venerdì 21 aprile 2017

ISO/IEC 27003:2017 - Guida alla ISO/IEC 27001

Sono molto felice di annunciare la pubblicazione della nuova versione della
ISO/IEC 27003 dal titolo "Information technology - Security techniques -
Information security management systems - Guidance":
https://www.iso.org/standard/63417.html.

I più attenti avranno notato che il titolo è cambiato e non si tratta più di
una guida alla realizzazione di un ISMS, ma di una guida ai requisti di un
ISMS, ossia alla ISO/IEC 27001.

Ho partecipato molto attivamente ai lavori di redazione di questa norma e
sono molto soddisfatto del risultato ottenuto. Ovviamente avrei voluto
scrivere qualcosa in più in certi punti e qualcosa in meno in altri. Ma per
esprimere i miei punti di vista ho già provveduto a scrivere un libro :-)

Sicuramente sono molto soddisfatto di alcuni punti presenti in questa norma:
- si dice chiaramente che si possono fare due valutazioni del rischio (una
per il sistema di gestione e una per la sicurezza delle informazioni) oppure
si possono integrare;
- in merito alle valutazioni del rischio relativo alla sicurezza delle
informazioni, si dà pari valore a quelle "tradizionali" basate su
asset-minacce-vulnerabilità e ad altre "basate su scenari"; sarebbero
argomenti da ISO/IEC 27005, ma almeno qui si è introdotto l'argomento e
permetterà di valutare approcci forse più efficaci per la valutazione del
rischio;
- si è corretto, per quanto possibile, l'uso improprio di "risk criteria"
presente nella ISO/IEC 27001 e qui si preferisce usare l'espressione, forse
più chiara, di "criteri di accettazione del rischio e criteri per svolgere
la valutazione del rischio".

giovedì 20 aprile 2017

Certificazioni privacy per aziende (e BS 10012)

Dopo la sbornia delle certificazioni DPO, ora sta partendo quella sulle
certificazioni aziendali. Su quelle del DPO ho già parlato (male) in
precedenza.

Le certificazioni privacy aziendali attuali sono un'altra aberrazione.

Iniziamo con il "caso Pharmasoft". Pharmasoft è un organismo di
certificazione che è riuscito a farsi accreditare da Accredia un servizio di
certificazione privacy, sulla base di una norma ISDP© 10003:2015, non
pubblicamente disponibile. Un mio amico ha chiesto come ottenere questa
norma e gli hanno detto che la forniscono solo ai loro partner e clienti;
già questo dovrebbe indurre prudenza a chi vorrebbe certificarsi.

Per quanto ne so, il nostro Garante privacy non ha mai sostenuto l'uso di
questa certificazione (in realtà credo che proprio non abbia apprezzato).

In effetti, il GDPR promuove le certificazioni privacy, ma "in base ai
criteri approvati dall'autorità di controllo (ossia dal Garante privacy) o
dal comitato dei Garanti" (ho alterato per semplificare il testo
dell'articolo 42). Pare quindi che la norma ISDP© 10003:2015 non rappresenti
"criteri approvati" dal Garante, tranne che da Accredia.

Purtroppo Accredia, in questo caso, non credo abbia fatto l'interesse del
mercato.

Personalmente, dico che bisogna aspettare notizie dal Garante, non da altri.
Mi risulta anche che il Garante si stia confrontando con le altre autorità
garanti europee proprio per stabilire come approvare e promuovere i
"criteri".

Oltre a tutto ciò, segnalo (grazie ad Andrea Praitano di Business-e) che il
BSI ha pubblicato da poco un aggiornamento della BS 10012 dal titolo "Data
protection — Specification for a personal information management system":
http://shop.bsigroup.com/ProductDetail?pid=000000000030339453.

Questo BS è impostato sulla base dell'HLS, ossia come la ISO 9001 (o la
ISO/IEC 27001 senza l'Annex A), con inseriti i vari requisiti del GDPR.

Fabio Guasconi di BlackSw4an mi ha anche segnalato una norma giapponese JIS
Q 15001:2006 dal titolo "Personal information protection management systems
- Requirements", impostata in modo decisamente diverso (anche perché l'HLS è
successivo al 2006).

In tutto ciò rimane la mia raccomandazione: rimanere prudenti e aspettare.

DPCM 17 febbraio 2017 sulla sicurezza informatica nazionali

Paola Iacobellis mi ha informato del DPCM 17 febbraio 2017 dal titolo
"Direttiva recante indirizzi per la protezione cibernetica e la sicurezza
informatica nazionali". Si tratta di un aggiornamento del DPCM del 24
gennaio 2013.

Paola mi ha segnalato il link dove reperirlo:
http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-ri
ferimento/dpcm-17-febbraio-2017.html
.

Non è facilissimo capire a chi si applica nella pratica (bisogna recuperare
il Decreto del ministero degli Interni del 9 gennaio 2008 e gli Allegati II
e III della Direttiva NIS).

Una volta capito questo, intuisco che i soggetti a cui si applica il DPCM
(le Infrastrutture critiche) devono interfacciarsi con il "Nucleo per la
sicurezza cibernetica", a cui comunicare eventuali incidenti, a con il
Comitato interministeriale per la sicurezza della Repubblica (CISR), che
deve indicare le "best pratices e di misure rivolte all'obiettivo della
sicurezza cibernetica".

Una volta capito questo, ho cercato di capire come avere maggiori
informazioni su questi due soggetti. Non ho trovato nulla, anche per capire
come contattarli (nel primo caso) o avere aggiornamenti in merito alle
misure da applicare (nel secondo caso). Il sito
http://www.sicurezzanazionale.gov.it non riporta molto e, ahimè,
l'associazione degli esperti delle infrastrutture critiche
(http://www.infrastrutturecritiche.it/aiic/) mi sembra ferma da troppo
tempo, per lo meno sul sito web.

Un articolo che mi è sembrato chiaro in merito è questo:
https://www.sicurezzaegiustizia.com/istituito-il-nucleo-per-la-sicurezza-cib
ernetica/
.

Chiunque voglia aiutare ad approfondire questo argomento è benvenuto.

Rapporto semestrale MELANI

Segnalo sempre, perché mi sembra interessante, il rapporto semestrale
MELANI, la Centrale d'annuncio e d'analisi per la sicurezza
dell'informazione della Svizzera. Ad aprile è uscito il rapporto 2016/2:
https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-d
i-situazione/halbjahresbericht-2016-2.html
.

mercoledì 12 aprile 2017

Linee guida WP Art. 29 (DPO, DPIA e altre)

Pierfrancesco Maistrello mi ha segnalato che il WP Art. 29 ha pubblicato, il 5 aprile, una nuova linea guida e la revisione di linee guida già pubblicate. Si trovano qui:
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Ricordo che il WP Art. 29 sarà, da maggio 2018, un comitato dei Garanti europei, quindi le sue indicazioni sono molto importanti.

La nuova linea guida è quella relativa al Privacy impact assessment (DPIA). Non sembra riportare elementi particolarmente innovativi, per lo meno per chi ha già avuto modo di riflettere su questo tema. Pierfrancesco Maistrello mi segnala però quanto è importante l'Annex 2, che riporta i "Criteria for an acceptable DPIA".

Tra le linee guida aggiornate, ha particolare rilevanza quella sul DPO. Pierfrancesco Maistrello me ne fa un riassunto: "Le modifiche sono poche e quelle più importanti sono: maggior numero di esempi di quando è necessario prevedere un DPO; un intero paragrafo relativo al DPO condiviso tra più organizzazioni".

Le altre due linee guida aggiornate sono quelle sull'interoperabilità e quella sull'identificazione dell'autorità garante.

lunedì 10 aprile 2017

Misure minime per la PA

A ottobre 2016 avevo segnalato la pubblicazione delle "Misure minime di AgID per la PA" (con anche le mie critiche):
http://blog.cesaregallotti.it/2016/10/misure-minime-di-agid-per-la-pa.html.

Il 17 marzo 2017 AgID ha comunicato ufficialmente alle PA il dovere di predisporre una relazione, entro il 31 dicembre, sullo stato di attuazione delle medesime.

La circolare 1/2017 di AgID sulla Gazzetta ufficiale (Permalink):
www.gazzettaufficiale.it/eli/id/2017/04/04/17A02399/sg.

Il comunicato stampa di AgID:
http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa.

Ringrazio Franco Ferrari di DNV GL e Daniela Quetti per questa segnalazione.

giovedì 6 aprile 2017

Mailing list: scuse e richiesta di consiglio

Sono arrivato ad avere circa 700 iscritti alla mailing list. Altri hanno più seguito (iscritti, follower, contatti e amici), ma si tratta di un bel numero, considerando gli argomenti specialistici trattati.

Il mio SMTP però da dicembre blocca gli invii a più di 50 persone. Alcuni hanno ricevuto più copie della newsletter perché cercavo di capire e risolvere il problema. La soluzione tampone (o workaround) non è agevolissima e richiede pazienza.

Purtroppo poi ho avuto dei problemi al mio pc ho potuto recuperare solo la mailing list aggiornata a dicembre. Ho recuperato poi le richieste di iscrizione, ma anche questa volta alcuni riceveranno più volte la stessa newsletter. Di questo mi scuso.

Vi chiedo quindi se avete dei consigli da darmi. Vorrei evitare l'uso di servizi made in USA come Mailchimps o Google Groups perché i noti problemi di privacy. Soluzioni europee come MailUp costano e io dalla newsletter non ci guadagno quasi niente (non ho mai voluto presentare offerte economiche da "super-consulente").

Vi ringrazio anticipatamente per l'aiuto.

lunedì 3 aprile 2017

Rapporto Clusit 2017

Segnalo che è disponibile il Rapporto Clusit 2017 sulla sicurezza ICT in Italia, la pubblicazione di riferimento in materia:
https://clusit.it/rapporto-clusit/.