Политика за допустимо използване – МСП

Политиката за допустимо използване (AUP) – версия за МСП (документ P03S) е предназначена да установи ясни, практични и приложими стандарти за отговорното използване на предоставените от компанията ИТ ресурси в малки и средни предприятия (МСП). Основният ѝ фокус е да гарантира, че всички лица, включително служители, външни изпълнители, временен персонал и дори доставчици на услуги на трети страни, напълно разбират своите задължения и очаквания за поведение при достъп до информационните системи на организацията, независимо дали на място, отдалечено или в хибридни среди. Тази политика е изрично адаптирана за МСП, което личи от използването на обобщени управленски роли като главния изпълнителен директор вместо специализирани длъжности по ИТ или сигурност, което я прави достъпна за организации без специализирани вътрешни ИТ екипи или екипи по сигурност, но търсещи стриктно съответствие с ISO/IEC 27001:2022. В цялост Политиката за допустимо използване (AUP) определя какво представлява допустимото използване на корпоративни активи спрямо недопустимото използване на устройства, собственост на компанията, лични устройства (използване на лични устройства (BYOD)), мрежи, облачни платформи и всички софтуерни инструменти в употреба. Тя подробно описва механизми за управление, като регистри на одобрен хардуер, протоколи и софтуер, изисквания за предварително одобрение и сигурна конфигурация на BYOD, както и поддържане на логове за проследяване на нарушения или инциденти. Мониторингът се извършва от ИТ мениджър или упълномощен външен доставчик, но винаги в рамките на легитимните бизнес интереси и приложимите закони за защита на личните данни. Този подход постига баланс между сигурност, защита на личните данни и организационна приложимост. Политиката също така определя цялостна рамка за третиране на риска и управление на изключенията: рискове като инфекция със зловреден софтуер, нарушения, подлежащи на докладване, и репутационен ущърб в резултат на неправомерно използване се смекчават чрез защита в дълбочина и обучение за повишаване на осведомеността по информационна сигурност. Исканията за изключения, като използване на неодобрени инструменти, трябва да бъдат формално документирани, подложени на оценка на риска, времево ограничени и изрично одобрени, обикновено от главния изпълнителен директор или доставчик на ИТ услуги. Силният фокус върху документация, тригери за преглед и годишно повторно валидиране на политиката гарантира, че политиката остава ефективна с развитието на технологиите, заплахите и правните изисквания. Разпоредбите за прилагане и съответствие са устойчиви. Всички предполагаеми или наблюдавани нарушения трябва да бъдат докладвани незабавно, с ясна ескалация към ИТ мениджър или главния изпълнителен директор. Мерките за прилагане могат да включват блокиране на система или достъп, устни или писмени предупреждения и дори прекратяване на договор както за персонала, така и за доставчици на услуги на трети страни. Договорно обвързващият характер на политиката за трети страни осигурява последователно прилагане на стандартите за сигурност във веригата на доставки на организацията. Накрая, интеграцията на Политиката за допустимо използване (AUP) с други основни политики за МСП — Политика за контрол на достъпа, Политика за осведоменост и обучение по информационна сигурност, Политика за дистанционна работа, Политики за защита на данните и Политика за реагиране при инциденти — осигурява цялостно покритие на отговорностите по сигурността. Резултатът е лесна за внедряване, съгласувана с ISO 27001:2022 рамка за компании, които търсят съответствие и намаляване на риска дори без големи ИТ отдели или отдели по сигурност.