Multicert

Bezpłatna wycena

ISO · w 2h, bez zobowiązań

Wyceń →
ISO

Klasa ochrony czy stopień bezpieczeństwa? Jak czytać DIN 66399 / ISO 21964

DIN 66399 i ISO/IEC 21964 opisują niszczenie trzema osiami: grupy nośników, stopnie bezpieczeństwa i klasy ochrony. Wyjaśniamy różnicę i jak dobrać właściwy poziom dla danych osobowych.

Renata Wojnowska 7 min czytania

Większość nieporozumień wokół niszczenia danych bierze się z jednego błędu: mylenia klasy ochrony ze stopniem bezpieczeństwa. To dwie różne rzeczy, a DIN 66399 / ISO/IEC 21964 używa jeszcze trzeciej osi — grupy nośnika. Dopiero razem definiują, jak właściwie zniszczyć nośnik. Ten artykuł porządkuje pojęcia, żebyś dobrał poziom świadomie, a nie na wyczucie.

Trzy osie normy

Norma opisuje niszczenie trzema niezależnymi parametrami:

ZakresCo opisuje
Grupa nośnikaP, F, O, T, H, ECo niszczysz (papier, film, optyczne, taśmy, dyski, elektronika)
Stopień bezpieczeństwa1–7Jak drobno — maksymalny rozmiar cząstki po zniszczeniu
Klasa ochrony1–3Jak wrażliwe są dane — potrzeba ochrony

Te trzy osie trzeba ustalić razem. Klasa ochrony wyznacza minimalny wymagany stopień bezpieczeństwa dla danej grupy nośnika.

Grupa nośnika — co niszczysz

Sześć grup, każda z własnymi wymaganiami technicznymi:

  • P — papier i dokumenty
  • F — film, mikrofilm
  • O — nośniki optyczne (CD, DVD, Blu-ray)
  • T — taśmy magnetyczne (LTO, DAT)
  • H — dyski twarde (HDD)
  • E — nośniki elektroniczne (SSD, pendrive, karty pamięci, telefony)

Stopień bezpieczeństwa — jak drobno

Skala od 1 do 7 określa maksymalny rozmiar cząstki po zniszczeniu. Im wyższy stopień, tym mniejsza cząstka i tym trudniej odtworzyć dane. Dla papieru (grupa P) stopnie oznacza się P-1 do P-7 — gdzie P-7 to dokumenty ściśle tajne (cząstka ≤ 5 mm²).

Klasa ochrony — jak wrażliwe dane

Trzy klasy ochrony opisują potrzebę ochrony danych:

  • Klasa 1 — normalna potrzeba ochrony (dane wewnętrzne, niewrażliwe)
  • Klasa 2 — podwyższona (dane poufne, w tym większość danych osobowych)
  • Klasa 3 — bardzo wysoka (dane szczególnie chronione, informacje niejawne)

Klasa ochrony przekłada się na minimalny wymagany stopień bezpieczeństwa. Dla danych osobowych (klasa 2) typowym wymaganiem dla papieru jest stopień P-4; dla danych wrażliwych (klasa 3) — P-5 i wyżej.

Jak dobrać poziom — w praktyce

Dobór zaczyna się od danych, nie od nośnika. Ustal najbardziej wrażliwe dane, jakie niszczysz → to wyznacza klasę ochrony. Następnie dla każdej grupy nośnika, którą obsługujesz, odczytaj minimalny stopień bezpieczeństwa odpowiadający tej klasie. Dla danych osobowych objętych RODO bezpiecznym punktem wyjścia jest klasa 2; dla danych zdrowotnych, biometrycznych i objętych klauzulami tajności — klasa 3.

Jeśli nie masz pewności, bezpłatny test klasy ochrony wskaże orientacyjny poziom na podstawie rodzaju danych i grupy nośnika.

Podsumowanie

Klasa ochrony, stopień bezpieczeństwa i grupa nośnika to trzy odrębne parametry — i dopiero razem definiują wymaganie wobec procesu niszczenia. Poprawne posługiwanie się nimi to nie pedanteria: od tego zależy, czy zniszczenie faktycznie odpowiada wrażliwości danych i czy certyfikat ma pokrycie. Firma niszcząca na zlecenie potwierdza ten dobór certyfikacją procesu wg ISO/IEC 21964.

Najczęstsze pytania

Skąd wzięły się oznaczenia z literą i cyfrą? +
Litera oznacza grupę nośnika (Materialklassifizierung wg DIN 66399), a cyfra — stopień bezpieczeństwa. Stąd zapisy P-4 (papier, stopień 4), H-5 (dysk twardy, stopień 5), E-4 (nośnik elektroniczny, stopień 4).
Czy wyższy stopień zawsze jest lepszy? +
Wyższy stopień oznacza drobniejszą cząstkę i wyższy koszt oraz wolniejszy proces. Dobiera się go adekwatnie do wrażliwości danych (klasy ochrony) — niszczenie danych ogólnych na stopniu P-7 jest nieuzasadnione kosztowo, a danych niejawnych na P-3 — niewystarczające.
Czy norma podaje gotową tabelę klasa–stopień? +
Tak. DIN 66399 / ISO 21964 przypisuje każdej klasie ochrony zakres dopuszczalnych stopni bezpieczeństwa dla każdej grupy nośnika. Ostateczny dobór wynika z oceny ryzyka i jest weryfikowany w toku certyfikacji procesu.

Źródła: norma ISO/IEC 21964:2018 (oparta o DIN 66399); RODO — rozporządzenie (UE) 2016/679; Ustawa o ochronie informacji niejawnych z 5 sierpnia 2010 r.. Zobacz też: ISO/IEC 21964 — przewodnik po niszczeniu nośników oraz co musi zawierać certyfikat zniszczenia.

Zadzwoń Bezpłatna wycena