Iso Iec 27002

Introduzione alla nuova ISO/IEC 27002 e le conseguenze per le aziende certificate ISO/IEC 27001

Nell’ambito della sicurezza delle informazioni e della cybersecurity, lo standard globalmente riconosciuto di certificazione è certamente quello pubblicato per la prima volta nel 2005 dall’International Organization for Standardization (ISO) con la sigla ISO/IEC 27001.

Questo standard affonda le radici nel precedente BS7799 pubblicato nel 1995 in Gran Bretagna da parte di BSI. Di quest’ultimo documento, ISO ha sinora mantenuto la struttura: un primo documento (ISO/IEC 27001), che costituisce lo standard certificabile vero e proprio, ed un secondo documento, lo standard ISO/IEC 27002, dedicato a dettagliare i controlli di sicurezza richiamati nel primo standard.

L’ultima versione dello standard ISO/IEC 27001 risale al 2013, cui sono seguiti solo due piccoli aggiornamenti nel 2014 e nel 2015, mentre il secondo documento è stato recentemente aggiornato e pubblicato nella nuova versione, il 15 febbraio 2022, con i notevoli aggiornamenti che trattiamo di seguito.

La variazione del titolo

Precedentemente il titolo era ‘INFORMATION TECHNOLOGY — SECURITY TECHNIQUES — CODE OF PRACTICE FOR INFORMATION SECURITY CONTROLS, ed evidenziava il collegamento univoco allo standard 27001, di cui dettagliava appunto l’elenco delle pratiche di attuazione. La nuova versione invece, ha titolo “Information security, cybersecurity and privacy protection — Information security controls”.

ISO ha da un lato uniformato il titolo dello standard al nome della commissione tecnica che lo ha prodotto (il JTC 1/SC27 che per l’appunto si chiama “Information security, cybersecurity and privacy protection”) e dall’altro ha voluto raccogliere in unico documento le indicazioni sui controlli di sicurezza da mettere in atto sia in ambito sicurezza delle informazioni, sia in ambito cybersecurity e privacy protection.

L’aggiornamento, quindi, raccoglie l’esigenza delle organizzazioni pubbliche e private di disporre in un unico testo tutti controlli da mettere in atto in tre diverse aree di rischio: sicurezza delle informazioni, protezione dei dati personali e cybersecurity.

Risulta quindi essere una risposta utile alle esigenze di trasformazione digitale delle aziende, all’aumento degli attacchi cyber e alla necessità di conformarsi alle nuove normative in tema privacy e sicurezza dei sistemi informatici.

L’importanza di questa nuova versione dello standard ISO/IEC 27002:2022 è innanzitutto correlata agli impatti che avrà sulle circa 36.000 certificazioni ISO/IEC 27001:2013 rilasciate dagli enti di certificazione alle aziende in tutto il mondo, di cui 1600 circa in Italia (dato Accredia ottobre 2021). Infatti, è necessario mantenere una congruenza tra lo standard di certificazione, ed in particolare il suo allegato A, che elenca i controlli da implementare, e la ISO/IEC 27002, dedicata a dettagliarne l’applicazione.  Inoltre, la nuova ISO/IEC 27002 avrà degli impatti, seppur minori, anche su altri standard a lei correlati come, ad esempio, la ISO/IEC 27017 e la ISO/IEC 27018 per i servizi Cloud, la ISO/IEC 27701 per la Privacy, ISO/IEC 27019 per l’Energia, ISO/IEC 27011 per le organizzazioni di Telecomunicazioni e la ISO/IEC 27799 per la Salute.

Le novità della nuova versione

Di seguito, vogliamo offrire un quadro di sintesi delle novità introdotte nella nuova versione della ISO/IEC 27002:2022:

 

  • I requisiti della ISO/IEC 27001:2013 – paragrafi da 4 a 10 – non sono interessanti da questo aggiornamento, ma è in corso di redazione un aggiornamento, che vedrà la luce oltre il mese di maggio ’22, nel quale, tramite una modica alla clausola 6.1.3, si darà evidenza di come l’Annex A, che verrà interamente sostituito con una nuova struttura, serva a garantire che non vengano trascurati i necessari controlli di sicurezza. Dall’altro lato si sottolinea che potrebbero essere necessari ulteriori controlli oltre quelli elencati che quindi non sono esaustivi;

 

  • I controlli di sicurezza precedentemente elencati nella ISO/IEC 27001:2013, Annex A, sono stati aggiornati. I controlli sono ora organizzati in quattro “temi”, termine introdotto in questa versione della norma: controlli Organizzativi, sulle Persone, controlli Fisici e, infine, controlli Tecnologici rispetto alle quattordici precedenti;

 

  • Il numero di controlli è diminuito da 114 a 93 (37 organizzativi, 34 tecnologici, 14 fisici, 8 sulle persone);

 

  • Sono stati definiti undici nuovi controlli e alcuni controlli sono stati accorpati.

 

Un’altra importante novità introdotta dalla nuova versione è la definizione di “attributi” per ciascun controllo di sicurezza, che fornisce un metodo agile per ordinare e filtrare i controlli in base a criteri diversi. Ad ogni controllo sono ora associati cinque importanti attributi, ai quali sono associati specifici valori:

 

  • Tipo di controllo:
    – Preventivo (il controllo inteso a prevenire il verificarsi di un incidente di sicurezza delle informazioni), Detettivo (il controllo agisce quando si verifica un incidente di sicurezza delle informazioni) e Correttivo (il controllo agisce dopo che si verifica un incidente di sicurezza delle informazioni).

 

  • Proprietà di sicurezza delle informazioni:
    – Riservatezza, Integrità e Disponibilità.

 

  • Concetti di Cybersecurity:
    – Identificare, Proteggere, Rilevare, Rispondere e Ripristinare.

 

  • Capacità operative:
    – Governo, Gestione degli asset, Protezione delle informazioni, Sicurezza nelle risorse umane, Sicurezza fisica, Sicurezza di reti e sistemi, Sicurezza delle applicazioni, Configurazione sicura, Gestione delle identità e degli accessi, Gestione di minacce e vulnerabilità, Continuità, Sicurezza nelle relazioni con fornitori, Legale e Conformità, Gestione degli eventi di sicurezza delle informazioni e Garantire la sicurezza delle informazioni.

 

  •  Domini di sicurezza:
    – Governo e Ecosistema, Protezione, Difesa e Resilienza.

 

Infine, è importante menzionare che la nuova versione include anche due allegati molto utili:

 

  • Allegato A, spiega come un’organizzazione può utilizzare gli attributi per creare delle proprie viste basate sugli attributi stessi, definiti nella ISO/IEC 27002 o di propria introduzione;

 

  • Allegato B, che crea una corrispondenza tra vecchi e nuovi controlli

Alla luce delle molte modificazioni introdotte, è necessario programmare l’aggiornamento del proprio Sistema di gestione per la sicurezza delle informazioni (SGSI), con un’attenzione particolare ai nuovi 11 controlli  (Threat intelligence, Sicurezza delle informazioni per l’uso di servizi cloud, Predisposizione ICT per la continuità aziendale, Monitoraggio della sicurezza fisica, Gestione delle configurazioni, Cancellazione delle informazioni, Data masking, Data leakage prevention, Attività di monitoraggio, Web filtering e Codifica sicura).

Vuoi restare sempre aggiornato?

Visita la nostra sezione news.