Способ деперсонализации персональных данных Российский патент 2017 года по МПК G06F21/62 G06F12/14 

Описание патента на изобретение RU2636106C1

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных, от несанкционированного доступа и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении.

Известен способ защиты от несанкционированного доступа к информации пользователя в системе обработки информации (патент RU №2309450, МПК G06F 12/14, дата приоритета 26.04.2006, дата публикации 27.10.2007), основанный на том, что формирование сервисных служб системы обработки информации производится из доступного пользователю набора функциональных блоков, расположенных на различных серверах системы. Рабочая информация пользователя подвергается преобразованию, уникальному для каждого обращения пользователя к системе обработки информации, сведения о хранении учетной записи пользователя также подвергаются уникальному для данного случая преобразованию и сохраняются в других местах системы обработки информации. Недостатком известного технического решения является то, что данная система неудобна в использовании, и выполнение указанных в способе требований влечет за собой значительные материальные затраты на внедрение дополнительных функциональных блоков.

Наиболее близким к предлагаемому изобретению по совокупности существенных признаков и принятым в качестве прототипа является способ обезличивания ПД для защиты от несанкционированного доступа к информации пользователя в системе обработки информации (патент RU №2538913, МПК G06F 21/00, дата приоритета 16.10.2012, дата публикации 27.04.2014). Способ основан на преобразовании информации, составляющей по совокупности персональные данные, путем выполнения двухэтапного перемешивания данных, относящихся к разным субъектам, используя перестановки первого и второго уровней, при этом на первом этапе исходное множество данных D(d1, d2, …, dN), где N - число атрибутов, разбивается на непересекающиеся подмножества данных Ai, относящихся к одному атрибуту di, и на втором этапе происходит перестановка данных сначала внутри подмножеств Ai, а затем элементами перестановки являются сами подмножества. В результате пользователь получает деперсонализированные данные и файл, хранящий параметры перестановок и разбиений, которые будут необходимы для решения обратного способа деперсонализации. Данный файл представляет большую ценность для злоумышленника, поэтому должен быть надежно защищен.Так как он хранится на каждом рабочем месте ИСПДн, то необходимо организовать полную защиту каждого элемента такой системы, что в свою очередь влечет за собой значительные материальные затраты.

К недостаткам данного способа можно отнести то, что все персональные сведения хранятся в одной таблице в незашифрованном виде. Имея таблицу обезличенных данных, можно определить (например, по ФИО) наличие конкретного субъекта в данной ИСПДн (например, противотуберкулезного диспансера). А также недостатком является то, что при компрометации некоторых записей в таблице ПДн злоумышленник может получить параметры перестановок и разбиений. И тем самым получить доступ ко всем данным.

Техническая задача заключается в разработке надежного способа обезличивания персональных данных, позволяющего значительно увеличить уровень защищенности данных от НСД и исключить возможность получения доступа ко всем данным при компрометации части и тем самым повысить уровень безопасности ИСПДн на стадиях разработки и оптимизации.

Решение задачи достигается путем выделения в отдельные подмножества и преобразования уникальным неизвестным пользователю образом относящихся к одному субъекту ключевых данных, которые однозначно его идентифицируют.

В качестве исходных данных рассматривается таблица персональных данных D(d1, d2, ,dM), где М - общее число атрибутов, а N - число строк таблицы, множество данных А1 и А2, относящееся к ключевым и неключевым атрибутам соответственно.

При этом на первом шаге экспертным путем определяются редкоизменяющиеся данные и те, которые однозначно идентифицируют субъекта ПДн. Соответствующие атрибуты определяем как ключевые.

На втором шаге исходное множество данных D согласно выбранным ключевым атрибутам разбивается на два непересекающихся подмножества данных A1 и A2. Следует отметить, что в каждое из подмножеств добавляется дополнительный атрибут d0, по значению которого впоследствии производится персонализация данных. В результате число ключевых атрибутов равно К(0<K<М). При этом в А2 содержатся обезличенные данные, не представляющие никакой ценности для злоумышленника, поэтому не требуют защиты и хранятся в открытом виде.

На третьем шаге для совокупности ключевых данных каждой строки ai1, ai2, …, aiK ∈ А1, где i=1, 2, N, вычисляется значение атрибута d0-ai0=F(ai1, ai2, ai3, …, aiK), где F - уникальная неизвестная пользователю функция. В качестве F в данном способе выбрана хеш-функция по алгоритму Keccak.

Практическое применение данного способа подразумевает, что персональные данные хранятся в двух ИСПДн. ИСПДн, хранящая совокупность значений ключевых атрибутов (персональные данные) и значения хеш-функций (d0), должна быть защищенной ИСПДн (ЗИСПДн). В другой обезличенной ИСПДн (ОИСПДн) содержатся обезличенные данные, а именно совокупность значений неключевых атрибутов и соответствующие значения хеш-функций (d0), в этом случае обязательные требования по защите ПДн не устанавливаются. При необходимости работы с персональными данными оператор, используя предоставленные субъектом данные, получает доступ к единственной записи. Следует отметить, что получение достоверных сведений о субъекте обеспечивается лишь при легитимном обращении к ним, то есть при наличии всех ПДн у обратившегося субъекта и удостоверения его личности.

Данный способ обладает следующими преимуществами:

- данные становятся обезличенными, что позволяет снизить затраты на защиту ИСПДн;

- неосуществимость определения наличия конкретного субъекта в ИСПДн по известным уникальным атрибутам;

- оператор при обращении субъекта по его ПДн получает доступ лишь к одной записи ИСПДн;

- невозможен контекстный анализ.

Применение данного способа позволяет обеспечить защиту персональных данных от несанкционированного доступа, в том числе от компрометации информации при ее утечке по техническим каналам, а также обеспечить гарантированный доступ к персональным данным при легитимном обращении.

Эти отличительные признаки по сравнению с прототипом позволяют сделать вывод о соответствии заявляемого технического решения критерию «новизна».

Новое свойство совокупности существенных признаков, приводящих к предотвращению НСД к персональной информации, хранящейся и обрабатываемой в ИСПДн, путем выделения в отдельные подмножества и хешировании относящихся к одному субъекту ключевых данных, которые однозначно его идентифицируют, позволяет сделать вывод о соответствии предлагаемого технического решения критерию «изобретательский уровень».

Предлагаемый способ защиты ПДн от НСД опробован в лабораторных условиях. Способ деперсонализации может быть реализован в виде программного обеспечения на языке программирования С#.

Изначально администратор загружает исходные ПДнв ЗИСПДн. Затем используя уникальный ключ и совокупность значений ключевых атрибутов формируется уникальный необратимый идентификатор, используемый для обезличивания персональных данных. В результате получаем ОИСПДн и ЗИСПДн, описанные выше. При обращении субъект обязан предоставить персональные данные и удостоверение личности. Убедившись, что обратившийся предоставил достоверные данные, оператор вводит свой уникальный ключ и полученные данные с клавиатуры. По введенным данным вычисляется значение хеш-функции, и по этому значению находится соответствующая запись в ОИСПДн. В результате оператор получает доступ к персонализированной информации лишь о конкретном субъекте.

Таким образом, заявляемый способ обезличивания персональных данных позволяет значительно увеличить уровень защищенности данных от НСД и исключить возможности получения доступа ко всем данным при компрометации части путем выделения в отдельные подмножества и хешировании относящихся к одному субъекту ключевых данных, которые однозначно его идентифицируют, и тем самым повысить уровень безопасности ИСПДн на стадиях разработки и оптимизации.

Похожие патенты RU2636106C1

название год авторы номер документа
СПОСОБ ДЕПЕРСОНАЛИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ 2012
  • Куракин Александр Сергеевич
RU2538913C2
Способ обезличивания персональных данных 2021
  • Саксонов Евгений Александрович
  • Шередин Роман Валериевич
RU2780957C1
Система деперсонализации и миграции персональных данных пользователей на веб-сайтах на основе технологии резервного копирования 2018
  • Михальский Олег Олегович
RU2731110C2
Система защиты персональных данных пользователей в информационной системе на основании деперсонализации и миграции в безопасное окружение 2017
  • Михальский Олег Олегович
RU2698412C2
СПОСОБ ГАРАНТИРОВАННОГО ОБЕЗЛИЧИВАНИЯ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ 2014
  • Иванов Александр Иванович
  • Фунтиков Вячеслав Александрович
  • Ефимов Олег Владимирович
  • Майоров Александр Викторович
  • Секретов Максим Валентинович
  • Язов Юрий Константинович
  • Соловьев Сергей Вениаминович
RU2629445C2
СПОСОБ И СИСТЕМА ОБЕЗЛИЧИВАНИЯ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ 2022
  • Бабак Никита Григорьевич
  • Белорыбкин Леонид Юрьевич
  • Теренин Алексей Алексеевич
  • Шаброва Анастасия Игоревна
RU2804747C1
СПОСОБ И СИСТЕМА ОБЕЗЛИЧИВАНИЯ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ 2022
  • Бабак Никита Григорьевич
  • Белорыбкин Леонид Юрьевич
  • Теренин Алексей Алексеевич
  • Шаброва Анастасия Игоревна
RU2802549C1
СПОСОБ И СИСТЕМА ДЛЯ ГЕНЕРАЦИИ СИНТЕТИЧЕСКИХ ДАННЫХ 2023
  • Кочетков Сергей Борисович
  • Поздняков Илья Николаевич
  • Фаттахова Юлдуз Зуфаровна
  • Руднев Александр Сергеевич
  • Кочетков Максим Дмитриевич
  • Хабибуллина Ляйсан Наилевна
RU2824524C1
СПОСОБ БИОМЕТРИЧЕСКОЙ ЗАЩИТЫ АНОНИМНОСТИ СВИДЕТЕЛЕЙ ПРИ СУДЕБНОМ ДЕЛОПРОИЗВОДСТВЕ 2012
  • Язов Юрий Константинович
  • Иванов Александр Иванович
  • Назаров Игорь Григорьевич
  • Фунтиков Вячеслав Александрович
  • Ефимов Олег Владимирович
  • Секретов Максим Валентинович
RU2543956C2
Быстродействующее устройство формирования уникальной последовательности, используемой при обезличивании персональных данных 2016
  • Спеваков Александр Геннадьевич
  • Плугатарев Алексей Владимирович
RU2665899C1

Реферат патента 2017 года Способ деперсонализации персональных данных

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ обезличивания персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДн, и осуществляет хеширование ключевых атрибутов по алгоритму Keccak. При этом на первом этапе экспертным путем определяются ключевые атрибуты. На втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно. На третьем этапе производится хеширование данных из А1 для каждого субъекта и вычисляется значение хеш-функции, которое является одним из атрибутов обоих множеств. 1 з.п. ф-лы.

Формула изобретения RU 2 636 106 C1

1. Способ деперсонализации персональных данных, заключающийся в преобразовании информации, составляющей по совокупности персональные данные, отличающийся тем, что при передаче из ОЗУ в ПЗУ исходные данные преобразуются следующим образом: выделяются в отдельные подмножества и хешируются относящиеся к одному субъекту ключевые данные, которые однозначно его идентифицируют; при этом на первом этапе экспертным путем определяются ключевые атрибуты; на втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно, в каждое из подмножеств добавляется дополнительный атрибут d0, по значению которого впоследствии производится персонализация данных; а на третьем этапе для совокупности ключевых данных каждой строки ai1, ai2, …, aiK ∈ A1, где i=1, 2,…, N, вычисляется значение атрибута d0-ai0=F(ai1,ai2,ai3,…,aiK), где F - хеш-функция по алгоритму Keccak; в результате совокупность значений ключевых атрибутов (персональные данные) и значения хеш-функций (d0) хранятся в ЗИСПДн, а обезличенные данные, а именно совокупность значений неключевых атрибутов и соответствующие значения хеш-функций (d0), хранятся в ОИСПДн; при обращении субъект обязан предоставить персональные данные и удостоверение личности; убедившись, что обратившийся предоставил достоверные данные, оператор вводит свой уникальный ключ и полученные данные с клавиатуры; по введенным данным вычисляется значение хеш-функции, и по этому значению находится соответствующая запись в ОИСПДн, вследствие чего оператор получает доступ к персонализированной информации лишь об обратившемся субъекте.

2. Способ по п. 1, отличающийся тем, что оператор не имеет доступа ко всей базе ПД.

Документы, цитированные в отчете о поиске Патент 2017 года RU2636106C1

СПОСОБ ДЕПЕРСОНАЛИЗАЦИИ ПЕРСОНАЛЬНЫХ ДАННЫХ 2012
  • Куракин Александр Сергеевич
RU2538913C2
СПОСОБ ЗАЩИТЫ ЧАСТНОЙ ИНФОРМАЦИИ ПОЛЬЗОВАТЕЛЯ В СИСТЕМЕ ОБРАБОТКИ ИНФОРМАЦИИ 2006
  • Артамонов Сергей Евгеньевич
  • Беспалов Владимир Александрович
  • Веселов Владимир Фёдорович
  • Козлов Владимир Алексеевич
  • Кучеров Алексей Николаевич
  • Путря Михаил Георгиевич
  • Чаплыгин Юрий Александрович
RU2309450C1
СПОСОБ ЗАЩИТЫ ТЕКСТОВОЙ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА 2010
  • Минаков Владимир Александрович
  • Мирошников Вячеслав Викторович
  • Толстихин Геннадий Николаевич
RU2439693C1
Станок для изготовления деревянных ниточных катушек из цилиндрических, снабженных осевым отверстием, заготовок 1923
  • Григорьев П.Н.
SU2008A1
Разъемное герметичное соединение типа "ласточкин хвост" 2019
  • Архипов Станислав Александрович
RU2709333C1

RU 2 636 106 C1

Авторы

Ноздрина Анастасия Александровна

Спеваков Александр Геннадьевич

Применко Дмитрий Владимирович

Даты

2017-11-20Публикация

2016-07-04Подача