Datu kapsēta: CISO ceļvedis atbilstīgai un auditējamai datu likvidēšanai

Marija, strauji augoša finanšu tehnoloģiju uzņēmuma CISO, sajuta pazīstamu saspringumu. Līdz ārējam GDPR auditam bija atlikušas sešas nedēļas, un kārtējā aktīvu uzskaites pārbaude tikko bija atklājusi uzņēmuma pagātnes “rēgu”: aizslēgtu noliktavas telpu vecajā biroja ēkā, pilnu ar no ekspluatācijas izņemtiem serveriem, putekļainām rezerves kopiju lentēm un vecu darbinieku klēpjdatoru kaudzēm. “Datu kapsēta”, kā komanda to drūmi dēvēja, vairs nebija aizmirsta problēma. Tā bija tikšķoša atbilstības bumba.

Kādi sensitīvi klientu dati, intelektuālais īpašums vai personiski identificējama informācija (PII) slēpās šajos diskos? Vai kaut kas no tā bija pienācīgi sanitizēts? Vai vispār pastāvēja ieraksti, kas to pierādītu? Patiesais apdraudējums bija atbilžu trūkums. Informācijas drošībā tas, ko nezināt, var kaitēt — un bieži arī kaitē.

Šis scenārijs nav unikāls Marijas gadījums. Neskaitāmiem CISO, atbilstības vadītājiem un uzņēmumu īpašniekiem mantotie dati nozīmē milzīgu, neizmērītu risku. Tie ir kluss saistību avots, kas palielina uzbrukuma virsmu, sarežģī datu subjektu pieprasījumu izpildi un rada auditoriem bīstamu neatbilstību lauku. Pamatjautājums ir vienkāršs, bet ārkārtīgi sarežģīts: ko darīt ar sensitīviem datiem, kas vairs nav nepieciešami? Atbilde nav vienkārši nospiest “Delete”. Runa ir par aizstāvama, atkārtojama un auditējama procesa izveidi informācijas dzīves cikla pārvaldībai — no izveides līdz drošai iznīcināšanai.

Datu uzkrāšanas augstā cena

Datu glabāšana mūžīgi “katram gadījumam” ir pagājuša laikmeta relikts. Šodien tā ir acīmredzami bīstama stratēģija. Sensitīvi dati, kas tiek glabāti ilgāk par to lietderīgo vai noteikto dzīves ciklu, pakļauj organizāciju dažādiem apdraudējumiem — no atbilstības sankcijām un privātuma pārkāpumiem līdz nejaušām datu noplūdēm un pat izspiedējprogrammatūras šantāžai.

Datu glabāšana pēc to glabāšanas termiņa beigām rada vairākus kritiskus riskus:

• Neatbilstība: Regulatori arvien stingrāk vēršas pret nevajadzīgu datu glabāšanu. Datu kapsēta ir tiešs privātuma principu pārkāpums un var novest pie būtiskiem naudas sodiem.
• Palielināta drošības pārkāpuma ietekme: Ja notiek drošības pārkāpums, katrs saglabātais mantoto datu fragments kļūst par saistību avotu. Uzbrucējam eksfiltrējot piecus gadus vecus klientu datus, kaitējums ir eksponenciāli lielāks nekā viena gada datu eksfiltrācijas gadījumā.
• Operacionālā neefektivitāte: Nebūtisku datu kalnu pārvaldība, aizsardzība un pārmeklēšana patērē resursus, palēnina sistēmas un padara GDPR paredzēto “tiesību uz dzēšanu” pieprasījumu izpildi gandrīz neiespējamu.

Daudzas organizācijas kļūdaini uzskata, ka, nospiežot “Delete” vai noņemot ierakstu no datubāzes, dati pazūd. Parasti tā nenotiek, un fiziskajās, virtuālajās un mākoņvidēs saglabājas atlikušie dati.

Normatīvās prasības: “glabāt mūžīgi” ēras beigas

Noteikumi ir mainījušies. Globālo regulējumu kopums skaidri prasa, lai personas dati un sensitīva informācija tiktu glabāta tikai tik ilgi, cik nepieciešams, un droši dzēsta, kad šis periods beidzas. Tas nav ieteikums; tas ir juridisks un operacionāls pienākums.

Clarysec Zenith Blueprint: auditora 30 soļu ceļvedis apkopo starpregulatīvās prasības drošai datu likvidēšanai:

✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): prasa, lai personas dati netiktu glabāti ilgāk, nekā nepieciešams, atbalsta tiesības uz dzēšanu (“tiesības tikt aizmirstam”) un nosaka drošu dzēšanu, kad dati vairs nav nepieciešami.
✓ NIS2 Article 21(2)(a, d): prasa uz risku balstītus tehniskos un organizatoriskos pasākumus, lai nodrošinātu datu drošu dzēšanu, kad tie vairs nav vajadzīgi.
✓ DORA Article 9(2)(a–c): prasa sensitīvas informācijas aizsardzību visā tās dzīves ciklā, tostarp drošu iznīcināšanu.
✓ COBIT 2019 – DSS01.05 & DSS05.07: aptver drošu datu dzēšanu, datu nesēju iznīcināšanu un informācijas aktīvu noņemšanu dzīves cikla beigās.
✓ ITAF 4th Edition – Domain 2.1.6: prasa pierādījumus par drošu datu iznīcināšanu un likvidēšanu atbilstoši juridiskajiem un normatīvajiem pienākumiem.

Tas nozīmē, ka organizācijai jābūt dokumentētiem, piemērotiem un auditējamiem datu dzēšanas procesiem. Tas attiecas ne tikai uz papīra ierakstiem vai cietajiem diskiem, bet uz visu digitālo vidi, tostarp mākoņkrātuvēm, rezerves kopijām, lietojumprogrammu datiem un trešo pušu piegādātājiem.

No haosa līdz kontrolei: politikas vadītas likvidēšanas programmas izveide

Pirmais solis datu kapsētas bumbas neitralizēšanā ir skaidra un autoritatīva ietvara izveide. Spēcīga likvidēšanas programma sākas nevis ar smalcinātājiem un degauseriem, bet ar skaidri definētu politiku. Šis dokuments kalpo kā vienotais patiesības avots visai organizācijai, saskaņojot uzņēmējdarbības, juridiskās un IT komandas par to, kā dati tiek pārvaldīti un iznīcināti.

Clarysec Datu glabāšanas un likvidēšanas politika sniedz šādu paraugu. Viens no tās pamatmērķiem politikas 3.1. punktā ir formulēts skaidri:

“Nodrošināt, ka dati tiek glabāti tikai tik ilgi, cik tas ir juridiski, līgumiski vai operacionāli nepieciešams, un tiek droši likvidēti, kad tie vairs nav vajadzīgi.”

Šis vienkāršais formulējums maina organizācijas domāšanu no “glabāt visu” uz “glabāt nepieciešamo”. Politika izveido formālu procesu, nodrošinot, ka lēmumi nav patvaļīgi, bet ir piesaistīti konkrētiem pienākumiem. Kā uzsvērts Datu glabāšanas un likvidēšanas politikas 1.2. punktā, tā ir izstrādāta, lai atbalstītu ISO/IEC 27001:2022 ieviešanu, piemērojot kontroli pār datu glabāšanas ilgumu un nodrošinot gatavību auditiem un regulatīvajām pārbaudēm.

Mazākām organizācijām pilna apjoma uzņēmuma politika var būt pārmērīga. Datu glabāšanas un likvidēšanas politika — MVU piedāvā vienkāršotu alternatīvu, koncentrējoties uz būtisko, kā norādīts politikas 1.1. punktā:

“Šīs politikas mērķis ir noteikt piemērojamus noteikumus informācijas glabāšanai un drošai likvidēšanai MVU vidē. Tā nodrošina, ka ieraksti tiek glabāti tikai tik ilgi, cik to prasa likums, līgumisks pienākums vai uzņēmējdarbības nepieciešamība, un pēc tam tiek droši iznīcināti.”

Neatkarīgi no tā, vai runa ir par lielu uzņēmumu vai MVU, politika ir pamats. Tā nodrošina pilnvaras rīkoties un ietvaru, lai darbības būtu konsekventas, pamatotas un saskaņotas ar drošības labāko praksi.

Plāna īstenošana: ISO/IEC 27001:2022 kontroles pasākumi praksē

Kad politika ir ieviesta, Marija var pārvērst tās principus konkrētās darbībās, vadoties pēc ISO/IEC 27001:2022 kontroles pasākumiem. Šeit izšķiroši ir divi kontroles pasākumi:

• Kontrole 8.10 Informācijas dzēšana: tā prasa, lai “informācija, kas glabāta informācijas sistēmās, ierīcēs vai jebkuros citos datu nesējos, tiktu dzēsta, kad tā vairs nav nepieciešama”.
• Kontrole 7.14 Iekārtu droša likvidēšana vai atkārtota izmantošana: tā koncentrējas uz fizisko aparatūru, nodrošinot, ka datu nesēji tiek pienācīgi sanitizēti, pirms iekārta tiek likvidēta, pārprofilēta vai pārdota.

Bet ko patiesībā nozīmē “droši dzēsts”? Šeit auditori atšķir nobriedušas organizācijas no tām, kas tikai rada atbilstības iespaidu. Saskaņā ar Zenith Blueprint, patiesa dzēšana ir daudz vairāk nekā faila pārvietošana uz atkritni. Tā ietver metodes, kas padara datus neatgūstamus:

Digitālajās sistēmās dzēšanai jānozīmē droša dzēšana, nevis tikai “Delete” nospiešana vai atkritnes iztukšošana. Patiesa dzēšana ietver:
✓ datu pārrakstīšanu (piemēram, ar DoD 5220.22-M vai NIST 800-88 metodēm),
✓ kriptogrāfisku dzēšanu (piemēram, iznīcinot šifrēšanas atslēgas, kas izmantotas datu aizsardzībai),
✓ vai drošas dzēšanas utilītu izmantošanu pirms ierīču izņemšanas no ekspluatācijas.

Fiziskajiem ierakstiem Zenith Blueprint iesaka smalcināšanu ar krustgriezuma dokumentu smalcinātāju, sadedzināšanu vai sertificētu likvidēšanas pakalpojumu izmantošanu. Šīs praktiskās vadlīnijas palīdz organizācijām pāriet no politikas uz procedūru, nosakot precīzus tehniskos soļus, kas nepieciešami kontroles mērķa sasniegšanai.

Holistisks skatījums: savstarpēji saistītais likvidēšanas drošības tīkls

Datu kapsētas sakārtošana nav vienas darba plūsmas uzdevums. Efektīva datu likvidēšana ir cieši saistīta ar citām drošības jomām. Tieši šeit neaizstājams kļūst holistisks skatījums, ko sniedz Clarysec Zenith Controls: starpatbilstības ceļvedis. Tas darbojas kā kompass, parādot, kā viens kontroles pasākums balstās uz daudziem citiem, lai darbotos efektīvi.

Aplūkosim Kontroli 7.14 (Iekārtu droša likvidēšana vai atkārtota izmantošana) no šāda skatpunkta. Zenith Controls ceļvedis parāda, ka tā nav izolēta darbība. Tās panākumi ir atkarīgi no saistītu kontroles pasākumu tīkla:

• 5.9 Aktīvu uzskaite: nav iespējams droši likvidēt to, par ko nezināt. Marijas pirmajam solim jābūt katra servera, klēpjdatora un lentes uzskaitei šajā noliktavas telpā. Precīza aktīvu uzskaite ir pamats.
• 5.12 Informācijas klasifikācija: likvidēšanas metode ir atkarīga no datu sensitivitātes. Lai izvēlētos atbilstošu sanitizācijas līmeni, jāzina, kas tiek iznīcināts.
• 5.34 PII privātums un aizsardzība: iekārtās bieži ir personas dati. Likvidēšanas procesam jānodrošina, ka visa PII tiek neatgriezeniski iznīcināta, tieši sasaistot procesu ar privātuma pienākumiem saskaņā ar tādiem regulējumiem kā GDPR.
• 8.10 Informācijas dzēšana: šis kontroles pasākums nosaka “ko” darīt (dzēst informāciju, kad tā vairs nav nepieciešama), savukārt 7.14 nosaka “kā” to darīt attiecībā uz pamatā esošajiem fiziskajiem datu nesējiem. Tie ir vienas monētas divas puses.
• 5.37 Dokumentētas darbības procedūras: drošai likvidēšanai jāseko definētam, atkārtojamam procesam, lai nodrošinātu konsekvenci un izveidotu audita pēdu. Ad hoc likvidēšana jebkuram auditoram ir brīdinājuma signāls.

Šī savstarpējā saistība parāda, ka nobriedusi drošības programma datu likvidēšanu neuztver kā uzkopšanas uzdevumu, bet gan kā integrētu informācijas drošības pārvaldības sistēmas daļu.

Tehniskais padziļinājums: datu nesēju sanitizācija un atbalsta standarti

Lai šos kontroles pasākumus ieviestu efektīvi, ir svarīgi saprast dažādos datu nesēju sanitizācijas līmeņus, kā tie aprakstīti tādos ietvaros kā NIST SP 800-88. Šīs metodes piedāvā daudzslāņu pieeju, lai nodrošinātu datu neatgūstamību atbilstoši to sensitivitātei.

Pareizās metodes izvēle ir atkarīga no datu klasifikācijas. Specializētu standartu sniegtās vadlīnijas šeit ir īpaši vērtīgas. Spēcīga programma balstās uz plašu atbalsta ietvaru loku, ne tikai uz ISO/IEC 27001:2022.

Auditors tuvojas: kā pierādīt, ka process darbojas

Audita sekmīga iziešana nav tikai pareizu darbību veikšana; tā ir spēja pierādīt, ka pareizās darbības ir veiktas. Marijas gadījumā tas nozīmē dokumentēt katru likvidēšanas procesa soli attiecībā uz aktīviem viņas datu kapsētā. Zenith Blueprint sniedz skaidru kontrolsarakstu tam, ko auditori pieprasīs Kontrolei 8.10 (Informācijas dzēšana):

“Iesniedziet savu Informācijas dzēšanas politiku… Demonstrējiet tehnisko piemērošanu ar konfigurētiem glabāšanas iestatījumiem biznesa sistēmās… Auditori var pieprasīt pierādījumus par drošām dzēšanas metodēm: disku dzēšanu ar apstiprinātiem rīkiem… vai drošu dokumentu likvidēšanu. Ja dati tiek dzēsti pēc līguma termiņa beigām… parādiet audita pēdu vai pieteikumu, kas to apstiprina.”

Lai izpildītu auditoru prasības, katram likvidēšanas notikumam jāizveido visaptveroša pierādījumu pakotne. Datu dzēšanas reģistrs ir būtisks.

Audita pēdas piemēra tabula

Auditori šo procesu vērtē no dažādiem skatpunktiem. Zenith Controls ceļvedis detalizēti apraksta, kā dažādi audita ietvari pārbauda procesu:

Biežākās kļūdas un kā no tām izvairīties

Pat ar ieviestu politiku daudzas organizācijas kļūdās izpildes posmā. Tālāk ir izplatītākās kļūdas un tas, kā strukturēta pieeja palīdz tās novērst:

Secinājums: pārvērtiet datu kapsētu par stratēģisku priekšrocību

Pēc sešām nedēļām Marija izveda GDPR auditoru cauri savas komandas paveiktajam. Noliktavas telpa bija tukša. Tās vietā bija digitāls arhīvs ar rūpīgiem ierakstiem par katru no ekspluatācijas izņemto aktīvu: uzskaites žurnāliem, datu klasifikācijas pārskatiem, sanitizācijas procedūrām un parakstītiem iznīcināšanas sertifikātiem. Tas, kas reiz bija trauksmes avots, tagad kļuva par nobriedušas risku pārvaldības piemēru.

Datu kapsēta ir reaktīvas drošības kultūras simptoms. Tās pārveidošanai nepieciešama proaktīva, uz politiku balstīta pieeja. Tā prasa uztvert datu likvidēšanu nevis kā IT uzkopšanas darbu, bet kā stratēģisku drošības funkciju, kas samazina risku, nodrošina atbilstību un apliecina apņemšanos aizsargāt sensitīvu informāciju.

Vai esat gatavi sakārtot savu datu kapsētu? Sāciet ar pamata izveidi pierādījumos balstītai un noturīgai pieejai informācijas dzīves cikla pārvaldībā.

Praktiski nākamie soļi:

1. Izveidojiet pamatu: ieviesiet skaidru un piemērojamu politiku, izmantojot Clarysec veidnes, piemēram, Datu glabāšanas un likvidēšanas politiku vai Datu glabāšanas un likvidēšanas politiku — MVU.
2. Kartējiet savu vidi: izveidojiet un uzturiet visaptverošu visu informācijas aktīvu uzskaiti. Nav iespējams likvidēt to, par ko nezināt.
3. Definējiet un piemērojiet glabāšanu: izveidojiet formālu glabāšanas grafiku, kas katru datu tipu sasaista ar juridisku, līgumisku vai uzņēmējdarbības prasību, un pēc tam automatizējiet tā piemērošanu.
4. Ieviesiet drošu likvidēšanu operacionālajā darbībā: integrējiet drošas dzēšanas un sanitizācijas procedūras IT aktīvu izņemšanas no ekspluatācijas standarta darbības procedūrās.
5. Dokumentējiet visu: izveidojiet un uzturiet auditam piemērotu audita pēdu katrai likvidēšanas darbībai, tostarp žurnālus, pieteikumus un trešo pušu sertifikātus.
6. Paplašiniet prasības uz piegādes ķēdi: nodrošiniet, ka līgumos ar mākoņpakalpojumu sniedzējiem un citiem piegādātājiem ir stingras prasības drošai datu likvidēšanai, un pieprasiet atbilstības pierādījumus.

Katrs nevajadzīgu datu baits ir risks. Atgūstiet kontroli, stipriniet atbilstību, vienkāršojiet auditus un samaziniet drošības pārkāpumu ietekmes risku.

Sazinieties ar mums, lai saņemtu demonstrāciju, vai izpētiet pilno Zenith Blueprint un Zenith Controls bibliotēku, lai sāktu šo ceļu.