Детализацию и периодичность отчетов можно согласовывать дополнительно, в зависимости от конкретной системы, но службе безопасности следует иметь полную картину работы всех систем информационного пространства.

Другая проблема, приводящая иногда к выпадению отдельных аспектов из сферы деятельности службы информационной безопасности, — это представление о ней только как о компьютерной службе. Это допустимо, но тогда необходимо подумать о следующем.

Кто в организации курирует вопросы безопасности телефонной связи (сотовые телефоны, мини-АТС, факсимильную связь)? Безопасно ли уничтожение бумажных отчетов предприятия? Как защитищены источники электроэнергии и т. п.?

Если всем этим занимаются отдельные службы, то следует также продумать вопросы связи их со службой информационной безопасности. Если же есть необходимость передать контроль над ними в службу информационной безопасности, то следует добавить и необходимое число сотрудников, провести их соответствующее обучение.

Сфера охвата персонала

Казалось бы, чего проще — сфера действия информационной безопасности, в том числе и правила политики безопасности, едины для всех. И это справедливо. Вот только для всех ли эти правила должны быть одинаковы? Например, нормальным требованием безопасности является запрет для пользователей загружать из Интернета исполняемые модули. А для специалистов по информационным технологиям? Откуда им брать обновления и заплаты для информационных систем? Очевидно, что правила должны быть дифференцированными для таких случаев.