7 апреля 2015 г. NISTопубликовал проект отчета по обезличиванию ПДн ( NIST Draft NISTIR 8053 , De-Identification of Personally Identifiable Information, далее – документ NIST)
Документ NISTописывает терминологию, процессы и процедуры обезличивания ПД и является результатом обследования различных техник обезличивания ПДн из электронных ресурсов.
Для сравнения в качестве результатов аналитической работы по запросу РКН явились " Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013, далее - МД РКН)
В документе NISTрассматриваются ситуации, когда оператору требуется выгружать / передавать ПДн из ИСПДн и при этом необходимо обеспечивать безопасность ПДн. Обезличивание (de-identification) рассматривается как один из путей выполнения данной задачи. Давайте посмотрим на наиболее интересные положения документа.
Аксиома: чем более сильные техники обезличивания применяются тем менее полезными (utility) получаются данные.
Если после обезличивания данные обладают хоть какой-то полезностью, то есть вероятная возможность связать получившиеся данные с исходных субъектом ПДн. Поиск связей между обезличенными данными и субъектами ПДн - деобезличивание (re-identification). Если попытки такого поиска несанкционированные – то процесс называется атакой на обезличивание (re-identification attacks)
Далее в документе NISTуделяется большое внимание атакам на обезличивание, слабостям различных техник обезличивания, приводятся примеры инцидентов, в которых по обезличенным данным были определены субъекты ПДн. В отличие от этого, в МД РКН нет информации о слабостях методов обезличивания и указаний оценивать эффективность обезличивания и т.п.
Документ NIST при анализе угроз / рисков обезличивания (re-identification risk) предлагает рассматривать:
· риск деобезличивания некоторых субъектов ПДн (prosecutor scenario)
· риск деобезличивания любого из субъектов ПДн (journalist scenario)
· риск деобезличивания некоторого процента субъектов ПДн
· угрозу восстановления удаленных данных, позволяющих напрямую идентифицировать субъекта ПДн (linkage attack) – восстановление выполняется путем сравнения общедоступных ПДн с обезличенными данными
В документе NISTрассматриваются следующие методы обезличивания:
· (Removal of Direct Identifiers) удаление части ПДн, позволяющих напрямую идентифицировать субъекта ПДн (Direct Identifiers, ISO/TS 25237:2008) – данных которые позволяют идентифицировать субъекта ПДн без применения дополнительной информации
· (De-identificationofQuasi-Identifiers) обезличивание псевдо-индентификаторов – данных, которые не позволяют идентифицировать субъекта ПДн без применения дополнительной информации, но при объединении с некоторым другими известными наборами ПДн (общедоступными ПДн или базами данного оператора) позволяют идентифицировать субъекта ПДн.
o (Suppression) удаление псевдо-индентификаторов
o (Generalization) замена псевдо-индентификаторов на некоторый обобщенный диапазон (например, “возраст = 33 года” на “возраст в диапазоне между 30 и 40”)
o (Swapping) перестановка псевдо-индентификаторов между записями различных субъектов ПДн
o (Sub-sampling) замена псевдо-индентификаторов на более общие (например, вместо “номера телефона” – “последние 4 цифры номера телефона”, вместо “дата рождения” – “год рождения”)
Предлагается использовать следующий 11 этапный процесс обезличивания (авторы El Emam и Malin):
· Этап 1: Определяем часть ПДн, позволяющая напрямую идентифицировать субъекта ПДн (directidentifiers)
· Этап 2: Удаляем их или заменяем на условные идентификаторы
· Этап 3: Выполняем моделирование угроз, определяем актуальные типы нарушителей, определяем массивы данных, которые могут быть доступны нарушителям и которые совместно с псевдо-индентификаторами позволят определить субъекта ПДн
· Этап 4: Определяем минимально достаточный объем ПДн / полезность выгрузки (utility), определяем на сколько сильно могут быть обезличены ПДн
· Step5: Определяем приемлемый уровень риска разглашения ПДн
· Step6: В ручную выгрузить тестовую выборку ПДн
· Step7: Оценить риск деобезличивания ПДн
· Step8: Сравнить актуальный риски и приемлемый риск.
· Step9: Если актуальный риск ниже приемлемого, внедрить метод обезличивания . Если актуальный риск выше приемлемого, подобрать другой метод обезличивания
· Step10: Проверить реализацию метода обезличивания, убедиться что деобезличивание всё ещё невозможно
· Step11: Разрешить выгрузку данных и задокументировать применяемый метод обезличивания
В документе NISTрассматриваются отдельно рассматриваются методы обезличивания ПДн в формах отличных об БД, например:
· ПДн в тексте
· ПДн в изображениях
· Биометрические ПДн
· ПДн местоположения, координаты, расположение на картах
В целом могу отметить что документ NISTболее ориентирован на ситуации экспорта / выгрузки ПДн и носит более практический характер (схемы, примеры, ссылки на инциденты, ссылки на исследования стойкости методов обезличивания, разбор актуальных ситуаций) по сравнению с МД РКН, который более ориентирован на обезличивание ПДн для обработки внутри ИСПДн, и имеет более теоретический характер.
PS: другой документ NIST по этой теме Special Publication 800-122 guide to protecting the confidentiality of personally identifiable information (pii)