1 марта, понедельник 19:15
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Патент на систему взаимодействия разделенных баз ПДн ИС

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Патент на систему взаимодействия разделенных баз ПДн ИС

    Компания ООО «Стратегия безопасности» получила патент на уникальную методику обезличивания персональных данных
    Согласно определения, данного в ФЗ «О персональных данных» от 26.07.2006 г. №152, обезличивание – это способ обработки ПД, в результате которого в обработанных ПД нельзя идентифицировать физическое лицо, которому эти данные принадлежат. Но есть еще одно важное требование, не упомянутое в законе, - такая обработка ПД должна быть обратимой, иначе это будет просто потеря информации.

    А зачем нужно обезличивать ПД? Чтобы сэкономить деньги на их защите – ведь согласно классификации (Приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008 г., № 55/86/20) обезличенные ПД – это 4-й класс защищенности, не требующий защиты конфиденциальности.

    Поэтому давайте разберемся, что значит идентифицировать. Идентификация любого объекта – это отождествление, т.е. доказательство однозначного соответствия имеющейся информации об объекте самому этому объекту. Это теоретически возможно если:
    1. Все объекты уникальны в рамках имеющейся информации (все люди разные - задача имеет не более одного решения);
    2. Есть хотя бы один человек, обладающий каждым набором имеющихся реквизитов (вся информация подлинная - задача имеет не менее одного решения).

    А что значит можно и нельзя идентифицировать? К сожалению, здесь без количественной оценки вероятности никак не обойтись, а это вопрос строго нормативный, и к сожалению никак не решен. Поэтому для понимания мы примем, что если данному набору ПД соответствует малое количество лиц, которые легко локализуются для дальнейшего уточнения, то это значит - можно идентифицировать. И наоборот, если локализовать этих людей нельзя, то и идентифицировать человека по этим ПД нельзя. Понятно, что многое будет зависеть от того, кто занимается локализацией. Поэтому будем считать, что обезличивание - это способ защиты ПД от нарушителя, а не способ сокрытия информации от официальных органов. Т.е. для повышения вероятности идентификации будут использованы лишь общедоступные источники и средства.

    Допустим, не удалось доказать, что данный набор ПД принадлежит (принадлежал ранее) только одному лицу. А какие еще возможны варианты? Их два – либо данный набор может принадлежать более, чем одному лицу, либо – менее, чем одному, т.е. никому.

    К первому случаю относится любой недостаточный набор ПД (ПД могут принадлежать многим людям одновременно, например, имя или дата рождения) или избыточный набор ПД (например, специально указаны два имени), и здесь очень важно, сколько именно потенциальных субъектов, и чем ограничена эта группа людей (например, человека легче найти по имени, если известно, что это работник предприятия – не надо забывать, что свойства самого набора ПД – это тоже информация!).

    Ко второму случаю относятся искаженные ПД (кодировка, маскировка, криптография и т.п.), и здесь возможность идентификации зависит только от степени искажения.

    Таким образом, если мы найдем и технически реализуем способ обработки, который приведет ПД к описанным случаям, то значит – мы обезличили ПД. Найти такие способы несложно – можно например их взять из стандарта США NIST SP 800-122 (название можно перевести как «Способы защиты конфиденциальности ПД»). Но официально он у нас не принят, поэтому перейдем сразу к рассмотрению технической реализации.

    Начнем со второго случая, как наиболее очевидного. Использование любого вида искажения, основанного на секрете алгоритма (перестановка букв, их замена, добавление помех и т.п.) полезно лишь для кратковременной обработки (передача информации), но не для постоянного хранения. Алгоритм часто известен третьим лицам (реализуется сторонним производителем ПО), что повышает вероятность компрометации. Что касается криптографии – тут все зависит от секретности ключа, т.е. достаточно надежно, но применение этого способа порождает много организационных проблем (обязательность использования сертифицированных средств защиты, получения лицензии ФСБ и т.д.).

    Первый случай гораздо интересней из-за своей неочевидности. Неочевидность состоит как раз в реализации обратимости. Очень легко можно сделать набор ПД и недостаточным и избыточным – убрать часть данных или добавить лишние, но убранное нельзя выбросить – придется его поместить в другое место, которое не будет доступно одновременно (ни на каком рабочем месте) с оставшимся набором ПД. Если же ПД добавлены, то в недоступное место должна быть спрятана информация об этой разнице.

    В стандарте NIST SP 800-122 этот способ указан, как «разделение баз данных с использованием перекрестных ссылок». Такое разделение используется повсеместно при работе с любыми базами данных, но там не стоит задача обезличивания, поэтому базы хоть и разделены в разные хранилища, но имеют логическую связь и потому обрабатываются одновременно.

    Посмотрим, что нам даст для обезличивания метод перекрестных ссылок. Для этого разделим ПД радикально – в одну базу выделим все идентифицирующие реквизиты (ФИО, дату и место рождения, адрес и телефон, паспорт и т.п.) – пусть это будет справочник физических лиц (по классификации – 3-й класс), в другой базе будет все остальное (обезличенные ПД - 4-й класс). При этом обезличенная база будет общедоступной (в т.ч. через Интернет), а база-справочник должна быть защищена от несанкционированного доступа. Утечка информации произойдет, только если злоумышленник получит базу-справочник и сможет состыковать ее с обезличенной базой. Мы должны эту возможность исключить. Но такая же стыковка нужна оператору ИСПДн для обработки ПД. Как он ее обеспечит?

    Стыковка (сопоставление) этих баз для реализации обратимости должна производиться по некому коду (идентификатору) – уникальному, но абсолютно абстрактному (нельзя использовать номера документов человека – эти реквизиты будут в справочнике). Суть стыковки состоит в сравнении идентификатора из одной базы с идентификатором другой базы – когда они одинаковы, значит, информация двух баз состыкована. Если сравнение производится на рабочем месте справочной ИСПДн, то здесь обезличенная база может быть доступна (доступность будет односторонняя, и при этом класс ИСПДн будет выше 3-го), но если сравнение производится на рабочем месте обезличенной ИСПДн, то база-справочник на этом месте недоступна, и в этом случае идентификатор из справочника может попасть в обезличенную базу только через внешний носитель. При этом внешний носитель не должен иметь реальных реквизитов того человека, код которого в нем записан. Хотя может иметь абстрактные признаки (цвет, рисунок и т.п.).

    Для того, чтобы человека можно было обслуживать в рамках обезличенной базы, он должен каждый раз предъявлять этот самый внешний носитель, т.е. постоянно носить его с собой. При этом внешний носитель может иметь любую природу (бумажный, пластиковый, металлический), а абстрактные признаки носителя будут понятны только хозяину и позволят легко отличить свой носитель от чужих.

    Такой способ обезличивания кажется настолько простым, что возникают сомнения в его эффективности и надежности. Насколько уменьшатся затраты на создание системы защиты с использованием обезличивания? Что будет, если человек потеряет этот носитель, или его украдут с целью получения доступа к ПД хозяина? Подобные вопросы возникают, и наверняка будут возникать, но это не может служить причиной для отказа от новых технологий, а только поводом для дальнейшего их совершенствования.

    Несмотря на остроту проблемы и простоту реализации, данный способ использования внешних носителей в процессе обезличивания ПД был запатентован только в апреле 2011 года нашей организацией (патент №103414).
    По всем вопросам применения данной технологии обращайтесь по телефонам +7 (351) 700-13-29, +7 (351) 777-82-88 или +7 (908) 587-87-73
    http://www.bio5.ru/news/obezlichivan...yh-dannyh.html

    Очевидная же технология? Патенты, как известно, призваны закрыть свободное использование технологий (если, конечно, патентообладатель не альтруист - что бывает редко). То есть с 2 декабря 2010г. у нас стало на один способ относительно бесплатного выполнения требований регуляторов меньше?

  • #2
    Меньше не стало, стало +1 к геморрою и +несколько лет жизни благодаря здоровому смеху.

    Теперь, делая собственное обезличивание, вам нужно найти этот патент и внимательно почитать патентную формулу. В патентной формуле вам нужно будет найти какую-нибудь незначительную деталь (типа "...исходный текст в кодировке Unicode...") и написать отчет о патентных исследованиях, в котором будет написано, что в вашем способе обезличивания этот нюанс сделан по другому ("...используется кодировка ANSI..."). Все, совпадение не 100% и вы можете смело пользоваться своим способом, не нарушая ничьих прав.

    А пока вы будете искать, поисковый движок выдаст вам кучу забавных патентов. Мне, например, попадались патенты на полезные модели боевого человекоподобного робота, фекалийных боеприпасов и аж несколько вечных двигателей.

    Очевилность изобретению не помеха, так как под новизной изобретения понимается только отсутствие 100% совпадений с формулами существующих патентов.

    Комментарий


    • #3
      Вот это чудо суровых челябинских изобретателей:

      (54) СИСТЕМА ВЗАИМОДЕЙСТВИЯ РАЗДЕЛЕННЫХ БАЗ ПЕРСОНАЛЬНЫХ ДАННЫХ ИНФОРМАЦИОННОЙ СИСТЕМЫ

      (57) Реферат:
      Система содержит блок ввода, регистрации, обработки информации 1, идентифицирующей физическое лицо в идентификационной базе данных (БД1), размещенной в ИСПДн1, блок ввода, регистрации, обработки обезличенной информации 2 физического лица в обезличенной базе данных (БД2), размещенной в ИСПДн2, устройства считывания информации 3, 4, внешний носитель 5. Внешний носитель, БД1 и БД2 содержат персональный обезличенный идентификатор 6. Информация из БД1 и БД2 распечатывается в виде карточки 7.

      1 нез. п.ф. 1 илл.

      Заявляемая полезная модель относится к области вычислительной техники, в частности к средствам сбора и обработки данных в информационных системах персональных данных.

      Известны информационные системы ИСПДн1, включающие базу данных, в которой данные, идентифицирующие физическое лицо, и обезличенные данные находятся в разных таблицах, связанных через общее поле - идентификатор физического лица. Данный способ обезличивания - через перекрестные ссылки соответствует стандарту NIST SP800-122, п.4.2.3. Однако наличие связующего элемента в виде внешнего носителя не предусматривается, поскольку между указанными таблицами постоянно осуществляется двусторонний обмен информационными потоками. Таким образом, все данные физического лица являются единой ИСПДн1, для которой задача минимизации стоимости защиты не решена.

      Известны информационные системы, включающие внешний носитель информации, содержащий идентификатор физического лица (банковские и иные платежные системы, а также системы контроля доступа физических лиц в помещение). Указанные внешние носители содержат прочую информацию о физическом лице, в том числе, позволяющую его идентифицировать (фамилия, имя, адрес), в то время как в центральной базе данных идентифицирующие и обезличенные данные не разделены. Недостатком указанных систем является то, что все данные физического лица являются единой ИСПДн1, внешний носитель является средством контроля доступа, но не средством взаимодействия баз данных. С точки зрения стоимости защиты такой носитель представляет собой дополнительную уязвимость, что приводит к удорожанию системы защиты (Данные сайта сети Интернет ).

      Технической задачей предполагаемой полезной модели, решаемой авторами, является снижение затрат по обеспечению защиты информации путем физического или логического разделения баз данных в информационной системе персональных баз данных, взаимодействие между которыми осуществляется за счет применения внешнего носителя с персональным обезличенным идентификатором физического лица.

      Поставленная задача достигается тем, что в системе взаимодействия разделенных баз персональных данных информационной системы (ИСПДн1), содержащей блок ввода, регистрации, обработки информации, идентифицирующей физическое лицо в идентификационной базе данных (БД1), блок ввода, регистрации, обработки обезличенной информации физического лица в обезличенной базе данных (БД2), при этом обе базы содержат устройства считывания информации с внешнего носителя, согласно полезной модели, система ИСПДн1 разделена на ИСПДн1 и ИСПДн2, а БД1 и БД2 размещены в указанных системах, соответственно, причем, внешний носитель содержит персональный обезличенный идентификатор физического лица, соответствующий единственному физическому лицу, БД1 и БД2 содержат указанный идентификатор физического лица, при этом внешний носитель содержит внутренние и/или внешние идентифицирующие элементы, кроме того, физическое лицо имеет, по меньшей мере, один внешний носитель с одним персональным обезличенным идентификатором.

      Персональный обезличенный идентификатор БД1 и БД2 содержит идентичные значения для одного физического лица.

      Внешний носитель содержит элементы визуальных отличий.

      Внешние визуальные отличия выполнены в виде, например, рисунка, контрастной окраски и пр.

      Разделение персональных данных единой системы ИСПДн1 (3 или 2 или 1 класса), которая содержит информацию о физических лицах, обрабатываемую на большом количестве рабочих мест N, на ИСПДн1 (3 или 2 или 1 класса), которая содержит часть информации о физических лицах, обрабатываемую на малом количестве рабочих мест М, и на ИСПДн2 (4 класса), которая содержит обезличенную информацию о физических лицах, обрабатываемую на большом количестве рабочих мест N-M, позволяет сократить затраты на защиту информации соответственно уменьшению количества рабочих мест, обрабатывающих персональные данные 3 или 2 или 1 класса.

      Размещение БД1 и БД2 в информационных системах ИСПДн1 и ИСПДн2, соответственно, позволяет снизить затраты на защиту персональных данных в ИСПДн2.

      Наличие на внешнем носителе персонального обезличенного идентификатора физического лица, позволяет привязать данные ИСПДн2 к конкретному физическому лицу в отсутствие соединения между БД1 и БД2.

      Наличие в БД1 и БД2 персонального обезличенного идентификатора физического лица обеспечивает взаимодействие между указанными базами.

      Наличие в идентификаторе внутренних идентифицирующих элементов, например, номер контактной или бесконтактной карты, метка, или внешних, например, штрих-код, печатные символы позволяет использовать эти элементы в качестве идентификатора физического лица.

      Наличие у физического лица, по меньшей мере, одного внешнего носителя, с одним идентификатором позволяет этому физическому лицу зарегистрироваться в ИСПДн1 других операторов.

      Наличие персонального обезличенного идентификатора с идентичными значениями в БД1 и БД2 обеспечивает перекрестную ссылку между ними.

      Наличие, по меньшей мере, на одном внешнем носителе элементов визуальных отличий, например, определенного рисунка, контрастной окраски и пр. позволяет исключить смешение носителей для членов одной семьи.

      В результате проведенных патентных исследований не выявлено аналогичных технических решений, характеризуемых заявляемой совокупностью признаков, что позволяет сделать вывод, что заявляемое техническое решение обладает «новизной», может найти применение в вычислительной технике, т.е. является «промышленно применимым».

      Предполагаемая полезная модель поясняется чертежами, где на фиг.1 - схема общего вида системы.

      Система содержит блок ввода, регистрации, обработки информации 1, идентифицирующей физическое лицо в идентификационной базе данных (БД1), размещенной в ИСПДн1, блок ввода, регистрации, обработки обезличенной информации 2 физического лица в обезличенной базе данных (БД2), размещенной в ИСПДн2, устройства считывания информации 3, 4, внешний носитель 5. Внешний носитель, БД1 и БД2 содержат персональный обезличенный идентификатор 6. Информация из БД1 и БД2 распечатывается в виде карточки 7.

      Система работает следующим образом.

      Работа системы осуществляется с помощью программно-аппаратных средств на стандартных персональных компьютерах.

      При помощи блоков ввода, регистрации и обработки информации 1 и 2, вводят, регистрируют и обрабатывают информацию конкретного физического лица, соответственно, в базах данных БД1 и БД2, которые размещают в ИСПДн1 и ИСПДн2. Посредством считывающих устройств 3 и 4, соответственно, внешним носителем 5, который имеет конкретное физическое лицо.

      1. Первоначальный режим.

      Перед началом обработки персональных данных физического лица (информации об этом физическом лице нет в организации - держателе ИСПДн1 и ИСПДн2), указанное лицо обращается в ИСПДн1, где приобретает либо предъявляет уже имеющийся внешний носитель 5, с которого через считыватель 3 в блок 1 вводится идентификатор 6, и далее вводится вся идентифицирующая информация об этом физическом лице, необходимая оператору ИСПДн1. Эти данные (в том числе идентификатор 6) распечатываются в виде карточки 7 и выдаются физическому лицу. Далее физическое лицо обращается в ИСПДн2, где предъявляет карточку 7 и внешний носитель 5, с которого через считыватель 4 в блок 2 вводится идентификатор 6, далее вводится обезличенная информация об этом физическом лице, необходимая оператору ИСПДн2. Карточка 7 остается в ИСПДн2, обезличенные данные распечатываются и прикладываются к ней.

      2. Штатный режим.

      При повторном посещении физическое лицо обращается в ИСПДн2, где предъявляет внешний носитель 5, с которого через считыватель 4 в блок 2 вводится идентификатор 6, далее вводится вся обезличенная информация об этом физическом лице, необходимая оператору ИСПДн2. По идентификатору 6 оператор вручную находит карточку 7.

      3. Режим внесения изменений.

      При необходимости внесения изменений в идентифицирующую информацию физическое лицо обращается в ИСПДн1, где предъявляет внешний носитель 5, с которого через считыватель 4 в блок 2 вводится идентификатор 6, и удостоверение личности для подтверждения подлинности физического лица, и далее вводятся изменения в информацию об этом физическом лице. Далее оператор распечатывает измененную карточку 7. Далее физическое лицо обращается в ИСПДн2, где оставляет измененную карточку 7, которую оператор прикладывает к прежней карточке физического лица.

      4. Аварийный режим.

      Если при повторном обращении физическое лицо не может предъявить внешний носитель 5 (остался дома), то оно является в ИСПДн1 и предъявляет удостоверение личности для подтверждения подлинности физического лица. Оператор находит в БД1 информацию о физическом лице, распечатывает карточку 7 и выдает ее физическому лицу. Далее физическое лицо обращается в ИСПДн2, предъявляет карточку 7, оператор по идентификатору 6 находит в БД2 обезличенную информацию о физическом лице.

      5. Режим замены внешнего носителя.

      Если физическое лицо утратило внешний носитель 5 то оно обращается в ИСПДн1 и предъявляет удостоверение личности для подтверждения подлинности физического лица. Оператор находит в БД1 информацию о физическом лице, распечатывает карточку 7 и выдает ее физическому лицу. Далее физическое лицо приобретает новый внешний носитель 5 с новым идентификатором 6, который вводится через считыватель 3 в блок 1 и заменяет предыдущее значение идентификатора в БД1. Далее оператор распечатывает новую карточку 7 и выдает ее физическому лицу. Далее физическое лицо обращается в ИСПДн2, предъявляет старую и новую карточки и новый внешний носитель 5. Оператор по старой карточке 7 (по предыдущему идентификатору 6) находит в БД2 обезличенную информацию о физическом лице и далее через считыватель 4 в блок 2 вводится новый идентификатор 6, который заменяет предыдущее значение идентификатора в БД2.

      6. Внутренний режим.

      Если оператору ИСПДн1 при обработке идентификационных данных в блоке 1 в отсутствие физического лица (отсутствует внешний носитель 5) необходимо использовать обезличенные данные физического лица, то оператор предъявляет идентификатор 6 в ИСПДн2 и получает оттуда распечатанную карточку 7, содержащую обезличенные данные из БД2.

      Если оператору ИСПДн2 при обработке обезличенных данных в блоке 2 в отсутствие физического лица (отсутствует внешний носитель 5) необходимо идентифицировать данное физическое лицо, то оператор предъявляет идентификатор 6 в ИСПДн1 и получает оттуда распечатанную карточку 7, содержащую идентификационные данные из БД1.

      7. Дистанционный режим.

      При наличии сервиса удаленного доступа в ИСПДн2 можно производить дистанционные запросы о предоставлении обезличенных данных физического лица и о постановке его в очередь на облуживание. Для этого необходимо ввести идентификатор 6 с внешнего носителя 5 через считыватель 8 удаленного блока обработки 9.

      Таким образом, заявляемая система позволяет снизить затраты по обеспечению защиты информации путем физического или логического разделения баз данных в информационной системе персональных баз данных, взаимодействие между которыми осуществляется за счет применения внешнего носителя с персональным обезличенным идентификатором физического лица.


      Формула полезной модели
      1. Система взаимодействия разделенных баз персональных данных информационной системы (ИСПДн), содержащая блок ввода, регистрации, обработки информации, идентифицирующей физическое лицо в идентификационной базе данных (БД1), блок ввода, регистрации, обработки обезличенной информации физического лица в обезличенной базе данных (БД2), при этом обе базы содержат устройства считывания информации с внешнего носителя, отличающаяся тем, что система ИСПДн1 разделена на ИСПДн1 и ИСПДн2, а БД1 и БД2 размещены в указанных системах соответственно, причем внешний носитель содержит персональный обезличенный идентификатор физического лица, соответствующий единственному физическому лицу, БД1 и БД2 содержат указанный идентификатор физического лица, при этом внешний носитель содержит внутренние и/или внешние идентифицирующие элементы, кроме того, физическое лицо имеет, по меньшей мере, один внешний носитель с одним персональным обезличенным идентификатором.

      2. Система по п.1, отличающаяся тем, что персональный обезличенный идентификатор БД1 и БД2 содержит идентичные значения для одного физического лица.

      3. Система по п.1, отличающаяся тем, что, по меньшей мере, один внешний носитель содержит элементы визуальных отличий.

      4. Система по п.3, отличающаяся тем, что внешние визуальные отличия, по меньшей мере, одного, внешнего носителя, выполнены в виде, например, рисунка, контрастной окраски и пр.

      Комментарий

      Обработка...
      X