22 Апреля, 2014

Надо ли защищать конфиденциальность обезличенных ПДн? Надо!

Andrey Prozorov
Что-то в последнее время стало модно подменять понятие "защищенные ПДн" термином "обезличенные ПДн". Типа если ПДн обезличены, то и защищать их не надо (ну, или не надо защищать их "конфиденциальность"). А точнее, что если ПДн обезличены, то можно не выполнять многие требования ФСТЭК России по безопасности ПДн, а значит существенно снизить нагрузку (в том числе и денежную) на операторов ПДн. Ох, как это не верно и даже опасно. Ведь такие мысли создают ошибочное чувство защищенности...

Поясню.

Мысль номер раз. Про возможность отказа от мер защиты

Сейчас про обезличивание ПДн написано не много. Начнем со 152-ФЗ. Главное, что в нем определен термин:
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
В ст.5 п.7 говорится:
"Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом."
Еще есть небольшое упоминание в ст.6 "Условия обработки ПДн"
"1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
...
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;"
Все, больше в 152-ФЗ нет ничего про обезличивание. Кстати, ничего не сказано про обезличивание и в Постановлении Правительства №1119 . А в Приказе ФСТЭК России №21  обезличивание упоминается только один раз в мере ЗНИ.8 "Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания" (базовая мера для УЗ 1-3).

Это я к тому, что на данный момент наличие обезличивания ПДн не является обоснованием того, что можно не выполнять какие-либо меры защиты. Но это скоро поправят. Напомню, что в проекте изменений 152-ФЗ, про который я уже упоминал , есть интересное положение. А именно, хотят дополнить ст.7 152-ФЗ (которая про конфиденциальность ПДн) следующим положением:
2. Обеспечение конфиденциальностиперсональных данных не требуетсявотношении персональных данных, сделанных общедоступными субъектом персональных данных, в отношении данных, полученных оператором в результате обезличиванияперсональных данных, а также в отношении персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Вот тогда-то мы и сможем "официально" отказываться от мер по защите "конфиденциальности" ПДн. Правда меры по защите "целостности" и "доступности" ни кто не отменял, но это другая история.

Мысль номер два. Про защиту конфиденциальности

Еще у нас есть замечательныедокументы РКН:
  • Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (Зарегистрировано в Минюсте России 10.09.2013 N 29935)
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013)
Посмотрим их поподробнее. Начнем с Приказа №996, он короткий (всего 5 страниц).

Сразу видим "Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки." (т.е. защита "конфиденциальности" уже вроде как подразумевается).

Ну, ок. Читаем дальше: "К характеристикам (свойствам) методов обезличивания персональных данных относится ... стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных). Можем ли мы считать этот параметр "ответственным" за обеспечение конфиденциальности обезличенных ПДн? Скорее да... При этом все представленные методы обезличивания обладают "стойкостью" (с некоторыми мелкими допущениями).

А "Рекомендации" уже интереснее... В них на 17 страницах описаны конкретные процедуры и рекомендации по использованию методов обезличивания, а также приведены примеры обезличенных данных. Кстати, в документе вместо параметра "стойкость" стали использовать термин "анонимность" (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации). Ну, это уже мелочи, хотя и про защиту "конфиденциальности".

В документе говорится, что "При хранении обезличенных данных Оператору следует: ...обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.". Про то, что следует обеспечивать "конфиденциальность" обезличенных данных нет ни слова. Вроде как предполагается, что это делать не надо. И это главная методологическая ошибка!!!

Чтобы это понять, достаточно просто взять примеры из приложения к документу. Напомню, что там представлена первоначальная таблица с ПДн и итоговые таблицы с обезличенными ПДн после преобразования.






Обратите внимание, что при нарушении "конфиденциальности" итоговых таблиц с обезличенными ПДн, вреда для конечного субъекта ПДн не будет лишь в случае использования второго метода (изменения состава или семантики). Во всех остальных (особенно первого и третьего метода) ущерб для конечного пользователя может быть очень велик. Злоумышленникам не надо знать ФИО субъекта, ведь, имея адрес, диагноз и телефон, уже можно предлагать некачественные лекарства, нетрадиционные методы медицины, шантажировать обещаниями рассказать о диагнозе "ВИЧ" друзьям и коллегам, ну и многое другое... И это очень страшно, ведь обезличенные ПДн, как мы с вами уже обсудили, не особо и собираются защищать. И в этом вся проблема...

Да, я понимаю, что в некоторых случаях обезличенные ПДн не надо защищать, но много ли их? 

Итого
Обезличивание ПДн не панацея, защищать их скорее всего придется. При этом общие затраты на организацию обработки и защиту, вероятно, будут выше чем при классическом "необезличенном" подходе. Хотя это надо считать для каждого конкретного случая.


P.S. Еще можно почитать:
или введите имя

CAPTCHA
Михаил Емельянников
22 Апреля, 2014
Андрей, смелый вывод. Особенно учитывая, что в цитируемой Вами статье 5 закона обезличивание приравнивается к уничтожению. И еще большой вопрос, являются ли данные после обезличивания персональными вообще. Термин "обезличенные персональные данные" закон не использует.
0 |
Михаил Новокрещенов
22 Апреля, 2014
По поводу необходимости обеспечения конфиденциальности персональных данных. В идеале, когда выставлялся тендер по разработке методологии обезличивания персональных данных для РКН, я лично ожидал от исполнителя не просто описания (списания) того, какие методы можно использовать и какими характеристиками каждый метод обладает, но конкретной методики с формулами, коэффициентами, на основе которых оператор мог бы точно понимать, что применяя такой-то метод обезличивания с персональными данными такой-то категории, обезличенные персональные данные или полностью теряют аспект конфиденциальности или создают условия, при которых либо их категория может быть понижена, либо понижен уровень защищенности ИСПДн. Но этого не произошло. Сейчас, судя по проекту изменений, все идет к тому, что обезличенные персональные данные конфиденциальностью с точки зрения защиты ПЕРСОНАЛЬНЫХ ДАННЫХ обладать не будут. В этой ситуации, обеспечивать конфиденциальность обезличенных персональных данных можно (если это действительно будет нужно) уже как, например, коммерческую тайну.
0 |
Михаил Емельянников
22 Апреля, 2014
Если закон считает, что уничтожение (т.е. действия, делающие обработку персданных невозможной) и обезличивание - равно допустимые действия, к тому же произвольно выбираемые оператором, не вижу оснований считать, что данные после обезличивания прямо или косвенно соотносятся с субъектом.Да, формулировка та еще. Но уж как есть.
0 |
Артем Агеев
23 Апреля, 2014
Персональные данные - информация, относящаяся к определенному лицу. Обезличенные данные - информация, в отношении которой невозможно определить принадлежность конкретному лицу. Два непересекающихся множества. PS нигде в нормативке не встретишь фразы "обезличенные ПДн". Только "обезличенные данные"
0 |
StepIS
23 Апреля, 2014
Андрей, согласен со многим выводами с небольшими уточнениями: 1) Как уже писали выше, уничтожение и обезличивание приравниваются законом и означают прекращение обработки ПДн. Уничтоженные данные мы же защищать не должны. Только обезличивание нужно провести корректно. 2) Думается, не нужно забывать об оценке вреда субъекту ПДн. Т.е. должна работать следующая схема: а) обезличивание ПДн, б) любая информация прямо или косвенно относящаяся, в) проверяем есть ли ущерб субъекту, г) делаем выводы о корректности процедуры обезличивания. 3) Приведенные примеры действительно не совсем корректны и это свидетельствует о не верных методах обезличивания. Знаю много случаев когда обезличивание полезно. 4) Ну и само собой целостность и доступность никуда не пропадают, только при правильной процедуре обезличивания ПДн становятся обезличенными ДАННЫМИ и защищать их можно не по 152-ФЗ.
0 |
Andrey Prozorov
23 Апреля, 2014
1) да, надо проводить корректно и правильно выбирать метод обезличивания 2) оценка вреда субъекту - очень правильная мысль, но на нее нет указания в рекомендациях РКН. Поэтому многие забывают/забивают/не знают. 3) Да, но пример не мой, а РКН. )) Привести случаи правильного использования обезличивания можно вполне привести, они есть. 4) Термин "обезличивание данных" не используется сейчас, слово "персональных" ни куда не девается. Надо править ФЗ
0 |
17 Мая, 2014
Андрей, у меня в голове крутится несколько вопросов касательно обезличивания персональных данных и их защиты и очень неоднозначные ответы на них. Решил их адресовать именно Вам, т.к. во всем интернете только у Вас адекватные и логичные выводы и заключения касательно спорных и неоднозначных для понимания моментов, которые присутствуют в законодательстве касающегося защиты персональных данных, надеюсь что Вы поможете мне разобраться. Ситуация: имеем процессинг в банке, банкомат, карту, клиента. Когда клиент через банкомат работает с картой, в зашифрованном виде информация о транзакции, включая PAN карты передается в процессинг. Шифрование - 3 DES, ключи хранятся на НЕсертифицированном ФСБ HSM. Так вот вопросы: PAN карты - это ведь информация, которая прямо относится к конкретному субъекту, по этой информации можно однозначно определить владельца-держателя карты, получается что эта информация является персональными данными. Ведь «персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Либо это обезличенные данные? А корректно вообще использовать термин "обезличенные персональные данные"? такого термина я не встретил в 152 ФЗ, как Вы написали выше, там сказано только про термин «обезличивание»: «обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;» Все нормативные документы уважаемого регулятора ФСБ пестрят одной общей мыслью – если для защиты Персональных данных уж решили использовать СКЗИ, то СКЗИ должна быть сертифицированной. Вот и главный итоговый вопрос, который меня мучает: Раз уж в процессе выполнения транзакции мы применяем шифрование передаваемой информации, содержащей PAN карты клиента, то должны ли мы использовать для шифрования передаваемой информации сертифицированную криптографию для защиты? Ведь PAN – это получается персональные данные, даже если и обезличенные, ведь в своем блоге Вы вполне корректно обосновали что защиту пускай даже обезличенных данных в соответствии с требованиями регуляторов никто не отменял. Или я ошибаюсь в чем то?...Или надо дождаться новой версии ФЗ и PAN можно будет отнести к обезличенным перс.данным (что врядли на мой взгляд) и не использовать для защиты сертифицированную криптографию? Вот что делать?? ((((
0 |
Проще = дешевле для бизнеса. из реферата — первоначальный источник, а не ФС по надзору...
0 |