Про затвердження Методологічних положень щодо забезпечення статистичної конфіденційності офіційної державної статистичної інформації

Відповідно до статей 17, 21, 29, 31 Закону України «Про офіційну статистику», пункту 9 Положення про Державну службу статистики України, затвердженого постановою Кабінету Міністрів України від 23 вересня 2014 року № 481, з урахуванням положень Законів України «Про інформацію», «Про захист персональних даних», «Про доступ до публічної інформації», «Про захист інформації в інформаційно-комунікаційних системах», «Про електронні документи та електронний документообіг», «Про публічні електронні реєстри», постанови Кабінету Міністрів України від 29 березня 2006 року № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах» і з метою забезпечення статистичної конфіденційності, методів і правил контролю ризику розкриття конфіденційних даних НАКАЗУЮ:

1. Затвердити Методологічні положення щодо забезпечення статистичної конфіденційності офіційної державної статистичної інформації, що додаються.

2. Управлінню правового забезпечення (Гінчук Л.І.) забезпечити подання цього наказу в установленому порядку на державну реєстрацію до Міністерства юстиції України.

3. Цей наказ набирає чинності з дня його офіційного опублікування.

4. Контроль за виконанням цього наказу залишаю за собою.

МЕТОДОЛОГІЧНІ ПОЛОЖЕННЯ
щодо забезпечення статистичної конфіденційності офіційної державної статистичної інформації

I. Загальні положення

1. Ці Методологічні положення спрямовані на забезпечення гарантій органів державної статистики та інших виробників офіційної державної статистичної інформації щодо захисту конфіденційних даних, що використовуються у статистичних цілях, наведених у статтях 29, 31 Закону України «Про офіційну статистику»; дотримання прав, виконання обов’язків працівників органів державної статистики та тимчасових працівників, залучених до проведення статистичних спостережень, викладених у статті 25 Закону України «Про офіційну статистику»; забезпечення доступу до мікроданих, що закріплено положеннями статті 32 Закону України «Про офіційну статистику».

Ці Методологічні положення базуються на Основних принципах офіційної статистики, схвалених Генеральною Асамблеєю ООН від 23 січня 2014 року, принципах Кодексу практики європейської статистики, прийнятих Комітетом Європейської статистичної системи від 28 серпня 2011 року, положеннях Регламенту Європейського Парламенту і Ради (ЄС) № 223/2009 від 11 березня 2009 року щодо європейської статистики, Регламенту Європейського Парламенту і Ради (ЄС) № 759/2015 від 29 квітня 2015 року про внесення змін до Регламенту (ЄС) № 223/2009 щодо європейської статистики, Регламенту Європейського Парламенту і Ради (ЄС) № 557/2013 від 17 червня 2013 року щодо європейської статистики стосовно доступу до конфіденційної інформації в наукових цілях, Регламенту Європейського Парламенту і Ради (ЄС) № 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних.

2. Офіційна державна статистична інформація виробляється на основі первинних даних щодо респондентів або адміністративних даних, що пройшли одну чи декілька стадій оброблення, аналізу, зберігаються в електронному вигляді та пройшли процедуру забезпечення статистичної конфіденційності.

3. Методологічні положення розроблені з метою визначення основних принципів та організаційних заходів забезпечення статистичної конфіденційності, методів і правил контролю ризику розкриття конфіденційних даних згідно з нормами законодавства.

4. Відповідно до статті 37 Закону України «Про офіційну статистику» поширенню не підлягає офіційна державна статистична інформація, яка містить дані, отримані від трьох і менше респондентів або якщо частка одного з респондентів у такій інформації перевищує 80 відсотків.

5. Офіційна державна статистична інформація, на яку не розповсюджується заборона щодо її поширення органами державної статистики, визначено статтею 30 Закону України «Про офіційну статистику».

6. Ці Методологічні положення призначені для використання:

працівниками органів державної статистики, які на постійній або тимчасовій основі беруть участь у проведенні державних статистичних спостережень, у частині положень, визначених розділами I-V, VII, VIII;

працівниками інших виробників офіційної державної статистичної інформації у частині положень, визначених розділами I-IV, VI;

науковими організаціями та науковцями щодо загальних засад отримання доступу до мікроданих у частині положень, визначених розділом VII;

іншими учасниками під час надання доступу до мікроданих з метою виконання Україною взятих на себе зобов’язань у рамках міжнародних угод у частині положень, визначених розділом VII.

II. Основні поняття та терміни

1. Для цілей цих Методологічних положень використовуються такі визначення понять і термінів:

доступ до інформації - можливість одержання, оброблення, блокування та/чи порушення цілісності інформації;

доступність - властивість інформації бути захищеною від несанкціонованого блокування (інформація зберігає доступність, якщо підтримується можливість отримати її упродовж будь-якого задовільного проміжку часу);

забезпечення статистичної конфіденційності - комплекс заходів, спрямованих на захист конфіденційних даних, що використовуються у статистичних цілях;

захист інформації - діяльність, спрямована на запобігання або ускладнення реалізації несанкціонованих дій щодо інформації, що міститься в інформаційній системі статистичного виробництва органів державної статистики (далі - ІССВ ОДС) та інформаційній системі органів державної статистики (далі - ІС ОДС);

комплексна система захисту інформації - сукупність організаційних і технічних заходів, засобів і методів, які забезпечують захист інформації в інформаційній системі;

конфіденційні дані - відомості, які дають змогу здійснити пряму або непряму ідентифікацію респондента, таким чином розкриваючи індивідуальні дані про нього. Під час визначення можливості ідентифікації респондента повинні враховуватися всі засоби, які може використати третя сторона для такої ідентифікації;

конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов;

мікродані - набір відомостей, що містить індивідуальні дані про респондентів у вигляді неагрегованих даних статистичного спостереження або вимірювання характеристик окремих одиниць;

непряма ідентифікація - ідентифікація респондента у будь-який інший спосіб, ніж пряма ідентифікація;

пряма ідентифікація - ідентифікація респондента - юридичної особи за назвою або адресою, або ідентифікаційним кодом, а також установлення персональних даних респондента - фізичної особи за первинними даними, що містяться у звітності;

службова інформація - інформація, що міститься в документах суб’єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов’язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень і передують публічному обговоренню та/або прийняттю рішень, а також зібрана в процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці;

статистична конфіденційність - заборона на використання для інших цілей, крім статистичних, даних, отриманих безпосередньо від респондента або за допомогою адміністративних чи інших джерел, даних щодо респондента, а також на незаконне поширення таких даних;

статистичні показники - кількісні характеристики соціально-економічних явищ і процесів в умовах якісної визначеності;

статистична одиниця у статистичній практиці - це підприємство, інституційна одиниця, група підприємств, одиниця за видом економічної діяльності, одиниця гомогенного виробництва, місцева одиниця, місцева одиниця за видом економічної діяльності, місцева одиниця гомогенного виробництва;

таємна інформація - інформація, доступ до якої обмежується відповідно до частини другої статті 6 Закону України «Про доступ до публічної інформації», розголошення якої може завдати шкоди особі, суспільству і державі. Таємною визнається інформація, яка містить державну, професійну, банківську, розвідувальну таємницю, таємницю досудового розслідування та іншу передбачену законом таємницю;

цілісність - властивість інформації бути захищеною від несанкціонованого або випадкового спотворення, руйнування або знищення та бути незмінною в процесі її передавання або зберігання (інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації та знищення).

2. Для цілей цих Методологічних положень термін «респондент» уживається у значенні поняття «статистична одиниця».

3. Інші терміни, не зазначені в цьому розділі, вживаються у значеннях, передбачених Законом України «Про офіційну статистику», іншими актами законодавства України та міжнародними договорами України, згода на обов’язковість яких надана Верховною Радою України, Глосарієм термінів національної моделі статистичного виробництва в органах державної статистики, затвердженим наказом Державної служби статистики України від 28 грудня 2022 року № 392.

III. Типологія даних у процесі виробництва статистичної інформації

Дані, що використовуються у процесі виробництва статистичної інформації, поділяються на три види: вхідні дані; дані, що обробляються, та дані, що поширюються (оприлюднюються), і для цілей цих Методологічних положень вони вживаються в наведених нижче значеннях.

1. Вхідні дані

1. Первинні дані - інформація щодо кількісної та якісної характеристики явищ і процесів, надана респондентами під час статистичних спостережень.

До первинних даних належить інформація про респондента, яка міститься в заповненій формі звітності, анкеті, переписному (опитувальному) листі, іншій звітно-статистичній документації, необхідних для проведення статистичних спостережень.

2. Адміністративні дані - дані, отримані державними органами (крім органів державної статистики), органами місцевого самоврядування та іншими юридичними особами відповідно до законодавства та задокументовані ними. Адміністративні дані надходять до органів державної статистики відповідно до законодавства від виробників офіційної статистики та інших державних органів, установ, організацій.

Органи державної статистики використовують адміністративні дані, розміщені на офіційних вебсайтах державних органів, а також інші набори даних у відкритому форматі, оприлюднені з урахуванням положень постанови Кабінету Міністрів України від 21 жовтня 2015 року № 835 «Про затвердження Положення про набори даних, які підлягають оприлюдненню у формі відкритих даних».

3. Інші дані - інформація щодо кількісної та якісної характеристики явищ і процесів, що офіційно надходить до виробників офіційної статистики від міжнародних організацій, інших юридичних або фізичних осіб або отримана з інших офіційних джерел.

2. Дані, що обробляються

1. Вхідні дані, які надійшли до органів державної статистики, завантажуються до ІС ОДС, із застосуванням відповідних комплексних систем захисту інформації з підтвердженою відповідністю за результатами державної експертизи в порядку, установленому законодавством, із дотриманням вимог Законів України «Про офіційну статистику», «Про електронні документи та електронний документообіг», «Про захист інформації в інформаційно-комунікаційних системах», «Про захист персональних даних» і піддаються арифметичному та логічному контролю відповідно до технології обробки та приймають вигляд даних, що обробляються, для подальшого виробництва офіційної державної статистичної інформації органами державної статистики.

Виробництво офіційної державної статистичної інформації в органах державної статистики здійснюється в ІССВ ОДС.

Оброблення первинних (персональних) даних здійснюється відповідно до Конституції України, Законів України «Про офіційну статистику», «Про захист персональних даних» та інших законів України з метою здійснення повноважень Держстату, а також чинних міжнародних договорів, згода на обов’язковість яких надана Верховною Радою України.

2. До даних, що обробляються, належать первинні дані, агреговані (зведені) дані й мікродані.

3. Агреговані дані - обчислені агрегати (значення), отримані після приведення деталізованих даних до більш узагальненого вигляду.

Масив агрегованих даних містить відповідну кількість записів, де кожний запис має свої кількісно-якісні характеристики на рівні групи статистичних одиниць.

4. Набір відомостей містить відповідну кількість записів, де кожний запис має свої кількісно-якісні характеристики, які використовуються для прямої або непрямої ідентифікації.

З метою мінімізації ризику розкриття відомостей про респондента (статистичну одиницю) проводиться знеособлення мікроданих і застосування до мікроданих окремих методів захисту.

Анонімізовані мікродані - знеособлені мікродані, до яких були застосовані окремі методи захисту знеособлених мікроданих, з метою мінімізації ризику ідентифікації респондента (статистичної одиниці).

Мікродані виробляються для суспільного використання та для доступу в дослідницьких цілях.

5. Для кожного державного статистичного спостереження у відповідних методологічних положеннях визначаються:

статистичні методи контролю ризику розкриття конфіденційних даних статистичного спостереження;

перелік статистичних показників, які є конфіденційними (вразливі до розкриття значення) і підлягають захисту;

застереження щодо нерозголошення інформації щодо сукупності респондентів, які підлягають статистичному спостереженню, та сукупності одиниць статистичного спостереження, що вивчається;

правила контролю ризику розкриття конфіденційних даних;

3. Дані, що поширюються (оприлюднюються)

1. Органи державної статистики та інші виробники офіційної державної статистичної інформації забезпечують статистичну конфіденційність даних, що поширюються (оприлюднюються).

2. Даними, що поширюються (оприлюднюються), є дані, що були оброблені та підготовлені для оприлюднення у вигляді:

статистичних продуктів: експрес-випусків, доповідей, бюлетенів, збірників, пресрелізів, статистичної інформації (таблиць на офіційних вебсайтах) тощо;

інформації, яку органи державної статистики та інші виробники офіційної державної статистичної інформації надають за запитами;

інформації, яку органи державної статистики та інші виробники офіційної державної статистичної інформації надають відповідно до законодавства;

інформації, яку виробники офіційної державної статистичної інформації надають міжнародним організаціям і статистичним службам інших країн за запитами, у порядку взаємообміну та на виконання міжнародних зобов’язань України.

3. Вищезазначені дані перед їх оприлюдненням проходять контроль ризику розкриття конфіденційних даних, перевірку на відповідність статистичним методам і критеріям захисту конфіденційних даних. У разі відповідності статистичним методам і критеріям захисту конфіденційних даних за результатами контролю розкриття дані, що поширюються (оприлюднюються), не є конфіденційними даними.

Якщо за результатами перевірки встановлено, що дані, що поширюються (оприлюднюються), є конфіденційними, взамін проставляється літера «к» та наводиться тлумачення цієї літери: «Дані не оприлюднюються з метою забезпечення виконання вимог Закону України «Про офіційну статистику» щодо конфіденційності офіційної державної статистичної інформації.».

IV. Статистичні методи і правила контролю ризику розкриття конфіденційних даних та основні організаційні заходи щодо забезпечення статистичної конфіденційності

1. Контроль ризику розкриття конфіденційних даних

1. Конфіденційні дані встановлюються шляхом прямої або непрямої ідентифікації.

Застосування прямої ідентифікації встановлює респондента-юридичної особи за найменуванням або місцезнаходженням, або ідентифікаційним кодом, а також установлення персональних даних респондента-фізичної особи за первинними даними, що містяться у звітності.

Пряма ідентифікація здійснюється з персоніфікованих мікроданих.

Непряма ідентифікація здійснюється із знеособлених мікроданих та/або агрегованих даних.

Під час визначення ідентифікації респондента враховуються всі засоби, які використовує третя сторона для такої ідентифікації.

2. Статистичні дані щодо статистичних одиниць поділяються на дві групи:

статистичні дані щодо юридичних осіб, їх відокремлених підрозділів і фізичних осіб-підприємців (статистичні дані щодо підприємств);

статистичні дані щодо фізичних осіб/домогосподарств.

3. Статистична інформація представлена в табличній формі у вигляді агрегованих даних. Агреговані дані знаходяться під ризиком розкриття, якщо існує ризик розкриття первинних даних щодо статистичної одиниці. Загальні правила контролю ризику розкриття конфіденційних даних застосовуються до всього масиву агрегованих даних і визначають поля із вразливими до розкриття значеннями статистичних показників.

Загальні правила контролю ризику розкриття конфіденційних даних застосовуються для визначення конкретного ризику розкриття і є складовою забезпечення статистичної конфіденційності:

правило порогового значення, згідно з яким значення статистичного показника (ознаки) є вразливим, якщо в ньому містяться дані, отримані від трьох і менше статистичних одиниць, а для статистичних даних щодо фізичних осіб/домогосподарств - десять одиниць і менше;

правило домінанти (правило n, k), відповідно до якого значення є вразливим, якщо його n найбільших статистичних одиниць дають більш ніж k % від значення, зокрема, якщо значення частки однієї статистичної одиниці в такій інформації перевищує 80 відсотків.

Правило порогового значення є обов’язковим. Одночасно застосовується більш ніж одне правило визначення контролю ризику розкриття конфіденційних даних.

Разом з тим у межах статистичного спостереження до окремих агрегованих даних встановлюються інші правила, що базуються на аналізі щодо визначення загрози розкриття та враховують вищезазначені правила контролю ризику розкриття конфіденційних даних.

2. Статистичні методи контролю ризику розкриття первинних даних, що складають агреговані дані

1. Основними статистичними методами контролю ризику розкриття первинних даних, що складають агреговані дані, та складовою забезпечення статистичної конфіденційності є:

первинне блокування, що означає застосування методу блокування вразливого значення статистичного показника;

вторинне блокування, що означає блокування значень статистичних показників, за допомогою яких розраховуються вразливі значення, що були заблоковані на етапі первинного блокування, уключаючи блокування значень взаємопов’язаних показників та їх розрізи й агрегацію;

зміни класифікації, що означає агрегацію класифікаційної ознаки, комбінування з іншими класифікаціями тощо;

отримання згоди у джерела вхідних даних щодо оприлюднення конфіденційних даних.

2. При визначенні статистичного методу контролю ризику розкриття конфіденційних даних розглядаються:

статистичний показник, що включає вразливе до розкриття значення;

частотність значень показника;

кількість статистичних одиниць у загальній сукупності;

кількість показників, що оприлюднюються за відповідними статистичними одиницями, та інша статистична інформація, яка описує ті ж самі статистичні одиниці;

інша релевантна інформація, за допомогою якої можна визначити конфіденційні дані.

3. Статистичні методи контролю ризику розкриття знеособлених мікроданих

1. Знеособлення мікроданих не є достатнім методом контролю ризику розкриття конфіденційних даних. Для зниження ризику розкриття первинних даних використовуються методи захисту знеособлених мікроданих, необхідних для виготовлення анонімізованих мікроданих.

2. Основними методами контролю ризику розкриття знеособлених мікроданих є маскування - створення модифікованої версії знеособлених мікроданих.

Методи маскування поділяють на дві категорії в залежності від їх впливу на мікродані:

коригувальні методи - мікродані змінюються перед наданням доступу до них, частина первинної комбінації значень видаляється та замінюється та/або доповнюється комбінацією нових значень. Застосування цієї категорії методів є такою, щоб агреговані дані з первинних даних і агреговані дані зі змінених даних значно не відрізнялися;

некоригувальні методи - не змінюють початкових даних, а прикривають певні змінні початкових даних. Глобальне перекодування, локальне закриття, вибірка є прикладами некоригувальних методів.

4. Основні організаційні заходи щодо забезпечення статистичної конфіденційності

1. Основні організаційні заходи щодо забезпечення статистичної конфіденційності застосовуються до:

агрегованих даних інших державних статистичних спостережень;

адміністративних даних, наданих відповідно до законодавства виробниками офіційної статистики та інших державними органами, установами, організаціями;

адміністративних даних, отриманих з офіційних вебсайтів державних органів або у форматі відкритих даних;

складових показників системи розрахунків, які містять зазначені вище дані.

Під час проведення державних статистичних спостережень реалізуються такі основні організаційні заходи щодо забезпечення статистичної конфіденційності:

забезпечення конфіденційності адміністративних даних і використання їх виключно для статистичних цілей;

надання статистичної інформації, отриманої за результатами державного статистичного спостереження, користувачам в агрегованому вигляді;

нерозголошення інформації щодо сукупності респондентів, які підлягають статистичному спостереженню, та сукупності одиниць статистичного спостереження, що вивчається, сформованих на основі первинних даних, отриманих від респондентів під час проведення державного статистичного спостереження, що є конфіденційними;

нерозповсюдження статистичної інформації, яка була отримана під час проведення державного статистичного спостереження, уключаючи адміністративну, та отриману із зовнішніх джерел, якщо є загроза розкриття первинних даних.

2. Статистичні методи, правила контролю ризику розкриття конфіденційних даних, основні заходи щодо забезпечення статистичної конфіденційності для конкретних статистичних даних зазначаються у відповідних методологічних положеннях державних статистичних спостережень.

Приклад статистичних методів і правил контролю ризику розкриття конфіденційних даних та основних організаційних заходів щодо забезпечення статистичної конфіденційності для зазначення в методологічних положеннях державних статистичних спостережень наведено в додатку.

V. Захист конфіденційних даних в ІС ОДС та ІССВ ОДС під час їх збирання, зберігання, оброблення й аналізу

1. Головні завдання захисту конфіденційних даних в ІС ОДС

1. Інформація під час її збирання, зберігання, оброблення й аналізу в ІС ОДС представляється у вигляді, придатному для обробки, та змінюється від первинних даних щодо конкретної статистичної одиниці до статистичної інформації, яка характеризує масові явища та процеси, що відбуваються в економічній, соціальній та інших сферах життя держави й регіонів. Під обробкою розуміється як власне обробка з використанням засобів обчислювальної техніки, так і збирання (завантаження інформації в ІС ОДС), зберігання, аналіз, тобто всі дії над інформацією в ІС ОДС за допомогою відповідних технічних і програмних засобів.

2. За режимом доступу інформація, що обробляється в ІС ОДС, поділяється на відкриту інформацію та інформацію з обмеженим доступом. У свою чергу інформація з обмеженим доступом за правовим режимом поділяється на конфіденційну, службову й таємну.

3. У цих Методологічних положеннях об’єктом захисту є конфіденційні дані, які обробляються в ІС ОДС.

Головне завдання захисту конфіденційних даних, які обробляються в ІС ОДС, полягає у створенні та підтримці в дієздатному стані системи організаційних, технічних та інших заходів, засобів і методів, що унеможливлюють або ускладнюють реалізацію несанкціонованих або неконтрольованих дій по відношенню до статистичних даних під час обробки в ІС ОДС і забезпечують дотримання конфіденційності статистичної інформації згідно із вимогами, передбаченими чинним законодавством.

2. Головні завдання захисту конфіденційних даних в ІССВ ОДС

Складовою інформаційної системи статистичного виробництва органів державної статистики є система обробки даних.

Система обробки даних (далі - СОД) створюється з урахуванням безпеки, усуваючи ризики розкриття конфіденційних даних, цілісності та доступності даних, як внутрішніх, так і отриманих зі сторонніх постачальників через мережу Інтернет. Надійні механізми автентифікації та принципів керування доступом на основі атрибутів закладені в основу СОД і забезпечують централізований спосіб керування доступом до конфіденційної статистичної інформації.

3. Основні види загроз для конфіденційних даних в ІС ОДС

1. Основними видами загроз для статистичних даних, уключаючи й конфіденційні дані, під час обробки в ІС ОДС є несприятливі обставини чи події, що стали причиною порушення конфіденційності, цілісності або доступності. Відповідно загрози, результат впливу яких на статистичні дані призводить до втрати однієї із названих властивостей інформації, розглядаються як загрози конфіденційності, цілісності або доступності.

2. Загроза конфіденційності полягає в несанкціонованому або неконтрольованому ознайомленні, копіюванні або поширенні конфіденційних даних особами, які не мають санкціонованого доступу до них. Загроза конфіденційності виникає щоразу, коли отримано несанкціонований доступ до певної інформації з обмеженим доступом, що обробляється в ІС ОДС чи передається між її рівнями.

У зв’язку із загрозою розкриття конфіденційності використовується термін «виток інформації» - це результат дій, унаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї (стаття 1 Закону України «Про захист інформації в інформаційно-комунікаційних системах»).

3. Загроза цілісності включає в себе несанкціоновану або неконтрольовану модифікацію або знищення конфіденційних даних, що обробляються в ІС ОДС та/або передаються між її рівнями. Цілісність інформації порушена, коли в результаті несанкціонованих дій користувачів змінюється інформація або якщо до зміни призводить випадкова помилка програмного або апаратного забезпечення.

Санкціонованими змінами інформації вважаються ті, які зроблені користувачами ІС ОДС.

4. Загроза доступності виникає щоразу, коли в результаті дій, що вживаються користувачами ІС ОДС, або несанкціонованих дій інших користувачів блокується доступ до ресурсів ІС ОДС. Блокування є постійним, якщо запитуваний ресурс ніколи не буде отриманий або викликає тільки затримку запитуваного ресурсу на час, достатній для того, щоб ресурс втратив користь.

5. Такі види загроз органи державної статистики вважають первинними або безпосередніми, оскільки їх реалізація завдає шкоди ІС ОДС і призводить до безпосередньої несанкціонованої дії на конфіденційні дані, що підлягають захисту.

4. Основні напрями реалізації захисту конфіденційних даних в ІС ОДС

1. ІС ОДС уключає в себе обчислювальну систему (сукупність програмно-апаратних засобів, призначених для обробки інформації), фізичне середовище, у якому знаходиться й функціонує обчислювальна система, користувачів ІС ОДС, які беруть участь у виробництві статистичної інформації, та інформаційне середовище (оброблювану інформацію, у тому числі й технологію її обробки).

2. Захист конфіденційних даних під час обробки в ІС ОДС від загроз їх розкриття, запобігання порушення цілісності й доступності статистичної інформації забезпечується шляхом застосування відповідних заходів, засобів і методів безпеки. Вони охоплюють усі зазначені вище компоненти ІС ОДС, ураховують їх характеристики й умови функціонування, які здійснюють вплив на реалізацію захисту конфіденційних даних.

3. Заходи, засоби та методи, що вживаються для захисту статистичних даних в ІС ОДС, уключаючи й конфіденційні дані, поділяють на організаційні, технічні та організаційно-технічні, зокрема:

організаційні (процедурні) заходи з обліку та зберігання паперових та електронних носіїв інформації, що містять конфіденційні дані;

технічні (програмні, програмно-апаратні) засоби захисту, що реалізуються для контролю забезпечення статистичної конфіденційності під час обробки в ІС ОДС, і засоби захисту, що реалізуються комплексною системою захисту інформації;

організаційно-технічні заходи із фізичного захисту будівель і приміщень, контролю території (кодові замки, організація пропускного режиму, охоронна сигналізація, захист електронного комунікаційного обладнання та кабелів зв’язку тощо).

4. Первинні й адміністративні дані в паперовій або електронній формі, отримані органами державної статистики під час проведення державних статистичних спостережень, підлягають знищенню у строки, визначені нормами чинного законодавства.

5. Технічні (програмні) засоби захисту, що реалізуються для контролю забезпечення статистичної конфіденційності під час обробки інформації в ІС ОДС, спрямовані на застосування методів контролю ризику розкриття конфіденційних даних (агреговані дані, мікродані).

Вони реалізуються у вигляді програмного забезпечення (модулів безпеки) у складі інформаційних (автоматизованих) систем (прикладних систем обробки статистичної інформації). Їх функціональне призначення полягає в реалізації функцій забезпечення захисту конфіденційних даних, таких як:

знеособлення (анонімізація) первинних даних статистичних одиниць;

контроль ризику розкриття конфіденційних даних, що підлягають подальшому поширенню;

перетворення (редагування) таблиць статистичних публікацій у вигляд, що забезпечує анонімність даних і унеможливлює ідентифікацію статистичних одиниць (наприклад, застосування методу маскування даних).

Програмні засоби контролю забезпечення статистичної конфіденційності розробляються відповідно до методологічних положень щодо окремих державних статистичних спостережень, де в частині забезпечення статистичної конфіденційності зазначаються, зокрема:

перелік статистичних показників, які є конфіденційними (вразливі до розкриття значення) і підлягають захисту;

правила контролю ризику розкриття статистичної конфіденційності агрегованих даних;

кількісні та/або якісні критерії для застосування правил визначення загрози розкриття конфіденційності зведених даних;

правила (методи) контролю ризику розкриття конфіденційних даних під час їх підготовки до поширення.

Технічні (програмні, програмно-апаратні) засоби захисту, що реалізуються комплексною системою захисту інформації, базуються на використанні спеціального програмного забезпечення, що входить до складу інформаційних (автоматизованих) систем, і спрямовані на забезпечення захисту оброблюваної інформації та програмно-апаратних засобів в ІС ОДС, зокрема:

захист від несанкціонованого доступу системи авторизації користувачів ІС ОДС, управління доступом до ресурсів системи на основі ролей;

реєстрація подій, ведення журналів роботи системи та доступу користувачів ІС ОДС (засоби аудиту);

антивірусний захист, міжмережеві екрани;

системи автентифікації: пароль, фізичний або електронний ключ доступу, сертифікат;

криптографічний захист інформації.

6. Конфіденційні дані обробляються в ІС ОДС, у якій упроваджено комплексну систему захисту інформації.

Захист електронних інформаційних ресурсів органів державної статистики, до яких забезпечується вільний доступ користувачів інформації, здійснюється за вимогами, установленими комплексною системою захисту інформації (далі - КСЗІ) офіційного вебсайту Держстату та вебсайтів його територіальних органів.

Організаційне забезпечення завдань керування КСЗІ та здійснення контролю за її функціонуванням в органах державної статистики реалізують позаштатні служби захисту інформації, що діють з урахуванням положень Закону України «Про захист інформації в інформаційно-комунікаційних системах», постанови Кабінету Міністрів України від 29 березня 2006 року № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах» та інших законодавчих та підзаконних актів щодо захисту інформації.

5. Загальні правила забезпечення захисту конфіденційних даних в ІС ОДС

1. Організація захисту конфіденційних даних в ІС ОДС регламентує дії користувачів ІС ОДС, які приймають участь у виробництві статистичної інформації, з метою унеможливлення або максимального ускладнення здійснення загроз безпеки оброблюваної інформації.

2. Одним із засобів безпеки організаційного характеру, за допомогою якого реалізуються вимоги щодо безпечних дій користувачів ІС ОДС під час роботи з інформаційними ресурсами, програмними й апаратними засобами системи, є виконання вимог забезпечення захисту інформації в ІС ОДС, передбачених законодавством у сфері захисту інформації, зокрема положеннями постанови Кабінету Міністрів України від 29 березня 2006 року № 373 «Про затвердження Правил забезпечення захисту інформації в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах».

VI. Правила поводження з конфіденційними даними, що використовуються у статистичних цілях

1. Працівники виробників офіційної статистики (далі - працівники) не мають права розголошувати та використовувати конфіденційні дані в нестатистичних цілях, які стали їм відомі під час виконання службових обов’язків. Доступ до цих даних можуть мати виключно працівники виробників офіційної статистики, залучені до виробництва офіційної державної статистичної інформації, тільки в обсязі, необхідному для виробництва офіційної державної статистичної інформації.

2. Працівники виробників офіційної статистики, у тому числі тимчасово найняті, які відповідно до своїх посадових обов’язків здійснюють прямий доступ до конфіденційних даних, зобов’язані дотримуватися принципу статистичної конфіденційності щодо цих даних під час і після припинення діяльності на відповідній посаді.

3. Правила поводження з конфіденційними даними в органах державної статистики, ураховуючи положення статті 31 Закону України «Про офіційну статистику», визначаються цими Методологічними положеннями та іншими наказами Держстату.

VII. Надання доступу до мікроданих

1. Органи державної статистики сприяють процесу доступу до мікроданих у соціально і політично значущих сферах у межах норм, установлених статтею 32 Закону України «Про офіційну статистику».

2. Доступ до мікроданих організовується та забезпечується з урахуванням вимог чинного законодавства України, Регламенту Європейського Парламенту та Ради (ЄС) № 223/2009 від 11 березня 2009 року, Регламенту Європейського Парламенту і Ради (ЄС) № 759/2015 від 29 квітня 2015 року, Регламенту Європейського Парламенту і Ради (ЄС) № 557/2013 від 17 червня 2013 року.

3. Порядок надання доступу до мікроданих, затверджений наказом Державної служби статистики України від 28 грудня 2022 року № 338, зареєстрований у Міністерстві юстиції України 30 січня 2023 року за № 185/39241, визначає загальні правила та умови, за яких Держстат надає доступ до мікроданих у дослідницьких цілях та з метою виконання Україною взятих на себе зобов’язань у рамках міжнародних угод.

VIII. Координація та забезпечення статистичної конфіденційності

Координацію та забезпечення статистичної конфіденційності в органах державної статистики здійснює комісія з питань забезпечення конфіденційності статистичної інформації та відповідний структурний підрозділ апарату Держстату в межах повноважень, установлених відповідними нормативно-правовими та нормативними актами Держстату шляхом:

підготовки пропозицій щодо формування політики органів державної статистики з питань забезпечення статистичної конфіденційності, щодо приведення відповідно до міжнародних норм, стандартів, регламентів і рекомендацій законодавчої та нормативно-правової бази з питань забезпечення статистичної конфіденційності;

підготовки пропозицій щодо захисту інформації в інформаційно-комунікаційних системах під час її збирання, зберігання, оброблення й аналізу;

розгляду інцидентів інформаційної безпеки, що виявляються, з метою визначення їх причин, наслідків і засобів захисту в подальшому;

виявлення та розгляду випадків незаконного розкриття конфіденційних даних або їх використання для нестатистичних цілей сторонніми особами;

здійснення моніторингу забезпечення статистичної конфіденційності органами державної статистики;

сприяння навчанню працівників органів державної статистики встановленим правилам і процедурам з питань статистичної конфіденційності;

прийняття рішення щодо визнання дослідника для надання доступу до мікроданих у дослідницьких цілях;

розгляду окремих випадків щодо запитів на отримання доступу до інформації, яка може містити конфіденційні дані;

прийняття рішення щодо надання доступу до мікроданих.

ПРИКЛАД
статистичних методів і правил контролю ризику розкриття конфіденційних даних та основних організаційних заходів щодо забезпечення статистичної конфіденційності для зазначення в методологічних положеннях державних статистичних спостережень

1. Забезпечення статистичної конфіденційності у практиці проведення ДСС здійснюється згідно з міжнародними вимогами до правил конфіденційності статистичних даних відповідно до статей 20-26 Регламенту Європейського Парламенту і Ради (ЄС) № 223/2009 від 11 березня 2009 року, положень Регламенту Європейського Парламенту і Ради (ЄС) № 759/2015 від 29 квітня 2015 року, Регламенту Європейського Парламенту і Ради (ЄС) № 557/2013 від 17 червня 2013 року, Регламенту Європейського Парламенту і Ради (ЄС) № 2016/679 від 27 квітня 2016 року, а також відповідно до вимог статей 25, 29, 30, 31, 32, 37 Закону України «Про офіційну статистику», статей 18, 21 Закону України «Про інформацію», статей 6, 7 Закону України «Про доступ до публічної інформації», статей 5, 6, 7, 24 Закону України «Про захист персональних даних».

Для забезпечення встановлених законодавством гарантії органів державної статистики та інших виробників офіційної статистики щодо статистичної конфіденційності використання цієї інформації відбувається виключно у статистичних цілях.

2. Застосування правил контролю ризику розкриття конфіденційних даних як складової забезпечення статистичної конфіденційності, визначених у пункті 3 підрозділу 1 розділу IV цих Методологічних положень, здійснюється для кожного з показників, що формуються за результатами державного статистичного спостереження (далі - ДСС) і перелічені в розділі IV методологічних положень державних статистичних спостережень, за:

правилом порогового значення, згідно з яким значення статистичного показника (ознаки) є вразливим, якщо в ньому містяться дані, отримані від трьох і менше статистичних одиниць, а для статистичних даних щодо фізичних осіб/домогосподарств - десять одиниць і менше;

правилом домінанти (правило n, k), відповідно до якого значення є вразливим, якщо його n найбільших статистичних одиниць дають більш ніж k% від значення статистичного показника, зокрема, якщо значення частки однієї статистичної одиниці в такій інформації перевищує 80 відсотків.

3. Застосування статистичних методів контролю ризику розкриття первинних даних, що складають агреговані дані, визначених пунктом 1 підрозділу 2 розділу ІV цих Методологічних положень, а саме методу блокування вразливого значення статистичного показника (первинного блокування) та блокування значень статистичних показників, за допомогою яких можна розрахувати вразливі значення, що були заблоковані на етапі первинного блокування (вторинного блокування), уключаючи блокування значень взаємопов’язаних показників та беручи до уваги їх розрізи й агрегацію, є складовою забезпечення статистичною конфіденційністю.

У разі необхідності зазначаються інші статистичні методи.

4. Під час проведення державних статистичних спостережень реалізуються такі основні організаційні заходи щодо забезпечення статистичної конфіденційності, визначені пунктом 1 підрозділу 4 розділу IV цих Методологічних положень:

забезпечення конфіденційності адміністративних даних і використання їх виключно для статистичних цілей;

надання статистичної інформації, отриманої за результатами ДСС, користувачам у зведеному знеособленому вигляді;

нерозголошення інформації щодо сукупності респондентів (які підлягають статистичному спостереженню) та сукупності одиниць статистичного спостереження (що вивчається), сформованих на основі первинних даних, отриманих від респондентів під час проведення ДСС, що є конфіденційними;

нерозповсюдження статистичної інформації, яка була отримана під час проведення ДСС, уключаючи адміністративну й отриману із зовнішніх джерел, якщо є загроза розкриття первинних даних.