GDPR, ISO 27000, NIST, ecc. come mi aiutano le ... · G. Bertocchi -GDPR, ISO 27000, NIST, ecc....

GDPR, ISO 27000, NIST, ecc. come mi aiutano le

certificazioni ICT per la privacy?

Dott. Glauco Bertocchi CISMRoma 03/05/2017

G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 2

• Presentazione relatore

• GDPR codici di condotta e certificazioni

• NIST 800-53 r4 Privacy control catalog

• ISO 27001 elementi presenti, parti mancanti

• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la

privacy in cloud..

• Spunti di riflessione

• Bibliografia & sitografia

• Q&A

Agenda

G. Bertocchi- GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 3






privacy in cloud..



• Q&A

Agenda

3

G. Bertocchi- GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 4

Presentazione relatore

Glauco Bertocchi

Esperienza più che ventennale nel campo ICT

Esperienza più che ventennale nel campo della security

Numerose docenze universitarie e ad organizzazioni statali

Autore o coautore di numerose pubblicazioni in campo ICT e security

Ha svolto e svolge consulenze professionali in ambito sicurezza

Valutatore dei progetti di ricerca ed innovazione FP7 (2007) e H2020 (2014)

Certificato CISM dal 2003







privacy in cloud.. .. …



• Q&A

Agenda

5


ISO22301

GDPR codici di condotta e certificazioni (1)

• Articolo 40 Codici di condotta 1.Gli Stati membri, le autorità di controllo, il

comitato e la Commissione incoraggiano l'elaborazione di codici di condotta

destinati a contribuire alla corretta applicazione del presente regolamento, in

funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche

delle micro, piccole e medie imprese.

• Articolo 41 Monitoraggio dei codici di condotta approvati 1.Fatti

salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e

58, il controllo della conformità con un codice di condotta ai sensi dell'articolo 40

può essere effettuato da un organismo in possesso del livello adeguato di

competenze riguardo al contenuto del codice e del necessario accreditamento a tal

fine dell'autorità di controllo competente.

I codici di condotta già sono applicati in Italia come allegati del d.lgs

196/2003– Allegato A.1 Codice di deontologia attività giornalistica

– Allegato A.2 Codice di deontologia per scopi storici

– Allegato A.3 Codice di deontologia scopi statistici e di ricerca scientifica



• Articolo 42 Certificazione • 1.Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di

Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di

protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai

titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche

delle micro, piccole e medie imprese.

• 3.La certificazione è volontaria e accessibile tramite una procedura trasparente.

• 4.La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del

responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e

i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.

• 5.La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui

all'articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di

controllo competente ai sensi dell'articolo 58, paragrafo 3, o dal comitato, ai sensi dell'articolo 63. Ove i

criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la

protezione dei dati

• Articolo 43 Organismi di certificazione

• 1.Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, gli organismi di

certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e

rinnovano la certificazione, dopo averne informato l'autorità di controllo al fine di consentire alla stessa di

esercitare i suoi poteri a norma dell'articolo 58, paragrafo 2, lettera h), ove necessario. Gli Stati membri

garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:



• Articolo 63 Meccanismo di coerenza• Al fine di contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, le autorità di controllo

cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella

presente sezione.

• Articolo 64 Parere del comitato europeo per la protezione dei dati• 1.Il comitato emette un parere ove un'autorità di controllo competente intenda adottare una delle misure in

appresso. A tal fine, l'autorità di controllo competente comunica il progetto di decisione al comitato, quando la

decisione:

• b) riguarda una questione di cui all'articolo 40, paragrafo 7, relativa alla conformità al presente regolamento di

un progetto di codice di condotta o una modifica o proroga di un codice di condotta; 4.5.2016 L 119/73 Gazzetta

ufficiale dell'Unione europea IT

• c) è finalizzata ad approvare i criteri per l'accreditamento di un organismo ai sensi dell'articolo 41, paragrafo 3,

o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3;

• Articolo 68 Comitato europeo per la protezione dei dati• 1.Il comitato europeo per la protezione dei dati («comitato») è istituito quale organismo dell'Unione ed è dotato

di personalità giuridica.

• 2.Il comitato è rappresentato dal suo presidente.

• 3.Il comitato è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal

garante europeo della protezione dei dati, o dai rispettivi rappresentanti.







privacy in cloud.. .



• Q&A

Agenda

9


NIST 800-53 r4 Privacy control catalog (1)

• Appendice J del documento che contiene l’equivalente dell’ISO

2700x.• Privacy, with respect to personally identifiable information (PII),119 is a core value that can be

obtained only with appropriate legislation, policies, procedures, and associated controls to

ensure compliance with requirements.

• This appendix provides a structured set of controls for protecting privacy and serves as a

roadmap for organizations to use in identifying and implementing privacy controls

concerning the entire life cycle of PII, whether in paper or electronic form. The controls

focus on information privacy as a value distinct from, but highly interrelated with,

information security.

• The privacy controls in this appendix are based on the Fair Information Practice Principles

(FIPPs)121 embodied in the Privacy Act of 1974, Section 208 of the E-Government Act of 2002,

and Office of Management and Budget (OMB) policies…. There are eight privacy control

families, each aligning with one of the FIPPs.

• There is a strong similarity between the structure of the privacy controls in this appendix

and the structure of the security controls in Appendices F and G.

• Provides a structured set of privacy controls, based on best practices, that helps

organizations comply with applicable federal laws, Executive Orders, directives, instructions,

regulations, policies, standards, guidance, and organization-specific issuances;

• Establishes a linkage and relationship between privacy and security controls for

purposes of enforcing respective privacy and security requirements that may overlap in

concept and in implementation within federal information systems, programs, and organizations;



• FAMILY: AUTHORITY AND PURPOSE This family ensures that

organizations: (i) identify the legal bases that authorize a particular personally

identifiable information (PII) collection or activity that impacts privacy; and (ii)

specify in their notices the purpose(s) for which PII is collected. (2 controlli)

• FAMILY: ACCOUNTABILITY, AUDIT, AND RISK MANAGEMENTThis family enhances public confidence through effective controls for governance,

monitoring, risk management, and assessment to demonstrate that organizations

are complying with applicable privacy protection requirements and minimizing

overall privacy risk. (8 controlli)

• FAMILY: DATA QUALITY AND INTEGRITY This family enhances public

confidence that any personally identifiable information (PII) collected and

maintained by organizations is accurate, relevant, timely, and complete for the

purpose for which it is to be used, as specified in public notices. (2 controlli)

• FAMILY: DATA MINIMIZATION AND RETENTION This family helps

organizations implement the data minimization and retention requirements to

collect, use, and retain only personally identifiable information (PII) that is relevant

and necessary for the purpose for which it was originally collected. Organizations

retain PII for only as long as necessary to fulfill the purpose(s) specified in public

notices and in accordance with a National Archives and Records Administration

(NARA)-approved record retention schedule (3 controlli)



• FAMILY: INDIVIDUAL PARTICIPATION AND REDRESS This family

addresses the need to make individuals active participants in the decision-making

process regarding the collection and use of their personally identifiable information

(PII). By providing individuals with access to PII and the ability to have their PII

corrected or amended, as appropriate, the controls in this family enhance public

confidence in organizational decisions made based on the PII. (4 controlli)

• FAMILY: SECURITY This family supplements the security controls in

Appendix F to ensure that technical, physical, and administrative safeguards are in

place to protect personally identifiable information (PII) collected or maintained by

organizations against loss, unauthorized access, or disclosure, and to ensure that

planning and responses to privacy incidents comply with OMB policies and

guidance. The controls in this family are implemented in coordination with

information security personnel and in accordance with the existing NIST Risk

Management Framework. (2 controlli)

• FAMILY: TRANSPARENCY This family ensures that organizations provide

public notice of their information practices and the privacy impact of their programs

and activities (3 controlli)

• FAMILY: USE LIMITATION This family ensures that organizations only use

personally identifiable information (PII) either as specified in their public notices, in a

manner compatible with those specified purposes, or as otherwise permitted by law.

Implementation of the controls in this family will ensure that the scope of PII use is

limited accordingly (2 controlli)







privacy in cloud..

• ..



• Q&A

Agenda

13


ISO 27001 elementi presenti, parti mancanti (1)

• Ci sono alcuni requisiti della GDPR che non sono direttamente previsti in

Iso 27001, ad esempio nell’ambito dei diritti dei soggetti dei dati personali

come il diritto di essere informati, il diritto di avere la cancellazione dei dati

stessi e la loro portabilità.

• D’altra parte l’implementazione di ISO 27001 identifica i dati personali

come bene da proteggere ed inoltre coloro che si affidano al cloud

possono usare le raccomandazioni di ISO 27018 per la privacy e ISO

27017 per la security, con questo approccio sono soddisfatti molti dei

requisiti di sicurezza della GDPR. Di seguito alcuni aspetti relativi allo

standard ISO 27001

• Risk assessment – Quando si implementa ISO 27001 i dati personali

dovrebbero essere classificati in base al controllo A.8.2.1 (Classification of

information), “Information should be classified in terms of legal

requirements, value, criticality and sensitivity to unauthorized disclosure or

modification.”

• Compliance –Nell’implementazione di ISO 27001, il controllo A.18.1.1

(Identification of applicable legislation and contractual requirements),

obbliga a elencare la GDPR (se applicabile) .In ogni caso il controllo

A.18.1.4 (Privacy and protection of personally identifiable information)

copre anche i casi in cui la GDPR non si applichi.

•



• Breach notification –L’implementazione della famiglia di controlli ISO

27001 A.16.1 (Management of information security incidents and

improvements) estesa ai dati personali assicura una accettabile gestione

di tali eventi

• Asset management –la clausola di controlli ISO 27001 A.8 (Asset

management) porta all’inclusione dei dati personali come asset oggetto di

information security

• Privacy by Design –La privacy by design è un requisito dei prodotti e dei

processi GDPR, se si applica la clausola di controlli ISO 27001 A.14

(System acquisitions, development and maintenance) ci si deve

conformare affinché “information security is an integral part of information

systems across the entire lifecycle.”

• Relazioni con i fornitori–La clausola di controlli ISO 27001 A.15

(Supplier relationships) può contribuire a definire i livelli di sicurezza e le

responsabilità nella gestione dei dati personali



• In sintesi ISO27001 può essere utilizzato per soddisfare

buona parte della sicurezza dei dati personali prevista

dalla GDPR in quanto questi sono asset oggetto di

information security.

• La copertura non è totale e alcune procedure devono

essere aggiunte all’ISMS ISO 27001, ad esempio, per

quegli aspetti che prevedono la relazione con

«l’interessato» come le richiesta da parte di

quest’ultimo e le relative azioni e risposte.

• Inoltre manca il cloud!

……… Ma per questo ci sono ISO 27017 e 27018 e

anche il framework 29100







privacy in cloud..



• Q&A

Agenda

17


ISO 29100, 27017 e 27018 standard utili per la

privacy, la sicurezza e la privacy in cloud..(1)

ISO/IEC 29100 Information technology — Security techniques —

Privacy framework (2011)

• Definisce termini, attributi che possono essere usati per rendere

indentificabile una persona, i principi generali , ecc. della privacy

• The privacy principles of ISO/IEC 29100

• Consent and choice

• Purpose legitimacy and specification

• Collection limitation

• Data minimization

• Use, retention and disclosure limitation

• Accuracy and quality

• Openness, transparency and notice

• Individual participation and access

• Accountability

• Information security

• Privacy compliance

•




• ISO/IEC 27017:2015 Information technology -- Security

techniques -- Code of practice for information security

controls based on ISO/IEC 27002 for cloud services

• ISO/IEC 27017:2015 gives guidelines for information security controls applicable to

the provision and use of cloud services by providing:

- additional implementation guidance for relevant controls specified in

ISO/IEC 27002;

- additional controls with implementation guidance that specifically relate to

cloud services.

• This Recommendation / International Standard provides controls and

implementation guidance for both cloud service providers and cloud service

customers.

• Le modifiche ai controlli esistenti sono abbastanza consistenti , tra

le aree maggiormente interessate Access control. I nuovi controlli

sono numerati in modo da essere compatibili con le clausole e le

security categories di 27002 (ovviamente…)



privacy, la sicurezza e la privacy in cloud..(3) • ISO/IEC 27018:2014 Information technology -- Security

techniques -- Code of practice for protection of personally

identifiable information (PII) in public clouds acting as PII

processors

• ISO/IEC 27018:2014 establishes commonly accepted control objectives, controls

and guidelines for implementing measures to protect Personally Identifiable

Information (PII) in accordance with the privacy principles in ISO/IEC 29100 for the

public cloud computing environment.

• In particular, ISO/IEC 27018:2014 specifies guidelines based on ISO/IEC 27002,

taking into consideration the regulatory requirements for the protection of PII which

might be applicable within the context of the information security risk environment(s)

of a provider of public cloud services.

• ISO/IEC 27018:2014 is applicable to all types and sizes of organizations, including

public and private companies, government entities, and not-for-profit organizations,

which provide information processing services as PII processors via cloud

computing under contract to other organizations.

• The guidelines in ISO/IEC 27018:2014 might also be relevant to organizations

acting as PII controllers; however, PII controllers can be subject to additional PII

protection legislation, regulations and obligations, not applying to PII processors.

ISO/IEC 27018:2014 is not intended to cover such additional obligations.




• ISO 27018 rafforza i controlli ISO 27002 con specifici

aspetti per la cloud privacy e aggiunge dei controlli

completamente nuovi per i dati personali .

• E’ specificato per i responsabili del trattamento e non

per i titolari dello stesso







privacy in cloud..



• Q&A

Agenda

22


Spunti di riflessione

• La certificazione dei sistemi informativi copre diversi

aspetti e facilita l’inclusione della privacy nei processi

aziendali

• Quale sarà il rapporto tra codici di condotta , sigilli e

certificazioni GDPR e le esistenti certificazioni ICT è

tutto da scoprire

• Se avete dubbi se intraprendere il percorso per una

certificazione ISMS il nuovo regolamento europeo

aggiunge una rilevante motivazione

• Gli standard ci sono già anche se manca qualche parte







privacy in cloud..



• Q&A

Agenda

24


Bibliografia & sitografia

• NIST SP 800-53 rev4, Security and Privacy Controls for Federal

Information Systems and Organizations, April 2013

(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-

53r4.pdf)

• NIST SP 800-122, Guide to Protecting the Confidentiality of Personally

Identifiable Information (PII), April 2010

(http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf)

• NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud

Computing, December 2011 (http://csrc.nist.gov/publications/nistpubs/800-

144/SP800-144.pdf)

• ISO https://www.iso.org/standard

• ISO/IEC 29134, Information technology — Security techniques — Privacy

impact assessment — Methodology

http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf

http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf

http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf







privacy in cloud..



• Q&A

Agenda

26

27

[email protected] [email protected]

Grazie...

Contatti

mailto:[email protected]

GDPR, ISO 27000, NIST, ecc. come mi aiutano le ... · G. Bertocchi -GDPR, ISO 27000, NIST, ecc....

Documents

Transcript of GDPR, ISO 27000, NIST, ecc. come mi aiutano le ... · G. Bertocchi -GDPR, ISO 27000, NIST, ecc....