CMMC媒体清理方法:遵循NIST 800-88指南
什么是NIST 800-88?
NIST SP 800-88是"媒体清理指南",本质上属于NIST信息安全控制的子文档。NIST SP 800-53涵盖了网络安全和信息安全的各个方面,包括清理工作。NIST SP 800-171源自800-53,专注于保护特定数据;同样,FedRAMP基于它构建,专注于云信息安全。CMMC则基于NIST SP 800-171。
所有这些框架都引用了相同的基线要求,用于清理数据并控制信息通过处置渠道离开生态系统。为了在所有框架中保持一致性,政府开发了NIST SP 800-88作为清理标准化的指南。
NIST SP 800-88最初于2006年发布,2014年修订为第1版,最近的第2版于2025年9月发布。
CMMC是否要求NIST 800-88?
是的。
CMMC将媒体保护列为1级要求:
- MP.L1-3.8.3 - 媒体处置:在处置或释放重用前,清理或销毁包含联邦合同信息的系统媒体。
2级有更多相关信息: 确定是否: [a] 在处置前清理或销毁包含CUI的系统媒体;且 [b] 在释放重用前清理包含CUI的系统媒体。
虽然CMMC没有特别说明NIST SP 800-88是相关文档,但它引用了NIST SP 800-171,而800-171本身将您指引到800-88以获取媒体清理要求。
为什么媒体清理很重要?
当前使用或存储在系统中的信息是明显目标,但通常,事后"翻垃圾"是更简单的攻击途径。即使信息已过时,对诈骗者或欺诈活动仍然相关且有用。
这并非无根据的担忧。例如,近年来有许多医疗系统在未适当清理的情况下处置硬盘的实例。这些硬盘在二级市场被恢复或购买后,可以查看以恢复患者的受保护健康信息。迄今为止,已有数十万患者记录被暴露。
另一个知名的不当清理实例来自2020年的摩根士丹利;他们在2016年关闭了两个数据中心,并聘请供应商销毁所用设备上的数据。该供应商未正确擦除驱动器,2019年,回收商在这些数据中心的驱动器上发现了未加密数据。
显然,CMMC要求媒体清理也是重要部分。
不当媒体清理的处罚是什么?
很多。
如果您拥有联邦合同的CMMC认证,并被发现在不当清理媒体,您可能立即失去合同和认证。仅此一项就对企业具有毁灭性,这还不包括合同违约处罚和国防部的后果。
法律后果也可能随之而来。根据您运营的地点,您暴露的数据可能使您面临HIPAA或GDPR等隐私保护法律以及各种州级和行业级法规的审查。这些经常导致非常严厉的经济处罚。
除了法律和经济处罚外,被发现不当处理信息的企业会失去大量信任和声誉,这使得继续开展业务更加困难。即使您解决了问题的根源,您也可能将合同输给过去未被证明不安全的竞争对手。
所有这些甚至还没有涉及数据本身可能发生的情况。根据被泄露的数据类型,它可能助长身份盗窃、商业秘密和知识产权损失,在某些情况下甚至危及生命的政府秘密和其他受保护信息。
哪些媒体需要清理?
我们经常遇到的一个问题是从数据而非媒体本身的角度考虑媒体清理。这与范围界定面临的问题类似;与其弄清楚数据流动和存储的位置并加以保护,值得构建更有限的流动以减少威胁表面并缩小必要安全的范围。
对于媒体清理,不是要弄清楚哪些数据在离开生态系统时需要销毁;而是要弄清楚哪些媒体(物理纸张、硬盘等)曾经存储过这些数据,并清理它们。
从NIST SP 800-171的讨论中,您可以更清楚地看到这一点。
“此要求适用于所有要处置或重用的系统媒体,数字和非数字。例如包括:工作站、网络组件、扫描仪、复印机、打印机、笔记本电脑和移动设备中的数字媒体;以及非数字媒体,如纸张和缩微胶卷。”
媒体可以指任何以可能保留数据的方式存储或处理数据的物品。纸张和硬盘是常见例子,但磁带、光盘、照片、CD和DVD、电话和其他设备也都算数。甚至您可能认为无法存储信息的办公设备也可以这样做。许多现代打印机有存储待打印项目的驱动器,这意味着可以提取该数据,因此需要清理。
虽然CMMC的要求仅说明如果媒体包含FCI或CUI则应清理,但许多企业也找到其他清理媒体的理由。由于HIPAA要求,健康和个人信息需要清理。业务信息,如HR和财务文件,应清理以保护业务运营。
许多企业发现,清理离开其生态系统的大部分内容,无论其内容如何,是一种良好实践。
NIST SP 800-88规定了什么?
NIST 800-88在其最新修订版中是一份48页的文档,因此出于显而易见的原因,我们不会在此复制整个内容。无论如何,您可以直接免费阅读它。但我们可以总结最相关的细节。不过,请确保为您的业务使用实际文档,而不是我们的摘要。
定义媒体类型
800-88首先做的事情之一是定义两种媒体。
第一种是硬拷贝媒体。这是信息的物理表示,控制文档的典型打印输出。他们阐述此类别可以包括许多不同类型的媒体,包括缩微胶片、胶片、打印机色带和其他物理物品。如果它可以被从垃圾箱中捞出并现场阅读,它或多或少是硬拷贝。
第二种是ISM,或信息存储媒体。这是存储受控信息数字表示的媒体,即代码的1和0。硬盘、固态驱动器、RAM、光盘、内存和其他设备都构成ISM。
他们还提到了易失性和非易失性ISM的区别。仅在有电和使用时保留内容但在断电时不存储任何内容的计算机RAM,不像硬盘等更永久存储媒体那样是清理的重点。
描述三层清理
NIST 800-88的另一部分是描述三层清理。层级越低,清理往往越不彻底,因此仅以该清理级别释放的风险越大。这并不意味着您必须对所有内容进行全面三层清理,但这确实意味着不同媒体需要不同级别的处理。
第1层:清除。清除是通过正常方式使数据不可访问的过程。覆盖硬盘上的数据、从闪存驱动器删除数据以及恢复工作站出厂设置;这些清除数据。但数据不一定消失,只是通过正常方式更难访问。有人将已清除的硬盘插入计算机不会立即访问数据。然而,这些系统通常不删除数据;它们只是删除对它的访问。
一个比喻是图书馆;删除卡片目录不会使书籍无法访问,只是使找到您要查找的特定书籍更加困难。
第1层对媒体的内部重用有用。您可以清除闪存驱动器并在业务中重用,这仍然足够受保护。
第2层:净化。第二层使用专门工具使数据不太可能或无法恢复。使用软件"清零"硬盘,或使用消磁器净化磁存储,可以使恢复数据不可行。虽然一些高度先进的技术仍然可能恢复此数据,但除极其感兴趣的民族国家外,其他人在财务和动机上不太可能付出这种努力。
第2层对媒体的外部重用有用。如果您停用数据中心,您可以净化所有驱动器并转售以收回部分成本,而不是失去所有硬件投资。
NIST 800-88还包括一些关于加密作为净化机制的讨论。充分加密的数据,在销毁密钥时,可以被有效净化。800-88详细说明了这一点,并附加要求加密必须是FIPS-140标准或更好才能工作。
第3层:销毁。第三层使用物理销毁技术使媒体无法操作到无法恢复的程度。纸质文档的多级粉碎、粉碎机压碎硬盘、或焚烧使媒体变成其组成碳原子,都属于此层。
显然,第3层仅适用于媒体无法重用时。
实施适当媒体清理协议的提示
NIST SP 800-88的另一主要方面是关于如何制定和实施媒体清理协议的大量提示和指南。它们对此没有规定性;由您确定需要满足哪些框架的安全级别、需要保护哪些类型的数据、需要清理哪些媒体以及如何处理该清理。
文档所做的是给您各种考虑因素,这些因素可能影响您的决策。当媒体离开生态系统时,这基本上都是范围界定。
所有的关键只是确定信息和媒体的流动,并确保您有适当的政策来处理离开的媒体,无论其离开的目的如何。
我们Ignyte Assurance Platform可以在此提供帮助,就像在所有合规工作中一样。鉴于媒体清理的实施是合规的一部分,在平台内跟踪一切都很容易。
实际上,遵守NIST SP 800-88最困难的部分是初步思考跟踪、范围界定以及确定任何给定媒体相关的清理级别。但是,由于清理除了与CMMC保持一致外还有好处,企业无论如何都需要将大量思考付诸实践。
无论哪种方式,在当今信息驱动的世界中,适当的媒体清理是必需的,因此做好它不是可选的。像NIST 800-88这样的文档可以提供帮助,但没有什么可以替代分析您自己的环境和媒体以确定需要做什么以及如何做。