information security (iso/iec 27001) e it service ... · per gli schemi iso 9001, iso/iec 27001 e...

Information Security (ISO/IEC 27001) e

IT Service Management (ISO/IEC 20000-1)

Analisi delle interdipendenze e delle opportunità di integrazione dei due

standard secondo la ISO/IEC FDIS 27013

17/09/2012 1 F. Cirilli per AICQ set-ott 2012

Relatore

• Fabrizio Cirilli – 30 anni di esperienza nell’ambito dell’ICT ricoprendo vari ruoli e mansioni all’interno di

aziende di rilevanza nazionale ed internazionale . – Dal 1995 Lead Auditor certificato per i Sistemi di Gestione (prima Qualità, poi Sicurezza delle

Informazioni e Servizi IT) nei registri CEPAS, IRCA, RICEC, SICEV. – Progettista e docente dei corsi per la qualifica degli auditor/lead auditor in Italia ed all’estero

per gli schemi ISO 9001, ISO/IEC 27001 e ISO/IEC 20000. Dal 2007 docente presso master universitari per le tematiche legate all’audit della sicurezza delle informazioni e l’IT service management.

– Membro del ISO JCT1/SC27 dal 2005 e di altre iniziative nazionali (UNINFO Gdl 27000) ed internazionali sui temi della sicurezza delle informazioni, dei servizi IT e della business continuity (progetto Domino).

– Aderisce e partecipa alle associazioni AIEA, AIIC, AIPSI, CLUSIT, ICT Academy, ITSMF e ad alcuni programmi internazionali tra i quali il Risk Awareness di ENISA.

– Amm. unico della Project Development Consulting & Auditing Srl dal 2001 è consulente di aziende private ed organizzazioni pubbliche in Italia ed all’estero sui temi dell’Information Security, IT Service Management, Incident Handling, Business Continuity, Disaster Recovery, Risk Management ecc.


Modelli per l’IT e standard ISO per l’IT

17/09/2012 F. Cirilli per AICQ set-ott 2012 3

Governance (COBIT)

Delivery & Support

(ITIL)

ISO 9001

ISO

/IEC

20

00

0-1

ISO

/IEC

27

00

1 Sistema di gestione

del servizio

Sistema di gestione per la sicurezza

delle informazioni

Ad oggi non esiste una tabella di correlazione ufficiale ISO/IEC

tra le tre norme

Contenuti

ISO/IEC 20000-1:11 4. Requisiti generali del sistema di gestione del servizio

4.1 Responsabilità della direzione

4.2 Governo dei processi condotti da terzi

4.3. Gestione della documentazione

4.4 Gestione delle risorse

4.5 Stabilire e migliorare il SGS

5. Progettazione e transizione di servizi nuovi o modificati 5.1 Generalità

5.2 Pianificazione dei servizi nuovi o modificati

5.3 Progettazione e sviluppo di servizi nuovi o modificati

5.4 Transizione di servizi nuovi o modificati

6. Processi per l’erogazione del servizio 6.1 Gestione dei livelli di servizio

6.2 Reporting del servizio

6.3 Gestione della continuità e disponibilità del servizio

6.4 Previsione e consuntivazione economica dei servizi

6.5 Gestione della capacità

6.6 Gestione della sicurezza delle informazioni

7. Processi di Relazione 7.1 Gestione della relazione con il business

7.2 Gestione dei Fornitori

8. Processi di Risoluzione 8.1 Gestione dell’Incidente e della Richiesta di Servizio

8.2 Gestione del Problema

9. Processi di controllo 9.1 Gestione della configurazione

9.2 Gestione del cambiamento

9.3 Gestione del rilascio e messa in funzione

ISO/IEC 27001:05 4. Sistema di gestione per la sicurezza delle informazioni

4.1 Requisiti generali

4.2 Stabilire e gestire il SGSI

4.3 Requisiti relativi alla documentazione

5. Responsabilità della direzione 5.1 Impegno della direzione

5.2 Gestione delle risorse

6. Audit interni del SGSI

7. Riesame del SGSI da parte della direzione 7.1 Generalità

7.2 Elementi in ingresso per il riesame

7.3 Elementi in uscita dal riesame

8. Miglioramento del SGSI 8.1 Miglioramento continuo

8.2 Azioni correttive

8.3 Azioni preventive


Focal points

ISO/IEC 20000-1:11

• Portfolio servizi

• Service Level Agreement

• End-to-end

• …

ISO/IEC 27001:05

• Risk management

• Incident handling

• Efficacia contromisure

• …


La famiglia ISO/IEC 20000

20000-1:2011 ITSMS requirements

20000-3:2009 scope definition and applicability

20000-4:2010 process reference model

20000-5:2010 Exemplar implementation

plan

20000-2:2012 Guidance to ITSMS


In via di revisione

La famiglia ISO/IEC 27000

27001:2005 ISMS requirements

27002:2005 Code of practice

27003:2010 Implementation

guidance

27004:2009 Measurements

27005:2011 Risk Management

27006:2011 Requirements for

audit & cert. bodies

27007:2011 ISMS auditing

27010 Inter-sector

communications

27011:2008 Telecommunications

27013 ISO/IEC 20000-1 and

ISO/IEC 27001

27014 Security governance

27015 Financial and

insurance

27016 ISM Economics

27000:2009 Vocabulary

27008:2011 Audit on ISMS controls

27017 Cloud computing

27031:2011 Incident management

27035:2011 Business continuity

27032 Cyber Security

27033:2009 Network Security

27034:2011 Application Security

27036 Security for suppliers

27037 Digital evidences

2704x Investigation

270xx …………….


Le relazioni tra gli standard


Fonte ISO/IEC FDIS 27000:12

Considerazioni preliminari

• L’information security è uno dei processi della ISO/IEC 20000-1 (req. 6.6 – gestione della sicurezza delle informazioni)

• Esistono da almeno 5 anni (anche in Italia) alcune aziende con un sistema integrato: Qualità, Sicurezza delle Informazioni, Gestione dei Servizi IT ecc.

• La ISO/IEC 27001 subirà una significativa revisione


Il confronto


27001:2005 ISMS requirements

20000-1:2011 ITSMS requirements

Aspetti specifici • Classification of

information • Information asset

management

Aspetti specifici • Budgeting and

accounting for services • Business relationship

management • Design and transition of

new and changed services

• Service level management

Parziale condivisione • Capacity management • Change management • Configuration management • Incident & service management • Problem Management • Release and deployment

management • Resource management • Risk management • Roles and responsibilities • Information Security

management • Service continuity and availability

management • Supplier management

Parti identiche Continual improvement, PDCA, Legal and regulatory compliance, training

and awareness, management review, documentation management

Vantaggi del sistema integrato

• Servizi IT sicuri ed efficaci • Costo inferiore nella realizzazione (se le strategie

dell’organizzazione includono sia qualità del servizio sia sicurezza delle informazioni)

• Riduzione del tempo di implementazione complessivo per effetto dei processi comuni ai due standard

• Eliminazione delle duplicazioni e delle ridondanze • Maggior comprensione da parte del personale

disponendo di due punti di vista (gestione dei servizi e sicurezza delle informazioni)

• La complementarietà favorisce la certificazione in entrambi gli schemi


Possibili scenari

• Un sistema basato su un solo standard

• Un sistema integrato basato su entrambi gli standard

• Due sistemi ciascuno basato su uno standard

Incluse le considerazioni sullo “scope” del sistema integrato


Le potenziali criticità

• Asset (CI / informazioni)

• Design and transition of services (processi / controlli)

• Risk assessment and management (servizi / organizzazione)

• Risk acceptance levels (terze parti & cliente)

• Incident management (servizi / informazioni)

• Problem management (analisi cause / controlli)

• Change management (processo / controlli)


Miglioramenti indotti

• PDCA

• Service level management

• Management committment

• Capacity management

• Management of third party risk

• Continuity and availability

• Supplier management

• Configuration management

• Release and deployment management

• Budgeting and accounting


Audit

• Le recenti modifiche al sistema normativo degli audit hanno ridisegnato le modalità e gli standard applicabili ai Sistemi di Gestione

• In particolare la famiglia della ISO/IEC 27001 ha beneficiato della revisione/introduzione di alcuni standard dedicati al tema degli audit

• È auspicabile un estensione/applicazione anche alla ISO/IEC 20000-1


Audit e standard di riferimento

Prima parte

• ISO 19011:11 (UNI EN ISO 19011:12)

• ISO/IEC 27007:11

• ISO/IEC TR 2008:11


Seconda parte

• ISO 19011:11 (UNI EN ISO 19011:12)

• ISO/IEC 27007:11

• ISO/IEC TR 2008:11

Terza parte

• ISO/IEC 27006:11

• ISO/IEC 17021:11

• ISO 19011:11 (UNI EN ISO 19011:12)

• ISO/IEC 27006 – specifica i requisiti e fornisce una guida per gli organismi che forniscono audit e certificazione dei SGSI, in aggiunta ai requisiti contenuti all'interno della ISO/IEC 17021 e della ISO/IEC 27001

• ISO/IEC 27007 – declina la ISO 19011:11 per l’applicazione nei SGSI

• ISO/IEC TR 27008 – definisce metodi ed attività per una efficace verifica delle contromisure (o controlli) attuate a fronte della valutazione dei rischi

Qualche dato in materia di certificazioni

• Certificazioni accreditate e non – Per la ISO/IEC 20000 esiste un canale “parallelo” costituito

da APM Group (UK) sia per gli auditor sia per le organizzazioni

• Certificati vs siti certificati – La correlazione dei Sistemi di Gestione ai servizi/processi

legati a siti specifici produce spesso certificazioni multi site: • Nella ISO/IEC 27001 determina differenze a livello di valutazione

dei rischi e quindi di aspetti funzionali ed operativi della sicurezza a livello di sito.

• Nella ISO/IEC 20000-1 determina una certificazione correlata al servizio erogato da una determinata sede verso specifici clienti.


Certificazione ed accreditamento per la ISO/IEC 20000


La “visione” APM Group

Qualche dato in materia di certificazioni (APMG)


Qualche dato in materia di certificazioni (ACCREDIA)


Qualche riflessione

• La situazione tra i due schemi di accreditamento sulla ISO/IEC 20000-1 appare abbastanza equilibrata in Italia

• Diverso se valutiamo la situazione mondiale:

– APM Group (ISO/IEC 20000)

• Organizzazioni certificate: 660

• Organismi registrati: 50


Qualche riflessione

• Diverso se valutiamo la situazione mondiale: – IAF/EA (ISO/IEC 20000 e ISO/IEC 27001)

• Organizzazioni certificate: – ISO/IEC 20000: stima approssimativa > 1.000 – ISO/IEC 27001: stima approssimativa > 7.000

• Organismi accreditati (dati IAF laddove verificabili): – ISO/IEC 20000: 35

» Australia e Nuova Zelanda (1), Repubblica Ceca (12), Germania (1), Italia (1), Olanda (2), UK (4), USA (4), Giappone (10)

– ISO/IEC 27001: 137 » Australia e Nuova Zelanda (8), Colombia (4), Repubblica Ceca

(22), Finlandia (1), Germania (13), Grecia (4), India (1), Italia (10), Giappone (28), Malesia (1), Mauritius (1), Olanda (11), Norvegia (3), Romania (7), Svezia (2), UK (20), USA (4)


Qualche riflessione

• Rispetto al numero di certificati ISO 9001 nel mondo ci troviamo di fronte ad un numero veramente esiguo di certificazioni

• Motivi: – Costi e tempi maggiori delle altre certificazioni – Settoriali – Culturalmente più complesse – Pluri dimensionali (non solo processi) – Legate a leggi e regolamenti – Meno percepite (come in genere tutte le tematiche IT) – ….


Certificazione degli auditor ISO/IEC 20000


“circuito” non ISO/IEC 17021 e/o ISO 19011 “circuito” ISO/IEC 17021 e/o ISO 19011

• CEPAS (I) - 5 • SICEV (I) - ?

• RICEC (CH) - 1

• IRCA (UK) - 1 LA in Italia

• …

La certificazione degli auditor ISO/IEC 27001


“circuito” non ISO/IEC 17021 e/o ISO 19011 “circuito” ISO/IEC 17021 e/o ISO 19011

• CEPAS (I) – 8 • SICEV (I) - 8 • RICEC (CH) - 1

• KHC (I) – 5 • IRCA (UK) – 2 LA in Italia

• …

• dati non disponibili

accreditati

information security (iso/iec 27001) e it service ... · per gli schemi iso 9001, iso/iec 27001 e...

Documents