12.9.12

Как уничтожать данные в электронном виде?

Знаем как уничтожить данные, зафиксированные на бумаге? Ну, наверное, да, - скажут многие. Шредер, сжигание, химическое уничтожение, закапывание... Кто-то использует эти методы, кто-то просто выбрасывает данные в мусорную корзину. А как обстоит дело с данными в электронной форме? Знаем ли мы как уничтожать то, что хранится в базе данных или просто в файле на жестком диске? Нажав "крестик" в "Проводнике" мы не уничтожаем данные, а всего лишь помечаем их и перемещаем в "Корзину", откуда данные элементарно восстановить. Но даже очищая корзину, данные не уничтожаются, и с помощью специализированного ПО их можно восстановить. Так как завершить жизненный цикл информации, подлежащей защите?

Ответ на этот вопрос очень неплохо описан в книге специалистов компании Cicada Security Technologies "Best Practices for the Destruction of Digital Data". Авторы начинают с того, что описывают в какой форме могут существовать данные в компании/ведомстве, чтобы учесть это в политике уничтожения. По их мнению данные могут быть "живые" (на хранении, в процессе передачи по защищенной и незащищенной сети) и устаревшие (достигшие срока своей жизни, сохранившиеся на вышедшей из строя технике или на носителях, которые подлежат апгрейду).



Затем авторы рассматривают 3 уровня уничтожения электронных данных (обычно уровень уничтожения зависит от уровня классификации информации):
  • Очистка (clear), ярким примером которой является перезапись данных на носителях, содержащих уничтожаемую информацию. В лабораторных условиях такие данные можно восстановить.
  • Очищение (purge), ярким примеров котором является Secure Erase из спецификации жестких дисков ATA или размагничивание. В лабораторных условиях восстановление уничтоженных таким образом данных считается невозможным.
  • Разрушение (destroy), т.е. физическое уничтожение носителей путем сжигания, измельчения, плавления, расщепления, распыления и т.п.
Поскольку уничтожение данных - это непростой процесс, требующий не только регулярности, но и затрат, то вопрос, который надо задать первым: "Зачем надо уничтожать данные?" И на него авторы тоже дают ответ, рассматривая различные нормативные акты, требующие уничтожения данных - канадский PIPEDA, американский HIPAA и GLBA, международный PCI DSS, Евроконвенция по ПДн и т.д. Вообще обзор нормативных актов в книге неплохой; правда, американизированный донельзя. Но это и понятно. Авторы американцы, компания их американская и аудитория тоже.

Затем делается обзор стандартов уничтожения данных. Например, стандарт NISTа SP 800-88 "Guidelines for Media Sanitation" или документ американского МинОбороны DoD 5220.22-M. Среди других рассмотренных стандартов - канадские B2-001, G2-003 "Hard Drive Secure Information Removal and Destruction Guide" и ITSG-06 "Clearing and Declassifying Electronic Data Storage Devices". Вообще, книга очень часто ссылается на документ NIST. Например, из него взято очень неплохое дерево принятия решения о выборе метода уничтожения данных.

После приведенного анализа конструкции современных жестких дисков (концентрируются только на ATA и SCSI, не рассматривая внешние носители или современные жесткие диски на базе SSD) авторы много внимания посвящают неудачным или неэффективным по их мнению методам уничтожения данных - удалению файлов, форматированию и изменение разделов жесткого диска. Потом авторы освещают роль полного шифрования жесткого диска в процессе уничтожения данных, касаясь как программного, так и аппаратного шифрования.

Вторая половина книги более детально рассматривает различные механизмы уничтожения данных, описывая их преимущества и недостатки, риски и влияние на окружение.

Резюмируя, могу сказать, что книга интересна именно с точки зрения погружения в проблему и поиска лучшего варианта для уничтожения данных, хранящихся в электронном виде. Но... если перед вами стоит задача уничтожения данных, которые хранятся в автоматизированных системах, тот тут ситуация сложнее - книга на этот вопрос не отвечает. Как и на вопрос уничтожения данных на мобильных или сетевых устройствах. Но...

Когда эта заметка уже была написана и я проставлял ссылки на упомянутые в ней документы, оказалось, что NIST 6-го сентября выложил на обсуждение проект новой версии SP 800-88 по уничтожению данных, который коснудся вопрос уничтожения на сетевом оборудовании, мобильных устройствах, флешках, картах памяти, CD и т.п. Вообще SP 800-88 очень неплохо описывает, что и как надо делать по уничтожению данных, кто за это отвечает и какими документами этот процесс должен регламентироваться в компании.

ЗЫ. Кстати, уничтожение данных - редкий раздел в политиках информационной безопасности многих компаний. Как, собственно, и вообще учет жизненного цикла информации (я про него как-то писал в статье про классификацию информационных активов).

ЗЗЫ. Кстати, в книге нет ссылки на очень неплохой документ "DSS Clearing and Sanitization Matrix", сводящий различные методы уничтожения  данных для разных типов носителей.

4 коммент.:

Анонимный комментирует...

Для АС актуальна проблема выборочного уничтожения данных. Та же проблема стоит колом для Cloud и ЦОД.

Анонимный комментирует...

Построить цепочку от "понятных для удаления" данных на высоком уровне абстракции до носителей и их разделов для применения "надежных" методов сложно...

Ost Евгений комментирует...

Мне эта тема актуальна. Каким путем нужно построить, зачистку ПДн в базах данных. как известно в них множество привязок. Например, уволился человек, по нему отчетный срок прошел, но так просто из базы данных его не убрать, таким образом это все накапливалось. А работники кто этим занят, смотрят глазами удивленными, когда им объясняешь что по достижению целей обработки, ПД должны быть удалены. было решено обезличивать. Но правильно ли это, возможно вся И подлежит восстановлению?

SS Solutions комментирует...
Этот комментарий был удален администратором блога.