Niveles de seguridad para la destrucción de tus soportes de datos: Norma DIN 66399

La norma DIN 66399 ha sido desarrollada por el Comité de Estándares de Tecnologías de la Información y Aplicaciones (NIA).

La nueva norma DIN 66399 reemplaza a la norma DIN 32757 y describe los requisitos para las máquinas destructoras y procesos para la trituración de datos.  Los cambios más significativos son:

  • Tres clases de protección: La determinación de los requisitos de protección y la asignación de la clase de protección, así como los niveles de seguridad sirven la clasificación de los datos resultantes.
  • Seis categorías de materiales: Por primera vez, la norma define diferentes clasificaciones de materiales, también refleja el formato de la información presentada en el soporte de datos (documentos de papel, soportes de datos ópticos, magnéticos o electrónicos y discos duros).
  • Siete niveles de seguridad: En lugar de los cinco niveles de seguridad anteriores, la nueva norma DIN 66399 define ahora siete niveles de seguridad. Una diferencia importante es el nuevo nivel de seguridad P-4 con una superficie de pedazos de material máxima de 160 mm², el nivel anterior 4 se convierte en nivel P-5 y el anterior nivel 5 se convierte en el P-6. El “Nivel 6”, que no se reflejaba previamente en la norma DIN, se convertirá en el nivel P-7.

CLASES DE PROTECCIÓN  SEGÚN NORMA 66399

PROTECCIÓN CLASE 1 

Protección normal requerida para datos internos cuya publicación o difusión no autorizada podría tener un impacto negativo limitado en la empresa, pero que la protección de datos personales debe estar garantizada. Podría ser un riesgo para la posición y la situación financiera de las personas afectadas.
Ejemplos: correspondencia, publicidad personalizada, catálogos, circulares, notas …

PROTECCIÓN CLASE 2 

Alta protección requerida para datos confidenciales, que es accesible por un círculo reducido de personas. La divulgación no autorizada podría tener consecuencias importantes para la compañía y violar leyes o compromisos contractuales. La protección de datos personales debe cumplir con estrictos requisitos para no poner en un riesgo considerable la posición social y financiera de las personas afectadas.
Ejemplos: conocimientos relevantes, correspondencia como ofertas, consultas, notas, mensajes, datos personales …

PROTECCIÓN CLASE 3 

Alta protección exigida para datos muy confidenciales y secretos, accesibles únicamente a un círculo reducido de personas autorizadas. Su divulgación no autorizada tendría graves consecuencias que amenazarían la existencia de la organización y violaría el secreto profesional, contratos y leyes. Es esencial que la confidencialidad de los datos personales se conserve para evitar riesgos para la salud, seguridad o libertad de las personas afectadas …
Ejemplos: documentos de gestión de I + D, datos financieros, información confidencial ….

La asignación de las tres clases de protección hasta el nivel de seguridad puede ser realizada por medio de la siguiente tabla:

Nivel

1 y 2

Nivel

3

Nivel

4

Nivel

5

Nivel

6

Nivel

7

CLASE 1 ●¹ ●² ●² ●² ●²
CLASE 2 ●² ●²
CLASE 3
¹ Para datos personales este nivel no es aplicable
² Un nivel de seguridad superior cubre la clase de protección de una mejor manera.

CLASIFICACIÓN DE MATERIALES SEGÚN NORMA 66399

Además del papel, la norma DIN 66399 cubre otros soportes de datos clasificándose de la siguiente manera:

P: La información se muestra en tamaño original, por ejemplo, papel, películas, formularios impresos. Niveles de seguridad P-1 a P-7.

F: La información que se muestra en forma reducida, por ejemplo microfilms, transparencias. Niveles de seguridad F-1 a F-7.

O: Información en soportes de datos ópticos, por ejemplo CDs / DVDs. Niveles de seguridad O-1 a O-7.

T: Información en soportes de datos magnéticos, por ejemplo, Tarjetas de identificación, disquetes. Niveles de seguridad T-1 a T-7.

H: Información en unidades de discos duros magnéticos. Niveles de seguridad H-1 a H-7.

E: La información en soportes de datos electrónicos, por ejemplo, memorias USB, tarjetas de chip. Niveles de seguridad E-1 a E-7.

NIVELES DE SEGURIDAD  SEGÚN NORMA 66399

Cuando la información se muestra en tamaño original, por ejemplo, papel, películas, formularios impresos, los niveles de seguridad serán los siguientes:

P-1:  Documentos de carácter general para que sean ilegibles o anulados. Partículas de material con una superficie < 2000 mm² o tira de longitud indeterminada de anchura < 12 mm

P-2: Documentos internos que pasarán a ser ilegibles o anulados. Partículas de material con una superficie < 800 mm² o tira de longitud indeterminada de anchura < 6 mm.

P-3: Datos sensibles y confidenciales, así como datos personales sujetos a altos requisitos de protección. Partículas de material con una superficie < 320 mm² (por ejemplo partículas 4 x 80 mm.) o tira de longitud indeterminada de ancho < 2 mm.

P-4: Datos altamente sensibles y confidenciales, así como los datos personales que sean objeto de altos requisitos de protección. Partículas de material con una superficie < 160 mm² y regulares con ancho de tira < 6 mm (por ejemplo partículas 4 x 40 mm).

P-5: Datos con información confidencial de importancia fundamental para una persona, empresa o institución. Partículas de material con una superficie < 30 mm² y regulares con ancho de tira < 2 mm. (por ejemplo partículas 2 x 15 mm).

P-6: Datos confidenciales con medidas de seguridad extraordinarias. Partículas de material con una superficie < 10 mm² y regulares con ancho de tira < 1 mm. (por ejemplo partículas de 0,8 x 12 mm).

P-7: Datos estrictamente confidenciales con las más elevadas precauciones de seguridad.
Partículas de material con una superficie < 5 mm² y regulares con ancho de tira < 1 mm (por ejemplo partículas 0,8 x 5 mm).

DETALLES IMPORTANTES RELACIONADOS CON LA NORMA DIN 66399:

La seguridad es considerablemente mayor y es preferible a otros procedimientos, si la destrucción de los soportes de datos se realiza directamente en el establecimiento por la persona responsable.
• Se recomienda una separación de los soportes de datos para su destrucción según el nivel de seguridad requerido. En caso de que esto no es posible, la destrucción debe haber alcanzado de manera uniforme el nivel de seguridad más alto con la finalidad de minimizar el riesgo de destrucción insuficiente.

Fuente: IDEAL, ofimaquinas, EBA