Skip to main content

7.14 Bezpieczna utylizacja lub ponowne użycie sprzętu

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczeństwo fizyczne
Obszary operacyjne: Kontrola

Kontrola

Sprzęt zawierający nośniki danych powinien zostać zweryfikowany w celu upewnienia się, że wszelkie dane wrażliwe oraz licencjonowane oprogramowanie zostały usunięte lub bezpiecznie nadpisane przed jego utylizacją lub ponownym użyciem.

Cel

Zapobieganie wyciekom informacji z urządzeń przeznaczonych do utylizacji lub ponownego użycia.

Wytyczne

Przed utylizacją lub ponownym użyciem sprzęt powinien zostać sprawdzony w celu ustalenia, czy zawiera nośniki danych.

Nośniki danych zawierające informacje poufne lub objęte prawami autorskimi powinny zostać fizycznie zniszczone lub ich zawartość powinna zostać usunięta, nadpisana lub skasowana w sposób uniemożliwiający odzyskanie, zamiast korzystania ze standardowej funkcji usuwania. Szczegółowe wytyczne dotyczące bezpiecznej utylizacji nośników danych znajdują się w punkcie 7.10, a dotyczące usuwania informacji w punkcie 8.10.

Przed utylizacją, sprzedażą lub przekazaniem sprzętu na cele charytatywne należy usunąć wszelkie etykiety i oznaczenia identyfikujące organizację, klasyfikację informacji, właściciela, system lub sieć.

Organizacja powinna rozważyć usunięcie zabezpieczeń, takich jak kontrola dostępu lub systemy nadzoru, po zakończeniu okresu najmu lub przed opuszczeniem lokalu. Decyzja ta powinna uwzględniać:

  • a) zobowiązania wynikające z umowy najmu dotyczące przywrócenia obiektu do pierwotnego stanu;
  • b) minimalizację ryzyka pozostawienia systemów zawierających wrażliwe informacje dla kolejnego najemcy (np. listy dostępu użytkowników, pliki wideo lub obrazy);
  • c) możliwość ponownego wykorzystania zabezpieczeń w nowej lokalizacji.

Inne informacje

Uszkodzony sprzęt zawierający nośniki danych może wymagać oceny ryzyka w celu ustalenia, czy powinien zostać fizycznie zniszczony zamiast przekazywania do naprawy lub utylizacji. Informacje mogą zostać ujawnione wskutek nieostrożnej utylizacji lub ponownego użycia sprzętu.

Oprócz bezpiecznego usuwania danych z dysków pełne szyfrowanie dysków zmniejsza ryzyko ujawnienia informacji poufnych podczas utylizacji lub ponownego wdrożenia sprzętu, pod warunkiem że:

  • a) proces szyfrowania jest wystarczająco silny i obejmuje cały dysk (w tym przestrzeń nieużywaną oraz pliki wymiany);
  • b) klucze kryptograficzne są wystarczająco długie, aby były odporne na ataki brute-force;
  • c) klucze kryptograficzne są przechowywane w sposób poufny (np. nigdy nie są zapisane na tym samym dysku).

Dalsze wytyczne dotyczące kryptografii można znaleźć w punkcie 8.24.

Techniki bezpiecznego nadpisywania danych różnią się w zależności od technologii nośnika oraz poziomu klasyfikacji przechowywanych informacji. Narzędzia do nadpisywania danych powinny być regularnie sprawdzane pod kątem ich zgodności z danym rodzajem nośnika.

Więcej informacji na temat metod czyszczenia nośników danych można znaleźć w normie ISO/IEC 27040.