ГОСТ Р 55036—2012/ISO/TS 25237:2008
ление о моделируемых сущностях и их связях. В одних случаях модель угроз может ограничиваться
минимизацией угрозы случайного раскрытия информации или исключением смещений вдвойных слепых
исследованиях, в других она должна предусматривать возможность злоумышленныхдействий. Отсюда
следует, что конкретные политики обеспечения конфиденциальности могут, например, сделать «границы
неточности» более узкими и определить, что в конкретном контексте понимается под термином «идентифи
цируемость» в результате будет легче оценить ответственность.
Ниже приводится классификация степени угроз, которая, однако, требуетдальнейшего уточнения, а
именно в связи с тем. что для количественной оценки угрозы восстановления идентичности требуются
математические модели. Угрозы восстановления идентичности существуют независимо от того, насколько
хорош отдельный алгоритм преобразования одногофайла персональныхданных. Важным шагом процесса
оценки угроз является анализ результирующей де-идентифицированной совокупности характеристик лю
быхстатических групп, которые могут быть использованы для восстановления идентичности. Это особенно
важно вслучаях, когда для целей обработки необходимы некоторые идентифицирующие характеристики. В
настоящем стандарте такие математические модели не описаны, однако в библиографии приведены ин
формационные ссылки на некоторые из них.
В отличие от идеализированной концептуальной модели, в которой не принимаются во внимание
(известные или неизвестные) внешние источники данных, в методе оценки угроз восстановления идентич
ности должны быть сделаны определенные предположения о том. какие внешние источники данных могут
быть использованы.
Модель реального мира должна принимать во внимание как непосредственно идентифицирующие,
так и косвенно идентифицирующие данные. Необходимо анализировать каждый сценарий на предмет вы
деления требований к идентификаторам какк информационным объектам, а также определить, какие
иден тификаторы могут быть заменены пустыми значениями, какие могут быть искажены, какие требуется
оста вить в полной целостности, а какиедолжны быть заменены псевдонимами.
Ниже определены три уровня процедуры псевдонимизации. каждый из которых гарантирует опреде
ленную степеньобеспечения конфиденциальности. Они характеризуют угрозы восстановления идентично
сти с учетом как непосредственно, так и косвенно идентифицирующихданных:
- уровень 1: угрозы, связанные с использованием элементов данных, идентифицирующих лицо;
- уровень 2: угрозы, связанные с использованием агрегатов данных:
- уровень 3; угрозы, связанные с использованием аномальной информации в заполненной базе
данных.
На всех уровнях оценка степени угроз восстановления идентичности должна осуществляться как
итерационный процесс с регулярным повторением оценки (согласно политике конфиденциальности). По
мере накопления опыта способы обеспечения конфиденциальности и уровни угроздолжны пересматри
ваться.
Наряду с регулярными повторениями процедура оценки может инициироваться определенными со
бытиями. например, изменением состава обрабатываемыхданных или включением в модель новых наблю
даемых данных.
При указании степени гарантий общее обозначение уровня 1.2 или 3 может бытьдополнено числом
пересмотров (например, уровень 2+ для пересмотренного уровня 2; при этом целесообразно указывать
последний пересмотр состава данных и поддерживать историю инцидентов и пересмотров вактуальном
состоянии). По требуемой степени гарантий определяются технические и организационные меры, которые
должны быть реализованыдля обеспечения конфиденциальности персональныхданных. Для более низко
го уровня псевдонимизации требуются более серьезные организационные меры обеспечения конфиденци
альности. чем для более высокого уровня псевдонимизации.
Обеспечение конфиденциальности уровня 1: удаление очевидных непосредственно идентифицирую
щихданных или легко получаемых косвенно идентифицирующихданных.
Первый, интуитивно очевидный, уровень обезличивания может бытьдостигнут с помощью примене
ния простых практических методов. Эти методы обычно подразумеваются при обсуждении псевдонимизи-
рованныхданных. Во многих случаях, вособенности если предполагается злоумышленник со скромными
возможностями, этот уровень обезличивания может предоставлятьдостаточные гарантии. Данные счита
ются идентифицирующими, если вданном контекстедля точногоуказания субъектадостаточно той инфор
мации. которая содержится в самих этихданных. Типичным примером служат фамилии, имена и отчества
лиц. В 6.2.2 приведена спецификация элементов данных, которые могут рассматриваться как
подлежащие удалению или агрегированию, чтобы результирующую совокупность характеристик можно
было считать обезличенной.
Ю