Защита персональных данных

В первую очередь необходимо понимать что минимизировать затраты на защиту персональных данных (ПДн) возможно не во время внедрения средств защиты, а тогда, когда проводится оценка результатов предпроектного аудита информационных систем персональных данных (ИСПДн).

Проведя аудит информационной системы персональных данных, классифицировав персональные данные, необходимо оценить, а действительно ли организации необходимо такое кол-во персональной информации о субъекте?

Как показывает наш опыт, компании, которые хранят в своей информационной системе такие данные как:

  • Национальность;
  • Политические взгляды;
  • Сведения о родственниках;
  • Паспортные данные.

самостоятельно завышают класс информационной системы персональных данных, увеличивая необходимое кол-во средств и времени на приведение ИСПДн в соответствии с требованиями законодательства. Если эта информация не является критичной для деятельности, то от нее можно смело избавляться, тем самым сокращая возможные расходы.

Другим способом, позволяющим хорошо сэкономить является обезличивание персональных данных.

Сужение границ проведения работ по защите персональных данных.

Минимизировать затраты связанные с постройкой системы защиты персональных данных можно путем сужения границ проведения работы. Например:

  • Оценить имеющиеся у организации сертифицированные средства защиты, которые можно использовать для защиты персональных данных;
  • Перераспределить физически расположение оборудование (сервера, рабочие станции, коммуникационное оборудование и т.д.), обрабатывающие персональные данные в одно помещение, тем самым минимизировав затраты на аттестацию помещения;
  • Сузить круг лиц работающих и обрабатывающих персональные данные до возможного минимума;
  • Сократить количество персональных компьютеров, на которых обрабатываются персональные данные;
  • Заменить персональные данные, на какие то условные обозначения или коды (маскирование персональных данных);
  • Исключить некритичные для организации информационные системы персональных данных.

Проведя данные работы можно не только сэкономить средства и время на обеспечение защиты персональных данных, но и оптимизировать бизнес-процессы организации.