Новый приказ от Роскомнадзора по обезличиванию ПДн
Не так давно был введен в действие Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных». С его текстом можно ознакомиться по этой ссылке. Проведу небольшой анализ данного документа.
Теперь у нас определены основные свойства обезличенных ПДн:
Требования к методам обезличивания подразделяются на:
— требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
— требования к свойствам, которыми должен обладать метод обезличивания
К требованиям к свойствам получаемых обезличенных данных относятся:
— сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых ПДн);
— сохранение структурированности обезличиваемых ПДн;
— сохранение семантической целостности обезличиваемых ПДн;
— анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).
К требованиям к свойствам метода обезличивания относятся:
— обратимость (возможность проведения деобезличивания);
— возможность обеспечения заданного уровня анонимности;
— увеличение стойкости при увеличении объема обезличиваемых ПДн.
Затем нам предлагают использовать для обезличивания ПДн четыре «перспективных и удобным для практического применения» метода. Для удобства всю информацию о методах и их свойствах я представлю в следующей табличке:
№ |
Наименование метода и его суть |
Свойства обезличенных данных, которые обеспечивает данный метод |
Оценка основных свойств данного метода |
1 |
Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия | — полнота;- структурированность;
— семантическая целостность; — применимость |
— метод позволяет провести процедуру деобезличивания;- метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания;
— метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов; — метод не исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов |
2 |
Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта | — структурированность;- релевантность;
— применимость; — анонимность |
— метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных;- метод не позволяет изменять параметры метода без проведения предварительного деобезличивания;
— метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; — стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных; — метод исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов |
3 |
Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам | — полнота;- структурированность;
— релевантность; — семантическая целостность; — применимость |
— метод позволяет провести процедуру деобезличивания;- метод позволяет изменить параметры декомпозиции без предварительного деобезличивания;
— метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; — метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений; — метод не исключает возможность деобезличивания с использованием ПДн, имеющихся у других операторов |
4 |
Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой | — полнота;- структурированность;
— релевантность; — семантическая целостность; — применимость; — анонимность |
— метод позволяет провести процедуру деобезличивания;- метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания;
— метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания; — длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию; — метод исключает возможность проведения деобезличивания с использованием ПДн, имеющихся у других операторов |
В целом приказ на редкость бесполезен, думаю, что большая часть операторов пользуется первым методом обезличивания ПДн и особо не заморачивается со свойствами обезличенных ПДн и требованиями к методам обезличивания. Хотелось бы в приказе увидеть побольше конкретики. Например, есть в одной таблице следующие ПДн субъекта: ФИО, СНИЛС, адрес регистрации. Убираем ФИО и адрес регистрации, остается только СНИЛС. Вот как рассматривать данный состав ПДн? С одной стороны по СНИЛС можно однозначно идентифицировать субъекта ПДн (один СНИЛС соотносится с одним субъектом ПДн), а с другой стороны мало кто обладает базой данных СНИЛС всех граждан РФ. То есть для большинства этот состав данных является обезличенным, и «становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн». Спорная ситуация, рассматривать и трактовать можно по-разному.
Согласен. Непонятно, зачем приводить каталог свойств, способов, методов, если при этом нет никаких рекомендаций, требований или примеров.
От 5 сентября 2013 года.
Опубликовано: 18 сентября 2013 г.
Спасибо, исправила!