An reilig sonraí: treoir don Phríomhoifigeach Slándála Faisnéise maidir le diúscairt sonraí chomhlíontach in-iniúchta

Mhothaigh Maria, Príomhoifigeach Slándála Faisnéise (CISO) i ngnólacht fintech a bhí ag fás go tapa, an teannas aithnidiúil ina boilg. Bhí iniúchadh seachtrach GDPR sé seachtaine uaithi, agus nocht seiceáil ghnáthaimh ar an bhFardal Sócmhainní taibhse ó stair na cuideachta: seomra stórála faoi ghlas sa sean-oifig, lán le freastalaithe díchoimisiúnaithe, téipeanna cúltaca faoi dheannach, agus carn seanríomhairí glúine fostaithe. Ní fadhb dhearmadta a thuilleadh a bhí sa “reilig sonraí”, mar a thug a foireann uirthi go gruama. Ba bhuama comhlíonta é a bhí ag comhaireamh síos.

Cé na sonraí íogaire custaiméara, maoin intleachtúil nó faisnéis inaitheanta phearsanta (PII) a bhí fós ar na tiomántáin sin? Ar sláintíodh aon chuid díobh i gceart? An raibh taifid ann fiú chun é sin a chruthú? Ba é easpa freagraí an fíorbhagairt. I saol na slándála faisnéise, féadfaidh an rud nach bhfuil ar eolas agat dochar a dhéanamh duit — agus is minic a dhéanfaidh.

Ní cás eisceachtúil é seo do Maria amháin. Do líon mór Príomhoifigeach Slándála Faisnéise, bainisteoirí comhlíonta agus úinéirí gnó, is riosca ollmhór neamhchainníochtaithe iad sonraí oidhreachta. Is dliteanas ciúin iad a mhéadaíonn do dhromchla ionsaithe, a chuireann castacht le hiarrataí ó ábhair sonraí, agus a chruthaíonn páirc mhianaigh d’iniúchóirí. Tá an bhuncheist simplí ach thar a bheith dúshlánach: cad ba cheart duit a dhéanamh le sonraí íogaire nach bhfuil gá agat leo a thuilleadh? Ní leor “delete” a bhrú. Is éard atá i gceist ná próiseas inchosanta, in-athdhéanta agus in-iniúchta a thógáil do bhainistíocht shaolré faisnéise, ón gcruthú go dtí an scriosadh slán.

Na geallta arda a bhaineann le sonraí a charnadh

Is iarsma de ré atá thart é sonraí a choinneáil go deo “ar eagla na heagla”. Sa lá atá inniu ann, is straitéis í atá contúirteach go hinléirithe. Má fhanann sonraí íogaire thar a saol úsáideach nó riachtanach, nochtar an eagraíocht do raon bagairtí, ó phionóis chomhlíonta agus sáruithe príobháideachais go sceitheadh de thaisme agus fiú dúshaothrú trí earraí fuascailte.

Cruthaíonn coinneáil sonraí thar a ndáta coinneála roinnt rioscaí criticiúla:

• Teip comhlíonta: Tá rialálaithe ag géarú ar choinneáil sonraí nach bhfuil gá léi. Is sárú díreach ar phrionsabail phríobháideachais í reilig sonraí agus d’fhéadfadh fíneálacha suntasacha a bheith mar thoradh uirthi.
• Tionchar sáraithe méadaithe: Má tharlaíonn sárú, éiríonn gach píosa sonraí oidhreachta atá agat ina dhliteanas. Tá i bhfad níos mó damáiste i gceist má eis-scaoileann ionsaitheoir cúig bliana de sheanshonraí custaiméara seachas bliain amháin díobh.
• Neamhéifeachtúlacht oibríochtúil: Ídíonn bainistiú, daingniú agus cuardach trí shléibhte sonraí neamhábhartha acmhainní, moillíonn sé córais, agus déanann sé beagnach dodhéanta iarrataí “ceart chun léirscriosta” faoi GDPR a chomhlíonadh.

Creideann go leor eagraíochtaí, trí dhearmad, go n-imíonn sonraí má bhrúitear ‘delete’ nó má bhaintear iontráil as bunachar sonraí. Is annamh a tharlaíonn sé sin, agus fágann sé sonraí iarmharacha ar fud tírdhreacha fisiciúla, fíorúla agus néil.

Sainorduithe rialála: deireadh le “coinnigh go deo é”

Tá na rialacha athraithe. Éilíonn comhleá rialachán domhanda go sainráite nach gcoinneofar faisnéis phearsanta agus íogair ach chomh fada agus is gá agus go léirscriosfar í go slán nuair a thagann deireadh leis an tréimhse sin. Ní moladh é seo; is sainordú dlíthiúil agus oibríochtúil é.

Achoimríonn Zenith Blueprint: treochlár 30 céim don iniúchóir de chuid Clarysec an riachtanas trasrialála maidir le diúscairt shlán sonraí:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): Éilíonn sé nach gcoinneofar sonraí pearsanta níos faide ná mar is gá, tacaíonn sé leis an gceart chun léirscriosta (“ceart go ndéanfaí dearmad”), agus forordaíonn sé léirscrios slán nuair nach bhfuil gá leis na sonraí a thuilleadh.
✓ NIS2 Article 21(2)(a, d): Éilíonn sé bearta teicniúla agus eagraíochtúla bunaithe ar riosca chun a chinntiú go scriostar sonraí go slán nuair nach bhfuil siad riachtanach.
✓ DORA Article 9(2)(a–c): Éilíonn sé cosaint faisnéise íogaire ar feadh a saolré, lena n-áirítear scriosadh slán.
✓ COBIT 2019 – DSS01.05 & DSS05.07: Pléann sé scriosadh slán sonraí, scriosadh meán, agus baint sócmhainní faisnéise ag deireadh a saoil.
✓ ITAF 4th Edition – Domain 2.1.6: Éilíonn sé fianaise ar scriosadh agus diúscairt shlán sonraí i gcomhréir le hoibleagáidí dlíthiúla agus rialála.

Ciallaíonn sé seo go gcaithfidh próisis dhoiciméadaithe, curtha chun feidhme agus in-iniúchta a bheith ag d’eagraíocht le haghaidh scriosadh sonraí. Ní bhaineann sé seo le taifid pháipéir ná le tiomántáin chrua amháin, ach le gach cúinne de d’eastát digiteach, lena n-áirítear stóráil néil, cúltacaí, sonraí feidhmchlár agus soláthraithe tríú páirtí.

Ó chaos go rialú: clár diúscartha faoi threoir beartais a thógáil

Is é an chéad chéim chun buama na reilige sonraí a dhíghníomhachtú creat soiléir údarásach a bhunú. Ní le stiallairí ná le dí-mhaighnéadóirí a thosaíonn clár láidir diúscartha, ach le beartas dea-shainithe. Feidhmíonn an doiciméad seo mar fhoinse aonair na fírinne don eagraíocht ar fad, agus ailíníonn sé foirne gnó, dlí agus TF maidir leis an gcaoi a mbainistítear agus a scriostar sonraí.

Soláthraíonn Beartas um Choinneáil Sonraí agus Diúscairt Sonraí Clarysec treoirphlean dó seo. Luaitear ceann dá chroíchuspóirí go soiléir i gclásal beartais 3.1:

“Chun a chinntiú nach gcoinneofar sonraí ach chomh fada agus is gá ó thaobh dlí, conartha nó oibríochta de, agus go ndiúscrófar iad go slán nuair nach bhfuil siad riachtanach a thuilleadh.”

Aistríonn an ráiteas simplí seo meon na heagraíochta ó “coinnigh gach rud” go “coinnigh an méid atá riachtanach”. Bunaíonn an beartas próiseas foirmiúil lena chinntiú nach mbíonn cinntí treallach, ach go bhfuil siad ceangailte d’oibleagáidí nithiúla. Mar a léiríonn clásal beartais 1.2 sa Bheartas um Choinneáil Sonraí agus Diúscairt Sonraí, tá sé deartha chun tacú le cur chun feidhme ISO/IEC 27001:2022 trí rialú a fhorfheidhmiú ar fhad stórála sonraí agus trí ullmhacht iniúchta agus ullmhacht do chigireachtaí rialála a chinntiú.

D’eagraíochtaí níos lú, d’fhéadfadh beartas fiontraíochta trom a bheith iomarcach. Cuireann an Beartas um Choinneáil Sonraí agus Diúscairt Sonraí - FBM rogha níos caol ar fáil, dírithe ar na bunriachtanais, mar a luaitear i gclásal beartais 1.1:

“Is é cuspóir an bheartais seo rialacha infhorfheidhmithe a shainiú maidir le coinneáil agus diúscairt shlán faisnéise i dtimpeallacht FBM. Cinntíonn sé nach gcoinneofar taifid ach ar feadh na tréimhse a éilítear de réir dlí, oibleagáide conartha nó riachtanais ghnó, agus go scriosfar iad go slán ina dhiaidh sin.”

Cibé acu d’fhiontar nó do FBM atá sé, is é an beartas an bhunchloch. Tugann sé an t-údarás chun gníomhú agus an creat chun a chinntiú go bhfuil gníomhartha comhsheasmhach, inchosanta agus ailínithe le dea-chleachtais slándála.

An plean a chur i gcrích: rialuithe ISO/IEC 27001:2022 i bhfeidhm

Agus beartas i bhfeidhm aici, féadfaidh Maria a phrionsabail a aistriú anois ina ngníomhartha nithiúla, faoi threoir na rialuithe laistigh de ISO/IEC 27001:2022. Tá dhá rialú thar a bheith tábhachtach anseo:

• Rialú 8.10 Scriosadh faisnéise: Éilíonn sé seo gur cheart “faisnéis atá stóráilte i gcórais faisnéise, i ngléasanna nó in aon mheáin stórála eile a scriosadh nuair nach bhfuil gá léi a thuilleadh.”
• Rialú 7.14 Diúscairt shlán nó athúsáid trealaimh: Díríonn sé seo ar na crua-earraí fisiciúla, agus cinntíonn sé go sláintítear meáin stórála i gceart sula ndiúscraítear, sula n-athchuspóraítear nó sula ndíoltar an trealamh.

Ach cad is brí iarbhír le “scriosta go slán”? Seo an áit a ndéanann iniúchóirí idirdhealú idir cleachtas láidir agus cuma bhréagach rialaithe. De réir an Zenith Blueprint, tá fíorscriosadh i bhfad níos mó ná comhad a bhogadh chuig an mbosca athchúrsála. Baineann sé le modhanna a fhágann sonraí do-aisghabhála:

I gcás córais dhigiteacha, ba cheart go gciallódh scriosadh léirscrios slán, ní hamháin ‘delete’ a bhrú ná an bosca athchúrsála a fholmhú. Áirítear le fíorscriosadh:
✓ Na sonraí a fhorscríobh (m.sh., le modhanna DoD 5220.22-M nó NIST 800-88),
✓ Léirscrios cripteagrafach (m.sh., eochracha criptithe a úsáidtear chun na sonraí a chosaint a scriosadh),
✓ Nó uirlisí scriosta slána a chur i bhfeidhm sula ndéantar gléasanna a dhíchoimisiúnú.

Maidir le taifid fhisiciúla, molann an Zenith Blueprint stialladh trasghearrtha, loisciú, nó seirbhísí diúscartha deimhnithe a úsáid. Cuidíonn an treoir phraiticiúil seo le heagraíochtaí bogadh ó bheartas go nós imeachta, trí na céimeanna teicniúla beachta is gá chun cuspóir an rialaithe a bhaint amach a shainiú.

Amharc iomlánaíoch: líonra slándála idirnasctha na diúscartha

Ní tasc aonair neamhspleách é dul i ngleic leis an reilig sonraí. Tá diúscairt éifeachtach sonraí fite fuaite go domhain le fearainn slándála eile. Seo an áit a mbíonn amharc iomlánaíoch, mar a sholáthraíonn Zenith Controls: an treoir thraschomhlíonta de chuid Clarysec, fíor-riachtanach. Feidhmíonn sé mar chompás, ag léiriú conas a bhíonn rialú amháin ag brath ar go leor rialuithe eile chun feidhmiú go héifeachtach.

Scrúdaímis Rialú 7.14 (Diúscairt shlán nó athúsáid trealaimh) tríd an lionsa seo. Léiríonn treoir Zenith Controls nach gníomhaíocht leithlisithe í. Braitheann a rath ar líonra rialuithe gaolmhara:

• 5.9 Fardal sócmhainní: Ní féidir leat rud nach bhfuil ar eolas agat a dhiúscairt go slán. Ní mór do chéad chéim Maria a bheith ann fardal a dhéanamh de gach freastalaí, ríomhaire glúine agus téip sa seomra stórála sin. Is é Fardal Sócmhainní cruinn an bonn.
• 5.12 Aicmiú faisnéise: Braitheann an modh diúscartha ar íogaireacht na sonraí. Ní mór duit a bheith ar an eolas faoina bhfuil á scriosadh agat chun an leibhéal sláintithe cuí a roghnú.
• 5.34 Príobháideachas agus cosaint PII: Is minic a bhíonn sonraí pearsanta ar threalamh. Ní mór don phróiseas diúscartha a chinntiú go scriostar gach PII go dochúlaithe, agus é ceangailte go díreach le hoibleagáidí príobháideachais faoi rialacháin amhail GDPR.
• 8.10 Scriosadh faisnéise: Soláthraíonn an rialú seo an “cad” (faisnéis a scriosadh nuair nach bhfuil gá léi a thuilleadh), agus soláthraíonn 7.14 an “conas” do na meáin fhisiciúla bhunúsacha. Dhá thaobh den bhonn céanna iad.
• 5.37 Nósanna imeachta oibriúcháin doiciméadaithe: Ní mór do dhiúscairt shlán próiseas sainithe, in-athdhéanta a leanúint chun comhsheasmhacht a chinntiú agus rian iniúchta a chruthú. Is bratach dhearg d’aon iniúchóir iad diúscairtí ad hoc.

Léiríonn an t-idirnascthacht seo go gcaitheann clár slándála aibí le diúscairt sonraí ní mar thasc glantacháin, ach mar chuid chomhtháite dá Chóras Bainistíochta Slándála Faisnéise (ISMS).

Léargas teicniúil domhain: sláintiú meán agus caighdeáin tacaíochta

Chun na rialuithe seo a chur chun feidhme go héifeachtach, tá sé ríthábhachtach na leibhéil éagsúla sláintithe meán a thuiscint, mar atá leagtha amach i gcreataí amhail NIST SP 800-88. Cuireann na modhanna seo cur chuige sraitheach ar fáil chun a chinntiú go bhfuil sonraí do-aisghabhála, de réir a n-íogaireachta.

Braitheann roghnú an mhodha cheart ar aicmiú na sonraí. Tá treoir ó chaighdeáin speisialaithe thar a bheith luachmhar anseo. Tarraingíonn clár láidir ar raon leathan creataí tacaíochta seachas ISO/IEC 27001:2022 amháin.

Tá an t-iniúchóir ag teacht: conas a chruthú go n-oibríonn do phróiseas

Ní leor an rud ceart a dhéanamh chun pas a fháil in iniúchadh; ní mór duit a chruthú go ndearna tú an rud ceart. Do Maria, ciallaíonn sé seo gach céim den phróiseas diúscartha a dhoiciméadú do na sócmhainní ina reilig sonraí. Soláthraíonn an Zenith Blueprint seicliosta soiléir den mhéid a éileoidh iniúchóirí le haghaidh Rialú 8.10 (Scriosadh faisnéise):

“Cuir do Bheartas Scriosta Faisnéise ar fáil… Léirigh forfheidhmiú teicniúil trí shocruithe coinneála atá cumraithe i do chórais ghnó… Féadfaidh siad fianaise a iarraidh ar mhodhanna scriosta slána: dioscaí a ghlanadh le huirlisí ceadaithe… nó diúscairt shlán doiciméad. Má scriosann tú sonraí ar dhul in éag conartha… taispeáin an rian iniúchta nó an ticéad a dheimhníonn é.”

Chun iniúchóirí a shásamh, ní mór duit pacáiste cuimsitheach fianaise a chruthú do gach imeacht diúscartha. Tá Clár Scriosta Sonraí riachtanach.

Tábla samplach rian iniúchta

Téann iniúchóirí i ngleic leis seo ó pheirspictíochtaí éagsúla. Sonraíonn treoir Zenith Controls conas a dhéanann creataí iniúchta éagsúla grinnscrúdú ar an bpróiseas:

Gaistí coitianta agus conas iad a sheachaint

Fiú agus beartas i bhfeidhm, teipeann ar go leor eagraíochtaí le linn cur chun feidhme. Seo gaistí coitianta agus conas a chuidíonn cur chuige struchtúrtha leo a réiteach:

Conclúid: déan buntáiste straitéiseach de do reilig sonraí

Sé seachtaine ina dhiaidh sin, threoraigh Maria an t-iniúchóir GDPR trí obair a foirne. Bhí an seomra stórála folamh. Ina áit bhí cartlann dhigiteach ina raibh taifead mionchruinn do gach sócmhainn dhíchoimisiúnaithe: logaí fardail, tuarascálacha Aicmithe Sonraí, nósanna imeachta sláintithe, agus deimhnithe scriosta sínithe. Rud a bhí ina fhoinse imní tráth, bhí sé anois ina thaispeántas de bhainistíocht riosca aibí.

Is comhartha de chultúr slándála imoibríoch í an reilig sonraí. Chun í a athrú, teastaíonn cur chuige réamhghníomhach faoi threoir beartais. Éilíonn sé go bhfeicfimid diúscairt sonraí ní mar obair ghlantacháin TF, ach mar fheidhm straitéiseach slándála a laghdaíonn riosca, a chinntíonn comhlíonadh, agus a léiríonn tiomantas d’fhaisnéis íogair a chosaint.

Réidh chun dul i ngleic le do reilig sonraí féin? Tosaigh tríd an mbunús a thógáil do chur chuige athléimneach, bunaithe ar fhianaise, i leith bainistíocht shaolré faisnéise.

Na chéad chéimeanna inghníomhaithe:

1. Bunaigh an bonn: Cuir beartas soiléir infhorfheidhmithe i bhfeidhm ag úsáid teimpléid Clarysec, amhail an Beartas um Choinneáil Sonraí agus Diúscairt Sonraí nó an Beartas um Choinneáil Sonraí agus Diúscairt Sonraí - FBM.
2. Mapáil do thimpeallacht iomlán: Cruthaigh agus cothabháil fardal cuimsitheach de na sócmhainní faisnéise uile. Ní féidir leat rud nach bhfuil ar eolas agat a dhiúscairt.
3. Sainigh agus cuir coinneáil chun feidhme: Bunaigh sceideal coinneála foirmiúil a nascann gach cineál sonraí le ceanglas dlíthiúil, conarthach nó gnó, agus ansin uathoibrigh a chur chun feidhme.
4. Cuir diúscairt shlán i bhfeidhm go hoibríochtúil: Comhtháthaigh nósanna imeachta slána scriosta agus sláintithe isteach i do nósanna imeachta caighdeánacha oibriúcháin do dhíchoimisiúnú sócmhainní TF.
5. Doiciméadaigh gach rud: Cruthaigh agus cothabháil rian iniúchta do-athraithe do gach gníomh diúscartha, lena n-áirítear logaí, ticéid agus deimhnithe tríú páirtí.
6. Síneadh chuig do shlabhra soláthair: Cinntigh go bhfuil ceanglais dhiana i do chonarthaí le soláthraithe néil agus soláthraithe eile maidir le diúscairt shlán sonraí agus éiligh cruthúnas comhlíonta.

Is riosca é gach beart sonraí nach bhfuil gá leis. Tóg an rialú ar ais, cruaigh do chomhlíonadh, sruthlínigh iniúchtaí, agus laghdaigh nochtadh sáraithe.

Déan teagmháil linn le haghaidh taispeántais nó féach ar leabharlann iomlán Zenith Blueprint agus Zenith Controls chun tús a chur le do thuras.