Да простят меня дорогие читатели за долгое молчание, обещаю исправляться! Сегодня мне хотелось бы порассуждать на тему обезличивания персональных данных. В далеком 2009м году, когда действовало четверокнижие и операторы должны были аттестовывать/декларировать соответствие своих ИСПДн обезличивание было довольно популярным трендом. Эта процедура применялась для занижения реального класса информационной системы персональных данных. Допустим, универститет обрабатывает следующую информацию о студентах: ФИО, паспортные данные, данные об успеваемости, информация об оплате за обучение. База, которая содержит такую структурированную информацию позволяет не только однозначно идентифицировать личность студента, но и получить о нем дополнительную информацию, что означало 2ю категорию данных и класс системы не ниже третьего.
Находчивые операторы разделяли базу данных на две: первая содержала ФИО и идентификатор, вторая - идентификатор и всю остальную информацию. Обе системы объявлялись ИСПДн 4го класса, меры защиты которых оператор выбирает на свое усмотрение. Здесь можно поспорить и сказать, что паспортные данные все же позволяют однозначно идентифицировать личность и данные второй системы не ниже второй категории. К тому же присутствие в одной организации сразу двух этих баз делает возможным восстановление полной информации о каждом субъекте. Несмотря на многочисленные споры обезличивание в целях понижения класса активно применялось операторами, давайте посмотрим что полезного эта процедура может дать нам на сегодняшний день.
Остановимся на определении.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Как оценить степень "невозможности"? Попробуем найти ответ на этот вопрос в нормативном документе Роскомнадзора.
Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных"
В этом нормативном документе говорится об обезличенных (результат обезличивания) и обезличиваемых данных (исходные данные до процедуры обезличивания).
Далее содержание документа можно кратко представить в виде таблиц:
Таблица 1
Оценка свойств методов обезличивания
Оценка свойств методов обезличивания
| метод введения идентификаторов | метод изменения состава или семантики | метод декомпозиции | метод перемешивания | |
|---|---|---|---|---|
| обратимость | метод позволяет провести процедуру деобезличивания | метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных | метод позволяет провести процедуру деобезличивания | метод позволяет провести процедуру деобезличивания |
| вариативность | метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания | метод не позволяет изменять параметры метода без проведения предварительного деобезличивания | метод позволяет провести процедуру деобезличивания | метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания |
| изменяемость | метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания | метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания | метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания | метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания |
| стойкость | метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных | стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных | метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений | длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию |
| возможность косвенного деобезличивания | метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов | метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов | метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов | метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов |
| совместимость | метод позволяет интегрировать записи, соответствующие отдельным атрибутам | метод не обеспечивает интеграции с данными, обезличенными другими методами | метод обеспечивает интеграцию с данными, обезличенными другими методами | метод позволяет проводить интеграцию с данными, обезличенными другими методами |
| параметрический объем | объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию | параметры метода определяются набором правил изменения состава или семантики персональных данных | определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах | зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию |
| возможность оценки качества данных | метод позволяет проводить анализ качества обезличенных данных | метод не позволяет проводить анализ, использующий конкретные значения персональных данных | метод позволяет проводить анализ качества обезличенных данных | метод позволяет проводить анализ качества обезличенных данных |
