Priimtino naudojimo politika

Priimtino naudojimo politika (AUP) nustato atsakingo, saugaus ir teisėto organizacijos informacinių sistemų, technologinių išteklių ir duomenų turto naudojimo standartus. Pagrindinis tikslas – apibrėžti tiek leistiną, tiek draudžiamą veiklą, sąveikaujant su įmonės skaičiavimo infrastruktūra, įskaitant darbo vietas, mobiliuosius įrenginius, serverius, debesijos paslaugas ir tinklus. Ši politika užtikrina, kad visi naudotojai – nuo darbuotojų ir rangovų iki trečiųjų šalių tiekėjų – suprastų savo atsakomybes ginant organizacijos informacinio turto konfidencialumą, vientisumą, prieinamumą. Pagal politiką taikymo sritis yra išsami: ji apima kiekvieną asmenį ir subjektą, kuriam suteikta prieiga, taip pat visas technologijų ir įmonės duomenų formas. Ji vienodai taikoma įmonės biuruose, Nuotolinio darbo politikos aplinkoje ir lauko vietose. Politikos privalo laikytis ne tik tradiciniai IT naudotojai, bet ir asmenys, dirbantys pagal nuosavų įrenginių naudojimo (BYOD) susitarimus arba hibridinėse aplinkose. Kiekvienas naudotojas privalo pateikti politikos priėmimą kaip išankstinę sąlygą sistemų ir duomenų prieigai, o toks patvirtinimas saugomas audito ir atitikties tikslais. Politikos tikslai pabrėžia aiškių ribų nustatymo svarbą leistiniems ir draudžiamiems veiksmams. Ji numato nesankcionuotos prieigos ar duomenų nutekėjimo prevenciją, susijusią su elgesiu pagrįstomis grėsmėmis, pvz., aplaidžiu naudojimu, neautorizuotos programinės įrangos diegimu arba saugumo kontrolės priemonių apėjimu. Siekiant užtikrinti atitiktį, apibrėžiami vaidmenys ir atsakomybės: aukščiausioji vadovybė (politikos patvirtinimas ir priežiūra), IT ir saugumo komandos (techninis vykdymo užtikrinimas, stebėsena, tyrimas), padalinių vadovai (vietinė priežiūra, nedidelių pažeidimų tvarkymas), žmogiškieji ištekliai ir teisė (drausminės nuobaudos, politikos teisėtumas) ir visi naudotojai (etiškas naudojimas, pranešimas apie incidentus, prisijungimo duomenų apsauga). Valdysena ir vykdymo užtikrinimo priemonės yra apgalvotai suprojektuotos. Naudotojai privalo atlikti formalų politikos priėmimą ir periodinius pakartotinius mokymus, stiprinant informuotumą ir etišką elgesį. IT ir saugumo komandos įgyvendina žiniatinklio ir el. pašto filtravimo sistemas, galinių įrenginių apsaugą ir stebėsenos sistemas, kad techniškai užtikrintų taisyklių laikymąsi, o periodinės peržiūros užtikrina, kad kontrolės priemonės išliktų veiksmingos. Draudžiama veikla aiškiai išvardyta, apimant nesankcionuotą prieigą, kenkėjiškos programinės įrangos diegimą, naudojimą asmeniniam pasipelnymui, perteklinį naudojimą ir bandymus apeiti autentifikavimo mechanizmus ar kitas saugumo priemones. Taip pat griežtai reglamentuojamas nuosavų įrenginių naudojimas (BYOD), šifravimas ir nuotolinio darbo praktikos, nustatant techninius ir procedūrinius reikalavimus įrenginių ir duomenų saugumui. Reagavimo į incidentus mechanizmai reikalauja, kad naudotojai nedelsdami praneštų apie saugumo įvykius, nesankcionuotą prieigą ar įrenginio praradimą per oficialius kanalus. Pažeidimai vertinami proporcingomis drausminėmis priemonėmis – nuo tikslinio permokymo ir prieigos sustabdymo iki nutraukimo ar teisinio persekiojimo – visa tai dokumentuojama teisiniams ir audito tikslams. Svarbu, kad politika saugo pranešimų apie pažeidimus teikimo mechanizmo anonimiškumą ir draudžia atsakomąsias priemones, skatindama atskaitomybės kultūrą. Suderinta su pripažintais tarptautiniais standartais, tokiais kaip ISO/IEC 27001:2022 (5.10 punktas ir pasirinktos A priedo kontrolės priemonės), NIST SP 800-53, ES GDPR, NIS2, ES DORA ir COBIT 2019, AUP sukurta taip, kad atlaikytų atitikties, teisės ir audito vertinimą. Ji valdoma pagal nustatytus peržiūros ciklus, versijavimą ir dokumentų valdymo reikalavimus, kad išliktų aktuali kintant rizikoms ir reglamentavimo aplinkai. Be to, politika aiškiai susiejama su susijusiomis pagrindinėmis politikomis, pvz., Prieigos kontrolės politika, Rizikos valdymo sistema ir Nuotolinio darbo politika, užtikrinant holistinį, sluoksniuotą požiūrį į organizacijos kibernetinių rizikų valdyseną.