Содержание к диссертации
Введение
1. Организация работы с персональными данными 9
1.1. Законодательная база для работы с персональными данными 9
1.2. Порядок обработки персональных данных
1.2.1. Требования к обработке персональных данных 11
1.2.2. Операторы персональных данных
1.3. Автоматизированные системы обработки персональных данных... 14
1.3.1. Классификация информационных систем персональных данных. 15
1.4. Защита персональных данных
1.4.1. Обеспечение безопасности персональных данных при их обработке 19
1.4.2. Этапы создания систем защиты персональных данных 21
1.5. Организация контроля за исполнением правил обработки
персональных данных 25
1.5.1. Задачи уполномоченного органа 26
1.5.2. Структура уполномоченного органа .-27
Выводы 30
2. Обезличивание персональных данных 32
2.1. Обезличивание как метод представления и защиты персональных данных 32
2.1.1. Определение обезличивания 34
2.1.2. Основные определения .35
2.2. Модель персональных данных 36
2.2.1. Общее описание персональных данных 36
2.2.2. Математическая модель персональных данных 38
2.3. Обезличивание персональных данных 44
2.3.1. Обезличивание полного множества персональных данных 44
2.3.2. Обезличивание локального множества персональных данных 46
2.3.6. Оценка качества обезличивания 55
2.4. Анализ известных подходов к обезличиванию 59
2.4.1. Уменьшение перечня обрабатываемых сведений 60
2.4.2. Замена части сведений идентификаторами 60
2.4.3. Замена численных значений минимальным, средним, или максимальным значением. Понижение точности некоторых сведений 61
2.4.4. Деление сведений на части и обработка в разных информационных системах 61
Выводы 62
3. Обезличивание методом перемешивания данных 64
3.1. Общее описание. Постановка задачи 64
3.1.1. Описание процедуры перемешивания 64
3.1.2. Постановка задачи разработки алгоритма обезличивания 65
3.2. Общие сведения о перестановках 66
3.2.2. Циклические перестановки 71
3.2.3. Обобщенные перестановки 72
3.2.4. Многоуровневые обобщенные перестановки 79
3.3. Алгоритм обезличивания табличных данных методом многоуровневой обобщенной перестановки 80
3.3.1. Описание задачи 81
3.3.2. Описание процедуры обезличивания 82
3.3.3. Де-обезличивание данных таблицы 93
3.3.4. Оценка защищенности процедуры обезличивания 95
Выводы 97
4. Организация безопасной работы с персональными данными 98
4.1. Общее описание системы обработки персональных данных 98
4.2. Центры обработки персональных данных
4.2.1. Описание центра обработки персональных данных 103
4.2.2. Выбор параметров оборудования центра 105
4.2.3. Организация работы системы 107
4.2.4. Организация центров 109
4.3. Организация контроля операторов персональных данных 110
4.3.1. Направления и результаты деятельности Уполномоченного органа 110
4.4. Единая информационная система Роскомнадзора 122
Выводы 123
Общие выводы 125
Литература
- Требования к обработке персональных данных
- Модель персональных данных
- Общие сведения о перестановках
- Организация контроля операторов персональных данных
Введение к работе
С развитием процессов информатизации общества, созданием новых и интеграцией существующих информационных систем, ориентированных на обслуживание населения, все большее внимание уделяется организации обработки персональных данных (ПД). ПД составляют важную часть информационного пространства, содержащую Сведения о физических лицах -субъектах ПД. Выделение таких данных & отдельное подмножество обусловлено особыми требованиями к организации их обработки (действиям с ПД), связанными с возможностью нанесения вреда субъектам ПД. Поэтому как в зарубежных странах, так и в России разбивается и совершенствуется законодательная база, регламентирующая правила обработки ПД и реализацию прав граждан на конфиденциальность касающейся их информации.
Особое внимание уделяется вопросам защиты ПД в автоматизированных информационных системах ПД - ИСПД. Требования к защите в ИСПД, в соответствии с рядом документов, учюъашвт категорию и количество ПД, специфику решаемых задач и ряд других показателей. Выполнение этих требований, как правило, связано с существенными материальными и финансовыми затратами, вызванными необходимостью создания системы защиты, обеспечением высокой квалификации персонала, получением разрешительных документов, чтС) не всегда возможно для большого числа пользователей информации - Операторов, представляющих малобюджетные организации (медицинские и образовательные учреждения, предприятия системы ЖКХ, общественные организации).
В связи с этим представляют интерес исследования направленные на разработку и анализ методов обработки ПД, позволяющих снизить затраты на обеспечение безопасности в ИСПД.
Одним из перспективных подходов в этом направлении является обработка обезличенных ПД, когда становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субьекту и, следовательно, обеспечивается невозможность для операторов и иных лиц, получивших доступ к обезличенным данным, раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных.
Для реализации этого подхода требуете* разработать и исследовать методы обезличивания и де-обезличивания ПД, правила работы с обезличенными данными,
Своевременность заданного направления исследований обусловлена возрастающей потребностью в развитии ИСПД, связанной с выполнением различных федеральных целевых программ, усилением ответственности за обеспечение безопасности ИД и необходимость^, в связи с этим, повышать эффективность создаваемых систем при одновременном снижении затрат на их эксплуатацию, что возможно при наличии достаточно универсальных решений.
Таким образом, можно сделать вывод, что тематика диссертационной работы является актуальной, а полученные результаты имеют важное практическое значение.
Целые работы является разработка и теоретическое обоснование методов обезличивания и де-обезличивания ПД, позволяющих обеспечить их конфиденциальность, а также правил организации обработки обезличенных данных.
Для достижения поставленной цели были проведены исследования по следующим направлениям:
-
Анализ задач и методов обеспечения безопасности ПД.
-
Исследование свойств ПД, как объектов обработки и защиты.
-
Разработка и анализ эффективных методов (алгоритмов) обезличивания и де-обезличивания ПД.
-
Разработка методов обработки обезличенных данных с привлечением внешних операторов и использованием дата-центров.
На зашиту выносятся следующие результаты проведенных иссдеддаэАнш*.
математическая модель ПД, позволяющая установить связи между данными субъекта, определить свойства обезличенных ПД;
достаточные условия обезличивания при различных способах организации хранения ПД;
алгоритмы обезличивания и де-обезличивания ПД, основанные на их перемешивании с применением перестановок;
правила организации обработки обезличенных ПД в дата-центрах внешних операторов.
Объект и предмет исследования. Объектом исследования является множество ПД субъектов.
Предметом исследования являются математические модели и алгоритмы обезличивания и де-обезличивания ПД, позволяющие проводить их обработку операторами с обеспечением конфиденциальности.
Методы исследования определялись спецификой решаемых задач и поставленными целями. В работе использовались методы теории графов, теории множеств, системного анализа, теории вероятностей, проектирования информационных систем.
Научная новизна результатов диссертации связана с разработкой математической модели ПД, позволившей выявить связи и зависимости между отдельными типами данных при обработке несколькими операторами, определить достаточные условия обезличивания; разработкой алгоритма обезличивания, основанного на применении перестановок, позволяющего проводить обезличивание больших массивов персональных денных при минимальных объемах служебной информации.
Практическая значимость результатов диссертации обусловлена простотой практической реализации предложенных алгоритмов, разработкой правил и рекомендаций для работы с обезличенными данными позволяющих обеспечить конфиденциальность ПД в информационных системах при
наличии ресурсных и финансовых ограничений.
Достоверность и обоснованность результатов и выводов диссертации базируются на соответствии разработанных моделей, алгоритмов и правил их применения реальным условиям обработки ПД, корректности применения математических методов при построении и анализе моделей и алгоритмов, и, наконец, на данных о практическом применения полученных результатов при создании и эксплуатации реальных систем.
Апробация работы. Основные результаты диссертации
докладывались и обсуждались заседании Консультативного совета при Уполномоченном органе по защите прав субъектов ПД, 2011; I Международной конференции «Защита персональных данных», 2010; Международной конференции «Международная информационная и энергетическая безопасность. Россия - Италия: партнерство как основа системного подхода к защите информации», 2010; Байкальском форуме «Россия и Беларусь в информационном сообществе», 2010; расширенном совещании: «О реализации мероприятий по Административной реформе. Задачи по повышению эффективности деятельности Роскомнадзора»; Второй межбанковской конференции «Информационная безопасность банков. Опыт проверок выполнения требований Федерального закона «О персональных данных», 2010; расширенной коллегии Роскомнадзора: «Особенности осуществления контроля и надзора в сфере информационных технологий, деятельности по защите прав субъектов персональных данных в 2010 году», 2009; Семинаре для сотрудников территориальных управлений Роскомнадзора, 2009; Парламентских слушаниях: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», 2009.
Публикации по теме диссертации. По теме диссертации опубликовано 12 работ из них 2 статьи в рецензируемых изданиях, рекомендованных ВАК.
Структура и объем диссертации. Диссертация состоит из введения, четырех глав, заключения, приложения и списка литературы содержащего 124 наименований. Объем диссертации 138 страниц.
Требования к обработке персональных данных
Информация, содержащая сведения о физических лицах (гражданах) -персональные данные, используется в различных системах обработки информации все более часто, что обусловлено постоянным расширением сферы применения информационных технологий для обслуживания населения, вызвавшим развитие электронного документооборота, создание государственных и региональных систем предоставления населению электронных услуг [23,24,70, 86, 94].
Специфика работы с персональными данными основана на потенциальной возможности их использования для причинения вреда субъектам, к которым относятся данные - владельцам персональных данных. Поэтому особое внимание при работе с персональными данными уделяется обеспечению их безопасности. К наиболее важным показателям безопасности относится обеспечение конфиденциальности.
Возрастание объемов накопленных персональных данных, увеличение числа субъектов вовлеченных в их обработку и расширение областей применения требует создания и постоянного совершенствования законодательной базы, регламентирующей работу с персональными данными, уточняющей (конкретизирующей) основные понятия, формирующей единые подходы к созданию систем обработки персональных данных.
Работы по созданию такой базы проводятся как за рубежом, так и в Российской федерации.
Одним из первых международных документов, регламентирующих работу с персональными данными, являлась Конвенция "О защите физических лиц при автоматизированной обработке персональных данных" ETS-108 (Страсбург, 28 января 1981 г.) [22, 114, 115]. Конвенция была принята государствами-членами Совета Европы с целью обеспечения на территории каждой из сторон договора уважения прав и основных свобод каждого человека независимо от его гражданства или места жительства и в особенности его права на неприкосновенность личной сферы в связи с автоматической обработкой его персональных данных.
Российской Федерацией данная конвенция была ратифицирована 19 декабря 2005 года Федеральным законом № 160-ФЗ [98]. Этот момент можно считать началом работы по развитию и совершенствованию законодательства о персональных данных в РФ.
Важным результатом работы было принятие Федерального закона «О персональных данных» (№152-ФЗ) в 2006 году [96]. Вступление в силу данного закона неоднократно переносилось, что связано с рядом факторов, среди которых можно выделить: необходимость проведения сложных и дорогостоящих подготовительных работ по его применению в конкретных организациях; отсутствие апробированных эффективных средств и методов реализации основных требований закона; недостаток подготовленных кадров как для работы с персональными данными, так и для контроля за соблюдением законодательства.
В результате доработки закона в 2011 года был принят Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» №261 - ФЗ [97].
На сегодняшний день работа по совершенствованию законодательной базы, регламентирующей работу с персональными данными, продолжаются, что вызвано постоянным расширением круга задач, требующих использование персональных данных и связанной с этим необходимостью уточнения ряда определений, внесением дополнений, а также созданием интегрированных систем обработки информации и единого информационного пространства Российской Федерации [12, 13, 14, 57, 116, 117,118,119].
Все действия с персональными данными регламентируются Федеральными законами, постановлениями Правительства РФ и документами организаций, где проводится работа с персональными данными. 1.2.1. Требования к обработке персональных данных
Предусмотрены следующие виды обработки персональных данных, к основным из которых можно отнести [96, 97]: уточнение (обновление, изменение); использование — «действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц»; распространение (в том числе передача) — «действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом»; обезличивание — «действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных»; блокирование — «временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи»; уничтожение персональных данных — «действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных». Перечисленные действия должны исполняться с учетом требований по обеспечению конфиденциальности персональных данных, регламентации доступа к персональным данным.
Модель персональных данных
Руководитель Уполномоченного органа назначается на должность Председателем Правительства Российской Федерации. Руководитель имеет заместителя, отвечающего за вопросы, связанные с защитой прав субъектов персональных данных.
Для решения поставленных задач Федеральной службой 28 декабря 2007 г. было создано Управление по защите прав субъектов персональных данных.
В Правовом управлении Федеральной службы создан отдел правового обеспечения деятельности в сфере защиты прав субъектов персональных данных и информационных технологий.
В составе Федеральной службы функционируют 75 территориальных органов, из них в 67-ми созданы профильные отделы, в остальных управлениях введены отдельные должности для выполнения функций по осуществлению государственного контроля и надзора на территории Российской Федерации за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
Таким образом, в настоящее время создана и функционирует территориально-распределенная организационно-штатная структура Уполномоченного органа, которая имеет координационный центр на федеральном уровне и территориальные органы во всех субъектах Российской Федерации.
При осуществлении надзорной деятельности Уполномоченный орган взаимодействует с Федеральной службой безопасности (ФСБ России), Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Министерством внутренних дел Российской Федерации, а также Генеральной прокуратурой Российской Федерации.
Организация взаимодействия Уполномоченного органа с органами государственной власти Российской Федерации осуществляется по следующим направлениям: проведение совместных проверок (в период с 2008 по 2010 год проведено 10 проверок, по результатам которых выдано 11 предписаний об устранении выявленных нарушений и составлен протокол об административном правонарушении). выработка практических рекомендаций по приведению деятельности операторов, осуществляющих обработку персональных данных, в соответствие требованиям Федерального закона «О персональных данных». В результате этой деятельности были выданы рекомендации по приведению 24-х ведомственных нормативных актов в соответствие с требованиями законодательства Российской Федерации в области персональных данных.
Статьей 24 Федерального закона предусмотрена ответственность операторов за нарушения требований законодательства в области персональных данных, включая уголовную и административную ответственность.
Уголовным Кодексом установлены три состава преступлений: ст.ст. 137,140 и 272 с максимальной санкцией в виде лишения свободы на срок до 5 лет: ст. 137 Уголовного Кодекса РФ - незаконное собирание и распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении; ст. 140 Уголовного Кодекса РФ - неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации; ст. 272 Уголовного Кодекса РФ - неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.
Кодексом Российской Федерации об административных правонарушениях предусмотрены четыре состава административных проступков: ст.ст. 5.39,13.11,13.14 и 19.7 [21]: ст. 5.39 Кодекса РФ об административных правонарушениях - отказ в предоставлении гражданину документов и материалов, непосредственно затрагивающих права и свободы гражданина либо несвоевременное представление таких материалов, либо предоставление гражданину неполной или заведомо недостоверной информации; ст. 13.11 Кодекса РФ об административных правонарушениях -нарушение установленного законом порядка сбора, хранения, использования и распространения персональных данных. ст. 13.14 Кодекса РФ об административных правонарушениях -разглашение информации, доступ к которой ограничен федеральным законом; ст. 19.7 Кодекса РФ об административных правонарушениях -непредставление или несвоевременное представление уведомления об обработке персональных данных или иной информации по запросу уполномоченного органа.
Трудовым кодексом Российской Федерации [88]. Однако, в связи с постоянным и интенсивным ростом числа операторов, развитие деятельности по контролю за работой операторов персональных данных требует создания специализированной информационной системы.
Общие сведения о перестановках
Как комментарий к рисунку 2.3.1. можно отметить, что в терминах графового представления полного множества персональных данных, обезличивание на полном множестве персональных данных это разрезание графа персональных данных, соответствующего этому множеству, на изолированные подграфы, ни один из которых не содержит всех вершин, соответствующих подмножествам (о;11,со.12,...,а).ш , из 12 (1.
При обезличивании вместо графа полного множества персональных данных - Г(1„Х,) получается граф множества обезличенных данных Т(П„Х,),гдеХ,сХ,.
Обезличивание локального множества персональных данных Исследуем теперь процедуру обезличивания локального множества персональных данных. Локальное множество персональных есть подмножество полного множества персональных данных, и оно будет обезличенным, если соответствует определению 5. Прежде всего докажем справедливость следующего утверждения.
Утверждение 3. Если локальное подмножество персональных данных образовано из обезличенного полного множества персональных данных без установления дополнительных связей между элементами, то это подмножество является обезличенным. Подмножество 0/1
Обезличенное множество персональных данных ft Выполнение условия Утверждения 2. Доказательство. Действительно, подграф локального подмножества не будет содержать вершин, соответствующие которым элементы могут быть идентифицированы, поскольку таких вершин нет в графе полного множества, что следует из утверждения 1. Следовательно, локальное подмножество содержит вершины, для которых соответствующие элементы подмножества Л, не идентифицируются, а значит, по определению 5, это подмножество является обезличенным.
Следует отметить, однако, что для локальных множеств часто имеются внешние связи с другими локальными множествами и дополнительные внутренние связи. В связи с этим, устранение связей между элементами, подмножества, размещенного в одном хранилище, в соответствии с условиями утверждений 1 и 2, может не привести к устранению этих связей во всех местах размещения подмножеств, и обезличивания подмножества может не произойти. Поэтому требуется уточнения процедуры обезличивания для этих совокупностей локальных подмножеств, размещенных в различных хранилищах.
Например, рассмотрим граф персональных данных, представленный на рисунке 2.3.3. Здесь в хранилищах 1 и 3 обезличивание локального множества персональных данных проведено в соответствии с условием утверждения 2. В хранилище 2 обезличивание локального множества персональных данных проведено в соответствии с условием утверждения 1.
По аналогии можно провести де-обезличивание данных в хранилище 3, используя данные ИНН или паспортные данные из хранилища 2.
Следовательно, обезличивания не произошло.
Как видно из рисунка 2.3.3, сохранились связи между копиями элементов персональных данных в различных хранилищах, и эти связи можно использовать для де-безличивания данных. Например, паспортные данные в хранилище 2 можно де-обезличить, используя связи между копиями элементов подмножества &1п в хранилищах 1 и 2, а далее можно де-обезличить данные в хранилище 1, используя де-обезличенные паспортные данные в хранилище 2. Пути для проведения де-обезличивания показаны на рисунке 2.3.4. Логика подсказывает, что для обезличивания локальных множеств персональных данных субъекта при хранении и копировании в различных хранилищах необходимо устранить связи между хранилищами. Утверждение 4. Локальное множество персональных данных субъекта будет обезличенным, если выполняются следующие условия: 1) граф локального множества персональных данных не имеет ребер, связывающих вершины, соответствующие элементам (копиям элементов) различных подмножеств сот,оо.12,...,со.1М , входящим в состав локального множества 2) для любой вершины графа этого множества не существует пути, связывающего ее с вершинами графов других локальных подмножеств, соответствующими элементам (копиям элементов) различных подмножеств
Доказательство. Выполнение условия 1 приводит к невозможности идентификации элементов локального множества внутри этого множества (в соответствии с определением 1), а выполнение условия 2 обеспечивает невозможность идентификации элементов данного локального множества с использованием элементов других локальных множеств.
Организация контроля операторов персональных данных
Суть многоуровневой перестановки состоит в том, что каждое подмножество, получаемое при разбиении исходного множества, снова разбивается на подмножества и т.д. При этом первое разбиение будем называть разбиением первого уровня, а получаемые подмножества, подмножествами первого уровня разбиения. Разбиения второго уровня это разбиения подмножеств первого уровня, а получаемые при этом подмножества будем называть подмножествами второго уровня разбиения. При этом каждое подмножество второго уровня разбиения соответствует определенному подмножеству первого уровня.
По аналогии можно ввести разбиения г - уровня и подмножества г-го уровня разбиения. Систему обозначений для описания многоуровневой перестановки. Удобно привести для конкретного случая, поэтому она будет представлена в следующем разделе. Следует отметить также, что для практического применения целесообразно ограничиться двумя уровнями и использовать на каждом уровне обобщенные циклические перестановки, поскольку это значительно снижает объем описания перестановок.
Алгоритм получения обычной перестановки из многоуровневой обобщенной перестановки аналогичен приведенному выше алгоритму для простой обобщенной перестановки, но с учетом наличия нескольких уровней. При этом вычисления необходимо проводить, начиная с последнего уровня.
В этом разделе показана возможность применения приведенных выше теоретических результатов для проведения обезличивания персональных данных, представленных в табличной форме, что соответствует наиболее часто встречающейся на практике форме представления и хранения данных в базах данных информационных систем [33, 36, 90, 93,120].
Предлагаемая процедура (алгоритм) обезличивания, основана на разбиении исходного множества данных на подмножества и перестановке подмножеств, что позволяет сократить размерность и упростить ее практическую реализацию. Процедура использует двухуровневые обобщенные циклические перестановки, определенные выше.
N число атрибутов (столбцов), М- длина таблицы (число строк). Множество данных, относящееся к одному атрибуту tt (і = 1,2,...Д) - U0,(M), содержит Мэлементов. Следуя описанию из раздела 3.2, множество U0, будем считать исходным множеством, соответствующим исходному множеству U0(M). Каждое множество U0/(M) упорядочено, т.е. все его элементы занумерованы от 1 до М. В таблице T(tltt2f...ttN) совокупность элементов множеств разных атрибутов с одинаковыми номерами будем называть записью с соответствующим номером (строка в таблице). Запись содержит N элементов.
Считаем, что в исходной таблице каждая запись имеет определенный смысл, связанный с конкретным субъектом (физическим лицом), т.е. содержит персональные данные конкретного лица, определенного в этой же записи. При этом значение каждого атрибута записи соответствует значению конкретного типа персональных данных, в соответствии с определением раздела 2.1.2.
Задача обезличивания персональных данных, содержащихся в таблице, сводится к представлению таблицы в таком виде, чтобы ни одна запись (строка) не содержала информации, позволяющей однозначно определить конкретный субъект и идентифицировать соответствующие ему персональные данные, следуя определениям из раздела 2.2.2.
Для решения задачи предлагается перемешать данные каждого (или нескольких) множества U0/ (/ = 1, 2, ..., N) (каждого столбца таблицы), что приведет к изменению содержания каждой строки таблицы и, соответственно, невозможности идентификации данных в строке.
Ниже приводятся описание и результаты анализа процедуры обезличивания.
Процедура обеспечивает перемешивание данных каждого подмножества атрибутов исходной таблицы на двух уровнях в соответствии с двухуровневой обобщенной перестановкой. На каждом уровне используются обобщенные циклические перестановки.
Перестановка одного множества атрибутов таблицы. Ниже приводится описание процедуры перемешивания для одного множества U0(. (атрибута, столбца таблицы), для других множеств процедура аналогична, за исключением ее параметров. Первый уровень. Проведем разбиение множества U0/ на К, = K(XJ0i(M))(M Kt 1) непересекающихся подмножеств Voy, где число элементов подмножества первого уровня разбиения - U0y равно Му (М My l),j = 1,2,...,КГ Все элементы каждого подмножества U0/y считаем занумерованными от 1 до MtJ эти номера будем называть внутренними номерами элементов подмножества. Внешний номер элемента в подмножестве U0;y, имеющего внутренний номер к, обозначим - mijk, (l mijk M). Так, что mijk - это порядковый номер элемента в множестве U0/, соответствующий элементу с внутренним номером к в подмножестве U0.. Для вычисления значения тук можно воспользоваться формулой (3.2.10), с учетом того, что к. = Мг.
Разбиение множества U0/ должно обладать свойствами, определенными в разделе 3.2.3, которые с учетом внесенных изменений в обозначения, можно записать в следующем виде
Похожие диссертации на Защита персональных данных в информационных системах методом обезличивания
