Lubatud kasutuse poliitika

Lubatud kasutuse poliitika (AUP) kehtestab standardid organisatsiooni infosüsteemide, tehnoloogiaressursside ja andmevarade vastutustundlikuks, turvaliseks ja seaduslikuks kasutamiseks. Üldine eesmärk on määratleda nii lubatud kui ka keelatud tegevused ettevõtte arvutustaristu kasutamisel, sh tööjaamad, mobiilseadmed, serverid, pilveteenused ja võrgud. See poliitika tagab, et kõik kasutajad – alates töötajatest ja töövõtjatest kuni kolmanda osapoole tarnijateni – on teadlikud oma vastutusest organisatsiooni teabevarade konfidentsiaalsuse, tervikluse ja käideldavuse kaitsmisel. Poliitika kohaselt on kohaldamisala terviklik, hõlmates iga isikut ja üksust, kellele on antud juurdepääs, ning kõiki tehnoloogia ja ettevõtte andmete vorme. See kehtib võrdselt ettevõtte kontorites, kaugtöö seadistustes ja välitöö asukohtades. Nõuetele peavad vastama mitte ainult traditsioonilised IT-kasutajad, vaid ka kõik, kes tegutsevad oma seadme kasutamise (BYOD) korralduste alusel või hübriidkeskkondade kaudu. Iga kasutaja peab poliitika tutvumiskinnituse andma süsteemile ja andmetele juurdepääsu eeltingimusena ning seda kinnitust säilitatakse auditi ja nõuetele vastavuse eesmärkidel. Poliitika eesmärgid rõhutavad selgete piiride seadmise olulisust lubatud ja keelatud tegevustele. See nõuab volitamata juurdepääsu või andmelekkega seotud riskide ennetamist käitumisest tulenevate ohtude kaudu, nagu hooletu kasutamine, autoriseerimata tarkvara paigaldamine või turvameetmetest möödahiilimine. Vastavuse tagamiseks on rollid ja vastutused määratletud: tippjuhtkond (poliitika heakskiit ja järelevalve), IT- ja turvameeskonnad (tehniline jõustamine, seire, uurimine), juhid (kohalik järelevalve, väiksemate rikkumiste käsitlemine), personal ja õigus (distsiplinaarmeetmed, poliitika seaduslikkus) ning kõik kasutajad (eetiline kasutus, intsidentidest teavitamine, autentimistunnuste kaitsmine). Juhtimis- ja jõustamismeetmed on läbimõeldult kavandatud. Kasutajad peavad läbima ametliku poliitika tutvumiskinnituse ja korduva koolituse, tugevdades teadlikkust ja eetilist käitumist. IT- ja infoturbemeeskonnad rakendavad veebi- ja e-posti filtreerimissüsteeme, lõppseadmete kaitse- ja seiresüsteeme reeglite tehniliseks jõustamiseks, samas kui perioodilised ülevaatused tagavad, et kontrollimeetmed püsivad tõhusad. Keelatud tegevused on selgesõnaliselt loetletud, hõlmates volitamata juurdepääsu, pahavara juurutamist, kasutamist isikliku kasu saamiseks, ülemäärast kasutamist ning katseid turvamehhanismidest mööda hiilida. Samuti käsitletakse rangelt oma seadme kasutamise (BYOD) kasutust, krüpteerimist ja kaugtöö praktikaid koos tehniliste ja protseduuriliste nõuetega seadme- ja andmeturbele. Intsidentidele reageerimise mehhanismid nõuavad, et kasutajad teataksid turvasündmustest, volitamata juurdepääsust või seadme kadumisest viivitamata ametlike kanalite kaudu. Rikkumistele rakendatakse proportsionaalseid distsiplinaarmeetmeid – alates sihipärasest ümberõppest ja juurdepääsu peatamisest kuni töösuhte lõpetamise või õigusliku menetluseni – ning kõik dokumenteeritakse õigus- ja auditeerimise eesmärkidel. Oluline on, et poliitika kaitseb rikkumisest teavitamise mehhanismi anonüümsust ja keelab kättemaksu, soodustades aruandekohustuse kultuuri. Kooskõlas tunnustatud rahvusvaheliste standarditega, nagu ISO/IEC 27001:2022 (klausel 5.10 ja valitud lisa A kontrollimeetmed), NIST SP 800-53, EL GDPR, NIS2, EL DORA ja COBIT 2019, on AUP koostatud nii, et see peab vastu vastavuse, õigus- ja auditi vaates. Seda juhitakse ettenähtud läbivaatamistsüklite, versioonihalduse ja dokumentatsioonihalduse nõuete kaudu, et tagada asjakohasus riskide arenedes ja regulatiivse keskkonna muutudes. Lisaks seob poliitika end selgesõnaliselt seotud võtmetähtsusega poliitikatega, nagu juurdepääsukontrolli poliitika, riskijuhtimise poliitika ja kaugtööpoliitika, tagades tervikliku ja kihilise lähenemise organisatsiooni küberriskide juhtimisele.