Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC )

Transcript

1 Information Security (ISO/IEC 27001) e IT Service Management (ISO/IEC ) Analisi delle interdipendenze e delle opportunità di integrazione dei due standard secondo la ISO/IEC FDIS /09/2012 F. Cirilli per AICQ set-ott

2 Relatore Fabrizio Cirilli 30 anni di esperienza nell ambito dell ICT ricoprendo vari ruoli e mansioni all interno di aziende di rilevanza nazionale ed internazionale. Dal 1995 Lead Auditor certificato per i Sistemi di Gestione (prima Qualità, poi Sicurezza delle Informazioni e Servizi IT) nei registri CEPAS, IRCA, RICEC, SICEV. Progettista e docente dei corsi per la qualifica degli auditor/lead auditor in Italia ed all estero per gli schemi ISO 9001, ISO/IEC e ISO/IEC Dal 2007 docente presso master universitari per le tematiche legate all audit della sicurezza delle informazioni e l IT service management. Membro del ISO JCT1/SC27 dal 2005 e di altre iniziative nazionali (UNINFO Gdl 27000) ed internazionali sui temi della sicurezza delle informazioni, dei servizi IT e della business continuity (progetto Domino). Aderisce e partecipa alle associazioni AIEA, AIIC, AIPSI, CLUSIT, ICT Academy, ITSMF e ad alcuni programmi internazionali tra i quali il Risk Awareness di ENISA. Amm. unico della Project Development Consulting & Auditing Srl dal 2001 è consulente di aziende private ed organizzazioni pubbliche in Italia ed all estero sui temi dell Information Security, IT Service Management, Incident Handling, Business Continuity, Disaster Recovery, Risk Management ecc. 17/09/2012 F. Cirilli per AICQ set-ott

3 ISO/IEC ISO/IEC Modelli per l IT e standard ISO per l IT Sistema di gestione per la sicurezza delle informazioni Governance (COBIT) ISO 9001 Sistema di gestione del servizio Delivery & Support (ITIL) Ad oggi non esiste una tabella di correlazione ufficiale ISO/IEC tra le tre norme 17/09/2012 F. Cirilli per AICQ set-ott

4 Contenuti ISO/IEC :11 4. Requisiti generali del sistema di gestione del servizio 4.1 Responsabilità della direzione 4.2 Governo dei processi condotti da terzi 4.3. Gestione della documentazione 4.4 Gestione delle risorse 4.5 Stabilire e migliorare il SGS 5. Progettazione e transizione di servizi nuovi o modificati 5.1 Generalità 5.2 Pianificazione dei servizi nuovi o modificati 5.3 Progettazione e sviluppo di servizi nuovi o modificati 5.4 Transizione di servizi nuovi o modificati 6. Processi per l erogazione del servizio 6.1 Gestione dei livelli di servizio 6.2 Reporting del servizio 6.3 Gestione della continuità e disponibilità del servizio 6.4 Previsione e consuntivazione economica dei servizi 6.5 Gestione della capacità 6.6 Gestione della sicurezza delle informazioni 7. Processi di Relazione 7.1 Gestione della relazione con il business 7.2 Gestione dei Fornitori 8. Processi di Risoluzione 8.1 Gestione dell Incidente e della Richiesta di Servizio 8.2 Gestione del Problema 9. Processi di controllo 9.1 Gestione della configurazione 9.2 Gestione del cambiamento 9.3 Gestione del rilascio e messa in funzione ISO/IEC 27001:05 4. Sistema di gestione per la sicurezza delle informazioni 4.1 Requisiti generali 4.2 Stabilire e gestire il SGSI 4.3 Requisiti relativi alla documentazione 5. Responsabilità della direzione 5.1 Impegno della direzione 5.2 Gestione delle risorse 6. Audit interni del SGSI 7. Riesame del SGSI da parte della direzione 7.1 Generalità 7.2 Elementi in ingresso per il riesame 7.3 Elementi in uscita dal riesame 8. Miglioramento del SGSI 8.1 Miglioramento continuo 8.2 Azioni correttive 8.3 Azioni preventive 17/09/2012 F. Cirilli per AICQ set-ott

5 Focal points ISO/IEC :11 Portfolio servizi Service Level Agreement End-to-end ISO/IEC 27001:05 Risk management Incident handling Efficacia contromisure 17/09/2012 F. Cirilli per AICQ set-ott

6 La famiglia ISO/IEC :2011 ITSMS requirements :2012 Guidance to ITSMS :2009 scope definition and applicability :2010 process reference model :2010 Exemplar implementation plan 17/09/2012 F. Cirilli per AICQ set-ott

7 La famiglia ISO/IEC :2005 ISMS requirements In via di revisione 27000:2009 Vocabulary 27002:2005 Code of practice 27003:2010 Implementation guidance 27004:2009 Measurements 27005:2011 Risk Management 27007:2011 ISMS auditing 27008:2011 Audit on ISMS controls Inter-sector communications 27011:2008 Telecommunications ISO/IEC and ISO/IEC Security governance 27031:2011 Incident management Cyber Security 27033:2009 Network Security 27034:2011 Application Security 27035:2011 Business continuity Security for suppliers 27006:2011 Requirements for audit & cert. bodies Financial and insurance ISM Economics Digital evidences 2704x Investigation Cloud computing 270xx. 17/09/2012 F. Cirilli per AICQ set-ott

8 Le relazioni tra gli standard Fonte ISO/IEC FDIS 27000:12 17/09/2012 F. Cirilli per AICQ set-ott

9 Considerazioni preliminari L information security è uno dei processi della ISO/IEC (req. 6.6 gestione della sicurezza delle informazioni) Esistono da almeno 5 anni (anche in Italia) alcune aziende con un sistema integrato: Qualità, Sicurezza delle Informazioni, Gestione dei Servizi IT ecc. La ISO/IEC subirà una significativa revisione 17/09/2012 F. Cirilli per AICQ set-ott

10 Il confronto 27001:2005 ISMS requirements Aspetti specifici Classification of information Information asset management Parziale condivisione Capacity management Change management Configuration management Incident & service management Problem Management Release and deployment management Resource management Risk management Roles and responsibilities Information Security management Service continuity and availability management Supplier management :2011 ITSMS requirements Aspetti specifici Budgeting and accounting for services Business relationship management Design and transition of new and changed services Service level management Parti identiche Continual improvement, PDCA, Legal and regulatory compliance, training and awareness, management review, documentation management 17/09/2012 F. Cirilli per AICQ set-ott

11 Vantaggi del sistema integrato Servizi IT sicuri ed efficaci Costo inferiore nella realizzazione (se le strategie dell organizzazione includono sia qualità del servizio sia sicurezza delle informazioni) Riduzione del tempo di implementazione complessivo per effetto dei processi comuni ai due standard Eliminazione delle duplicazioni e delle ridondanze Maggior comprensione da parte del personale disponendo di due punti di vista (gestione dei servizi e sicurezza delle informazioni) La complementarietà favorisce la certificazione in entrambi gli schemi 17/09/2012 F. Cirilli per AICQ set-ott

12 Possibili scenari Un sistema basato su un solo standard Un sistema integrato basato su entrambi gli standard Due sistemi ciascuno basato su uno standard Incluse le considerazioni sullo scope del sistema integrato 17/09/2012 F. Cirilli per AICQ set-ott

13 Le potenziali criticità Asset (CI / informazioni) Design and transition of services (processi / controlli) Risk assessment and management (servizi / organizzazione) Risk acceptance levels (terze parti & cliente) Incident management (servizi / informazioni) Problem management (analisi cause / controlli) Change management (processo / controlli) 17/09/2012 F. Cirilli per AICQ set-ott

14 Miglioramenti indotti PDCA Service level management Management committment Capacity management Management of third party risk Continuity and availability Supplier management Configuration management Release and deployment management Budgeting and accounting 17/09/2012 F. Cirilli per AICQ set-ott

15 Audit Le recenti modifiche al sistema normativo degli audit hanno ridisegnato le modalità e gli standard applicabili ai Sistemi di Gestione In particolare la famiglia della ISO/IEC ha beneficiato della revisione/introduzione di alcuni standard dedicati al tema degli audit È auspicabile un estensione/applicazione anche alla ISO/IEC /09/2012 F. Cirilli per AICQ set-ott

16 Audit e standard di riferimento Prima parte ISO 19011:11 (UNI EN ISO 19011:12) ISO/IEC 27007:11 ISO/IEC TR 2008:11 Seconda parte ISO 19011:11 (UNI EN ISO 19011:12) ISO/IEC 27007:11 ISO/IEC TR 2008:11 Terza parte ISO/IEC 27006:11 ISO/IEC 17021:11 ISO 19011:11 (UNI EN ISO 19011:12) ISO/IEC declina la ISO 19011:11 per l applicazione nei SGSI ISO/IEC TR definisce metodi ed attività per una efficace verifica delle contromisure (o controlli) attuate a fronte della valutazione dei rischi ISO/IEC specifica i requisiti e fornisce una guida per gli organismi che forniscono audit e certificazione dei SGSI, in aggiunta ai requisiti contenuti all'interno della ISO/IEC e della ISO/IEC /09/2012 F. Cirilli per AICQ set-ott

17 Qualche dato in materia di certificazioni Certificazioni accreditate e non Per la ISO/IEC esiste un canale parallelo costituito da APM Group (UK) sia per gli auditor sia per le organizzazioni Certificati vs siti certificati La correlazione dei Sistemi di Gestione ai servizi/processi legati a siti specifici produce spesso certificazioni multi site: Nella ISO/IEC determina differenze a livello di valutazione dei rischi e quindi di aspetti funzionali ed operativi della sicurezza a livello di sito. Nella ISO/IEC determina una certificazione correlata al servizio erogato da una determinata sede verso specifici clienti. 17/09/2012 F. Cirilli per AICQ set-ott

18 Certificazione ed accreditamento per la ISO/IEC La visione APM Group 17/09/2012 F. Cirilli per AICQ set-ott

19 Qualche dato in materia di certificazioni (APMG) 17/09/2012 F. Cirilli per AICQ set-ott

20 Qualche dato in materia di certificazioni (ACCREDIA) 17/09/2012 F. Cirilli per AICQ set-ott

21 Qualche riflessione La situazione tra i due schemi di accreditamento sulla ISO/IEC appare abbastanza equilibrata in Italia Diverso se valutiamo la situazione mondiale: APM Group (ISO/IEC 20000) Organizzazioni certificate: 660 Organismi registrati: 50 17/09/2012 F. Cirilli per AICQ set-ott

22 Qualche riflessione Diverso se valutiamo la situazione mondiale: IAF/EA (ISO/IEC e ISO/IEC 27001) Organizzazioni certificate: ISO/IEC 20000: stima approssimativa > ISO/IEC 27001: stima approssimativa > Organismi accreditati (dati IAF laddove verificabili): ISO/IEC 20000: 35» Australia e Nuova Zelanda (1), Repubblica Ceca (12), Germania (1), Italia (1), Olanda (2), UK (4), USA (4), Giappone (10) ISO/IEC 27001: 137» Australia e Nuova Zelanda (8), Colombia (4), Repubblica Ceca (22), Finlandia (1), Germania (13), Grecia (4), India (1), Italia (10), Giappone (28), Malesia (1), Mauritius (1), Olanda (11), Norvegia (3), Romania (7), Svezia (2), UK (20), USA (4) 17/09/2012 F. Cirilli per AICQ set-ott

23 Qualche riflessione Rispetto al numero di certificati ISO 9001 nel mondo ci troviamo di fronte ad un numero veramente esiguo di certificazioni Motivi: Costi e tempi maggiori delle altre certificazioni Settoriali Culturalmente più complesse Pluri dimensionali (non solo processi) Legate a leggi e regolamenti Meno percepite (come in genere tutte le tematiche IT). 17/09/2012 F. Cirilli per AICQ set-ott

24 Certificazione degli auditor ISO/IEC circuito non ISO/IEC e/o ISO circuito ISO/IEC e/o ISO CEPAS (I) - 5 SICEV (I) -? RICEC (CH) - 1 IRCA (UK) - 1 LA in Italia 17/09/2012 F. Cirilli per AICQ set-ott

25 La certificazione degli auditor ISO/IEC circuito non ISO/IEC e/o ISO circuito ISO/IEC e/o ISO dati non disponibili CEPAS (I) 8 SICEV (I) - 8 RICEC (CH) - 1 KHC (I) 5 accreditati IRCA (UK) 2 LA in Italia 17/09/2012 F. Cirilli per AICQ set-ott