mercoledì 17 giugno 2015

BSI PAS 555 sul Cyber security risk

Franco Ferrari di DNV GL mi ha segnalato la pubblicazione da parte del BSI della PAS 555, risalente in realtà al 2013. Questo standard nazionale ha titolo "Cyber security risk – Governance and management – Specification".

Ho trovato molte cose negative e una cosa positiva in questo standard.

Comincio da quella positiva: l'importanza data agli strumenti di raccolta di informazioni relative a minacce e al monitoraggio preventivo.

Le cose negative sono diverse:
- il fatto che questa norma, più limitata rispetto alla ISO/IEC 27001 (come ho già avuto modo di scrivere in precedenza: blog.cesaregallotti.it/2015/03/cyber-che.html), ma non più semplice, si
metta in concorrenza con essa senza alcuna ragione se non quella di portare più entrate al BSI;
- la confusione che questa norma può generare in merito ai sistemi di gestione perché non è basata sul HLS;
- il fatto che i rappresentanti inglesi (quindi del BSI), in fase di redazione della ISO/IEC 27001:2013, siano stati tra i più pugnaci a voler togliere dalla stessa ISO/IEC 27001 ogni riferimento a asset, minacce e vulnerabilità, per poi, attraverso questa PAS 555, richiedere di valutare il rischio basandosi proprio su asset, minacce e vulnerabilità e per poi ancora presentare in appendice una "risk impact matrix" basata su minacce, conseguenze e verosimiglianza.

Nessun commento:

Posta un commento