ГОСТ Р 55036—2012/ISO/TS 25237:2008
После определения уровня злоумышленника важно включить в модель угроз его «цели». Обеспечение
конфиденциальности касается защиты персональных данных, а не только идентифицирующих данных, связан
ных с конкретной записью вбазе данных. Это тонкое различие отражается в трех различных целях злоумышлен
ника. описанных в модели, а именно:
a) восстановление идентичности (полное):
определение, к кому именно относится конкретная обезличенная запись:
определение, какие обезличенные записи относятся к определенному лицу;
b
) восстановление информации (частичное восстановление идентичности);
c) определение принадлежности к базе данных:
содержит ли база данных записи, относящиеся к некоторому лицу;
отсутствуют ли в базе данных записи, относящиеся к некоторому лицу.
Понятие полного восстановления идентичности хорошо знакомо. Оно состоит в попытке (частичного) пре
образования обезличенной базы данных к своему идентифицирующему эквиваленту. В наиболее общем случае
злоумышленник пытается восстановить идентичность субъектов данных по всей обезличенной базе данных.
Однако на практике это редко имеет место, и злоумышленник пытается или определить, к кому относится обез
личенная запись, представляющая особый интерес (например, к кому относится запись о высоком доходе), или
извлечь всю информацию о конкретном лице (например, страховой агент пытается установить, не страдает ли
определенное лицо заболеванием сердца).
Две другие цели (частичное восстановление идентичности и определение принадлежности к базе данных)
обсуждаются не часто, поскольку теория соответствующего анализа достаточно сложна. В этом случае для полу
чения необходимой информации злоумышленнику не обязательно восстанавливать идентичность всей инфор
мации о лице. Иногда достаточно извлечь из обезличенной базы данных только отдельную характеристику лица,
даже не зная, какие записи связаны с этим лицом.
Наконец, в некоторых ситуациях интерес может состоять лишь в определении того, включена ли информа
ция о лице в базу данных. Такое включение само по себе может быть конфиденциальной (чувствительной) инфор
мацией. Примером могут служить базы данных, содержащие информацию о пациентах, больных ВИЧ. В этом
случае цель злоумышленника может состоять лишь в том, чтобы определить, включена ли информация о людях
из интересующего его списка вобезличенную базу данных, и ему нет необходимости восстанавливать идентифи
кацию каждой записи.
Понятно, что методы, применяемые злоумышленником, зависят от целей, которые он пытается достичь.
Стратегии атаки тесно связаны с целями. Хотя эти стратегии и укладываются в общую модель, они достаточно
сильно отличаются и некоторые их аспекты должны обсуждаться отдельно.
Очевидно, что полное или частичное восстановление идентичности в том смысле, как они определены в
настоящем стандарте, тесно связаны. Частичное восстановление идентичности представляет собой промежуточ
ноесостояние между отсутствием восстановления иполным восстановлением идентичности (конкретногосубьекта
данных) из обезличенной базы данных (рисунок В.З). Другими словами, оно соответствует ситуации, когда полное
восстановление идентичности отсутствует, но использованные процессы (алгоритмы) восстановления привели к
получению некоторой информации из обезличенной базы данных.
Идентификация
не восстановлена
Ниодна запись на можетвыть
помочена как принадлежащая
или ив принадлежащая
интересующемулицу
в
Интересующее
лицо
Найдены все записи,
связанна»
с интересующимлицом
Целевая
обезличенная
базаданных
Рисунок В.З — Полное и частичное восстановление идентичности
39