वर्तमान डेटा विनाश मानक क्या हैं?

संवेदनशील इलेक्ट्रॉनिक जानकारी का सुरक्षित निपटान लगभग हर आधुनिक व्यवसाय या संगठन के लिए एक गंभीर चिंता का विषय है, लेकिन ऐसा करने के तरीके सार्वभौमिक नहीं हैं। हार्ड ड्राइव और अन्य मेमोरी उपकरणों को मिटाने के लिए सॉफ़्टवेयर का उपयोग करने हेतु कम से कम 20 अलग-अलग डेटा विनाश मानक हैं, और NIST द्वारा अनुमोदित श्रेडर के साथ भौतिक विनाश के विभिन्न अनुशंसित तरीके हैं।

हालाँकि ये डेटा विनाश मानक डेटा नष्ट करने के सर्वोत्तम तरीकों को परिभाषित करने के लिए हैं, लेकिन इनकी संख्या इतनी ज़्यादा होने के कारण अंतिम उपयोगकर्ताओं के लिए इनका विश्लेषण करना मुश्किल हो सकता है। कृपया कुछ सबसे सामान्य मानकों पर एक नज़र डालें, देखें कि वे कैसे भिन्न हैं, और जानें कि आपके संगठन के लिए कौन सा मानक सही है।

एनआईएसटी 800-88 और डीओडी 5220.22-एम: सबसे लोकप्रिय मानक

राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान (NIST) 800-88 को संयुक्त राज्य अमेरिका में वर्तमान उद्योग मानक के रूप में व्यापक रूप से मान्यता प्राप्त है। यह उन दो मानकों में से एक है जिनका उपयोग हम CompuCycle में सुरक्षित डेटा विनाश के लिए करते हैं। NIST 800-88 डेटा सैनिटाइजेशन के चार अलग-अलग प्रकारों की रूपरेखा प्रस्तुत करता है:

1. निपटान : गैर-गोपनीय जानकारी वाले कागजी दस्तावेजों या अन्य मीडिया को फेंक देना।
2. क्लियरिंग : इलेक्ट्रॉनिक डेटा को अपठनीय और अप्राप्य बनाना, जैसे डेटा ओवरराइटिंग। ध्यान दें कि केवल डिलीट कुंजी दबाने से यह मानक पूरा नहीं होता।
3. पर्जिंग : डेटा को "प्रयोगशाला हमले" या अत्यधिक कुशल डेटा चोरों से बचाना। 2001 से निर्मित अधिकांश ATA ड्राइव (जिन्हें IDE ड्राइव भी कहा जाता है) के लिए, क्लियरिंग, पर्जिंग के बराबर है। हालाँकि, अन्य प्रकार के चुंबकीय मीडिया और पुराने मीडिया के लिए, डीगॉसिंग नामक प्रक्रिया के माध्यम से डेटा को साफ़ करने के लिए चुंबकीय क्षेत्र का उपयोग करना आवश्यक है, या ATA ड्राइव पर सिक्योर इरेज़ कमांड चलाना आवश्यक है।
4. नष्ट करना : भौतिक विनाश, "स्वच्छता का अंतिम रूप।" प्रक्रियाओं में विघटन, चूर्णीकरण, भस्मीकरण, पिघलना और टुकड़े करना शामिल हैं।

एक दशक से भी ज़्यादा समय से, DoD 5220.22-M एक व्यापक रूप से इस्तेमाल किया जाने वाला डेटा मिटाने का तरीका रहा है, जो राष्ट्रीय औद्योगिक सुरक्षा कार्यक्रम (NISP) द्वारा प्रकाशित एक ऑपरेटिंग मैनुअल से लिया गया है। कई आईटी परिसंपत्ति निपटान कंपनियाँ आज भी इसका संदर्भ देती हैं, हालाँकि यह पुराना हो चुका है और अब रक्षा विभाग और अन्य सरकारी एजेंसियों द्वारा इसका उपयोग नहीं किया जाता है।

दरअसल, यह विचार कि DoD 5220.22-M को डेटा मिटाने के लिए एक उद्योग मानक के रूप में बनाया और इस्तेमाल किया गया था, एक मिथक है । इसे कभी भी इस उद्देश्य के लिए नहीं बनाया गया था। NIST 800-88 वर्तमान उद्योग मानक है।

अन्य डेटा विनाश मानक विकल्प

कुछ अन्य डेटा विनाश मानक जो आपको कुछ प्रदाताओं या कुछ भौगोलिक क्षेत्रों में देखने को मिल सकते हैं, वे हैं:

• एचएमजी इन्फोसेक मानक 5 : रक्षा विभाग 5220.22-एम की तरह, आईएस5 (या "सीईएसजी मानक") ब्रिटिश सरकार का मानक है जो डीगॉसिंग, एक-पास या तीन-पास ओवरराइट या भौतिक विनाश की आवश्यकता बताता है। सिक्योर इरेज़—SATA या PATA प्रकार की ड्राइव पर पाए जाने वाले फ़र्मवेयर का उपयोग करने की एक लोकप्रिय विधि—अनुमोदित नहीं है।
• बीएसआई-जीएस : जर्मन संघीय सूचना सुरक्षा कार्यालय द्वारा प्रयुक्त, इस प्रोटोकॉल में छुपे हुए ड्राइवों को हटाने के बाद यादृच्छिक डेटा के साथ एक ओवरराइटिंग पास की सुविधा होती है।
• वायु सेना प्रणाली सुरक्षा निर्देश 8580 : नवीनतम वायु सेना मानक के अनुसार, दो छद्म-यादृच्छिक अधिलेखन (स्यूडो-रैंडम ओवरराइट) और उसके बाद इकाई और शून्य के एक निश्चित पैटर्न के साथ अधिलेखन (ओवरराइट) आवश्यक है। अधिलेखन की सफलता सुनिश्चित करने के लिए, अंतिम अधिलेखित डेटा के कम से कम 1% का दृश्य निरीक्षण किया जाना चाहिए।
• नौसेना स्टाफ कार्यालय प्रकाशन (NAVSO P-5239-26) : यह भी एक तीन-पास मानक है, नौसेना एक यादृच्छिक चरित्र की तुलना में दो पूर्व निर्धारित पात्रों का उपयोग करती है और प्रक्रिया के अंत में उन्हें सत्यापित करती है।

ये आज इस्तेमाल होने वाले मानकों में से कुछ ही हैं। डेटा विनाश सॉफ़्टवेयर का इस्तेमाल करते समय, आपको "गुटमैन विधि" या "PRNG" (छद्म-यादृच्छिक संख्या जनरेटर) जैसे शब्दों के विकल्प भी दिखाई दे सकते हैं। ये मानक नहीं, बल्कि ओवरराइटिंग विधियाँ हैं जो पास की संख्या या प्रक्रिया में इस्तेमाल किए गए सटीक वर्णों में भिन्न होती हैं।

भौतिक विनाश के मानक

संवेदनशील डेटा का मतलब सिर्फ़ "सॉफ्ट कॉपी" या इलेक्ट्रॉनिक डेटा नहीं है; हार्ड कॉपी भी डेटा का एक उतना ही महत्वपूर्ण हिस्सा है जिसे आप नज़रअंदाज़ नहीं कर सकते। सौभाग्य से, मानक ज़्यादा समरूप हैं क्योंकि परिणामों का सत्यापन ज़्यादा आसानी से किया जा सकता है।

कागज़ी दस्तावेज़ हार्ड कॉपी का एक स्पष्ट उदाहरण हैं। फिर भी, पीवीसी प्रिंटर, जिनका इस्तेमाल आमतौर पर कर्मचारी बैज प्रिंट करने के लिए किया जाता है, प्रिंटर रिबन पर छपी हुई सामग्री की आभासी प्रतिबिम्ब छोड़ देते हैं, जिसे अक्सर अनजान उपयोगकर्ता बरकरार ही फेंक देते हैं। इसी तरह, इलेक्ट्रॉनिक डेटा डिवाइस जो क्षतिग्रस्त हैं या सॉफ़्टवेयर द्वारा मिटाए जाने लायक काम नहीं कर पा रहे हैं, उन्हें भी पूरी सुरक्षा के लिए मैन्युअल रूप से नष्ट करना पड़ता है।

भौतिक विनाश के लिए स्वर्ण मानक राष्ट्रीय सुरक्षा एजेंसी (एनएसए) से आते हैं, जो "अति गोपनीय" जानकारी वाले मीडिया उपकरणों के विनाश के लिए अपने दिशानिर्देश सार्वजनिक करती है। उदाहरण के लिए, पेपर श्रेडर के लिए एनएसए की सिफ़ारिश है कि दस्तावेज़ के टुकड़े 1 मिलीमीटर गुणा 5 मिलीमीटर से ज़्यादा बड़े न हों। हार्ड डिस्क ड्राइव और अन्य इलेक्ट्रॉनिक उपकरणों के लिए, एजेंसी श्रेडिंग करते समय किनारे की लंबाई 2-5 मिलीमीटर या भस्मीकरण करते समय राख में बदली गई सामग्री निर्धारित करती है।

एनएसए-अनुमोदित भंडारण उपकरण स्वच्छता उपकरणों की पूरी सूची के लिए, www.nsa.gov/resources/everyone/media-destruction/ पर जाएं।

कौन सा डेटा सैनिटाइजेशन मानक आपके लिए सही है?

सर्वोत्तम डेटा विनाश मानकों को चुनने में निम्नलिखित चरों पर विचार करना शामिल है:

• आपको जिस स्तर की सुरक्षा की आवश्यकता है
• आपकी उद्योग आवश्यकताएँ
• क्या आप उपकरणों का पुनः उपयोग करना चाहते हैं
• समय और लागत के संबंध में आपके संसाधन

आप उच्चतम स्तर की सुरक्षा के लिए NIST 800-88 जैसे डेटा इरेज़र मानक को भौतिक विनाश के साथ जोड़ना चाहेंगे। इस तरह, भले ही आपके उपकरण सॉलिड-स्टेट ड्राइव (SSD) हों, जो जानकारी को बहुत कम भौतिक स्थान में संग्रहीत करते हैं, जिसे NIST द्वारा अनुमोदित न किए गए श्रेडर द्वारा अनदेखा किया जा सकता है, फिर भी आपको पहले से ही अधिलेखित डेटा की अतिरिक्त सुरक्षा मिलती है।

कई उद्योगों में नागरिकों के व्यक्तिगत डेटा के प्रबंधन को नियंत्रित करने वाले विशेष कानून और नियम होते हैं, लेकिन दिशानिर्देश अक्सर अस्पष्ट होते हैं। उदाहरण के लिए, अमेरिकी स्वास्थ्य एवं मानव सेवा विभाग (HHS) अपने स्वास्थ्य बीमा सुवाह्यता एवं जवाबदेही अधिनियम (HIPAA) के नियमों के तहत, स्वास्थ्य सेवा प्रदाताओं से इलेक्ट्रॉनिक मीडिया पर संरक्षित स्वास्थ्य जानकारी (PHI) की सुरक्षा के लिए "उचित" कदम उठाने की अपेक्षा करता है।

HHS, एक अच्छे कारण से, व्यवसायियों को NIST SP 800-88 का उपयोग करने के लिए प्रोत्साहित करता है। 800-88 मानक को पूरा करना यह सुनिश्चित करने का सबसे अच्छा तरीका है कि आप सभी कॉर्पोरेट वातावरणों में सरकारी अनुपालन से संबंधित उचित परिश्रम कर रहे हैं, यही कारण है कि हम CompuCycle में इसका उपयोग करते हैं।

अपने वांछित डेटा विनाश मानक को कैसे प्राप्त करें

CompuCycle जैसी एक पेशेवर डेटा सैनिटाइज़ेशन कंपनी आपके उपकरणों को आपके द्वारा निर्दिष्ट किसी भी स्तर तक सैनिटाइज़ कर सकती है और नियामक अनुपालन उद्देश्यों के लिए, एक इन्वेंट्री रिपोर्ट और डेटा सैनिटाइज़ेशन प्रमाणपत्र या डेटा विनाश प्रमाणपत्र (प्रयुक्त सैनिटाइज़ेशन विधि के आधार पर) प्रदान कर सकती है। यह कार्य "प्रक्रिया के किसी भी भाग में बिना किसी हिस्सेदारी वाले कर्मियों" द्वारा किया जाएगा, जो NIST 800-88 का एक महत्वपूर्ण दिशानिर्देश है। भौतिक विनाश के बाद, डेटा निपटान के लिए किसी विश्वसनीय विक्रेता का उपयोग करना सबसे सुरक्षित तरीका है।

हालाँकि, ऐसे मुफ़्त प्रोग्राम भी हैं जो आपके डेटा को एक निश्चित मानक पर अप्राप्य बनाने में आपकी मदद कर सकते हैं, जैसे कि DBAN, एक ओपन-सोर्स डेटा वाइपिंग टूल। हालाँकि यह प्रोग्राम छह अलग-अलग डेटा विनाश मानक प्रदान करता है, यह SSD को मिटा नहीं सकता, कोई तकनीकी सहायता प्रदान नहीं करता है, और केवल घरेलू उपयोग के लिए अनुशंसित है। अन्य मुफ़्त DIY प्रोग्राम जो आपको अपनी स्वच्छता विधि के विकल्प प्रदान करते हैं, उनमें सिक्योरली फ़ाइल श्रेडर, फ्रीरेज़र और बिटकिलर शामिल हैं।