Pubblicata la nuova norma ISO/IEC 27002 sui controlli di sicurezza delle informazioni

Il 15 febbraio 2022 è stata pubblicata la nuova edizione della norma ISO/IEC 27002 “Tecnologie Informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni”.

COLLANA EDITORIALE ISO 27001 – SOFTWARE, KIT DOCUMENTALE, CORSO ON LINE

Quadro di sintesi dell’impatto sulla ISO/IEC 27001:2013 a seguito della pubblicazione della ISO/IEC 27002:2022:

– I requisiti della ISO/IEC 27001:2013 – paragrafi da 4 a 10, non sono stati modificati
– Solo i controlli di sicurezza elencati nella ISO/IEC 27001:2013, allegato A, sono stati aggiornati
– Il numero di controlli è diminuito da 114 a 93
– I controlli sono organizzati in 4 sezioni invece delle precedenti 14
– Sono stati definiti 11 nuovi controlli, alcuni controlli sono stati accoppiati.

Struttura della ISO/IEC 27002:2022 – La caratteristica più evidente della nuova edizione è che la struttura è molto diversa da quella di tutte le precedenti edizioni.
Nella ISO/IEC 27002:2013, in comune con la ISO/IEC 27002:2005 e risalendo fino a BS7799:1995, i controlli sulla sicurezza delle informazioni erano stati raggruppati per ambito.

Nella nuova edizione i controlli sono invece aggregati per “macro-tema”. Sono stati, infatti, individuati quattro macro-temi che coincidono con i 4 tradizionali pilastri a cui è associata la sicurezza delle informazioni:

– controlli organizzativi – 37 controlli
– controlli fisici – 14 controlli
– controlli delle persone – 8 controlli
– controlli tecnologici – 34 controlli

Un elemento che contraddistingue il documento è la presenza degli attributi che caratterizzano i controlli. Gli attributi hanno lo scopo di consentire ad ogni organizzazione di raggruppare i controlli in modo diversi (viste) per soddisfare le proprie particolari esigenze. Tale aspetto può essere considerato un vero punto di forza del documento. Ad ogni controllo sono associati 5 attributi.

Gli attributi citati nella nuova edizione hanno valenza di esempi e le organizzazioni che applicano la ISO/IEC 27001 sono incoraggiate a definire i propri attributi (un allegato illustra come operare in tal senso).

Per ogni controllo è definito:

– Nome del controllo
– Attributi del controllo
– Testo di controllo
– Scopo di controllo
– Guida all’implementazione
– Altre informazioni

Controlli – La nuova edizione adotta la nuova definizione ISO 31000 di controllo, ovvero “Misura che mantiene e/o modifica il rischio”. Questa definizione risolve una critica che è stata spesso sollevata alla precedente versione.

La quale (vedi ad esempio ISO/IEC 27000:2018 “Information technology — Security techniques — Information security management systems — Overview and vocabulary”) non includeva la capacità di un controllo limitata al solo mantenimento di un rischio.

Inoltre, nella versione in vigore sono stati eliminati dei controlli dai più percepiti come duplicati, ovvero lo stesso controllo “generico” era espresso più volte in contesti di rischio diversi. L’allegato B della nuova edizione, illustra la corrispondenza tra i controlli della nuova edizione e quelli della ISO/IEC 27002:2013.

Impatto su ISO/IEC 27001 – La pubblicazione della terza edizione della ISO/IEC 27002 impone di fatto una revisione della ISO/IEC 27001.

Il riferimento alla ISO/IEC 27002 nella ISO/IEC 27001, allegato A è ad oggi un riferimento datato e superato. Ciò implica, ora che è stata pubblicata la nuova edizione della ISO/IEC 27002, che l’edizione precedente (ISO/IEC 27002:2013) è stata ritirata e quindi l’attuale edizione della ISO/IEC 27001 si riferisce ad una norma inesistente. Deve quindi essere aggiornata.

Fonte: Federprivacy
Autore: Monica Perego
Membro del Comitato Scientifico di Federprivacy, docente qualificato TÜV Italia e docente del Master Privacy Officer e Consulente della Privacy