LA NORMA ISO 27001
-
Upload
audit-in-italy -
Category
Law
-
view
90 -
download
2
Transcript of LA NORMA ISO 27001
1 1Materiale riservato – Copyright Audit in Italy
IL SISTEMA DI GESTIONE DELLA SICUREZZA
DELLE INFORMAZIONI: LA NORMA ISO 27001
COME STRUMENTO DI CONTROLLO DELLA
CONFORMITA' PRIVACY
Workshop
13 maggio 2015
www.verifiche.info
2 2
Sommario:
• Spiegare i principi e le finalità della certificazione ISO 27001
• Spiegare gli obiettivi di controllo e i controlli
• Paragonare il sistema di controllo agli obblighi normativi privacy
• Analizzare i provvedimenti e i pareri del Garante che richiamano la ISO
27001
Perché siamo qui ….
Obiettivi di studio
3 3
• Cosa è:
• è una norma internazionale che definisce i requisiti per impostare e gestire
un Sistema di Gestione della Sicurezza delle Informazioni (SGSI);
• gestisce la sicurezza di tutte le informazioni aziendali, quindi non solo dei
dati personali.
• A cosa serve:
• tutelare le informazioni aziendali dai rischi che possono correre;
• organizzare e controllare i dati e i sistemi che li gestiscono.
La ISO 27001
4 4
La ISO 27001
• Aggiornamenti e struttura:
• pubblicata per la prima volta nel 2005;
• internazionalizzazione di una norma di standardizzazione inglese: BS7799;
• aggiornata con la versione ISO 27001:2013;
• è un sistema di gestione con struttura analoga ai sistemi qualità;
• caratterizzata da controlli e obiettivi di controllo di tipo informatico, fisico e
organizzativo.
5 5
La ISO 27001: i principi
• La ISO 27001 definisce la sicurezza delle informazioni come:
• Confidenzialità: la proprietà per cui le informazioni non sono disponibili a
soggetti, entità o processi non autorizzati.
• Integrità: la proprietà della salvaguardia dell'accuratezza e completezza degli
beni informativi.
• Disponibilità: la proprietà di essere accessibili ed utilizzabile su richiesta di una
entità autorizzata.
6 6
La ISO 27001: i principi
Essendo un sistema di gestione (SGSI) si basa sullo schema della
qualità:
• Pianificazione e Progettazione con
particolare attenzione alla valutazione
del rischio;
• Implementazione;
• Monitoraggio;
• Mantenimento e il miglioramento
7 7
La ISO 27001: I controlli
La ISO 27001 definisce ed elenca una serie di controlli da attuare per
limitare il rischio, divisi in famiglie:
• La politica e l'organizzazione per la sicurezza
• La gestione dei beni
• La sicurezza delle risorse umane
• La sicurezza fisica e ambientale
• La gestione delle comunicazioni e dell'operativo
• Il controllo degli accessi fisici e logici
• La gestione del monitoraggio e trattamento degli incidenti (relativi alla sicurezza
delle informazioni)
• La gestione della Business Continuity e il rispetto normativo
8 8
Cos’è un controllo
Una famiglia di controlli o un controllo è la verifica della presenza di una
procedura:
9 9
Misure minime ed idonee di sicurezza art. 33 e 34, allegato B ALLEGATO “B”:
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
1010
La ISO 27001: I controlli e la privacy
Alcune famiglie di controlli soddisfano i requisiti normativi sulle misure di
sicurezza:• La politica e l'organizzazione per la sicurezza: gestione dei ruoli di responsabilità sui
trattamenti dei dati personali – Art. 29 D.Lgs. 196/2003
• La gestione dei beni: identificazione dei tipi di dati personali trattati – ex DPS
• La sicurezza delle risorse umane: gestione e formazione degli incaricati – Punto 3 Allegato B
D.Lgs. 196/2003.
• La sicurezza fisica e ambientale: la sicurezza della custodia dei sistemi
• La gestione delle comunicazioni e dell'operativo: relazioni con i fornitori (responsabili esterni)
• Il controllo degli accessi fisici e logici: l’autenticazione e le autorizzazioni di accesso – Allegato
B D.Lgs 196/2003.
• La gestione del monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni)
• La gestione della Business Continuity e il rispetto normativo: disaster recovery
1313
E’ un Sistema di Gestione che impatta su tutta l’organizzazione
sotto molteplici punti di vista.
Sicurezza
Nomine
Videosorveglianza
Giurisprudenza
Rischi
1414
Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014
(Pubblicato sulla Gazzetta Ufficiale n. 280 del 2 dicembre 2014)
E' predisposta una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal
titolare, fornendo altresì la valutazione della necessità e della proporzionalità del trattamento biometrico rispetto
alle finalità. Tale relazione tecnica è conservata aggiornata, con verifica di controllo almeno annuale, per tutto il
periodo di esercizio del sistema biometrico e mantenuta a disposizione del Garante.
I titolari dotati di certificazione del sistema di gestione per la sicurezza delle informazioni (SGSI) secondo la
norma tecnica ISO/IEC 27001 che inseriscono il sistema biometrico nel campo di applicazione della
certificazione sono esentati dall'obbligo di redigere la relazione di cui al precedente periodo, potendo utilizzare
la documentazione prodotta nell'ambito della certificazione, integrandola con la valutazione della necessità e
della proporzionalità
del trattamento biometrico..
Il Garante e la ISO 27001
1515
Parere del Garante sull'affidamento, secondo il modello in house, della gestione del sistema informativo
della fiscalità alla Sogei S.p.a. - 13 febbraio 2014
1. Certificazioni di sicurezza
Per quanto riguarda i servizi di sviluppo e manutenzione evolutiva del software ad hoc
(par. 2, pag. 13, Allegato 1) e di personalizzazione del software di mercato (par 3, pag. 16,
Allegato 1) viene richiamata la circostanza che Sogei S.p.A. sia dotata di un sistema di
gestione della sicurezza delle informazioni e di un sistema di qualità dei dati conformi,
ma non certificati da un organismo di certificazione, rispettivamente, allo standard
ISO 27001:2005 e allo standard ISO 25012:2008.
Al riguardo, si ritiene opportuno che il Ministero, con specifico riferimento agli aspetti
di protezione dei dati personali, richieda a Sogei, oltre alla dichiarazione di essere dotato
di un sistema di qualità dei dati conforme allo standard ISO 27001:2005, anche la pronta
predisposizione degli elementi per dare prova, a richiesta, di tale adempimento.
Il Garante e la ISO 27001
1616
Trattamento di dati personali effettuato attraverso un impianto di videosorveglianza.
Verifica preliminare - 24 ottobre 2013
Al riguardo, la Società ha riferito che le certificazioni richieste da MasterCard e Visa sarebbero
legate agli standard messi a punto dall'organizzazione denominata Payment Card Industry Security Standard Council (PCI-SSC),
fondata da American Express Company, Discover Financial Services Inc., JCB International Company, MasterCard Worldwide e
Visa Inc. per migliorare la sicurezza dei dati relativi ai pagamenti, la quale si sarebbe ispirata all' ISO/IEC 27001, costituente un
vero e proprio punto di riferimento nell'ambito della sicurezza delle informazioni.
I Garanti Privacy riuniti nel forum europeo del 2012 (Articolo 29), affermano che (Parere 05/2012 sul cloud computing 1 luglio
2012):
«Affidando dati personali a sistemi gestiti da un fornitore di servizi cloud, i clienti rischiano di perdere il controllo esclusivo dei dati
e di non poter prendere le misure tecniche e organizzative necessarie per garantire la disponibilità, l’integrità, la riservatezza, la
trasparenza, l’isolamento, la portabilità dei dati e la possibilità di intervento sugli stessi».
Lo standard ISO 27018 si inserisce in questo scenario di rischio e introduce una serie di misure, procedure e controlli attraverso
cui i providers di servizi cloud garantiscono il rispetto della direttiva europea sul trattamento dei dati personali.
Il Garante e la ISO 27001
1717
Parere 5/2010 sulla proposta dell'industria relativa a un quadro per la realizzazione di
valutazioni di impatto sulla protezione della vita privata e dei dati per le applicazioni RFID,
13 luglio 2010
Un quadro per la realizzazione di valutazioni d'impatto sulla protezione dei dati personali e
della vita privata dovrebbe per definizione proporre una metodologia generale che preveda,
quale elemento essenziale, una fase di valutazione dei rischi. L'industria RFID senza dubbio
esegue già valutazioni dei rischi nell'ambito dell'approccio metodologico nel contesto della
Gestione della sicurezza delle informazioni, di cui alla norma ISO/IEC 27005 e altre norme
nazionali o internazionali. Il Gruppo di lavoro è convinto che l'industria RFID potrebbe basarsi su
questo insieme di competenze acquisite nella gestione tradizionale della sicurezza delle
informazioni per arricchire il quadro con un adeguato approccio della valutazione dei rischi.
Il Garante e la ISO 27001
1818
Gazzetta Ufficiale n. 89 del 16 aprile 2014 della Circolare AgID n. 65/2014
I soggetti pubblici o privati che svolgono attività di conservazione e che intendono conseguire
l’accreditamento presso AgID devono possedere requisiti di qualità e sicurezza quali:
conformità allo standard ISO/IEC 27001:2013 Sistema di Gestione per la Sicurezza delle
Informazioni
Il Garante e la ISO 27001
1919
La CERTIFICAZIONE ISO 27001 definisce la tutela dei dati di tutti i sistemi informativi aziendali e
visto che oramai il 70% di patrimonio informativo aziendale è informatizzato, la corretta tutela dei
dati informatici e dei processi digitali.
Ad esempio si può applicare la certificazione ISO/IEC 27001 in questi ambiti :
•Privacy e Tutela del Dato Personale
•Misure di sicurezza minime ed idonee
•Videosorveglianza
•Biometria
•Firma Grafometrica
•Firma digitale ed elettronica avanzata
•Cloud e RFID
•Conservazione Sostitutiva
•Pec
•Gestione Documentale
•Risk Managament
Ambiti di applicazione
2020
QUINDIEssendo un processo
Essendo un Sistema di Gestione
DEVE essere anche controllato.
Come? (non si migliora ciò che non si misura)
Attraverso audit puntuali che verifichino la corretta applicazione
(Cfr. ex art. 29, Provvedimento AS)
2121
GRAZIE per l’ATTENZIONE
Riferimenti:
Ing. Luca Oldrini – Partner Audit in Italy: