1 1Materiale riservato – Copyright Audit in Italy

IL SISTEMA DI GESTIONE DELLA SICUREZZA

DELLE INFORMAZIONI: LA NORMA ISO 27001

COME STRUMENTO DI CONTROLLO DELLA

CONFORMITA' PRIVACY

Workshop

13 maggio 2015

www.verifiche.info

segreteria@verifiche.info

2 2

Sommario:

• Spiegare i principi e le finalità della certificazione ISO 27001

• Spiegare gli obiettivi di controllo e i controlli

• Paragonare il sistema di controllo agli obblighi normativi privacy

• Analizzare i provvedimenti e i pareri del Garante che richiamano la ISO

27001

Perché siamo qui ….

Obiettivi di studio

3 3

• Cosa è:

• è una norma internazionale che definisce i requisiti per impostare e gestire

un Sistema di Gestione della Sicurezza delle Informazioni (SGSI);

• gestisce la sicurezza di tutte le informazioni aziendali, quindi non solo dei

dati personali.

• A cosa serve:

• tutelare le informazioni aziendali dai rischi che possono correre;

• organizzare e controllare i dati e i sistemi che li gestiscono.

La ISO 27001

4 4

La ISO 27001

• Aggiornamenti e struttura:

• pubblicata per la prima volta nel 2005;

• internazionalizzazione di una norma di standardizzazione inglese: BS7799;

• aggiornata con la versione ISO 27001:2013;

• è un sistema di gestione con struttura analoga ai sistemi qualità;

• caratterizzata da controlli e obiettivi di controllo di tipo informatico, fisico e

organizzativo.

5 5

La ISO 27001: i principi

• La ISO 27001 definisce la sicurezza delle informazioni come:

• Confidenzialità: la proprietà per cui le informazioni non sono disponibili a

soggetti, entità o processi non autorizzati.

• Integrità: la proprietà della salvaguardia dell'accuratezza e completezza degli

beni informativi.

• Disponibilità: la proprietà di essere accessibili ed utilizzabile su richiesta di una

entità autorizzata.

6 6

La ISO 27001: i principi

Essendo un sistema di gestione (SGSI) si basa sullo schema della

qualità:

• Pianificazione e Progettazione con

particolare attenzione alla valutazione

del rischio;

• Implementazione;

• Monitoraggio;

• Mantenimento e il miglioramento

7 7

La ISO 27001: I controlli

La ISO 27001 definisce ed elenca una serie di controlli da attuare per

limitare il rischio, divisi in famiglie:

• La politica e l'organizzazione per la sicurezza

• La gestione dei beni

• La sicurezza delle risorse umane

• La sicurezza fisica e ambientale

• La gestione delle comunicazioni e dell'operativo

• Il controllo degli accessi fisici e logici

• La gestione del monitoraggio e trattamento degli incidenti (relativi alla sicurezza

delle informazioni)

• La gestione della Business Continuity e il rispetto normativo

8 8

Cos’è un controllo

Una famiglia di controlli o un controllo è la verifica della presenza di una

procedura:

9 9

Misure minime ed idonee di sicurezza art. 33 e 34, allegato B ALLEGATO “B”:

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA

1010

La ISO 27001: I controlli e la privacy

Alcune famiglie di controlli soddisfano i requisiti normativi sulle misure di

sicurezza:• La politica e l'organizzazione per la sicurezza: gestione dei ruoli di responsabilità sui

trattamenti dei dati personali – Art. 29 D.Lgs. 196/2003

• La gestione dei beni: identificazione dei tipi di dati personali trattati – ex DPS

• La sicurezza delle risorse umane: gestione e formazione degli incaricati – Punto 3 Allegato B

D.Lgs. 196/2003.

• La sicurezza fisica e ambientale: la sicurezza della custodia dei sistemi

• La gestione delle comunicazioni e dell'operativo: relazioni con i fornitori (responsabili esterni)

• Il controllo degli accessi fisici e logici: l’autenticazione e le autorizzazioni di accesso – Allegato

B D.Lgs 196/2003.

• La gestione del monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni)

• La gestione della Business Continuity e il rispetto normativo: disaster recovery

1111

Le aree da proteggere

1212

La gestione del rischio per la ISO 27005

1313

E’ un Sistema di Gestione che impatta su tutta l’organizzazione

sotto molteplici punti di vista.

Sicurezza

Nomine

Videosorveglianza

Giurisprudenza

Rischi

1414

Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014

(Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014)

E' predisposta una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal

titolare, fornendo altresì la valutazione della necessità e della proporzionalità del trattamento biometrico rispetto

alle finalità. Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il

periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante.

I titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la

norma tecnica ISO/IEC 27001 che inseriscono il sistema biometrico nel campo di applicazione della

certificazione sono esentati dall'obbligo di redigere la relazione di cui al precedente periodo, potendo utilizzare

la documentazione prodotta nell'ambito della certificazione, integrandola con la valutazione della necessità e

della proporzionalità

del trattamento biometrico..

Il Garante e la ISO 27001

1515

Parere del Garante sull'affidamento, secondo il modello in house, della gestione del sistema informativo

della fiscalità alla Sogei S.p.a. - 13 febbraio 2014

1. Certificazioni di sicurezza

Per quanto riguarda i servizi di sviluppo e manutenzione evolutiva del software ad hoc

(par. 2, pag. 13, Allegato 1) e di personalizzazione del software di mercato (par 3, pag. 16,

Allegato 1) viene richiamata la circostanza che Sogei S.p.A. sia dotata di un sistema di

gestione della sicurezza delle informazioni e di un sistema di qualità dei dati conformi,

ma non certificati da un organismo di certificazione, rispettivamente, allo standard

ISO 27001:2005 e allo standard ISO 25012:2008.

Al riguardo, si ritiene opportuno che il Ministero, con specifico riferimento agli aspetti

di protezione dei dati personali, richieda a Sogei, oltre alla dichiarazione di essere dotato

di un sistema di qualità dei dati conforme allo standard ISO 27001:2005, anche la pronta

predisposizione degli elementi per dare prova, a richiesta, di tale adempimento.

Il Garante e la ISO 27001

1616

Trattamento di dati personali effettuato attraverso un impianto di videosorveglianza.

Verifica preliminare - 24 ottobre 2013

Al riguardo, la Società ha riferito che le certificazioni richieste da MasterCard e Visa sarebbero

legate agli standard messi a punto dall'organizzazione denominata Payment Card Industry Security Standard Council (PCI-SSC),

fondata da American Express Company, Discover Financial Services Inc., JCB International Company, MasterCard Worldwide e

Visa Inc. per migliorare la sicurezza dei dati relativi ai pagamenti, la quale si sarebbe ispirata all' ISO/IEC 27001, costituente un

vero e proprio punto di riferimento nell'ambito della sicurezza delle informazioni.

I Garanti Privacy riuniti nel forum europeo del 2012 (Articolo 29), affermano che (Parere 05/2012 sul cloud computing 1 luglio

2012):

«Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati

e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la

trasparenza, l’isolamento, la portabilità dei dati e la possibilità di intervento sugli stessi».

Lo standard ISO 27018 si inserisce in questo scenario di rischio e introduce una serie di misure, procedure e controlli attraverso

cui i providers di servizi cloud garantiscono il rispetto della direttiva europea sul trattamento dei dati personali.

Il Garante e la ISO 27001

1717

Parere 5/2010 sulla proposta dell'industria relativa a un quadro per la realizzazione di

valutazioni di impatto sulla protezione della vita privata e dei dati per le applicazioni RFID,

13 luglio 2010

Un quadro per la realizzazione di valutazioni d'impatto sulla protezione dei dati personali e

della vita privata dovrebbe per definizione proporre una metodologia generale che preveda,

quale elemento essenziale, una fase di valutazione dei rischi. L'industria RFID senza dubbio

esegue già valutazioni dei rischi nell'ambito dell'approccio metodologico nel contesto della

Gestione della sicurezza delle informazioni, di cui alla norma ISO/IEC 27005 e altre norme

nazionali o internazionali. Il Gruppo di lavoro è convinto che l'industria RFID potrebbe basarsi su

questo insieme di competenze acquisite nella gestione tradizionale della sicurezza delle

informazioni per arricchire il quadro con un adeguato approccio della valutazione dei rischi.

Il Garante e la ISO 27001

1818

Gazzetta Ufficiale n. 89 del 16 aprile 2014 della Circolare AgID n. 65/2014

I soggetti pubblici o privati che svolgono attività di conservazione e che intendono conseguire

l’accreditamento presso AgID devono possedere requisiti di qualità e sicurezza quali:

conformità allo standard ISO/IEC 27001:2013 Sistema di Gestione per la Sicurezza delle

Informazioni

Il Garante e la ISO 27001

1919

La CERTIFICAZIONE ISO 27001 definisce la tutela dei dati di tutti i sistemi informativi aziendali e

visto che oramai il 70% di patrimonio informativo aziendale è informatizzato, la corretta tutela dei

dati informatici e dei processi digitali.

Ad esempio si può applicare la certificazione ISO/IEC 27001 in questi ambiti :

•Privacy e Tutela del Dato Personale

•Misure di sicurezza minime ed idonee

•Videosorveglianza

•Biometria

•Firma Grafometrica

•Firma digitale ed elettronica avanzata

•Cloud e RFID

•Conservazione Sostitutiva

•Pec

•Gestione Documentale

•Risk Managament

Ambiti di applicazione

2020

QUINDIEssendo un processo

Essendo un Sistema di Gestione

DEVE essere anche controllato.

Come? (non si migliora ciò che non si misura)

Attraverso audit puntuali che verifichino la corretta applicazione

(Cfr. ex art. 29, Provvedimento AS)

2121

GRAZIE per l’ATTENZIONE

Riferimenti:

Ing. Luca Oldrini – Partner Audit in Italy:

segreteria@verifiche.info