Надо ли защищать конфиденциальность обезличенных ПДн? Надо!

Надо ли защищать конфиденциальность обезличенных ПДн? Надо!
Что-то в последнее время стало модно подменять понятие "защищенные ПДн" термином "обезличенные ПДн". Типа если ПДн обезличены, то и защищать их не надо (ну, или не надо защищать их "конфиденциальность"). А точнее, что если ПДн обезличены, то можно не выполнять многие требования ФСТЭК России по безопасности ПДн, а значит существенно снизить нагрузку (в том числе и денежную) на операторов ПДн. Ох, как это не верно и даже опасно. Ведь такие мысли создают ошибочное чувство защищенности...

Поясню.

Мысль номер раз. Про возможность отказа от мер защиты

Сейчас про обезличивание ПДн написано не много. Начнем со 152-ФЗ. Главное, что в нем определен термин:
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
В ст.5 п.7 говорится:
"Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом."
Еще есть небольшое упоминание в ст.6 "Условия обработки ПДн"
"1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
...
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;"
Все, больше в 152-ФЗ нет ничего про обезличивание. Кстати, ничего не сказано про обезличивание и в Постановлении Правительства №1119 . А в Приказе ФСТЭК России №21  обезличивание упоминается только один раз в мере ЗНИ.8 "Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания" (базовая мера для УЗ 1-3).

Это я к тому, что на данный момент наличие обезличивания ПДн не является обоснованием того, что можно не выполнять какие-либо меры защиты. Но это скоро поправят. Напомню, что в проекте изменений 152-ФЗ, про который я уже упоминал , есть интересное положение. А именно, хотят дополнить ст.7 152-ФЗ (которая про конфиденциальность ПДн) следующим положением:
2. Обеспечение конфиденциальностиперсональных данных не требуетсявотношении персональных данных, сделанных общедоступными субъектом персональных данных, в отношении данных, полученных оператором в результате обезличиванияперсональных данных, а также в отношении персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Вот тогда-то мы и сможем "официально" отказываться от мер по защите "конфиденциальности" ПДн. Правда меры по защите "целостности" и "доступности" ни кто не отменял, но это другая история.

Мысль номер два. Про защиту конфиденциальности

Еще у нас есть замечательныедокументы РКН:
  • Приказ Роскомнадзора от 05.09.2013 N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ") (Зарегистрировано в Минюсте России 10.09.2013 N 29935)
  • "Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (утв. Роскомнадзором 13.12.2013)
Посмотрим их поподробнее. Начнем с Приказа №996, он короткий (всего 5 страниц).

Сразу видим "Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки." (т.е. защита "конфиденциальности" уже вроде как подразумевается).

Ну, ок. Читаем дальше: "К характеристикам (свойствам) методов обезличивания персональных данных относится ... стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных). Можем ли мы считать этот параметр "ответственным" за обеспечение конфиденциальности обезличенных ПДн? Скорее да... При этом все представленные методы обезличивания обладают "стойкостью" (с некоторыми мелкими допущениями).

А "Рекомендации" уже интереснее... В них на 17 страницах описаны конкретные процедуры и рекомендации по использованию методов обезличивания, а также приведены примеры обезличенных данных. Кстати, в документе вместо параметра "стойкость" стали использовать термин "анонимность" (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации). Ну, это уже мелочи, хотя и про защиту "конфиденциальности".

В документе говорится, что "При хранении обезличенных данных Оператору следует: ...обеспечивать конфиденциальность дополнительной (служебной) информации о выбранном методе реализации процедуры обезличивания и параметрах процедуры обезличивания.". Про то, что следует обеспечивать "конфиденциальность" обезличенных данных нет ни слова. Вроде как предполагается, что это делать не надо. И это главная методологическая ошибка!!!

Чтобы это понять, достаточно просто взять примеры из приложения к документу. Напомню, что там представлена первоначальная таблица с ПДн и итоговые таблицы с обезличенными ПДн после преобразования.






Обратите внимание, что при нарушении "конфиденциальности" итоговых таблиц с обезличенными ПДн, вреда для конечного субъекта ПДн не будет лишь в случае использования второго метода (изменения состава или семантики). Во всех остальных (особенно первого и третьего метода) ущерб для конечного пользователя может быть очень велик. Злоумышленникам не надо знать ФИО субъекта, ведь, имея адрес, диагноз и телефон, уже можно предлагать некачественные лекарства, нетрадиционные методы медицины, шантажировать обещаниями рассказать о диагнозе "ВИЧ" друзьям и коллегам, ну и многое другое... И это очень страшно, ведь обезличенные ПДн, как мы с вами уже обсудили, не особо и собираются защищать. И в этом вся проблема...

Да, я понимаю, что в некоторых случаях обезличенные ПДн не надо защищать, но много ли их? 

Итого
Обезличивание ПДн не панацея, защищать их скорее всего придется. При этом общие затраты на организацию обработки и защиту, вероятно, будут выше чем при классическом "необезличенном" подходе. Хотя это надо считать для каждого конкретного случая.


P.S. Еще можно почитать:
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире