12 Сентября, 2013

Что такое \"Политика допустимого использования\"?

Andrey Prozorov
Политика допустимого использования (Acceptable use policy, AUP) является одним из важнейших документов, регламентирующих информационную безопасность организации. Вы удивляетесь, что практически ничего о нем не слышали и, вероятно, не встречали? Да, документ довольно редкий в российских компаниях. Ну, а если и основные положения его и определены, то обычно "разбросаны" по другим внутренним документам, например, их можно встретить в "Политике использования электронной почты и сети интернет", "Политике использования мобильных носителей",  "Инструкции пользователям" и другим.

Ну, ладно, начнем с самого начала...

Политика допустимого использования определяет правила безопасного использования информации и активов, связанных со средствами обработки информации (это почти дословная цитата из ГОСТ 27001:2006). Помимо этого документ может использоваться с целью повышения осведомленности сотрудников организации в области информационной безопасности. Данный документ направлен именно на сотрудников организации, являющихся пользователями информации и средств обработки, а значит должен быть написан понятным им языком.

Наличие данной Политики крайне необходимо для понимания и дальнейшего снижения рисков связанных с внутренними угрозам, а также реагирования на инциденты. Кстати, если мы хотим наказать сотрудников за нарушения требований по информационной безопасности, то эти требования должны быть документированы, заблаговременно донесены до сотрудника под роспись и объяснены.

Обратите внимание, что документ не является инструкцией, которая рассказывает пользователю, что и как они могут делать с сервисами, системами и средствами обработки, а определяет именно требования (особенно запреты), выполнение которых вполне можно проверить, а также различными средствами обеспечить их выполнение. Например, если мы пишем в документе, что запрещено использование внешних носителей информации, то мы можем заблокировать USB-порты...

Упоминание данной Политики мы можем найти в следующих международных стандартах:
  • ISO 27001 / ISO 27002 (А 7.1.3)
  • COBIT5 (Enabling Processes (см.процесс DSS 06) и COBIT5 for IS (Enabler: «Principles, Policies and Frameworks»))
  • NIST SP 800-114 / NIST SP 800-11
Кстати, в COBIT5 for IS данная Политика называется "Rules of behaviour (acceptable use)", и даны рекомендации по ее содержанию:


В Политику имеет смысл включить требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации:
  • корпоративная электронная почта;
  • сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту и пр.);
  • внешние носители;
  • корпоративные рабочие станции;
  • корпоративные мобильные устройства;
  • персональные мобильные устройства;
  • сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи);
  • удаленный доступ к корпоративной сети;
  • копировально-множительная техника;
  • файловые хранилища.
Дополнительно желательно прописать основные рекомендации по поведению в социальных сетях, интернет форумах и блогах (в рабочее и личное время). Данный перечень является рекомендованным, его вполне можно расширить или сузить в зависимости от конкретной организации (принятых требований и используемых ИТ).

Обратите внимание, что если мы используем (или планируем использовать) в организации различные системы мониторинга и контроля (например, DLP и web-фильтрация), то наличие возможности такого контроля желательно прописать в документе.

Кстати, если название "Политика допустимого использования" не нравится, то можно использовать любое другое с сохранением сути и основных положений документа, например:
  • Политика допустимого использования активов
  • Политика допустимого использования информационных систем и ИТ-сервисов
  • Положение о допустимом использовании информационных систем и ИТ-сервисов
  • Правила безопасного использования информации и активов, связанных со средствами обработки информации
  • и даже ... Инструкция пользователям
А вот "Регламентом" данный документ называть некорректно...


Еще можете посмотреть:
или введите имя

CAPTCHA
Гость
13 Сентября, 2013
по поведению в социальных сетях, интернет форумах и блогах (в рабочее и личное время).У нас рабство?
0 |
19 Сентября, 2013
рекомендации
0 |
Алексей Ожгибесов
10 Апреля, 2015
Андрей, подскажите, возможно ли ознакомиться с Вашими выкладками по анализу терминологии названия документов (от 2008 года)? Заранее благодарен.
0 |
Andrey Prozorov
10 Апреля, 2015
Надо искать, может в конце мая на конференции в Казани расскажу про это. Я там выступаю с темой про документацию
0 |