Уничтожение носителей информации в соответствии с требованиями ISO/IEC 21964

Практически каждый прочувствовал на себе, насколько ценной может быть информация, как личная, так и служебная/корпоративная; чего может стоить отсутствие доступа к компьютеру или почте, или потеря папки с важными документами. Но сегодня мы поговорим о защите информации путем ее уничтожения.

Известно, что информация неотделима от своего носителя – бумажного, электронного, биологического. Иногда в СМИ появляется информация о том, что где-то в смехе была найдена довольно интересная конфиденциальная информация. В общем, есть время для сбора информации и обеспечения ее безопасности, и есть время, когда необходимо безвозвратно удалить эти данные или их часть. Могут быть обстоятельства, что некоторые данные должны быть уничтожены быстро и надежно. Международные стандарты помогают в подготовке к уничтожению данных и их носителей.

Zobacz podobne  Новый стандарт ISO/IEC 27001:2022

Стандарты ISO/IEC 21964

Серия стандартов ISO/IEC 21964 включает требования к уничтожению носителей данных, в частности, было введено 3 класса защиты, определяющих точность, с которой данные должны быть уничтожены, и в результате чего 7 уровней безопасности используются для 6 категорий носителей:

P: информация в оригинальном размере, например, бумага, печатные формы, рентгеновская пленка;

О: оптические носители данных, например CD / DVD / Blue-ray;

T: магнитные носители данных, например, дискеты, карты с магнитной полосой;

H: жесткие диски с магнитными носителями;

F: уменьшенная информация, например, фильмы, микрофильмы;

E: электронные носители информации, например, USB-накопители, твердотельные жесткие диски;

для каждой категории носителя уровень безопасности = класс уничтожения (они различаются в основном по размеру фрагментов и возможности их последующего восстановления).

Zobacz podobne  Как перейти на новый стандарт ISO 27001:2022

 

ISO/IEC 21964 состоит из трех частей:

  • ISO/IEC 21964-1: 2018 Информационные технологии – Уничтожение носителей данных – Часть 1. Принципы и определения.

Первая часть стандарта определяет термины и определения и описывает принципы уничтожения носителей данных.

  • ISO/IEC 21964-2: 2018 Информационные технологии – Уничтожение носителей данных – Часть 2. Требования к оборудованию для уничтожения носителей данных.

Вторая часть стандарта относится к устройствам и оборудованию, используемым для уничтожения данных, и содержит требования к оборудованию для безопасного уничтожения носителей данных.

  • ISO/IEC 21964-3: 2018 Информационные технологии – Уничтожение носителей данных – Часть 3. Процесс уничтожения носителей данных

Третья часть стандарта определяет требования к процессу уничтожения носителей. Относится как к лицу или организации, ответственным за уничтожение, так и ко всем сторонам, вовлеченным в процесс уничтожения.

Zobacz podobne  Стандарты серии ISO 27000

Кто должен соответствовать стандартам ISO/IEC 21964?

Любой, кто обрабатывает конфиденциальные данные, персональные данные и/или конфиденциальные данные для себя или от имени других лиц/организаций, должен обеспечить безопасное уничтожение носителей, содержащих такую ​​информацию, таким образом, чтобы обеспечить конфиденциальность и приватность. «Безопасное уничтожение» в данном контексте означает уничтожение носителей, содержащих вышеуказанную информацию, таким образом, что восстановление данных становится либо невозможным, либо возможным только при значительных затратах (персонал, ресурсы, время).

 

Источники:

ISO/IEC 21694-1 https://www.iso.org/standard/72204.html

ISO/IEC 21694-2 https://www.iso.org/standard/72200.html

ISO/IEC 21694-3 https://www.iso.org/standard/72201.html

Прокрутить вверх