Nieuwe DIN norm voor vernietiging van datadragers

Transcriptie

1 Nieuwe DIN norm voor vernietiging van datadragers

2

3 ! DIN is een nieuwe allesomvattende industrienorm voor het shredderen of vernietigen van alle datadragers! DIN is ontwikkeld door het DIN (Deutsches Institut für Normung) in samenwerking met industrie en stakeholders. Ook Reisswolf vertegenwoordigers hebben aan deze gesprekken deelgenomen.! DIN vervangt de vorige DIN norm en vult de vage bepalingen aan van de nog altijd geldende EN standaard (gebaseerd op UK BS 8470:2006)! DIN bestaat uit de volgende delen: deel 1: principes en definities deel 2: vereisten voor apparatuur voor de vernietiging van datadragers deel 3: proces van het vernietigen van datadragers (SPEC) (Specificaties uitgewerkt door de technische commissie vernietiging van datadragers en DIN Information Technology en geselecteerde IT Applications Standards Committee (NIA)

4 ! Beschermingsklasse 1 is voor normale bescherming van interne data waarbij openbaring een negatieve invloed zou hebben op een bedrijf of een risico op identiteitsfraude bij een persoon " bijv. telefoonlijst, productlijst, leverancierslijst, gepersonaliseerde advertentie en adres gegevens, etc.! Beschermingsklasse 2 is voor hogere bescherming van vertrouwelijke gegevens waarbij openbaring een aanzienlijk negatieve invloed zou hebben op een bedrijf, schending van een wettelijke verplichting of een risico op een nadelige sociale of financiële status van een individu kan opleveren " bijv. aanbiedingen, aanvragen, memo s, evaluatie rapporten, interne rapporten, financiële documenten, balansen en financiële verslagleggingen, etc.! Beschermingsklasse 3 is voor zeer hoge beveiliging voor vertrouwelijke en Top Secret gegevens waarbij openbaring gevolgen kan hebben op het voortbestaan van een bedrijf of overheid, of een risico op het gebied van gezondheid, veiligheid of persoonlijke vrijheid van een persoon " Bijv. getuigen beschermingsprogramma s, geclassificeerde informatie van overheden, top secret documenten uit research en development afdelingen van bedrijven, etc.

5 ! In plaats van 5 veiligheidsniveaus in de oude DIN 32757, heeft de nieuwe DIN veiligheidsniveaus Veiligheidsnivea u Data Reproduceren 1 Algemene Data Verlangd eenvoudige inspanning 2 Interne Data Verlangd speciale inspanning 3 Gevoelige Data Verlangd aanmerkelijke inspanning 4 Hoogst gevoelige Data Verlangd uitzonderlijke inspanning 5 Geheime Data Verlangd verregaande methodes 6 Hoogst geheime Data Is technisch onmogelijk 7 Top Secret Data Is onmogelijk

6 " Veiligheidsniveau P-1 met een snippergrootte van max mm² is hetzelfde als de oude norm door balen of vermengen van minimaal 100 kg geshredderd materiaal ineens => veiligheidsniveau P-2 AANBEVOLEN " Veiligheidsniveau P-2 met een snippergrootte van max. 800 mm² is hetzelfde als de oude norm door balen of vermengen van minimaal 100 kg geshredderd materiaal ineens => veiligheidsniveau P-3 " Veiligheidsniveau P-3 met een snippergrootte van max. 320 mm² is hetzelfde als de oude norm door balen of vermengen van minimaal 100 kg geshredderd materiaal ineens => veiligheidsniveau P-4 " Veiligheidsniveau P-4 met een snippergrootte van max. 160 mm² is nieuw " Oud veiligheidsniveau P-4 met een snippergrootte van max 30 mm² is niveau P-5 geworden " Oud veiligheidsniveau P-5 met een snippergrootte van max 10 mm² is niveau P-6 geworden " Veiligheidsniveau P-7 met een snippergrootte van max. 5 mm² is ook nieuw

7 niveau 1 niveau 2 Beschermingsklass e Veiligheidsniveau niveau 3 niveau 4 niveau 5 niveau 6 niveau 7 Beschermingsklass e 2 Beschermingsklass e 3 1 Voor persoonsgegevens is deze combinatie niet geschikt

8 Materiaal Classificatie Informatie Voorbeelden Veiligheids niveaus P Originele grootte Papier, Films, Drukplaten P-1 tot P-7 F Gereduceerd/ geminimaliseerd Microfilms F-1 tot F-7 O Optische Datadragers CDs, DVDs, BluRays O-1 tot O-7 T Magnetische Datadragers Tapes, ID Cards, Floppy Disks T-1 tot T-7 H Hard Disk Drives Hard Disk Drives H-1 tot H-7 E Electronische Datadragers USB sticks, Chip Cards, Mobiele Communicatie Apparaten E-1 tot E-7

9 ! Beschermingsklassen en max. snippergrootte voor F, O, T, H, E gegevens F (Film) Max (mm 2 ) O (Optisch) Max (mm 2 ) T (Magnetisch) Max (mm 2 ) H (HDD) Max (mm 2 ) E (Electronisch) Max (mm 2 ) F-1 * 160 O T-1 onbruikbaar H-1 onbruikbaar E-1 onbruikbaar F-2 * 30 O T-2 Splijten en H-2 beschadigd E-2 splijten F-3 * 10 O T H-3 vervormen E F-4 2,5 O-4 30 T H E-4 30 F-5 1 O-5 10 T-5 30 H E-5 10 F-6 0,5 O-6 5 T-6 10 H-6 10 E-6 1 F-7 0,2 O-7 0,2 T-7 2,5 H-7 5 E-7 0,5 * Voor categorieën F-1, F-2 en F-3 wordt het volgende Veiligheidsniveau bereikt door vermengen en balen van min. 100 kg materiaal ineens

10 ! Criteria die algemeen gelden voor vernietiging van datadragers Proces Criteria Beschermingsklasse Organisatie Vernietiging Vastleggen van veiligheidsniveaus afhankelijk van de beschermingsklassen volgens DIN De dienstverlener dient door regelmatige proeven de correcte vernietiging te controleren De gebruikte machines voor de vernietiging dienen te voldoen aan DIN

11 ! Criteria die gelden voor externe (off-site) vernietiging van datadragers Proces Criteria Beschermingsklasse Personeel Organisatie Alle medewerkers die toegang hebben tot de vernietigingsruimte dienen een geheimhoudingsverklaring te hebben ondertekend Bezoekers worden tijdens het verblijf in de vernietigingsruimte begeleidt door een medewerker Bezoekers dienen een bezoekerspas te krijgen Er zijn technische en organisatorische maatregelen voor de vernietigingsfaciliteit benoemd Er dient aangetoond te kunnen worden dat er gebruik wordt gemaakt van geschikte machines voor de vernietiging van datadragers

12 ! Criteria die gelden voor externe (off-site) vernietiging van datadragers Proces Criteria Beschermingsklasse Inzameling/ opslag/ transport Calamiteiten plan moet de aanwezigheid garanderen van machines voor vernietiging van data. (uitwijkmogelijkheid in geval van een calamiteit) Er dient mogelijkheid geboden te worden om de vernietiging te kunnen bekijken Voor de inzameling, opslag en transport van datadragers worden afsluitbare containers ingezet De uitvoering van de dienstverlening wordt per opdracht vastgelegd met een document Het ledigen van de datadragers dient in een afgesloten ruimte plaats te vinden (geen toegang tot originele documenten) mogelijk mogelijk vereist

13 ! Criteria die gelden voor externe (off-site) vernietiging van datadragers Proces Criteria Beschermingsklassen Transport Vernietiging Als er datadragers van verschillende veiligheidsniveaus door elkaar heen worden verwerkt, dient het hoogste niveau voor alles aangehouden te worden Het legen van de containers vindt plaats in een afgesloten en bewaakte ruimte De ruimte waar niet vernietigde datadragers liggen dient voorzien te zijn van inbraakalarm met doormelding naar een alarmcentrale Voertuigen moeten uitgevoerd zijn met een passieve GPS tracking systeem of moeten bemand worden met minimaal 2 medewerkers. Voor het transport dienen voertuigen gebruikt te worden met een gesloten en vaste opbouw Het personeel mag in principe geen toegang hebben tot het niet vernietigde archief mogelijk mogelijk vereist

14 ! Criteria die gelden voor externe (off-site) vernietiging van datadragers Proces Criteria Beschermingsklassen Videobewaking van de toevoerband of de vulopening van de machine De klant kan een monster van zijn vernietigde materiaal nemen of overhandigd krijgen De vernietiging geschiedt uiterlijk de dag na inzameling mogelijk mogelijk vereist mogelijk mogelijk vereist mogelijk mogelijk vereist

15 ! Criteria die gelden voor het gebouw bij externe (off-site) vernietiging van datadragers Infra structuur Criteria De vernietiging van datadragers vinden plaats in een afgesloten gebouw De aanlevering van de datadragers vindt plaats via een sluissysteem Deuren naar de vernietigingsruimte dienen automatisch te sluiten of door optische of auditieve melding een signaal af te geven als deze open zijn Indien deuren naar de vernietigingsruimte langer open staan dan bedoeld, dan volgt een automatische melding aan de verantwoordelijke De veiligheidszone van het terrein wordt door camera's bewaakt Bij uitvallen van de vernietigingsmachine moet een alternatief voorhanden zijn Beschermingsklassen Mogelijk vereist vereist mogelijk mogelijk vereist mogelijk mogelijk vereist