¿Hay algún estándar que recomiende la destrucción física de una máquina?

Navega tus respuestas
3

Tuve una conversación con un cliente que requiere la destrucción física de la PC (una computadora portátil estándar) que está guardando sus datos. Después de la aclaración, significan la destrucción de la computadora portátil completa , no solo el disco (el disco es extraíble, por lo que no habría sido un gran problema).

Estoy dejando de lado el costo y los aspectos ecológicos. ¿Existe algún estándar que fomente, recomiende o fuerce la destrucción física de un dispositivo completo para PC? No pude encontrar nada en mi visita. lugares (ISO, NIST, ISF).

Puedo entender el caso de los dispositivos en los que los datos se guardan en áreas integradas que no se pueden identificar de inmediato: destruir todo es una solución para garantizar que no se puedan dejar datos residuales. Este no es el caso de esa computadora portátil estándar.

EDITAR: Después de los comentarios y las respuestas, me gustaría aclarar que esta empresa es grande y seria. Ellos saben cómo funcionan las computadoras. Deben tener algún POE que dicte esto, o el oficial de seguridad de servicio tuvo un mal día.
No estoy tratando de adivinar por qué tienen ese requisito, pero si hay un caso en el que esto sigue un estándar.

    
pregunta WoJ 16.03.2017 - 17:09
fuente

2 respuestas

2

Toda la documentación que he visto sobre el tema es muy clara, solo tienes que realizar una limpieza certificada del medio de almacenamiento. RAM, pantalla, gráficos, etc., generalmente no aparecen en la lista. Dicho esto, el Manual oficial del DoD sobre la protección de la información clasificada (de 2013, que es el último que pude encontrar) prescribe los métodos utilizados para

  

limpieza, desinfección o destrucción de equipos y medios de TI clasificados

puede incluir

  

sobrescritura, desmagnetización, lijado y destrucción física de componentes o medios

Continúa afirmando que

  

Los medios de almacenamiento de TI clasificados (por ejemplo, unidades de disco duro) no pueden ser desclasificados por sobrescritura. La desinfección (que puede destruir la utilidad de los medios) o la destrucción física se requiere para su eliminación

Pero, de nuevo, eso solo se aplica a los medios de almacenamiento, realmente no pude ver una razón por la cual la destrucción completa de todo el equipo sería necesaria si ni siquiera lo hacen con materiales clasificados. Pero podría haber procedimientos clasificados que prescriban la destrucción de toda la unidad, no lo sabría.

    
respondido por el Ryan Kelso 16.03.2017 - 19:31
fuente
-1

Han pasado algunos años desde la última vez que tuve motivos para verificar los estándares, pero no creo que haya uno, ya que @MiaoHatola dice que no es necesario hacerlo desde una perspectiva de seguridad.

Me arriesgaría a suponer que su cliente:

a) no entiende la arquitectura de una computadora portátil lo suficientemente bien como para comprender que los datos solo se encuentran en un componente extraíble (el disco),

b) no entiende que el disco se puede separar, o

c) entiende estas dos cosas perfectamente bien, pero no tiene uso para el disco duro de la computadora portátil sans y simplemente desea evitar la molestia / costo de tener la computadora portátil se desecha por separado.

    
respondido por el motosubatsu 16.03.2017 - 18:09
fuente

Lea otras preguntas en las etiquetas

¿Cómo configuro SELinux para que actúe como una verdadera solución de lista blanca? scp / sftp: ¿cómo enviar un archivo de forma segura sin necesidad de una clave privada del cliente?