Приложение 4. Правила работы с обезличенными персональными данными в Министерстве образования и науки Республики Северная Осетия-Алания. Приказ Министерства образования и науки Республики Северная Осетия-Алания от 30.04.2021 N 401 "О мерах, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" в Министерстве образования и науки Республики Северная Осетия-Алания"

Приложение 4

к приказу Министерства

образования и науки

Республики Северная Осетия-Алания

от 30.04.2021 г. N 401

Правила
работы с обезличенными персональными данными в Министерстве образования и науки Республики Северная Осетия-Алания

1. Общие положения

1.1. Настоящие Правила разработаны с учетом Федерального закона от 27 июля 2006 N 152-ФЗ "О персональных данных" и постановления Правительства Российской Федерации от 21 марта 2012 года N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".

1.2. Настоящие Правила устанавливают методы обезличивания и порядок работ с обезличенными персональными данными в Министерстве образования и науки Республики Северная Осетия-Алания (далее - Министерство).

2. Термины и определения

2.1. В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных":

- персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- обезличивание персональных данных действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

3. Принципы обезличивания персональных данных

3.1. Обезличивание персональных данных должно обеспечивать не только защиту от несанкционированного использования, но и возможность их обработки. Для этого обезличенные данные должны обладать свойствами, сохраняющими основные характеристики обезличиваемых персональных данных.

3.2. К свойствам обезличенных данных относятся:

- полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);

- структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);

- релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);

- семантическая целостность (сохранение семантики персональных данных при их обезличивании);

- применимость (возможность решения задач обработки персональных данных, стоящих перед оператором, осуществляющим обезличивание персональных данных, обрабатываемых в информационных системах, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ (далее - оператор, операторы), без предварительного деобезличивания всего объема записей о субъектах);

- анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

3.3. К характеристикам (свойствам) методов обезличивания персональных данных (далее - методы обезличивания), определяющим возможность обеспечения заданных свойств, обезличенных данных, относятся:

- обратимость (возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность);

- вариативность (возможность внесения изменений в параметры метода и его дальнейшего применения без предварительного деобезличивания массива данных);

- изменяемость (возможность внесения изменений (дополнений) в массив обезличенных данных без предварительного деобезличивания);

- стойкость (стойкость метода к атакам на идентификацию субъекта персональных данных);

- возможность косвенного деобезличивания (возможность проведения деобезличивания с использованием информации других операторов);

- совместимость (возможность интеграции персональных данных, обезличенных различными методами);

- параметрический объем (объем дополнительной (служебной) информации, необходимой для реализации метода обезличивания и деобезличивания);

- возможность оценки качества данных (возможность проведения контроля качества обезличенных данных и соответствия применяемых процедур обезличивания установленным для них требованиям).

3.4. Требования к методам обезличивания подразделяются на:

- требования к свойствам обезличенных данных, получаемых при применении метода обезличивания;

- требования к свойствам, которыми должен обладать метод обезличивания.

3.5. К требованиям к свойствам получаемых обезличенных данных относятся:

- сохранение полноты (состав обезличенных данных должен полностью соответствовать составу обезличиваемых персональных данных);

- сохранение структурированности обезличиваемых персональных данных;

- сохранение семантической целостности обезличиваемых персональных данных;

- анонимность отдельных данных не ниже заданного уровня (количества возможных сопоставлений, обезличенных данных между собой для деобезличивания).

3.6. К требованиям к свойствам метода обезличивания относятся:

- обратимость (возможность проведения деобезличивания);

- возможность обеспечения заданного уровня анонимности;

- увеличение стойкости при увеличении объема обезличиваемых персональных данных.

4. Методы обезличивания персональных данных

4.1. В Министерстве допустимо использовать следующие методы обезличивания:

- метод введения идентификаторов (замена части сведений (значений персональных данных) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);

- метод изменения состава или семантики (изменение состава или семантики персональных данных путем замены результатами статистической обработки, обобщения или удаления части сведений);

- метод декомпозиции (разбиение множества (массива) персональных данных на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);

- метод перемешивания (перестановка отдельных записей, а также групп записей в массиве персональных данных).

4.2. Метод введения идентификаторов реализуется путем замены части персональных данных, позволяющих идентифицировать субъекта, их идентификаторами и созданием таблицы соответствия.

4.3. Метод введения идентификаторов обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- семантическая целостность;

- применимость.

4.4. Оценка свойств метода введения идентификаторов:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет перейти от одной таблицы соответствия к другой без проведения процедуры деобезличивания);

- изменяемость (метод не позволяет вносить изменения в массив обезличенных данных без предварительного деобезличивания);

- стойкость (метод не устойчив к атакам, подразумевающим наличие у лица, осуществляющего несанкционированный доступ, частичного или полного доступа к справочнику идентификаторов, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод позволяет интегрировать записи, соответствующие отдельным атрибутам);

- параметрический объем (объем таблицы (таблиц) соответствия определяется числом записей о субъектах персональных данных, подлежащих обезличиванию);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

4.5. Для реализации метода введения идентификаторов требуется установить атрибуты персональных данных, записи которых подлежат замене идентификаторами, разработать систему идентификации, обеспечить ведение и хранение таблиц соответствия.

4.6. Метод изменения состава или семантики реализуется путем обобщения, изменения или удаления части сведений, позволяющих идентифицировать субъекта.

4.7. Метод изменения состава или семантики обеспечивает следующие свойства обезличенных данных:

- структурированность;

- релевантность;

- применимость;

- анонимность.

4.8. Оценка свойств метода изменения состава или семантики:

- обратимость (метод не позволяет провести процедуру деобезличивания в полном объеме и применяется при статистической обработке персональных данных);

- вариативность (метод не позволяет изменять параметры метода без проведения предварительного деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (стойкость метода к атакам на идентификацию определяется набором правил реализации, стойкость метода не повышается с увеличением объема обезличиваемых персональных данных);

- возможность косвенного деобезличивания (метод исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод не обеспечивает интеграции с данными, обезличенными другими методами);

- параметрический объем (параметры метода определяются набором правил изменения состава или семантики персональных данных);

- возможность оценки качества данных (метод не позволяет проводить анализ, использующий конкретные значения персональных данных).

4.9. Для реализации метода изменения состава или семантики требуется выделить атрибуты персональных данных, записи которых подвергаются изменению, определить набор правил внесения изменений и иметь возможность независимого внесения изменений для данных каждого субъекта. При этом возможно использование статистической обработки отдельных записей данных и замена конкретных значений записей результатами статистической обработки (например, средние значения).

4.10. Метод декомпозиции реализуется путем разбиения множества записей персональных данных на несколько подмножеств и создание таблиц, устанавливающих связи между подмножествами, с последующим раздельным хранением записей, соответствующих этим подмножествам.

4.11. Метод декомпозиции обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость.

4.12. Оценка свойств метода декомпозиции:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет изменить параметры декомпозиции без предварительного деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (метод не устойчив к атакам, подразумевающим наличие у злоумышленника информации о множестве субъектов или доступа к нескольким частям раздельно хранимых сведений);

- возможность косвенного деобезличивания (метод не исключает возможность деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод обеспечивает интеграцию с данными, обезличенными другими методами);

- параметрический объем (определяется числом подмножеств и числом субъектов персональных данных, массив которых обезличивается, а также правилами разделения персональных данных на части и объемом таблиц связывания записей, находящихся в различных хранилищах);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

4.13. Для реализации метода декомпозиции органом Министерства предварительно разрабатываются правила декомпозиции, правила установления соответствия между записями в различных хранилищах, правила внесения изменений и дополнений в записи и хранилища.

4.14. Метод перемешивания реализуется путем перемешивания отдельных записей, а также групп записей между собой.

4.15. Метод перемешивания обеспечивает следующие свойства обезличенных данных:

- полнота;

- структурированность;

- релевантность;

- семантическая целостность;

- применимость;

- анонимность.

4.16. Оценка свойств метода перемешивания:

- обратимость (метод позволяет провести процедуру деобезличивания);

- вариативность (метод позволяет изменять параметры перемешивания без проведения процедуры деобезличивания);

- изменяемость (метод позволяет вносить изменения в набор обезличенных данных без предварительного деобезличивания);

- стойкость (длина перестановки и их совокупности определяет стойкость метода к атакам на идентификацию);

- возможность косвенного деобезличивания (метод исключает возможность проведения деобезличивания с использованием персональных данных, имеющихся у других операторов);

- совместимость (метод позволяет проводить интеграцию с данными, обезличенными другими методами);

- параметрический объем (зависит от заданных методов и правил перемешивания и требуемой стойкости к атакам на идентификацию);

- возможность оценки качества данных (метод позволяет проводить анализ качества обезличенных данных).

4.17. Для реализации метода перемешивания органом Министерства предварительно разрабатываются правила перемешивания и их алгоритмы, правила и алгоритмы деобезличивания и внесения изменений в записи.

4.18. Метод перемешивания может использоваться совместно с методами введения идентификаторов и декомпозиции.

5. Порядок работы с обезличенными персональными данными

5.1. Решение о необходимости обезличивания персональных данных принимает Министр образования и науки Республики Северная Осетия-Алания.

5.2. Руководители структурных подразделений Министерства, в которых осуществляется обработка персональных данных, готовят предложения по обезличиванию персональных данных, обоснование такой необходимости и способ обезличивания.

5.3. Сотрудники структурных подразделений Министерства, обслуживающие базы данных с персональными данными, совместно с ответственным за организацию обработки персональных данных осуществляют непосредственное обезличивание выбранным способом.

5.4. Перечень должностей в Министерстве, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных, приведен в приложении к настоящим Правилам.

5.5. Методы обезличивания, должны обеспечивать требуемые свойства обезличенных данных, соответствовать предъявляемым требованиям к их характеристикам (свойствам) и решать поставленные задачи обработки персональных данных.

5.6. Обезличенные персональные данные не подлежат разглашению. Требуется соблюдать конфиденциальность обрабатываемых обезличенных персональных данных.

5.7. Обезличенные персональные данные могут обрабатываться с использованием средств автоматизации, без использования средств автоматизации, смешанным способом.

5.8. При обработке обезличенных персональных данных с использованием средств автоматизации необходимо соблюдение следующих требований по обеспечению безопасности: по парольной защите, по антивирусной защите, по работе с материальными носителями персональных данных, по обеспечению резервного копирования.

5.9. При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение правил обработки материальных носителей персональных данных и правил доступа к ним.