Sulla futura ISO/IEC 27002

Durante il meeting di Roma del WG1 dell'SC27, sono continuati i lavori sulla nuova ISO/IEC 27001, che dovrebbe uscire a ottobre 2013. La bozza attuale è meno criticata della bozza della 27001, ma i miei commenti non devono intendersi come definitivi, visto che neanche la norma lo è.

Premetto che non ho seguito i lavori perché impegnato sulla 27001. Le riflessioni che seguono riguardano solo lo stato di alcuni controlli:
- alcuni molto tecnici sono stati elminati (per esempio, quello sulla limitazione della connessione, visto che incorporato in altri sulla sicurezza della rete)
- molti controlli sono stati spostati di capitolo (per esempio, quello sul riesame indipendente di terze parti è stato accorpato con gli altri controlli sugli audit attualmente al A.15.2; il controllo sul ritiro degli asset è stato spostato nel capitolo sulla strumentazione e tolto dalla gestione delle risorse umane); non tutte le scelte mi sembrano convincenti (per esempio, il capitolo sulle comunicazioni è incastrato tra capitoli relativi a controlli informatici, quando le comunicazioni non sono necessariamente IT), ma in definitiva mi sembra che alcune cose siano migliorate (la separazione dei compiti è ora nell'organizzazione)
- si sono migliorate alcune dizioni (per esempio, non si parla più di mobile computing, ma di Mobile device policy)
- nuovi controlli con impatto sostanziale sono: Information security in project management, Restrictions on software installation, Secure development policy, System security testing (che sostituisce un controllo precedentemente meno orientato alla sicurezza), ICT Supply chain, Redundancies
- i capitoli sono dal 5 al 18 (la versione attuale va dal 5 al 12), ma solo in virtù di una diversa collocazione dei controlli
- non ho fatto il conto dei controlli previsti, rispetto ai 133 della versione del 2005.



Fabio Guasconi, Presidente SC27 di Uninfo, che ha seguito un po' i lavori, anche compatibilmente con il suo ruolo di ospite, visto che l'incontro si è svolto a Roma, ha fatto i seguenti commenti:
- tantissimi commenti sono stati scartati (e nonostante ciò ci sono voluti 2 meeting per indirizzarli tutti);
- ci sono molti controlli nuovi e tanti con contenuti rivisti e aggiornati.
 
In definitiva, mi pare che verrà richiesto un certo sforzo nel rinumerare e rinominare i controlli degli attuali SOA, ma poco altro. Chi finora ha fatto un lavoro "furbo" (e spero l'abbia fatto, visto che l'esperienza di transizione dalla versione del 2000 a quella del 2005 dovrebbe essere servita) non dovrà dedicarci troppo tempo.