ما هي معايير إتلاف البيانات الحالية؟

يعد التخلص الآمن من المعلومات الإلكترونية الحساسة مصدر قلق كبير لكل شركة أو مؤسسة حديثة تقريبًا، ولكن وسائل القيام بذلك ليست عالمية. هناك ما لا يقل عن 20 معيارًا مختلفًا لتدمير البيانات لاستخدام برامج لمسح محركات الأقراص الصلبة وأجهزة الذاكرة الأخرى، وطرق تدمير مادية مختلفة موصى بها باستخدام أجهزة تمزيق معتمدة من المعهد الوطني للمعايير والتكنولوجيا.

في حين أن معايير تدمير البيانات هذه تهدف إلى تحديد أفضل الممارسات لتدمير البيانات، إلا أن حقيقة وجود العديد منها قد تجعل من الصعب على المستخدمين النهائيين تحليلها. يُرجى إلقاء نظرة على بعض المعايير الأكثر شيوعًا، ومعرفة كيفية اختلافها، ومعرفة المعيار المناسب لمؤسستك.

NIST 800-88 وDoD 5220.22-M: أكثر المعايير شيوعًا

يُعرف المعهد الوطني للمعايير والتكنولوجيا (NIST) 800-88 على نطاق واسع بأنه معيار الصناعة الحالي في الولايات المتحدة. وهو أحد المعيارين اللذين نستخدمهما في CompuCycle لتدمير البيانات بشكل آمن. يحدد NIST 800-88 أربعة أنواع مختلفة من تعقيم البيانات:

1. التخلص منها: ببساطة التخلص من المستندات الورقية أو الوسائط الأخرى التي تحتوي على معلومات غير سرية.
2. المسح: جعل البيانات الإلكترونية غير قابلة للقراءة والاسترجاع، كما هو الحال في الكتابة فوق البيانات. لاحظ أن مجرد الضغط على مفتاح الحذف لا يفي بهذا المعيار.
3. التطهير: حماية البيانات من "هجوم مختبري" أو لصوص البيانات ذوي المهارات العالية. بالنسبة لمعظم محركات أقراص ATA (المعروفة أيضًا باسم محركات أقراص IDE) المصنعة منذ عام 2001، فإن المسح يعادل التطهير. ومع ذلك، بالنسبة للأنواع الأخرى من الوسائط المغناطيسية والوسائط الأقدم، من الضروري استخدام مجال مغناطيسي لتعقيم البيانات من خلال عملية تسمى إزالة التشويش أو تشغيل أمر المسح الآمن على محركات ATA.
4. التدمير التدمير المادي، "الشكل النهائي للتطهير". وتشمل العمليات التفكيك والسحق والحرق والإحراق والإذابة والتقطيع.

لأكثر من عقد من الزمان، كانت وزارة الدفاع 5220.22-M طريقة مستخدمة على نطاق واسع لمحو البيانات مستمدة من دليل تشغيلي نشره البرنامج الوطني للأمن الصناعي (NISP). ولا تزال العديد من شركات التخلص من أصول تكنولوجيا المعلومات تشير إليها حتى اليوم، على الرغم من أنها قديمة ولم تعد تستخدمها وزارة الدفاع والوكالات الحكومية الأخرى.

في الواقع، إن الفكرة القائلة بأن DoD 5220.22-M كان القصد منها واستخدامها كمعيار صناعي لمحو البيانات هي خرافة. لم يتم إنشاؤه أبدًا لهذا الغرض. NIST 800-88 هو معيار الصناعة الحالي.

الخيارات القياسية الأخرى لتدمير البيانات

تتضمن بعض معايير إتلاف البيانات الأخرى التي قد تصادفها مع بعض مقدمي الخدمات أو في مناطق جغرافية معينة ما يلي:

• معيار HMG Infosec القياسي 5: مثل معيار وزارة الدفاع 5220.22-M، فإن IS5 (أو "معيار CESG") هو معيار الحكومة البريطانية الذي يدعو إما إلى إزالة التشويش أو الكتابة فوقها بتمريرة واحدة أو ثلاث مرات أو التدمير المادي. المحو الآمن - وهي طريقة شائعة لاستخدام البرامج الثابتة الموجودة على محركات الأقراص من نوع SATA أو PATA - غير معتمدة.
• BSI-GS: يستخدمه المكتب الاتحادي الألماني لأمن المعلومات، ويتميز هذا البروتوكول بتمريرة واحدة للكتابة فوق البيانات العشوائية بعد إزالة محركات الأقراص المخفية.
• تعليمات أمن نظام القوات الجوية 8580: يتطلب أحدث معيار للقوات الجوية إجراء عمليتي كتابة فوقية عشوائية زائفة، متبوعة بكتابة فوقية بنمط محدد من الآحاد والأصفار. يجب فحص ما لا يقل عن 1% من البيانات المكتوبة فوق النهائية بصرياً لضمان نجاح الكتابة فوقها.
• منشور مكتب أركان البحرية (NAVSO P-5239-26): وهو أيضاً معيار ثلاثي المسار، تستخدم البحرية حرفين محددين مسبقاً بدلاً من حرف عشوائي وتتحقق منهما في نهاية العملية.

هذه ليست سوى عدد قليل من المعايير المستخدمة اليوم. عند استخدام برنامج إتلاف البيانات، قد ترى أيضاً خيارات لمصطلحات مثل "طريقة غوتمان" أو "PRNG" (مولد الأرقام العشوائية الزائفة). هذه ليست معايير كثيرة بقدر ما هي طرق كتابة فوقية تختلف في عدد التمريرات أو الأحرف الدقيقة المستخدمة في العملية.

معايير التدمير المادي

البيانات الحساسة لا تعني فقط "النسخة الإلكترونية" أو البيانات الإلكترونية؛ فالنسخة المطبوعة هي مجال حيوي بنفس القدر من البيانات التي لا يمكن التغاضي عنها. ولحسن الحظ، فإن المعايير أكثر تجانساً لأن النتائج يمكن التحقق منها بسهولة أكبر.

المستندات الورقية هي مثال واضح للنسخة المطبوعة. ومع ذلك، فإن طابعات PVC، التي تُستخدم عادةً لطباعة شارات الموظفين، تترك بشكل روتيني صورًا افتراضية طبق الأصل لما تتم طباعته على شريط الطابعة، والتي غالبًا ما يتم التخلص منها سليمة من قبل المستخدمين غير المرتابين. وبالمثل، فإن أجهزة البيانات الإلكترونية التالفة أو غير القادرة على العمل بطريقة أخرى غير قادرة على العمل بشكل كافٍ ليتم مسحها بواسطة البرامج، يجب أيضاً تدميرها يدوياً لتوفير الحماية الكاملة.

تأتي المعايير الذهبية للتدمير المادي من وكالة الأمن القومي الأمريكية (NSA)، والتي تنشر إرشاداتها الخاصة لتدمير أجهزة الوسائط التي تحتوي على معلومات تصل إلى "سري للغاية". على سبيل المثال، توصي وكالة الأمن القومي بالنسبة لأجهزة تمزيق الورق بأن لا يزيد حجم شظايا المستندات عن 1 ملليمتر في 5 ملليمتر. أما بالنسبة لمحركات الأقراص الصلبة والأجهزة الإلكترونية الأخرى، فتحدد الوكالة من 2 إلى 5 ملليمتر في طول الحافة عند التمزيق، أو المواد التي يتم اختزالها إلى رماد عند الحرق.

للاطلاع على قائمة كاملة بمعدات تعقيم أجهزة التخزين المعتمدة من وكالة الأمن القومي، تفضل بزيارة www.nsa.gov/resources/everyone/media-destruction/.

ما هو معيار تعقيم البيانات المناسب لك؟

يتضمن اختيار أفضل معايير تدمير البيانات النظر في متغيرات مثل:

• درجة الأمان التي تحتاجها
• متطلبات مجال عملك
• ما إذا كنت ترغب في إعادة استخدام الأجهزة
• مواردك فيما يتعلق بالوقت والتكلفة

قد ترغب في الجمع بين معيار محو البيانات للحصول على أعلى مستوى من الحماية مثل NIST 800-88 مع التدمير المادي. وبهذه الطريقة، حتى إذا كانت أجهزتك عبارة عن محركات أقراص صلبة (SSDs)، والتي تخزن المعلومات في كميات صغيرة جدًا من المساحة المادية التي قد تفوتها أداة تمزيق غير معتمدة من NIST، فإنك ستظل تتمتع بأمان إضافي للبيانات التي تمت الكتابة فوقها بالفعل.

يوجد لدى العديد من الصناعات قوانين ولوائح خاصة تحكم كيفية التعامل مع البيانات الشخصية للمواطنين، ولكن غالبًا ما تكون الإرشادات غامضة. على سبيل المثال، تتطلب وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) من مقدمي الرعاية الصحية اتخاذ خطوات "مناسبة" لحماية المعلومات الصحية المحمية (PHI) على الوسائط الإلكترونية كجزء من لوائح قانون قابلية التأمين الصحي والمساءلة (HIPAA).

تحيل وزارة الصحة والخدمات الإنسانية الممارسين إلى NIST SP 800-88، لسبب وجيه. إن استيفاء معيار 800-88 هو أفضل طريقة لضمان قيامك بالعناية الواجبة المتعلقة بالامتثال الحكومي في جميع بيئات الشركات، ولهذا السبب نستخدمه هنا في CompuCycle.

كيفية تحقيق معيار إتلاف البيانات المرغوب فيه

يمكن لشركة تعقيم البيانات المحترفة مثل CompuCycle تعقيم أجهزتك إلى أي مستوى تحدده وتقديم تقرير جرد وشهادة تعقيم البيانات أو شهادة تدمير البيانات (حسب طريقة التعقيم المستخدمة) عند الانتهاء، لأغراض الامتثال التنظيمي. سيتم تنفيذ العمل من قبل "موظفين لا مصلحة لهم في أي جزء من العملية"، وهو مبدأ توجيهي مهم من NIST 800-88. بعد التدمير المادي، فإن استخدام بائع موثوق به هو النهج الأكثر أمانًا للتخلص من البيانات.

ومع ذلك، هناك برامج مجانية يمكن أن تساعدك في جعل بياناتك غير قابلة للاسترداد بمعايير محددة، مثل برنامج DBAN، وهو أداة مسح بيانات مفتوحة المصدر. على الرغم من أن البرنامج يقدم ستة معايير مختلفة لتدمير البيانات، إلا أنه لا يمكنه مسح أقراص SSD، ولا يقدم أي دعم تقني، ويوصى به للاستخدام المنزلي فقط. ومن البرامج المجانية الأخرى التي يمكنك استخدامها بنفسك والتي تمنحك خيارات في طريقة التعقيم: Securely File Shredder وFreeraser وBitkiller.