Sottotitolo
Sinergie tra standard e cenni alla ISO/IEC 27013
Autore
Fabio Guasconi
Lo standard ISO/IEC 27001 Sistema di Gestione per la Sicurezza delle Informazioni (SGSI o ISMS).
Applicabile ad organizzazioni di ogni dimensione Ambito definibile a piacimento Approccio ciclico (PDCA) Orientata ai processi Costituisce un framework completo Dice cosa fare ma non come farlo Volta al miglioramento continuo E’ un riferimento universale e certificabile
Origini BS 7799-1:1995 BS 7799-1:1999
BS 7799-2:1998
BS 7799-2:1999
ISO/IEC 17799:2000
ISO/IEC 17799:2005 15 Giugno 2005
Code of practice for information security management
ISO/IEC 27001:2005 15 Ottobre 2005
ISMS requirements
3
ISO/IEC 27001:2005 Risk Assessment
Policy &
Contromisure
Requisiti
Annex A
Plan
Do
Act
Check
Miglioramento
Efficacia
Audit
Contromisure contemplate
Famiglia ISO 27000 Requisiti
Linee Guida
Di Settore
27001:2005
27000:2009
27010
ISMS requirements
Vocabulary
Inter-sector communications
27002:2005
27011:2008
Code of practice
Telecommunications
27003:2010
27013
Implementation guidance
ISO/IEC 20000 and ISO/IEC 27001
27004:2009
27014
Measurements
Security governance
27006:2007 Requirements for audit & cert. bodies
27015
27005:2008
Financial and insurance
Risk Management
27007
27008
2701X
ISMS auditing
Audit on ISMS controls
ISM Economics
Relazioni con ISO/IEC 27001 ISO/IEC 27005
Risk Assessment ISO/IEC 27002 ISO/IEC 2701X
Policy &
Contromisure
Requisiti
Annex A
Plan
Do
ISO/IEC 27003
Act
Check
Miglioramento
Efficacia ISO/IEC 27004
Audit ISO/IEC 27007-8
Dati statistici In Italia sono oggi attivi oltre 130 certificati, con la progressione seguente
Nel mondo sono oltre 6000, con in testa Giappone, India, UK e Cina
ISO/IEC 27001 e Opportunità Gestione centralizzata della sicurezza Riduzione dei costi
Ritorno d’immagine
Governo della sicurezza Due diligence
Rispetto ai Clienti
Ottimizzazione delle risorse
Copertura dei requisiti legali Consapevolezza
Strategia possibile
Rispetto agli investitori
Coinvolgimento della Direzione
Le due norme e la sicurezza ISO/IEC 27001
ISO/IEC 20000-1
• Protegge gli asset informativi di un’organizzazione che possono essere parte di un servizio • Focus su CIA
• Abilita l’erogazione di servizi secondo SLA definiti, la sicurezza è uno dei processi di gestione necessari • Focus su A
Benefici principali per l’integrazione dei due sistemi: Migliorare la sicurezza della struttura che eroga i servizi e dei servizi stessi (27001 verso 20000) Migliorare l’efficacia delle misure legate alla gestione dell’IT (20000 verso 27001) Attuare sinergie in ottica di ottimizzazione costi/benefici 10
Come abbinare 27001 e 20000?
Non sono norme allo stesso livello
ISO/IEC 20000-1
Cosa Fare
Come Farlo
ISO/IEC 27001
Ambito
E’ opportuno considerare anche la 27002 e la serie 27000 Bisogna tenere presenti le differenze di scope E’ necessario un linguaggio comune condiviso Si crea un SISTEMA INTEGRATO che prenda intelligentemente il meglio tra le due norme, senza metterle in competizione
11
Come abbinare 27001 e 20000?
Fonte: ITILv3 and Information Security Whitepaper http://whitepapers.techrepublic.com.com/abstract.aspx?docid=1020929 12
La soluzione del Sistema Integrato Tutti i Sistemi di Gestione hanno dei requisiti in comune, ISO infatti sta impostando una struttura unica da usare per tutti (v. nuova 27001). 20000 + 27001 + 9001 = SGI Riferimento: BAS PAS 99 Politiche Valutazione del rischio Requisiti Obiettivi Ruoli & Responsabilità
Azioni Preventive e Correttive Riesame della Direzione
Monitoraggio delle Performance Misurazione dell’Efficacia Auditing
Act
Plan
Check
Do
Misure Operative Gestione delle Risorse Documentazione Comunicazione
13
Contatti evidenti
Norme promulgate dal JTC1 (SC7 ed SC27) Costruite sul paradigma PDCA volto al miglioramento continuo Approccio a processi Necessità di commitment da parte della Direzione Sistemi di Gestione (SMS e ISMS) La ISO/IEC 20000-1 richiama esplicitamente la ISO/IEC 17799 6.6 Information Security Management NOTE: ISO/IEC 17799, Information technology — Security techniques — Code of practice for information security management provides guidance on information security management
La prossima versione della ISO/IEC 20000-1 farà riferimento alla serie 27000 (testo del FCD)
14
Sinergie Strutturali
15
Oltre alla 27001
16
ISO/IEC 27013,
st 1
WD
Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001
Editor provenienti da SC27 ma anche da SC7 Termine dei lavori previsto per fine 2012 Contribution possibile via UNINFO
17
ISO/IEC 27013,
st 1
WD
Indice 4. Characteristics of ISO/IEC 27001 and ISO/IEC 20000-1 5. Benefits of implementing a management system based upon both ISO/IEC 20000-1 and ISO/IEC 27001 6. Planning a combined implementation* 7. Advice on combining management systems 7.1 Areas where the standards may work well together 7.2 Areas where confusion may arise
*
Implement ISO/IEC 27001 when ISO/IEC 20000-1 is already adopted, or vice versa; Implement both ISO/IEC 27001 and ISO/IEC 20000-1 together; Align existing ISO/IEC 27001 and ISO/IEC 20000-1 management system implementations (no scope overlap). 18
GdL Serie 27000 UNINFO Commenti (tutti)
N84XX
Coordinatore (uno per norma)
Commenti Italiani
Presidente SC27 (uno)
Meeting (aperti ai soci, meglio se coordinatori) DoC, nuovo testo
19
Caso Poste Italiane Fonte: TUV SUD, Fabrizio Cirilli “Poste Italiane ha certificato i processi ed i servizi interni: tutta l’infrastruttura informatica viene garantita grazie alla ISO 27001, in maniera da mettere in sicurezza i parametri di tutto ciò che ruota intorno ai servizi IT, a loro volta supportati dalla ISO 20000-1 (es. i processi di gestione delle carte di credito, degli sportelli, aspetti ad alto contenuto tecnico e ad elevato rischio finanziario). La forza del modello di gestione sviluppato da Poste Italiane risiede anche nel fatto di aver lavorato per integrare il sistema qualità ISO 9001 (che supporta i processi decisionali e progettuali) con quelli ISO 27001 e ISO 20000-1 per la gestione della sicurezza delle informazioni e l’erogazione dei servizi.”
20
IT Risk Management Sul processo centrale per l’Information Security Management e le sue relazioni con ITILv3 sta lavorando da tempo un GdL di ITSMF. Incident Management Problem Management storico minacce
ITRM asset
Change Management Config. Management
IT Risk Management rischi vulnerabilità RFC
SLA
Service Level Management
21
Riferimenti www.uninfo.polito.it www.iso.org www.bsigroup.com www.accredia.it www.sgsi.net
[email protected]
Prospettiva ISO/IEC su 22