Что такое \"Политика допустимого использования\"?

Что такое \"Политика допустимого использования\"?
Политика допустимого использования (Acceptable use policy, AUP) является одним из важнейших документов, регламентирующих информационную безопасность организации. Вы удивляетесь, что практически ничего о нем не слышали и, вероятно, не встречали? Да, документ довольно редкий в российских компаниях. Ну, а если и основные положения его и определены, то обычно "разбросаны" по другим внутренним документам, например, их можно встретить в "Политике использования электронной почты и сети интернет", "Политике использования мобильных носителей",  "Инструкции пользователям" и другим.

Ну, ладно, начнем с самого начала...

Политика допустимого использования определяет правила безопасного использования информации и активов, связанных со средствами обработки информации (это почти дословная цитата из ГОСТ 27001:2006). Помимо этого документ может использоваться с целью повышения осведомленности сотрудников организации в области информационной безопасности. Данный документ направлен именно на сотрудников организации, являющихся пользователями информации и средств обработки, а значит должен быть написан понятным им языком.

Наличие данной Политики крайне необходимо для понимания и дальнейшего снижения рисков связанных с внутренними угрозам, а также реагирования на инциденты. Кстати, если мы хотим наказать сотрудников за нарушения требований по информационной безопасности, то эти требования должны быть документированы, заблаговременно донесены до сотрудника под роспись и объяснены.

Обратите внимание, что документ не является инструкцией, которая рассказывает пользователю, что и как они могут делать с сервисами, системами и средствами обработки, а определяет именно требования (особенно запреты), выполнение которых вполне можно проверить, а также различными средствами обеспечить их выполнение. Например, если мы пишем в документе, что запрещено использование внешних носителей информации, то мы можем заблокировать USB-порты...

Упоминание данной Политики мы можем найти в следующих международных стандартах:
  • ISO 27001 / ISO 27002 (А 7.1.3)
  • COBIT5 (Enabling Processes (см.процесс DSS 06) и COBIT5 for IS (Enabler: «Principles, Policies and Frameworks»))
  • NIST SP 800-114 / NIST SP 800-11
Кстати, в COBIT5 for IS данная Политика называется "Rules of behaviour (acceptable use)", и даны рекомендации по ее содержанию:


В Политику имеет смысл включить требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации:
  • корпоративная электронная почта;
  • сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту и пр.);
  • внешние носители;
  • корпоративные рабочие станции;
  • корпоративные мобильные устройства;
  • персональные мобильные устройства;
  • сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи);
  • удаленный доступ к корпоративной сети;
  • копировально-множительная техника;
  • файловые хранилища.
Дополнительно желательно прописать основные рекомендации по поведению в социальных сетях, интернет форумах и блогах (в рабочее и личное время). Данный перечень является рекомендованным, его вполне можно расширить или сузить в зависимости от конкретной организации (принятых требований и используемых ИТ).

Обратите внимание, что если мы используем (или планируем использовать) в организации различные системы мониторинга и контроля (например, DLP и web-фильтрация), то наличие возможности такого контроля желательно прописать в документе.

Кстати, если название "Политика допустимого использования" не нравится, то можно использовать любое другое с сохранением сути и основных положений документа, например:
  • Политика допустимого использования активов
  • Политика допустимого использования информационных систем и ИТ-сервисов
  • Положение о допустимом использовании информационных систем и ИТ-сервисов
  • Правила безопасного использования информации и активов, связанных со средствами обработки информации
  • и даже ... Инструкция пользователям
А вот "Регламентом" данный документ называть некорректно...


Еще можете посмотреть:
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире