DIN SPEC 66399-3-2013 Office machines - Destruction of data carriers - Part 3 Process for destruction of data carriers《办公机械 数据载体的摧毁 第1部分 数据载体的摧毁过程》.pdf

1、Februar 2013 Normenausschuss Informationstechnik und Anwendungen (NIA) im DINPreisgruppe 10DIN Deutsches Institut fr Normung e. V. Jede Art der Vervielfltigung, auch auszugsweise, nur mit Genehmigung des DIN Deutsches Institut fr Normung e. V., Berlin, gestattet.ICS 35.260Zur Erstellung einer DIN SP

2、EC knnen verschiedene Verfahrensweisen herangezogen werden: Das vorliegende Dokument wurde nach den Verfahrensregeln einer Vornorm erstellt.!$V)“1935106www.din.deDDIN SPEC 66399-3Bro- und Datentechnik Vernichten von Datentrgern Teil 3: Prozess der DatentrgervernichtungOffice machines Destruction of

3、data carriers Part 3: Process for destruction of data carriersBureautique et informatique Destruction de vhicules de donnes Partie 3: Processus de destruction de vhicules de donnesAlleinverkauf der Spezifikationen durch Beuth Verlag GmbH, 10772 Berlin www.beuth.deGesamtumfang 16 SeitenDIN SPEC 66399

4、-3:2013-02 2 Inhalt Seite Vorwort . 3 1 Anwendungsbereich 4 2 Normative Verweisungen . 4 3 Prozessablauf 4 3.1 Allgemeines . 4 3.2 Prozessdefinition 5 3.3 Ermittlung der Risikostruktur 6 3.4 Prozessdurchfhrung 6 3.5 Kontrolle und Prfung 7 3.5.1 Anforderungen an die verantwortliche Stelle 7 3.5.2 Pro

5、zesssicherheit . 7 3.5.3 Anforderungen an Zertifikate von Dienstleistern 7 4 Prozesskriterien 8 4.1 Allgemeines . 8 4.2 Kriterien fr alle Varianten der Datentrgervernichtung 8 4.3 Kriterien fr Variante 1 . 9 4.4 Kriterien fr Variante 2 . 10 4.5 Kriterien fr Variante 3 . 11 4.6 Kriterien Infrastruktu

6、r Dienstleister fr Variante 3 14 4.7 bernahmeprotokoll . 16 4.8 Vernichtungsprotokoll . 16 Bilder Bild 1 Datentrgervernichtung . 5 Tabellen Tabelle 1 Allgemeine Prozesskriterien . 8 Tabelle 2 Kriterien fr Variante 1 . 9 Tabelle 3 Kriterien fr Variante 2 . 10 Tabelle 4 Kriterien fr Variante 3 . 12 Ta

7、belle 5 Kriterien Infrastruktur Dienstleister fr Variante 3 15 DIN SPEC 66399-3:2013-02 3 Vorwort Das vorliegende Dokument (DIN SPEC 66399-3) wurde vom Arbeitsausschuss NA 043-01-51 AA Vernich-tung von Datentrgern“ im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet. Jeder, de

8、r selbst oder im Auftrag vertrauliche, personenbezogene und/oder sensible Daten verarbeitet, hat eine datenschutzgerechte und sichere Vernichtung und Entsorgung der Datentrger sicherzustellen. Sicher vernichtet bedeutet in diesem Zusammenhang, dass die Datentrger, auf denen schutzbedrftige Informati

9、onen dargestellt sind, so zu vernichten sind, dass die Reproduktion der auf ihnen wiedergegebenen Informationen entweder unmglich ist oder weitgehend erschwert wird (siehe DIN 66399-1 und -2). Hierbei ist nicht nur die datenschutzgerechte und sichere Vernichtung zu beachten, sondern der gesamte Proz

10、ess von der Anfallstelle bis zur umweltfreundlichen Verwertung/Beseitigung unter Beachtung der jeweils geltenden Gesetze und Vorschriften. Eine DIN SPEC nach dem Vornorm-Verfahren ist das Ergebnis einer Normungsarbeit, das wegen bestimmter Vorbehalte zum Inhalt oder wegen des gegenber einer Norm abw

11、eichenden Aufstellungsverfahrens vom DIN noch nicht als Norm herausgegeben wird. Erfahrungen mit dieser DIN SPEC sind erbeten vorzugsweise als Datei per E-Mail an niadin.de in Form einer Tabelle. Die Vorlage dieser Tabelle kann im Internet unter http:/www.din.de/stellungnahme abgerufen werden; oder

12、in Papierform an den Normenausschuss Informationstechnik und Anwendungen (NIA) im DIN DIN 66399 Bro- und Datentechnik Vernichtung von Datentrgern besteht aus: Teil 1: Grundlagen und Begriffe Teil 2: Anforderungen an Maschinen zur Vernichtung von Datentrgern DIN SPEC 66399 Bro- und Datentechnik Verni

13、chtung von Datentrgern Teil 3: Prozess der Datentrgervernichtung DIN SPEC 66399-3:2013-02 4 1 Anwendungsbereich Diese Norm gilt sowohl fr die verantwortliche Stelle, sowie alle am Vernichtungsprozess Beteiligten, und legt die Anforderungen an die jeweiligen Prozessschritte fest. 2 Normative Verweisu

14、ngen Die folgenden zitierten Dokumente sind fr die Anwendung dieses Dokuments erforderlich. Bei datierten Verweisungen gilt nur die in Bezug genommene Ausgabe. Bei undatierten Verweisungen gilt die letzte Ausgabe des in Bezug genommenen Dokuments (einschlielich aller nderungen). DIN 66399-1, Bro- un

15、d Datentechnik Vernichten von Datentrgern Teil 1: Grundlagen und Begriffe DIN 66399-2, Bro- und Datentechnik Vernichten von Datentrgern Teil 2: Anforderungen an Maschinen zur Vernichtung von Datentrgern 3 Prozessablauf 3.1 Allgemeines Die Vernichtung von Datentrgern ist als ein Prozess aufzufassen,

16、der in seinen einzelnen Prozessabschnitten zu untersuchen und sicher zu gestalten ist. Die verantwortliche Stelle ist fr den gesamten Prozess (intern/extern) bis zur endgltigen Vernichtung der Datentrger verantwortlich. Der Prozess der Datentrgervernichtung endet, wenn die vereinbarte Sicherheitsstu

17、fe erreicht ist. In der Regel luft der Prozess vom Anfall der zu vernichtenden Datentrger bis zur umweltvertrglichen Vernichtung arbeitsteilig ab. Werden Dienstleister in den Prozess einbezogen, so ist die Aufgabenabgrenzung zwischen der verantwortlichen Stelle und dem Dienstleister klar zu regeln.

18、Aufgrund von Rechtsvorschriften sind in diesem Prozess vor allem technische und organisatorische Manahmen zu ergreifen. Die Darstellung in Bild 1 zeigt die in der Norm behandelten Prozessvarianten mit den jeweils zugehrigen Prozessabschnitten. DIN SPEC 66399-3:2013-02 5 Bild 1 Datentrgervernichtung

19、3.2 Prozessdefinition Die im Rahmen einer Risikoanalyse aufgezeigten technischen und organisatorischen Manahmen zur sicheren und datenschutzgerechten Vernichtung von Datentrgern mssen unter Bercksichtigung des Standes der Technik den Schutzbedarf sicherstellen, der den vom Vernichtungsprozess ausgeh

20、enden Risiken und der Art der zu schtzenden Daten angemessen ist. Um Daten vor Missbrauch zu schtzen, bedarf es eines Sicherheits- und Kontrollsystems, das eine zuverlssige Qualitt des Vernichtungsprozesses vor Ort bei der verantwortlichen Stelle oder extern beim Dienstleister sicherstellt. Schutzzw

21、eck im Vernichtungsprozess ist die Verhinderung von Datenmissbrauch. Um dem Wirtschaftlichkeits- bzw. Angemessenheitsprinzip Rechnung zu tragen, sollten die zu vernichtenden Datentrger in Schutzklassen (siehe DIN 66399-1, Schutzklasse 1 bis 3) eingeteilt werden. Fallen Datentrger unterschiedlicher S

22、icherheitsstufen an der Anfallstelle an, so ist aus kologischen und konomischen Grnden die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen. DIN SPEC 66399-3:2013-02 6 3.3 Ermittlung der Risikostruktur Die Kategorisierung der zu schtzenden Daten wird hinsichtlich der Sensibil

23、itt ber die in DIN 66399-1 vorhandenen Tabellen vorgenommen. Grundstzlich sollte eine Beeintrchtigung der unmittelbaren Funktionsfhigkeit von Datentrgern in den frhen Prozessabschnitten des Vernichtungsprozesses (Anfall und Sammlung) erfolgen. Bei elektronischen und magnetischen Datentrgern wird vor

24、 dem Vernichten das Lschen oder berschreiben empfohlen. So wird die Attraktivitt der Datentrger in Bezug auf Entwendung geschmlert und fr die nachfolgenden Prozessschritte eine Basissicherheit erreicht. Nach Abwgung des Schutzbedarfs kann dann bei der Vernichtung eine geringere Sicherheitsstufe gewh

25、lt werden. Wenn eine Beeintrchtigung der unmittelbaren Funktionsfhigkeit bzw. Lschen/berschreiben nicht mglich ist, muss die notwendige Sicherheitsstufe in der gewhlten Schutzklasse angewendet werden. Bei Anwendung einer Prozessvariante ist im Vorfeld zu berprfen, ob die technischen und organisatori

26、schen Anforderungen der entsprechenden Schutzklasse und Sicherheitsstufe erfllt werden. Die verantwortliche Stelle definiert den Schutzbedarf und die Schutzklasse. Insoweit sind folgende Fragen zu beantworten: Welche Informationen sind schutzwrdig und in welche Schutzklasse einzuordnen? Was? Vernich

27、tung in welcher Sicherheitsstufe? Wie? Vernichtung durch die verantwortlich Stelle direkt oder Vernichtung durch Dienstleister? Wer? Vernichtung vor Ort durch Dienstleister oder extern durch Dienstleister? Wo? Technische und organisatorische Manahmen am Anfallort, beim Transport und beim Dienstleist

28、er? Wie? Daraus resultiert die operative Abwicklung (Sicherheitskonzept). 3.4 Prozessdurchfhrung Voraussetzung fr eine ordnungsgeme Durchfhrung des Prozesses ist eine detaillierte Organisation, in der der Ablauf dokumentiert, die Zustndigkeiten festgelegt, die gesetzlichen und betrieblichen Rahmen-b

29、edingungen spezifiziert und die Anforderungen an das im Prozess eingesetzte Personal vorgegeben sind. Der Prozess ist so zu gestalten, dass nach der Entscheidung der verantwortlichen Stelle den Datentrger zu vernichten, unter Bercksichtigung des Schutzbedarfes, keine Unbefugten Kenntnis der Daten er

30、halten. Es sind entsprechend den rtlichen und rumlichen Gegebenheiten und dem Schutzbedarf die Bedingungen fr das Sammeln, Lagern, Transportieren und Vernichten der Datentrger festzulegen. Wird ein Transport der Datentrger durchgefhrt, sind die Datentrger gegen unbefugten Zugriff zu sichern. ber den

31、 Einsatz von sicheren Behltern und Fahrzeugen hinaus sind je nach Schutzbedarf besondere Anforderungen bei Umladung und Lagerung zu bercksichtigen. (siehe Abschnitt 4) DIN SPEC 66399-3:2013-02 7 3.5 Kontrolle und Prfung 3.5.1 Anforderungen an die verantwortliche Stelle Die verantwortliche Stelle mus

32、s den gesamten Vernichtungsprozess so gestalten und prfen, dass eine ordnungsgeme Vernichtung unter Bercksichtigung der gesetzlichen sowie der betrieblichen Anforderungen sichergestellt ist. Die verantwortliche Stelle muss sich vor Auftragsvergabe von der Prozesssicherheit des Dienstleisters berzeug

33、en und diese regelmig berprfen. 3.5.2 Prozesssicherheit Der Prozessablauf und die Prozessabschnitte im Aufgabenbereich des Dienstleisters sind vom Dienstleister schriftlich zu formulieren. Die Dokumentation des Prozessablaufs ist der verantwortlichen Stelle zur Verfgung zu stellen. In einem Audit si

34、nd der Prozessablauf und die Prozessabschnitte gegen die Vorgaben dieser Norm und ggf. zustzlicher Vereinbarungen zu prfen und zu besttigen. 3.5.3 Anforderungen an Zertifikate von Dienstleistern Die entsprechenden Audits zur Erlangung oder Verlngerung von Zertifikaten sind, vorzugsweise durch ein ak

35、kreditiertes Unternehmen, beim Dienstleister vor Ort durchzufhren und das Ergebnis ist schriftlich zu dokumentieren. Zertifikate von Dienstleistern sind zeitlich auf 3 Jahre zu begrenzen. DIN SPEC 66399-3:2013-02 8 4 Prozesskriterien 4.1 Allgemeines In den nachfolgenden Tabellen werden Kriterien fr

36、die drei Varianten benannt. In speziellen Szenarien kann es sinnvoll sein, Kriterien aus mehreren Varianten in Kombination anzuwenden. Darber hinaus drfen zwischen verantwortlicher Stelle und Dienstleister zustzliche Kriterien vereinbart werden. 4.2 Kriterien fr alle Varianten der Datentrgervernicht

37、ung Tabelle 1 benennt Kriterien, die bergreifend fr alle Varianten der Datentrgervernichtung anzuwenden sind. Tabelle 1 Allgemeine Prozesskriterien Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Organisation Festlegung der Sicherheitsstufen in Abhngigkeit des Schutzbedarfs nach

38、DIN 66399-1 erforderlich erforderlich erforderlich Der Dienstleister / die verantwortliche Stelle muss die ordnungsgeme Vernichtung durch regelmige Probennahme kontrollieren. mglich erforderlich erforderlich Vernichtung Einsatz von Maschinen zur Vernichtung von Datentrgern nach DIN 66399-2 erforderl

39、ich erforderlich erforderlich DIN SPEC 66399-3:2013-02 9 4.3 Kriterien fr Variante 1 Die fr Variante 1, Datentrgervernichtung durch die verantwortliche Stelle direkt, einzuhaltenden Kriterien werden in nachfolgender Tabelle 2 aufgefhrt. Tabelle 2 Kriterien fr Variante 1 Bereich Kriterium Erfllung de

40、s Kriteriums fr die Schutzklasse 1 2 3 Organisation Es sind technische und organisatorische Manahmen fr den Vernichtungsprozess (Anfallstelle, Sammlung, Lagerung und Vernichtung) zu definieren. erforderlich erforderlich erforderlich Vernichtung Ein Nachweis ist zu erbringen, dass geeignete Maschinen

41、 fr die zu vernichtenden Datentrgerkategorien verwendet werden. erforderlich erforderlich erforderlich Hinweis: Es wird empfohlen, Personen mit Aufgaben im Vernichtungsprozess auf den Schutzbedarf der Datentrger hinzuweisen und ggf. auf das Datengeheimnis zu verpflichten. DIN SPEC 66399-3:2013-02 10

42、 4.4 Kriterien fr Variante 2 Die Kriterien fr die Variante 2, Datentrgervernichtung vor Ort durch Dienstleister, sind in Tabelle 3 festgelegt. Tabelle 3 Kriterien fr Variante 2 Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Personal Alle Mitarbeiter des Dienstleisters, die am Pr

43、ozess beteiligt sind, wurden auf das Datengeheimnis verpflichtet. erforderlich erforderlich erforderlich Organisation (verantw. Stelle) Es sind technische und organisatorische Manahmen fr den Vernichtungsprozess (Anfallstelle, Sammlung, Lagerung, Transport, Vernichtung) definiert. Die verantwortlich

44、e Stelle legt fest, welche Prozessabschnitte und Aufgaben der Dienstleister im Vernichtungsprozess bernimmt. erforderlich erforderlich erforderlich Organisation (Dienstleister) Es sind technische und organisatorische Manahmen (bezogen auf die Umgebung) fr die Vernichtungseinrichtung definiert. erfor

45、derlich erforderlich erforderlich Ein Nachweis ist zu erbringen, dass geeignete Maschinen fr die zu vernichtenden Datentrgerkategorien verwendet werden. erforderlich erforderlich erforderlich Der Dienstleister gestattet der verantwortlichen Stelle die berwachung der Vernichtung der Datentrger. mglic

46、h mglich erforderlich Redundanz und Verfgbarkeit der Vernichtungseinrichtung mssen ber ein Notfallkonzept sichergestellt sein. mglich erforderlich erforderlich DIN SPEC 66399-3:2013-02 11 Tabelle 3 (fortgesetzt) Bereich Kriterium Erfllung des Kriteriums fr die Schutzklasse 1 2 3 Sammeln/Lagern/ Tran

47、sport Fr die Sammlung, Lagerung und Transport von Datentrgern sind dem Schutzbedarf angemessene geschlossene und verschlossene Sicherheitsbehlter einzusetzen. mglich erforderlich erforderlich Transport Zum Transport sind Fahrzeuge mit geschlossenem und verschlossenem festem Aufbau zu verwenden. mgli

48、ch erforderlich erforderlich Vernichtung Das Bedienpersonal darf grundstzlich keinen Zugriff auf zu vernichtende Datentrger mit Informationsdarstellung in Originalgre (DIN66399-2 Kategorie P) haben. Der Maschine zur Vernichtung der Datentrger wird der Inhalt der eingesetzten Sicherheitsbehlter entwe

49、der direkt oder ber eine entsprechend gesicherte Zufhreinrichtung zugefhrt. mglich mglich erforderlich Videoberwachung des Schttvorgangs bzw. der Einfllffnung oder Zufhrbandes der Maschine. mglich mglich erforderlich Die verantwortliche Stelle kann sich eine Probe seiner vernichteten Datentrger nehmen oder aush