ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

Приложение C

(справочное)

 

ХАРАКТЕРИСТИКИ ИТ-АКТИВОВ

 

Данное приложение содержит обзор характеристик ИТ-активов, которые создают дополнительные или более детальные требования к системе управления ИТ-активами (ITAMS) по сравнению с аналогичной для физических активов, не относящихся к ИТ. На него приводят ссылки для информации, указанной во введении, и в 7.5 (информационные требования) в качестве списка положений, которые необходимо учесть при определении информационных требований для ITAMS.

Сущность программного обеспечения. Программное обеспечение является одним из наиболее важных активов, которыми необходимо управлять в рамках управления ИТ-активами (ITAM). Оно обладает рядом характеристик, которые создают особые требования к управлению:

- простота изменения, копирования и распространения программного обеспечения. Поскольку программное обеспечение является электронным, а не физическим (в общепринятом смысле), оно может быть легко изменено, скопировано и распространено. Это создает значительные риски для несанкционированных (вредоносных или не вредоносных) изменений и использования программного обеспечения;

- технологическая сложность. Программные активы обычно сложнее физических активов во многих аспектах, таких как:

- гибкость размещения. Программное обеспечение может быть сохранено или установлено в одном месте, но быть задействовано или использовано из дополнительных экземпляров или мест, например с использованием виртуальных машин; для облачных сервисов, таких как программное обеспечение как услуга (SaaS), платформа как услуга (PaaS) и инфраструктура как услуга (IaaS); и обычно через сетевой доступ к программному обеспечению, размещенному на сервере;

- количество и сложность компонентов. Обычно программное обеспечение содержит гораздо больше компонентов, чем физические активы, например на типичном персональном компьютере могут находиться сотни тысяч файлов, а отдельные компоненты бывают очень сложны;

- темпы изменений. Обычно темпы изменений программного обеспечения высоки, намного выше, чем темпы изменения физических активов;

- версии компонентов. Существуют строгие требования к версионности программных компонентов, которая должна контролироваться для многих целей, в том числе для обеспечения безопасности, совместимости и лицензирования;

- измерение использования. Часто сложно измерить использование ИТ-активов, особенно программного обеспечения, что может потребоваться как в целях общего управления, так и для соблюдения контрактных обязательств. Измерение использования программного обеспечения может также зависеть от оборудования и прочих измерений, например: от процессоров или ядер; и от пользователей;

- лицензирование. Управление лицензированием и соблюдением условий лицензирования является основным требованием для управления программным обеспечением, которое обычно не применяется к физическим активам. Программное обеспечение, как правило, является предметом для сложных условий лицензирования. В то время как многие физические активы могут также быть предметом для условий лицензирования (например, для платежей за авторские права), иногда так бывает, что сколько разных владеющих авторскими правами (выдающих лицензию) и столько же различных условий лицензирования. Более того, сами условия лицензирования часто меняются в рамках отрасли, в рамках конкретных производителей и в рамках продуктов конкретных производителей.

Нечеткое различие между программным и аппаратным обеспечением. Физические активы, ИТ-оборудование в том числе, все чаще имеет существенные программные компоненты, которые часто представляют проблемы управления программным обеспечением даже в контекстах, типично рассматривающихся как чисто физические. Например:

- встроенное программное обеспечение. Физические активы все чаще имеют встроенное программное обеспечение для контроля и/или мониторинга;

- программная реализация аппаратных функций. Функциональность оборудования все чаще реализуется в программном обеспечении, например в платформах виртуализации и эмуляции, а также в программно-определяемых сетях;

- носитель. Носитель - это термин, который применяется как к физическим, так и к программным активам, причем оба типа требуют управления.

Повышенное внимание к выводу из эксплуатации/переназначению. Вывод из эксплуатации/переназначение ИТ-активов имеет более серьезный набор требований, чем для физических активов в общем. Это связано с необходимостью защиты данных, информации, и защитой от других возможных воздействий на данном этапе жизненного цикла ИТ-активов. В основном это:

- программное обеспечение, данные и информация. Необходимо контролировать программное обеспечение, данные и информацию ИТ-активов при выводе из эксплуатации/переназначении оборудования, например во избежание раскрытия конфиденциальной и личной информации, а также во избежание проблем соответствия с программным обеспечением;

- электронные отходы. В значительном числе юрисдикций существуют серьезные требования к контролю за удалением электронных отходов, вплоть до того, что они должны рассматриваться как общие требования к управлению ИТ-активами (ITAM).

Повышенные сложности управления. Существует ряд сложностей, характерных для управления ИТ-активами, которые требуют особого внимания в отношении управления этими активами, в частности:

- смешанное владение/ответственность. В настоящее время для ИТ-активов типично использование в смешанном режиме владения. Например, различные стороны могут владеть устройствами, используемыми конечными пользователями (организация или частные лица, или даже третья сторона), используемыми серверами (организация или третья сторона, для случая облачных вычислений), используемым программным обеспечением (организация, частные лица, третья сторона), а также данными и информацией, которые хранятся и обрабатываются (организация, частные лица или третья сторона);

- отсутствие взаимодействия между системами ITAM и финансовыми системами. Из-за сравнительно низких затрат на большинство ИТ-активов они обычно относятся на расходы, а не капитализируются, что приводит к серьезным сложностям для сверки между ITAM и финансовыми системами. Если эти системы не могут быть согласованы, это может подорвать доверие к ITAM со стороны финансового и управленческого персонала;

- расхождения между технологическим обеспечением и договорными условиями. Из-за быстро развивающихся технологических возможностей часто возникают расхождения между фактическим использованием ИТ-активов и условиями контрактов, регулирующих их использование, которые часто отстают от применяемых технологий.