Разработка алгоритмов и методов построения информационных систем персональных данных в защищенном исполнении
Разработка алгоритма деперсонализации персональных данных
Download 84.1 Kb.
|
jurnalga
|
2.2 Разработка алгоритма деперсонализации персональных данных
Выбираемые средства защиты ПДн и принимаемые организационные меры, как правило, влекут за собой значительные материальные затраты, что зачастую не предусмотрено бюджетом операторов. Альтернативным законным способом решения данной проблемы является обезличивание персональных данных [55,56], так как оно позволяет снизить требования к уровню защищенности данных, что влечет за собой соответствующее сокращение расходов на обеспечение их информационной безопасности. Под обезличиванием персональных данных, как правило, понимают алгоритмы, в результате выполнения которых невозможно определить принадлежность персональных данных их владельцу [57,58]. В алгоритме деперсонализации ПДн в качестве решения данной проблемы предлагается перестановка персональных данных, хранящихся в Информационных систем персональных данных, относящихся к различным субъектам. Данный способ обладает следующими преимуществами: персональные данные хранятся в одной информационной системе и значительно снижается вероятность успеха контекстного анализа. Предлагаемый алгоритм деперсонализации построен на следующих принципах: - разбиение исходного множества данных на подмножества, что позволяет сократить размерность и упростить его практическую реализацию; - использование циклических перестановок, что реализует собственно перемешивание данных. В качестве исходных данных возьмем таблицу персональных данных где число атрибутов, а - число строк таблицы. Далее рассмотрим множество данных, относящееся к одному атрибуту- t (i = 1,2,..., ). Это множество атрибута , содержит элементов. Все элементы каждого множества пронумерованы от 1 до , и в таблице совокупность элементов множеств разных атрибутов с одинаковыми номерами будем называть записью с соответствующим номером. При этом в исходной таблице каждая запись имеет определенный смысл, связанный с конкретным субъектом (физическим лицом), т.е. содержит персональные данные конкретного лица, определенного в этой же записи. Разработанный алгоритм представлен ниже (рис. 2). Алгоритм обеспечивает деперсонализацию данных каждого множества атрибутов исходной таблицы пошагово. На каждом шаге используется принцип циклических перестановок. Проведем разбиение множества ; на непересекающихся подмножеств , где число элементов подмножества равно . Все элементы каждого подмножества считаем пронумерованными от 1 до , эти номера будем называть внутренними номерами элементов подмножества. Внешний номер элемента в подмножестве , имеющего внутренний номер , обозначим . Так, что — это порядковый номер элемента во множестве соответствующий элементу с внутренним номером Разбиение каждого множества должно обладать следующими свойствами: 1) - подмножества разбиения включают все элементы множества ; 2) для всех для любых двух подмножеств и элемент с первым внутренним номером подмножества имеет внешний номер на единицу больший, чем внешний номер элемента с наибольшим внутренним номером подмножества . 3) если , то для всех ; - упорядоченность внешней и внутренней нумераций для всех множеств и подмножеств их разбиения совпадают; 4) — суммарное число элементов всех подмножеств равно общему числу элементов множества ; Рисунок 2. Алгоритм деперсонализации ПДн Для каждого подмножества определим циклическую перестановку (подстановку) задаваемую следующим образом: Здесь элементы первой строки матрицы, стоящей в правой части равенства, соответствуют внутренним номерам элементов подмножества до перестановки (в исходной таблице), а элементы, стоящие во второй строке, соответствуют внутренним номерами элементов подмножества , стоящим на местах, с номерами, определенными в верхней строке, после перестановки. Таким образом, в перестановке (подстановке) производится циклический сдвиг всех элементов подмножества на число . Будем называть величину ;- параметром перестановки )- Данный параметр задается генератором случайных чисел (ГСЧ) в интервале . Теперь все перестановки для всех подмножеств множества можно задать набором (вектором) параметров Вектор параметров перестановок задает первый уровень алгоритма перемешивания, т.е. перестановки первого уровня. Рассмотрим теперь множество , состоящее из элементов. Здесь элемент соответствует подмножеству . Для этого множества определим циклическую перестановку ; где элементы верхней строки матрицы перестановки соответствуют исходным номерам элементов множества (подмножеств ), а элементы нижней строки матрицы соответствуют номерам элементов множества , стоящим на местах с номерами, определенными в верхней строке, после перестановки. Таким образом, в перестановке производится циклический сдвиг элементов множества (подмножеств множества ) на число - параметр перестановки. Данный параметр задается ГСЧ в интервале Эту перестановку будем называть перестановкой второго уровня. В результате последовательного проведения перестановок первого и второго уровней получается перемешивание элементов множества так, что меняется нумерация этих элементов по отношению к исходной нумерации. Определим теперь нумерацию элементов множества после проведения всех перестановок. Имеем, с учетом правил перемножения перестановок, следующую результирующую перестановку: Здесь верхняя строка матрицы содержит порядковые номера элементов множества атрибута , в соответствии с их размещением в столбце после перемешивания, а нижняя строка содержит внешние номера элементов множества этого атрибута, соответствующие их размещению в исходной таблице. Таким образом, в результате применения алгоритма деперсонализации получается преобразованная таблица ПДн, в которой записи не соответствуют записям в исходной таблице, что обеспечивает достаточно высокую сложность восстановления исходной таблицы при отсутствии сведений о параметрах алгоритма деперсонализации [59]. Доступность персональных данных (получение достоверных персональных сведений при легитимном обращении к ним) обеспечивается посредством решения обратного алгоритма деперсонализации. Решением обратного алгоритма деперсонализации является формирование исходной таблицы. При практической реализации алгоритма деперсонализации контроль целостности данных в файле обеспечивается путем проверки текущей контрольной суммы всего файла (сформированной при сохранении (модификации) файла) и контрольной суммы, рассчитываемой при последующем открытии файла. Как правило, данные алгоритмы контроля целостности хранимой в постоянное запоминающее устройство (ПЗУ) информации (файлов) реализованы в механизмах защиты основного ПО (операционной системы), аппаратно-программных модулей доверенной загрузки (АПМДЗ) или специальное программное обеспечение - СЗИ от НСД. Перспективным развитием алгоритма деперсонализации в части обеспечения контроля целостности информации (персональных данных) является интеграция механизма формирования имитовставки, что обеспечит помимо контроля целостности более высокую степень защиты от НСД. Сложность предлагаемого алгоритма деперсонализации составляет где — число строк в таблице с ПДн, – число атрибутов, — мощность разбиения множества , соответствующего —му атрибуту. В случае если , получаем . Таким образом, сложность алгоритма полиномиально зависит от параметра N. Соответственно, даже для крупных организаций, чьи Информационных систем персональных данных обрабатывают данные миллиона сотрудников, осуществление алгоритма деперсонализации над таблицами с ПДн может осуществлять стандартный персональный компьютер с тактовой частотой ≈2ГГц. Несомненным преимуществом алгоритма деперсонализации в сравнении с применением алгоритма шифрования ГОСТ 28147 - 89 является его вычислительная простота, и, соответственно, низкие временные затраты на прямое и обратное преобразование данных при их обработке оператором. Кроме того, криптографический алгоритм ГОСТ 28147 - 89 при использовании его в режиме простой замены переводит одинаковые 8- байтовые блоки открытых данных в одинаковые 8-байтовые блоки шифрованных данных. Это обстоятельство при ограниченном числе вариантов персональных данных создает предпосылки для успешных атак нарушителя. Предотвращение подобных атак достигается введением, например, каких-либо модификаций ключа шифрования в зависимости от координат шифруемого блока в базе данных, что, в свою очередь, может потребовать дополнительных исследований стойкости полученной системы шифрования в целом. Таким образом, в связи с применением предлагаемого алгоритма часть угроз теряют свою актуальность. Соответственно в целях построения адекватной (не избыточной) СЗИ необходимо выделить перечень актуальных угроз ИБ. Download 84.1 Kb. Do'stlaringiz bilan baham: 
|