top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

ISO/IEC 27001:2013 - Information Security Management System

Pubblicazione aggiornamento dello standard


La discussione ed il confronto sulle esperienze internazionali effettuate negli ultimi anni hanno permesso di giungere alla conclusione del ciclo di riesame e miglioramento dello standard ISO/IEC 27001:2005 – Information Security Management System (SGSI) e consentito la pubblicazione della nuova versione nel settembre 2013. L’International Organization for Standardization (ISO) e l’International Electrotechnical Commission (IEC) hanno infatti da tempo creato un comitato congiunto (joint committee JTC1) per la collaborazione nell’area dell’information technology. Uno dei sub-comitati di JTC1 è SC27, organo che si focalizza sullo sviluppo degli Standard Internazionali, Rapporti Tecnici e Specificazioni Tecniche per la protezione delle informazioni e le tecnologie della comunicazione e l’informazione, sub-comitato cui @ Mediaservice.net S.r.l. peraltro partecipa in qualità di membro contributore.

 

Ma facciamo un passo indietro e vediamo con quali numeri ISO/IEC 27001:2005 si è consolidato a livello internazionale come il principale e più affermato standard in materia di sicurezza delle informazioni. 

Come evidenziato dal survey condotto da ISO nel dicembre 2012, a fine 2011 nel mondo erano presenti circa 17.500 certificati, segnando nei confronti dell’anno precedente un incremento del 12%.

 

(FONTE: www.iso.org)

 

Standard

Certificati nel 2011

Certificati nel 2010

Evoluzione

Evoluzione in %

UNI EN ISO 9001

1.111.698

1.118.510

-6.812

-1%

ISO/IEC 27001

17.509

15.626

1883

12%

 

Figura 1 – Survey di ISO sui principali sistemi di gestione

 

Una tendenza sicuramente interessante se incrociata con quella di altri standard (come ad es. ISO 14001 6%, ISO 22000 8%, ISO/TS 16949 8%, ISO 13485 6% e ISO 50001 332%) poiché, tra gli altri aspetti, si delinea una “disaffezione” dal Sistema (generalista) di Gestione della Qualità - UNI EN ISO 9001 a favore di standard più verticali e mirati. Parlando del mercato italiano, come evidenziato dal grafico sottostante, il numero dei certificati a fine 2012 si è attestato intorno ai 500, con un buon trend di crescita.

 

Numero Certificati

 

Figura 2 – Numero dei certificati ISO/IEC 27001:2005 in Italia

 

Tornando alla nuova versione dello schema ISO/IEC 27001, l’SC27 ha svolto quindi un attività di aggiornamento ed attualizzazione dello standard, anche alla luce dello studio svolto dal UK Department for Business, Innovation and Skills che indica come, negli ultimi anni, le piccole aziende stiano facendo esperienza con un numero ed una tipologia di incidenti di sicurezza che fino a poco tempo fa erano tipici solo delle grandi imprese.

 

Edward Humphreys, “padre” del SGSI sottolinea infatti l’importanza delle attività di confronto tra le esperienze raccolte dall’SC27, al fine di poter ”Svolgere una serie di miglioramenti ai controlli di sicurezza elencati nell’Annex A per garantire che lo standard rimanga attuale e sia in grado di affrontare i rischi oggi presenti, quali ad esempio la sottrazione di identità e i rischi legati ai nuovi dispositivi mobili, oltre alle emergenti vulnerabilità della rete”.

 

Quali sono allora i principali cambiamenti introdotti nella nuova versione ? Vediamone alcuni, unitamente ai benefici attesi per l’implementazione e il mantenimento del Sistema di Gestione.

 

CAMBIAMENTO

BENEFICIO

L’allineamento all’Annex SL della ISO/IEC Directive, in modo che la struttura della 27001 sia ora sovrapponibile a quella di altri standard di gestione.

Maggior facilità di integrazione per le imprese che applicano più standard (quali ad es. 14001 e 9001) per via dell’adozione della Common Structure.

Forte orientamento alle parti interessate dal SGSI: produzione di elenchi di clienti, fornitori, partner, autorità, terze parti, ecc.

Maggiore comprensione dei rischi derivanti dalle attività svolte dai soggetti terzi.

Fusione dei concetti di “documentazione” e “registrazione” in “informazioni documentate” e soppressione del termine di riferimento “procedure documentate” per i processi Document control, Internal Audit, Preventive e Corrective action.

Diminuzione del rigore circa la documentazione delle procedure interne per le operazioni routinarie. Lo schema lascia aperte ora anche altre vie per trasmettere e rendere note le procedure, concentrandosi invece maggiormente sulle registrazioni relative al funzionamento del SGSI.

Asset, vulnerabilità e minacce non costituiscono più la base del risk assessment, ma piuttosto è richiesto che siano identificati i rischi associati alla riservatezza, integrità e disponibilità dell’informazione.

Seppur il paradigma asset > vulnerabilità > minacce sarà ancora utilizzato, con questa versione si potrà ora avere maggiore libertà nell’identificazione dei rischi.

Identificazione e definizione degli obiettivi di sicurezza che si intendono centrare e dei piani per raggiungerli.

Maggiore consapevolezza circa l’indirizzamento del SGSI e migliore capacità di misurazione dei risultati ottenuti (Performance evaluation).

Eliminazione del requisito e nuovo approccio alle azioni preventive.

Maggior consistenza degli aspetti di risk assessment e treatment, cui le azioni preventive originariamente appartengono.

Razionalizzazione degli aspetti di comunicazione

Maggior chiarezza relativamente a cosa deve essere comunicato, quando, a chi, ecc.

 

Tabella 1 – Cambiamenti e benefici attesi

 

I cambiamenti indicati in tabella in alcuni casi derivano da nuovi controlli di sicurezza integrati nella versione 2013 dello standard, in particolare:

 

  Sezione e controlli

 

Figura 3 – Sezioni e controlli

A.6.1.5     >>      Information security in project management

14.2.1       >>      Secure development policy

14.2.5       >>      Secure system engineering principles

14.2.6       >>      Secure development environment

14.2.8       >>      System security testing

16.1.4      >>     Assessment of and decision on information security events

17.2.1       >>      Availability of information processing facilities

 

Come rappresentato in Figura 3, e nonostante l’introduzione di alcuni nuovi controlli, nella versione 2013 i controlli complessivi, distribuiti ora in 14 sezioni, risultano essere solo 114. Tale risultato è stato ottenuto in seguito al nuovo indirizzamento, all’ottimizzazione ed all’ accorpamento dei controlli esistenti.

 

Fase transizione

 

Figura 4 – La fase di transizione dello standard

Per i soggetti che intendono adottare ora lo standard 27001, il problema non si pone poiché possono già avviare le attività di preparazione e implementazione con la versione 2013. Vediamo ora di comprendere le azioni ed i tempi per quei soggetti che invece hanno già certificato il sistema con la schema del 2005 e devono migrare verso la nuova versione.

 

Per quanto riguarda il tempo disponibile per la transizione, come indicato anche dal British Standard Institute (BSI),  le imprese già certificate con la versione del 2005 dispongono di una finestra utile di 2 anni, a partire dalla data di pubblicazione della versione 2013, quindi il completamento delle attività di migrazione dovrebbe avvenire entro e non oltre il 25 settembre 2015.

 

Le principali azioni da intraprendere, invece, per facilitare la migrazione dalla versione precedente possono essere così sintetizzate:

  1. Elencazione delle parti interessate che hanno impatto sulla sicurezza delle informazioni per l’ambito di riferimento (personale, terze parti, ecc.);
  2. Individuazione delle interfacce tra le attività intraprese all’interno dell’organizzazione e quelle eseguite da terze parti;
  3. Definizioni e/o riorganizzazione delle security policy e procedure;
  4. Definizione degli obiettivi di sicurezza, in accordo con le strategie aziendali;
  5. Definizione di metriche per la misurazione del sistema in accordo con gli obiettivi di sicurezza;
  6. Identificazione dei risk owner, assegnazione e approvazione da parte di questi del piano di trattamento del rischio e del rischio residuo;
  7. Individuazione di un modello di analisi del rischio che possa semplificare l’approccio attuale basato sul paradigma asset-minacce-vulnerabilità;
  8. Definizione di modello per la comunicazione con le parti interessate.

Per concludere, al momento, parlando di organizzazioni certificate ISO/IEC 27001:2005, il record è detenuto dal Giappone (circa 7.200 certificati), seguito da Gran Bretagna, paese d’origine dello standard, (circa 1700 certificati), India (1.600) e Cina (1.500), passando da Spagna (800) e Italia (500).

 

E’ però da rilevare che ISO/IEC 27001, seppur in Europa in termini di certificati ottenuti non abbia (ancora) avuto la penetrazione attesa, ha tuttavia ottenuto un grande riconoscimento dal mercato poiché sono numerosissime le organizzazioni, a carattere pubblico e privato, che hanno adottato le Code of practice for information security controls suggerita da ISO/IEC 27002, anch’esso ormai giunto alla versione 2013.

La fase di crescita dello standard non è quindi ancora terminata.

 

Per approfondimenti:

http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1686

 

 

15/12/2013 - Angelo Chiarot, Security Advisory Team @ Mediaservice.net