Novità della norma ISO/IEC 27001:2013
-
Upload
andrea-praitano -
Category
Internet
-
view
98 -
download
4
Transcript of Novità della norma ISO/IEC 27001:2013
ISO/IEC 27001/2:2013cosa cambia rispetto alla versione 2005?
Ing. Andrea Praitano, eMBA, CISA, CRISC
2
Relatore
Io sono convinta che grandi profeti e grandi saggi, se avessero saputo che nel loro nome ci saremmo saccagnati di botte per millenni, invece di predicare andavano a giocare a bocce.Luciana Litizzetto
3 Andrea Praitano: chi sono?
Senior Security Consultant/IT Auditor
Socio
4
La famiglia ISO/IEC 27k
La famiglia è l'associazione istituita dalla natura per provvedere alle necessità dell'uomo.Aristotele
5 Evoluzione della normaBS
779
9-1:
1995
BS 7
799-
2:19
98
BS 7
799-
1:19
99BS
779
9-2:
1999
ISO/
IEC
1779
9:20
00
ISO/
IEC
1779
9:20
05IS
O/IE
C 27
001:
2005
ISO/
IEC
2700
2:20
052007
ISO/
IEC
2700
2:20
13IS
O/IE
C 27
001:
2013
Code
of P
ract
ices
Requ
irem
ents
UNI C
EI IS
O/IE
C27
001:
2006
6 La famiglia di norme ISO 27k
27001:2013Requirements
27002:2013Code of practice
27000:2012Vocabulary
27007:2011ISMS auditing
27006:2011Requirements for audit &
cert. bodies
27005:2011Risk Management
27004:2009Measurements
27003:2010Implementation guidance
27016Organizational economics
27015:2012Financial and insurance
27014:2013Governance
27013:2012ISO/IEC 20000-1 and
ISO/IEC 27001
27011:2008Telecomunications
27010:2012inter-sector & inter-org.
communications
27008:2011Audit on ISMS controls
27017Cloud computing
27031:2011Business continuity
2704xInvestigation
27037:2012Digital evidences
27036Security for suppliers
27035:2011Incident management
27034-1:2011Application security
27033-xxNetwork security
27032:2012Cyber security
27019:2013ISO/IEC 27002 energy
utility industry
27040Storage security
7 ISO Survey – 2012 (1/2)
8 ISO Survey – 2012 (2/2)
2007 2008 2009 2010 2011 2012Italy 8 440 157.743 104.258 Germany 9 57 81 211 391 United Kingdom 124 271 243 366 325 1.405
Siti
9
La ISO/IEC 27001:2013 & ISO/IEC 27002:2013
Chi legge la Bibbia per trovarci degli errori, si renderà presto conto che la Bibbia trova degli errori in lui.Charles Spurgeon
10 L’impostazione della norma (1/2)
La ISO/IEC 27001:2013 segue le nuove direttive definite dalla ISO e descritte nell’Annex SL delle ISO/IEC Directives
Supplement di maggio 2012.L’obiettivo dell’Annex SL è quello di fornire
tutte le indicazioni al fine di avere un allineamento di tutte le norme dei sistemi di gestione con una stessa organizzazione dei
contenuti.Questa normalizzazione delle norme, iniziata
con al ISO/IEC 22301:213, indirizza una integrabilità degli schemi e dei sistemi di
gestione.
11 L’impostazione della norma (2/2)
Che cosa permette l’adozione della ISO/IEC Directives Supplement?
Uniformazione e miglioramento dell’efficacia nella redazione degli standard per i Comitati tecnici dell’ISO.
Migliore allineamento e compatibilità tra gli standard.
Massimo beneficio per le organizzazioni che realizzano un sistema di gestione integrato
12
Aggiornate nell’impostazione
Stato dell’arte delle norme
27001:2013
In aggiornamento
20121:2012 Event
sustainabilityInformation
security
22301:2012Business
continuity 39001:2012 Road traffic
safety
22000:2005
9001:2008 Quality
14001:2009Food safety
Environmental
13 Che cosa cambia nella ISO/IEC 27001:2013?Modificata la struttura ed impostazione della
norma.
Allineamento alla ISO 31000
Sono aumentati i requisiti sulla valutazione delle performance
Sono ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilità)
Sono rimosse le azioni preventive
14 High level structure
0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization5 Leadership
5.1 Leadership and commitment5.2 Policy5.3 Organizational roles, responsibilities and authorities
6 Planning6.1 Actions to address risks and opportunities6.2 XXX objectives and planning to achieve them
7 Support7.1 Resources7.2 Competence7.3 Awareness7.4 Communication7.5 Documented information
8 Operation8.1 Operational planning and control
9 Performance evaluation9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit9.3 Management review
10 ImprovementAnnex A (normative) Reference control objectives and controls
ISO/IEC Directives, Part 1Consolidated ISO Supplement - Procedures specific to ISO
15 Prime differenze fra l’ed. 2013 e 2005
4.1 The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended
outcome(s) of its information security management system.È richiesta la comprensione sia del contesto interno che esterno
dell’organizzazione.
4.2 The organization shall determine:a) interested parties that are relevant to the information security
management system; andb) the requirements of these interested parties relevant to information
security.È richiesta l’identificazione degli stakeholder e delle loro aspettative.
La ISO/IEC 27001:2013 non ha più come «riferimento normativo» la ISO/IEC 27002 ma soltanto la ISO/IEC 27000. Questo comporta che la ISO/IEC 27002 non è più quindi un riferimento normativo anch’esso da
verificare negli audit di certificazione ma è una norma «di riferimento» per instaura correttamente un ISMS.
16 Prime differenze fra l’ed. 2013 e 2005
Introdotta la «Leadership» che sostituisce l’impegno della direzione.L’istituzione di un ISMS non è un aspetto esclusivamente IT ma la
direzione deve essere pesantemente coinvolta e l’ISMS deve essere «strutturale» all’interno dell’organizzazione.
L’analisi dei rischi non è più a livello di asset. Deve essere identificato un risk owner e non più un asset owner.
L’analisi dei rischi non necessariamente deve essere svolta a livello di asset e può essere vista come «semplificata» rispetto alla versione del
2005 anche se è più esplicita la connessione di tutto l’ISMS e dell’analisi dei rischi con aspetti di business che prima erano soltanto impliciti.
17 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005
Annex A reference
Control title Control description
A.5.1.1Information security policy document
An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties.
A.5.1.2Review of the information security policy
The information security policy shall be reviewed at planned intervals or if significant changes occur to ensure its continuing suitability, adequacy, and effectiveness.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)Annex A reference
Control title Control description
A.5Information security policies
A.5.1Management direction for information security
To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.
A.5.1.1Policies for information security
A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.
A.5.1.2Review of the policies for information security
The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)
L’edizione 2013 richiede l’istituzione di un sistema documentale di policy sull’information security e non solo di una policy che deve essere
approvata dalla direzione (che può essere inteso a più livelli) e tutto il sistema di policy è sottoposto a verifica e aggiornamento periodico..
18 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference
Control title Control description
A.6Organization of information security
A.6.1 Internal organizationTo establish a management framework to initiate and control the implementation and operation of information security within the organization.
A.6.1.2 Segregation of duties
Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.
A.6.1.3 Contact with authoritiesAppropriate contacts with relevant authorities shall be maintained.
A.6.1.4Contact with special interest groups
Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.
A.6.1.5Information security in project management
Information security shall be addressed in project management, regardless of the type of the project.
A.6.2Mobile devices and teleworking
To ensure the security of teleworking and use of mobile devices.
A.6.2.1 Mobile device policyA policy and supporting security measures shall be adopted to manage the risks introduced by using mobile devices.
A.6.2.2 TeleworkingA policy and supporting security measures shall be implemented to protect information accessed, processed or stored at teleworking sites.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)
All information security responsibilities shall be defined and allocated.
Information security roles and responsibilities
A.6.1.1
Annex A reference
Control title Control description
A.8.1.1Roles and responsibilities
Security roles and responsibilities of employees, contractors and third party users shall be defined and documented in accordance with the organization's information security policy.
A.6.1.3Allocation of information security responsibilities
All information security responsibilities shall be clearly defined.
A10.1.3 Segregation of duties
Duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization's assets.
A.6.1.6 Contact with authoritiesAppropriate contacts with relevant authorities shall be maintained.
A.6.1.7Contact with special interest groups
Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.
A11.7.1Mobile computing and communications
A formal policy shall be in place, and security measures shall be adopted to protect against the risks of using mobile computing and communication facilities.
A11.7.2 TeleworkingA policy, operational plans and procedures shall be developed and implemented for teleworking activities.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)
È stato inserito un nuovo e specifico controllo relativo all’indirizzamento degli aspetti di information security nella gestione dei progetti. Essendo
esplicitamente indicato che l’ISMS è pervasivo all’interno dell’organizzazione questo aspetto deve essere soddisfatto anche nei
progetti non IT.
19 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference
Control title Control description
A.12 Operations security
A.12.6Technical vulnerability management
To prevent exploitation of technical vulnerabilities.
A.12.6.1Management of technical vulnerabilities
Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization's exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.
A.12.6.2Restrictions on software installation
Rules governing the installation of software by users shall be established and implemented.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)Annex A reference
Control title Control description
A12.6.1Control of technical vulnerabilities
Timely information about technical vulnerabilities of information systems being used shall be obtained, the organization's exposure to such vulnerabilities evaluated, and appropriate measures taken to address the associated risk.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)
È stato inserito un nuovo e specifico controllo relativo restrizione del software installato/installabile da parte degli utenti. È quindi necessario
introdurre delle regole sul software e dei controlli sul software effettivamente installato, in quest’ottica viene incontro l’implementazione
di una Definitive Media Library – DML secondo ITIL.
20 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference
Control title Control description
A.14System acquisition, development and maintenance
A.14.2Security in development and support processes
Objective: To ensure that information security is designed and implemented within the development lifecycle of information systems.
A.14.2.1Secure development policy
Rules for the development of software and systems shall be established and applied to developments within the organization.
A.14.2.5Secure system engineering principles
Principles for engineering secure systems shall be established, documented, maintained and applied to any information system implementation efforts.
A.14.2.6Secure development environment
Organizations shall establish and appropriately protect secure development environments for system development and integration efforts that cover the entire system development lifecycle.
A.14.2.7Outsourced development
The organization shall supervise and monitor the activity of outsourced system development.
A.14.2.8 System security testingTesting of security functionality shall be carried out during development.
A.14.2.9System acceptance testing
Acceptance testing programs and related criteria shall be established for new information systems, upgrades and new versions.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)Annex A reference
Control title Control description
A12.5.5Outsourced software development
Outsourced software development shall be supervised and monitored by the organization.
A10.3.2 System acceptance
Acceptance criteria for new information systems, upgrades, and new versions shall be established and suitable tests of the system's) carried out during development and prior to acceptance.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)
Sono stati inseriti dei controlli che mirano a verificare che la sicurezza delle informazioni sia presidiata in tutto il ciclo di vita a partire dalla fase
di sviluppo.
21 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference
Control title Control description
A.15 Supplier relationships
A.15.1Information security in supplier relationships
Objective: To ensure protection of the organization’s assets that is accessible by suppliers.
A.15.1.1Information security policy for supplier relationships
Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.
A.15.1.2Addressing security within supplier agreements
All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.
A.15.1.3Information and communication technology supply chain
Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)Annex A reference
Control title Control description
A.6.2.3
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)
Addressing security in third party contracts
Agreements with third parties involving accessing, processing, communicating or managing the organization's information or information processing facilities, or adding products or services to information processing facilities shall cover all relevant security requirements.
L’organizzazione è un anello di una catena e tutti gli anelli della catena concorrono alla sicurezza complessiva. Tutta la supply chain deve essere
presidiata con particolare focus su ciò che sta a monte.
22 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference
Control title Control description
A.16Information security incident management
A.16.1
Management of information security incidents and improvements
Objective: To ensure a consistent and effective approach to the management of information security incidents, including communication on security events and weaknesses.
A.16.1.4Assessment of and decision on information security events
Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)Annex A reference
Control title Control description
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)
È stato inserito un controllo sulla valutazione degli eventi di sicurezza che, previa valutazione, possono essere classificati come incident di sicurezza e trattati di conseguenza. Qualora fosse costituito un information security
incident response team (ISIRT) tale attività è demandata ad esso.
23 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference
Control title Control description
A.18 Compliance
A.18.1Compliance with legal and contractual requirements
Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information security and of any security requirements.
A.18.1.1
Identification of applicable legislation and contractual requirements
All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements shall be explicitly identified, documented and kept up to date for each information system and the organization.
A.18.1.4Privacy and protection of personally identifiable information
Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.
A.18.2Information security reviews
Objective: To ensure that information security is implemented and operated in accordance with the organizational policies and procedures.
A.18.2.3Technical compliance review
Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)Annex A reference
Control title Control description
A15.1.1Identification of applicable legislation
All relevant statutory, regulatory and contractual requirements and the organization's approach to meet these requirements shall be explicitly defined, documented, and kept up to date for each information system and the organization.
A15.1.4Data protection and privacy of personal information
Data protection and privacy shall be ensured as required in relevant legislation, regulations, and, if applicable, contractual clauses.
A15.2.2Technical compliance checking
Information systems shall be regularly checked for compliance with security implementation standards.
Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)
Ci sono molti controlli che sono stati modificati rispetto all’edizione del 2005 non andando comunque a stravolgerne il senso.
24
Transizione
La filosofia la intendo come il passaggio dal senso al significato, attraverso le mediazioni culturali, dottrinali, attraverso la struttura del puro pensare e attraverso le mediazioni della prassi.Italo Mancini
25 Iter di certificazione (1/2)
Step 1 •Definizione ambito di certificazione•Gap analysis e progettazione ISMS•Implementazione ISMS secondo Criteri ISO27001•Coinvolgimento Terze Parti
Step 2 •Pre-audit (non indispensabile)•Esame della Documentazione / Stage 1•Visita di Certificazione / Stage 2
Step 3 •Verifiche interne•Verifica annuale•Ri-cerificazione triennale
26
Correzioni ISMS
Visite annuali
Revisione ISMS
Visita triennale
Iter di certificazione (2/2)
Cert.Visit
a Certi
f.ISMS
27 Transizione delle certificazioni aziendali
Accredia non ha ancora dato indicazioni relativamente al periodo di transizione in cui le organizzazioni potranno ancora certificarsi secondo
la norma ISO/IEC 27001:2005. È presumibile che questo periodo si estenderà almeno per tutto il 2014.
Cosa è opportuno che facciano le organizzazioni che si stanno predisponendo per la certificazione?
a. Verificare i tempi di allineamento del proprio certification body;b. Se si è in uno stato avanzato/finale del progetto: può essere opportuno basarsi sulla versione 2005; valutare da subito una gap analysis con la versione 2013; allinearsi alla ed. 2013 dalla prima
verifica annuale;c. Se si è in uno stato iniziale del progetto può essere opportuno
adeguare il progetto già all’ed. 2013.
È comunque opportuno adeguare le competenze interne ed esterne fin da subito alla ISO/IEC 27001:2013
28 Transizione delle qualifiche delle personeIl Quaderno Clusit «Certificazioni Professionali in
Sicurezza Informatica 2.0» individua diverse certificazioni in ambito della sicurezza delle
informazioni di cui solo alcune specifiche sulla ISO/IEC 27000
Lead auditor ISO/IEC 27001
ISO 27001 Implementer
EXIN Information Security (based on ISO/IEC 27002)
da 2005 a 2013
Quelle specifiche sulla norma per gli internal auditor, consulenti ed auditor esterni è opportuno che siano aggiornate rapidamente; quelle
non specifiche sulla norma sono valide.
29
29
“Il grande nemico della verità molto spesso non è la menzogna: deliberata, creata ad arte e disonesta; quanto il mito: persistente, persuasivo e irrealistico.”John Fitzgerald Kennedy - discorso inaugurale a Yale, 11/06/1962
Conclusioni
30 Conclusioni
La norma fra l’edizione 2005 e quella 2013 appena pubblicata si è evoluta e non è stata rivoluzionata. La base della 2005 resta sostanzialmente immutata.
Alla versione 2013 ci si può arrivare per gradi soprattutto se si è già avviato il processo di certificazione pensando ad un allineamento dell’ISMS alla versione 2013 nella prima verifica annuale.
È opportuno pensare fin da subito alle competenze delle risorse coinvolte (auditor, consulenti, ecc.) individuando persone con le competenze aggiornate o con percorsi di aggiornamento.
31
Conclusion
&Question Time
…?
32
Andrea Praitano
Business-e SpA (an Itway Group Company)Via Edoardo D'Onofrio, 304 - 00155 Roma
+39 06 40909011
+39 348 4054673
it.linkedin.com/in/
andreapraitano/