Un método único para despersonalizar datos personales.
Método único para despersonalizar datos personales
Según la definición dada en la Ley Federal “Sobre Datos Personales” de 26 de julio de 2006 No. 152, la despersonalización es un método de procesamiento de datos personales, por lo que la persona a la que pertenecen estos datos no puede ser identificada en el procesamiento. datos personales. Pero hay otro requisito importante que no se menciona en la ley: dicho procesamiento de datos personales debe ser reversible, de lo contrario será simplemente una pérdida de información.
¿Por qué es necesario despersonalizar la EP? Para ahorrar dinero en su protección, después de todo, según la clasificación (Orden del FSTEC de Rusia, el FSB de Rusia y el Ministerio de Información y Comunicaciones de Rusia del 13 de febrero de 2008, No. 55/86/20), Los datos personales anonimizados son la cuarta clase de seguridad, que no requiere protección de la confidencialidad.
Entonces, averigüemos qué significa identificar. La identificación de cualquier objeto es identificación, es decir. prueba de correspondencia inequívoca de la información disponible sobre un objeto con este objeto mismo. Esto es teóricamente posible si:
1. Todos los objetos son únicos en el marco de la información disponible (cada persona es diferente, el problema tiene como máximo una solución);
2. Hay al menos una persona que tiene cada conjunto de detalles disponibles (toda la información es genuina: el problema tiene al menos una solución).
¿Qué significa que se puede y no se puede identificar? Desafortunadamente, no se puede prescindir de una evaluación cuantitativa de la probabilidad, y ésta es una cuestión estrictamente normativa y, lamentablemente, no se ha resuelto de ninguna manera. Por lo tanto, en aras de la comprensión, aceptaremos que si un determinado conjunto de PD corresponde a un pequeño número de caras que se localizan fácilmente para una mayor aclaración, entonces esto significa que se pueden identificar. Y viceversa, si es imposible localizar a estas personas, entonces es imposible identificar a una persona que utiliza estos DP. Está claro que mucho dependerá de quién realice la localización. Por lo tanto, asumiremos que la despersonalización es una forma de proteger los datos personales de un infractor y no una forma de ocultar información a las autoridades oficiales. Aquellos. Para aumentar la probabilidad de identificación, solo se utilizarán fuentes y medios disponibles públicamente.
Supongamos que no fuera posible demostrar que este conjunto de datos personales pertenece (anteriormente pertenecía) a una sola persona. ¿Qué otras opciones son posibles? Hay dos: o un conjunto determinado puede pertenecer a más de una persona o a menos de una, es decir, a nadie.
El primer caso incluye cualquier conjunto insuficiente de PD (los PD pueden pertenecer a muchas personas al mismo tiempo, por ejemplo, nombre o fecha de nacimiento) o un conjunto excesivo de PD (por ejemplo, se indican específicamente dos nombres), y aquí Es muy importante exactamente cuántos sujetos potenciales y cómo se limita este grupo de personas (por ejemplo, es más fácil encontrar a una persona por su nombre si se sabe que es un empleado de la empresa; no olvide que las propiedades del conjunto PD en sí también son información).
El segundo caso incluye PD distorsionado (codificación, enmascaramiento, criptografía, etc.), y aquí la posibilidad de identificación depende únicamente del grado de distorsión.
Por lo tanto, si encontramos e implementamos técnicamente un método de procesamiento que conducirá a la EP a los casos descritos, significa que hemos despersonalizado la EP. No es difícil encontrar métodos de este tipo; por ejemplo, puede tomarlos del estándar estadounidense NIST SP 800?122 (el nombre puede traducirse como «Métodos para proteger la confidencialidad de los datos personales»). Pero no lo hemos adoptado oficialmente, así que pasemos directamente a considerar la implementación técnica.
Empecemos por el segundo caso, por ser el más obvio. El uso de cualquier tipo de distorsión basada en el secreto del algoritmo (reorganizar letras, reemplazarlas, agregar ruido, etc.) es útil solo para el procesamiento a corto plazo (transferencia de información), pero no para el almacenamiento permanente. El algoritmo suele ser conocido por terceros (implementado por un proveedor de software externo), lo que aumenta la probabilidad de que se vea comprometido. En cuanto a la criptografía, todo depende del secreto de la clave, es decir. bastante fiable, pero el uso de este método genera muchos problemas organizativos (uso obligatorio de equipo de protección certificado, obtención de una licencia del FSB, etc.).
El primer caso es mucho más interesante porque no es obvio. La no obviedad reside precisamente en la implementación de la reversibilidad. Es muy fácil hacer que un conjunto de PD sea insuficiente y redundante: elimine algunos de los datos o agregue datos innecesarios, pero lo que se eliminó no se puede tirar a la basura; tendrá que colocarlo en otro lugar que no estará disponible en al mismo tiempo (en cualquier lugar de trabajo) con el conjunto restante de PD. Si se agregan PD, la información sobre esta diferencia debe ocultarse en un lugar inaccesible.
NIST SP 800-122 especifica este método como «particionamiento de bases de datos mediante referencias cruzadas». Esta división se utiliza en todas partes cuando se trabaja con cualquier base de datos, pero no existe una tarea de despersonalización, por lo que las bases de datos, aunque divididas en diferentes almacenamientos, tienen una conexión lógica y, por lo tanto, se procesan simultáneamente.
Veamos qué nos aporta el método de la referencia cruzada para la despersonalización. Para hacer esto, dividiremos radicalmente el PD: en una base de datos resaltaremos todos los detalles de identificación (nombre completo, fecha y lugar de nacimiento, dirección y número de teléfono, pasaporte, etc.), sea un directorio de personas ( según la clasificación — 3ª clase), en otra base tendrá todo lo demás (PD impersonal — 4ª clase). En este caso, la base de datos anónima será accesible públicamente (incluso a través de Internet) y la base de datos del directorio debe estar protegida contra el acceso no autorizado. Sólo se producirá una fuga de información si un atacante obtiene una base de datos de directorio y puede vincularla con una base de datos impersonal. Debemos excluir esta posibilidad. Pero el operador ISPDn necesita la misma conexión para procesar PD. ¿Cómo lo proveerá?
La unión (comparación) de estas bases de datos para implementar la reversibilidad debe realizarse utilizando un determinado código (identificador), único, pero absolutamente abstracto (no se pueden utilizar los números de documento de una persona; estos detalles estarán en el directorio). La esencia del acoplamiento es comparar el identificador de una base de datos con el identificador de otra base de datos; cuando son iguales, significa que la información de las dos bases de datos está acoplada. Si la comparación se realiza en el lugar de trabajo del ISPD de referencia, entonces la base de datos impersonal puede estar disponible aquí (la disponibilidad será unilateral y la clase ISPD será superior a 3), pero si la comparación se realiza en el lugar de trabajo del en un ISPD impersonal, entonces la base de datos de referencia que se encuentra en este lugar es inaccesible y, en este caso, el identificador del directorio puede ingresar a la base de datos anónima solo a través de un medio externo. En este caso, los medios externos no deberían tener datos reales de la persona cuyo código está escrito en ellos. Aunque puede tener características abstractas (color, estampado, etc.).
Para que una persona sea atendida en el marco de una base de datos impersonal, debe presentar cada vez este medio tan externo, es decir, Llévalo contigo en todo momento. En este caso, los medios externos pueden ser de cualquier naturaleza (papel, plástico, metal), y las características abstractas de los medios serán comprensibles sólo para el propietario y facilitarán la distinción de sus medios de los demás.
Este método de despersonalización parece tan sencillo que surgen dudas sobre su eficacia y fiabilidad. ¿Cuánto se reducirá el coste de crear un sistema de protección mediante la anonimización? ¿Qué sucede si una persona pierde este medio o se lo roban para acceder a los datos personales del propietario? Surgen y seguramente surgirán preguntas similares, pero esto no puede servir como motivo para abandonar las nuevas tecnologías, sino sólo como motivo para seguir mejorándolas.
A pesar de la gravedad del problema y la facilidad de implementación, este método de utilizar medios externos en el proceso de despersonalización de datos personales fue patentado solo en abril de 2011 por nuestra organización (patente No. 103414).
Para todas las preguntas relacionadas con el uso de esta tecnología, llame al +7 (351) 700?13-29,
+7 (351) 777?82-88 o +7 (908) 587?87 -73