Метод и алгоритмы гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Волокитина, Евгения Сергеевна

ВВЕДЕНИЕ

С распространением информационных технологий организации становятся все более зависимыми от информационных систем и услуг, а, следовательно, все более уязвимыми по отношению к угрозам безопасности [1]. В особенности это стало чувствительным для информационных систем, обрабатывающих персональные данные. В настоящее время технические средства позволяют производить сбор и обработку больших объемов социально значимых сведений, необходимых для эффективного функционирования государственных механизмов, протекания общественных процессов, а также реализации прав человека. Стремительное развитие информационных технологий дает возможность получать доступ и использовать различные банки данных. Постоянно ускоряющаяся информатизация общества и активное развитие открытых информационных систем значительно упрощают утечку [2, 3] и иные формы незаконного доступа к персональным данным субъектов, что делает задачу обеспечения ее защиты особо актуальной и значимой как для российского, так и зарубежного законодательства и правовой доктрины.

Актуальность темы

Применение метода обезличивания персональных данных, то есть действий, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных позволяет снизить требования к информационным системам персональных данных, что ведет к снижению затрат и, с другой стороны, обеспечивает безопасность персональных данных и согласуется требованиями Федерального закона №152-ФЗ «О персональных данных».

Согласно требованиям законодательства Российской Федерации по

обезличенным данным должно быть невозможно восстановить

принадлежность персональных данных субъекту персональных данных без

использования дополнительной информации, к которому они относились до

обезличивания. Практика показывает, что удаление части персональных

6

данных недостаточно для того, чтобы было невозможно идентифицировать личность человека. Иногда по оставшимся данным, используемым в совокупности иногда можно повторно определить человека, т.е. при обезличивании данных существует риск повторной идентификации или реидентификации.

Поэтому разработка практических метода и алгоритмов гарантированного обезличивания персональных данных, повышение их надежности и эффективности составляют актуальную проблему, имеющую большое научное и практическое значение.

Вышеизложенное обуславливает актуальность темы диссертационного исследования и свидетельствует о необходимости комплексного и системного изучения норм права, касающихся института персональных данных, с целью восполнения пробелов действующего, в том числе информационного, законодательства.

Состояние научной разработки темы

Изучение степени проработанности темы показало, что в сфере

персональных данных в автоматизированных системах методологическая и

теоретическая база в настоящее время только формируется усилиями таких

ученых как Д.П. Зегждой, C.B. Черняевым, Е.Ф. Алёшкиным, A.A. Чеминым,

А.И. Костогрызовым, А.Ю. Щербаковым, В.В. Домаревым и другими.

Анализ существующих работ показал, что подавляющее большинство работ

посвящено исследованию обработки персональных данных, мерам защиты в

информационных системах персональных данных и их эффективности и,

следовательно, тематики обезличивания персональных данных касаются

лишь опосредованно. С другой стороны, имеющиеся в настоящий момент

научные проработки и способы обезличивания персональных данных не

лишены ряда недостатков, среди которых необходимо выделить: не

адекватное и не полное описание информационных процессов; слабую

формализацию методов, на основе которых создаются алгоритмы

обезличивания персональных данных, что ведет к их ненадежности и утечке

7

персональных данных; отсутствие алгоритмов. Все это приводит к отсутствию единых и достаточно универсальных подходов к решению задачи по обезличиванию персональных данных и последующей реидентификации субъекта персональных данных по обезличенным данным, согласно требованиям законодательства.

В этой связи на современном этапе развития автоматизированной обработки баз, содержащих персональные данные существует объективное противоречие между необходимостью использования обезличивания персональных данных с целью снижения затрат на построение и защиту систем, содержащих персональные данные и возможностью реидентификации субъекта персональных данных по обезличенным данным.

Данное противоречие предопределяет актуальную научную задачу -разработка метода и алгоритмов гарантированного обезличивания и реидентификации субъекта персональных данных.

Диссертационная работа на тему «Метод и алгоритмы гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах» призвана решить указанную выше научную задачу.

Объект исследования

Информационные системы обработки персональных данных и технологические процессы обработки персональных данных в них.

Предмет исследования

Метод и алгоритмы обезличивания персональных данных в автоматизированных информационных системах и реидентификации субъекта персональных данных после применения методов обезличивания.

Целью исследования является разработка метода и алгоритма

гарантированного обезличивания персональных данных и реидентификации

субъекта персональных данных по обезличенным данным, позволяющего

снизить финансовые затраты при обеспечении безопасности ПДн,

обрабатываемых в информационных системах, на основе комплексного

8

анализа существующих методов обезличивания персональных данных и проверка возможности реидентификации субъекта после их применения.

Поставленная научная задача предполагает решение следующих частных задач:

- анализ действующего законодательства для изучения состояния вопроса обезличивания персональных данных и установки границ требований к разрабатываемому методу и алгоритму обезличивания и реидентификации персональных данных, анализ научных предпосылок решения задачи гарантированного обезличивания персональных данных, путем разработки формальной постановки задачи обезличивания и последующей реидентификации субъекта персональных данных;

- разработка математической модели обезличивания персональных данных

- разработка модели процесса оценки невозможности повторной идентификации субъекта по обезличенным данным или реидентификации с целью оценить риски и достаточность набора идентификаторов и способов обезличивания;

- разработка способа идентификации субъекта персональных данных по обезличенным данным;

- разработка алгоритмов гарантированного обезличивания персональных данных и реидентификации субъекта персональных данных;

- разработка метода гарантированного обезличивания и реиндентификации субъекта персональных данных в автоматизированных информационных системах

- экспериментальная проверка разработанного метода и алгоритмов обезличивания персональных данных.

Исходными пунктами анализа являются:

- предположения о существовании информационных систем, использующих обезличенные персональные данные;

- предположения о потенциальной возможности определения субъекта персональных данных при частичном удалении персональных данных, что существенно снижает степень безопасности персональных данных.

Методологические подходы проведения исследования основаны на использовании общенаучных методов: анализа и синтеза, методов математической логики и теории алгоритмов, теории вероятностей и математической статистики, математического моделирования.

Границы исследования: информационные системы, содержащие персональные данные.

Научная новизна диссертационной работы определяется:

- исследована научная проблема обезличивания персональных данных, а также предложено ее решение;

- разработана математическая модель обезличивания персональных данных;

- построена модель процесса оценки невозможности повторной идентификации субъекта по обезличенным данным или реидентификации;

- разработаны алгоритмы: алгоритм анонимизации базы данных с ПДн с применением хеширования данных и алгоритм реидентификации субъекта по обезличенным данным;

- создан не существовавший ранее метод гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах.

Положения, выносимые на защиту: - Математическая модель обезличивания персональных данных, обладающая свойством универсальности, поскольку может быть использована для обезличивания разных наборов данных, и являющаяся расширяемой за счёт возможности добавления новых параметров в модель обезличивания и отличающаяся от существующих моделей обезличивания

персональных данных в информационных системах многофакторностью, что позволяет учитывать три основных параметра обезличивания идентификаторы персональных данных в ИСПДн, метод обезличивания и его возможные результаты обезличивания. Разработанная модель позволяет более продуктивно исследовать особенности моделируемого процесса обезличивания, следовательно, более эффективно строить информационные системы, на основе ранее определённого перечня обрабатываемых идентификаторов (п. 13 паспорта 05.13.19).

- Модель процесса оценки возможности повторной идентификации субъекта по обезличенным данным или реидентификации позволяет оценить риски и достаточность набора идентификаторов и способов обезличивания для получения гарантированно обезличенных данных на основе ранее определённого набора данных, участвующих в обезличивании и способов деперсонализации (п. 10 паспорта 05.13.19).

- Способ идентификации субъекта персональных данных по обезличенным данным позволяет снизить вероятность использования чужого внешнего идентификатора, за счёт ввода в систему устройства санкционирования доступа. В случае идентификации субъекта, для проверки принадлежности внешнего носителя физическому лицу, отправляется код подтверждения на устройство санкционирования доступа. Физическое лицо вводит код подтверждения после этого система идентифицирует субъекта персональных данных. Применение устройства санкционирования доступа в системе позволяет достичь более высокого уровня надежности идентификации физического лица и понизить вероятность использования внешнего носителя несанкционированным пользователем системы (п. 15 паспорта 05.13.19).

- Алгоритм обезличивания персональных данных с применением

хеширования данных и алгоритм реидентификации субъекта персональных

данных, что позволяет эффективно проверить соответствие набора

обезличенных данных и данных внешнего носителя, высчитав снова значение

11

хеш-функции для данных, расположенных на внешнем носителе и в записи БД (п. 13 паспорта 05.13.19).

- Метод гарантированного обезличивания и реиндентификации субъекта персональных данных в автоматизированных информационных системах по обезличенным данным, благодаря чему достигается соблюдение требований к обеспечению уровня защищенности информационной системы, в которой находятся персональные данные и оптимизация затрат на построение системы защиты ИСПДн (п. 13 паспорта 05.13.19).

Научно-практическое значение диссертации состоит в построении формальной модели обезличивания и реидентификации субъекта по обезличенным персональным данным в автоматизированных информационных системах на основании предлагаемых метода и алгоритмов, позволяющих увеличить надежность процесса обезличивания персональных данных, в формировании практических выводов и рекомендаций по повышению безопасности обрабатываемых данных и снижению затрат организации-оператора на обеспечение безопасности обрабатываемых данных с целью выполнения требований существующего законодательства

[4].

Разработанные в диссертации метод и алгоритмы гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах реализованы в виде программного обеспечения. Эта программа может быть использована при реализации процедуры обезличивания различных загружаемых баз данных, содержащих персональные данные.

1. АКТУАЛЬНОСТЬ РЕШЕНИЯ ЗАДАЧИ ОБЕЗЛИЧИВАНИЯ

ПЕРСОНАЛЬНЫХ ДАННЫХ

1.1.Анализ объекта исследования и постановка задачи на разработку метода и алгоритмов обезличивания персональных данных

В связи с принятием Федерального закона «О персональных данных» [5] возросла значимость эффективного обезличивания персональных данных в автоматизированных информационных системах персональных данных (ИСПДн), особенно потому, что технические средства позволяют производить сбор и обработку больших объемов социально значимых сведений, необходимых для эффективного функционирования государственных механизмов, протекания общественных процессов, а также реализации прав человека. Стремительное развитие информационных технологий дает возможность получать доступ и использовать различные банки данных. Постоянно ускоряющаяся информатизация общества и активное развитие открытых информационных систем значительно упрощают утечку и иные формы незаконного доступа к персональным данным субъектов [6], что делает задачу обеспечения ее защиты особо актуальной и значимой как для российского, так и зарубежного законодательства и правовой доктрины.

Информационная система персональных данных (ИСПДн) представляет собой «совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации».

Безопасность персональных данных [7] достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Для этого в ИСПДн проводятся организационные меры и применяются средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения

несанкционированного доступа [8], утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Комплекс этих мер представляет собой систему защиты персональных данных [9].

Система защиты персональных данных обеспечивает защиту:

1. речевой информации;

2. информации, обрабатываемой техническими средствами;

3. информации, представленной в виде информативных электрических сигналов,

4. информации, представленной в виде физических полей;

5. носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Необходимо обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц. Это достигается за счет специального оборудования и охраны помещения.

Для обеспечения безопасности организации-оператору необходимо разработать и осуществить следующие мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах, для этого он может назначить подразделение или должностное лицо, ответственные за обеспечение безопасности персональных данных [10]:

1. определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

2. разработку на основе модели угроз системы защиты персональных

данных, обеспечивающей нейтрализацию предполагаемых угроз с

14

использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

3. проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

4. установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

5. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

7. учет лиц, допущенных к работе с персональными данными в информационной системе;

8. контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

9. разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

Ю.описание системы защиты персональных данных.

Доступ к обработке ПДн должен быть на основании допуска организации-оператора. Запросы пользователей информационной системы на получение персональных данных регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется соответствующими должностными лицами.

При обнаружении нарушений порядка предоставления персональных данных оператор незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.

По классификации категорий персональных данных, предложенной Федеральной службой по техническому и экспортному контролю (ФСТЭК) [11, 12] и Федеральной службой безопасности (ФСБ) [13, 14], обезличенные и общедоступные персональные данные относятся к самой низкой - четвертой категории, для которых нарушение безопасности обрабатываемых персональных данных не приводит к негативным последствиям для субъектов персональных данных [15]. А в соответствии с классификацией по уровням защищенности, приведенной в Постановлении Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» к информационной системе, содержащей только обезличенные персональные данные, не предъявляются требования необходимости обеспечения уровня защищенности персональных данных при их обработке в информационной системе.

Поэтому актуальной проблемой остается вопрос минимизации затрат по защите персональных данных в соответствии с требованиями закона «О персональных данных».

В ст. 7 Федерального закона «О персональных данных» №152-ФЗ

поясняется понятие конфиденциальности персональных данных - операторы

и иные лица, получившие доступ к персональным данным, обязаны не

раскрывать третьим лицам и не распространять персональные данные без

согласия субъекта персональных данных, если иное не предусмотрено

федеральным законом. В данном определении конфиденциальность

предусматривает явный запрет на передачу персональных данных третьим

лицам без согласия физического лица, чьи данные передаются, и указана

необходимость предотвращения разглашения какой-либо информации о

16

субъекте персональных данных. Оператор должен на полностью обеспечить не распространение персональных данных.

Развитие правовых отношений [16] в сфере обработки персональных данных, а также повышенное внимание общества к проблемам защиты обрабатываемых операторами персональных данных заставили задуматься о необходимости совершенствования режима обработки и защиты персональных данных. Одним из путей стало использование операторами механизмов деперсонификации персональных данных - обезличивания (или анонимизации) и псевдонимизации.

Согласно требованиям законодательства Российской Федерации по обезличенным данным должно быть невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Практика показывает, что удаление части персональных данных может быть недостаточно для того, чтобы было невозможно идентифицировать личность человека. По оставшимся данным, используемым в совокупности возможно повторно определить человека, т.е. при обезличивании данных существует риск повторной идентификации или реидентификации [17].

В этой связи на современном этапе развития автоматизированной обработки баз, содержащих персональные данные существует объективное противоречие между необходимостью использования обезличивания персональных данных с целью снижения затрат на построение и защиту систем, содержащих персональные данные и возможностью реидентификации субъекта персональных данных.

Данное противоречие предопределяет актуальную задачу разработки метода и алгоритмов, реализующих гарантированное обезличивание и невозможность повторной идентификации субъекта персональных данных по набору обезличенных персональных данных.

1.2.Состояние вопроса обезличивания персональных данных

Впервые термин обезличивания или деперсонализации ввел Эдгар Дега в медицине. Еще в середине девятнадцатого века был актуален вопрос врачебной тайны и защиты информации о клиенте. И именно им в применении к данным о пациенте было предложено обезличивание данных.

В соответствии с Федеральным законом «О персональных данных» у оператора персональных данных есть право на обезличивание персональных данных. Требования к методам обезличивания в нормативных документах не закреплены. Отсюда следует, что способы и алгоритмы обезличивания персональных данных оператор, осуществляющий обработку ПДн, определяет самостоятельно.

Критерием качества обезличивания является возможность идентифицировать физическое лицо на основании данных, присутствующих в базе данных после обезличивания [18].

Например, согласно временному регламенту организации размещения сведений о находящихся в суде делах и текстов судебных актов в информационно-телекоммуникационной сети "Интернет" на официальном сайте суда общей юрисдикции, перечень персональных данных участников судебного процесса, подлежащих деперсонификации в тексте судебного акта, размещаемого на сайте [19]:

• любые фамилии, имена, отчества; дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, идентификационный номер налогоплательщика, государственный регистрационный номер индивидуального предпринимателя, сведения о транспортных средствах (тип, марка, модель, год выпуска, государственные регистрационные номера и др.);

• сведения о гражданстве, семейном, социальном, имущественном положении (доходах) участников процесса; их образовании, профессии;

• наименование и место нахождения юридических лиц, в том числе общеобразовательных учреждений;

• место нахождения недвижимости: земельного участка, здания (сооружения), жилого дома (квартиры).

Для осуществления обезличивания данных для начала необходимо определить, какие персональные данные позволяют однозначно идентифицировать субъекта. К таким данным могут относиться:

1. Фамилия, имя, отчество клиента. Однако эти реквизиты клиента могут меняться в течение его жизни, по-разному отражаться в документах, удостоверяющих личность клиента, вводиться с ошибками. Вследствие этого фамилия, имя и отчество не могут сами по себе однозначно идентифицировать клиента, однако могут использоваться для идентификации вместе с другими данными клиента.

2. Индивидуальный номер налогоплательщика (ИНН) присваивается физическому лицу только один раз и не должен меняться в течение жизни, в том числе и в случае изменения места жительства физического лица и никому не может быть присвоен повторно.

3. Дата рождения клиента. Дата рождения, используемая вместе с другими данными, может существенно увеличить точность идентификации клиента.

4. Документ, удостоверяющий личность клиента. Для документа, удостоверяющего личность, сочетание типа, серии и номера документа, как правило, является уникальным, по крайней мере для основных видов документов (паспорта того или иного вида, военного билета, свидетельства о рождении, свидетельства о присвоении ИНН и т.д.). Добавление к сочетанию реквизитов даты выдачи документа и (при наличии) кода подразделения позволяет однозначно идентифицировать документ, и, соответственно, клиента.

И многие другие категории персональных данных, которые сами или в совокупности позволяют однозначно идентифицировать личность, к которой они относятся.

Таким образом, для обезличивания данных необходимо определить совокупность каких данных из существующего набора позволяет однозначно определить субъект персональных данных.

Процесс обезличивания сложен и зависит от бизнес-процессов [20, 21, 22]. Изменение бизнес-процессов организации может привести к пересмотру способа обезличивания. Однако, упрощение самих бизнес-процессов осуществляется за счет экономии перечня обрабатываемых данных, что позволяет осуществить понижение требований к обеспечению уровня защищенности информационной системы персональных данных и тем самым обеспечивает значительную экономию финансовых средств [23, 24, 25].

1.3.Анализ существующих методов обезличивания персональных

данных

Примером реидентификации данных является исследование, которое провела в 1990 году в Массачусетском университете Латания Суини, профессор компьютерных наук [26]. Оно было основано на использовании данных переписи, которое показало, что почтовый индекс, дата рождения и пол могут позволить однозначно определить 87% населения Соединенных Штатов. Чтобы проиллюстрировать эту угрозу, Латания собрала данные, представленные государственной организацией, называемой комиссией страховой группы (КСГ), чтобы идентифицировать личность губернатора штата Массачусетс. КСГ оформляла медицинскую страховку для сотрудников, в связи с чем выпустила отчет с данными государственных служащих для исследователей. КСГ при поддержке губернатора штата Массачусетс, удалила имена, адреса, номера социального страхования и другие идентифицирующие данные, для того, чтобы защитить частную

жизнь этих работников. Губернатор штата Массачусетс Уэлд заверил жителей, что опубликованные сведения, останутся обезличенными.

Суини приобрела списки избирателей, которые включают имя, почтовый индекс, адрес, пол и дату рождения избирателей в Кембридже, где губернатор Уэлд проживал, использовала их в сочетании с данными информации КСГ и продемонстрировала, насколько легко найти губернатора. Из базы данных КСГ, только шесть человек, в Кембридже родились в один день с губернатором, только половина из них были мужчинами, а губернатор был единственным, кто жил в местности с почтовым кодом, указанным в списке избирателей. Информация в базе данных КСГ на губернатора штата Массачусетс включала диагноз и предписания по лечению.

Данное исследование показало, что простого удаления нескольких, ключевых на взгляд пользователя, идентификаторов недостаточно для обезличивания данных. Поэтому можно воспользоваться методами обезличивания, позволяющими предотвратить раскрытие информации [27].

В Федеральном законе «О персональных данных» дано определение обезличивания: «обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных». В общем случае это может быть представлено схемой на рис. 1.1.

Рис. 1.1 - Действия обезличивания ПДн

Если обратиться к зарубежному опыту, то согласно руководящему документу Национального института стандартов и технологий в США выделяют следующие действия с персональными данными, позволяющие их обезличить [28]:

• Уменьшение перечня обрабатываемых сведений или разделение данных на несколько информационных систем - может потребоваться в связи с тем, что выбор средств защиты, которые необходимо установить для предотвращения утечек персональных данных, зависит от количества записей в базе - чем их больше, тем более сложными продуктами приходится защищаться. Количество субъектов может быть достаточно большим, поэтому сведения обо всех пациентах стоит разделить на несколько баз данных по какому-либо критерию. Однако стоит помнить, что если базы приходится разделять, то и располагаться их данные должны в разных хранилищах;

• Сегментация - физическая или логическая сегментация информационной системы персональных данных по классам обрабатываемой информации, выделение сегментов сети, в которых происходит автоматизированная обработка персональных данных. Данные работы можно провести с помощью межсетевых экранов. Таким образом разграничить права доступа к ПДн или обособить группы пользователей по признаку доступа к персональным данным. Такое обособление представлено на рис. 1.2;

ч

Пользователи, не обрабатывающие ПДн

Рис. 1.2 - Обособление групп пользователей при работе с базой

данных, содержащей ПДн.

Замена части сведений идентификатором - после выполнения обезличивания защите будет подлежать лишь справочник, позволяющий выполнить обратное преобразование. То есть в организации при создании записи, связанной с конкретным субъектом, создается идентификатор, а соответствие между именем субъекта и его идентификационным номером обеспечивается справочником, который располагается на отдельной машине;

Замена численных значений минимальным, средним, или максимальным значением (например, иногда нет необходимости обрабатывать сведения о возрасте каждого субъекта, достаточно обрабатывать данные о среднем возрасте по всей выборке или отдельным ее частям);

Понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только город);

Деление сведений на части и обработка в разных информационных системах персональных данных (ИСПДн);

Абстрагирование ПДн - сделать их менее точными, например, путем группирования общих характеристик. «Размывание» точных данных о субъектах, то есть, например, вместо прямого указания диагноза можно просто внести пациента в группу риска или группу для прохождения определенной процедуры. Такой прием позволяет хранить в базе не точные сведения, а лишь некоторые атрибуты, понятные только специалистам. Другой пример абстрагирования — это разделение субъектов по участкам: вместо точного адреса субъекта можно сохранять в базе лишь индекс или название улицы, а точный адрес хранить либо на бумаге, либо в отдельной, хорошо защищенной информационной системе.

Сокрытие ПДн - удалить всю или часть записи ПДн;

• Внесение шума в ПДн - добавить небольшое количество посторонней информации в ПДн;

• Замена ПДн - переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи;

• Разделение ПДн на части - использование таблиц перекрестных ссылок.

• Маскирование ПДн - замена одних символов в ПДн другими [Научная библиотека информационной безопасности 5еагсЬ8есип1у [29]. Процесс маскирования представлен на рис. 1.3;

База с

Рис. 1.3 - Процесс применения маски к базе, содержащей

персональные данные

На практике применяется несколько разновидностей маскирования [30]. Исходная база данных, содержащая персональные данные, представлена на рис. 1.4.

- | Фамилия » { Имя • | Отчество - | Паспорт • | Дата рождения -г | Индекс •) Адрес | Сумма платежа -

1 Иванов Иван Иванович 38 00123456 14.03.1975 305000 г. Курск, ул. Ленина, 2 500,00р.

2 Петров Сергей Викторович 38 00349365 24.08.1960 305048 г. Курск, ул. Дейнеки, 15 840,00р.

3 Семенов Игорь Григорьевич 38 00 198745 30.11.1978 305002 г. Курск, ул. Ленина, 74 430,00р.

4 Сидорова Елена Петровна 38 00198745 13.01.1975 305004 г. Курск, ул. Блинова, 1/2 670,00р.

Рис. 1.4 - База с персональными данными

В данном случае могут применяться следующие способы

маскирования:

1. Замена записи поля случайно сгенерированным значением. При этом необходимо следить за тем, чтобы данные были правдоподобными. Так, например, не может существовать дата 31.02, но возможно изменение даты с 15.06.2010 на 08.07.2010. Пример замены представлен на рис.1.5.

Фамилия - j Имя Иванов Иван Петров Сергей Семенов Игорь Сидорова Елена

Рис. 1.5 - Пример замены ПДн случайно сгенерированным значением

2. Размывание: изменение данных на случайную величину, например, заменить сумму, хранящуюся на счете, но в пределах 8% от первоначальной суммы. Пример размытия данных представлен на рис. 1.6.

Фамилия о| имя Иванов Иван Петров Сергей

Семенов Игорь Сидорова Елена

Рис. 1.6-Пример размывания персональных данных

3. Обнуление позиций: замена значения нулевым символом: например, заменить номер паспорта с 3800 123456 на значение **** **3456. Часто данный вид маскирования можно встретить при совершении банковских операций с использованием карты. Пример обнуления позиций в поле паспорта представлен на рис. 1.7.

J СЯчесгво Иванович Викторович Григорьевич Петровна

Индекс •{ Адрес - ¡Сумма платежа »

305000 г. Курск, ул. Ленина, 2 500,00р.

305048 г. Курск, ул. Дейнеки, 15 840,00р.

305002 г. Курс», ул. Ленина, 74 430,00р.

305004 Г. Курск, ул. Блинова, 1/2 670,00р.

«j,s<3

Иванович Викторович Григорьевич Петровна

Дате рождения • ( 14.03.1975 24.08.1960 30» IX* 19.01.1975

Индекс Адрес

305000 г. Курск, ул. Ленина, 2 30504а г. Курск, ул. Дейнеки, 1»! 305002 г. Курск, ул. Ленина, 74 306004 г. Курск, ул. Блинова, 1/2

Иванов

Петров Сергей

Семенов Игорь

Сидорова Еиеиа Петровна

Адрес • I Сумма платежа • |

14.03.1975 3050001. Курск, уя, Ленин*, 3 500.00р.

24.08.1960 305048 г. Курск, ул. Дейнеки, 15 840,00р.

30.11.1978 305002 (, Курск, ул. Ленина, 74 430,00р.

19.01.1975 30500» г. Курок, ул. Блинова, 1/2 6Ю,00р,

...... . ... i ...... :: ' ; ... . 4

Рис. 1.7 - Пример обнуления позиций

4. Изменение величины, путем перестановки позиций, например изменение почтового индекса 123456 на 653142. Представлено на рис. 1.8.

Фамилия * £ Имя Иванов Иван Петров Сергей Семенов Игорь Сидором Елена

Рис. 1.8 - Пример обнуления позиций

j Отчество «| Паспорт - j Дат» рождения Иванович 3800173456 14.03.1975

Викторович 3800 344365 34.08,1960

Григорьевич 38 00198746 30,11.1978

Петром» 3800198745 . /ЙЯ 19.01.19«

I; А«**:

Курск, Уя. Ленина, 2 Курск, уя. Двйиекм, 15 Курск, ул. Ленина, 74 Курск, ул. блином, 1/2

Сумма ппатеак» « 500,00p

840,00р. 430,00р. 670,00р.

5. Замена с использованием оригинальных таблиц значений. Например, можно составить список имен и фамилий и последовательно менять «Иванов Иван» на «Петров Петр» Пример на рис. 1.9 и рис. 1.10.

Исходная фамилия » | Замененная фамилия ♦ Щ Исходная имя | Замененное имя -»

Иванов Петров Иван Олег

Петров Гусев Сергей Александр

Семенов Бубнов Игорь Владимир

Сидоров Громов Елена Ольга .. ...........

Рис. 1.9 - Пример оригинальных таблиц значений

С ' ♦вВЙилмК*! Им* ^у Отчество »} Паспорт » | Детарошдеми* «| Индекс «| Адр«с ' « (Сужиавяотем»

\.Оечхж 0Л«К А Иванович 38001234« 14,03.19» 300050 >. Кург*, ул. Леии«». 2 500.00р.

1 гуж» Атевакдр / Викторович 3800349865 Зл.жлчш 3540В01. кур«,ул. Дейкеки, 15 840,00р.

^»^«убно» Владимир \ Григорьевич МООШМб 30.11Л9Ю 230300 г. Курск, уя.Яеиииа, 74 430,00р.

Громов Ол*г* \ П**роаи4 3800 Ш/45 13.01,1975 403500 ь Курск, ул. Блинова, 1/2 вЗДОр/

Рис. 1.10 - Пример подстановки из таблиц значений

Следующим шагом, после создания маски и применения одного из методов маскирования конфиденциальной информации (персональные данные), необходимо проверить выполнение маскирования данных для разных групп пользователей.

• Псевдонимизация - присвоение субъекту специального псевдонима, исключающая возможность его несанкционированного сопоставления с конкретным физическим лицом и идентификацию его личности;

• Использование системы «делегированных идентификационных данных» [31]- это способ обезличивания путем выдачи идентификационных данных на руки гражданам. Распределяя идентификационные данные таким образом, мы делаем хранилище идентификационных данных в совокупности неуязвимым. Таким образом, в системе хранится обезличенная база данных, а при предъявлении физическим лицом своего идентификатора, происходит сопоставление с записью в базе данных, и на носителе субъекта хранятся идентифицирующие его персональные данные;

• и др.

Саксонов Е. А., Шередин Р. В. Московского государственного института электроники и математики [32] предложили перемешивание данных, относящихся к различным субъектам.

Достоинствами реализации данной процедуры они называют:

• данные находятся в одном хранилище;

• использование дополнительных сведений, получаемых из других источников, не позволяет провести процедуру реидентификации субъекта персональных данных;

• простота реализации обезличивания и обратного формирования персональных данных;

• мобильность данных, позволяющая распространять их, хранить в распределенных системах.

Однако, практическая реализация процедур обезличивания, основанных на перемешивании данных, в условиях, когда число хранимых данных достигает 106 - 109, требует преодоления значительных сложностей, связанных с описанием и заданием параметров перемешивания, разработкой математического и программного обеспечения.

Авторы предлагают процедуру обезличивания, основанную на перемешивании данных, позволяющую оперировать с большими объемами данных, при простом задании параметров и большое количество возможных вариантов, обеспечивающие высокую защищенность от проведения реидентификации субъекта персональных данных. Использование процедуры перемешивания для обезличивания данных обеспечивает защиту от атак, использующих внешние данные, имеющие наборы атрибутов, совпадающие с некоторыми атрибутами в исходной таблице [33].

Наличие набора записей из исходной таблицы не позволяет провести процедуру де-обезличивания для других записей из таблицы обезличенных данных.

Критерием обезличеиности выступает возможность определить на основании этих сведений конкретного человека, при учете контекста обработки. Например, не всегда при удалении Ф.И.О. оставшиеся данные могут считаться обезличенными, необходимо видеть контекст. В США было проведено исследование, которое показало, что по дате и городу рождения можно с 30% точностью установить личность человека. Если в качестве примера возьмем данные, содержащие: Ф.И.О., адрес, возраст, пол. То при удалении Ф.И.О. нельзя говорить о том, что данные обезличены, т.е. что мы не сможем по оставшимся характеристикам определить субъект ПДн [34].

Основная проблема, с которой сталкиваются организации-операторы, обрабатывающие персональные данные физических лиц и желающие применить обезличивание персональных данных - это то, что, несмотря на то, что существуют и достаточно хорошо известны способы обезличивания, они не приспособлены под российский рынок и являются достаточно абстрактными и общими.

выводы

Итогом диссертационной работы являются следующие научные и практические результаты:

1. Автором изучена проблема гарантированного обезличивания персональных данных в соответствии с Федеральным законом РФ от 27 июля 2006 года №152-ФЗ «О персональных данных» в автоматизированных информационных системах и последующего восстановления субъекта по обезличенным данным или реидентификации.

2. Разработана математическая модель обезличивания персональных данных. Она может быть использована для обезличивания разных наборов данных, и является расширяемой за счёт возможности добавления новых параметров в модель обезличивания. Разработанная модель позволяет более продуктивно исследовать особенности моделируемого процесса обезличивания, следовательно, более эффективно строить информационные системы, работая с заданным набором обрабатываемых идентификаторов.

3. Создана модель процесса оценки невозможности повторной идентификации субъекта по обезличенным данным или реидентификации позволяет оценить риски и достаточность набора идентификаторов и способов обезличивания для получения гарантированно обезличенных данных на основе ранее определённого набора данных, участвующих в обезличивании и способов деперсонализации.

4. Представлен способ идентификации субъекта персональных данных по обезличенным данным позволяет снизить вероятность использования чужого внешнего идентификатора, за счёт ввода в систему устройства санкционирования доступа. В случае идентификации субъекта, для проверки принадлежности внешнего носителя физическому лицу, отправляется код подтверждения на устройство санкционирования доступа. Физическое лицо вводит код подтверждения, после чего система идентифицирует субъекта персональных данных. Применение устройства санкционирования доступа в системе позволяет достичь более высокого уровня надежности идентификации физического лица и понизить вероятность использования внешнего носителя несанкционированным пользователем системы.

5. Разработан алгоритм обезличивания персональных данных с применением хеширования данных и алгоритм реидентификации субъекта персональных данных, что позволяет эффективно найти соответствие набора обезличенных данных и данных внешнего носителя, высчитав значение хеш-функции для данных, расположенных на внешнем носителе и в записи БД.

6. Метод гарантированного обезличивания и реиндентификации субъекта персональных данных в автоматизированных информационных системах, благодаря чему достигается снижение сложности по обеспечению уровня защищенности информационной системы, в которой находятся персональные данные и оптимизация затрат на построение системы защиты информационной системы персональных данных.

7. Разработанно программное обеспечение ЯЕШЕЫТ, реализующее метод обезличивания с использованием алгоритма обезличивания с применением хеширования данных и алгоритм реидентификации субъекта по обезличенным данным.

Результаты внедрения программного обеспечения КЕШЕИТ, реализующего метод обезличивания с использованием алгоритма обезличивания с применением хеширования данных и алгоритм реидентификации субъекта по обезличенным данным, были охарактеризованы значительным сокращением материальных и временных ресурсов на приведение ИСПДн удовлетворяющих требованиям российского законодательства в области обеспечения безопасности персональных данных и защиты информации в целом, а также исключением ежегодных затрат по техническому обслуживанию.

ЗАКЛЮЧЕНИЕ

В работе рассмотрены теоретические и практические вопросы решения задач гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах. Разработаны: математическая модель обезличивания персональных данных, модель процесса оценки невозможности повторной идентификации субъекта по обезличенным данным или реидентификации, способ идентификации субъекта персональных данных по обезличенным данным, алгоритм с применением хеширования данных анонимизации базы данных с ПДн и алгоритм реидентификации субъекта персональных данных, метод гарантированного обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах. Разработано программное обеспечение ЯЕГОЕ]ч1Т, реализующее метод обезличивания. Предложенная модель, метод и алгоритмы могут использоваться как для решения конкретных задач обезличивания и реидентификации субъекта персональных данных в автоматизированных информационных системах.

Основные положения и отдельные результаты работы докладывались и обсуждались на следующих конференциях и семинарах: на Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых научной сессии. ТУСУР-2009 (Томск, 2009 г.); на конференции инновации, качество и сервис в технике и технологиях (Курск, 2009 г.); на конференции информационно-измерительные, диагностические и управляющие системы (Курск, 2009 г.); на II Региональной научно - практической конференции (Брянск, 2010 г.); на VI Международной научно-практической конференции (Томск, 2011 г.); на 16-ой Международной научно-технической конференции «Проблемы передачи и обработки информации в сетях и системах телекоммуникаций (Рязань, 2010 г.); на Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых «Инновации и актуальные проблемы техники и технологий» (Саратов, 2010 г.); на II Международной Научно-технической конференции «Диагностика-2011» (Курск, 2011 г.); на III Региональной научно-практической конференции (Брянск, 2011 г.); на IV Региональной научно-практической конференции (Брянск,2012 г.).

Также в диссертации заложен базис для дальнейшей теоретической и практической проработки методик экспериментальной оценки применимости и эффективности метода и алгоритмов гарантированного обезличивания и реидентификации субъекта персональных данных в сфере внедрения универсальной электронной карты гражданина.

В качестве направлений дальнейших исследований можно выделить: анализ возможности совмещения внешнего носителя и универсальной электронной карты гражданина [95]; разработка модели обезличивания и реидентификации субъекта ПДн на основе применения электронной подписи [96]; разработка алгоритма сворачивания данных, выгружаемых сейчас на внешний носитель персональных данных, для их последующего нанесения на кожу в виде временной татуировки, с целью исключения возможности использования их злоумышленником.

СПИСОК ЛИТЕРАТУРЫ

1. Основы информационной безопасности. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, A.A. Шелупанов. - М.: Горячая линия-Телеком, 2006 - 544с.

2. В.Ф. Шаньгин. Комплексная защита информации в корпоративных компьютерных системах: Учебн. пособие. - М.: ИД «ФОРУМ»: ИНФРА-М, 2010. 592с.

3. А.Ю. Щербаков. Современная компьютерная безопасность. Практические аспекты. - М.: Книжный мир, 2009. - 352с.

4. Защита персональных данных в организациях здравоохранения. // А.Г. Сабанов, В.Д. Зыков. Москва, Горячая линия - Телеком, 2012, 206 с.

5. Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных».

6. Комплексная система защиты информации на предприятии : учеб. пособие для студ. высш. учеб. заведений / В. Г.Грибунин, В.В.Чудовский. — М.: Издательский центр «Академия», 2009. — 416 с.

7. Р.В. Мещереков, Г.А. Праскурин Теоретические основы компьютерной безопасности: Учебное пособие для студентов специальности 075500. 2-е изд., перераб и доп. - Томск: В-Спектр, 2007, 343с.

8. Васильков A.B., Васильков И.А. Безопасность и управление доступом в информационных системах: Учебное пособие - М.:ФОРУМ, 2010, 368с.

9. Гагарина Л.Г.,Киселев Д.В.,Федотова Е.Л. Разработка и эксплуатация автоматизированных информационных систем М.:ИНФРА-М, ФОРУМ 2011 г. 384 с.

Ю.Петрыкина Н.И. Правовое регулирование оборота персональных данных. М.: Статут, 2011. - 134 с.

11.Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 14.02.2008 г.

12.Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, ФСТЭК России, 15.02.2008 г.

13.Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», ФСБ России (утв. ФСБ РФ 21.02.2008 N 149/6/6-622).

14.Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных

системах персональных данных с использованием средств автоматизации», ФСБ России (утв. ФСБ РФ 21.02.2008 N 149/54-144).

15.Приказ N 55/86/20 от 13 февраля 2008 года «Об утверждении Порядка проведения классификации информационных систем персональных данных».

16.0 юридической значимости/ А.А. Домрачев, С.А. Кирюшкин, П.А. Мельниченко и др. // Инсайд. Защита информации, 2011, №3, с.40-45

17.Г.А. Кустов «Управление информационными рисками организации на основе логико-вероятностного метода (на примере компании добровольного медицинского страхования)», автореферат, Уфа, 2008

18.Кухаренко Т.А. Кто, что и зачем должен о нас знать (народный адвокат). М.: Эксмо, 2010, 224с.

19.Постановление Президиума Совета судей РФ от 17.05.2010 N 225 (ред. от 05.08.2010) "Об утверждении Временного регламента организации размещения сведений о находящихся в суде делах и текстов судебных актов в информационно-телекоммуникационной сети "Интернет" на официальном сайте суда общей юрисдикции" [Электронный ресурс]. -Режим доступа: http://www.consultant.ru/online/base /?req=doc;base=LAW;n=104186, свободный (дата обращения: 09.01.2011)

20.Робсон, М. Реинжиниринг бизнес-процессов : практ. руковод. / М. Робсон, Ф. Уллах ; пер. с англ. под ред. Н. Д. Эриашвили. М. : ЮНИТИ-ДАНА, 2003. 222 с.

21.Самуйлов К.Е., Серебренникова Н.В., Чукарин А.В., Яркина Н.В. Основы формальных методов описания бизнес-процессов: Учеб. пособие. - М.: РУДН, 2008.-130 е.: ил.

22.Dumas, М.; Van der Aalst, W. M. P.; ter Hofstede, A. H. M. (eds.): Process-aware Information Systems : Bridging People and Software through Process Technology. Hoboken, New Jersey : Wiley, 2005.

23.Giaglis G. M. A Taxonomy of Business Process Modelling and Information Systems Modelling Techniques // International Journal of Flexible Manufacturing Systems, 2001. - Vol.13. - Issue 2. - Pp. 209-228.

24.Wetzstein В., Ma Zh., Filipowska A., Semantic Business Process Management: A Lifecycle Based Requirements Analysis // Proc. of SBPM 2007 in conjunction with ESWC 2007, Innsbruck, Austria, June 7, 2007.

25.Вендров A. M. CASE-технологии. Современные методы и средства проектирования информационных систем. - М.: Финансы и статистика, 1998, Фирсова Н. В. Инструментальные средства моделирования бизнес-процессов и оценка их применения для целей реинжиниринга //Вестник СПБГУ. - 2005. - Сер. 8. - Вып. 4. - С. 100-119.

26.K-Anonymity: a model for protecting privacy. Latanya Sweeney [Электронный ресурс]. - Режим доступа: http://citeseerx.ist.psu.edu/ viewdoc/download?doi=10.1.1.90.4099&rep=repl&type=pdf, свободный (дата обращения: 11.09.2010)

27.Методы обезличивания: Anonymization techniques [Электронный ресурс]. - Режим доступа: http://www.surveynetwork.org/home/ index.php, свободный (дата обращения: 11.09.2010)

28.SP 800-122 Apr. 2010 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) [Электронный ресурс]. - Режим доступа: http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf, свободный (дата обращения: 10.09.2010).

29.Электронный ресурс] / Unmasking data masking techniques in the enterprise; Michael Cobb - Электрон, дан. - 2010 - Режим доступа: http://searchsecurity.techtarget.com, свободный - Яз. англ. (дата обращения

08.09.2010).

30.Научная библиотека информационной безопасности Searchsecurity [Электронный ресурс] / Data masking best practices for protecting sensitive information; Randall Gamby - Электрон, дан. - 2010 - Режим доступа: http://searchfmancialsecurity.techtarget.com, свободный - Яз. англ. (дата обращения 08.09.2010).

31.Сергей Рябко. Об обезличивании персональных данных // Журнал "Information Security/ Информационная безопасность" #5, 2009 [Электронный ресурс]. - Режим доступа: http://itsec.ru, свободный (дата обращения: 12.09.2010)

32.Саксонов Е. А., Шередин Р. В. Процедура обезличивания персональных данных. Наука и образование. #3, март 2011 [Электронный ресурс]. -Режим доступа: http://technomag.edu.ru, свободный (дата обращения:

03.09.2011).

33.L.Sweeney, k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10 (5), 2002.- P. 557-570.

34.Волокитина E.C. Реидентификация персональных данных и методы предотвращения раскрытия информации. Научная сессия ТУСУР-2010. Материалы докладов Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых, Том 1, Саратов, 2010. С. 260,261

35.Anderson R. A security policy model for clinical information systems // In Proc. of the 1996 IEEE Symposium on Security and Privacy Oakland, CA, USA. - 1996. - P. 30-43

Зб.к-Anonymity / V. Ciriani, S. De Capitani di Vimercati, S. Foresti, P. Samarati //

Springer US, Advances in Information Security. - 2007 37.Samarati P. Protecting respondents' identities in microdata release // IEEE Transactions on Knowledge and Data Engineering. - 2001. - 13 (6). - P. 1010-1027

Зв.Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.

39.Ярочкин В.И. Информационная безопасность. Учебник для студентов вузов / 3-е изд. - М.: Академический проект: Трикста, 2005.-544 с.

40.Розенберг И.Н., Булгаков C.B. Проектная модель информационной безопасности ГИС .Вестник № 2

41.Кормен, Т., Лейзерсон, Ч., Ривест, Р., Штайн, К. Алгоритмы: построение и анализ = Introduction to Algorithms / Под ред. И. В. Красикова. — 2-е изд. —М.: Вильяме, 2005. — 1296 с.

42.3ыков А. А. Основы теории графов. — М.: «Вузовская книга», 2004. — С. 664

43.Кристофидес Н.Теория графов. Алгоритмический подход. М.: Мир, 1978. 429с.

44.Кормен T. X. и др. Часть VI. Алгоритмы для работы с графами // Алгоритмы: построение и анализ = Introduction to Algorithms. — 2-е изд.

— M.: Вильяме, 2006. — С. 1296.

45.Diestel R. Graph Theory, Electronic Edition. — NY: Springer-Verlag, 2005.

— С. 422

46.Алянов Г.Н. CASE. Структурный системный анализ (автоматизация и применение). М., "Лори", 1996

47.Роберт С. КАПЛАН, Дейвид П. НОРТОН. Сбалансированная система показателей. От стратегии к действию. - М.: ЗАО «Олимп-Бизнес», 2003. -304 с.

48.Нумерация бланка паспорта РФ. Информационный портал про оформление заграничных паспортов и др. документов [Электронный ресурс]— Режим доступа: http://fms-kursk.ru/pas_rf/nomera-passport.php, свободный (дата обращения: 09.01.2011).

49.0безличивание персональных данных. [Электронный ресурс]. - Режим доступа: http://www.sbchel.ru/personalnye-dannye/obezlichivanie-

personalnykh-dannykh, свободный (дата обращения: 11.08.2011).

50.Бирман, Л.А. Управленческие решения [Текст]: Учеб. пособие. / Л.А. Бирман - М.: Дело, 2004. - 208 с.

51.Информационные системы и технологии в экономике [Текст] / И.А. Брусакова, В.Д. Чертовский. - М.: Финансы и статистика, 2007. - 352 с.

52.Калигин, Н.А. Принципы организационного управления \ Н.А. Калигин. -М.: Финансы и статистика, 2003. - 272 с.

53.Менеджмент процессов [Текст] / Под ред. И. Беккера. - М.: Эксмо, 2007. -384 с.

54.Обработка персональных данных в образовательном учреждении: как выполнить требования законодательства / А.Б. Вифлеемский, И.Г. Лозинский -М.: «Сервис-Пресс», 2011, 189с.

55.А.Б. Вифлеемский, И.Г. Лозинский. Персональные данные и информационные технологии в образовании. Научно-методическое издание-М.: Аверс, 2010, 128 с.

56.И.А. Баймакова, А.В. Новиков, А.И. Рогачев, А.Х. Хыдыров Обеспечение защиты персональных данных. Методическое пособие. М.: ООО «1С-Паблишинг», 2010 Г. - 214 с.

57.Баричев, С.Г. Основы современной криптографии / С.Г. Баричев, В.В. Гончаров, Р.Е. Серов. - М.: Горячая линия - Телеком, 2001. - 120 с.

58.Грушо, А.А. Теоретические основы защиты информации / А.А. Грушо, Е.Е. Тимонина. — М.: Изд-во Агенства "Яхтсмен", 1996. - 192 с.

59.Нечаев, В.И. Элементы криптографии (Основы теории защиты информации) : учебное пособие / В.И. Нечаев ; под ред. В.А. Садовничего. - М. : Высшая школа, 1999. - 109 с.

бО.Онина О.Р. Криптографические основы безопасности. — М.: Интернет-университет информационных технологий - ИНТУИТ.ру, 2004. — С. 320.

61.Нильс Фергюсон, Брюс Шнайер Практическая криптография = Practical Cryptography: Designing and Implementing Secure Cryptographic Systems. — M.: «Диалектика», 2004. — 432 с.

62.Корнеев B.B., Гареев А.Ф., Васютин С.В., Райх В.В. Базы данных. Интеллектуальная обработка информации. 2-е издание. -М.: Нолидж, 2001. -496 с.

63.Microsoft Press. Архитектура Microsoft Windows для разработчиков / Пер. с англ. - М.: "Русская Редакция", 1998.

64.Ари Каплан, Мортер Нильсен. Windows 2000 Изнутри. / Пер. с англ. - М.: "ДМК", 2000.

65.Румянцев П.В. Основы программирования в Win32 API. - М.: "Радио и Связь", 1998.

66.Джеффри Рихтер. Windows для профессионалов / Пер. с англ. - 4-е изд. -СПб.: Питер, 2004.

67.Ал. Вильяме. Системное программирование в Windows 2000. / Пер. с англ. - СПб.: "Питер", 2001.

68.М. Руссинович. Соломон Д. Внутреннее устройство Microsoft Windows 2000. / Пер. с англ. - М.: "Русская Редакция", 2004

69.Керниган Б. Пайк Р. Практика программирования. / Пер. с англ. - СПб.: "Невский Диалект", 2001.

70.Антлг Элианс. Принципы объектно-ориентированной разработки программ. / Пер. с англ. -М.: "Вильяме", 2002.

71.К. Ауэр. Р. Миллер. Практическое руководство по экстремальному программированию. / Пер. с англ. - СПб.: "Питер", 2003

72.Джон Макгрегор, Дэвид Сайке. Тестирование объектно-ориентированного программного обеспечения. / Пер. с англ. - М.: ТИД "ДС", 2002. 54.

73.Сэм Канер. Тестирование программного обеспечения. / Пер. с англ. -Киев: "Диасофт", 2000

74.Кнут Д.Э. Искусство программирования, т. 1. Основные алгоритмы, 3-е изд. -М.: Издательский дом "Вильяме", 2000. -720 с.

75 .Ник Рендольф, Дэвид Гарднер, Майкл Минутилло, Крис Андерсон Visual Studio 2010 для профессионалов = Professional Visual Studio 2010. — M.: «Диалектика», 2011. — С. 1184.

76.Карли Уотсон, Кристиан Нейгел, Якоб Хаммер Педерсен, и др. Visual С# 2008: базовый курс. Visual Studio® 2008 = Beginning Visual C# 2008. — M.: «Диалектика», 2009. —С. 1216.

77.Майо Д. Самоучитель Microsoft Visual Studio 2010 = Microsoft Visual Studio 2010: A Beginner's Guide (A Beginners Guide). — С.: «БХВ-Петербург», 2010. — С. 464.

78.Джеф Просиз Программирование для Microsoft .NET (+ CD-ROM). Издательство: Русская Редакция, 2003 г. 704 стр.

79.Фролов А.В., Фролов Г.В. Визуальное проектирование приложений С#. -М.: КУДИЦ-ОБРАЗ, 2003. - 512 стр.

80.Вирт Н. Алгоритмы и структуры данных. СПб.: Невский диалект. 2001

81.DalniusT.Controlling Invasion of Privacyin Survey s.Chapter 17. Department of Development and Research. Statistical Research Unit. Statistics Sweden, 1998.

82.Anwar M.N. Microaggregation: the small aggregates method. Internal Report. Luxembourg. Eurostat, 1993.

83.Franconi L., Pagliuca D., Piersimoni F. and Seri G. SGC Tecnigues for Microdata: Study о some perturbative techniques. Delivable MI-3/D1-SDC Project. Esprit no.20462,1998.

84.Нечаева Е.Г. применение микроагрегирования для защиты конфиденциальных данных. - Заводская лаборатория. Диагностика материалов. 1998. №1. Т.64. с.51-54.

85.Schakis D. Manual on Disclosure Control Methods. Luxemborg. Eurostat, September 1993.

86.Willenborg, L. and de Waal, T.Statistical Disclosure Control in Practice, Lecture Notes in Statistics. Springer-Verlag, New-York, USA, 1996

87.Когаловский M.P. Энциклопедия технологий баз данных. —М.: Финансы и статистика, 2002. — 800 с.

88.Кузнецов С. Д. Основы баз данных. — 2-е изд. — М.: Интернет-университет информационных технологий; БИНОМ. Лаборатория знаний, 2007. — 484 с.

89.Коннолли Т., Бегг К. Базы данных. Проектирование, реализация и сопровождение. Теория и практика = Database Systems: A Practical Approach to Design, Implementation, and Management. — 3-е изд. — M.: Вильяме, 2003. — 1436 с.

90.Cox Lawrence H.Solving Confidentiality Protection Problems in Tabulations Using Network Optimisation.A Network Model for Cell Suppression in U.S.Economic Censuses.International Seminar on Statistical Confidentiality. Dublin, September 1992.

91. Cox Lawrence H.Some Mathematical Problems Arising From Confidentiality Concerns. Special Issue of the Statistical review dedicated to T/Dalenius, 1983. p.179-183.

92. Gordon S. Automated Cell Suppression to Preserve Confidentiality of Business Statistics. Statistical Journal of the United Nations, ECE 2, 1984.

93.3ябрев И.Н., Пожарков O.B. Метод контекстно-зависимого аннотирования документов на основе спектральных оценок лексем. Труды ROMIP 2009.Санкт-Петербург: НУ ЦСИ. 2009, с 167-174.

94.Amati, G. Probabilistic models of information retrieval based on measuring the divergence from randomness / G. Amati and C. J. Van Rijsbergen, The Information Retrieval Group, 20(4):357-389, 2002.

95.Федеральный закон от 27 июля 2010 г. №210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

96.Федеральный закон от 6 апреля 2011г. №63-ФЗ «Об электронной подписи».