СЗПДн. Анализ. Проект отчета NIST по обезличиванию ПДн

7 апреля 2015 г. NIST опубликовал проект отчета по обезличиванию ПДн (NIST Draft NISTIR 8053, De-Identification of Personally Identifiable Information, далее документ NIST)

Документ NIST описывает терминологию, процессы и процедуры обезличивания ПД и является результатом обследования различных техник обезличивания ПДн из электронных ресурсов.  

Для сравнения в качестве результатов аналитической работы по запросу РКН явились "Методические рекомендации по применению Приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013,  далее  - МД РКН)

В документе NIST рассматриваются ситуации, когда оператору требуется выгружать / передавать ПДн из ИСПДн и при этом необходимо обеспечивать безопасность ПДн. Обезличивание (de-identification) рассматривается как один из путей выполнения данной задачи. Давайте посмотрим на наиболее интересные положения документа.



Аксиома: чем более сильные техники обезличивания применяются тем менее полезными (utility) получаются данные. 

Если после обезличивания данные обладают хоть какой-то полезностью, то есть вероятная возможность связать получившиеся данные с исходных субъектом ПДн. Поиск связей между обезличенными данными и субъектами ПДн - деобезличивание  (re-identification). Если попытки такого поиска несанкционированные – то процесс называется атакой на обезличивание (re-identification attacks)


Далее в документе NIST уделяется большое внимание атакам на обезличивание, слабостям различных техник обезличивания, приводятся примеры инцидентов, в которых по обезличенным данным были определены субъекты ПДн. В отличие от этого, в МД РКН нет информации о слабостях методов обезличивания и указаний оценивать эффективность обезличивания и т.п.

Документ NIST при анализе угроз / рисков обезличивания (re-identification risk) предлагает рассматривать:
·        риск деобезличивания некоторых субъектов ПДн (prosecutor scenario)
·        риск деобезличивания любого из субъектов ПДн (journalist scenario)
·        риск деобезличивания некоторого процента субъектов ПДн
·        угрозу восстановления удаленных данных, позволяющих напрямую идентифицировать субъекта ПДн  (linkage attack) – восстановление выполняется путем сравнения  общедоступных ПДн с обезличенными данными

В документе NIST рассматриваются следующие методы обезличивания:
·        (Removal of Direct Identifiers) удаление части ПДн, позволяющих напрямую идентифицировать субъекта ПДн (Direct Identifiers, ISO/TS 25237:2008) – данных которые позволяют идентифицировать субъекта ПДн без применения дополнительной информации
·        (De-identification of Quasi-Identifiers) обезличивание псевдо-индентификаторов – данных, которые не позволяют идентифицировать субъекта ПДн без применения дополнительной информации, но при объединении с некоторым другими известными наборами ПДн (общедоступными ПДн или базами данного оператора) позволяют идентифицировать субъекта ПДн.
o   (Suppression) удаление псевдо-индентификаторов
o   (Generalization) замена псевдо-индентификаторов на некоторый обобщенный диапазон (например, “возраст = 33 года” на “возраст в диапазоне между 30 и 40”)
o   (Swapping) перестановка псевдо-индентификаторов между записями различных субъектов ПДн
o   (Sub-sampling) замена псевдо-индентификаторов на более общие (например, вместо “номера телефона” – “последние 4 цифры номера телефона”, вместо “дата рождения” – “год рождения”)

Предлагается использовать следующий 11 этапный процесс обезличивания (авторы El Emam и Malin):
·        Этап 1: Определяем часть ПДн, позволяющая напрямую идентифицировать субъекта ПДн (direct identifiers)
·        Этап 2: Удаляем их или заменяем на условные идентификаторы
·        Этап 3:  Выполняем моделирование угроз, определяем актуальные типы нарушителей, определяем массивы данных, которые могут быть доступны нарушителям и которые совместно с псевдо-индентификаторами позволят определить субъекта ПДн
·        Этап 4: Определяем минимально достаточный объем ПДн / полезность выгрузки (utility), определяем на сколько сильно могут быть обезличены ПДн
·        Этап 5: Определяем приемлемый уровень риска разглашения ПДн
·        Этап 6: В ручную выгрузить тестовую выборку ПДн
·        Этап 7: Оценить риск деобезличивания ПДн
·        Этап 8: Сравнить актуальный риски и приемлемый риск.
·        Этап 9: Если актуальный риск ниже приемлемого, внедрить метод обезличивания . Если актуальный риск выше приемлемого, подобрать другой метод обезличивания
·       Этап 10: Проверить реализацию метода обезличивания, убедиться что деобезличивание всё ещё невозможно
·       Этап 11: Разрешить выгрузку данных и задокументировать применяемый метод обезличивания


В документе NIST рассматриваются отдельно рассматриваются методы обезличивания ПДн в формах отличных об БД, например:
·        ПДн в тексте
·        ПДн в изображениях
·        Биометрические ПДн
·        ПДн местоположения, координаты, расположение на картах

В целом могу отметить что документ NIST более ориентирован на ситуации экспорта / выгрузки ПДн и носит более практический характер (схемы, примеры, ссылки на инциденты, ссылки на исследования стойкости методов обезличивания, разбор актуальных ситуаций) по сравнению с МД РКН, который более ориентирован на обезличивание ПДн для обработки внутри ИСПДн, и имеет более теоретический характер.  

PS: другой документ NIST по этой теме Special Publication 800-122  guide to protecting the confidentiality of personally identifiable information (pii)


Комментарии

Популярные сообщения из этого блога

Модель угроз безопасности клиента финансовой организации

Лучшие практики по жизненному циклу безопасности ПО от PCI

Разъяснения ФСТЭК по поводу уровней доверия СЗИ для ГИС