Практически каждый прочувствовал на себе, насколько ценной может быть информация, как личная, так и служебная/корпоративная; чего может стоить отсутствие доступа к компьютеру или почте, или потеря папки с важными документами. Но сегодня мы поговорим о защите информации путем ее уничтожения.
Известно, что информация неотделима от своего носителя – бумажного, электронного, биологического. Иногда в СМИ появляется информация о том, что где-то в смехе была найдена довольно интересная конфиденциальная информация. В общем, есть время для сбора информации и обеспечения ее безопасности, и есть время, когда необходимо безвозвратно удалить эти данные или их часть. Могут быть обстоятельства, что некоторые данные должны быть уничтожены быстро и надежно. Международные стандарты помогают в подготовке к уничтожению данных и их носителей.
Стандарты ISO/IEC 21964
Серия стандартов ISO/IEC 21964 включает требования к уничтожению носителей данных, в частности, было введено 3 класса защиты, определяющих точность, с которой данные должны быть уничтожены, и в результате чего 7 уровней безопасности используются для 6 категорий носителей:
P: информация в оригинальном размере, например, бумага, печатные формы, рентгеновская пленка;
О: оптические носители данных, например CD / DVD / Blue-ray;
T: магнитные носители данных, например, дискеты, карты с магнитной полосой;
H: жесткие диски с магнитными носителями;
F: уменьшенная информация, например, фильмы, микрофильмы;
E: электронные носители информации, например, USB-накопители, твердотельные жесткие диски;
для каждой категории носителя уровень безопасности = класс уничтожения (они различаются в основном по размеру фрагментов и возможности их последующего восстановления).
ISO/IEC 21964 состоит из трех частей:
- ISO/IEC 21964-1: 2018 Информационные технологии – Уничтожение носителей данных – Часть 1. Принципы и определения.
Первая часть стандарта определяет термины и определения и описывает принципы уничтожения носителей данных.
- ISO/IEC 21964-2: 2018 Информационные технологии – Уничтожение носителей данных – Часть 2. Требования к оборудованию для уничтожения носителей данных.
Вторая часть стандарта относится к устройствам и оборудованию, используемым для уничтожения данных, и содержит требования к оборудованию для безопасного уничтожения носителей данных.
- ISO/IEC 21964-3: 2018 Информационные технологии – Уничтожение носителей данных – Часть 3. Процесс уничтожения носителей данных
Третья часть стандарта определяет требования к процессу уничтожения носителей. Относится как к лицу или организации, ответственным за уничтожение, так и ко всем сторонам, вовлеченным в процесс уничтожения.
Кто должен соответствовать стандартам ISO/IEC 21964?
Любой, кто обрабатывает конфиденциальные данные, персональные данные и/или конфиденциальные данные для себя или от имени других лиц/организаций, должен обеспечить безопасное уничтожение носителей, содержащих такую информацию, таким образом, чтобы обеспечить конфиденциальность и приватность. «Безопасное уничтожение» в данном контексте означает уничтожение носителей, содержащих вышеуказанную информацию, таким образом, что восстановление данных становится либо невозможным, либо возможным только при значительных затратах (персонал, ресурсы, время).
Источники:
ISO/IEC 21694-1 https://www.iso.org/standard/72204.html
ISO/IEC 21694-2 https://www.iso.org/standard/72200.html
ISO/IEC 21694-3 https://www.iso.org/standard/72201.html