Бесплатная горячая линия

8 800 700-88-16
Главная - Другое - 1с плафторма обезличивание данных фз 996

1с плафторма обезличивание данных фз 996

Об утверждении требований и методов по обезличиванию персональных данных


В соответствии с , утвержденного (Собрание законодательства Российской Федерации, 2012, N 14, ст.1626),приказываю:1. Утвердить прилагаемые требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.2.

Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.РуководительА.Жаров Зарегистрированов Министерстве юстицииРоссийской Федерации10 сентября 2013 года,регистрационный N 299351. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее — Требования и методы) разработаны в соответствии с , утвержденного (Собрание законодательства Российской Федерации, 2012, N 14, ст.1626).2. В соответствии со (Собрание законодательства Российской Федерации, 2006, N 31 (ч.I), ст.3451; 2009, N 48, ст.5716; N 52 (ч.I), ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; N 52 (ч.I), ст.6974; 2011, N 23, ст.3263; N 31, ст.4701; 2013, N 14, ст.1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.3.

Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.4. К свойствам обезличенных данных относятся:полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);семантическая целостность (сохранение семантики персональных данных при их обезличивании);применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее — оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).5.

К характеристикам (свойствам) методов обезличивания персональных данных (далее — методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся:обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);совместимость (возможность интеграции персональных данных, обезличенных различными методами);параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).6. Требования к методам обезличивания подразделяются на:требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;требования к свойствам, которыми должен обладать метод обезличивания.7.

К требованиям к свойствам получаемых обезличенных данных относятся:сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);сохранение структурированности обезличиваемых персональных данных;сохранение семантической целостности обезличиваемых персональных данных;анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity).8. К требованиям к свойствам метода обезличивания относятся:обратимость (возможность проведения деобезличивания);возможность обеспечения заданного уровня анонимности;увеличение стойкости при увеличении объема обезличиваемых персональных данных.9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания.10.

Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания:метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).12.

Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.Метод обеспечивает следующие свойства обезличенных данных:полнота;структурированность;семантическая целостность;применимость.Оценка свойств метода:обратимость (метод позволяет провести процедуру деобезличивания);вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.Метод обеспечивает следующие свойства обезличенных данных:структурированность;релевантность;применимость;анонимность.Оценка свойств метода:обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.Метод обеспечивает следующие свойства обезличенных данных:полнота;структурированность;релевантность;семантическая целостность;применимость.Оценка свойств метода:обратимость (метод позволяет провести процедуру деобезличивания);вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.15.

Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.Метод обеспечивает следующие свойства обезличенных данных:полнота;структурированность;релевантность;семантическая целостность;применимость;анонимность.Оценка свойств метода:обратимость (метод позволяет провести процедуру деобезличивания);вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.Электронный текст документаподготовлен ЗАО «Кодекс» и сверен по:Российская газета,N 208, 18.09.2013

Приказ Роскомнадзора от 05.09.2013 № 996

1.

Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – Требования и методы) разработаны в соответствии с подпунктом «з» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного (Собрание законодательства Российской Федерации, 2012, № 14, ст. 1626). 2. В соответствии со «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31 (ч.

I), ст. 3451; 2009, № 48, ст.

5716; № 52 (ч. I), ст. 6439; 2010, № 27, ст. 3407; № 31, ст. 4173, ст. 4196; № 49, ст. 6409; № 52 (ч. I), ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

4. К свойствам обезличенных данных относятся: полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания); структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания); релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме); семантическая целостность (сохранение семантики персональных данных при их обезличивании); применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее – оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах); анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

5. К характеристикам (свойствам) методов обезличивания персональных данных (далее – методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся: обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность); вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных); изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания); стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных); возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов); совместимость (возможность интеграции персональных данных, обезличенных различными методами); параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания); возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям). 6. Требования к методам обезличивания подразделяются на: требования к свойствам обезличенных данных, получаемых при применении метода обезличивания; требования к свойствам, которыми должен обладать метод обезличивания. 7. К требованиям к свойствам получаемых обезличенных данных относятся: сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных); сохранение структурированности обезличиваемых персональных данных; сохранение семантической целостности обезличиваемых персональных данных; анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-a№ o№ ymity).

8. К требованиям к свойствам метода обезличивания относятся: обратимость (возможность проведения деобезличивания); возможность обеспечения заданного уровня анонимности; увеличение стойкости при увеличении объема обезличиваемых персональных данных.

9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания. 10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных.

11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания: метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным); метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений); метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств); метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных). 12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных: полнота; структурированность; семантическая целостность; применимость. Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания); изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания); стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных); возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам); параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания); изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания); стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных); возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам); параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта. Метод обеспечивает следующие свойства обезличенных данных: структурированность; релевантность; применимость; анонимность.

Оценка свойств метода: обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных); вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания); изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания); стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных); возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами); параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных); возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных). Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам. Метод обеспечивает следующие свойства обезличенных данных: полнота; структурированность; релевантность; семантическая целостность; применимость. Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания); изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания); стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений); возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами); параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища. 15. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой. Метод обеспечивает следующие свойства обезличенных данных: полнота; структурированность; релевантность; семантическая целостность; применимость; анонимность.

Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания); изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания); стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию); возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами); параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных). Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

Приказ Роскомнадзора от 5.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

Постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 утвержден перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О » и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами (далее — Перечень).

В соответствии с п.п. з) п. 1 Перечня одной из мер, направленных, в первую очередь, на минимизацию рисков причинения вреда конкретным гражданам в случае утечки их персональных данных из информационных систем персональных данных, является обезличивание персональных данных согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных. Роскомнадзором, как уполномоченным органом по защите прав субъектов персональных данных в Российской Федерации, установлены требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, которые утверждены приказом Роскомнадзора от 5 сентября 2013 г.

№ 996 (далее — Приказ). Данные методические рекомендации разработаны с целью оказания помощи операторам, осуществляющим обработку персональных данных и являющимся государственными или муниципальными органами (далее — Методические рекомендации, Операторы), в выборе предпочтительных вариантов реализации утвержденных требований и методов на практике.

Методические рекомендации содержат методологию обезличивания персональных данных в информационных системах, а также построение процессов дальнейшей обработки данных, полученных в результате обезличивания (далее — обезличенные данные). Методические рекомендации содержат процессов автоматизированной обработки обезличенных данных, требований к обезличенным данным и методам обезличивания, позволяющий выделить основные свойства обезличенных данных и методов обезличивания и оценить возможности их применения при решении задач обработки персональных данных с учетом вида деятельности Оператора и необходимых действий с персональными данными.
Методические рекомендации содержат процессов автоматизированной обработки обезличенных данных, требований к обезличенным данным и методам обезличивания, позволяющий выделить основные свойства обезличенных данных и методов обезличивания и оценить возможности их применения при решении задач обработки персональных данных с учетом вида деятельности Оператора и необходимых действий с персональными данными.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. Деобезличивание — действия, в результате которых обезличенные данные принимают вид, позволяющий определить их принадлежность конкретному субъекту персональных данных, то есть становятся персональными данными. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обезличенные данные — это данные, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту персональных данных невозможно определить без дополнительной информации. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

Обработка обезличенных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации, с обезличенными данными, без применения их предварительного деобезличивания. Оператор — государственный орган или муниципальный орган, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и хранимая в информационных системах в электронном виде. Персональные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов персональных данных субъекта.

Персональные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов персональных данных субъекта. Обезличенные данные субъекта представляются в виде записи, которая является самостоятельной единицей данных, имеет определенную структуру и содержит множество значений атрибутов обезличенных данных.

Атрибут персональных данных субъекта — элемент структуры персональных данных (параметр персональных данных). Атрибут имеет название и может иметь множество возможных количественных и качественных значений применительно к конкретным субъектам персональных данных.

Атрибут обезличенных данных субъекта — элемент структуры обезличенных данных (параметр обезличенных данных).

Атрибут имеет название и может иметь множество возможных количественных и качественных значений. Семантика атрибута персональных данных — смысловое значение названия атрибута, обозначения персональных данных. Семантика атрибута, обезличенных данных — смысловое значение названия атрибута, обозначения обезличенных данных.

Персональные данные множества субъектов представлены в виде множества (массива) записей персональных данных. Ниже приводятся свойства обезличенных персональных данных, определяющие возможность их применения для конкретных видов обработки персональных данных с целью решения прикладных задач, стоящих перед Оператором в зависимости от вида его деятельности, и связанных с обработкой персональных данных.

Полнота — сохранение всей информации о персональных данных конкретных субъектов или группах субъектов, которая имелась до обезличивания. Структурированность — сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания.

Релевантность — возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме. Семантическая целостность — соответствие семантики атрибутов обезличенных данных семантике соответствующих атрибутов персональных данных при их обезличивании.

Применимость — возможность обработки персональных данных с целью решения задач, стоящих перед Оператором, без предварительного деобезличивания всего объема записей о субъектах. Анонимность — невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации.

Наличие перечисленных свойств обеспечивается применяемыми методами обезличивания.

Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 5 сентября 2013 г.

N 996 г. Москва «Об утверждении требований и методов по обезличиванию персональных данных»

Зарегистрирован в Минюсте РФ 10 сентября 2013 г.

Регистрационный N 29935 В соответствии с подпунктом «з» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г.
Регистрационный N 29935 В соответствии с подпунктом «з» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст.

1626), приказываю: 1. Утвердить прилагаемые требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ. 2. Направить настоящий приказ на государственную регистрацию в Министерство юстиции Российской Федерации.

Руководитель А. Жаров Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ 1. Настоящие Требования и методы по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее — Требования и методы) разработаны в соответствии с подпунктом «з» пункта 1 Перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утвержденного постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 (Собрание законодательства Российской Федерации, 2012, N 14, ст.

1626). 2. В соответствии со статьей 3 Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, N 31 (ч. I), ст. 3451; 2009, N 48, ст.

5716; N 52 (ч. I), ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52 (ч. I), ст. 6974; 2011, N 23, ст.

3263; N 31, ст. 4701; 2013, N 14, ст. 1651) под обезличиванием персональных данных понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. 3. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки.

Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

4. К свойствам обезличенных данных относятся: полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания); структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания); релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме); семантическая целостность (сохранение семантики персональных данных при их обезличивании); применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее — оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах); анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

5. К характеристикам (свойствам) методов обезличивания персональных данных (далее — методы обезличивания), определяющим возможность обеспечения заданных свойств обезличенных данных, относятся: обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность); вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных); изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания); стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных); возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов); совместимость (возможность интеграции персональных данных, обезличенных различными методами); параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания); возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям). 6. Требования к методам обезличивания подразделяются на: требования к свойствам обезличенных данных, получаемых при применении метода обезличивания; требования к свойствам, которыми должен обладать метод обезличивания.

7. К требованиям к свойствам получаемых обезличенных данных относятся: сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных); сохранение структурированности обезличиваемых персональных данных; сохранение семантической целостности обезличиваемых персональных данных; анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений обезличенных данных между собой для деобезличивания как, например, k-anonymity). 8. К требованиям к свойствам метода обезличивания относятся: обратимость (возможность проведения деобезличивания); возможность обеспечения заданного уровня анонимности; увеличение стойкости при увеличении объема обезличиваемых персональных данных.

9. Выполнение приведенных в пунктах 7 и 8 Требований и методов требований обязательно для обезличенных данных и применяемых методов обезличивания. 10. Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам), быть практически реализуемыми в различных программных средах и позволять решать поставленные задачи обработки персональных данных. 11. К наиболее перспективным и удобным для практического применения относятся следующие методы обезличивания: метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным); метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений); метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств); метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве персональных данных).

12. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия. Метод обеспечивает следующие свойства обезличенных данных: полнота; структурированность; семантическая целостность; применимость.

Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания); изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания); стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных); возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам); параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных). Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия. 13. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных: структурированность; релевантность; применимость; анонимность. Оценка свойств метода: обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных); вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания); изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания); стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных); возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами); параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных); возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных). Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например). 14. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных: полнота; структурированность; релевантность; семантическая целостность; применимость. Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания); изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания); стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений); возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами); параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища. 15. Метод перемешивания реализуется путем перемешивания отдельных записей, а так же групп записей между собой. Метод обеспечивает следующие свойства обезличенных данных: полнота; структурированность; релевантность; семантическая целостность; применимость; анонимность.

Оценка свойств метода: обратимость (метод позволяет провести процедуру деобезличивания); вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания); изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания); стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию); возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов); совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами); параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию); возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи. Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

Последние новости по теме статьи

Важно знать!
  • В связи с частыми изменениями в законодательстве информация порой устаревает быстрее, чем мы успеваем ее обновлять на сайте.
  • Все случаи очень индивидуальны и зависят от множества факторов.
  • Знание базовых основ желательно, но не гарантирует решение именно вашей проблемы.

Поэтому, для вас работают бесплатные эксперты-консультанты!

Расскажите о вашей проблеме, и мы поможем ее решить! Задайте вопрос прямо сейчас!

  • Анонимно
  • Профессионально

Задайте вопрос нашему юристу!

Расскажите о вашей проблеме и мы поможем ее решить!

+