GÜLTIG: 29. NOVEMBER 2022

Das R2 Standard Consensus Body hat diese formale Interpretation in Übereinstimmung mit Artikel 10 – Interpretations Policy im SERI Manual of Policies and Procedures for R2 Standard Development and the ANSI Standards Development Process genehmigt. Diese formelle Interpretation wird hiermit vom SBFI veröffentlicht und tritt am 29. November 2022 in Kraft.

FRAGE
Die logische Bereinigung in Anhang B verweist auf die Verwendung von „Software“ in den Anforderungen (10) und (11). Ist „Software“ auf Anwendungen beschränkt, die den logischen Bereinigungsprozess automatisieren und eine Aufzeichnung der Bereinigung erstellen?

FORMALE AUSLEGUNG
„Software“ bezeichnet Anwendungen, die die Ergebnisse der Datenbereinigung für jede eindeutige Kennung automatisieren, steuern und aufzeichnen. Da die vom Hersteller bereitgestellte Zurücksetzung auf die Werkseinstellungen direkt auf einem Gerät Daten nicht immer durch kommerzielle Software unwiederbringlich macht, muss die Bereinigung durch Softwaremethoden die primäre Methode der logischen Bereinigung sein. Bei einigen Geräten sind jedoch die vom Hersteller bereitgestellten Werksresets möglicherweise die einzige verfügbare Option (wenn ein Gerät funktionsfähig und nicht beschädigt ist). Wenn für ein bestimmtes Gerät, das Daten enthält, keine Software vorhanden ist, die die Datenbereinigungsergebnisse vollständig automatisiert, steuert und aufzeichnet, kann „Software“ so erweitert werden, dass sie die Anwendung umfasst, die den manuellen Arbeitsablauf steuert, steuert und aufzeichnet, um die Daten entsprechend zu bereinigen vom Hersteller bereitgestellte Anweisungen („Hersteller-Reset“). Die Software, die den vom Hersteller vorgeschriebenen Datenbereinigungsprozess unterstützt und dessen Ergebnisse aufzeichnet, muss nachweislich die Anforderungen an die Datenbereinigungssoftware in Anhang B(11) und die Aufzeichnungsanforderungen in Anhang B(10) erfüllen.

„Kommerzielle Software“ in Anhang B Nummer 13 bezieht sich auf die Ebene der Datenwiederherstellungstechniken, die auf das Stichprobenverfahren angewendet werden. Kommerzielle Software ist eine Ebene zwischen der einfachen visuellen Inspektion von Daten und der forensischen Laboranalyse. Es bedeutet eine Ebene, in der Daten nicht durch Software wiederhergestellt werden konnten, die für die Datenwiederherstellung entwickelt wurde, die ein normaler Benutzer herunterladen oder kaufen und verwenden könnte, um Daten von einem Gerät wiederherzustellen.

EINSCHRÄNKUNGEN
Diese formale Interpretation gilt nicht für Situationen, in denen Software vorhanden ist, das Gerät jedoch beschädigt ist und nicht mit einem entfernten Computer verbunden werden kann, um es durch Software zu bereinigen. Ein Beispiel ist ein Android-Telefon mit einem beschädigten IO-Port. Es ist allgemein bekannt, dass es Software gibt, die den Bereinigungsprozess dieser Geräte von einem entfernten Computer aus automatisieren und steuern kann. Um in diesen Fällen gemäß der R2-Gerätekategorisierung als „Nicht-Daten“-Geräte kategorisiert zu werden, weil sie mit Software bereinigt wurden, müsste der E/A-Port zuerst repariert werden, um mit der verfügbaren Software verbunden und bereinigt zu werden. Andernfalls würde ein manuelles Zurücksetzen die Anforderung nicht erfüllen, selbst wenn es von einer Softwareanwendung gesteuert, gesteuert und aufgezeichnet wird. Die Entscheidung, keine Reparatur durchzuführen, kann kein Grund dafür sein, keine Software zur Automatisierung des Bereinigungsprozesses zu verwenden, sofern diese verfügbar ist.

HINTERGRUND
Dieser Antrag auf formelle Auslegung von „Software“ in Anhang B wurde vom SBFI gestellt, nachdem es von Herausforderungen in der gesamten Branche bei der Umsetzung der Anforderung erfahren hatte.

DISKUSSION
Siehe Anleitung – Eine Diskussion über die logische Datenbereinigung in R2v3

ANWENDUNGEN
Einige gängige Daten enthaltende Geräte, die möglicherweise keine Bereinigungs- und kommerzielle Wiederherstellungssoftware enthalten, sind unter anderem:

• Intelligente Lautsprecher
• Smart-TVs
• Uhren für draußen
• Fitness-Tracker
• Spielkonsolen mit eingebauten Speicherchips im Gegensatz zu Festplatten
• TV-Sticks/Boxen
• Tischtelefone
• Drucker mit eingebauten Speicherchips im Gegensatz zu Festplatten
• Smart Thermostate
• IP-verbundene Heimsicherheitsgeräte
• Mobile Router/MiFi/Hotspots
• Mobile Feature-Phones
• Switches
• Chromebooks

Die R2-zertifizierte Einrichtung ist für die „Daten“ auf allen Geräten in ihrem Besitz verantwortlich. Schritt 1 besteht darin, festzustellen, ob Daten auf dem Gerät gespeichert werden können. Verfügt das Gerät über nichtflüchtige Speicherfunktionen?

Der zweite Unterscheidungspunkt ist, ob ein Gerät „Daten“ enthält, die einer Bereinigung bedürfen, oder nur „Allgemeine Informationen“, die keiner Bereinigung bedürfen.

Der R2-Standard definiert Daten als:

„Daten“ sind die privaten, persönlich identifizierbaren, vertraulichen, lizenzierten oder urheberrechtlich geschützten Informationen, die auf einem elektronischen Gerät oder einer Speicherkomponente enthalten sind, die gemäß diesem Standard eine sichere Verwaltung und Bereinigung erfordern. Die Daten enthalten keine allgemeinen Informationen, wie im R2-Standard definiert

Der Standard definiert auch allgemeine Informationen wie folgt:

„Allgemeine Informationen“ sind öffentlich zugängliche Informationen oder Informationen, die mit dem elektronischen Originalgerät vom Hersteller bereitgestellt werden. Allgemeine Informationen erfordern keine Desinfektion.

Die dritte Überlegung ist, ob das Gerät die Daten tatsächlich lokal speichert oder die Daten remote auf einem PC, Server, einer Cloud usw. speichert. Verknüpfte Daten werden nicht auf dem Gerät gespeichert, sodass das Gerät keine Datenbereinigung benötigt. In diesen Fällen ist es jedoch kritisch, dass die Verbindung zum Remote-Speicher gemäß Anhang B (12) entfernt werden müsste.

Die letzte Überlegung ist, ob Software vorhanden ist, um den Datenbereinigungsprozess zu automatisieren. Dies ist keine Wahl, ob Sie die Software verwenden oder nicht. Wenn eine Software vorhanden ist, muss eine Softwarelösung implementiert werden.

Wenn keine Software zur Automatisierung des Bereinigungsprozesses verfügbar ist, können die Herstelleranweisungen in eine Softwareplattform integriert werden, um den Arbeitsablauf zur Umsetzung der Herstelleranweisungen zu steuern und detaillierte Aufzeichnungen über die Fertigstellung für jedes Gerät zu erstellen. Die Implementierung von Hersteller-Reset-Anweisungen findet sich manchmal in kommerzieller Software (Standardsoftware), die erworben werden kann. Es wurde festgestellt, dass diese Software diese Anweisungen für Geräte enthält, bei denen die Software den Prozess nicht automatisieren kann. Die Software wird zu einem hybriden Ansatz für die logische Bereinigung, indem alle logischen Bereinigungsfunktionen auf derselben Plattform organisiert und gesteuert werden. Gekaufte Software zur Datenbereinigung ist für die Zwecke dieser Interpretation nicht unbedingt erforderlich. Die Integration von Workflow-Schritten könnte über das ERP-System der Einrichtung oder eine andere Plattform erfolgen, wodurch eine kundenspezifische Softwarelösung entsteht.

PRÜFUNG
Automatisierte Softwarelösungen, die nicht auf manuelle Zurücksetzungen angewiesen sind, sind die Absicht dieser Anforderung und sollten erforderlich sein, wenn Software verfügbar ist. Wenn keine automatisierten Softwarelösungen verfügbar sind, wird ein robustes Softwaresystem zur Steuerung des Prozessablaufs mit detaillierten Aufzeichnungen der Bereinigung erwartet, um Transparenz und Rechenschaftspflicht über das Datenbereinigungsereignis auf jedem Gerät zu gewährleisten.

Diese Interpretation erlaubt es defekten Geräten nicht, Anweisungen zum manuellen Zurücksetzen des Herstellers zu verwenden, wenn eine automatische Softwarebereinigung möglich ist.

Bewertung der Aufzeichnungen gemäß Anhang B(10)
Einfache, von einem Bediener erstellte Aufzeichnungen in einer Tabellenkalkulation werden beispielsweise nicht als akzeptable Aufzeichnungen der Softwarebereinigung angesehen, da diese anfälliger für Fehler und verdächtige Ergebnisse sind. Das Folgende sind empfohlene Datenpunkte für Datensätze zur Datenbereinigung nach dem Vorbild von NIST SP 800-88 Rev.1 Abschnitt 4.8:

• Geräte-/Medienhersteller
• Geräte-/Medienmodell
• Geräte-/Medienseriennummer (vorzugsweise von der Software gelesen und nicht manuell eingegeben)
• Eindeutige Kennung zugewiesen (vorzugsweise von einem Etikett gescannt)
• Medientyp (d. h. magnetisch, Flash-Speicher, Hybrid usw.)
• Medienquelle (d. h. Benutzer oder Computer, von dem die Medien stammen)
• Geräte-/Medienkapazität (d. h. Anzahl und Größe der LBAs)
• Bereinigungstyp (Löschen, Bereinigen, Zerstören)
• Verwendete Methode (d. h. Überschreiben, Blocklöschen, Kryptolöschen usw.)
• Verwendetes Tool (einschließlich Version)
• Desinfektionsperson
  • Name der Person
  • Position/Titel der Person
  • Datum/Uhrzeit (automatisch vom System erfasst)
  • Standort
  • Telefon oder andere Kontaktinformationen
  • Signature
• Verifizierungsmethode (d. h. verifizierte erfolgreiche Desinfektionsaufzeichnung, Probenahme usw.)
• Verifizierungsperson
  • Name der Person
  • Position/Titel der Person
  • Datum/Uhrzeit (automatisch vom System erfasst)
  • Standort
  • Telefon oder andere Kontaktinformationen
  • Signature

Bewertung der Software, die die in Anhang B(11) erforderlichen Anweisungen zum manuellen Zurücksetzen des Herstellers integriert 

Zunächst sollten die Anweisungen des Herstellers zum Zurücksetzen ausgewertet werden, um sicherzustellen, dass die Anweisungen die Daten als unzugänglich erachten und nicht nur die Konfiguration des Geräts zurücksetzen. Dies ist ein wichtiger Unterschied zur Erfüllung von Anhang B (11)(a).

Zweitens sollte der Arbeitsablauf so konfiguriert werden, dass der Prozess fehlschlägt, wenn es während des Bereinigungsprozesses zu Unterbrechungen oder Fehlern im Zusammenhang mit einer unwirksamen Löschung kommt, um Anhang B (11)(b) zu erfüllen.

Drittens würde „mit Software-Patches gewartet“ erfüllt, indem die Anweisungen in der Software mit Herstelleränderungen aktualisiert werden. Eine schriftliche Dokumentation eines automatisierten Prozesses oder ein manueller Zeitplan zur Überprüfung auf Aktualisierungen und eine Aufzeichnung der Aktualisierungen der Anweisungen könnten eine Methode sein, um Nachweise zu erbringen, die Anhang B (11)(c) entsprechen.

Die Überprüfung der aktuell unterstützten Version durch die Verwendung der Reset-Anweisung des Herstellers bedeutet sicherzustellen, dass die aktuellsten Anweisungen implementiert werden. Dies erfordert einen Prozess, um die Website des Herstellers oder andere Quellen routinemäßig auf Updates zu überprüfen. Die Version oder das Datum der verwendeten Anweisungen sollte im Desinfektionsprotokoll jedes Geräts festgehalten werden. Sollte jemals ein Fehler in den Anweisungen des Herstellers gefunden werden, kann die Einrichtung anhand dieser Aufzeichnungen die Geräte identifizieren, die anfällig sind und behoben werden müssen.