SlideShare a Scribd company logo

FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019

BL4CKSWAN Srl
BL4CKSWAN Srl

Fabio Guasconi racconta la nuova norma ISO/IEC 27019 al FORUM CIG #Bl4ckSwan

Technology
1 of 15
Download to read offline
Certificare la sicurezza delle informazioni nell’ “energy utility industry”? La nuova ISO/IEC 27019 Fabio Guasconi - UNINFO
Relatore Fabio GUASCONI ✓ Direttivo di ✓ Presidente del CT 510 di UNINFO "Sicurezza" ✓ Membro del CT 526 di UNINFO "APNR" ✓ Direttivo ✓ CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 ✓ Partner e co-founder
Agenda Digressione su Cybersecurity SC 27 e ISO/IEC 27000 Processo di certificazione ISO/IEC 27019 Versione 2013 Versione 2017 Conclusioni
Cybersecurity 1980 1990 2000 2010 2020 Computer Security Information Security IT Security Cyber Security Digital Security *** Security
Cybersecurity Information Security (Sicurezza delle Informazioni) Cyber Security IT Security (Sicurezza Informatica) Computer Security
SC 27 Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy
ISO/IEC 27001 ▪ Nasce nel 1998 come BS 7799-2, diventa ISO/IEC 27001 nel 2005 ▪ E’ legata alla ISO/IEC 27002 che ne costituisce il “catalogo dei controlli” ▪ E’ applicabile a organizzazione di ogni settore e dimensione ▪ Definisce i requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni definibile su uno scope a piacere ▪ Indica cosa fare, non come farlo ▪ Ha una valenza di riferimento internazionale ▪ E’ orientate ai processi e al miglioramento continuo ▪ E’ basata sulla HLS comune a tutti i sistemi di gestione ▪ E’ certificabile
Certificazione Altri enti di accreditamento Accredia (IT)Mutuo riconoscimento EA/IAF DNV, Rina, BSI, IMQ etc. Accredita Organizzazione da valutare Valuta conformità Emette certiificato Controlla ISO/IEC 27019 (criterio) ISO/IEC 27001 (criterio)
Certificazione ISO/IEC dichiara a inizio 2016 la presenza di 27.536 certificati attivi rispetto a ISO/IEC 27001 in tutto il mondo. In Italia abbiamo superato le 600 aziende certificate. Fonte:Accredia
ISO/IEC 27019:2013 Il progetto 27019 vede la luce nel 2013 con l’adozione internazionale di una norma tedesca, la DIN SPEC 27009:2012, intitolata “Linee guida per la gestione della sicurezza delle informazioni dei sistemi di controllo di approvvigionamento energetico basato sulla norma ISO/IEC 27002”. Il suo titolo finale è, dopo diverse vicende, “Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry”. Appena approvata viene però sottoposta ad early revision su richiesta di diversi National Bodies.
ISO/IEC 27019 FDIS Il risultato della early revision è in attesa di pubblicazione con il titolo di: “Information security controls for the energy utility industry”. Il focus dichiarato è sui “process control systems used by the energy utility industry for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and of the control of associated supporting processes” tenendo fuori scope (su proposta francese) le centrali nucleari ma includendo ad esempio lo smart metering e la manutenzione remota.
ISO/IEC 27019 FDIS  Termini e definizioni aggiuntive rispetto alla ISO/IEC 27000: 17 (dalla smart grid al process control system)  Requisiti aggiuntivi rispetto alla ISO/IEC 27001:2013 – nessuno  Requisiti aggiuntivi rispetto alla ISO/IEC 27002:2013: ✓ 39 controlli modificati (34% sui 114 esistenti) ✓ 14 nuovi controli (+12%)
ISO/IEC 27019 FDIS ENR 6.1.6 Identification of risks related to external parties ENR 6.1.7 Addressing security when dealing with customers ENR 11.1.7 Securing control centres ENR 11.1.8 Securing equipment rooms ENR 11.1.9 Securing peripheral sites ENR 11.3.1 Equipment sited on the premises of other energy utility organizations ENR 11.3.2 Equipment sited on customer’s premises ENR 11.3.3 Interconnected control and communication systems ENR 12.8.1 Treatment of legacy systems ENR 12.9.1 Integrity and availability of safety functions ENR 13.1.4 Securing process control data communication ENR 13.1.5 Logical connection of external process control systems ENR 14.2.10 Least functionality ENR 17.2.2 Emergency communication NuoviControlli
Conclusioni ▪ La gestione della sicurezza delle informazioni è un tema sempre più critico, all’attenzione dei mercati, dei Board e in questo settore anche dei Governi ▪ Le norme della famiglia 27000 sono un punto di riferimento internazionale per dimostrare che si sta ben gestendo la sicurezza delle informazioni ▪ La certificazione ISO/IEC 27001 + ISO/IEC 27019 sarà obbligatoriamente richiesta a circa 1000 operatori nel settore in Germania a partire da gennaio 2018 ▪ La ISO/IEC 27001 è una base flessibile, che permette l’aggiunta di requisiti e controlli specifici derivanti anche da altre fonti (e.g. Direttiva NIS)
Contatti UNINFO http://www.uninfo.it/ uninfo@uninfo.it Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837 Fabio GUASCONI fabio.guasconi@bl4ckswan.com

Recommended

UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Fabio Guasconi
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
Fabio Guasconi
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Enzo M. Tieghi
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017
uninfoit
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 

Recommended

UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...
BL4CKSWAN Srl
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Fabio Guasconi
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
Fabio Guasconi
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
 
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. TieghiProject Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Project Management & Industrial Cyber Security (ICS) by Enzo M. Tieghi
Enzo M. Tieghi
 
Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017Seminario UNINFO Security Summit 2017
Seminario UNINFO Security Summit 2017
uninfoit
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
Cisco Case Studies
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
walk2talk srl
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Digital Law Communication
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Sardegna Ricerche
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
Gianandrea Daverio
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Luca Moroni ✔✔
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
 
Introduzione a Netwrix Auditor 8.5
Introduzione a Netwrix Auditor 8.5Introduzione a Netwrix Auditor 8.5
Introduzione a Netwrix Auditor 8.5
Maurizio Taglioretti
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
 
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
Sardegna Ricerche
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
Luca Moroni ✔✔
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
uninfoit
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
Paolo Calvi
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamenti
Fabio Guasconi
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
Luca Moroni ✔✔
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
uninfoit
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
Enzo M. Tieghi
 
La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001
uninfoit
 
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdfFabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
UNI - Ente Italiano di Normazione
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013
Andrea Praitano
 

More Related Content

What's hot

Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
Gianandrea Daverio
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Luca Moroni ✔✔
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Luca Moroni ✔✔
 

What's hot (19)

Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
 
Expo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_ITExpo Milano 2015 Case Study_IT
Expo Milano 2015 Case Study_IT
 
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
 
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
Monitoraggio della sicurezza e rilevamento di anomalie cyber (Roberta Terruggia)
 
Italgo Information Security Governance
Italgo Information Security GovernanceItalgo Information Security Governance
Italgo Information Security Governance
 
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
Sicurezza informatica e PMI: dalla continuità operativa alla protezione delle...
 
Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
 
Introduzione a Netwrix Auditor 8.5
Introduzione a Netwrix Auditor 8.5Introduzione a Netwrix Auditor 8.5
Introduzione a Netwrix Auditor 8.5
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
La Cybersecurity nelle Smart Grid - Raccomandazioni conclusive (Giovanna Dond...
 
Proteggere i dispositivi mobili
Proteggere i dispositivi mobiliProteggere i dispositivi mobili
Proteggere i dispositivi mobili
 
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
Talk "Come Costruire un firewall Umano" Italian Hacker Camp 2018
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Il dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamentiIl dpo e gli schemi di certificazione dei trattamenti
Il dpo e gli schemi di certificazione dei trattamenti
 
Strumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPRStrumenti ISACA a supporto della conformità con il GDPR
Strumenti ISACA a supporto della conformità con il GDPR
 
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
Norme tecniche nazionali e internazionali sulla sicurezza delle informazioni:...
 
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
2012 Scada Protection X Assintel Nov2012 Tieghi SCADA Security
 

Similar to FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019

04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
IBM Italia Web Team
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
Sylvio Verrecchia - IT Security Engineer
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Business Analytics: prospettive di lungo periodo ed esperienze locali
Business Analytics: prospettive di lungo periodo ed esperienze localiBusiness Analytics: prospettive di lungo periodo ed esperienze locali
Business Analytics: prospettive di lungo periodo ed esperienze locali
Sedoc Digital Group
 

Similar to FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019 (20)

La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001La cybersecurity nella fabbrica digitale le norme iso 27001
La cybersecurity nella fabbrica digitale le norme iso 27001
 
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdfFabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
Fabio GUASCONI UNI AIAS.EPC_31gennaio2024.pdf
 
Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013Novità della norma ISO/IEC 27001:2013
Novità della norma ISO/IEC 27001:2013
 
Presentazione Aziendale (ITA)
Presentazione Aziendale (ITA)Presentazione Aziendale (ITA)
Presentazione Aziendale (ITA)
 
Owasp parte2
Owasp parte2Owasp parte2
Owasp parte2
 
04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza04 sicurezza fisica e videosorveglianza
04 sicurezza fisica e videosorveglianza
 
Evoluzione della normazione ISO
Evoluzione della normazione ISOEvoluzione della normazione ISO
Evoluzione della normazione ISO
 
Certificazioni di Sistema
Certificazioni di SistemaCertificazioni di Sistema
Certificazioni di Sistema
 
Security Operations Center
Security Operations CenterSecurity Operations Center
Security Operations Center
 
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
Inail e la cultura cybersecurity: la Direzione centrale per l’organizzazione ...
 
WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016WorkShop UNINFO - SMAU Torino 2016
WorkShop UNINFO - SMAU Torino 2016
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Cucurachi bari 2018
Cucurachi bari 2018Cucurachi bari 2018
Cucurachi bari 2018
 
Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99 Il sistema integrato secondo la PAS 99
Il sistema integrato secondo la PAS 99
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
CEIm-Magazine-Ottobre 2022
CEIm-Magazine-Ottobre 2022CEIm-Magazine-Ottobre 2022
CEIm-Magazine-Ottobre 2022
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Business Analytics: prospettive di lungo periodo ed esperienze locali
Business Analytics: prospettive di lungo periodo ed esperienze localiBusiness Analytics: prospettive di lungo periodo ed esperienze locali
Business Analytics: prospettive di lungo periodo ed esperienze locali
 
DabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum MeetingDabSI @ BCI Italian Forum Meeting
DabSI @ BCI Italian Forum Meeting
 
slide_Annigoni_Perissinotti_Sibilio_rev2.pptx
slide_Annigoni_Perissinotti_Sibilio_rev2.pptxslide_Annigoni_Perissinotti_Sibilio_rev2.pptx
slide_Annigoni_Perissinotti_Sibilio_rev2.pptx
 

FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019

  • 1. Certificare la sicurezza delle informazioni nell’ “energy utility industry”? La nuova ISO/IEC 27019 Fabio Guasconi - UNINFO
  • 2. Relatore Fabio GUASCONI ✓ Direttivo di ✓ Presidente del CT 510 di UNINFO "Sicurezza" ✓ Membro del CT 526 di UNINFO "APNR" ✓ Direttivo ✓ CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 ✓ Partner e co-founder
  • 3. Agenda Digressione su Cybersecurity SC 27 e ISO/IEC 27000 Processo di certificazione ISO/IEC 27019 Versione 2013 Versione 2017 Conclusioni
  • 5. Cybersecurity Information Security (Sicurezza delle Informazioni) Cyber Security IT Security (Sicurezza Informatica) Computer Security
  • 6. SC 27 Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, è delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy
  • 7. ISO/IEC 27001 ▪ Nasce nel 1998 come BS 7799-2, diventa ISO/IEC 27001 nel 2005 ▪ E’ legata alla ISO/IEC 27002 che ne costituisce il “catalogo dei controlli” ▪ E’ applicabile a organizzazione di ogni settore e dimensione ▪ Definisce i requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni definibile su uno scope a piacere ▪ Indica cosa fare, non come farlo ▪ Ha una valenza di riferimento internazionale ▪ E’ orientate ai processi e al miglioramento continuo ▪ E’ basata sulla HLS comune a tutti i sistemi di gestione ▪ E’ certificabile
  • 8. Certificazione Altri enti di accreditamento Accredia (IT)Mutuo riconoscimento EA/IAF DNV, Rina, BSI, IMQ etc. Accredita Organizzazione da valutare Valuta conformità Emette certiificato Controlla ISO/IEC 27019 (criterio) ISO/IEC 27001 (criterio)
  • 9. Certificazione ISO/IEC dichiara a inizio 2016 la presenza di 27.536 certificati attivi rispetto a ISO/IEC 27001 in tutto il mondo. In Italia abbiamo superato le 600 aziende certificate. Fonte:Accredia
  • 10. ISO/IEC 27019:2013 Il progetto 27019 vede la luce nel 2013 con l’adozione internazionale di una norma tedesca, la DIN SPEC 27009:2012, intitolata “Linee guida per la gestione della sicurezza delle informazioni dei sistemi di controllo di approvvigionamento energetico basato sulla norma ISO/IEC 27002”. Il suo titolo finale è, dopo diverse vicende, “Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry”. Appena approvata viene però sottoposta ad early revision su richiesta di diversi National Bodies.
  • 11. ISO/IEC 27019 FDIS Il risultato della early revision è in attesa di pubblicazione con il titolo di: “Information security controls for the energy utility industry”. Il focus dichiarato è sui “process control systems used by the energy utility industry for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and of the control of associated supporting processes” tenendo fuori scope (su proposta francese) le centrali nucleari ma includendo ad esempio lo smart metering e la manutenzione remota.
  • 12. ISO/IEC 27019 FDIS  Termini e definizioni aggiuntive rispetto alla ISO/IEC 27000: 17 (dalla smart grid al process control system)  Requisiti aggiuntivi rispetto alla ISO/IEC 27001:2013 – nessuno  Requisiti aggiuntivi rispetto alla ISO/IEC 27002:2013: ✓ 39 controlli modificati (34% sui 114 esistenti) ✓ 14 nuovi controli (+12%)
  • 13. ISO/IEC 27019 FDIS ENR 6.1.6 Identification of risks related to external parties ENR 6.1.7 Addressing security when dealing with customers ENR 11.1.7 Securing control centres ENR 11.1.8 Securing equipment rooms ENR 11.1.9 Securing peripheral sites ENR 11.3.1 Equipment sited on the premises of other energy utility organizations ENR 11.3.2 Equipment sited on customer’s premises ENR 11.3.3 Interconnected control and communication systems ENR 12.8.1 Treatment of legacy systems ENR 12.9.1 Integrity and availability of safety functions ENR 13.1.4 Securing process control data communication ENR 13.1.5 Logical connection of external process control systems ENR 14.2.10 Least functionality ENR 17.2.2 Emergency communication NuoviControlli
  • 14. Conclusioni ▪ La gestione della sicurezza delle informazioni è un tema sempre più critico, all’attenzione dei mercati, dei Board e in questo settore anche dei Governi ▪ Le norme della famiglia 27000 sono un punto di riferimento internazionale per dimostrare che si sta ben gestendo la sicurezza delle informazioni ▪ La certificazione ISO/IEC 27001 + ISO/IEC 27019 sarà obbligatoriamente richiesta a circa 1000 operatori nel settore in Germania a partire da gennaio 2018 ▪ La ISO/IEC 27001 è una base flessibile, che permette l’aggiunta di requisiti e controlli specifici derivanti anche da altre fonti (e.g. Direttiva NIS)
  • 15. Contatti UNINFO http://www.uninfo.it/ uninfo@uninfo.it Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837 Fabio GUASCONI fabio.guasconi@bl4ckswan.com