Как уничтожать данные в электронном виде?

Знаем как уничтожить данные, зафиксированные на бумаге? Ну, наверное, да, — скажут многие. Шредер, сжигание, химическое уничтожение, закапывание… Кто-то использует эти методы, кто-то просто выбрасывает данные в мусорную корзину. А как обстоит дело с данными в электронной форме? Знаем ли мы как уничтожать то, что хранится в базе данных или просто в файле на жестком диске? Нажав «крестик» в «Проводнике» мы не уничтожаем данные, а всего лишь помечаем их и перемещаем в «Корзину», откуда данные элементарно восстановить. Но даже очищая корзину, данные не уничтожаются, и с помощью специализированного ПО их можно восстановить. Так как завершить жизненный цикл информации, подлежащей защите?

Ответ на этот вопрос очень неплохо описан в книге специалистов компании Cicada Security Technologies «Best Practices for the Destruction of Digital Data«. Авторы начинают с того, что описывают в какой форме могут существовать данные в компании/ведомстве, чтобы учесть это в политике уничтожения. По их мнению данные могут быть «живые» (на хранении, в процессе передачи по защищенной и незащищенной сети) и устаревшие (достигшие срока своей жизни, сохранившиеся на вышедшей из строя технике или на носителях, которые подлежат апгрейду).

Затем авторы рассматривают 3 уровня уничтожения электронных данных (обычно уровень уничтожения зависит от уровня классификации информации):

• Очистка (clear), ярким примером которой является перезапись данных на носителях, содержащих уничтожаемую информацию. В лабораторных условиях такие данные можно восстановить.
• Очищение (purge), ярким примеров котором является Secure Erase из спецификации жестких дисков ATA или размагничивание. В лабораторных условиях восстановление уничтоженных таким образом данных считается невозможным.
• Разрушение (destroy), т.е. физическое уничтожение носителей путем сжигания, измельчения, плавления, расщепления, распыления и т.п.

Поскольку уничтожение данных — это непростой процесс, требующий не только регулярности, но и затрат, то вопрос, который надо задать первым: «Зачем надо уничтожать данные?» И на него авторы тоже дают ответ, рассматривая различные нормативные акты, требующие уничтожения данных — канадский PIPEDA, американский HIPAA и GLBA, международный PCI DSS, Евроконвенция по ПДн и т.д. Вообще обзор нормативных актов в книге неплохой; правда, американизированный донельзя. Но это и понятно. Авторы американцы, компания их американская и аудитория тоже.

Затем делается обзор стандартов уничтожения данных. Например, стандарт NISTа SP 800-88 «Guidelines for Media Sanitation» или документ американского МинОбороны DoD 5220.22-M. Среди других рассмотренных стандартов — канадские B2-001, G2-003 «Hard Drive Secure Information Removal and Destruction Guide» и ITSG-06 «Clearing and Declassifying Electronic Data Storage Devices». Вообще, книга очень часто ссылается на документ NIST. Например, из него взято очень неплохое дерево принятия решения о выборе метода уничтожения данных.

После приведенного анализа конструкции современных жестких дисков (концентрируются только на ATA и SCSI, не рассматривая внешние носители или современные жесткие диски на базе SSD) авторы много внимания посвящают неудачным или неэффективным по их мнению методам уничтожения данных — удалению файлов, форматированию и изменение разделов жесткого диска. Потом авторы освещают роль полного шифрования жесткого диска в процессе уничтожения данных, касаясь как программного, так и аппаратного шифрования.

Вторая половина книги более детально рассматривает различные механизмы уничтожения данных, описывая их преимущества и недостатки, риски и влияние на окружение.

Резюмируя, могу сказать, что книга интересна именно с точки зрения погружения в проблему и поиска лучшего варианта для уничтожения данных, хранящихся в электронном виде. Но… если перед вами стоит задача уничтожения данных, которые хранятся в автоматизированных системах, тот тут ситуация сложнее — книга на этот вопрос не отвечает. Как и на вопрос уничтожения данных на мобильных или сетевых устройствах. Но…

Когда эта заметка уже была написана и я проставлял ссылки на упомянутые в ней документы, оказалось, что NIST 6-го сентября выложил на обсуждение проект новой версии SP 800-88 по уничтожению данных, который коснудся вопрос уничтожения на сетевом оборудовании, мобильных устройствах, флешках, картах памяти, CD и т.п. Вообще SP 800-88 очень неплохо описывает, что и как надо делать по уничтожению данных, кто за это отвечает и какими документами этот процесс должен регламентироваться в компании.

ЗЫ. Кстати, уничтожение данных — редкий раздел в политиках информационной безопасности многих компаний. Как, собственно, и вообще учет жизненного цикла информации (я про него как-то писал в статье про классификацию информационных активов).

ЗЗЫ. Кстати, в книге нет ссылки на очень неплохой документ «DSS Clearing and Sanitization Matrix», сводящий различные методы уничтожения  данных для разных типов носителей.