FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019
1. Certificare la sicurezza delle informazioni
nell’ “energy utility industry”?
La nuova ISO/IEC 27019
Fabio Guasconi - UNINFO
2. Relatore
Fabio GUASCONI
✓ Direttivo di
✓ Presidente del CT 510 di UNINFO "Sicurezza"
✓ Membro del CT 526 di UNINFO "APNR"
✓ Direttivo
✓ CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001
✓ Partner e co-founder
6. SC 27
Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e
anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical
Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni.
WG1: sistemi di gestione per la sicurezza delle informazioni,
controlli, accreditamento, certificazione e audit, governance
WG2: crittografia e meccanismi di sicurezza
WG3: criteri, metodologie e procedure per la valutazione, il
test e la specifica della sicurezza
WG4: servizi di sicurezza collegati all'attuazione dei sistemi di
gestione per la sicurezza delle informazioni
WG5: aspetti di sicurezza di gestione delle identità, biometria
e privacy
7. ISO/IEC 27001
▪ Nasce nel 1998 come BS 7799-2, diventa ISO/IEC 27001 nel 2005
▪ E’ legata alla ISO/IEC 27002 che ne costituisce il “catalogo dei controlli”
▪ E’ applicabile a organizzazione di ogni settore e dimensione
▪ Definisce i requisiti di un Sistema di Gestione per la Sicurezza delle
Informazioni definibile su uno scope a piacere
▪ Indica cosa fare, non come farlo
▪ Ha una valenza di riferimento internazionale
▪ E’ orientate ai processi e al miglioramento continuo
▪ E’ basata sulla HLS comune a tutti i sistemi di gestione
▪ E’ certificabile
8. Certificazione
Altri enti di
accreditamento
Accredia (IT)Mutuo
riconoscimento
EA/IAF
DNV, Rina, BSI,
IMQ etc.
Accredita
Organizzazione
da valutare
Valuta
conformità
Emette
certiificato
Controlla
ISO/IEC 27019
(criterio)
ISO/IEC 27001
(criterio)
9. Certificazione
ISO/IEC dichiara a inizio 2016 la presenza di 27.536 certificati attivi rispetto a
ISO/IEC 27001 in tutto il mondo. In Italia abbiamo superato le 600 aziende
certificate.
Fonte:Accredia
10. ISO/IEC 27019:2013
Il progetto 27019 vede la luce nel 2013 con l’adozione internazionale di una
norma tedesca, la DIN SPEC 27009:2012, intitolata “Linee guida per la gestione
della sicurezza delle informazioni dei sistemi di controllo di approvvigionamento
energetico basato sulla norma ISO/IEC 27002”.
Il suo titolo finale è, dopo diverse vicende, “Information security management
guidelines based on ISO/IEC 27002 for process control systems specific
to the energy utility industry”.
Appena approvata viene però sottoposta ad early revision su richiesta di diversi
National Bodies.
11. ISO/IEC 27019 FDIS
Il risultato della early revision è in attesa di pubblicazione con il titolo di:
“Information security controls for the energy utility industry”.
Il focus dichiarato è sui “process control systems used by the energy utility
industry for controlling and monitoring the production or generation,
transmission, storage and distribution of electric power, gas, oil and heat,
and of the control of associated supporting processes” tenendo fuori scope (su
proposta francese) le centrali nucleari ma includendo ad esempio lo smart
metering e la manutenzione remota.
12. ISO/IEC 27019 FDIS
Termini e definizioni aggiuntive rispetto alla ISO/IEC 27000:
17 (dalla smart grid al process control system)
Requisiti aggiuntivi rispetto alla ISO/IEC 27001:2013 – nessuno
Requisiti aggiuntivi rispetto alla ISO/IEC 27002:2013:
✓ 39 controlli modificati (34% sui 114 esistenti)
✓ 14 nuovi controli (+12%)
13. ISO/IEC 27019 FDIS
ENR 6.1.6 Identification of risks related to external parties
ENR 6.1.7 Addressing security when dealing with customers
ENR 11.1.7 Securing control centres
ENR 11.1.8 Securing equipment rooms
ENR 11.1.9 Securing peripheral sites
ENR 11.3.1 Equipment sited on the premises of other energy utility organizations
ENR 11.3.2 Equipment sited on customer’s premises
ENR 11.3.3 Interconnected control and communication systems
ENR 12.8.1 Treatment of legacy systems
ENR 12.9.1 Integrity and availability of safety functions
ENR 13.1.4 Securing process control data communication
ENR 13.1.5 Logical connection of external process control systems
ENR 14.2.10 Least functionality
ENR 17.2.2 Emergency communication
NuoviControlli
14. Conclusioni
▪ La gestione della sicurezza delle informazioni è un tema sempre più critico,
all’attenzione dei mercati, dei Board e in questo settore anche dei Governi
▪ Le norme della famiglia 27000 sono un punto di riferimento internazionale
per dimostrare che si sta ben gestendo la sicurezza delle informazioni
▪ La certificazione ISO/IEC 27001 + ISO/IEC 27019 sarà obbligatoriamente
richiesta a circa 1000 operatori nel settore in Germania a partire da gennaio
2018
▪ La ISO/IEC 27001 è una base flessibile, che permette l’aggiunta di
requisiti e controlli specifici derivanti anche da altre fonti (e.g. Direttiva NIS)