DIN 66399-1:
Die NORMative Kraft des Faktischen.

Die neue Norm ist unerklärlich? Von wegen. Teil 1 definiert die Begriffe und die Faktoren, die für die Datenträgervernichtung relevant sind:
  • Schutzklassen 1-3
  • Sicherheitsstufen 1-7
  • Einflussgrößen für die Rekonstruktion von Informationen

Struktur DIN 66399.

struktur-din-66399

Schutzbedarfermittlung | Schutzklassenzuordnung. Um bei der Datenträgervernichtung dem Wirtschaftlichkeits- | Angemessenheitsprinzip Rechnung zu tragen, sind Daten in Schutzklassen einzuteilen. Diese wiederum sind ausschlaggebend für die Wahl der Sicherheitsstufe. Und weil niemand seine Daten besser kennt, als der der sie erzeugt, ordnen Sie beides als „Herr Ihrer Daten“ selber zu.
Hierbei sollten Sie beachten, dass die Schutzklassen-Wahl direkten Einfluss auf die Kosten der Datenträgervernichtung hat: Je feiner der Grad der Vernichtung ist, desto höher ist der Energie-, Personal- und Maschinenaufwand. Daher sollte diese Entscheidung nicht leichtfertig getroffen werden. Es kann sogar wirtschaftlich vorteilhafter sein die Schutzklassen zu trennen. Denn dann werden ausschließlich die Datenträger in einer höheren Sicherheitsstufe geshreddert, die diesem Schutz auch wirklich bedürfen.

Schutzklasse 1 – normaler Bedarf für interne Daten:
Der Schutz von personenbezogenen Daten muss gewährleistet sein. Andernfalls besteht die Gefahr, dass der Betroffene in seiner Stellung und seinen wirtschaftlichen Verhältnissen beeinträchtigt wird. Beispiele:
  • Telefonlisten
  • Produktlisten
  • Lieferantendaten
  • Adressdaten
Schutzklasse 2 – hoher Bedarf für vertrauliche Daten:
Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigt wird. Beispiele:
  • Betriebswirtschaftliche Auswertungen
  • Interne Reportings
  • Finanzbuchhaltungsunterlagen
  • Bilanzen | Jahresabschlüsse
Schutzklasse 3 – sehr hoher Bedarf für besonders geheime Daten:
Der Schutz personenbezogener Daten muss unbedingt gewährleistet sein. Andernfalls kann es zu einer Gefahr für Leib und Leben oder für die persönliche Freiheit des Betroffenen kommen. Beispiele:
  • Zeugenschutzprogramme
  • Informationen aller Geheimhaltungsgrade des Bundes und der Länder
  • Geheime | streng geheime Unterlagen aus Forschung und Entwicklung von Wirtschaftsunternehmen

Sicherheitsstufen.

sicherheitsstufen

Sicherheitsstufen- | Schutzklassen-Zuordnung.

sicherheitsstufen-schutzklassen-zuordnung

Einflussgrößen für die Rekonstruktion von Informationen. Vermischen und Verpressen erhöht bei Papier und Mikrofilmen die Sicherheitsstufe. Und darf nur bis zur Erreichung der Sicherheitsstufe 4 als sicherheitserhöhender Faktor berücksichtigt werden.

Bei elektronischen oder magnetischen Datenträgern kann eine niedrigere Sicherheitsstufe gewählt werden, wenn zuvor die Datenträger gelöscht oder überschrieben wurden.

DIN 66399-2: Auch Technik ist NORMiert.

Durch die neuen Anforderungen an Maschinen zur Vernichtung von Datenträgern sind die wesentlichen Fragen der Gebrauchstauglichkeit und Zuverlässigkeit geklärt. Das schafft Kontrolle, ob Datenträger vollständig vernichtet sind.

Datenträgerarten. Die Datenträger-Partikelgrößen in den Sicherheitsstufen wurden dem Stand der Technik angepasst. Jede Datenträgerart ist durch ein Kürzel beschrieben (PFOTHE), das der jeweiligen Sicherheitsstufe vorangestellt wird:

P Informationsdarstellung in Originalgröße: Papier | Film | Druckformen
F Informationsdarstellung verkleinert: Film | Mikrofilm | Folie
O Informationsdarstellung auf optischen Datenträgern: CD | DVD
T Informationsdarstellung auf magnetischem Datenträger: Disketten |
ID-Karten | Magnetbandkassetten
H Informationsdarstellung auf Festplatten mit magnetischem Datenträger: Festplatten
E Informationsdarstellung auf elektronischen Datenträgern: Speicherstick |
Chipkarte | Halbleiterfestplatten | mobile Kommunikationsmittel

DIN-SPEC-66399-3:
PhäNORMenale Sicherheitsprozesse.

Teil 3 der DIN ist keine offizielle Norm des Deutschen Instituts für Normung, sondern eine Spezifikation (engl. Specification), die vom Arbeitsausschuss „Vernichtung von Datenträgern“ im Normenausschuss Informationstechnik und Anwendungen (NIA) ausgearbeitet wurde. Und nicht nur ihr Name – DIN SPEC 66399-3 – ist besonders, auch ihr Inhalt. Hier werden die technischen und organisatorischen Anforderungen an den Prozess der Datenträgervernichtung beschrieben. Von der Anfallstelle bis zur umweltfreundlichen Verwertung unter Beachtung der gesetzlichen Regelungen steht Ihnen nicht nur eine datenschutzkonforme, sichere Vernichtung zur Verfügung, sondern stets der gesamte „Best-in-Class“-Prozess.

Prozessvarianten | -abschnitte.

prozessvarianten-abschnitte

Prozessdefinition. Fallen Datenträger unterschiedlicher Sicherheitsstufen an der Anfallstelle an, so ist aus ökologischen und ökonomischen Gründen die Trennung in verschiedene Sicherheitsstufen an der Anfallstelle empfohlen.

Um eine Basissicherheit vor dem Vernichten elektronischer und magnetischer Datenträger zu erreichen, wird das Löschen oder Überschreiben empfohlen. Nach Abwägung des Schutzbedarfs kann dann bei der Vernichtung eine geringere Sicherheitsstufe gewählt werden. Wenn eine Beeinträchtigung der unmittelbaren Funktionsfähigkeit oder Löschen | Überschreiben nicht möglich ist, muss die notwendige Sicherheitsstufe in der gewählten Schutzklasse angewendet werden.

ermittlung-schutzbedarf

Prozesskriterien-Definition über alle Schutzklassen hinaus

 

Übernahmeprotokoll – hier werden die Transfer-Informationen auf einen externen Dienstleister festgehalten: Name des Boten, Datenträgerkategorie, Datenträger- | Behältermenge oder -gewicht, wie – wann – wo zusammengestellt wurde.

Vernichtungsprotokoll – darin sind die Informationen zur Person, zum Gegenstand, zur Menge, zur Uhrzeit, zum Ort und zur Sicherheitsstufe nach DIN 66399-2 gelistet.

 

Weitere Informationen über die DIN 66399 finden Sie auf der dafür eingerichteten Webseite unter www.din66399.de.