ISO 27001: sicurezza delle informazioni e percorso di certificazione White paper Abstract Un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) è uno strumento indispensabile per un’organizzazione che voglia proteggersi da attacchi informatici e violazioni dei dati. La norma ISO/IEC 27001 fornisce un quadro di riferimento per lo sviluppo e l’implementazione di un SGSI, efficace per ridurre i rischi complessivi legati alla sicurezza delle informazioni, supportando le organizzazioni nella conformità alle norme e ai requisiti di sicurezza applicabili, ed aiutandole a sviluppare la cultura della sicurezza. TÜV SÜD Introduzione Indice INTRODUZIONE 3 CHE COS’È LA ISO/IEC 27001 4 LA STRUTTURA DELLA ISO/IEC 27001:2013 5 IL PERCORSO DI CERTIFICAZIONE SECONDO LA ISO/IEC 27001 7 I VANTAGGI DELLA CERTIFICAZIONE ISO/IEC 27001 8 CONCLUSIONI 9 2 Orientarsi nella ISO/IEC 27001 | TÜV SÜD I dati digitali, informazioni vitali per le aziende di ogni settore e dimensione, sono sempre più frequentemente oggetto di attacchi informatici e violazioni, aumentando il rischio di frode per imprese, istituzioni e semplici consumatori, oltre a causare ingenti danni economici in caso di incidenti. Ancora più preoccupante è il rischio per alcuni elementi critici delle infrastrutture, come ad esempio gli impianti di generazione elettrica ed energetica, dove gli attacchi informatici potrebbero potenzialmente causare la paralisi totale di comunità e grandi città. Un efficace Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) può supportare le imprese di tutte le dimensioni a difendersi dagli attacchi informatici e da altre pericolose violazioni di dati. Lo standard ISO/IEC 27001 fornisce uno schema dettagliato per lo sviluppo, l’implementazione e la manutenzione di un sistema di gestione per la sicurezza delle informazioni, e la certificazione ISO/IEC 27001 è un importante passo che evidenzia gli sforzi di un’organizzazione per proteggere la propria infrastruttura IT e i dati digitali in suo possesso. TÜV SÜD | Orientarsi nella ISO/IEC 27001 Questo white paper illustra le origini e la struttura della norma ISO/IEC 27001, descrive il processo di certificazione secondo questo standard ed illustra i potenziali benefici che derivano dalla sua adozione. Lo standard ISO/IEC 27001 può supportare le imprese nel difendersi da attacchi informatici e da altri tipi di violazioni di dati. 3 La struttura e i requisiti della ISO/IEC 27001:2013 Cos’è la ISO IEC 27001? L’ISO/IEC 27001 è uno standard riconosciuto a livello internazionale e pubblicato dalla International Organization for Standardization (ISO), che specifica i requisiti per l’implementazione e il mantenimento di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), efficace contro i rischi legati alla sicurezza delle informazioni. Le organizzazioni che ottengono la certificazione ISO/IEC 27001 rafforzano la loro capacità di proteggersi dagli attacchi informatici e di prevenire l’accesso indesiderato a dati sensibili o informazioni riservate. Pubblicato la prima volta nel 2005, lo standard ISO/IEC 27001 si basa sulla BS 7799 Parte 2 ”Sistema di Gestione della Sicurezza delle Informazioni - Requisiti e guida 4 per l’uso”, rilasciata dal British Standards Institute nel 1999. Nella sua prima pubblicazione, la ISO/IEC 27001 si basava in gran parte sul principio “Plan - Do - Check - Act” (PDCA), poi ampiamente utilizzato da altre norme sui sistemi di gestione. La revisione della norma del 2013 ha adottato lo schema attuale, presente nell’Annex SL delle Direttive ISO/ IEC. L’Annex SL impone l’uso di una struttura e di una terminologia comune per tutti i gli standard di Sistema di Gestione, sia per i nuovi che per quelli attualmente in revisione, e mantiene il “Plan Do - Check - Act”, ma solo come principio fondamentale. dei servizi IT in outsourcing, dal momento che molte organizzazioni si avvalgono di collaborazioni con aziende esterne per il supporto IT, anziché gestirli internamente. Il campo di applicazione della norma ISO/IEC 27001 è destinato a coprire tutti i tipi di informazione in ogni loro forma: dati digitali, documenti, disegni, fotografie, comunicazione elettroniche e registrazioni. La ISO/IEC 27001: 2013 sottolinea l’importanza di misurare e valutare l’efficacia di un SGSI, e comprende una sezione dedicata alla gestione Orientarsi nella ISO/IEC 27001 | TÜV SÜD Dopo aver adottato la struttura e la terminologia definite nell’Annex SL delle Direttive ISO/IEC, la ISO/IEC 27001:2013 risulta sostanzialmente differente dall’edizione originale dello standard del 2005. Inoltre, esso è stato semplificato per eliminare gli elementi ridondanti e fornire maggiore flessibilità nell’applicazione dei requisiti. A seguire, un breve sommario dei requisiti della ISO/IEC 27001:2013 NUMERO REQUISITO DESCRIZIONE REQUISITO Requisito 0: Introduzione Lo standard segue un approccio per processi per l’implementazione di un SGSI. L’edizione 2013 ha eliminato i riferimenti specifici al modello “plan - do - check - act” Requisito 1: Scopo e campo di applicazione Lo standard specifica i requisiti generali per un SGSI che può essere implementato nelle organizzazioni di ogni tipo e dimensione Requisito 2: Riferimenti normativi La norma ISO/IEC 27000 “Tecniche di sicurezza - sistemi di gestione della sicurezza informatica panoramica e terminologia” è l’unico riferimento normativo per la ISO/IEC 27001 Requisito 3: Termini e definizioni Lo standard fa riferimento alla ISO/IEC 27000 per tutti i termini e le definizioni. Requisito 4: Contesto dell’organizzazione Lo standard prevede che un’organizzazione valuti e tenga conto di tutti i fattori interni ed esterni che possono condizionare l’implementazione del SGSI. Tali fattori potrebbero comprendere politiche formali, obblighi contrattuali e legali, requisiti normativi, condizioni ambientali nonché la cultura dell’organizzazione stessa. Requisito 5: Leadership Questo requisito dello standard richiede che la dirigenza di un’organizzazione stabilisca una politica della sicurezza delle informazioni e una leadership complessiva con responsabilità e autorità per attuare tale politica e che promuova attivamente nell’organizzazione il valore e l’importanza della sicurezza delle informazioni. Requisito 6: Pianificazione Il requisito relativo alla pianificazione prevede la valutazione dei rischi specifici di un’azienda in materia di sicurezza delle informazioni e lo sviluppo di un piano d’azione per affrontarli. Questo requisito si riferisce all’Allegato A sui possibili meccanismi di controllo del rischio da considerare, ma l’organizzazione è la prima responsabile nella determinazione dei controlli specifici necessari per affrontare i rischi identificati. Requisito 7: Supporto La norma richiede che un’organizzazione fornisca le risorse necessarie per stabilire, attuare, mantenere e migliorare continuamente i propri SGSI. Prevede inoltre lo sviluppo e il controllo delle informazioni documentate sul SGSI. Requisito 8: Attività operative Questo requisito prevede l’esecuzione delle politiche, delle pratiche e dei processi che sono coperti dalle clausole precedenti, l’obbligo di mantenere opportune registrazioni che documentano i risultati e lo svolgimento di valutazioni della performance a intervalli pianificati. Requisito 9: Valutazione delle prestazioni Secondo questo requisito, un’organizzazione deve monitorare, misurare, analizzare e valutare il suo SGSI a intervalli pianificati per valutarne l’adeguatezza e l’efficacia. Requisito 10: Miglioramento Quest’ultimo requisito presenta il concetto di miglioramento continuo e l’importanza di individuare non conformità e di adottare misure correttive per migliorare l’efficacia del SGSI. TÜV SÜD | Orientarsi nella ISO/IEC 27001 5 Oltre a questi dieci requisiti, la ISO/IEC 27001:2013 comprende anche l’Allegato A, dal titolo “Obiettivi di controllo e controlli di riferimento”, che identifica 114 specifici controlli, presi direttamente dalla linea guida ISO/IEC 27002:2013 sulla Gestione della Sicurezza delle Informazioni, categorizzati sotto uno dei 14 differenti “Obiettivi di controllo” come segue: NUMERO ALLEGATO DESCRIZIONE ALLEGATO A.5: Politiche per la sicurezza delle informazioni (2 controlli) Tratta di come le politiche di sicurezza delle informazioni sono scritte, riesaminate e revisionate A.6: Organizzazione della sicurezza delle informazioni (7 controlli) Dettaglia come vengono assegnati i ruoli e le responsabilità; include anche controlli per i dispositivi mobili e il telelavoro. A.7: Sicurezza delle risorse umane (6 controlli) Riguarda i controlli prima, durante e dopo il rapporto di lavoro A.8: Gestione degli asset (10 controlli) Comprende beni durevoli e non, compresa la classificazione di informazioni e la gestione dei media A.9: Controllo degli accessi (14 controlli) Copre tutti gli aspetti riguardanti l’accesso, come i requisiti di controllo degli accessi, la gestione degli accessi degli utenti e del sistema e l’accesso e il controllo delle applicazioni. A.10: Crittografia (2 controlli) Riguarda la crittografia e il controllo della gestione delle chiavi d’accesso A.11: Sicurezza fisica e ambientale (15 controlli) Dettaglia i controlli applicabili ad aree di sicurezza e alle attrezzature A.12: Sicurezza delle attività operative (14 controlli) Include i controlli effettuati sulle operazioni di sicurezza IT, come il controllo del software operativo, la protezione da malware, il backup, la registrazione e il monitoraggio, la gestione tecnica delle vulnerabilità e le considerazioni dell’audit Il percorso di certificazione secondo la ISO/IEC 27001 L’implementazione di un SGSI secondo i requisiti della norma ISO/IEC 27001 e l’ottenimento della relativa certificazione prevedono una serie di interventi specifici. Naturalmente i passi necessari per l’attuazione di un SGSI non sono uguali per tutte le aziende, essendo diverse le problematiche e il grado di preparazione, tuttavia, le operazioni indicate di seguito si applicano alla maggior parte delle organizzazioni, indipendentemente dal loro settore o livello di preparazione: OTTENERE L’IMPEGNO DEL MANAGEMENT AZIENDALE Per il successo dell’implementazione di qualunque Sistema di Gestione, compreso un SGSI, è necessario l’impegno del management aziendale ai suoi livelli più alti. Senza questo, le altre priorità di business renderanno inevitabilmente vani tutti gli sforzi di implementazione del sistema. DEFINIRE UNA POLITICA PER LA SICUREZZA DELLE INFORMAZIONI L’organizzazione identifica e definisce la sua politica per la sicurezza delle informazioni basata sugli obiettivi specifici che desidera raggiungere, policy che farà da schema per futuri sviluppi, indicando la direzione da seguire e ponendo i principi base sulla sicurezza delle informazioni. DEFINIRE L’AMBITO DEL SGSI Attuando una politica per la sicurezza delle informazioni, l’organizzazione identifica quegli aspetti specifici del sistema di gestione della sicurezza delle informazioni che possono effettivamente rientrare nell’ambito del suo SGSI. COMPLETARE UN RISK ASSESSMENT DELLE ATTUALI PRATICHE DI SICUREZZA DELLE INFORMAZIONI Applicando le metodologie più appropriate, l’organizzazione effettua una valutazione approfondita dei rischi per identificare quelli attualmente presi in considerazione e quelli che ancora necessitano di attenzione. A.13: Sicurezza delle comunicazioni (7 controlli) Comprende i controlli relativi alla sicurezza della rete, la segregazione, i servizi di rete, il trasferimento di informazioni e di messaggi A.14: acquisizione, sviluppo e manutenzione dei sistemi (13 controlli) È dedicata ai controlli per i requisiti di sicurezza dei sistemi informativi e della sicurezza nei processi di sviluppo e supporto A.15: Relazioni con i fornitori (5 controlli) Tratta i controlli per monitorare i fornitori lungo tutta la catena di approvvigionamento L’azienda implementa, valuta e mette in pratica le azioni identificate per ridurre i rischi individuati nel risk assessment. I risultati di queste misure e pratiche vengono poi monitorati e modificati secondo le necessità per migliorarne l’efficacia. A.16: Gestione degli incidenti relativi alla sicurezza delle Informazioni (7 controlli) Include i controlli per la segnalazione di eventi riguardanti la sicurezza e di eventuali criticità, le procedure per intervenire e la raccolta di prove CONDURRE UN PRE-AUDIT (OPZIONALE) A.17: Aspetti relativi alla sicurezza delle informazioni nella gestione della continuità operativa (4 controlli) Dettaglia i controlli necessari per la pianificazione di una business continuity sicura, comprese le procedure, le pratiche di verifica e la ridondanza del sistema A.18: Conformità (8 controlli) Si applica ai controlli necessari per identificare le leggi e i regolamenti vigenti di sicurezza e per condurre revisioni sulla sicurezza delle informazioni IDENTIFICARE E IMPLEMENTARE MISURE PER IL CONTROLLO DEL RISCHIO Una volta implementato un SGSI testato e approvato, l’organizzazione può effettuare un pre-audit per identificare potenziali problematiche che potrebbero avere un impatto negativo sull’esito dell’audit di certificazione. Ogni non-conformità rispetto ai requisiti della ISO/IEC 27001 è segnalata ai fini della fattibilità dell’audit di certificazione. CONDURRE UN AUDIT DI CERTIFICAZIONE PER LA SGSI In ultimo, viene richiesto a un ente di certificazione indipendente di effettuare un audit formale del SGSI aziendale per la conformità alla ISO/IEC 27001; in caso di esito positivo dell’audit, viene emessa la certificazione. I controlli di cui all’Allegato A sono individuati come possibili meccanismi di controllo del rischio per soddisfare i requisiti indicati nel capitolo 6 della norma. Tuttavia, l’organizzazione è tenuta a fare una individuazione completa e indipendente dei meccanismi di controllo specifici per fronteggiare i rischi che deve affrontare. EFFETTUARE AUDIT DI SORVEGLIANZA Le aziende che ottengono la certificazione ISO/IEC 27001 sono soggette a audit di sorveglianza annuali per verificare il mantenimento della compliance ai requisiti dello standard. Ogni tre anni è necessario effettuare nuovamente l’audit di certificazione. 6 Orientarsi nella ISO/IEC 27001 | TÜV SÜD TÜV SÜD | Orientarsi nella ISO/IEC 27001 7 I vantaggi della Certificazione ISO/IEC 27001 Conclusioni Le organizzazioni che certificano il loro Sistema di Gestione per la Sicurezza delle Informazioni secondo i requisiti della norma ISO/IEC 27001 ottengono una serie di importanti vantaggi, quali: Tra le organizzazioni di ogni dimensione e settore va aumentando l’incidenza di attacchi informatici e di violazioni della sicurezza dei dati, compresi quelli personali o sensibili, causando significativi danni finanziari e reputazionali. Nel caso di violazioni della sicurezza dei dati relativamente a elementi di infrastrutture critiche, può essere compromessa la sicurezza di milioni di persone e il benessere delle comunità, di qualunque dimensione siano. Un Sistema di Gestione per la Sicurezza delle Informazioni ha un ruolo fondamentale nel controllo e Conformità legislativa e normativa Un sistema di gestione certificato ISO/IEC 27001 può aiutare un’organizzazione a soddisfare i requisiti legali e normativi applicabili in molte giurisdizioni, oltre a quelli contrattuali per lavorare con altre società. Approccio sistematico La ISO/IEC 27001 fornisce un approccio sistematico e formale alla sicurezza dei dati, aumentando il livello di protezione delle informazioni private e riservate. Riduzione dei rischi Una maggiore sicurezza dei dati riduce anche i rischi complessivi per l’azienda e contribuisce a ridurre l’entità dei danni in caso di violazioni. nella riduzione dei rischi associati agli attacchi informatici sui dati digitali; la norma ISO/IEC 27001 fornisce infatti un modello per la realizzazione e la manutenzione di un SGSI efficace, e le organizzazioni che conseguono la certificazione secondo questo standard possono ridurre significativamente i rischi e le conseguenze associate alla violazione dei dati. Infine, la ISO/IEC 27001 è compatibile con altri standard di Sistemi di Gestione, facilitando il processo di verifica per quelle organizzazioni certificate rispetto a diversi standard. TÜV SÜD è un leader globale nelle certificazioni di Sistema di Gestione secondo le norme ISO/IEC 27001, ISO 9001, ISO 14001 e secondo altri standard. Con oltre 54.000 certificazioni di Sistemi di Gestione emesse ad oggi, l’ente ha l’esperienza necessaria nelle attività di verifica e certificazione di organizzazioni di ogni tipo e settore. Possiamo anche supportare le organizzazioni nella transizione alla ISO/IEC 27001, fornendo un percorso agevole verso la ricertificazione. Riduzione dei costi Riducendo il rischio di violazioni della sicurezza delle informazioni, la certificazione ISO/IEC può effettivamente ridurre i costi ad essa associati e i danni derivanti dalla violazioni dei dati. Vantaggio di mercato Le organizzazioni che hanno conseguito la certificazione ISO/IEC 27001 mettono in evidenza il loro impegno per la sicurezza delle informazioni sensibili, ottenendo così un importante vantaggio sul mercato rispetto ai concorrenti non certificati. 8 Orientarsi nella ISO/IEC 27001 | TÜV SÜD TÜV SÜD | Orientarsi nella ISO/IEC 27001 9 COPYRIGHT NOTICE The information contained in this document represents the current view of TÜV SÜD on the issues discussed as of the date of publication. Because TÜV SÜD must respond to changing market conditions, it should not be interpreted to be a commitment on the part of TÜV SÜD, and TÜV SÜD cannot guarantee the accuracy of any information presented after the date of publication. This White Paper is for informational purposes only. TÜV SÜD makes no warranties, express, implied or statutory, as to the information in this document. Complying with all applicable copyright laws is the responsibility of the user. Without limiting the rights under copyright, no part of this document may be reproduced, stored in or introduced into a retrieval system, or transmitted in any form or by any means (electronic, mechanical, photocopying, recording, or otherwise), or for any purpose, without the express written permission of TÜV SÜD. TÜV SÜD may have patents, patent applications, trademarks, copyrights, or other intellectual property rights covering subject matter in this document. Except as expressly provided in any written license agreement from TÜV SÜD, the furnishing of this document does not give you any license to these patents, trademarks, copyrights, or other intellectual property. ANY REPRODUCTION, ADAPTATION OR TRANSLATION OF THIS DOCUMENT WITHOUT PRIOR WRITTEN PERMISSION IS PROHIBITED, EXCEPT AS ALLOWED UNDER THE COPYRIGHT LAWS. © TÜV SÜD Group – 2014 – All rights reserved - TÜV SÜD is a registered trademark of TÜV SÜD Group. Le informazioni contenute in questo documento rappresentano la posizione di TÜV SÜD sui temi trattati alla data di pubblicazione del documento. Poichè TÜV SÜD deve rispondere alle mutevoli condizioni del mercato, quanto espresso non deve essere interpretato come un impegno da parte di TÜV SÜD, che non può garantire l’accuratezza delle informazioni successivamente alla data di pubblicazione del documento, che ha scopi esclusivamente informativi. TÜV SÜD non fornisce alcuna garanzia, espressa, implicita o di legge, per quanto riguarda le informazioni contenute in questo documento. Il rispetto di tutte le leggi applicabili sul copyright è responsabilità dell’utente. Fermo restando tutti i diritti coperti da copyright, nessuna parte di questo documento può essere riprodotta, memorizzata o inserita in un sistema di recupero, o trasmessa in qualsiasi forma e con qualsiasi mezzo (elettronico, meccanico, tramite fotocopiatura o registrazione o altro), o per qualsiasi scopo, senza l’autorizzazione scritta di TÜV SÜD. TÜV SÜD può possedere o aver richiesto brevetti marchi, copyright o altri diritti di proprietà intellettuale relativi all’oggetto del presente documento. Salvo quanto espressamente previsto in un contratto scritto di licenza da parte di TÜV SÜD, questo documento non dà alcuna licenza su notifiche, marchi, copyright o altra proprietà intellettuale. OGNI RIPRODUZIONE, ADATTAMENTO O TRADUZIONE DI QUESTO DOCUMENTO SENZA PREVIA AUTORIZZAZIONE SCRITTA DA PARTE DI TÜV SÜD SONO VIETATI, tranne per quanto consentito dalle leggi sul copyright. © TÜV SÜD Group - 2014 - Tutti i diritti riservati - TÜV SÜD è un marchio registrato di TÜV SÜD Group. DISCLAIMER All reasonable measures have been taken to ensure the quality, reliability, and accuracy of the information in the content. However, TÜV SÜD is not responsible for the third-party content contained in this newsletter. TÜV SÜD makes no warranties or representations, expressed or implied, as to the accuracy or completeness of information contained in this newsletter. This newsletter is intended to provide general information on a particular subject or subjects and is not an exhaustive treatment of such subject(s). Accordingly, the information in this newsletter is not intended to constitute consulting or professional advice or services. If you are seeking advice on any matters relating to information in this newsletter, you should – where appropriate – contact us directly with your specific query or seek advice from qualified professional people. The information contained in this newsletter may not be copied, quoted, or referred to in any other publication or materials without the prior written consent of TÜV SÜD. All rights reserved © 2014 TÜV SÜD. Sono state adottate tutte le misure possibili per garantire la qualità, l’affidabilità e l’accuratezza delle informazioni contenute. Tuttavia TÜV SÜD non è responsabile per i contenuti di terzi citati in questo documento. TÜV SÜD non fornisce garanzie o dichiarazione espressa o implicita, circa l’accuratezza e la completezza delle informazioni contenute in questo documento. Esso è destinato a fornire informazioni di carattere generale su un particolare argomento, o argomenti, e non è una trattazione esaustiva di tale argomento/i. Di conseguenza, le informazioni in esso contenute non sono destinate a costituire oggetto di consulenza o di pareri o servizi professionali. Se siete interessati alle questioni oggetto di questo documento dovete contattarci direttamente con una richiesta specifica o chiedere consiglio a qualificati professionisti. Le informazioni contenute in questo documento non possono essere copiate, citata/e, in qualsiasi altra pubblicazione o materiale senza il preventivo consenso scritto di TÜV SÜD. Tutti i diritti riservati © 2014 TÜV SÜD. 10 Orientarsi nella ISO/IEC 27001 | TÜV SÜD Orientarsi nella ISO/IEC 27001 www.tuv.it/sistemidigestione tuv.ms@tuv.it TÜV Italia srl Via Carducci 125, pal. 23 20099 Sesto San Giovanni, Milano, Italia +39 02 24130.1 www.tuv.it 2014 © TÜV SÜD AG | V-M/MS/27.0/it/SG Scegli la certezza. Aggiungi valore. TÜV SÜD è un fornitore premium di servizi in ambito sostenibilità, qualità, sicurezza, oltre che in attività di prova, ispezioni, audit, certificazione e formazione. Presente con oltre 800 sedi nel mondo, possiede accreditamenti in Europa, Nord e Sud America, Medio Oriente e Asia. Offre servizi che rappresentano un concreto valore aggiunto per le imprese, i consumatori e l’ambiente.
