пятница, 21 сентября 2012 г.

США: Национальный институт стандартов и технологий подготовил проект новой редакции руководства по уничтожению информации на электронных носителях


6 сентября 2012 года американский Национальный институт стандартов и технологий (NIST) выложил для публичного обсуждения проект новой редакции (Revision 1) самого, наверное, толкового в мире руководства по уничтожению информации, зафиксированной на электронных носителях - NIST SP 800-88 «Руководство по очистке носителей информации» (Guidelines for Media Sanitization).

В руководстве обсуждаются методы, способы и наилучшая практика уничтожения данных на носителях различных видов, а также основанные на основе анализа рисков подходы, которые организации могут использовать при разработке и внедрении программ очистки носителей информации.

Публичное обсуждение продлится до 30 ноября 2012 года. Документ объёмом 57 страниц доступен по адресу http://csrc.nist.gov/publications/drafts/800-88-rev1/sp800_88_r1_draft.pdf  .

Действующая редакция документа была опубликована в сентябре 2006 года, и доступна по адресу http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_with-errata.pdf

Введено новое понятие «криптографического стирания» (Cryptographic Erase). Оно связано с появлением устройств, в которые встроено и не может быть отключено пользователями шифрование сохраняемой информации. В этом случае одним из возможных способов уничтожения информации является уничтожение ключа шифрования.

Отмечается, что по мере совершенствования носителей информации, становится в ряде случаев сложнее применять разрушающие методы очистки. Так, современные носители стали более устойчивы к воздействию магнитного поля, поэтому старые устройства для размагничивания не всегда справляются с ныне выпускаемыми жёсткими дисками. Проблему представляет и флеш-память: уже отмечены случаи повреждения размалывающих устройств вследствие твердости используемого в устройствах флеш-памяти материала, и проблема может усугубиться по мере попыток размалывать эти носители на более мелкие фрагменты.

Более детальными стали рекомендации в отношении вычищения (purge) информации со смартфонов и планшетов. Если ранее для всех сотовых телефонов давались те же рекомендации, что и для простой чистки данных (clear), то теперь для устройств Apple, Blackberry и на ОС Android рекомендуется использовать поддерживаемые устройствами режимы полной очистки, а прочие устройства – физически уничтожать.

Аналогично ужесточены требования в отношении копиров, принтеров, факсов и т.п. оборудования. Теперь там, где требуется вычищение информации, устройства рекомендуется физически уничтожать (если нет твёрдой уверенности в том, что данная модель своими средствами обеспечивает надёжное уничтожение информации).

По сравнению с действующий редакцией, объём текста увеличился более чем на четверть. Структура глав в документе сохранилась. В главу «Основные положения» (Background) добавлены разделы:
  • «Тенденции в области очистки носителей информации» (Trends in sanitization),

  • «Использование криптографии и криптографического стирания» (Use of cryptography and cryptographic erase),

  • «Факторы, влияющие на принятие решений в отношении очистки и окончательной судьбы носителей информации» (Factors influencing sanitization and disposal decisions).
Несколько изменился состав разделов в главе 4 «Принятие решений о судьбе информации и об очистке носителей информации» (Information Sanitization and Disposition Decision Making):
  • Убран раздел «Установление необходимости очистки носителей информации» (Identification of the Need for Sanitization) ,

  • Появился раздел «Уровень защиты данных» (4.5 Data Protection Level).
Некоторые изменения произошли и в приложениях: убрано приложение «Особенностей очистки носителей информации пользователями, работающими удаленно или на дому» (Appendix D. Considerations for the Home User and Telecommuter), зато появились два новых приложения  - «Руководство по использованию устройств, поддерживающих криптографическое стирание» (Appendix D. Cryptographic Erase Device Guidelines) и «Представляющие интерес специфические характеристики устройств» (Appendix E: Device-Specific Characteristics of Interest).

Источник: сайт NIST
http://csrc.nist.gov/publications/PubsDrafts.html 

Комментариев нет:

Отправить комментарий