Любые действия должны быть чем-то обоснованы. Например, затраты на действия по созданию мер защиты информации должны быть обоснованы возможным ущербом, который может нанести оператору или субъекту ПДн инцидент безопасности с персональными данными. Этап обоснования включается в большинстве нормативных документов как обязательный этап при постановке заданий на создание системы защиты. Как оказывается, достаточно эффективным способом снижения тех или иных затрат на защиту ПДн является отсутствие соизмеримого ущерба от инцидента именно с этими данными

Разделите персональные данные субъектов, которые вы храните и обрабатываете в ИС ПДн, на отдельные части. Например, отдельно работайте с идентификационными данными субъекта и отдельно работайте с дополнительными данными субъекта, связывая их между собой произвольным внутренним идентификатором. Во многих случаях иметь в одном месте и идентифицирующие и дополнительные данные просто нет логической и юридической необходимости, тогда зачем самим усложнять себе задачу? Разделив эти данные на этапах их обработки вы сможете снизить класс каждого узла ИС и, тем самым, снизить итоговый класс ИС ПДн в целом.

Компании привыкли собирать большое количество информации с некоторых категорий субъектов ПДн (например с собственных сотрудников, студентов ВУЗа и других). Причиной для сбора данных могла быть просто рефлекторная необходимость заполнения той же личной карточки сотрудника (форма Т-2). Однако, если задуматься над смыслом и обоснованностью включения информации о родителях работника в его данные, то как обосновать эту необходимость. Многие ли компании когда-либо пользовались такой информацией в жизни? Если да, то могут ли они найти основания использования такой информации в федеральных законах? На наш взгляд в очень большом количестве ситуаций собирается избыточное количество персональных данных, которые можно просто не собирать, а в исключительных случаях получать их на бумажном носителе и не вносить их в информационную систему

В первую очередь операторы обрабатывают персональные данные, которые позволяют идентифицировать личность (например гражданина Российской Федерации) либо личность участника того или иного реестра, открытого в соответствии с действующим законодательством РФ. Если внимательно прочитать законодательство, например, о документах, идентифицирующих личность гражданина РФ или иностранного гражданина на территории РФ, то можно заключить весьма интересный факт о том, что даже наш паспорт гражданина РФ (хотя бы его первую страницу) мы должны показывать очень большому количеству людей (милиции, кассирам в магазине при оплате покупки банковской картой, операционистам в банках, менеджерам в аэропортах, охранникам и многим другим). При этом, мало кто из этих людей отвечает за сохранность этих данных по закону или по каким-либо инструкциям и вообще их как-то обрабатывает, кроме визуальной идентификации личности. Тогда как можно говорить о закрытость этих данных? При дальнейшем изучении некоторых федеральных законодательных актов часть данных должна быть просто открыта всем при выполнении определённых действий

Чем ближе конец 2009 года, тем больше в прессе и на ИТ мероприятиях можно услышать фразу: «персональные данные (ПДн)». Эти два слова сейчас вызывают достаточно противоречивую реакцию у специалистов и руководителей различного уровня: многие удивлённо спрашивают «а что это?», часть хватается за голову и рассказывает о том, что государство придумало очередную идею, как выкачать из честных компаний деньги. Оставшееся же небольшое число специалистов уверенно и без существенной доли страха говорят об обозримой и вполне посильной задаче по приведению работы компаний в соответствие с требованиями, установленными федеральным законом 152-ФЗ от 27.07