fizikai megsemmisítés

Hogyan működik a tanúsított fizikai adatmegsemmisítés

máj 5, 2026 | Adatbiztonsági cikkek, hírek

Modern ipari adatmegsemmisítő berendezés operátorral steril műhelyi környezetben, a háttérben szervergép-rack

Hogyan működik a tanúsított fizikai adatmegsemmisítés

A tanúsított fizikai adatmegsemmisítés egy adathordozó visszafordíthatatlan, dokumentált megsemmisítését jelenti mechanikai eljárással — szeleteléssel, darabolással vagy aprítással —, a vonatkozó szabványoknak megfelelő végeredménnyel (NIST SP 800-88 „Destroy” kategória, DIN 66399, ISO/IEC 27001:2022 A.7.10 kontroll). A folyamat végén tételszintű, sorszám szerint visszakereshető tanúsítvány kerül az auditdokumentációba. A Data Destroy Kft. szolgáltatásportfóliója a tanúsított fizikai megsemmisítésre épít — ezt különösen az audit-érzékeny szektorokban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.
Legfontosabb megállapítások:

  • A fizikai megsemmisítés és a tanúsított szoftveres törlés között az dönti el a választást, hogy az adathordozó visszakerül-e a használatba — a két módszer nem versenyez, hanem az életciklus különböző végállapotaira ad szakszerű választ.
  • A „tanúsított” minősítés akkor érvényes, ha a szolgáltató dokumentált eljárása lefedi az őrzési láncot (chain of custody), a sorszám szerinti tételazonosítást, a vonatkozó szabványnak megfelelő mechanikai megsemmisítési geometriát, és a folyamat végén kiállított, audit-célra megőrzött, tételszintű certificate of sanitization rendelkezésre áll.
  • A Data Destroy Kft. szolgáltatásportfóliója kifejezetten a tanúsított fizikai megsemmisítésre épít — ezt különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban tevékenykedő ügyfeleink visszajelzései alapján alakítottuk ki.

Egy ISO 27001 audit gyakori kérdése: bizonyíthatóan tudja-e a szervezet, mely meghajtói kerültek selejtezésre, mikor, milyen módszerrel, és kinek a felelősségében? Ha a vagyonleltár-csökkenéshez nincs sorszám-szintű certificate of sanitization vagy az őrzési lánc dokumentációja megszakadt, a kontroll nem tekinthető működőnek. Egy szervezet életében minden aktív adathordozó eljut arra a pontra, amikor kilép a működő vagyonleltárból, és ettől kezdve a leggyakoribb két útvonal: vagy az adathordozó — a rajta lévő adat tanúsított törlése után — visszakerül a használatba (belső másodlagos felhasználás, értékesítés, felújítás), vagy az adathordozó visszafordíthatatlanul megsemmisül. Léteznek átmeneti helyzetek is — jogi zárolás (legal hold), bizonyítékként megőrzés, gyártói RMA-visszaküldés —, de a kompletten lezárt életciklusra a két végállapot a tipikus. A választást nem egyszerűen üzleti, hanem kockázatalapú döntés vezérli: az adatminősítés, a médiatípus, a szoftveres törölhetőség, a jogi megőrzési kötelezettségek és az ágazati kontrollok együttesen szabják meg a megfelelő útvonalat. Ez a cikk azt mutatja be, hogyan zajlik szakszerűen a tanúsított fizikai adatmegsemmisítés — az őrzési lánc (chain of custody) felvételétől a certificate of sanitization kiállításáig —, és miért építi a Data Destroy Kft. szolgáltatásportfólióját erre az útvonalra.

Mikor szakmailag indokolt a fizikai megsemmisítés

A fizikai megsemmisítés négy elkülöníthető helyzetben válik a szakszerű választássá.

Az életciklus visszafordíthatatlan lezárása. Ha az adathordozó nem kerül vissza a vagyonleltárba — sem belső másodlagos felhasználásra, sem értékesítésre, sem felújításra —, a fizikai megsemmisítés önmagában is szakszerű befejezése a folyamatnak. Ilyenkor nem szükséges a megsemmisítés előtt szoftveresen törölni, mert az adat hozzáférhetetlenné tétele a fizikai megsemmisítéssel biztosítva van.

Hibás vagy szoftveresen nem kezelhető meghajtó. A tanúsított szoftveres törlés feltétele, hogy az adathordozó kommunikál a hosztrendszerrel, és a törlési parancs a teljes felhasználói és szolgáltatási területet eléri. Ha a meghajtó vezérlője meghibásodott, a SMART-attribútumok kritikus értéket mutatnak, vagy a meghajtó nem jelentkezik be a buszra, a szoftveres törlés sikere nem garantálható. Ilyenkor — feltéve, hogy az ügyfélnél nincs aktív legal hold vagy retenciós kötelezettség az adott meghajtóra — a fizikai megsemmisítés a megbízhatóan validálható útvonal.

Magas biztonsági besorolású tartalom. Pénzügyi szektor, kormányzati intézmények, kritikus infrastruktúra üzemeltetők — és minősített tartalommal dolgozó szervezetek — belső szabályzata vagy ágazati előírása előírhatja a fizikai megsemmisítés alkalmazását akkor is, ha a szoftveres törlés technikailag elvégezhető. Az auditkövetelmény ezekben a szektorokban gyakran a tárgyi, dokumentált végtermékre is kiterjed.

Kétszintű, kombinált védelem. Egyes szervezetek a tanúsított szoftveres törlést és a fizikai megsemmisítést egymás után alkalmazzák ugyanazon a meghajtón — különösen érzékeny tartalmaknál vagy olyan SSD-knél, ahol a wear-leveling miatt a szoftveres törlés ellenőrizhetősége korlátozott (a NIST 800-88 Rev. 2 kifejezetten figyelmeztet rá, hogy a Cryptographic Erase nem minden SSD firmware-en megbízható). Ez a többrétegű védelem (defense in depth) gyakorlata.

A négy helyzetből egyértelmű, hogy a fizikai megsemmisítés és a szoftveres törlés között nincs versenyhelyzet: a meghajtó tervezett életútja, állapota és a tartalom érzékenysége határozza meg, hogy melyik a megfelelő — vagy mikor szükséges mindkettő.

A nemzetközi szabványkeret: NIST SP 800-88 Rev. 2

A médiamegsemmisítés területén a NIST Special Publication 800-88 Revision 2 az általánosan elfogadott nemzetközi referenciadokumentum (a Rev. 1 2025 szeptemberében superseded státuszba került). A szabvány három kategóriát különböztet meg: Clear, Purge és Destroy.

A Clear azokat az eljárásokat fedi le, amelyek megakadályozzák, hogy az adat a szabványos rendszerinterfészeken keresztül visszanyerhető legyen — tipikusan szoftveres felülírás. A Purge mélyebb szinten dolgozik: a laboratóriumi szintű helyreállítást is kizáró eljárásokat alkalmaz, ezek közé tartoznak — eszköz, firmware és parancstámogatás validált megléte esetén — a cryptographic erase, az ATA Secure Erase parancsok, az SSD-k beépített sanitize funkciója és — kizárólag mágneses adathordozóknál — a lemágnesezés. A Destroy kategória a fizikai megsemmisítés: mechanikai szeletelés, darabolás, aprítás és égetés (incineration); a Destroy elismerésének feltétele, hogy a végeredmény validáltan megfeleljen a vonatkozó geometriai és rekonstrukciós követelménynek. Fontos pontosítás: a NIST 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses média esetén), nem általános Destroy technikaként — ez egy iparágszerte gyakori félreértés.

Az ISO/IEC 27001:2022 szabványban két kontroll köthető közvetlenül az adathordozó-megsemmisítéshez. Az A.7.10 (Storage media) az adathordozók kezelésére vonatkozó dokumentált eljárást írja elő, az A.8.10 (Information deletion) pedig kifejezetten az információ-törlési és megsemmisítési eljárás rögzítését várja el. Mindkét kontroll implementációja sok szervezetnél a NIST 800-88 Rev. 2-re vagy az európai DIN 66399 / ISO 21964 szabványra épül.

A DIN 66399 európai megsemmisítési szabvány médiatípus szerint különít el biztonsági szinteket. H osztály (H-1 … H-7) a mágneses adathordozókra (HDD) érvényes; E osztály (E-1 … E-7) az elektronikus adathordozókra (SSD, USB-stick, M.2 NVMe, chipkártya, mobiltelefon). A szigorúbb biztonsági szint kisebb megengedett darab- vagy szeletméretet jelent — fragmentumos aprításnál a részecskeméret, késes szeletelőnél a szeletszélesség és szeletvastagság a paraméter. A NIST 800-88 a Destroy kategórián belül a végeredmény-szintű elvárást rögzíti, a konkrét geometriai paramétereket DIN 66399, ISO 21964, NSA/CSS és IEEE 2883 hivatkozásokkal lehet alátámasztani.

Audit-érzékeny szektorokban (pénzügyi intézmények, kormányzati szervezetek, kritikus infrastruktúra üzemeltetők) az auditkövetelmény jellemzően a tárgyi, dokumentálható végterméket is bizonyítékként kéri.

A tanúsított folyamat hat lépcsője

A „tanúsított” jelző ebben a kontextusban azt jelenti, hogy a szolgáltató minden lépést dokumentált eljárás szerint végez, az alkalmazott berendezésnek gyári vagy független laboratóriumi minősítése van, és a folyamat végén tételszintű certificate of sanitization kerül kiállításra. (A „tanúsított” megnevezés ágazati gyakorlat — egyes ügyfelek kérhetik, hogy emellett akkreditált harmadik fél által tanúsított ISO 27001 vagy TISAX folyamat is legyen a háttérben.)

HDD, SSD, M.2 és mobiltelefon adathordozók fémes tálcán selejtezésre előkészítve
Selejtezésre előkészített adathordozók — vegyes HDD, SSD, M.2, USB és okostelefon.

1. Átvétel és őrzési lánc felvétele. Az adathordozók átvétele zárt szállítóeszközben, dokumentált felelős aláírásával történik. Az őrzési lánc (chain of custody) minimális adattartalma: időbélyeg, plomba-azonosító (seal ID), szállítójármű vagy tartály azonosító, átadó és átvevő neve, valamint az eltéréskezelés módja. Az átvétel előtt javasolt az ügyfél belső eljárásában ellenőrizni, hogy a megsemmisítendő adathordozóhoz nem tartozik aktív legal hold vagy retenciós kötelezettség (pl. számviteli megőrzési idő, GDPR retention, jogi vagy felügyeleti zárolás).

2. Tételszintű azonosítás. Az adathordozók sorszámát (S/N), gyártói azonosítóját és — ha van — vagyontárgy-címkéjét tételenként rögzítjük. Ez a leltár lesz a kiállított tanúsítvány alapja, és ezzel veti össze az ügyfél a saját vagyonleltár-csökkenését. A jóváhagyási oldalon ügyféloldali asset owner, data owner vagy records manager hagyja jóvá tételenként a megsemmisítendő listát; az eltérés (hiányzó S/N, leltár-mismatch) eltérésjegyzőkönyvet eredményez.

3. Mechanikai megsemmisítési művelet. A meghajtó típusától függő mechanikai eljárást alkalmazzuk — HDD-knél és SSD-knél egyaránt késes szeletelés, darabolás vagy aprítás —, a vonatkozó DIN 66399 osztálynak (HDD: H-szint, SSD és elektronikus média: E-szint) megfelelő geometriával.

4. Folyamat- és végtermékellenőrzés. A megsemmisítés végeredménye — a szelet, darab vagy fragmentum geometriája — a vonatkozó szabvány szerinti paraméterek alapján ellenőrzött. Magasabb védelmi szinteken — az ISO/IEC 27001:2022 A.5.3 (Segregation of duties) elvét követve — a folyamatot operátoron kívül második személy is felügyeli (four-eyes principle), illetve videón rögzítjük. A keletkezett tárgyi végtermék az auditdokumentációhoz csatolt fotódokumentációval is alátámasztható.

5. WEEE-konform hulladékkezelés. A megsemmisült adathordozó-darabok elektronikai hulladéknak minősülnek (megfelelő EWC-kóddal); a további feldolgozás engedélyezett hulladékátvevőnél, dokumentált hulladékátadási bizonylattal történik.

6. Tanúsítvány kibocsátása. A folyamat végén kiállított certificate of sanitization tartalmazza az ügyfél nevét, a megsemmisítés dátumát és helyszínét, a tételenkénti sorszám-listát, az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. Ez a dokumentum kerül az ügyfél auditdokumentációjába; a megőrzési idejét az ügyfél belső szabályzata vagy ágazati előírása határozza meg (jellemzően 5–7 év).

Mechanikai megsemmisítési technológiák

A fizikai megsemmisítésen belül a mechanikai eljárásoknak több útja létezik, és a megfelelő választás a meghajtó típusától, a vonatkozó védelmi szinttől és az alkalmazott berendezés kategóriájától függ.

Késes szeletelés (cutter, guillotine). A berendezés erős mechanikus pengével vagy guillotine-szerkezettel hosszanti szeletekre bontja az adathordozót. A végeredmény nem azonos méretű fragmensek halmaza, hanem egyenletes szelet-csíkok — a megsemmisítés mélysége a szeletszélességgel és a szeletvastagsággal jellemezhető. Ez a technológia jellemzi a Data Destroy által használt berendezésosztályt; a folyamat HDD-re és SSD-re egyaránt alkalmas.

Fragmentumos aprítás (shredder). Más típusú mechanikai aprítók forgó kalapács- vagy késhenger-rendszerrel apró, szabálytalan fragmentumokra darabolják az adathordozót. Ennél a technológiánál a részecskeméret a szabályozott paraméter — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő SSD-aprításnál legfeljebb 2 mm körüli. A két technológia (szeletelés vs. aprítás) ugyanazt a célt — az adathordozó visszafordíthatatlan fizikai megsemmisítését — éri el, csak a végeredmény geometriája különbözik.

Lemágnesezés. A NIST SP 800-88 Rev. 2 a lemágnesezést Purge eljárásként sorolja be (csak mágneses adathordozóra, HDD): erős, gyorsan változó mágneses térrel a HDD adattároló rétege visszafordíthatatlanul lemágneseződik. A módszer iparági elfogadottsága szektorfüggő — vannak területek, ahol a folyamatdokumentáció és a berendezés gyári minősítése elegendő bizonyítéknak. A Data Destroy szolgáltatásportfóliójában a lemágnesezés nem szerepel önálló eljárásként; ügyfeleink visszajelzései alapján a tárgyi végterméket eredményező mechanikai megsemmisítésre építünk. SSD-re a lemágnesezés definíció szerint sem alkalmas: a flash-cellákban tárolt adatot a mágneses tér nem érinti.

Kombinált technológia. Egyes európai gyártók — köztük a holland Maxxeguard — olyan berendezéseket állítanak elő, amelyek lemágnesezést és mechanikai szeletelést egyetlen folyamatban végeznek el. Ez a kombináció HDD-nél kétszintű védelmet ad: a mágneses adatréteg lemágneseződik, és a meghajtó fizikailag is darabolódik.

Tanúsított berendezések a gyakorlatban

A tanúsított fizikai megsemmisítés minőségét a használt berendezés képességei és minősítései határozzák meg. Az európai piacon több gyártó kínál olyan kombinált berendezéseket, amelyeket szigorú biztonsági követelményű környezetben (kormányzati, katonai, kritikus infrastruktúra) is használnak — ide tartozik például a holland Maxxeguard, amelynek késes szeletelő berendezései a piacon ebben a kategóriában elismertek. A konkrét akkreditációs vagy ügyfélkörülmények berendezésenként és felhasználónként eltérhetnek.

Aprított adathordozó-fragmentumok ipari gyűjtőkonténerben — a tanúsított fizikai megsemmisítés eredménye
Aprított adathordozó-fragmentumok ipari gyűjtőkonténerben — a tanúsított fizikai megsemmisítés eredménye.

Az ilyen kategóriájú berendezések három tulajdonsággal jellemezhetők. Először: a szeletvastagság és szeletszélesség dokumentált és független laboratóriumi méréssel vagy gyári minősítéssel igazolt — ez a paraméter felel meg a vonatkozó DIN 66399 osztálynak (HDD: H-szint, elektronikus média: E-szint). Másodszor: a folyamat tételszinten naplózott — a berendezés rögzíti minden megsemmisített adathordozó paramétereit, így a tanúsítvány utólag is visszakereshető a gépi logból. Harmadszor: a működés auditálható — egy külső auditor (ISO 27001 belső auditor, TISAX assessor, ágazati felügyelet) szemrevételezéssel és dokumentumellenőrzéssel verifikálni tudja.

A szolgáltató választásakor érdemes megvizsgálni, hogy a használt berendezés milyen DIN 66399 osztálynak és NIST 800-88 Destroy elvárásnak felel meg, milyen meghajtó-osztályokra van validálva, és hogyan integrálódik az őrzési lánc dokumentációjába.

Mit néz egy auditor

A fizikai megsemmisítés audit-szempontú értékelésekor az ellenőr nem a megsemmisítés tényét vizsgálja — azt a tanúsítvány önmagában rögzíti —, hanem a folyamat rendszer-szintű megbízhatóságát.

ISO/IEC 27001 belső auditor szempontból az A.7.10 (Storage media) és az A.8.10 (Information deletion) kontroll együttes implementációja akkor megfelelő, ha a szervezet eljárásrendje előírja a selejtezett adathordozók kezelésének lépéseit, a felelősök kijelölését, az őrzési lánc dokumentációját, és a tanúsítványok megőrzési idejét. Az auditor mintavételesen kéri be a kiállított certificate of sanitization dokumentumokat, és összeveti a vagyonleltár-csökkenéssel.

TISAX assessor — autóipari beszállítói lánc — különösen érzékeny a teljes szállítási láncra. Az adathordozók útját az átadástól a megsemmisítésig hézagmentesen kell dokumentálni, és a megsemmisítést végző alvállalkozó IT biztonsági szintje is felmérés tárgya. A TISAX-keret a megsemmisítési eljárás dokumentált, ismételhető és ellenőrizhető voltát várja el.

Pénzügyi szektor és kritikus infrastruktúra esetén a vonatkozó ágazati előírások — a pénzügyi szegmensben elsősorban a 2025 januárja óta hatályos DORA (EU 2022/2554) ICT-kockázatkezelési kerete, kritikus infrastruktúránál a NIS2 21. cikk kockázatkezelési kötelezettségei — a teljes ICT-eszközéletciklusra kiterjednek. A fizikai megsemmisítés egy elem ebben a láncban: a felügyeleti szempont nem önmagában a megsemmisítést, hanem a teljes ICT-vagyonkezelési folyamatot vizsgálja, beleértve azt, hogy az alkalmazott eljárás operatív szinten is auditálható-e.

A közös pont mindegyik szempont mögött ugyanaz: az auditor azt szeretné látni, hogy a szervezet bizonyíthatóan tudja, mely adathordozói kerültek selejtezésre, mikor, milyen módszerrel, és ki vállalt érte felelősséget. A tanúsított fizikai adatmegsemmisítés erre ad zárt bizonyítékláncot, és magasabb védelmi szinteken a fotódokumentációval kiegészített tárgyi végtermék is hozzátehető a lánchoz.

Mit jelent ez a gyakorlatban

A tanúsított fizikai adatmegsemmisítés akkor szakmailag indokolt választás, ha az adathordozó kilép a vagyonleltárból — másodlagos felhasználás, felújítás vagy értékesítés nélkül —, vagy ha a meghajtó már nem kezelhető szoftveresen. Az újrahasznosításra szánt, működőképes meghajtóknál a tanúsított szoftveres törlés ad azonos szintű bizonyítékláncot, és megőrzi az eszköz piaci értékét.

A két módszer együtt fed le minden szervezeti igényt: a kérdés nem az, hogy melyik a „jobb”, hanem hogy az adott meghajtó-tételhez melyik a megfelelő. A felelős döntéshez a szervezet IT-vagyonkezelési és adatkezelési szabályzatának kell egyértelművé tennie a kategorizálási logikát, és minden selejtezésnél a megfelelő útvonalra kell terelnie az eszközt.

A Data Destroy Kft. szolgáltatásportfólióját a tanúsított fizikai megsemmisítésre építjük — ezt ügyfeleink visszajelzései alapján alakítottuk ki. Ha a szervezet adathordozó-selejtezési listáját át szeretnéd nézetni, vagy konkrét megsemmisítési ajánlatot kérnél tételszintű certificate of sanitization kiadásával, az audit-előkészítő checklistünk és ajánlatkérési űrlapunk az ajánlatkérés oldalon érhető el.

Gyakori kérdések

Ki dönti el, hogy fizikai megsemmisítés vagy szoftveres törlés szükséges?

A választást az dönti el, hogy a meghajtó visszakerül-e a használatba. Ha a szervezet nem kívánja másodlagosan használni, eladni vagy felújításra küldeni — vagy ha a meghajtó hibás —, a fizikai megsemmisítés a megfelelő útvonal. Az újrahasznosításra szánt, működőképes meghajtónál a tanúsított szoftveres törlés a választás, mert ott megőrizhető az eszköz piaci értéke.

Elég-e önmagában a fizikai megsemmisítés, vagy előtte szoftveresen is törölni kell?

Önmagában elég, ha (1) a folyamat tanúsított és dokumentált, (2) a berendezés a meghajtó-osztálynak megfelelő paraméterekkel rendelkezik (HDD: DIN 66399 H-szint; SSD/elektronikus média: E-szint, a NIST 800-88 Destroy elvárásával összhangban), és (3) a végeredmény tételszinten visszakereshető. Magas érzékenységű tartalmaknál egyes szervezetek belső szabályzata előírja a kombinált — szoftveres + fizikai — megsemmisítést.

Mit kell ellenőrizni a megsemmisítés ELŐTT?

Az átvétel előtt javasolt az ügyféloldali pre-destruction check: aktív legal hold vagy retenciós kötelezettség (számviteli megőrzés, GDPR retention, jogi vagy felügyeleti zárolás) ellenőrzése; a megsemmisítendő tételek vagyonleltárral történő egyeztetése; az asset owner vagy data owner jóváhagyása. Az auditorok ezt rendszeresen ellenőrzik.

Miért épít a Data Destroy szolgáltatása a fizikai megsemmisítésre?

Ügyfeleink — különösen pénzügyi, kormányzati és kritikus infrastruktúra szektorban dolgozó szervezetek — gyakran kérnek olyan megsemmisítést, amelynek a tanúsítvány mellé tárgyi, dokumentálható végterméke is van. Ez a visszajelzés alakította a szolgáltatásportfóliónkat. A lemágnesezés szabvány által elismert eljárás, és vannak iparágak, ahol a folyamatdokumentáció és a berendezés tanúsítványa elegendő bizonyíték; mi azonban kifejezetten a mechanikai megsemmisítésre fókuszálunk.

Milyen geometriai paraméter kell SSD mechanikai megsemmisítésénél?

Fragmentumos aprításnál a részecskeméret szabályozott — az általános ipari gyakorlatban 6 mm körüli, az NSA/CSS-elvárásoknak megfelelő szigorúbb környezetben legfeljebb 2 mm körüli. Késes szeletelő technológiánál a szeletszélesség és a szeletvastagság a vonatkozó paraméter, amelyet a berendezés gyári tanúsítása vagy független laboratóriumi mérés rögzít.

Mit tartalmaz a megsemmisítési tanúsítvány?

Az ügyfél azonosító adatait, a megsemmisítés dátumát és helyszínét, a megsemmisített meghajtók tételszintű listáját (gyártó, modell, S/N, vagyontárgy-címke), az alkalmazott eljárást és a felhasznált berendezés azonosítóját, valamint a folyamatért felelős aláíró személy adatait. A tanúsítvány a vagyonleltár-csökkenéssel történő összevetésre alkalmas formában készül; megőrzési ideje az ügyfél belső szabályzata szerint jellemzően 5–7 év.



Mikor kell fizikai megsemmisítés, és mikor elég a tanúsított adattörlés?

ápr 7, 2026 | Adatbiztonsági cikkek, hírek

vállalati döntéshozó leselejtezett laptopok és SSD-k adattörlési vagy fizikai megsemmisítési folyamatát értékeli

Mikor kell fizikai megsemmisítés, és mikor elég a tanúsított adattörlés?

A leselejtezett vagy újrahasználatra átadott vállalati eszközök esetében a döntés nem az, hogy „töröljünk vagy sem”, hanem az, hogy milyen adattisztítási módszer arányos az üzleti, adatvédelmi és auditkockázattal. A GDPR biztonsági és elszámoltathatósági logikája, valamint a NIST jelenlegi adathordozó-szanitizálási iránymutatása alapján sok működőképes eszköznél elegendő lehet a tanúsított adattörlés, míg sérült, nem ellenőrizhető vagy különösen érzékeny adathordozóknál a fizikai megsemmisítés indokolt. Ez a kérdés a datad.hu témakörében elsősorban vezetői döntési, nem pusztán informatikai végrehajtási probléma.
Legfontosabb megállapítások:

  • A tanúsított adattörlés akkor üzletileg és szakmailag erős megoldás, ha a teljes törlés igazolható, ellenőrizhető és dokumentált.
  • Fizikai megsemmisítés akkor indokolt, ha az adathordozó állapota, az információ érzékenysége vagy a szerződéses megfelelési környezet miatt a szoftveres bizonyítás már nem elég.
  • A jó döntés alapja nem az eszköz piaci értéke, hanem a kockázati szint, a bizonyíthatóság és az elszámoltatható folyamat.

A vállalati gyakorlatban a „biztonságos törlés” körül még mindig két hibás reflex működik. Az egyik szerint ami egyszer adatot tárolt, azt csak fizikailag megsemmisíteni szabad. A másik szerint egy újratelepítés, gyári visszaállítás vagy sima fájltörlés már megoldja a kockázatot.

A valóság ennél árnyaltabb. A döntés arról, hogy fizikai megsemmisítésre vagy tanúsított szoftveres adattörlésre van szükség, vezetői kockázati döntés. A GDPR hivatalos szövege kockázattal arányos technikai és szervezési intézkedéseket vár el, nem egyetlen kötelező módszert. Ugyanebbe az irányba mutat a NIST SP 800-88 Rev. 2 útmutatója, amely a médiatisztításnál az érzékenységet, a validálást és a szervezeti folyamatot helyezi középpontba.

Ez azért fontos, mert a rossz döntés kétféleképpen drága. Ha indokolatlanul megsemmisítünk mindent, fölöslegesen veszítjük el az eszközök maradványértékét. Ha viszont ott is újrahasználatban gondolkodunk, ahol a törlés nem bizonyítható, akkor adatvédelmi, reputációs és szerződéses kockázatot vállalunk.

Először ne az eszközt nézzük, hanem a kockázatot

A jó kérdés nem az, hogy „SSD vagy HDD”, hanem az, hogy mekkora kárt okozna, ha az adott adathordozóról mégis visszanyerhető lenne információ.

Másként kell kezelni egy működő irodai laptopot, amely tanúsított törlés után újraértékesíthető, és máshogyan egy hibás meghajtót, amely ügyfél-, HR-, pénzügyi vagy egyéb érzékeny adatot hordozhatott. A ICO útmutatója külön figyelmeztet rá, hogy attól még, hogy egy eszköz nem indul el, az adat nem feltétlenül vált hozzáférhetetlenné.

A döntéshez három dolgot kell együtt nézni:

  1. az információ érzékenységét,
  2. az adathordozó műszaki állapotát,
  3. a törlés igazolhatóságát.

Mikor elég a tanúsított szoftveres adattörlés?

A tanúsított szoftveres adattörlés sok vállalati helyzetben teljesen megfelelő, de csak akkor, ha valóban tanúsított és ellenőrizhető folyamatról beszélünk. Nem ugyanaz, mint a formázás vagy a gyári reset.

Ha az adathordozó működőképes és teljesen verifikálható

A szoftveres törlés alapfeltétele, hogy az eszköz elérhető legyen, a folyamat végigfuthasson, és az eredmény ellenőrizhető legyen. Ha a teljes törlésről gépszintű riport készül, és az eszköz egyedileg azonosítható, akkor sok üzleti környezetben nincs szakmai indok a fizikai megsemmisítésre.

Ha az eszköz újrahasználata üzletileg érték

Itt a tanúsított adattörlés különösen erős. Megőrzi az eszköz újrahasználhatóságát, miközben lezárhatja az adatbiztonsági kockázatot is. Ez nem puhább megoldás, hanem sok esetben a legjobb egyensúly a biztonság, a dokumentálhatóság és az eszközgazdálkodás között.

Ha a bizonyítás fontosabb, mint a látvány

Sok szervezet automatikusan „biztonságosabbnak” érzi a fizikai megsemmisítést. Pedig egy dokumentálatlan megsemmisítés könnyen gyengébb kontroll lehet, mint egy tanúsított, naplózott, eszközszintű adattörlés. A GDPR logikája szerint nem az a legerősebb válasz, hogy „megsemmisítettük”, hanem az, hogy mi történt, melyik eszközzel, mikor, milyen módszerrel és erről mi a bizonyíték.

Ha a szabályzat vagy a szerződés ezt megengedi

Nem minden szervezetnek ugyanaz az elvárt kontrollszintje. Sok környezetben a működőképes adattárolók tanúsított szoftveres törlése teljesen megfelelő. Ha a belső politika és az ügyfélszerződések ezt nem zárják ki, nincs ok reflexből a legdrasztikusabb megoldást választani.

Mikor kell inkább fizikai megsemmisítés?

A fizikai megsemmisítés ott indokolt, ahol a szoftveres út már nem ad elég bizonyosságot.

Ha az adathordozó hibás, sérült vagy részben olvashatatlan

Ez a legtipikusabb eset. Ha a meghajtó instabil, vezérlőhibás, rossz szektoros vagy a teljes címezhetőség nem igazolható, akkor a szoftveres adattörlés megbízhatósága elesik. Ilyenkor nem az a kérdés, hogy „talán lefutott-e valami”, hanem az, hogy a szervezet vállalja-e a maradék bizonytalanságot. Általában nem érdemes.

Ha az adatok érzékenysége rendkívül magas

Kiemelt pénzügyi, egészségügyi, védelmi, kutatás-fejlesztési vagy stratégiai ügyféladatoknál a szervezet dönthet úgy, hogy a kockázattűrése gyakorlatilag nulla. Ilyenkor még működőképes adathordozónál is indokolt lehet a fizikai megsemmisítés, főleg ha ezt belső politika vagy szerződés is alátámasztja.

Ha a törlés nem vagy csak nehezen validálható

A NIST 2025-ös frissített iránymutatása már hangsúlyosan a validálásra és a szervezeti szintű médiatisztítási programra épít. Vezetői nyelvre lefordítva ez azt jelenti: ha a módszer nem védhető auditban, akkor valójában nem elég erős.

Ha nincs egyértelmű riport, nincs hiteles eszközazonosítás, nincs átadási lánc vagy nincs megfelelő szolgáltatói bizonyíték, a fizikai megsemmisítés gyakran tisztább döntés.

Ha a megfelelési környezet előírja

Bizonyos ügyfelek vagy szabályozott projektek nem mérlegelést, hanem konkrét megsemmisítési eljárást várnak el. Ilyenkor a tanúsított adattörlés hiába lenne technikailag megfelelő, üzletileg nem lesz elfogadható.

tanúsított adattörlésre alkalmas működő meghajtó és fizikai megsemmisítésre váró sérült SSD összehasonlítása
Működő meghajtó tanúsított törlésre előkészítve és sérült SSD fizikai megsemmisítés előtt

A leggyakoribb vezetői tévedések

„A fizikai megsemmisítés mindig biztonságosabb”

Nem feltétlenül. Egy rosszul dokumentált megsemmisítés könnyen gyengébb kontroll, mint egy megfelelően tanúsított adattörlés. A fizikai megsemmisítés akkor erős, ha maga a folyamat is kontrollált és igazolható.

„A szoftveres törlés csak kompromisszum”

Ez sem igaz. Megfelelő eszközön, megfelelő módszerrel, tanúsítással és riportálással a szoftveres adattörlés sok esetben elsőrangú megoldás.

„A nem működő meghajtó már nem veszélyes”

Ez veszélyes feltételezés. Attól, hogy egy laptop vagy SSD nem használható normál üzemben, az adathordozó egy része még lehet hozzáférhető.

Egy egyszerű vezetői döntési keret

Öt kérdés általában elég ahhoz, hogy a szervezet ne rutinból, hanem védhetően döntsön:

1. Működik és teljesen ellenőrizhető az adathordozó?

Ha igen, a tanúsított adattörlés valós opció. Ha nem, a fizikai megsemmisítés felé billen a mérleg.

2. Milyen érzékeny adat lehetett rajta?

Minél súlyosabb a lehetséges üzleti vagy adatvédelmi kár, annál kisebb helye van a bizonytalanságnak.

3. Szükség van az eszköz újrahasználatára vagy értékesítésére?

Ha igen, a tanúsított törlés sokszor a legésszerűbb út. Ha nem, és a kockázat magas, a megsemmisítés lehet tisztább döntés.

4. Bizonyítható a folyamat?

Riport, eszközazonosítás és auditnyom nélkül egyik módszer sem elég erős.

5. Van-e olyan szerződéses vagy belső előírás, amely kizárja a mérlegelést?

Ha van, azt kell követni. Ha nincs, akkor valódi vezetői döntésről beszélünk.

Nem egyetlen módszer kell, hanem védhető folyamat

Az érett gyakorlat nem arra épül, hogy a szervezet „mindig megsemmisít” vagy „mindig töröl”. Hanem arra, hogy külön kezeli a működőképes, újrahasználható és a sérült, nem verifikálható adathordozókat; tudja, mikor elég a tanúsított adattörlés; és tudja, mikor kell fizikai megsemmisítésre váltani.

Itt válik a szolgáltatóválasztás is stratégiai kérdéssé. Nem az a legjobb partner, aki mindenre ugyanazt mondja, hanem az, aki kockázati alapon, auditálhatóan tud különbséget tenni. A Data Destroy típusú megközelítés ebből a szempontból azért erős, mert nem pusztán „törlést” vagy „megsemmisítést” ad, hanem az eszköz állapotához, a kitettséghez és az igazolhatósági igényhez illesztett lezárást.

A jó vezetői álláspont tehát nem az, hogy a fizikai megsemmisítés vagy a szoftveres adattörlés közül melyik a „jobb”. Hanem az, hogy melyik módszer zárja le bizonyíthatóan a konkrét kockázatot a konkrét eszköznél.

Nem biztos benne, melyik módszer a megfelelő?

Segítünk eldönteni: kockázati alapon, az eszközök állapota és az adatok érzékenysége szerint javasoljuk a tanúsított adattörlést vagy a fizikai megsemmisítést. Kérjen egyedi értékelést.

Ajánlatkérés
+36 30 417 7429

Gyakori kérdések

Elég a gyári visszaállítás a leselejtezett laptopoknál?

Nem. A gyári visszaállítás vagy újratelepítés önmagában nem azonos a tanúsított adattörléssel, mert nem ad megfelelő bizonyítékot a teljes adattisztításról.

Mikor indokolt SSD-nél a fizikai megsemmisítés?

Akkor, ha az SSD hibás, nem verifikálható teljes körűen, vagy az adatérzékenység és a megfelelési környezet nem engedi meg a maradék bizonytalanságot.

A tanúsított adattörlés megfelelhet GDPR-szempontból?

Igen, sok esetben igen, ha a választott módszer a kockázattal arányos, ellenőrizhető, dokumentált és a szervezet bizonyítani tudja a végrehajtást.

Miért nem jó ötlet mindent automatikusan fizikailag megsemmisíteni?

Mert így a szervezet fölöslegesen elveszítheti a működőképes eszközök maradványértékét, miközben sok esetben a tanúsított adattörlés is megfelelő védelmet és jobb auditálhatóságot adhat.

Mi a legfontosabb különbség a két módszer között?

A tanúsított adattörlés megőrzi az eszköz újrahasználhatóságát, míg a fizikai megsemmisítés végleg kizárja azt. A döntést ezért mindig a kockázat, a bizonyíthatóság és a szabályozási környezet alapján érdemes meghozni.

Melyik adatfertőtlenítési mítoszban hiszel?

dec 3, 2019 | Adatbiztonsági cikkek, hírek

Mi állítja meg a vállalatokat abban, hogy teljesen és tanúsítható módon megszabaduljanak a már nem használt adatokról?  Gyakran az idejétmúlt és nem teljes adatvédelmi szabályzatok. Sokszor azért nem tesznek eleget ennek a kötelezettségüknek, mert teljesen félreértik, mit is jelent az adatfertőtlenítés (a fájlok lomtárba helyezése távolról sem tartozik ide). Esetenként viszont széleskörben elfogadott módszereket használnak – csak a rossz eszközökön. Bármi legyen is az oka, ezek a félreértések oda vezetnek, hogy vállalaton megnövekszik az adatszivárgással és általánosságban az adatokkal kapcsolatos biztonsági incidens kockázata.

Animal 2023218

Ha az adatvédelem ennyire kritikus, mi állítja meg a vállalatokat abban az igyekezetükben, hogy teljesen és biztonságosan megszabaduljanak a nem szükséges adatoktól? Cikkünkben felsoroljuk azokat a leggyakoribb mítoszokat, melyek a szakszerű adatfertőtlenítést gátolják. Ezek a félreértések kis- és nagyvállalatoknál egyaránt megnehezítik a végleges adattörlési erőfeszítéseket. Ahhoz, hogy az előírásoknak megfelelő adatkezelési gyakorlatokat honosítsunk meg vállalatunknál, végleg le kel számolnunk ezekkel a megtévesztő mítoszokkal.

Mítosz 1 – egy sima törlés minden problémát megold

Tényleg megtévesztő a törlés kifejezés, hiszen még a szakavatott IT technológiával foglalkozók is gyakran azt hiszik egy sima törléssel gond nélkül megszabadultunk az adatoktól. Miután a számítógép asztalán lévő virtuális szemetesben helyeztük a fájlokat, onnan még mindig egy kattintással visszaállíthatók. Sőt, akkor sem töröljük a fájlokat véglegesen, mikor kiürítjük virtuális szemetesünket. Megtévesztő a dolog ó, mert a Windows azt kérdi a kuka kiürítésekor, hogy „Biztos benne, hogy végleg törli ezt a fájlt? Azonban az operációs rendszer nem törli az az adatokat, csak a rájuk mutató bejegyzéseket, az érintett területet felhasználhatónak jelöli, és kész. Az adat ott marad és megfelelő szoftveres eszközök segítségével visszaállítható.

Mítosz 2 – a formázás mindent adatot eltűntet

Egy saját, Blancco felmérés szerint a válaszadók 51 százaléka azt gondolja, hogy az adathordozó gyorsformázása vagy teljes formázása elegendő ahhoz, hogy végleg töröljük az adatokat. A formázás valóban elég sok adatot eltüntet a lemezről. De adatfertőtlenítési módszerhez ez azonban nem elegendő, főleg nem a tanúsítást igénylő vállalati folyamatok esetében. Az adat helyreállítható online is elérhető eszközök segítségével.

Ami tovább zavarja a probléma megértését, hogy több OEM gyártó törlésként nevezi meg a formázást. Azonban ezeknek a módszereknek megvan a maguk korlátja, hiszen nem lehet kiválasztani egy adattörlési szabványt, nem lehet ellenőrizni, hogy a törlés sikeres volt és a törlésről tanúsítvány sem készülhet – mindez az adatfertőtlenítési irányelvek között kötelezően szerepel.

Mítosz 3 – a fizikai megsemmisítés minden adatot tönkretesz

Ez egy valóban trükkös megoldás, az ördög a részletekben rejlik. Az adathordozó fizikai megsemmisítése valóban hatásos és a DATA D által használt, tanúsított, az előírásoknak tökéletesen megfelelő adatfertőtlenítő megoldás. Sok esetben a nemzetbiztonsági szervek előírt adatmegsemmisítő módszere, kiforrott és bejáratott megoldások léteznek ezen a területen. Az adat fizikai megsemmisítési folyamatának minden lépését naplózzuk, részletes tanúsítványt bocsájtunk ki.

A meglévő berendezések teljesen alkalmasak a mágneses merevlemezek fizikai megsemmisítésére, de a kisebb, az adatokat sűrűbben tároló SSD-k esetében nagyon apró vágási méretet kell beállítani ahhoz, hogy valóban hatásos legyen a megsemmisítés. Az amerikai nemzetbiztonsági hivatal ajánlata szerint az SSD-k javasolt vágási mérete 2 milliméter. Ha a vágási szelet ennél nagyobb, akkor megnő annak a kockázata, hogy ép darabok jutnak át a szeletelőn, amelyekről az adat gond nélkül visszaállítható.

Ahogy korábban már erről írtunk, nagyon sok vállalat szükségtelenül és foggal-körömmel ragaszkodik az adathordozók fizikai megsemmisítéséhez. Holott az adatok szoftveres és tanúsított fertőtlenítése is elvégzi a feladatot, és ráadásul még környezetbarát módon. A fizikai megsemmisítés esetében olyan elektronikai hulladék keletkezik, melynek szakszerű megsemmisítéséről tovább gondoskodni kell.

Az adathordozók értéke fedezi a szakszerű adatfertőtlenítés költségét, így nagyon sok esetben az adott adatoktól és adathordozóktól megszabadulni kívánó szervezetnek egy fillérbe se kerül az adatfertőtlenítés. És ráadásul a környezetet sem terheljük vele, mert a felújított adathordozó vagy számítógép új életet kezdhet máshol.