ГОСТ Р55036—2012/ISO/TS 25237:2008
Применяя простой алгоритм связывания записей, который непосредственно сравнивает соответствующие
характеристики записей обезличенной базы данных и базы данных наблюдений (рисунок В.4.
связывание (1)),
можно составить следующие таблицы соответствия (проиллюстрированные на рисунке В.6 различными линиями
между двумя наборами записей).
В этих таблицах показано соответствие между известной фамилией и идентификатором обезличенной за
писи и наоборот, построенное с помощью данного правила связывания. Если используются несколько алгорит
мов связывания, то они должны выполняться совместно, и построение соответствующих таблиц может стать
достаточно сложным.
Из таблиц видно, что обезличенная запись с идентификатором 01 может соответствовать только Волковой,
то есть субъект данных этой записи полностью установлен и злоумышленник теперь знает, что у Волковой две не
наблюдаемые характеристики имеют значения А. Б. Используя это знание, злоумышленник может обновить
ранее построенные таблицы и получить следующий результат.
Идентификатор
обезличенной записи
Может соответствовать
01
Борисов, Волкова
02
Амелина. Борисов
03
Амелина. Борисов
Идентификатор
лица
Может соответствовать
Амелина
02.03
Борисов
01.02,03
Волкова
01
Идентификатор
лица
Может соответствовать
Амелина
02,03
Борисов
02,03
Идентификатор
обезличенной записи
Может соответствовать
02
Амелина, Борисов
03
Амелина, Борисов
По оставшимся записям обезличенной базы данных злоумышленник не может однозначно определить, к
кому именно они относятся. Однако он может предположить, что с вероятностью 50 % запись с идентификатором
02 относится либо к Амелиной, либо к Борисову. В реальной (большой) базе данных подобная информация мало
чтодает для восстановления идентичности субъекта данных, однако даже и в этом случае злоумышленник
может получить полезные ему сведения.
Хотя в описанном выше примере полное восстановление идентичности не имеет места, тем не менее
определенная утечка информации существует, поскольку в записях обезличенной базы данных с идентификато
рами 02 и 03 характеристика 3 имеет одно и то же значение. Отсюда злоумышленник гложет заключить, что эта
характеристика и у Амелиной, и у Борисова имеет значение Б. Но какие именно значения у них имеет оставшаяся
характеристика 4. у него нет точной информации.
Если все. что злоумышленник хотел знать об Амелиной и Борисове, состоит в значении характеристики 3.
то его попытка раскрыть информацию оказалась полностью успешной. Если характеристика 4 содержит
нужную ему информацию, то его успех оказался частичным. Однако учитывая тот факт, что теперь о Борисове
известно значение характеристики 2. хотя она и не была наблюдаемой, раскрытие информации оказалось еще
большим.
Показанная модель и процедуры применимы не только к таким простым структурам данных, которые были
использованы в этом примере. Записи баз данных содержат многочисленные характеристики, зависящую от
времени информацию или сочетания различных типов данных, которые также укладываются в представленную
модель. Однако реализация соответствующих правил связывания может оказаться более сложной.
В.5 Получение новой информации
Целью восстановления идентичности является получение конфиденциальной информации о каком-либо
лице (рисунок В.7). Хотя это достаточно очевидно, важно не забывать этот факт. Если злоумышленник может
наблюдать все характеристики записей обезличенной или псевдонимизироеанной базы данных, то его база
данных наблюдений есть не что иное, как полностью идентифицируемая версия защищенной базы данных.
Из обезличенной базы данных нельзя извлечь никакой дополнительной информации, которая еще не
доступна злоумышленнику, последний не может извлечь из обезличенной базы данных никаких новых знаний, а.
значит, с обезличенной базой данных не связаны угрозы обеспечению конфиденциальности. Вся
информация и так доступна.
42