Ads 468x60px

maanantai 8. syyskuuta 2014

Viestintäviraston kiintolevyjen ylikirjoitusohjeistus – nyt myös SSD:lle!

Viestintävirasto julkaisi äskettäin päivitetyn kiintolevyjen ylikirjoitusohjeistuksen, joka sisältää nyt myös ohjeistuksen SSD-kiintolevyjen käsittelyyn.

Tiivistetysti SSD-levyjen ylikirjoitus tapahtuu seuraavasti:
1. Koko SSD-kiintolevyn käyttäjälle näkyvän kapasiteetin ylikirjoitus
pakkautumattomalla (pseudosatunnaisella) datalla vähintään kaksinkertaisesti
2. Vaiheessa 1 tehdyn ylikirjoituksen onnistumisen todentaminen
3. SSD-kiintolevyn laiteohjelmiston (firmware) ylikirjoituskomennon
tai -komentojen suoritus (ATA secure erase, enhanced secure erase tai vastaavat)
4. Vaiheessa 3 tehdyn ylikirjoituksen onnistumisen todentaminen

Mikäli yksikin edellä mainituista vaiheista ei onnistu, niin levy tulee tuhota fyysisesti.

Ylikirjoitukseen tulee käyttää kansallisen turvallisuusviranomaisen tai kahden EU-maan turvallisuusviranomaisen hyväksymää ylikirjoitusohjelmistoa. Hyväksyttyjä ohjelmistoja voi etsiä esimerkiksi täältä, valitsemalla Category-kohdasta ”Disk Erasure” ja maaksi ”Finland”.

Demagnetoinnin tehokkuutta SSD-kiintolevyjen tietojen tuhoamisessa ei ole pystytty varmistamaan, joten sitä ei tule käyttää. 

Yhdistelmäkiintolevyjen ylikirjoitusmenetelmien tehokkuutta ei ole myöskään vielä pystytty todentamaan, joten ne tulee tuhota niin ikään fyysisesti.

Tavallisille magneettikiintolevyille tulee suorittaa kolminkertainen ylikirjoitus sekä ylikirjoituksen todennus.  Tyhjentämisessä tulee muistaa, että tyhjennysmenettelyn tulee olla hyväksytty kyseiselle kiintolevytyypille. Näin ollen SSD-levyjen tyhjentämiseen käytettävää menettelyä ei saa käyttää magneettisille kiintolevyille ja päinvastoin ellei menettelyä ole erikseen hyväksytty. Samoin tulee varmistaa tyhjennysohjelmiston valmistajalta, että haluttu SSD-levy on tyhjennysohjelman tuettujen levyjen listalla.

Suojaustason III ja IV tietoa sisältävien kiintolevyjen ylikirjoituksen voidaan toteuttaa myös ulkoistuskumppanilla, mutta suojaustasojen I ja II tietoa sisältävien kiintolevyjen ylikirjoitus tulee tapahtua organisaation sisällä. 

Organisaatioiden tulee myös ylläpitää ylikirjoitusrekisteriä, josta käy ilmi mm. ylikirjoitetun kiintolevyn sarjanumero, luokittelu, vastuuhenkilö, aika ja paikka, ylikirjoituksen todistaja sekä uudelleenkäyttökohde ja sen luokitus.

Ei kommentteja:

Lähetä kommentti