Гробището за данни: ръководство за директора „Информационна сигурност“ за унищожаване на данни в съответствие с изискванията и с одитируема доказателствена следа
Мария, директорът „Информационна сигурност“ на бързо развиваща се финтех компания, усети познатото напрежение в стомаха си. До външния одит по GDPR оставаха шест седмици, а рутинна проверка на инвентара на активите току-що беше извадила наяве призрак от миналото на компанията: заключено складово помещение в старата им офис сграда, пълно с изведени от употреба сървъри, прашни резервни ленти и купчини стари служебни лаптопи. „Гробището за данни“, както екипът ѝ мрачно го наричаше, вече не беше забравен проблем. То беше бомба със закъснител за съответствието.
Какви чувствителни клиентски данни, интелектуална собственост или лично идентифицируема информация (PII) се криеха по тези дискове? Бяха ли санирани правилно? Съществуваха ли изобщо записи, които да го доказват? Липсата на отговори беше реалната заплаха. В информационната сигурност това, което не знаете, може — и често ще — ви навреди.
Този сценарий не е уникален за Мария. За безброй директори „Информационна сигурност“, мениджъри по съответствие и собственици на бизнес наследените данни представляват огромен, неоценен риск. Това е скрит пасив, който увеличава повърхността за атака, усложнява исканията на субектите на данни и създава минно поле за одиторите. Основният въпрос е прост, но изключително труден: какво трябва да направите с чувствителните данни, които вече не са ви необходими? Отговорът не е просто натискане на „Delete“. Той е в изграждането на обоснован, повторяем и одитируем процес за управление на жизнения цикъл на информацията — от създаването до сигурното унищожаване.
Високата цена на трупането на данни
Съхраняването на данни завинаги „за всеки случай“ е остатък от отминала епоха. Днес това е доказано опасна стратегия. Чувствителните данни, които остават след изтичане на полезния или изискуемия им срок, излагат организацията на множество заплахи — от санкции за несъответствие и нарушения на поверителността до случайно изтичане на данни и дори изнудване чрез ransomware.
Задържането на данни след датата за тяхното унищожаване създава няколко критични риска:
- Несъответствие: Регулаторите засилват контрола върху ненужното съхранение на данни. Гробището за данни е пряко нарушение на принципите за поверителност и може да доведе до значителни глоби.
- Повишено въздействие при пробив: Ако настъпи пробив, всяка част от наследените данни, които съхранявате, се превръща в пасив. Злонамерен участник, който извлича петгодишни клиентски данни, причинява несравнимо по-голяма вреда от извличане на данни само за една година.
- Оперативна неефективност: Управлението, защитата и търсенето в огромни масиви от нерелевантни данни изчерпват ресурси, забавят системите и правят изпълнението на искания за „право на изтриване“ по GDPR почти невъзможно.
Много организации погрешно смятат, че натискането на „Delete“ или премахването на запис от база данни кара данните да изчезнат. Това рядко е така и оставя остатъчни данни във физически, виртуални и облачни среди.
Регулаторни изисквания: краят на „пази го завинаги“
Правилата се промениха. Сближаването на глобалните регулации изрично изисква личната и чувствителната информация да се съхранява само толкова дълго, колкото е необходимо, и да бъде сигурно изтрита след изтичане на този срок. Това не е препоръка, а правно и оперативно задължение.
Zenith Blueprint: 30-стъпкова пътна карта за одитора на Clarysec обобщава междурегулаторния императив за сигурно унищожаване на данни:
✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Изисква личните данни да не се съхраняват по-дълго от необходимото, подкрепя правото на изтриване („правото да бъдеш забравен“) и налага сигурно изтриване, когато данните вече не са необходими.
✓ NIS2 Article 21(2)(a, d): Изисква основани на риска технически и организационни мерки, които гарантират, че данните се изтриват сигурно, когато вече не са необходими.
✓ DORA Article 9(2)(a–c): Изисква защита на чувствителната информация през целия ѝ жизнен цикъл, включително сигурно унищожаване.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Разглежда сигурното изтриване на данни, унищожаването на носители и премахването на информационни активи в края на жизнения им цикъл.
✓ ITAF 4th Edition – Domain 2.1.6: Изисква доказателства за сигурно изтриване и унищожаване на данни в съответствие със законовите и регулаторните задължения.
Това означава, че организацията ви трябва да разполага с документирани, прилагани и одитируеми процеси за изтриване на данни. Това се отнася не само за хартиени записи или твърди дискове, а за всяка част от цифровата ви среда, включително облачни хранилища, резервни копия, данни от приложения и доставчици трети страни.
От хаос към контрол: изграждане на програма за унищожаване, управлявана чрез политика
Първата стъпка за обезвреждане на бомбата „гробище за данни“ е установяването на ясна и авторитетна рамка. Зрялата програма за унищожаване не започва с шредери и устройства за размагнитване, а с добре дефинирана политика. Този документ служи като единен източник на истина за цялата организация, като съгласува бизнес, правните и ИТ екипите относно начина, по който данните се управляват и унищожават.
Политика за съхранение и унищожаване на данни на Clarysec предоставя модел за това. Една от основните ѝ цели е формулирана ясно в клауза 3.1 на политиката:
„Да се гарантира, че данните се съхраняват само толкова дълго, колкото е необходимо по законови, договорни или оперативни причини, и се унищожават сигурно, когато вече не са необходими.“
Това кратко изявление променя организационната нагласа от „пази всичко“ към „пази необходимото“. Политиката установява формален процес и гарантира, че решенията не са произволни, а са свързани с конкретни задължения. Както подчертава клауза 1.2 от Политиката за съхранение и унищожаване на данни, тя е предназначена да подпомага внедряването на ISO/IEC 27001:2022 чрез налагане на контрол върху продължителността на съхранение на данните и осигуряване на готовност за одит и регулаторни проверки.
За по-малки организации тежката корпоративна политика може да е непропорционална. Политика за съхранение и унищожаване на данни за МСП предлага оптимизирана алтернатива, фокусирана върху същественото, както е посочено в клауза 1.1 на политиката:
„Целта на тази политика е да дефинира приложими правила за съхранението и сигурното унищожаване на информация в среда на МСП. Тя гарантира, че записите се съхраняват само за срока, изискван по закон, договорно задължение или служебна необходимост, и след това се унищожават сигурно.“
Независимо дали става дума за голяма организация или МСП, политиката е крайъгълният камък. Тя предоставя правомощие за действие и рамка, която гарантира, че действията са последователни, обосновани и съгласувани с добрите практики в индустрията за сигурност.
Изпълнение на плана: контроли от ISO/IEC 27001:2022 на практика
След като политиката е въведена, Мария вече може да преведе принципите ѝ в конкретни действия, ръководени от контролите в ISO/IEC 27001:2022. Два контрола са от първостепенно значение тук:
- Контрол 8.10 Изтриване на информация: Той изисква „информацията, съхранявана в информационни системи, устройства или други носители за съхранение, да бъде изтрита, когато вече не е необходима“.
- Контрол 7.14 Сигурно унищожаване или повторно използване на оборудване: Той се фокусира върху физическия хардуер и гарантира, че носителите за съхранение са правилно санирани, преди оборудването да бъде унищожено, преназначено или продадено.
Но какво всъщност означава „сигурно изтрити“? Тук одиторите разграничават зрелите организации от тези, които само твърдят, че са такива. Според Zenith Blueprint истинското изтриване е много повече от преместване на файл в кошчето. То включва методи, които правят данните невъзстановими:
За цифрови системи изтриването трябва да означава сигурно изтриване, а не просто натискане на „Delete“ или изпразване на кошчето. Истинското изтриване включва:
✓ Презаписване на данните (например чрез методи DoD 5220.22-M или NIST 800-88),
✓ криптографско изтриване (например унищожаване на криптиращите ключове, използвани за защита на данните),
✓ или прилагане на инструменти за сигурно изтриване преди извеждане от употреба на устройства.
За физически записи Zenith Blueprint препоръчва шредиране с напречно рязане, изгаряне или използване на сертифицирани услуги за унищожаване. Тези практически насоки помагат на организациите да преминат от политика към процедура, като дефинират точните технически стъпки, необходими за постигане на целта на контрола.
Цялостен поглед: взаимосвързаната мрежа на сигурното унищожаване
Работата с гробището за данни не е еднократна задача. Ефективното унищожаване на данни е тясно свързано с други области на сигурността. Именно тук цялостният поглед, предоставен от Zenith Controls: ръководство за междурегулаторно съответствие на Clarysec, става незаменим. Той действа като компас, показвайки как един контрол зависи от много други, за да функционира ефективно.
Нека разгледаме Контрол 7.14 (Сигурно унищожаване или повторно използване на оборудване) през тази призма. Ръководството Zenith Controls показва, че това не е изолирана дейност. Успехът ѝ зависи от мрежа от свързани контроли:
- 5.9 Инвентар на активите: Не можете сигурно да унищожите това, за което не знаете, че притежавате. Първата стъпка на Мария трябва да бъде инвентаризация на всеки сървър, лаптоп и лента в това складово помещение. Точният инвентар на активите е основата.
- 5.12 Класификация на информацията: Методът за унищожаване зависи от чувствителността на данните. Трябва да знаете какво унищожавате, за да изберете подходящото ниво на саниране.
- 5.34 Поверителност и защита на PII: Оборудването често съдържа лични данни. Процесът по унищожаване трябва да гарантира, че цялата PII е унищожена необратимо, като така се свързва пряко със задълженията за поверителност по регулации като GDPR.
- 8.10 Изтриване на информация: Този контрол предоставя „какво“ (изтриване на информация, когато вече не е необходима), докато 7.14 предоставя „как“ за базовите физически носители. Това са двете страни на една и съща монета.
- 5.37 Документирани оперативни процедури: Сигурното унищожаване трябва да следва дефиниран, повторяем процес, за да се гарантира последователност и да се създаде одитна следа. Ad hoc унищожаването е червен флаг за всеки одитор.
Тази взаимосвързаност показва, че зрелите програми за сигурност третират унищожаването на данни не като задача по почистване, а като интегрирана част от своята система за управление на информационната сигурност (ISMS).
Технически преглед в дълбочина: саниране на носители и поддържащи стандарти
За ефективно прилагане на тези контроли е важно да се разберат различните нива на саниране на носители, както са описани в рамки като NIST SP 800-88. Тези методи предлагат многостепенен подход, за да се гарантира, че данните са невъзстановими, съобразно тяхната чувствителност.
| Метод за саниране | Описание | Пример за приложение |
|---|---|---|
| Clear | Презаписване на данни с нечувствителни данни чрез стандартни команди за четене/запис. Защитава срещу прости техники за възстановяване на данни. | Преназначаване на лаптоп за друг служител в същата защитена среда. |
| Purge | Усъвършенствани техники като размагнитване (за магнитни носители) или криптографско изтриване. Устойчиво е срещу лабораторни атаки за възстановяване. | Извеждане от употреба на сървър, който е съдържал чувствителни, но не строго секретни финансови данни. |
| Destroy | Физическо унищожаване на носителя (шредиране, изгаряне, раздробяване). Данните са невъзстановими. | Унищожаване на твърди дискове, съдържащи строго поверителна интелектуална собственост или PII. |
Изборът на правилния метод зависи от класификацията на данните. Насоките от специализирани стандарти са изключително ценни тук. Зрялата програма използва широк набор от поддържащи рамки извън ISO/IEC 27001:2022.
| Стандарт | Ключова релевантност |
|---|---|
| ISO/IEC 27005:2022 | Включва изтриването като опция за третиране на риска и идентифицира несигурното унищожаване като риск с високо въздействие. |
| ISO/IEC 27701:2019 | Изисква специфични контроли за изтриване на PII при повторно използване или унищожаване на оборудване. |
| ISO/IEC 27018:2019 | Налага сигурно изтриване на облачно базирана PII, преди да бъде унищожен актив, който я съдържа. |
| ISO/IEC 27017:2015 | Предоставя специфични за облачните услуги насоки, които гарантират саниране на активи при прекратяване на виртуални или физически ресурси. |
| NIST SP 800-88 | Предлага подробни технически насоки за саниране на носители, като дефинира техниките Clear, Purge и Destroy. |
Одиторът идва: как да докажете, че процесът ви работи
Успешното преминаване на одит не е само да правите правилното нещо; то е да докажете, че сте го направили. За Мария това означава да документира всяка стъпка от процеса по унищожаване за активите в нейното гробище за данни. Zenith Blueprint предоставя ясен контролен списък с това, което одиторите ще изискват за Контрол 8.10 (Изтриване на информация):
„Предоставете вашата Политика за изтриване на информация… Демонстрирайте техническо прилагане чрез конфигурирани настройки за съхранение във вашите бизнес системи… Те могат да поискат доказателства за методи за сигурно изтриване: изтриване на дискове с одобрени инструменти… или сигурно унищожаване на документи. Ако изтривате данни при изтичане на договор… покажете одитната следа или билета, който го потвърждава.“
За да удовлетворите одиторите, трябва да създадете цялостен пакет от доказателства за всяко действие по унищожаване. Регистърът за изтриване на данни е задължителен.
Примерна таблица за одитна следа
| Идентификатор на актив | Тип актив | Местоположение | Метод за изтриване | Доказателство/журнал | Одобряващ |
|---|---|---|---|---|---|
| SRV-FIN-04 | Сървърен HDD | Локален център за данни | Размагнитване + физическо шредиране | Сертификат за унищожаване #DC44C8 | Собственик на данните |
| CUST-DB-BKP-112 | LTO-8 лента | Iron Mountain | Изгаряне (сертифицирано) | Сертификат за унищожаване #IM7890 | ИТ операции |
| PROJ-X-DATA | AWS S3 Bucket | eu-west-1 | Lifecycle Policy ‘DeleteObject’ | Журнал за изтриване на AWS #1192 | Cloud Ops |
| HR-LAPTOP-213 | SSD на лаптоп | ИТ склад | Криптографско изтриване | Журнал за изтриване #WL5543 | ИТ поддръжка |
Одиторите подхождат към това от различни перспективи. Ръководството Zenith Controls описва как различни одитни рамки разглеждат процеса:
| Одитна рамка | Изисквани доказателства | Подход |
|---|---|---|
| ISO/IEC 19011:2018 | Наблюдение на практики, преглед на журнали за съхранение и сертификати за унищожаване. | Интервюта, преглед на документи, извадково тестване |
| ISACA ITAF | Достатъчна и надеждна триангулация на доказателства от политики, журнали и интервюта. | Триангулация |
| NIST SP 800-53A | Записи, доказващи използването на одобрени методи за саниране (съгласно NIST SP 800-88). | Техническо тестване, проверка на записи |
| COBIT 2019 | Доказателства за управленски надзор, интеграция с управление на риска и докладване. | Преглед на управлението, обход на процеса |
Често срещани пропуски и как да ги избегнете
Дори при въведена политика много организации се затрудняват при изпълнението. Ето често срещани пропуски и как структурираният подход помага за тяхното решаване:
| Пропуск | Как подходът, ръководен от Clarysec, помага |
|---|---|
| Shadow data: Данните продължават да съществуват в забравени резервни копия, архиви или shadow IT. | Прилаган регистър на съхранението, свързан с пълен инвентар на активите, гарантира, че всички копия са идентифицирани и проследени за унищожаване. |
| Само логическо изтриване: Данните са маркирани като изтрити, но остават възстановими. | Политиката налага методи за сигурно изтриване (презаписване, криптографско изтриване, физическо унищожаване) въз основа на класификацията на данните. |
| Неяснота при доставчика на облачни услуги: Неясни процеси за сигурно изтриване в SaaS/IaaS. | Договорите с доставчици се актуализират така, че да изискват сертификат за изтриване или проверимо потвърждение в журнал при прекратяване на услугата. |
| Ръчни процеси, податливи на грешки: Разчита се на отделни лица да помнят кога да изтрият данни. | Автоматизирайте, когато е възможно, чрез политики за жизнения цикъл в системите (например в M365, AWS S3). Изисквайте документирани доказателства за всички ръчни изтривания. |
| Липса на доказателство за унищожаване: Липса на одитируеми записи за удовлетворяване на регулаторите. | Централизиран регистър за изтриване на данни и съхраняването на всички сертификати за унищожаване от трети страни създават надеждна одитна следа. |
Заключение: превърнете гробището за данни в стратегическо предимство
Шест седмици по-късно Мария преведе одитора по GDPR през работата на екипа си. Складовото помещение беше празно. На негово място имаше цифров архив с подробен запис за всеки изведен от употреба актив: журнали от инвентаризация, доклади за класификация на данни, процедури за саниране и подписани сертификати за унищожаване. Това, което някога беше източник на тревога, вече беше пример за зряло управление на риска.
Гробището за данни е симптом на реактивна култура на сигурност. Преобразуването му изисква проактивен подход, управляван чрез политики. То изисква да разглеждаме унищожаването на данни не като ИТ задача по почистване, а като стратегическа функция по сигурността, която намалява риска, гарантира съответствие и демонстрира ангажимент към защитата на чувствителната информация.
Готови ли сте да се справите със собственото си гробище за данни? Започнете с изграждане на основа за основан на доказателства и устойчив подход към управлението на жизнения цикъл на информацията.
Практически следващи стъпки:
- Поставете основата: Въведете ясна и приложима политика, използвайки шаблоните на Clarysec, като Политика за съхранение и унищожаване на данни или Политика за съхранение и унищожаване на данни за МСП.
- Картирайте средата си: Създайте и поддържайте пълен инвентар на активите за всички информационни активи. Не можете да унищожите това, за което не знаете, че притежавате.
- Дефинирайте и прилагайте съхранението: Установете формален график за сроковете за съхранение, който свързва всеки тип данни със законово, договорно или бизнес изискване, и след това автоматизирайте прилагането му.
- Операционализирайте сигурното унищожаване: Интегрирайте процедурите за сигурно изтриване и саниране в стандартните оперативни процедури за извеждане от употреба на ИТ активи.
- Документирайте всичко: Създайте и поддържайте устойчива на одит следа за всяко действие по унищожаване, включително журнали, билети и сертификати от трети страни.
- Разширете обхвата към веригата на доставки: Уверете се, че договорите ви с доставчици на облачни услуги и други доставчици включват строги изисквания за сигурно унищожаване на данни и изисквайте доказателство за съответствие.
Всеки байт ненужни данни е риск. Възстановете контрола, укрепете съответствието, оптимизирайте одитите и намалете експозицията при пробиви.
Свържете се с нас за демонстрация или разгледайте пълната библиотека Zenith Blueprint и Zenith Controls, за да започнете пътя си.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
