Зарегистрирован в Минюсте РФ 10 сентября 2013 г.
Регистрационный N 29935
В соответствии с подпунктом «з» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626), приказываю:
1. Утвердить прилагаемые требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.
2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.
Руководитель А. Жаров
Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ
1. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее — Требования и методы) разработаны в соответствии с подпунктом «з» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст. 1626).
3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
4. К свойствам обезличенных данных относятся:
полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
семантическая целостность (сохранение семантики персональных данных при их обезличивании);
применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее — оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
5. К характеристикам (свойствам) методов обезличивания персональных данных (далее — методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
совместимость (возможность интеграции персональных данных, обезличенных различными методами);
параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
6. Требования к методам обезличивания подразделяются на:
требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
требования к свойствам, которыми должен обладать метод обезличивания.
7. К требованиям к свойствам получаемых обезличенных данных относятся:
сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
сохранение структурированности обезличиваемых персональных данных;
сохранение семантической целостности обезличиваемых персональных данных;
анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).
8. К требованиям к свойствам метода обезличивания относятся:
обратимость (возможность проведения деобезличивания);
возможность обеспечения заданного уровня анонимности;
увеличение стойкости при увеличении объема обезличиваемых персональных данных.
9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.
10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Метод обеспечивает следующие свойства обезличенных данных:
полнота;
структурированность;
семантическая целостность;
применимость.
Оценка свойств метода:
обратимость (метод позволяет провести процедуру деобезличивания);
вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
Метод обеспечивает следующие свойства обезличенных данных:
структурированность;
релевантность;
применимость;
анонимность.
Оценка свойств метода:
обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
Метод обеспечивает следующие свойства обезличенных данных:
полнота;
структурированность;
релевантность;
семантическая целостность;
применимость.
Оценка свойств метода:
обратимость (метод позволяет провести процедуру деобезличивания);
вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
15. Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой.
Метод обеспечивает следующие свойства обезличенных данных:
полнота;
структурированность;
релевантность;
семантическая целостность;
применимость;
анонимность.
Оценка свойств метода:
обратимость (метод позволяет провести процедуру деобезличивания);
вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
Согласно определения, данного в ФЗ «О персональных данных» от 26.07.2006 г. №152, обезличивание – это способ обработки ПД, в результате которого в обработанных ПД нельзя идентифицировать физическое лицо, которому эти данные принадлежат. Но есть еще одно важное требование, не упомянутое в законе, — такая обработка ПД должна быть обратимой, иначе это будет просто потеря информации.
А зачем нужно обезличивать ПД? Чтобы сэкономить деньги на их защите – ведь согласно классификации (Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г., № 55/86/20) обезличенные ПД – это 4-й класс защищенности, не требующий защиты конфиденциальности.
Поэтому давайте разберемся, что значит идентифицировать. Идентификация любого объекта – это отождествление, т.е. доказательство однозначного соответствия имеющейся информации об объекте самому этому объекту. Это теоретически возможно если:
1. Все объекты уникальны в рамках имеющейся информации
(все люди разные — задача имеет не более одного решения);
2. Есть хотя бы один человек, обладающий каждым набором имеющихся реквизитов
(вся информация подлинная — задача имеет не менее одного решения).
А что значит можно и нельзя идентифицировать? К сожалению, здесь без количественной оценки вероятности никак не обойтись, а это вопрос строго нормативный, и к сожалению никак не решен. Поэтому для понимания мы примем, что если данному набору ПД соответствует малое количество лиц, которые легко локализуются для дальнейшего уточнения, то это значит — можно идентифицировать. И наоборот, если локализовать этих людей нельзя, то и идентифицировать человека по этим ПД нельзя. Понятно, что многое будет зависеть от того, кто занимается локализацией. Поэтому будем считать, что обезличивание — это способ защиты ПД от нарушителя, а не способ сокрытия информации от официальных органов. Т.е. для повышения вероятности идентификации будут использованы лишь общедоступные источники и средства.
Допустим, не удалось доказать, что данный набор ПД принадлежит (принадлежал ранее) только одному лицу. А какие еще возможны варианты? Их два – либо данный набор может принадлежать более, чем одному лицу, либо – менее, чем одному, т.е. никому.
К первому случаю относится любой недостаточный набор ПД (ПД могут принадлежать многим людям одновременно, например, имя или дата рождения) или избыточный набор ПД (например, специально указаны два имени), и здесь очень важно, сколько именно потенциальных субъектов, и чем ограничена эта группа людей (например, человека легче найти по имени, если известно, что это работник предприятия – не надо забывать, что свойства самого набора ПД – это тоже информация!).
Ко второму случаю относятся искаженные ПД (кодировка, маскировка, криптография и т.п.), и здесь возможность идентификации зависит только от степени искажения.
Таким образом, если мы найдем и технически реализуем способ обработки, который приведет ПД к описанным случаям, то значит – мы обезличили ПД. Найти такие способы несложно – можно например их взять из стандарта США NIST SP 800-122 (название можно перевести как «Способы защиты конфиденциальности ПД»). Но официально он у нас не принят, поэтому перейдем сразу к рассмотрению технической реализации.
Начнем со второго случая, как наиболее очевидного. Использование любого вида искажения, основанного на секрете алгоритма (перестановка букв, их замена, добавление помех и т.п.) полезно лишь для кратковременной обработки (передача информации), но не для постоянного хранения. Алгоритм часто известен третьим лицам (реализуется сторонним производителем ПО), что повышает вероятность компрометации. Что касается криптографии – тут все зависит от секретности ключа, т.е. достаточно надежно, но применение этого способа порождает много организационных проблем (обязательность использования сертифицированных средств защиты, получения лицензии ФСБ и т.д.).
Первый случай гораздо интересней из-за своей неочевидности. Неочевидность состоит как раз в реализации обратимости. Очень легко можно сделать набор ПД и недостаточным и избыточным – убрать часть данных или добавить лишние, но убранное нельзя выбросить – придется его поместить в другое место, которое не будет доступно одновременно (ни на каком рабочем месте) с оставшимся набором ПД. Если же ПД добавлены, то в недоступное место должна быть спрятана информация об этой разнице.
В стандарте NIST SP 800-122 этот способ указан, как «разделение баз данных с использованием перекрестных ссылок». Такое разделение используется повсеместно при работе с любыми базами данных, но там не стоит задача обезличивания, поэтому базы хоть и разделены в разные хранилища, но имеют логическую связь и потому обрабатываются одновременно.
Посмотрим, что нам даст для обезличивания метод перекрестных ссылок. Для этого разделим ПД радикально – в одну базу выделим все идентифицирующие реквизиты (ФИО, дату и место рождения, адрес и телефон, паспорт и т.п.) – пусть это будет справочник физических лиц (по классификации – 3-й класс), в другой базе будет все остальное (обезличенные ПД — 4-й класс). При этом обезличенная база будет общедоступной (в т.ч. через Интернет), а база-справочник должна быть защищена от несанкционированного доступа. Утечка информации произойдет, только если злоумышленник получит базу-справочник и сможет состыковать ее с обезличенной базой. Мы должны эту возможность исключить. Но такая же стыковка нужна оператору ИСПДн для обработки ПД. Как он ее обеспечит?
Стыковка (сопоставление) этих баз для реализации обратимости должна производиться по некому коду (идентификатору) – уникальному, но абсолютно абстрактному (нельзя использовать номера документов человека – эти реквизиты будут в справочнике). Суть стыковки состоит в сравнении идентификатора из одной базы с идентификатором другой базы – когда они одинаковы, значит, информация двух баз состыкована. Если сравнение производится на рабочем месте справочной ИСПДн, то здесь обезличенная база может быть доступна (доступность будет односторонняя, и при этом класс ИСПДн будет выше 3-го), но если сравнение производится на рабочем месте обезличенной ИСПДн, то база-справочник на этом месте недоступна, и в этом случае идентификатор из справочника может попасть в обезличенную базу только через внешний носитель. При этом внешний носитель не должен иметь реальных реквизитов того человека, код которого в нем записан. Хотя может иметь абстрактные признаки (цвет, рисунок и т.п.).
Для того, чтобы человека можно было обслуживать в рамках обезличенной базы, он должен каждый раз предъявлять этот самый внешний носитель, т.е. постоянно носить его с собой. При этом внешний носитель может иметь любую природу (бумажный, пластиковый, металлический), а абстрактные признаки носителя будут понятны только хозяину и позволят легко отличить свой носитель от чужих.
Такой способ обезличивания кажется настолько простым, что возникают сомнения в его эффективности и надежности. Насколько уменьшатся затраты на создание системы защиты с использованием обезличивания? Что будет, если человек потеряет этот носитель, или его украдут с целью получения доступа к ПД хозяина? Подобные вопросы возникают, и наверняка будут возникать, но это не может служить причиной для отказа от новых технологий, а только поводом для дальнейшего их совершенствования.
Несмотря на остроту проблемы и простоту реализации, данный способ использования внешних носителей в процессе обезличивания ПД был запатентован только в апреле 2011 года нашей организацией (патент №103414).