Franco Ferrari di DNV GL mi ha segnalato la pubblicazione da parte del BSI della PAS 555, risalente in realtà al 2013. Questo standard nazionale ha titolo "Cyber security risk – Governance and management – Specification".
Ho trovato molte cose negative e una cosa positiva in questo standard.
Comincio da quella positiva: l'importanza data agli strumenti di raccolta di informazioni relative a minacce e al monitoraggio preventivo.
Le cose negative sono diverse:
- il fatto che questa norma, più limitata rispetto alla ISO/IEC 27001 (come ho già avuto modo di scrivere in precedenza: blog.cesaregallotti.it/2015/03/cyber-che.html), ma non più semplice, si
metta in concorrenza con essa senza alcuna ragione se non quella di portare più entrate al BSI;
- la confusione che questa norma può generare in merito ai sistemi di gestione perché non è basata sul HLS;
- il fatto che i rappresentanti inglesi (quindi del BSI), in fase di redazione della ISO/IEC 27001:2013, siano stati tra i più pugnaci a voler togliere dalla stessa ISO/IEC 27001 ogni riferimento a asset, minacce e vulnerabilità, per poi, attraverso questa PAS 555, richiedere di valutare il rischio basandosi proprio su asset, minacce e vulnerabilità e per poi ancora presentare in appendice una "risk impact matrix" basata su minacce, conseguenze e verosimiglianza.
Nessun commento:
Posta un commento