В работе рассматривается проблема обеспечения безопасности персональных данных в информационных системах и защита данных от утечек методом хранения их в обезличенном виде. Предложена субъектно-объектная модель, позволяющая формализовать процессы порождения, передачи и обработки данных с учётом взаимодействия субъектов и объектов информационной системы. В рамках модели проанализированы основные методы обезличивания данных: введение идентификаторов, изменение состава и семантики данных, декомпозиция и перемешивание. Для каждого метода построены последовательности операций, демонстрирующие их применение в контексте потоков данных и разграничения полномочий. Показано, что большинство подходов реализуются с привлечением доверенного посредника, что открывает возможность реализации концепции «односторонней псевдоанонимизации». Отдельное внимание уделено классификации методов по существованию и доступности механизмов деобезличивания, что позволяет выделить три уровня обезличивания – от псевдоанонимизации до полной анонимизации. Предложенный подход обеспечивает более высокий уровень абстракции при анализе методов защиты данных и способствует разработке унифицированных решений в области информационной безопасности.