Zapewne każdy z nas doświadczył jak cenna może być zarówno informacja prywatna, jak i służbowa. Jak kosztowna może być utrata dostępu lub zgubienie teczki z dokumentacją. Dziś temat związany z zabezpieczeniem informacji poprzez jej zniszczenie.
Wiadomo, że informacja jest nieoderwalna od swojego nośnika – papierowego, elektronicznego, biologicznego. Czasami w mediach pojawia się informacja o tym, że gdzieś w śmieciach zostały znalezione dość ciekawe informacje o charakterze poufnym. Najogólniej mówiąc, jest czas na gromadzenie informacji oraz zapewnienie ich bezpieczeństwa i jest czas na ich trwałe usunięcie (w całości lub w pewnej części). Mogą bowiem tego wymagać pewne okoliczności. Jak przygotować się na wcześniejsze usunięcie danych i ich nośników? Pomoc znajdziemy w normach międzynarodowych.
Normy ISO/IEC 21964
Seria norm ISO/IEC 21964 zawiera wymagania dotyczące niszczenia danych. Wprowadza 3 klasy ochrony określające z jaką dokładnością dane mają być niszczone. Definiuje 7 poziomów bezpieczeństwa znajdujących zastosowanie w 6 kategoriach nośników:
P: informacje w oryginalnym rozmiarze np. papier, formy drukowane, film rentgenowski
O: optyczne nośniki danych np. płyty CD / DVD / Blue-ray;
T: magnetyczne nośniki danych np. dyskietki, karty z paskiem magnetycznym;
H: dyski twarde z magnetycznymi nośnikami pamięci;
F: informacje w zmniejszonej postaci np. filmy, mikrofilmy, klisze;
E: elektroniczne nośniki danych np. pamięci USB, karty chipowe, półprzewodnikowe dyski twarde;
Dla każdej kategorii nośników poziom bezpieczeństwa = klasie niszczenia (różnią się przede wszystkim rozmiarem fragmentów i możliwością ich późniejszego odtworzenia).
ISO/IEC 21964 składa się z trzech części:
- ISO/IEC 21964-1:2018 Technologia informacyjna – Niszczenie nośników danych – Część 1: Zasady i definicje (Information technology – Destruction of data carriers – Part 1: Principles and definitions).
Pierwsza część normy określa terminy i definicje oraz opisuje zasady niszczenia nośników danych. - ISO/IEC 21964-2:2018 Technologia informacyjna – Niszczenie nośników danych – Część 2: Wymagania dotyczące sprzętu do niszczenia nośników danych (Information technology – Destruction of data carriers – Part 2: Requirements for equipment for destruction of data carriers).
Druga część normy odnosi się do urządzeń i sprzętu, wykorzystywanego do niszczenia danych i zawiera wymagania sprzętowe dotyczące bezpiecznego niszczenia nośników danych. - ISO/IEC 21964-3:2018 Technologia informacyjna – Niszczenie nośników danych – Część 3: Proces niszczenia nośników danych (Information technology – Destruction of data carriers – Part 3: Process of destruction of data carriers).
Trzecia część normy określa wymagania dotyczące procesu niszczenia nośników. Dotyczy to zarówno osób lub organizacji odpowiedzialnej za zniszczenie, jak i wszystkich stron zaangażowanych w proces niszczenia.
Do kogo skierowana jest norma?
Każdy, kto przetwarza dane poufne, dane osobowe i/lub dane wrażliwe na potrzeby własne lub w imieniu innych osób/podmiotów, musi zapewnić bezpieczne niszczenie nośników zawierających takie informacje w sposób zapewniający prywatność. „Bezpieczne niszczenie” w tym kontekście oznacza niszczenie nośników zawierających w/w informacje w taki sposób, aby przywrócenie z nich danych stało się albo niemożliwe, albo możliwe tylko przy znacznych wydatkach (personel, zasoby, czas).
Autor: Maryna Kuczyńska (3631)
Źródło:
ISO/IEC 21694-1 https://www.iso.org/standard/72204.html
ISO/IEC 21694-2 https://www.iso.org/standard/72200.html
ISO/IEC 21694-3 https://www.iso.org/standard/72201.html
Masz pytania związane z Systemem Zarządzania? Koniecznie dołącz do grupy na Facebooku ISO Poland. Twoje pytania na pewno nie zostaną bez odpowiedzi.