Cmentarzysko danych: przewodnik CISO po zgodnym i audytowalnym usuwaniu oraz niszczeniu danych
Maria, CISO szybko rozwijającej się firmy fintech, poczuła znajomy ucisk w żołądku. Do zewnętrznego audytu GDPR pozostało sześć tygodni, a rutynowy przegląd inwentarza aktywów właśnie ujawnił widmo z przeszłości organizacji: zamknięte pomieszczenie magazynowe w starym biurowcu, pełne wycofanych z eksploatacji serwerów, zakurzonych taśm kopii zapasowych i stosów starych laptopów pracowniczych. „Cmentarzysko danych”, jak ponuro nazywał je jej zespół, przestało być zapomnianym problemem. Stało się tykającą bombą zgodności.
Jakie dane wrażliwe klientów, własność intelektualna lub dane osobowe umożliwiające identyfikację osoby (PII) znajdowały się na tych dyskach? Czy którekolwiek z nich zostały prawidłowo poddane sanityzacji? Czy istniały zapisy, które mogłyby to potwierdzić? Brak odpowiedzi był prawdziwym zagrożeniem. W bezpieczeństwie informacji to, czego nie wiesz, może — i często będzie — działać na twoją niekorzyść.
Ten scenariusz nie dotyczy wyłącznie Marii. Dla wielu CISO, menedżerów ds. zgodności i właścicieli firm dane historyczne stanowią ogromne, nieskwantyfikowane ryzyko. To ciche obciążenie, które zwiększa powierzchnię ataku, komplikuje obsługę żądań osób, których dane dotyczą, i tworzy pole minowe dla audytorów. Kluczowe pytanie jest proste, ale bardzo wymagające: co należy zrobić z danymi wrażliwymi, których już nie potrzebujesz? Odpowiedzią nie jest samo kliknięcie „usuń”. Chodzi o zbudowanie możliwego do obrony, powtarzalnego i audytowalnego procesu zarządzania cyklem życia informacji — od ich utworzenia po bezpieczne zniszczenie.
Wysoka stawka nadmiernego gromadzenia danych
Przechowywanie danych bez końca „na wszelki wypadek” to relikt minionej epoki. Dziś jest to strategia jednoznacznie niebezpieczna. Dane wrażliwe, które pozostają po upływie ich użytecznego lub wymaganego okresu przechowywania, narażają organizację na liczne zagrożenia: od kar za brak zgodności i naruszeń prywatności po przypadkowe wycieki, a nawet wymuszenia z użyciem ransomware.
Przechowywanie danych po upływie okresu retencji powoduje kilka krytycznych ryzyk:
- Niespełnienie wymagań zgodności: Organy regulacyjne coraz surowiej oceniają nieuzasadnione przechowywanie danych. Cmentarzysko danych jest bezpośrednim naruszeniem zasad prywatności i może prowadzić do znaczących kar finansowych.
- Zwiększony wpływ naruszenia: Jeśli dojdzie do naruszenia, każdy fragment danych historycznych, który przechowujesz, staje się obciążeniem. Eksfiltracja pięcioletnich danych klientów przez atakującego jest nieporównywalnie bardziej szkodliwa niż eksfiltracja danych z jednego roku.
- Nieefektywność operacyjna: Zarządzanie, zabezpieczanie i przeszukiwanie ogromnych ilości nieistotnych danych pochłania zasoby, spowalnia systemy i sprawia, że realizacja żądań „prawa do usunięcia danych” na gruncie GDPR staje się niemal niemożliwa.
Wiele organizacji błędnie zakłada, że kliknięcie „usuń” lub usunięcie rekordu z bazy danych powoduje zniknięcie danych. Rzadko tak się dzieje — dane resztkowe pozostają w środowiskach fizycznych, wirtualnych i chmurowych.
Wymagania regulacyjne: koniec zasady „przechowuj na zawsze”
Reguły się zmieniły. Zbieżność globalnych regulacji wprost wymaga, aby dane osobowe i informacje wrażliwe były przechowywane wyłącznie tak długo, jak jest to konieczne, oraz bezpiecznie usuwane po zakończeniu tego okresu. To nie sugestia, lecz wymaganie prawne i operacyjne.
Clarysec Zenith Blueprint: 30-etapowa mapa drogowa audytora podsumowuje międzyregulacyjne wymaganie bezpiecznego usuwania i niszczenia danych:
✓ GDPR Article 5(1)(e), Article 17, Article 32(1)(b–d): wymaga, aby dane osobowe były przechowywane nie dłużej, niż jest to konieczne, wspiera prawo do usunięcia danych („prawo do bycia zapomnianym”) oraz nakazuje bezpieczne usuwanie danych, gdy nie są już potrzebne.
✓ NIS2 Article 21(2)(a, d): wymaga opartych na ryzyku środków technicznych i organizacyjnych zapewniających bezpieczne usunięcie danych, gdy nie są wymagane.
✓ DORA Article 9(2)(a–c): wymaga ochrony informacji wrażliwych przez cały ich cykl życia, w tym ich bezpiecznego zniszczenia.
✓ COBIT 2019 – DSS01.05 & DSS05.07: obejmuje bezpieczne usuwanie danych, niszczenie nośników oraz usuwanie aktywów informacyjnych po zakończeniu ich cyklu życia.
✓ ITAF 4th Edition – Domain 2.1.6: wymaga dowodów bezpiecznego zniszczenia i usunięcia danych zgodnie z obowiązkami prawnymi i regulacyjnymi.
Oznacza to, że organizacja musi posiadać udokumentowane, egzekwowane i audytowalne procesy usuwania danych. Dotyczy to nie tylko dokumentacji papierowej lub dysków twardych, ale każdego elementu środowiska cyfrowego, w tym pamięci masowej w chmurze, kopii zapasowych, danych aplikacyjnych oraz dostawców zewnętrznych.
Od chaosu do kontroli: budowa programu usuwania i niszczenia danych opartego na polityce
Pierwszym krokiem do rozbrojenia bomby, jaką jest cmentarzysko danych, jest ustanowienie jasnych i autorytatywnych ram. Solidny program usuwania i niszczenia danych nie zaczyna się od niszczarek i demagnetyzerów, lecz od dobrze zdefiniowanej polityki. Dokument ten stanowi jedno źródło prawdy dla całej organizacji, ujednolicając podejście zespołów biznesowych, prawnych i IT do zarządzania danymi oraz ich niszczenia.
Clarysec Polityka retencji oraz usuwania i niszczenia danych zapewnia taki wzorzec. Jeden z jej kluczowych celów został jasno określony w klauzuli polityki 3.1:
„Zapewnienie, że dane są przechowywane wyłącznie tak długo, jak jest to konieczne ze względów prawnych, umownych lub operacyjnych, oraz bezpiecznie usuwane lub niszczone, gdy nie są już wymagane”.
To proste stwierdzenie przesuwa sposób myślenia organizacji z „przechowuj wszystko” na „przechowuj to, co konieczne”. Polityka ustanawia formalny proces, dzięki któremu decyzje nie są arbitralne, lecz powiązane z konkretnymi obowiązkami. Jak podkreśla klauzula 1.2 w Polityce retencji oraz usuwania i niszczenia danych, dokument ten wspiera wdrożenie ISO/IEC 27001:2022 poprzez egzekwowanie kontroli nad czasem przechowywania danych oraz zapewnienie gotowości do audytów i kontroli regulacyjnych.
Dla mniejszych organizacji rozbudowana polityka korporacyjna może być nadmierna. Polityka retencji oraz usuwania i niszczenia danych — MŚP oferuje uproszczoną alternatywę, skoncentrowaną na elementach kluczowych, jak wskazano w klauzuli polityki 1.1:
„Celem niniejszej polityki jest zdefiniowanie egzekwowalnych zasad retencji oraz bezpiecznego usuwania i niszczenia informacji w środowisku MŚP. Zapewnia ona, że zapisy są przechowywane wyłącznie przez okres wymagany prawem, obowiązkiem umownym lub koniecznością biznesową, a następnie bezpiecznie niszczone”.
Niezależnie od tego, czy chodzi o przedsiębiorstwo, czy MŚP, polityka jest fundamentem. Daje uprawnienie do działania oraz ramy zapewniające, że działania są spójne, możliwe do obrony i zgodne z najlepszymi praktykami bezpieczeństwa.
Realizacja planu: zabezpieczenia ISO/IEC 27001:2022 w praktyce
Po ustanowieniu polityki Maria może przełożyć jej zasady na konkretne działania, kierując się zabezpieczeniami ISO/IEC 27001:2022. Dwa zabezpieczenia mają tu kluczowe znaczenie:
- Zabezpieczenie 8.10 Usuwanie informacji: wymaga, aby „informacje przechowywane w systemach informatycznych, urządzeniach lub na jakichkolwiek innych nośnikach pamięci były usuwane, gdy nie są już wymagane”.
- Zabezpieczenie 7.14 Bezpieczna utylizacja lub ponowne wykorzystanie sprzętu: koncentruje się na sprzęcie fizycznym, zapewniając, że nośniki pamięci są prawidłowo poddawane sanityzacji przed utylizacją, zmianą przeznaczenia lub sprzedażą sprzętu.
Co jednak faktycznie oznacza „bezpiecznie usunięte”? To właśnie tutaj audytorzy odróżniają realne praktyki od deklaracji. Według Zenith Blueprint rzeczywiste usunięcie to znacznie więcej niż przeniesienie pliku do kosza. Obejmuje metody, które czynią dane niemożliwymi do odzyskania:
W przypadku systemów cyfrowych usunięcie powinno oznaczać bezpieczne usunięcie danych, a nie samo naciśnięcie „usuń” lub opróżnienie kosza. Rzeczywiste usunięcie obejmuje:
✓ nadpisanie danych (np. metodami DoD 5220.22-M lub NIST 800-88),
✓ usuwanie kryptograficzne (np. zniszczenie kluczy szyfrowania używanych do ochrony danych),
✓ albo zastosowanie narzędzi do bezpiecznego wymazywania przed wycofaniem urządzeń z eksploatacji.
W przypadku dokumentacji fizycznej Zenith Blueprint zaleca niszczenie przy użyciu niszczarek tnących na ścinki, spalanie lub korzystanie z certyfikowanych usług niszczenia. Te praktyczne wytyczne pomagają organizacjom przejść od polityki do procedury, definiując konkretne kroki techniczne wymagane do osiągnięcia celu zabezpieczenia.
Ujęcie całościowe: powiązana sieć bezpieczeństwa usuwania i niszczenia danych
Uporządkowanie cmentarzyska danych nie jest zadaniem jednowątkowym. Skuteczne usuwanie i niszczenie danych jest ściśle powiązane z innymi domenami bezpieczeństwa. W tym miejscu niezbędne staje się całościowe spojrzenie, jakie zapewnia Clarysec Zenith Controls: przewodnik po zgodności przekrojowej. Działa ono jak kompas, pokazując, jak jedno zabezpieczenie zależy od wielu innych, aby skutecznie funkcjonować.
Przeanalizujmy zabezpieczenie 7.14 (Bezpieczna utylizacja lub ponowne wykorzystanie sprzętu) z tej perspektywy. Przewodnik Zenith Controls pokazuje, że nie jest to działanie izolowane. Jego skuteczność zależy od sieci powiązanych zabezpieczeń:
- 5.9 Inwentarz informacji i innych powiązanych aktywów: nie można bezpiecznie zutylizować tego, o czym organizacja nie wie. Pierwszym krokiem Marii musi być zinwentaryzowanie każdego serwera, laptopa i taśmy w tym pomieszczeniu magazynowym. Dokładny inwentarz aktywów jest podstawą.
- 5.12 Klasyfikacja informacji: metoda usunięcia lub zniszczenia zależy od wrażliwości danych. Aby wybrać właściwy poziom sanityzacji, trzeba wiedzieć, co jest niszczone.
- 5.34 Prywatność i ochrona PII: sprzęt często zawiera dane osobowe. Proces usuwania i niszczenia musi zapewniać nieodwracalne zniszczenie wszystkich PII, bezpośrednio łącząc się z obowiązkami dotyczącymi prywatności wynikającymi z regulacji takich jak GDPR.
- 8.10 Usuwanie informacji: to zabezpieczenie określa „co” należy zrobić (usunąć informacje, gdy nie są już potrzebne), natomiast 7.14 określa „jak” zrobić to dla bazowych nośników fizycznych. To dwie strony tej samej monety.
- 5.37 Udokumentowane procedury operacyjne: bezpieczne usuwanie i niszczenie musi przebiegać zgodnie ze zdefiniowanym, powtarzalnym procesem, aby zapewnić spójność i utworzyć ścieżkę audytową. Doraźna utylizacja jest sygnałem ostrzegawczym dla każdego audytora.
Ta współzależność pokazuje, że dojrzały program bezpieczeństwa traktuje usuwanie i niszczenie danych nie jako zadanie porządkowe, lecz jako zintegrowaną część systemu zarządzania bezpieczeństwem informacji (SZBI).
Szczegóły techniczne: sanityzacja nośników i normy wspierające
Aby skutecznie wdrożyć te zabezpieczenia, trzeba rozumieć różne poziomy sanityzacji nośników, opisane w ramach takich jak NIST SP 800-88. Metody te oferują warstwowe podejście zapewniające nieodwracalność odzyskania danych, adekwatne do ich wrażliwości.
| Metoda sanityzacji | Opis | Przykładowe zastosowanie |
|---|---|---|
| Clear | Nadpisanie danych danymi niewrażliwymi przy użyciu standardowych poleceń odczytu/zapisu. Chroni przed prostymi technikami odzyskiwania danych. | Przekazanie laptopa innemu pracownikowi w tym samym bezpiecznym środowisku. |
| Purge | Zaawansowane techniki, takie jak rozmagnesowanie (dla nośników magnetycznych) lub usuwanie kryptograficzne. Odporne na laboratoryjne próby odzyskania danych. | Wycofanie z eksploatacji serwera, który zawierał wrażliwe, ale nie ściśle tajne dane finansowe. |
| Destroy | Fizyczne zniszczenie nośnika (niszczenie, spalanie, rozdrobnienie). Odzyskanie danych jest niemożliwe. | Utylizacja dysków twardych zawierających wysoce poufną własność intelektualną lub PII. |
Wybór właściwej metody zależy od klasyfikacji danych. W tym zakresie nieocenione są wytyczne specjalistycznych norm. Solidny program korzysta z szerokiego zestawu ram wspierających, wykraczających poza samą ISO/IEC 27001:2022.
| Norma | Kluczowe znaczenie |
|---|---|
| ISO/IEC 27005:2022 | Ujmuje usunięcie jako opcję postępowania z ryzykiem oraz identyfikuje niebezpieczną utylizację jako ryzyko o wysokim wpływie. |
| ISO/IEC 27701:2019 | Wymaga określonych zabezpieczeń dotyczących usuwania PII przy ponownym wykorzystaniu lub utylizacji sprzętu. |
| ISO/IEC 27018:2019 | Nakazuje bezpieczne usuwanie PII przetwarzanych w chmurze przed utylizacją jakiegokolwiek aktywa, które je zawiera. |
| ISO/IEC 27017:2015 | Zapewnia wytyczne specyficzne dla chmury, wymagając sanityzacji aktywów przy zakończeniu użycia zasobów wirtualnych lub fizycznych. |
| NIST SP 800-88 | Oferuje szczegółowe wytyczne techniczne dotyczące sanityzacji nośników, definiując techniki Clear, Purge i Destroy. |
Audytor nadchodzi: jak wykazać, że proces działa
Pozytywny wynik audytu nie polega wyłącznie na robieniu właściwych rzeczy; trzeba także udowodnić, że zostały wykonane. Dla Marii oznacza to udokumentowanie każdego kroku procesu usuwania i niszczenia aktywów z jej cmentarzyska danych. Zenith Blueprint zawiera jasną listę kontrolną tego, czego audytorzy będą wymagać dla zabezpieczenia 8.10 (Usuwanie informacji):
„Przedstaw Politykę usuwania informacji… Wykaż techniczne egzekwowanie poprzez skonfigurowane ustawienia retencji w systemach biznesowych… Audytorzy mogą poprosić o dowody stosowania metod bezpiecznego usuwania: wymazywania dysków zatwierdzonymi narzędziami… lub bezpiecznej utylizacji dokumentów. Jeśli usuwasz dane po wygaśnięciu umowy… pokaż ścieżkę audytową lub zgłoszenie potwierdzające to działanie”.
Aby spełnić oczekiwania audytorów, należy utworzyć kompletny pakiet dowodowy dla każdego zdarzenia usunięcia lub zniszczenia. Niezbędny jest Rejestr usuwania danych.
Przykładowa tabela ścieżki audytowej
| Identyfikator aktywa | Typ aktywa | Lokalizacja | Metoda usunięcia | Dowód/log | Zatwierdzający |
|---|---|---|---|---|---|
| SRV-FIN-04 | Dysk HDD serwera | Lokalna serwerownia | Rozmagnesowanie + fizyczne zniszczenie | Certyfikat utylizacji #DC44C8 | Właściciel danych |
| CUST-DB-BKP-112 | Taśma LTO-8 | Iron Mountain | Spalenie (certyfikowane) | Certyfikat zniszczenia #IM7890 | Operacje IT |
| PROJ-X-DATA | Zasobnik AWS S3 | eu-west-1 | Polityka cyklu życia ‘DeleteObject’ | Log usunięcia AWS #1192 | Operacje chmurowe |
| HR-LAPTOP-213 | Laptop SSD | Magazyn IT | Usuwanie kryptograficzne | Log wymazania #WL5543 | Wsparcie IT |
Audytorzy analizują ten proces z różnych perspektyw. Przewodnik Zenith Controls szczegółowo opisuje, jak poszczególne ramy audytowe oceniają proces:
| Ramy audytu | Wymagane dowody | Podejście |
|---|---|---|
| ISO/IEC 19011:2018 | Obserwacja praktyk, przegląd logów retencji i certyfikatów utylizacji. | Wywiady, przegląd dokumentacji, próbkowanie |
| ISACA ITAF | Wystarczająca i wiarygodna triangulacja dowodów z polityk, logów i wywiadów. | Triangulacja |
| NIST SP 800-53A | Zapisy potwierdzające zastosowanie zatwierdzonych metod sanityzacji (zgodnie z NIST SP 800-88). | Testy techniczne, inspekcja zapisów |
| COBIT 2019 | Dowody nadzoru w ramach ładu organizacyjnego, integracji z zarządzaniem ryzykiem i raportowania. | Przegląd ładu organizacyjnego, przejście przez proces |
Typowe pułapki i sposoby ich uniknięcia
Nawet przy ustanowionej polityce wiele organizacji potyka się na etapie wykonania. Oto typowe pułapki oraz sposób, w jaki uporządkowane podejście pomaga je rozwiązać:
| Pułapka | Jak pomaga podejście zgodne z wytycznymi Clarysec |
|---|---|
| Shadow data: dane pozostają w zapomnianych kopiach zapasowych, archiwach lub shadow IT. | Egzekwowany Rejestr retencji powiązany z kompletnym inwentarzem aktywów zapewnia identyfikację wszystkich kopii oraz śledzenie ich usunięcia lub zniszczenia. |
| Tylko usunięcie logiczne: dane są oznaczone jako usunięte, ale nadal możliwe do odzyskania. | Polityka wymaga stosowania metod bezpiecznego usuwania danych (nadpisywanie, usuwanie kryptograficzne, fizyczne zniszczenie) na podstawie klasyfikacji danych. |
| Niejasność po stronie dostawcy chmurowego: niejasne procesy bezpiecznego usuwania w SaaS/IaaS. | Umowy z dostawcami są aktualizowane tak, aby wymagały certyfikacji usunięcia danych lub weryfikowalnego potwierdzenia w logach po zakończeniu świadczenia usługi. |
| Procesy ręczne i podatne na błędy: poleganie na tym, że poszczególne osoby będą pamiętać o usunięciu danych. | Automatyzuj tam, gdzie to możliwe, z wykorzystaniem polityk cyklu życia w systemach (np. w M365, AWS S3). Wymagaj udokumentowanych dowodów dla wszystkich ręcznych usunięć. |
| Brak dowodu usunięcia lub zniszczenia: brak audytowalnych zapisów pozwalających spełnić oczekiwania organów regulacyjnych. | Scentralizowany Rejestr usuwania danych oraz przechowywanie wszystkich certyfikatów zniszczenia od stron trzecich tworzą możliwą do obrony ścieżkę audytową. |
Podsumowanie: przekształć cmentarzysko danych w przewagę strategiczną
Sześć tygodni później Maria przeprowadziła audytora GDPR przez prace wykonane przez jej zespół. Pomieszczenie magazynowe było puste. Zamiast niego istniało cyfrowe archiwum zawierające szczegółowy zapis dla każdego wycofanego z eksploatacji aktywa: logi inwentarzowe, raporty klasyfikacji danych, procedury sanityzacji oraz podpisane certyfikaty zniszczenia. To, co wcześniej było źródłem niepokoju, stało się przykładem dojrzałego zarządzania ryzykiem.
Cmentarzysko danych jest objawem reaktywnej kultury bezpieczeństwa. Jego przekształcenie wymaga proaktywnego podejścia opartego na politykach. Wymaga spojrzenia na usuwanie i niszczenie danych nie jak na porządkowe zadanie IT, lecz jak na strategiczną funkcję bezpieczeństwa, która ogranicza ryzyko, zapewnia zgodność i pokazuje zaangażowanie w ochronę informacji wrażliwych.
Chcesz uporządkować własne cmentarzysko danych? Zacznij od zbudowania fundamentu dla odpornego, opartego na dowodach podejścia do zarządzania cyklem życia informacji.
Konkretne kolejne kroki:
- Ustanów fundament: Wdróż jasną i egzekwowalną politykę, korzystając z szablonów Clarysec, takich jak Polityka retencji oraz usuwania i niszczenia danych lub Polityka retencji oraz usuwania i niszczenia danych — MŚP.
- Zmapuj swoje środowisko: Utwórz i utrzymuj kompletny inwentarz wszystkich aktywów informacyjnych. Nie można zutylizować tego, o czym organizacja nie wie.
- Zdefiniuj i egzekwuj retencję: Ustanów formalny harmonogram retencji, który wiąże każdy typ danych z wymaganiem prawnym, umownym lub biznesowym, a następnie zautomatyzuj jego egzekwowanie.
- Włącz bezpieczne usuwanie i niszczenie do operacji: Zintegruj procedury bezpiecznego usuwania i sanityzacji ze standardowymi procedurami operacyjnymi dotyczącymi wycofywania aktywów IT z eksploatacji.
- Dokumentuj wszystko: Utwórz i utrzymuj odporną audytowo ścieżkę dla każdego działania usunięcia lub zniszczenia, obejmującą logi, zgłoszenia i certyfikaty stron trzecich.
- Rozszerz wymagania na łańcuch dostaw: Zapewnij, aby umowy z dostawcami chmurowymi i innymi dostawcami zawierały rygorystyczne wymagania dotyczące bezpiecznego usuwania i niszczenia danych oraz żądaj dowodów zgodności.
Każdy bajt zbędnych danych jest ryzykiem. Odzyskaj kontrolę, wzmocnij zgodność, usprawnij audyty i ogranicz ekspozycję na skutki naruszeń.
Skontaktuj się z nami, aby umówić demonstrację, albo poznaj pełną bibliotekę Zenith Blueprint i Zenith Controls, aby rozpocząć tę drogę.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
