Avevo segnalato poco tempo fa la pubblicazione dell'aggiornamento della SP
800-53 "Security and Privacy Controls for Information Systems and
Organizations":
- http://blog.cesaregallotti.it/2020/09/nist-security-and-privacy-controls.html.
Giulio Boero l'ha letta più approfonditamente di quanto abbia fatto io e mi
dice che forse l'aggiornamento di maggior rilievo rispetto alla precedente
edizione è l'aggiunta di alcuni controlli volti a contrastare le nuove
minacce, come p.e. quelli per la resilienza, la progettazione sicura dei
sistemi, il governo della sicurezza e della privacy e della
responsabilizzazione.
Giulio scrive: << Non mi piace (lo dichiaro apertamente a costo di attirarmi
critiche accese) l'approccio alla protezione dei dati personali. Non è
aggiungendo la parola "privacy" al titolo del documento, né tantomeno
inserendo il termine "privacy" in ogni descrizione di controllo (anche in
modo abbastanza opinabile) che si tratta di data protection. Confido nella
sibillina frase del NIST, in coda ai punti "to do": "Control mappings to the
Cybersecurity Framework and Privacy Framework (available soon)">>.
Nessun commento:
Posta un commento