Защита банковской информации¶

ОПЕРАЦИОННЫЕ МЕТОДЫ (КОНТЕКСТНЫЕ РИСКИ)¶

Данная группа методов реализует подход, при котором формируется безопасная среда хранения и обработки данных в организации-операторе данных. Такие методы помогают снижать риски нарушения конфиденциальности данных за счет организационных и технических мер:

• Наличия документированных процедур обработки персональных данных;

• Подготовки и обучения персонала, имеющего доступ к законно обрабатываемой информации

• Защиты метаинформации (данных, характеризующих профиль информации), которая может помочь злоумышленникам в организации атак на персональные данные.

• Защита хранения данных (без учета их публикации), которая позволяет предотвратить утечки информации и прямое или косвенное (за счет появления дополнительных сведений) раскрытие конфиденциальной информации.

Учет контекстных рисков осуществляется за счет скоринга принимаемых мер, который формирует фактор-множитель, снижающий или увеличивающий риски данных (непосредственно передаваемой/раскрываемой информации):

Блок-схема:

МЕТОДЫ ПСЕВДОНИМИЗАЦИИ (КОДИРОВАНИЕ ДАННЫХ)¶

Использование контекстных методов защиты позволяет несколько снизить общие риски защиты информации, однако передаваемые исходные данные, содержащие персональные сведения, являются автономным носителем информации и получение к ним доступа несет риски для конфиденциальност и физических лиц. В связи с этим выделяются методы защиты данных и связанные с ними риски защиты данных (то есть риски на основании самих данных без учета контекста).

• Структурно данные о физических лицах можно представить в виде набора, определяемого своей структурой (атрибутами, полями или столбцами), в каждой строке которого (отдельной записи) содержится информация об отдельном физическом лице. С информационной точки зрения атрибуты можно разделить на:

• Прямые идентификаторы - то есть поля, прямо указывающие на конкретное физическое лицо). К таким атрибутам относятся, например, номера телефонов, электронная почта, номер и серия паспорта, в некоторых случаях (для ограниченной группы) – фамилия имя и год рождения. В качестве прямого идентификатора может также выступать любая строка, однозначно указывающая на физическое лицо;

• Косвенные идентификаторы (квази-идентификаторы) - атрибуты в совокупности позволяющие выделить из группы лиц, описываемой набором информации отдельное физическое лицо. Примером косвенных идентификаторов является, например, совокупность возраста, пола и размера зарплаты;

• Чувствительные атрибуты – поля, содержащие полезную (изучаемую) информацию, ради которой набор создается и публикуется (передается в рамках информационного обмена).

Методы псевдонимизации – методы защиты персональных данных, при которых прямые и/или косвенные атрибуты в конкретных наборах данных заменяются на один или несколько искусственных идентификаторов.

\(P_{повторной~идентификации} = P_{контекстные~риски} \times P_{риски~данных}~~\#(1)\)

Учет контекстных рисков осуществляется за счет скоринга принимаемых мер, который формирует фактор-множитель, снижающий или увеличивающий риски данных (непосредственно передаваемой/раскрываемой информации):

\(P_{контекстные~риски} = \frac {\displaystyle\sum_{j=1}^{n} w_{j} K_{j} } {\displaystyle\sum_{j=1}^{n} w_{j} }~~\#(2)\)

Учет контекстных рисков осуществляется за счет скоринга принимаемых мер, который формирует фактор-множитель, снижающий или увеличивающий риски данных (непосредственно передаваемой/раскрываемой информации).