LA SICUREZZA NEI SISTEMI

DI CONSERVAZIONE DIGITALE

Security Summit
Roma, 11 giugno 2015
 Agenda

Introduzione a UNINFO

Nuova ISO/IEC 27001:2013

Analisi del rischio secondo ISO/IEC 27001:2013

ETSI TS 101 533-1 e -2

Altre attivit normative in corso d'evoluzione

2
 Relatore
Fabio GUASCONI

Direttivo di UNINFO
Presidente del ISO/IEC JTC1 SC27 UNINFO
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l

3
Normazione in Italia: ecosistema UNI
CIG
(Gas)

UNINFO CTI UNI l'Ente Nazionale

(ICT) (Termotecnico)
Italiano di Unificazione, pi
colloquialmente detto
anche "Ente Italiano di
Normazione"

UNICHIM CUNA Ha 7 enti federati che si

(Chimico) (Automobilistico)
occupano di tematiche
verticali

UNIPLAST UNISIDER
(Materie
(Metallurgico)
plastiche)

4
 UNINFO

UNINFO una libera Associazione a carattere tecnico-scientifico e

divulgativo senza fine di lucro (diretto o indiretto) che si prefigge di
promuovere, realizzare e diffondere la normazione tecnica nel settore delle
tecnologie dell'informazione e delle comunicazioni (in breve ICT) e delle
loro applicazioni, sia a livello nazionale che europeo ed internazionale.

Estratto dallo Statuto UNINFO

5
Settori di attivit di UNINFO

Sicurezza
Informatica, SC27
6
 Norme e WG di ISO/IEC JTC1 SC27
WG1: sistemi di
gestione per la sicurezza
ISO/IEC delle informazioni,
27001:
ISMS controlli,
WG5: aspetti di accreditamento,
sicurezza di gestione ISO/IEC ISO/IEC
29100: 27002: certificazione e audit,
delle identit, Privacy Security governance
biometria e privacy framework controls

SC27

ISO/IEC ISO/IEC WG3 criteri,

27031: ICT 15408: metodologie e
WG4: servizi di Business Common procedure per la
sicurezza collegati Continuity Criteria
valutazione, il test e la
all'attuazione dei ISO/IEC specifica della
sistemi di gestione 21827:
SSE-CMM sicurezza
per la sicurezza
delle informazioni
7
 ISO/IEC 27001
Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).

Applicabile a realt di ogni dimensione

Quasi 20 anni di esistenza sul mercato
Ambito definibile a piacimento
Approccio ciclico (PDCA)
Costituisce un framework completo
Dice cosa fare, non come farlo
Rivolto al miglioramento continuo
E un riferimento universale e certificabile

8
 50

0
100
150
200
250
350
400

300
gen-06
mag-06
set-06
gen-07
mag-07
set-07
gen-08
mag-08
set-08
gen-09
mag-09
set-09
gen-10

9
mag-10
set-10
gen-11
mag-11
set-11
gen-12

Fonte: Accredia, andamento delle aziende certificate

mag-12
set-12
gen-13
mag-13
set-13
gen-14
mag-14
Diffusione della ISO/IEC 27001 in Italia

342
 ISO/IEC 27001:2013
Highlights

Utilizzata la nuova High level structure (HLS) per i sistemi di gestione (ex ISO
Guide 83) richiesta dalle Direttive ISO dal 2012
Stravolte struttura e impostazione rispetto alledizione del 2005
Aggiunti requisiti derivanti dalla HLS (rischi allISMS, formalizzazione degli obiettivi,
comunicazione)
Allineamento alla ISO 31000
Aumentati i requisiti sulla valutazione delle performance
Ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilit)
Rimosse le azioni preventive (comunque presenti come rischi allISMS)
Tradotta in italiano come UNI CEI ISO/IEC 27001:2014

10
 Nuova struttura ISO/IEC 27001
1 Scope

2 Normative references 1 Scope

3 Terms and definitions 2 Normative references

4 Context of the organization 3 Terms and definitions

5 Leadership 4 ISMS

6 Planning 5 Management responsibility

7 Support 6 Internal ISMS audits

8 Operation 7 Management review of ISMS

9 Performance evaluation 8 ISMS improvement

10 Improvement

11
 Analisi del rischio secondo ISO/IEC 27001:2013

Il vero "motore" della ISO/IEC 27001 il processo di gestione del rischio relativo alla
sicurezza delle informazioni, cos specificato genericamente nella ISO 31000:

Definizione Valutazione Trattamento

del contesto del rischio del rischio

Uno dei modi pi diretti per effettuare un "trattamento del rischio" quello di ridurlo
ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 pu
essere considerata come un esteso catalogo.

12
 Analisi del rischio secondo ISO/IEC 27001:2013

8.2 Valutazione del rischio relativo alla sicurezza delle informazioni

Lorganizzazione deve effettuare le valutazioni del rischio relativo alla sicurezza delle
informazioni a intervalli pianificati o quando sono proposti o si verificano cambiamenti
significativi, considerando i criteri stabiliti al punto 6.1.2 a).
Lorganizzazione deve conservare informazioni documentate sui risultati delle
valutazioni del rischio relativo alla sicurezza delle informazioni.

8.3 Trattamento del rischio relativo alla sicurezza delle informazioni

Lorganizzazione deve attuare il piano di trattamento del rischio relativo alla sicurezza
delle informazioni.
Lorganizzazione deve conservare informazioni documentate sui risultati del
trattamento del rischio relativo alla sicurezza delle informazioni.

13
 ETSI TS 101 533
Dal 2011 ETSI ha pubblicato due specifiche tecniche complementari relative alla
sicurezza nei sistemi di conservazione.

ETSI TS 101 533-1

Requirements for Implementation and Management

ISMS per i sistemi di conservazione basato su ETSI TS 102 573
Controlli della ISO/IEC 27002 con "enhancements"

ETSI TS 101 533-2

Guidelines for Assessors

Stessa struttura di ETSI TS 101 533-1

N.B. Entrambe fanno riferimento alla vecchia versione della 27001

14
 ETSI TS 101 533 e 27000
La specifica ETSI esclude la quasi totalit dei contenuti di processo della
ISO/IEC 27001 (audit, riesame etc.) salvo:
la parte di risk assessment (4)
la parte di security policy (A.5.1)

Allo stesso tempo rende "obbligatori" una serie di controlli tecnici, parte ripresi
dalla ETSI TS 102 573 e parte riportati nella ISO/IEC 27002.

Il risultato un oggetto ibrido la cui applicazione a casi reali necessita particolare

attenzione in quanto si devono "amalgamare" pi norme, come gli stessi documenti di
AGID (v. Requisiti di qualit e sicurezza per laccreditamento e la vigilanza) dimostrano.

15
 ETSI TS 101 533 e 27000
Considerando che, da un punto di vista operativo, la 27001
certificabile da una terza parte (OdV)
stabilisce i processi di controllo per la gestione delle contromisure
contempla l'impiego di cataloghi estesi oltre la 27002 per la scelta contromisure

L'approccio pi sensato da ipotizzare quindi quello di:

1. impostare un ISMS conforme/certificato ISO/IEC 27001
2. adottare come controlli estesi nel ISMS quelli specificati dalle ETSI TS 101 533-1
ed ETSI TS 102 573
3. effettuare degli audit "interni" sulla base della 27001 e della ETSI TS 101 533-2

16
 Altre attivit del SC27 Italiano
Oltre a fornire un costante e ricco contributo italiano ai lavori normativi dei WG1, 3, 4
il comitato italiano ha condotto nel tempo le seguenti iniziative:

Traduzione in italiano della 27001 (2006)

Creazione di GdL verticali (2009-2012)
Organizzazione del meeting internazionale del SC27 a Roma (2012)
Pubblicazione del quaderno "La gestione della Sicurezza delle Informazioni e della
Privacy nelle PMI", liberamente scaricabile qui (2012)
Traduzione allineata delle 27000 (in corso), 27001 e 27002 (pubblicate)
Pubblicazione del quaderno "Guida alla realizzazione di una soluzione di firma
grafometrica sicura" (in corso)
Definizione dei profili professionali legati alla sicurezza informatica
(in corso)
Nuovo GdL Tecnologie e tecniche per la protezione della Privacy e dei
dati personali

17
 Altre attivit di SC27 legate alla privacy
CEN JWG8 costituito a dicembre 2014 per lavorare nell'ambito di
"Privacy management in products and services" a partire da:
"how to address and to manage privacy issues during the design, the development,
and the production and service provision processes of security technologies";
"an informative document for the manufacturers and service providers when
specifying the privacy management processes with explanations how to realise
them";
"adoption as ENs of ISO/IEC 27009 and of ISO/IEC 29134".

Proposta di realizzazione di uno schema di certificazione volto a riconoscere un

"Privacy Seal" basato sull'art.39 della proposta di Regolamento.

"Profili professionali per la data privacy" basato su e-CF.

18
Contatti e ringraziamenti

UNINFO
http://www.uninfo.it/
uninfo@uninfo.it
Corso Trento 13 - 10129 Torino
Tel. +39 011501027 - Fax +39 011501837

Fabio GUASCONI
Presidente SC27 UNINFO
fabio.guasconi@bl4ckswan.com

19