DoD 5220.22-M
DoD 5220.22-M (также известный как «National Industrial Security Program Operating Manual», NISPOM) — это стандарт Министерства обороны США, устанавливающий процедуры и методы безопасного удаления (стирания) информации с магнитных и оптических носителей, а также требования к уничтожению носителей, содержащих конфиденциальные данные. Разработан для использования в государственных учреждениях и подрядных организациях, работающих с информацией, составляющей государственную тайну США. В России и других странах данный стандарт часто применяется как один из эталонных методов гарантированного уничтожения данных, хотя не является обязательным для исполнения вне юрисдикции США.
История и происхождение
Стандарт DoD 5220.22-M был разработан в рамках Национальной программы промышленной безопасности (NISP), которая регулирует доступ частных подрядчиков к секретной информации США. Первая версия NISPOM была опубликована в 1995 году, заменив собой ряд разрозненных ведомственных инструкций. Основной целью документа было создание единых правил для всех организаций, работающих с государственной тайной, включая процедуры физической защиты, контроля доступа и уничтожения носителей.
Метод перезаписи данных, описанный в DoD 5220.22-M, стал широко известен благодаря своей простоте и эффективности для магнитных накопителей (жёстких дисков, дискет, магнитных лент). Впоследствии стандарт неоднократно пересматривался, но его ядро — трёхпроходная перезапись — оставалось неизменным до 2014 года, когда Министерство обороны США официально отказалось от его использования в пользу более современных методов.
Метод перезаписи
Основной метод, предписываемый DoD 5220.22-M для магнитных носителей, заключается в трёхпроходной перезаписи:
- Первый проход: Запись на все адресуемые области носителя одного символа (например, байта 0x00 или 0x55).
- Второй проход: Запись на все адресуемые области носителя обратного (дополнительного) символа (например, 0xFF или 0xAA).
- Третий проход: Запись на все адресуемые области носителя случайного символа.
После завершения третьего прохода выполняется верификация — чтение записанных данных для подтверждения, что перезапись прошла успешно и исходная информация не может быть восстановлена.
Критика и устаревание
Несмотря на широкую популярность, метод DoD 5220.22-M имеет ряд ограничений:
- Неэффективность для современных носителей: Трёхпроходная перезапись была разработана для старых магнитных носителей (например, жёстких дисков с технологией MFM/RLL). Современные жёсткие диски (с технологией перпендикулярной записи) и твердотельные накопители (SSD) имеют более сложную структуру хранения данных, и однократная или даже трёхкратная перезапись может не гарантировать полного уничтожения информации из-за наличия скрытых областей (например, резервных секторов, кэша контроллера).
- Избыточность: Исследования, проведённые в 2000-х годах (например, Национальным институтом стандартов и технологий США, NIST), показали, что для современных магнитных носителей однократная перезапись случайными данными является достаточной для предотвращения восстановления информации с помощью лабораторных методов. Трёхпроходная перезапись считается избыточной и неэффективной по времени.
- Официальный отказ: В 2014 году Министерство обороны США исключило DoD 5220.22-M из перечня утверждённых методов уничтожения информации. Вместо него для магнитных носителей рекомендуется однократная перезапись (например, метод Clear, описанный в NIST SP 800-88). Для оптических и твердотельных носителей предписывается физическое уничтожение (дробление, измельчение, сжигание).
Применение в России и других странах
В России стандарт DoD 5220.22-M не является обязательным для исполнения. Однако он широко используется в коммерческих организациях и государственных структурах, работающих с конфиденциальной информацией, как один из эталонных методов гарантированного уничтожения данных. Многие программы для безопасного удаления файлов (например, Eraser, CCleaner, DBAN) предлагают алгоритм DoD 5220.22-M как один из вариантов.
В Российской Федерации порядок уничтожения информации, составляющей государственную тайну, регулируется Федеральным законом «О государственной тайне» и подзаконными актами, в частности, Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне (утверждена постановлением Правительства РФ от 06.02.2010 № 63). В этих документах не содержится прямых указаний на использование DoD 5220.22-M, но предписываются методы физического уничтожения носителей (например, дробление, сжигание) или перезапись с использованием сертифицированных средств защиты информации.
Альтернативные стандарты и методы
В связи с устареванием DoD 5220.22-M, в США и других странах применяются более современные стандарты:
- NIST SP 800-88 (США): Национальный институт стандартов и технологий США. Определяет три уровня уничтожения: Clear (однократная перезапись), Purge (многократная перезапись или физическое уничтожение), Destroy (физическое уничтожение носителя).
- Gutmann (Новая Зеландия): Метод, предложенный Питером Гутманном в 1996 году. Предполагает 35 проходов перезаписи, что считается избыточным для современных носителей.
- Schneier (США): Метод, предложенный Брюсом Шнайером. Предполагает 7 проходов перезаписи.
- Физическое уничтожение: Дробление, измельчение (шредирование), сжигание, химическое воздействие. Рекомендуется для твердотельных накопителей (SSD) и оптических дисков.
Интересные факты
- Вопреки распространённому мнению, DoD 5220.22-M не является официальным стандартом Министерства обороны США для уничтожения данных с 2014 года. Его использование в коммерческом ПО часто является маркетинговым ходом.
- Трёхпроходная перезапись не гарантирует уничтожения данных на современных SSD-накопителях из-за технологии выравнивания износа (wear leveling), которая может перемещать данные между физическими ячейками, не затрагиваемыми перезаписью.
- В России для уничтожения информации на магнитных носителях часто применяется метод «Гном-2» или «Аккорд-5» — сертифицированные аппаратно-программные комплексы, реализующие перезапись по ГОСТ Р 50739-95 (сейчас заменён на ГОСТ Р 56545-2015).
Источники
- National Industrial Security Program Operating Manual (NISPOM), DoD 5220.22-M, 1995 (с изменениями).
- NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization, 2014.
- Федеральный закон «О государственной тайне» от 21.07.1993 № 5485-1.
- ГОСТ Р 56545-2015 «Защита информации. Уничтожение информации на магнитных носителях. Общие требования».
- Gutmann, P. (1996). Secure Deletion of Data from Magnetic and Solid-State Memory.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →