Embed Size (px)
Citation preview
LA SICUREZZA NEI SISTEMI DI CONSERVAZIONE DIGITALE
Security Summit Roma, 11 giugno 2015
Agenda
2
Introduzione a UNINFO
Nuova ISO/IEC 27001:2013
Analisi del rischio secondo ISO/IEC 27001:2013
ETSI TS 101 533-1 e -2
Altre attività normative in corso d'evoluzione
Fabio GUASCONI
Direttivo di UNINFO
Presidente del ISO/IEC JTC1 SC27 UNINFO
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l
Relatore
3
Normazione in Italia: ecosistema UNI
4
CIG
(Gas)
CTI
(Termotecnico)
CUNA (Automobilistico)
UNISIDER
(Metallurgico)
UNIPLAST
(Materie plastiche)
UNICHIM
(Chimico)
UNINFO (ICT)
UNI è l'Ente Nazionale Italiano di Unificazione, più colloquialmente detto anche "Ente Italiano di Normazione"
Ha 7 enti federati che si occupano di tematiche verticali
UNINFO
5
“UNINFO è una libera Associazione a carattere tecnico-scientifico e divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di promuovere, realizzare e diffondere la normazione tecnica nel settore delle tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle loro applicazioni, sia a livello nazionale che europeo ed internazionale.”
Estratto dallo Statuto UNINFO
Settori di attività di UNINFO
6
Sicurezza Informatica, SC27
Norme e WG di ISO/IEC JTC1 SC27
7
SC27
ISO/IEC 27001: ISMS
ISO/IEC 27002:
Security controls
ISO/IEC 15408:
Common Criteria
ISO/IEC 21827:
SSE-CMM
ISO/IEC 27031: ICT Business Continuity
ISO/IEC 29100: Privacy
framework
WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance
WG3 criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza
WG5: aspetti di sicurezza di gestione
delle identità, biometria e privacy
WG4: servizi di sicurezza collegati all'attuazione dei
sistemi di gestione per la sicurezza
delle informazioni
Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).
• Applicabile a realtà di ogni dimensione
• Quasi 20 anni di esistenza sul mercato
• Ambito definibile a piacimento
• Approccio ciclico (PDCA)
• Costituisce un framework completo
• Dice cosa fare, non come farlo
• Rivolto al miglioramento continuo
• E’ un riferimento universale e certificabile
ISO/IEC 27001
8
Diffusione della ISO/IEC 27001 in Italia
9
342
Fonte: Accredia, andamento delle aziende certificate
0
50
100
150
200
250
300
350
400ge
n-0
6
mag
-06
set-
06
gen
-07
mag
-07
set-
07
gen
-08
mag
-08
set-
08
gen
-09
mag
-09
set-
09
gen
-10
mag
-10
set-
10
gen
-11
mag
-11
set-
11
gen
-12
mag
-12
set-
12
gen
-13
mag
-13
set-
13
gen
-14
mag
-14
Highlights
• Utilizzata la nuova «High level structure (HLS)» per i sistemi di gestione (ex ISO Guide 83) richiesta dalle Direttive ISO dal 2012
• Stravolte struttura e impostazione rispetto all’edizione del 2005
• Aggiunti requisiti derivanti dalla HLS (rischi all’ISMS, formalizzazione degli obiettivi, comunicazione)
• Allineamento alla ISO 31000
• Aumentati i requisiti sulla valutazione delle performance
• Ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilità)
• Rimosse le azioni preventive (comunque presenti come «rischi all’ISMS»)
• Tradotta in italiano come UNI CEI ISO/IEC 27001:2014
ISO/IEC 27001:2013
10
Nuova struttura ISO/IEC 27001
11
1 Scope
2 Normative references
3 Terms and definitions
4 Context of the organization
5 Leadership
6 Planning
7 Support
8 Operation
9 Performance evaluation
10 Improvement
1 Scope
2 Normative references
3 Terms and definitions
4 ISMS
5 Management responsibility
6 Internal ISMS audits
7 Management review of ISMS
8 ISMS improvement
Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000:
Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può
essere considerata come un esteso catalogo.
Analisi del rischio secondo ISO/IEC 27001:2013
12
Definizione del contesto
Valutazione del rischio
Trattamento del rischio
8.2 Valutazione del rischio relativo alla sicurezza delle informazioni
L’organizzazione deve effettuare le valutazioni del rischio relativo alla sicurezza delle informazioni a intervalli pianificati o quando sono proposti o si verificano cambiamenti significativi, considerando i criteri stabiliti al punto 6.1.2 a).
L’organizzazione deve conservare informazioni documentate sui risultati delle valutazioni del rischio relativo alla sicurezza delle informazioni.
8.3 Trattamento del rischio relativo alla sicurezza delle informazioni
L’organizzazione deve attuare il piano di trattamento del rischio relativo alla sicurezza delle informazioni.
L’organizzazione deve conservare informazioni documentate sui risultati del trattamento del rischio relativo alla sicurezza delle informazioni.
Analisi del rischio secondo ISO/IEC 27001:2013
13
Dal 2011 ETSI ha pubblicato due specifiche tecniche complementari relative alla sicurezza nei sistemi di conservazione.
N.B. Entrambe fanno riferimento alla vecchia versione della 27001
ETSI TS 101 533
14
• Requirements for Implementation and Management
• ISMS per i sistemi di conservazione basato su ETSI TS 102 573
• Controlli della ISO/IEC 27002 con "enhancements"
ETSI TS 101 533-1
• Guidelines for Assessors
• Stessa struttura di ETSI TS 101 533-1
ETSI TS 101 533-2
La specifica ETSI esclude la quasi totalità dei contenuti di processo della ISO/IEC 27001 (audit, riesame etc.) salvo:
la parte di risk assessment (§4)
la parte di security policy (§A.5.1)
Allo stesso tempo rende "obbligatori" una serie di controlli tecnici, parte ripresi dalla ETSI TS 102 573 e parte riportati nella ISO/IEC 27002.
Il risultato è un oggetto ibrido la cui applicazione a casi reali necessita particolare attenzione in quanto si devono "amalgamare" più norme, come gli stessi documenti di AGID (v. Requisiti di qualità e sicurezza per l’accreditamento e la vigilanza) dimostrano.
ETSI TS 101 533 e 27000
15
ETSI TS 101 533 e 27000
16
Considerando che, da un punto di vista operativo, la 27001
è certificabile da una terza parte (OdV)
stabilisce i processi di controllo per la gestione delle contromisure
contempla l'impiego di cataloghi estesi oltre la 27002 per la scelta contromisure
L'approccio più sensato da ipotizzare è quindi quello di:
1. impostare un ISMS conforme/certificato ISO/IEC 27001
2. adottare come controlli estesi nel ISMS quelli specificati dalle ETSI TS 101 533-1 ed ETSI TS 102 573
3. effettuare degli audit "interni" sulla base della 27001 e della ETSI TS 101 533-2
Oltre a fornire un costante e ricco contributo italiano ai lavori normativi dei WG1, 3, 4 il comitato italiano ha condotto nel tempo le seguenti iniziative:
Traduzione in italiano della 27001 (2006)
Creazione di GdL verticali (2009-2012)
Organizzazione del meeting internazionale del SC27 a Roma (2012)
Pubblicazione del quaderno "La gestione della Sicurezza delle Informazioni e della Privacy nelle PMI", liberamente scaricabile qui (2012)
Traduzione allineata delle 27000 (in corso), 27001 e 27002 (pubblicate)
Pubblicazione del quaderno "Guida alla realizzazione di una soluzione di firma grafometrica sicura" (in corso)
Definizione dei profili professionali legati alla sicurezza informatica (in corso)
Nuovo GdL Tecnologie e tecniche per la protezione della Privacy e dei dati personali
Altre attività del SC27 Italiano
17
CEN JWG8 costituito a dicembre 2014 per lavorare nell'ambito di
"Privacy management in products and services" a partire da:
• "how to address and to manage privacy issues during the design, the development, and the production and service provision processes of security technologies";
• "an informative document for the manufacturers and service providers when specifying the privacy management processes with explanations how to realise them";
• "adoption as ENs of ISO/IEC 27009 and of ISO/IEC 29134".
Proposta di realizzazione di uno schema di certificazione volto a riconoscere un
"Privacy Seal" basato sull'art.39 della proposta di Regolamento.
"Profili professionali per la data privacy" basato su e-CF.
Altre attività di SC27 legate alla privacy
18
19
Contatti e ringraziamenti
UNINFO http://www.uninfo.it/
[email protected] Corso Trento 13 - 10129 Torino
Tel. +39 011501027 - Fax +39 011501837
Fabio GUASCONI Presidente SC27 UNINFO
