Większość nieporozumień wokół niszczenia danych bierze się z jednego błędu: mylenia klasy ochrony ze stopniem bezpieczeństwa. To dwie różne rzeczy, a DIN 66399 / ISO/IEC 21964 używa jeszcze trzeciej osi — grupy nośnika. Dopiero razem definiują, jak właściwie zniszczyć nośnik. Ten artykuł porządkuje pojęcia, żebyś dobrał poziom świadomie, a nie na wyczucie.
Trzy osie normy
Norma opisuje niszczenie trzema niezależnymi parametrami:
| Oś | Zakres | Co opisuje |
|---|---|---|
| Grupa nośnika | P, F, O, T, H, E | Co niszczysz (papier, film, optyczne, taśmy, dyski, elektronika) |
| Stopień bezpieczeństwa | 1–7 | Jak drobno — maksymalny rozmiar cząstki po zniszczeniu |
| Klasa ochrony | 1–3 | Jak wrażliwe są dane — potrzeba ochrony |
Te trzy osie trzeba ustalić razem. Klasa ochrony wyznacza minimalny wymagany stopień bezpieczeństwa dla danej grupy nośnika.
Grupa nośnika — co niszczysz
Sześć grup, każda z własnymi wymaganiami technicznymi:
- P — papier i dokumenty
- F — film, mikrofilm
- O — nośniki optyczne (CD, DVD, Blu-ray)
- T — taśmy magnetyczne (LTO, DAT)
- H — dyski twarde (HDD)
- E — nośniki elektroniczne (SSD, pendrive, karty pamięci, telefony)
Stopień bezpieczeństwa — jak drobno
Skala od 1 do 7 określa maksymalny rozmiar cząstki po zniszczeniu. Im wyższy stopień, tym mniejsza cząstka i tym trudniej odtworzyć dane. Dla papieru (grupa P) stopnie oznacza się P-1 do P-7 — gdzie P-7 to dokumenty ściśle tajne (cząstka ≤ 5 mm²).
Klasa ochrony — jak wrażliwe dane
Trzy klasy ochrony opisują potrzebę ochrony danych:
- Klasa 1 — normalna potrzeba ochrony (dane wewnętrzne, niewrażliwe)
- Klasa 2 — podwyższona (dane poufne, w tym większość danych osobowych)
- Klasa 3 — bardzo wysoka (dane szczególnie chronione, informacje niejawne)
Klasa ochrony przekłada się na minimalny wymagany stopień bezpieczeństwa. Dla danych osobowych (klasa 2) typowym wymaganiem dla papieru jest stopień P-4; dla danych wrażliwych (klasa 3) — P-5 i wyżej.
Jak dobrać poziom — w praktyce
Dobór zaczyna się od danych, nie od nośnika. Ustal najbardziej wrażliwe dane, jakie niszczysz → to wyznacza klasę ochrony. Następnie dla każdej grupy nośnika, którą obsługujesz, odczytaj minimalny stopień bezpieczeństwa odpowiadający tej klasie. Dla danych osobowych objętych RODO bezpiecznym punktem wyjścia jest klasa 2; dla danych zdrowotnych, biometrycznych i objętych klauzulami tajności — klasa 3.
Jeśli nie masz pewności, bezpłatny test klasy ochrony wskaże orientacyjny poziom na podstawie rodzaju danych i grupy nośnika.
Podsumowanie
Klasa ochrony, stopień bezpieczeństwa i grupa nośnika to trzy odrębne parametry — i dopiero razem definiują wymaganie wobec procesu niszczenia. Poprawne posługiwanie się nimi to nie pedanteria: od tego zależy, czy zniszczenie faktycznie odpowiada wrażliwości danych i czy certyfikat ma pokrycie. Firma niszcząca na zlecenie potwierdza ten dobór certyfikacją procesu wg ISO/IEC 21964.
Najczęstsze pytania
Skąd wzięły się oznaczenia z literą i cyfrą? +
Czy wyższy stopień zawsze jest lepszy? +
Czy norma podaje gotową tabelę klasa–stopień? +
Źródła: norma ISO/IEC 21964:2018 (oparta o DIN 66399); RODO — rozporządzenie (UE) 2016/679; Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r.. Zobacz też: ISO/IEC 21964 — przewodnik po niszczeniu nośników oraz co musi zawierać certyfikat zniszczenia.