Cloud e Sicurezza secondo le norme ISO/IEC Autore Fabio Guasconi
Fabio Guasconi Direttivo CLUSIT Direttivo UNINFO Presidente del ISO/IEC JTC1 SC27 UNINFO CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder BL4CKSWAN S.r.l. Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 2
Agenda Importanza della normazione Ecosistema ISO/IEC SC27 e lavori legati al Cloud Focus sulla 27018 Future novità Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 3
Importanza della normazione Dal dizionario Hoepli della lingua italiana: Uno «standard» è un tipo, modello, punto di riferimento Dal Regolamento UE 1025/2012: Una «norma» è una specifica tecnica, adottata da un organismo di normazione riconosciuto, per applicazione ripetuta o continua, alla quale non è obbligatorio conformarsi Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 4
Importanza della normazione ISO dichiara che i benefici della normazione sono da inviduarsi in: Cost savings - International Standards help optimise operations and therefore improve the bottom line Enhanced customer satisfaction - International Standards help improve quality, enhance customer satisfaction and increase sales Access to new markets - International Standards help prevent trade barriers and open up global markets Increased market share - International Standards help increase productivity and competitive advantage Inoltre: when products and services conform to International Standards consumers can have confidence that they are safe, reliable and of good quality. Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 5
Ecosistema ISO/IEC CIG (Gas) UNINFO (ICT) CTI (Termotecnico) JTC 1 Information Technology SC27 IT Security Techniques UNI CHIM (Chimico) CUNA (Automobilistico) 52 P-Members 18 O-Members 145 Norme pubblicate UNI PLAST (Materie plastiche) UNI SIDER (Metallurgico) Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 6
SC27 e lavori legati al Cloud JTC 1 Information Technology SC27 IT Security Techniques WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identità, biometria e privacy Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 7
SC27 e lavori legati al Cloud 2010 SC27 lancia uno study period trasversale a tutti i WG su "Cloud computing security and privacy" 2011 Lo study period raccomanda lo sviluppo di un insieme organico di norme con riferimento alla ISO/IEC 17789 2011 Iniziano i lavori sulle norme ISO/IEC 27017 e 27018 e sono avviate le relative liaison con i principali gruppi di interesse esistenti: 2012 Iniziano i lavori sulla norma ISO/IEC 27036-4 2014 Viene pubblicata la ISO/IEC 27018 2015 Prevista la pubblicazione della ISO/IEC 27017 (ottobre) Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 8
Focus sulla 27018: basi Information technology Security techniques Code of practice for PII protection in public clouds acting as PII processors Partiamo dalla definizione di PII nella norma di riferimento per il WG5, che è la pubblicamente disponibile ISO/IEC 29100:2011 Personally Identifiable Information PII any information that (a) can be used to identify the PII principal to whom such information relates, or (b) is or might be directly or indirectly linked to a PII principal PII is also referred to as personal data or personal information a public cloud service provider is a 'PII processor' when it processes PII for and according to the instructions of a cloud service customer Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 9
Focus sulla 27018: finalità 1. indicare un insieme di contromisure da utilizzarsi da parte del public cloud computing service provider a partire dal noto schema della ISO/IEC 27002 2. fornire supporto al public cloud computing service provider nell'adempimento agli obblighi collegati al trattamento di PII 3. facilitare gli accordi tra public cloud computing service provider e cloud service customer 4. fornire strumenti di verifica della sicurezza ai cloud service customer Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 10
Focus sulla 27018: uso previsto + Catalogo controlli (ISO/IEC 27002) 1 Risk Assessment (ISO/IEC 27005) Privacy Impact Assessment (ISO/IEC 29134) 2 Risk Treatment (ISO/IEC 27005) Catalogo controlli (ISO/IEC 27018) Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 11
Focus sulla 27018: controlli 5 Information Security Policies 6 Organisation of Information Security 7 Human Resources Security 1 1 1 Aggiunte al testo dei "controlli": Public cloud PII protection implementation guidance Other information for public cloud PII protection 8 Asset Management 9 Access control 10 Cryptography 11 Physical and environmental Security 12 Operations Security 13 Communications Security 14 Systems acquisition, development and maintenance 15 Supplier relationships 16 Information Security Incident Management 17 IS aspects of Business Continuity 18 Compliance 2 1 1 4 1 1 1 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 12
Focus sulla 27018: controlli 25 controlli aggiuntivi rispetto alla ISO/IEC 27002, raccolti nell'annex A: Obligation to co-operate regarding PII principals rights Public cloud PII processor s purpose Public cloud PII processor's commercial use Secure erasure of temporary files PII disclosure notification Recording of PII disclosures Disclosure of sub-contracted PII processing Notification of a data breach involving PII Retention period for administrative security policies and guidelines PII return, transfer and disposal Confidentiality or non-disclosure agreements Restriction of the creation of hardcopy material Control and logging of data restoration Protecting data on storage media leaving the premises Use of unencrypted portable storage media and devices Encryption of PII transmitted over public data-transmission networks Secure disposal of hardcopy materials Unique use of user IDs Records of authorized users User ID management Contract measures Sub-contracted PII processing Access to data on pre-used data storage space Geographical location of PII Intended destination of PII Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 13
Focus sulla 27018: certificazione? ISO/IEC 27001 Requisiti SGSI + ISO/IEC 27002 Controlli generici = CERTIFICAZIONE + ISO/IEC 27018 Controlli specifici secondo lo schema ISO/IEC 27001 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 14
Future novità: 27017 Information technology Security techniques Code of practice for information security controls based on ISO/IEC 27002 for cloud services Impostazione identica alla ISO/IEC 27018 Focus specifico su cloud service customer / cloud service provider con linee guida dedicate a ciascuno di essi Nello stato attuale di DIS conta 51 pagine (contro le 41 della ISO/IEC 27018) pur "sdoppiando i testi" Include un Annex B con riferimento ai rischi per la sicurezza legati al cloud computing Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 15
Future novità: 27036-4 Information technology Security techniques Information security for supplier relationships Part 4: Guidelines for security of cloud services La norma multiparte 27036 è composta anche da: Parte 1 (2014) Overview and concepts Parte 2 (2014) Requirements Parte 3 (2013) Guidelines for information and communication technology supply chain security Attualmente in stato di CD, pubblicazione attesa per il 2016 Fornisce linee guida sui rischi legati all'uso di servizi in cloud e alla loro gestione, discernendo i principali paradigmi diffusi sul mercato (IaaS, PaaS, SaaS, Hybrid, Private) Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 16
Future novità: CRMF e CSAA Cloud adapted Risk Management Framework Study period concluso da WG1 e WG4 Aggiunta di annex alla ISO/IEC 27005 (attualmente in revisione) Cloud Security Assessment and Audit Study period appena iniziato da WG4 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 17
Contatti fabio.guasconi@bl4ckswan.com Tel. +39 3294656930 CLUSIT http://www.clusit.it info@clusit.it Via Comelico 39 20135 Milano Tel. +39 3472319285 Fax +39 02700440496 Fabio Guasconi - Cloud e Sicurezza secondo le norme ISO/IEC 18