Правила работы с обезличенными персональными данными

Приказ об утверждении Правил работы с обезличенными персональными данными

Руководствуясь положениями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных",

ПРИКАЗЫВАЮ:

Утвердить Правила работы с обезличенными персональными данными, с Приложением к нему.

Сотрудникам, осуществляющим обезличивание персональных данных, руководствоваться в данной деятельности настоящими Правилами.

Контроль за реализацией настоящего Приказа возложить на Ответственного за организацию обработки персональных данных.

Приложение:

1. Правила работы с обезличенными данными.

 Приложение

УТВЕРЖДЕНЫ

приказом  

от  №  

Правила работы с обезличенными данными

Общие положения

Настоящие Правила разработаны в соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Обезличивание персональных данных может быть проведено с целью ведения статистических данных, снижения ущерба от разглашения защищаемых персональных данных, по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Способы обезличивания при условии дальнейшей обработки персональных данных:

- замена части сведений идентификаторами (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

- изменение состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

- декомпозиция (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

- перемешивание (перестановка отдельных записей, а также групп записей в массиве персональных данных).

Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

Метод обеспечивает следующие свойства обезличенных данных:

- структурированность;

- релевантность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

- вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

- возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

- параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

- возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

Для реализации метода требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта.

При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (средние значения, например).

Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость.

Оценка свойств метода:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

- параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется предварительно разработать правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.

Метод обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость;

- анонимность.

Оценка свойств метода:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

Для реализации метода требуется разработать правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

Метод может использоваться совместно с методами введения идентификаторов и декомпозиции.

Перечень должностей сотрудников, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в Приложении к настоящим Правилам; 

Решение о необходимости обезличивания персональных данных принимает руководитель ;

Руководители структурных подразделений, непосредственно осуществляющие обработку персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания;

Сотрудники подразделений, обслуживающих базы данных с персональными данными, совместно с Ответственным за организацию обработки персональных данных, осуществляют непосредственное обезличивание выбранным способом.

Порядок работы с обезличенными персональными данными:

 Обезличенные персональные данные конфиденциальны и не подлежат разглашению.

 Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение парольной защиты средств автоматизации, идентификации пользователей в локальной сети, правил работы со съемными носителями (в случае их использования), правил резервного копирования, а также порядка доступа в помещения, где расположены информационные системы персональных данных, в целях исключения несанкционированного доступа к обезличенным персональным данным, а также исключения возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также от неправомерных действий в отношении обезличенных персональных данных. Указанный порядок доступа обеспечивается в том числе:

- запиранием помещения на ключ, в том числе при выходе из него в рабочее время;

- закрытием металлических шкафов и сейфов, где хранятся носители информации, содержащие обезличенные персональные данные, во время отсутствия в помещении государственных гражданских служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

2.4. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил хранения бумажных носителей и порядка доступа в помещения, где они хранятся, предусмотренного подпунктом 2.3 настоящих Правил, в целях исключения несанкционированного доступа к обезличенным персональным данным, а также исключения возможности их несанкционированного уничтожения, изменения, блокирования, копирования, распространения, а также от неправомерных действий в отношении обезличенных персональных данных.

Приложение 

УТВЕРЖДЕН

приказом 

от  №

Перечень

должностей сотрудников, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных