Biznes IT
Z prawnego punktu widzenia liczy się tylko efekt
Użycie komendy delete nie jest wystarczającym zabezpieczeniem. W sposób trwały dane można usunąć za pomocą specjalnego oprogramowania, demagnetyzując nośniki, niszcząc je fizyczne lub stosując utylizację chemiczną
Większość dokumentów w firmach ma obecnie postać cyfrową i znajduje się na różnego typu elektronicznych nośnikach. Komputery wymieniane są znacznie częściej niż kiedyś, bo nawet co trzy – cztery lata. Niezależnie od tego, co przedsiębiorstwo zamierza zrobić ze zużytym sprzętem, odsprzedać go czy zutylizować, pierwszym działaniem powinno być usunięcie danych zapisanych na dyskach.
Skuteczne kasowanie informacji cyfrowej należy do podstawowych elementów systemu bezpieczeństwa. Niestety, w polskich firmach nie jest to stała praktyka.
– Nasze badania wykazały, że 50 proc. firm w ogóle nie niszczy danych. Wśród tych, które to robią, aż 75 proc. usuwa dane poprzez użycie klawisza delete lub zwykłe formatowanie – mówi Paweł Odor, główny specjalista w firmie Kroll Ontrack.
Szacunki innych firm są co prawda bardziej optymistyczne, ale nie zmienia to faktu, że wielu przedsiębiorców nie przywiązuje do problemu należytej wagi
Niekasowanie danych może mieć poważne konsekwencje. Zwiększa ryzyko, że osoby niepowołane zyskają dostęp do informacji znajdujących się na nośnikach. Może to prowadzić do naruszenia przepisów prawa polskiego i unijnego regulujących sposób postępowania z dokumentami. Może też doprowadzić do przejęcia informacji przez konkurencję lub np. przestępców.
Potrzebne wewnętrzne regulacje
Do właściwego usuwania danych zobowiązuje m.in. ustawa z 29 września 1994 r. o rachunkowości. Po określonym w ustawie czasie dokumentacja powinna zostać usunięta w sposób uniemożliwiający jej identyfikację. Obowiązek taki narzuca także ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (artykuł 7).
21 zł kosztuje usunięcie danych zapisanych na dysku za pomocą silnego impulsu magnetycznego
Zdecydowana większość przepisów prawnych odnosi się do końcowego efektu, a więc braku możliwości odzyskania usuniętych danych. W jaki sposób firma ten efekt osiągnie, zależy od niej.
– Przepisy polskiego prawa podpowiadają, jak radzić sobie z chronieniem danych. Najbardziej szczegółowe jest rozporządzenie ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Podpowiedzi znajdziemy również w normie ISO 27001. W praktyce jednak każda firma musi stworzyć własne, wewnętrzne regulacje, które wskażą, jak postępować z nośnikami wycofywanymi z użytku – mówi Zbigniew Engel z Mediarecovery.
Oprogramowane lub niszczarki
Najbardziej chronione powinny być m.in. dane osobowe klientów i pracowników, listy płac, korespondencja służbowa i prywatna, procedury wewnętrzne, numery kart płatniczych i kont, faktury, listy klientów i kontrahentów, raporty wewnętrzne, sprawozdania, zatwierdzone i niezatwierdzone projekty, wzory podpisów, know-how.
Kasowanie danych z poziomu systemu operacyjnego za pomocą komendy delete – czynność dostępna dla każdego – nie jest wystarczającym zabezpieczeniem. Prowadzi to wyłącznie do niewielkiej modyfikacji fragmentu struktury danych zapisanych na dysku. W wyniku tego większość informacji jest możliwa do odtworzenia.
Dane w sposób trwały można usuwać kilkoma metodami. Służy do tego specjalne oprogramowanie. Można też przeprowadzić demagnetyzację nośników, niszczenie fizyczne lub utylizację chemiczną.
Metody programowe polegają na wielokrotnym nadpisaniu całego obszaru dysku nowymi danymi według ustalonego wzorca (algorytmu).
1 zł trzeba zapłacić za zutylizowanie dysku w sposób zgodny z unijną dyrektywą o zużytym sprzęcie elektronicznym
Taśmy magnetyczne, płyty CD lub DVD oraz papierowe dokumenty niszczy się za pomocą niszczarek. Specjalne urządzenia tną kasety, płyty, pliki papieru, a nawet dyski twarde. Jednak pocięcie płyty na drobne kawałki nie jest wystarczającą ochroną w przypadku informacji podlegających ustawie o ochronie informacji niejawnej. Nie daje to bowiem gwarancji nieodwracalnego zniszczenia. W przypadku płyt DVD gęstość zapisu jest na tyle duża, że przynajmniej część danych można odtworzyć pod mikroskopem.
Rekomenduj artykuł Oddano głosów:
