понедельник, 3 марта 2014 г.

Маска, я тебя знаю (Intro) - Приказ Роскомнадзора от 5 сентября 2013 № 996

Да простят меня дорогие читатели за долгое молчание, обещаю исправляться! Сегодня мне хотелось бы порассуждать на тему обезличивания персональных данных. В далеком 2009м году, когда действовало четверокнижие и операторы должны были аттестовывать/декларировать соответствие своих ИСПДн обезличивание было довольно популярным трендом. Эта процедура применялась для занижения реального класса информационной системы персональных данных. Допустим, универститет обрабатывает следующую информацию о студентах: ФИО, паспортные данные, данные об успеваемости, информация об оплате за обучение. База, которая содержит такую структурированную информацию позволяет не только однозначно идентифицировать личность студента, но и получить о нем дополнительную информацию, что означало 2ю категорию данных и класс системы не ниже третьего. 
Находчивые операторы разделяли базу данных на две: первая содержала ФИО и идентификатор, вторая - идентификатор и всю остальную информацию. Обе системы объявлялись ИСПДн 4го класса, меры защиты которых оператор выбирает на свое усмотрение. Здесь можно поспорить и сказать, что паспортные данные все же позволяют однозначно идентифицировать личность и данные второй системы не ниже второй категории. К тому же присутствие в одной организации сразу двух этих баз делает возможным восстановление полной информации о каждом субъекте. Несмотря на многочисленные споры обезличивание в целях понижения класса активно применялось операторами, давайте посмотрим что полезного эта процедура может дать нам на сегодняшний день.
Остановимся на определении.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Как оценить степень "невозможности"? Попробуем найти ответ на этот вопрос в нормативном документе Роскомнадзора.

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"

В этом нормативном документе говорится об обезличенных (результат обезличивания) и обезличиваемых данных (исходные данные до процедуры обезличивания). 

Далее содержание документа можно кратко представить в виде таблиц:

Таблица 1
Оценка свойств методов обезличивания




метод введения идентификаторовметод изменения состава или семантики метод декомпозицииметод перемешивания
обратимостьметод позволяет провести процедуру деобезличиванияметод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данныхметод позволяет провести процедуру деобезличиванияметод позволяет провести процедуру деобезличивания
вариативностьметод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличиванияметод не позволяет изменять параметры метода без проведения предварительного деобезличиванияметод позволяет провести процедуру деобезличиванияметод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания
изменяемостьметод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличиванияметод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличиванияметод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличиванияметод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания
стойкостьметод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данныхстойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данныхметод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведенийдлина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию
возможность косвенного деобезличиванияметод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторовметод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторовметод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторовметод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов
совместимостьметод позволяет интегрировать записи, соответствующие отдельным атрибутамметод не обеспечивает интеграции с данными, обезличенными другими методамиметод обеспечивает интеграцию с данными, обезличенными другими методамиметод позволяет проводить интеграцию с данными, обезличенными другими методами
параметрический объемобъем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиваниюпараметры метода определяются набором правил изменения состава или семантики персональных данныхопределяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищахзависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию
возможность оценки качества данныхметод позволяет проводить анализ качества обезличенных данныхметод не позволяет проводить анализ, использующий конкретные значения персональных данныхметод позволяет проводить анализ качества обезличенных данныхметод позволяет проводить анализ качества обезличенных данных