Sicurezza delle informazioni, cosa prevede la nuova ISO/IEC 27002:2021

Entro fine 2021 dovrebbe essere pubblicata la nuova versione della ISO/IEC 27002, la norma che descrive i controlli per la sicurezza delle informazioni. Essa avrà nome “ISO/IEC 27002:2021 – Information security, cybersecurity and privacy protection — Information security controls”. Essa sostituirà la ISO/IEC 27002:2013, attualmente in vigore.

La nuova versione prevede diverse novità, approfondite nei prossimi paragrafi:

• nuova suddivisione di capitoli e categorie di controlli;
• controlli nuovi, eliminati e accorpati;
• attributi che possono essere assegnati ai controlli.

L’ultimo paragrafo tratta dell’uso della futura ISO/IEC 27002 con la ISO/IEC 27001:2013.

ISO/IEC 27002: capitoli e categorie

La ISO/IEC 27002:2013 organizza i controlli in 14 capitoli (da “Politiche per la sicurezza delle informazioni” a “Conformità”). Questi capitoli sono a loro volta suddivisi in categorie (a ciascuna delle quali corrisponde un obiettivo) di cui fanno poi parte i controlli.

La futura ISO/IEC 27002 suddivide invece i controlli in 4 categorie senza ulteriori divisioni e senza alcuna relazione esplicita con obiettivi di sicurezza. I capitoli sono i seguenti:

1. controlli organizzativi;
2. controlli relativi alle persone;
3. controlli di tipo fisico;
4. controlli di tipo tecnologico.

Questa scelta avrà degli impatti negativi perché oggi molti documenti prendono a modello l’impostazione in 14 capitoli della ISO/IEC 27002:2013, assicurando quindi una omogeneità di lettura (si pensi, a solo titolo di esempio, alla bozza di criteri di valutazione dei fornitori di servizi cloud diffusa da ENISA[1]). In futuro potrà quindi essere più difficile individuare una chiave di lettura comune alle tante pubblicazioni relative alla sicurezza delle informazioni.

Va invece sottolineato un effetto positivo di questa impostazione, palese ai lettori: è stato possibile eliminare molte ridondanze nei controlli.
Un altro effetto positivo, meno evidente ai lettori, se non per il risultato finale, è che le sessioni di redazione si sono potute concentrare sul testo di descrizione e guida dei controlli e non sul loro posizionamento. La futura ISO/IEC 27002 sarà quindi sicuramente scritta meglio e più completa della precedente.

ISO/IEC 27002: i controlli

La ISO/IEC 27002:2013 riporta 114 controlli. La futura versione ne riporterà 93.

Un’accusa spesso rivolta alle ISO/IEC 27001 e ISO/IEC 27002 è che l’elenco dei controlli è troppo lungo. Questa accusa è ingiusta, visto che altre pubblicazioni (incluso il NIST CFS) ne riportano anche di più. I redattori si sono comunque impegnati a ridurre le ripetizioni e ad accorpare i controlli dove ritenuto opportuno.

Alcuni controlli accorpati sono quelli relativi a:

• trasferimento delle informazioni;
• gestione delle informazioni di autenticazione;
• gestione dei diritti di accesso;
• continuità operativa;
• dispositivi di memorizzazione dei dati;
• logging;
• gestione dei cambiamenti.

Un esempio particolare è il controllo 18.1.5 sulla regolamentazione dei controlli crittografici, troppo spesso non interpretato correttamente (soprattutto se si considerano gli altri due controlli relativi alla crittografia, che saranno anch’essi accorpati tra loro) e adesso accorpato con il controllo più generale relativo all’identificazione dei requisiti legali, di regolamenti e contrattuali.

Sono stati aggiunti nuovi controlli, come necessario considerando gli aggiornamenti tecnologici di questi anni:

• raccolta di informazioni sulle minacce (threat intelligence);
• uso dei servizi cloud;
• ICT nella continuità operativa (per meglio specificare l’ambito della continuità nella sicurezza delle informazioni ed evitare l’uso delle ISO/IEC 27001 e ISO/IEC 27002 al posto della ISO 22301);
• monitoraggio della sicurezza fisica;
• gestione della configurazione;
• cancellazione delle informazioni;
• mascheramento dei dati;
• prevenzione dalla fuga (leakage) di dati.
• monitoraggio delle attività;
• filtri web;
• codifica sicura.

Alcuni controlli, palesemente, erano già presenti nella ISO/IEC 27002:2013, ma non sufficientemente evidenziati. Esempio è quello relativo al monitoraggio delle attività, che nella ISO/IEC 27001:2013 era “nascosto” nel controllo relativo al logging. Molti controlli hanno cambiato titolo per renderlo più chiaro o più significativo. Alcuni esempi:

• “Identity management” per i controlli di registrazione degli utenti;
• “Information security during disruption”, per rendere più chiaro il precedente “Information security continuity”;
• “Remote working” al posto del più limitativo (almeno in Italia) “Teleworking”;
• “User endpoint devices” al posto del più limitativo “Mobile device policy”.

Attributi dei controlli

Una notevole novità della futura ISO/IEC 27002 è rappresentata dagli “attributi” che possono essere assegnati ai controlli.

L’idea è quella di permettere agli utilizzatori di riordinare e raggruppare i controlli secondo viste, in accordo alle proprie specifiche esigenze. Questo, come già detto in precedenza, avrà come impatto negativo la perdita di omogeneità tra le pubblicazioni relative alla sicurezza delle informazioni, ma lascerà una maggiore flessibilità agli utilizzatori.

Intuitivamente è possibile assegnare a ogni controllo alcune etichette. Se controlli ed etichette sono riportati su fogli di calcolo o database, come sempre più spesso succede, la creazione di viste sarà molto semplice (anche se dovremo valutarne l’effettiva utilità).

Lo standard presenta alcuni esempi di attributi. Tre esempi:

• tipologia di controllo: preventivo, di rilevazione, correttivo;
• proprietà di sicurezza: riservatezza, integrità, disponibilità;
• concetti di sicurezza cyber: identificare, proteggere, rilevare, rispondere, ripristinare.

Un altro esempio ripropone un raggruppamento dei controlli simile a quello della ISO/IEC 27002:2013: governo, gestione degli asset, sicurezza del personale, sicurezza fisica, eccetera.

I rapporti con la ISO/IEC 27001

La ISO/IEC 27001 sarà aggiornata tra qualche anno. I lavori di aggiornamento sono appena partiti e la pubblicazione non avverrà prima del 2024.

Questo vuol dire che l’appendice A della norma rimarrà invariata e, come conseguenza, le organizzazioni che intendono certificarsi ISO/IEC 27001 dovranno sempre presentare l’elenco dei controlli esclusi basandosi sulla ISO/IEC 27002:2013 e non sulla nuova versione.

Diverso è invece il discorso per quanto riguarda la dichiarazione di applicabilità (o statement of applicability). Infatti, l’attuale normativa non richiede che tale documento debba essere redatto sulla base dei controlli nell’appendice A. Può infatti essere presentato seguendo altri elenchi di controlli, anche elaborati internamente, purché altrettanto esaustivi dell’appendice A.

Alcune riflessioni necessarie

1. sono rare le organizzazioni che non usano l’appendice A proprio perché questa è esaustiva e l’elaborazione di un’alternativa non darebbe benefici tangibili (e gli auditor richiederebbero comunque una tabella di relazione con l’appendice A);
2. molti altri elenchi non sono utilizzabili perché non altrettanto esaustivi (per esempio il NIST CFS e il loro recepimento come misure minime promosse da AgID, visto che trattano solo di sicurezza informatica).

Sarà quindi possibile presentare la dichiarazione di applicabilità basata sulla futura ISO/IEC 27002, purché accompagnata da un elenco dei controlli esclusi basato però sull’attuale ISO/IEC 27002:2013. La soluzione è un po’ macchinosa, ma permetterebbe di essere allineati con l’evoluzione delle normative.

Di Cesare Gallotti, Esperto in sicurezza delle informazioni, qualità e gestione dei servizi IT – Componente del D&L NET

[1] https://www.enisa.europa.eu/publications/eucs-cloud-service-scheme.