Novità della norma ISO/IEC 27001:2013

ISO/IEC 27001/2:2013cosa cambia rispetto alla versione 2005?

Ing. Andrea Praitano, eMBA, CISA, CRISC

2

Relatore

Io sono convinta che grandi profeti e grandi saggi, se avessero saputo che nel loro nome ci saremmo saccagnati di botte per millenni, invece di predicare andavano a giocare a bocce.Luciana Litizzetto

3 Andrea Praitano: chi sono?

Senior Security Consultant/IT Auditor

Socio

4

La famiglia ISO/IEC 27k

La famiglia è l'associazione istituita dalla natura per provvedere alle necessità dell'uomo.Aristotele

5 Evoluzione della normaBS

779

9-1:

1995

BS 7

799-

2:19

98

BS 7

799-

1:19

99BS

779

9-2:

1999

ISO/

IEC

1779

9:20

00

ISO/

IEC

1779

9:20

05IS

O/IE

C 27

001:

2005

ISO/

IEC

2700

2:20

052007

ISO/

IEC

2700

2:20

13IS

O/IE

C 27

001:

2013

Code

of P

ract

ices

Requ

irem

ents

UNI C

EI IS

O/IE

C27

001:

2006

6 La famiglia di norme ISO 27k

27001:2013Requirements

27002:2013Code of practice

27000:2012Vocabulary

27007:2011ISMS auditing

27006:2011Requirements for audit &

cert. bodies

27005:2011Risk Management

27004:2009Measurements

27003:2010Implementation guidance

27016Organizational economics

27015:2012Financial and insurance

27014:2013Governance

27013:2012ISO/IEC 20000-1 and

ISO/IEC 27001

27011:2008Telecomunications

27010:2012inter-sector & inter-org.

communications

27008:2011Audit on ISMS controls

27017Cloud computing

27031:2011Business continuity

2704xInvestigation

27037:2012Digital evidences

27036Security for suppliers

27035:2011Incident management

27034-1:2011Application security

27033-xxNetwork security

27032:2012Cyber security

27019:2013ISO/IEC 27002 energy

utility industry

27040Storage security

7 ISO Survey – 2012 (1/2)

8 ISO Survey – 2012 (2/2)

2007 2008 2009 2010 2011 2012Italy 8 440 157.743 104.258 Germany 9 57 81 211 391 United Kingdom 124 271 243 366 325 1.405

Siti

9

La ISO/IEC 27001:2013 & ISO/IEC 27002:2013

Chi legge la Bibbia per trovarci degli errori, si renderà presto conto che la Bibbia trova degli errori in lui.Charles Spurgeon

10 L’impostazione della norma (1/2)

La ISO/IEC 27001:2013 segue le nuove direttive definite dalla ISO e descritte nell’Annex SL delle ISO/IEC Directives

Supplement di maggio 2012.L’obiettivo dell’Annex SL è quello di fornire

tutte le indicazioni al fine di avere un allineamento di tutte le norme dei sistemi di gestione con una stessa organizzazione dei

contenuti.Questa normalizzazione delle norme, iniziata

con al ISO/IEC 22301:213, indirizza una integrabilità degli schemi e dei sistemi di

gestione.

11 L’impostazione della norma (2/2)

Che cosa permette l’adozione della ISO/IEC Directives Supplement?

Uniformazione e miglioramento dell’efficacia nella redazione degli standard per i Comitati tecnici dell’ISO.

Migliore allineamento e compatibilità tra gli standard.

Massimo beneficio per le organizzazioni che realizzano un sistema di gestione integrato

12

Aggiornate nell’impostazione

Stato dell’arte delle norme

27001:2013

In aggiornamento

20121:2012 Event

sustainabilityInformation

security

22301:2012Business

continuity 39001:2012 Road traffic

safety

22000:2005

9001:2008 Quality

14001:2009Food safety

Environmental

13 Che cosa cambia nella ISO/IEC 27001:2013?Modificata la struttura ed impostazione della

norma.

Allineamento alla ISO 31000

Sono aumentati i requisiti sulla valutazione delle performance

Sono ridotti i requisiti sul risk assessment (no asset, minacce, vulnerabilità)

Sono rimosse le azioni preventive

14 High level structure

0 Introduction1 Scope2 Normative references3 Terms and definitions4 Context of the organization5 Leadership

5.1 Leadership and commitment5.2 Policy5.3 Organizational roles, responsibilities and authorities

6 Planning6.1 Actions to address risks and opportunities6.2 XXX objectives and planning to achieve them

7 Support7.1 Resources7.2 Competence7.3 Awareness7.4 Communication7.5 Documented information

8 Operation8.1 Operational planning and control

9 Performance evaluation9.1 Monitoring, measurement, analysis and evaluation9.2 Internal audit9.3 Management review

10 ImprovementAnnex A (normative) Reference control objectives and controls

ISO/IEC Directives, Part 1Consolidated ISO Supplement - Procedures specific to ISO

15 Prime differenze fra l’ed. 2013 e 2005

4.1 The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended

outcome(s) of its information security management system.È richiesta la comprensione sia del contesto interno che esterno

dell’organizzazione.

4.2 The organization shall determine:a) interested parties that are relevant to the information security

management system; andb) the requirements of these interested parties relevant to information

security.È richiesta l’identificazione degli stakeholder e delle loro aspettative.

La ISO/IEC 27001:2013 non ha più come «riferimento normativo» la ISO/IEC 27002 ma soltanto la ISO/IEC 27000. Questo comporta che la ISO/IEC 27002 non è più quindi un riferimento normativo anch’esso da

verificare negli audit di certificazione ma è una norma «di riferimento» per instaura correttamente un ISMS.

16 Prime differenze fra l’ed. 2013 e 2005

Introdotta la «Leadership» che sostituisce l’impegno della direzione.L’istituzione di un ISMS non è un aspetto esclusivamente IT ma la

direzione deve essere pesantemente coinvolta e l’ISMS deve essere «strutturale» all’interno dell’organizzazione.

L’analisi dei rischi non è più a livello di asset. Deve essere identificato un risk owner e non più un asset owner.

L’analisi dei rischi non necessariamente deve essere svolta a livello di asset e può essere vista come «semplificata» rispetto alla versione del

2005 anche se è più esplicita la connessione di tutto l’ISMS e dell’analisi dei rischi con aspetti di business che prima erano soltanto impliciti.

17 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005

Annex A reference

Control title Control description

A.5.1.1Information security policy document

An information security policy document shall be approved by management, and published and communicated to all employees and relevant external parties.

A.5.1.2Review of the information security policy

The information security policy shall be reviewed at planned intervals or if significant changes occur to ensure its continuing suitability, adequacy, and effectiveness.

Statement of Applicability of ISO/IEC 27001 Annex A controls (2005)Annex A reference


A.5Information security policies

A.5.1Management direction for information security

To provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.

A.5.1.1Policies for information security

A set of policies for information security shall be defined, approved by management, published and communicated to employees and relevant external parties.

A.5.1.2Review of the policies for information security

The policies for information security shall be reviewed at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness.

Statement of Applicability of ISO/IEC 27001 Annex A controls (2013)

L’edizione 2013 richiede l’istituzione di un sistema documentale di policy sull’information security e non solo di una policy che deve essere

approvata dalla direzione (che può essere inteso a più livelli) e tutto il sistema di policy è sottoposto a verifica e aggiornamento periodico..

18 ISO/IEC 27001:2013 vs ISO/IEC 27001:2005Annex A reference


A.6Organization of information security

A.6.1 Internal organizationTo establish a management framework to initiate and control the implementation and operation of information security within the organization.

A.6.1.2 Segregation of duties

Conflicting duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets.

A.6.1.3 Contact with authoritiesAppropriate contacts with relevant authorities shall be maintained.

A.6.1.4Contact with special interest groups

Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.

A.6.1.5Information security in project management

Information security shall be addressed in project management, regardless of the type of the project.

A.6.2Mobile devices and teleworking

To ensure the security of teleworking and use of mobile devices.

A.6.2.1 Mobile device policyA policy and supporting security measures shall be adopted to manage the risks introduced by using mobile devices.

A.6.2.2 TeleworkingA policy and supporting security measures shall be implemented to protect information accessed, processed or stored at teleworking sites.


All information security responsibilities shall be defined and allocated.

Information security roles and responsibilities

A.6.1.1

Annex A reference


A.8.1.1Roles and responsibilities

Security roles and responsibilities of employees, contractors and third party users shall be defined and documented in accordance with the organization's information security policy.

A.6.1.3Allocation of information security responsibilities

All information security responsibilities shall be clearly defined.

A10.1.3 Segregation of duties

Duties and areas of responsibility shall be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization's assets.

A.6.1.6 Contact with authoritiesAppropriate contacts with relevant authorities shall be maintained.

A.6.1.7Contact with special interest groups

Appropriate contacts with special interest groups or other specialist security forums and professional associations shall be maintained.

A11.7.1Mobile computing and communications

A formal policy shall be in place, and security measures shall be adopted to protect against the risks of using mobile computing and communication facilities.

A11.7.2 TeleworkingA policy, operational plans and procedures shall be developed and implemented for teleworking activities.


È stato inserito un nuovo e specifico controllo relativo all’indirizzamento degli aspetti di information security nella gestione dei progetti. Essendo

esplicitamente indicato che l’ISMS è pervasivo all’interno dell’organizzazione questo aspetto deve essere soddisfatto anche nei

progetti non IT.



A.12 Operations security

A.12.6Technical vulnerability management

To prevent exploitation of technical vulnerabilities.

A.12.6.1Management of technical vulnerabilities

Information about technical vulnerabilities of information systems being used shall be obtained in a timely fashion, the organization's exposure to such vulnerabilities evaluated and appropriate measures taken to address the associated risk.

A.12.6.2Restrictions on software installation

Rules governing the installation of software by users shall be established and implemented.



A12.6.1Control of technical vulnerabilities

Timely information about technical vulnerabilities of information systems being used shall be obtained, the organization's exposure to such vulnerabilities evaluated, and appropriate measures taken to address the associated risk.


È stato inserito un nuovo e specifico controllo relativo restrizione del software installato/installabile da parte degli utenti. È quindi necessario

introdurre delle regole sul software e dei controlli sul software effettivamente installato, in quest’ottica viene incontro l’implementazione

di una Definitive Media Library – DML secondo ITIL.



A.14System acquisition, development and maintenance

A.14.2Security in development and support processes

Objective: To ensure that information security is designed and implemented within the development lifecycle of information systems.

A.14.2.1Secure development policy

Rules for the development of software and systems shall be established and applied to developments within the organization.

A.14.2.5Secure system engineering principles

Principles for engineering secure systems shall be established, documented, maintained and applied to any information system implementation efforts.

A.14.2.6Secure development environment

Organizations shall establish and appropriately protect secure development environments for system development and integration efforts that cover the entire system development lifecycle.

A.14.2.7Outsourced development

The organization shall supervise and monitor the activity of outsourced system development.

A.14.2.8 System security testingTesting of security functionality shall be carried out during development.

A.14.2.9System acceptance testing

Acceptance testing programs and related criteria shall be established for new information systems, upgrades and new versions.



A12.5.5Outsourced software development

Outsourced software development shall be supervised and monitored by the organization.

A10.3.2 System acceptance

Acceptance criteria for new information systems, upgrades, and new versions shall be established and suitable tests of the system's) carried out during development and prior to acceptance.


Sono stati inseriti dei controlli che mirano a verificare che la sicurezza delle informazioni sia presidiata in tutto il ciclo di vita a partire dalla fase

di sviluppo.



A.15 Supplier relationships

A.15.1Information security in supplier relationships

Objective: To ensure protection of the organization’s assets that is accessible by suppliers.

A.15.1.1Information security policy for supplier relationships

Information security requirements for mitigating the risks associated with supplier’s access to the organization’s assets shall be agreed with the supplier and documented.

A.15.1.2Addressing security within supplier agreements

All relevant information security requirements shall be established and agreed with each supplier that may access, process, store, communicate, or provide IT infrastructure components for, the organization’s information.

A.15.1.3Information and communication technology supply chain

Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain.



A.6.2.3


Addressing security in third party contracts

Agreements with third parties involving accessing, processing, communicating or managing the organization's information or information processing facilities, or adding products or services to information processing facilities shall cover all relevant security requirements.

L’organizzazione è un anello di una catena e tutti gli anelli della catena concorrono alla sicurezza complessiva. Tutta la supply chain deve essere

presidiata con particolare focus su ciò che sta a monte.



A.16Information security incident management

A.16.1

Management of information security incidents and improvements

Objective: To ensure a consistent and effective approach to the management of information security incidents, including communication on security events and weaknesses.

A.16.1.4Assessment of and decision on information security events

Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents.




È stato inserito un controllo sulla valutazione degli eventi di sicurezza che, previa valutazione, possono essere classificati come incident di sicurezza e trattati di conseguenza. Qualora fosse costituito un information security

incident response team (ISIRT) tale attività è demandata ad esso.



A.18 Compliance

A.18.1Compliance with legal and contractual requirements

Objective: To avoid breaches of legal, statutory, regulatory or contractual obligations related to information security and of any security requirements.

A.18.1.1

Identification of applicable legislation and contractual requirements

All relevant legislative statutory, regulatory, contractual requirements and the organization’s approach to meet these requirements shall be explicitly identified, documented and kept up to date for each information system and the organization.

A.18.1.4Privacy and protection of personally identifiable information

Privacy and protection of personally identifiable information shall be ensured as required in relevant legislation and regulation where applicable.

A.18.2Information security reviews

Objective: To ensure that information security is implemented and operated in accordance with the organizational policies and procedures.

A.18.2.3Technical compliance review

Information systems shall be regularly reviewed for compliance with the organization’s information security policies and standards.



A15.1.1Identification of applicable legislation

All relevant statutory, regulatory and contractual requirements and the organization's approach to meet these requirements shall be explicitly defined, documented, and kept up to date for each information system and the organization.

A15.1.4Data protection and privacy of personal information

Data protection and privacy shall be ensured as required in relevant legislation, regulations, and, if applicable, contractual clauses.

A15.2.2Technical compliance checking

Information systems shall be regularly checked for compliance with security implementation standards.


Ci sono molti controlli che sono stati modificati rispetto all’edizione del 2005 non andando comunque a stravolgerne il senso.

24

Transizione

La filosofia la intendo come il passaggio dal senso al significato, attraverso le mediazioni culturali, dottrinali, attraverso la struttura del puro pensare e attraverso le mediazioni della prassi.Italo Mancini

25 Iter di certificazione (1/2)

Step 1 •Definizione ambito di certificazione•Gap analysis e progettazione ISMS•Implementazione ISMS secondo Criteri ISO27001•Coinvolgimento Terze Parti

Step 2 •Pre-audit (non indispensabile)•Esame della Documentazione / Stage 1•Visita di Certificazione / Stage 2

Step 3 •Verifiche interne•Verifica annuale•Ri-cerificazione triennale

26

Correzioni ISMS

Visite annuali

Revisione ISMS

Visita triennale

Iter di certificazione (2/2)

Cert.Visit

a Certi

f.ISMS

27 Transizione delle certificazioni aziendali

Accredia non ha ancora dato indicazioni relativamente al periodo di transizione in cui le organizzazioni potranno ancora certificarsi secondo

la norma ISO/IEC 27001:2005. È presumibile che questo periodo si estenderà almeno per tutto il 2014.

Cosa è opportuno che facciano le organizzazioni che si stanno predisponendo per la certificazione?

a. Verificare i tempi di allineamento del proprio certification body;b. Se si è in uno stato avanzato/finale del progetto: può essere opportuno basarsi sulla versione 2005; valutare da subito una gap analysis con la versione 2013; allinearsi alla ed. 2013 dalla prima

verifica annuale;c. Se si è in uno stato iniziale del progetto può essere opportuno

adeguare il progetto già all’ed. 2013.

È comunque opportuno adeguare le competenze interne ed esterne fin da subito alla ISO/IEC 27001:2013

28 Transizione delle qualifiche delle personeIl Quaderno Clusit «Certificazioni Professionali in

Sicurezza Informatica 2.0» individua diverse certificazioni in ambito della sicurezza delle

informazioni di cui solo alcune specifiche sulla ISO/IEC 27000

Lead auditor ISO/IEC 27001

ISO 27001 Implementer

EXIN Information Security (based on ISO/IEC 27002)

da 2005 a 2013

Quelle specifiche sulla norma per gli internal auditor, consulenti ed auditor esterni è opportuno che siano aggiornate rapidamente; quelle

non specifiche sulla norma sono valide.

29

29

“Il grande nemico della verità molto spesso non è la menzogna: deliberata, creata ad arte e disonesta; quanto il mito: persistente, persuasivo e irrealistico.”John Fitzgerald Kennedy - discorso inaugurale a Yale, 11/06/1962

Conclusioni

30 Conclusioni

La norma fra l’edizione 2005 e quella 2013 appena pubblicata si è evoluta e non è stata rivoluzionata. La base della 2005 resta sostanzialmente immutata.

Alla versione 2013 ci si può arrivare per gradi soprattutto se si è già avviato il processo di certificazione pensando ad un allineamento dell’ISMS alla versione 2013 nella prima verifica annuale.

È opportuno pensare fin da subito alle competenze delle risorse coinvolte (auditor, consulenti, ecc.) individuando persone con le competenze aggiornate o con percorsi di aggiornamento.

31

Conclusion

&Question Time

…?

32

Andrea Praitano

Business-e SpA (an Itway Group Company)Via Edoardo D'Onofrio, 304 - 00155 Roma

[email protected]

+39 06 40909011

+39 348 4054673

it.linkedin.com/in/

andreapraitano/

mailto:[email protected]

Novità della norma ISO/IEC 27001:2013

Internet

Transcript of Novità della norma ISO/IEC 27001:2013