2. ПРОЦЕДУРЫ ОБЕЗЛИЧИВАНИЯ Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием.
Допускается программная реализация процедуры различными способами и средствами, доступными Оператору.
Различные способы реализации одной процедуры должны обеспечивать одинаковые результаты.
Описание процедуры обезличивания должно обеспечивать однозначную трактовку проводимых действий по обезличиванию/деобезличиванию и включает: - алгоритмы обезличивания и деобезличивания;
- параметры процедур обезличивания/деобезличивания;
- оценку объема дополнительных данных (параметры процедуры) для проведения обезличивания;
- правила проведения процедуры и выбора значений параметров процедуры;
- характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам.
2.1. Процедура реализации метода введения идентификаторов Каждому значению идентификатора должно соответствовать одно значение атрибута и каждому значению атрибута должно соответствовать одно значение идентификатора.
Таблицы соответствия (дополнительные данные) создаются для каждого атрибута персональных данных, значения которых заменяются идентификаторами.
При обезличивании персональные данные в исходном множестве заменяются идентификаторами согласно таблице соответствия. Деобезличивание достигается обратной заменой идентификаторов на значения персональных данных по таблице соответствия.
На этапе реализации процедуры обезличивания определяются следующие параметры: - перечень таблиц соответствия (перечень атрибутов, для которых происходит замена значений идентификаторами);
- правила вычисления идентификаторов - наборов символов, однозначно соответствующих значениям атрибутов персональных данных субъекта;
- объемы таблицы соответствия - количество строк таблицы соответствия, содержащих идентификатор и соответствующее ему значение.
В качестве атрибутов, значения которых заменяются идентификаторами, как правило, выбираются атрибуты, однозначно идентифицирующие субъекта персональных данных.
Количество идентификаторов и объем таблиц соответствия, как правило, равны исходному количеству субъектов персональных данных. Возможны случаи, когда идентификатор вычисляется в зависимости от значения соответствующего атрибута.
Таблицы соответствия должны быть доступны ограниченному числу сотрудников Оператора.
Программное обеспечение, реализующее процедуру, должно обеспечивать внесение изменений и поддержку актуальности таблиц соответствия.
2.2. Процедура реализации метода изменения состава или семантики Процедура реализации метода должна содержать правила удаления либо замены значений персональных данных субъектов на новые значения, вычисляемые по заданным правилам.
При замене значений атрибутов на новые, требуется устанавливать правила обратной замены если это необходимо для деобезличивания.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры: - перечень атрибутов персональных данных, подлежащих удалению;
- перечень атрибутов персональных данных, подлежащих замене на новые значения;
- правила вычисления значений для замены (обратной замены) персональных данных субъектов.
Программная реализация процедуры должна обеспечить возможность внесения изменений и дополнений в состав обезличенных данных, динамическое вычисление значений для замены при занесении новых субъектов, проверку и поддержку актуальности данных.
2.3. Процедура реализации метода декомпозиции Процедура реализации метода по заданному правилу (алгоритму) производит разделение исходного массива персональных данных на несколько частей, каждая из которых содержит заданный набор атрибутов всех субъектов. Сведения, содержащиеся в каждой части, не позволяют идентифицировать субъектов персональных данных.
Деобезличивание осуществляется по заданному набору связей (используются таблицы связей, являющиеся дополнительными данными) между раздельно хранимыми частями.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры: - перечень атрибутов, составляющих подмножества персональных данных; таблицы связей между подмножествами персональных данных;
- адреса хранения подмножеств персональных данных.
Правила разделения исходного массива данных определяются таким образом, чтобы каждая из раздельно хранимых частей не содержала сведений, позволяющих однозначно идентифицировать субъекта персональных данных.
Программная реализация процедуры должна обеспечивать согласованное внесение изменений и дополнений во все подмножества и таблицы связей, поиск данных о субъекте во всех подмножествах, поддержку актуальности таблиц связей, проверку полноты данных (согласование подмножеств).
2.4. Процедура реализации метода перемешивания Метод перемешивания реализуется путем перемешивания отдельных значений или групп значений атрибутов субъектов персональных данных между собой.
Перемешивание проводится по установленному правилу.
Деобезличивание достигается с использованием процедуры, обратной процедуре перемешивания.
Для реализации процедуры необходимо определить алгоритм перемешивания и его параметры.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры: - набор параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания);
- значения параметров алгоритма перемешивания (дополнительные данные для обезличивания/деобезличивания).
Выбор параметров перемешивания зависит от алгоритма перемешивания, требуемой стойкости к атакам, и объема обезличиваемых персональных данных.
Программная реализация процедуры должна обеспечивать возможность внесения изменений и дополнений в состав обезличенных данных, добавление новых пользователей, поддержку актуальности данных и возможность повторного перемешивания с новыми параметрами без предварительного деобезличивания.
3. ОРГАНИЗАЦИЯ ОБРАБОТКИ ОБЕЗЛИЧЕННЫХ ДАННЫХ При использовании Оператором процедуры обезличивания не допускается совместное хранение персональных данных и обезличенных данных.
Обезличивание персональных данных субъектов должно производиться Оператором перед внесением их в информационную систему.
Оператор вправе обрабатывать в информационной системе обезличенные данные, полученные от третьих лиц.
В процессе обработки обезличенных данных Оператором, при необходимости, может проводиться деобезличивание. После обработки персональные данные, полученные в результате такого деобезличивания уничтожаются.
Обработка персональных данных до осуществления процедур обезличивания и после выполнения операций деобезличивания должна осуществляться в соответствии с действующим законодательством Российской Федерации с применением мер по обеспечению безопасности персональных данных.
Обработка обезличенных данных должна осуществляться с использованием технических и программных средств, соответствующих форме представления и хранения данных.
Обработка персональных данных организаций, не обладающих квалифицированным персоналом либо достаточными материально-техническими средствами, возможна с привлечением сторонних организаций - Операторов на основании договора. При использовании технологий «облачной» обработки персональных данных возможна обработка одним Оператором обезличенных данных нескольких подобных организаций.
При обработке обезличенных данных необходимо выделять зоны ответственности Операторов, субъектов и/или организаций, поручивших обработку Оператору.
Алгоритмы для реализации процедур обезличивания и программное обеспечение должны обеспечивать переносимость на различные аппаратные платформы.
Действия, связанные с внесением изменений и дополнений в массив обезличенных данных следует проводить в режиме транзакций и отражать в соответствующем журнале.
Следует вести архив запросов на обработку данных.
Субъект персональных данных должен иметь возможность получить сведения о составе его персональных данных, имеющихся у Оператора.
Хранение и защиту дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания, следует обеспечить в соответствии с внутренними процедурами обеспечения конфиденциальности, установленными у Оператора. При этом должно обеспечиваться исполнение установленных правил доступа пользователей к хранимым данным, резервного копирования и возможности актуализации и восстановления хранимых данных.
Процедуры обезличивания/деобезличивания должны встраиваться в процессы обработки персональных данных как их неотъемлемый элемент, а также максимально эффективно использовать имеющуюся у Оператора инфраструктуру, обеспечивающую обработку персональных данных.
Оператору рекомендуется разработать и применять при осуществлении своей деятельности документацию, включающую: - описание применяемых процедур и их программного обеспечения;
- инструкции по проведению процедур обезличивания/деобезличивания;
- инструкции по обработке обезличенных данных;
- инструкции проведения контроля качества обезличенных данных и процедур обезличивания;
- порядок взаимодействия с другими Операторами;
- инструкции по обеспечению безопасности дополнительной (служебной) информации, содержащей параметры методов и процедур обезличивания/деобезличивания;
- техническую и эксплуатационную документацию, поставляемую с программными средствами, обезличивания/деобезличивания.
4. ПРАВИЛА РАБОТЫ ОПЕРАТОРОВ С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ Оператору следует: - обеспечить соответствие процедур обезличивания/деобезличивания персональных данных требованиям к обезличенным данным и методам обезличивания;
- обеспечить соответствие процедур обезличивания/деобезличивания условиям и целям обработки персональных данных;
- убедиться, что при реализации процедур обезличивания/ деобезличивания, а так же при последующей обработке обезличенных данных не нарушаются права субъекта персональных данных.
В случае, когда обработка обезличенных данных была поручена Оператору третьим лицом, Оператору следует соблюдать все требования, предъявляемые этим лицом.
В процессе реализации процедуры обезличивания персональных данных Оператору следует соблюдать все регламентные требования, предъявляемые к выбранному способу реализации процедуры обезличивания.
При хранении обезличенных данных Оператору следует: - организовать раздельное хранение обезличенных данных и дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания;
- обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.
При передаче вместе с обезличенными данными информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания Оператору следует обеспечить конфиденциальность канала (способа) передачи данных.
В ходе реализации процедуры деобезличивания Оператору следует:- реализовать все требования по обеспечению безопасности получаемых персональных данных при автоматизированной обработке на средствах вычислительной техники, участвующих в реализации процедуры деобезличивания и обработке деобезличенных данных;
- обеспечить обработку и защиту деобезличенных данных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».