Datový hřbitov: příručka pro CISO k likvidaci dat v souladu s požadavky a s prokazatelnou auditní stopou

Maria, CISO rychle rostoucí fintech společnosti, pocítila známé sevření v žaludku. Do externího auditu GDPR zbývalo šest týdnů a rutinní kontrola evidence aktiv právě odhalila pozůstatek z minulosti firmy: zamčený sklad ve staré kancelářské budově, plný vyřazených serverů, zaprášených záložních pásek a hromad starých zaměstnaneckých notebooků. „Datový hřbitov“, jak jej její tým ponuře nazýval, už nebyl zapomenutým provozním restem. Byla to tikající compliance bomba.

Jaká citlivá zákaznická data, duševní vlastnictví nebo osobní údaje (PII) se na těchto discích skrývaly? Byla některá z nich řádně sanitizována? Existovaly vůbec záznamy, které by to doložily? Skutečnou hrozbou byla absence odpovědí. Ve světě informační bezpečnosti vás může poškodit právě to, o čem nevíte — a často se to také stane.

Tento scénář není specifický jen pro Marii. Pro nespočet CISO, manažerů compliance a vlastníků firem představují starší data rozsáhlé, nekvantifikované riziko. Jde o tichý závazek, který zvětšuje plochu útoku, komplikuje vyřizování žádostí subjektů údajů a vytváří minové pole pro auditory. Základní otázka je jednoduchá, ale zásadně náročná: Co máte dělat s citlivými daty, která již nepotřebujete? Odpovědí není jen stisknout „smazat“. Jde o vybudování obhajitelného, opakovatelného a auditovatelného procesu řízení životního cyklu informací, od vytvoření až po bezpečné zničení.

Vysoká cena hromadění dat

Uchovávat data navždy „pro jistotu“ je relikt minulé éry. Dnes jde o prokazatelně nebezpečnou strategii. Citlivá data, která přetrvávají déle, než je jejich užitečná nebo požadovaná doba životnosti, vystavují organizaci celé řadě hrozeb — od sankcí za nesoulad a porušení ochrany soukromí přes náhodné úniky až po vydírání ransomwarem.

Uchovávání dat po uplynutí doby uchování vytváří několik kritických rizik:

• Selhání v oblasti compliance: Regulační orgány stále důsledněji postihují zbytečné uchovávání dat. Datový hřbitov je přímým porušením zásad ochrany soukromí a může vést k významným pokutám.
• Zvýšený dopad narušení bezpečnosti: Pokud dojde k narušení bezpečnosti, každá část starších dat, kterou držíte, se stává závazkem. Exfiltrace pěti let starých zákaznických dat útočníkem je řádově závažnější než exfiltrace dat za jeden rok.
• Provozní neefektivita: Správa, zabezpečení a prohledávání velkých objemů nerelevantních dat spotřebovává zdroje, zpomaluje systémy a činí vyřizování žádostí o „právo na výmaz“ podle GDPR téměř nemožným.

Mnoho organizací se mylně domnívá, že stisknutím „smazat“ nebo odstraněním záznamu z databáze data zmizí. Obvykle tomu tak není a zbytková data zůstávají napříč fyzickými, virtuálními i cloudovými prostředími.

Regulační požadavky: konec přístupu „uchovávat navždy“

Pravidla se změnila. Souběh globálních předpisů výslovně vyžaduje, aby osobní a citlivé informace byly uchovávány pouze po nezbytnou dobu a po jejím uplynutí byly bezpečně vymazány. Nejde o doporučení; jde o právní a provozní povinnost.

Zenith Blueprint: 30krokový plán auditora od Clarysec shrnuje mezioborový regulační imperativ bezpečné likvidace dat:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Vyžaduje, aby osobní údaje nebyly uchovávány déle, než je nezbytné, podporuje právo na výmaz („právo být zapomenut“) a ukládá bezpečný výmaz, jakmile data již nejsou potřebná.
✓ NIS2 Article 21(2)(a, d): Vyžaduje technická a organizační opatření založená na rizicích, která zajistí bezpečné smazání dat, pokud již nejsou potřebná.
✓ DORA Article 9(2)(a–c): Vyžaduje ochranu citlivých informací po celý jejich životní cyklus, včetně bezpečného zničení.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Řeší bezpečné mazání dat, zničení médií a odstranění informačních aktiv na konci životního cyklu.
✓ ITAF 4th Edition – Domain 2.1.6: Vyžaduje důkazy o bezpečném zničení a likvidaci dat v souladu s právními a regulačními povinnostmi.

To znamená, že organizace musí mít dokumentované, prosazované a auditovatelné procesy mazání dat. Neplatí to pouze pro papírové záznamy nebo pevné disky, ale pro každou část digitálního prostředí, včetně cloudového úložiště, záloh, aplikačních dat a dodavatelů třetích stran.

Od chaosu ke kontrole: vybudování programu likvidace řízeného politikou

Prvním krokem k deaktivaci bomby datového hřbitova je zavedení jasného a autoritativního rámce. Robustní program likvidace nezačíná skartovačkami ani odmagnetovači, ale dobře definovanou politikou. Tento dokument slouží jako jediný zdroj pravdy pro celou organizaci a sjednocuje obchodní, právní a IT týmy v tom, jak jsou data spravována a ničena.

Politika uchovávání a likvidace dat od Clarysec k tomu poskytuje vzor. Jeden z jejích hlavních cílů je v ustanovení politiky 3.1 formulován jasně:

„Zajistit, aby data byla uchovávána pouze po dobu nezbytnou z právních, smluvních nebo provozních důvodů a aby byla bezpečně zlikvidována, jakmile již nejsou potřebná.“

Toto jednoduché prohlášení posouvá uvažování organizace od „uchovávat vše“ k „uchovávat to, co je nezbytné“. Politika zavádí formální proces, který zajišťuje, že rozhodnutí nejsou nahodilá, ale jsou navázána na konkrétní povinnosti. Jak zdůrazňuje ustanovení 1.2 v Politice uchovávání a likvidace dat, dokument je navržen tak, aby podporoval implementaci ISO/IEC 27001:2022 prostřednictvím prosazování kontroly nad dobou uložení dat a zajištění připravenosti na audity a kontroly regulačních orgánů.

Pro menší organizace může být rozsáhlá podniková politika zbytečně těžkopádná. Politika uchovávání a likvidace dat – SME nabízí zjednodušenou alternativu zaměřenou na podstatné prvky, jak uvádí ustanovení politiky 1.1:

„Účelem této politiky je definovat vymahatelná pravidla pro uchovávání a bezpečnou likvidaci informací v prostředí SME. Zajišťuje, že záznamy jsou uchovávány pouze po dobu vyžadovanou zákonem, smluvní povinností nebo obchodní nezbytností a poté jsou bezpečně zničeny.“

Ať už jde o velký podnik nebo SME, politika je základním kamenem. Poskytuje oprávnění jednat a rámec, který zajišťuje, že kroky jsou konzistentní, obhajitelné a v souladu s osvědčenými bezpečnostními postupy.

Realizace plánu: opatření ISO/IEC 27001:2022 v praxi

Jakmile je politika zavedena, může Maria převést její zásady do konkrétních kroků vedených opatřeními ISO/IEC 27001:2022. Dvě opatření jsou zde zásadní:

• Opatření 8.10 Mazání informací: Vyžaduje, aby „informace uložené v informačních systémech, zařízeních nebo na jakýchkoli jiných paměťových médiích byly smazány, jakmile již nejsou potřebné“.
• Opatření 7.14 Bezpečná likvidace nebo opětovné použití zařízení: Zaměřuje se na fyzický hardware a zajišťuje, aby byla paměťová média řádně sanitizována před likvidací, změnou účelu použití nebo prodejem zařízení.

Co ale „bezpečně smazáno“ skutečně znamená? Právě zde auditoři oddělují formální deklarace od skutečně fungující praxe. Podle Zenith Blueprint je skutečné smazání mnohem více než přesunutí souboru do koše. Zahrnuje metody, které činí data neobnovitelnými:

U digitálních systémů by mazání mělo znamenat bezpečný výmaz, nikoli pouze stisknutí „smazat“ nebo vyprázdnění koše. Skutečné smazání zahrnuje:
✓ Přepsání dat (např. metodami DoD 5220.22-M nebo NIST 800-88),
✓ Kryptografický výmaz (např. zničení šifrovacích klíčů použitých k ochraně dat),
✓ Nebo použití nástrojů pro bezpečné vymazání před vyřazením zařízení z provozu.

U fyzických záznamů Zenith Blueprint doporučuje skartaci s příčným řezem, spalování nebo využití certifikovaných služeb likvidace. Toto praktické vodítko pomáhá organizacím přejít od politiky k postupu a definovat přesné technické kroky nezbytné k naplnění cíle opatření.

Holistický pohled: propojená bezpečnostní síť likvidace

Řešení datového hřbitova není izolovaný úkol. Efektivní likvidace dat je úzce propojena s dalšími bezpečnostními doménami. Právě zde je nezbytný holistický pohled, jaký nabízí Zenith Controls: průvodce napříč požadavky compliance od Clarysec. Funguje jako kompas a ukazuje, jak jedno opatření závisí na mnoha dalších, aby mohlo účinně fungovat.

Podívejme se touto optikou na opatření 7.14 (Bezpečná likvidace nebo opětovné použití zařízení). Průvodce Zenith Controls ukazuje, že nejde o izolovanou činnost. Její úspěch závisí na síti souvisejících opatření:

• 5.9 Evidence aktiv: Nemůžete bezpečně zlikvidovat něco, o čem nevíte, že to máte. Prvním krokem Marie musí být zaevidovat každý server, notebook a pásku v daném skladu. Přesná evidence aktiv je základem.
• 5.12 Klasifikace informací: Metoda likvidace závisí na citlivosti dat. Musíte vědět, co ničíte, abyste zvolili odpovídající úroveň sanitizace.
• 5.34 Ochrana soukromí a ochrana PII: Zařízení často obsahují osobní údaje. Proces likvidace musí zajistit nevratné zničení všech PII, což přímo navazuje na povinnosti v oblasti ochrany soukromí podle předpisů, jako je GDPR.
• 8.10 Mazání informací: Toto opatření stanoví „co“ (smazat informace, jakmile již nejsou potřebné), zatímco 7.14 stanoví „jak“ pro podkladová fyzická média. Jde o dvě strany téže mince.
• 5.37 Dokumentované provozní postupy: Bezpečná likvidace musí probíhat podle definovaného a opakovatelného procesu, aby byla zajištěna konzistence a vznikla auditní stopa. Ad hoc likvidace jsou pro každého auditora varovným signálem.

Tato provázanost ukazuje, že vyspělý bezpečnostní program nevnímá likvidaci dat jako úklidový úkol, ale jako integrovanou součást svého systému řízení bezpečnosti informací (ISMS).

Technický detail: sanitizace médií a podpůrné normy

Pro účinnou implementaci těchto opatření je nezbytné porozumět různým úrovním sanitizace médií, jak je popisují rámce, například NIST SP 800-88. Tyto metody nabízejí vícevrstvý přístup, který zajišťuje neobnovitelnost dat odpovídající jejich citlivosti.

Volba správné metody závisí na klasifikaci dat. Pokyny ze specializovaných norem jsou zde neocenitelné. Robustní program využívá širokou síť podpůrných rámců nad rámec samotné ISO/IEC 27001:2022.

Auditor přichází: jak prokázat, že váš proces funguje

Úspěšné absolvování auditu není jen o tom dělat správné věci; jde o to prokázat, že jste je skutečně udělali. Pro Marii to znamená dokumentovat každý krok procesu likvidace aktiv v jejím datovém hřbitově. Zenith Blueprint poskytuje jasný kontrolní seznam toho, co budou auditoři vyžadovat pro opatření 8.10 (Mazání informací):

„Předložte svou Politiku mazání informací… Doložte technické prosazování prostřednictvím nakonfigurovaných nastavení uchovávání ve vašich podnikových systémech… Mohou požadovat důkazy o metodách bezpečného mazání: vymazání disků schválenými nástroji… nebo bezpečnou likvidaci dokumentů. Pokud mažete data po skončení smlouvy… předložte auditní stopu nebo tiket, který to potvrzuje.“

Aby organizace splnila požadavky auditorů, musí pro každou událost likvidace vytvořit komplexní balíček důkazů. Nezbytný je registr mazání dat.

Příklad tabulky auditní stopy

Auditoři k této oblasti přistupují z různých perspektiv. Průvodce Zenith Controls popisuje, jak různé auditní rámce proces prověřují:

Častá úskalí a jak se jim vyhnout

I při zavedené politice mnoho organizací selhává při realizaci. Níže jsou uvedena častá úskalí a způsob, jak je strukturovaný přístup pomáhá řešit:

Závěr: proměňte svůj datový hřbitov ve strategickou výhodu

O šest týdnů později provedla Maria auditora GDPR výsledky práce svého týmu. Sklad byl prázdný. Namísto něj existoval digitální archiv obsahující pečlivý záznam ke každému vyřazenému aktivu: logy evidence aktiv, zprávy o klasifikaci dat, postupy sanitizace a podepsané certifikáty o zničení. To, co dříve vyvolávalo obavy, se stalo ukázkou vyspělého řízení rizik.

Datový hřbitov je příznakem reaktivní bezpečnostní kultury. Jeho proměna vyžaduje proaktivní přístup řízený politikou. Vyžaduje, abychom likvidaci dat nevnímali jako IT úklid, ale jako strategickou bezpečnostní funkci, která snižuje riziko, zajišťuje soulad s požadavky a dokládá závazek chránit citlivé informace.

Jste připraveni řešit vlastní datový hřbitov? Začněte vybudováním základů pro přístup k řízení životního cyklu informací, který je založený na důkazech a odolný.

Praktické další kroky:

1. Vybudujte základ: Implementujte jasnou a vymahatelnou politiku pomocí šablon Clarysec, například Politiku uchovávání a likvidace dat nebo Politiku uchovávání a likvidace dat – SME.
2. Zmapujte své prostředí: Vytvořte a udržujte komplexní evidenci všech informačních aktiv. Nemůžete zlikvidovat něco, o čem nevíte, že to máte.
3. Definujte a prosazujte uchovávání: Zaveďte formální harmonogram uchovávání dat, který propojí každý typ dat s právním, smluvním nebo obchodním požadavkem, a poté automatizujte jeho prosazování.
4. Zaveďte bezpečnou likvidaci do provozu: Integrujte postupy bezpečného mazání a sanitizace do standardních provozních postupů pro vyřazování IT aktiv z provozu.
5. Dokumentujte vše: Vytvořte a udržujte auditně obhajitelnou stopu pro každý úkon likvidace, včetně logů, tiketů a certifikátů třetích stran.
6. Rozšiřte požadavky na dodavatelský řetězec: Zajistěte, aby smlouvy s poskytovateli cloudu a dalšími dodavateli obsahovaly přísné požadavky na bezpečnou likvidaci dat a vyžadovaly důkaz souladu.

Každý bajt zbytečných dat představuje riziko. Získejte zpět kontrolu, posilte soulad s požadavky, zjednodušte audity a snižte expozici vůči narušení bezpečnosti.

Kontaktujte nás pro ukázku nebo si projděte celou knihovnu Zenith Blueprint a Zenith Controls a začněte svou cestu.