среда, 26 марта 2014 г.

Маска, я тебя знаю (Part 2) - Приказ Роскомнадзора от 5 сентября 2013 № 996

Начало. Ссылка.
Часть 1. Ссылка.

Итак, в предыдущих частях моего опуса мы ознакомились с определением обезличенных данных, свойствами методов и обезличенных данных, получаемых в результате применения методов.
Остановимся подробнее на обязательных требованиях.
Требования к свойствам получаемых обезличенных данных:
1. Сохранение полноты.
2. Сохранение структурированности.
3. Сохранение семантической целостности.
4. Анонимность.
Требования к свойствам метода обезличивания:
1. Обратимость.
2. Поддержание заданного уровня анонимности.
3. Увеличение стойкости при увеличении объема данных.

Более точные формулировки ищите в нормативном акте, я пытаюсь передать краткую суть, честно говоря, написан документ очень сложным языком, поэтому все же пытаюсь рассказать своими словами и поменьше цитировать.

Давайте проведем оценку Методов и Обезличенных данных, которые получаются при применении методов (прямо дом, который построил Джек). Результаты представлены в двух маленьких табличках.

Таблица 3. Оценка свойств данных (если кто не помнит, Таблицы 1 и 2 были в предыдущих постах).

Полнота
Структурированность
Семантическая целостность
Анонимность
Метод введения идентификаторов
+
+
+
-
Метод изменения состава или семантики

-
+
-
+
Метод декомпозиции

+
+
+
-
Метод перемешивания

+
+
+
+

Таблица 4. Оценка свойств методов.

Обратимость
Поддержание заданного уровня анонимности
Увеличение стойкости от объема
Метод введения идентификаторов
+
-
-
Метод изменения состава или семантики

-
+
-
Метод декомпозиции

+
-
-
Метод перемешивания

+
+
+

Как мы видим, явным лидером по всем показателям является метод перемешивания.

вторник, 25 марта 2014 г.

Маска, я тебя знаю (Part 1) - Приказ Роскомнадзора от 5 сентября 2013 № 996

Начало - Ссылка.
Как указано в Приказе требования к методам бывают двух видов - требования к свойствам обезличенных данных, получаемых после применения метода и требования к свойствам самого метода. Честно признаюсь, поняла эту фразу не с первого прочтения, да и сейчас полной уверенности все-таки нет :) Прежде чем поговорить о Требованиях, давайте до конца разберемся со Свойствами.
В таблице 1 были описаны свойства методов, теперь остановимся на свойствах обезличенных данных.
Таблица 2
Оценка свойств обезличенных данных

Метод введения идентификаторов
Метод изменения состава или семантики
Метод декомпозиции
Метод перемешивания
полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания)


+
 -
+
+
структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания)
+
+
+
+
релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме)
 -
+
+
+
семантическая целостность (сохранение семантики персональных данных при их обезличивании)
+
 -
+
+
применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
+
+
+
+
анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
 -
+
 -
+


понедельник, 3 марта 2014 г.

Маска, я тебя знаю (Intro) - Приказ Роскомнадзора от 5 сентября 2013 № 996

Да простят меня дорогие читатели за долгое молчание, обещаю исправляться! Сегодня мне хотелось бы порассуждать на тему обезличивания персональных данных. В далеком 2009м году, когда действовало четверокнижие и операторы должны были аттестовывать/декларировать соответствие своих ИСПДн обезличивание было довольно популярным трендом. Эта процедура применялась для занижения реального класса информационной системы персональных данных. Допустим, универститет обрабатывает следующую информацию о студентах: ФИО, паспортные данные, данные об успеваемости, информация об оплате за обучение. База, которая содержит такую структурированную информацию позволяет не только однозначно идентифицировать личность студента, но и получить о нем дополнительную информацию, что означало 2ю категорию данных и класс системы не ниже третьего. 
Находчивые операторы разделяли базу данных на две: первая содержала ФИО и идентификатор, вторая - идентификатор и всю остальную информацию. Обе системы объявлялись ИСПДн 4го класса, меры защиты которых оператор выбирает на свое усмотрение. Здесь можно поспорить и сказать, что паспортные данные все же позволяют однозначно идентифицировать личность и данные второй системы не ниже второй категории. К тому же присутствие в одной организации сразу двух этих баз делает возможным восстановление полной информации о каждом субъекте. Несмотря на многочисленные споры обезличивание в целях понижения класса активно применялось операторами, давайте посмотрим что полезного эта процедура может дать нам на сегодняшний день.
Остановимся на определении.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Как оценить степень "невозможности"? Попробуем найти ответ на этот вопрос в нормативном документе Роскомнадзора.

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"

В этом нормативном документе говорится об обезличенных (результат обезличивания) и обезличиваемых данных (исходные данные до процедуры обезличивания). 

Далее содержание документа можно кратко представить в виде таблиц:

Таблица 1
Оценка свойств методов обезличивания




метод введения идентификаторовметод изменения состава или семантики метод декомпозицииметод перемешивания
обратимостьметод позволяет провести процедуру деобезличиванияметод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данныхметод позволяет провести процедуру деобезличиванияметод позволяет провести процедуру деобезличивания
вариативностьметод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличиванияметод не позволяет изменять параметры метода без проведения предварительного деобезличиванияметод позволяет провести процедуру деобезличиванияметод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания
изменяемостьметод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличиванияметод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличиванияметод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличиванияметод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания
стойкостьметод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данныхстойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данныхметод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведенийдлина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию
возможность косвенного деобезличиванияметод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторовметод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторовметод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторовметод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов
совместимостьметод позволяет интегрировать записи, соответствующие отдельным атрибутамметод не обеспечивает интеграции с данными, обезличенными другими методамиметод обеспечивает интеграцию с данными, обезличенными другими методамиметод позволяет проводить интеграцию с данными, обезличенными другими методами
параметрический объемобъем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиваниюпараметры метода определяются набором правил изменения состава или семантики персональных данныхопределяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищахзависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию
возможность оценки качества данныхметод позволяет проводить анализ качества обезличенных данныхметод не позволяет проводить анализ, использующий конкретные значения персональных данныхметод позволяет проводить анализ качества обезличенных данныхметод позволяет проводить анализ качества обезличенных данных