Документ, о работе над которым я уже рассказывала на блоге здесь: https://rusrim.blogspot.com/2025/07/c-3.html , заменил предыдущую редакцию SP 800-88 Rev.1, опубликованную в декабре 2014 года.
«Под очисткой (sanitization) носителей информации понимается процесс, который делает невозможным доступ к целевым данным на носителе при заданном уровне усилий.
Данное руководство поможет организациям и владельцам систем внедрить программу очистки носителей информации, применяя для очистки и уничтожения информации адекватные практичные методы и меры контроля и управления с учётом степени чувствительности (конфиденциальности) их информации.
В число наиболее важных изменений в новой редакции SP 800-88, в сравнении с редакцией 2014 года, входят следующие:
Данное руководство поможет организациям и владельцам систем внедрить программу очистки носителей информации, применяя для очистки и уничтожения информации адекватные практичные методы и меры контроля и управления с учётом степени чувствительности (конфиденциальности) их информации.
В число наиболее важных изменений в новой редакции SP 800-88, в сравнении с редакцией 2014 года, входят следующие:
- Основное внимание в документе, вместо рекомендаций по принятию конкретных решений об уничтожении информации, теперь обращается на сохранение конфиденциальности чувствительной информации посредством создания программы очистки носителей информации федерального органа исполнительной власти или учреждения в качестве составной части практики уничтожения и повторного использования носителей информации;
- Ориентированные на программу рекомендации теперь, в отношении методов очистки и удаления данных,
- способствуют лучшему соответствию деятельности по очистке носителей информации стандартам кибербезопасности (таким, например, NIST SP 800-53 «Меры обеспечения безопасности и неприкосновенности частной жизни для информационных систем и организаций» (Security and Privacy Controls for Information Systems and Organizations) и международный стандарт ISO/IEC 27040 «Информационные технологии – Методы обеспечения безопасности - Безопасность хранения данных» (Information technology - Security techniques - Storage security));
- обновляют некоторые методы очистки, приводя их в соответствии с текущей передовой практикой; и
- решают вопросы обеспечения доверия к реализации методов очистки поставщиками.
- За исключением криптографического стирания (cryptographic erase, CE), которое обычно используется применительно к зашифрованным носителям информации, - все подробности, касающиеся методов и инструментов очистки, были заменены рекомендациями по соблюдению положений стандарта IEEE 2883-2022 «Стандарт IEEE - Очистка систем хранения данных» (IEEE Standard for Sanitizing Storage, о нём см. https://standards.ieee.org/ieee/2883/10277/ и мой пост https://rusrim.blogspot.com/2025/08/ieee-2883-2022.html – Н.Х.), спецификаций Агентства национальной безопасности США (АНБ - National Security Agency, NSA) и/или утвержденного организацией стандарта.
Мой комментарий: Имеются в виду документы, опубликованные Агентством национальной безопасности США и Центральной службой безопасности министерства обороны США (Central Security Service, CSS), см. https://www.nsa.gov/Helpful-Links/NSA-FOIA/Declassification-Transparency-Initiatives/NSA-CSS-Policies/#handling-sanitization-of-storage-media : - Руководство NSA/CSS Policy Manual 9-12 «Руководство NSA/CSS по очистке устройств хранения данных» (NSA/CSS Storage Device Sanitization Manual), объёмом 10 страниц, декабрь 2014 г., https://media.defense.gov/2021/Jul/02/2002755757/-1/-1/0/PM_9-12.PDF
- Политика NSA/CSS Policy 6-22 «Порядок NSA/CSS обращения с носителями для хранения информации» (Handling of NSA/CSS Information Storage Media), объёмом 11 страниц, ноябрь 2019 г., https://media.defense.gov/2021/Jul/02/2002755756/-1/-1/0/NSACSS%20P%206-22%2020191121.PDF
- В методику криптографического стирания (CE) добавлен ряд целенаправленных рекомендаций, позволяющих
- расширить набор типов криптографических ключей, которые можно использовать для целей криптографического стирания,
- объединить контент из разных частей текста в отдельный раздел,
- дать рекомендации по уничтожению ключей с использованием передовой практики перезаписи нулями (zeroization) стандарта ISO/IEC 19790:2025 «Информационная безопасность, кибербезопасность и защита персональных данных - Требования безопасности к криптографическим модулям» (Information security, cybersecurity and privacy protection - Security requirements for cryptographic modules); и
- разъяснить, когда потенциально может быть приемлемо использование ключей, управляемых внешней стороной.
Содержание руководства следующее:
Резюме для руководства
1. Введение
2. Предыстория
3. Обзор методов очистки носителей информации
3.1. Методы очистки
3.2. Использование криптографии и криптографического стирания
4. Программа очистки носителей информации
4.1. Политика очистки носителей информации
4.2. Сфера охвата деятельности по очистке носителей информации
4.3. Концепция принятия решений об очистке и уничтожении
4.4. Проведение очистки носителей информации
4.5. Обеспечение уверенности в надёжности очистки носителей информации
4.6. Документация
4.7. Роли и обязанности
Приложение A: Глоссарий
Приложение B: Представляющие интерес специфические характеристики устройств
Приложение C: Образец формы «Сертификата об очистке»
Приложение D: Изменения по сравнению с редакцией 2014 года
Источник: сайт NIST
https://csrc.nist.gov/pubs/sp/800/88/r2/final
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r2.pdf
Комментариев нет:
Отправить комментарий