O que é NIST 800-88?

O que é NIST 800-88?

Atenda a um dos requisitos do PCI DSS e LGPD.

O Instituto Nacional de Padrões e Tecnologia (NIST) desenvolveu Diretrizes para Sanitização de Mídia. A publicação NIST 800-88 destina-se a auxiliar organizações e gerentes de sistemas de TI na tomada de decisões práticas de destruição de dados com base na relativa categorização e confidencialidade de suas informações ou dados.

O método recomendado (destruir, desmagnetizar ou apagar) usado para destruir discos rígidos é baseado no “nível de segurança” das informações a serem descartadas. Quando o “nível de segurança” da informação aumenta, o mesmo ocorre com o método de destruição exigido. Para ficar em conformidade, é fundamental classificar com precisão as informações sob sua custódia.

Durante a transferência ou descarte da mídia de armazenamento, é imperativo que os dados excluídos da mídia de armazenamento (sejam magnéticos residuais, ópticos, elétricos ou de qualquer outra forma) não sejam recuperáveis. A sanitização da mídia de armazenamento se refere a um processo de remoção de dados, com a garantia de que os dados não podem ser recuperados ou reconstruídos. A higienização de mídia é crucial para manter os padrões de privacidade de dados e o bom exercício dos controles de privacidade. Deve haver meios e mecanismos definidos para evitar o vazamento de informações confidenciais durante o ciclo de vida dos ativos de TI.

As organizações precisam exercer o controle adequado sobre ‘informações confidenciais’ para evitar vazamento de dados devido ao descarte impróprio de mídia de armazenamento ou mídia recondicionada indevidamente apagada. Esta prática é essencial para proteger o vazamento de dados de informações de identificação pessoal (PII), referência básica 2.3 das diretrizes do NIST. As organizações são obrigadas a seguir as leis, regulamentos e mandatos de proteção de dados que regem o gerenciamento de PII. Eles também podem ter obrigações de proteger as PII de acordo com suas políticas, padrões ou diretrizes de gerenciamento. A violação das leis de proteção de dados pode resultar em penalidades ou processos civis / criminais para as organizações.

A sanitização deve ser realizada em dados completos armazenados na mídia, pois pode ser difícil diferenciar os dados confidenciais, em particular. Além disso, a higienização parcial dos dados é arriscada e não é aprovada de acordo com as diretrizes padrão do NIST 800-88. Métodos alternativos de sanitização de dados de acordo com a tabela 5-1 da diretriz do NIST incluem incineração, trituração, desintegração e desmagnetização.

O elo mais fraco em um sistema geralmente é aquele que é dado como certo, ignorado ou simplesmente não considerado. Uma vulnerabilidade comum de proteção de dados ocorre quando os dispositivos mudam de mãos  sem que os dados originais sejam adequadamente removidos do dispositivo.  Com muita frequência, os dados confidenciais passam de um ambiente de armazenamento de dados altamente protegido para um muito menos protegido, simplesmente porque os operadores acreditaram, mas não verificaram, que os dados foram suficientemente erradicados.

Verificar o processo de higienização e descarte das informações selecionadas é uma etapa essencial para manter a confidencialidade.

Realize Testes de Segurança e atue contra as vulnerabilidades.

Fale com a Site Defender, tire suas dúvidas e solicite uma proposta para sua empresa.