Ответ на этот вопрос очень неплохо описан в книге специалистов компании Cicada Security Technologies «Best Practices for the Destruction of Digital Data«. Авторы начинают с того, что описывают в какой форме могут существовать данные в компании/ведомстве, чтобы учесть это в политике уничтожения. По их мнению данные могут быть «живые» (на хранении, в процессе передачи по защищенной и незащищенной сети) и устаревшие (достигшие срока своей жизни, сохранившиеся на вышедшей из строя технике или на носителях, которые подлежат апгрейду).
Затем авторы рассматривают 3 уровня уничтожения электронных данных (обычно уровень уничтожения зависит от уровня классификации информации):
- Очистка (clear), ярким примером которой является перезапись данных на носителях, содержащих уничтожаемую информацию. В лабораторных условиях такие данные можно восстановить.
- Очищение (purge), ярким примеров котором является Secure Erase из спецификации жестких дисков ATA или размагничивание. В лабораторных условиях восстановление уничтоженных таким образом данных считается невозможным.
- Разрушение (destroy), т.е. физическое уничтожение носителей путем сжигания, измельчения, плавления, расщепления, распыления и т.п.
Поскольку уничтожение данных — это непростой процесс, требующий не только регулярности, но и затрат, то вопрос, который надо задать первым: «Зачем надо уничтожать данные?» И на него авторы тоже дают ответ, рассматривая различные нормативные акты, требующие уничтожения данных — канадский PIPEDA, американский HIPAA и GLBA, международный PCI DSS, Евроконвенция по ПДн и т.д. Вообще обзор нормативных актов в книге неплохой; правда, американизированный донельзя. Но это и понятно. Авторы американцы, компания их американская и аудитория тоже.
Затем делается обзор стандартов уничтожения данных. Например, стандарт NISTа SP 800-88 «Guidelines for Media Sanitation» или документ американского МинОбороны DoD 5220.22-M. Среди других рассмотренных стандартов — канадские B2-001, G2-003 «Hard Drive Secure Information Removal and Destruction Guide» и ITSG-06 «Clearing and Declassifying Electronic Data Storage Devices». Вообще, книга очень часто ссылается на документ NIST. Например, из него взято очень неплохое дерево принятия решения о выборе метода уничтожения данных.
После приведенного анализа конструкции современных жестких дисков (концентрируются только на ATA и SCSI, не рассматривая внешние носители или современные жесткие диски на базе SSD) авторы много внимания посвящают неудачным или неэффективным по их мнению методам уничтожения данных — удалению файлов, форматированию и изменение разделов жесткого диска. Потом авторы освещают роль полного шифрования жесткого диска в процессе уничтожения данных, касаясь как программного, так и аппаратного шифрования.
Вторая половина книги более детально рассматривает различные механизмы уничтожения данных, описывая их преимущества и недостатки, риски и влияние на окружение.
Резюмируя, могу сказать, что книга интересна именно с точки зрения погружения в проблему и поиска лучшего варианта для уничтожения данных, хранящихся в электронном виде. Но… если перед вами стоит задача уничтожения данных, которые хранятся в автоматизированных системах, тот тут ситуация сложнее — книга на этот вопрос не отвечает. Как и на вопрос уничтожения данных на мобильных или сетевых устройствах. Но…
Когда эта заметка уже была написана и я проставлял ссылки на упомянутые в ней документы, оказалось, что NIST 6-го сентября выложил на обсуждение проект новой версии SP 800-88 по уничтожению данных, который коснудся вопрос уничтожения на сетевом оборудовании, мобильных устройствах, флешках, картах памяти, CD и т.п. Вообще SP 800-88 очень неплохо описывает, что и как надо делать по уничтожению данных, кто за это отвечает и какими документами этот процесс должен регламентироваться в компании.
ЗЫ. Кстати, уничтожение данных — редкий раздел в политиках информационной безопасности многих компаний. Как, собственно, и вообще учет жизненного цикла информации (я про него как-то писал в статье про классификацию информационных активов).
ЗЗЫ. Кстати, в книге нет ссылки на очень неплохой документ «DSS Clearing and Sanitization Matrix», сводящий различные методы уничтожения данных для разных типов носителей.
Для АС актуальна проблема выборочного уничтожения данных. Та же проблема стоит колом для Cloud и ЦОД.
Построить цепочку от "понятных для удаления" данных на высоком уровне абстракции до носителей и их разделов для применения "надежных" методов сложно…
Мне эта тема актуальна. Каким путем нужно построить, зачистку ПДн в базах данных. как известно в них множество привязок. Например, уволился человек, по нему отчетный срок прошел, но так просто из базы данных его не убрать, таким образом это все накапливалось. А работники кто этим занят, смотрят глазами удивленными, когда им объясняешь что по достижению целей обработки, ПД должны быть удалены. было решено обезличивать. Но правильно ли это, возможно вся И подлежит восстановлению?
Этот комментарий был удален администратором блога.