Процедура обезличивания обеспечивает практическую реализацию метода обезличивания и задается своим описанием.
Допускается программная реализация процедуры различными способами и средствами, доступными Оператору.
Различные способы реализации одной процедуры должны обеспечивать одинаковые результаты.
Описание процедуры обезличивания должно обеспечивать однозначную трактовку проводимых действий по обезличиванию/деобезличиванию и включает:
алгоритмы обезличивания и деобезличивания;
параметры процедур обезличивания/деобезличивания;
оценку объема дополнительных данных (параметры процедуры) для проведения обезличивания;
правила проведения процедуры и выбора значений параметров процедуры;
характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам.
2.1. Процедура реализации метода введения идентификаторов
Каждому значению идентификатора должно соответствовать одно значение атрибута и каждому значению атрибута должно соответствовать одно значение идентификатора.
Таблицы соответствия (дополнительные данные) создаются для каждого атрибута персональных данных, значения которых заменяются идентификаторами.
При обезличивании персональные данные в исходном множестве заменяются идентификаторами согласно таблице соответствия. Деобезличивание достигается обратной заменой идентификаторов на значения персональных данных по таблице соответствия.
На этапе реализации процедуры обезличивания определяются следующие параметры:
перечень таблиц соответствия (перечень атрибутов, для которых происходит замена значений идентификаторами);
правила вычисления идентификаторов - наборов символов, однозначно соответствующих значениям атрибутов персональных данных субъекта;
объемы таблицы соответствия - количество строк таблицы соответствия, содержащих идентификатор и соответствующее ему значение.
В качестве атрибутов, значения которых заменяются идентификаторами, как правило, выбираются атрибуты, однозначно идентифицирующие субъекта персональных данных.
Количество идентификаторов и объем таблиц соответствия, как правило, равны исходному количеству субъектов персональных данных. Возможны случаи, когда идентификатор вычисляется в зависимости от значения соответствующего атрибута.
Таблицы соответствия должны быть доступны ограниченному числу сотрудников Оператора.
Программное обеспечение, реализующее процедуру, должно обеспечивать внесение изменений и поддержку актуальности таблиц соответствия.
2.2. Процедура реализации метода изменения состава или семантики
Процедура реализации метода должна содержать правила удаления либо замены значений персональных данных субъектов на новые значения, вычисляемые по заданным правилам.
При замене значений атрибутов на новые требуется устанавливать правила обратной замены, если это необходимо для деобезличивания.
На этапе реализации процедуры обезличивания необходимо определить следующие параметры:
перечень атрибутов персональных данных, подлежащих удалению;
перечень атрибутов персональных данных, подлежащих замене на новые значения;
правила вычисления значений для замены (обратной замены) персональных данных субъектов.