четверг, 19 марта 2009 г.

Обезличивание, как самый эффективный способ защты ПДн

Что касается обезличивания... подходов и откровенного нигилизма в этом деле очень много. Но попробуем разобраться...

Что такое обезличивание? Это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных. Самый распространенный случай обезличивания - это замена ФИО идентификатором, определить принадлежность персональных данных без имени, мягко говоря, очень сложно. Одним из подходов может быть циркуляция во всех ИСПДн компании данных с идентификатором (например, логином при входе в систему).

Тут есть скользкий вопрос, можно ли использовать в качестве идентификатора логин вроде ivanov, petrov? Ведь в рамках компаний можно определить субъекта. Ответ простой, в рамках ИСПДн маленькой компании, где всего один Иванов, эти данные не будут обезличенными, так как идентифицировать можно, а вот в рамках ИСПДн, где тысячи Ивановых (например в электронном справочнике) обрабатывайте на здоровье.

Сличение идентификатора и ФИО будет проходить в каком-нибудь "бункере"(учитывая требования РД), информация "до и от" которого, идет в зашифрованном виде. В такой ситуации вы формально выполняете все требования регуляторов, т.к. по 4 классу ИСПДн защищать нужно только от незаконной модификации, и вмешательство в бизнес-процессы компании, по сравнению с полноценным выполнением требований РД по К2 и К1, минимальны.

PS. От получения лицензий ФСБ и ФСТЭК конечно же не уйти.
Автор: на
Ярлыки: , , , ,

4 комментария:

  1. ivanov_petrov19 марта 2009 г. в 13:33

    Тут есть скользкий вопрос, можно ли использовать в качестве идентификатора логин вроде ivanov, petrov?

    Ну почему ж нет...

    ОтветитьУдалить
  2. pers_data21 марта 2009 г. в 00:22

    Вы у нас большое и яркое исключение)))

    ОтветитьУдалить
  3. edserg1 апреля 2009 г. в 23:03

    Я бы предложил следующий вопрос про персданные и их обезличивание:
    наряду с боевыми базами данных клиентов организаций, в этих же организациях для различных целей поднимают копии этих БД. Так вот, если нет возможности обезличить эту БД, то как ее защищать? Они ведь динамически существуют (например, создаются для тестовых целей на месяц). Получается, что глупость их инвентаризировать, глупость им класс официально задавать, а защищать надо. а как и на основании чего - непонятно... Ведь на одном сервере могут подниматься несколько копий различных БД и т.п.
    Давайте обсудим :)

    ОтветитьУдалить
  4. pers_data2 апреля 2009 г. в 05:48

    Вопрос хороший, но ответа на него «с ходу» дать нельзя. Объясню почему. Как я понял у вашей системы может меняться класс системы, цель обработки и т.д, в таких условиях, обеспечить защиту адекватную действующему законодательству, вы не сможете. Хотя выкрутиться, скорее всего, можно, но нужно знать детали системы.

    ОтветитьУдалить

Подписаться на: Комментарии к сообщению (Atom)