#27002: Una revisione rinnovata della norma con una struttura più snella, nuovi contenuti e un'indicizzazione moderna. Nel primo trimestre del 2022, è stato rilasciato l'aggiornamento della norma ISO/IEC 27002, che anticipa la revisione della norma ISO/IEC 27001 prevista per il quarto trimestre del 2022. Leggete qui cosa è cambiato con la nuova ISO 27002:2022 e cosa significa in termini di revisione della ISO 27001:2022.

Loading...

ISO 27002 e ISO 27001

La ISO 27002 definisce un ampio catalogo di misure di sicurezza generali che dovrebbero supportare le aziende nell'implementazione dei requisiti dell'Allegato A della ISO 27001 - e si è affermata come guida standard pratica in molti dipartimenti IT e di sicurezza come strumento riconosciuto. All'inizio del 2022, la ISO 27002 è stata completamente rivista e aggiornata - un passo atteso secondo molti esperti, considerando lo sviluppo dinamico dell'IT negli ultimi anni e sapendo che gli standard vengono rivisti per aggiornarli ogni 5 anni.

Per le aziende in possesso di un certificato ISO 27001 - o per quelle che vogliono affrontare la certificazione nel prossimo futuro - le novità introdotte sono rilevanti sotto due aspetti: In primo luogo, per quanto riguarda i necessari aggiornamenti delle proprie misure di sicurezza; ma in secondo luogo, perché questi cambiamenti avranno un impatto sull'aggiornamento della certificazione ISO 27001. ISO 27001 previsto per la fine dell'anno e saranno quindi rilevanti per tutte le future certificazioni e ricertificazioni. Un motivo sufficiente, quindi, per dare un'occhiata più da vicino alla nuova ISO 27002.

Nota: ISO/IEC 27002:2022 Sicurezza delle informazioni, sicurezza informatica e protezione della privacy - Controlli di sicurezza delle informazioni. La norma è attualmente pubblicata solo in inglese e può essere ordinata sul sito web dell 'ISO.

Nuova struttura e nuovi argomenti

Il primo cambiamento evidente nella ISO 27002:2022 è la struttura aggiornata e notevolmente semplificata dello standard: invece delle precedenti 114 misure di sicurezza (controlli) in 14 sezioni, il set di riferimento della versione aggiornata della ISO 27002 comprende ora 93 controlli, che sono chiaramente suddivisi e riassunti in 4 aree tematiche:

  • 37 misure di sicurezza nella sezione "Controlli organizzativi
  • 8 misure di sicurezza nella sezione "Controlli sulle persone
  • 14 misure di sicurezza nell'area dei "Controlli fisici"
  • 34 misure di sicurezza nell'area "Controlli tecnologici".

Nonostante il numero ridotto di misure di sicurezza, solo il controllo "Rimozione di beni" è stato effettivamente eliminato. La razionalizzazione è dovuta al fatto che 24 misure di sicurezza dei controlli esistenti sono state combinate e ristrutturate per soddisfare gli obiettivi di protezione in modo più mirato. Altre 58 misure di sicurezza sono state riviste e adattate ai requisiti attuali.

La nuova edizione della ISO 27002 offre ai responsabili della sicurezza delle informazioni una visione precisa dei cambiamenti che diventeranno il nuovo standard di certificazione con la nuova edizione della ISO 27001.

Markus Jegelka Esperto e revisore DQS per la sicurezza delle informazioni

Nuove misure di sicurezza

Inoltre - e questa è probabilmente la parte più interessante dell'aggiornamento - la ISO 27002 è stata ampliata con 11 misure di sicurezza aggiuntive nella nuova versione. Nessuna di queste misure sorprenderà gli esperti di sicurezza, ma nel loro insieme inviano un segnale forte e aiutano le aziende ad armare tempestivamente le loro strutture organizzative e le loro architetture di sicurezza contro gli scenari di minaccia attuali e futuri.

Le nuove misure sono:

Informazioni sulle minacce

L'acquisizione, il consolidamento e l'analisi delle informazioni attuali sulle minacce consentono alle organizzazioni di rimanere aggiornate in un ambiente di minacce sempre più dinamico e in evoluzione. In futuro, l'analisi basata su prove delle informazioni sugli attacchi svolgerà un ruolo fondamentale nella sicurezza delle informazioni per sviluppare le migliori strategie di difesa possibili.

Sicurezza delle informazioni per l'utilizzo dei servizi cloud

Molte organizzazioni oggi si affidano a servizi basati sul cloud. Questo comporta nuovi vettori di attacco e cambiamenti di conseguenza, nonché superfici di attacco notevolmente più ampie. In futuro, le aziende dovranno prendere in considerazione misure di protezione adeguate per la loro introduzione, utilizzo e amministrazione e renderle vincolanti nelle regole contrattuali con i fornitori di servizi cloud.

Prontezza delle TIC per la continuità operativa

La disponibilità delle tecnologie dell'informazione e della comunicazione (TIC) e delle relative infrastrutture è essenziale per la continuità delle operazioni aziendali. La base per organizzazioni resilienti è costituita dagli obiettivi di continuità operativa pianificati e dai requisiti di continuità ICT derivati, implementati e verificati da questi. I requisiti per il ripristino tecnico e tempestivo delle TIC dopo un guasto stabiliscono concetti di continuità aziendale validi.

Monitoraggio della sicurezza fisica

Le effrazioni in cui dati sensibili o supporti di dati vengono rubati dall'azienda o compromessi rappresentano un rischio significativo per le aziende. I controlli tecnici e i sistemi di monitoraggio si sono dimostrati efficaci nel dissuadere i potenziali intrusi o nel rilevarne immediatamente l'intrusione. In futuro, questi saranno componenti standard dei concetti di sicurezza olistica per individuare e scoraggiare gli accessi fisici non autorizzati.

Gestione della configurazione

I sistemi non correttamente configurati possono essere sfruttati dagli aggressori per accedere a risorse critiche. Sebbene in passato sia stata sottorappresentata come sottoinsieme della gestione delle modifiche, la gestione sistematica della configurazione è ora considerata una misura di sicurezza a sé stante. Richiede alle organizzazioni di monitorare la corretta configurazione di hardware, software, servizi e reti e di rendere i sistemi più resistenti in modo appropriato.

Eliminazione delle informazioni

Dall'entrata in vigore del Regolamento generale sulla protezione dei dati, le organizzazioni devono disporre di meccanismi adeguati per cancellare i dati personali su richiesta e garantire che non vengano conservati più a lungo del necessario. Questo requisito è esteso a tutte le informazioni nella norma ISO 27002. Le informazioni sensibili non devono essere conservate più a lungo del necessario per evitare il rischio di divulgazione indesiderata.

Loading...

Guida all'audit DQS per la ISO 27001

Competenze preziose

La nostra guida all'audit ISO 27001 - Allegato A è stata creata da esperti di primo piano come aiuto pratico per l'implementazione ed è ideale per una migliore comprensione dei requisiti standard selezionati. La guida non fa ancora riferimento alla revisione della ISO 27001, pubblicata il 25 ottobre 2022.

Mascheramento dei dati

L'obiettivo di questa misura di sicurezza è proteggere i dati o gli elementi di dati sensibili (ad esempio, i dati personali) attraverso il mascheramento, la pseudonimizzazione o l'anonimizzazione. Il quadro di riferimento per l'implementazione appropriata di queste misure tecniche è fornito dai requisiti legali, normativi, regolamentari e contrattuali.

Prevenzione della fuga di dati

Sono necessarie misure di sicurezza preventive per ridurre il rischio di divulgazione ed estrazione non autorizzata di dati sensibili da sistemi, reti e altri dispositivi. I potenziali canali di fuga incontrollata di queste informazioni identificate e classificate (ad esempio, e-mail, trasferimenti di file, dispositivi mobili e dispositivi di archiviazione portatili) devono essere monitorati e, se necessario, supportati tecnicamente da misure di prevenzione attiva (ad esempio, quarantena delle e-mail).

Attività di monitoraggio

I sistemi di monitoraggio delle anomalie nelle reti, nei sistemi e nelle applicazioni fanno ormai parte del repertorio standard dei reparti IT. Allo stesso modo, l'obbligo di utilizzare sistemi per il rilevamento degli attacchi è entrato a far parte degli attuali requisiti legali e normativi. Il monitoraggio continuo, la raccolta automatica e la valutazione di parametri e caratteristiche appropriate dalle operazioni IT in corso sono un must della difesa informatica proattiva e continueranno a guidare le tecnologie in questo settore.

Filtraggio del Web

Molti siti web non attendibili infettano i visitatori con malware o leggono i loro dati personali. Il filtraggio avanzato degli URL può essere utilizzato per filtrare automaticamente i siti web potenzialmente pericolosi per proteggere gli utenti finali. Le misure di sicurezza e le soluzioni per la protezione da contenuti dannosi sui siti web esterni sono essenziali in un mondo aziendale connesso a livello globale.

Codifica sicura

Le vulnerabilità nel codice sviluppato internamente o nei componenti open source sono un pericoloso punto di attacco, che consente ai criminali informatici di accedere facilmente a dati e sistemi critici. Linee guida aggiornate per lo sviluppo del software, procedure di test automatizzate, procedure di rilascio per le modifiche al codice, gestione delle conoscenze per gli sviluppatori, ma anche strategie di patch e aggiornamento ben studiate aumentano notevolmente il livello di protezione.

Attributi e valori degli attributi

Un'altra innovazione è stata introdotta per la prima volta nella norma ISO 27002:2022 per aiutare i responsabili della sicurezza a orientarsi nell'ampia gamma di misure: Nell'allegato A della norma, per ogni controllo vengono memorizzati cinque attributi con i relativi valori.

Gli attributi e i valori degli attributi sono:

Tipi di controllo

  • Il tipo di controllo è un elemento che permette di vedere i controlli dal punto di vista di quando e come un controllo modifica il rischio legato al verificarsi di un incidente di sicurezza delle informazioni.
  • #preventivo #detettivo #correttivo

Proprietà della sicurezza delle informazioni

  • Le proprietà di sicurezza delle informazioni sono un attributo che può essere utilizzato per visualizzare i controlli dal punto di vista dell'obiettivo di protezione che il controllo è destinato a supportare.
  • #Confidenzialità #Integrità #Disponibilità

Concetti di cybersecurity

  • concetti di cybersecurity considerano i controlli dal punto di vista della mappatura dei controlli al quadro di cybersecurity descritto in ISO/IEC TS 27110.
  • #Identificare # Proteggere # Rilevare # Rispondere # Recuperare

Capacità operative

  • La capacità operativa esamina i controlli dal punto di vista delle loro capacità operative di sicurezza delle informazioni e supporta una visione pratica dei controlli da parte degli utenti.
  • #Sicurezza delle applicazioni #Gestione delle risorse #Continuità #Protezione dei dati #Governance #Sicurezza delle risorse umane #Gestione delle identità e degli accessi #Gestione degli eventi di sicurezza delle informazioni #Legalità e conformità #Sicurezza fisica #Configurazione sicura #Assicurazione della sicurezza #Sicurezza delle relazioni con i fornitori #Sicurezza dei sistemi e delle reti #Gestione delle minacce e delle vulnerabilità

Domini di sicurezza

  • domini di sicurezza sono un attributo che può essere utilizzato per visualizzare i controlli nell'ottica di quattro domini di sicurezza delle informazioni
  • #Governance_e_Ecosistema #Protezione #Difesa #Resilienza

I valori degli attributi contrassegnati da hashtag hanno lo scopo di facilitare ai responsabili della sicurezza l'orientamento nell'ampio catalogo di misure della guida standard e di ricercarle e valutarle in modo mirato.

Cambiamenti nella ISO 27002: Una conclusione

La nuova edizione della ISO 27002 fornisce ai responsabili della sicurezza delle informazioni una visione precisa dei cambiamenti che diventeranno il nuovo standard di certificazione con la nuova edizione della ISO 27001. Allo stesso tempo, le innovazioni rimangono all'interno di un quadro gestibile: La ristrutturazione del catalogo delle misure rende lo standard più trasparente e rappresenta indubbiamente un passo nella giusta direzione in considerazione della crescente complessità e della minore trasparenza delle architetture di sicurezza. Le nuove misure incluse non sorprenderanno gli esperti di sicurezza e modernizzeranno notevolmente l'obsoleto standard ISO.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

La certificazione secondo la norma ISO 27001

Quanto impegno dovete investire per ottenere la certificazione del vostro ISMS secondo la norma ISO 27001? Informatevi gratuitamente e senza impegno.

Saremo lieti di parlare con voi.

Cosa significa l'aggiornamento per la vostra certificazione

Le aziende certificate ISO 27001 non devono temere i prossimi audit per la certificazione o la ricertificazione: Il nucleo dello standard rimane intatto e molte delle nuove misure sono probabilmente già incorporate nelle best practice aziendali. Tuttavia, come per qualsiasi altra certificazione, i team sono invitati a pianificare con sufficiente anticipo e a prepararsi con cura per l'audit del sistema di gestione della sicurezza delle informazioni (ISMS). Non c'è fretta: dopo la pubblicazione dello standard (prevista per il quarto trimestre del 2022), ci saranno 36 mesi per la transizione alla nuova ISO 27001:2022.

DQS: Fare semplicemente leva sulla qualità

I nostri audit di certificazione vi forniscono chiarezza. La visione olistica e neutrale dall'esterno su persone, processi, sistemi e risultati mostra l'efficacia del vostro sistema di gestione, la sua implementazione e la sua padronanza. Per noi è importante che il nostro audit non venga percepito come un test, ma come un arricchimento del vostro sistema di gestione.

La nostra richiesta inizia sempre dove finiscono le liste di controllo degli audit. Chiediamo specificamente "perché", perché vogliamo capire le motivazioni che vi hanno portato a scegliere un certo modo di implementazione. Ci concentriamo sul potenziale di miglioramento e incoraggiamo un cambiamento di prospettiva. In questo modo, potrete identificare le opzioni di azione con cui migliorare continuamente il vostro sistema di gestione.

Autore
André Saeckel

Responsabile di prodotto DQS per la gestione della sicurezza delle informazioni. Come esperto di norme per il settore della sicurezza delle informazioni e del catalogo di sicurezza IT (infrastrutture critiche), André Säckel è responsabile, tra l'altro, delle seguenti norme e standard specifici del settore: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (sicurezza delle informazioni nell'industria automobilistica). È anche membro del gruppo di lavoro ISO/IEC JTC 1/SC 27/WG 1 come delegato nazionale dell'Istituto tedesco di normazione DIN.

Loading...