Klasy ochrony danych i stopnie bezpieczeństwa według normy ISO/IEC 21964 – o czym mówią? Dlaczego warto je znać?

Niszczenie danych to procedura, którą należy przeprowadzać zgodnie z prawem. Inaczej nie zapewni informacjom należytej ochrony. Podczas utylizacji kierować można się m.in. normą ISO/IEC 21964, która wyróżnia trzy klasy danych i siedem stopni bezpieczeństwa. O czym one mówią? Dlaczego ich znajomość jest tak ważna?

Klasy ochrony danych według normy ISO/IEC 21964

 Norma ISO/IEC 21964 kodyfikuje i ujednolica wymagania odnoszące się do niszczenia danych. Określa m.in. definicje i zasady związane z utylizacją określonych nośników, a także opisuje pożądany sposób, w jakim powinna ona przebiegać. Wskazuje również klasy ochrony danych. Wskazują one, z jaką dokładnością dane powinny być niszczone.

1. Klasa ochrony 1. To podstawowa klasa ochrony, która obowiązuje w przypadku danych zwykłych i wewnętrznych. Określa ona, że powinny być one niszczone w 1, 2 i 3 stopniu bezpieczeństwa.

2. Klasa ochrony 2. Wskazuje na większą potrzebę ochrony informacji. Dotyczy danych osobowych i finansowych, które są dostępne dla wąskiego kręgu odbiorców i których przekazanie osobom nieuprawnionym mogłoby doprowadzić do naruszenia zobowiązań umownych lub ustawowych. Dane należące do tej klasy ochrony należy niszczyć w 3, 4 lub 5 stopniu bezpieczeństwa.

3. Klasa ochrony 3. Podkreśla wysoką potrzebę ochrony danych. Obejmuje dane tajne i ściśle poufne, których wyciek lub ujawnienie stanowi niebezpieczeństwo dla życia i zdrowia osób lub zagrożenie dla ich wolności. Wskazuje, że powinny być one niszczone w 4, 5, 6 i 7 stopnia bezpieczeństwa.

Stopnie bezpieczeństwa według normy ISO/IEC 21964

 Oprócz klas ochrony danych norma ISO/IEC 21964 wyszczególnia również stopnie bezpieczeństwa. Szczegółowo określają one nie tylko sposób niszczenia danych, ale również jego efekt – maksymalną powierzchnię ścinka i lub szerokość paska.

1. P-1 – dane ogólne. To podstawowy stopień bezpieczeństwa, który rekomenduje się do niszczenia nośników z danymi zwykłymi. Po jego przeprowadzeniu dane stają się nieczytelne, wciąż jednak można je odtworzyć bez specjalistycznego sprzętu. Niemniej jest to czasochłonne. Maks. pow. ścinka: 2000 mm2 lub maks. szerokość paska: 12 mm.

2. P-2 – dane wewnętrzne. To stopień bezpieczeństwa zalecany do niszczenia nośników z danymi wewnętrznymi. W tym wypadku zutylizowane dane wciąż mogą zostać odtworzone bez specjalistycznego sprzętu. Niemniej jest to wyjątkowo czasochłonne. Maks. pow. ścinka: 800 mm2 lub maks. szerokość paska: 6 mm.

3. P-3 – dane wrażliwe, poufne, osobowe. To stopień bezpieczeństwa rekomendowany dla znacznej części dokumentów firmowych. Pozwala on na odtworzenie danych, jednak proces ten wymaga znacznego wysiłku. Maks. pow. ścinka: 320 mm2 lub maks. szerokość paska: 2 mm.
    
4. P-4 – dane szczególnie wrażliwe. To stopień bezpieczeństwa stosowany do danych poufnych i osobowych. Zutylizowane w ten sposób dane mogą być odtworzone, jednak przy użyciu specjalistycznego wyposażenia. Maks. pow. ścinka: 160 mm2 lub maks. szerokość paska: 6 mm.
    
5. P-5 – dane tajne. To stopień bezpieczeństwa rekomendowany do nośników, które zawierają dane tajne. Gwarantuje, że odtworzenie ich jest praktycznie niemożliwe. Maks. pow. ścinka: 30 mm2 lub maks. szerokość paska: 2 mm.
    
6. P-6 – dane tajne, dla których należy zastosować nadzwyczajne środki bezpieczeństwa. To stopień bezpieczeństwa, który znajduje zastosowanie w wyjątkowych sytuacjach. Odtworzenie zutylizowanych w ten sposób danych nie jest przy obecnym stanie techniki możliwe. Maks. pow. ścinka: 10 mm2 lub maks. szerokość paska: 1 mm.
    
7. P-7 – dane ściśle tajne. To stopień bezpieczeństwa stosowany w przypadku danych, które wymagają maksymalnych środków bezpieczeństwa. Maks. pow. ścinka: 5 mm2 lub maks. szerokość paska: 1 mm.

Norma ISO/IEC 21964 szczegółowo określa klasy ochrony danych i stopnie bezpieczeństwa. Ich znajomość pozwala zniszczyć nośniki w sposób niezagrażający bezpieczeństwu zawartych na nich informacji. W efekcie proces utylizacji danych jest zgodny z prawem.

źródło: ESSI niszczenie dokumentów