10. Проведение исследования осуществляется для каждого массива персональных данных <3>, подлежащих обезличиванию, на основании задания на проведение исследования, включающего в себя функциональные требования к составам данных, доступным для обработки, и результатам их обработки в ПООД ЕИП НСУД.
--------------------------------
<3> Массив персональных данных - это совокупность персональных данных, фактически имеющихся в распоряжении оператора, которая используется для обезличивания в соответствии с методами обезличивания персональных данных, особенностями их применения и параметрами обезличивания персональных данных, указанными в проекте требования.
11. Вместе с заданием на проведение исследований в подведомственную организацию рекомендуется предоставлять сведения, указанные в приложении к настоящим методическим рекомендациям.
12. В ходе проведения исследований рекомендуется обеспечить следующий комплекс работ:
1) проведение оценки применимости методов обезличивания персональных данных, содержащих, при необходимости, пространственную и временную информацию;
2) определение численных значений параметров методов реализации угроз безопасности обезличенных данных и их полезности для целей формирования составов данных, указанных в Поручении, обезличенных данных, содержащих, при необходимости, пространственную и временную информацию;
3) проведение обзора возможных способов реализации типов угроз безопасности персональных данных, определенных в пункте 3 Правил формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных, утвержденных постановлением Правительства Российской Федерации от 26 июня 2025 г. N 961 (далее соответственно - способы реализации типов угроз, Правила формирования составов данных), с применением описанных методов обезличивания персональных данных, позволяющих произвести повторную идентификацию субъекта персональных данных, раскрытие его атрибутов, вывод, а также атаку на массив персональных данных целиком или его подмножество;
4) описание или ссылка на описание методики и алгоритмов атак на обезличенные данные с учетом содержащихся в них сведений и режима (частоты, интервалов) передачи информации для оценки уязвимости исходных данных при доступе к обезличенным данным;
5) определение методов обезличивания персональных данных и численных значений их параметров, препятствующих реализации описанных способов реализации типов угроз с учетом целей формирования составов данных, определенных в Поручении;
6) разработка комплекса критериев и тестовых процедур для верификации исходных данных и эффективности обезличивания;
7) исследование, при необходимости, возможности использования уровней 5 - 8 масштабируемой сетки H3 (библиотека h3geo) с привязкой к кадастровой информации.
13. При проведении исследований могут быть учтены внешние факторы, связанные с качеством исходных данных, влияющие на возможность без использования дополнительной информации определить принадлежность персональных данных об абонентах подвижной радиотелефонной связи (технические ограничения в точности определения геопозиции абонента в зависимости от рельефа местности, плотности расположения базовых станций, застройки, погодных условий, нагрузки на сеть, использование нескольких сим-карт, в том числе нескольких операторов, одним абонентом, использование абонентских устройств с сим-картами, оформленными на одного из членов семьи другими родственниками, отсутствие данных о поле, возрасте и гражданстве для абонентов, находящихся в роуминге, и абонентов виртуальных операторов) субъекту персональных данных, а также факт объединения данных от нескольких операторов подвижной радиотелефонной связи (четырех и более) при формировании составов данных в ПООД ЕИП НСУД, при наличии соответствующей информации при проведении исследования.
14. При выборе метода (методов) обезличивания персональных данных рекомендуется руководствоваться целями и задачами обработки персональных данных, а также учитывать:
выбранный Минцифры России способ представления обезличенных данных в ПООД ЕИП НСУД;
объем персональных данных, подлежащих обезличиванию;
применяемые в ПООД ЕИП НСУД меры по обеспечению безопасности персональных данных;
требования пункта 7 Правил обезличивания.
15. В материалы исследований в соответствии с Правилами обезличивания рекомендуется включать информацию в соответствии с заданием на проведение исследования, в том числе:
обоснование выработанных к составу данных методов обезличивания персональных данных и их параметров применительно к содержанию элементов структуры массива персональных данных, подлежащих обезличиванию, имеющих качественные или количественные значения по субъектам персональных данных, и их формат;
критерии выборки персональных данных с учетом типов угроз безопасности персональных данных, определенных в пункте 3 Правил формирования составов данных;
количественные оценки, связанные с возможностью определения принадлежности обезличенных данных конкретному субъекту персональных данных, устанавливаемых по каждому составу данных.
Материалы исследования также должны включать отчет, содержащий раздел с требованиями по обезличиванию персональных данных, в соответствии с заданием на проведение исследования.
16. Подготовленные материалы исследований рекомендуется представлять в Минцифры России в электронной форме на машинном носителе. Текстовые документы, передаваемые на машинных носителях, рекомендуется представлять в формате Open Document для офисных приложений (OpenDocument) v1.0 <4> и подписывать усиленной квалицированной электронной подписью уполномоченного лица подведомственного учреждения.
--------------------------------
<4> ГОСТ Р ИСО/МЭК 26300-2010. Национальный стандарт Российской Федерации. Информационная технология. Формат Open Document для офисных приложений (OpenDocument) v1.0, утвержденный и введенный в действие приказом Росстандарта от 21 декабря 2010 г. N 800-ст.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875