Die 2010 gegründete Asset Disposal and Information Security Alliance (ADISA) Certification ist eine unabhängige Zertifizierungsstelle mit Sitz in Großbritannien, die sich auf die Entwicklung von Sicherheit für Datenschutz, Datenbereinigung und Qualitätsmanagement spezialisiert hat. Die von UK-GDPR genehmigte, vom UK Accreditation Service (UKAS) akkreditierte und nach ISO 17065 zertifizierte ADISA Group besteht aus ADISA Certification und dem ADISA Research Centre (ARC). Das ARC konzentriert sich auf die Verbesserung von Datenbereinigungsverfahren, einschließlich der Sicherheit von Datenlöschungsverfahren, um Datenlecks oder unbefugten Zugriff zu verhindern.
Die Bedeutung der ADISA-Zertifizierung für ITADs
ADISA setzt hochentwickelte Datenrettungstechniken ein, um die Möglichkeit der Wiederherstellung von Daten aus einem bereinigten Produkt zu überprüfen. Die Tests, mit denen ADISA die Behauptungen des Produkts prüft, simulieren einen tatsächlichen Angriff. Die Intensität dieser Angriffe nimmt mit dem Fortschreiten der Teststufe zu. Basierend auf der Punktzahl, die das Produkt auf dem ADISA Assurance Level (AAL)-Modell von 1 bis 6 (Unknown - Assured) erreicht, das die Kompetenz des Produkts bei der Erfüllung der Behauptungen anzeigt, erhalten sie eine entsprechende Zertifizierung.
ADISA bewertet die Effizienz der Datenlöschung von Produkten anhand von Industriestandards wie NIST SP 800-88 Rev1 und IEEE 2883 Richtlinien. Die von diesen Gremien empfohlenen Richtlinien zur Datenlöschung geben die Methode an, die zum Löschen eines bestimmten Gerätetyps verwendet werden sollte, von Überschreibetechniken bis hin zu physischen Datenvernichtungsmethoden wie Schreddern und Entmagnetisieren. Die ADISA-Zertifizierung ist sowohl für Hardware- als auch für Softwareprodukte erhältlich, die sich mit der Datenlöschung befassen. Sie können die ADISA Product Claim Test Software (PCT) einsehen. ADISA verfügt auch über ein Zertifizierungssystem für Product Assurance, das sowohl nach NIST- als auch nach IEEE-Standards testet.
Darüber hinaus ist das ADISA Research Centre (ARC) in Großbritannien das erste Testlabor, das die Sanitisierung von Smartwatches, eingebetteten Speichern und SSDs (2012) und die Einhaltung der IEEE-Sanitisierung überprüft.
Die vom britischen Information Commissioner's Office (ICO) anerkannten ADISA-Zertifizierungssysteme sind wichtig für ITADs, die sich mit der Datenrettung von IKT-Beständen befassen, und für Software-Anbieter, die Tools zur Datenbereinigung entwickeln, um sich Vorteile zu verschaffen:
- Vertrauen und Glaubwürdigkeit: Die ADISA-Zertifizierung bietet eine Drittpartei-Validierung für die von ITADs verwendete Datenbereinigungssoftware und bestätigt, dass die Daten sicher gelöscht werden und selbst in Laborumgebungen nicht wiederherstellbar sind. Dies hilft den Kunden, Vertrauen in den ITAD-Anbieter zu gewinnen, insbesondere in regulierten Branchen wie dem Gesundheitswesen, dem Finanzwesen und der Regierung. Darüber hinaus erhöht die Zertifizierung nach dem ADISA ICT Asset Recovery Standard 8.0 die Glaubwürdigkeit eines Unternehmens in Bezug auf die Einhaltung von Datensicherheitspraktiken bei der Entsorgung und dem Recycling von IT-Assets.
- Einhaltung von Datenschutzgesetzen: Die weltweiten Gesetze und Vorschriften sind sehr anspruchsvoll und die Datensicherheit ist zu einer gesetzlichen Notwendigkeit geworden. Die Zertifizierungen ADISA ICT Asset Recovery Standard 8.0, PCT und Product Assurance Test (PA) bestätigen, dass Unternehmen Sicherheit bei ihren Verfahren zur Datenrettung anwenden.
- Wettbewerbsvorteil: ADISA-Zertifizierungen können ein Wettbewerbsvorteil für ein Unternehmen sein, das Datenbereinigungsdienste anbietet, oder für Softwareanbieter wie BitRaser. Da diese Zertifizierungen die von einem Unternehmen befolgten Datensicherheitsprotokolle bestätigen, werden Kunden unweigerlich die Dienste eines Unternehmens in Anspruch nehmen, das von einer unabhängigen und weltweit anerkannten Stelle wie der ADISA zertifiziert ist. Ebenso haben sie Vertrauen in die Verwendung von ADISA-zertifizierten Produkten zur Datenlöschung.
Zertifizierungen durch ADISA
Unter der Aufsicht des Experten für Datensanitisierung, Dr. Philip Turner, führt das ARC mehrere von der ADISA angebotene Produktzertifizierungen durch. Diese Zertifizierungen überprüfen die Konformität von Unternehmen mit NIST SP 800-88 Rev. 1 und ISO/IEC 21964 und dienen als Nachweis für Dritte, dass ein Produkt die Anforderungen erfüllt. Nachstehend finden Sie die Zertifizierungsprogramme für Produkte und Dienstleistungen:
ADISA Produkt-Zertifizierungssysteme: ADISA hat Zertifizierungssysteme entwickelt, nämlich den Certified Product Claims Test (PCT), die Certified Product Assurance (PA) und den Certified Software Sanitisation Vendor (SSV), die Unternehmen, die ein Daten-Sanierungs-Tool verwenden, verschiedene Sicherheitsstufen bieten.
- ADISA Product Claims Test: Durch die Durchführung bedrohungsbasierter, strenger Tests der Stufen 1 oder 2 validiert der ADISA PCT die Behauptungen eines Produktherstellers, dass die Daten auf verschiedenen Arten von Speichermedien bereinigt wurden, um sie unwiederbringlich zu machen. Die Methoden, die zur Kompromittierung von Cyberangriffen verwendet werden, können von einer versehentlichen Bedrohung mit einem Open-Source-Forensik-Tool bis hin zu einem staatlich gesponserten, ausgeklügelten Angriff mit proprietärer Hardware und Software reichen. Anbieter wie BitRaser deren Produkte das Testregime bestehen, erhalten eine Zertifizierung auf der Grundlage des ADISA Assurance Level (AAL) von 3 oder 4 (Trusted).
- Zertifizierte Produktsicherheit (PA): Die Löschmethoden variieren für verschiedene Speichermedien und Schnittstellen gemäß den Richtlinien von NIST und IEEE. Das ADISA PA Scheme verifiziert den Löschprozess, indem es 13 Tests für eine bestimmte Produktversion durchführt, um die Übereinstimmung mit NIST SP 800-88 und IEEE 2883 zu überprüfen. Zusätzlich wird ein Level 2-Test an einer 15%igen Stichprobe von Medien und Schnittstellen durchgeführt, um sicherzustellen, dass die Daten nach Ausführung der Software nicht wiederherstellbar sind. Zu den unterstützten Medientypen gehören SSDs (ATA - SATA, SCSI - SAS) und HDDs (ATA - SATA PATA, SCSI - SAS).
- Zertifizierter Software-Sanitisation-Anbieter (SSV): Durch die Nachbildung einer realen Umgebung und die Einführung von Variablen während des gesamten Zertifizierungsprozesses führt das ARC oder das Labor Level 2-Tests durch, um die Fähigkeit eines Softwareanbieters zu überprüfen, die NIST SP 800-88 und IEEE 2883 zu erfüllen. Das Bestehen dieses ADISA-Zertifizierungsprogramms garantiert ein AAL von 6 (Assured).
ADISA-Dienstleistungszertifizierungssysteme: Die ADISA Service Certification Schemes - LOC:23 und ICT Asset Recovery Standard 8.0 - zeichnen Dienstleister aus, die Dienstleistungen zur Entsorgung von Vermögenswerten und zur Datenrettung anbieten und sicherstellen, dass sie die höchsten Standards der Datensicherheit auf umweltfreundliche Weise einhalten. Durch Audits und fortlaufende Bewertungen verifiziert ADISA, dass die Dienstleister bewährte Verfahren in Übereinstimmung mit der britischen Datenschutz-Grundverordnung (GDPR) anwenden, um die personenbezogenen Daten der Betroffenen zu schützen.
- LOC:23-Zertifizierung: Das vom Information Commissioner's Office (ICO) im Februar 2024 genehmigte Legal Services Operational Privacy Certification Scheme (LOCS:23) trägt dazu bei, die personenbezogenen Daten des Mandanten und der beteiligten Parteien zu schützen, indem es einen überprüfbaren Datenschutzstandard innerhalb der Organisation umsetzt. Es entspricht Artikel 42 der britischen Datenschutzgrundverordnung (UK-GDPR) als anerkannte Zertifizierung und gilt für Verantwortliche, zu denen Anwaltskanzleien, Barristers, Solicitors und Hausanwälte gehören. Es gilt auch für Auftragsverarbeiter wie Softwareanbieter, die sich mit Dokumentenmanagement beschäftigen, Lösungsanbieter, die sich mit Übersetzungsdiensten beschäftigen, und Berater (Implementierer).
- ICT Asset Recovery Standard 8.0: Der Information Communication Technology (ICT) Asset Recovery Standard 8.0 existiert in drei verschiedenen Versionen für Großbritannien, Europa und den Rest der Welt (ROW). Diese Zertifizierung hilft dabei, die Risiken für die Privatsphäre und die Rechte der betroffenen Personen zu bewerten und diese Risiken zu mindern, um ihre persönlichen Daten zu schützen. Sie gilt für Dienstleister, die sich mit der Wiederverwendung, dem Recycling und der Wiederaufbereitung von IT befassen und die Validierungstests für die Sicherheit der Verfahren zur Datenrettung, den verantwortungsvollen Umgang mit Elektroschrott und andere von der ADISA aufgestellte Richtlinien für Unternehmen zur Datenrettung bestanden haben. Zertifizierte Unternehmen müssen sich jedes Jahr zwei Überwachungsaudits unterziehen, die mit "bestanden" oder "nicht bestanden" enden und im Zertifizierungsbericht festgehalten werden. Bei den Prüfungen werden bestimmte Parameter wie die Wiederverwendung und Vernichtung von Geräten und Laufwerken kontrolliert.
Fazit
Zertifizierungen, die von einer unabhängigen Stelle wie der ADISA vergeben werden, können Unternehmen die Gewissheit geben, dass ihre Produkte und Dienstleistungen ihren Ansprüchen genügen. Im Gegenzug können Unternehmen die Qualität ihrer Produkte und Dienstleistungen aufrechterhalten, Datenschutzgesetze wie EU-GDPR und UK-DPA einhalten, sich einen Wettbewerbsvorteil gegenüber Unternehmen verschaffen, die nicht zertifiziert sind, und die Loyalität ihrer Kunden gewinnen.
BitRaser Drive Eraser und Mobile Eraser, Innovationen von Stellar, sind ADISA-zertifizierte Löschsoftware, die Daten dauerhaft von Laufwerken löscht, einschließlich HPA und DCO, und automatisch detaillierte Berichte und Vernichtungszertifikate erstellt und synchronisiert, die helfen, Prüfpfade zu verifizieren. Organisationen und ITADs können diese zertifizierte Löschsoftware nutzen, um ihr Engagement für den Datenschutz und die Datenbereinigung zu demonstrieren.
