СЗПДн. Анализ. Проект отчета NIST по обезличиванию ПДн

7 апреля 2015 г. NIST опубликовал проект отчета по обезличиванию ПДн (NIST Draft NISTIR 8053, De-Identification of Personally Identifiable Information, далее – документ NIST)

Документ NIST описывает терминологию, процессы и процедуры обезличивания ПД и является результатом обследования различных техник обезличивания ПДн из электронных ресурсов.  

Для сравнения в качестве результатов аналитической работы по запросу РКН явились "Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013,  далее  - МД РКН)

В документе NIST рассматриваются ситуации, когда оператору требуется выгружать / передавать ПДн из ИСПДн и при этом необходимо обеспечивать безопасность ПДн. Обезличивание (de-identification) рассматривается как один из путей выполнения данной задачи. Давайте посмотрим на наиболее интересные положения документа.

Аксиома: чем более сильные техники обезличивания применяются тем менее полезными (utility) получаются данные. 

Если после обезличивания данные обладают хоть какой-то полезностью, то есть вероятная возможность связать получившиеся данные с исходных субъектом ПДн. Поиск связей между обезличенными данными и субъектами ПДн - деобезличивание  (re-identification). Если попытки такого поиска несанкционированные – то процесс называется атакой на обезличивание (re-identification attacks)

Далее в документе NIST уделяется большое внимание атакам на обезличивание, слабостям различных техник обезличивания, приводятся примеры инцидентов, в которых по обезличенным данным были определены субъекты ПДн. В отличие от этого, в МД РКН нет информации о слабостях методов обезличивания и указаний оценивать эффективность обезличивания и т.п.

Документ NIST при анализе угроз / рисков обезличивания (re-identification risk) предлагает рассматривать:

·        риск деобезличивания некоторых субъектов ПДн (prosecutor scenario)

·        риск деобезличивания любого из субъектов ПДн (journalist scenario)

·        риск деобезличивания некоторого процента субъектов ПДн

·        угрозу восстановления удаленных данных, позволяющих напрямую идентифицировать субъекта ПДн  (linkage attack) – восстановление выполняется путем сравнения  общедоступных ПДн с обезличенными данными

В документе NIST рассматриваются следующие методы обезличивания:

·        (Removal of Direct Identifiers) удаление части ПДн, позволяющих напрямую идентифицировать субъекта ПДн (Direct Identifiers, ISO/TS 25237:2008) – данных которые позволяют идентифицировать субъекта ПДн без применения дополнительной информации

·        (De-identification of Quasi-Identifiers) обезличивание псевдо-индентификаторов – данных, которые не позволяют идентифицировать субъекта ПДн без применения дополнительной информации, но при объединении с некоторым другими известными наборами ПДн (общедоступными ПДн или базами данного оператора) позволяют идентифицировать субъекта ПДн.

o   (Suppression) удаление псевдо-индентификаторов

o   (Generalization) замена псевдо-индентификаторов на некоторый обобщенный диапазон (например, “возраст = 33 года” на “возраст в диапазоне между 30 и 40”)

o   (Swapping) перестановка псевдо-индентификаторов между записями различных субъектов ПДн

o   (Sub-sampling) замена псевдо-индентификаторов на более общие (например, вместо “номера телефона” – “последние 4 цифры номера телефона”, вместо “дата рождения” – “год рождения”)

Предлагается использовать следующий 11 этапный процесс обезличивания (авторы El Emam и Malin):

·        Этап 1: Определяем часть ПДн, позволяющая напрямую идентифицировать субъекта ПДн (direct identifiers)

·        Этап 2: Удаляем их или заменяем на условные идентификаторы

·        Этап 3:  Выполняем моделирование угроз, определяем актуальные типы нарушителей, определяем массивы данных, которые могут быть доступны нарушителям и которые совместно с псевдо-индентификаторами позволят определить субъекта ПДн

·        Этап 4: Определяем минимально достаточный объем ПДн / полезность выгрузки (utility), определяем на сколько сильно могут быть обезличены ПДн

·        Этап 5: Определяем приемлемый уровень риска разглашения ПДн

·        Этап 6: В ручную выгрузить тестовую выборку ПДн

·        Этап 7: Оценить риск деобезличивания ПДн

·        Этап 8: Сравнить актуальный риски и приемлемый риск.

·        Этап 9: Если актуальный риск ниже приемлемого, внедрить метод обезличивания . Если актуальный риск выше приемлемого, подобрать другой метод обезличивания

·       Этап 10: Проверить реализацию метода обезличивания, убедиться что деобезличивание всё ещё невозможно

·       Этап 11: Разрешить выгрузку данных и задокументировать применяемый метод обезличивания

В документе NIST рассматриваются отдельно рассматриваются методы обезличивания ПДн в формах отличных об БД, например:

·        ПДн в тексте

·        ПДн в изображениях

·        Биометрические ПДн

·        ПДн местоположения, координаты, расположение на картах

В целом могу отметить что документ NIST более ориентирован на ситуации экспорта / выгрузки ПДн и носит более практический характер (схемы, примеры, ссылки на инциденты, ссылки на исследования стойкости методов обезличивания, разбор актуальных ситуаций) по сравнению с МД РКН, который более ориентирован на обезличивание ПДн для обработки внутри ИСПДн, и имеет более теоретический характер.  

PS: другой документ NIST по этой теме Special Publication 800-122  guide to protecting the confidentiality of personally identifiable information (pii)