NIST SP 800-88 Media Erasure


6/Nov/2024
Avery IT Tech
Audit and Compliance

    การออกแบบระบบเพื่อให้รองรับมาตรฐานการลบข้อมูล เป็นเรื่องที่พูดเพิ่มเติมขึ้นมาหลังจากได้มีกฎหมายหรือข้อบังคับเพื่อปกป้องการทำลายข้อมูลให้ไม่สามารถนำกลับมาใช้ใหม่ได้ หรือ ไม่ให้สามารถนำไปกู้คืนได้นั้นเอง ธุรกิจอย่างธนาคารที่จำเป็นต้องทำการทำลายข้อมูลทันทีหลังจากที่มีการขอบริการจากภายนอกเพื่อทำการทดสอบ หรือ จ้างวานเพียงชั่วคราวหรือในลักษณะคู่สัญญา เพื่อปกป้องความลับของการพัฒนาหรือข้อมูลระหว่างการใช้งานจึงจำเป็นต้องทำลายข้อมูลทิ้งทันทีหลังจากที่หมดสัญญา หรือ หลังจากที่การทดสอบต่างๆสิ้นสุดลง และปัจจุบันเองหลายธุรกิจ ก็ต้องมีการเก็บข้อมูลสำคัญ ข้อมูลส่วนบุคคล ก็มีความจำเป็นต้องศึกษาแนวทางการทำลายข้อมูลไว้ด้วย

    วันนี้ผู้เขียนจะพูดถึงมาตรฐาน NIST อีก 1 ตัวที่ออกแบบมาทดแทนมาตรฐานเก่าอย่าง DoD 5220.22-M ที่ใช้งานกันมาอย่างยาวนาน แต่พอมีการออกแบบมาตรฐานจาก NIST SP 800-88 ที่เกี่ยวกับการทำลายสื่อเก็บข้อมูลต่างๆได้รับการยอมรับจากผู้ใช้งานหรือธุรกิจทั่วไป ได้นำมาตรฐานของ NIST มาใช้อย่างรวดเร็ว

    โดยมาตรฐาน NIST SP 800-88 เป็นหนึ่งในมาตรฐานสำคัญสำหรับการทำลายสื่อเก็บข้อมูลชนิดต่างๆ อย่างเหมาะสมและถูกวิธี การกำหนดวิธีการและกระบวนการสำหรับการล้างข้อมูล (Media Sanitization) ในสื่ออิเล็กทรอนิกส์เช่น Hard disk , RAM , ROM , Mount Storage , USB Drive , Smart Thing Storage , Mobile และข้อมูลบนระบบเครือข่ายต่างๆ

    โดยมุ่งเน้นไปที่การสร้างความมั่นใจภายหลังการล้างข้อมูลว่าไม่มีข้อมูลที่จะหลงเหลืออยู่บนอุปกรณ์อีกเลย ก่อนการนำกลับมาใช้ใหม่ ผลการทดลองพบว่าวิธีการทำลายที่ถูกกำหนดไว้สามารถใช้ได้จริง โดยมีความแตกต่างกันอยู่บ้างโดยขึ้นอยู่กับปัจจัยหลายอย่าง อาทิเช่น ชนิดของอุปกรณ์, งบประมาณ, ความเสี่ยงและความสำคัญของข้อมูล, และผลกระทบต่อสิ่งแวดล้อม จากผลวิจัยนี้ทำให้เจ้าของข้อมูลทั้งตัวบุคคล บริษัท และหน่วยงานต่างๆ ควรประเมินปัจจัยหลายๆอย่างก่อนการเปลี่ยนหรือเลิกใช้อุปกรณ์อิเล็กทรอนิกส์โดยเลือกวิธีการกำจัดและทำลายให้เหมาะสมกับความต้องการและปลอดภัย เพื่อลดความเสี่ยงของข้อมูลรั่วไหลหรือเปิดเผยของข้อมูลโดยไม่ได้รับอนุญาต

ขั้นตอนในเอกสารเปิดเผยถึงขั้นตอนหลัก 3 ขั้นตอน


Clear

    การลบข้อมูลทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ ทำได้โดยใช้คำสั่งอ่านและเขียนซึ่งรวมถึงการรีเซ็ตอุปกรณ์เป็นการตั้งค่าจากโรงงานโดยเขียนใหม่ด้วยค่าใหม่ อุปกรณ์ส่วนใหญ่ในปัจจุบันมาพร้อมกับความสามารถในการ Clear โดยเฉพาะโทรศัพท์มือถือซึ่งเป็นเหตุผลว่าทำไมการรู้ว่าสิ่งนี้สำคัญมากสำหรับธุรกิจหรือบนระบบต่างๆหลังจากเลิกใช้แล้ว หรือ มีบุคลากรลาออกไป

    โดยใช้หลักการ Sanitize Data ในกรณี NIST SP 800-88 จะใช้ในรูปแบบของ Secure Erase



Purge

    กระบวนการการขัดขวางการกู้คืนในทุกกรณีโดยวิธีการลบล้าง โดยการใช้เทคนิคทางวิทยาศาสตร์เข้ามาเกี่ยวข้อง state-of-the-art laboratory การทำลายข้อมูลเชิงการลบแบบ Degaussing ทำลายสนามแม่เหล็ก ก่อกวน รบกวนไม่ให้สามารถนำมาจัดเรียงได้ใหม่

สุดท้าย Destroy

    ขั้นตอนกรณีเราไม่ใช้แล้วกับอุปกรณ์ในการเก็บข้อมูลทั้งหลายขั้นตอนการทำลายเป็นขั้นตอนที่ดีที่สุด ที่จะทำให้ปลอดภัยในทุกด้านทั้งทางกายภาพและเชิงการนำไปกู้ข้อมูลต่อ โดยอาจจะเป็นการหลอมละลาย ทุบทิ้งให้แหลกละเอียด หรือ เผาไหม้ ให้ไม่เหลือชิ้นส่วนที่สามารถนำมาใช้ได้ในขั้นตอนนี้


เอาเป็นว่าโดยหลักการการปกป้องข้อมูลหรือทำการลบข้อมูลตามมาตรฐาน SP800-88 ยังมีให้ศึกษาและอ่านรายละเอียดเพิ่มเติมจากเอกสารจาก NIST ได้เลย

สนใจเอกสาร NISTP SP800-88 : https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=50819


NIST SP 800-88 Media Erasure
6/Nov/2024
การออกแบบระบบเพื่อให้รองรับมาตรฐานการลบข้อมูล เป็นเรื่องที่พูดเพิ่มเติมขึ้นมาหลังจากได้มีกฎหมายหรือข้อบังคับเพื่อปกป้องการทำลายข้อมูลให้ไม่สามารถนำกลับมาใช้ใหม่ได้ หรือ ไม่ให้สามารถนำไปกู้คืนได้นั้นเอง ธุรกิจอย่างธนาคารที่จำเป็นต้องทำการทำลายข้อมูลทันทีหลังจากที่มีการขอบริการจากภายนอกเพื่อทำการทดสอบ หรือ จ้างวานเพียงชั่วคราวหรือในลักษณะคู่สัญญา เพื่อปกป้องความลับของการพัฒนาหรือข้อมูลระหว่างการใช้งานจึงจำเป็นต้องทำลายข้อมูลทิ้งทันทีหลังจากที่หมดสัญญา หรือ หลังจากที่การทดสอบต่างๆสิ้นสุดลง และปัจจุบันเองหลายธุรกิจ ก็ต้องมีการเก็บข้อมูลสำคัญ ข้อมูลส่วนบุคคล ก็มีความจำเป็นต้องศึกษาแนวทางการทำลายข้อมูลไว้ด้วย