автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Защита персональных данных в информационных системах методом обезличивания

кандидата технических наук
Шередин, Роман Валериевич
город
Москва
год
2011
специальность ВАК РФ
05.13.19
Диссертация по информатике, вычислительной технике и управлению на тему «Защита персональных данных в информационных системах методом обезличивания»

Автореферат диссертации по теме "Защита персональных данных в информационных системах методом обезличивания"

ШЕРЕДИН РОМАН ВАЛЕРИЕВИЧ

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МЕТОДОМ ОБЕЗЛИЧИВАНИЯ

Специальность 05.13.19- Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

- 1 ДЕК 2011

Москва 2011 г.

005004627

Работа выполнена на кафедре «Вычислительные системы и сети» ФГБОУ ВПО Московский государственный институт электроники и

математики

Научный руководитель:

Официальные оппоненты:

доктор технических наук, профессор Саксонов Евгений Александрович

доктор технических наук, профессор Кечиев Леонид Николаевич

кандидат технических наук Сапожников Сергей Александрович

Ведущая организация: ФГБОУ ВГ10 Рязанский государственный

радиотехнический университет

Защита состоится «20» декабря 2011 г. в 14.00 часов на заседании диссертационного совета Д 212.133.03 при Московском государственном институте электроники и математики (МИЭМ) по адресу: 109028, Москва, Б. Трехсвятительский пер., дом 3.

С диссертацией можно ознакомиться в библиотеке МИЭМ.

Автореферат разослан « ноября 2011 г.

Ученый секретарь

диссертационного совета /

доктор технических наук, доцент Леохин Ю.Л.

ВВЕДЕНИЕ

С развитием процессов информатизации общества, созданием новых и интеграцией существующих информационных систем, ориентированных на обслуживание населения, все большее внимание уделяется организации обработки персональных данных (ПД). ПД составляют важную часть информационного пространства, содержащую сведения о физических лицах -субъектах ПД. Выделение таких данных в отдельное подмножество обусловлено особыми требованиями к организации их обработки (действиям с ПД), связанными с возможностью нанесения вреда субъектам ПД. Поэтому как в зарубежных странах, так и в России развивается и совершенствуется законодательная база, регламентирующая правила обработки ПД и реализацию прав граждан на конфиденциальность касающейся их информации.

Особое внимание уделяется вопросам защиты ПД в автоматизированных информационных системах ПД - ИСПД. Требования к защите в ИСПД, в соответствии с рядом документов, учитывают категорию и количество ПД, специфику решаемых задач и ряд других показателей. Выполнение этих требований, как правило, связано с существенными материальными и финансовыми затратами, вызванными необходимостью создания системы защиты, обеспечением высокой квалификации персонала, получением разрешительных документов, что не всегда возможно для большого числа пользователей информации - операторов, представляющих малобюджетные организации (медицинские и образовательные учреждения, предприятия системы ЖКХ, общественные организации).

В связи с этим представляют интерес исследования направленные на разработку и анализ методов обработки ПД, позволяющих снизить затраты на обеспечение безопасности в ИСПД.

Одним из перспективных подходов в этом направлении является обработка обезличенных ПД, когда становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту и, следовательно, обеспечивается невозможность для операторов и иных лиц, получивших доступ к обезличенным данным, раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных.

Для реализации этого подхода требуется разработать и исследовать методы обезличивания и де-обезличивания ПД, правила работы с обезличенными данными.

Своевременность заданного направления исследований обусловлена возрастающей потребностью в развитии ИСПД, связанной с выполнением различных федеральных целевых программ, усилением ответственности за обеспечение безопасности ПД и необходимостью, в связи с этим, повышать эффективность создаваемых систем при одновременном снижении затрат на их эксплуатацию, что возможно при наличии достаточно универсальных решений.

Таким образом, можно сделать вывод, что тематика диссертационной работы является актуальной, а полученные результаты имеют важное практическое значение.

Целью работы является разработка и теоретическое обоснование методов обезличивания и де-обезличивания ПД, позволяющих обеспечить их конфиденциальность, а также правил организации обработки обезличенных данных.

Для достижения поставленной цели были проведены исследования по следующим направлениям:

1. Анализ задач и методов обеспечения безопасности ПД.

2. Исследование свойств ПД, как объектов обработки и защиты.

3. Разработка и анализ эффективных методов (алгоритмов) обезличивания и де-обезличивания ПД.

4. Разработка методов обработки обезличенных данных с привлечением внешних операторов и использованием дата-центров.

На защиту выносятся следующие результаты проведенных исследований:

• математическая модель ПД, позволяющая установить связи между данными субъекта, определить свойства обезличенных ПД;

• достаточные условия обезличивания при различных способах организации хранения ПД;

• алгоритмы обезличивания и де-обезличивания ПД, основанные на их перемешивании с применением перестановок;

• правила организации обработки обезличенных ПД в дата-центрах внешних операторов.

Объект и предмет исследования. Объектом исследования является множество ПД субъектов.

Предметом исследования являются математические модели и алгоритмы обезличивания и де-обезличивания ПД, позволяющие проводить их обработку операторами с обеспечением конфиденциальности.

Методы исследования определялись спецификой решаемых задач и поставленными целями. В работе использовались методы теории графов, теории множеств, системного анализа, теории вероятностей, проектирования информационных систем.

Научная новизна результатов диссертации связана с разработкой математической модели ПД, позволившей выявить связи и зависимости между отдельными типами данных при обработке несколькими операторами, определить достаточные условия обезличивания; разработкой алгоритма обезличивания, основанного на применении перестановок, позволяющего проводить обезличивание больших массивов персональных денных при минимальных объемах служебной информации.

Практическая значимость результатов диссертации обусловлена простотой практической реализации предложенных алгоритмов, разработкой правил и рекомендаций для работы с обезличенными данными позволяющих обеспечить конфиденциальность ПД в информационных системах при

наличии ресурсных и финансовых ограничений.

Достоверность и обоснованность результатов и выводов

диссертации базируются на соответствии разработанных моделей, алгоритмов и правил их применения реальным условиям обработки ПД, корректности применения математических методов при построении и анализе моделей и алгоритмов, и, наконец, на данных о практическом применения полученных результатов при создании и эксплуатации реальных систем.

Апробация работы. Основные результаты диссертации докладывались и обсуждались заседании Консультативного совета при Уполномоченном органе по защите прав субъектов ПД, 2011; I Международной конференции «Защита персональных данных», 2010; Международной конференции «Международная информационная и энергетическая безопасность. Россия - Италия: партнерство как основа системного подхода к защите информации», 2010; Байкальском форуме «Россия и Беларусь в информационном сообществе», 2010; расширенном совещании: «О реализации мероприятий по административной реформе. Задачи по повышению эффективности деятельности Роскомнадзора»; Второй межбанковской конференции «Информационная безопасность банков. Опыт проверок выполнения требований Федерального закона «О персональных данных», 2010; расширенной коллегии Роскомнадзора: «Особенности осуществления контроля и надзора в сфере информационных технологий, деятельности по защите прав субъектов персональных данных в 2010 году», 2009; Семинаре для сотрудников территориальных управлений Роскомнадзора, 2009; Парламентских слушаниях: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», 2009.

Публикации по теме диссертации. По теме диссертации опубликовано 12 работ из них 2 статьи в рецензируемых изданиях, рекомендованных ВАК.

Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, приложения и списка литературы содержащего 124 наименований. Объем диссертации 138 страниц.

КРАТКОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обосновывается актуальность проводимых исследований, приводятся сведения о научной новизне и практической значимости результатов диссертации, их апробации и практическом применении.

В первой главе приведены наиболее значимые для проводимых исследований сведения о ПД, требованиях по обеспечению их безопасности, документах, регламентирующих работу с ПД.

Специфика работы с ПД основана на потенциальной возможности их использования для причинения вреда субъектам - владельцам ПД. Поэтому особое внимание при работе с ПД уделяется обеспечению их безопасности.

Возрастание объемов накопленных ПД, увеличение числа субъектов вовлеченных в их обработку и расширение областей применения требуют создания и постоянного совершенствования законодательной базы, регламентирующей работу с ПД, уточняющей (конкретизирующей) основные понятия, формирующей единые подходы к созданию систем обработки ПД. Работы по созданию такой базы проводятся как за рубежом, так и в Российской федерации, где в 2006 году был принят Федеральный закон «О персональных данных» (ФЗ-152). Работа по совершенствованию законодательной базы продолжается. Постоянное расширение круга задач, требующих использования ПД и связанная с этим необходимость уточнения ряда определений, внесения дополнений, и обусловило принятие в 2011 году Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» (ФЗ-261).

Во исполнение ФЗ-152 в России приняты постановления Правительства и нормативные акты органов исполнительной власти по отдельным вопросам в сфере обработки ПД. В документах особое внимание уделяется вопросам обеспечения безопасности ПД, что подчеркивает важность решения этой проблемы в системах обработки ПД различного уровня и назначения.

Работа с ПД осуществляется операторами ПД.

Важное значение обеспечению безопасности ПД придается при их обработке в автоматизированных информационных системах ПД (ИСПД), которые содержат базы ПД, используют соответствующие информационные технологии и технические средства. Это связано с появлением в таких системах новых возможностей несанкционированного доступа к информации по каналам связи и с применением вредоносного программного обеспечения, наличием рынка услуг по обеспечению противоправного доступа к информации, содержащейся в базах данных.

Для выбора необходимых методов и способов защиты ПД, оператору нужно провести классификацию ИСПД. Порядок классификации определен приказом ФСТЭК России, ФСБ России и Мининформсвязи России № 55/86/20 от 13 февраля 2008 г. Постановление Правительства Российской Федерации № 781 от 17.11.2007 года №781 возлагает обязанность классификации ИСПД и обеспечения их безопасности - на оператора ПД, а разработку методов и способов защиты на ФСТЭК России и ФСБ России.

В ходе классификации определяются: категория и объем обрабатываемых ПД, тип и структура информационной системы, режимы обработки ПД и разграничения прав доступа пользователей, а также наличие подключений к сетям (общего пользования, международного информационного обмена).

Классификация необходима для выбора методов и средств защиты ПД, обрабатываемых в ИСПД, поскольку в документах ФСТЭК Россини ФСБ России каждому классу устанавливаются свои требования по защите.

Анализ документов показал, что ИСПД всех классов должны обеспечивать конфиденциальность ПД.

При обработке ПД система защиты должна строиться только на основе сертифицированных ФСТЭК России и ФСБ России средствах защиты (технических, программных, программно-аппаратных и криптографических). Для проведения собственными силами мероприятий по обеспечению безопасности ПД операторы, как правило, обязаны получить лицензию ФСТЭК России, а для применения криптографических средств лицензии ФСБ России.

Таким образом4, мероприятия по защите ИСПД трудоемки и могут привести к значительным финансовым и временным затратам, связанным с получением необходимых лицензий, подготовкой персонала, установкой сертифицированных средств защиты. Кроме того, требования к созданию систем защиты делают ее слишком чувствительной к изменениям в специфике обрабатываемых ПД.

Для устранения сделанных замечаний, целесообразно проводить обработку обезличенных ПД, что снимает требования к обеспечению их конфиденциальности.

Важным фактором, влияющим на безопасность ПД, является контроль операторов. Для осуществления контроля на федеральном уровне создан Уполномоченный орган по защите прав субъектов ПД, эффективная работа которого требует решения задач по организации контроля и надзора за соответствием обработки ПД требованиям законодательства, ведения реестра операторов, осуществляющих обработку ПД, рассмотрения обращений субъектов ПД.

Результаты проведенного анализа позволили выделить наиболее значимые задачи обеспечения безопасности ПД, определить основные направления исследований, проводимых в диссертационной работе.

Во второй главе исследована проблема обезличивания ПД.

Для анализа свойств ПД и определения требований к процедуре обезличивания разработана модель ПД, позволяющая определить процедуры обезличивания, получить условия, при выполнении которых ПД становятся обезличенными.

При построении модели каждому субъекту /' соответствовало свое множество элементов ПД - Я ,.(/'= 1, 2,...,£)). Множество £1, состоит из непересекающихся подмножеств - Ц —Ц, иЦ:.

Л/,

Я(1 = (о)т,(оа,,...,<я1Ш)= ию,.,. - подмножество первичных данных,

однозначно определяющих (идентифицирующих) субъект /. Здесь соп; = (а>п ,Ш)1Ч2,...,&>,,)- подмножество данных типа / ( / = 1,2,...,М), где

Л и - размерность этого подмножества (оо > Я > 1); А/ - число типов.

Л',

= ((0^,(0,,,,...,(О,,) = и®>,-2; - подмножество вторичных данных о

субъекте /, которые не позволяют идентифицировать субъект. Здесь и. = )- подмножество данных типа_/' {] = \,2,...,М1), где

ЯП) - размерность подмножества (оо £ ;>1); ДГу - число типов.

Между элементами подмножеств и Д12 установлены связи, позволяющие формировать ПД субъекта /.

Множество 12, всех ПД, относящихся к субъекту г, есть полное множество ПД субъекта. Связи между элементами множества Я, удобно представить в виде неориентированного графа Г(Й,,Х(), где п, - множество вершин графа, соответствующих элементам множества , X, - множество ребер. Путь между вершинами и 0)^ на графе есть набор вершин , такой, что между всеми соседними вершинами этого

набора имеются ребра.

Исследованы свойства графа Г(Я,,Х,), обусловленные особенностями связей между ПД субъекта. Показано, что для любой пары вершин существует хотя бы один путь, связывающий эти две вершины. Определены свойства данных, используемые при обезличивании.

Определение 1. Однозначно определяет субъект / (идентифицирует субъект) набор из связанных элементов подмножеств ю(и всех типов

={«'„»,.где ею(1у, 1 йк,<.11Л), у = 1,2,...,М„ так,

что существует путь между любыми элементами набора; г - номер набора.

На практике ПД о субъекте могут храниться и обрабатываться несколькими операторами, т.е. находиться в нескольких ИСПД (хранилищах). Это вызывает необходимость создания операторами локальных подмножеств ПД субъекта и появления копий ПД - копий элементов подмножеств £1„ и , размещенных в различных хранилищах. При этом между элементами локальных подмножеств могут устанавливаться дополнительные связи, что повлечет появление дополнительных ребер на графе локального подмножества. Эти связи отражают специфику получения и хранения конкретного локального подмножества ПД.

Определение 2. Элемент множества ПД субъекта называется идентифицированным, если на графе ПД для вершины, соответствующей этому элементу, существует путь, связывающий ее с вершинами, соответствующими элементам всех подмножеств {0п1,(йп2,...,(0пи из

подмножества £2.,.

Идентификация элемента устанавливает его принадлежность субъекту. Полное множество ПД субъекта содержит только идентифицированные элементы.

На базе построенной модели ПД сформулированы определения обезличенных ПД и процедур обезличивания.

Определение 3. Обезличенным элементом множества ПД будем называть элемент множества Д,, для которого невозможно провести идентификацию (установить его принадлежность к конкретному субъекту).

Определены процедуры обезличивания элемента ПД.

Определение 4. Процедура обезличивания элемента ПД состоит в устранении его связей с другими элементами, так, чтобы его нельзя было идентифицировать.

Определение 5. Подмножество полного множества ПД является обезличенным, если все элементы этого подмножества обезличены.

Модель ПД применялась для исследования процедуры обезличивания для полного, и локального множеств ПД, что позволило сформулировать и доказать достаточные условия обезличивания.

Утверждение 1. Полное множество ПД субъекта будет обезличенным, если выполняется условие: граф полного множества ПД не имеет ребер, связывающих вершины, соответствующие элементам различных подмножеств юа|,м ,,,...,(0/1А, .

При выполнении условия утверждения 1 обезличиваются как элементы подмножества , так и элементы подмножества . Часто обезличивание проводится для элементов подмножества П,,, в этом случае можно упростить процедуру, если выполнить условие утверждения 2.

Утверждение 2. Подмножество полного множества ПД субъекта будет обезличенным, если выполняется условие:

граф полного множества ПД не имеет ребер, связывающих вершины, соответствующие элементам подмножества с вершинами,

соответствующими элементам подмножества П,,.

При обезличивании вместо графа ГЩ,Х,) получается граф Щ1,Х,), (X с:Х).

Исследована процедура обезличивания локального множества ПД.

Утверждение 3. Если локальное подмножество ПД образовано из обезличенного полного множества ПД без установления дополнительных связей между элементами, то это подмножество является обезличенным.

Следует отметить, однако, что для элементов локальных подмножеств часто имеются внешние связи с элементами других локальных подмножеств и дополнительные внутренние связи. Тогда устранение связей между элементами одного локального подмножества, может не привести к устранению этих связей во всех подмножествах, и обезличивания этого локального подмножества может не произойти. Поэтому проведено уточнение процедуры обезличивания для локальных подмножеств.

Утверждение 4. Локальное множество ПД субъекта будет обезличенным, если выполняются следующие условия:

1) граф локального множества ПД не имеет ребер, связывающих вершины, соответствующие элементам (копиям элементов) подмножеств 0)1П,0)/13,...,0)/1Д, , входящим в состав локального множества;

2) для любой вершины графа этого множества не существует пути, связывающего ее с вершинами графов других локальных подмножеств, соответствующими элементам (копиям элементов) различных подмножеств

Если необходимо провести обезличивание только элементов подмножества , входящих в состав локального множества ПД, то можно воспользоваться утверждением 5.

Утверждение 5. Подмножество ПД локального множества, входящих в состав подмножества Я(2, будет обезличенным при выполнении условий:

1) граф локального множества ПД не имеет ребер, связывающих его вершины, соответствующие элементам подмножества , с его вершинами, соответствующими элементам подмножества ;

2) для любой вершины графа локального множества ПД, соответствующей элементу подмножества С1,.2, не существует пути, связывающего ее с вершинами других графов локальных множеств соответствующими элементам различных подмножеств юш,<оп2,...,о>,ш .

Проведенный анализ позволил сформулировать правила обезличивания ПД, рекомендуемые для практического применения. Правила устанавливают последовательность преобразований связей между элементами множества ПД в соответствии с полученными условиями.

Обеспечение защиты ПД путем их обезличивания предусматривает их хранение, а возможно и обработку, в обезличенном виде. Достаточно часто, осуществляется обработка обезличенных данных, по окончании которой существует потребность в идентификации. В связи с этим процедуры обезличивания целесообразно строить так, чтобы имелась возможность проведения де-обезличивания, но тогда появляется возможность атаки, связанной с проведением де-обезличивания.

Для оценки защищенности обезличенных ПД определена вероятность несанкционированного де-обезличивания - р(а'11г,£1,Ф), где Ф-преобразование, задающее процедуру обезличивания.

Рассмотрены различные направления несанкционированного де-обезличивания путем восстановления скрытых связей между элементами, статистического анализа и использования дополнительной открытой информации для оценки параметров преобразований Ф и Ф~\ Получены обобщенные формулы для вычисления р(т'ш, П,Ф).

Проведен сравнительный анализ наиболее известных методов обезличивания. Показано, что большинство методов не гарантируют, как правило, сохраняет связи между данными, относящимися к одному и тому же субъекту, что оставляет возможность проведения де-обезличивания.

Разорвать эту связь возможно, если осуществить перемешивание данных, относящихся к различным субъектам. В связи с этим проведена разработка метода (алгоритма) обезличивания, основанного на перемешивании данных.

В третьей главе представлены результаты разработки алгоритма обезличивания ПД методом перемешивания. Исследованы свойства

алгоритма, определены характеристики защищенности.

В качестве основы алгоритма выбраны перестановки, поскольку математический аппарат анализа перестановок достаточно хорошо проработан; задание параметров некоторых типов перестановок можно провести в компактной форме, что удобно для реализации на больших объемах данных; большое число вариантов проведения перестановок обеспечивает защищенность данных от атак, связанных с подбором параметров перестановок.

Исследованы свойства перестановок, значимые для применения при обезличивании. Для описания перестановок использована известная матричная форма записи. Введено понятие обобщенной перестановки, на базе которой определяется многоуровневая обобщенная перестановка.

Перестановка на исходном множестве ио(и) - с(ив(и)) задается матрицей перестановки С(с(и„ («))). После проведения перестановки получаем новое множество Щс(ио(и))). Порядковый номер места элемента множества ио(и) - иш, после перестановки определяется номером столбца матрицы С(с(ио(л))), в котором он находится.

В качестве основных перестановок применялись циклические, удобство которых для практического применения заключается в простоте задания, поскольку вместо матрицы достаточно задать параметр цикла перестановки. Однако параметр циклической перестановки, выполненной на всем исходном множестве, легко подбирается. Поэтому в работе предложена обобщенная перестановка, когда подвергаются перестановке не отдельные элементы исходного множества, а целые подмножества элементов.

Сформулировано определение обобщенной перестановки, определены ее свойства и разработаны правила проведения и описания. Пусть дано исходное множество ио(и) = {м01,и02,...,«„,} и его разбиение на ОД(«)) (1 <АЩ0Ю&) подмножеств: иД«)={и()!(Л1),ии(^),...,иадио(,))(4(11еМ))}, так, что подмножество номер / содержит к, элементов исходного множества (1<&, <п; /'=1,2,..., АТ(ио(и))). Элементы каждого подмножество иш(£() {/ = 1, 2,..., £(ио(и))) - м0. (/ = 1,2,...,^) занумерованы в порядке возрастания их

номеров в исходном множестве.

Для каждого подмножества разбиения определены внутренний и внешний номера его элементов: внешний номер это номер элемента в исходном множестве, а внутренний номер, это номер этого же элемента в подмножестве. Внешний номер элемента подмножества ио,(£,), который имеет внутренний номер к - иол, есть тл, (1 £ тй <, и), и тл - это порядковый номер элемента множества ио(л), соответствующий элементу подмножества ио, (&,) с внутренним номером к.

Разбиение должно обладать следующими свойствами: 1)

1<ЛГ(и0(и))£и; 2) £ 3) П Ю„=0; 4) Щ<и для г=1,2,.„

Ы 1-0

A'(U,((n)); 5) если к и т внутренние номера подмножества Ц„(А',) и к>т, то тл>тт для /=1,2,..., K(U0(/»));6) тп =(w(,_„A ,; + 1) для /=1,2,..., АГ(ио(я)).

Для такого разбиения получена формула, связывающая внешний и внутренний номера тл и к элемента иы исходного множества: /-i

">,t = * + 2Ж. откуда: u0¡l = u0m¡ для любых /= l,2,...,K(U0(w)) и к = 1,2,..., к,.

Гв|

В общем случае, разбиение исходного множества U„(w), задается вектором разбиения - k(U0(w),A^(U0(n))) = (A:l,A:,,...,/:AlL.o(„)1).

Определение. Пусть разбиение исходного множества на подмножества обладает свойствами 1 - 6. Тогда перестановка подмножеств, выделенных при разбиении исходного множества, называется обобщенной перестановкой.

Обобщенная перестановка на исходном множестве при заданном разбиении U „(и) = {U 0, (*,), U и (/с,),..., U 0A(üi,(,,„ (к)} обозначается

как c(U0,(*,),U0,(*2),..., ио*(1,и(„„(*А.(1м„м)). Обобщенная перестановка также как и обычная задается матрицей:

f 1 2 3 ... *(ив(и)Я

C(?(Uol(^).U0:(^)v..,UOAIL,(„)1(^ll:ii,„„)))= , где в

^п, ^íll ^ll« )

О,

первой строке стоят номера подмножеств, в порядке установленном при разбиении исходного множества, а в нижней строке указаны, подмножества, стоящие на соответствующих местах после перестановки. После обобщенной перестановки получается новое множество из подмножеств разбиения: {и, (13 „(и), с (и 0| (к,), и „ (к,),..., и (*А, )))}.

Для перехода от обобщенной перестановки к обычной разработан алгоритм преобразования обобщенной перестановки в обычную.

Естественно, что любая обобщенная перестановка может быть представлена как обычная, но при большом количестве элементов в исходном множестве задание обобщенной перестановки более компактно, поскольку задаются только вектор разбиения и матрица перестановки, имеющая значительно меньшую размерность. Еще более компактно определяется обобщенная циклическая перестановка

с' (и 0| (к,), и 0, (к2),..., II |1А ,ив(„„ (к1 ),г),г- параметр цикла.

На основе простой обобщенной перестановки определена многоуровневая обобщенная перестановка. Суть многоуровневой перестановки в том, что каждое подмножество, получаемое при разбиении исходного множества, снова разбивается на подмножества и т.д. После проведения разбиения к полученным подмножествам применяется обобщенная перестановка. Разработаны правила описания многоуровневой перестановки. На практике достаточно ограничиться двумя уровнями и использовать на каждом уровне обобщенные циклические перестановки, что значительно снижает объем описания перестановок.

Разработан алгоритм применения двухуровневых обобщенных циклических перестановок для проведения обезличивания ПД,

представленных в табличной форме, что соответствует наиболее часто встречающейся на практике форме представления и хранения данных в базах данных информационных систем.

Пусть задана исходная таблица ПД , где N число атрибутов

(столбцов), М- длина таблицы (число записей - строк). Запись содержит ПД конкретного субъекта, определенного в этой же записи. Множество данных атрибута /, (1 = 1,2,...Д) - И01(М), содержит М элементов. Все элементы множества ио;(Л/) занумерованы.

Задача обезличивания ПД, содержащихся в таблице, сводится к представлению таблицы в таком виде, чтобы ни одна запись (строка) не содержала информации, позволяющей однозначно определить конкретный субъект и идентифицировать соответствующие ему ПД, следуя приведенным выше определениям. Для решения задачи перемешиваются элементы каждого (или нескольких) множества ио, (/ = 1, 2,..., И) (столбца таблицы), что приводит к изменению содержания каждой строки таблицы и, соответственно, невозможности идентификации данных в строке.

Но основе двухуровневой обобщенной перестановки разработан двухуровневый алгоритм перемешивания для множества и0|.

Первый уровень. По заданным правилам проводится разбиение множества ио,. на К^К(Ит{М))(М>К^ > 1) подмножеств иог Число

элементов подмножества ио,у - М.. (М> ^ = 1,2,...,£,. Элементы

каждого подмножества ио!| имеют внутренние номера от 1 до и

внешний номер элемента, с внутренним номером к, есть - т^, (1^ т1А йМ).

Получены формулы для вычисления значения . Для разбиения -

{и„(1 (Л/,), ио,2(М12),..., и0|АГ (М1К )} задается обобщенная циклическая

перестановка первого уровня - с'т(11ол(М„),и„,2(Мп),..., иож< (МЖ)),г0.)

(кратко -с0'С0,))> где 15г0, < К,, имеющая матрицу:

1 2 3 ... (К,-1) К, Л

Второй уровень. Для каждого подмножества ио# Ц=\,2, ...,К,) задается

обычная циклическая перестановка с^.(ио?(Л/!).),г4,) = с^(г) с матрицей:

( 1 2 3 ... (Мц -1) Щ "

2) (М-г+3) ... (Ц-г,-1) (М^)/

Здесьможно использовать и обобщенную циклическую перестановку, но при этом усложняется описание многоуровневой обобщенной перестановки.

В результате последовательного проведения перестановок первого и второго уровней производится перемешивание элементов множества 110. так, что меняется нумерация этих элементов по отношению к исходной.

Получены формулы для определения результирующей (обычной)

перестановки элементов множества U0l, которая задает нумерацию элементов множества U0, после проведения всех перестановок.

Параметры обобщенной перестановки для множества U0i задаются набором: {К , к(, /'„,, г}. Здесь число подмножеств: К,; вектор разбиения первого уровня: k. =(M„,Mj3,..,MiA.); параметр обобщенной циклической перестановки первого уровня: r0i; вектор параметров циклических перестановок второго уровня: г = (г., ,ri2 ,—,ri/.).

Алгоритм перестановки для одного множества атрибутов таблицы применим для всех N множеств атрибутов: UCI, U 0,,..., U„v. Полный алгоритм двухуровневой обобщенной перестановки для исходной таблицы Л,...,/„)полностью и однозначно задается набором параметров {К,к,г}:

1. К = (К,,К„...,Кк)- вектор, определяющий количество подмножеств при разбиении множества каждого атрибута.

2. к = (кик,,...,к) - множество векторов разбиения первого уровня.

3. г =((r„1,r1),(rK,r2),...,(rov,,rv)) - множество параметров циклических перестановок первого и второго уровней для каждого множества.

В результате применения алгоритма, вместо исходной таблицы Г(ft,i,T..,iv) получается таблица обезличенных данных 7(/,,Л,).

Разработаны рекомендации по выбору параметров перестановок для лучшей защиты от подбора параметров, когда обеспечивается максимальное число возможных вариантов наборов параметров алгоритма.

Разработан алгоритм де-обезличивания для заданного набора известных значений атрибутов.

Для оценки защищенности предложенной процедуры обезличивания используется вероятность де-обезличивания. Максимальное число возможных вариантов перемешивания таблицы с N столбцами:

ЩМ) =f[Gß/f)- П[ 1Я(М, К, ){К, - i)Z(А/, К,)], где G(M) - максимальное число

fei '' /=] к,«:

а;

вариантов перемешивания элементов множества U(„; Z=\\M-j-\) - число возможных вариантов сочетаний параметров циклических перестановок

второго уровня; Я(MKt) = f[(М-j) - число возможных вариантов разбиения

н

множества U0j. Отсюда: p(oi'h,,ft,Ф) = 1 / R{M).

В четвертой главе представлены разработанные типовые решения, которые можно применять при создании и организации работы ИСПД.

Предложен подход (схема) организации системы обработки ПД, когда у оператора хранятся и обрабатываются обезличенные данные. Идентификация результатов обработки (ПД, полученных в результате обработки) проводится средствами пользователя или субъекта.

Суть заключается в разделении исходного множества ПД субъекта - Q

на первичные (идентификационные) - О, и вторичные -а,, и присвоении первичным и вторичным данным единого идентификатора. Эти действия проводятся средствами (программными) пользователя или субъекта при регистрации данных. Идентификационные данные вместе с идентификатором хранятся в идентификационных базах данных пользователя и каждого связанного с ним субъекта. Вторичные данные, вместе с идентификаторами, обезличиваются и поступают для обработки в ИСПД оператора, который, не имея базы идентификационных данных, не в состоянии провести де-обезличивание и идентификацию ПД.

Обезличенные ПД после обработки де-обезличиваются и идентифицируются с использованием идентификационной базы данных.

Разработаны структуры данных, которые обрабатываются в системе.

СУБЪЕКТ ПД

Персональные данные субъекта - О

Первичные ПД Вторичные ПД

(Идентификационные) (О.) (О.)

ПОЛЬЗОВАТЕЛЬ СИСТЕМЫ

Идентификационная база данных:

занесение данных в систему

Идентификатор субъекта

Идентификатор субъекта

Идентификационные ПД субъекта (О.)

Представление персональных данных в явной форме

Идентификатор субъекта

Обезличивание методом перемешивания

Идентификатор субъекта

Вторичные ПД субъекта (П )

Де - обезличивание результатов обработки

ОПЕРАТОР ПЕРСОНАЛЬНЫХ ДАННЫХ

Обезличенные персональные / данные субъекта /

' ____; /

Обработка обезличенных у данных

Обобщенная схема защищенной обработки ПД

Схема организации обработки ПД не требует обеспечения их конфиденциальности у оператора и обеспечивает защиту от несанкционированного доступа субъектов и пользователей, поскольку идентификационные базы данных создаются для каждой группы пользователей и субъектов, объединенных решением общих задач. В связи с вступлением в действие ФЗ-152 возникла проблема обеспечения его исполнения для малобюджетных организаций (вузы, больницы, школы, туристические фирмы и т.д.). Такие организации не имеют аппаратных и программных ресурсов, подготовленного персонала, опыта и финансовых возможностей для обеспечения обработки ПД.

Для решения проблемы целесообразно обеспечить этим организациям набор услуг для работы с ПД (ПД), путем привлечения внешних операторов, в виде специализированных центров обработки ПД (далее - центры). Каждый такой центр может обслуживать группу организаций, входящих в зону его обслуживания, обеспечивая защиту и предоставление ПД пользователям.

В свою очередь центры могут быть связаны в сеть, образуя единое информационное пространство ПД.

Услуги центра, предоставляемые пользователям, включают: сбор и хранение ПД (в обезличенной форме); обеспечение санкционированного доступа пользователей к ПД; защиту хранимых ПД средствами центра; защиту ПД при взаимодействии с пользователями по каналам связи; обработку ПД по согласованным с пользователями алгоритмам; связь и информационное взаимодействие с другими подобными центрами.

Пользователи центра создают рабочие станции (клиенты). Центр, через защищенную среду передачи данных построенную на базе территориальной (региональной, муниципальной, корпоративной) телекоммуникационной системы, связывается с клиентскими местами пользователей, входящих в его зону обслуживания, образуя локальную информационную систему обработки ПД (ЛИС ПД).

Создание подобных центров, ориентированных на обслуживание большого количества пользователей, и, соответственно, на обработку потоков запросов высокой интенсивности, делает важными решение задач выбора параметров оборудования. Предложена методика выбора параметров центра сочетающая высокие требования к производительности с необходимостью сведения к минимуму простоев оборудования, основанная

■V 1,

на минимизации функционала затрат: 22я1;ГДЛу,Л?,.81;(/)) +¿>(1-/?) при

<» 1 у=I

ограничениях, связанных с возможностями оборудования, требованиями пользователей, финансовыми возможностями заказчика центра. Здесь 7\ (Я., /V, Вч) - средняя длительность обработки запроса типа у пользователя

номер /; р - вероятность занятости сервера в течение единицы времени.

Для организации работы с ПД и взаимодействия между центром, субъектами ПД и пользователями используется предложенная схема

защищенной обработки ПД.

При такой организации также решается проблема персистентных (долговременных) данных, которые могут оставаться в центре после завершения обработки, так как в центре имеются только обезличенные данные, а де-обезличивание средствами центра невозможно.

Показаны возможности объединения центров в систему, позволяющую создавать информационные пространства ПД для решения различных задач, т.е. создавать специализированные облака по обработке ПД.

Представлены результаты работы созданной системы контроля операторов ПД, включающего проверку деятельности и ведение реестра операторов, рассмотрение обращений субъектов.

ОБЩИЕ ВЫВОДЫ

1. Анализ методов организации обработки и защиты ПД, показал, что предлагаемые методы и создаваемые на их основе системы защиты требуют значительных ресурсов для реализации, обладают сильной зависимостью от типа данных и высокой избыточностью при практическом применении для работы с массивами данных небольшой размерности. Поэтому в ряде случаев целесообразно применять методы, снимающие требования к конфиденциальности ПД, что значительно сокращает расходы на защиту.

2. Показано, что одним из эффективных и перспективных подходов к защите ПД в информационных системах является обезличивание. Разработана математическая модель ПД, позволившая определить достаточные условия обезличивания, сравнить известные методы обезличивания, исследовать свойства обезличенных данных в зависимости от особенностей их хранения у различных операторов.

3. Разработаны количественные оценки безопасности ПД при обезличивании, позволяющие с единых позиций сравнивать различные методы обезличивания.

4. Разработан и теоретически обоснован алгоритм обезличивания, основанный на перемешивании данных с применением перестановок. Достоинством алгоритма является минимальный объем задаваемых параметров алгоритма, необходимых для проведения обезличивания и де-обезличивания, что делает эффективным его применение при работе с большими объемами ПД.

5. Разработана методика и правила обработки обезличенных ПД с привлечением внешних операторов, позволяющая осуществлять защиту ПД как на уровне оператора, так и на уровне пользователя. Предложенная методика особенно эффективна при использовании дата-центров и технологии облачных вычислений для обработки ПД различных малобюджетных организаций.

6. Предложенные модели и алгоритмы применялись при создании информационных систем и защите ПД в существующих системах, а также при организации работы по контролю деятельности операторов ПД.

ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Никитин Е.В., Саксонов Е.А., Шередин Р.В., Нгуен Нгок Хуэ. Классификация информационных систем // Качество. Инновации. Образование. 6, 2010. С. 64 - 70.

2. Саксонов Е.А., Шередин Р.В. Информационные системы ПД // Суперкомпьютеры: вычислительные и информационные технологии. Материалы международной научно-практической конференции. Хабаровск, Изд-во Тихоокеанского гос. университета (ТОГУ), 2010. С. 299 - 300.

3. Саксонов Е.А., Шередин Р.В. Центры обработки ПД // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. Материалы 16 международной научно-технической конференции. Рязань, 2010. С. 158-160.

4. Шередин Р.В. Качество данных - основа информационной безопасности // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. Материалы 16 международной научно-технической конференции. Рязань, 2010. С. 188 - 190.

5. Саксонов Е.А., Шередин Р.В. Анализ проблемы обезличивания ПД // Межвузовский сборник научных трудов. Математическое и программное обеспечение вычислительных систем. Рязань, 2011. С. 118 - 126.

6. Саксонов Е.А., Шередин Р.В. Процедура обезличивания ПД // Наука и образование: электронное научно-техническое издание. 3, 2011. Эл № ФС 77 - 30569. Государственная регистрация №0421100025.

7. Шередин Р.В.Актуальность консолидации //BIS Journal,2,201 l.C.16-19.

8. Шередин Р.В. Вопросы защиты ПД в рамках международного сотрудничества // Тезисы доклада. Электронное периодическое издание «Портал ПД Уполномоченного органа по защите прав субъектов персональных. Эл № ФС 77-41899 от 08 сентября 2010 г.

9. Шередин Р.В. О состоянии и проблемах реализации Федерального закона от 27 июля 2006 г. № 152-ФЗ «О ПД» // Электронное периодическое издание «Портал ПД Уполномоченного органа по защите прав субъектов персональных, 2009. Эл № ФС 77-41899 от 08 сентября 2010 г.

10. Шередин Р.В. Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке ПД // Электронное периодическое издание «Портал ПД Уполномоченного органа по защите прав субъектов персональных, 2009.Эл № фС 77-41899 от 08 сентября 2010 г.

11. Шередин Р.В. Особенности осуществления контроля и надзора в сфере информационных технологий, деятельности по защите прав субъектов ПД в 2010 году // Электронное периодическое издание «Портал ПД Уполномоченного органа по защите прав субъектов персональных, 2009. Эл № ФС 77-41899 от 08 сентября 2010 г.

12. Шередин Р.В. Опыт проверок выполнения требований Федерального закона «О ПД // Вторая межбанковская конференция «Информационная безопасность банков» Официальный сайт Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, 2010. Эл № ФС 77-37140 от 29 июля 2009 г.

Подписано в печать 15.11.2011 г. Формаг60х90 1/16 Печать па ризографе. Тираж 100 экз. Заказ № 5757. Объем: 1.0 усл.н.л.

Отпечатано в типографии ООО "Алфавит 2000". ИНН: 7718532212, г. Москва, ул. Маросейка, д. 6/8, стр. 1, т. 623-08-10, www.alfavit2000.ru

Оглавление автор диссертации — кандидата технических наук Шередин, Роман Валериевич

ВВЕДЕНИЕ.

1. ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ.

1.1. Законодательная база для работы с персональными данными.

1.2. Порядок обработки персональных данных.

1.2.1. Требования к обработке персональных данных.

1.2.2. Операторы персональных данных.

1.3. Автоматизированные системы обработки персональных данных. 14 1.3.1. Классификация информационных систем персональных данных.

1.4. Защита персональных данных.

1.4.1. Обеспечение безопасности персональных данных при их обработке

1.4.2. Этапы создания систем защиты персональных данных.

1.5. Организация контроля за исполнением правил обработки персональных данных.

1.5.1. Задачи уполномоченного органа.!.

1.5.2. Структура уполномоченного органа.

Выводы.

2. ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

2.1. Обезличивание как метод представления и защиты персональных данных.

2.1.1. Определение обезличивания.

2.1.2. Основные определения.

2.2. Модель персональных данных.

2.2.1. Общее описание персональных данных.

2.2.2. Математическая модель персональных данных.

2.3. Обезличивание персональных данных.

2.3.1. Обезличивание полного множества персональных данных.

2.3.2. Обезличивание локального множества персональных данных.

2.3.6. Оценка качества обезличивания.

2.4. Анализ известных подходов к обезличиванию.

2.4.1. Уменьшение перечня обрабатываемых сведений.

2.4.2. Замена части сведений идентификаторами.

2.4.3. Замена численных значений минимальным, средним, или максимальным значением. Понижение точности некоторых сведений

2.4.4. Деление сведений на части и обработка в разных информационных , системах.61 |:

Выводы.62 ^

3. ОБЕЗЛИЧИВАНИЕ МЕТОДОМ ПЕРЕМЕШИВАНИЯ ДАННЫХ.

§

3.1. Общее описание. Постановка задачи.

3.1.1. Описание процедуры перемешивания.

3.1.2. Постановка задачи разработки алгоритма обезличивания.

3.2. Общие сведения о перестановках.

3.2.2. Циклические перестановки.

3.2.3. Обобщенные перестановки.

3.2.4. Многоуровневые обобщенные перестановки.

3.3. Алгоритм обезличивания табличных данных методом многоуровневой обобщенной перестановки.

3.3.1. Описание задачи.

3.3.2. Описание процедуры обезличивания.

3.3.3. Де-обезличивание данных таблицы.

3.3.4. Оценка защищенности процедуры обезличивания.

Выводы.

4. ОРГАНИЗАЦИЯ БЕЗОПАСНОЙ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ.

4.1. Общее описание системы обработки персональных данных.

4.2. Центры обработки персональных данных.

4.2.1. Описание центра обработки персональных данных.

4.2.2. Выбор параметров оборудования центра.

4.2.3. Организация работы системы.

4.2.4. Организация центров.

4.3. Организация контроля операторов персональных данных.

4.3.1. Направления и результаты деятельности Уполномоченного органа

4.4. Единая информационная система Роскомнадзора.

Выводы.

Введение 2011 год, диссертация по информатике, вычислительной технике и управлению, Шередин, Роман Валериевич

С развитием процессов информатизации общества, созданием новых и интеграцией существующих информационных систем, ориентированных на обслуживание населения, все большее внимание уделяется организации обработки персональных данных (ПД). ПД составляют важную часть информационного пространства, содержащую сведения о физических лицах - субъектах ПД. Выделение таких данных в отдельное подмножество обусловлено особыми требованиями к организации их обработки (действиям с ПД), связанными с возможностью нанесения вреда субъектам ПД. Поэтому как в зарубежных странах, так и в России развивается и совершенствуется законодательная база, регламентирующая правила обработки ПД и реализацию прав граждан на конфиденциальность касающейся их информации.

Особое внимание уделяется вопросам защиты ПД в } автоматизированных информационных системах ПД - ИСПД. Требования к защите в ИСПД, в соответствии с рядом документов, учитывают категорию и количество ПД, специфику решаемых задач и ряд других показателей. Выполнение этих требований, как правило, связано с существенными материальными и финансовыми затратами, вызванными необходимостью создания системы защиты, обеспечением высокой квалификации персонала, получением разрешительных документов, что не всегда возможно для большого числа пользователей информации и операторов, представляющих малобюджетные организации (медицинские и образовательные учреждения, предприятия системы ЖКХ, общественные организации).

В связи с этим представляют интерес исследования направленные на разработку и анализ методов обработки ПД, позволяющих снизить затраты на обеспечение безопасности в ИСПД.

Одним из перспективных подходов в этом направлении является обработка обезличенных ПД, когда становится невозможным без использования дополнительной информации определить принадлежность персональных данных. конкретному субъекту и, следовательно, обеспечивается невозможность для операторов и иных лиц, получивших доступ к обезличенным данным, раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных.

Для реализации этого подхода требуется разработать и исследовать методы обезличивания и де-обезличивания ПД, правила работы с обезличенными данными.

Своевременность заданного направления исследований обусловлена возрастающей потребностью в развитии ИСПД, связанной с выполнением различных федеральных программ, усилением ответственности за безопасность ПД и необходимостью, в связи с этим, повышать эффективность создаваемых систем при одновременном снижении затрат на их эксплуатацию, что возможно при наличии достаточно универсальных решений.

Таким образом, можно сделать вывод, что тематика диссертационной работы является актуальной, а полученные результаты имеют важное практическое значение.

Целью работы является разработка и теоретическое обоснование методов обезличивания и де-обезличивания ПД, позволяющих обеспечить их конфиденциальность, а также правил организации обработки обезличенных данных.

Для достижения поставленной цели были проведены исследования по следующим направлениям:

1. Анализ задач и методов обеспечения безопасности ПД.

2. Исследование свойств ПД, как объектов обработки и защиты.

3. Разработка и анализ эффективных методов (алгоритмов) обезличивания и де-обезличивания ПД.

4. Разработка методов обработки обезличенных данных с привлечением внешних операторов и использованием дата-центров.

На защиту выносятся следующие результаты проведенных исследований:

• математическая модель ПД, позволяющая установить связи между данными субъекта, определить свойства обезличенных ПД;

• достаточные условия обезличивания, при различных способах организации хранения ПД;

• алгоритмы обезличивания и де-обезличивания ПД, основанные на их перемешивании с применением перестановок;

• правила организации обработки обезличенных ПД в дата-центрах внешних операторов.

Объект и предмет исследования. Объектом исследования является множество ПД субъектов.

Предметом исследования являются математические модели и алгоритмы обезличивания и де-обезличивания ПД, позволяющие проводить их обработку операторами с обеспечением конфиденциальности.

Методы исследования определялись спецификой решаемых задач и поставленными целями. В работе использовались методы теории графов, теории множеств, системного анализа, теории вероятностей, проектирования информационных систем.

Научная новизна результатов диссертации связана с разработкой математической модели ПД, позволившей выявить связи и зависимости между отдельными типами данных при обработке несколькими операторами, определить достаточные условия обезличивания; разработкой алгоритма обезличивания, основанного на применении перестановок, позволяющего проводить обезличивание больших массивов персональных денных при минимальных объемах служебной информации.

Практическая значимость результатов диссертации обусловлена простотой практической реализации предложенных алгоритмов, разработкой правил и рекомендаций для работы с обезличенными данными позволяющих обеспечить конфиденциальность ПД в информационных системах при наличии ресурсных и финансовых ограничений.

Достоверность и обоснованность результатов и выводов диссертации основаны на соответствии разработанных моделей, алгоритмов и правил их применения реальным условиям обработки ПД, корректности применения математических методов при построении и анализе моделей и алгоритмов, и, наконец, на данных о практическом применения полученных результатов при создании и эксплуатации реальных систем.

А •» <

Апробация работы. Основные результаты диссертации докладывались и обсуждались заседании Консультативного совета при Уполномоченном органе по защите прав субъектов ПД, 2011; I Международной конференции «Защита персональных данных», 2010; Международной конференции «Международная информационная и энергетическая безопасность. Россия - Италия: партнерство как основа системного подхода к защите информации», 2010; Байкальском форуме «Россия и Беларусь в информационном сообществе», 2010; расширенном совещании: «О реализации мероприятий по административной реформе. Задачи по повышению эффективности деятельности Роскомнадзора»; Второй межбанковской конференции «Информационная безопасность банков. Опыт проверок выполнения требований Федерального закона «О персональных данных», 2010; расширенной коллегии Роскомнадзора: «Особенности осуществления контроля и надзора в сфере информационных технологий, деятельности по защите прав субъектов персональных данных в 2010 году», 2009; Семинаре для сотрудников территориальных управлений Роскомнадзора, 2009; Парламентских слушаниях: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», 2009.

Публикации по теме диссертации. По теме диссертации опубликовано 12 работ из них 2 статьи в рецензируемых изданиях, рекомендованных ВАК.

Заключение диссертация на тему "Защита персональных данных в информационных системах методом обезличивания"

ОБЩИЕ ВЫВОДЫ

1. Анализ методов организации обработки и защиты ПД, показал, что предлагаемые методы и создаваемые на их основе системы защиты требуют значительных ресурсов для реализации, обладают сильной зависимостью от типа данных и высокой избыточностью при практическом применении для работы с массивами данных небольшой размерности. Поэтому в ряде случаев целесообразно применять методы, снимающие требования к конфиденциальности ПД, что значительно сокращает расходы на защиту.

2. Показано, что одним из эффективных и перспективных подходов к защите ПД в информационных системах является обезличивание. Разработана математическая модель ПД, позволившая определить достаточные условия обезличивания, . сравнить известные методы обезличивания, исследовать свойства обезличенных данных в зависимости от особенностей их хранения у различных операторов.

3. Разработаны количественные оценки безопасности ПД при обезличивании, позволяющие с единых позиций сравнивать различные методы обезличивания.

4. Разработан и теоретически обоснован алгоритм обезличивания, основанный на перемешивании данных с применением перестановок. Достоинством алгоритма является минимальный объем задаваемых параметров алгоритма, необходимых для проведения обезличивания и де-обезличивания, что делает эффективным его применение при работе с большими объемами ПД.

5. Разработана методика и правила обработки обезличенных ПД с

Библиография Шередин, Роман Валериевич, диссертация по теме Методы и системы защиты информации, информационная безопасность

1. Аншина M.JL, Цимбал А.А. Технологии создания распределенных систем. Для профессионалов. - СПб.: «Питер», 2003. - 576 с.

2. Бейбутов Э. Банки поменяли отношение к защите персональных данных // Information Security/ Информационная безопасность. 6, 2010 (электронное периодическое издание).

3. Бекетов Н.В. Проблемы формирования и перспективы развития телекоммуникационной системы региона // Информатизация общества, 2003, вып. 2, с. 38-40.

4. Бертсекас Д., Галагер Р. Сети передачи данных.: Пер. с англ. М.: Мир, 1989.-544 с.

5. Блэк Ю. Сети ЭВМ: протоколы. Стандарты, интерфейсы. / Пер. с англ. -М.: Мир. 1990.-510с.

6. Бройдо B.JI. Вычислительные системы, сети и телекоммуникации. Спб.: Питер, 2002. 688 с.

7. Бурков С.М. Алгоритмы и методы поэтапного формирования телекоммуникационных сетей региона. Математическая модель.//Научный журнал «Вестник ТОГУ», №1 (8), изд-во ТОГУ, Хабаровск, 2008. С. 91-100.

8. Введение в информационный бизнес / Под ред. акад. Тихомирова В.П. и проф. Хорошилова А.В. М.: Финансы и статистика, 1996. - 246с.

9. Вегешна Ш. Качество обслуживания в сетях IP. M.: Изд-во Вильяме, 2003. - 368 с.

10. Ю.Вишневский В.М. Теоретические основы проектирования компьютерных сетей. М.: Техносфера, 2003. - 512с.

11. И.Дементеева А. Защита персональных данных при их обработке в информационных системах // Information Security/ Информационная безопасность. 1, 2010 (электронное периодическое издание).

12. Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 г. О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных.

13. Директива 97/66/ЕС Европейского парламента и Совета Европейского Союза от 15 декабря 1997 г., Использование персональных данных и защита неприкосновенности частной жизни в сфере телекоммуникаций.

14. Дополнительный протокол к Конвенции О защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации (Страсбург, 8 ноября 2001 г.) ETS N 181.

15. Дунаев С.Б. INTRANET технологии. М.: Диалог-МИФИ.- 1997. - 272 с.

16. Дэвис Д., Барбер Д., Прайс У., Соломонидес С. Вычислительные сети и сетевые протоколы. М.: Мир, 1982. 562 с.

17. Евтушенко А. Обзор: Провайдеры Интернет // Деловой квартал, 37, 2008.

18. Калужин JI.A., Сущанский В.И. Преобразования и перестановки М., Наука. Главная редакция физико-математической литературы, 1985. -160 с.

19. Калужин JI.A., Сущанский В.И. Преобразования и перестановки М., Наука. Главная редакция физико-математической литературы, 1979. -112 с.

20. Клейнрок JI. Вычислительные системы с очередями. Пер. с англ. Под ред. Б.С. Цыбакова.- М.: Мир. 1979. 600 с.

21. Кодекс Российской Федерации об административных правонарушенияхот 30 декабря 2001 г. № 195-ФЗ.

22. Конвенция Совета Европы от 28 января 1981 г. с изменениями 1999 г. О защите личности в связи с автоматической обработкой персональных данных.

23. Концепция развития информационно-вычислительной системы МВД России на 2002-2006 годы. Утверждена приказом МВД от 13.06.2002 № 562.

24. Коротков А.В. Формирование и реализация государственной политики в сфере региональной информатизации // Информационное общество. 2003, вып.2, с. 18-21.

25. Костина А. Обзор: Интернет провайдеры // Деловой квартал, 2, 2008.

26. Костров Д., Зверева Т., Попов С. «Большая тройка» операторов связи: защита персональных данных // Information Security/ Информационная безопасность. 1,2010 (электронное периодическое издание).

27. Кофман А., Анри-Лабордер А. Методы и модели исследования операций. М.: Мир, 1977. - 432 с.

28. Кристофидес Н. Теория графов. Алгоритмический подход. Мир, М.: 1978. 432с.

29. Кульгин М. Технология корпоративных сетей: Энциклопедия. СПб.: Изд-во «Питер», 2000. 512 с.

30. Ланкастер П. Теория матриц. Пер. с англ., Наука, М.: 1978.- 280 с.

31. Липатов А. Практика внедрения систем защиты персональных данных // Information Security/ Информационная безопасность. 5, 2009 (электронное периодическое издание).

32. Майника Э. Алгоритмы оптимизации на сетях и графах. : Пер. с англ. М.: Мир, 1981.-323 с.

33. Мартин Дж. Организация баз данных в вычислительных системах. М.: Мир, 1980. 664 с.

34. Мартин М. Введение в сетевые технологии.- М.: Лори, 2002. 659 с.

35. Мейер Д. Теория реляционных баз данных. М.: Мир, 1987. 608 с.

36. Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации. ФСБ России, 21.02.2008 г, № 149/5-144.

37. Методические материалы ФСТЭК. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (выписки).

38. Методические материалы ФСТЭК. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года.

39. Мельников В.П. Информационная безопасность и защита информации. Под. ред. С.А.Клейменова. М.: Издательский центр «Академия», 2008. -336 с.

40. Минниханов Р.Н. Защита от несанкционированного доступа в специализированных информационных системах. Казань, 1999.- 199с.

41. Моисеев H.H., Иванилов Ю.П., Столярова Е.М. Методы оптимизации. М.: Наука, 1978.-352 с.

42. Моисеев H.H. Математические задачи системного анализа. М.: Наука, 1981.-488 с.

43. Назаров А.Т. М: Технические решения создания сетей. Горячая линия-Телеком, 2000. 376 с.

44. Нейман В.И. Структуры систем распределения информации. М.: Связь, 1975. 264 с.

45. Никитин Е.В., Саксонов Е.А., Шередин Р.В., Нгуен Нгок Хуэ. Классификация информационных систем // Качество. Инновации. Образование., 6, 2010. С. 64 70.

46. Николаев В.И., Брук В.М. Системотехника: методы и приложения. Л.: Машиностроение, 1985. - 199 с.50.0безличивание персональных данных, wiki.kint.ru.

47. Обезличивание персональных данных.http://www.bio5.ru/news/obezlichivanie-personalnyh-dannyh.html52.0лифер В.Г., Олифер H.A. Компьютерные сети. Принципы, технологии, протоколы. СПб.: Издательство «Питер», 1999. - 672 с.

48. Олифер В.Г., Олифер H.A. Новые технологии и оборудование 1Р-сетей.

49. СПб.: БХВ-Санкт-Петербург, 2001. 512с.54.0стерлох X. Маршрутизация в IP-сетях. Принципы, протоколы, настройка, Diasoft, 2002. 512 с.

50. Партыка Т.Л., Попов И.И. Информационная безопасность. М.: Инфра-М, 2002.-368 с.

51. Петров В.П., Петров C.B. Информационная безопасность человека и общества. М.: Энас, 2007. 336 с.

52. Постановление Правительства Российской Федерации от 27 сентября2007 г. № 612 «Об утверждении Правил продажи товаров дистанционным способом».

53. Постановление Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

54. Постановление Правительства Российской Федерации от 15 сентября2008 г. № 687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.

55. Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512. Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

56. Постановление Правительства Российской Федерации 2 июня 2008 г. № 419. О федеральной службе по надзору в сфере связи и массовых коммуникаций.

57. Приказ Россвязькомнадзора №08 от 17.07.2008. Об утверждении образца формы уведомления об обработке персональных данных.

58. Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

59. Приказ Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных».

60. Приказ ФСТЭК N 58 от 05.02.2010 г. Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных.

61. Пятибратов А.П., Гудыно Л.П., Вычислительные системы, сети и телекоммуникации. М.: Финансы и статистика, 2001.- 512 с.

62. Разделение и обезличивание персональных данных. Iibrary.croc.ru/download/1058/4fe9df4al2bll67b57c6d432f4c68caf.pdf.

63. Рассмотрение способа обезличивания персональных данных через разделение системы и присвоение идентификаторов. http://ispdn.ru/forum/index.php?PAGENAME=read&FID=l&TID=1161.

64. Ретана А., Слайс Д., Уайт Р. Принципы проектирования корпоративных 1Р-сетей.: Пер. с англ. М.: Издательский дом «Вильяме», 2002. - 368 с.

65. Решение совета главных конструкторов информатизации регионов Российской Федерации от 27 апреля 2006г. // http://www.pvti.ru/sgk/resh.pdf.

66. Риордан Дж. Вероятностные системы обслуживания. М.:Связь. -1966. -184 с.

67. Рябко С.Д. Об обезличивании персональных данных // Information Security/ Информационная безопасность. 5, 2009 (электронное периодическое издание).

68. Саати Т.А. Элементы теории массового обслуживания и ее приложения. М.: Сов. Радио. 1971. - 520с.

69. Садовский В.Н. Основания общей теории систем. М.: Наука. 1974. -280 с.

70. Саксонов Е.А., Шередин Р.В. Центры обработки персональных данных // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. Материалы 16 международной научно-технической конференции. Рязань, 2010. С. 158 160.

71. Саксонов Е.А., Шередин Р.В. Анализ проблемы обезличивания персональных данных // Межвузовский сборник научных трудов. Математическое и программное обеспечение вычислительных систем. Рязань, 2011.С. 118-126.

72. Саксонов Е.А., Шередин Р.В. Процедура обезличивания персональных данных // Наука и образование: электронное научно-техническое издание. 3, 2011. Эл № ФС 77 30569. Государственная регистрация №0421100025. ISSN 1994-0408.

73. Семенов Ю.А. Сети Интернет. Архитектура и протоколы. М.:, изд. "Сирин". 1998. - 424 с.

74. Советов Б.Я. Моделирование систем. М.: Высшая школа. 1995. 372 с.

75. Советов Б.Я., Яковлев С.А. Построение сетей интегрального обслуживания. Д.: Машиностроение. 1990. 332 с.

76. Спортак М., Паппас Ф. и др. Компьютерные сети и сетевые технологии, ДиаСофт. 2002.- 736 с.

77. Степанов Е.А. Корнеев И.К. Информационная безопасность и защита информации. М.: ИНФРА-М. 2001. - 304 с.

78. Столингс В. Структурная организация и архитектура компьютерных систем. М.: Вильяме. 2002. - 896 с.

79. Столлингс В., Компьютерные системы передачи данных. Изд. 6, Вильяме. 2002. 928 с.

80. Стратегия развития информационного общества в Российской Федерации. Утверждена 7 февраля 2008 г. № Пр-212. Российская газета от 16 февраля 2008 г.

81. Танненбаум Э., М. Ван Стен. Распределенные системы; Принципы и парадигмы. СПб.: Питер, 2003. - 877 с.

82. Трудовой кодекс Российской Федерации от 30 декабря 2001 г.№ 197-ФЗ.

83. Указ Президента Российской Федерации от 30 мая 2005 г. N 609. Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела.

84. Ульман Дж. Основы систем баз данных: Пер. с англ. М.: Финансы и статистика. 1983. - 572 с.

85. Ульянов В. Персональные данные в России: что нового? // Information Security/ Информационная безопасность. 5, 2009 (электронное периодическое издание).

86. Утечки персональных данных // Information Security/ Информационная безопасность. 5, 2009 (электронное периодическое издание).

87. Уэлдон Д.-Л. Администрирование баз данных: Пер. с англ. М.: Финансы и статистика. 1984. - 208 с.

88. Федеральная целевая программа «Электронная Россия (2002 -2010)» Утверждена постановлением Правительств Российской Федерации от 28 января 2002 г. № 65.

89. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

90. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 28 марта 2008 г.).

91. Федеральный закон от 25 июля 2011 г. № 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных».

92. Федеральный закон от 19 декабря 2005 г. N160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

93. Фейт С. TCP/IP Архитектура, протоколы, реализация. М.: Лори, 2000. -424 с.

94. Феллер В. Введение в теорию вероятностей и ее применения. В 2-х томах Пер с англ. М.: Мир, 1987. Т1-528с. Т2-738с.

95. Фрид Э. Элементарное введение в абстрактную алгебру. М.: Мир, 1979.-260 с.

96. Харари Ф., Палмер Э. Перечисление графов. М.: Мир. 1977. - 324 с.

97. Харари Ф. Теория графов. М.: Едиториал УРСС. 2003. 296 с.

98. Хелд Г. Технологии передачи данных. СПб.: Питер. 2003. - 720 с.

99. Шварц М. Сети связи: протоколы, моделирование и анализ: В 2 ч. М.: Наука. 1992.-336 с.

100. Юб.Шередин P.B. Качество данных основа информационной безопасности // Проблемы передачи и обработки информации в сетях и системах телекоммуникаций. Материалы 16 международной научно-технической конференции. Рязань, 2010. С. 188 -190.

101. Шередин Р.В. Опыт проверок выполнения требований Федерального закона «О персональных данных // Вторая межбанковская конференция «Информационная безопасность банков» Официальный сайт

102. Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, 2010. Эл № ФС 77-37140 от 29 июля 2009г.

103. Ясенев В.Н. Информационная безопасность в экономических системах. Нижний Новгород: Изд-во ННГУ, 2006. 253 с.

104. Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data regarding supervisory authorities and transborder data flows. Strasbourg, 8.XI.2001.

105. McCallister E., Grance Т., Scarfone K. Guide to Protecting the Confidentiality of Personally Identifiable Information (PII). Recomendations of the National Institute of Standarda and Technology (NIST) U.S. 2010.

106. Oracle. Database Administrator's Guide. Oracle Corp.-1984.

107. Osborne M. How to Cheat at Managing Information Security. Syngress, 2006.

108. Sweeney L. k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 2002. P. 557-570.

109. Tannenbaum A. Computer Networks. Prentice Hall, N.-Y. 1988.568p.

110. William Stallings. Data and Computer Communications. N.-Y.: Prentice Hall, 1997. 791 p.