La prima settimana di aprile 2019 a Tel Aviv (Israele) si è concluso l'incontro semestrale del ISO/IEC JTC 1 SC 27, ossia del comitato che si occupa della redazione delle norme della serie ISO/IEC 27000.
Al WG 1 (quello che si occupa della ISO/IEC 27001 e delle norme ad essa collegati) i registrati erano 143; al WG 5 (quello che si occupa di norme relative alla privacy) i registrati erano 139. La delegazione italiana era composta da ben 4 persone distribuite tra i WG 1, 4 e 5 (ringrazio quindi Fabio Guasconi, Alessandro Cosenza e *dato anonimizzato* per avermi aiutato anche con questa mia relazione).
Durante questo meeting, molte norme erano o in stato troppo avanzato o in stato troppo arretrato e quindi le discussioni erano relative o ai dettagli editoriali o all'impostazione del documento. In generale, quindi, poco interessanti.
Come sempre, segnalo le cose a mio parere più interessanti. Infatti i temi sono stati molto numerosi.
Per quanto riguarda le norme legate alla ISO/IEC 27001:
- la ISO/IEC 27001 per il momento non si tocca, ma nel prossimo futuro sarà aggiornata per essere pubblicata intorno al 2021 per includere la nuova lista dei controlli, per recepire le nuove richieste editoriali per tutti gli standard (p.e. la richiesta di avere termini e definizioni all'interno dello stesso documento, mentre oggi sono nella ISO/IEC 27000) e per discutere dell'utilità della Dichiarazione di applicabilità;
- per la ISO/IEC 27002, la discussione ha riguardato soprattutto quali controlli includere, quali eliminare e quali unire; si spera di affrontare discussioni più tecniche dal prossimo meeting;
- la ISO/IEC 27005 è ritornata al via e quindi la discussione ha riguardato l'impostazione; su questa norma, segnalo che il BSI ha pubblicato un suo aggiornamento; per quanto sono riuscito a leggere sembra interessante;
- per la ISO/IEC 27006, si sono affrontate alcune correzioni per la sua futura versione; purtroppo non ho seguito i lavori precedenti e, quindi, non ho contribuito come avrei voluto;
- per la ISO/IEC 27013, si è discusso della necessità di avviare il lavoro, visto che il gruppo che si occupa della ISO/IEC 20000 sta già pubblicando una norma simile (ISO/IEC 20000-7, che include anche riferimenti alla ISO 9001.
Il WG 1 si occupa anche di norme che richiamano più direttamente la cyber-security. In particolare, la ISO/IEC 27102 (sulle cyber-insurance) sarà promossa in "bozza finale" e quindi sarà pubblicata, dopo un ulteriore giro di controllo editoriale, a cavallo del 2019-2020.
Il WG 4 ha discusso di argomenti su cui pubblicare standard (al momento i lavori sono però molto indietro):
- IoT e domotica (in particolare la ISO/IEC 27030, linea guida su rischi, principi e controlli per la sicurezza e la privacy di IoT; attualmente al terzo working draft); per tutti i lavori IoT c'è una forte sinergia con l'SC 41;
- modello per i sistemi industriali.
Per quanto riguarda le norme legate alla privacy, segnalo che si sono conclusi i lavori sulla ISO/IEC 27552 (la norma per certificare i "sistemi di gestione per la privacy") e sarà pubblicata, probabilmente, entro giugno. Però manca una norma di supporto alla certificazione. Un'idea sarebbe quella di estendere la ISO/IEC 27006 (che a sua volta è un'estensione della ISO/IEC 17021 per la ISO/IEC 27001); per discutere compiutamente dell'argomento, si è avviata una richiesta di contributi che si concluderà tra 6 mesi (su questo penso che per il momento si potrebbe usare la ISO/IEC 17021; inoltre segnalo che al momento non è previsto l'uso della ISO/IEC 17065, come richiesto dal GDPR e pertanto bisognerà valutare la questione (in questi mesi cercherò di capire meglio come funziona la certificazione dei prodotti)).
Altri lavori di interesse per quanto riguarda la privacy:
- proseguiti i lavori sulla ISO/IEC 29184 sull'informativa e il consenso online;
- proseguiti i lavori anche su ISO/IEC 27045 dal titolo "Big data security and privacy – Processes" (per definire modelli di riferimento, valutazione e maturità del processo per il dominio della sicurezza e della privacy dei big data); altre norme legate ai big data sono le ISO/IEC 20546 e 20547.
Infine, importantissimo e sempre relativamente alla privacy, è con orgoglio che segnalo che un membro della delegazione italiana (quello anonimo!) è editor della norma ISO/IEC 27555, sulla cancellazione dei dati personali.
Il prossimo meeting sarà a ottobre a Parigi.
Nessun commento:
Posta un commento