуществ. ИСО/МЭК 19770-2 определяет соответствующую спецификацию дескрипторов идентификации программного обеспечения. Для получения всех преимуществ данная спецификация должна быть внедрена производителями программного обеспечения (внешними и внутренними) и разработчиками инструментальных средств.

Предполагается, что настоящий стандарт станет стандартом внедрения для организаций. В последующих редакциях могут быть предусмотрены инструменты измерений, согласованные с требованиями ИСО/МЭК 15504-2:2003 или ИСО/МЭК 33003*.

Настоящий стандарт применим к организациям любого размера или отрасли. С целью обеспечения соответствия, настоящий стандарт может применяться только к юридическому лицу или к частям отдельного юридического лица. Он также может применяться к нескольким юридическим лицам (например, родительской и дочерним предприятиям транснациональной компании), если между ними существуют юридические отношения (например, одна компания осуществляет контроль над другими). Настоящий раздел стандарта применяется только в тех случаях, когда контролирующая компания осуществляет контроль над всей областью применения (как это определено с целью обеспечения соответствия). а аудитор соглашается с таким определением организационной области применения.

Примечание — Определение организационной области применения документируется в разделе «Процесс корпоративного управления SAM» (4 2 2).

• ИСО/МЭК 33003 Системное проектирование и разработка программного обеспечения Требования к инфраструктуре измерения процессов

Издание официальное

Настоящий стандарт может применяться к организации, передавшей процессы SAM в субподряд, при этом ответственность за демонстрацию соответствия всегда лежит на организации, привлекающей субподрядчиков.

Настоящий стандарт может применяться ко всему программному обеспечению и связанным активам. независимо от характера программного обеспечения, при этом под связанными активами понимаются активы, необходимые для использования программного обеспечения или управления им. Например, он может быть применен как к исполняемому программному обеспечению (прикладным программам, операционным системам и программным утилитам), так и к неисполняемому программному обеспечению (шрифтам, графике, аудио- и видеозаписям, шаблонам, словарям, документам и данным). Он может применяться ко всем технологическим средам и вычислительным платформам (например. виртуализированным приложениям, программному обеспечению, установленному на компьютерах организации или программному обеспечению«как услуга» (SaaS); в равной мере она применима к облачным сервисам и устаревшим вычислительным средам).

Примечание — Определение области применения программного актива (типов программного обеспечения. входящих в область применения), документируется как часть Плана SAM, разработанного в ходе процесса «Планирование SAM» Эта область может быть определена любым удобным для организации способом, например. ею может быть все программное обеспечение, компьютерные программы, программное обеспечение конкретных платформ или программное обеспечение конкретных производителей, при условии, что такое определение области является однозначным См также пояснения ниже после данного подраздела и в таблице 1

За исключением требований, оговоренных в 4.7.4 «Процесс разработки программного обеспечения», применение настоящего стандарта при разработке программного обеспечения (в части написания и поддержания программного кода) не требуется. Он предназначен для применения ко всему программному обеспечению в производственной среде, в том числе к процессам конфигурирования программного обеспечения, создания и контроля сборок и релизов. Провести четкую границу между чистой разработкой (исключаемой, таким образом, из рассмотрения) и производственной средой (включаемой. таким образом, в рассмотрение) можно, однозначно формально определив организационную область или область применения программного обеспечения.

Примечание — Программное обеспечение, используемое для разработки другого программного обеспечения. считается частью производственной среды, другими словами, программное обеспечение, используемое разработчиками, само должно быть под контролем.

В рамках настоящего стандарта различают следующие формы программных активов:

a)    права на использование программного обеспечения, выражаемые полной собственностью (в отношении программного обеспечения, разработанного внутри организации) и обладанием лицензиями (в отношении коммерческого программного обеспечения и программного обеспечения с открытым исходным кодом сторонней разработки);

b)    программное обеспечение, предназначенное для использования, содержащее ценность, связанную с наличием интеллектуальной собственности (в том числе исходное программное обеспечение, предоставленное производителями и разработчиками программного обеспечения, сборки программного обеспечения и программного обеспечения в том виде, в котором оно было установлено и иным образом предоставлено, использовано или исполнено); и

c)    носители, содержащие программное обеспечение для использования.

Примечание —В финансовом учете под активами в первую очередь понимается категория, приведенная в перечислении а), но даже в этом случае этот актив может быть полностью списан Категория, приведенная в перечислении Ь) при использовании не лицензированного должным образом коммерческого программного обеспечения фактически может рассматриваться как пассив (а не актив) Настоящий стандарт предусматривает, что собственные активы категорий по перечислениям Ь) и с) должны контролироваться так же. как и категории перечисления а) Лицензии могут иметь бухгалтерскую стоимость, однако используемое программное обеспечение должно иметь коммерческую стоимость и рассматриваться как бизнес-актив

Под связанными активами в области применения понимаются все активы с характеристиками, необходимыми для использования или управления программным обеспечением в этой области применения. Любые характеристики связанных активов, не требуемые для использования программного обеспечения или управления им. лежат вне области применения. В таблице 1 приведены примеры таких активов.

2

ГОСТ Р ИСО/МЭК 19770-1—2014

Таблица 1 — Применение настоящего стандарта к активам, не являющимся программным обеспечением

Тип актива Применимость пример Аппаратное обеспечение Нормативная — для аппаратных активов с характеристиками, необходимыми для использования программных активов или управления ими в области применения Инвентарная опись оборудования, на котором может храниться, исполняться или иным образом использоваться программное обеспечение: количество процессоров или вычислительная мощность, поддаются ли учету аппаратные средства, используемые для целей лицензирования Неприменимо для характеристик, не требуемых для использования программных активов или управления ими в области применения Стоимость и амортизация аппаратных средств, даты профилактического обслуживания и обновления Прочие активы Нормативная — для прочих активов с характеристиками, необходимыми для использования программных активов или управления ими в области применения Имена работников для идентификации ответственных лиц. подсчет численности персонала для целей лицензирования (если эта численность оговаривается в условиях лицензирования); инфраструктура или архитектура ИТ. в том числе интерфейсы (если это необходимо для определения соответствующего использования определенных лицензионных параметров, например для определения мультиплексирования) Неприменимо для характеристик, не требуемых для использования программных активов или управления ими в области применения Другая информация о работниках

1.3 Ограничения

Настоящий стандарт не оговаривает методы или процедуры SAM. необходимые для удовлетворения требований к результатам процесса.

В настоящем стандарте не оговаривается последовательность шагов, которые должна выполнить организация для реализации SAM, аналогично, никакая последовательность описания процессов не подразумевает никакой последовательности их реализации. Единственной последовательностью в этом смысле может быть последовательность, определяемая содержанием и контекстом. Например, планирование должно предшествовать внедрению.

Настоящий стандарт не определяет документацию с точки зрения именований, форматов, явного содержимого и информации.

Сведения о процессах сертификации и оформления официального подтверждения находятся вне области действия настоящего стандарта.

Настоящий стандарт не имеет целью вступление в противоречие с любыми политиками, процедурами и стандартами организации или с любыми внутригосударственными законами и регуляторными актами. Любое такое противоречие должно быть устранено до начала использования стандарта.

2 Соответствие требованиям

2.1 Предусмотренное использование

Настоящий стандарт предназначен для использования в качестве руководства по применению наилучших практик и имеет целью предоставление возможности прохождения независимой сертификации по отдельным уровням. При этом способы оценки соответствия организации требованиям могут быть разными.

При написании настоящего стандарта была сохранена преемственность ИСО/МЭК 19770-1:2006 с добавлением того, что оценка может осуществляться с применением того же подхода, который ис-

3

пользуется в других стандартах, принятых в качестве основных стандартов систем управления, как это определено в Руководстве ИСО 72. В частности, это означает, что аудитору теперь предоставлена возможность выбирать между оценкой на основе анализа главной цели каждой из групп процессов (по-новому) и оценкой на основе анализа всех результатов каждой из групп процессов, как это предусмотрено ИСО/МЭК 19770-1:2006 (по-старому). Сделанный выбор должен последовательно применяться в качестве метода оценки во всех группах процессов.

2.2 Методы демонстрации полного соответствия

Описание требований, предъявляемых настоящим стандартом, содержится в целях и результатах. перечисленных в разделе 4. Любое заявление о соответствии должно быть заявлением о полном соответствии условиям данного стандарта (в том числе это касается любых процессов, переданных на субподряд).

Полное соответствие любому уровню настоящего стандарта достигается одним из двух способов:

-    посредством демонстрации выполнения всех требований соответствующего уровня настоящего стандарта. В качестве подтверждения выполнения используются результаты: или

-    посредством демонстрации достижения всех целей соответствующего уровня настоящего стандарта.

Кроме того, необходимо продемонстрировать, что все приведенные ниже уровни на данный момент также прошли сертификацию на полное соответствие, и что они подвергаются постоянному контролю на полное соответствие в рамках установленной аудитором программы контроля: или, как вариант, что любые приведенные ниже уровни прошли сертификацию в рамках текущего аудита.

Если в процессе демонстрации достижений всех целей соответствующего уровня, определенного в настоящем стандарте, было подтверждено полное соответствие, выдвигаются два дальнейших требования:

-    если группа процессов имеет результаты на различных уровнях, то цель такой группы процессов должна соответственно интерпретироваться при проведении аудита каждого уровня.

-    помимо анализа подтверждений, демонстрирующих достижение всех целей, аудитор должен учитывать оговоренные результаты на соответствующем уровне.

При неполучении всех оговоренных результатов аудитор должен для каждого такого результата письменно пояснить причину(ы), по которой цели уровня все же считаются им полностью выполненными без учета такого результата.

Во избежание сомнений, если результаты описываются с использованием слов «включая» или «в том числе», или «в частности», за которыми следует перечисление, то все элементы перечисления считаются необходимыми, при этом дополнительные (не включенные в перечисление) элементы считаются возможными, но не необходимыми.

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    базовые показатели: Состояние услуги или отдельных элементов конфигурации (3.2) в конкретный момент времени [ИСО/МЭК 20000-1:2005).

3.2    элемент конфигурации (ЭК): Компонент инфраструктуры или объект, который находится или будет находиться под контролем.

Примечания

1    В контексте настоящего стандарта термин «под контролем» означает под контролем процессов инвентаризации Процессы инвентаризации SAM (4 4) являются основой не только SAM, но и всего управления конфигурациями

2    Элементы конфигурации (ЭК) обычно определяются как часть практики менеджмента услуг и могут значительно различаться по сложности, размеру и типу Элементами конфигурации могут быть, например, система целиком со всем своим аппаратным и программным обеспечением и документацией или же отдельные модули или небольшие аппаратные компоненты

3.3    правление или эквивалентный орган: Лицо или группа лиц. несущих юридическую ответственность за руководство или управление организацией на высшем уровне.

3    4 финальная основная версия: Исходный экземпляр программного обеспечения, используемый для установки или поставки программного обеспечения.

4