sabato 30 novembre 2013

Linee guida 2013 Agid per il Disaster Recovery

L'Agenzia per l'Italia digitale ha pubblicato l'edizione 2013 delle "Linee
guida per il disaster recovery delle pubbliche amministrazioni". Si trovano
a questo indirizzo:
- http://www.digitpa.gov.it/fruibilita-del-dato/continuita-operativa

Il documento è notevole e contiene molte informazioni interessanti.
Certamente è discutibile l'impaginazione e l'ordinamento degli argomenti. In
generale, si trovano molte riflessioni sulle normative in vigore e sono
assenti delle linee guida su come effettuare una Business impact analysis
e/o un Risk assessment. Ci sono però molte altre cose interessanti, anche se
frutto ci copia-incolla o sintesi da altri documenti.

giovedì 28 novembre 2013

Prassi UNI sulle Infrastrutture Critiche

Franco Ferrari del DNV Italia mi ha segnalato questo articolo dell'UNI dal
titolo " Prassi di riferimento sulle Infrastrutture Critiche: al via la
consultazione pubblica":
-
http://www.uni.com/index.php?option=com_content&view=article&id=2528:prassi-
di-riferimento-sulle-infrastrutture-critiche-al-via-la-consultazione-pubblic
a&catid=111:generale&Itemid=546


Riporto, per comodità, questo breve estratto: "Il documento è strutturato
per essere applicato a organizzazioni, siano esse titolari o gestori di
Infrastrutture Critiche che operano nel settore dell'energia e dei suoi
sottosettori (elettricità, petrolio, gas) e nel settore trasporti e nei suoi
sottosettori, così come indicati nella Direttiva 2008/114/CE del Consiglio
Europeo, ma può essere altresì applicato ad altri settori in cui
l'Infrastruttura Critica potrebbe trovarsi a operare".

Visto che l'IT è un'infrastruttura critica, anche se non (ancora)
riconosciuto come tale dal Dlgs 61 del 2011, la lettura di questo documento
potrebbe essere interessante.

La bozza è scaricabile (per ora):
-
http://www.uni.com/index.php?option=com_content&view=article&id=1354:le-pras
si-di-riferimento&catid=149&Itemid=1439&showall=&limitstart=8

ISO 31004 - Guida alla ISO 31000

Franco Ferrari mi ha segnalato l'uscita della ISO/TR 31004 dal titolo "Risk
management — Guidance for the implementation of ISO 31000".

Francamente, mi sembra strano che esista una guida per una linea guida (la
ISO 31000 ha titolo " Risk management — Principles and guidelines") e, in
effetti, la sua lettura non mi sembra illuminante.

Gran parte di essa (10 pagine su 36) è dedicata a riflessioni sugli 11
principi del risk management e un'altra parte rilevante (8 pagine) è
dedicata al monitoraggio e al riesame del rischio.

lunedì 25 novembre 2013

ISO Survey 2012

L'ISO ha pubblicato la survey delle certificazioni 2012. Riguarda 9001,
14001, 27001, 13485, 22000, 50001 e 16949. Non ci sono proprio tutti (avrei
voluto avere dei dati anche sulla ISO/IEC 20000), ma già così è
interessante:
- http://www.iso.org/iso/home/standards/certification/iso-survey.htm

La notizia è arrivata via newsletter del DNV (ma senza il link alla pagina
ufficiale dell'ISO!), di cui potete leggere il commento in italiano:
-
http://www.dnvba.com/it/information-resources/news/Pages/ISO-Survey-2012.asp
x

giovedì 14 novembre 2013

Le condizioni di contratto del cloud computing

Segnalo questo articolo su CINDI dal titolo "Le condizioni di contratto del
cloud computing". Ovviamente molto di più si potrebbe dire sul cloud, ma
trovo inquietanti i risultati dell'analisi proposta... basati solo su 3
elementi contrattuali:
www.cindi.it/le-condizioni-di-contratto-del-cloud-computing

Visto che le linee guida suggeriscono di prevedere più di 3 elementi sul
contratto, non oso immaginare se e come sono gli altri.

mercoledì 13 novembre 2013

Norme ISO: i lavori del ISO/IEC JTC1 SC27 WG3

Stefano Ramacciotti mi ha inviato un aggiornamento sui lavori del WG3 del
Sub Commitee 27 di ISO/IEC JTC1. Esso si occupa dello sviluppo di Security
Evaluation Assurance criteria, ovvero dei criteri di valutazione dei sistemi
informatici (compresi quelli crypto) per mezzo dei quali verificare la
fiducia, in termini di sicurezza, che può essere accordata ai prodotti in
esame.

Tra i principali standard vi sono i Common Criteria (standard ISO/IEC
15408), con la relativa metodologia (ISO/IEC 18045), gli standard a essi
collegati (come l'ISO/IEC 15292 sulle procedure di registrazione dei
Protection profile e l'ISO/IEC TR 15446, per le linee guida relative alla
costruzione di Protection Profiles (PP) e Security Targets (ST)), più altri
standard come l'ISO/IEC 19790 Security requirements for cryptographic
modules che rappresenta l'edizione internazionale dello standard
americano-canadese FIPS 140-2.

Nel corso della conferenza svoltasi a Incheon (Corea del Sud) dal 21 al 25
ottobre u.s., si è parlato soprattutto di:
- ISO/IEC 15408-1:2009 "Information technology -- Security techniques --
Evaluation criteria for IT security -- Part 1: Introduction and general
model": per il quale ne è stata chiesta la pubblicazione.
- ISO/IEC 17825 "Testing methods for the mitigation of non-invasive attack
classes against cryptographic modules": per il quale è stata chiesta la
votazione per il passaggio a CD.
- ISO/IEC 18045:2008 "Information technology -- Security techniques --
Methodology for IT security evaluation": per il quale ne è stata chiesta la
pubblicazione.
- ISO/IEC TR 19791:2010 "Information technology -- Security techniques --
Security assessment of operational systems": per la quale dovrà essere
preparato il primo Working Draft entro fine anno.
- ISO/IEC TR 20004 "Refining software vulnerability analysis under ISO/IEC
15408 and ISO/IEC 18045": rimodulata in modo da diventare la prima parte
della futura ISO/IEC 20004 e la 30127 "Detailing software penetration
testing under ISO/IEC 15408 and ISO/IEC 18045 vulnerability analysis" ne è
divenuta la seconda parte;
- ISO/IEC 24759:2008 "Information technology -- Security techniques -- Test
requirements for cryptographic modules": per il quale è stata chiesta la
votazione per la CD.
- "Study Period on High-assurance evaluation under ISO/IEC 15408/18045":
prolungato il periodo di studio.
- "Joint ISO/IEC JTC 1/SC 27/WG 3 and ISO/IEC JTC 1/SC 27/WG 5 Study Period
on security evaluation of anti spoofing techniques for biometrics":
prolungato il periodo di studio.
- SC 27 N13022 "Competence requirements for security evaluators, testers,
and validators": stabilito un periodo di studio.
- SC 27 N13026 "Guidance for developing security and privacy functional
requirements based on ISO/IEC 15408": richiesto un New Work Item Proposal.

mercoledì 6 novembre 2013

UNI 11506:2013 - Figure professionali ICT

Franco Ferrari del DNV Italia e Giovanni Ghidoni mi hanno segnalato la
pubblicazione della norma UNI 11506:2013 dal titolo "Attività professionali
non regolamentate - Figure professionali operanti nel settore ICT -
Definizione dei requisiti di conoscenza, abilità e competenze".

E' possibile leggere l'articolo di presentazione di UNI:
-
http://www.uni.com/index.php?option=com_content&view=article&id=2486:la-nuov
a-uni-11506-definisce-la-figura-professionale-dell-informatico


Questa norma UNI si basa sul European e-Competence Framework e sui tre
documenti del European e-Competence Framework 2.0 il cui sito web di
riferimento è:
- http://www.ecompetences.eu/1386,Home.html

Questi 3 documenti corrispondono alle CWA 16234-1, 2 e 3 del CEN, il cui
sito di riferimento è:
-
http://www.cen.eu/cen/Sectors/Sectors/ISSS/CWAdownload/Pages/ICT-Skills.aspx

Confesso che non ho capito cosa offra in più la UNI 11506 e quindi come
dovrebbe essere applicata. Ogni indicazione sarà benvenuta (e pubblicata, se
ne sarò autorizzato).

sabato 2 novembre 2013

Rapporti semestrali Clusit e MELANI

Segnalo la pubblicazione dei due rapporti sulla sicurezza informatica tra i
più interessanti in circolazione.

Per quello Clusit, aggiornato al primo semestre 2013, è necessario
richiederlo a rapporti@clusit.it.

Quello MELANI (svizzero) si trova a questo indirizzo:
-
http://www.melani.admin.ch/dienstleistungen/archiv/01558/index.html?lang=it

Diffamazione sul web

Segnalo questo interessante articolo su CINDI dal titolo "Riforma della
diffamazione via web (e tramite Facebook)"
http://www.cindi.it/diffamazione-via-web-tramite-facebook/

Personalmente, non sono interessato a studiare i disegni di legge, a meno
che non mi chiamino a collaborare (cosa mai successa, per la verità), perché
poi cambiano continuamente (vedere Regolamento UE privacy e, in precedenza,
il DPS o la privacy nella 231).

Però l'articolo descrive bene come interpretare il reato di diffamazione
(diffamazione semplice, tentativo di diffamazione, circostanze attenuanti,
permanenza del reato, eccetera) e le pene previste.

venerdì 1 novembre 2013

Frodi sui dispositivi mobili

Dalla newsletter del Clusit del 31 ottobre segnalo un documento dell'APWG
dal titolo "Mobile Financial Fraud & The Underground Marketplace - Overview
– an APWG White Paper". Si trova a questo link:
- http://apwg.org/resources/mobile

Sono riportate le tante minacce e vulnerabilità relative ai dispositivi
mobili, utili per capire il fenomeno a chi non dovesse averlo ancora capito.

Corrispondenze tra ISO/IEC 27001:2005 e ISO/IEC 27001:2013

Alla seguente pagina è pubblicato il documento ufficiale dell'SC 27 "Mapping
Old-New Editions of ISO/IEC 27001 and ISO/IEC 27002":
- http://www.jtc1sc27.din.de/sbe/wg1sd3

Ovviamente, lo studio di questo documento non potrà escludere uno studio
attento della nuova ISO/IEC 27001:2013. Come ho già ricordato più volte,
molti requisiti presenti in precedenza sono ora impliciti e alcuni
collegamenti sono meno evidenti ma ci sono (per esempio, nel riesame di
direzione non viene più richiesto di determinare il fabbisogno di risorse
per l'ISMS, ma tale fabbisogno deve essere espresso quando si stabiliscono
gli obiettivi).

Inoltre, non condivido la dicitura "deleted" per alcuni controlli della
ISO/IEC 27002: se così fosse, vorrebbe dire che non erano utili per la
sicurezza delle informazioni. In realtà, tutti i controlli "deleted" sono
stati incorporati in alcuni degli attuali 114 controlli (per
esempio, il "input data validation" è ora incorporato nel 14.1.1 Information
security requirements analysis and specification.

Privacy, audit e videosorveglianza

Dalla newsletter del Garante del 31 ottobre 2013 segnalo la notizia "
Sicurezza nei supermercati senza ledere la dignità dei lavoratori - Nel
mirino del Garante le società della grande distribuzione con sistemi di
videosorveglianza non a norma":
-
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2
726619#2


In realtà nulla di nuovo: il Garante ha svolto delle ispezioni e ne fa un
resoconto.

Segnalo però la seguente frase: "Il legale rappresentante di un supermercato
aveva addirittura dichiarato al nucleo ispettivo che l'impianto di
videosorveglianza non era in funzione, salvo poi doversi smentire di fronte
alle evidenze raccolte". Magnifico! Cercano di prendere in giro anche gli
ispettori del Garante, non solo gli auditor ISO. Mi sento in buona
compagnia.