Hai bisogno di aiuto?

Come ampiamente atteso, il 25 ottobre 2022 è uscita la terza edizione della ISO/IEC 27001:2022Information security, cybersecurity and privacy protection — Information security management systems — Requirements”; si tratta della norma di riferimento sui Sistemi di gestione della sicurezza delle informazioni che prevede requisiti e controlli per garantire il rispetto dello standard.

La ISO/IEC 27001:2022

L’obiettivo della norma è quello di fornire alle organizzazioni gli strumenti di base per proteggere il patrimonio delle informazioni (compresi i dati personali). Considerando che gli attacchi informatici sono in continua crescita, non risparmiano alcun tipo di azienda ed utilizzano tecniche sempre più sofisticate. Il rapporto annuale – Global Cybersecurity Outlook 2022 – pubblicato dal World Economic Forum, indica che gli attacchi informatici sono aumentati del 125% rispetto all’anno precedente e la tendenza prosegue anche per il 2022.

La ISO/IEC 27001:2022 non è una norma “tecnica”, ma al contrario un framework – di requisiti e controlli – da gestire centralmente, che attraversa i vari processi aziendali (e non solo quelli che impattano sull’ICT), integrabile con altri sistemi di gestione.

I princìpi che hanno guidato la nuova revisione della norma (compresi i controlli di cui di seguito si dà conto) sono orientati a garantire:

  • la disponibilità, riservatezza e disponibilità dei dati;
  • un approccio dinamico (in continua evoluzione) basato su individuazione delle minacce e delle vulnerabilità;
  • la protezione delle informazioni in tutte le forme e supporti (cartacei, cloud, digitali e verbali);
  • l’aumento della resilienza agli attacchi informatici;
  • eliminazione di misure che si dimostrano inefficaci.

Le modifiche ai requisiti e controlli

La norma prevede, a differenza di altre norme sui sistemi di gestione, sia un apparato di requisiti che di controlli.

I requisiti non hanno subito modifiche significative rispetto alla versione precedente; la struttura del documento si basa su quella impostata in 10 capitoli in linea con l’Annex SL. Tutti i requisiti devono essere applicati.

La modifica più significativa riguarda la dichiarazione di applicabilità, così come richiesta dal capitolo 6, che non deve essere più necessariamente redatta sulla base dei controlli dell’Allegato A. Il documento può seguire un qualunque impianto di controlli purché sia compliance con quelli dell’Allegato A ed eventualmente ne aggiunga di nuovi.

Questo modello, per quanto nuovo nell’approccio, di fatto ricalca quanto anche già previsto nella precedente versione della norma, che permetteva un set di controlli comunque più ampio di quello previsto dall’Allegato A. Si consiglia, qualora si decidesse di applicare questo approccio, di predisporre una tabella di correlazione tra il set di controlli applicato e quello previsto dall’Allegato A in modo da facilitare la lettura.

Non si rilevano ulteriori significative modifiche per quanto riguarda i requisiti e questo può facilitare sicuramente la transazione.

Per quanto riguarda i controlli, invece, questi hanno subito modifiche rilevanti:

  • passando da 114 a 93 – alcuni controlli sono stati accorpati;
  • riorganizzati in 4 sezioni invece delle precedenti 14;
  • introducendo 11 nuovi controlli.

Tali modifiche erano già note da febbraio con la pubblicazione della ISO/IEC 27002:2022 “Information security, cybersecurity and privacy protection — Information security controls” (pubblicata a febbraio 2022). I controlli per altro sono la parte caratterizzante del documento: la ISO/IEC 27002:2022 fornisce le linee guida e una serie di informazioni di supporto per la corretta applicazione dei controlli previsti dallo standard.

Le modifiche introdotte anche grazie alla presenza degli 11 nuovi controlli permettono di rendere i sistemi di gestione della sicurezza delle informazioni sempre più aderenti ad una tecnologia in continua evoluzione.

La modifica del titolo dello standard

La ISO/IEC 27001:2022 rispetto alla versione precedente ha anche modificato il titolo:

  • da “Information technology — Security techniques — Information security management systems — Requirements”
  • a “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”

L’introduzione dei concetti di cybersecurity e di protezione dei dati personali è un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR. Del resto, tra i controlli della norma sono stati sempre presenti alcuni dedicati esplicitamente alla protezione dei dati personali sia in modo diretto (5.34 Privacy and protection of PII) che indiretto.

Per precisione, tutte le norme sui sistemi di gestione per la sicurezza delle informazioni che fanno capo al Comitato tecnico ISO/IEC JTC 1/SC 27 hanno modificato la prima parte del “titolo”.

Un riferimento al GDPR

La norma non soddisfa i requisiti dell’art. 42 ”Certificazione” del GDPR in quanto gli Organismi di certificazione che possono certificare le aziende a fronte dello standard devono essere accreditati rispetto alla EN-ISO/IEC 17065/2012 come richiesto dall’art 43, come ad esempio avviene con altri standard come quello di Europrivacy, approvato di recente dall’European Data Protection Board.

La ISO/IEC 27001:2022 resta comunque un caposaldo per quanto riguarda sicurezza delle informazioni e non dare la giusta valenza significa non dare valore all’insieme dei requisiti e dei controlli che questa norma porta in dote per proteggere tutte le parti interessate.

I tempi di transizione dei certificati ISO/IEC 27001:2013

Le aziende certificate a fronte della ISO/IEC 27001:2013 hanno tempo fino al 31 ottobre 2025 per effettuare la transizione. Dato che le modifiche sono di lieve entità e quelle più rilevanti sui controlli sono già note da febbraio 2022 la transizione non è complessa.

Quindi, anche in questo caso sono forniti tre anni “canonici” di tempo per permettere ad ogni organizzazione di effettuare il passaggio. Si resta comunque in attesa di indicazioni puntuali da parte di Accredia.

Per le organizzazioni che stanno affrontando l’implementazione della nuova norma si raccomanda di utilizzare la nuova versione dello standard.

Le altre modifiche in corso

La famiglia delle norme ISO/IEC 27000 è in continua evoluzione, nella stessa data in cui è stata pubblicata la ISO/IEC 27001:2022 è stata anche pubblicata la ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks”. Altre linee guida della medesima famiglia sono in corso di pubblicazione/revisione.

A valle dell’aggiornamento della ISO/IEC 27001:2022 è previsto come indicato nel sito della ISO, anche l’aggiornamento della ISO/IEC 27701:2019 “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guideline” – alla data della redazione dell’articolo è stata conclusa la fase di “Committee” ed è in fase di avvio quella di “Enquiry”.

Conclusioni

Lo standard “madre” per la sicurezza delle informazioni ha subito rilevanti modifiche per la componente dei controlli, come già noto da diversi mesi. L’aggiornamento della norma, a cui ne seguiranno altre che su questa si appoggia, è l’occasione per rivedere e migliorare lo stato delle misure poste in atto a tutela della sicurezza delle informazioni, nell’ambito delle quali sono comprese anche quelle a protezione dei dati personali.

Alla data odierna la nuova versione della ISO/IEC 27001:2022 non è ancora disponibile nel sito www.uni.com, mentre lo è, ovviamente in lingua inglese e a pagamento, nel sito della ISO.

Fonte: Garante Privacy

Condividi questo articolo