venerdì 21 aprile 2017

ISO/IEC 27003:2017 - Guida alla ISO/IEC 27001

Sono molto felice di annunciare la pubblicazione della nuova versione della ISO/IEC 27003 dal titolo "Information technology - Security techniques - Information security management systems - Guidance":
https://www.iso.org/standard/63417.html.

I più attenti avranno notato che il titolo è cambiato e non si tratta più di una guida alla realizzazione di un ISMS, ma di una guida ai requisti di un ISMS, ossia alla ISO/IEC 27001.

Ho partecipato molto attivamente ai lavori di redazione di questa norma e sono molto soddisfatto del risultato ottenuto. Ovviamente avrei voluto scrivere qualcosa in più in certi punti e qualcosa in meno in altri. Ma per esprimere i miei punti di vista ho già provveduto a scrivere un libro :-)

Sicuramente sono molto soddisfatto di alcuni punti presenti in questa norma:
- si dice chiaramente che si possono fare due valutazioni del rischio (una per il sistema di gestione e una per la sicurezza delle informazioni) oppure si possono integrare;
- in merito alle valutazioni del rischio relativo alla sicurezza delle informazioni, si dà pari valore a quelle "tradizionali" basate su asset-minacce-vulnerabilità e ad altre "basate su scenari"; sarebbero argomenti da ISO/IEC 27005, ma almeno qui si è introdotto l'argomento e permetterà di valutare approcci forse più efficaci per la valutazione del rischio;
- si è corretto, per quanto possibile, l'uso improprio di "risk criteria" presente nella ISO/IEC 27001 e qui si preferisce usare l'espressione, forse più chiara, di "criteri di accettazione del rischio e criteri per svolgere la valutazione del rischio".

giovedì 20 aprile 2017

DPCM 17 febbraio 2017 sulla sicurezza informatica nazionali

Paola Iacobellis mi ha informato del DPCM 17 febbraio 2017 dal titolo "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali". Si tratta di un aggiornamento del DPCM del 24 gennaio 2013.

Paola mi ha segnalato il link dove reperirlo:
http://www.sicurezzanazionale.gov.it/sisr.nsf/documentazione/normativa-di-riferimento/dpcm-17-febbraio-2017.html.

Non è facilissimo capire a chi si applica nella pratica (bisogna recuperare il Decreto del ministero degli Interni del 9 gennaio 2008 e gli Allegati II e III della Direttiva NIS).

Da questa documentazione, intuisco che i soggetti a cui si applica il DPCM (le Infrastrutture critiche) devono interfacciarsi con il "Nucleo per la sicurezza cibernetica", a cui comunicare eventuali incidenti, e con il Comitato interministeriale per la sicurezza della Repubblica (CISR), che deve indicare le "best pratices e misure rivolte all'obiettivo della sicurezza cibernetica".

Dopo questo, ho cercato di capire come avere maggiori informazioni su questi due soggetti. Non ho trovato nulla. Eppure sarebbe importante per capire come contattarli (nel primo caso) o avere aggiornamenti in merito alle misure da applicare (nel secondo caso). Il sito http://www.sicurezzanazionale.gov.it non riporta molto e, ahimè, l'associazione degli esperti delle infrastrutture critiche (http://www.infrastrutturecritiche.it/aiic/) mi sembra ferma da troppo tempo, per lo meno sul sito web.

Un articolo che mi è sembrato chiaro in merito è questo:
https://www.sicurezzaegiustizia.com/istituito-il-nucleo-per-la-sicurezza-cibernetica/.

Chiunque voglia aiutare ad approfondire questo argomento è benvenuto.

PS: i più attenti avranno notato che non ho fatto commenti sull'uso del termine "cibernetica". Li faccio adesso: è usato scorrettamente e purtroppo da "esperti".

Rapporto semestrale MELANI

Segnalo sempre, perché mi sembra interessante, il rapporto semestrale MELANI, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione della Svizzera. Ad aprile è uscito il rapporto 2016/2:
https://www.melani.admin.ch/melani/it/home/dokumentation/rapporti/rapporti-di-situazione/halbjahresbericht-2016-2.html.

mercoledì 12 aprile 2017

Linee guida WP Art. 29 (DPO, DPIA e altre)

Pierfrancesco Maistrello mi ha segnalato che il WP Art. 29 ha pubblicato, il 5 aprile, una nuova linea guida e la revisione di linee guida già pubblicate. Si trovano qui:
http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Ricordo che il WP Art. 29 sarà, da maggio 2018, un comitato dei Garanti europei, quindi le sue indicazioni sono molto importanti.

La nuova linea guida è quella relativa al Privacy impact assessment (DPIA). Non sembra riportare elementi particolarmente innovativi, per lo meno per chi ha già avuto modo di riflettere su questo tema. Pierfrancesco Maistrello mi segnala però quanto è importante l'Annex 2, che riporta i "Criteria for an acceptable DPIA".

Tra le linee guida aggiornate, ha particolare rilevanza quella sul DPO. Pierfrancesco Maistrello me ne fa un riassunto: "Le modifiche sono poche e quelle più importanti sono: maggior numero di esempi di quando è necessario prevedere un DPO; un intero paragrafo relativo al DPO condiviso tra più organizzazioni".

Le altre due linee guida aggiornate sono quelle sull'interoperabilità e quella sull'identificazione dell'autorità garante.

lunedì 10 aprile 2017

Misure minime per la PA

A ottobre 2016 avevo segnalato la pubblicazione delle "Misure minime di AgID per la PA" (con anche le mie critiche):
http://blog.cesaregallotti.it/2016/10/misure-minime-di-agid-per-la-pa.html.

Il 17 marzo 2017 AgID ha comunicato ufficialmente alle PA il dovere di predisporre una relazione, entro il 31 dicembre, sullo stato di attuazione delle medesime.

La circolare 1/2017 di AgID sulla Gazzetta ufficiale (Permalink):
www.gazzettaufficiale.it/eli/id/2017/04/04/17A02399/sg.

Il comunicato stampa di AgID:
http://www.agid.gov.it/notizie/2017/04/07/pubblicate-gazzetta-ufficiale-misure-minime-sicurezza-informatica-pa.

Ringrazio Franco Ferrari di DNV GL e Daniela Quetti per questa segnalazione.

giovedì 6 aprile 2017

Mailing list: scuse e richiesta di consiglio

Sono arrivato ad avere circa 700 iscritti alla mailing list. Altri hanno più seguito (iscritti, follower, contatti e amici), ma si tratta di un bel numero, considerando gli argomenti specialistici trattati.

Il mio SMTP però da dicembre blocca gli invii a più di 50 persone. Alcuni hanno ricevuto più copie della newsletter perché cercavo di capire e risolvere il problema. La soluzione tampone (o workaround) non è agevolissima e richiede pazienza.

Purtroppo poi ho avuto dei problemi al mio pc ho potuto recuperare solo la mailing list aggiornata a dicembre. Ho recuperato poi le richieste di iscrizione, ma anche questa volta alcuni riceveranno più volte la stessa newsletter. Di questo mi scuso.

Vi chiedo quindi se avete dei consigli da darmi. Vorrei evitare l'uso di servizi made in USA come Mailchimps o Google Groups perché i noti problemi di privacy. Soluzioni europee come MailUp costano e io dalla newsletter non ci guadagno quasi niente (non ho mai voluto presentare offerte economiche da "super-consulente").

Vi ringrazio anticipatamente per l'aiuto.

lunedì 3 aprile 2017

Rapporto Clusit 2017

Segnalo che è disponibile il Rapporto Clusit 2017 sulla sicurezza ICT in Italia, la pubblicazione di riferimento in materia:
https://clusit.it/rapporto-clusit/.