Dal 30 ottobre al 3 novembre 2017 si è tenuto a Berlino il 56mo meeting del ISO/IEC JTC 1 SC 27, ossia del gruppo che si occupa delle norme internazionali della serie ISO/IEC 270xx, dei Common criteria e della privacy.
Questa volta ho partecipato molto poco ai lavori (la delegazione italiana era composta da 4 persone: me, Fabio Guasconi, Stefano Ramacciotti e una rappresentante del Garante privacy). Ciò non ostante, segnalo le cose a mio avviso più interessanti (ringrazio gli altri 3 delegati per aver verificato l'assenza di errori da questo mio resoconto, e per aver fornito alcuni contributi; le opinioni espresse sono unicamente mie).
ISO/IEC 27005 (information security risk management): di questa norma verrà pubblicato a breve un aggiornamento; si tratta in realtà di correzioni necessarie per l'allineamento ad altre norme. Nella sostanza non cambierà nulla. Le discussioni per una nuova versione della norma, con contenuti aggiornati allo stato dell'arte, stanno comunque proseguendo.
ISO/IEC 27006 (requisiti per gli organismi di certificazione): sono stati rilevati possibili errori nella norma e sono pertanto in fase di studio.
ISO/IEC 27552 (Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy management – Requirements and guidelines). A mio parere si tratta di uno schema troppo oneroso, visto che richiede, come prerequisito, la certificazione ISO/IEC 27001. Penso che anche altri stiano maturando lo stesso sospetto, ma questo non è emerso compiutamente durante il meeting (confesso che io stesso sono indeciso perché vedo sì uno standard poco invitante, ma forse uno standard più "leggero" sarebbe da evitare in quanto potrebbe avere conseguenze negative). Vedremo come evolveranno le cose: lo standard è ancora in stato di CD e si prevede la pubblicazione a novembre 2019.
Tra l'altro, mi hanno spiegato che forse la ISO/IEC 27552 non sarebbe lo schema di certificazione privacy previsto dal GDPR: essa è infatti uno standard per sistemi di gestione, mentre il GDPR richiede che gli organismi di certificazione lavorino in conformità alla ISO/IEC 17065, norma relativa alla certificazione di prodotti, processi e servizi e non ai sistemi di gestione. Sono in corso riflessioni in merito, dimostrando così che la faccenda non è banale.
Stanno proseguendo i lavori per altre norme, in particolare:
- ISO/IEC 27102 (Guidelines for cyber insurance);
- ISO/IEC 27002, per una nuova impostazione dei controlli, auspicabilmente più snella (da pubblicare tra qualche anno);
- ISO/IEC 27008 (Guidelines for the assessment of information security controls).
Il gruppo che si sta occupando di Common Criteria (ISO/IEC 15408), ha avviato la revisione delle norme (quindi le nuove versioni saranno pubblicate tra qualche anno). L'obiettivo è quello di pubblicare la versione 4 dei CC nel 2020. Lo standard sarà articolato su un maggior numero di volumi dell'attuale e si preannunciano importanti novità che tengono conto della notevole evoluzione che c'è stata in questi anni.
Sarà a breve pubblicata la ISO/IEC TR 27103, dal titolo "Cybersecurity and ISO and IEC Standards" (si tratta di uno studio che, in parole povere, ricorda che la cybersecurity, così come intesa dal CSF del NIST, è già inclusa nelle ISO/IEC 27001 e ISO/IEC 27002).
Sono stati aperti ulteriori studi in merito alla possibilità di pubblicare ulteriori standard sulla cybersecurity, posto che la prima necessità è quella di concordare in cosa si distingue dalla "sicurezza delle informazioni".
Ulteriore elemento di interesse è l'avvio di uno Study period per discutere dell'utilità (o meno) dello Statement of applicability (o Dichiarazione di applicabilità). Di questo si era discusso molto durante la redazione della ISO/IEC 27001:2013, ma senza, in realtà, che i sostenitori delle diverse posizioni si ascoltassero veramente. Personalmente non sono convinto né della sua utilità né della sua inutilità, ma spero che questo Study period sia l'occasione per capire meglio tutte le posizioni e arrivare più sereni alla redazione della prossima versione della ISO/IEC 27001 (tra qualche anno).
Il prossimo meeting si terrà a Wuhan, in Cina, a metà aprile 2018.
Nessun commento:
Posta un commento