AUSGABE 07 Die neue Datenträgervernichter DIN 66399 Núria i JC; www.piqs.de Nicht alles Gute kommt von oben. Das mussten auch einige New Yorker feststellen, als es auf der jährlichen Thanksgiving-Parade Konfetti aus geschredderten Unterlagen des New York Police Department regnete. Jetzt könnte man sagen, was ist an Konfetti so schlimm? Nichts natürlich, nur dass in dem Fall ganze Textpassagen aus Polizeiakten identifizierbar waren. Das passiert uns, den Deutschen, die wir normbesessen sind, natürlich nicht. Wir haben ja für alles, wirklich alles, eine Norm. Auf dem Gebiet der Datenvernichtung war das bisher die DIN 32757. Die weitgefächerte Verbreitung von digitalen Datenträgern und die in den letzten Jahren ständig steigenden Anforderungen an den Datenschutz, haben die Ausarbeitung einer neuen DIN- Norm erforderlich gemacht. Diese befasst sich mit den Besonderheiten der vielseitigen digitalen Datenträger, setzt dabei einen neuen Standard und wird als DIN 66399 Büro- und Datentechnik Vernichtung von Datenträgern bezeichnet. Die neue, DIN 66399, ersetzt die (ver)alte(te), DIN 32757, und legt genaue Anforderungen an die ordnungsgemäße Datenvernichtung fest, damit unsere Daten nicht eines Tages, aus der Luft, für jeder Mann, auf der Straße, greifbar sind. Seite 1
Es folgt ein kurzer Überblick zur neuen DIN 66399, die sich wie folgt, in 3 Teile gliedert: Teil 1: Grundlagen und Begriffe Dieser Teil enthält Begriffsdefinitionen und macht Vorgaben hinsichtlich der Zuordnung von Schutzklassen, Datenträgergruppierungen und Sicherheitsstufen Teil 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern Dieser Teil definiert die Anforderungen an Maschinen für die sichere Vernichtung von Datenträgern. Teil 3: Technische und organisatorische Anforderungen an die Prozesse der Datenträgervernichtung. Seite 2
Die 3 Schutzklassen, welche vor der Vernichtung zu ermitteln sind: Schutzklasse 1: Normaler Schutzbedarf für interne Daten Schutzklasse 2: Schutzklasse 3: Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten. Hoher Schutzbedarf für vertrauliche Daten Die Datenträger in 6 Gruppen: Informationen in Originalgröße (z.b. Papier, Röntgenfilm) Optische Datenträger (DVD, Blu-ray) Magnetische Datenträger (ID-Karten mit Magnetstreifen) Elektronische Datenträger (USB-Sticks, Flash-Speicher) Informationen in verkleinerter Form (Film, Folie, Negative) Festplatten mit magnetischem Datenträger Seite 3
Die 7 Sicherheitsstufen: Sicherheitsstufe 1: Allgemeines Schriftgut, das unlesbar oder entwertet werden soll. (Materialteilchenfläche 2000 mm² oder Streifenbreite 12 mm, Streifenlänge nicht begrenzt) Reproduktion mit einfachen Aufwand Sicherheitsstufe 2: Interne Unterlagen, die unlesbar gemacht oder entwertet werden sollen. (Materialteilchenfläche 800 mm² oder Streifenbreite 6 mm, Streifenlänge nicht begrenzt) Reproduktion mit besonderem Aufwand Sicherheitsstufe 3: Sensible und vertrauliche Daten sowie personenbezogene Daten, die einem erhöhten Schutzbedarf unterliegen. (Materialteilchenfläche 320 mm² oder Streifenbreite 2 mm, Streifenlänge nicht begrenzt, z.b. auch Partikel 4 x 80 mm) Reproduktion mit erheblichem Aufwand Sicherheitsstufe 4: Besonders sensible und vertrauliche Daten sowie personenbezogenen Daten, die einem erhöhten Schutzbedarf unterliegen. (Materialteilchenfläche 160 mm² und für regelmäßige Partikel: Streifenbreite 6 mm, z.b. Partikel 4 x 40 mm) Reproduktion mit außergewöhnlichem Aufwand Sicherheitsstufe 5: Geheim zu haltende Informationen mit existenzieller Wichtigkeit für eine Person, ein Unternehmen oder eine Einrichtung. (Materialteilchenfläche 30 mm² und für regelmäßige Partikel: Streifenbreite 2 mm, z.b. Partikel 2 x 15 mm) Reproduktion mit gewerbeunüblichen Einrichtungen Seite 4
Sicherheitsstufe 6: Geheim zu haltende Unterlagen, wenn außergewöhnliche Sicherheitsvorkehrungen einzuhalten sind. (Materialteilchenfläche 10 mm² und für regelmäßige Partikel: Streifenbreite 1 mm, z.b. Partikel 0,8 x 12 mm) Reproduktion nahezu un Sicherheitsstufe 7: Strengst geheim zu haltende Daten, bei denen höchste Sicherheitsvorkehrungen einzuhalten sind. (Materialteilchenfläche 5 mm² und für regelmäßige Partikel: Streifenbreite 1 mm, z.b. Partikel 0,8 x 5 mm) Reproduktion ausgeschlossen. Fazit: Aufgrund der heutzutage übermassigen Datenträgervielfalt war eine Neufassung der veralteten DIN-Norm unumgänglich und längst erforderlich. Als positiv hervorzuheben ist die detailliertere Gruppierung und das Hinzufügen zweier neuer Schutzstufen, die eine genauere Unterteilung ermöglicht. Auch die Beschreibung der technischen und organisatorischen Anforderungen an den Prozess der Datenvernichtung ist hinsichtlich der aktuellen Entsorgungsskandale sinnvoll gelöst. CD Kommunalberatung Die CD Kommunalberatung ist deutschlandweit tätig und spezialisiert auf die Beratung zu und Umsetzung von Datenschutz, Datensicherheit und IT-Sicherheit im öffentlichen Bereich. Auf Basis des BSI Grundschutzes bieten wir praxisorientierte, ganzheitliche Lösungen, die individuell auf die Bedürfnisse jedes Kunden zugeschnitten sind. Durch ihren modularen Aufbau eignen sich unsere Lösungen ideal für den Einsatz im gesamten öffentlichen Bereich zu unserer Kunden gehören Kommunalverwaltungen (von 1500 Einwohnern bis hin zu den großen Stadtverwaltungen), Kindergärten, Schulen, soziale Einrichtungen, Krankenhäuser, genau sowie Ministerien und Kommunalunternehmen, öffentliche Stiftungen, Parteien und Anstalten des öffentlichen Rechts. Die konsequente Einhaltung rechtlicher und formaler Richtlinien garantiert ein Maximum an Transparenz und Rechtssicherheit. Erfahren Sie mehr über die CD Kommunalverwaltung unter www.cdkomm.de Seite 5