Анализ состава и условий обработки персональных данных

В первую очередь необходимо понимать, что минимизировать затраты на защиту персональных данных (ПДн) возможно не во время внедрения средств защиты, а во время проведения оценки результатов обследования процессов обработки ПДн и информационных систем персональных данных (ИСПДн).

Проведя аудит информационной системы персональных данных, определив категории обрабатываемых персональных данных, необходимо оценить, действительно ли организации необходимо такое количество персональной информации о субъекте?

Как показывает наш опыт, компании, которые хранят в своей информационной системе такие данные,как:

• Национальность;
• Политические взгляды;
• Сведения о родственниках в объеме, превышающем объем, установленный трудовым законодательством создают предпосылки для повышения уровня защищенности информационной системы персональных данных, увеличивая необходимое количество средств и времени на приведение ИСПДн в соответствие с требованиями законодательства.

Если эта информация не является критичной для деятельности, то от нее можно смело избавляться, тем самым сокращая возможные расходы.

Сужение границ проведения работ по защите персональных данных

Минимизировать затраты, связанные с созданием системы защиты персональных данных можно путем сужения границ проведения работ. Например:

• Оценить имеющиеся у организации сертифицированные средства защиты, которые можно использовать для защиты персональных данных. Если таких средств нет, осуществить внедрение организационных мероприятий, сводящих к минимуму число актуальных угроз безопасности персональных данных (а соответственно и необходимость применения сертифицированных средств);
• Сузить круг лиц, обрабатывающих персональные данные, до возможного минимума;
• Сократить количество персональных компьютеров и серверов, на которых обрабатываются персональные данные;
• Произвести обезличивание персональных данных;
• Заменить персональные данные на некие условные обозначения или идентификаторы (маскирование персональных данных);
• Исключить некритичные для организации информационные системы персональных данных.

Проведя данные работы можно не только сэкономить средства и время на обеспечение защиты персональных данных, но и оптимизировать бизнес-процессы организации.