Vous avez peut-être entendu parler des normes d'effacement des données telles que DoD (le département américain de la Défense), NIST (National Institute of Standards and Technology), et ADISA (Asset Disposal & Information Security Alliance). Suivez-vous la bonne norme d'essuyage ? Découvrons-le!
La norme du DoD
La « norme DoD » a été publiée par le National Industrial Security Program (NISP). Il est généralement applicable aux États-Unis et établit les procédures et exigences standard pour tous les départements et agences de l'exécutif fédéral américain et tous les sous-traitants du gouvernement, qui traitent des informations classifiées. La version actuelle de la norme DoD 5220.22-M « Manuel d'exploitation du programme national de sécurité de l'industrie (NISPOM)1 couvre l'ensemble du domaine de la sécurité gouvernementale et industrielle.
En 2014, le DoD a décidé d'utiliser les normes RMF du NIST exigeant une combinaison d'effacements suivant la directive NIST SP 800-88 et de destruction physique. Dans une note d'instruction du DoD (8510.01)2 Le ministère de la Défense approuve cette norme pour la première fois pour l'effacement des médias civils.
La norme NIST
La publication spéciale NIST 800-88 « Guidelines for Media Sanitization » a été publiée en 2006 par le National Institute of Standards and Technology (NIST) pour protéger la vie privée des organisations et des citoyens des États-Unis. La mise à jour actuelle a été publiée en 2012. Elle promeut des directives pour l'effacement des données par les méthodes d'écrasement, d'effacement sécurisé et de destruction physique pour toutes les industries. Au cours des dernières années, le NIST SP 800-88 a remplacé la norme DoD devenant la norme dominante d'effacement des données aux États-Unis.
Selon le NIST SP 800-88, il existe trois méthodes les plus courantes d'appareils de suppression des données tels que les téléphones portables :
L'effacement est le processus d'écrasement de l'emplacement de stockage logique d'un fichier avec des données non sensibles et tous les emplacements adressables à l'aide de produits logiciels ou matériels. Les données écrites sont remplacées par des données aléatoires et vérifiées. Cette méthode ne peut pas être utilisée pour les supports endommagés ou non réinscriptibles. La compensation protégerait la confidentialité des informations contre une attaque au clavier robuste.
La purge protège la confidentialité des informations contre une attaque en laboratoire. En règle générale, ce type de désinfection des médias est considéré comme la norme d'or par la National Security Agency (NSA).
Les types recommandés pour la destruction des téléphones portables sont le déchiquetage, la désintégration, la pulvérisation et l'incinération en brûlant les téléphones portables dans un incinérateur agréé.
Les méthodes d'effacement certifiées NSYS prennent en charge les normes élevées des réglementations de l'industrie telles que NIST SP 800-88 (Rev. 1) « Guidelines for Media Sanitization » et utilisent les méthodes Clear et Purge.
Certification ADISA
Les normes de l'industrie ADISA s'appliquent aux entreprises qui participent à la récupération et à l'élimination des actifs informatiques, à la location, à la logistique et aux réparations. Le processus d'audit ADISA comprend des audits opérationnels inopinés et des audits médico-légaux. Il accepte les normes les plus élevées de l'industrie et reflète les meilleures pratiques actuelles pour la gestion des actifs porteurs de données.
Les méthodes d'effacement NSYS Tools ont passé avec succès les attaques de test à l'aide de la méthode de test des revendications de produits ADISA v1.0 en 2018 et ont reçu la certification ADISA confirmant que le logiciel NSYS Erasure peut être utilisé pour effacer les données contre les niveaux de risque ADISA 1 et 2.
Vous souhaitez mettre en œuvre notre solution d'effacement des données ? Contactez-nous pour plus de détails.