際際滷

際際滷Share a Scribd company logo

FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019

BL4CKSWAN Srl
BL4CKSWAN Srl

Fabio Guasconi racconta la nuova norma ISO/IEC 27019 al FORUM CIG #Bl4ckSwan

1 of 15
Download to read offline
Certificare la sicurezza delle informazioni nell energy utility industry? La nuova ISO/IEC 27019 Fabio Guasconi - UNINFO
Relatore Fabio GUASCONI Direttivo di Presidente del CT 510 di UNINFO "Sicurezza" Membro del CT 526 di UNINFO "APNR" Direttivo CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder
Agenda Digressione su Cybersecurity SC 27 e ISO/IEC 27000 Processo di certificazione ISO/IEC 27019 Versione 2013 Versione 2017 Conclusioni
Cybersecurity 1980 1990 2000 2010 2020 Computer Security Information Security IT Security Cyber Security Digital Security *** Security
Cybersecurity Information Security (Sicurezza delle Informazioni) Cyber Security IT Security (Sicurezza Informatica) Computer Security
SC 27 Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, 竪 delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identit, biometria e privacy
ISO/IEC 27001 Nasce nel 1998 come BS 7799-2, diventa ISO/IEC 27001 nel 2005 E legata alla ISO/IEC 27002 che ne costituisce il catalogo dei controlli E applicabile a organizzazione di ogni settore e dimensione Definisce i requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni definibile su uno scope a piacere Indica cosa fare, non come farlo Ha una valenza di riferimento internazionale E orientate ai processi e al miglioramento continuo E basata sulla HLS comune a tutti i sistemi di gestione E certificabile
Certificazione Altri enti di accreditamento Accredia (IT)Mutuo riconoscimento EA/IAF DNV, Rina, BSI, IMQ etc. Accredita Organizzazione da valutare Valuta conformit Emette certiificato Controlla ISO/IEC 27019 (criterio) ISO/IEC 27001 (criterio)
Certificazione ISO/IEC dichiara a inizio 2016 la presenza di 27.536 certificati attivi rispetto a ISO/IEC 27001 in tutto il mondo. In Italia abbiamo superato le 600 aziende certificate. Fonte:Accredia
ISO/IEC 27019:2013 Il progetto 27019 vede la luce nel 2013 con ladozione internazionale di una norma tedesca, la DIN SPEC 27009:2012, intitolata Linee guida per la gestione della sicurezza delle informazioni dei sistemi di controllo di approvvigionamento energetico basato sulla norma ISO/IEC 27002. Il suo titolo finale 竪, dopo diverse vicende, Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. Appena approvata viene per嘆 sottoposta ad early revision su richiesta di diversi National Bodies.
ISO/IEC 27019 FDIS Il risultato della early revision 竪 in attesa di pubblicazione con il titolo di: Information security controls for the energy utility industry. Il focus dichiarato 竪 sui process control systems used by the energy utility industry for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and of the control of associated supporting processes tenendo fuori scope (su proposta francese) le centrali nucleari ma includendo ad esempio lo smart metering e la manutenzione remota.
ISO/IEC 27019 FDIS Termini e definizioni aggiuntive rispetto alla ISO/IEC 27000: 17 (dalla smart grid al process control system) Requisiti aggiuntivi rispetto alla ISO/IEC 27001:2013 nessuno Requisiti aggiuntivi rispetto alla ISO/IEC 27002:2013: 39 controlli modificati (34% sui 114 esistenti) 14 nuovi controli (+12%)
ISO/IEC 27019 FDIS ENR 6.1.6 Identification of risks related to external parties ENR 6.1.7 Addressing security when dealing with customers ENR 11.1.7 Securing control centres ENR 11.1.8 Securing equipment rooms ENR 11.1.9 Securing peripheral sites ENR 11.3.1 Equipment sited on the premises of other energy utility organizations ENR 11.3.2 Equipment sited on customers premises ENR 11.3.3 Interconnected control and communication systems ENR 12.8.1 Treatment of legacy systems ENR 12.9.1 Integrity and availability of safety functions ENR 13.1.4 Securing process control data communication ENR 13.1.5 Logical connection of external process control systems ENR 14.2.10 Least functionality ENR 17.2.2 Emergency communication NuoviControlli
Conclusioni La gestione della sicurezza delle informazioni 竪 un tema sempre pi湛 critico, allattenzione dei mercati, dei Board e in questo settore anche dei Governi Le norme della famiglia 27000 sono un punto di riferimento internazionale per dimostrare che si sta ben gestendo la sicurezza delle informazioni La certificazione ISO/IEC 27001 + ISO/IEC 27019 sar obbligatoriamente richiesta a circa 1000 operatori nel settore in Germania a partire da gennaio 2018 La ISO/IEC 27001 竪 una base flessibile, che permette laggiunta di requisiti e controlli specifici derivanti anche da altre fonti (e.g. Direttiva NIS)
Contatti UNINFO http://www.uninfo.it/ uninfo@uninfo.it Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837 Fabio GUASCONI fabio.guasconi@bl4ckswan.com

More Related Content

FORUM CIG 2017 - Certificare sicurezza informazioni con ISO-IEC 27019

  • 1. Certificare la sicurezza delle informazioni nell energy utility industry? La nuova ISO/IEC 27019 Fabio Guasconi - UNINFO
  • 2. Relatore Fabio GUASCONI Direttivo di Presidente del CT 510 di UNINFO "Sicurezza" Membro del CT 526 di UNINFO "APNR" Direttivo CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Partner e co-founder
  • 3. Agenda Digressione su Cybersecurity SC 27 e ISO/IEC 27000 Processo di certificazione ISO/IEC 27019 Versione 2013 Versione 2017 Conclusioni
  • 5. Cybersecurity Information Security (Sicurezza delle Informazioni) Cyber Security IT Security (Sicurezza Informatica) Computer Security
  • 6. SC 27 Il sottocomitato 27 (SC27), da cui nascono tutte le norme della famiglia 27000 e anche altre degne di nota, 竪 delegato ad occuparsi, in seno al Joint Technical Committee (JTC1) di ISO/IEC, della sicurezza delle informazioni. WG1: sistemi di gestione per la sicurezza delle informazioni, controlli, accreditamento, certificazione e audit, governance WG2: crittografia e meccanismi di sicurezza WG3: criteri, metodologie e procedure per la valutazione, il test e la specifica della sicurezza WG4: servizi di sicurezza collegati all'attuazione dei sistemi di gestione per la sicurezza delle informazioni WG5: aspetti di sicurezza di gestione delle identit, biometria e privacy
  • 7. ISO/IEC 27001 Nasce nel 1998 come BS 7799-2, diventa ISO/IEC 27001 nel 2005 E legata alla ISO/IEC 27002 che ne costituisce il catalogo dei controlli E applicabile a organizzazione di ogni settore e dimensione Definisce i requisiti di un Sistema di Gestione per la Sicurezza delle Informazioni definibile su uno scope a piacere Indica cosa fare, non come farlo Ha una valenza di riferimento internazionale E orientate ai processi e al miglioramento continuo E basata sulla HLS comune a tutti i sistemi di gestione E certificabile
  • 8. Certificazione Altri enti di accreditamento Accredia (IT)Mutuo riconoscimento EA/IAF DNV, Rina, BSI, IMQ etc. Accredita Organizzazione da valutare Valuta conformit Emette certiificato Controlla ISO/IEC 27019 (criterio) ISO/IEC 27001 (criterio)
  • 9. Certificazione ISO/IEC dichiara a inizio 2016 la presenza di 27.536 certificati attivi rispetto a ISO/IEC 27001 in tutto il mondo. In Italia abbiamo superato le 600 aziende certificate. Fonte:Accredia
  • 10. ISO/IEC 27019:2013 Il progetto 27019 vede la luce nel 2013 con ladozione internazionale di una norma tedesca, la DIN SPEC 27009:2012, intitolata Linee guida per la gestione della sicurezza delle informazioni dei sistemi di controllo di approvvigionamento energetico basato sulla norma ISO/IEC 27002. Il suo titolo finale 竪, dopo diverse vicende, Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. Appena approvata viene per嘆 sottoposta ad early revision su richiesta di diversi National Bodies.
  • 11. ISO/IEC 27019 FDIS Il risultato della early revision 竪 in attesa di pubblicazione con il titolo di: Information security controls for the energy utility industry. Il focus dichiarato 竪 sui process control systems used by the energy utility industry for controlling and monitoring the production or generation, transmission, storage and distribution of electric power, gas, oil and heat, and of the control of associated supporting processes tenendo fuori scope (su proposta francese) le centrali nucleari ma includendo ad esempio lo smart metering e la manutenzione remota.
  • 12. ISO/IEC 27019 FDIS Termini e definizioni aggiuntive rispetto alla ISO/IEC 27000: 17 (dalla smart grid al process control system) Requisiti aggiuntivi rispetto alla ISO/IEC 27001:2013 nessuno Requisiti aggiuntivi rispetto alla ISO/IEC 27002:2013: 39 controlli modificati (34% sui 114 esistenti) 14 nuovi controli (+12%)
  • 13. ISO/IEC 27019 FDIS ENR 6.1.6 Identification of risks related to external parties ENR 6.1.7 Addressing security when dealing with customers ENR 11.1.7 Securing control centres ENR 11.1.8 Securing equipment rooms ENR 11.1.9 Securing peripheral sites ENR 11.3.1 Equipment sited on the premises of other energy utility organizations ENR 11.3.2 Equipment sited on customers premises ENR 11.3.3 Interconnected control and communication systems ENR 12.8.1 Treatment of legacy systems ENR 12.9.1 Integrity and availability of safety functions ENR 13.1.4 Securing process control data communication ENR 13.1.5 Logical connection of external process control systems ENR 14.2.10 Least functionality ENR 17.2.2 Emergency communication NuoviControlli
  • 14. Conclusioni La gestione della sicurezza delle informazioni 竪 un tema sempre pi湛 critico, allattenzione dei mercati, dei Board e in questo settore anche dei Governi Le norme della famiglia 27000 sono un punto di riferimento internazionale per dimostrare che si sta ben gestendo la sicurezza delle informazioni La certificazione ISO/IEC 27001 + ISO/IEC 27019 sar obbligatoriamente richiesta a circa 1000 operatori nel settore in Germania a partire da gennaio 2018 La ISO/IEC 27001 竪 una base flessibile, che permette laggiunta di requisiti e controlli specifici derivanti anche da altre fonti (e.g. Direttiva NIS)
  • 15. Contatti UNINFO http://www.uninfo.it/ uninfo@uninfo.it Corso Trento 13 - 10129 Torino Tel. +39 011501027 - Fax +39 011501837 Fabio GUASCONI fabio.guasconi@bl4ckswan.com