Niemiecki Instytut Normalizacyjny (Deutsches Institut für Normung), w październiku opublikował nową normę DIN 66399 określającą wymogi, jakie muszą spełnić urządzenia i procesy, aby bezpiecznie niszczyć dane.
Norma DIN 66399 zastępuje obecnie obowiązującą normę DIN 32757 i wprowadza nowe, zasadnicze regulacje w kontekście niszczenia wszelkich obecnie dostępnych nośników danych.
Firma HSM czynnie uczestniczyła w pracach niemieckiego komitetu technicznego Standards Committee for Information Technology and Applications (NIA), który opracował nową normę.
Do wymogów zawartych w normie DIN 66399 stosują się wszyscy światowi producenci sprzętu do niszczenia nośników danych. Nowa regulacja w zakresie urządzeń i procesów do niszczenia danych jest bardzo istotna dla polskiego rynku. Wobec braku polskich norm w tym obszarze, instytucja organizująca przetarg może bowiem powołać się na regulację z innego kraju – w tym przypadku Niemiec.
Nowa norma DIN 66399 wyróżnia sześć kategorii nośników danych, które oprócz znanych z normy DIN 32757 dokumentów papierowych obejmują również nowe nośniki danych, takie jak płyty CD/DVD, dyski twarde, karty z taśmą magnetyczną, karty pamięci, karty chipowe. Urządzenia i systemy do niszczenia nośników danych klasyfikuje się według stopnia niszczenia, z uwzględnieniem typu nośnika danych.
– Postęp technologiczny w obszarze transferu danych i nośników do ich zapisywania powoduje, że płyty DVD i pamięci USB są coraz częściej używane do gromadzenia na nich informacji tajnych, poufnych i osobowych. Dotychczas nie istniała norma standaryzacyjna określająca, w jaki sposób bezpiecznie niszczyć elektroniczne nośniki danych. Ponadto brakowało normy określającej, jak powinien wyglądać od początku do końca proces niszczenia danych. Nowa norma DIN 66399 nadrabia zaległości związane z rozwojem techniki i przynosi odpowiedzi na te pytania – mówi Marcin Sobaniec, menadżer kategorii produktowej Technika Biurowa w HSM Polska.
Nowa norma wyróżnia trzy klasy ochrony zawierających siedem (w miejsce istniejących dotychczas pięciu) poziomów bezpieczeństwa. Klasy ochrony są ustalane w oparciu o stopień poufności materiałów podlegających zniszczeniu.
Norma reguluje wymogi dla podstawowej potrzeby ochrony danych (klasa ochrony 1), zwiększonej potrzeby ochrony danych poufnych (klasa ochrony 2) oraz bardzo wysokiej potrzeby ochrony szczególnie poufnych i tajnych danych (klasa ochrony 3). Każda klasa ochrony ma zdefiniowane zagrożenia, które jej odpowiadają.
Konsekwencje niewystarczającego zapewnienia ochrony danych dla firm i osób prywatnych mogą być różne. Począwszy od szkód wizerunkowych, finansowych i prawnych aż po groźbę upadku przedsiębiorstwa oraz zagrożenie zdrowia i życia osób, których dane nie zostały odpowiednio zabezpieczone.
– Im większe szkody powstałyby w następstwie ujawnienia danych, które mają być zniszczone, tym wyższa zalecana klasa ochrony. Każdy, kto zajmuje się danymi poufnymi, osobowymi lub dokumentami, do których obowiązuje ograniczony dostęp, musi zachować przy ich niszczeniu szczególne środki ostrożności. Dane muszą zostać zniszczone w taki sposób, aby uniemożliwić lub utrudnić tak bardzo, jak to możliwe, prawidłowe odtworzenie zniszczonego nośnika – mówi Sobaniec.
Przy wyborze odpowiedniego poziomu bezpieczeństwa, oprócz faktycznego wymogu w zakresie ochrony, a co za tym idzie również klasy ochrony, należy uwzględnić gęstość zapisu oraz/lub rozmiar informacji zapisanych na nośniku danych, jak również typ nośnika danych. Jeżeli kolor lub inne właściwości materiału ułatwiają odtworzenie danych, należy w miarę potrzeby wybrać wyższy poziom bezpieczeństwa.
Norma DIN 66399 jest również przeznaczona dla osób odpowiedzialnych za bezpieczeństwo danych w firmie oraz osób zaangażowanych w proces niszczenia. Określa ona wymagania dla procesów niszczenia oraz poszczególnych etapów procesu. Norma definiuje trzy różne procesy w zakresie niszczenia nośników danych.
Każdy z trzech procesów wymaga zdefiniowania i udokumentowania organizacji, personelu oraz poszczególnych etapów procesu. Wymagania, które należy spełnić i dowody, które należy dostarczyć, określono na listach kontrolnych dla poszczególnych procesów. Są one zorientowane pod kątem wymogu ochrony i klasy ochrony.
– Niszczenie dokumentów i nośników bezpośrednio w miejscu ich powstawania jest najlepszym sposobem zapewnienia bezpieczeństwa usuwanych danych. Dzięki temu możemy uzyskać pewność, że dane zostały zniszczone. Trzeba pamiętać o tym, że zlecanie tego zadania podmiotom zewnętrznym zawsze wiąże się z ryzykiem wypływu danych w niepowołane ręce, o czym media informują dość regularnie – podsumowuje Sobaniec.