Standard Infosec 5
HMG Infosec Standard 5 lub IS5 to standard niszczenia danych używany przez rząd brytyjski.
Kontekst
IS5 jest częścią większej rodziny standardów bezpieczeństwa IT publikowanych przez CESG ; odnosi się do tego bardziej ogólny standard Infosec nr 1 . IS5 jest podobny do DOD 5220.22-M (stosowany w USA).
Wymagania
IS5 określa szeroki zakres wymagań — nie tylko techniczne szczegóły nadpisywania danych, ale także zasady i procesy, które organizacje powinny wdrożyć, aby zapewnić bezpieczną utylizację nośników. IS5 dotyczy również akredytacji zarządzania ryzykiem, ponieważ bezpieczne ponowne użycie i utylizacja nośników jest ważną kontrolą dla organizacji zajmujących się danymi o dużym wpływie. Samo oczyszczenie mediów nie wystarczy; odkażanie powinno również podlegać audytowi , a zapisy muszą być przechowywane.
IS5 definiuje dwa różne poziomy nadpisywania:
- Bazowe nadpisywanie danych obejmuje jednokrotne nadpisanie każdego sektora nośnika danych zerami.
- Ulepszone nadpisywanie obejmuje trzy przebiegi; każdy sektor jest nadpisywany najpierw jedynkami, potem 0, a następnie losowo generowanymi jedynkami i zerami.
Niezależnie od tego, który poziom jest używany, konieczna jest weryfikacja, aby upewnić się, że nadpisanie powiodło się.
Oprócz nadpisywania można zastosować inne metody, takie jak rozmagnesowanie lub fizyczne zniszczenie nośnika. W przypadku niektórych niedrogich nośników zniszczenie i wymiana mogą być tańsze niż odkażanie, po którym następuje ponowne użycie. Bezpieczne wymazywanie ATA nie jest zatwierdzone. Różne metody mają zastosowanie do różnych nośników, od papieru, przez płyty CD, po telefony komórkowe.
Wybór metody wpływa na możliwość ponownego użycia. Rozważane są cztery różne wyniki:
- Ponowne wykorzystanie nośników w podobnie bezpiecznym środowisku;
- Ponowne wykorzystanie nośników w mniej bezpiecznym środowisku (akredytacja niższej IL);
- Ponowne wykorzystywanie w dowolnym miejscu (tj. w niezaufanym lub nieznanym środowisku);
- Zniszczenie.
Surowsze wymagania dotyczą danych z silniejszym oznaczeniem ochronnym lub IL. W niektórych przypadkach nośniki na poziomie IL4 lub wyższym mogą wymagać obsługi w bezpiecznej witrynie, takiej jak witryna List X.