SlideShare a Scribd company logo

UNINFO - Le nuove norme della famiglia 27000

Download as PPTX, PDF
Fabio Guasconi
Fabio Guasconi

Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.

Technology
1 of 42
Versione aggiornata a novembre 2013 Le nuove norme della famiglia 27000 e il lavoro degli enti normativi italiani
Introduzione al ISO/IEC JTC1 SC27 Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. I suoi 5 Working Groups (WG) hanno i seguenti mandati: WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy 2
ISO/IEC JTC1 SC27: i 5 Working Group WG 3 WG 4 WG 5 Controlli di sicurezza (inclusi quelli per applicazioni e settori specifici, es. Cloud, Telecom, E nergia, Finance), prassi, framework Servizi di sicurezza (inclusi quelli per applicazioni e settori specifici, es. Cloud), sicurezza delle reti IT, servizi di terze parti, IDS, gestione degli incidenti, cybersecurit y, sicurezza delle applicazioni, disaster recovery, forensics Controlli privacy e metodi per la gestione dell’identità (inclusi quelli per applicazioni specifiche, es. cloud), tecniche, framewor k, protezione dei dati biometrici, autentic azione biometrica Meccanismi e tecnologie per la crittografia e la sicurezza 3 Valutazione della sicurezza, test, processi, metodi e specifiche (prodotti, apparati e sistemi di prodotti) WG 2 Sistemi di gestione per la sicurezza delle informazioni (SGSI, ISMS), requisiti, metodi e processi Requisiti e metodi per l’accreditamento, la certificazione e gli audit per i sistemi di gestione WG 1 Economia per la sicurezza delle informazioni e la privacy Governance della sicurezza delle informazioni e della privacy
Standard principali pubblicati dal WG1 27000: Information security management systems overview and vocabulary 27001: Information security management systems - requirements 27002: Code of practice for information security controls 27003: Information security management systems implementation guidance 27004: Information security management – Measurements 27005: Information security risk management 27006: Requirements for bodies providing audit and certification of information security management systems 27007: Guidelines for information security management systems auditing 27008: Guidelines for auditors on information security controls 27010: Information security management for intersector and interorganisational communications 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 27013: Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 27016: Information security management – Organizational economics 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry 27014: Governance of information security 27015: Information secuirty management guidelines for financial services 4
Standard principali pubblicati dal WG2 7064: Check character systems 9796-2: Digital signature schemes giving message recovery 9797: Message authentication codes (3 parts) 9798: Entity authentication (6 parts) 10116: Modes of operation for an n-bit block cipher algorithm 10118: Hash functions (4 parts) 11770: Key management (5 parts) 13888: Non repudiation (3 parts) 14888: Digital signatures with appendix (3 parts) 15946: Cryptography based on elliptic curves 18014: Time stamping services (4 parts) 18032: Prime number generation 18033: Encryption algorithms (5 parts) 18730: Blind digital signatures (2 parts) 19772: Authenticated encryption 29150: Sigcryption 29192: Lightweight cryptography (4 parts) 5
Standard principali pubblicati dal WG3 11889: Trusted platform module 15408: Evaluation criteria for IT security 15443: A framework for IT security assurance 15446: Guide for the production of protection profiles and security targets 18045: Methodology for IT security evaluation 19790: Security requirements for cryptographic modules 19791: Security assessment of operational systems 19792: Security evaluation of biometrics 20004: Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045 21827: Systems security engineering capability maturity model (SSE-CMM) 24759: Test requirements for cryptographic modules 29128: Verification of cryptographic protocols 6
Standard principali pubblicati dal WG4 14516: Guidelines for the use and management of Trusted Third Party services 15816: Security information objects for access control 15945: Specification of TTP services to support the application of digital signatures 18043: Selection, deployment and operations of intrusion detection systems 24762: Guidelines for information and communication technology disaster recovery services 27031: Guidelines for ICT readiness for business continuity 27032: Guidelines for cybersecurity 27033: Network security (5 parts) 27034: Application security 27035: Information security incident management 27037: Guidelines for identification, collection, ac quisition and preservation of digital evidence 29149: Best practice on the provision and use of timestamping services 7
Standard principali pubblicati dal WG5 24761: Authentication context for biometrics 24745: Biometric information protection 24760: A framework for identity management 29191: Requirements for partially anonymous, partially unlinkable authentication 29100: Privacy framework 8
Partecipanti al ISO/IEC JTC1 SC27 Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi a cui si aggiungono 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato di UNI per l'intero settore delle tecnologie informatiche. All'interno di UNINFO è strutturato un SC27 nazionale per garantire adeguata partecipazione alle attività internazionali, così strutturato: GdL "Serie ISO/IEC 27000" GdL "FISFirme, Identità, Sigilli elettronici e relativi Servizi" SC27 Italiano GdL "Profili professionali relativi alla sicurezza informatica" 9
Attività del SC27 Italiano Oltre a fornire un costante e ricco contributo italiano ai lavori normativi dei WG1, 3, 4 il comitato italiano ha condotto nel tempo le seguenti iniziative:     Traduzione in italiano della 27001 (2006) Creazione di GdL verticali (2009-2012) Organizzazione del meeting internazionale del SC27 a Roma (2012) Pubblicazione del quaderno "La gestione della Sicurezza delle Informazioni e della Privacy", liberamente scaricabile qui (2012)  Traduzione allineata delle 27000, 27001 e 27002 in italiano (in corso)  Pubblicazione del quaderno "Guida alla realizzazione di una soluzione di firma grafometrica sicura" (in corso)  Definizione dei profili professionali legati alla sicurezza informatica (in corso) 10
Lo standard ISO/IEC 27000 • Fornisce una visione ad alto livello dei Sistemi di Gestione per la Sicurezza delle Informazioni (SGSI) che sono trattati dalle norme della famiglia 27000 • Definisce i termini e le definizioni di cui tutte le suddette norme fanno uso • Fornisce inoltre una breve descrizione di tutti gli standard della famiglia 27000 • Applicabile a tutti i tipi di realtà organizzative di qualunque dimensione (imprese commerciali, enti governativi, organizzazioni no-profit, ecc.) • Indispensabile per una piena comprensione dei requisiti della ISO/IEC 27001 e dei controlli di sicurezza della ISO/IEC 27002 11
La nuova ISO/IEC 27000 Highlights • E’ una norma in continuo divenire: da quando è stata approvata la prima versione del 2009 si è iniziato a lavorare a una early revision che è stata pubblicata l'anno scorso • Ora la norma è nuovamente in fase di revisione: dovendo recepire i nuovi termini di tutte le norme della famiglia 27000 è soggetta a cambiamenti molto frequenti • La prossima uscita è prevista ad aprile 2014 12
Struttura 1 Scope 2 Terms and definitions 3 Information security management system 4 ISMS family of standard La struttura dalla versione 2012 alla versione 2014 rimane invariata e la norma rimarrà pubblicamente disponibile su: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html 13
Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). • • • • • • • • Applicabile a realtà di ogni dimensione quasi 20 anni di esistenza sul mercato Ambito definibile a piacimento Approccio ciclico (PDCA) Costituisce un framework completo Dice cosa fare, non come farlo Rivolto al miglioramento continuo E’ un riferimento universale e certificabile 14
Diffusione della ISO/IEC 27001 15
La nuova ISO/IEC 27001 Highlights • utilizzata la nuova «High level structure (HLS)» per i sistemi di gestione (ex ISO Guide 83) richiesta dalle Direttive ISO dal 2012 • stravolte struttura e impostazione • aggiunti requisiti derivanti dal common text (rischi all’ISMS, formalizzazione degli obiettivi, comunicazione) • allineamento alla ISO 31000 • aumentati i requisiti sulla valutazione delle performance • ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilità) • rimosse le azioni preventive 16
L’High level structure • Nel 2009, il Technical Management Board (TMB) della ISO ha chiesto al Joint Technical Coordination Group (JTCG) di stabilire un nuovo standard per sviluppare gli standard sui sistemi di gestione (management system standards). • Si cominciò così a sviluppare il «Common Structure and Identical Text for Management System Standards of the Joint Technical Coordination Committee (JTCG)». • Nell'ottobre 2010 il testo della common structure fu fatto circolare e l'SC27 decise di adottare la common structure per la ISO/IEC 27001. • Nel 2012 è stato pubblicato come parte dell'Allegato SL delle ISO/IEC Directives, Part 1, Consolidated ISO Supplement. – Non più una guida, ma una direttiva. – È anche noto, impropriamente, come “Annex SL”. • Il testo presenta molte innovazioni rispetto a quanto consolidato negli ultimi 10 anni a partire dalla ISO 9001:2000. 17
Perché l’HLS • Uniformazione e miglioramento dell’efficacia nella redazione degli standard per i Comitati tecnici dell’ISO. • Migliore allineamento e compatibilità tra gli standard. • Massimo beneficio per le organizzazioni che realizzano un sistema di gestione integrato • E’ stata pubblicata una nuova versione della BS PAS 99 come linea guida per l’interpretazione dell’HLS. 18
Standard e HLS ISO 22000 ISO 50001 ISO 14001 ISO 9001 ISO/IEC 20000-1 ISO 22301 ISO 20121 ISO 39001 ISO/IEC 27001 Pubblicate con adozione HLS In revisione con adozione HLS 19
Lo schema dell’HLS • • • • • • • • • • • • • • Context Leadership & commitment Policy Roles & responsibilities Actions to address risks & opportunities Plan and objectives Resources Competences Awareness Communication Documented information Internal audit Management review Improvement Contenuti su sic info Contenuti su ambiente ISO 14001 Contenuti su energia ISO 50001 Contenuti su XYZ 20 ISO/IEC 27001 ISO XXXX1
Nuova struttura ISO/IEC 27001 1 Scope 2 Normative references 1 Scope 3 Terms and definitions 2 Normative references 4 Context of the organization 3 Terms and definitions 5 Leadership 4 ISMS 6 Planning 5 Management responsibility 7 Support 6 Internal ISMS audits 8 Operation 7 Management review of ISMS 9 Performance evaluation 8 ISMS improvement 10 Improvement 21
Nuova 27001 – Context (§4) • Da HLS: Introdotta una valutazione dei rischi a livello di sistema di gestione (da applicare anche per la ISO 9001). • Richiesta la comprensione del contesto interno ed esterno dell’organizzazione, nonché l’identificazione degli stakeholder e delle loro aspettative. • I requisiti per la descrizione dell’ambito sono ridotti (perché “impliciti”). • Informazioni documentate (procedure, registrazioni): – scope (come nella ISO/IEC 27001:2005) 22
Nuova 27001 – Leadership (§5) • Da HLS: Introdotta la “Leadership” al posto del “Impegno della Direzione”. • Informazioni documentate (procedure, registrazioni): – information security policy (come nella ISO/IEC 27001:2005) 23
Nuova 27001 – Planning (§6) • Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità. – Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e associati alla perdita di riservatezza, integrità e disponibilità. – La valutazione e il trattamento del rischio sono nel planning perché contribuiscono alla pianificazione del sistema di gestione per la sicurezza delle informazioni. – Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati. – La definizione di rischio e quelle ad essa correlate (per esempio quella di “Livello di rischio”) porta comunque ad individuare asset, minacce e vulnerabilità (la “completezza” del risk assessment è un requisito “implicito”). • Si chiede di identificare i “proprietari dei rischi", responsabili delle decisioni in merito (non più solo la Direzione). • Rimangono l’Annex A e il SoA. • Più dettagli su come affrontare gli obiettivi del sistema di gestione. • Informazioni documentate (procedure, registrazioni): – risk assessment process, risk treatment process, security objectives (simile alla precedente) 24
Nuova 27001 – Support (§7) • Tratta delle risorse, delle risorse umane, della comunicazione e delle informazioni documentate. • Maggiore rilievo alla consapevolezza del personale. • Più dettagli su come devono essere affrontate le comunicazioni. • Non si parla più di “Documenti” e “Registrazioni”, ma di “Informazioni documentate” (la necessità di un documento deve essere fatta risalire ai rischi a livello di sistema di gestione), cambia anche pertanto la documentazione "obbligatoria". • In generale, sembra ci siano meno richieste di documenti e registrazioni rispetto alla precedente edizione; ma attenzione che molti requisiti possono essere ritenuti “impliciti” (i documenti sono quindi necessari per chi vuole essere oggetto di audit). • Informazioni documentate (procedure, registrazioni): – evidence of competence (come nella ISO/IEC 27001:2005). 25
Nuova 27001 – Operations (§8) • Sono richiamati la valutazione e il trattamento del rischio. • Informazioni documentate (procedure, registrazioni): – confidence on operational planning and control – risk assessment results – result of information security risk treatment 26
Nuova 27001 – Performance evaluation (§9) • Tratta di: – monitoraggio, misurazioni, analisi e valutazione; – audit interni; – riesame di Direzione. • La valutazione delle performance specifica ora maggiori elementi, riferendosi a controlli e processi. • Non più esplicitamente richiesta una valutazione del “fabbisogno di risorse” nel riesame di Direzione (il quale resta comunque richiesto). • Aggiunta la richiesta di considerazione del raggiungimento degli obiettivi di sicurezza nel riesame di Direzione. • Informazioni documentate (procedure, registrazioni): – evidence of monitoring and measurement results; – evidence of audit programme and results; – evidence of results of management reviews. 27
Nuova 27001 – Improvement (§10) • Tratta di: – non conformità e azioni correttive; – miglioramento continuo. • Eliminate le azioni preventive (da vedere come caso particolare di trattamento dei rischi a livello di sistema di gestione che, quindi, non ha solo valenza strategica, ma anche più operativa). • Informazioni documentate (procedure, registrazioni): – nature and actions resulting from nonconformities – results of corrective actions. 28
Nuova struttura e PDCA D 4 5 6 7 context P leadership planning support 8 operation 9 C A performance evaluation 10 improvement Annex A 29
Lo standard ISO/IEC 27002 Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000: Definizione del contesto Valutazione del rischio Trattamento del rischio Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo. 30
La nuova ISO/IEC 27002 Highlights • mantenimento come annex A della 27001 • ristrutturazione in clauses (aree), control categories (obiettivi) e controls (controlli) • rimozione della parte di risk assessment • passaggio da 133 controlli a 114 accorpando diversi controlli tecnici • aggiunta di controlli su sviluppo sicuro, testing, supply chain e PM • miglioramento soprattutto delle implementation guidance • revisione della terminologia e adattamento alle nuove tecnologie 31
Nuova struttura ISO/IEC 27002 5 Information Security Policies 6 Organisation of Information Security 4 Risk assessment 7 Human Resources Security 5 Security policy 8 Asset Management 6 Organization of information security 9 Access control 7 Asset management 10 Cryptography 8 Human resources security 11 Physical and environmental Security 9 Physical and environmental security 12 Operations Security 10 Communications and operations management 13 Communications Security 11 Access control 14 Systems acquisition, development and maintenance 12 IS acquisition, development and maintenance 15 Supplier relationships 13 Information security incident management 16 Information Security Incident Management 14 Business continuity management 17 IS aspects of Business Continuity 15 Compliance 18 Compliance 32
Nuovi controlli e categorie Alcuni nuovi controlli derivano da un focus di gestione, altri dal mutato ambiente di rischio rispetto al 2005. 6.1.5 Information security in project management 12.6.2 Restrictions on software installation 14.2.1 Secure development policy 14.2.5 Secure system engineering principles 14.2.6 Secure development environment 14.2.8 System security testing 15.1.1 Information security policy for supplier relationships 15.1.3 Information and communication technology supply chain 16.1.4 Assessment of and decision on information security events 16.1.5 Response to information security incidents 17.1.3 Verify, review and evaluate information security continuity 17.2.1 Availability of information processing facilities Vi sono inoltre 3 nuove categorie: 14.3 Test data 17.2 Redundancies 18.2 Information security reviews 33
Controlli scorporati Diversi controlli della versione precedente sono stati incorporati nel testo della nuova 27001 o sono stati inglobati in altri controlli di ampliato ambito: 6.1.1 Management commitment to information security 6.1.2 Information security coordination 6.1.4 Authorization process for information processing facilities 6.2.1 Identification of risks related to external parties 6.2.2 Addressing security when dealing with customers 10.2.1 Service delivery 10.4.2 Controls against mobile code 10.7.4 Security of system documentation 10.8.5 Business information systems 10.9.3 Publicly available information 10.10.2 Monitoring system use 10.10.5 Fault logging 11.4.2 User authentication for external connections 11.4.3 Equipment identification in networks 11.4.4 Remote diagnostic and configuration port protection 11.4.6 Network connection control 11.4.7 Network routing control 11.5.2 User identification and authentication 11.5.5 Session time out 11.5.6 Limitation of connection time 11.6.2 Sensitive system isolation 12.2.2 Control of internal processing 14.1.5 Testing, maintaining and re5assessing business continuity plans 15.1.5 Prevention of misuse of information processing facilities 15.3.2 Protection of information systems audit tools 34
Nuova 27002 Information security policies (§5) • La numerazione e l'intento dell'area rimane uguale a quella precedente • Il focus si sposta su tutte le policy, non solo su quella per la sicurezza delle informazioni Organization of information security (§6) • La parte relativa alle parti esterne (vecchia 6.2) viene spostata nella nuova sezione 15 • La parte relativa all'uso dei dispositivi portatili e al telelavoro (vecchia 11.7) viene spostata nell'area 6 • Nuovo controllo – 6.1.5 Information security in project management Human resource security (§7) • Corrisponde all'omonima area 8 della vecchia versione • I controlli inerenti la restituzione degli asset vengono spostati all'area 8 e quelli relativi alla rimozione dei diritti di accesso all'area 9 35
Nuova 27002 Asset management (§8) • Corrisponde all'omonima area 7 della vecchia versione • Incorpora i controlli inerenti la restituzione degli asset • Incorpora la categoria inerente la gestione dei supporti (vecchia 10.7) Access control (§9) • Corrisponde all'omonima area 11 della vecchia versione • Non si parla più di "password" ma più generalmente di "informazioni segrete per l'autenticazione" • Incorpora i controlli inerenti la rimozione dei diritti di accesso • Cade la distinzione tra controllo di accesso a livello di sistema operativo e a livello di applicazione (vecchie 11.5 e 11.6 rispettivamente) 36
Nuova 27002 Cryptography (§10) • Corrisponde alla vecchia categoria 12.3 Physical and environmental security (§11) • Corrisponde all'omonima area 9 della vecchia versione • Incorpora i controlli inerenti le apparecchiature incustodite e la politica di schermo e scrivania pulite (vecchia 11.3) Operations security (§12) • Nasce dalla scissione della vecchia area 10 (Communications and operations management) mantenendo la parte di procedure, malware, backup, logging e sincronizzazione • Incorpora la gestione delle vulnerabilità tecniche (sempre 12.6) • Incorpora i controlli di audit per i sistemi informativi (vecchia 15.3) • Nuovo controllo – 12.6.2 Restrictions on software installation 37
Nuova 27002 Communications security (§13) • Nasce dalla scissione della vecchia area 10 (Communications and operations management) mantenendo la parte di sicurezza delle reti e di scambio di informazioni • Incorpora i controlli inerenti la separazione delle reti System acquisition, development and maintenance (§14) • Corrisponde all'omonima area 12 della vecchia versione ma risulta significativamente arricchita • Incorpora i controlli inerenti la protezione dei servizi applicativi sia verso l'esterno che non (vecchi 10.9.1 e 10.9.2) • Nuovi controlli – – – – 14.2.1 Secure development policy 14.2.5 Secure system engineering principles 14.2.6 Secure development environment 14.2.8 System security testing 38
Nuova 27002 Supplier relationships (§15) • Questa nuova area incorpora le vecchie categorie 6.2 e 10.2 relative rispettivamente alla gestione delle terze parti e dei servizi da esse forniti • Nuovi controlli – 15.1.1 Information security policy for supplier relationships – 15.1.3 Information and communication technology supply chain Information security incident management (§16) • Corrisponde all'omonima area 13 della vecchia versione, mantenendone l'impostazione complessiva • Nuovi controlli – 16.1.4 Assessment of and decision on information security events – 16.1.5 Response to information security incidents 39
Nuova 27002 Information security aspects of business continuity management (§17) • Corrisponde all'area 14 della vecchia versione, legandosi di più alla nuova impostazione derivante dalla ISO 22301 e dalla ISO/IEC 27031 • Cambia la struttura dei controlli che sono maggiormente legati al PDCA • Nuovi controlli – 17.1.3 Verify, review and evaluate information security continuity – 17.2.1 Availability of information processing facilities Compliance (§18) • Corrisponde all'omonima area 15 della vecchia versione • Incorpora i controlli inerenti il riesame indipendente della sicurezza delle informazioni 40
Transizione delle certificazioni • IAF Resolution 2013–13 – (Agenda Item 8) Endorsement of ISO/IEC 27001:2013 – The General Assembly agreed that the deadline for conformance to ISO/IEC 27001:2013 will be two years from the date of publication [1 October 2015]. – One year after publication of ISO/IEC 27001:2013, all new accredited certifications issued shall be to ISO/IEC 27001:2013. • Qualche nota: – non si richiedono giornate aggiuntive per l’audit di transizione; – non si specifica come qualificare gli auditor già qualificati per la ISO/IEC 27001:2005; – è implicito che un organismo di certificazione non potrà fare certificazioni sulla 27001:2013 fino ad avvenuta transizione dell’accreditamento. • Le organizzazioni certificate dovrebbero ricevere una lettera del proprio OdC con maggiori dettagli. 41
Contatti e ringraziamenti UNINFO http://www.uninfo.it/ uninfo@uninfo.it Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837 Si ringraziano per la preziosa e indispensabile collaborazione alla stesura della presente: Fabio Guasconi – Presidente SC27 UNINFO Cesare Gallotti – Chairman WG1 SC27 UNINFO Mauro Bert – GdL Serie 27000 UNINFO Riccardo Bianconi – GdL Serie 27000 UNINFO Fabrizio Cirilli – GdL Serie 27000 UNINFO 42

Recommended

I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Sylvio Verrecchia - IT Security Engineer
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Digital Law Communication
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuityBusiness Resiliente
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 

Recommended

I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Sylvio Verrecchia - IT Security Engineer
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001Audit in Italy
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Digital Law Communication
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuityBusiness Resiliente
 
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019BL4CKSWAN Srl
 
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Andrea Praitano
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...uninfoit
 
La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001uninfoit
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
IT Governance
IT GovernanceIT Governance
IT GovernanceCristiano Di Paolo
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018Pellegrino Albanese
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
ITIL e project management
ITIL e project managementITIL e project management
ITIL e project managementAndrea Praitano
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Sardegna Ricerche
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2claudiodigiovanni
 
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdfFabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdfUNI - Ente Italiano di Normazione
 
Perissinotti presentazione 2 dicembre
Perissinotti presentazione 2 dicembrePerissinotti presentazione 2 dicembre
Perissinotti presentazione 2 dicembreUNI - Ente Italiano di Normazione
 

More Related Content

What's hot

Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Andrea Praitano
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiFabio Guasconi
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...uninfoit
 
La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001uninfoit
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic srl
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber SecurityEnrico Memmo
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security GovernanceGianandrea Daverio
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
ITIL e project management
ITIL e project managementITIL e project management
ITIL e project managementAndrea Praitano
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Sardegna Ricerche
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDIALOGHI
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 

What's hot (19)

Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamenti
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
 
La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001
 
Security Logic: Security Advisorship Presentation
Security Logic: Security Advisorship PresentationSecurity Logic: Security Advisorship Presentation
Security Logic: Security Advisorship Presentation
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
IT-brochure Cyber Security
IT-brochure Cyber SecurityIT-brochure Cyber Security
IT-brochure Cyber Security
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 
Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018Brochure sicurweb #HSE 2018
Brochure sicurweb #HSE 2018
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
ITIL e project management
ITIL e project managementITIL e project management
ITIL e project management
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
 
iDialoghi - ICT Security Consulting
iDialoghi - ICT Security ConsultingiDialoghi - ICT Security Consulting
iDialoghi - ICT Security Consulting
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 

Similar to UNINFO - Le nuove norme della famiglia 27000

Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del gioco
Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del giocoGdg 2019 artificial intelligence, sviluppo web... le nuove regole del gioco
Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del giocoDaniele Mondello
 
L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...
L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...
L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...UNI - Ente Italiano di Normazione
 
CEIm-Magazine-Ottobre 2022
CEIm-Magazine-Ottobre 2022CEIm-Magazine-Ottobre 2022
CEIm-Magazine-Ottobre 2022Massimo Talia
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016uninfoit
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...uninfoit
 
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Nicola Bottura
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Romauninfoit
 
slide_Annigoni_Perissinotti_Sibilio_rev2.pptx
slide_Annigoni_Perissinotti_Sibilio_rev2.pptxslide_Annigoni_Perissinotti_Sibilio_rev2.pptx
slide_Annigoni_Perissinotti_Sibilio_rev2.pptxnormeUNI1
 

Similar to UNINFO - Le nuove norme della famiglia 27000 (20)

Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2
 
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdfFabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
 
Perissinotti presentazione 2 dicembre
Perissinotti presentazione 2 dicembrePerissinotti presentazione 2 dicembre
Perissinotti presentazione 2 dicembre
 
Presentazione Perissinotti.pdf
Presentazione Perissinotti.pdfPresentazione Perissinotti.pdf
Presentazione Perissinotti.pdf
 
Presentazione_Perissinotti_19-04-2022.pdf
Presentazione_Perissinotti_19-04-2022.pdfPresentazione_Perissinotti_19-04-2022.pdf
Presentazione_Perissinotti_19-04-2022.pdf
 
Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del gioco
Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del giocoGdg 2019 artificial intelligence, sviluppo web... le nuove regole del gioco
Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del gioco
 
L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...
L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...
L’importanza della catena logistica e della sua sicurezza nell’ambito del sis...
 
CEIm-Magazine-Ottobre 2022
CEIm-Magazine-Ottobre 2022CEIm-Magazine-Ottobre 2022
CEIm-Magazine-Ottobre 2022
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Futuro qualita v1
Futuro qualita v1Futuro qualita v1
Futuro qualita v1
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
 
Perissinotti_Compliance_Manager_9_novembre_2022_.pdf
Perissinotti_Compliance_Manager_9_novembre_2022_.pdfPerissinotti_Compliance_Manager_9_novembre_2022_.pdf
Perissinotti_Compliance_Manager_9_novembre_2022_.pdf
 
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
Eccellere in Sicurezza: introduzione alla BBS. Il primo seminario applicativo...
 
2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma2018-06-07 Security Summit Roma
2018-06-07 Security Summit Roma
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
slide_Annigoni_Perissinotti_Sibilio_rev2.pptx
slide_Annigoni_Perissinotti_Sibilio_rev2.pptxslide_Annigoni_Perissinotti_Sibilio_rev2.pptx
slide_Annigoni_Perissinotti_Sibilio_rev2.pptx
 
14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica14a Conferenza Nazionale di Statistica
14a Conferenza Nazionale di Statistica
 
L'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuroL'organizzazione digitale in cammino verso il futuro
L'organizzazione digitale in cammino verso il futuro
 

Recently uploaded

Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Associazione Digital Days
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Associazione Digital Days
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Associazione Digital Days
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIinfogdgmi
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Associazione Digital Days
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Associazione Digital Days
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Associazione Digital Days
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Associazione Digital Days
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Associazione Digital Days
 

Recently uploaded (9)

Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
Gabriele Mittica, CEO @Corley Cloud – “Come creare un’azienda “nativa in clou...
 
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
Luigi Di Carlo, CEO & Founder @Evometrika srl – “Ruolo della computer vision ...
 
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
Alessandro Nasi, COO @Djungle Studio – “Cosa delegheresti alla copia di te st...
 
ScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AIScrapeGraphAI: a new way to scrape context with AI
ScrapeGraphAI: a new way to scrape context with AI
 
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
Alessio Mazzotti, Aaron Brancotti; Writer, Screenwriter, Director, UX, Autore...
 
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
Daniele Lunassi, CEO & Head of Design @Eye Studios – “Creare prodotti e servi...
 
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
Mael Chiabrera, Software Developer; Viola Bongini, Digital Experience Designe...
 
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
Edoardo Di Pietro – “Virtual Influencer vs Umano: Rubiamo il lavoro all’AI”
 
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
Federico Bottino, Lead Venture Builder – “Riflessioni sull’Innovazione: La Cu...
 

UNINFO - Le nuove norme della famiglia 27000

  • 1. Versione aggiornata a novembre 2013 Le nuove norme della famiglia 27000 e il lavoro degli enti normativi italiani
  • 2. Introduzione al ISO/IEC JTC1 SC27 Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. I suoi 5 Working Groups (WG) hanno i seguenti mandati: WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy 2
  • 3. ISO/IEC JTC1 SC27: i 5 Working Group WG 3 WG 4 WG 5 Controlli di sicurezza (inclusi quelli per applicazioni e settori specifici, es. Cloud, Telecom, E nergia, Finance), prassi, framework Servizi di sicurezza (inclusi quelli per applicazioni e settori specifici, es. Cloud), sicurezza delle reti IT, servizi di terze parti, IDS, gestione degli incidenti, cybersecurit y, sicurezza delle applicazioni, disaster recovery, forensics Controlli privacy e metodi per la gestione dell’identità (inclusi quelli per applicazioni specifiche, es. cloud), tecniche, framewor k, protezione dei dati biometrici, autentic azione biometrica Meccanismi e tecnologie per la crittografia e la sicurezza 3 Valutazione della sicurezza, test, processi, metodi e specifiche (prodotti, apparati e sistemi di prodotti) WG 2 Sistemi di gestione per la sicurezza delle informazioni (SGSI, ISMS), requisiti, metodi e processi Requisiti e metodi per l’accreditamento, la certificazione e gli audit per i sistemi di gestione WG 1 Economia per la sicurezza delle informazioni e la privacy Governance della sicurezza delle informazioni e della privacy
  • 4. Standard principali pubblicati dal WG1 27000: Information security management systems overview and vocabulary 27001: Information security management systems - requirements 27002: Code of practice for information security controls 27003: Information security management systems implementation guidance 27004: Information security management – Measurements 27005: Information security risk management 27006: Requirements for bodies providing audit and certification of information security management systems 27007: Guidelines for information security management systems auditing 27008: Guidelines for auditors on information security controls 27010: Information security management for intersector and interorganisational communications 27011: Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 27013: Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 27016: Information security management – Organizational economics 27019: Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry 27014: Governance of information security 27015: Information secuirty management guidelines for financial services 4
  • 5. Standard principali pubblicati dal WG2 7064: Check character systems 9796-2: Digital signature schemes giving message recovery 9797: Message authentication codes (3 parts) 9798: Entity authentication (6 parts) 10116: Modes of operation for an n-bit block cipher algorithm 10118: Hash functions (4 parts) 11770: Key management (5 parts) 13888: Non repudiation (3 parts) 14888: Digital signatures with appendix (3 parts) 15946: Cryptography based on elliptic curves 18014: Time stamping services (4 parts) 18032: Prime number generation 18033: Encryption algorithms (5 parts) 18730: Blind digital signatures (2 parts) 19772: Authenticated encryption 29150: Sigcryption 29192: Lightweight cryptography (4 parts) 5
  • 6. Standard principali pubblicati dal WG3 11889: Trusted platform module 15408: Evaluation criteria for IT security 15443: A framework for IT security assurance 15446: Guide for the production of protection profiles and security targets 18045: Methodology for IT security evaluation 19790: Security requirements for cryptographic modules 19791: Security assessment of operational systems 19792: Security evaluation of biometrics 20004: Refining software vulnerability analysis under ISO/IEC 15408 and ISO/IEC 18045 21827: Systems security engineering capability maturity model (SSE-CMM) 24759: Test requirements for cryptographic modules 29128: Verification of cryptographic protocols 6
  • 7. Standard principali pubblicati dal WG4 14516: Guidelines for the use and management of Trusted Third Party services 15816: Security information objects for access control 15945: Specification of TTP services to support the application of digital signatures 18043: Selection, deployment and operations of intrusion detection systems 24762: Guidelines for information and communication technology disaster recovery services 27031: Guidelines for ICT readiness for business continuity 27032: Guidelines for cybersecurity 27033: Network security (5 parts) 27034: Application security 27035: Information security incident management 27037: Guidelines for identification, collection, ac quisition and preservation of digital evidence 29149: Best practice on the provision and use of timestamping services 7
  • 8. Standard principali pubblicati dal WG5 24761: Authentication context for biometrics 24745: Biometric information protection 24760: A framework for identity management 29191: Requirements for partially anonymous, partially unlinkable authentication 29100: Privacy framework 8
  • 9. Partecipanti al ISO/IEC JTC1 SC27 Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi a cui si aggiungono 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, Ente federato di UNI per l'intero settore delle tecnologie informatiche. All'interno di UNINFO è strutturato un SC27 nazionale per garantire adeguata partecipazione alle attività internazionali, così strutturato: GdL "Serie ISO/IEC 27000" GdL "FISFirme, Identità, Sigilli elettronici e relativi Servizi" SC27 Italiano GdL "Profili professionali relativi alla sicurezza informatica" 9
  • 10. Attività del SC27 Italiano Oltre a fornire un costante e ricco contributo italiano ai lavori normativi dei WG1, 3, 4 il comitato italiano ha condotto nel tempo le seguenti iniziative:     Traduzione in italiano della 27001 (2006) Creazione di GdL verticali (2009-2012) Organizzazione del meeting internazionale del SC27 a Roma (2012) Pubblicazione del quaderno "La gestione della Sicurezza delle Informazioni e della Privacy", liberamente scaricabile qui (2012)  Traduzione allineata delle 27000, 27001 e 27002 in italiano (in corso)  Pubblicazione del quaderno "Guida alla realizzazione di una soluzione di firma grafometrica sicura" (in corso)  Definizione dei profili professionali legati alla sicurezza informatica (in corso) 10
  • 11. Lo standard ISO/IEC 27000 • Fornisce una visione ad alto livello dei Sistemi di Gestione per la Sicurezza delle Informazioni (SGSI) che sono trattati dalle norme della famiglia 27000 • Definisce i termini e le definizioni di cui tutte le suddette norme fanno uso • Fornisce inoltre una breve descrizione di tutti gli standard della famiglia 27000 • Applicabile a tutti i tipi di realtà organizzative di qualunque dimensione (imprese commerciali, enti governativi, organizzazioni no-profit, ecc.) • Indispensabile per una piena comprensione dei requisiti della ISO/IEC 27001 e dei controlli di sicurezza della ISO/IEC 27002 11
  • 12. La nuova ISO/IEC 27000 Highlights • E’ una norma in continuo divenire: da quando è stata approvata la prima versione del 2009 si è iniziato a lavorare a una early revision che è stata pubblicata l'anno scorso • Ora la norma è nuovamente in fase di revisione: dovendo recepire i nuovi termini di tutte le norme della famiglia 27000 è soggetta a cambiamenti molto frequenti • La prossima uscita è prevista ad aprile 2014 12
  • 13. Struttura 1 Scope 2 Terms and definitions 3 Information security management system 4 ISMS family of standard La struttura dalla versione 2012 alla versione 2014 rimane invariata e la norma rimarrà pubblicamente disponibile su: http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html 13
  • 14. Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS). • • • • • • • • Applicabile a realtà di ogni dimensione quasi 20 anni di esistenza sul mercato Ambito definibile a piacimento Approccio ciclico (PDCA) Costituisce un framework completo Dice cosa fare, non come farlo Rivolto al miglioramento continuo E’ un riferimento universale e certificabile 14
  • 16. La nuova ISO/IEC 27001 Highlights • utilizzata la nuova «High level structure (HLS)» per i sistemi di gestione (ex ISO Guide 83) richiesta dalle Direttive ISO dal 2012 • stravolte struttura e impostazione • aggiunti requisiti derivanti dal common text (rischi all’ISMS, formalizzazione degli obiettivi, comunicazione) • allineamento alla ISO 31000 • aumentati i requisiti sulla valutazione delle performance • ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilità) • rimosse le azioni preventive 16
  • 17. L’High level structure • Nel 2009, il Technical Management Board (TMB) della ISO ha chiesto al Joint Technical Coordination Group (JTCG) di stabilire un nuovo standard per sviluppare gli standard sui sistemi di gestione (management system standards). • Si cominciò così a sviluppare il «Common Structure and Identical Text for Management System Standards of the Joint Technical Coordination Committee (JTCG)». • Nell'ottobre 2010 il testo della common structure fu fatto circolare e l'SC27 decise di adottare la common structure per la ISO/IEC 27001. • Nel 2012 è stato pubblicato come parte dell'Allegato SL delle ISO/IEC Directives, Part 1, Consolidated ISO Supplement. – Non più una guida, ma una direttiva. – È anche noto, impropriamente, come “Annex SL”. • Il testo presenta molte innovazioni rispetto a quanto consolidato negli ultimi 10 anni a partire dalla ISO 9001:2000. 17
  • 18. Perché l’HLS • Uniformazione e miglioramento dell’efficacia nella redazione degli standard per i Comitati tecnici dell’ISO. • Migliore allineamento e compatibilità tra gli standard. • Massimo beneficio per le organizzazioni che realizzano un sistema di gestione integrato • E’ stata pubblicata una nuova versione della BS PAS 99 come linea guida per l’interpretazione dell’HLS. 18
  • 20. Lo schema dell’HLS • • • • • • • • • • • • • • Context Leadership & commitment Policy Roles & responsibilities Actions to address risks & opportunities Plan and objectives Resources Competences Awareness Communication Documented information Internal audit Management review Improvement Contenuti su sic info Contenuti su ambiente ISO 14001 Contenuti su energia ISO 50001 Contenuti su XYZ 20 ISO/IEC 27001 ISO XXXX1
  • 21. Nuova struttura ISO/IEC 27001 1 Scope 2 Normative references 1 Scope 3 Terms and definitions 2 Normative references 4 Context of the organization 3 Terms and definitions 5 Leadership 4 ISMS 6 Planning 5 Management responsibility 7 Support 6 Internal ISMS audits 8 Operation 7 Management review of ISMS 9 Performance evaluation 8 ISMS improvement 10 Improvement 21
  • 22. Nuova 27001 – Context (§4) • Da HLS: Introdotta una valutazione dei rischi a livello di sistema di gestione (da applicare anche per la ISO 9001). • Richiesta la comprensione del contesto interno ed esterno dell’organizzazione, nonché l’identificazione degli stakeholder e delle loro aspettative. • I requisiti per la descrizione dell’ambito sono ridotti (perché “impliciti”). • Informazioni documentate (procedure, registrazioni): – scope (come nella ISO/IEC 27001:2005) 22
  • 23. Nuova 27001 – Leadership (§5) • Da HLS: Introdotta la “Leadership” al posto del “Impegno della Direzione”. • Informazioni documentate (procedure, registrazioni): – information security policy (come nella ISO/IEC 27001:2005) 23
  • 24. Nuova 27001 – Planning (§6) • Risk assessment non più esplicitamente legato ad asset, minacce e vulnerabilità. – Si chiede di identificare i rischi relativi alla sicurezza delle informazioni e associati alla perdita di riservatezza, integrità e disponibilità. – La valutazione e il trattamento del rischio sono nel planning perché contribuiscono alla pianificazione del sistema di gestione per la sicurezza delle informazioni. – Il metodo deve sempre garantire la coerenza, validità e comparabilità dei risultati. – La definizione di rischio e quelle ad essa correlate (per esempio quella di “Livello di rischio”) porta comunque ad individuare asset, minacce e vulnerabilità (la “completezza” del risk assessment è un requisito “implicito”). • Si chiede di identificare i “proprietari dei rischi", responsabili delle decisioni in merito (non più solo la Direzione). • Rimangono l’Annex A e il SoA. • Più dettagli su come affrontare gli obiettivi del sistema di gestione. • Informazioni documentate (procedure, registrazioni): – risk assessment process, risk treatment process, security objectives (simile alla precedente) 24
  • 25. Nuova 27001 – Support (§7) • Tratta delle risorse, delle risorse umane, della comunicazione e delle informazioni documentate. • Maggiore rilievo alla consapevolezza del personale. • Più dettagli su come devono essere affrontate le comunicazioni. • Non si parla più di “Documenti” e “Registrazioni”, ma di “Informazioni documentate” (la necessità di un documento deve essere fatta risalire ai rischi a livello di sistema di gestione), cambia anche pertanto la documentazione "obbligatoria". • In generale, sembra ci siano meno richieste di documenti e registrazioni rispetto alla precedente edizione; ma attenzione che molti requisiti possono essere ritenuti “impliciti” (i documenti sono quindi necessari per chi vuole essere oggetto di audit). • Informazioni documentate (procedure, registrazioni): – evidence of competence (come nella ISO/IEC 27001:2005). 25
  • 26. Nuova 27001 – Operations (§8) • Sono richiamati la valutazione e il trattamento del rischio. • Informazioni documentate (procedure, registrazioni): – confidence on operational planning and control – risk assessment results – result of information security risk treatment 26
  • 27. Nuova 27001 – Performance evaluation (§9) • Tratta di: – monitoraggio, misurazioni, analisi e valutazione; – audit interni; – riesame di Direzione. • La valutazione delle performance specifica ora maggiori elementi, riferendosi a controlli e processi. • Non più esplicitamente richiesta una valutazione del “fabbisogno di risorse” nel riesame di Direzione (il quale resta comunque richiesto). • Aggiunta la richiesta di considerazione del raggiungimento degli obiettivi di sicurezza nel riesame di Direzione. • Informazioni documentate (procedure, registrazioni): – evidence of monitoring and measurement results; – evidence of audit programme and results; – evidence of results of management reviews. 27
  • 28. Nuova 27001 – Improvement (§10) • Tratta di: – non conformità e azioni correttive; – miglioramento continuo. • Eliminate le azioni preventive (da vedere come caso particolare di trattamento dei rischi a livello di sistema di gestione che, quindi, non ha solo valenza strategica, ma anche più operativa). • Informazioni documentate (procedure, registrazioni): – nature and actions resulting from nonconformities – results of corrective actions. 28
  • 29. Nuova struttura e PDCA D 4 5 6 7 context P leadership planning support 8 operation 9 C A performance evaluation 10 improvement Annex A 29
  • 30. Lo standard ISO/IEC 27002 Il vero "motore" della ISO/IEC 27001 è il processo di gestione del rischio relativo alla sicurezza delle informazioni, così specificato genericamente nella ISO 31000: Definizione del contesto Valutazione del rischio Trattamento del rischio Uno dei modi più diretti per effettuare un "trattamento del rischio" è quello di ridurlo ad un livello accettabile adottando dei controlli di sicurezza, dei quali la 27002 può essere considerata come un esteso catalogo. 30
  • 31. La nuova ISO/IEC 27002 Highlights • mantenimento come annex A della 27001 • ristrutturazione in clauses (aree), control categories (obiettivi) e controls (controlli) • rimozione della parte di risk assessment • passaggio da 133 controlli a 114 accorpando diversi controlli tecnici • aggiunta di controlli su sviluppo sicuro, testing, supply chain e PM • miglioramento soprattutto delle implementation guidance • revisione della terminologia e adattamento alle nuove tecnologie 31
  • 32. Nuova struttura ISO/IEC 27002 5 Information Security Policies 6 Organisation of Information Security 4 Risk assessment 7 Human Resources Security 5 Security policy 8 Asset Management 6 Organization of information security 9 Access control 7 Asset management 10 Cryptography 8 Human resources security 11 Physical and environmental Security 9 Physical and environmental security 12 Operations Security 10 Communications and operations management 13 Communications Security 11 Access control 14 Systems acquisition, development and maintenance 12 IS acquisition, development and maintenance 15 Supplier relationships 13 Information security incident management 16 Information Security Incident Management 14 Business continuity management 17 IS aspects of Business Continuity 15 Compliance 18 Compliance 32
  • 33. Nuovi controlli e categorie Alcuni nuovi controlli derivano da un focus di gestione, altri dal mutato ambiente di rischio rispetto al 2005. 6.1.5 Information security in project management 12.6.2 Restrictions on software installation 14.2.1 Secure development policy 14.2.5 Secure system engineering principles 14.2.6 Secure development environment 14.2.8 System security testing 15.1.1 Information security policy for supplier relationships 15.1.3 Information and communication technology supply chain 16.1.4 Assessment of and decision on information security events 16.1.5 Response to information security incidents 17.1.3 Verify, review and evaluate information security continuity 17.2.1 Availability of information processing facilities Vi sono inoltre 3 nuove categorie: 14.3 Test data 17.2 Redundancies 18.2 Information security reviews 33
  • 34. Controlli scorporati Diversi controlli della versione precedente sono stati incorporati nel testo della nuova 27001 o sono stati inglobati in altri controlli di ampliato ambito: 6.1.1 Management commitment to information security 6.1.2 Information security coordination 6.1.4 Authorization process for information processing facilities 6.2.1 Identification of risks related to external parties 6.2.2 Addressing security when dealing with customers 10.2.1 Service delivery 10.4.2 Controls against mobile code 10.7.4 Security of system documentation 10.8.5 Business information systems 10.9.3 Publicly available information 10.10.2 Monitoring system use 10.10.5 Fault logging 11.4.2 User authentication for external connections 11.4.3 Equipment identification in networks 11.4.4 Remote diagnostic and configuration port protection 11.4.6 Network connection control 11.4.7 Network routing control 11.5.2 User identification and authentication 11.5.5 Session time out 11.5.6 Limitation of connection time 11.6.2 Sensitive system isolation 12.2.2 Control of internal processing 14.1.5 Testing, maintaining and re5assessing business continuity plans 15.1.5 Prevention of misuse of information processing facilities 15.3.2 Protection of information systems audit tools 34
  • 35. Nuova 27002 Information security policies (§5) • La numerazione e l'intento dell'area rimane uguale a quella precedente • Il focus si sposta su tutte le policy, non solo su quella per la sicurezza delle informazioni Organization of information security (§6) • La parte relativa alle parti esterne (vecchia 6.2) viene spostata nella nuova sezione 15 • La parte relativa all'uso dei dispositivi portatili e al telelavoro (vecchia 11.7) viene spostata nell'area 6 • Nuovo controllo – 6.1.5 Information security in project management Human resource security (§7) • Corrisponde all'omonima area 8 della vecchia versione • I controlli inerenti la restituzione degli asset vengono spostati all'area 8 e quelli relativi alla rimozione dei diritti di accesso all'area 9 35
  • 36. Nuova 27002 Asset management (§8) • Corrisponde all'omonima area 7 della vecchia versione • Incorpora i controlli inerenti la restituzione degli asset • Incorpora la categoria inerente la gestione dei supporti (vecchia 10.7) Access control (§9) • Corrisponde all'omonima area 11 della vecchia versione • Non si parla più di "password" ma più generalmente di "informazioni segrete per l'autenticazione" • Incorpora i controlli inerenti la rimozione dei diritti di accesso • Cade la distinzione tra controllo di accesso a livello di sistema operativo e a livello di applicazione (vecchie 11.5 e 11.6 rispettivamente) 36
  • 37. Nuova 27002 Cryptography (§10) • Corrisponde alla vecchia categoria 12.3 Physical and environmental security (§11) • Corrisponde all'omonima area 9 della vecchia versione • Incorpora i controlli inerenti le apparecchiature incustodite e la politica di schermo e scrivania pulite (vecchia 11.3) Operations security (§12) • Nasce dalla scissione della vecchia area 10 (Communications and operations management) mantenendo la parte di procedure, malware, backup, logging e sincronizzazione • Incorpora la gestione delle vulnerabilità tecniche (sempre 12.6) • Incorpora i controlli di audit per i sistemi informativi (vecchia 15.3) • Nuovo controllo – 12.6.2 Restrictions on software installation 37
  • 38. Nuova 27002 Communications security (§13) • Nasce dalla scissione della vecchia area 10 (Communications and operations management) mantenendo la parte di sicurezza delle reti e di scambio di informazioni • Incorpora i controlli inerenti la separazione delle reti System acquisition, development and maintenance (§14) • Corrisponde all'omonima area 12 della vecchia versione ma risulta significativamente arricchita • Incorpora i controlli inerenti la protezione dei servizi applicativi sia verso l'esterno che non (vecchi 10.9.1 e 10.9.2) • Nuovi controlli – – – – 14.2.1 Secure development policy 14.2.5 Secure system engineering principles 14.2.6 Secure development environment 14.2.8 System security testing 38
  • 39. Nuova 27002 Supplier relationships (§15) • Questa nuova area incorpora le vecchie categorie 6.2 e 10.2 relative rispettivamente alla gestione delle terze parti e dei servizi da esse forniti • Nuovi controlli – 15.1.1 Information security policy for supplier relationships – 15.1.3 Information and communication technology supply chain Information security incident management (§16) • Corrisponde all'omonima area 13 della vecchia versione, mantenendone l'impostazione complessiva • Nuovi controlli – 16.1.4 Assessment of and decision on information security events – 16.1.5 Response to information security incidents 39
  • 40. Nuova 27002 Information security aspects of business continuity management (§17) • Corrisponde all'area 14 della vecchia versione, legandosi di più alla nuova impostazione derivante dalla ISO 22301 e dalla ISO/IEC 27031 • Cambia la struttura dei controlli che sono maggiormente legati al PDCA • Nuovi controlli – 17.1.3 Verify, review and evaluate information security continuity – 17.2.1 Availability of information processing facilities Compliance (§18) • Corrisponde all'omonima area 15 della vecchia versione • Incorpora i controlli inerenti il riesame indipendente della sicurezza delle informazioni 40
  • 41. Transizione delle certificazioni • IAF Resolution 2013–13 – (Agenda Item 8) Endorsement of ISO/IEC 27001:2013 – The General Assembly agreed that the deadline for conformance to ISO/IEC 27001:2013 will be two years from the date of publication [1 October 2015]. – One year after publication of ISO/IEC 27001:2013, all new accredited certifications issued shall be to ISO/IEC 27001:2013. • Qualche nota: – non si richiedono giornate aggiuntive per l’audit di transizione; – non si specifica come qualificare gli auditor già qualificati per la ISO/IEC 27001:2005; – è implicito che un organismo di certificazione non potrà fare certificazioni sulla 27001:2013 fino ad avvenuta transizione dell’accreditamento. • Le organizzazioni certificate dovrebbero ricevere una lettera del proprio OdC con maggiori dettagli. 41
  • 42. Contatti e ringraziamenti UNINFO http://www.uninfo.it/ uninfo@uninfo.it Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837 Si ringraziano per la preziosa e indispensabile collaborazione alla stesura della presente: Fabio Guasconi – Presidente SC27 UNINFO Cesare Gallotti – Chairman WG1 SC27 UNINFO Mauro Bert – GdL Serie 27000 UNINFO Riccardo Bianconi – GdL Serie 27000 UNINFO Fabrizio Cirilli – GdL Serie 27000 UNINFO 42