Skip to main content

7.10 Nośniki danych

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo fizyczne
Obszary operacyjne: Kontrola

Kontrola

Nośniki danych powinny być zarządzane przez cały cykl ich życia – od pozyskania, przez użytkowanie i transport, aż po utylizację – zgodnie z klasyfikacją informacji i wymaganiami dotyczącymi ich obsługi.

Cel

Zapewnienie, że ujawnianie, modyfikacja, usuwanie lub niszczenie informacji na nośnikach danych odbywa się wyłącznie w sposób autoryzowany.

Wytyczne

Przenośne nośniki danych

Należy rozważyć następujące wytyczne dotyczące zarządzania przenośnymi nośnikami danych:

  • a) ustanowienie polityki zarządzania przenośnymi nośnikami danych i przekazanie jej wszystkim osobom, które używają lub obsługują takie nośniki;
  • b) tam, gdzie jest to konieczne i praktyczne, wymaganie autoryzacji na wynoszenie nośników danych poza organizację oraz prowadzenie rejestru takich przypadków w celu utrzymania ścieżki audytowej;
  • c) przechowywanie wszystkich nośników danych w bezpiecznym środowisku zgodnie z ich klasyfikacją informacji oraz ochrona ich przed zagrożeniami środowiskowymi (np. ciepłem, wilgocią, polem elektromagnetycznym, starzeniem się) zgodnie z zaleceniami producenta;
  • d) jeśli poufność lub integralność informacji jest kluczowa, stosowanie technik kryptograficznych do ochrony danych na przenośnych nośnikach danych;
  • e) aby ograniczyć ryzyko degradacji nośników danych, gdy przechowywane informacje są nadal potrzebne, należy regularnie przenosić dane na nowe nośniki przed utratą ich czytelności;
  • f) przechowywanie wielu kopii cennych informacji na oddzielnych nośnikach w celu minimalizacji ryzyka przypadkowego uszkodzenia lub utraty danych;
  • g) rozważenie rejestrowania przenośnych nośników danych w celu ograniczenia ryzyka utraty informacji;
  • h) umożliwianie dostępu do portów nośników danych (np. gniazd kart SD, portów USB) tylko wtedy, gdy istnieje uzasadniona potrzeba organizacyjna;
  • i) monitorowanie transferu informacji na przenośne nośniki danych, jeśli ich użycie jest konieczne;
  • j) zabezpieczanie danych podczas fizycznego transportu nośników (np. wysyłki pocztą lub kurierem), ponieważ mogą one być narażone na nieautoryzowany dostęp, nadużycia lub uszkodzenia.

Nośniki obejmują także dokumenty papierowe. Podczas przesyłania fizycznych nośników danych należy stosować środki bezpieczeństwa określone w punkcie 5.14.

Bezpieczne ponowne użycie i utylizacja

Należy ustanowić procedury bezpiecznego ponownego użycia lub utylizacji nośników danych, aby zminimalizować ryzyko ujawnienia poufnych informacji osobom nieupoważnionym. Procedury te powinny być dostosowane do poziomu wrażliwości przechowywanych danych.

Należy rozważyć następujące działania:

  • a) jeśli nośniki zawierające poufne informacje mają być ponownie używane w organizacji, należy bezpiecznie usunąć dane lub sformatować nośnik przed ponownym wykorzystaniem (zob. 8.10);
  • b) jeśli nośniki nie są już potrzebne, należy je bezpiecznie zniszczyć (np. poprzez mechaniczne niszczenie, rozdrabnianie lub trwałe usunięcie danych);
  • c) ustanowienie procedur identyfikowania nośników wymagających bezpiecznej utylizacji;
  • d) w przypadku korzystania z usług zewnętrznych firm zajmujących się odbiorem i utylizacją nośników, należy zadbać o wybór dostawcy spełniającego odpowiednie standardy bezpieczeństwa i posiadającego doświadczenie w tej dziedzinie;
  • e) prowadzenie rejestru utylizowanych nośników w celu utrzymania ścieżki audytowej;
  • f) podczas gromadzenia nośników przeznaczonych do utylizacji należy uwzględnić efekt agregacji – duża ilość informacji uznawanych indywidualnie za mało wrażliwe może w zbiorczej formie stanowić istotne zagrożenie.

Ocena ryzyka powinna zostać przeprowadzona w przypadku uszkodzonych urządzeń zawierających dane wrażliwe, aby określić, czy urządzenie powinno zostać fizycznie zniszczone zamiast oddania do naprawy lub utylizacji (zob. 7.14).

Inne informacje

Jeśli poufne informacje przechowywane na nośnikach danych nie są zaszyfrowane, należy rozważyć dodatkowe środki fizycznej ochrony tych nośników.