Distruzione dei supporti dati: la ISO/IEC 21964 come strumento di conformità normativa
di Luciano Quartarone, CISO & Data Protection Director @ Archiva Srl e Fabio Zanoli, CEO NWN Solutions
Nella vita di tutti i giorni siamo immersi in una miriade di dati utilizzati per diversi scopi e con diverse tecnologie. Questi dati rappresentano per aziende di ogni dimensione e settore merceologico, un “petrolio” la cui raffinazione origina informazioni a maggior valore. Il ciclo di vita di tali dati ha implicazioni che si estendono oltre il confine semantico del dato, arrivando ad essere intimamente dipendenti dal supporto (fisico o digitale) e dal processo utilizzato per la loro memorizzazione. Sono su questi ultimi, infatti, che si sostanzia il noto problema della distruzione dei dati, il quale, come è facile intuire, non si limita ai soli dati “vivi”, oggetto di correnti operazioni di business, ma si estende anche a dati “dormienti”, oggetto di procedure di backup, ad esempio, od altre misure di sicurezza, definite in azienda a tutela del patrimonio informativo e della capacità di estrarre, nel tempo, conoscenza. È dunque necessario disporre di adeguati processi ed efficaci procedure sia dal punto di vista normativo, sia dal punto di vista operativo.
La distruzione dei supporti di dati è richiamata in diverse norme internazionali e, implicitamente, anche in Regolamenti europei come lo standard internazionale ISO/IEC 27001 e il Regolamento (UE) 2016/679. È dunque facile capire come questo tema, sia di particolare interesse sia per chi tratta dati personali, sia per chi ha intrapreso un percorso di certificazione rispetto la sicurezza delle informazioni. Norme e regolamenti impongo alle aziende l’adozione di processi, tali da semplificare e rendere certa la distruzione dei supporti di dati. Questi processi devono essere supportati da procedure che descrivano adeguatamente come avviene la distruzione dei supporti di dati. Tali procedure devono considerare gli elementi in input al processo, così come le risorse, gli strumenti e i vincoli normativi e operativi che concorrono alla distruzione dei supporti, garantendo il raggiungimento del corretto “grado di distruzione” del supporto di dati. Questo termine sottintende un legame con la sicurezza dei supporti e la tipologia di dati in essi memorizzati: all’aumentare della “sensitive” del dato, aumenta il grado di distruzione richiesto per il supporto che memorizza tale dato. È così che è possibile identificare le seguenti classi di protezione, categorie di supporto e livelli di sicurezza che tengono in considerazione i due precedenti.
Classi di Protezione:
C1 - dati interni: la diffusione non autorizzata di dati avrebbe effetti negativi ma limitati sull’azienda.
C2 - dati riservati: la diffusione non autorizzata avrebbe considerabili effetti sull’azienda e potrebbe violare obblighi di legge o normativi. La protezione dei dati personali deve sottostare a requisiti, al fine di evitare rischi reputazionali e finanziari per l’azienda e le persone coinvolte.
C3 - dati particolarmente riservati e/o segreti: la diffusione non autorizzata avrebbe serie conseguenze per l’azienda e comportare la violazione di obbligazioni commerciali, contratti o altre norme. È essenziale che la riservatezza dei dati sia mantenuta al fine di evitare rischi per la salute, la sicurezza o limitazioni della libertà personale delle persone coinvolte.
Categorie di supporto:
M1 - Informazioni di dimensione originale (Carta, pellicola, moduli stampati)
M2 - Informazioni di dimensioni ridotte (micro pellicole, lucidi)
M3 - Dispositivi ottici (CD, DVD, Dischi Blu-Ray)
M4 - Dispositivi magnetici (Floppy, carte magnetiche)
M5 - Dischi rigidi con dispositivi magnetici di salvataggio dati (Hard disk da PC e Laptop)
M6 - Dispositivi elettronici (Schede di memoria di fotocamere, carte elettroniche delle banche flash drives, unità flash)
Livelli di sicurezza per supporti fisici diversi da hardware impiegato in ambito IT:
S1 - Documenti generali che devono essere resi illeggibili (distrutti in strisce di 12mm di larghezza o in frammenti di massimo 2000mm2).
S2 - Documenti interni che devono essere resi illeggibili (distrutti in strisce di 6mm di larghezza o in frammenti di massimo 800mm2).
S3 -Dati particolari, riservati o di natura personale (distrutti in strisce di 2mm di larghezza o in frammenti di massimo 320mm2).
S4 -Dati particolari, giudiziari o relativi a condanne (distrutti in frammenti di massimo 2000mm2).
S5 - Dati segreti (distrutti in frammenti di massimo 30mm2).
S6 - Dati segreti per i quali è richiesto un livello di sicurezza eccezionale (distrutti in strisce di 12mm di larghezza o in frammenti di massimo 10mm2).
S7 - Dati ritenuti “Top Secret” per i quali è richiesto il livello di sicurezza in assoluto maggiore (distrutti in frammenti di massimo 5mm2).
Livelli di sicurezza per supporti magnetici:
S8 - Dati personali e dati non personali distrutti mediante degausser e processi di demagnetizzazione oppure shearing o crushing a seconda del supporto.
Come detto in precedenza, quanto fin ora esposto riguarda anche i backup dei dati “vivi” che spesso risiedono offsite rispetto il dato di produzione. La cancellazione dei dati dai backup richiede l’introduzione di specifiche capacità, abilità e funzionalità che permettano la selezione “chirurgica” di singoli dati e supporti la cui distruzione non deve compromettere la validità complessiva del backup. Ciò è necessario sia per il mondo analogico, sia per il mondo digitale.
Le norme tecniche cercano di definire in modo omogeneo, condiviso, trasparente, come devono essere condotte queste attività, garantendo sicurezza e rispetto per l’ambiente, nel rispetto di prestazioni finali certe. In ambito ISO è stata pubblicata la ISO 21964:2018, norma multiparte, che affronta nella sua interezza questo tema. A livello nazionale italiano, si è avviato lo scorso ottobre, un gruppo di lavoro in seno ad UNINFO, al fine di produrre uno strumento di facile recepimento da parte delle aziende, capace di guidare la corretta distruzione di supporti dati, attraverso il recepimento della sopra citata ISO e mediante l’inclusione di casi guida. Leggi l'articolo completo, pubblicato su U&C n.3 Marzo 2021