Госучреждения обязаны обезличивать персональные данные клиентов
20.09.2013
В четверг был опубликован приказ "Об утверждении требований и методов по обезличиванию персональных данных", который обязывает государственные организации обезличивать персональные данные граждан.
Под действия приказа попадают государственные учреждения, в том числе поликлиники, библиотеки и институты, а также мобильные операторы и интернет-сервисы. Целью утверждения приказа является защита граждан от попадания личных данных в руки мошенников, вымогателей и создателей спам-рассылок. В результате обезличивания становится невозможным, без использования дополнительной информации, определить принадлежность персональных данных конкретному субъекту.
"Потенциально данный приказ может придать импульс развитию нового типа средств защиты информации — обезличивания. Такие системы позволяют свести к минимуму количество мест хранения защищаемой информации и, соответственно, экономить бюджеты", — считает Александр Бондаренко, директор по развитию компании по информационной безопасности LETA.
В приказе утверждены четыре основных способа обезличивания данных: введение идентификаторов, заменяющих часть сведений; изменение состава или семантики путем замены результатами статистической обработки; декомпозиция, т.е. разбиение персональных данных на части; перемешивание записей и групп записей.
"Приказ не имеет обратной силы, т.е. уже внедренные системы могут продолжать работать в неизменном состоянии, а для новых систем эти требования будут закладывать на этапе разработки, что всегда дешевле переделки уже готового решения", — заметил Андрей Степаненко, эксперт компании "Код Безопасности".
