|
Iso 17799:
2005
La norma ISO 17799 "Information
Technology - Security techniques - Code of practice for information
security management" (che sostituisce la BS 7799:1) riconosce che
legare il tema della sicurezza dell’informazione esclusivamente ad
aspetti puramente tecnologici può essere limitativo: un ruolo altrettanto
importante viene svolto quindi da una adeguata gestione dei controlli e
delle procedure (sistemi di monitoraggio, prevenzione e ripristino dati),
il che significa un coinvolgimento complessivo e articolato, ai vari
livelli, di tutte le strutture dell’organizzazione, dai dipendenti ai
collaboratori, dai fornitori alle terze parti, per arrivare anche agli
utenti e ai clienti. Sotto questo aspetto, la norma ISO/IEC 17799 è
destinata a divenire uno strumento essenziale per organizzazioni, aziende,
imprese di qualsiasi tipo e dimensione, sia pubbliche che private.
La nuova norma ISO 17799:2005 presenta una breve
descrizione delle misure proposte, i controlli di sicurezza, seguiti da
descrizioni più approfondite (Implementation Guidance) e da eventuali
ulteriori considerazioni, riferimenti ad altri standard o richiami a
possibili aspetti legali (nei paragrafi Other information).
La precedente versione, BS 7799-2:2002, indicava come “controllo” sia
la breve descrizione che la Implementation Guidance, in questo modo alcune
misure importanti (come, per esempio, la definizione di Ownership of
assets), non erano riportate per quelli che potremmo definire errori di
sintesi. Per ovviare a ciò nella nuova versione è stato redatto un
riepilogo riportato nell’Allegato A.
I controlli attualmente
proposti sono 134, contro i 127 precedenti. Molti sono stati riformulati e
dimostrano l’attenzione rivolta all’aggiornamento della terminologia e
alla sua omogeneità, nonché alla completezza delle descrizioni. Altri
controlli sono stati aggiunti per evitare errori di sintesi.
Non sono da segnalare modifiche tali da compromettere il lavoro svolto sin
qui dalle aziende che hanno redatto uno Statement of Applicability
conforme al BS 7799-2:2002, a parte la nuova numerazione e la maggiore
attenzione ad alcuni argomenti, come verrà analizzato di seguito.
I capitoli iniziali
ricalcano quanto già previsto dalla norma del 2000, con un’estensione
del secondo capitolo dedicato alle definizioni, l’aggiunta di un breve
capitolo (il quarto) dedicato alla valutazione e trattamento del rischio e
uno (il terzo) di descrizione della struttura dello standard.
Agli starting point già proposti dall’ISO 17799:2000 ne viene aggiunto
uno riguardante la correttezza di esecuzione delle applicazioni.
Per la successiva
analisi, i capitoli saranno presentati secondo l’ordine della versione
del 2000. Questo per facilitare chi ha lavorato sino ad oggi con questa.
Quasi tutti i titoli e descrizioni dei controlli sono stati modificati.
Saranno di seguito segnalate le sole modifiche di rilevo agli scopi di
questo articolo.
3 Security Policy
Una maggiore attenzione viene posta alle terze parti: l’ISO 17799:2005
richiede di comunicare la politica di sicurezza, oltre che al personale
interno, anche alle “entità esterne rilevanti”.
Questo aspetto era già presente nella norma del 2000, ma poco evidenziato
dalla BS 7799-2:2002. La nuova organizzazione dei controlli e le relative
descrizioni (anche se non saranno segnalate nel prosieguo dell’articolo)
sottolineano questo argomento talmente importante da non richiedere
ulteriori commenti.
4 Organizational Security
Al primo controllo è presente una novità: viene eliminato il “Security
forum”, entità organizzativa amatissima da quanti sino ad oggi si sono
occupati di sicurezza delle informazioni.
Le responsabilità gestionali sono ora date alla Direzione Aziendale,
uniformemente a quanto già previsto dalle attuali versioni di standard
come l’ISO 9001 e l’ISO 14000. Il Security Forum veniva delegato dalla
Direzione per fornire supporto alle attività di sicurezza, definire la
politica di sicurezza e approvare gli investimenti di maggior portata:
attività ora di competenza della stessa Direzione.
Viene comunque lasciata la possibilità di costituire un gruppo con
competenze più specifiche e maggiore orientamento verso le tematiche di
sicurezza.
Il controllo sugli accordi di riservatezza (6.1.3, per la ISO 17799:2000)
non è più collocato nel capitolo dedicato alla gestione del personale,
ma in questo sull’organizzazione della sicurezza perché riconducibile
anche alla gestione delle “terze parti”.
I controlli 4.1.5 e 4.1.6
della versione del 2000, ora numerati come 6.1.7 e 6.1.6, relativi al
supporto di specialisti esterni e all’attivazione di contatti con altre
organizzazioni, sono stati modificati e resi più chiari.
I controlli successivi, a cui è dedicata la Sezione 6.2, sono relativi
alla gestione delle terze parti e sono stati riorganizzati. Viene chiarito
meglio il concetto di outsourcing e le sue differenze rispetto ad altre
tipologie di rapporti con terzi. Per questo motivo non è possibile
trovare un corrispondente diretto del controllo 4.3.1 della precedente
versione dell’ISO 17799.
Il nuovo controllo 6.2.2 esplicita la necessità di considerare, tra le
terze parti, non solo i fornitori, ma anche i clienti.
5 Asset classification
and control
Questo capitolo è stato rinominato “Asset management” e ha due
controlli in più.
Il nuovo controllo 7.1.2 è dedicato alla “proprietà” degli asset (Ownership
of assets). Tale argomento, benché presente nel controllo 4.1.3
dell’ISO 17799:2000, non era riportato nella BS 7799-2:2002 per errore
di sintesi.
6 Personnel Security
La nuova norma dedica 3 nuovi controlli (8.3.1, 8.3.2, 8.3.3) alla
gestione del personale interno o esterno in occasione della fine del
rapporto con un’organizzazione. Queste misure, per errori di sintesi,
non sono richiamate dall’Allegato A della BS 7799-2:2002.
Viene anche aggiunta la nuova misura 8.2.1, in cui viene specificato che
è responsabilità della Direzione comunicare al personale, sia interno
che esterno, l’obbligo di applicazione delle politiche e procedure di
sicurezza.
Gestione degli
incidenti
Le misure della ISO 17799:2000 da 6.3.1 a 6.3.4 riguardano la gestione
degli incidenti, a cui la nuova norma del 2005 dedica un capitolo in più:
il 13.
Per errore di sintesi, i controlli dell’Allegato A della BS 7799-2:2002
richiedevano di segnalare e analizzare gli incidenti, ma non contemplavano
la gestione degli stessi. Una parziale eccezione a ciò è rappresentata
dal controllo 8.1.3, limitato però ai soli incidenti informatici. Il
controllo 13.2.1 della nuova norma richiede la gestione degli incidenti
per tutti gli ambienti.
Il controllo della vecchia norma 6.3.3 sulle vulnerabilità software è
collocato nel capitolo dedicato allo sviluppo e gestione dei sistemi.
Il controllo relativo alla raccolta di prove a scopi legali,
precedentemente collocato nel capitolo “Compliance”, è stato ora più
propriamente accorpato agli altri controlli di gestione degli incidenti.
7 Physical and environmental security
Si segnala l’aggiunta del controllo 9.1.4, che specifica meglio le
misure da intraprendere contro le minacce ambientali, non riportate
dall’Allegato A della BS 7799-2:2002 per errore di sintesi.
Il controllo 7.2.2, precedentemente dedicato alla protezione delle
infrastrutture di erogazione di energia, è stato esteso a tutte le
infrastrutture
Il controllo sulla Clear Desk Policy è stato ricollocato tra le “User
responsabilities”.
8 Communication and
operations management
Per la nuova norma del 2005 sono stati ampiamente riscritti e aggiornati i
controlli del 2000. In particolare, si nota una maggiore attenzione agli
strumenti informatici esterni all’azienda, alle terze parti, al
commercio elettronico (a cui è stata dedicata la nuova sezione 10.9) e
all’evoluzione degli strumenti di automazione per l’ufficio.
E’ stato aggiunto il controllo 10.8.1 relativo allo scambio di
informazioni, mentre è interessante la riformulazione del vecchio
controllo 8.7.7 sulla posta elettronica, che viene ora fatta rientrare
come caso particolare di “Electronic messaging”.
Una nuova sezione 10.10 è stata dedicata al monitoraggio dei sistemi (logging
e auditing), raggruppando ed estendendo alcuni controlli precedentemente
dedicati al solo monitoraggio dei sistemi o degli accessi. Alla protezione
dei log, considerata precedentemente come caso particolare di sicurezza
dei record aziendali, è ora dedicato il controllo 10.10.3.
9 Access Control
Le misure di controllo degli accessi sono in larga parte rimaste invariate
o adeguate alle nuove tecnologie.
L’aggiornamento consiste nell’ammodernamento del linguaggio e
nell’eliminazione di controlli specifici del solo mondo mainframe.
Sono stati eliminati i controlli 9.4.2 sull’enforced path (raramente
applicato e meglio espresso come caso particolare di controllo delle
trasmissioni), 9.5.1 sull’autenticazione automatica dei terminali (più
specifico per ambienti mainframe e ora caso particolare della 11.6.1),
9.5.6 sulla segnalazione automatica di transazioni effettuate sotto
coercizione (ora caso particolare di segnalazione di incidenti)
10 System development
and maintenance
In questo capitolo i controlli dedicati alla crittografia (quelli della
sezione 10.3 della ISO 17799:2000) sono passati da cinque a due. Nella
nuova versione, la crittografia è da intendersi più come tecnologia
particolare che come controllo a sé stante. Rimangono i due controlli
relativi alle politiche e alla gestione delle chiavi crittografiche.
Il vecchio controllo 10.2.3 è stato riformulato considerando
l’autenticazione delle trasmissioni come caso particolare di integrità.
I restanti controlli sono stati resi più chiari e aggiornati.
11 Business continuity
management
Capitolo largamente rimasto invariato. Da segnalare solo qualche aggiunta
e precisazione.
12 Compliance
Anche questo Capitolo non ha subito variazioni di rilievo se non qualche
aggiunta e precisazione.
Torna sopra
|
Preventivi
gratuiti in tutta