[Segurança] Segurança no descarte de mídias

Existe uma norma alemã que é adotada mundialmente para definir os padrões de segurança para o descarte de mídias, a norma DIN 66399. Essa norma foi desenvolvida pelo Instituto Alemão da Normalização (Deutsches Institut für Normung, DIN) e define os critérios de destruição de todos os tipos de suporte de dados, baseados na criticidade da informação armazenada. Ela possui 3 partes: a primeira com os princípios e definições, a segunda com os requerimentos dos equipamentos de destruição e a terceira, sobre o processo de destruição das mídias.

A norma DIN 66399 estabelece os critérios de processos e as dimensões máximas de trituração para 6 Categorias de Materiais (papel, microfilme, CDs/DVDs, mídia magnética, discos rígidos e mídias eletrônicas), de acordo com 3 Classes de Protecção, subdivididas em 7 Níveis de Segurança:

• Classe de Proteção 1, níveis 1 a 3: Aplicada para a informações internas que exigem um nível básico de proteção, cuja exposição teria um impacto negativo, com risco de violação de dados pessoais;
• Classe de Proteção 2, níveis 3 a 5: Informações confidenciais que exigem alto nível de proteção e cuja exposição resultaria em graves danos à imagem, violar compromissos legais ou colocar em risco a integridade de um indivíduo;
• Classe de Proteção 3, níveis 5 a 7: Informação cofidencial, cuja exposição resultaria em consequências fatais para as empresas ou entidades públicas, envolvendo a segurança ou a liberdade pessoal dos indivíduos.

A DIN 66399 estabelece 7 níveis de segurança. Quanto maior o nível de segurança, maior deve ser a dificuldade para recuperar a informação de uma mídia destruída. Logo, menor deverão ser os fragmentos resultantes da destruição.

• Nível 1: Informações gerais e documentos devem ficar parcialmente ilegíveis ou canceladas e impróprias para reutilização;
• Nível 2: Informações ou documentos de uso interno, com remontagem dificultada ou cancelados para reutilização;
• Nível 3: Informações ou documentos com dados sensíveis e confidenciais;
• Nível 4: Informações ou documentos com dados altamente sensíveis e confidenciais;
• Nível 5: Informações ou documentos com dados confidenciais de fundamental importância para uma pessoa, empresa ou instituição;
• Nível 6: Informações ou documentos com dados que requeiram medidas de segurança extraordinárias;
• Nível 7: Informações ou documentos secretos, sem meios possíveis de recuperação das informações.

A dificuldade que deve existir para a recuperação dos dados varia de acordo com o nível da informação. Para informações de nível 1, a recuperação dos dados de uma mídia exige um nível de dificuldade simples, que deve ser agravada para informaçÕes de nível 2 e exige uma dificuldade considerável para recuperar dados de nível 3. Dados altamente sensíveis, de nível 4, exigem uma dificuldade excepcional para recuperação dos dados de uma mídia descartada, enquanto os dados secretos, de nível 5, exigiriam o uso de métodos duvidosos. A recuperação de dados nível 6 deve ser considerada tecnicamente impossível e impossível para o nível 7, de dados "Top Secret".

A tabela abaixo ilustra muito bem os níveis de dificuldades para cada tipo de mídia de armazenamento.

Para saber mais:

• Norma DIN 66399 "Guideline for development of a concept for data deletion with derivation of deletion periods for personal identifiable information"
• Apresentação "Destruição de Suportes de Dados"
• Site "Norma DIN 66.399"