Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Niemcy już wiedzą, jak lepiej dbać o dane

Printer Friendly and PDF

leadNiemiecki Instytut Normalizacyjny opublikował normę DIN 66399, która na rynku niemieckim określa wymogi dotyczące urządzeń i procesów mających zagwarantować bezpieczne niszczenie danych znajdujących się na różnego rodzaju nośnikach. Nowa norma odnosi się nie tylko do dokumentów papierowych, ale również do mechanicznego niszczenia nośników optycznych, kart magnetycznych, pamięci flash, taśm magnetycznych i dysków twardych.

Nowa niemiecka norma jest pierwszym tego typu rozwiązaniem na świecie. Poprzednia norma DIN 32757 odnosiła się wyłącznie do mechanicznego niszczenia dokumentów papierowych. Szybki postęp technologiczny sprawia, że z roku na rok coraz mniej informacji jest przenoszonych na papier. Obecnie nawet 90% informacji jest przechowywanych wyłącznie w formie elektronicznej. Nowa niemiecka norma jest zatem odpowiedzią na powszechną w firmach i instytucjach cyfryzację.

w1W Polsce, zgodnie z ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (Dz. U. Nr 133, poz. 883), wszystkie firmy oraz instytucje, które przechowują w swojej bazie dane osobowe, muszą chronić je przed wyciekiem. Korzystają one m.in. z firewalli, programów antywirusowych i haseł zabezpieczających. Nie można jednak zapominać o konieczności niszczenia elektronicznych nośników danych, które są wycofywane z użytku, w sposób uniemożliwiający odzyskanie tych danych.

Polskie prawo pozostawia firmom i instytucjom swobodę wyboru metody niszczenia nośników, ale zastrzega, że musi to być metoda gwarantująca skuteczność usunięcia zapisanych na nich informacji. Jest o tym mowa w VI punkcie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji dotyczącej przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Większość aktualnie stosowanych metod, w tym wiórkowanie mechaniczne, nie uniemożliwia odczytania danych, a tylko mniej lub bardziej utrudnia lub podwyższa koszty ich odczytania, więc może nie spełnić powyższego wymogu. Ustawa o ochronie danych osobowych określa kary – nawet pozbawienia wolności – dla osób, które umożliwiły (choćby nieumyślnie) dostęp do danych osobowych, więc nieskuteczne usunięcie danych lub nieskuteczne zniszczenie nośnika danych może skutkować odpowiedzialnością karną.

Nowa niemiecka norma DIN 66399 wyróżnia sześć kategorii nośników danych, które muszą być odpowiednio zniszczone w przypadku zaprzestania ich wykorzystywania. Oprócz nośników papierowych wymieniono płyty CD/DVD, dyski twarde, karty z taśmą magnetyczną, karty pamięci, karty chipowe. Nowa norma wprowadza też dwie dodatkowe klasy tajności – H-4 (dane „wysoce wrażliwe”, klasa pośrednia między dotychczasowymi „poufnymi” i „tajnymi”) oraz H-7 (dane „ściśle tajne”; konieczne jest dwukrotnie większe rozdrobnienie nośnika niż dotychczas na analogicznym poziomie). Łącznie norma mówi o siedmiu różnych poziomach tajności odnoszących się do dokumentów ogólnych, wewnętrznych, danych wrażliwych i osobistych, wysoce wrażliwych i osobistych, o fundamentalnej ważności dla instytucji oraz wymagających nadzwyczajnych zabezpieczeń ochronnych, a także ściśle tajnych. W zależności od statusu danych nośniki mają być mechanicznie rozdrabniane na wiórki o określonej wielkości.

fot1

Fot. 1. MCUD, czyli Mobilne Centrum Utylizacji Danych, to mobilne laboratorium najwyższej klasy

To niezmiernie ważne, że prawodawcy dostrzegają konieczność zmian w przepisach ze względu na rozwijającą się technologię. Coraz więcej danych przechowywanych jest w formie  innej niż papierowa i muszą one zostać w pewnym momencie zniszczone. Niestety, nowa norma to nadal za mało, ponieważ odnosi się ona jedynie do mechanicznego niszczenia nośników, pomijając na przykład chemiczne, i nie uwzględnia możliwości technologicznych w zakresie odzyskiwania danych z rozdrobnionych wiórków. Jest jednak niewątpliwie krokiem we właściwym kierunku.

Norma DIN 66399 powstawała przy współudziale firm produkujących niszczarki mechaniczne, dlatego odnosi się jedynie do mechanicznego rozdrabniania nośników i nie uwzględnia innych metod, nawet jeśli są one skuteczniejsze. Trzeba pamiętać, że można odzyskać dane nawet z najmniejszego fragmentu dysku twardego.

Najwyższa, 7. klasa tajności według normy DIN 66399 nakazuje, by nośnik został rozdrobniony na wiórki o wielkości nie przekraczającej 5 mm2. O ile na skrawku papieru o takiej wielkości zmieści się zaledwie kilka liter, to fragment talerza dysku twardego o podobnych rozmiarach może mieścić nawet setki megabajtów danych. W przypadku danych szczególnie wrażliwych może to mieć niezwykle duże znaczenie dla ich właściciela – czy to z sektora prywatnego, czy publicznego. Jest to bardzo istotna wada tej normy, zwłaszcza, że od kilku lat nowoczesne laboratoria są w stanie odzyskać dane z powierzchni znacznie mniejszej niż 1 mm2.

Choć w Polsce nie obowiązuje jeszcze krajowy odpowiednik niemieckiej normy, to warto przypomnieć, że liczne przepisy polskiego prawa nakazują skuteczne niszczenie danych. Przykładowo – zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z 24 kwietnia 2004 r. nośniki informacji muszą być niszczone w sposób uniemożliwiający odczytanie zawartych na nich danych. Oznacza to, że wszelkie metody niszczenia nośników, które pozostawiają możliwość odzyskania danych, nie spełniają wymogów polskiego prawa.

Niemcy cenią porządek i ten porządek widać również w prawodawstwie i normach. Jego konsekwencją jest stworzenie nowej normy DIN 66399. Miejmy nadzieję, że również w Polsce odpowiednie instytucje dostrzegą potrzebę określenia standardów skutecznego usuwania danych i opracują stosowną normę, która uwzględni postęp technologiczny jeszcze bardziej niż norma niemiecka, jednak w tej chwili możemy jedynie powiedzieć, że to Niemcy mają normy, chociaż Polacy mają skuteczną technologię...

 

dr Paweł Markowski
BOSSG Data Security

Zabezpieczenia 1/2013

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony