Poradnik: jak skutecznie zabezpieczyć się przed utratą istotnych danych?
25
sty

Norma ISO/IEC 21964 – czyli jak bezpiecznie niszczyć dokumenty

Jak niszczyć dokumenty, aby robić to zgodnie z prawem? Norma ISO/IEC 21964 reguluje wszystkie elementy procesu. Dowiedz się, jak niszczyć dokumenty, aby zagwarantować pełne bezpieczeństwo zawartych na nich danych. 

Czego dotyczy norma ISO/IEC 21964

Norma ISO/IEC 21964 jest normą międzynarodową, która reguluje kwestie związane z niszczeniem dokumentacji. Powstała w nawiązaniu do zapisów niemieckiej normy DIN 66399, która regulowała zasady niszczenia dokumentów według przepisów o ochronie danych osobowych. Zgodnie z zapisami normy ISO/IEC 21964 informacja zawierająca dane osobowe, poufne i wrażliwe jest nierozerwalnie związana z jej nośnikiem — np. kartką papieru, dyskiem czy pendrivem i określa zasady niszczenia dokumentów wraz z nośnikiem z uwzględnieniem rodzaju informacji i rodzaju nośnika, na którym dane zostały zapisane. 

Co ważne, norma standaryzuje nie tylko fizyczne zniszczenie danych, ale również określa cały proces niszczenia. Jednocześnie wskazuje obowiązek zapewnienia bezpieczeństwa w zakresie braku możliwości odczytu danych po dokonaniu zniszczenia nośników. 

Kto musi przestrzegać zasad zawartych w normie ISO/IEC 21964

Zasady niszczenia dokumentów opisane w normie odnoszą się do wszystkich podmiotów i osób przetwarzających dane — w tym przypadku utylizujących informacje osobowe — we własnym zakresie lub na zlecenie innych podmiotów. Zatem przepisy te skierowane są szczególnie do producentów niszczarek, podmiotów wykonujących usługi profesjonalnego niszczenia dokumentów oraz do osób w firmach odpowiedzialnych za niszczenie dokumentów. 

NORMA ISO/IEC 21964 – poznaj zakres regulacji

Jak już pisaliśmy na wstępie, międzynarodowa norma ISO/IEC 21964 reguluje wszelkie sprawy związane z niszczeniem dokumentacji, które kodyfikuje w 3 odrębnych częściach. Każda z tych części odnosi się do innego zakresu niszczenia dokumentów. Część pierwsza precyzuje wszystkie definicje i zasady związane z niszczeniem nośników informacji. Część druga odnosi się do urządzeń przeznaczonych do niszczenia dokumentów, określając wymagania sprzętowe niezbędne do prawidłowego niszczenia nośników. Część trzecia precyzuje, jak powinien przebiegać proces niszczenia.

Norma ISO/IEC 21964 precyzuje również 6 kategorii nośników, na których zapisywane są dane. Określa także kilka klas niszczenia każdej z kategorii nośników. Co więcej, robi to niezwykle precyzyjnie, ponieważ wskazuje, jakie rozmiary powinny mieć ścinki zutylizowanych dokumentów w zależności od stopnia tajności zawartych na nośniku danych. 

Wróćmy do kategoryzacji nośników określonych w ramach tego przepisu. Norma ISO/IEC 21964 wprowadza 6 kategorii nośników:

  • informacji przekazanych w oryginalnym rozmiarze (np. na papierze, zdjęcia rentgenowskie itp.) — klasa P;
  • optyczne nośniki danych (np. płyty CD, DVD) — klasa O;
  • magnetyczne nośniki danych (np. dyskietki czy karty z paskiem magnetycznym) — klasa T;
  • dyski twarde HDD — klasa H;
  • dane na nośnikach w pomniejszonym rozmiarze (np. mikrofilmy) — klasa F;
  • elektroniczne nośniki danych (np. karty USB, karty chip itp.) — klasa E.

Norma wprowadza także ścisłą kategoryzację danych w podziale na klasy i stopnie bezpieczeństwa. Wskazuje ona, z jaką dokładnością powinny być niszczone poszczególne dane. 

Klasa ochrony 1 obejmuje dokumenty objęte podstawową ochroną danych i dotyczy zwykłych danych lub danych wewnętrznych. Te nośniki danych mogą być niszczone przez urządzenia gwarantujące 1 i 2 stopień bezpieczeństwa (tj. tną dokumenty na ścinki o powierzchni maksymalnej do 2000mm2 i szerokości paska 12mm w przypadku stopnia 1 i 800mm2 i szerokości paska 6,mm w przypadku stopnia 2).

Klasa ochrony 2 dotyczy informacji, które muszą podlegać bardziej szczegółowej ochronie. W praktyce odnosi się do ochrony danych osobowych czy finansowych. Informacje, które kwalifikują się do tej klasy ochrony, powinny być niszczone w 3, 4 lub 5 stopniu bezpieczeństwa. Stopień bezpieczeństwa 3 odnosi się do dokumentów wrażliwych, poufnych i osobowych i dotyczy większości dokumentacji przetwarzanej w firmach. W tym przypadku maksymalna powierzchnia ścinka nie powinna przekraczać 320mm2, a szerokość paska 2mm. Stopień bezpieczeństwa 4 odnosi się do danych szczególnie wrażliwych (poufnych i osobowych). Dla tego rodzaju materiałów powierzchnia ścinka nie powinna przekraczać 160mm2 i szerokości paska 6 mm. P5 to dane tajne, które podczas niszczenia powinny mieć max. powierzchnię ścinka 30mm3 i szerokość paska 2mm. 

Klasa ochrony 3 jest najwyższym stopniem ochrony danych i dotyczy materiałów zawierających dane tajne, których wyciek może skutkować niebezpieczeństwem dla zdrowia i życia osób, lub stanowić zagrożenie dla ich wolności. Nośniki zawierające takie dane powinny zostać zniszczone w 4, 5, 5 lub 7 klasie bezpieczeństwa. Klasę bezpieczeństwa 4 i 5 opisaliśmy powyżej. Co do klasy 6 i 7 dla dokumentów należy zachować najwyższe środki zabezpieczenia i utylizować materiały na niezwykle małe ścinki uniemożliwiające odczytanie nawet przy użyciu specjalistycznego sprzętu — tj. dla klasy 6 max. powierzchnia ścinka nie może przekraczać 10mm2 i szerokości paska 1mm, a dla klasy 7 5mm2 i szerokości paska 1mm.