Pieļaujamās izmantošanas politika

Pieļaujamās izmantošanas politika (AUP) nosaka standartus atbildīgai, drošai un likumīgai organizācijas informācijas sistēmu, tehnoloģiju resursu un informācijas aktīvu izmantošanai. Tās vispārējais mērķis ir definēt gan pieļaujamās, gan aizliegtās darbības, mijiedarbojoties ar uzņēmuma skaitļošanas infrastruktūru, tostarp darbastacijām, mobilajām ierīcēm, serveriem, mākoņpakalpojumiem un tīkliem. Šī politika nodrošina, ka visi lietotāji — no darbiniekiem un līgumslēdzējiem līdz trešo pušu piegādātājiem — apzinās savu atbildību organizācijas informācijas aktīvu konfidencialitātes, integritātes un pieejamības aizsardzībā. Saskaņā ar politiku darbības joma ir visaptveroša, aptverot ikvienu personu un juridisko vienību, kurai piešķirta piekļuve, kā arī visas tehnoloģiju un uzņēmuma datu formas. Tā vienlīdz attiecas uz uzņēmuma birojiem, attālinātā darba iestatījumiem un lauka lokācijām. Politika jāievēro ne tikai tradicionālajiem IT lietotājiem, bet arī ikvienam, kas strādā personīgo ierīču izmantošanas (BYOD) ietvaros vai hibrīdvides apstākļos. Katram lietotājam ir jāsniedz politikas iepazīšanās apliecinājums kā priekšnosacījums sistēmu un datu piekļuvei, un šāds apliecinājums tiek uzturēts audita un atbilstības vajadzībām. Politikas mērķi uzsver skaidru robežu noteikšanu pieļaujamām un aizliegtām darbībām. Tā nosaka nesankcionētas piekļuves vai datu noplūdes novēršanu, mazinot uz uzvedību balstītus draudus, piemēram, nolaidīgu izmantošanu, neatļautas programmatūras instalēšanu vai drošības kontroles apiešanu. Lai nodrošinātu atbilstību, tiek definētas pilnvaras un pienākumi izpildu vadībai (politikas apstiprināšana un uzraudzība), IT un drošības komandām (tehniskā piespiedu izpilde, uzraudzība, izmeklēšana), vadītājiem (lokālā uzraudzība, nelielu pārkāpumu apstrāde), personālvadībai un juridiskajam dienestam (disciplinārie pasākumi, politikas tiesiskums) un visiem lietotājiem (ētiska izmantošana, incidentu ziņošana, autentifikācijas datu aizsardzība). Pārvaldības un izpildes pasākumi ir izstrādāti strukturēti. Lietotājiem ir jāveic formāls politikas iepazīšanās apliecinājums un atkārtota apmācība, stiprinot informētību un ētisku uzvedību. IT un drošības komandas ievieš tīmekļa filtrēšanas, e-pasta drošības, galapunktu aizsardzības un uzraudzības sistēmas, lai tehniski nodrošinātu noteikumu ievērošanu, savukārt periodiska pārskatīšana nodrošina, ka kontroles pasākumi saglabā efektivitāti. Aizliegtās darbības ir skaidri uzskaitītas, aptverot nesankcionētu piekļuvi, ļaunprogrammatūras izvietošanu, izmantošanu personīgās peļņas gūšanai, pārmērīgu izmantošanu un mēģinājumus apiet autentifikācijas mehānismus. Politika arī nosaka stingras prasības BYOD izmantošanai, šifrēšanas un attālinātas piekļuves praksei, iekļaujot tehniskās un procesuālās prasības ierīču un datu drošībai. Reaģēšanas uz incidentiem mehānismi nosaka, ka lietotāji nekavējoties ziņo par drošības notikumiem, nesankcionētu piekļuvi vai ierīces zudumu, izmantojot oficiālus kanālus. Pārkāpumi tiek risināti ar samērīgiem disciplināriem pasākumiem — no mērķtiecīgas atkārtotas apmācības un piekļuves apturēšanas līdz darba attiecību izbeigšanai vai juridiskai/regulatīvai eskalācijai — un viss tiek dokumentēts juridiskām un audita vajadzībām. Būtiski, ka politika aizsargā trauksmes celšanas mehānisma anonimitāti un aizliedz atriebību, veicinot pārskatatbildības kultūru. Saskaņota ar atzītiem starptautiskiem standartiem, tostarp ISO/IEC 27001:2022 (5.10. klauzula un atsevišķas A pielikuma kontroles), NIST SP 800-53, ES GDPR, NIS2, ES DORA un COBIT 2019, AUP ir izstrādāta, lai izturētu atbilstības, juridisko un audita pārbaudi. To pārvalda noteikti pārskatīšanas cikli, versiju kontrole un dokumentu glabāšanas prasības, lai nodrošinātu aktualitāti, riskiem attīstoties un mainoties regulatīvajai videi. Turklāt politika tieši sasaistās ar saistītām galvenajām politikām, piemēram, Piekļuves kontroles politiku, risku pārvaldības ietvaru un Attālinātā darba politiku, nodrošinot holistisku, slāņainu pieeju organizācijas kiberrisku pārvaldībai.