- A fizikai megsemmisítés és a tanúsított szoftveres törlés között az dönti el a választást, hogy az adathordozó visszakerül-e a használatba — a két módszer nem versenyez, hanem az életciklus különböző végállapotaira ad szakszerű választ.
- A „tanúsított” minősítés akkor érvényes, ha a szolgáltató dokumentált eljárása lefedi az őrzési láncot (chain of custody), a sorszám szerinti tételazonosítást, a vonatkozó szabványnak megfelelő mechanikai megsemmisítési geometriát, és a folyamat végén kiállított, audit-célra megőrzött, tételszintű certificate of sanitization rendelkezésre áll.
- A Data Destroy Kft. szolgáltatásportfóliója kifejezetten a tanúsított fizikai megsemmisítésre épít — ezt különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.
Egy ISO 27001 audit gyakori kérdése: bizonyíthatóan tudja-e a szervezet, mely meghajtói kerültek selejtezésre, mikor, milyen módszerrel, és kinek a felelősségében? Ha a vagyonleltár-csökkenéshez nincs sorszám-szintű certificate of sanitization vagy az őrzési lánc dokumentációja megszakadt, a kontroll nem tekinthető működőnek. Egy szervezet életében minden aktív adathordozó eljut arra a pontra, amikor kilép a működő vagyonleltárból, és ettől kezdve a leggyakoribb két útvonal: vagy az adathordozó — a rajta lévő adat tanúsított törlése után — visszakerül a használatba (belső másodlagos felhasználás, értékesítés, felújítás), vagy az adathordozó visszafordíthatatlanul megsemmisül. Léteznek átmeneti helyzetek is — jogi zárolás (legal hold), bizonyítékként megőrzés, gyártói RMA-visszaküldés —, de a kompletten lezárt életciklusra a két végállapot a tipikus. A választást nem egyszerűen üzleti, hanem kockázatalapú döntés vezérli: az adatminősítés, a médiatípus, a szoftveres törölhetőség, a jogi megőrzési kötelezettségek és az ágazati kontrollok együttesen szabják meg a megfelelő útvonalat. Ez a cikk azt mutatja be, hogyan zajlik szakszerűen a tanúsított fizikai adatmegsemmisítés — az őrzési lánc (chain of custody) felvételétől a certificate of sanitization kiállításáig —, és miért építi a Data Destroy Kft. szolgáltatásportfólióját erre az útvonalra.
Mikor szakmailag indokolt a fizikai megsemmisítés
A fizikai megsemmisítés négy elkülöníthető helyzetben válik a szakszerű választássá.
Az életciklus visszafordíthatatlan lezárása. Ha az adathordozó nem kerül vissza a vagyonleltárba — sem belső másodlagos felhasználásra, sem értékesítésre, sem felújításra —, a fizikai megsemmisítés önmagában is szakszerű befejezése a folyamatnak. Ilyenkor nem szükséges a megsemmisítés előtt szoftveresen törölni, mert az adat hozzáférhetetlenné tétele a fizikai megsemmisítéssel biztosítva van.
Hibás vagy szoftveresen nem kezelhető meghajtó. A tanúsított szoftveres törlés feltétele, hogy az adathordozó kommunikál a hosztrendszerrel, és a törlési parancs a teljes felhasználói és szolgáltatási területet eléri. Ha a meghajtó vezérlője meghibásodott, a SMART-attribútumok kritikus értéket mutatnak, vagy a meghajtó nem jelentkezik be a buszra, a szoftveres törlés sikere nem garantálható. Ilyenkor — feltéve, hogy az ügyfélnél nincs aktív legal hold vagy retenciós kötelezettség az adott meghajtóra — a fizikai megsemmisítés a megbízhatóan validálható útvonal.
Magas biztonsági besorolású tartalom. Pénzügyi szektor, kormányzati intézmények, kritikus infrastruktúra üzemeltetők — és minősített tartalommal dolgozó szervezetek — belső szabályzata vagy ágazati előírása előírhatja a fizikai megsemmisítés alkalmazását akkor is, ha a szoftveres törlés technikailag elvégezhető. Az auditkövetelmény ezekben a szektorokban gyakran a tárgyi, dokumentált végtermékre is kiterjed.
Kétszintű, kombinált védelem. Egyes szervezetek a tanúsított szoftveres törlést és a fizikai megsemmisítést egymás után alkalmazzák ugyanazon a meghajtón — különösen érzékeny tartalmaknál vagy olyan SSD-knél, ahol a wear-leveling miatt a szoftveres törlés ellenőrizhetősége korlátozott (a NIST 800-88 Rev. 2 kifejezetten figyelmeztet rá, hogy a Cryptographic Erase nem minden SSD firmware-en megbízható). Ez a többrétegű védelem (defense in depth) gyakorlata.
A négy helyzetből egyértelmű, hogy a fizikai megsemmisítés és a szoftveres törlés között nincs versenyhelyzet: a meghajtó tervezett életútja, állapota és a tartalom érzékenysége határozza meg, hogy melyik a megfelelő — vagy mikor szükséges mindkettő.
A nemzetközi szabványkeret: NIST SP 800-88 Rev. 2
A médiamegsemmisítés területén a NIST Special Publication 800-88 Revision 2 az általánosan elfogadott nemzetközi referenciadokumentum (a Rev. 1 2025 szeptemberében superseded státuszba került). A szabvány három kategóriát különböztet meg: Clear, Purge és Destroy.
A Clear azokat az eljárásokat fedi le, amelyek megakadályozzák, hogy az adat a szabványos rendszerinterfészeken keresztül visszanyerhető legyen — tipikusan szoftveres felülírás. A Purge mélyebb szinten dolgozik: a laboratóriumi szintű helyreállítást is kizáró eljárásokat alkalmaz, ezek közé tartoznak — eszköz, firmware és parancstámogatás validált megléte esetén — a cryptographic erase, az ATA Secure Erase parancsok, az SSD-k beépített sanitize funkciója és — kizárólag mágneses adathordozóknál — a lemágnesezés. A Destroy kategória a fizikai megsemmisítés: mechanikai szeletelés, darabolás, aprítás és égetés (incineration); a Destroy elismerésének feltétele, hogy a végeredmény validáltan megfeleljen a vonatkozó geometriai és rekonstrukciós követelménynek. Fontos pontosítás: a NIST 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses média esetén), nem általános Destroy technikaként — ez egy iparágszerte gyakori félreértés.
Az ISO/IEC 27001:2022 szabványban két kontroll köthető közvetlenül az adathordozó-megsemmisítéshez. Az A.7.10 (Storage media) az adathordozók kezelésére vonatkozó dokumentált eljárást írja elő, az A.8.10 (Information deletion) pedig kifejezetten az információ-törlési és megsemmisítési eljárás rögzítését várja el. Mindkét kontroll implementációja sok szervezetnél a NIST 800-88 Rev. 2-re vagy az európai DIN 66399 / ISO 21964 szabványra épül.
A DIN 66399 európai megsemmisítési szabvány médiatípus szerint különít el biztonsági szinteket. H osztály (H-1 … H-7) a mágneses adathordozókra (HDD) érvényes; E osztály (E-1 … E-7) az elektronikus adathordozókra (SSD, USB-stick, M.2 NVMe, chipkártya, mobiltelefon). A szigorúbb biztonsági szint kisebb megengedett darab- vagy szeletméretet jelent — fragmentumos aprításnál a részecskeméret, késes szeletelőnél a szeletszélesség és szeletvastagság a paraméter. A NIST 800-88 a Destroy kategórián belül a végeredmény-szintű elvárást rögzíti, a konkrét geometriai paramétereket DIN 66399, ISO 21964, NSA/CSS és IEEE 2883 hivatkozásokkal lehet alátámasztani.
Audit-érzékeny szektorokban (pénzügyi intézmények, kormányzati szervezetek, kritikus infrastruktúra üzemeltetők) az auditkövetelmény jellemzően a tárgyi, dokumentálható végterméket is bizonyítékként kéri.
A tanúsított folyamat hat lépcsője
A „tanúsított” jelző ebben a kontextusban azt jelenti, hogy a szolgáltató minden lépést dokumentált eljárás szerint végez, az alkalmazott berendezésnek gyári vagy független laboratóriumi minősítése van, és a folyamat végén tételszintű certificate of sanitization kerül kiállításra. (A „tanúsított” megnevezés ágazati gyakorlat — egyes ügyfelek kérhetik, hogy emellett akkreditált harmadik fél által tanúsított ISO 27001 vagy TISAX folyamat is legyen a háttérben.)
1. Átvétel és őrzési lánc felvétele. Az adathordozók átvétele zárt szállítóeszközben, dokumentált felelős aláírásával történik. Az őrzési lánc (chain of custody) minimális adattartalma: időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy tartály azonosító, átadó és átvevő neve, valamint az eltéréskezelés módja. Az átvétel előtt javasolt az ügyfél belső eljárásában ellenőrizni, hogy a megsemmisítendő adathordozóhoz nem tartozik aktív legal hold vagy retenciós kötelezettség (pl. számviteli megőrzési idő, GDPR retention, jogi vagy felügyeleti zárolás).
2. Tételszintű azonosítás. Az adathordozók sorszámát (S/N), gyártói azonosítóját és — ha van — vagyontárgy-címkéjét tételenként rögzítjük. Ez a leltár lesz a kiállított tanúsítvány alapja, és ezzel veti össze az ügyfél a saját vagyonleltár-csökkenését. A jóváhagyási oldalon ügyféloldali asset owner, data owner vagy records manager hagyja jóvá tételenként a megsemmisítendő listát; az eltérés (hiányzó S/N, leltár-mismatch) eltérésjegyzőkönyvet eredményez.
3. Mechanikai megsemmisítési művelet. A meghajtó típusától függő mechanikai eljárást alkalmazzuk — HDD-knél és SSD-knél egyaránt késes szeletelés, darabolás vagy aprítás —, a vonatkozó DIN 66399 osztálynak (HDD: H-szint, SSD és elektronikus média: E-szint) megfelelő geometriával.
4. Folyamat- és végtermékellenőrzés. A megsemmisítés végeredménye — a szelet, darab vagy fragmentum geometriája — a vonatkozó szabvány szerinti paraméterek alapján ellenőrzött. Magasabb védelmi szinteken — az ISO/IEC 27001:2022 A.5.3 (Segregation of duties) elvét követve — a folyamatot operátoron kívül második személy is felügyeli (four-eyes principle), illetve videón rögzítjük. A keletkezett tárgyi végtermék az auditdokumentációhoz csatolt fotódokumentációval is alátámasztható.
5. WEEE-konform hulladékkezelés. A megsemmisült adathordozó-darabok elektronikai hulladéknak minősülnek (megfelelő EWC-kóddal); a további feldolgozás engedélyezett hulladékátvevőnél, dokumentált hulladékátadási bizonylattal történik.
6. Tanúsítvány kibocsátása. A folyamat végén kiállított certificate of sanitization tartalmazza az ügyfél nevét, a megsemmisítés dátumát és helyszínét, a tételenkénti sorszám-listát, az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. Ez a dokumentum kerül az ügyfél auditdokumentációjába; a megőrzési idejét az ügyfél belső szabályzata vagy ágazati előírása határozza meg (jellemzően 5–7 év).
Mechanikai megsemmisítési technológiák
A fizikai megsemmisítésen belül a mechanikai eljárásoknak több útja létezik, és a megfelelő választás a meghajtó típusától, a vonatkozó védelmi szinttől és az alkalmazott berendezés kategóriájától függ.
Késes szeletelés (cutter, guillotine). A berendezés erős mechanikus pengével vagy guillotine-szerkezettel hosszanti szeletekre bontja az adathordozót. A végeredmény nem azonos méretű fragmensek halmaza, hanem egyenletes szelet-csíkok — a megsemmisítés mélysége a szeletszélességgel és a szeletvastagsággal jellemezhető. Ez a technológia jellemzi a Data Destroy által használt berendezésosztályt; a folyamat HDD-re és SSD-re egyaránt alkalmas.
Fragmentumos aprítás (shredder). Más típusú mechanikai aprítók forgó kalapács- vagy késhenger-rendszerrel apró, szabálytalan fragmentumokra darabolják az adathordozót. Ennél a technológiánál a részecskeméret a szabályozott paraméter — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő SSD-aprításnál legfeljebb 2 mm körüli. A két technológia (szeletelés vs. aprítás) ugyanazt a célt — az adathordozó visszafordíthatatlan fizikai megsemmisítését — éri el, csak a végeredmény geometriája különbözik.
Lemágnesezés. A NIST SP 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses adathordozóra, HDD): erős, gyorsan változó mágneses térrel a HDD adattároló rétege visszafordíthatatlanul lemágneseződik. A módszer iparági elfogadottsága szektorfüggő — vannak területek, ahol a folyamatdokumentáció és a berendezés gyári minősítése elegendő bizonyítéknak. A Data Destroy szolgáltatásportfóliójában a lemágnesezés nem szerepel önálló eljárásként; ügyfeleink visszajelzései alapján a tárgyi végterméket eredményező mechanikai megsemmisítésre építünk. SSD-re a lemágnesezés definíció szerint sem alkalmas: a flash-cellákban tárolt adatot a mágneses tér nem érinti.
Kombinált technológia. Egyes európai gyártók — köztük a holland Maxxeguard — olyan berendezéseket állítanak elő, amelyek lemágnesezést és mechanikai szeletelést egyetlen folyamatban végeznek el. Ez a kombináció HDD-nél kétszintű védelmet ad: a mágneses adatréteg lemágneseződik, és a meghajtó fizikailag is darabolódik.
Tanúsított berendezések a gyakorlatban
A tanúsított fizikai megsemmisítés minőségét a használt berendezés képességei és minősítései határozzák meg. Az európai piacon több gyártó kínál olyan kombinált berendezéseket, amelyeket szigorú biztonsági követelményű környezetben (kormányzati, katonai, kritikus infrastruktúra) is használnak — ide tartozik például a holland Maxxeguard, amelynek késes szeletelő berendezései a piacon ebben a kategóriában elismertek. A konkrét akkreditációs vagy ügyfélkörülmények berendezésenként és felhasználónként eltérhetnek.
Az ilyen kategóriájú berendezések három tulajdonsággal jellemezhetők. Először: a szeletvastagság és szeletszélesség dokumentált és független laboratóriumi méréssel vagy gyári minősítéssel igazolt — ez a paraméter felel meg a vonatkozó DIN 66399 osztálynak (HDD: H-szint, elektronikus média: E-szint). Másodszor: a folyamat tételszinten naplózott — a berendezés rögzíti minden megsemmisített adathordozó paramétereit, így a tanúsítvány utólag is visszakereshető a gépi logból. Harmadszor: a működés auditálható — egy külső auditor (ISO 27001 belső auditor, TISAX assessor, ágazati felügyelet) szemrevételezéssel és dokumentumellenőrzéssel verifikálni tudja.
A szolgáltató választásakor érdemes megvizsgálni, hogy a használt berendezés milyen DIN 66399 osztálynak és NIST 800-88 Destroy elvárásnak felel meg, milyen meghajtó-osztályokra van validálva, és hogyan integrálódik az őrzési lánc dokumentációjába.
Mit néz egy auditor
A fizikai megsemmisítés audit-szempontú értékelésekor az ellenőr nem a megsemmisítés tényét vizsgálja — azt a tanúsítvány önmagában rögzíti —, hanem a folyamat rendszer-szintű megbízhatóságát.
ISO/IEC 27001 belső auditor szempontból az A.7.10 (Storage media) és az A.8.10 (Information deletion) kontroll együttes implementációja akkor megfelelő, ha a szervezet eljárásrendje előírja a selejtezett adathordozók kezelésének lépéseit, a felelősök kijelölését, az őrzési lánc dokumentációját, és a tanúsítványok megőrzési idejét. Az auditor mintavételesen kéri be a kiállított certificate of sanitization dokumentumokat, és összeveti a vagyonleltár-csökkenéssel.
TISAX assessor — autóipari beszállítói lánc — különösen érzékeny a teljes szállítási láncra. Az adathordozók útját az átadástól a megsemmisítésig hézagmentesen kell dokumentálni, és a megsemmisítést végző alvállalkozó IT biztonsági szintje is felmérés tárgya. A TISAX-keret a megsemmisítési eljárás dokumentált, ismételhető és ellenőrizhető voltát várja el.
Pénzügyi szektor és kritikus infrastruktúra esetén a vonatkozó ágazati előírások — a pénzügyi szegmensben elsősorban a 2025 januárja óta hatályos DORA (EU 2022/2554) ICT-kockázatkezelési kerete, kritikus infrastruktúránál a NIS2 21. cikk kockázatkezelési kötelezettségei — a teljes ICT-eszközéletciklusra kiterjednek. A fizikai megsemmisítés egy elem ebben a láncban: a felügyeleti szempont nem önmagában a megsemmisítést, hanem a teljes ICT-vagyonkezelési folyamatot vizsgálja, beleértve azt, hogy az alkalmazott eljárás operatív szinten is auditálható-e.
A közös pont mindegyik szempont mögött ugyanaz: az auditor azt szeretné látni, hogy a szervezet bizonyíthatóan tudja, mely adathordozói kerültek selejtezésre, mikor, milyen módszerrel, és ki vállalt érte felelősséget. A tanúsított fizikai adatmegsemmisítés erre ad zárt bizonyítékláncot, és magasabb védelmi szinteken a fotódokumentációval kiegészített tárgyi végtermék is hozzátehető a lánchoz.
Mit jelent ez a gyakorlatban
A tanúsított fizikai adatmegsemmisítés akkor szakmailag indokolt választás, ha az adathordozó kilép a vagyonleltárból — másodlagos felhasználás, felújítás vagy értékesítés nélkül —, vagy ha a meghajtó már nem kezelhető szoftveresen. Az újrahasznosításra szánt, működőképes meghajtóknál a tanúsított szoftveres törlés ad azonos szintű bizonyítékláncot, és megőrzi az eszköz piaci értékét.
A két módszer együtt fed le minden szervezeti igényt: a kérdés nem az, hogy melyik a „jobb”, hanem hogy az adott meghajtó-tételhez melyik a megfelelő. A felelős döntéshez a szervezet IT-vagyonkezelési és adatkezelési szabályzatának kell egyértelművé tennie a kategorizálási logikát, és minden selejtezésnél a megfelelő útvonalra kell terelnie az eszközt.
A Data Destroy Kft. szolgáltatásportfólióját a tanúsított fizikai megsemmisítésre építjük — ezt ügyfeleink visszajelzései alapján alakítottuk ki. Ha a szervezet adathordozó-selejtezési listáját át szeretnéd nézetni, vagy konkrét megsemmisítési ajánlatot kérnél tételszintű certificate of sanitization kiadásával, az audit-előkészítő checklistünk és ajánlatkérési űrlapunk az ajánlatkérés oldalon érhető el.
Gyakori kérdések
Ki dönti el, hogy fizikai megsemmisítés vagy szoftveres törlés szükséges?
A választást az dönti el, hogy a meghajtó visszakerül-e a használatba. Ha a szervezet nem kívánja másodlagosan használni, eladni vagy felújításra küldeni — vagy ha a meghajtó hibás —, a fizikai megsemmisítés a megfelelő útvonal. Az újrahasznosításra szánt, működőképes meghajtónál a tanúsított szoftveres törlés a választás, mert ott megőrizhető az eszköz piaci értéke.
Elég-e önmagában a fizikai megsemmisítés, vagy előtte szoftveresen is törölni kell?
Önmagában elég, ha (1) a folyamat tanúsított és dokumentált, (2) a berendezés a meghajtó-osztálynak megfelelő paraméterekkel rendelkezik (HDD: DIN 66399 H-szint; SSD/elektronikus média: E-szint, a NIST 800-88 Destroy elvárásával összhangban), és (3) a végeredmény tételszinten visszakereshető. Magas érzékenységű tartalmaknál egyes szervezetek belső szabályzata előírja a kombinált — szoftveres + fizikai — megsemmisítést.
Mit kell ellenőrizni a megsemmisítés ELŐTT?
Az átvétel előtt javasolt az ügyféloldali pre-destruction check: aktív legal hold vagy retenciós kötelezettség (számviteli megőrzés, GDPR retention, jogi vagy felügyeleti zárolás) ellenőrzése; a megsemmisítendő tételek vagyonleltárral történő egyeztetése; az asset owner vagy data owner jóváhagyása. Az auditorok ezt rendszeresen ellenőrzik.
Miért épít a Data Destroy szolgáltatása a fizikai megsemmisítésre?
Ügyfeleink — különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban dolgozó szervezetek — gyakran kérnek olyan megsemmisítést, amelynek a tanúsítvány mellé tárgyi, dokumentálható végterméke is van. Ez a visszajelzés alakította a szolgáltatásportfóliónkat. A lemágnesezés szabvány által elismert eljárás, és vannak iparágak, ahol a folyamatdokumentáció és a berendezés tanúsítványa elegendő bizonyíték; mi azonban kifejezetten a mechanikai megsemmisítésre fókuszálunk.
Milyen geometriai paraméter kell SSD mechanikai megsemmisítésénél?
Fragmentumos aprításnál a részecskeméret szabályozott — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő szigorúbb környezetben legfeljebb 2 mm körüli. Késes szeletelő technológiánál a szeletszélesség és a szeletvastagság a vonatkozó paraméter, amelyet a berendezés gyári tanúsítása vagy független laboratóriumi mérés rögzít.
Mit tartalmaz a megsemmisítési tanúsítvány?
Az ügyfél azonosító adatait, a megsemmisítés dátumát és helyszínét, a megsemmisített meghajtók tételszintű listáját (gyártó, modell, S/N, vagyontárgy-címke), az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. A tanúsítvány a vagyonleltár-csökkenéssel történő összevetésre alkalmas formában készül; megőrzési ideje az ügyfél belső szabályzata szerint jellemzően 5–7 év.