Что сделать, чтобы выполнить обязательные требования Постановления Правительства РФ № 781- 2007 г. и не потратить лишнего?

1. Первый, наиболее радикальный путь — обезличивание персональных данных.

2. Исключение части ПДн из автоматизированных систем в первую очередь – специальных категорий персональных данных.

3. Разделение «большой» ИСПДн на части с использованием межсетевых экранов и классификация каждой подсистемы как самостоятельной. Такую возможность предоставляют нормативно-методические документы ФСТЭК.

4. Внимательное и грамотное выполнение работ по классификации ИСПДн и актуализации угроз.  Практика показывает, например, для значительного количества систем утечка данных по техническим каналам — за счет побочных электромагнитных излучений и наводок, — реальной угрозы не представляет. Значит, и тратить средства на защиту от этих угроз смысла нет.

5. Сокращение количества персонала, работающего с персданными.

6. Использование терминального доступа к приложениям и базам, хранящим и обрабатывающим персональные данные, что позволит сократить расходы на безопасность рабочих станций, а применение технологий виртуализации — количество защищаемых физических серверов. Важно только помнить о специфических угрозах безопасности при терминальном доступе и в среде виртуальных машин, принимать меры по их нейтрализации.

И это далеко не все. При глубоком и вдумчивом анализе архитектуры информационных систем персональных данных и организации процессов их обработки возможно выявление и других, специфических путей и методов, позволяющих снизить издержки на защиту без ущерба бизнес-процессам, в которых используются персональные данные.