«Построение системы защиты информации в организации – непростая задача. Как всякая непростая задача она имеет простые для понимания, но неправильные, ошибочные решения. Причиной реализации таких решений являются заблуждения, свойственные операторам, которые ранее не сталкивались с необходимостью защиты своих инфоресурсов.

В своей практике мы много раз сталкивались с намерением операторов реализовать такие «простые решения». Мы считаем их вредными для оператора и влекущими негативные последствия как для него самого, так и для субъекта персональных данных. Для того, чтобы предостеречь Вас, попробуем описать самые популярные из «простых решений».

Приведение в соответствие и аттестация только одной ИСПДн 3 класса в организации, имеющей множество иных ИСПД более высоких классов. В последующем оператор декларирует выполнение требований закона по защите персональных данных.

Именование фактически происходящей автоматизированной или смешанной обработки ПДн «неавтоматизированной обработкой» с последующим документированным выводом о возможности защиты ПДн способами, самостоятельно определяемыми оператором. Далее оператор отказывается от создания системы защиты персональных данных, ограничиваясь созданием свода внутренних локальных актов и организационными мерами по «хранению» ПДн.

Заведомо неправильная классификация ИСПДн с присвоением более низкого класса, нежели класса, фактически соответствующего действительности. В силу этого оператор получает возможность существенно сэкономить на защите ИСПДн.

Обезличивание ПДн путем удаления из ИСПДн только сведений о фамилии, имени, отчестве. Далее – оператор классифицирует ИСПДн по 4 классу и существенно экономит на построении СЗПДн.

Отказ от выполнения любых мероприятий по защите ПДн ввиду неопределенности или недостаточности нормативных документов.

Обращение к лицензиату с задачей «оформить» и «выдать» аттестаты соответствия на ИСПДн.