Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”. L’edizione precedente era stata pubblicata nel 2013. La nuova versione, pertanto, ha richiesto quasi nove anni di lavoro. Alla data odierna la nuova versione del documento non è ancora disponibile nel sito www.uni.com, mentre è acquistabile, ovviamente in lingua inglese, nel sito www.iso.org.
Questo breve articolo esamina la nuova edizione del documento e riflette sulle differenze con la precedente, introducendo un quadro di sintesi che impattano sulla ISO/IEC 27001:2013.
Quadro di sintesi dell’impatto sulla ISO/IEC 27001:2013 a seguito della pubblicazione della ISO/IEC 27002:2022:
- I requisiti della ISO/IEC 27001:2013 – paragrafi da 4 a 10, non sono stati modificati
- Solo i controlli di sicurezza elencati nella ISO/IEC 27001:2013, allegato A, sono stati aggiornati
- Il numero di controlli è diminuito da 114 a 93
- I controlli sono organizzati in 4 sezioni invece delle precedenti 14
- Sono stati definiti 11 nuovi controlli, alcuni controlli sono stati accoppiati.
Struttura della ISO/IEC 27002:2022 – La caratteristica più evidente della nuova edizione è che la struttura è molto diversa da quella di tutte le precedenti edizioni.
Nella ISO/IEC 27002:2013, in comune con la ISO/IEC 27002:2005 e risalendo fino a BS7799:1995, i controlli sulla sicurezza delle informazioni erano stati raggruppati per ambito.
Nella nuova edizione i controlli sono invece aggregati per “macro-tema”. Sono stati, infatti, individuati quattro macro-temi che coincidono con i 4 tradizionali pilastri a cui è associata la sicurezza delle informazioni:
- controlli organizzativi – 37 controlli
- controlli fisici – 14 controlli
- controlli delle persone – 8 controlli
- controlli tecnologici – 34 controlli
Un elemento che contraddistingue il documento è la presenza degli attributi che caratterizzano i controlli. Gli attributi hanno lo scopo di consentire ad ogni organizzazione di raggruppare i controlli in modo diversi (viste) per soddisfare le proprie particolari esigenze. Tale aspetto può essere considerato un vero punto di forza del documento. Ad ogni controllo sono associati 5 attributi.
Gli attributi citati nella nuova edizione hanno valenza di esempi e le organizzazioni che applicano la ISO/IEC 27001 sono incoraggiate a definire i propri attributi (un allegato illustra come operare in tal senso).
Per ogni controllo è definito:
- Nome del controllo
- Attributi del controllo
- Testo di controllo
- Scopo di controllo
- Guida all’implementazione
- Altre informazioni
Controlli – La nuova edizione adotta la nuova definizione ISO 31000 di controllo, ovvero “Misura che mantiene e/o modifica il rischio”. Questa definizione risolve una critica che è stata spesso sollevata alla precedente versione.
La quale (vedi ad esempio ISO/IEC 27000:2018 “Information technology — Security techniques — Information security management systems — Overview and vocabulary”) non includeva la capacità di un controllo limitata al solo mantenimento di un rischio.
Inoltre, nella versione in vigore sono stati eliminati dei controlli dai più percepiti come duplicati, ovvero lo stesso controllo “generico” era espresso più volte in contesti di rischio diversi. L’allegato B della nuova edizione, illustra la corrispondenza tra i controlli della nuova edizione e quelli della ISO/IEC 27002:2013.
Impatto su ISO/IEC 27001 – La pubblicazione della terza edizione della ISO/IEC 27002 impone di fatto una revisione della ISO/IEC 27001.
Il riferimento alla ISO/IEC 27002 nella ISO/IEC 27001, allegato A è ad oggi un riferimento datato e superato. Ciò implica, ora che è stata pubblicata la nuova edizione della ISO/IEC 27002, che l’edizione precedente (ISO/IEC 27002:2013) è stata ritirata e quindi l’attuale edizione della ISO/IEC 27001 si riferisce ad una norma inesistente. Deve quindi essere aggiornata.
C’è un altro motivo per aggiornare la ISO/IEC 27001 e sicuramente di maggior impatto per le organizzazioni certificate ISO/IEC 27001. Ovvero sostituire i controlli di riferimento dell’allegato A con la serie aggiornata dei controlli allineati a quelli nella nuova edizione della ISO/IEC 27002 e contestualmente aggiornare la Dichiarazione di applicabilità richiesta dal requisito 6.1.3 della IOS/IEC 27001:2013.
Poiché è molto probabile che una revisione completa della ISO/IEC 27001 richieda diverso tempo, la prima azione già pianificata dal Comitato Tecnico ISO/IEC JTC 1/SC 27 consisterà nell’emettere a breve un emendamento allo standard che implica la sola sostituzione dell’allegato A con i controlli nella nuova edizione della ISO/IEC 27002. Tale azione avverrà sicuramente nelle prossime settimane.
Ovviamente Accredia fornirà delle indicazioni agli enti accreditati a fronte dello standard per poter supportare le organizzazioni certificate.
FONTE: Federprivacy – Monica Perego