Informationen zur neuen DIN 66399



Ähnliche Dokumente
Neue DIN-Norm zur Vernichtung von Datenträger

Die neue Datenträgervernichter DIN 66399

Die 4 Säulen der Datensicherheit

DIN ZUR DATENTRÄGERVERNICHTUNG

Alte DIN Neue DIN NORMteil NORMteil NORMteil Resümee Links

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Wir entsorgen Ihre sensiblen Daten Zertifiziert, sicher und umweltgerecht

Wir machen neue Politik für Baden-Württemberg

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Newsletter: Februar 2016

Vernichtung von Datenträgern mit personenbezogenen Daten

Nutzung dieser Internetseite

Copyright 1997 Kammer der Wirtschaftstreuhänder All rights reserved

Datenschutz-Politik der MS Direct AG

How to do? Projekte - Zeiterfassung

Dieses Gesetz regelt die Aktenführung, die Archivierung und die Benutzung der Unterlagen

Sichere Löschung von Datenträgern Prozesse und Technologien it-sa, Nürnberg

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Newsletter Juli 2015 Alles zu seiner Zeit!

Teilnahme-Vertrag. Der Teilnahme-Vertrag gilt zwischen. dem Berufs-Bildungs-Werk. und Ihnen. Ihr Geburtsdatum: Ihre Telefon-Nummer:

Allgemeine Geschäftsbedingungen. der

Das digitale Klassenund Notizbuch

Integrierte Dienstleistungen regionaler Netzwerke für Lebenslanges Lernen zur Vertiefung des Programms. Lernende Regionen Förderung von Netzwerken

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

100 Mikrokredite und Abschluss der Pilotphase. Ruedi Winkler, Präsident Verein GO! Ziel selbstständig

Die neue DIN zur Datenträgervernichtung

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Lehrer: Einschreibemethoden

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Anleitung zum neuen Überaumbuchungssystem der Hochschule für Musik und Tanz Köln

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Befragung zum Migrationshintergrund

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

Verjährungsfalle Gewährleistungsbürgschaft. -Unterschiedliche Verjährungsfristen für Mängelansprüche und Ansprüche aus der Gewährleistungsbürgschaft

Information zum Projekt. Mitwirkung von Menschen mit Demenz in ihrem Stadtteil oder Quartier

Informationsblatt über die Meldepflichten nach 9 des Wertpapierhandelsgesetzes (WpHG) für Finanzdienstleistungsinstitute (Stand: 1.

Grundsätze für die Überprüfung der besonderen Sachkunde von Sachverständigen

Was bedeutet Inklusion für Geschwisterkinder? Ein Meinungsbild. Irene von Drigalski Geschäftsführerin Novartis Stiftung FamilienBande.

Bundesanstalt für Straßenwesen V4z - lf (ANERK)

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Erfahrungen mit Hartz IV- Empfängern

Allgemeine Vertragsbedingungen für die Übertragungen von Speicherkapazitäten ( Vertragsbedingungen Kapazitätsübertragung )

Gestaltungsbeispiel Holdingstruktur

Vorlage zur Kenntnisnahme. Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2009

DAS NEUE GESETZ ÜBER FACTORING ( Amtsblatt der RS, Nr.62/2013)

Bei der Tagung werden die Aspekte der DLRL aus verschiedenen Perspektiven dargestellt. Ich habe mich für die Betrachtung der Chancen entschieden,

Bewerbungsformular für das Förderprogramm Teamwork gefragt! Beteiligung von Personen aus anderen Kulturen in der Gemeinde

AKTEN-/ UND DATENTRÄGERVERNICHTUNG

Projektmanagement in der Spieleentwicklung

Zerstörung von optischen Medien

Auftrag zum Fondswechsel

Dokumentation zur Versendung der Statistik Daten

Rahmenvereinbarung über die E-Government-Zusammenarbeit

Schriftwechsel mit Behörden Ratgeber zum Datenschutz 1

Einwilligungserklärung

Markt Markt Indersdorf

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

Drei Fragen zum Datenschutz im. Nico Reiners

II. Daten sichern und wiederherstellen 1. Daten sichern

1 Mathematische Grundlagen

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Erfahrungsbericht der Stadt Engen, Landkreis Konstanz, zur Bauhoflösung

INTERNET SERVICES ONLINE

Antrag für die Übertragung von Softwarelizenzen, Wartungsverträgen oder Abonnements

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Wie benutzen Sie diese Internetseite?

AKTEN-/ UND DATENTRÄGERVERNICHTUNG IN ZUSAMMENARBEIT MIT DER ELKUCH JOSEF AG

Mobile Intranet in Unternehmen

Kontaktdaten (Pflichtangaben!)

104 WebUntis -Dokumentation

Tag des Datenschutzes

Quelle: Fundstelle: BGBl I 2003, 1003 FNA: FNA

mobifleet Beschreibung 1. Terminverwaltung in der Zentrale

II. Zum Jugendbegleiter-Programm

Dokumentenverwaltung im Internet

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

STAATLICHE REGELSCHULE Carl August Musäus - ST Schöndorf Weimar

Sächsischer Baustammtisch

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

AKTEN-/ UND DATENTRÄGERVERNICHTUNG

Anleitung zum Herunterladen von DIN-Vorschriften außerhalb des internen Hochschulnetzes

1 D -Dienste. 2 Zuständige Behörde

Formica 2.0: Montageauftrag erfassen: Auftragsgruppe

Satzung des Gewerberinges, Verbandsgemeinde Bruchmühlbach-Miesau

Was ist Sozial-Raum-Orientierung?

Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Der nachhaltigere Anbieter sollte den Auftrag kriegen Interview mit Klaus-Peter Tiedtke, Direktor des Beschaffungsamtes des Bundes

Anleitung über den Umgang mit Schildern

GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

Papa - was ist American Dream?

Änderung des IFRS 2 Anteilsbasierte Vergütung

Transkript:

Informationen zur neuen DIN 66399 Vorbemerkung: Die DIN 32757 war eigentlich nie als Norm gedacht, an der sich die Dienstleister bei der Datenträger- und Aktenvernichtung orientieren sollten sondern sie war vielmehr für die Hersteller von Kleingeräten zur Daten- und Papiervernichtung gedacht. Gleichwohl haben sich in der Vergangenheit in Ermangelung anderer Vorgaben, auch Dienstleister an dieser Norm orientiert. Allerdings war die DIN 32757 zwischenzeitlich in die Jahre gekommen und musste dringend den heutigen technischen Möglichkeiten und Gegebenheiten angepasst werden. Das Ergebnis ist eine wirklich praktikable Norm, die den heutigen Stand der Technik widerspiegelt, die DIN 66399 Diese Norm bildet mit ihrem 3. Teil der DIN SPEC -erstmals sogar den Prozess der Datenträgervernichtung ab. Als Datenträger im Sinne der DIN 66399 wird jeder Informationsträger definiert, auf oder in dem Daten (Informationen) vorübergehend oder auch dauerhaft gespeichert werden können.(siehe auch unten DIN 66399-2) Struktur der DIN 66399: Die DIN 66399 besteht aus drei Teilen: DIN 66399-1 DIN 66399-2 DIN SPEC 66399-3 Grundlagen und Begriffe Anforderungen an Maschinen zur Vernichtung von Datenträgern Prozess der Datenträgervernichtung DIN 66399-1 Grundlagen und Begriffe Damit bei der Datenträgervernichtung nicht mit Kanonen auf Spatzen geschossen wird, muss der Datenverantwortliche zunächst die zu vernichtenden Daten in Schutzklassen einteilen. Dadurch nimmt er auch direkt Einfluss auf die Vernichtungskosten, denn je höher die Schutzklasse ist, desto aufwendiger, und damit teurer ist der Vernichtungsprozess. Der Datenverantwortliche hat die Wahl zwischen drei Schutzklassen: Schutzklasse 1: normaler Schutzbedarf für interne Daten, z.b. Telefonlisten Preislisten Produktlisten Lieferantendate Adressdaten

Schutzklasse 2: Hoher Schutzbedarf für vertrauliche Daten, z.b. Betriebswirtschaftliche Auswertungen Interne Reports FiBu_Unterlagen Jahresabschlüsse/Bilanzen Schutzklasse 3: sehr hoher Schutzbedarf für besonders geheime Daten, z.b. Unterlagen der Staatsanwaltschaft, z.b. über Zeugenschutzprogramme Geheime Unterlagen staatlicher Organe Geheime Forschungs- und Entwicklungsunterlagen, usw. Nachdem der Datenverantwortliche die zu vernichtenden Daten einer Schutzklasse zugeordnet hat, muss er sich noch Gedanken darüber machen, mit welcher der sieben Sicherheitsstufen die Datenträger vernichtet werden sollen: Sicherheitsstufe 1: Sicherheitsstufe 2: Sicherheitsstufe 3: Sicherheitsstufe 4: Sicherheitsstufe 5: Sicherheitsstufe 6: Sicherheitsstufe 7: Allgemeine Daten Reproduktion mit einfachem Aufwand Interne Daten Reproduktion mit besonderem Aufwand Sensible Daten Reproduktion mit erheblichem Aufwand Besonders sensible Daten Reproduktion mit außergewöhnlichem Aufwand Geheim zu haltende Daten Reproduktion mit zweifelhaften Methoden Geheime Hochsicherheitsdaten Reproduktion technisch nicht möglich Top Secret Hochsicherheitsdaten Reproduktion ausgeschlossen. Schutzklassen-/Sicherheitsstufen-Zuordnung Schutzklasse Sicherheitsstufen 1 2 3 4 5 6 7 1 X * X * X 2 X X X 3 X X X X * für personenbezogene Daten ist diese Kombination nicht anwendbar In der Praxis hätte die oben gezeigte Zuordnung von Schutzklassen und Sicherheitsstufen zur Folge, dass die Datenträger entsprechend ihrer Klassifizierung natürlich auch getrennt

gesammelt und zur Vernichtung gegeben werden müssen. Es ist zu befürchten, dass der eine oder andere Datenverantwortliche dann entscheidet, dass die gesammelten Datenträger eben nicht entsprechend ihrer eigentlichen Klassifizierung vernichtet werden, sondern unter Kostenaspekten in der günstigeren Klasse. Sollten anschließend rekonstruierte Daten aus dieser Vernichtungsaktion wieder an unerwünschter Stelle auftauchen, hat er ein Haftungsproblem, da er die Vernichtung nicht nach den aktuellen Regeln der Technik vorgenommen hat. DIN 66399 2: Anforderungen an Maschinen zur Vernichtung von Datenträgern Dieser Teil der DIN regelt abhängig von der Datenträgerart und der jeweiligen Sicherheitsstufe die nach erfolgter Datenträgervernichtung. Jeder Datenträgerart ist mit einem Leitbuchstaben gekennzeichnet, der der jeweiligen Sicherheitsstufe vorangestellt wird. Alle Leitbuchstaben zusammen bilden das Wort [PFOTHE]: P F O T H E Informationsdarstellung in Originalgröße: [P]apier, Film, Druckformen Bezeichnung: P1 P7 Informationsdarstellung verkleinert: [F]ilm, Microfilm, Folie Bezeichnung: F1 F7 Informationsdarstellung auf [o]ptischen Datenträgern: CD, DVD Bezeichnung: O1 O7 Informationsdarstellung auf magnetischem Datenträger: Disketten, ID-Karten, Magnetbandkassetten ([T]apes) Bezeichnung: T1 T7 Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten [H]DD Bezeichnung: H1 H7 Informationsdarstellung auf [e]lektronischen Datenträgern: Speicherstick, Chipkarte, Halbleiterfestplatten, mobile Kommunikationsmittel Bezeichnung: E1 E7 Beispiel: Schutzklassen-/Sicherheitsstufen-Zuordnung für papierene Datenträger Schutzklasse Sicherheitsstufen z.b. für Papier-Datenträger P1 P2 P3 max 3.800 mm 2 max 2.000 mm 2 max 800 mm 2 1 X * X * X P4 max 480 mm 2 P5 max 90 mm 2 P6 max 30 mm 2 P7 max 5 mm 2 2 X X X 3 X X X X Zum Vergleich: In der gebräuchlichsten Sicherheitsstufe 3 der alten DIN 32757-1 dürfen die Partikel eine Teilchenfläche von maximal 320 mm 2 haben.

DIN-SPEC-66399-3: Prozesse der Datenträgervernichtung Dieser Teil der DIN ist kein offizieller Teil der Norm, sondern wurde vom Arbeitsausschuss Vernichtung von Datenträgern im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet. Dieser Teil der dient der Regelung der praktischen Umsetzung des Vernichtungsprozesses, d.h. er befasst sich mit den technischen und organisatorischen Anforderungen des Vernichtungsprozesses. Dieser Prozess beginnt an der Stelle, an der die zu vernichtenden Datenträger anfallen ( Anfallstelle ) und endet an der Stelle, an der sie verwertet werden. D.h. es werden hier die einzelnen Prozessabläufe im Ganzen betrachtet und bewertet. Im Einzelnen wird dabei zwischen den folgenden Prozessabläufen unterschieden: Variante 1. Datenträgervernichtung durch den Kunden selbst Bei dieser Variante sollten die an der Vernichtung beteiligten Mitarbeiter zum einen auf den Schutzbedarf der zu vernichtenden Datenträger explizit hingewiesen werden und sollten auch schriftlich auf die Einhaltung des das Datengeheimnisses gemäß ³ 5 BDSG hingewiesen werden. Darüber hinaus muss schriftlich definiert werden, welche technischen und organisatorischen Maßnahmen zur Sicherheit der zu vernichtenden Datenträger getroffen wurden, und es muss nachgewiesen werden, dass entsprechend der Kategorisierung der Datenträger geeignete Maschinen zur Vernichtung verwendet wurden. Variante 2. Datenträgervernichtung beim Kunden durch externen Dienstleister Alle am Vernichtungsprozess beteiligten Mitarbeiter müssen schriftlich auf das Datengeheimnis verpflichtet werden. Die verantwortliche Stelle legt fest in welchem Umfang der Dienstleister am Vernichtungsprozess beteiligt wird: z.b. kann der Dienstleister Aluboxen zum Sammeln der Datenträger aufstellen, wobei geregelt werden muss, wer auf die eigentlich verschlossenen Boxen Zugriff hat, wer für die Verständigung des Dienstleisters zuständig ist usw. Es muss auch wieder sichergestellt sein, dass die entsprechend des Schutzziels der Datenträger geeigneten Maschinen zur Vernichtung eingesetzt werden. Die Mitarbeiter des Dienstleisters dürfen keinen Zugriff auf Datenträger erlangen können und die Einfüllöffnung der Vernichtungsmaschine muss per Video überwacht werden. Der Dienstleister muss sicherstellen, dass bei einem Defekt der Vernichtungseinrichtung geeignete Redundanzen zur Verfügung stehen. Das Fahrzeug muss über einen festen, verschließbaren Aufbau für die Vernichtungseinrichtung und das Schreddergut verfügen. DIN-SPEC-66399-33. Datenträgervernichtung beim externen Dienstleister Dieser Teil der DIN ist keine offizielle Norm des Deutschen Instituts für Normung, sondern wurde im Normenausschuss Informationstechnik und Anwendung (NIA) vom Arbeitsausschuss Vernichtung von Datenträgern ausgearbeitet und beschreibt die technischen und organisatorischen Anforderungen an den Prozess der Datenträgervernichtung, abhängig von der jeweiligen Schutzklasse. Außerdem gibt dieser inoffizielle Teil der DIN administrative Empfehlungen zum Inhalt von Übernahme- und Vernichtungsprotokoll. Im Übernahmeprotokoll wird die Bezeichnung lässt es vermuten die Übernahme der Datenträger mit dem Namen des übernehmenden Transportmitarbeiters aufgeführt, die Datenträgerkategorie(en),

die nach Vorgaben des Kunden übernommen wurden, in welche Art, Anzahl und/oder Gewicht der Behälter die Datenträger übernommen wurden, Datum und Uhrzeit der Übernahme, Kfz- Kennzeichen des Transportfahrzeugs sowie Unterschrift vom Mitarbeiter sowohl des Dienstleisters als auch des übergebenden Kunden. Im Vernichtungsprotokoll soll angegeben werden auf welcher vertraglichen Basis (Angebot vom, Vernichtungsrahmenvertrag vom.) die Vernichtung durchgeführt wird, an welchem Tag, zu welcher Uhrzeit und von welcher Person (Name) sie durchgeführt wurde. Außerdem ist anzugeben die Datenträgerart, Menge, verwendete Vernichtungstechnik (z.b. Schredder oder Degausser) und in welcher Sicherheitsstufe vernichtet wurde.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback