Cloud e Sicurezza secondo le norme ISO/IEC
Autore
Fabio Guasconi
Fabio Guasconi Direttivo CLUSIT Direttivo UNINFO
Presidente del ISO/IEC JTC1 SC27 UNINFO CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder BL4CKSWAN S.r.l.
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
2
Agenda Importanza della normazione Ecosistema ISO/IEC
SC27 e lavori legati al Cloud Focus sulla 27018 Future novità
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
3
Importanza della normazione Dal dizionario Hoepli della lingua italiana: Uno «standard» è un tipo, modello, punto di riferimento
Dal Regolamento UE 1025/2012: Una «norma» è una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
4
Importanza della normazione ISO dichiara che i benefici della normazione sono da inviduarsi in:
Cost savings - International Standards help optimise operations and therefore improve the bottom line Enhanced customer satisfaction - International Standards help improve quality, enhance customer satisfaction and increase sales Access to new markets - International Standards help prevent trade barriers and open up global markets Increased market share - International Standards help increase productivity and competitive advantage
Inoltre: when products and services conform to International Standards consumers can have confidence that they are safe, reliable and of good quality.
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
5
Ecosistema ISO/IEC CIG (Gas)
UNINFO
CTI
(ICT)
(Termotecnico)
JTC 1 Information Technology SC27 IT Security Techniques UNI CHIM
CUNA (Automobilistico)
(Chimico)
UNI PLAST (Materie plastiche)
52 P-Members 18 O-Members 145 Norme pubblicate
UNI SIDER (Metallurgico)
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
6
SC27 e lavori legati al Cloud JTC 1 Information Technology SC27 IT Security Techniques WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance
WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza
WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni
WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
7
SC27 e lavori legati al Cloud 2010 – SC27 lancia uno study period trasversale a tutti i WG su "Cloud computing security and privacy"
2011 – Lo study period raccomanda lo sviluppo di un insieme organico di norme con riferimento alla ISO/IEC 17789
2011 – Iniziano i lavori sulle norme ISO/IEC 27017 e 27018 e sono avviate le relative liaison con i principali gruppi di interesse esistenti:
2012 – Iniziano i lavori sulla norma ISO/IEC 27036-4 2014 – Viene pubblicata la ISO/IEC 27018 2015 – Prevista la pubblicazione della ISO/IEC 27017 (ottobre) Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
8
Focus sulla 27018: basi Information technology ― Security techniques
Code of practice for PII protection in public clouds acting as PII processors Partiamo dalla definizione di PII nella norma di riferimento per il WG5, che è la pubblicamente disponibile ISO/IEC 29100:2011 Personally Identifiable Information PII any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal
PII is also referred to as personal data or personal information a public cloud service provider is a 'PII processor' when it processes PII for and according to the instructions of a cloud service customer Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
9
Focus sulla 27018: finalità 1. indicare un insieme di contromisure da utilizzarsi da parte del public cloud computing service provider a partire dal noto schema della ISO/IEC 27002 2. fornire supporto al public cloud computing service provider nell'adempimento agli obblighi collegati al trattamento di PII 3.
facilitare gli accordi tra public cloud computing service provider e cloud service customer
4. fornire strumenti di verifica della sicurezza ai cloud service customer
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
10
Focus sulla 27018: uso previsto +
Catalogo controlli (ISO/IEC 27002)
Risk Assessment (ISO/IEC 27005) 1
2 Privacy Impact Assessment (ISO/IEC 29134)
Risk Treatment (ISO/IEC 27005)
Catalogo controlli (ISO/IEC 27018)
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
11
Focus sulla 27018: controlli 5 Information Security Policies
1
6 Organisation of Information Security
1
7 Human Resources Security
1
8 Asset Management
Aggiunte al testo dei "controlli": Public cloud PII protection implementation guidance Other information for public cloud PII protection
9 Access control
2
10 Cryptography
1
11 Physical and environmental Security
1
12 Operations Security
4
13 Communications Security
1
14 Systems acquisition, development and maintenance 15 Supplier relationships 16 Information Security Incident Management
1
17 IS aspects of Business Continuity
18 Compliance
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
1
12
Focus sulla 27018: controlli 25 controlli aggiuntivi rispetto alla ISO/IEC 27002, raccolti nell'annex A: Obligation to co-operate regarding PII principals’ rights Public cloud PII processor’s purpose Public cloud PII processor's commercial use Secure erasure of temporary files PII disclosure notification Recording of PII disclosures Disclosure of sub-contracted PII processing Notification of a data breach involving PII Retention period for administrative security policies and guidelines PII return, transfer and disposal Confidentiality or non-disclosure agreements Restriction of the creation of hardcopy material Control and logging of data restoration
Protecting data on storage media leaving the premises Use of unencrypted portable storage media and devices Encryption of PII transmitted over public data-transmission networks Secure disposal of hardcopy materials Unique use of user IDs Records of authorized users User ID management Contract measures Sub-contracted PII processing Access to data on pre-used data storage space Geographical location of PII Intended destination of PII
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
13
Focus sulla 27018: certificazione?
ISO/IEC 27001 Requisiti SGSI
+
ISO/IEC 27002 Controlli generici
+
ISO/IEC 27018 Controlli specifici
= CERTIFICAZIONE secondo lo schema ISO/IEC 27001
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
14
Future novità: 27017 Information technology ― Security techniques
Code of practice for information security controls based on ISO/IEC 27002 for cloud services Impostazione identica alla ISO/IEC 27018 Focus specifico su cloud service customer / cloud service provider con linee guida dedicate a ciascuno di essi Nello stato attuale di DIS conta 51 pagine (contro le 41 della ISO/IEC 27018) pur "sdoppiando i testi" Include un Annex B con riferimento ai rischi per la sicurezza legati al cloud computing
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
15
Future novità: 27036-4 Information technology ― Security techniques
Information security for supplier relationships — Part 4: Guidelines for security of cloud services
La norma multiparte 27036 è composta anche da: Parte 1 (2014) – Overview and concepts Parte 2 (2014) – Requirements Parte 3 (2013) – Guidelines for information and communication technology supply chain security
Attualmente in stato di CD, pubblicazione attesa per il 2016 Fornisce linee guida sui rischi legati all'uso di servizi in cloud e alla loro gestione, discernendo i principali paradigmi diffusi sul mercato (IaaS, PaaS, SaaS, Hybrid, Private)
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
16
Future novità: CRMF e CSAA Cloud adapted Risk Management Framework Study period concluso da WG1 e WG4 Aggiunta di annex alla ISO/IEC 27005 (attualmente in revisione)
Cloud Security Assessment and Audit Study period appena iniziato da WG4
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
17
Contatti
[email protected] Tel. +39 3294656930
CLUSIT http://www.clusit.it
[email protected] Via Comelico 39 – 20135 Milano Tel. +39 3472319285 Fax +39 02700440496
Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC
18