موجودہ ڈیٹا تباہی کے معیارات کیا ہیں؟

حساس الیکٹرانک معلومات کو محفوظ طریقے سے ضائع کرنا عملی طور پر ہر جدید کاروبار یا تنظیم کے لیے ایک سنگین تشویش ہے، لیکن ایسا کرنے کا ذریعہ آفاقی کے علاوہ کچھ بھی ہے۔ ہارڈ ڈرائیوز اور دیگر میموری ڈیوائسز کو صاف کرنے کے لیے سافٹ ویئر استعمال کرنے کے لیے 20 سے کم مختلف ڈیٹا ڈسٹرکشن معیارات نہیں ہیں، اور NIST کے منظور شدہ شریڈرز کے ساتھ جسمانی تباہی کے مختلف تجویز کردہ طریقے ہیں۔

اگرچہ ڈیٹا کو تباہ کرنے کے ان معیارات کا مقصد ڈیٹا کو تباہ کرنے کے بہترین طریقوں کی وضاحت کرنا ہے، لیکن حقیقت یہ ہے کہ بہت سارے ہیں جو اختتامی صارفین کے لیے تجزیہ کرنا مشکل بنا سکتے ہیں۔ براہ کرم کچھ عام معیارات پر ایک نظر ڈالیں، دیکھیں کہ وہ کس طرح مختلف ہیں، اور جانیں کہ آپ کی تنظیم کے لیے کون سا معیار صحیح ہے۔

NIST 800-88 اور DoD 5220.22-M: مقبول ترین معیارات

نیشنل انسٹی ٹیوٹ فار اسٹینڈرڈز اینڈ ٹیکنالوجی (NIST) 800-88 کو ریاستہائے متحدہ میں موجودہ صنعتی معیار کے طور پر بڑے پیمانے پر تسلیم کیا جاتا ہے۔ یہ ان دو معیارات میں سے ایک ہے جنہیں ہم CompuCycle میں محفوظ ڈیٹا کی تباہی کے لیے استعمال کرتے ہیں۔ NIST 800-88 ڈیٹا کی صفائی کی چار مختلف اقسام کا خاکہ پیش کرتا ہے:

1. ڈسپوزل : صرف کاغذی دستاویزات یا غیر خفیہ معلومات کے ساتھ دیگر میڈیا کو ضائع کرنا۔
2. کلیئرنگ : الیکٹرانک ڈیٹا کو ناقابل پڑھنا اور ناقابل بازیافت کرنا، جیسا کہ ڈیٹا اوور رائٹنگ میں ہے۔ نوٹ کریں کہ صرف ڈیلیٹ کی کو مارنا اس معیار پر پورا نہیں اترتا۔
3. صاف کرنا : ڈیٹا کو "لیبارٹری حملے" یا انتہائی ہنر مند ڈیٹا چوروں سے بچانا۔ 2001 سے تیار کردہ زیادہ تر ATA ڈرائیوز (جسے IDE ڈرائیوز بھی کہا جاتا ہے) کے لیے، کلیئرنگ صاف کرنے کے مترادف ہے۔ تاہم، دیگر قسم کے مقناطیسی میڈیا اور پرانے میڈیا کے لیے، ڈیگاسنگ نامی عمل کے ذریعے ڈیٹا کو صاف کرنے کے لیے مقناطیسی فیلڈ کا استعمال ضروری ہے، یا اے ٹی اے ڈرائیوز پر سیکیور ایریز کمانڈ چلانا ضروری ہے۔
4. تباہی : جسمانی تباہی، "صاف صفائی کی حتمی شکل۔" عمل میں ٹوٹ پھوٹ، pulverizing، جلانے، پگھلنے، اور shredding شامل ہیں.

ایک دہائی سے زیادہ عرصے سے، DoD 5220.22-M ایک وسیع پیمانے پر استعمال ہونے والا ڈیٹا مٹانے کا طریقہ تھا جو نیشنل انڈسٹریل سیکیورٹی پروگرام (NISP) کے ذریعہ شائع کردہ آپریٹنگ مینول سے اخذ کیا گیا تھا۔ بہت سی آئی ٹی اثاثہ سازی کرنے والی کمپنیاں آج بھی اس کا حوالہ دیتی ہیں، حالانکہ یہ پرانی ہے اور اب محکمہ دفاع اور دیگر سرکاری ایجنسیوں کے ذریعہ استعمال نہیں کیا جاتا ہے۔

درحقیقت، یہ خیال کہ DoD 5220.22-M کا مقصد تھا اور ڈیٹا مٹانے کے لیے ایک صنعتی معیار کے طور پر استعمال کیا گیا تھا۔ اسے اس مقصد کے لیے کبھی نہیں بنایا گیا تھا۔ NIST 800-88 موجودہ صنعت کا بینچ مارک ہے۔

دیگر ڈیٹا ڈسٹرکشن معیاری اختیارات

ڈیٹا کو تباہ کرنے کے کچھ دوسرے معیارات جو آپ کو کچھ فراہم کنندگان یا مخصوص جغرافیائی خطوں میں مل سکتے ہیں ان میں شامل ہیں:

• HMG Infosec سٹینڈرڈ 5 : DoD 5220.22-M کی طرح، IS5 (یا "CESG اسٹینڈرڈ") برطانوی حکومت کا معیار ہے جو ڈیگاسنگ، ون پاس یا تھری پاس اوور رائٹ یا جسمانی تباہی کا مطالبہ کرتا ہے۔ سیکیور ایریز – SATA- یا PATA قسم کی ڈرائیوز پر پائے جانے والے فرم ویئر کے استعمال کا ایک مقبول طریقہ – منظور نہیں ہے۔
• BSI-GS : جرمن فیڈرل آفس فار انفارمیشن سیکیورٹی کے ذریعے استعمال کیا جاتا ہے، اس پروٹوکول میں پوشیدہ ڈرائیوز کو ہٹانے کے بعد بے ترتیب ڈیٹا کے ساتھ ایک اوور رائٹنگ پاس شامل ہے۔
• ایئر فورس سسٹم سیکیورٹی انسٹرکشن 8580 : ایئر فورس کے جدید ترین معیار کے لیے دو چھدم بے ترتیب اوور رائٹ کی ضرورت ہوتی ہے، اس کے بعد ایک اور صفر کے سیٹ پیٹرن کے ساتھ اوور رائٹ ہوتا ہے۔ اوور رائٹنگ کی کامیابی کی ضمانت کے لیے حتمی اوور رائٹ شدہ ڈیٹا کا کم از کم 1% بصری طور پر معائنہ کیا جانا چاہیے۔
• نیوی اسٹاف آفس پبلیکیشن (NAVSO P-5239-26) : تین پاس کا معیار بھی، بحریہ بے ترتیب کردار کے مقابلے میں دو پہلے سے متعین حروف کا استعمال کرتی ہے اور عمل کے اختتام پر ان کی تصدیق کرتی ہے۔

یہ صرف چند معیارات ہیں جو آج استعمال ہو رہے ہیں۔ ڈیٹا ڈسٹرکشن سافٹ ویئر استعمال کرتے وقت، آپ "گٹ مین میتھڈ" یا "پی آر این جی" (سیڈو رینڈم نمبر جنریٹر) جیسی اصطلاحات کے اختیارات بھی دیکھ سکتے ہیں۔ یہ اتنے زیادہ معیارات نہیں ہیں کیونکہ یہ اوور رائٹنگ کے طریقے ہیں جو پاسز کی تعداد یا عمل میں استعمال ہونے والے عین حروف میں مختلف ہیں۔

جسمانی تباہی کے معیارات

حساس ڈیٹا کا مطلب صرف "سافٹ کاپی" یا الیکٹرانک ڈیٹا نہیں ہے۔ ہارڈ کاپی ڈیٹا کا اتنا ہی اہم شعبہ ہے جسے آپ نظر انداز نہیں کر سکتے۔ خوش قسمتی سے، معیارات زیادہ یکساں ہیں کیونکہ نتائج زیادہ آسانی سے قابل تصدیق ہیں۔

کاغذی دستاویزات ہارڈ کاپی کی واضح مثال ہیں۔ پھر بھی، PVC پرنٹرز، جو عام طور پر ملازمین کے بیجز کو پرنٹ کرنے کے لیے استعمال ہوتے ہیں، معمول کے مطابق پرنٹر ربن پر جو کچھ بھی پرنٹ کیا جا رہا ہے اس کی ورچوئل آئینے کی تصاویر چھوڑ دیتے ہیں، جسے اکثر غیر مشتبہ صارفین کے ذریعے ضائع کر دیا جاتا ہے۔ الیکٹرانک ڈیٹا ڈیوائسز جو خراب ہوچکے ہیں یا بصورت دیگر اتنا کام کرنے سے قاصر ہیں کہ سافٹ ویئر کے ذریعہ ان کا صفایا کیا جاسکے اسی طرح مکمل تحفظ کے لیے دستی طور پر تباہ کرنے کی ضرورت ہے۔

جسمانی تباہی کے لیے سونے کے معیارات نیشنل سیکیورٹی ایجنسی (NSA) سے آتے ہیں، جو عوام کو میڈیا ڈیوائسز کی تباہی کے لیے اپنے رہنما خطوط بناتی ہے جس میں "ٹاپ سیکرٹ" معلومات ہوتی ہیں۔ مثال کے طور پر، NSA کی تجویز کاغذ کے شریڈرز کے لیے دستاویزی شارڈز ہیں جو 1 ملی میٹر بائی 5 ملی میٹر سے زیادہ نہ ہوں۔ ہارڈ ڈسک ڈرائیوز اور دیگر الیکٹرانک آلات کے لیے، ایجنسی 2 - 5 ملی میٹر کناروں کی لمبائی کا تعین کرتی ہے جب ٹکڑے ٹکڑے کیے جاتے ہیں، یا مواد کو جلاتے وقت راکھ میں کمی واقع ہوتی ہے۔

NSA سے منظور شدہ سٹوریج ڈیوائس کی صفائی کے آلات کی مکمل فہرست کے لیے، www.nsa.gov/resources/everyone/media-destruction/ پر جائیں۔

آپ کے لیے کون سا ڈیٹا سینیٹائزیشن کا معیار صحیح ہے؟

ڈیٹا کو تباہ کرنے کے بہترین معیارات کا انتخاب کرنے میں متغیرات پر غور کرنا شامل ہے جیسے:

• سیکیورٹی کی ڈگری جس کی آپ کو ضرورت ہے۔
• آپ کی صنعت کی ضروریات
• چاہے آپ آلات کو دوبارہ استعمال کرنا چاہتے ہیں۔
• وقت اور لاگت سے متعلق آپ کے وسائل

آپ اعلی ترین سطح کے تحفظ کے لیے ڈیٹا مٹانے کے معیار کو جوڑنا چاہیں گے جیسے کہ NIST 800-88 کو جسمانی تباہی کے ساتھ۔ اس طرح، یہاں تک کہ اگر آپ کے آلات سالڈ سٹیٹ ڈرائیوز (SSDs) ہیں، جو معلومات کو تھوڑی مقدار میں فزیکل اسپیس میں اسٹور کرتے ہیں جو کہ ایک غیر NIST سے منظور شدہ شریڈر سے محروم ہو سکتا ہے، تب بھی آپ کے پاس ڈیٹا کی اضافی سیکیورٹی پہلے سے ہی اوور رائٹ ہو چکی ہے۔

بہت سی صنعتوں میں خاص قوانین اور ضوابط ہوتے ہیں جو شہریوں کے ذاتی ڈیٹا کو کیسے ہینڈل کرتے ہیں، لیکن رہنمائی اکثر مبہم ہوتی ہے۔ مثال کے طور پر، یو ایس ڈپارٹمنٹ آف ہیلتھ اینڈ ہیومن سروسز (HHS) صحت کی دیکھ بھال فراہم کرنے والوں سے اپنے ہیلتھ انشورنس پورٹیبلٹی اینڈ اکاونٹیبلٹی ایکٹ (HIPAA) کے ضوابط کے تحت الیکٹرانک میڈیا پر محفوظ صحت کی معلومات (PHI) کی حفاظت کے لیے "مناسب" اقدامات کرنے کا مطالبہ کرتا ہے۔

ایچ ایچ ایس پریکٹیشنرز کو ایک اچھی وجہ سے NIST SP 800-88 کا حوالہ دیتا ہے۔ 800-88 معیار پر پورا اترنا اس بات کو یقینی بنانے کا بہترین طریقہ ہے کہ آپ تمام کارپوریٹ ماحول میں حکومتی تعمیل سے متعلق اپنی مستعدی سے کام کر رہے ہیں، اسی لیے ہم اسے یہاں CompuCycle پر استعمال کرتے ہیں۔

اپنے مطلوبہ ڈیٹا ڈسٹرکشن اسٹینڈرڈ کو کیسے حاصل کریں۔

ایک پیشہ ور ڈیٹا سینیٹائزیشن کمپنی جیسے CompuCycle آپ کے آلات کو کسی بھی سطح تک سینیٹائز کر سکتی ہے جو آپ بتاتے ہیں اور ایک انوینٹری رپورٹ فراہم کر سکتی ہے اور یا تو ڈیٹا کی صفائی کا سرٹیفکیٹ یا سرٹیفکیٹ آف ڈیٹا ڈسٹرکشن (استعمال شدہ سینیٹائزیشن طریقہ پر منحصر ہے) مکمل ہونے پر، ریگولیٹری تعمیل کے مقاصد کے لیے۔ یہ کام NIST 800-88 کی طرف سے ایک اہم رہنما خطوط "عمل کے کسی بھی حصے میں داؤ کے بغیر عملہ" کے ذریعے کیا جائے گا۔ جسمانی تباہی کے بعد، قابل اعتماد وینڈر کا استعمال ڈیٹا کو ضائع کرنے کا سب سے محفوظ طریقہ ہے۔

تاہم، ایسے مفت پروگرام ہیں جو آپ کو اپنے ڈیٹا کو ایک مقررہ معیار پر ناقابل بازیافت کرنے میں مدد کر سکتے ہیں، جیسے DBAN، ایک اوپن سورس ڈیٹا وائپنگ ٹول۔ جبکہ پروگرام چھ مختلف ڈیٹا ڈسٹرکشن معیارات پیش کرتا ہے، یہ SSDs کو نہیں مٹا سکتا، کوئی ٹیک سپورٹ پیش نہیں کرتا، اور صرف گھریلو استعمال کے لیے تجویز کیا جاتا ہے۔ دوسرے مفت DIY پروگرام جو آپ کو آپ کے سینیٹائزیشن کے طریقہ کار پر اختیارات دیتے ہیں ان میں سیکیورلی فائل شریڈر، فریزر اور بٹ کِلر شامل ہیں۔