top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

ISO - 38° meeting del sottocomitato 27 (SC27)

Pechino - 4-8 maggio 2009


Il 38° meeting del sottocomitato 27 (SC27) si è aperto nella cornice della calda primavera pechinese. Il gruppo di lavoro 1 (WG1), orientato ai Sistemi per la Gestione della Sicurezza delle Informazioni continua a registrare un incremento di partecipazione costante, includendo ora oltre 30 delegazioni nazionali attive.

Fabio Guasconi, rappresentante della delegazione italiana in questo meeting, ci riporta le notizie fondamentali riguardo alle varie norme ai lavori.

Revisione 27001 e 27002
Sicuramente tra queste la prima parola spetta all’attesa revisione congiunta di ISO/IEC 27001 e 27002. In questo ambito i contributi (tra cui anche quello nazionale, finalmente!) sono stati decisamente consistenti, andando anche a proporre cambiamenti di struttura sostanziali dello standard.
A questo proposito, per esempio, il primo working draft della nuova 27001 sarà riscritta non più con una struttura coerente con la 9001, ma, applicando le linee guida del JTCG (Joint Technical Coordination Group) che coinvolgeranno d’ora in avanti tutti i sistemi di gestione, avrà una suddivisione diversa in capitoli, schematizzabile a grandi linee come segue:
1. Context of the organization
2. Leadrship and planning
3. Support
4. Operations
5. Performance evaluation
6. Improvement

Sulla decisione immediatamente successiva si è poi acceso un confronto molto serrato sull’Annex A. Le posizioni principali in merito erano quella di mantenerlo aggiornandolo alla nuova 27002 oppure di rimuoverlo. I vantaggi e svantaggi di ogni soluzione sono stati dibattuti ma alla fine ha prevalso di stretta misura la posizione, sostenuta principalmente da Giappone e Brasile, di lasciare l’Annex A, senza operare in questo caso una modifica che avrebbe fatto chiarezza e avrebbe permesso una separazione più netta tra le due norme.

Il punto successivo è stato inerente al conflitto tra “ISMS Policy” e “Information Security Policy”, sicuramente da risolvere e derivante da una 17799 che non era ancora appaiata a nessuna norma di requisiti (come poi è stata la 27001). Fatto sta che attualmente non c’è una separazione netta tra questi documenti e, nel corso della discussione, è passata la posizione Anglo-Italiana di revisionare il controllo 5.1.1 della futura 27002 al fine di separare concettualmente questi due documenti.

L’ultimo dei punti principali di interesse è costituito dal capitolo 4 della 27002, anche lui figlio dell’impostazione “unica” della 17799. Questo capitolo (integrato ed ampliamente esteso nella 27005) verrà rimosso e la 27002 diventerà esclusivamente un catalogo di contromisure (controls).

Essendo stata data priorità agli argomenti di cui sopra, i numerosi commenti sul testo sono stati visionati solo in minima parte e rinviati per la maggioranza al prossimo meeting.

27008
Oltre alla 27007 (Guidelines for ISMS Audits), è da poco entrata in lavorazione una nuova norma sull’auditing, che però abbraccia le attività di verifica più in generale e non solo ristrette a quello che è l’audit di terza parte rivolto alla certificazione. Nell’ambito di questa norma, dai contenuti decisamente interessanti, l’Italia ha tenuto una breve presentazione ai delegati sulla metodologia OSSTMM di Isecom (www.isecom.org) che è assolutamente rilevante per la raccolta di informazioni sulla sicurezza basata su attività di test. La reazione è stata positiva e si sta valutando quale possa essere il modo migliore di legarla al nascente standard.

27010
Dopo un avventuroso avvicendamento del gruppo di editing, che ora vede impegnati Canada e UK, la nascente norma (Information security management for inter-sector communications) verrà divisa in una parte generale e una parte specifica per gli SCADA, a fronte del crescente interesse che questa tematica sta giustamente guadagnando a livello nazionale e internazionale. Nella seconda parte si è deciso però di non limitare l’argomento alle sole infrastrutture critiche, considerando tutte quelle che possono essere di importanza significativa (anche solo localmente).
E’ da sottolineare che questo lavoro non vuole assolutamente andare a duplicare gli ottimi lavori che stanno venendo intrapresi da altre organizzazioni, tra cui NERC, NIST, OASIS etc.

27015
Nonostante si trovi ancora a uno stato iniziale, questa norma specifica per il settore finanziario e assicurativo sta già destando molte attenzioni. Gli USA hanno, a fronte della crisi del settore, abbandonato la guida del progetto, che sarà probabilmente raccolta dal Lussemburgo il quale si troverà a dover lavorare a stretto contatto con il TC68 del SC2 (già autore di …).

Altri aspetti di interesse
Considerando un po’ a volo d’uccello le altre norme in gestione al WG1, si può finalmente notare come i lavori alla 27004 siano in fase di conclusione, tanto da prevedere l’emissione di un FDIS entro il prossimo meeting. La 27011, pronta già da tempo, è in fase di pubblicazione mentre la 27007 di cui già si accennava precedentemente passerà allo stato di CD.
La 27000 è già stata pubblicata ma, per errore, figura come norma a pagamento. Il SC27 aveva votato che fosse liberamente disponibile e sono state avviate le azioni necessarie a fare in modo che questo vada ad essere vero nel più breve tempo possibile. Potranno essere effettuate aggiunte nel prossimo futuro di tale norma, man mano che le componenti della famiglia 27000 sono completate.
La 27012, specifica per i servizi di e-government, ha invece subito una battuta d’arresto registrando la forte opposizione di USA e Nuova Zelanda e la poca convinzione della sua necessità presso gli altri national bodies.
Durante il meeting, presieduto da Ted Humphreys (papà della BS 7799), quest’ultimo ha annunciato le modalità del suo progressivo ritiro dalla guida del WG1. Questo ritiro avverrà entro i prossimi due anni e lascerà il gruppo di lavoro nelle mani dei capacissimi John Dale e Angelika Plate.

Il prossimo meeting è previsto per novembre e sarà ospitato da Microsoft, in quel di Redmond (Seattle) e sarà sicuramente decisivo per diversi aspetti di capitale importanza, a cui l’Italia, con una posizione speriamo ancora più forte, non si sottrarrà di certo.