RU2636106C1 - Способ деперсонализации персональных данных - Google Patents

Способ деперсонализации персональных данных Download PDF

Info

Publication number
RU2636106C1
RU2636106C1 RU2016126867A RU2016126867A RU2636106C1 RU 2636106 C1 RU2636106 C1 RU 2636106C1 RU 2016126867 A RU2016126867 A RU 2016126867A RU 2016126867 A RU2016126867 A RU 2016126867A RU 2636106 C1 RU2636106 C1 RU 2636106C1
Authority
RU
Russia
Prior art keywords
data
key
attributes
personal data
stage
Prior art date
Application number
RU2016126867A
Other languages
English (en)
Inventor
Анастасия Александровна Ноздрина
Александр Геннадьевич Спеваков
Дмитрий Владимирович Применко
Original Assignee
Федеральное государственное бюджетное образовательное учреждение высшего образования "Юго-Западный государственный университет" (ЮЗГУ)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Федеральное государственное бюджетное образовательное учреждение высшего образования "Юго-Западный государственный университет" (ЮЗГУ) filed Critical Федеральное государственное бюджетное образовательное учреждение высшего образования "Юго-Западный государственный университет" (ЮЗГУ)
Priority to RU2016126867A priority Critical patent/RU2636106C1/ru
Application granted granted Critical
Publication of RU2636106C1 publication Critical patent/RU2636106C1/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ обезличивания персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДн, и осуществляет хеширование ключевых атрибутов по алгоритму Keccak. При этом на первом этапе экспертным путем определяются ключевые атрибуты. На втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно. На третьем этапе производится хеширование данных из А1 для каждого субъекта и вычисляется значение хеш-функции, которое является одним из атрибутов обоих множеств. 1 з.п. ф-лы.

Description

Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных, от несанкционированного доступа и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении.
Известен способ защиты от несанкционированного доступа к информации пользователя в системе обработки информации (патент RU №2309450, МПК G06F 12/14, дата приоритета 26.04.2006, дата публикации 27.10.2007), основанный на том, что формирование сервисных служб системы обработки информации производится из доступного пользователю набора функциональных блоков, расположенных на различных серверах системы. Рабочая информация пользователя подвергается преобразованию, уникальному для каждого обращения пользователя к системе обработки информации, сведения о хранении учетной записи пользователя также подвергаются уникальному для данного случая преобразованию и сохраняются в других местах системы обработки информации. Недостатком известного технического решения является то, что данная система неудобна в использовании, и выполнение указанных в способе требований влечет за собой значительные материальные затраты на внедрение дополнительных функциональных блоков.
Наиболее близким к предлагаемому изобретению по совокупности существенных признаков и принятым в качестве прототипа является способ обезличивания ПД для защиты от несанкционированного доступа к информации пользователя в системе обработки информации (патент RU №2538913, МПК G06F 21/00, дата приоритета 16.10.2012, дата публикации 27.04.2014). Способ основан на преобразовании информации, составляющей по совокупности персональные данные, путем выполнения двухэтапного перемешивания данных, относящихся к разным субъектам, используя перестановки первого и второго уровней, при этом на первом этапе исходное множество данных D(d1, d2, …, dN), где N - число атрибутов, разбивается на непересекающиеся подмножества данных Ai, относящихся к одному атрибуту di, и на втором этапе происходит перестановка данных сначала внутри подмножеств Ai, а затем элементами перестановки являются сами подмножества. В результате пользователь получает деперсонализированные данные и файл, хранящий параметры перестановок и разбиений, которые будут необходимы для решения обратного способа деперсонализации. Данный файл представляет большую ценность для злоумышленника, поэтому должен быть надежно защищен.Так как он хранится на каждом рабочем месте ИСПДн, то необходимо организовать полную защиту каждого элемента такой системы, что в свою очередь влечет за собой значительные материальные затраты.
К недостаткам данного способа можно отнести то, что все персональные сведения хранятся в одной таблице в незашифрованном виде. Имея таблицу обезличенных данных, можно определить (например, по ФИО) наличие конкретного субъекта в данной ИСПДн (например, противотуберкулезного диспансера). А также недостатком является то, что при компрометации некоторых записей в таблице ПДн злоумышленник может получить параметры перестановок и разбиений. И тем самым получить доступ ко всем данным.
Техническая задача заключается в разработке надежного способа обезличивания персональных данных, позволяющего значительно увеличить уровень защищенности данных от НСД и исключить возможность получения доступа ко всем данным при компрометации части и тем самым повысить уровень безопасности ИСПДн на стадиях разработки и оптимизации.
Решение задачи достигается путем выделения в отдельные подмножества и преобразования уникальным неизвестным пользователю образом относящихся к одному субъекту ключевых данных, которые однозначно его идентифицируют.
В качестве исходных данных рассматривается таблица персональных данных D(d1, d2, ,dM), где М - общее число атрибутов, а N - число строк таблицы, множество данных А1 и А2, относящееся к ключевым и неключевым атрибутам соответственно.
При этом на первом шаге экспертным путем определяются редкоизменяющиеся данные и те, которые однозначно идентифицируют субъекта ПДн. Соответствующие атрибуты определяем как ключевые.
На втором шаге исходное множество данных D согласно выбранным ключевым атрибутам разбивается на два непересекающихся подмножества данных A1 и A2. Следует отметить, что в каждое из подмножеств добавляется дополнительный атрибут d0, по значению которого впоследствии производится персонализация данных. В результате число ключевых атрибутов равно К(0<K<М). При этом в А2 содержатся обезличенные данные, не представляющие никакой ценности для злоумышленника, поэтому не требуют защиты и хранятся в открытом виде.
На третьем шаге для совокупности ключевых данных каждой строки ai1, ai2, …, aiK ∈ А1, где i=1, 2, N, вычисляется значение атрибута d0-ai0=F(ai1, ai2, ai3, …, aiK), где F - уникальная неизвестная пользователю функция. В качестве F в данном способе выбрана хеш-функция по алгоритму Keccak.
Практическое применение данного способа подразумевает, что персональные данные хранятся в двух ИСПДн. ИСПДн, хранящая совокупность значений ключевых атрибутов (персональные данные) и значения хеш-функций (d0), должна быть защищенной ИСПДн (ЗИСПДн). В другой обезличенной ИСПДн (ОИСПДн) содержатся обезличенные данные, а именно совокупность значений неключевых атрибутов и соответствующие значения хеш-функций (d0), в этом случае обязательные требования по защите ПДн не устанавливаются. При необходимости работы с персональными данными оператор, используя предоставленные субъектом данные, получает доступ к единственной записи. Следует отметить, что получение достоверных сведений о субъекте обеспечивается лишь при легитимном обращении к ним, то есть при наличии всех ПДн у обратившегося субъекта и удостоверения его личности.
Данный способ обладает следующими преимуществами:
- данные становятся обезличенными, что позволяет снизить затраты на защиту ИСПДн;
- неосуществимость определения наличия конкретного субъекта в ИСПДн по известным уникальным атрибутам;
- оператор при обращении субъекта по его ПДн получает доступ лишь к одной записи ИСПДн;
- невозможен контекстный анализ.
Применение данного способа позволяет обеспечить защиту персональных данных от несанкционированного доступа, в том числе от компрометации информации при ее утечке по техническим каналам, а также обеспечить гарантированный доступ к персональным данным при легитимном обращении.
Эти отличительные признаки по сравнению с прототипом позволяют сделать вывод о соответствии заявляемого технического решения критерию «новизна».
Новое свойство совокупности существенных признаков, приводящих к предотвращению НСД к персональной информации, хранящейся и обрабатываемой в ИСПДн, путем выделения в отдельные подмножества и хешировании относящихся к одному субъекту ключевых данных, которые однозначно его идентифицируют, позволяет сделать вывод о соответствии предлагаемого технического решения критерию «изобретательский уровень».
Предлагаемый способ защиты ПДн от НСД опробован в лабораторных условиях. Способ деперсонализации может быть реализован в виде программного обеспечения на языке программирования С#.
Изначально администратор загружает исходные ПДнв ЗИСПДн. Затем используя уникальный ключ и совокупность значений ключевых атрибутов формируется уникальный необратимый идентификатор, используемый для обезличивания персональных данных. В результате получаем ОИСПДн и ЗИСПДн, описанные выше. При обращении субъект обязан предоставить персональные данные и удостоверение личности. Убедившись, что обратившийся предоставил достоверные данные, оператор вводит свой уникальный ключ и полученные данные с клавиатуры. По введенным данным вычисляется значение хеш-функции, и по этому значению находится соответствующая запись в ОИСПДн. В результате оператор получает доступ к персонализированной информации лишь о конкретном субъекте.
Таким образом, заявляемый способ обезличивания персональных данных позволяет значительно увеличить уровень защищенности данных от НСД и исключить возможности получения доступа ко всем данным при компрометации части путем выделения в отдельные подмножества и хешировании относящихся к одному субъекту ключевых данных, которые однозначно его идентифицируют, и тем самым повысить уровень безопасности ИСПДн на стадиях разработки и оптимизации.

Claims (2)

1. Способ деперсонализации персональных данных, заключающийся в преобразовании информации, составляющей по совокупности персональные данные, отличающийся тем, что при передаче из ОЗУ в ПЗУ исходные данные преобразуются следующим образом: выделяются в отдельные подмножества и хешируются относящиеся к одному субъекту ключевые данные, которые однозначно его идентифицируют; при этом на первом этапе экспертным путем определяются ключевые атрибуты; на втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно, в каждое из подмножеств добавляется дополнительный атрибут d0, по значению которого впоследствии производится персонализация данных; а на третьем этапе для совокупности ключевых данных каждой строки ai1, ai2, …, aiK ∈ A1, где i=1, 2,…, N, вычисляется значение атрибута d0-ai0=F(ai1,ai2,ai3,…,aiK), где F - хеш-функция по алгоритму Keccak; в результате совокупность значений ключевых атрибутов (персональные данные) и значения хеш-функций (d0) хранятся в ЗИСПДн, а обезличенные данные, а именно совокупность значений неключевых атрибутов и соответствующие значения хеш-функций (d0), хранятся в ОИСПДн; при обращении субъект обязан предоставить персональные данные и удостоверение личности; убедившись, что обратившийся предоставил достоверные данные, оператор вводит свой уникальный ключ и полученные данные с клавиатуры; по введенным данным вычисляется значение хеш-функции, и по этому значению находится соответствующая запись в ОИСПДн, вследствие чего оператор получает доступ к персонализированной информации лишь об обратившемся субъекте.
2. Способ по п. 1, отличающийся тем, что оператор не имеет доступа ко всей базе ПД.
RU2016126867A 2016-07-04 2016-07-04 Способ деперсонализации персональных данных RU2636106C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016126867A RU2636106C1 (ru) 2016-07-04 2016-07-04 Способ деперсонализации персональных данных

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016126867A RU2636106C1 (ru) 2016-07-04 2016-07-04 Способ деперсонализации персональных данных

Publications (1)

Publication Number Publication Date
RU2636106C1 true RU2636106C1 (ru) 2017-11-20

Family

ID=60328701

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016126867A RU2636106C1 (ru) 2016-07-04 2016-07-04 Способ деперсонализации персональных данных

Country Status (1)

Country Link
RU (1) RU2636106C1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2698412C2 (ru) * 2017-12-22 2019-08-26 Общество с ограниченной ответственностью "Биткалм" Система защиты персональных данных пользователей в информационной системе на основании деперсонализации и миграции в безопасное окружение
RU2731110C2 (ru) * 2018-12-24 2020-08-28 Общество с ограниченной ответственностью "Биткалм" Система деперсонализации и миграции персональных данных пользователей на веб-сайтах на основе технологии резервного копирования
RU2792789C1 (ru) * 2022-04-08 2023-03-24 Общество с ограниченной ответственностью "Автоматизированная система торгов государственного оборонного заказа" Устройство защиты персональных данных пользователей информационной системы

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2309450C1 (ru) * 2006-04-26 2007-10-27 Общество с ограниченной ответственностью "БОМОСОМ" Способ защиты частной информации пользователя в системе обработки информации
US20080229394A1 (en) * 2006-07-10 2008-09-18 Sci Group Method and System For Securely Protecting Data During Software Application Usage
RU2439693C1 (ru) * 2010-06-04 2012-01-10 Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" Способ защиты текстовой информации от несанкционированного доступа
EP2709333A1 (en) * 2012-09-18 2014-03-19 Alcatel Lucent Method and devices for data leak protection
RU2538913C2 (ru) * 2012-10-16 2015-01-10 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" (Университет ИТМО) Способ деперсонализации персональных данных

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2309450C1 (ru) * 2006-04-26 2007-10-27 Общество с ограниченной ответственностью "БОМОСОМ" Способ защиты частной информации пользователя в системе обработки информации
US20080229394A1 (en) * 2006-07-10 2008-09-18 Sci Group Method and System For Securely Protecting Data During Software Application Usage
RU2439693C1 (ru) * 2010-06-04 2012-01-10 Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" Способ защиты текстовой информации от несанкционированного доступа
EP2709333A1 (en) * 2012-09-18 2014-03-19 Alcatel Lucent Method and devices for data leak protection
RU2538913C2 (ru) * 2012-10-16 2015-01-10 федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики" (Университет ИТМО) Способ деперсонализации персональных данных

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2698412C2 (ru) * 2017-12-22 2019-08-26 Общество с ограниченной ответственностью "Биткалм" Система защиты персональных данных пользователей в информационной системе на основании деперсонализации и миграции в безопасное окружение
RU2731110C2 (ru) * 2018-12-24 2020-08-28 Общество с ограниченной ответственностью "Биткалм" Система деперсонализации и миграции персональных данных пользователей на веб-сайтах на основе технологии резервного копирования
RU2792789C1 (ru) * 2022-04-08 2023-03-24 Общество с ограниченной ответственностью "Автоматизированная система торгов государственного оборонного заказа" Устройство защиты персональных данных пользователей информационной системы

Similar Documents

Publication Publication Date Title
Pouliot et al. The shadow nemesis: Inference attacks on efficiently deployable, efficiently searchable encryption
CN107292189B (zh) 面向文本检索服务的用户隐私保护方法
EP2731041A1 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
Knockel et al. Three Researchers, Five Conjectures: An Empirical Analysis of {TOM-Skype} Censorship and Surveillance
Selvaraj et al. Outsourced analysis of encrypted graphs in the cloud with privacy protection
EP3497613B1 (en) Protected indexing and querying of large sets of textual data
CN106776904A (zh) 一种不可信云计算环境中支持动态验证的模糊查询加密方法
AU2015353713B2 (en) Systems and methods for implementing a privacy firewall
EP3289483A1 (en) Secure multi-party information retrieval
JP7100563B2 (ja) 匿名化システムおよび匿名化方法
Yang et al. A retrievable data perturbation method used in privacy-preserving in cloud computing
RU2636106C1 (ru) Способ деперсонализации персональных данных
Ranbaduge et al. Secure and accurate two-step hash encoding for privacy-preserving record linkage
Rao et al. R-PEKS: RBAC enabled PEKS for secure access of cloud data
EP3485419A1 (en) Big data k-anonymizing by parallel semantic micro-aggregation
Fernandes et al. DNA-SeAl: sensitivity levels to optimize the performance of privacy-preserving DNA alignment
Khan A formal method for privacy‐preservation in cognitive smart cities
Shekhawat et al. Privacy-preserving techniques for big data analysis in cloud
Sacharidis et al. k-Anonymity in the Presence of External Databases
Abouelmehdi et al. Big data emerging issues: Hadoop security and privacy
Janakiraman et al. Advanced extreme learning machine‐based ensemble classification scheme with enhanced data perturbation for human DNA sequences
Huang et al. Achieving data privacy on hybrid cloud
Kesarwani et al. Secure k-anonymization over encrypted databases
Zhao et al. A secure alignment algorithm for mapping short reads to human genome
Drogkaris et al. A privacy preserving framework for big data in e-government environments

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20180705