Соответствует ли DIN 66399 требованиям польского законодательства?

1. 1. Рассмотрим только один из многих методов уничтожения данных.
2. 2. Снижение вместо повышения безопасности
3. 3. Отсутствие 100% эффективности (фрагментация не исключает восстановления данных)
4. Можно ли восстановить данные с таких разрушенных дисков?
5. Другое подтверждение того, что вы можете восстановить данные с механически поврежденного носителя:
6. Каковы последствия не приспособления к требованиям польского законодательства?

Возможность безопасного и, прежде всего, эффективного использования ненужных носителей информации стала насущной потребностью как служб в форме, государственной и местной администрации, всех организаций, занимающихся сбором персональных данных, так и компаний.

До октября 2012 года не было стандарта, определяющего стандарт уничтожения не бумажных носителей. Поэтому в качестве ориентира Немецкий стандарт DIN 32757, первоначально использовался для бумажных документов.

Стандарт DIN 32757 определил 5 уровней безопасности:

• уровень 1 , документы общего пользования, полосы шириной менее 12 мм или общей площадью реза менее 2000 мм²;
• уровень 2 - внутренние документы, полосы шириной менее 6 мм или общей площадью реза менее 800 мм²;
• уровень 3 - конфиденциальные документы, полоски шириной менее 2 мм или черенки площадью менее 320 мм², шириной менее 4 мм и длиной менее 80 мм;
• уровень 4 , секретные документы, участки площадью менее 30 мм², шириной менее 2 мм и длиной менее 15 мм;
• уровень 5 , сверхсекретные документы, участки размером менее 10 мм², шириной менее 0,8 мм, длиной менее 13 мм;

С октября 2012 года его преемник в Германии - DIN 66399, в который вошли электронные документы и пересмотрены требования стандарта DIN 32757.

Документ выделяет шесть категорий носителей данных: бумажные документы, CD / DVD, жесткие диски, карты памяти, смарт-карты и карты с магнитной лентой. Устройства классифицируются в зависимости от степени уничтожения и назначения для конкретного носителя данных. DIN 66399 указывает три класса защиты и семь уровней безопасности.

• Степень защиты 1 - стандартная защита данных. Документы доступны для больших групп людей.
• Класс защиты 2 - повышенная необходимость защиты конфиденциальных данных. Документы доступны для узких групп людей.
• Класс защиты 3 - очень высокая потребность в защите конфиденциальных и секретных данных, разглашение которых может иметь серьезные последствия для компании.

Сравнение уровней безопасности в разных классах защиты согласно DIN 66399

DIN 66399 является важной отправной точкой, особенно когда отсутствуют национальные польские стандарты, регулирующие необходимую степень уничтожения носителей, которые считаются фактически уничтоженными. Помимо преимуществ, следует также отметить его различные недостатки, в том числе:

1. Принимая во внимание только один из многих методов уничтожения данных: в работе над стандартом участвовали только компании, разрабатывающие устройства для механического распада носителя - по непонятным причинам другие (более эффективные?) Методы уничтожения носителей не принимались во внимание .
2. Снижение вместо повышения безопасности: новый стандарт уменьшил требования к степени фрагментации электронных носителей по отношению к степени фрагментации бумажных документов.
3. Отсутствие 100% эффективности. Механической фрагментации, даже на самом высоком доступном в настоящее время уровне, недостаточно для эффективного уничтожения данных .
4. Несоблюдение польского законодательства. Польское законодательство четко гласит, что перевозчики, предназначенные для ликвидации, должны быть повреждены таким образом, чтобы сделать невозможным считывание записанных данных - следовательно, DIN 66399 не соответствует требованиям польского законодательства .

1. Рассмотрим только один из многих методов уничтожения данных.

Помимо механического уничтожения, доступны другие методы удаления данных:

• программное обеспечение
• магнитный (размагничивание)
• химическая
• тепловой
• пиротехнический
• радиоактивность
• программа (логическая)

Их эффективность варьируется (см. Также: подробнее о преимуществах и недостатках отдельных методов ), но удивительно, что в стандарте DIN 66399 не упоминается об их существовании, хотя большинство из них известны и используются в течение длительного времени.

Возможно, это объясняется тем, что в работе над стандартом DIN 66399 участвовали только производители механических измельчителей, такие как HSM, которые, кроме того, официально признают на своих страницах, что они внесли существенный вклад в текущую форму стандарта DIN 66399.

2. Снижение вместо повышения безопасности

Стружки, уничтоженные в соответствии с DIN 32757, относящиеся к бумажным, а не электронным документам, в соответствии с «совершенно секретным» классом 4, могли иметь площадь не более 30 мм2 .

Стандарт DIN 66399, в котором учтены электронные документы и пересмотрены вышеуказанные требования, определил, что достаточно, чтобы чипы с одинаковым уровнем безопасности (класс H-5) имели поверхность не более 320 мм2 .

На клочке бумаги 30 мм2 многие буквы не помещаются, но сколько данных может остаться на таком куске диска?

«С 2005 года биты были записаны на вертикальных дисках. Процесс вертикальной записи позволяет хранить до 155 ГБ (около 19 ГБ) на поверхности одного квадратного сантиметра ».

- Эксперт из журнала CHIP, Анджей Здзялек,
статья на портале "Немного техники" 15/09/2011

Если 1 см2 = 100 мм2 = 19 ГБ данных, то
DIN 32757, класс 4: 30 мм2 = 5,7 ГБ данных
DIN 66399, класс H-5: 320 мм2 = 60,8 ГБ данных
DIN 66399, класс H-7 (предоставлен для самых секретных данных и не имеется в продаже): 5 мм2 = 0,95 ГБ данных
на одном чипе с такой поверхностью!

3. Отсутствие 100% эффективности (фрагментация не исключает восстановления данных)

«Средняя глобальная эффективность восстановления данных в профессиональной лаборатории сейчас составляет около 80%! Этот результат также включает наиболее серьезные случаи, когда перевозчики были умышленно уничтожены, сожжены, разбиты или затоплены . В большинстве случаев такого типа данные могут быть восстановлены ».

Заявление Павла Одора из Kroll Ontrack для
IT Professional - ноябрь 2011

Например - DIN 66399, класс H-4 (для носителей с конфиденциальными и конфиденциальными данными ) требует фрагментации для срезов площадью менее 2000 мм2.

Что это на самом деле означает?

Стандартные размеры поверхности жестких дисков:

3,5 "с корпусом = 101,6 мм x 146 мм = 1483,6 мм2
2,5 "с корпусом = 69,85 мм х 100 мм = 6985 мм2
1,8 "с корпусом = 54 мм х 71 мм = 3834 мм2

Без корпуса пластина + сам шпиндель:
3,5 "≈ 8,89 см в диаметре ≈ 6204,02 мм2 <- пластина примерно из 3 штук
2,5 "≈ 6,35 см в диаметре ≈ 3165,316 мм2 <- пластина разрезана пополам
1,8 "≈ 4572 см в диаметре ≈ 1640,9 мм2 <- вся тарелка

Сжатые диски с использованием промышленного шредера
одна из пластин была разрезана пополам

Можно ли восстановить данные с таких разрушенных дисков?

Во время нападения на Всемирный торговый центр, 11 сентября 2001 года, тысячи тонн груза из разрушенных зданий, которые давили, разбивали на части, разбивали все, что было внутри, включая компьютеры и жесткие диски, расположенные в них; высокая температура пожаров, вода, которая была потушена, и вездесущая пыль , которая просто вдавливалась в поверхность дисковых дисков. Однако это не помешало восстановлению данных, которые считались ценными - и все же в 2001 году.

Для этого использовалась технология лазерного сканирования - с поврежденных носителей просто передавались данные на эффективные носители ...

больше: Данные из аварии WTC были восстановлены
больше: Диски от WTC - механическое разрушение не помешало восстановлению данных

Изображения некоторых из более чем 400 дисков, с которых были получены данные после катастрофы во Всемирном торговом центре (»Источник: CONVAR - Die Datenretter»)

«(...) они сожжены, загрязнены, частично заложены в бетоне, но я уверен, что мы можем их починить (...)»

Заявление представителя CONVAR для Heute Journal, 11.03.2002

В течение 6 месяцев были восстановлены данные с более чем 400 дисков, уничтоженных в этой катастрофе, что дает среднюю скорость восстановления данных более 2 дисков в день .

Другое подтверждение того, что вы можете восстановить данные с механически поврежденного носителя:

• Профессор Гордон Ф. Хьюз, заместитель директора, Университет Калифорнии, Сан-Диего, Центр исследований магнитной записи, в октябре 2004 г. остроконечный что вы можете восстановить данные из гораздо меньших сокращений - по его словам, это займет около часа, чтобы восстановить данные из куска 0,2 мм2, например
• «(...) - Несколько лет назад инженер показал обрезанный жесткий диск аудитории, чьи фрагменты были похожи на потоки, и оказалось, что из одного такого потока можно сохранить около 2 ГБ данных , что столько же, сколько и на pendrive. Таким образом, вы можете перемолоть оборудование в мелкие фишки или нарезать резьбы, но если кто-то захочет восстановить данные, хранящиеся в нем, у него все получится . (...) » - доктор Цезари Иван из Вроцлавского исследовательского центра EIT +, заявление о деньгах. , 15.05.2012.
• Примеры восстановления потерянных данных

4. Несовместимость с польским законодательством

Польское законодательство не определяет метод уничтожения носителей, но указывает, что данные должны быть уничтожены таким образом, чтобы предотвратить их восстановление.

• Постановление министра внутренних дел и администрации от 29 апреля 2004 г. (Законодательный вестник 2004 г. № 100, поз. 1024) в отношении документации по обработке персональных данных и технических и организационных условий, которым должны соответствовать устройства и информационные системы, используемые для обработки персональных данных:

Меры безопасности на базовом уровне :
Устройства, диски или другие электронные носители информации, содержащие персональные данные, предназначенные для:
1) ликвидация - она ​​лишена данных ранее, и, если это невозможно, она повреждена таким образом, что делает невозможным чтение ;

• Постановление министра внутренних дел и администрации от 5 сентября 2007 г. («Законодательный вестник» от 19 сентября 2007 г.) относительно обработки информации о лицах полицией:

Статья 11
4. Информация, содержащаяся в информационных системах и информационных носителях, должна удаляться таким образом, чтобы предотвратить поиск удаленной информации :

1. использование программных или аппаратных технологий;
2. уничтожая носитель, содержащий информацию, подлежащую удалению, если невозможно удалить данные, используя методы, описанные в пункте 1.

• Постановление министра труда и социальной политики от 28 ноября 2007 года (Законодательный вестник 2007 года № 228, пункт 1681) об условиях, порядке и порядке сбора и удаления данных в рамках Электронной национальной системы мониторинга для оценки инвалидности:

Статья 14
Устройствам или электронным носителям данных, содержащим личные данные, которые необходимо удалить из системы, запрещается запись таких данных, и, если это невозможно, они повреждены таким образом, что их невозможно прочитать .

Из-за возможности восстановления данных с механически поврежденных дисков этот метод уничтожения данных и DIN 66399 не соответствует требованиям польского законодательства.

Каковы последствия не приспособления к требованиям польского законодательства?

Закон о защите личных данных (от 29 августа 1997 года, Законодательный вестник № 133, пункт 883, с изменениями)

Статья 51

1. Кто бы ни управлял набором данных или обязан защищать личные данные, делает их доступными или разрешает несанкционированный доступ к ним, он подвергается штрафу, тюремному заключению или тюремному заключению на срок до 2 лет.
2. Если преступник действует непреднамеренно, он / она подлежит штрафу, ограничению свободы или лишению свободы на срок до одного года.

Статья 52
Любое лицо, управляющее данными, нарушает даже непреднамеренное обязательство защищать их от взлома посторонним лицом, повреждения или уничтожения, налагается штраф, ограничение свободы или лишение свободы на срок до одного года.

Похожие

Комментарии