Ну, ладно, начнем с самого начала...
Политика допустимого использования определяет правила безопасного использования информации и активов, связанных со средствами обработки информации (это почти дословная цитата из ГОСТ 27001:2006). Помимо этого документ может использоваться с целью повышения осведомленности сотрудников организации в области информационной безопасности. Данный документ направлен именно на сотрудников организации, являющихся пользователями информации и средств обработки, а значит должен быть написан понятным им языком.
Наличие данной Политики крайне необходимо для понимания и дальнейшего снижения рисков связанных с внутренними угрозам, а также реагирования на инциденты. Кстати, если мы хотим наказать сотрудников за нарушения требований по информационной безопасности, то эти требования должны быть документированы, заблаговременно донесены до сотрудника под роспись и объяснены.
Наличие данной Политики крайне необходимо для понимания и дальнейшего снижения рисков связанных с внутренними угрозам, а также реагирования на инциденты. Кстати, если мы хотим наказать сотрудников за нарушения требований по информационной безопасности, то эти требования должны быть документированы, заблаговременно донесены до сотрудника под роспись и объяснены.
Обратите внимание, что документ не является инструкцией, которая рассказывает пользователю, что и как они могут делать с сервисами, системами и средствами обработки, а определяет именно требования (особенно запреты), выполнение которых вполне можно проверить, а также различными средствами обеспечить их выполнение. Например, если мы пишем в документе, что запрещено использование внешних носителей информации, то мы можем заблокировать USB-порты...
Упоминание данной Политики мы можем найти в следующих международных стандартах:
- ISO 27001 / ISO 27002 (А 7.1.3)
- COBIT5 (Enabling Processes (см.процесс DSS 06) и COBIT5 for IS (Enabler: «Principles, Policies and Frameworks»))
- NIST SP 800-114 / NIST SP 800-11
Кстати, в COBIT5 for IS данная Политика называется "Rules of behaviour (acceptable use)", и даны рекомендации по ее содержанию:
В Политику имеет смысл включить требования по работе со следующими информационными системами, сервисами и средствами обработки и хранения информации:
- корпоративная электронная почта;
- сеть интернет (включая облачные хранилища, торрент-трекеры, персональную электронную почту и пр.);
- внешние носители;
- корпоративные рабочие станции;
- корпоративные мобильные устройства;
- персональные мобильные устройства;
- сервисы мгновенных сообщений и аналоги (в том числе системы аудио и видео связи);
- удаленный доступ к корпоративной сети;
- копировально-множительная техника;
- файловые хранилища.
Дополнительно желательно прописать основные рекомендации по поведению в социальных сетях, интернет форумах и блогах (в рабочее и личное время). Данный перечень является рекомендованным, его вполне можно расширить или сузить в зависимости от конкретной организации (принятых требований и используемых ИТ).
Обратите внимание, что если мы используем (или планируем использовать) в организации различные системы мониторинга и контроля (например, DLP и web-фильтрация), то наличие возможности такого контроля желательно прописать в документе.
Обратите внимание, что если мы используем (или планируем использовать) в организации различные системы мониторинга и контроля (например, DLP и web-фильтрация), то наличие возможности такого контроля желательно прописать в документе.
Кстати, если название "Политика допустимого использования" не нравится, то можно использовать любое другое с сохранением сути и основных положений документа, например:
- Политика допустимого использования активов
- Политика допустимого использования информационных систем и ИТ-сервисов
- Положение о допустимом использовании информационных систем и ИТ-сервисов
- Правила безопасного использования информации и активов, связанных со средствами обработки информации
- и даже ... Инструкция пользователям
А вот "Регламентом" данный документ называть некорректно...
Еще можете посмотреть:
