La famiglia di norme internazionali ISO 27000 (ISO 27001, ISO 27002, ...) costituisce una base normativa per la gestione della sicurezza delle informazioni. Tali norme sono allineate, in conformità e coerenza, con altre importanti norme internazionali: ISO 9000, relative ai sistemi di gestione per la qualità, e ISO 14000, relative ai sistemi di gestione ambientale. Come per gli altri temi menzionati (qualità ed ambiente), anche la serie 27000 sarà popolata da più standard e documenti.

ISO/IEC 27001:2005

La norma ISO 27001:2005, Information techonology - Security techiniques - Information security management systems - Requirements stabilisce i requisiti per un Sistema di gestione della sicurezza delle informazioni (Information Security Management System - ISMS).

Pubblicata nel 2005, la ISO 27001 ha sostituito la precedente norma, guida e riferimento, in materia di sicurezza delle informazioni: BS 7799.

Essa costituisce il documento di riferimento per la certificazione.

I contenuti delle norma sono brevemente riassunti in:

Management Responsibility
Internal Audits
ISMS Improvement
Annex A - Control objectives and controls
Annex B - OECD principles and this interantional standard
Annex C - Correspondence between ISO 9001, ISO 14001 and this standard

L'informazione è un bene di enorme valore per le imprese, oggi più che mai. E le informazioni sono tutte custodite in forma elettronica negli archivi informatici. Diventa quindi vitale per le aziende proteggere tale valore. L'aumento della pirateria informatica non fa che ribadire tale necessità.

L'obiettivo del nuovo standard (ISO 27001:2005) è quindi quello di stabilire le caratteristiche richieste ad un sistema per la gestione della sicurezza delle informazioni (ISMS) perchè risulti efficace. Il sistema richiesto deve cioè garantire la protezione da intrusioni e sabotaggi ed assicurare, alle informazioni sensibili gestite dall'azienda, :

integrità (i dati sono protetti da ogni manipolazione, modifica o distruzione),
riservatezza (i dati sono acceduti solo dalle persone che ne hanno l'autorizzazione),
disponibilità (i dati sono sempre disponibili alle persone che ne hanno bisogno).

La norma è applicabile a imprese operanti in tutti i settori commerciali e industriali.

L'impostazione seguita per la realizzazione della nuova norma internazionale (ISO/IEC 27001) è perfettamente coerente con quella della norma ISO 9001:2000 per il Sistema di Gestione per la Qualità. Ciò permette di realizzare sistemi integrati e mai in sovrapposizione e, meno ancora, in conflitto tra di loro.

La "gestione dei rischi" è l'approccio fondamentale richiesto per la gestione della sicurezza delle informazioni.

Gli elementi caratteristici della norma relativa alla gestione della sicurezza delle informazioni sono elencate qui di seguito.

Risk management (la gestione dei rischi è un processo aziendale cui viene dedicata la giusta importanza ed attenzione, stabilendone gli obiettivi, i confini, le modalità operative e le responsabilità),
Approccio per processi (l'approccio richiede una gestione strutturata e sistematica del processo di "risk management", integrato con gli altri processi aziendali, e di cui si stabiliscono responsabilità, modalità operative e controlli da eseguire),
Politica per la sicurezza (la direzione definisce una politica per la sicurezza delle informazione ed assicura che sia divulgata e conosciuta da tutti; la politica stabilisce gli obiettivi, i confini, le responsabilità e fa riferimento ai processi e procedure operative al riguardo),
Identificazione e analisi dei rischi (si tratta di individuare i potenziali rischi e di analizzarne le probabilità),
Valutazione e trattamento dei rischi (si tratta di valutare il costo delle azioni necessarie a fronteggiare le situazioni di rischio, di calcolare l'impatto negativo causato dall'eventuale perdita delle informazioni e di stabilire come fronteggiare le varie situazioni di rischio - accettazione, riduzione, trasferimento del rischio -),
Riesame e rivalutazione dei rischi (è richiesto di effettuare revisioni periodiche dello stato del sistema di gestione della sicurezza delle informazioni allo scopo di valutarne l'efficacia e provvedere con eventuali azioni correttive e/o migliorative),
Modello PDCA (Plan: stabilire il sistema per la gestione della sicurezza delle informazioni; Do: implementare e rendere operativo il sistema ISMS stabilito; Check: monitorare e rivedere il sistema; Act: mantenere operativo ed efficiente il sistema e migliorarlo di continuo),
Utilizzo di procedure e di strumenti per la gestione dei rischi nell'ottica del miglioramento continuo (Audit interni, non conformità, azioni correttive e preventive, sorveglianza) .

Annex A "Control objectives and controls"

Particolarmente importante è l'appendice che elenca ben 134 "controlli" che l'organizzazione deve eseguire per ritenersi conforme alla norma.

Tali controlli spaziano sui vari temi. Ne elenchiamo alcuni, solo a titolo informativo: Politica ed organizzazione per la sicurezza; Gestione dei beni e alla sicurezza delle risorse umane; Sicurezza fisica e ambientale; Gestione delle comunicazioni e delle procedure operative; Controllo degli accessi fisici e logici; Gestione e monitoraggio del trattamento degli incidenti (relativi alla sicurezza delle informazioni).

Gli obiettivi dei controlli includono la gestione della Business continuity ed il rispetto nelle norme.

Altre norme della serie ISO 27000

ISO 27002:2007, Information techonology - Security techiniques - Code of pratice for information security management. Essa sostituisce il precedente standard ISO 17799 che, a sua volta, sostituiva lo standard BS 7799. Contiene un codice di pratiche suggerite per la gestione della sicurezza delle informazioni. Fondamentalmente elenca un insieme di centinaia di potenziali controlli e meccanismi di controllo che possono essere implementati, in teoria, in accordo con le guide fornite dalla ISO 27001. "Costituisce una guida per definire, realizzare, mantenere e migliorare la gestione della sicurezza delle informazioni in un'organizzazione". I controlli elencanti indirizzano i requisiti imposti dalla formalizzazione di una valutazione dei rischi.
ISO 27003. Si tratta di una serie di norme in programma.
ISO 27003, dovrebbe fornire aiuto e guida allo sviluppo del sistema di gestione della sicurezza delle informazioni, fornendo esempi su come applicare il metodo Plan-Do-Check-Act.
ISO 27004, dovrebbe presentare la definizione di un sistema di metriche e misure da applicare al sistema ISMS.
ISO 27005, dovrebbe coprire il tema della gestione del rischio relativo alla sicurezza delle informazioni, definendone il processo, identificando gli asset, i rischi e le vulnerabilità.
ISO 27006, fornisce linee guida per l'accreditamento presso gli enti di certificazione dei sistemi ISMS. Il titolo ufficiale è: "Information technology - Security techniques. Requirements for bodies providing audit and certification of information security management systems". Essa deve essere utilizzata insieme ad altre norme: ISO 27001, ISO 27021 e ISO 19011.
ISO 27021, contiene principi e requisiti relativamente alla competenza, consistenza, imparzialità degli audit e della certificazione dei sistemi di gestione di ogni tipo. E' da utilizzare in stretto accordo con la norma ISO 27006.

Riservatezza delle informazioni private (D.Lgs 196/2003)

La conformità alla norma internazionale, anche se accreditata da un organismo autorizzato, non esime l'azienda dal rispetto delle misure di sicurezza e dalla produzione della documentazione richieste dalla legge italiana sulla riservatezza dei dati personali e della propria vita privata ("privacy").

Nel nostro paese è in vigore il D.Lgs 196/2003 (decreto legislativo 30 giugno 2003, n. 196). Costituisce il Codice in materia di protezione dei dati personali ed ha riordinato la Legge sulla privacy del 1996.

Sicurezza fisica delle persone (D.Lgs 626/1994)

La legge 626 regolamenta in Italia la sicurezza dei luoghi di lavoro.

La 626 è un decreto legislativo introdotto nel nostro paese nel 1994 per regolamentare la sicurezza sui luoghi di lavoro. Il decreto fu integrato con altre norme dando una forma organica alle normative sulla sicurezza nei luoghi di lavoro.

I controlli menzionati nell'Annex A richiedono che tale legge sia esplicitamente menzionata nell'implementazione della norma ISO 27001 come una delle leggi applicabili al sistema di gestione della sicurezza delle informazioni.

Il decreto legislativo, secondo quanto richiesto dalle direttive CE, introduce l'obbligo della valutazione del rischio (Risk assessment) da parte del datore di lavoro. Inoltre, richiede l'introduzione in azienda di un Servizio di Prevenzione e Protezione e di un responsabile. La valutazione del rischio è un processo per individuare i pericoli e mettere in atto le misure di prevenzione e protezione necessarie per ridurre le probabilità ed il danno conseguenti a potenziali infortuni e malattie professionali.

Il datore di lavoro deve quindi garantire "la sicurezza nei posti di lavoro" e diventare partecipe e responsabile di un processo di miglioramento delle condizioni di sicurezza nei luoghi di lavoro tramite una valutazione periodica dei rischi, documentata in un apposito documento ("documento di valutazione dei rischi").

Un'altra novità del decreto legislativo è rappresentato dall'introduzione di un Rappresentante dei Lavoratori per la Sicurezza, eletto dai lavoratori stessi e consultato preventivamente in tutti i processi di valutazione dei rischi.

Tali adempimenti sono affiancati da articoli vari della Costituzione Italiana e del Codice Civile che obbligano i datori di lavoro a garantire l'integrità fisica e morale di tutti i lavoratori tenendo conto della miglior tecnologia applicabile e tutto ciò che può essere fatto per evitare potenziali infortuni.


				Ercole Colonese
				L’ESPERIENZA AL VOSTRO SERVIZIO!
				Consulenza informatica ed organizzativa

	home	sviluppo software	consulenza		didattica	pubblicazioni		chi sono	info
		Sviluppare software oggi …
Stonehenge In questa pagina: ISO 27000, Gestione della sicurezza delle informazioni ISO/IEC 27001:2005 Annex A - Control objectives and controls Altre norme della serie ISO 27000 Riservatezza delle informazioni (D.Lgs 196/2003) Sicurezza fisica delle persone (D.Lgs 626/1994)		ISO/IEC 27001:2005, Sistema di gestione della sicurezza delle informazioni (e decreti legislativi sulla riservatezza dei dati personali e sulla sicurezza fisica nei luoghi di lavoro) La famiglia di norme internazionali ISO 27000 (ISO 27001, ISO 27002, ...) costituisce una base normativa per la gestione della sicurezza delle informazioni. Tali norme sono allineate, in conformità e coerenza, con altre importanti norme internazionali: ISO 9000, relative ai sistemi di gestione per la qualità, e ISO 14000, relative ai sistemi di gestione ambientale. Come per gli altri temi menzionati (qualità ed ambiente), anche la serie 27000 sarà popolata da più standard e documenti. ISO/IEC 27001:2005 La norma ISO 27001:2005, Information techonology - Security techiniques - Information security management systems - Requirements stabilisce i requisiti per un Sistema di gestione della sicurezza delle informazioni (Information Security Management System - ISMS). Pubblicata nel 2005, la ISO 27001 ha sostituito la precedente norma, guida e riferimento, in materia di sicurezza delle informazioni: BS 7799. Essa costituisce il documento di riferimento per la certificazione. I contenuti delle norma sono brevemente riassunti in: Management Responsibility Internal Audits ISMS Improvement Annex A - Control objectives and controls Annex B - OECD principles and this interantional standard Annex C - Correspondence between ISO 9001, ISO 14001 and this standard L'informazione è un bene di enorme valore per le imprese, oggi più che mai. E le informazioni sono tutte custodite in forma elettronica negli archivi informatici. Diventa quindi vitale per le aziende proteggere tale valore. L'aumento della pirateria informatica non fa che ribadire tale necessità. L'obiettivo del nuovo standard (ISO 27001:2005) è quindi quello di stabilire le caratteristiche richieste ad un sistema per la gestione della sicurezza delle informazioni (ISMS) perchè risulti efficace. Il sistema richiesto deve cioè garantire la protezione da intrusioni e sabotaggi ed assicurare, alle informazioni sensibili gestite dall'azienda, : integrità (i dati sono protetti da ogni manipolazione, modifica o distruzione), riservatezza (i dati sono acceduti solo dalle persone che ne hanno l'autorizzazione), disponibilità (i dati sono sempre disponibili alle persone che ne hanno bisogno). La norma è applicabile a imprese operanti in tutti i settori commerciali e industriali. L'impostazione seguita per la realizzazione della nuova norma internazionale (ISO/IEC 27001) è perfettamente coerente con quella della norma ISO 9001:2000 per il Sistema di Gestione per la Qualità. Ciò permette di realizzare sistemi integrati e mai in sovrapposizione e, meno ancora, in conflitto tra di loro. La "gestione dei rischi" è l'approccio fondamentale richiesto per la gestione della sicurezza delle informazioni. Gli elementi caratteristici della norma relativa alla gestione della sicurezza delle informazioni sono elencate qui di seguito. Risk management (la gestione dei rischi è un processo aziendale cui viene dedicata la giusta importanza ed attenzione, stabilendone gli obiettivi, i confini, le modalità operative e le responsabilità), Approccio per processi (l'approccio richiede una gestione strutturata e sistematica del processo di "risk management", integrato con gli altri processi aziendali, e di cui si stabiliscono responsabilità, modalità operative e controlli da eseguire), Politica per la sicurezza (la direzione definisce una politica per la sicurezza delle informazione ed assicura che sia divulgata e conosciuta da tutti; la politica stabilisce gli obiettivi, i confini, le responsabilità e fa riferimento ai processi e procedure operative al riguardo), Identificazione e analisi dei rischi (si tratta di individuare i potenziali rischi e di analizzarne le probabilità), Valutazione e trattamento dei rischi (si tratta di valutare il costo delle azioni necessarie a fronteggiare le situazioni di rischio, di calcolare l'impatto negativo causato dall'eventuale perdita delle informazioni e di stabilire come fronteggiare le varie situazioni di rischio - accettazione, riduzione, trasferimento del rischio -), Riesame e rivalutazione dei rischi (è richiesto di effettuare revisioni periodiche dello stato del sistema di gestione della sicurezza delle informazioni allo scopo di valutarne l'efficacia e provvedere con eventuali azioni correttive e/o migliorative), Modello PDCA (Plan: stabilire il sistema per la gestione della sicurezza delle informazioni; Do: implementare e rendere operativo il sistema ISMS stabilito; Check: monitorare e rivedere il sistema; Act: mantenere operativo ed efficiente il sistema e migliorarlo di continuo), Utilizzo di procedure e di strumenti per la gestione dei rischi nell'ottica del miglioramento continuo (Audit interni, non conformità, azioni correttive e preventive, sorveglianza) . Annex A "Control objectives and controls" Particolarmente importante è l'appendice che elenca ben 134 "controlli" che l'organizzazione deve eseguire per ritenersi conforme alla norma. Tali controlli spaziano sui vari temi. Ne elenchiamo alcuni, solo a titolo informativo: Politica ed organizzazione per la sicurezza; Gestione dei beni e alla sicurezza delle risorse umane; Sicurezza fisica e ambientale; Gestione delle comunicazioni e delle procedure operative; Controllo degli accessi fisici e logici; Gestione e monitoraggio del trattamento degli incidenti (relativi alla sicurezza delle informazioni). Gli obiettivi dei controlli includono la gestione della Business continuity ed il rispetto nelle norme. Altre norme della serie ISO 27000 ISO 27002:2007, Information techonology - Security techiniques - Code of pratice for information security management. Essa sostituisce il precedente standard ISO 17799 che, a sua volta, sostituiva lo standard BS 7799. Contiene un codice di pratiche suggerite per la gestione della sicurezza delle informazioni. Fondamentalmente elenca un insieme di centinaia di potenziali controlli e meccanismi di controllo che possono essere implementati, in teoria, in accordo con le guide fornite dalla ISO 27001. "Costituisce una guida per definire, realizzare, mantenere e migliorare la gestione della sicurezza delle informazioni in un'organizzazione". I controlli elencanti indirizzano i requisiti imposti dalla formalizzazione di una valutazione dei rischi. ISO 27003. Si tratta di una serie di norme in programma. ISO 27003, dovrebbe fornire aiuto e guida allo sviluppo del sistema di gestione della sicurezza delle informazioni, fornendo esempi su come applicare il metodo Plan-Do-Check-Act. ISO 27004, dovrebbe presentare la definizione di un sistema di metriche e misure da applicare al sistema ISMS. ISO 27005, dovrebbe coprire il tema della gestione del rischio relativo alla sicurezza delle informazioni, definendone il processo, identificando gli asset, i rischi e le vulnerabilità. ISO 27006, fornisce linee guida per l'accreditamento presso gli enti di certificazione dei sistemi ISMS. Il titolo ufficiale è: "Information technology - Security techniques. Requirements for bodies providing audit and certification of information security management systems". Essa deve essere utilizzata insieme ad altre norme: ISO 27001, ISO 27021 e ISO 19011. ISO 27021, contiene principi e requisiti relativamente alla competenza, consistenza, imparzialità degli audit e della certificazione dei sistemi di gestione di ogni tipo. E' da utilizzare in stretto accordo con la norma ISO 27006. Riservatezza delle informazioni private (D.Lgs 196/2003) La conformità alla norma internazionale, anche se accreditata da un organismo autorizzato, non esime l'azienda dal rispetto delle misure di sicurezza e dalla produzione della documentazione richieste dalla legge italiana sulla riservatezza dei dati personali e della propria vita privata ("privacy"). Nel nostro paese è in vigore il D.Lgs 196/2003 (decreto legislativo 30 giugno 2003, n. 196). Costituisce il Codice in materia di protezione dei dati personali ed ha riordinato la Legge sulla privacy del 1996. Sicurezza fisica delle persone (D.Lgs 626/1994) La legge 626 regolamenta in Italia la sicurezza dei luoghi di lavoro. La 626 è un decreto legislativo introdotto nel nostro paese nel 1994 per regolamentare la sicurezza sui luoghi di lavoro. Il decreto fu integrato con altre norme dando una forma organica alle normative sulla sicurezza nei luoghi di lavoro. I controlli menzionati nell'Annex A richiedono che tale legge sia esplicitamente menzionata nell'implementazione della norma ISO 27001 come una delle leggi applicabili al sistema di gestione della sicurezza delle informazioni. Il decreto legislativo, secondo quanto richiesto dalle direttive CE, introduce l'obbligo della valutazione del rischio (Risk assessment) da parte del datore di lavoro. Inoltre, richiede l'introduzione in azienda di un Servizio di Prevenzione e Protezione e di un responsabile. La valutazione del rischio è un processo per individuare i pericoli e mettere in atto le misure di prevenzione e protezione necessarie per ridurre le probabilità ed il danno conseguenti a potenziali infortuni e malattie professionali. Il datore di lavoro deve quindi garantire "la sicurezza nei posti di lavoro" e diventare partecipe e responsabile di un processo di miglioramento delle condizioni di sicurezza nei luoghi di lavoro tramite una valutazione periodica dei rischi, documentata in un apposito documento ("documento di valutazione dei rischi"). Un'altra novità del decreto legislativo è rappresentato dall'introduzione di un Rappresentante dei Lavoratori per la Sicurezza, eletto dai lavoratori stessi e consultato preventivamente in tutti i processi di valutazione dei rischi. Tali adempimenti sono affiancati da articoli vari della Costituzione Italiana e del Codice Civile che obbligano i datori di lavoro a garantire l'integrità fisica e morale di tutti i lavoratori tenendo conto della miglior tecnologia applicabile e tutto ciò che può essere fatto per evitare potenziali infortuni.					Sviluppare software oggi ... Il contesto Norme e modelli ISO 9000 e norme per il software ISO/IEC 27001 per la sicurezza SA 8000 per la responsabilità sociale EFQM per l'eccellenza CMMI per la maturità dei processi P-CMM, modello per la gestione delle persone Professioni e certificazioni Metodologia di sviluppo software 10 best practice del software Link esterni utili: ISO, International Organization for Standardization (sito ufficiale)
		Copyright © 2005-2007 - Ultimo aggiornamento: 31 luglio 2007