"Niemcy znani są z porządku, ten porządek widać również w prawodawstwie i normach. Jego konsekwencją jest nowa norma DIN 66399. Mamy nadzieję, że również w Polsce odpowiednie instytucje dostrzegą potrzebę określenia standardów skutecznego usuwania danych i opracują w tym zakresie stosowną normę, która jeszcze bardziej uwzględni postęp technologiczny niż norma niemiecka. Jednak w tej chwili możemy jedynie powiedzieć, że Niemcy mają normy, ale to Polacy mają skuteczną technologię" – podsumowuje Paweł Markowski, Prezes BOSSG Data Security.
Co reguluje nowy DIN
Nowa niemiecka norma jest pierwszym tego typu rozwiązaniem na świecie. Poprzednia norma DIN 32757 odnosiła się wyłącznie do mechanicznego niszczenia dokumentów papierowych. Jednak szybki postęp technologiczny sprawia, że z roku na rok coraz mniej informacji jest przenoszonych na papier. Obecnie nawet 90% informacji przechowywanych jest wyłącznie w formie elektronicznej. Nowa niemiecka norma jest odpowiedzią na powszechną w firmach i instytucjach cyfryzację.
- Wraz z rozwojem systemów zabezpieczania danych, rośnie również wiedza na temat łamania poszczególnych zabezpieczeń. Świadomość zagrożeń związanych z utratą danych elektronicznych oraz odpowiednia wiedza na temat zabezpieczeń może ustrzec przed dostaniem się danych w niepowołane ręce. W Polsce, zgodnie z ustawą o Ochronie Danych Osobowych z dnia 29.08.1997 (Dz. U. Nr 133, poz. 883), wszystkie firmy oraz instytucje, które przechowują w swojej bazie dane osobowe mają ustawowy obowiązek chronić je przed wyciekiem. Korzystają one m.in. z firewalli, programów antywirusowych i haseł zabezpieczających przed dostępem osób niepowołanych. Niepokojący jest natomiast powszechny brak wiedzy na temat konieczności ochrony informacji na nośnikach elektronicznych wycofywanych z użytkowania, które należy niszczyć w sposób uniemożliwiający ich odzyskanie. Niemiecka norma DIN 66399 jest bardzo ważnym krokiem w kierunku zmiany tej sytuacji.
Nowa norma określa wymogi stawiane urządzeniom i procesom mającym zagwarantować bezpieczne mechaniczne niszczenie danych papierowych oraz cyfrowych. Wprowadza dwie dodatkowe klasy tajności – H-4 (dane „wysoce wrażliwe”, klasa pośrednia między dotychczasowymi „poufnymi” i „tajnymi”) oraz H-7 (dane „ściśle tajne”, nakazująca dwukrotnie większe rozdrobnienie niż dotychczas na analogicznym poziomie). Łącznie norma mówi o siedmiu różnych poziomach tajności odnoszących się do dokumentów ogólnych, wewnętrznych, wrażliwych i osobistych, wysoce wrażliwych i osobistych, o fundamentalnej ważności dla instytucji oraz wymagających nadzwyczajnych zabezpieczeń ochronnych, a także ściśle tajnych. W zależności od statusu danych umieszczonych na danym nośniku mają one być poddawane rozdrabnianiu mechanicznemu na wiórki
o określonej wielkości.
- Najwyższa, 7 klasa tajności normy DIN 66399 nakazuje, by nośnik został rozdrobniony na wiórki o wielkości nie przekraczającej 5mm2. Jednak o ile na skrawku papieru o takiej wielkości zmieści się zaledwie kilka liter, to podobnych rozmiarów fragment talerza dysku twardego może mieścić nawet setki Megabajtów danych. W przypadku danych szczególnie wrażliwych może mieć to niezwykle duże znaczenie dla ich właściciela – czy to z sektora prywatnego, czy publicznego. Jest to bardzo istotna wada tej normy, która pomija w pełni skuteczną metodę chemicznego niszczenia dysków, zwłaszcza, że od kilku lat nowoczesne laboratoria są w stanie odzyskać dane z powierzchni znacznie mniejszej niż 1mm2.
Choć w Polsce nie obowiązuje jeszcze krajowy odpowiednik niemieckiej normy, to warto przypomnieć, że liczne przepisy polskiego prawa nakazują skuteczne niszczenie danych. Przykładowo Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 24 kwietnia 2004 r. określa już w podstawowych środkach bezpieczeństwa, że nośniki informacji mają być uszkodzone w sposób uniemożliwiający odczytanie zawartych na nich danych. Oznacza to, że wszelkie metody niszczenia danych, które pozostawiają możliwość ich odzyskania nie spełniają wymogów polskiego prawa.
autor: Cezary Tchorek-Helm