Professional Documents
Culture Documents
DI CONSERVAZIONE DIGITALE
Security Summit
Roma, 11 giugno 2015
Agenda
Introduzione a UNINFO
2
Relatore
Fabio GUASCONI
Direttivo di UNINFO
Presidente del ISO/IEC JTC1 SC27 UNINFO
Direttivo CLUSIT
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l
3
Normazione in Italia: ecosistema UNI
CIG
(Gas)
UNIPLAST UNISIDER
(Materie
(Metallurgico)
plastiche)
4
UNINFO
5
Settori di attivit di UNINFO
Sicurezza
Informatica, SC27
6
Norme e WG di ISO/IEC JTC1 SC27
WG1: sistemi di
gestione per la sicurezza
ISO/IEC delle informazioni,
27001:
ISMS controlli,
WG5: aspetti di accreditamento,
sicurezza di gestione ISO/IEC ISO/IEC
29100: 27002: certificazione e audit,
delle identit, Privacy Security governance
biometria e privacy framework controls
SC27
8
50
0
100
150
200
250
350
400
300
gen-06
mag-06
set-06
gen-07
mag-07
set-07
gen-08
mag-08
set-08
gen-09
mag-09
set-09
gen-10
9
mag-10
set-10
gen-11
mag-11
set-11
gen-12
342
ISO/IEC 27001:2013
Highlights
Utilizzata la nuova High level structure (HLS) per i sistemi di gestione (ex ISO
Guide 83) richiesta dalle Direttive ISO dal 2012
Stravolte struttura e impostazione rispetto alledizione del 2005
Aggiunti requisiti derivanti dalla HLS (rischi allISMS, formalizzazione degli obiettivi,
comunicazione)
Allineamento alla ISO 31000
Aumentati i requisiti sulla valutazione delle performance
Ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilit)
Rimosse le azioni preventive (comunque presenti come rischi allISMS)
Tradotta in italiano come UNI CEI ISO/IEC 27001:2014
10
Nuova struttura ISO/IEC 27001
1 Scope
5 Leadership 4 ISMS
10 Improvement
11
Analisi del rischio secondo ISO/IEC 27001:2013
Il vero "motore" della ISO/IEC 27001 il processo di gestione del rischio relativo alla
sicurezza delle informazioni, cos specificato genericamente nella ISO 31000:
Uno dei modi pi diretti per effettuare un "trattamento del rischio" quello di ridurlo
ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 pu
essere considerata come un esteso catalogo.
12
Analisi del rischio secondo ISO/IEC 27001:2013
13
ETSI TS 101 533
Dal 2011 ETSI ha pubblicato due specifiche tecniche complementari relative alla
sicurezza nei sistemi di conservazione.
14
ETSI TS 101 533 e 27000
La specifica ETSI esclude la quasi totalit dei contenuti di processo della
ISO/IEC 27001 (audit, riesame etc.) salvo:
la parte di risk assessment (4)
la parte di security policy (A.5.1)
Allo stesso tempo rende "obbligatori" una serie di controlli tecnici, parte ripresi
dalla ETSI TS 102 573 e parte riportati nella ISO/IEC 27002.
15
ETSI TS 101 533 e 27000
Considerando che, da un punto di vista operativo, la 27001
certificabile da una terza parte (OdV)
stabilisce i processi di controllo per la gestione delle contromisure
contempla l'impiego di cataloghi estesi oltre la 27002 per la scelta contromisure
16
Altre attivit del SC27 Italiano
Oltre a fornire un costante e ricco contributo italiano ai lavori normativi dei WG1, 3, 4
il comitato italiano ha condotto nel tempo le seguenti iniziative:
17
Altre attivit di SC27 legate alla privacy
CEN JWG8 costituito a dicembre 2014 per lavorare nell'ambito di
"Privacy management in products and services" a partire da:
"how to address and to manage privacy issues during the design, the development,
and the production and service provision processes of security technologies";
"an informative document for the manufacturers and service providers when
specifying the privacy management processes with explanations how to realise
them";
"adoption as ENs of ISO/IEC 27009 and of ISO/IEC 29134".
18
Contatti e ringraziamenti
UNINFO
http://www.uninfo.it/
uninfo@uninfo.it
Corso Trento 13 - 10129 Torino
Tel. +39 011501027 - Fax +39 011501837
Fabio GUASCONI
Presidente SC27 UNINFO
fabio.guasconi@bl4ckswan.com
19