Дмитрий, в моем понимании это с точки зрения теории правильно: необходимость и состав мер защиты определяется на основе моделей угроз, нарушителей, оценки рисков, ущерба, активов и прочего.
Необходимость принятия правовых, организационных и технических мер по обеспечению безопасности персональных данных - это обязанность оператора, предусмотренная Федеральным законом. Вне зависимости от желания и возможностей организации.
Так вопрос был больше в том, распространяется ли эта обязанность и на обезличенные персональные данные, потому как в последнее время стали появляться достаточно странные мнения. Например, Германович Александр, представитель (а возможно и преподаватель) Учебного центра "ЦБИ" имеет такое: "с какого момента ИСПДн, в которой осуществляется обезличивание ПДн, перестает нуждаться в защите" (http://bis-expert.ru/blog/6569/43994). Похожие мнения есть и по предыдущей ссылке. Для меня такое утверждение спорно, если не сказать больше (а кому-то это даже возможно преподают). Но для руководства организаций это прекрасный повод "забить", особенной если ИТ-подразделение (в моем случае ИТ-интегратор) совместно с юристами выворачивают все именно под такую трактовку. И, к сожалению, теория тут не будет весомым доводом. Нужны требования НПА. Вопрос, ИМХО, скользкий и дискуссионный.
С уважением,
Константин Малахов.