F. Was sind die zulässigen Methoden zur Datenvernichtung oder -bereinigung unter R2v3?

Kernanforderung 7.(c)(2) skizziert drei verschiedene Wege zur Datenbereinigung (manchmal auch als Datenvernichtung bezeichnet). Das Methoden der Desinfektion ist je nach gewähltem Weg unterschiedlich.

1. R2-Einrichtungen, die nach Anhang B – Datenbereinigung zertifiziert sind kann eine logische und/oder physische Bereinigung gemäß den Anforderungen von Anhang B durchführen. Das bedeutet, dass die R2-Fazilität:
   • Logisch desinfizieren Datengeräte mit einem Softwareprogramm, das sowohl das Gerät desinfizieren als auch Aufzeichnungen über die Ergebnisse des Säuberungsprozesses führen soll. Beachten Sie, dass ein Werksreset ist kein Frontalunterricht. als logische Sanierung betrachtet.
   • Physisch zerstören Datengeräte gemäß:
     • Eine in Tabelle 1 angegebene physische Zerstörungsmethode;
     • Eine Methode und die Verwendung zugelassener Ausrüstung, wie im NSA-Handbuch zur Desinfektion und Vernichtung von Speichergeräten angegeben; oder
     • Eine andere Methode, die das Gerät physisch zerstört und von einem kompetenten Experten unabhängig als wirksames Mittel zur Desinfektion bestätigt wurde.
2. R2-Einrichtungen NICHT zertifiziert nach Anhang B – Datenbereinigung, kann Datengeräte gemäß den NIST-Richtlinien zur Medienbereinigung physisch zerstören.
3. Ein qualifizierter Downstream-Anbieter die gemäß Anhang A – Nachgelagerte Recyclingkette verifiziert wurde, alle Datenbereinigungsaktivitäten im Namen einer R2-Einrichtung durchführen kann

HINZUGEFÜGT 4 
F. Können Datengeräte wiederverwendet werden?

Ja, einige Datengeräte können für die Wiederverwendung geeignet sein, müssen jedoch zuerst gemäß Anhang B – Datenbereinigung bereinigt und dann gemäß Anhang C – Test und Reparatur getestet und funktionsfähig bestätigt werden.

Wenn alternativ Datenspeichermedien wie eine Festplatte von einem Gerät entfernt und durch physische Zerstörung bereinigt werden, kann das Medium ersetzt werden, oder das Gerät kann getestet und bei bestätigter Funktionsfähigkeit ohne das Medium verkauft werden, solange die Gerätefunktionalität besteht wird entsprechend kategorisiert, um die fehlende Hardware offenzulegen.

HINZUGEFÜGT 4
F. Unter Kernanforderung 7 – Datensicherheit gibt es einen Hinweis darauf, ein Gerät nicht zu desinfizieren, wenn der Kunde es verlangt. Was ist ein Beispiel für ein Szenario, in dem es akzeptabel wäre, ein Gerät nicht zu desinfizieren?

Standardmäßig müssen alle Daten bereinigt werden, mit der einzigen Ausnahme, wenn der Kunde ausdrücklich verlangt und vertraglich verlangt, dass sie nicht bereinigt werden. Dies kann vorkommen, wenn ein Kunde ein Gerät zur Reparatur an eine R2-Einrichtung schickt und das Gerät nach dem Service mit intakten Daten zurückhaben möchte. Die R2-Einrichtung sollte jedoch immer empfehlen, Daten zu bereinigen, und ist nicht berechtigt, Dinge wie pauschale Erklärungen oder andere allgemeine Vereinbarungen zu verwenden, um auf ihre Verantwortung für die Datenbereinigung zu verzichten.