Cloud e Sicurezza

secondo le norme ISO/IEC

Autore Fabio Guasconi

Fabio Guasconi

Direttivo CLUSIT

Direttivo UNINFO

Presidente del ISO/IEC JTC1 SC27 UNINFO

CISA, CISM, PCI-QSA, ITIL, ISFS,

Lead Auditor 27001 & 9001

Partner e co-founder BL4CKSWAN S.r.l.

2 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC

Agenda

3

Importanza della normazione

Ecosistema ISO/IEC

SC27 e lavori legati al Cloud

Focus sulla 27018

Future novità

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC

Importanza della normazione

Una «norma» è una specifica tecnica, adottata da un organismo di

normazione riconosciuto, per applicazione ripetuta o continua, alla

quale non è obbligatorio conformarsi

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 4

Dal Regolamento UE 1025/2012:

Dal dizionario Hoepli della lingua italiana:

Uno «standard» è un tipo, modello, punto di riferimento

Importanza della normazione ISO dichiara che i benefici della normazione sono da inviduarsi in:

Cost savings - International Standards help optimise operations

and therefore improve the bottom line

Enhanced customer satisfaction - International Standards help

improve quality, enhance customer satisfaction and increase sales

Access to new markets - International Standards help prevent

trade barriers and open up global markets

Increased market share - International Standards help increase

productivity and competitive advantage

Inoltre: when products and services conform to International Standards

consumers can have confidence that they are safe, reliable and of good

quality.

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 5

Ecosistema ISO/IEC

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 6

CIG

(Gas)

CTI

(Termotecnico)

CUNA (Automobilistico)

UNI SIDER

(Metallurgico)

UNI PLAST

(Materie plastiche)

UNI CHIM

(Chimico)

UNINFO (ICT)

JTC 1 Information Technology

SC27 IT Security Techniques

52 P-Members

18 O-Members

145 Norme pubblicate

SC27 e lavori legati al Cloud

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 7

JTC 1 Information Technology

SC27 IT Security Techniques

WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance

WG2: crittografia e meccanismi di sicurezza

WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza

WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni

WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy

SC27 e lavori legati al Cloud

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 8

2010 – SC27 lancia uno study period trasversale a tutti i WG su

"Cloud computing security and privacy"

2011 – Lo study period raccomanda lo sviluppo di un insieme

organico di norme con riferimento alla ISO/IEC 17789

2011 – Iniziano i lavori sulle norme ISO/IEC 27017 e 27018 e sono

avviate le relative liaison con i principali gruppi di interesse

esistenti:

2012 – Iniziano i lavori sulla norma ISO/IEC 27036-4

2014 – Viene pubblicata la ISO/IEC 27018

2015 – Prevista la pubblicazione della ISO/IEC 27017 (ottobre)

Focus sulla 27018: basi

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 9

Partiamo dalla definizione di PII nella norma di riferimento per il WG5,

che è la pubblicamente disponibile ISO/IEC 29100:2011

Personally Identifiable Information PII

any information that (a) can be used to identify the PII principal to

whom such information relates, or (b) is or might be directly or indirectly

linked to a PII principal

PII is also referred to as personal data or personal information

a public cloud service provider is a 'PII processor' when it processes

PII for and according to the instructions of a cloud service customer

Information technology ― Security techniques

Code of practice for PII protection in

public clouds acting as PII processors

Focus sulla 27018: finalità

1. indicare un insieme di contromisure da utilizzarsi da parte

del public cloud computing service provider a partire dal noto

schema della ISO/IEC 27002

2. fornire supporto al public cloud computing service provider

nell'adempimento agli obblighi collegati al trattamento di PII

3. facilitare gli accordi tra public cloud computing service

provider e cloud service customer

4. fornire strumenti di verifica della sicurezza ai cloud service

customer

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 10

Focus sulla 27018: uso previsto

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 11

Risk Assessment

(ISO/IEC 27005)

Privacy Impact Assessment

(ISO/IEC 29134)

1

Catalogo controlli

(ISO/IEC 27002)

Catalogo controlli

(ISO/IEC 27018)

Risk Treatment

(ISO/IEC 27005) 2

+

Focus sulla 27018: controlli

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 12

5 Information Security Policies

6 Organisation of Information Security

7 Human Resources Security

8 Asset Management

9 Access control

10 Cryptography

11 Physical and environmental Security

12 Operations Security

13 Communications Security

14 Systems acquisition, development and maintenance

15 Supplier relationships

16 Information Security Incident Management

17 IS aspects of Business Continuity

18 Compliance

Aggiunte al testo dei "controlli":

Public cloud PII protection

implementation guidance

Other information for public

cloud PII protection

1

1

1

2

1

1

4

1

1

1

Focus sulla 27018: controlli

Obligation to co-operate regarding PII

principals’ rights

Public cloud PII processor’s purpose

Public cloud PII processor's commercial use

Secure erasure of temporary files

PII disclosure notification

Recording of PII disclosures

Disclosure of sub-contracted PII processing

Notification of a data breach involving PII

Retention period for administrative security

policies and guidelines

PII return, transfer and disposal

Confidentiality or non-disclosure

agreements

Restriction of the creation of hardcopy

material

Control and logging of data restoration

Protecting data on storage media leaving

the premises

Use of unencrypted portable storage media

and devices

Encryption of PII transmitted over public

data-transmission networks

Secure disposal of hardcopy materials

Unique use of user IDs

Records of authorized users

User ID management

Contract measures

Sub-contracted PII processing

Access to data on pre-used data storage

space

Geographical location of PII

Intended destination of PII

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 13

25 controlli aggiuntivi rispetto alla ISO/IEC 27002, raccolti nell'annex A:

Focus sulla 27018: certificazione?

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 14

ISO/IEC 27001

Requisiti SGSI

+ ISO/IEC 27002

Controlli generici

+ ISO/IEC 27018

Controlli specifici

=

secondo lo schema

ISO/IEC 27001

CERTIFICAZIONE

Future novità: 27017

Impostazione identica alla ISO/IEC 27018

Focus specifico su cloud service customer / cloud service provider

con linee guida dedicate a ciascuno di essi

Nello stato attuale di DIS conta 51 pagine (contro le 41 della

ISO/IEC 27018) pur "sdoppiando i testi"

Include un Annex B con riferimento ai rischi per la sicurezza legati al

cloud computing

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 15

Information technology ― Security techniques

Code of practice for information security controls

based on ISO/IEC 27002 for cloud services

Future novità: 27036-4

La norma multiparte 27036 è composta anche da:

Parte 1 (2014) – Overview and concepts

Parte 2 (2014) – Requirements

Parte 3 (2013) – Guidelines for information and communication

technology supply chain security

Attualmente in stato di CD, pubblicazione attesa per il 2016

Fornisce linee guida sui rischi legati all'uso di servizi in cloud e alla

loro gestione, discernendo i principali paradigmi diffusi sul mercato

(IaaS, PaaS, SaaS, Hybrid, Private)

16

Information technology ― Security techniques

Information security for supplier relationships —

Part 4: Guidelines for security of cloud services

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC

Future novità: CRMF e CSAA

Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 17

Cloud adapted Risk Management Framework

Study period concluso da WG1 e WG4

Aggiunta di annex alla ISO/IEC 27005 (attualmente in revisione)

Cloud Security Assessment and Audit

Study period appena iniziato da WG4

Contatti

18 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC

fabio.guasconi@bl4ckswan.com Tel. +39 3294656930

CLUSIT http://www.clusit.it

info@clusit.it

Via Comelico 39 – 20135 Milano

Tel. +39 3472319285

Fax +39 02700440496