"Если в ИБ‑правилах предприятия прописано ‘нельзя’, а в AUP написано ‘нехорошо’ — то что происходит на самом деле? AUP часто подменяет реальное регулирование, становясь инструментом для кадровых решений, а не для защиты инфраструктуры. Это документ‑перевёртыш, который читают после инцидента."

Что такое acceptable use policy?

Acceptable Use Policy (AUP), или Политика допустимого использования,, это корпоративный документ, который устанавливает правила поведения пользователей в информационной системе компании. В отличие от строгих технических регламентов, AUP носит поведенческий характер. Его цель — не столько блокировать угрозы на уровне сетевого экрана, сколько очертить границы, за пределами которых действия сотрудника считаются нарушением внутреннего порядка.

В российской регуляторной практике, особенно в контексте выполнения требований 152-ФЗ о защите персональных данных и положений ФСТЭК, AUP выполняет связующую функцию. Он формализует ответственность пользователя за соблюдение режима информационной безопасности, который обеспечивается техническими средствами.

Какую роль AUP играет в системе обеспечения ИБ?

Политика допустимого использования не существует в вакууме. Она является частью пакета организационно-распорядительной документации. Её место — между техническими инструкциями для администраторов и трудовым договором с сотрудником.

Если представить защиту информации как многослойную конструкцию, то AUP, это самый верхний, социально-правовой слой. Ниже находятся политики парольной защиты, конфигурации средств антивирусной защиты, правила резервного копирования. AUP отвечает на вопрос «что нельзя делать», а технические политики реализуют механизмы, которые либо предотвращают эти действия, либо фиксируют их.

Ключевая роль AUP — установить связь между действием пользователя и последствиями. Без такого документа дисциплинарное взыскание за, например, установку неподдерживаемого ПО на рабочий компьютер, может быть оспорено. AUP делает правила игры явными и известными.

Из каких разделов состоит типичная политика?

Структура AUP может варьироваться, но её ядро остаётся неизменным. Документ начинается с области действия и определений, чтобы избежать разночтений.

Цель и область применения

В этой части определяется, на кого распространяется политика (все сотрудники, подрядчики, временные работники) и какие ресурсы попадают под её действие. Ресурсами считаются не только компьютеры и серверы, но и сетевые ресурсы, облачные сервисы, корпоративная почта, учётные записи — всё, что предоставлено компанией для работы.

Принципы допустимого использования

Это основной раздел. Он формулируется не только как список запретов, но и как описание ожидаемого поведения. Типичные пункты включают:

• Использование в служебных целях: ресурсы предоставлены для выполнения трудовых функций. Их использование для личных нужд (если не оговорено иное) ограничивается.
• Соблюдение конфиденциальности: запрет на разглашение коммерческой тайны, персональных данных клиентов и коллег через корпоративные каналы.
• Уважение к ресурсам: запрет на действия, которые могут привести к чрезмерной нагрузке на сеть или системы (например, майнинг криптовалют, массовая рассылка).
• Соблюдение законодательства: прямой запрет на использование ресурсов для деятельности, нарушающей российское законодательство (незаконный контент, несанкционированный доступ).

Конкретные запреты и ограничения

Это наиболее операционная часть. Здесь политика становится конкретной:

• Запрет на установку неподтверждённого программного обеспечения без согласования со службой ИБ.
• Запрет на обход систем информационной безопасности (использование прокси, анонимайзеров, неутверждённых средств шифрования).
• Ограничения на использование внешних носителей информации.
• Правила создания и хранения паролей (даже если они детализированы в отдельной политике).

Контроль и ответственность

В этом разделе прямо указывается, что компания оставляет за собой право мониторить использование ресурсов для обеспечения соблюдения политики. Важно прописать, что такой мониторинг ведётся, его цели и законные основания (обычно — необходимость обеспечения безопасности и сохранности активов). Также здесь описываются процедуры выявления нарушений и меры ответственности — от предупреждения до увольнения.

Как связать AUP с требованиями регуляторов?

Для организаций, являющихся операторами персональных данных или работающих с гостайной, AUP становится обязательным элементом. Требования регуляторов (ФСТЭК, Роскомнадзор) носят рамочный характер: они предписывают «установить правила разграничения доступа» или «определить порядок работы пользователей». AUP, это и есть документ, в котором эти правила и порядок прописаны применительно к конечному пользователю.

Например, требование 152-ФЗ о защите ПДн обязывает оператора принять меры, в том числе организационные. Пункт AUP о неразглашении персональных данных и запрете на их вынос за периметр компании — одна из таких мер. При проверке регулятор может запросить не только технические средства защиты, но и документы, регламентирующие поведение персонала.

Аналогично, требования ФСТЭК к защите информации в государственных информационных системах (ГИС) делают акцент на регламентации действий. AUP, утверждённый руководством, становится документом, исполнение которого обязательно для всех допущенных к системе.

Практические шаги по разработке и внедрению

Создание работоспособной политики, это процесс, а не разовое действие.

1. Анализ рисков и существующих практик: Прежде чем писать запреты, нужно понять текущую ситуацию. Какие сервисы используются? Каковы реальные бизнес-процессы? Где находятся «слепые зоны»? Этот этап часто пропускают, что приводит к созданию оторванного от реальности документа.
2. Согласование с юристами и кадровой службой: Формулировки о дисциплинарной ответственности должны соответствовать Трудовому кодексу. Положения о мониторинге — законодательству о персональных данных работников.
3. Формулировка на понятном языке: AUP пишется для всех сотрудников, а не только для IT-специалистов. Стоит избегать излишнего жаргона. Каждый запрет должен иметь понятное обоснование («это нужно, чтобы предотвратить утечку данных», «это защищает сеть от вирусов»).
4. Официальное утверждение и публикация: Политика должна быть утверждена приказом первого лица. Это придаёт ей обязательную силу. Документ должен быть легко доступен — в корпоративном портале, в базе знаний, в виде памятки при найме.
5. Обязательное ознакомление: Самый критичный этап. Каждый сотрудник должен быть ознакомлен с политикой под подпись. Идеально, если ознакомление встроено в процесс онбординга нового сотрудника и регулярно обновляется (например, при ежегодной переподписке).
6. Регулярный пересмотр: Технологии и угрозы меняются. Политика, написанная пять лет назад, может не учитывать риски, связанные с использованием мессенджеров или личных устройств для работы (BYOD). AUP должен пересматриваться не реже чем раз в год-два или при существенных изменениях в инфраструктуре.

Чего нет в AUP, но многие думают, что есть

Существует несколько распространённых заблуждений относительно политики допустимого использования.

Заблуждение 1: AUP заменяет техническую защиту. Нет. Политика, это не технический контроль. Запрет на посещение фишинговых сайтов в документе не остановит пользователя. Это должна делать система фильтрации трафика. AUP лишь даёт основание для применения санкций, если запрет был нарушен, а технические средства сработали.

Заблуждение 2: AUP, это исчерпывающий список всех возможных нарушений. Невозможно предугадать все варианты. Поэтому в документе всегда есть общая формулировка, охватывающая действия, которые могут нанести ущерб репутации компании или её инфраструктуре, даже если они прямо не прописаны.

Заблуждение 3: Подпись под политикой — формальность. С юридической точки зрения, ознакомительная подпись, это доказательство того, что правила были доведены до сведения сотрудника. В случае серьёзного инцидента или судебного разбирательства наличие такой подписи значительно укрепляет позиции работодателя при применении дисциплинарных мер.

В итоге Acceptable Use Policy, это не просто список правил, а фундаментальный инструмент управления человеческим фактором в информационной безопасности. Грамотно составленный и правильно внедрённый документ закрывает важнейший регуляторный и управленческий пробел, превращая абстрактные требования стандартов в конкретные, понятные и обязательные для исполнения правила рабочего дня.