ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

7.6 Документированная информация

 

7.6.1 Общее

Система управления ИТ-активами организации должна включать:

- документированную информацию, как требуется настоящим стандартом;

- документированную информацию для применимых законодательных и нормативных требований;

- документированную информацию, определенную организацией как необходимая для эффективности системы управления ИТ-активами, как определено в 7.5.

Примечания

1 Объем документированной информации для системы управления ИТ-активами может отличаться от одной организации к другой в связи:

- с размером организации и ее видом деятельности, процессами, продуктами и услугами;

- сложностью процессов и их взаимодействиями;

- компетентностью персонала;

- сложностью ИТ-актива(ов); и

- потребностью быть в состоянии продемонстрировать соблюдение, например, лицензионных положений и условий.

2 7.5 касается определения общих требований ИТ-системы, что является первоначальной задачей, связанной с разработкой системы управления ИТ-активами, однако требования должны периодически пересматриваться. 7.6 затрагивает конкретное подмножество такой информации, для целей обладания проверяемой информацией, т.е. контрольного следа.

7.6.2 Прослеживаемость владения и ответственности

Владение и ответственность за все ИТ-активы должны быть документированной информацией.

Примечания

1 Документация по владению и ответственности может иметь любой уровень детализации или обобщенности, который организация считает соответствующей. Там, где есть смешанные владение и ответственность, как для устройств конечного пользователя и серверов, так и для программного обеспечения и данных на этом оборудовании, как правило, будет необходима большая степень детализации документированной информации.

2 Владение и ответственность за один тип ИТ-актива могут повлечь ответственность за другой тип ИТ-актива. Например, поставщик облачного сервиса может сформировать значительное воздействие на лицензирование, если он добавляет ядра к облачному серверу, который предоставляется организации клиента в виде "Инфраструктура как сервис".

 

7.6.3 Контрольный след авторизаций и выполнения авторизаций

Все разрешения должны быть документально подтверждены. Документированная информация должна включать подробную информацию о том:

a) кто дал разрешение на авторизацию;

b) когда было дано разрешение на авторизацию;

c) причине(ах) выдачи разрешения на авторизацию.

Примечания

1 Не требуется наличие каких-либо конкретных типов авторизаций, если иное не определено в настоящем стандарте. Авторизации могут существовать на любом уровне детализации или обобщения, который организация сочтет целесообразным. Например, авторизации могут применяться ко всей организации, к конкретным подразделениям или группам лиц, к отдельным ИТ-активам или классам ИТ-активов. Авторизации также могут быть ограничены во времени. Кроме того, могут существовать различные классы авторизаций, такие как финансовые, классы безопасности, оперативные и управленческие.

Выполнение авторизаций должно быть задокументировано и включать в себя информацию о том:

a) кто выполнил авторизацию;

b) когда была выполнена авторизация;

c) в соответствии с каким разрешением.

2 Примером выполнения авторизаций является установка авторизованного (или с полномочиями на изменение) программного обеспечения.

 

7.6.4 Создание и изменение

При создании и обновлении документированной информации организация должна обеспечить надлежащие:

- идентификацию и описание (например, название, дата, автор или ссылочный номер);

- формат (например, язык, версия программного обеспечения, графика) и носители (например, бумажные, электронные); и

- оценку и утверждение пригодности и адекватности.

7.6.5 Контроль документированной информации

Документированная информация, требуемая системой управления ИТ-активами (ITAMS) и настоящим стандартом, должна контролироваться для обеспечения, что она:

a) доступна и уместна для использования, где и когда это необходимо; и

b) надлежащим образом защищена (например, от потери конфиденциальности, ненадлежащего использования или потери целостности).

Для контроля документированной информации организация должна заниматься следующими видами деятельности, где применимо:

- распространение, доступ, извлечение и использование;

- хранение и защита, включая сохранение разборчивости;

- контроль изменений (например, контроль версий); и

- сохранность и размещение.

Документированная информация внешнего происхождения, определенная организацией как необходимая для планирования и эксплуатации системы управления ИТ-активами, должна быть идентифицирована и надлежащим образом контролируема.

Примечание - Доступ может подразумевать разрешение только на просмотр документированной информации или разрешение на просмотр и изменение документированной информации и т.д.