Приложение Б (справочное). Система агрегирования персональных данных с безопасными вычислениями. Национальный стандарт РФ ГОСТ Р 59407-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 20.05.2021 N 415-ст)

Приложение Б
(справочное)

Система агрегирования персональных данных с безопасными вычислениями

Б.1 Общая информация

В данном приложении представлен пример архитектуры защиты ПДн, подготовленный на основе базовой архитектуры. Для минимизации раскрытия ПДн в архитектуре используются технологии, улучшающие конфиденциальность ПДн. Следует отметить, что этот пример приводится только с иллюстрационными целями. Любому приложению требуется архитектура, основанная на надлежащей оценке целей и соответствующих требований рассматриваемого приложения.

В приведенном примере описывается система, осуществляющая безопасный сбор ПДн у субъектов ПДн по защищенным каналам. Затем оператор ПДн использует распределение секрета для преобразования ПДн в информацию, не являющуюся ПДн. Результирующая информация, не являющаяся ПДн, передается трем обработчикам ПДн, которые используют безопасные вычисления для обработки ПДн, прошедших распределение секрета, не имея возможности связывать значения с отдельными субъектами ПДн. Узлы обработчика ПДн, участвующие в безопасных вычислениях, получают результат с распределением секрета и передают его аналитику данных, который может восстановить результат из полученных частей.

Б.2 Цель, действующие субъекты и размещение

Целью ИСПДн является сбор персональной информации у ряда субъектов ПДн. Сбор осуществляет организация, проводящая статистическое исследование. Однако, поскольку сама организация не обладает знаниями, необходимыми для статистического анализа, она привлекает для планирования и выполнения исследования и анализа данных внешнего аналитика данных.

Для обеспечения дополнительной защиты ПДн используются распределение секрета и безопасные многосторонние вычисления. Использование распределения секрета и безопасных многосторонних вычислений в этом сценарии требует участия, по крайней мере, трех организаций в безопасной обработке ПДн. Эти организации становятся узлами безопасных многосторонних вычислений, и их роль состоит в том, чтобы хранить ПДн, обработанные с применением метода распределения секрета, и осуществлять с ними безопасные многосторонние вычисления.

Если никакая из организаций, где размещен узел безопасных многосторонних вычислений, не публикует базу данных своей части, восстановление исходных ПДн другими узлами безопасных многосторонних вычислений невозможно. Узлы безопасных многосторонних вычислений обычно подбираются так, чтобы это были представители заинтересованных сторон, не вступающие в сговор.

Действующими субъектами приложения являются:

- физические лица, предоставляющие ПДн, которые являются субъектами ПДн;

- координатор исследования выступает в качестве оператора ПДн;

- узлы безопасных многосторонних вычислений и аналитик данных являются обработчиками ПДн.

ИСПДн размещена, как приведено на рисунке Б.1:

- ИСПДн субъекта ПДн представляет собой веб-приложение, запускаемое в веб-браузере субъекта. Оно размещается на веб-сервере оператора ПДн;

- ИСПДн оператора представляет собой веб-приложение, размещенное на веб-сервере оператора ПДн;

- ИСПДн обработчика ПДн представляет собой специализированное приложение с подключенной системой безопасных вычислений для хранения данных с распределением секрета, отправленных на обработку.

Реализация системы безопасных вычислений приведена на рисунке Б.1.

Рисунок Б.1 - Реализация системы безопасных вычислений

Б.3 Архитектура приложения ввода персональных данных

Координатор исследования подготавливает ИСПДн субъекта ПДн, которая содержит все три уровня архитектуры в соответствии с настоящим стандартом. Архитектура приложения ввода ПДн приведена на рисунке Б.2.

Рисунок Б.2 - Архитектура приложения ввода персональных данных

Компоненты могут быть реализованы описанным ниже образом.

Уровень установок:

- классификация ПДн: поскольку у субъекта ПДн запрашиваются специальные категории ПДн, вся вводимая ПДн автоматически считается чувствительной, за исключением факта и времени согласия;

- управление согласиями: после представления политики и цели приложение ввода ПДн в прямой форме запрашивает согласие субъекта ПДн перед представлением ему формы ввода ПДн. Решение о согласии и дата получения согласия также передаются в ИСПДн оператора. ИСПДн субъекта генерирует случайное значение и передает его в систему оператора ПДн вместе с согласием, чтобы сделать возможным изменение или отзыв согласия. Для изменения или отзыва согласия субъект ПДн обращается к координатору исследования и представляет случайное значение, которое может быть использовано для поиска ранее предоставленных ПДн и маркировки их для изменения или удаления;

- сообщение политики и целей: информация о политике обеспечения безопасности ПДн и цели сбора ПДн предоставляется субъекту ПДн в приложении ввода ПДн, когда оно загружается с веб-сервера.

Уровень управления идентификационными данными и управления доступом:

- система управления идентификационными данными: субъекты ПДн не идентифицируются, так как ввод данных осуществляется анонимно. Идентификационные данные оператора ПДн передаются через приложение ввода ПДн;

- управление доступом, аутентификация и авторизация: доступ к приложению ввода ПДн управляется путем ограничения его поставки с сервера оператора ПДн. Субъекты ПДн не аутентифицируются для сохранения анонимности (также не используется никакой метод групповой аутентификации). Субъекты ПДн аутентифицируют серверы оператора ПДн через стандартное безопасное HTTP соединение.

Уровень персональных данных:

- управление ПДн: приложение ввода ПДн не обеспечивает локальное хранение в веб-браузере субъекта ПДн. Оно сразу передает ПДн оператору ПДн;

- передача ПДн: для передачи ПДн на серверы оператора ПДн используется безопасное HTTP соединение;

- проверка правильности ПДн: полям в форме ввода ПДн присваиваются значения метаданных, которые используются для подтверждения того, что введенные значения соответствуют правильному формату;

- шифрование ПДн: шифрованием ПДн (и остальных сообщений между субъектом ПДн, оператором ПДн, контроллером) управляет безопасное HTTP соединение;

- инвентарная опись ПДн: после заполнения формы приложение ввода ПДн предоставляет возможность субъекту ПДн просматривать ответы и сохранять или печатать копию ПДн с использованием названия организаций оператора ПДн и обработчиков ПДн и случайной величины, отправленной вместе с согласием.

Б.4 Архитектура приложения управления исследованием

Оператор ПДн также использует ИСПДн в среде Интернет с некоторыми дополнительными возможностями для обработки ПДн, полученных от нескольких субъектов ПДн, передачи их обработчикам ПДн и проведения более тщательных аудитов. Архитектура ИСПДн координатора исследования представлена на рисунке Б.3.

Рисунок Б.3 - Архитектура информационной системы персональных данных координатора исследования

Компоненты могут быть реализованы следующим образом.

Уровень установок:

- сообщение политики и целей: оператор ПДн сообщает политику и цель субъекту ПДн, подготавливая и предоставляя приложение ввода ПДн. Оператор ПДн сообщает политику обработчикам ПДн посредством договоров;

- классификация ПДн: ИСПДн оператора ПДн содержит встроенные правила классификации ПДн, поступающих от субъектов ПДн, как чувствительных данных (за исключением информации о согласии);

- управление согласиями: оператор ПДн получает информацию о согласии из приложения ввода ПДн и хранит ее вместе с ПДн. Соответственное случайное значение может быть впоследствии использовано для осуществления изменения или отзыва согласия.

Уровень управления идентификационными данными и управления доступом:

- система управления идентификационными данными: никакая идентификационная информация субъекта ПДн не хранится. ИСПДн оператора дополнительно хранит информацию об узлах безопасных многосторонних вычислений и аналитике данных;

- управление доступом, аутентификация и авторизация: управление доступом к приложению ввода ПДн осуществляется путем разрешения или блокирования его поставки и блокирования сервиса сбора ПДн. Для авторизации доступа к ИСПДн оператора ПДн используются стандартные технологии (смарт-карты, биометрические данные, пароли и т.д.).

Уровень персональных данных:

- управление ПДн: ИСПДн координатора исследования получает ПДн от приложений ввода ПДн и хранит ее в базе данных. Система способна передавать ПДн в ИСПДн обработчика ПДн;

- передача ПДн: ИСПДн может получать безопасные HTTP-запросы от приложения ввода ПДн. Она может также открывать безопасные каналы к системам обработчика ПДн для передачи частей ПДн;

- распределение секрета: для передачи ПДн в систему безопасных вычислений ИСПДн использует распределение секрета для разделения индивидуальных значений на части. Каждая часть в отдельности не раскрывает информацию о введенных значениях;

- шифрование ПДн: шифрование используется при передаче ПДн из приложения ввода ПДн. Кроме того, части ПДн шифруются при передаче обработчикам ПДн. Следует отметить, что, поскольку распределение секрета обеспечивает конфиденциальность ПДн во время хранения, нет необходимости в шифровании частей ПДн;

- инвентарная опись ПДн: система может обеспечивать данные о количестве субъекту ПДн, предоставляющих ПДн для исследования;

- архивирование и хранение ПДн: после завершения исследования содержимое базы данных исследования безопасным образом архивируется. Для резервного копирования используются специальные инструменты системы управления базами данных;

- протоколирование: ИСПДн регистрируют каждую полученную запись ПДн, каждое действие, выполняемое оператором ПДн с использованием своей системы, и каждую передачу ПДн обработчикам ПДн.

Б.5 Архитектура безопасности приложения анализа персональных данных

ИСПДн аналитика данных представляет собой распределенную систему, состоящую из системы безопасного хранения и безопасных многосторонних вычислений и клиентского приложения для осуществления запросов к системе безопасных вычислений. Нижеприведенная архитектура охватывает всю распределенную систему. Следует отметить, что в представленном ниже описании архитектуры узел безопасных многосторонних вычислений означает программное обеспечение системы безопасных вычислений, запускаемое организациями, где размещается система безопасных многосторонних вычислений. Архитектура безопасности приложения анализа ПДн приведена на рисунке Б.4.

Рисунок Б.4 - Архитектура безопасности приложения анализа персональных данных

Компоненты могут быть реализованы следующим образом.

Уровень установок:

- сообщение политики и целей: аналитик данных и узлы безопасных многосторонних вычислений получают информацию о политике и цели с договором на анализ от оператора ПДн;

- классификация ПДн: информация, хранящаяся с использованием распределения секрета, классифицируется как ПДн и обрабатывается с применением безопасных многосторонних вычислений. Информация, не являющаяся ПДн, если таковая имеется, обрабатывается с использованием стандартных методов;

- управление согласиями: координатор исследования обеспечивает уверенность в том, что он передает ПДн, только давших согласие субъекту ПДн обработчикам ПДн. Если субъект ПДн изменяет или отзывает согласие, координатор исследования уведомляет аналитика данных и узлы безопасных многосторонних вычислений, которые затем должны удалить соответствующие части из своих систем.

Уровень управления идентификационными данными и управления доступом:

- система управления идентификационными данными: защита безопасных многосторонних вычислений зависит от узлов безопасных многосторонних вычислений, знающих идентификационные данные друг друга и заинтересованных в защите персональных данных сторон, которые используют системы персональных данных (система координатора исследования, предоставляющая ПДн, и система анализа данных, делающая запросы). Аналогичным образом система персональных данных аналитика данных должна знать идентификационные данные узлов безопасных многосторонних вычислений и координатора исследования;

- управление доступом, аутентификация и авторизация: узлы безопасных многосторонних вычислений аутентифицируют и авторизуют систему персональных данных координатора исследования перед принятием ПДн от нее. Аналогичным образом узлы безопасных многосторонних вычислений аутентифицируют и авторизуют ИСПДн аналитика данных перед принятием запросов. ИСПДн аналитика данных использует стандартные методы для аутентификации и авторизации обработчика ПДн.

Уровень персональных данных:

а) управление ПДн: узлы безопасных многосторонних вычислений хранят ПДн в форме с распределением секрета. Система аналитика данных должна быть способна хранить запросы и их результаты;

б) инвентарная опись ПДн: узлы безопасных многосторонних вычислений могут предоставлять информацию о количестве записей в их базе данных с распределением секрета;

в) использование ПДн: аналитик данных формирует запросы и отправляет их узлам безопасных многосторонних вычислений. Узлы безопасных многосторонних вычислений обрабатывают ПДн, обеспечивая их защиту, и возвращают результаты запроса аналитику данных. Анализ данных составляет отчеты для координатора исследования;

г) передача ПДн: узлы безопасных многосторонних вычислений используют защищенные каналы для приема прошедших распределение секрета ПДн и запросов, а также для осуществления безопасных многосторонних вычислений. Результаты исследования передаются от аналитика данных координатору исследования, используя зашифрованные сообщения электронной почты;

д) распределение секрета: распределение секрета используется в системе безопасных многосторонних вычислений для хранения ПДн, а также в протоколах безопасных вычислений;

е) шифрование ПДн: шифрование используется при передаче ПДн и ПДн, прошедших распределение секрета, а также запросов и результатов. Результаты исследования опционально передаются в зашифрованном виде;

ж) управление запросами: узлы безопасных многосторонних вычислений отказываются отвечать на запросы, если количество записей ПДн меньше заранее определенного значения. Они также предоставляют аналитику данных только окончательные результаты статистических алгоритмов. Промежуточные значения хранятся в форме с распределением секрета. Используются только заранее согласованные статистические процедуры;

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

и) безопасные вычисления: эта система использует безопасные многосторонние вычисления с тремя узлами;

к) архивирование и хранение ПДн: в этом приложении узлы безопасных многосторонних вычислений должны архивировать свои базы данных в той же форме с распределением секрета или безопасно уничтожать ПДн. Аналитик данных безопасным образом архивирует результаты исследования. Журналы регистрации доступа и запросов также должны архивироваться и узлами безопасных многосторонних вычислений, и системой аналитика данных;

л) протоколирование: узлы безопасных многосторонних вычислений должны вести журнал регистрации всех следующих событий:

1) ПДн, полученные от координатора исследования,

2) запросы, полученные от аналитика данных,

3) результаты, возвращенные аналитику данных.

ИСПДн аналитика данных должна вести журнал регистрации всех сделанных запросов и всех полученных результатов.

Б.6 Заключение

Представленная архитектура показывает, как может быть создана защищенная ИСПДн при использовании технологий, улучшающих конфиденциальность персональных данных. Следует отметить, что использование различных парадигм безопасных вычислений может приводить к разной реализации и различным мерам защиты ПДн. В описанном в данной архитектуре решении используется система безопасных вычислений, напоминающая разработчику типичный механизм базы данных, что упрощает понимание системы.

Эта система имеет следующие функции безопасности, которые трудно обеспечить с помощью других методов:

- индивидуальные значения ПДн не заверяются никем, кроме субъекта ПДн;

- организаций, где размещаются базы данных вычислений частей ПДн значительно снижен риск атак со стороны нарушителей, так как базы данных частей информации не раскрывают никакие данные об индивидуальных значениях ПДн;

- если база данных какой-либо конкретной стороны скомпрометирована или похищена, то для вычисления новых частей ПДн можно использовать специальную процедуру многосторонних вычислений, называемую перераспределением, так чтобы даже при компрометации большего числа сторон риск для ПДн был минимальным.