ISO/IEC 27002
Lo standard ISO/IEC 27002 in Italia recepito come UNI CEI EN ISO IEC 27002 Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni stabilisce che la sicurezza dell'informazione è caratterizzata da integrità, riservatezza e disponibilità.
La versione emessa nel 2007 dall'Organizzazione internazionale per la normazione e dalla Commissione Elettrotecnica Internazionale, è stato il termine di un lungo percorso evolutivo iniziato con lo standard britannico BS7799 nel 1995, attraverso anche l'ISO/IEC 17799, ritirato in concomitanza con l'emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.
Cronologia
modificaAnno | Descrizione |
---|---|
2005 | ISO/IEC 27002 (1ª Edizione) |
2013 | ISO/IEC 27002 (2ª Edizione) |
2022 | ISO/IEC 27002 (3ª Edizione) |
Caratteristiche
modificaLa norma ISO 27002 è una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO/IEC 27001 al fine di proteggere le risorse informative; ISO/IEC 27001 è il documento normativo di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO/IEC 27002 non è certificabile in quanto è una semplice raccolta di raccomandazioni.
La versione corrente è la 2022 (ISO/IEC 27002:2022).
Struttura del documento
modificaI controlli di questa norma, rispetto all'edizione precedente (2013), sono stati ridotti da 114 a 93 e riorganizzati in 4 aree tematiche al posto delle 14 sezioni (aree di controllo) precedenti, rimuovendo anche le 35 “categorie di controllo”. Di seguito l'elenco:
- politiche di sicurezza (Security Policy):
- forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
- sicurezza organizzativa (Security Organization):
- controllo della sicurezza delle informazioni in seno all'azienda;
- mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti;
- monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata conferita in outsource.
- controllo e classificazione dei beni (Asset Classification and Control):
- mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione.
- sicurezza del personale (Personnel Security):
- Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
- accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica dell'organizzazione sulla sicurezza nel corso del loro lavoro normale;
- per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
- sicurezza fisica e ambientale (Physical and Environmental Security):
- impedire l'accesso, il danneggiamento e l'interferenza di persone non autorizzate all'interno del flusso delle informazioni del business;
- impedire perdita, danni o l'assetto del sistema e l'interruzione delle attività economiche a seguito di danneggiamenti;
- impedire la manomissione o il furto delle informazioni.
- gestione di comunicazioni e operazioni (Communications and Operations Management):
- accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione;
- minimizzare il rischio di guasti dei sistemi;
- proteggere l'integrità dei software e delle informazioni;
- mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione;
- garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
- prevenire danni ai beni e le interruzioni alle attività economiche;
- impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
- controllo di accesso (Access Control):
- per controllare l'accesso alle informazioni;
- per impedire l'accesso non autorizzato ai sistemi d'informazione;
- per accertare la protezione dei servizi in rete;
- per impedire l'accesso non autorizzato nel calcolatore;
- per rilevare le attività non autorizzate;
- per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
- sviluppo e manutenzione di sistemi (System Development and Maintenance):
- accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema;
- per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione;
- per proteggere riservatezza, autenticità e l'integrità delle informazioni;
- per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema.
- gestione continuità operativa (Business Continuity Management):
- neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
- adeguatezza (Compliance):
- evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
- per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.[1]
Importanza
modificaLa sua importanza tecnica risiede nel fatto che è una norma generativa e linea guida, legandosi particolarmente con la parte cruciale della ISO/IEC 27001 e fornendo informazioni e buoni consigli circa la creazione stessa del cuore del IMS. Ecco perché IMS redatti applicando in diverso modi la norma generano diverse "gerarchie" di IMS certificabili secondo ISO/IEC 27001.
È naturale quindi dalla 27002 e verso di essa si diramano poi altre norme sicurezza delle informazioni. Esistono norme della serie ISO 27000 che danno linee guida di sicurezze da implementare quando si gestiscono servizi specifici. Esse come la ISO/IEC 27002 non sono certificabili, ma devono essere integrate come estensioni applicabili nella certificazione ISO 27001 quando il campo di applicazione è più esteso.[2]
Un esempio e la ISO/ICE 27017:2015 (recp. UNI CEI EN ISO/IEC 27017:2021) “Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud”, potenziamento di IMS per utilizzatori e fornitori di servizi cloud. [3]
Si può citare anche la ISO/IEC 27018:2019 (recp. UNI CEI EN ISO/IEC 27018:2020) “Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come responsabili PII” interessando quindi maggiormente i fornitori di servizi cloud pubblici che sono anche responsabili del trattamento dei dati presenti.[4]
Note
modifica- ^ (EN) ISO/IEC 27002:2022, su ISO. URL consultato il 30 novembre 2024.
- ^ Le ISO/IEC 27017 e ISO/IEC 27018 con i controlli di sicurezza per i servizi cloud, su DNV. URL consultato il 30 novembre 2024.
- ^ (EN) ISO/IEC 27017:2015, su ISO. URL consultato il 30 novembre 2024.
- ^ (EN) ISO/IEC 27018:2019, su ISO. URL consultato il 30 novembre 2024.
Voci correlate
modificaCollegamenti esterni
modifica- Sito istituzionale dell'ISO, su iso.org.