Новое про обезличивание ПДн. Свойства и методики

Новое про обезличивание ПДн. Свойства и методики
В нем определены свойства обезличенных ПДн (полнота, структурированность, релевантность, семантическая целостность, применимость, анонимность),свойства методов обезличивания (обратимость, вариативность, изменяемость, стойкость, возможность косвенного деобезличивания, совместимость, параметрический объем, возможность оценки качества данных), обязательные требования к свойствам получаемых обезличенных данных (сохранение полноты, сохранение структурированности данных, сохранение семантической целостности данных, анонимность отдельных данных не ниже заданного уровня), обязательные требованиям к свойствам метода обезличивания (обратимость, возможность обеспечения заданного уровня анонимности, увеличение стойкости при увеличении объема данных), и самое интересное - "наиболее перспективные и удобные методы обезличивания":
  • метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
  • метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
  • метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
  • метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
Каждый метод рассмотрен с точки зрения обеспечения свойств обезличенных данных и свойств метода, даны некоторые рекомендации по его применению.

Это все конечно любопытно, но в целом бесполезно.
  1. Лишь редкие операторы ПДн используют обезличивание ПДн.
  2. В большинстве случаев, при использовании обезличивания ПДн придется существенно менять процессы и технологии обработки и систему защиты. При этом это не всегда целесообразно.
  3. Если обезличивание используют, то обычно применяют метод №1 (введение идентификатора). При этом даже не "заморачиваются" свойствами ПДн и метода, метод и так работает и, как мы видим, удовлетворяет требованиям. Т.е. документ и в этом случае опять ничего не дает нового полезного.
А вот чего я ждал, но не увидел в документе, так это критериев достаточности обезличивания. Т.е. достаточно ли просто убрать ФИО (или даже одну фамилию), чтобы стало "невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн"? А если при этом в системе остается номер паспорта, адрес и телефон... Да, в данном случае "без дополнительной информации" не определить "принадлежность ПДн конкретному субъекту ПДн", но это не всегда и надо, да и восстановить недостающее звено (в нашем пример - ФИО) при наличии дополнительных сведений довольно просто.
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире