пятница, 9 сентября 2016 г.

США: Национальный институт стандартов и технологий выложил для обсуждения проект публикации о деидентификации государственных баз данных


Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 25 августа 2016 года выложил на своём сайте для публичного обсуждения проект специальной публикации NIST SP 800-188 «Деидентификация государственных наборов данных» (De-Identifying Government Datasets) объёмом 65 страниц, которая доступна по адресу http://csrc.nist.gov/publications/drafts/800-188/sp800_188_draft.pdf .

Как отмечается в извещении, при деидентификации из набора данных удаляется идентифицирующая информация таким образом, чтобы остальные данные не могли быть соотнесены с конкретными физическими лицами.

Мой комментарий: Таким образом, термин «деидентификация» можно рассматривать как синоним таких терминов, как «анонимизация» и «обезличивание».

Государственные органы могут использовать деидентификацию для уменьшения риска для неприкосновенности частной жизни, связанного со сбором, обработкой, архивированием, распространением и/или публикацией государственных данных. Ранее NIST опубликовал отчет NIST IR 8053 «Обезличивание персональной информации» (De-Identification of Personal Information, о нём см. http://rusrim.blogspot.ru/2015/12/nist-ir-8053.html ), содержащий обзор методов деидентификации и повторной идентификации. Новая специальная публикация содержит конкретные рекомендации для тех государственных органов и учреждений, которые желают использовать деидентификацию (обезличивание).

При разработке проекта Концепции управления рисками для неприкосновенности частной жизни (Privacy Risk Management Framework), NIST попросил поделиться точками зрения и опытом экспертов, работающим как в органах правительства США, так и вне их.

Дальнейшие усилия будут сосредоточены на разработке метрик и тестов для программного обеспечения для деидентификации (обезличивания), а также на взаимодействии с отраслью и научными кругами с целью создания включающих формальные гарантии защиты неприкосновенности личной жизни алгоритмов, которые могут быть использованы государственными органами в их работе по обезличиванию.

Замечания и предложения предлагается направлять до 26 сентября 2016 года по адресу sp800-188-draft@nist.gov , указав а теме письма "Comments Draft SP 800-188".

Мой комментарий: Во введении в документ подчеркивается, что «Деидентификация обычно выполняется с помощью программного обеспечения. В число функциональных возможностей такого программного обеспечения должны входить выявление идентифицирующей информации; определение вероятности повторной идентификации; выполнение собственно деидентификации (обезличивания); установление связей между идентификаторами и псевдонимами и обеспечение выборочного раскрытия псевдонимов. На сегодняшний день существует ряд некоммерческих программ с открытым исходным кодом для выполнения деидентификации, и лишь считанные коммерческих продукты. В настоящее время для такого программного обеспечения не существует каких-либо стандартов эффективности, сертификаций или программ тестирования третьей стороной».

Содержание документа следующее:
Резюме для руководства
1. Введение
2. Знакомство с деидентификацией
3. Стратегическое и оперативное управление деидентификацией данных
4. Технические этапы деидентификации данных
5. Требования к инструментам деидентификации
6. Оценка
7. Выводы
Приложение A: Литература
Приложение B: Глоссарий
Приложение C: Специфические инструменты деидентификации
Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-188
http://csrc.nist.gov/publications/drafts/800-188/sp800_188_draft.pdf

Комментариев нет:

Отправить комментарий