Другой пример — доступ к письмам электронной почты. Вопрос о том, можно ли уполномоченным сотрудникам службы безопасности просматривать электронную почту работников предприятия, продолжает обсуждаться.

Следует учесть, что если организация предоставляет своим сотрудникам определенные ресурсы, она должна иметь возможность контроля их использования. Допустим, этот вопрос решен положительно, и работники службы безопасности имеют право просматривать электронную почту пользователей. Означает ли это, что они имеют право следить за перепиской директора и его заместителей? А за почтой своего собственного начальника? Чтобы не нарушать общие правила такими негласными исключениями, следует заранее оговорить сферу применения правил безопасности.

Еще один важный вопрос, возникающий в связи с персоналом организации, — это осведомленность службы безопасности о текущем статусе каждого из работников. В идеале служба безопасности должна принимать участие в приеме на работу (если не в принятии решения о приеме, то в инструктаже по нормативным документам и правилам), увольнении с должности (подписании обходного листа), а также периодически получать информацию об отпусках (в частности, знать все о путешествиях сотрудников), командировках, болезнях и прочих данных, очевидно, на сколько важна профилактика гриппа и простуды.

Сфера охвата проектов

Мы уже рассматривали вопрос о необходимости согласования решения по информационной безопасности с общим направлением развития информационных технологий. Но должно быть верно и обратное. Тот, кто начинал развивать службу информационной безопасности, наверняка сталкивался с ситуацией, когда полгода назад была внедрена информационная система, но оказалось, что работники данной организации могут ее использовать во вред предприятию.