giovedì 17 settembre 2020

Stato delle norme ISO/IEC 270xx - Settembre 2020

Si è appena concluso il 63mo meeting dell'ISO/IEC JTC 1 SC 27. Doveva essere
a Varsavia, ma si è invece tenuto tutto in ambiente virtuale.

La delegazione italiana era composta da 7 persone, tra cui: Fabio Guasconi
(Presidente, che ringrazio per avermi segnalato qualche errore in questo mio
commento), Alessandro Cosenza e me stesso.

Ricordo che gli stati delle norme sono: WD - CD - DIS - FDIS - IS
(pubblicazione).

Per quanto riguarda le norme del WG 1, non ci sono grosse novità. Mi limito,
come al solito, ad indicare lo stato di avanzamento di alcune norme
- ISO/IEC 27002 (controlli di sicurezza): sono proseguiti i lavori e la
norma è rimasta in stato CD e si spera di pubblicarla a ottobre 2021;
- ISO/IEC 27005 (sul risk management): sono proseguiti i lavori e la norma è
rimasta in stato di CD; ancora una volta è oggetto di molte discussioni, e
si spera di pubblicarla entro dicembre 2022 (due finale!);
- ISO/IEC 27013 (relazioni tra ISO/IEC 20000-1 e ISO/IEC 27001): sono
proseguiti i lavori, passa in stato DIS e si spera di pubblicare entro
dicembre 2021.

A breve verranno pubblicate le norme ISO/IC 27101 (sullo sviluppo di
framework di cybersecurity) e 27022 (sui processi di sicurezza delle
informazioni), ma non ne ho seguito i lavori.

La norma con i requisiti di accreditamento degli organismi di certificazione
per svolgere gli audit ISO/IEC 27701 era denominata ISO/IEC 27558 e sarà
sicuramente rinominata ISO/IEC 27006-2. Sarà pubblicata entro fine anno.

La ISO/IEC 27006-2 sarà una Technical specification. I lavori sono stati
fatti molto in fretta al fine di regolamentare quanto prima un mercato
potenzialmente molto vasto. Ci sono alcune cose che ho apprezzato, altre
meno e altre ancora che saranno migliorate nelle future edizioni, ma per
intanto abbiamo una buona norma per avviare le certificazioni ISO/IEC 27701
accreditate.

L'attuale ISO/IEC 27006 sarà numerata ISO/IEC 27006-1 e partiranno i lavori
di revisione.

Per quanto riguarda le norme del WG 5 (privacy), segnalo:
- per la ISO/IEC 29134 (sulla PIA) è stato proposto un amendement, ma solo
per questioni puramente formali (a mio parere scorrettamente, in quanto non
è possibile fare più di 2 Amendement e già altre volte sono stati
riscontrati errori sostanziali per cui non era più possibile produrre
correzioni);
- ho partecipato, anche se troppo poco, alle interessantissime discussioni
sulla norma ISO/IEC 27557 (che uscirà non prima di fine 2022) incentrata sul
"rischio privacy organizzativo", distinguendo così tra valutazioni del
rischio privacy per l'organizzazione e per gli interessati.

Per il WG 4, che si occupa di norme più tecniche, ho smesso di interessarmi
a quelle sull'IoT perché non c'è un vero senso di direzione e i documenti
finora prodotti sono troppo teorici. Da questo punto di vista, preferisco
seguire, seppur da lontano, i lavori di ENISA.

Il prossimo meeting sarà ad aprile a Sanpietroburgo o nel cyberspazio, a
seconda di come andrà l'emergenza COVID.

Nessun commento:

Posta un commento