Страницы

Обезличиваем "по-роскомнадзоровски"

Роскомнадзор выпустил методические рекомендации по обезличиванию персональных данных. На данный момент документ с сайта Роскомнадзора исчез по неизвестной причине, но почитать его можно здесь, а скачать распознанную версию тут (спасибо Алексею Комарову!).

Просмотреть хитрый многостраничный TIFF можно во встроенном обозревателе Windows Photo Viewer.


Подходы к обезличиванию, перечисленные в методических рекомендациях, мы изучили еще в 996 приказе Роскомнадзора. Кроме них в документе есть перечень необходимых внутренних документов (но нет, к сожалению, шаблонов).
...вообщем, бумаги понадобится много...

За каждым документом всегда имеется какая-то история. История всей темы с обезличиванием, как мне кажется, связана с больницами. Ведь больницы - крупнейшие операторы очень чувствительных персональных данных. У больниц частенько нет ни персонала ни денег на защиту информации. Да и защищать персональные данные больницам нужно по самым жестким требованиям (сведения о здоровье граждан). Как выйти из этой ситуации? Как снизить бремя затрат на защиту персональных данных для медучреждений? Вероятно, обезличить.

Давайте посмотрим, достиг ли Роскомнадзор поставленной цели.


Сведения из таблицы А.1. - это теперь обезличенные данные по версии Роскомнадзора. Это  НЕ персональные данные, и в общем случае оператор даже не обязан их защищать. То есть домашний адрес и личный телефон больного СПИДом - это теперь "статистическая" информация.

Человек, который это писал, не мог не понимать, что его решение будет растиражировано по тысячам больниц и сотням информационных систем. Миллионы пациентов в соответствие с такими "рекомендациями" лишаться своего права на защиту персональных данных - домашних адресов, личных телефонов и почтовых ящиков и так далее. Ведь в современном мире по почтовому ящику или номеру сотового можно узнать о человеке порой больше, чем по паспорту! 

Дальше ещё хуже.
В этом примере Роскомнадзор перемешал у пациентов персональные данные. 
Вы представляете что будет, если так поступят в настоящей больнице? Какова будет в таком случае цена ошибки врача - оператора ИСПДн? Представьте, что вы пришли к врачу и видите у него на рабочем столе напротив вашей фамилии слово "ВИЧ". Представили?
Представьте еще, что в больницу придет новый врач или стажер и забудет "расшифровать" карточки пациентов перед раздачей лекарств...

Конечно, все это лишь примеры, и любой человек в здравом уме не будет применять их в реальной медицинской информационной системе. Но ведь люди, дословно воспринимающие рекомендации Роскомнадзора, точно найдутся! После всех тех скандалов, связанных с подслушиванием и подглядыванием, наш основной "защитник прав субъектов персональных данных" предлагает не считать персональными данными и, следовательно, не защищать должным образом адреса и телефоны больных ВИЧ! Так делать нельзя.

Если шифровать - то так, чтобы АНБ не расшифровало. Если обезличивать - то так, чтобы и ФСБ не нашла!

Что еще почитать?



5 комментариев:

  1. "...это теперь обезличенные данные по версии Роскомнадзора. Это НЕ персональные данные, и в общем случае оператор даже не обязан их защищать."
    Ну и на каком основании считать что обезличенные персональные данные потеряли статус персональных? Где та волшебная фраза, что если обезличенные персональные данные они просто данные, и при передачи через канал интернет не требуется мер по защите ? Как обеспечить защиту чувствительной информации о методе, алгоритме обезличивания?

    А еще на стр.13 есть фраза о том, что обезличивание должно проводится перед вводом в ИС и одновременно в тексте фразы мол проводите процедуру обезличивания программно.Программно это разве уже не в ИС?
    И вообще как обезличивание прикручивается к документам ФСТЭК и ФСБ?
    С другой стороны правильно написал Сергей Борисов http://sborisov.blogspot.ru/2013/12/blog-post_20.html бери бумажки и верти как хочешь, а в итоге если захотят все равно накажут.

    ОтветитьУдалить
    Ответы
    1. Перс.данные - сведения, относящиеся к определенному лицу. Обезличенные данные - сведения, по которым невозможно определить лицо. Это два взаимоисключающихся множества.
      Обезличенные ПДн оператор может защищать как ему вздумается (то есть никак).

      Проблема как раз таки в том, что не накажут. "Обезличь" персональные данные в соответствие с "рекомендациями" Роскомнадзора - и можешь спать спокойно!

      Удалить
  2. Примеры не совсем корректные. Если данных достаточно для идентификации лица, то уже не обезличенные.
    Надо было ФИО+адрес+телефон - убирать в таблицу идентификаторов.

    А где-то уже написано что обезличенные ПДн не надо защищать?

    ОтветитьУдалить
  3. Представьте, что вы пришли к врачу и видите у него на рабочем столе напротив вашей фамилии слово "ВИЧ". Представили?
    Представьте еще, что в больницу придет новый врач или стажер и забудет "расшифровать" карточки пациентов перед раздачей лекарств...

    ИМХО во-первых обезличивание должно максимально автоматизироваться, иначе действительно начнутся такие ошибки, что лучше уж вообще ничего не обезличивать. Например, можно посмотреть в сторону data masking (я об этом написал тут http://crypto-anarchist.blogspot.ru/2013/12/data-masking.html). Другое дело, что инфраструктура мед. учреждений к таким решениям вряд ли готова.

    А во-вторых по поводу самой надежности метода перемешивания тоже есть определенные вопросы. Тема тесно связана с криптографией. Вопрос, почему не предложено никаких алгоритмов перемешивания? Кто оценит стойкость алгоритма выбранного оператором? Сейчас получается, что никто. Если такая слабо "перемешанная" БД попадет к криптоаналитикам, есть подозрение, что алгоритм перемешивания будет вскрыт и исходная БД восстановлена.

    ОтветитьУдалить
  4. Примеры не просто не корректные, они... (я даже не знаю как выразиться без мата)
    Итак, берем пару-тройку адресов из "обезличенной базы".
    Лезем в поисковик и вбиваем: копия паспорта.
    Заводим халявное мыло.
    Дальше топаем на rosreestr.ru и берем кадастровые выписки на указанные ранее адреса, на паспорт из интернета :)
    После этого топаем к теримналу КИВИ и оплачиваем услугу.
    Получаем ФИО, ну еще СНИЛС в придачу...
    дальше спокойно вычисляем "алгоритм обезличивания", особенно если учесть тот факт что количество строк неизменно, то задача вообще на 5 минут.

    Все счастливы и довольны, кроме субъекта ПДн.
    Да-да... всё ради него...

    ОтветитьУдалить