19.12.13

Роскомнадзор выпускает неплохую методичку по обезличиванию персональных данных

Роскомнадзор выпустил разъяснение по исполнению приказа РКН от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных". На мой взгляд - это тот нечастый случай, когда регулятор сработал скорее во благо операторов ПДн и предложил методику снижения обременений, которая позволяет не применять в отношении обезличенных данных организационные и технические меры защиты, разработанные в свою очередь ФСТЭК и ФСБ. Это не значит, что обезличенные данные не надо защищать; просто уровень и способы этой защиты выбираются уже самим оператором ПДн, а не регулятором. Правда, на мой взгляд, нынешние документы ФСТЭК и так позволяют достаточно гибко выбирать защитные мероприятия (не все коллеги со мной согласны в этом) и, по сути, методичка РКН направлена против жестких и параноидальных требований 8-го Центра ФСБ, которые я уже описывал.

Вторым несомненным достоинством документа является его методологическая составляющая. Он не просто говорит, делайте так и так. Он предлагает для разных сценариев обработки ПДн альтернативы, описывает их преимущества и недостатки, дает примеры применения. Это то, чего так не хватает российской регуляторике, ориентированной только на требования без описания особенностей их применения и реализация. Когда ФСТЭК выпустит свои методические рекомендации по реализации 17-го приказа, у нас останется только один регулятор (понятно какой), который игнорирует здравый смысл и, на мой взгляд, вполне осознанно и целенаправленно выпускает требования либо невыполнимые, либо допускающие двойственные и тройственные толкования.

В методических рекомендациях Роскомнадзора приведена таблица соответствия методов обезличивания свойствам обезличенных данных, рассмотрены вопросы организации обработки обезличенных данных, правила и рекомендации по работе с обезличенными данными.

В пресс-релизе Роскомнадзора указано, что предложенная методология обезличивания прошла процедуру согласования в Минкомсвязи России, а также обсуждение с экспертным сообществом в рамках консультативного совета при Роскомнадзоре, но я лично этого не помню и документ нам не рассылался. Но к счастью это не так уже и важно - документ получился достаточно неплохой, хотя с первого раза его будет непросто понять тем, кто ни разу не сталкивался с обезличиванием.

Документ является приложением к обязательному приказу №996 для государственных и муниципальных предприятий. Контроль исполнения рекомендаций планируется осуществлять со второго квартала 2014 года. Для коммерческих операторов ПДн документ носит рекомендательный характер, но я не думаю, что регуляторы будут иметь претензии, если коммерческий оператор ПДн реализует его и будет ссылаться на него в своих внутренних документах.

10 коммент.:

Евгений комментирует...

Слушал выступления Роскомнадзора на недавней конференции по поводу обезличивания и не особо разделяю восторги по этому поводу. У меня сложилось впечатление, что эффективно обезличивание получится применять только если разработчики прикладных систем реализуют эти методы в своем ПО. Конечным же пользователям это сделать будет весьма затруднительно.

Кроме того, так нахваливаемый метод перестановки полей по определенному алгоритму, опять же как мне кажется, не пройдет простейшего криптографического анализа и его параметры легко вскрываются.

Canis комментирует...

Алексей, по приведенной ссылке только скан первого листа рекомендаций (tiff). У вас нет полного варианта рекомендаций?

Canis комментирует...
Этот комментарий был удален автором.
Алексей Лукацкий комментирует...

Это многостраничный TIFF

Алексей Лукацкий комментирует...

Евгений: во многих современных СУБД эти методы уже реализованы. Что касается криптоанализа, то где написано, что обезличивание должно быть к нему стойким? Это вообще не тема ФСБ

Алексей Лукацкий комментирует...

Ссылка для тех, кто прочитал поздно и ссылки на документ уже не увидел - http://rkn.gov.ru/docs/Xerox_Phaser_3200MFP_20131216122746.tif

rag комментирует...

С этим документом связана одна интересная история
http://www.itsec.pro/2013/08/blog-post_28.html#more
Причем уже и не первая - раньше аутсорсеры писали годовые отчеты за РСОК и так-же получали за это ДЭНГИ!!! (см метаданные в выложенных на сайте РКН годовые доклады)

Год назад Роскомнадзор проводил открытый конкурс на право разработки требований и методов обезличивания персональных данных. Выграла конкурс Практика безопасности за 2,6 млн. рублей (при начальной стоимости в 3,5 млн).

Таким образом Роскомнадзор заплатил по 450 тысяч рублей государственных денег за каждую страницу этого 6 страничного документа. Не многовато?

Ещё удивительней то, что автор опубликованного проекта (смотрим метаданные документа) - Шередин Роман Валериевич, заместитель руководителя Роскомнадзора, в 2011 году защитил кандидатскую диссертацию по теме "Защита персональных данных в информационных системах методом обезличивания".

Если сравнить оглавление кандидатской и проект приказа, то можно сделать вывод о том, что текущий проект приказа во многом взят именно оттуда.
Таким образом получается, что Роскомнадзор заплатил 2,6 миллиона рублей за 6 страничный документ, похожий на кандидатскую диссертацию заместителя руководителя Роскомнадзора.
Как такое могло произойти?
Может автор даже и не однофамилец и денег за ЭТО бессметное ТВОРЕНИЕ не получал?
Имеем то, что имеем КОНТРОЛИРОВАТЬ!!! - See more at: http://www.itsec.ru/forum.php?sub=8405&from=-1#sthash.hverP0G8.dpuf

Евгений комментирует...

Алексей, "во многих современных СУБД эти методы уже реализованы" - и что? вы хотите сказать что без изменения прикладного ПО можно реализовать это разделение прозрачным образом средствами СУБД?

Алексей Лукацкий комментирует...

Евгений, я хочу сказать, что в ТЕКУЩИХ условиях этот документ является подспорьем по снижению обременений для операторов ПДн. К реальной защите прав субъектов ПДн он, как и вся нормативка и правоприменение, отношения не имеют. И рассматривать такие документы надо только в этом контексте

Мисник Николай комментирует...

Добрый день, я правильно понял что эти методы являются обязательными для отператоров определенных 221 постановлением? То есть, бухгалтер должен вносить в 1с обезличинную информацию? Не пахнет абсурдом?