Niszczenie nośników danych zgodnie z wymaganiami ISO/IEC 21964

Zapewne każdy z nas doświadczył jak cenna może być zarówno informacja prywatna, jak i służbowa. Jak kosztowna może być utrata dostępu lub zgubienie teczki z dokumentacją. Dziś temat związany z zabezpieczeniem informacji poprzez jej zniszczenie.

Wiadomo, że informacja jest nieoderwalna od swojego nośnika – papierowego, elektronicznego, biologicznego. Czasami w mediach pojawia się informacja o tym, że gdzieś w śmieciach zostały znalezione dość ciekawe informacje o charakterze poufnym. Najogólniej mówiąc, jest czas na gromadzenie informacji oraz zapewnienie ich bezpieczeństwa i jest czas na ich trwałe usunięcie (w całości lub w pewnej części). Mogą bowiem tego wymagać pewne okoliczności. Jak przygotować się na wcześniejsze usunięcie danych i ich nośników? Pomoc znajdziemy w normach międzynarodowych.

Normy ISO/IEC 21964

Seria norm ISO/IEC 21964 zawiera wymagania dotyczące niszczenia danych. Wprowadza 3 klasy ochrony określające z jaką dokładnością dane mają być niszczone. Definiuje 7 poziomów bezpieczeństwa znajdujących zastosowanie w 6 kategoriach nośników:

Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 1

P: informacje w oryginalnym rozmiarze np. papier, formy drukowane, film rentgenowski

O: optyczne nośniki danych np. płyty CD / DVD / Blue-ray;

T: magnetyczne nośniki danych np. dyskietki, karty z paskiem magnetycznym;

H: dyski twarde z magnetycznymi nośnikami pamięci;

F: informacje w zmniejszonej postaci np. filmy, mikrofilmy, klisze;

E: elektroniczne nośniki danych np. pamięci USB, karty chipowe, półprzewodnikowe dyski twarde;

Dla każdej kategorii nośników poziom bezpieczeństwa = klasie niszczenia (różnią się przede wszystkim rozmiarem fragmentów i możliwością ich późniejszego odtworzenia).

 

ISO/IEC 21964 składa się z trzech części:

  • ISO/IEC 21964-1:2018 Technologia informacyjna – Niszczenie nośników danych – Część 1: Zasady i definicje  (Information technology – Destruction of data carriers – Part 1: Principles and definitions).
    Pierwsza część normy określa terminy i definicje oraz opisuje zasady niszczenia nośników danych.
  • ISO/IEC 21964-2:2018 Technologia informacyjna – Niszczenie nośników danych – Część 2: Wymagania dotyczące sprzętu do niszczenia nośników danych (Information technology – Destruction of data carriers – Part 2: Requirements for equipment for destruction of data carriers).
    Druga część normy odnosi się do urządzeń i sprzętu, wykorzystywanego do niszczenia danych i zawiera wymagania  sprzętowe dotyczące bezpiecznego niszczenia nośników danych.
  • ISO/IEC 21964-3:2018 Technologia informacyjna – Niszczenie nośników danych – Część 3:  Proces niszczenia nośników danych (Information technology – Destruction of data carriers – Part 3: Process of destruction of data carriers).
    Trzecia część normy określa wymagania dotyczące procesu niszczenia nośników. Dotyczy to zarówno osób lub organizacji odpowiedzialnej za zniszczenie, jak i wszystkich stron zaangażowanych w proces niszczenia.
Zobacz podobne  Ile kosztuje certyfikat ISO - co wpływa na cenę ISO - koszt ISO

 

Do kogo skierowana jest norma?

Każdy, kto przetwarza dane poufne, dane osobowe i/lub dane wrażliwe na potrzeby własne lub w imieniu innych osób/podmiotów, musi zapewnić bezpieczne niszczenie nośników zawierających takie informacje w sposób zapewniający prywatność. „Bezpieczne niszczenie” w tym kontekście oznacza niszczenie nośników zawierających w/w informacje w taki sposób, aby przywrócenie z nich danych stało się albo niemożliwe, albo możliwe tylko przy znacznych wydatkach (personel, zasoby, czas).

Autor: Maryna Kuczyńska (3631)

Źródło:

ISO/IEC 21694-1 https://www.iso.org/standard/72204.html

ISO/IEC 21694-2 https://www.iso.org/standard/72200.html

ISO/IEC 21694-3 https://www.iso.org/standard/72201.html


 

 

Masz pytania związane z Systemem  Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.

Zobacz podobne  NIS2 - Kluczowe powiązania z normami i aktami prawnymi?
Scroll to Top