CC BY
26УДК 004.732.0569(075.8)
КАТЕГОРИРОВАНИЕ БАЗ ПЕРСОНАЛЬНЫХ ДАННЫХ
Г.Е. Шепитько, д-р техн. наук,
Московский финансово-юридический университет МФЮА E-mail: ge2004@yandex.ru Е.С. Васильев,
Московский финансово-юридический университет МФЮА E-mail:valmsc@list.ru
Аннотация. В статье предложено для упрощения категорирования баз персональных данных формализовать процедуру оценки перечней персональных данных.
Ключевые слова: база персональных данных, перечень сведений, содержащих персональные данные, категорирование важности персональных данных, реквизиты персональных данных.
Abstract. To formalize the procedure for evaluating the lists of personal data it is proposed to simplify the categorization of personal data.
Keywords: personal data database, list of data that includes personal data, categorization of the importance of personal data, personal data requisites.
Для повышения точности категорирования объектов, содержащих коммерческую тайну, используются соответствующие перечни сведений. Однако, для категорирования важности персональных данных до сих пор не разработаны перечни сведений, содержащих персональные данные [1].
Целью данной работы является формализация процедуры определения значимости реквизитов перечня сведений в базе данных, содержащей персональные данные.
В соответствии с нормативным документом [2] предложено категорию важности персональных данных определять по двум признакам категорирования: категория значимости обрабатываемых в информационной системе персональных данных - Хпд; объем обрабатываемых персональных данных (количество субъектов персональных данных,
мфюа московский финансово-юридическии университет
обрабатываемых в информационной системе - Vнпд) - Хнпд. Определяются следующие категории значимости обрабатываемых в информационной системе персональных данных Хпд:
■ категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
■ категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию (например, о его финансовых возможностях), за исключением персональных данных, относящихся к категории 1;
■ категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных (например, паспортные данные);
■ категория 4 - обезличенные и (или) общедоступные персональные данные.
Значения признака объема персональных данных Хнпд могут принимать следующие значения:
1 - в информационной системе одновременно обрабатываются персональные данные более чем 100000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
С учетом интересов мелких предпринимателей может быть предложена дополнительная категория:
4 - в информационной системе одновременно обрабатываются данные менее чем 10 субъектов персональных данных или персональные данные субъектов персональных данных в пределах предприятия, связанного с микро бизнесом [1].
Тогда можно записать зависимость значения категории объема ПДн Х от их объема V в следующем виде:
нпд нпд
Х = 3,5 - 0,217 X 1пУ (3.1)
нпд нпд
Для формирования третьего признака категорирования - количе-
ственной оценки номера категории персональных данных в одной записи базы персональных данных предлагается следующая модель оценки.
На основе полного перечня всех реквизитов персональных данных объекта информатизации формируются пять перечней, каждый из которых представляет совокупность рубрикаторов в составе из нескольких реквизитов. Далее, для каждого рубрикатора находятся оценки вкладов его по стоимости упомянутым перечням и искомую стоимость, значение которой позволяет оценить категорию персональных данных.
Первый перечень включает базовые персональные данные, совокупность рубрикаторов которых позволяет оценить вероятность идентификации субъекта по следующей формуле
Рвд (Я )= 1 - ехр - а X я2, (1)
где я - относительная стоимость получения информации о рубрикаторе базовых персональных данных, например, я = 1 для рубрикатора из одного реквизита фамилия;
а - постоянный коэффициент нормировки.
Второй перечень включает общедоступные персональные данные, совокупность рубрикаторов которых позволяет оценить затраты на их приобретение, например, я =10 для рубрикатора из восьми реквизитов: фамилия, имя, отчество, пол, возраст, почтовый адрес.
Третий перечень включает персональные данные ограниченного доступа, совокупность рубрикаторов которых позволяет оценить последствия их опубликования, например, я = 100 для рубрикатора Родственники из восьми реквизитов: степень родства, фамилия, имя, отчество, пол, возраст, должность и место работы.
Четвертый перечень включает ликвидные персональные данные, совокупность рубрикаторов которых позволяет оценить размер выгоды нарушителей после их получения ими, например, я =1000 для рубрикатора Зарплатная ведомость из десяти реквизитов: номер, фамилия, имя, отчество, месяц, год, сумма, должность, подразделение и предприятие.
Пятый перечень включает специальные персональные данные, совокупность рубрикаторов которых позволяет оценить размер морального ущерба субъекту нарушителями после получения ими данных, например, я =3000 для рубрикатора Диспансер из девяти реквизитов: номер, фамилия, имя, отчество, месяц, год, код и год заразного заболевания, наименование диспансера.
Стоимость одной записи базы персональных данных оценивается по формуле
5
Цс = X qк х Рид (Чк ) ■ (2)
к=2
Тогда может быть определена количественно категория значимости персональных данных для одного субъекта учета
Кпд = 0,55 - 0,44 X Ln Цс. (3)
Предложенную модель оценки категории значимости персональных данных предполагается использовать для обезличивания следующих баз персональных данных: Бухгалтерия, Кадры, Регистратура■
Таким образом, в работе для повышения точности оценки категории баз персональных данных предложено включить третий признак классификации в виде формализованной оценки всего перечня персональных данных, обрабатываемых оператором.
ЛИТЕРАТУРА
1. Шепитько Г.Е. Экономика защиты информации: Учебное пособие. - М., 2011.
2. Об утверждение порядка проведения классификации информационных систем персональных данных. Приказ Федеральной службы по техническому и экспортному контролю России, Федеральной службы безопасности РФ, Министерства информационных технологий и связи РФ от 13.02.2008 г. №55/86/20.
