Приказ Государственной службы связи Приднестровской Молдавской Республики
Об утверждении Требований и методов по обезличиванию персональных данных и Порядка реализации требований и методов по обезличиванию персональных данных
Согласован:
Министерство государственной безопасности
Зарегистрирован Министерством юстиции
Приднестровской Молдавской Республики 27 апреля 2017 г.
Регистрационный № 7814
В соответствии с Законом Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-З-IV «О персональных данных» (САЗ 10-15) с изменениями и дополнениями, внесенными законами Приднестровской Молдавской Республики от 5 декабря 2013 года № 257-ЗИД-V (САЗ 13-48), от 21 января 2014 года № 19-ЗИ-V (САЗ 14-4), Постановлением Правительства Приднестровской Молдавской Республики от 1 апреля 2014 года № 91 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом Приднестровской Молдавской Республики «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися органами государственной власти и управления и органами местного самоуправления» (САЗ 14-14), Постановлением Правительства Приднестровской Молдавской Республики от 12 мая 2016 года № 101 «Об утверждении Положения, структуры и предельной штатной численности Государственной службы связи Приднестровской Молдавской Республики» (САЗ 16-20) с изменениями, внесенными Постановлением Правительства Приднестровской Молдавской Республики от 3 ноября 2016 года № 284 (CАЗ 16-44), приказываю:
1. Утвердить требования и методы по обезличиванию персональных данных (Приложение № 1).
2. Утвердить Порядок реализации требований и методов по обезличиванию персональных данных (Приложение № 2)
3. Направить настоящий Приказ на государственную регистрацию и официальное опубликование в Министерство юстиции Приднестровской Молдавской Республики.
4. Настоящий Приказ вступает в силу со дня, следующего за днем его официального опубликования.
Начальник Р. Кураш
г. Тирасполь
3 февраля 2017 г.
№ 14
Приложение № 1
к Приказу Государственной службы связи
Приднестровской Молдавской Республики
от 3 февраля 2017 года № 14
Требования и методы
по обезличиванию персональных данных
1. Общие положения
1. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации государственных целевых программ (далее - Требования и методы) разработаны в соответствии с подпунктом з) пункта 1 Приложения к Постановлению Правительства Приднестровской Молдавской Республики от 1 апреля 2014 года № 91 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом Приднестровской Молдавской Республики «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися органами государственной власти и управления и органами местного самоуправления» (САЗ 14-14).
2. В соответствии с пунктом и) статьи 3 Закона Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-З-IV «О персональных данных» (САЗ 10-15), в действующей редакции, под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.
4. К свойствам обезличенных данных относятся:
а) полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
б) структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
в) релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
г) семантическая целостность (сохранение семантики персональных данных при их обезличивании);
д) применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации государственных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);
е) анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).
5. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:
а) обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);
б) вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);
в) изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);
г) стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);
д) возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);
е) совместимость (возможность интеграции персональных данных, обезличенных различными методами);
ж) параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);
з) возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).
6. Требования к методам обезличивания подразделяются на:
а) требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;
б) требования к свойствам, которыми должен обладать метод обезличивания.
7. К требованиям и свойствам получаемых обезличенных данных относятся:
а) сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);
б) сохранение структурированности обезличиваемых персональных данных;
в) сохранение семантической целостности обезличиваемых персональных данных;
г) анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания).
8. К требованиям и свойствам метода обезличивания относятся:
а) обратимость (возможность проведения деобезличивания);
б) возможность обеспечения заданного уровня анонимности;
в) увеличение стойкости при увеличении объема обезличиваемых персональных данных.
9. Соблюдение требований, предусмотренных в пунктах 7, 8 настоящих Требований и методов обязательно для обезличенных данных и применяемых методов обезличивания.
10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.
11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:
а) метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
б) метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);
в) метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
г) метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).
12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.
Метод обеспечивает следующие свойства обезличенных данных:
а) полнота;
б) структурированность;
в) семантическая целостность;
г) применимость.
Оценка свойств метода:
а) обратимость (метод позволяет провести процедуру деобезличивания);
б) вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);
в) изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);
г) стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
д) возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
е) совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);
ж) параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);
з) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.
13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.
Метод обеспечивает следующие свойства обезличенных данных:
а) структурированность;
б) релевантность;
в) применимость;
г) анонимность.
Оценка свойств метода:
а) обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);
б) вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);
в) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
г) стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);
д) возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
е) совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);
ж) параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);
з) возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).
Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.
При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).
14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.
Метод обеспечивает следующие свойства обезличенных данных:
а) полнота;
б) структурированность;
в) релевантность;
г) семантическая целостность;
д) применимость.
Оценка свойств метода:
а) обратимость (метод позволяет провести процедуру деобезличивания);
б) вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);
в) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
г) стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);
д) возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);
е) совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);
ж) параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);
з) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.
15. Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой.
Метод обеспечивает следующие свойства обезличенных данных:
а) полнота;
б) структурированность;
в) релевантность;
г) семантическая целостность;
д) применимость;
е) анонимность.
Оценка свойств метода:
а) обратимость (метод позволяет провести процедуру деобезличивания);
б) вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);
в) изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);
г) стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);
д) возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);
е) совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);
ж) параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);
з) возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).
Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.
Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.
Приложение № 2
к Приказу Государственной службы связи
Приднестровской Молдавской Республики
от 3 февраля 2017 года № 14
Порядок
реализации требований и методов по обезличиванию персональных данных
1. Общие положения
1. В соответствии с подпунктом з) пункта 1 Приложения к Постановлению Правительства Приднестровской Молдавской Республики от 1 апреля 2014 года № 91 «Об утверждении Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом Приднестровской Молдавской Республики «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися органами государственной власти и управления и органами местного самоуправления» (САЗ 14-14) (далее - Перечень) одной из мер, направленных, в первую очередь, на минимизацию рисков причинения вреда конкретным гражданам в случае утечки их персональных данных из информационных систем персональных данных, является обезличивание персональных данных согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных.
Уполномоченным органом по защите прав субъектов персональных данных в Приднестровской Молдавской Республике, устанавливаются требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации государственных целевых программ, которые утверждаются Приказом уполномоченного органа по защите прав субъектов персональных данных (далее - Приказ).
2. Порядок реализации требований и методов по обезличиванию персональных данных (далее - Порядок) разработан с целью оказания помощи операторам, осуществляющим обработку персональных данных и являющимся органами государственной власти и управления и органами местного самоуправления (далее - Операторы), в выборе предпочтительных вариантов реализации утвержденных требований и методов на практике.
3. Порядок содержит методологию обезличивания персональных данных в информационных системах, а также построение процессов дальнейшей обработки данных, полученных в результате обезличивания (далее - обезличенные данные).
4. Порядок содержит анализ процессов автоматизированной обработки обезличенных данных, требований к обезличенным данным и методам обезличивания, позволяющий выделить основные свойства обезличенных данных и методов обезличивания и оценить возможности их применения при решении задач обработки персональных данных с учетом вида деятельности Оператора и необходимых действий с персональными данными.
5. В Порядке используются следующие термины и определения:
а) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
б) деобезличивание - действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными.
в) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств, в том числе созданных и функционирующих в рамках реализации государственных целевых программ.
г) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
д) обезличенные данные - это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации.
е) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
ж) обработка обезличенных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, с обезличенными данными, без применения их предварительного деобезличивания.
з) оператор - орган государственной власти и управления и орган местного самоуправления, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
и) персональные данные - любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и хранимая в информационных системах в электронном виде.
Персональные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов персональных данных субъекта.
Обезличенные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов обезличенных данных.
к) атрибут персональных данных субъекта - элемент структуры персональных данных (параметр персональных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений применительно к конкретным субъектам персональных данных.
л) атрибут обезличенных данных субъекта - элемент структуры обезличенных данных (параметр обезличенных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений.
м) семантика атрибута персональных данных - смысловое значение названия атрибута, обозначения персональных данных.
н) семантика атрибута обезличенных данных - смысловое значение названия атрибута, обозначения обезличенных данных.
6. Персональные данные множества субъектов представлены в виде множества (массива) записей персональных данных.
7. Ниже в тексте приводятся свойства обезличенных персональных данных, определяющие возможность их применения для конкретных видов обработки персональных данных с целью решения прикладных задач, стоящих перед Оператором в зависимости от вида его деятельности, и связанных с обработкой персональных данных.
8. Свойства обезличенных данных:
а) полнота - сохранение всей информации о персональных данных конкретных субъектов или группах субъектов, которая имелась до обезличивания.
б) структурированность - сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания.
в) релевантность - возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме.
г) семантическая целостность - соответствие семантики атрибутов обезличенных данных семантике соответствующих атрибутов персональных данных при их обезличивании.
д) применимость - возможность обработки персональных данных с целью решения задач, стоящих перед Оператором, без предварительного деобезличивания всего объема записей о субъектах.
е) анонимность - невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.
9. Наличие перечисленных свойств обеспечивается применяемыми методами обезличивания.
2. Методы обезличивания
10. Методы обезличивания, кроме обеспечения требуемых свойств обезличенных данных, должны быть практически реализуемыми в различных программных средах и позволять решать поставленные перед Оператором задачи обработки персональных данных либо с предварительным деобезличиванием, либо без деобезличивания.
11. К методам обезличивания, установленным Приказом, относятся:
а) метод введения идентификаторов - замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным;
б) метод изменения состава или семантики - изменение состава или семантики персональных данных путем замены результатами статистической обработки, преобразования, обобщения или удаления части сведений;
в) метод декомпозиции - разделение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств;
г) метод перемешивания - перестановка отдельных значений или групп значений атрибутов персональных данных в массиве персональных данных.
12. Применение того или иного метода обезличивания позволит получить обезличенные данные, обладающие различными свойствами, что даст возможность осуществлять все виды обработки персональных данных. В связи с этим, в описании методов обезличивания указаны условия, обеспечивающие выполнение определенных свойств и требований.
13. Следует также отметить, что существуют виды (задачи) обработки персональных данных, когда наличие всех требуемых свойств не обязательно, например, при решении статистических задач. Таким образом, в каждом конкретном случае необходимо применять метод, который гарантирует свойства, необходимые для решения конкретных задач обработки стоящих перед Оператором.
14. Далее, в описании методов обезличивания, приводятся рекомендации по применению утвержденных методов обезличивания.
3. Метод введения идентификаторов
15. Метод реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия (справочника идентификаторов).
Применение данного метода позволяет получить обезличенные данные обладающие следующими свойствами:
а) полнота - информация, позволяющая идентифицировать субъектов персональных данных, не удаляется, а переносится в таблицу соответствия;
б) структурированность - каждому идентификатору после процедуры обезличивания однозначно соответствует свой набор данных;
в) семантическая целостность - вид представления данных не меняется, они лишь переносятся в таблицу соответствия.
Анонимность возможно обеспечить только при определенных правилах выбора идентификаторов и заменяемых ими персональных данных, поскольку метод не устойчив к атакам, направленным на справочники идентификаторов при косвенном деобезличивании и атакам, направленным на деобезличивание с использованием информации из справочников идентификаторов, кроме того, стойкость метода не повышается с увеличением объема обезличиваемых данных.
Также обеспечивается применимость - Оператор может осуществлять обработку отдельных записей и всех обезличенных данных без деобезличивания.
Обезличенные данные, полученные в результате применения названного метода, не будут обладать свойством релевантности, поскольку в запросе и в ответе на запрос изменяется вид представления персональных данных, которые были заменены идентификаторами.
Применение данного метода позволит сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.
Метод введения идентификаторов целесообразно применять при небольшом количестве атрибутов персональных данных и небольшом объеме массива персональных данных, в связи с тем, что объем справочников будет напрямую зависеть от этих параметров. Вычислительная эффективность метода значительно снижается при частом внесении изменений в состав данных и значения атрибутов.
4. Метод изменения состава или семантики
16. Метод реализуется путем обобщения, изменения значений атрибутов персональных данных или удаления части сведений, позволяющих идентифицировать субъекта.
Применение данного метода позволяет получить обезличенные данные, обладающие следующими свойствами:
а) структурированность - связь между отдельными значениями атрибутов персональных данных субъекта не нарушается;
б) анонимность - удаление или обобщение части данных приводит к неоднозначности при идентификации с использованием обезличенных данных.
Полученные обезличенные данные могут обладать свойством полноты только при проведении изменений в составе персональных данных, гарантирующих сохранность данных. При удалении части сведений, полученные обезличенные данные утрачивают свойство полноты.
Семантическая целостность полученных данных обеспечивается только при условии проведения изменений в составе персональных данных, сохраняющих семантику данных. Изменения должны учитывать специфику задач обработки, стоящих перед Оператором.
Также обеспечиваются следующие свойства обезличенных данных:
а) частичная релевантность, поскольку в определенных случаях возможно получить семантическое соответствие поискового запроса и полученного ответа на запрос;
б) применимость, поскольку Оператор может осуществлять обработку, не требующую деобезличивания всего объема данных о субъектах.
При выделении атрибутов персональных данных необходимо учитывать возможность проведения обезличивания с использованием данных атрибутов. При простом изменении значений отдельных атрибутов обезличивание может не произойти, поскольку произойдет только изменение состава персональных данных.
Применение данного метода позволяет частично сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.
Метод изменения состава и семантики целесообразно применять в случае, когда возможно изменение состава и семантики, так, что задачи обработки персональных данных не требуют деобезличивания, поскольку метод не обладает свойством обратимости при любых изменениях состава и семантики данных. В противном случае необходимо использовать дополнительную информацию для проведения деобезличивания.
Данный метод также целесообразно применять в случаях автономного использования Оператором обезличенных данных, когда не требуется совместимость с данными других Операторов.
5. Метод декомпозиции
17. Метод реализуется путем разделения множества атрибутов персональных данных на несколько подмножеств и создания таблиц, устанавливающих связи между подмножествами (таблицы связей), с последующим раздельным хранением записей, соответствующих подмножествам этих атрибутов.
Применение данного метода позволит получить обезличенные данные, обладающие следующими свойствами:
а) полнота - информация о субъектах персональных данных не удаляется, а переносится в другое хранилище;
б) структурированность - сохраняется связь между записями в разных хранилищах, что позволяет однозначно сопоставлять их;
в) семантическая целостность - семантика и вид представления данных о субъекте не изменяется.
Анонимность обеспечивается только при достаточно сложных связях между хранилищами и защите хранилищ от несанкционированного доступа, поскольку метод не устойчив к атакам, направленным на деобезличивание путем анализа данных из различных хранилищ и косвенному деобезличиванию.
Также обеспечиваются следующие свойства обезличенных данных:
а) релевантность, поскольку возможно получить семантическое соответствие поискового запроса и полученного ответа на запрос;
б) применимость, поскольку Оператор может осуществлять обработку данных, расположенных в одном хранилище, как независимо от другого, так и при совместном их использовании, без деобезличивания всего объема обезличенных данных.
Применение данного метода позволяет сохранить в записях каждого хранилища связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.
Метод декомпозиции целесообразно применять при большом количестве атрибутов персональных данных, но при достаточно редком внесении изменений в состав данных и значения атрибутов.
6. Метод перемешивания
18. Метод реализуется путем перемешивания (перестановки) отдельных значений или групп значений атрибутов персональных данных между собой.
Применение данного метода позволит получить обезличенные данные, обладающие следующими свойствами:
а) полнота - вся информация о субъектах персональных данных сохраняется;
б) структурированность - связи между данными полностью восстанавливаются при деобезличивании;
в) семантическая целостность - семантика и вид представления данных о субъекте не изменяется;
г) анонимность - данные перемешиваются по каждому отдельному атрибуту записи о субъекте, что не позволяет без доступа к дополнительной (служебной) информации определить принадлежность тех или иных данных конкретному субъекту.
Также обеспечиваются следующие свойства обезличенных данных:
а) релевантность, поскольку возможно получить семантическое соответствие поискового запроса и полученного ответа на запрос;
б) применимость, поскольку при наличии доступа к дополнительной (служебной) информации Оператор может осуществлять обработку как отдельных записей о субъектах, так и всех данных, без деобезличивания всего объема обезличенных данных.
Применение данного метода не позволяет сохранить в записях связи между атрибутами обезличенных данных, соответствующие связям между атрибутами персональных данных.
Метод перемешивания целесообразно применять при большом количестве атрибутов персональных данных и большом объеме массива персональных данных, поскольку стойкость метода к атакам направленным на деобезличивание увеличивается с увеличением указанных параметров, а количество дополнительной информации слабо зависит от объема массива персональных данных.
Метод перемешивания эффективен при необходимости сложной обработки персональных данных, частом внесении изменений в значения атрибутов.
Результаты сопоставления свойства обезличенных данных с методами обезличивания приведены в Приложении № 1 к настоящему Порядку.
7. Процедуры обезличивания
19. Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием.
Допускается программная реализация процедуры различными способами и средствами, доступными Оператору.
Различные способы реализации одной процедуры должны обеспечивать одинаковые результаты.
Описание процедуры обезличивания должно обеспечивать однозначную трактовку проводимых действий по обезличиванию/деобезличиванию и включает:
а) алгоритмы обезличивания и деобезличивания;
б) параметры процедур обезличивания/деобезличивания;
в) оценку объема дополнительных данных (параметры процедуры) для проведения обезличивания;
г) правила проведения процедуры и выбора значений параметров процедуры;
д) характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам.
8. Процедура реализации метода введения идентификаторов
20. Каждому значению идентификатора должно соответствовать одно значение атрибута и каждому значению атрибута должно соответствовать одно значение идентификатора.
Таблицы соответствия (дополнительные данные) создаются для каждого атрибута персональных данных, значения которых заменяются идентификаторами.
При обезличивании персональные данные в исходном множестве заменяются идентификаторами согласно таблице соответствия. Деобезличивание достигается обратной заменой идентификаторов на значения персональных данных по таблице соответствия.
На этапе реализации процедуры обезличивания определяются следующие параметры:
а) перечень таблиц соответствия (перечень атрибутов, для которых происходит замена значений идентификаторами);
б) правила вычисления идентификаторов - наборов символов, однозначно соответствующих значениям атрибутов персональных данных субъекта;
в) объемы таблицы соответствия - количество строк таблицы соответствия, содержащих идентификатор и соответствующее ему значение.
В качестве атрибутов, значения которых заменяются идентификаторами, как правило, выбираются атрибуты, однозначно идентифицирующие субъекта персональных данных.
Количество идентификаторов и объем таблиц соответствия, как правило, равны исходному количеству субъектов персональных данных. Возможны случаи, когда идентификатор вычисляется в зависимости от значения соответствующего атрибута.
Таблицы соответствия должны быть доступны ограниченному числу сотрудников Оператора.
Программное обеспечение, реализующее процедуру, должно обеспечивать внесение изменений и поддержку актуальности таблиц соответствия.
9. Процедура реализации метода изменения состава или семантики
21. Процедура реализации метода должна содержать правила удаления либо замены значений персональных данных субъектов на новые значения, вычисляемые по заданным правилам.
При замене значений атрибутов на новые, требуется устанавливать правила обратной замены если это необходимо для деобезличивания.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
а) перечень атрибутов персональных данных, подлежащих удалению;
б) перечень атрибутов персональных данных, подлежащих замене на новые значения;
в) правила вычисления значений для замены (обратной замены) персональных данных субъектов.
Программная реализация процедуры должна обеспечить возможность внесения изменений и дополнений в состав обезличенных данных, динамическое вычисление значений для замены при занесении новых субъектов, проверку и поддержку актуальности данных.
10. Процедура реализации метода декомпозиции
22. Процедура реализации метода по заданному правилу (алгоритму) производит разделение исходного массива персональных данных на несколько частей, каждая из которых содержит заданный набор атрибутов всех субъектов. Сведения, содержащиеся в каждой части, не позволяют идентифицировать субъектов персональных данных.
Деобезличивание осуществляется по заданному набору связей (используются таблицы связей, являющиеся дополнительными данными) между раздельно хранимыми частями.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
а) перечень атрибутов, составляющих подмножества персональных данных;
б) таблицы связей между подмножествами персональных данных;
в) адреса хранения подмножеств персональных данных.
Правила разделения исходного массива данных определяются таким образом, чтобы каждая из раздельно хранимых частей не содержала сведений, позволяющих однозначно идентифицировать субъекта персональных данных.
Программная реализация процедуры должна обеспечивать согласованное внесение изменений и дополнений во все подмножества и таблицы связей, поиск данных о субъекте во всех подмножествах, поддержку актуальности таблиц связей, проверку полноты данных (согласование подмножеств).
11. Процедура реализации метода перемешивания
23. Метод перемешивания реализуется путем перемешивания отдельных значений или групп значений атрибутов субъектов персональных данных между собой.
Перемешивание проводится по установленному правилу. Деобезличивание достигается с использованием процедуры, обратной процедуре перемешивания.
Для реализации процедуры необходимо определить алгоритм перемешивания и его параметры.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
а) набор параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания);
б) значения параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания).
Выбор параметров перемешивания зависит от алгоритма перемешивания, требуемой стойкости к атакам, и объема обезличиваемых персональных данных.
Программная реализация процедуры должна обеспечивать возможность внесения изменений и дополнений в состав обезличенных данных, добавление новых пользователей, поддержку актуальности данных и возможность повторного перемешивания с новыми параметрами без предварительного деобезличивания.
12. Организация обработки обезличенных данных
24. При использовании Оператором процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
25. Обезличивание персональных данных субъектов должно производиться Оператором перед внесением их в информационную систему.
26. Оператор вправе обрабатывать в информационной системе обезличенные данные, полученные от третьих лиц.
27. В процессе обработки обезличенных данных Оператором, при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания уничтожаются.
28. Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Приднестровской Молдавской Республики с применением мер по обеспечению безопасности персональных данных.
29. Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.
30. Обработка персональных данных организаций, не обладающих квалифицированным персоналом либо достаточными материально-техническими средствами, возможна с привлечением сторонних организаций - Операторов на основании договора. При использовании технологий «облачной» обработки персональных данных возможна обработка одним Оператором обезличенных данных нескольких подобных организаций.
31. При обработке обезличенных данных необходимо выделять зоны ответственности Операторов, субъектов и (или) организаций, поручивших обработку Оператору.
32. Алгоритмы для реализации процедур обезличивания и программное обеспечение должны обеспечивать переносимость на различные аппаратные платформы.
33. Действия, связанные с внесением изменений и дополнений в массив обезличенных данных следует проводить в режиме транзакций и отражать в соответствующем журнале.
34. Следует вести архив запросов на обработку данных.
35. Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у Оператора.
36. Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными у Оператора. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.
37. Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки персональных данных как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Оператора инфраструктуру, обеспечивающую обработку персональных данных.
38. Оператору рекомендуется разработать и применять при осуществлении своей деятельности документацию, включающую:
а) описание применяемых процедур и их программного обеспечения;
б) инструкции по проведению процедур обезличивания/деобезличивания;
в) инструкции по обработке обезличенных данных;
г) инструкции проведения контроля качества обезличенных данных и процедур обезличивания;
д) порядок взаимодействия с другими Операторами;
е) инструкции по обеспечению безопасности дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания;
ж) техническую и эксплуатационную документацию, поставляемую с программными средствами, обезличивания/деобезличивания.
13. Правила работы Операторов с обезличенными данными
39. Оператору следует:
а) обеспечить соответствие процедур обезличивания/деобезличивания персональных данных требованиям к обезличенным данным и методам обезличивания;
б) обеспечить соответствие процедур обезличивания/деобезличивания условиям и целям обработки персональных данных;
в) убедиться, что при реализации процедур обезличивания/ деобезличивания, а так же при последующей обработке обезличенных данных не нарушаются права субъекта персональных данных.
40. В случае, когда обработка обезличенных данных была поручена Оператору третьим лицом, Оператору следует соблюдать все требования, предъявляемые этим лицом.
41. В процессе реализации процедуры обезличивания персональных данных Оператору следует соблюдать все регламентные требования, предъявляемые к выбранному способу реализации процедуры обезличивания.
42. При хранении обезличенных данных Оператору следует:
а) организовать раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;
б) обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.
43. При передаче вместе с обезличенными данными информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания Оператору следует обеспечить конфиденциальность канала (способа) передачи данных.
44. В ходе реализации процедуры деобезличивания Оператору следует:
а) реализовать все требования по обеспечению безопасности получаемых персональных данных при автоматизированной обработке на средствах вычислительной техники, участвующих в реализации процедуры деобезличивания и обработке деобезличенных данных;
б) обеспечить обработку и защиту деобезличенных данных в соответствии с требованиями Закона Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-З-IV «О персональных данных».
14. Методология выбора методов и процедур обезличивания
45. При выборе методов и процедур обезличивания персональных данных Оператору следует руководствоваться целями и задачами обработки персональных данных.
46. Обезличивание персональных данных, обработка которых осуществляется с разными целями, может осуществляться разными методами.
47. Возможно объединение различных методов обезличивания в одну процедуру.
48. Для решения каждой задачи обработки Оператор определяет требуемые свойства обезличенных данных и метода обезличивания, которые зависят от набора действий, осуществляемых Оператором с персональными данными (сбор, хранение, изменение, систематизация, осуществление выборки, поиск, передача и так далее) в соответствии с принципом разумной достаточности (определяется минимально необходимый перечень свойств). Целесообразно предусмотреть возможность обработки обезличенных данных без предварительного деобезличивания.
49. При выборе метода и процедуры обезличивания так же следует учитывать:
а) объем персональных данных, подлежащих обезличиванию (некоторые методы неэффективны на малых объемах);
б) форму представления данных (отдельные записи, файлы, таблицы баз данных и т.д.);
в) область обработки обезличенных данных (необходим ли другим Операторам доступ к обезличиваемым данным);
г) способы хранения обезличенных данных (локальное хранение, распределенное хранение и т.д.);
д) применяемые в информационной системе Оператора меры по обеспечению безопасности данных.
15. Рекомендации по выбору методов обезличивания в соответствии с классом задач обработки
50. В Приложении № 2 к настоящему Порядку приведены рекомендации по выбору метода обезличивания в зависимости от класса решаемых задач. Рекомендованные методы ранжированы в порядке убывания эффективности их применения.
51. При наличии в системе нескольких классов задач рекомендуется выбирать общий метод для всех этих классов, либо совместно применять несколько методов.
52. Практическая реализация методов и обработка обезличенных данных может проводиться с применением различных информационных технологий.
53. В Приложении № 3 к настоящему Порядку приведены рекомендации по выбору типа технологии обработки обезличенных данных. Методы ранжированы в порядке их предпочтительности.
При составлении Приложения № 3 к настоящему Порядку учитывались возможности обеспечения безопасности данных.
54. В Приложении № 4 к настоящему Порядку приведены примеры реализации методов обезличивания.
Приложение № 1 к Порядку
реализации требований и методов
по обезличиванию персональных данных
Соответствие
методов обезличивания свойствам обезличенных данных
Метод обезличивания/ Свойства обезличенных данных
|
Метод введения идентификаторов
|
Метод изменения состава или семантики
|
Метод декомпозиции
|
Метод перемешивания
|
Полнота
|
+
|
+/-
|
+
|
+
|
Структурированность
|
+
|
+
|
+
|
+
|
Релевантность
|
+/-
|
+
|
+
|
+
|
Семантическая целостность
|
+
|
+/-
|
+
|
+
|
Применимость
|
+
|
+
|
+
|
+
|
Анонимность
|
+/-
|
+
|
+/-
|
+
|
+ безусловное наличие свойства
+/- условное наличие свойства, см. описание метода
|
Приложение № 2 к Порядку
реализации требований и методов
по обезличиванию персональных данных
Сопоставление
задач обработки методам обезличивания
Класс задач
|
Задачи обработки
|
Метод обезличивания
|
Статистическая обработка и статистические исследования ПД
|
- осуществление выборки по заявленным параметрам;
- проведение исследований по заданным параметрам субъектов.
|
- метод перемешивания;
- метод декомпозиции;
- метод изменения состава или семантики.
|
Сбор и хранение ПД
|
- внесение персональных данных субъектов в информационную систему на основе анкет, заявлений и прочих документов.
|
- метод декомпозиции;
- метод перемешивания;
- метод введения идентификаторов.
|
Обработка поисковых запросов (поиск данных о субъектах и поиск субъектов по известным данным)
|
- поиск информации о субъектах;
- печать и выдача субъектам документов в установленной форме, содержащих персональные данные;
- выдача справок, выписок, уведомлений по запросам субъектов или уполномоченных органов.
|
- метод перемешивания;
- метод декомпозиции;
- метод введения идентификаторов.
|
Актуализация ПД
|
- внесение изменений в существующие записи о субъектах на основе обращений субъектов, решений судов и других уполномоченных органов;
- внесение изменений в существующие записи о субъектах на основе исследований, выполнения органом своих функций или требований законодательства.
|
- метод перемешивания;
- метод декомпозиции;
- метод введения идентификаторов.
|
Интеграция данных различных Операторов
|
- поиск информации о субъектах;
- передача данных смежным органам.
|
- метод перемешивания
- метод декомпозиции;
- метод введения идентификаторов.
|
Ведение учета субъектов ПД
|
- прием анкет, заявлений;
- ведение учета персональных данных в соответствии с функциями органа.
|
- метод декомпозиции;
- метод перемешивания;
- метод введения идентификаторов.
|
Приложение № 3 к Порядку
реализации требований и методов
по обезличиванию персональных данных
Типы
технологий обработки обезличенных данных
Технология
|
Метод обезличивания
|
Клиент - сервер с использованием серверов Оператора
|
- метод перемешивания;
- метод декомпозиции;
- метод введения идентификаторов.
|
Распределенная обработка на нескольких удаленных серверах (объектные вычисления)
|
- метод перемешивания;
- метод декомпозиции;
- метод введения идентификаторов.
|
Центры обработки данных
|
- метод перемешивания;
- метод декомпозиции;
- метод введения идентификаторов.
|
Облачные вычисления
|
- метод перемешивания;
- метод декомпозиции;
- метод введения идентификаторов.
|
Приложение № 4 к Порядку
реализации требований и методов
по обезличиванию персональных данных
Примеры реализации методов обезличивания.
Исходный вид таблицы персональных данных:
ФИО
|
Дата рождения
|
Адрес проживания
|
Номер телефона
|
Диагноз
|
Иванов Иван Иванович
|
01.02.1970
|
г. Тирасполь, ул. Желтая, д. 1, кв. 1.
|
533 -1-11-11
|
Сердечная недостаточность
|
Петров Петр Петрович
|
02.03.1975
|
г. Тирасполь, ул. Красная, д. 2, кв. 2.
|
533 -1-21-23
|
Остеохондроз
|
Сидоров Иван Петрович
|
03.04.1970
|
г. Тирасполь, ул. Оранжевая, д. 3, кв. 3.
|
533 -2-22-11
|
Хронические мигрени
|
А.1. Применение метода введения идентификаторов
Таблица обезличенных данных (Атрибут ФИО заменен на идентификатор)
Идентификатор
|
Дата рождения
|
Адрес проживания
|
Номер телефона
|
Диагноз
|
АА12345
|
01.02.1970
|
г. Тирасполь, ул. Желтая, д. 1, кв. 1.
|
533 -1-11-11
|
Сердечная недостаточность
|
ББ23456
|
02.03.1975
|
г. Тирасполь, ул. Красная, д. 2, кв. 2.
|
533 -1-21-23
|
Остеохондроз
|
ВВ34567
|
03.04.1970
|
г. Тирасполь, ул. Оранжевая, д. 3, кв. 3.
|
533 -2-22-11
|
Хронические мигрени
|
Таблица идентификаторов
Идентификатор
|
ФИО
|
АА12345
|
Иванов Иван Иванович
|
ББ23456
|
Петров Петр Петрович
|
ВВ34567
|
Сидоров Иван Петрович
|
А.2. Применение метода изменения состава или семантики
Дата рождения
|
Адрес проживания
|
Диагноз
|
01.02.1970
|
г. Тирасполь
|
Сердечная недостаточность
|
02.03.1975
|
г. Тирасполь
|
Остеохондроз
|
03.04.1970
|
г. Тирасполь
|
Хронические мигрени
|
Атрибуты ФИО и Номер телефона были удалены. Атрибут Адрес проживания был обобщен до города проживания.
А.3. Применение метода декомпозиции
Исходная таблица персональных данных разбивается на две таблицы, хранимые раздельно.
Таблица 1.
№
|
ФИО
|
Дата рождения
|
1
|
Иванов Иван Иванович
|
01.02.1970
|
2
|
Петров Петр Петрович
|
02.03.1975
|
3
|
Сидоров Иван Петрович
|
03.04.1970
|
Таблица 2.
№
|
Адрес проживания
|
Номер телефона
|
Диагноз
|
1
|
г. Тирасполь, ул. Желтая, д. 1, кв. 1
|
533-1-11-11
|
Сердечная недостаточность
|
2
|
г. Тирасполь, ул. Красная, д. 2, кв. 2.
|
533-1-21-23
|
Остеохондроз
|
3
|
г. Тирасполь, ул. Оранжевая, д. 3, кв. 3.
|
533-2-22-11
|
Хронические мигрени
|
Таблица 3 (Таблица связей между Таблицей 1 и Таблицей 2)
№
|
Номер строки Таблицы 1
|
Номер строки Таблицы 2
|
1
|
1
|
1
|
2
|
2
|
2
|
3
|
3
|
3
|
А.4. Применение метода перемешивания
Таблица обезличенных данных
№
|
ФИО
|
Дата рождения
|
Адрес проживания
|
Номер телефона
|
Диагноз
|
1
|
Сидоров Иван Петрович
|
02.03.1975
|
г. Тирасполь, ул. Желтая, д. 1, кв. 1.
|
533-2-22-11
|
Сердечная недостаточность
|
2
|
Петров Петр Петрович
|
01.02.1970
|
г. Тирасполь, ул. Красная, д. 2, кв. 2.
|
533-1-11-11
|
Остеохондроз
|
3
|
Иванов Иван Иванович
|
03.04.1970
|
г. Тирасполь, ул. Оранжевая, д. 3, кв. 3..
|
533-1-21-23
|
Хронические мигрени
|