Об обезличивании персональных данных - в пятом номере журнала "Информационная безопасность"
03.09.2009
В профессиональной среде как легальный прием защиты персональных данных часто обсуждается вопрос об их "обезличивании". Логика сторонников этого организационно-технического мероприятия основывается на том, что, в соответствии с действующим регулированием, ИСПДн, оперирующая с обезличенными персональными данными, относится к классу К4, а идентификационная информация, лишенная содержательного контекста, тянет в самом худшем случае (большая размерность) на К3.
Итого имеем, например, ИСПДн класса К1. Реорганизуем ее, разделяя систему с обезличенной контекстной информацией и систему с лишенными контекста идентификационными данными.
В результате мы получаем две системы с низкой классификацией. Выгоды очевидны:
Возросла безопасность: нарушитель, получивший доступ к одной из систем, не получает реальных ценностей.
Снизилась техническая сложность системы защиты: ИСПДн К4 с обезличенными данными вообще почти не нужно защищать, а ИСПДн К3 с идентификационными данными (предположим, что их много и система-таки тянет на К3) можно защитить лишь номинально.
Соответственно, снизив затраты на построение и эксплуатацию системы защиты, мы к сакральной дате 01.01.2010 г. "уместимся" в кризисный бюджет 2009 г.
Казалось бы... Но так ли это на самом деле?
Подробнее о выносе идентификационной информации в единую централизованную инфраструктуру, а также о способе обезличивания путем выдачи идентификационных данных на руки гражданам читайте в статье Сергея Рябко, президента группы компаний "С-Терра".
