Politique de destruction des données

Ces règles subsidiaires à Circulaire opérationnelle n° 5 fournir des règles sur la manière dont les supports numériques (p.ex. HDDs ou SSDs) doivent être effacés ou détruits de manière à ce que toute trace de données ait disparu de ces supports.

Règles

• Les supports numériques doivent être effacés lorsqu'ils changent de fonction ou sont retirés des opérations (p.ex. lorsqu'il est réutilisé, vendu ou donné) ;
• Les supports numériques stockant des "données sensibles" doivent être effacés, en tout ou en partie, une fois que les données sont devenues obsolètes conformément aux instructions d'archivage ;
• Les supports numériques cassés ou défectueux doivent être effacés, à moins qu'une réparation ne soit possible et à condition que l'entreprise concernée dispose d'un système de protection des données conforme aux normes industrielles en place. La "réparation" comprend également le remplacement des supports numériques sous garantie, à condition que la société agissante ait mis en place une politique de destruction des données conforme aux normes du secteur ;
• Si le nettoyage n'est pas possible (et que la réparation a échoué), le support numérique doit être physiquement détruit, indépendamment du niveau de classification des données stockées ;
• Les bandes sont exemptées de l'effacement pour des raisons techniques et logistiques. Cependant, elles doivent être détruites si elles contiennent ou ont contenu des "données sensibles".

Procédures

• Procédure d'effacement : Les médias numériques doivent être effacés à l'aide de Nwipe. Si une assistance est nécessaire, ils doivent être amenés au IT S.O.S. Helpdesk dans le restaurant 2, où ils seront transférés pour effacement par l'équipe d'assistance IT/SERCO soit dans le centre calcul (b513 ) ou dans le Service de Récupération (b133);
• Procédure pour la destruction: Les supports numériques à détruire doivent être apportés au service informatique S.O.S. au Restaurant 2, où ils seront transférés dans des conteneurs scellés et régulièrement collectés par une société tierce spécialisée dans leur destruction physique.

Commentaires

• « Supports numériques » désigne tous les supports arrivant soit sous forme de pièces/unités, soit dans une pochette PC/ordinateur portable/imprimante/... au Service de Récupération (b133), par ex. via les poubelles « rouges » ou autrement, ou directement au centre calcul (b513; par exemple lors de campagnes de retrait de serveurs) ;
• Lorsque des données doivent être archivées, elles ne deviennent pas obsolètes. Toutefois, la décision d'archiver des données doit être mûrement réfléchie et les archives doivent avoir un usage légitime. L'archivage ne doit pas être utilisé à mauvais escient pour éviter la destruction des données ;
• Les recommandations américaines actuelles pour l'effacement sécurisé des disques durs se trouvent dans le document NIST 800-88 "Guidelines for Media Sanitization". En accord avec "Overwriting Hard Disk Data: The Great Wiping Controversy" et "Data Reconstruction from a Hard Disk Drive using Magnetic Force Microscopy", on considère qu'une destruction des données en un seul passage est tout à fait suffisant pour les disques durs récents

Règles informatiques du CERN

• Circulaire opérationelle Nº5
• But de OC5
• Utilisation à des fins personnelles
• Non-respect des règles

OC5 règles subsidiaires & bonnes pratiques

• Accès par des tiers aux comptes et données des utilisateurs
• Baselines de sécurité
• Comptes informatiques d'utilisateur
• Effacer des donnes correctement
• Politique de conservation des données
• Politique de traitement des données
• Ouvertures dans le pare-feu de périmètre extérieur
• Protection des fichiers sur AFS, DFS et EOS
• Utilisation des caméras web
• Utilisation du réseau CERN
• Utilisation des réseaux sociaux
• Utilisation des services de fichiers
• Utilisation des services de messagerie électronique
• Utilisation des services Windows

Restrictions concernant les logiciels

• Générateurs OTP
• TeamViewer
• VPN et autres réseaux superposés

Autres informations utiles

• Bureau de la protection des données personnelles
• Licenses pour les logiciels développé par le CERN
• Open Hardware Repository

© Copyright 2024 CERN Computer Security Team

e-mail: Computer.Security@cern.ch Utilisez la clé PGP suivante pour encrypter vos messages : ID: 0x954CE234B4C6ED84 429D 6046 0EBE 8006 B04C DF02 954C E234 B4C6 ED84

Téléphone: +41 22 767 0500 (Écoutez les instructions enregistrées.)