Andmekalmistu: infoturbejuhi juhend nõuetekohaseks ja auditeeritavaks andmete kõrvaldamiseks

Maria, kiiresti kasvava finantstehnoloogia ettevõtte infoturbejuht, tundis tuttavat pinget kõhus. Väline GDPR audit pidi toimuma kuue nädala pärast ning tavapärane varade registri kontroll oli just toonud päevavalgele ettevõtte minevikust pärit varju: lukustatud laoruumi vanas kontorihoones, mis oli täis kasutuselt kõrvaldatud servereid, tolmuseid varulinte ja virnades vanu töötajate sülearvuteid. „Andmekalmistu“, nagu tema meeskond seda süngelt nimetas, ei olnud enam unustatud probleem. See oli tiksuv vastavusnõuete ajapomm.

Millised tundlikud kliendiandmed, intellektuaalomand või isikut tuvastav teave (PII) neil ketastel peitusid? Kas midagi oli nõuetekohaselt puhastatud? Kas selle tõendamiseks olid üldse olemas kirjed? Tegelik oht seisnes vastuste puudumises. Infoturbes võib teadmatus organisatsiooni kahjustada — ja sageli kahjustabki.

See stsenaarium ei ole Maria puhul erandlik. Lugematute infoturbejuhtide, vastavusjuhtide ja ettevõtte omanike jaoks kujutavad pärandandmed endast suurt, kvantifitseerimata riski. See on vaikne riskikohustis, mis suurendab ründepinda, raskendab andmesubjekti taotluste täitmist ja loob audiitoritele miinivälja. Põhiküsimus on lihtne, kuid sisuliselt keeruline: mida teha tundlike andmetega, mida enam ei vajata? Vastus ei ole lihtsalt „kustuta“ nupu vajutamine. Küsimus on kaitstava, korratava ja auditeeritava protsessi loomises teabe elutsükli haldamiseks alates loomisest kuni turvalise hävitamiseni.

Andmete ülemäärase säilitamise kõrge hind

Andmete tähtajatult „igaks juhuks“ alles hoidmine on möödunud ajastu jäänuk. Tänapäeval on see tõendatavalt ohtlik strateegia. Tundlikud andmed, mis jäävad alles pärast oma kasuliku või nõutud eluea lõppu, seavad organisatsiooni silmitsi paljude ohtudega alates vastavusega seotud trahvidest ja isikuandmetega seotud rikkumistest kuni juhuslike lekete ning isegi lunavaraga seotud väljapressimiseni.

Andmete hoidmine pärast nende säilitustähtaja möödumist tekitab mitu kriitilist riski:

• Vastavusnõuete rikkumine: Regulaatorid pööravad üha suuremat tähelepanu tarbetule andmete säilitamisele. Andmekalmistu on privaatsuspõhimõtete otsene rikkumine ja võib kaasa tuua märkimisväärsed trahvid.
• Suurem rikkumise mõju: Kui rikkumine toimub, muutub iga alles hoitud pärandandmete kogum kohustiseks. Ründaja, kes viib välja viie aasta vanuseid kliendiandmeid, tekitab kordades suuremat kahju kui ühe aasta andmete väljaviimine.
• Tööprotsesside ebatõhusus: Ebaoluliste andmemasside haldamine, turvamine ja läbivaatamine kulutab ressursse, aeglustab süsteeme ning muudab GDPR-i kohaste „õigus andmete kustutamisele“ taotluste täitmise peaaegu võimatuks.

Paljud organisatsioonid usuvad ekslikult, et „kustuta“ nupu vajutamine või andmebaasikirje eemaldamine muudab andmed olematuks. Enamasti see nii ei ole ning jääkandmed jäävad alles füüsilistes, virtuaalsetes ja pilvekeskkondades.

Regulatiivsed nõuded: „hoia igavesti“ ajastu lõpp

Reeglid on muutunud. Üleilmsete õigusaktide koondumine nõuab selgelt, et isikuandmeid ja tundlikku teavet säilitatakse ainult nii kaua, kui see on vajalik, ning pärast selle perioodi lõppu kustutatakse need turvaliselt. See ei ole soovitus, vaid õiguslik ja operatiivne nõue.

Clarysec Zenith Blueprint: audiitori 30-sammuline tegevuskava võtab turvalise andmete kõrvaldamise õigusaktideülese nõude kokku järgmiselt:

✓ GDPR artikkel 5(1)(e), artikkel 17, artikkel 32(1)(b–d): nõuab, et isikuandmeid ei säilitataks kauem kui vajalik, toetab õigust andmete kustutamisele („õigus olla unustatud“) ning kohustab turvaliselt kustutama andmed, mida enam ei vajata.
✓ NIS2 artikkel 21(2)(a, d): nõuab riskipõhiseid tehnilisi ja korralduslikke meetmeid, et tagada andmete turvaline kustutamine, kui neid enam ei vajata.
✓ DORA artikkel 9(2)(a–c): nõuab tundliku teabe kaitset kogu selle elutsükli jooksul, sealhulgas turvalist hävitamist.
✓ COBIT 2019 – DSS01.05 ja DSS05.07: käsitleb turvalist andmete kustutamist, andmekandjate hävitamist ning teabevarade eemaldamist elutsükli lõpus.
✓ ITAF 4th Edition – domeen 2.1.6: nõuab tõendusmaterjali turvalise andmete hävitamise ja kõrvaldamise kohta kooskõlas õiguslike ja regulatiivsete kohustustega.

See tähendab, et organisatsioonil peavad olema dokumenteeritud, rakendatud ja auditeeritavad protsessid andmete kustutamiseks. See ei kehti ainult paberkandjal kirjete või kõvaketaste kohta, vaid kogu digitaalse keskkonna kohta, sealhulgas pilvesalvestus, varukoopiad, rakendusandmed ja kolmandatest osapooltest tarnijad.

Kaosest kontrollini: poliitikapõhise kõrvaldamisprogrammi loomine

Esimene samm andmekalmistu ajapommi kahjutuks tegemisel on selge ja autoriteetse raamistiku kehtestamine. Tugev kõrvaldamisprogramm ei alga paberihuntidest ja demagnetiseerimisseadmetest, vaid hästi määratletud poliitikast. See dokument on kogu organisatsiooni ühtne tõeallikas, mis joondab äri-, õigus- ja IT-meeskonnad selles, kuidas andmeid hallatakse ja hävitatakse.

Clarysec andmete säilitamise ja kõrvaldamise poliitika annab selleks tegevusmudeli. Üks selle põhieesmärkidest on poliitika punktis 3.1 sõnastatud selgelt:

„Tagada, et andmeid säilitatakse ainult nii kaua, kui see on õiguslikult, lepinguliselt või operatiivselt vajalik, ning kõrvaldatakse turvaliselt, kui neid enam ei vajata.“

See lihtne väide nihutab organisatsiooni mõtteviisi põhimõttelt „säilitame kõik“ põhimõttele „säilitame vajaliku“. Poliitika kehtestab ametliku protsessi ja tagab, et otsused ei ole meelevaldsed, vaid seotud konkreetsete kohustustega. Nagu andmete säilitamise ja kõrvaldamise poliitika punkt 1.2 rõhutab, on see loodud toetama ISO/IEC 27001:2022 rakendamist, kehtestades kontrolli andmete säilitamise kestuse üle ning tagades valmisoleku audititeks ja regulatiivseteks kontrollideks.

Väiksemate organisatsioonide jaoks võib mahukas ettevõttepoliitika olla ülemäärane. Andmete säilitamise ja kõrvaldamise poliitika – VKE pakub lihtsustatud alternatiivi, keskendudes põhilisele, nagu on sätestatud poliitika punktis 1.1:

„Selle poliitika eesmärk on määratleda jõustatavad reeglid teabe säilitamiseks ja turvaliseks kõrvaldamiseks VKE keskkonnas. See tagab, et kirjeid säilitatakse ainult seadusest, lepingulisest kohustusest või ärivajadusest tuleneva aja jooksul ning seejärel hävitatakse need turvaliselt.“

Olgu tegemist suurettevõtte või VKE-ga, poliitika on nurgakivi. See annab volituse tegutseda ja raamistiku, mis tagab tegevuste järjepidevuse, kaitstavuse ning kooskõla infoturbe heade tavadega.

Plaani elluviimine: ISO/IEC 27001:2022 kontrollimeetmed praktikas

Kui poliitika on kehtestatud, saab Maria selle põhimõtted muuta konkreetseteks tegevusteks, lähtudes ISO/IEC 27001:2022 kontrollimeetmetest. Kaks kontrollimeedet on siin keskse tähtsusega:

• Kontrollimeede 8.10 Teabe kustutamine: see nõuab, et „infosüsteemides, seadmetes või muudel andmekandjatel salvestatud teave kustutatakse, kui seda enam ei vajata“.
• Kontrollimeede 7.14 Seadmete turvaline kõrvaldamine või taaskasutamine: see keskendub füüsilisele riistvarale, tagades, et andmekandjad puhastatakse nõuetekohaselt enne seadmete kõrvaldamist, ümberotstarbelist kasutamist või müümist.

Mida „turvaliselt kustutatud“ tegelikult tähendab? Just siin eristavad audiitorid sisulised rakendajad nendest, kellel on vaid näiline kontroll. Zenith Blueprint järgi on tegelik kustutamine palju enamat kui faili prügikasti teisaldamine. See hõlmab meetodeid, mis muudavad andmed taastamatuks:

Digisüsteemides peaks kustutamine tähendama turvalist kustutamist, mitte lihtsalt „kustuta“ nupu vajutamist või prügikasti tühjendamist. Tegelik kustutamine hõlmab järgmist:
✓ andmete ülekirjutamine (nt DoD 5220.22-M või NIST 800-88 meetoditega),
✓ krüptograafiline kustutamine (nt andmete kaitseks kasutatud krüpteerimisvõtmete hävitamine),
✓ või turvaliste pühkimistööriistade kasutamine enne seadmete kasutuselt kõrvaldamist.

Füüsiliste kirjete puhul soovitab Zenith Blueprint ristlõikega purustamist, põletamist või sertifitseeritud kõrvaldamisteenuste kasutamist. See praktiline juhis aitab organisatsioonidel liikuda poliitikast protseduurini, määratledes täpsed tehnilised sammud, mis on vajalikud kontrollimeetme eesmärgi täitmiseks.

Terviklik vaade: andmete kõrvaldamise omavahel seotud turbevõrgustik

Andmekalmistu lahendamine ei ole üheainsa töövoo ülesanne. Tõhus andmete kõrvaldamine on tihedalt seotud teiste infoturbevaldkondadega. Siin muutub hädavajalikuks terviklik vaade, mida pakub Clarysec Zenith Controls: ristvastavuse juhend. See toimib kompassina, näidates, kuidas üks kontrollimeede sõltub tõhusaks toimimiseks paljudest teistest.

Vaatleme selle pilgu läbi kontrollimeedet 7.14 (seadmete turvaline kõrvaldamine või taaskasutamine). Zenith Controls juhend näitab, et see ei ole eraldiseisev tegevus. Selle edukus sõltub seotud kontrollimeetmete võrgustikust:

• 5.9 Varade register: turvaliselt ei saa kõrvaldada seda, mille olemasolust puudub ülevaade. Maria esimene samm peab olema iga serveri, sülearvuti ja lindi arvelevõtmine selles laoruumis. Täpne varade register on alus.
• 5.12 Teabe klassifitseerimine: kõrvaldamismeetod sõltub andmete tundlikkusest. Sobiva puhastustaseme valimiseks tuleb teada, mida hävitatakse.
• 5.34 Privaatsus ja PII kaitse: seadmed sisaldavad sageli isikuandmeid. Kõrvaldamisprotsess peab tagama kogu PII pöördumatu hävitamise, sidudes selle otseselt privaatsuskohustustega selliste õigusaktide nagu GDPR alusel.
• 8.10 Teabe kustutamine: see kontrollimeede annab „mida“ ehk kustutada teave, kui seda enam ei vajata; 7.14 annab „kuidas“ alusandmekandjate puhul. Need on sama mündi kaks külge.
• 5.37 Dokumenteeritud tööprotseduurid: turvaline kõrvaldamine peab järgima määratletud ja korratavat protsessi, et tagada järjepidevus ja luua auditijälg. Ad hoc kõrvaldamised on iga audiitori jaoks ohumärk.

See omavaheline seotus näitab, et küps infoturbeprogramm ei käsitle andmete kõrvaldamist koristustööna, vaid integreeritud osana infoturbe juhtimissüsteemist (ISMS).

Tehniline süvavaade: andmekandjate puhastamine ja toetavad standardid

Nende kontrollimeetmete tõhusaks rakendamiseks on oluline mõista andmekandjate puhastamise eri tasemeid, nagu neid kirjeldavad raamistikud, näiteks NIST SP 800-88. Need meetodid pakuvad kihilist lähenemist, et tagada andmete taastamatus vastavalt nende tundlikkusele.

Õige meetodi valik sõltub andmete klassifikatsioonist. Spetsialiseeritud standardite juhised on siin hindamatu väärtusega. Tugev programm kasutab lisaks ISO/IEC 27001:2022-le laia ringi toetavaid raamistikke.

Audiitor on tulekul: kuidas tõendada, et protsess toimib

Auditi läbimine ei tähenda ainult õigete tegevuste tegemist; see tähendab ka nende tegevuste tõendamist. Maria jaoks tähendab see iga andmekalmistul oleva vara kõrvaldamisprotsessi sammu dokumenteerimist. Zenith Blueprint annab selge kontrollnimekirja sellest, mida audiitorid kontrollimeetme 8.10 (teabe kustutamine) puhul nõuavad:

„Esitage oma teabe kustutamise poliitika… Tõendage tehnilist rakendamist ärisüsteemides konfigureeritud säilitussätete kaudu… Nad võivad küsida tõendusmaterjali turvaliste kustutusmeetodite kohta: ketaste pühkimine heakskiidetud tööriistadega… või dokumentide turvaline kõrvaldamine. Kui kustutate andmed lepingu lõppemisel… näidake seda kinnitavat auditijälge või piletit.“

Audiitorite nõuete täitmiseks tuleb iga kõrvaldamissündmuse kohta luua terviklik tõenduspakett. Andmete kustutamise register on hädavajalik.

Auditijälje näidistabel

Audiitorid lähenevad sellele eri vaatenurkadest. Zenith Controls juhend kirjeldab, kuidas eri auditiraamistikud protsessi kontrollivad:

Levinud vead ja kuidas neid vältida

Isegi kehtestatud poliitika korral komistavad paljud organisatsioonid teostuses. Allpool on levinud vead ja selgitus, kuidas struktureeritud lähenemine aitab neid lahendada:

Kokkuvõte: muuda andmekalmistu strateegiliseks eeliseks

Kuus nädalat hiljem tutvustas Maria GDPR audiitorile oma meeskonna tööd. Laoruum oli tühi. Selle asemel oli olemas digitaalne arhiiv, mis sisaldas iga kasutuselt kõrvaldatud vara kohta põhjalikke kirjeid: vararegistri logid, andmete klassifitseerimise aruanded, puhastusprotseduurid ja allkirjastatud hävitamissertifikaadid. See, mis oli varem ärevuse allikas, oli nüüd küpse riskijuhtimise näidis.

Andmekalmistu on reaktiivse turbekultuuri sümptom. Selle muutmine nõuab proaktiivset ja poliitikapõhist lähenemist. See eeldab, et andmete kõrvaldamist ei käsitleta IT-koristustööna, vaid strateegilise turbefunktsioonina, mis vähendab riski, tagab vastavuse ja näitab pühendumust tundliku teabe kaitsmisele.

Kas oled valmis oma andmekalmistuga tegelema? Alusta tõenduspõhise ja vastupidava teabe elutsükli halduse aluse loomisest.

Rakendatavad järgmised sammud:

1. Loo alus: rakenda selge ja jõustatav poliitika, kasutades Clarysec malle, näiteks andmete säilitamise ja kõrvaldamise poliitika või andmete säilitamise ja kõrvaldamise poliitika – VKE.
2. Kaardista kogu keskkond: loo ja hoia ajakohasena terviklik kõigi teabevarade register. Sa ei saa kõrvaldada seda, mille olemasolust sul puudub ülevaade.
3. Määratle ja rakenda säilitamine: kehtesta ametlik säilitamisgraafik, mis seob iga andmetüübi õigusliku, lepingulise või ärilise nõudega, ning automatiseeri selle rakendamine.
4. Muuda turvaline kõrvaldamine tööprotsessiks: lõimi turvalise kustutamise ja puhastamise protseduurid IT-varade kasutuselt kõrvaldamise standardtööjuhenditesse.
5. Dokumenteeri kõik: loo ja hoia iga kõrvaldamistoimingu kohta auditikindlat jälge, sealhulgas logid, piletid ja kolmanda osapoole sertifikaadid.
6. Laienda nõuded tarneahelale: veendu, et lepingud pilveteenuse pakkujate ja teiste tarnijatega sisaldavad rangeid nõudeid turvaliseks andmete kõrvaldamiseks ning nõua vastavuse tõendamist.

Iga tarbetute andmete bait on risk. Taasta kontroll, tugevda vastavust, lihtsusta auditeid ja vähenda rikkumise mõju.

Võta meiega ühendust demonstratsiooni saamiseks või tutvu kogu Zenith Blueprint ja Zenith Controls teegiga, et oma teekonda alustada.