Każda informacja jest cenna. Dane osobowe zaś to jedna z najcenniejszych walut na świecie. Niektórzy porównują je do ropy naftowej i wyliczają, że wykorzystanie cyfrowych danych personalnych przynosi firmom i organizacjom w Europie nawet 330 mld euro zysku rocznie. Nic więc dziwnego, że zarówno gromadzenie, jak i przechowywanie informacji, a szczególnie danych wrażliwych, reguluje coraz więcej norm prawnych, których symbolem jest wszechobecne dzisiaj RODO. Dane osobowe to waluta naszych czasów, więc należy je chronić umiejętnie i zgodnie z prawem.
Globalne ujednolicenie objęło również kwestie niszczenia dokumentacji. Regulacje w tym zakresie zebrane zostały w formie normy ISO/IEC 21964. Zasady niszczenia dokumentów i zachowania bezpieczeństwa danych przez wiele lat pozostawały nieunormowane prawnie. Sytuacja zmieniła się wreszcie w 2018 roku, kiedy to lokalną normę DIN 66399 (obowiązującą w Niemczech, choć z braku szczegółowych przepisów posługiwano się nią także w innych krajach) zastąpiła międzynarodowa norma ISO/IEC 21964.
NISZCZENIE DOKUMENTÓW A MIĘDZYNARODOWE REGULACJE
Norma ISO/IEC 21964 powstała na podstawie zapisów z normy DIN 66399, natomiast rozszerzyła je, wprowadziła podział nie tylko na klasy, lecz także stopnie ochrony. Zakłada ona, że informacja jest nieoderwalna od swojego nośnika – papierowego, elektronicznego, biologicznego. Norma definiuje więc reguły niszczenia, uwzględniając nie tylko, jaki rodzaj informacji zawarty jest w dokumentach, lecz także na jakim rodzaju dokumentu się on znajduje.
Norma definiuje nie tylko kwestie samego fizycznego efektu utylizacji danych, lecz także przebiegu całego procesu utylizacji. Każdy, kto przetwarza dane poufne, dane osobowe, dane wrażliwe, niezależnie od tego, czy robi to na potrzeby własne, czy na zlecenie innych podmiotów, musi zagwarantować takie niszczenie nośników, aby odtworzenie danych było niemożliwe albo co najmniej bardzo trudne, kosztochłonne i wymagające dużych nakładów. Regulacji opisanych w normie przestrzegać muszą zarówno:
- producenci niszczarek dokumentów - w zakresie wielkości pasków oraz ścinków;
- usługodawcy wykonujący profesjonalne niszczenie dokumentów – w zakresie przeprowadzenia całego procesu, doboru odpowiednich urządzeń, a także kadry pracowniczej;
- osoby odpowiedzialne za niszczenie danych w firmie – w zakresie doboru odpowiedniego urządzenia i niszczenia dokumentów z zachowaniem norm bezpieczeństwa.
Dzięki globalnemu zastosowaniu normy ISO/ IEC 21964 klient zlecający usługę niszczenia ma gwarancję, że nośniki danych utylizowane są zgodnie z przepisami gwarantującymi zachowanie bezpieczeństwa danych zgodnie z typem niszczonej dokumentacji. Zlecając usługę niszczenia dokumentacji, trzeba więc upewnić się, że usługodawca zapewnia realizację zadania zgodnie z normą ISO/IEC 21964.
NISZCZENIE DANYCH OSOBOWYCH – CO OBEJMUJE NORMA ISO/IEC 21964?
Norma ISO/IEC 21964 została stworzona, aby skodyfikować i ujednolicić wymagania dotyczące niszczenia danych. Celem wprowadzenia tej normy o zasięgu globalnym było przede wszystkim zapewnienie możliwie jak najwyższej ochrony danych znajdujących się na różnego rodzaju nośnikach.
Sama norma składa się z trzech części:
- pierwsza poświęcona jest precyzyjnemu określeniu zasad i definicji związanych z niszczeniem nośników danych;
- druga określa wymagania dotyczące sprzętu wykorzystywanego do utylizacji nośników danych, w tym precyzyjnie wskazuje wymagania sprzętowe dotyczące bezpiecznego niszczenia nośników danych;
- trzecia opisuje pożądany proces niszczenia danych, określa normy dotyczące jego przebiegu; wymagania dotyczą osób odpowiedzialnych za zniszczenie oraz wszystkich stron zaangażowanych w proces.
Norma wyróżnia 6 kategorii nośników, które posłużyły następnie do wskazania klas
niszczenia różniących się przede wszystkim pożądanym rozmiarem uzyskanych w trakcie utylizacji ścinek oraz stopniem możliwości rekonstrukcji nośnika. Te rodzaje nośników to:
- P: informacje przekazane w oryginalnym rozmiarze (papier, inne formy drukowane, filmy rentgenowskie),
- O: optyczne nośniki danych (CD / DVD / Blue-ray),
- T: magnetyczne nośniki danych (dyskietki, karty z paskiem magnetycznym),
- H: dyski twarde HDD (posiadające magnetyczne nośniki pamięci),
- F: informacje w pomniejszonym rozmiarze (mikrofilmy, klisze);
- E: elektroniczne nośniki danych (USB, karty chip, dyski twarde, ale wyłącznie półprzewodnikowe SSD).
NISZCZENIE DOKUMENTÓW RODO - KLASY I STOPNIE BEZPIECZEŃSTWA
Norma ISO/IEC 21964 definiuje 3 klasy ochrony danych. Klasa ochrony określa, z jaką dokładnością dane mają być niszczone. Dopiero z klas ochrony wynikają stopnie bezpieczeństwa, które szczegółowo regulują, w jaki sposób zniszczony ma zostać konkretny nośnik zawierający określony rodzaj informacji:
- klasa ochrony 1 – podstawowa klasa ochrony dotycząca zwykłych danych lub danych wewnętrznych;
- klasa ochrony 2 – wskazująca na zwiększoną potrzebę ochrony danych poufnych, odnosi się przede wszystkim do danych osobowych, a także finansowych, do których dostęp ma wąski krąg osób, a których przekazanie osobom nieuprawnionym mogłoby naruszyć zobowiązania umowne lub ustawowe; dane znajdujące się w klasie ochrony 2 powinny być niszczone w 3, 4 lub 5 stopniu bezpieczeństwa;
- klasa ochrony 3 – wskazuje na bardzo wysoką potrzebę ochrony danych, dotyczy danych tajnych, których ujawnienie może stanowić niebezpieczeństwo dla życia i zdrowia osób lub stanowić zagrożenie dla ich wolności; chodzi tutaj przede wszystkim o ściśle poufne oraz tajne dokumenty wykorzystywane przez bardzo mały krąg osób; dane tego rodzaju powinny być niszczone w 4, 5, 6 lub 7 stopniu bezpieczeństwa.
Najbardziej szczegółowy wymiar normy ISO/IEC 21964 stanowią stopnie bezpieczeństwa, które szczegółowo określają sposób niszczenia i finalny jego efekt. Według tej normy większość dokumentów firmowych można zakwalifikować do 2 klasy ochrony, powinny więc być niszczone w 3, 4 lub 5 stopniu bezpieczeństwa. Każdy ze stopni bezpieczeństwa wskazuje określoną wielkość ścinków, które powinno się uzyskać w procesie niszczenia. Im mniejsze ścinki, tym szansa rekonstrukcji nośnika jest oczywiście mniejsza, a więc bezpieczeństwo danych – większe.
- P-1 dane ogólne: stopień ten rekomenduje się do utylizacji nośników zawierających zwykłe dane, które mają stać się nieczytelne; po przeprowadzeniu takiego niszczenia dane mogą być co prawda odtworzone bez specjalistycznego sprzętu, natomiast jest to proces czasochłonny: max. powierzchnia ścinka 2000 mm² lub max. szerokość paska 12 mm;
- P-2 dane wewnętrzne: stopień ten zaleca się do niszczenia nośników zawierających dane wewnętrzne, które mają stać się nieczytelne; podobnie jak przy pierwszym stopniu dane mogą być odtworzone bez specjalistycznych urządzeń, ale jest to proces wyjątkowo pracochłonny; max. powierzchnia ścinka 800 mm² lub max. szerokość paska 6 mm;
- P-3 dane wrażliwe, poufne, osobowe: stopień ten rekomenduje się do sporej części dokumentacji firmowej, po zniszczeniu nośników odtworzenie danych jest możliwe, ale ze znacznym wysiłkiem, max. powierzchnia ścinka 320 mm² lub max. szerokość paska 2 mm, długość bez limitu;
- P-4 dane szczególnie wrażliwe: stopień ten rekomenduje się do niszczenia danych poufnych, osobowych, odtworzenie ich po zniszczeniu wymaga już specjalistycznego wyposażenia, które nie jest powszechnie dostępne, max. powierzchnia ścinka 160 mm² i max. szerokość paska 6 mm;
- P-5 dane tajne: stosowane do nośników zawierających tajne dane, gwarantuje, że odtworzenie takich danych jest właściwie nieprawdopodobne; max. powierzchnia ścinka 30 mm² i max. szerokość paska 2 mm;
- P-6 tajne dane, dla których należy zachować nadzwyczajne środki bezpieczeństwa: stosowany w wyjątkowych sytuacjach, odtworzenie takich danych przy obecnym stanie techniki jest niemożliwe; max. powierzchnia ścinka 10 mm² i max. szerokość paska 1 mm;
- P-7 dane ściśle tajne: rekomendowane do nośników zawierających dane wymagające zachowania maksymalnych środków bezpieczeństwa; max. powierzchnia ścinka 5 mm² i max. szerokość paska 1 mm.
NISZCZENIE DOKUMENTÓW ZGODNIE Z RODO - POSTAW NA WSPÓŁPRACĘ Z PROFESJONALISTAMI!
W Rhenus Office Systems Poland stosujemy szczegółowe regulacje wynikające z normy ISO/IEC 21964. Stopień niszczenia danych dopasowujemy do potrzeb naszych klientów. Niszczenie dokumentacji firmowej odbywa się zawsze z zachowaniem co najmniej 3 stopnia bezpieczeństwa. Ponadto, stosujemy regulacje związane z zarządzaniem bezpieczeństwem informacji określone w normie ISO/IEC 27000. Robimy wszystko, aby zagwarantować naszym klientom maksymalne bezpieczeństwo i ochronę ich danych. Cały czas doskonalimy procedury, bardzo świadomie dobieramy kadrę pracowniczą, inwestujemy w sprzęt najwyższej klasy. To wszystko sprawia, że w całej historii firmy z 20-letnim doświadczeniem nie zdarzył się ani jeden przypadek wycieku danych.
Jeśli chcesz dowiedzieć się więcej o praktycznym wymiarze stosowania normy ISO/IEC 21964, rozwiązaniach wykorzystywanych przez Rhenus Office Systems Poland i gwarancjach bezpieczeństwa, które dajemy naszym klientom, skontaktuj się z nami.
Roksana Matecka
Kierownik ds. Zarządzania Relacjami
Telefon: +48 693 881 116
E-mail: [email protected]
LinkedIn: Roksana Matecka