1 EVOLUZIONE E STATO DELLA NORMAZIONE IN MATERIA DI MOBBING IN EUROPA E IN ITALIA Salvatore Tonti.
Cloud e Sicurezza secondo le norme ISO/IEC e sicurezza. Scenario e... · Importanza della...
Transcript of Cloud e Sicurezza secondo le norme ISO/IEC e sicurezza. Scenario e... · Importanza della...
Cloud e Sicurezza
secondo le norme ISO/IEC
Autore Fabio Guasconi
Fabio Guasconi
Direttivo CLUSIT
Direttivo UNINFO
Presidente del ISO/IEC JTC1 SC27 UNINFO
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l.
2 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
Agenda
3
Importanza della normazione
Ecosistema ISO/IEC
SC27 e lavori legati al Cloud
Focus sulla 27018
Future novità
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
Importanza della normazione
Una «norma» è una specifica tecnica, adottata da un organismo di
normazione riconosciuto, per applicazione ripetuta o continua, alla
quale non è obbligatorio conformarsi
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 4
Dal Regolamento UE 1025/2012:
Dal dizionario Hoepli della lingua italiana:
Uno «standard» è un tipo, modello, punto di riferimento
Importanza della normazione ISO dichiara che i benefici della normazione sono da inviduarsi in:
Cost savings - International Standards help optimise operations
and therefore improve the bottom line
Enhanced customer satisfaction - International Standards help
improve quality, enhance customer satisfaction and increase sales
Access to new markets - International Standards help prevent
trade barriers and open up global markets
Increased market share - International Standards help increase
productivity and competitive advantage
Inoltre: when products and services conform to International Standards
consumers can have confidence that they are safe, reliable and of good
quality.
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 5
Ecosistema ISO/IEC
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 6
CIG
(Gas)
CTI
(Termotecnico)
CUNA (Automobilistico)
UNI SIDER
(Metallurgico)
UNI PLAST
(Materie plastiche)
UNI CHIM
(Chimico)
UNINFO (ICT)
JTC 1 Information Technology
SC27 IT Security Techniques
52 P-Members
18 O-Members
145 Norme pubblicate
SC27 e lavori legati al Cloud
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 7
JTC 1 Information Technology
SC27 IT Security Techniques
WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance
WG2: crittografia e meccanismi di sicurezza
WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza
WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni
WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy
SC27 e lavori legati al Cloud
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 8
2010 – SC27 lancia uno study period trasversale a tutti i WG su
"Cloud computing security and privacy"
2011 – Lo study period raccomanda lo sviluppo di un insieme
organico di norme con riferimento alla ISO/IEC 17789
2011 – Iniziano i lavori sulle norme ISO/IEC 27017 e 27018 e sono
avviate le relative liaison con i principali gruppi di interesse
esistenti:
2012 – Iniziano i lavori sulla norma ISO/IEC 27036-4
2014 – Viene pubblicata la ISO/IEC 27018
2015 – Prevista la pubblicazione della ISO/IEC 27017 (ottobre)
Focus sulla 27018: basi
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 9
Partiamo dalla definizione di PII nella norma di riferimento per il WG5,
che è la pubblicamente disponibile ISO/IEC 29100:2011
Personally Identifiable Information PII
any information that (a) can be used to identify the PII principal to
whom such information relates, or (b) is or might be directly or indirectly
linked to a PII principal
PII is also referred to as personal data or personal information
a public cloud service provider is a 'PII processor' when it processes
PII for and according to the instructions of a cloud service customer
Information technology ― Security techniques
Code of practice for PII protection in
public clouds acting as PII processors
Focus sulla 27018: finalità
1. indicare un insieme di contromisure da utilizzarsi da parte
del public cloud computing service provider a partire dal noto
schema della ISO/IEC 27002
2. fornire supporto al public cloud computing service provider
nell'adempimento agli obblighi collegati al trattamento di PII
3. facilitare gli accordi tra public cloud computing service
provider e cloud service customer
4. fornire strumenti di verifica della sicurezza ai cloud service
customer
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 10
Focus sulla 27018: uso previsto
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 11
Risk Assessment
(ISO/IEC 27005)
Privacy Impact Assessment
(ISO/IEC 29134)
1
Catalogo controlli
(ISO/IEC 27002)
Catalogo controlli
(ISO/IEC 27018)
Risk Treatment
(ISO/IEC 27005) 2
+
Focus sulla 27018: controlli
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 12
5 Information Security Policies
6 Organisation of Information Security
7 Human Resources Security
8 Asset Management
9 Access control
10 Cryptography
11 Physical and environmental Security
12 Operations Security
13 Communications Security
14 Systems acquisition, development and maintenance
15 Supplier relationships
16 Information Security Incident Management
17 IS aspects of Business Continuity
18 Compliance
Aggiunte al testo dei "controlli":
Public cloud PII protection
implementation guidance
Other information for public
cloud PII protection
1
1
1
2
1
1
4
1
1
1
Focus sulla 27018: controlli
Obligation to co-operate regarding PII
principals’ rights
Public cloud PII processor’s purpose
Public cloud PII processor's commercial use
Secure erasure of temporary files
PII disclosure notification
Recording of PII disclosures
Disclosure of sub-contracted PII processing
Notification of a data breach involving PII
Retention period for administrative security
policies and guidelines
PII return, transfer and disposal
Confidentiality or non-disclosure
agreements
Restriction of the creation of hardcopy
material
Control and logging of data restoration
Protecting data on storage media leaving
the premises
Use of unencrypted portable storage media
and devices
Encryption of PII transmitted over public
data-transmission networks
Secure disposal of hardcopy materials
Unique use of user IDs
Records of authorized users
User ID management
Contract measures
Sub-contracted PII processing
Access to data on pre-used data storage
space
Geographical location of PII
Intended destination of PII
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 13
25 controlli aggiuntivi rispetto alla ISO/IEC 27002, raccolti nell'annex A:
Focus sulla 27018: certificazione?
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 14
ISO/IEC 27001
Requisiti SGSI
+ ISO/IEC 27002
Controlli generici
+ ISO/IEC 27018
Controlli specifici
=
secondo lo schema
ISO/IEC 27001
CERTIFICAZIONE
Future novità: 27017
Impostazione identica alla ISO/IEC 27018
Focus specifico su cloud service customer / cloud service provider
con linee guida dedicate a ciascuno di essi
Nello stato attuale di DIS conta 51 pagine (contro le 41 della
ISO/IEC 27018) pur "sdoppiando i testi"
Include un Annex B con riferimento ai rischi per la sicurezza legati al
cloud computing
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 15
Information technology ― Security techniques
Code of practice for information security controls
based on ISO/IEC 27002 for cloud services
Future novità: 27036-4
La norma multiparte 27036 è composta anche da:
Parte 1 (2014) – Overview and concepts
Parte 2 (2014) – Requirements
Parte 3 (2013) – Guidelines for information and communication
technology supply chain security
Attualmente in stato di CD, pubblicazione attesa per il 2016
Fornisce linee guida sui rischi legati all'uso di servizi in cloud e alla
loro gestione, discernendo i principali paradigmi diffusi sul mercato
(IaaS, PaaS, SaaS, Hybrid, Private)
16
Information technology ― Security techniques
Information security for supplier relationships —
Part 4: Guidelines for security of cloud services
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
Future novità: CRMF e CSAA
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 17
Cloud adapted Risk Management Framework
Study period concluso da WG1 e WG4
Aggiunta di annex alla ISO/IEC 27005 (attualmente in revisione)
Cloud Security Assessment and Audit
Study period appena iniziato da WG4
Contatti
18 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
[email protected] Tel. +39 3294656930
CLUSIT http://www.clusit.it
Via Comelico 39 – 20135 Milano
Tel. +39 3472319285
Fax +39 02700440496