mercoledì 16 febbraio 2011

ISO/IEC 17021:2011

Una comunicazione dell'organismo di certificazione NQA dice che il 1° febbraio 2011 è stata pubblicata la revisione della norma internazionale ISO/IEC 17021:2011 "Conformity assessment -- Requirements for bodies providing audit and certification of management systems".

Questa norma fornisce requisiti a cui devono sottostare i soli organismi di certificazione (in altre parole, se non lavorate in un OdC, non vi interessa).

Secondo quanto riportato dalla comunicazione già citata, la ISO 17021:2011 contiene, praticamente invariati, i requisiti per la conduzione degli audit da parte degli Organismi di certificazione; fornisce invece ulteriori criteri per la competenza degli auditor.

IAF (International Accreditation Forum) e ISO (International Organization for Standardization) hanno fissato al 1° febbraio 2013 il termine ultimo per l'implementazione della ISO/IEC 17021:2011 da parte degli Organismi di certificazione di sistemi di gestione.

lunedì 14 febbraio 2011

ISO 22301 per la Business Continuity

Il BSI ha comunicato con la "Risk and Business Continuity Management Newsletter" del 14 febbraio la possibilità di commentare la ISO 22301 "Continuity management systems – Requirements" attualmente allo stato di DIS (Draft of International Standard).

La ISO 22301 sarà uno standard certificabile, assimilabile alla BS 25999-2:2007, elaborato dallo stesso comitato tecnico che ha emesso la ISO/PAS 22399:2007 "Societal security - Guideline for incident preparedness and operational continuity management".

La struttura è la stessa della "nuova" ISO/IEC 27001. In altre parole, seguirà la cosiddetta Common Structure a cui via via si uniformeranno tutte le specifiche dei sistemi di gestione ISO. Ovviamente, questo vuole anche dire che la ISO 22301 non seguirà l'impostazione della attuale BS 25999-2.

Per leggere il draft e commentarlo:
http://click.bsi-global-email.com/?ju=fe2a15717662037b771679&ls=fded127776660c7a77127373&m=fef91270746c03&l=fe94167372620c7c75&s=fe2e17707264007d7d1374&jb=ffcf14&t=

14 marzo: mio intervento a itSMF - Security Summit di Milano

Il 14 marzo dovrei intervenire alla sessione dedicata a itSMF con un intervento dal titolo "Sistemi di gestione integrati: come la ISO/IEC 20000 può essere di supporto alla ISO/IEC 27001".

Sarà un'occasione anche per parlare dei lavori sulla ISO/IEC 27013.

Il programma sarà su
http://www.securitysummit.it/. Al momento, però, la situazione non è definitiva perché l'evento doveva coprire le giornate del 15, 16 e 17 marzo, ma la nuova festività del 17 ha imposto lo slittamento delle giornate al 14, 15 e 16 marzo con la conseguente necessità di rivedere tutto il programma.

Che desideriate o meno sentire il mio intervento, raccomando comunque di partecipare al Security Summit (organizzato dal Clusit) perché sempre utile per chi si occupa di sicurezza delle informazioni.

Dataloss DB

Agli appassionati di statistiche su incidenti e per i colleghi appassionati di "storie dell'orrore informatico", questo sito piacerà:http://datalossdb.org/

Traduco la prima riga della presentazione: "DataLossDB è un progetto di ricerca che è l'obiettivo di documentare gli inciedenti con perdite di dati, conosciuti e segnalati, avvenuti a livello mondiale"

Microsoft e Data Governance

Da un articolo dell'ISACA Journal Volume 6 del 2010, ho trovato un interessante link alla pagina della Microsoft dedicata alla Data Governance.

Nulla di nuovo sotto il cielo. Ma almeno è gratuito ed è possibile visitare le tante pagine della Microsoft dedicate a questo argomento e non solo:
http://www.microsoft.com/datagovernance

giovedì 10 febbraio 2011

Cloud Computing: BSI BIP 0117; NIST

Nel novembre del 2010, il BSI ha pubblicato il documento "BIP 0117 - Cloud
Computing. A Practical Introduction to the Legal Issues". Non uno standard,
non una linea guida: un libro pubblicato da un editore che pubblica anche
standard. Per questo non deve essere considerato come "utile per le
certificazioni ISO o BS".

E' noto che il cloud computing è un argomento forse abusato (lo stesso
documento cita Larry Ellison, CEO della Oracle, molto critico in merito
perché, dice, si sta parlando di cose note da tempo con altri nomi). Ho
comunque trovato interessante questo libro perché richiama e mette in ordine
un insieme di argomenti da tenere presente quando si stipula un contratto
con un outsourcer (cloud o non cloud, italiano o europeo o extraeuropeo).

I titoli di alcuni capitoli rendono l'idea: Security, Data protection (la
nostra "privacy"), Software licensing, Customer data, Service change and
service levels, Contracting and liability.

Come difetto, devo segnalare che il libro è incentrato sulla legislazione
UK.

Il link al BSI Shop (con Overview ufficiale)
http://shop.bsigroup.com/en/ProductDetail/?pid=000000000030215581

Grazie a Franco Ferrari (DNV Italia) per la segnalazione.

Il NIST ha inoltre pubblicato il draft della SP-800-144 "Guidelines on
Security and Privacy in Public Cloud Computing". E' una lettura più tecnica
della precedente, presenta all'inizio le diverse definizioni di cloud
computing e ha il pregio di essere gratuita.
http://csrc.nist.gov/publications/PubsDrafts.html#800-144

Guida NIST - Virtualizzazione

Il NIST ha pubblicato la SP 800-125 dal titolo "Guide to Security for Full Virtualization Technologies".
http://csrc.nist.gov/publications/nistpubs/800-125/SP800-125-final.pdf

La guida è al solito di facile lettura ed espone in ordine: una dissertazione sulle tecniche di virtualizzazione, un'analisi delle minacce applicabili al contesto e le misure raccomandate.

Per specifiche più tecniche, legate al singolo prodotto di VM, è necessario fare riferimento al Security Configuration Checklists Program:
http://checklists.nist.gov/

Cancellazione sicura dei files

Dalla newsletter DFA, segnalo il link ad un articolo sulla cancellazione sicura dei files pubblicato dal SANS:http://computer-forensics.sans.org/blog/2011/01/25/digital-forensics-erasing-drives-quick-easy

Anche questo articolo conferma che: UN passaggio di sovrascrittura è sufficiente.

Aggiungo: chi dice che i passaggi devono essere 35 o 37 o qualcosa del genere, fa riferimento a studi degli anni '60 o '70, quando gli hard disk erano ben diversi.

Dal link sopra riportato è possibile rintracciare un altro articolo più corposo (con software freeware)
http://cmrr.ucsd.edu/people/Hughes/DataSanitizationTutorial.pdf

Codice Amministrazione Digitale e Dlgs 235/2010

Dal 25 gennaio è in vigore il Dlgs 235 del 2010 che ha pesantemente modificato il Codice dell'Amministrazione Digitale (CAD) Dlgs 82 del 2005.

Questo Codice è particolarmente importante perché è il punto di riferimento per la definizione di "documento informatico" e per stabilirne la validità anche dal punto di vista legale.

Il 5 e 6 aprile a Milano è prevista l'edizione del 2011 di Omat. Spero che lì saranno discusse opportunamente le modifiche apportate e il loro impatto.

Per intanto, segnalo l'articolo di Filodiritto che mi ha portato alla notizia:
http://www.filodiritto.com/index.php?azione=visualizza&iddoc=2178

Per leggere il Dlgs 235 del 2010 e la versione consolidata del CAD, consiglio di utilizzare www.normattiva.it.

Norme armonizzate alle Direttive Europee

Alcune Direttive Europee stabiliscono i requisiti di sicurezza per alcuni prodotti. In particolare, ricordo che per gli strumenti elettrici ed elettronici, possono essere applicabili: la Direttiva Bassa Tensione (2006/95/EC), la Direttiva sulla compatibilità elettromagnetica (2004/108/EC), la Direttiva sugli apparati radio e di telecomunicazione (1999/5/EC). Per soddisfare i requisiti tecnici delle Direttive applicabili, è preferibile fare riferimento alle norme tecniche cosiddette "armonizzate".

Fino a poco fa, il sito www.newapproach.org era un ottimo punto di riferimento per sapere quali norme tecniche sono collegate alle Direttive, ma ho scoperto che non è più aggiornato da tempo.

Il link attuale è questo:
http://ec.europa.eu/enterprise/policies/european-standards/documents/harmonised-standards-legislation/list-references/index_en.htm.

mercoledì 9 febbraio 2011

Sicurezza: Il trasferimento dei rischi (parte 2)

Il 5 novembre 2010 avevo segnalato la pubblicazione di un articolo Clusit sui rischi trasferibili al mercato assicurativo.

L'autore aveva promesso la futura pubblicazione di una vasta panoramica di sinistri realmente avvenuti e trattati dalle Assicurazioni. Tale seconda pubblicazione è ora disponibile su: www.clusit.it/docs/rscalici_11-01-24.pdf

Devo dire che a me è parso più un elenco di attacchi, più che una descrizione utile a capire come gestire un contratto assicurativo. Certamente interessante per quanti apprezzano le "storie dell'orrore", ma continuo a non vedere una facile applicazione del "trasferimento del rischio alle assicurazioni".

Report sicurezza di CISCO

Dalla newsletter del Clusit, segnalo la pubblicazione del
- Cisco 2010 Annual Security Report
- Cisco 4Q10 Global Threat Report

Si trovano a questo indirizzo:
http://www.cisco.com/en/US/prod/vpndevc/annual_security_report.html

DPR 178/2010: Privacy e diritto di opposizione

La Legge 166/2009 (Decreto Ronchi) stabiliva che l'uso dei numeri di telefono riportati sugli elenchi pubblici (es. Pagine Bianche) per pubblicità, vendita o ricerche di mercato è consentito nei confronti di chi non abbia esercitato il diritto di opposizione.

Il 7 settembre 2010 (con soli 6 mesi di ritardo) è stato quindi emanato il DPR 178/2010 che regola il registro pubblico degli abbonati che si oppongono all'utilizzo del proprio numero telefonico per vendite o promozioni commerciali. Anche se non enunciate nel titolo, le stesse modalità valgono per chi effettua ricerche di mercato.

E' possibile leggere il DPR su www.normattiva.it o su http://gazzette.comune.jesi.an.it/2010/256/1.htm

Su questo tema si discusse assai perché rappresentava una marcia indietro del diritto alla privacy in favore delle aziende pubblicitarie. In particolare, si vedeva (a ragione, come sappiamo bene) la vittoria di certe pratiche commerciali maleducate e irrispettose della vita privata di ciascuno.

Ad ogni modo, il Decreto Ronchi (del 25 settembre 2009) dava 6 mesi per istituire il registro dei cittadini che esercitano il diritto di opposizione.

Il registro è quindi disponibile su http://www.registrodelleopposizioni.it/.

Note polemiche:
- in pieno disaccordo con il Dlgs 196/2003 (che richiede consensi distinti per finalità distinte), non viene lasciata    la possibilità di opporsi alla pubblicità e alle vendite ma di essere disponibile alle ricerche di mercato
- sul sito del Garante non viene detto nulla
- sulle newsletter del Garante non mi sembra di aver letto nulla in merito


Ringrazio Ivo Trotti di TNS per la segnalazione.

ISO 29990:2010 sulla formazione non scolastica

La ISO ha pubblicato con data 1 settembre 2010 la norma ISO 29990:2010
"Learning services for non-formal education and training — Basic
requirements for service providers" (notizia trovata su CertiNews di dicembre 2010).

Provo a tradurre "non-formal education" con "formazione non scolastica e non
universitaria". La norma riguarda quindi anche la formazione professionale e
la formazione con qualifica o certificato finale.


Si tratta di una norma di "requisiti" e quindi potrebbe portare ad una
certificazione.


La prima parte, al capitolo 3, definisce i requisiti quando un ente di
formazione (Learning Service Provider) determina le necessità di formazione,
progetta ed eroga la formazione. Per capire meglio la completezza e
pertinenza dei requisiti bisognerà verificare come la norma sarà applicata.
Una mia prima impressione è che alcune interpretazioni della ISO 9001
applicata alla formazione professionale siano più rigorose di questo
standard.


La seconda parte, al capitolo 4, riporta i "soliti" requisiti di sistema di
gestione basati sul ciclo di Deming e simili a quello di altre norme come la
9001, la 27001 e la 20000-1.

martedì 8 febbraio 2011

ISO 26000:2010 -- Guida alla responsabilità sociale

Il 28 ottobre, la ISO ha pubblicato la ISO 26000:2010 "Guidance on social
responsibility". Dal mese di novembre è anche disponibile la versione
italiana ufficiale della UNI.

Questa linea guida era molto attesa, anche in virtù del successo
dell'iniziativa SA 8000 del SAI. In molti pensavano che la 26000 avrebbe
messo sotto il cappello ISO un'iniziativa che potremmo definire "locale",
esattamente come la BS 7799 poi diventata ISO/IEC 27001, la BS 15000
diventata ISO/IEC 20000 o i Common Criteria diventati ISO/IEC 15408.


Al momento, questa iniziativa non deve essere confusa con quella della SAI
per almeno due motivi. Il primo è che la ISO 26000 esplicitamente esclude il
proprio utilizzo per condurre audit, assessment o certificazioni mentre la
SA 8000 è uno standard certificabile; il secondo è che la ISO 26000 ha
l'ambizione di coprire tutti i temi della responsabilità sociale, mentre la
SA 8000 è focalizzata alle condizioni di lavoro.


La lettura è interessante e si basa sullo stabilire i 7 principi della
responsabilità sociale (accountability, trasparenza, comportamento etico,
rispetto degli interessi degli stakeholder, rispetto del principio di
legalità, rispetto delle norme internazionali di comportamento, rispetto dei
diritti umani) e i 7 temi fondamentali della responsabilità sociale
(governance, diritti umani, rapporti e condizioni di lavoro, ambiente,
corrette prassi gestionali, aspetti specifici relativi ai consumatori,
coinvolgimento e sviluppo della comunità).


Nei temi "rapporti e condizioni di lavoro", "corrette prassi gestionali" (inerenti alla lotta alla corruzione, concorrenza leale, rispetto dei diritti di proprietà) e "consumatori" (che include il corretto trattamento dei dati personali) si trovano molti aspetti di sicurezza delle informazioni e di qualità.

Per come è scritto, il documento si scosta da altre norme ISO perché fornisce un'ampia biografia di documenti extra-ISO e un elenco di iniziative sulla responsabilità sociale (tra cui la già citata SAI e SA 8000). Inoltre, nei capitoli sono presenti diversi box di approfondimento.

Ringrazio Paola Generali di GetSolution per la segnalazione.