Blog

IRM360 B.V. Marcel Lavalette 31 marzo 2022

Nuova ISO 27002:2022

Cosa significa questo per il CyberManager e la ISO 27001?

Da febbraio è stata sviluppata una nuova ISO/IEC 27002:2022. I nostri clienti nei Paesi Bassi ci pongono diverse domande sulla nuova ISO. In questo blog discutiamo di:

  1. Nuovo standard ISO/IEC 27002:2022
  2. ISO 27001 non è uguale a ISO 27002
  3. Audit e certificato ISO 27001, allegato A e SOA
  4. Come si differenzia la nuova ISO 27002:2022 dalla precedente?
  5. Cosa c'entra la nuova ISO 27002 con la mia certificazione ISO 27001?
  6. Ci saranno cambiamenti in CyberManager in termini di contenuti e funzionalità?

1) Nuovo standard ISO/IEC 27002:2022

La norma ISO/IEC 27002:2022 è il successore della norma ISO/IEC 27002:2013. C'è una certa confusione al riguardo, perché nei Paesi Bassi è disponibile come NEN-EN-ISO/IEC 27002:2017. Qual è il motivo di questa differenza di denominazione e di anno?

L'Organizzazione internazionale per la standardizzazione (ISO) elabora gli standard. L'organizzazione è una partnership di organizzazioni nazionali di standardizzazione in 163 Paesi, come il NEN nei Paesi Bassi. A livello internazionale, l'ISO collabora con l'IEC, la Commissione Elettrotecnica Internazionale, motivo per cui alcuni standard hanno la denominazione ISO/IEC. NEN è l'istituto olandese di standardizzazione, responsabile della registrazione degli standard. La designazione EN sta per Organizzazione europea di standardizzazione e si applica a tutta l'Europa. Gli istituti di standardizzazione nazionali, come il NEN, pubblicano le norme nei rispettivi Paesi. Uno standard NEN-EN ISO/IEC significa quindi che si tratta di uno standard internazionale che è stato accettato anche in Europa e nei Paesi Bassi dal NEN. Spesso è presente un'aggiunta come NL per indicare che è disponibile anche in lingua olandese.

Poiché può trascorrere del tempo tra la traduzione e/o l'armonizzazione di uno standard internazionale con la legislazione locale, può esserci una differenza di contenuto (minima) e di pubblicazione. In linea di principio, però, lo standard "nazionale" NEN-EN-ISO/IEC 27002:2017 è identico allo standard ISO/IEC 27002:2013.

 

2) La ISO 27001 non è la stessa cosa della ISO 27002.

ISO 27001 è uno standard riconosciuto a livello mondiale nel campo della sicurezza delle informazioni. Il cosiddetto Sistema di Gestione della Sicurezza delle Informazioni (SGSI) descrive l'implementazione del processo di controllo dei rischi per la sicurezza delle informazioni. Attualmente è possibile certificarsi solo in base allo standard ISO 27001.
Le versioni attuali sono:

  • ISO/IEC 27001:2013 (internazionale) e di fatto ancora lo standard attuale
  • NEN-EN-ISO/IEC 27001:2017

3) audit e certificato ISO 27001, allegato A e SOA

Un audit ISO 27001 si concentra principalmente sulla garanzia del processo, SGSI, ma durante l'audit vengono verificate anche le misure di controllo descritte nell'Allegato A del documento standard ISO 27001. L'Allegato A è un elenco di misure di controllo che sono tratte dalla ISO 27002, compresa la numerazione, i capitoli e le sezioni, ma non sono le stesse.  

La norma ISO 27002 va oltre questo elenco di misure di controllo e prevede per ogni misura di controllo un'analisi più approfondita sotto forma di "Best Practices" (eventualmente tecniche da applicare, metodi di lavoro, ecc.) per dare sostanza alla misura di controllo.

Siete liberi di applicare altre misure di controllo (vostre o di altri standard, come CIS, NIST-CSF, ecc.), a condizione che siate in grado di dimostrare il rispetto delle misure di controllo di cui all'Allegato A.

Per ogni misura di controllo, è necessario indicare se è applicabile o meno e se è stata implementata o meno. Questo viene dichiarato nella cosiddetta Dichiarazione di applicabilità (SOA). Questa SOA contiene il riferimento alla versione utilizzata durante l'audit ISO 27001, ad esempio EN-EN-ISO/IEC 27001:2017 +A11:2020.

Ehi, un'altra indicazione "+A11:2020"? Questo "+A11" si riferisce alle modifiche apportate dal NEN e il ":2020" all'anno in cui è stata apportata la modifica. Il NEN utilizza una propria numerazione per lo stesso standard nei Paesi Bassi, il che può creare confusione. Anche altri Paesi potrebbero utilizzare una propria numerazione diversa.
Spero che abbiate ancora capito......?

 

4) Come si differenzia la nuova ISO 27002:2022 dalla precedente?

In questo blog non ci soffermeremo su tutti i cambiamenti, poiché ne sappiamo già molto, ma spiegheremo soprattutto i problemi che i nostri utenti dovranno affrontare. 

Nella vecchia ISO/IEC 27002:2013, ogni misura di controllo (Best Practice) consisteva in una:

  • Descrizione del controllo
  • Guida all'implementazione (Best Practice)

La nuova ISO/IEC 27002:2022 non parla più di "best practice" ma solo di controlli, che ora consistono in :

  • Controllo (misura di controllo)
  • Scopo
  • Guida

Inoltre, per ogni controllo viene visualizzata una tabella di attributi (vedi esempio sotto) che può aiutare a selezionare (filtrare) le misure di controllo su vari temi.

Tre tipi di controllo da scegliere in termini di quando e come agire in caso di incidente di sicurezza delle informazioni.

Prevenzione; il controllo deve impedire che si verifichi un incidente di sicurezza delle informazioni.,

Detectief; il controllo avviene quando si verifica un incidente di sicurezza delle informazioni,

Correzione; il controllo avviene dopo che si è verificato un incidente di sicurezza delle informazioni.

 

Tre proprietà della sicurezza delle informazioni: selezionare le misure di controllo dal punto di vista delle caratteristiche delle informazioni come: Riservatezza, Integrità e/o Disponibilità.

I concetti di cybersecurity sono un attributo per selezionare le misure di controllo dal punto di vista dei concetti di cybersecurity definiti nel framework di cybersecurity ISO/IEC TS 27110 e nel modello NIST CSF: Identificare, Proteggere, Rilevare, Rispondere e Recuperare.

Le capacità operative sono un attributo per selezionare le misure di gestione dal punto di vista del proprietario o del gestore di una determinata area. I valori dell'attributo consistono in: Governance, Asset Management, Information Security, HR, Physical Security, System and Network Security, Application Security, Secure Configuration, Identity & Access Management, Vulnerability & Threat Management, Continuity, Vendor Management, Compliance, Information Security Incident Management e Assurance.

I domini di sicurezza sono un attributo per selezionare le misure di gestione dal punto di vista di quattro domini di sicurezza delle informazioni: Governance ed Ecosistema, Protezione, Difesa e Resilienza.

Tutti gli attributi descritti sopra dalla ISO 27002 sono generici e le organizzazioni possono scegliere di ignorare uno o più attributi o di crearne di propri.

5) Cosa c'entra la nuova ISO 27002 con la mia certificazione ISO 27001?

Al momento non c'è nulla; non esiste ancora una nuova norma ISO 27001 e quindi non esiste un nuovo Allegato A. Naturalmente ce ne sarà uno e allora gli allegati A saranno in linea tra loro in termini di formato e di enumerazione della descrizione delle misure di controllo. L'organizzazione NEN si aspetta un allegato A aggiornato per la ISO/IEC 27001:2013 esistente a maggio, forse con una denominazione come +A1:2022? In fondo, si tratterà del primo "emendamento" al nuovo allegato del 2022. Molti aspetteranno la modifica olandese della NEN-EN ISO/IEC 27001:2017 +A1:2022. Questa è prevista per la fine del 2022.

Se avete già un certificato, non dovete fare nulla immediatamente. È previsto un periodo di transizione di 2 anni applicabile non appena sarà disponibile la nuova norma ISO27001 con l'Allegato A aggiornato. Se state lavorando a un progetto di certificazione, dipende dal momento in cui effettuerete l'audit se potete concentrarvi al meglio sulla nuova ISO 27001 e sull'Allegato A. Discutetene con il vostro organismo di certificazione o con il vostro partner di implementazione, ad esempio!

 6) Cambierà qualcosa in CyberManager in termini di contenuti e funzionalità?

La struttura del nuovo Allegato A molto probabilmente non sarà molto diversa da quella dell'attuale Allegato A. Quindi anche un elenco delle misure di gestione ma:

  • Il formato si baserà sul nuovo allegato A basato sulla norma ISO 27002:2022.
    1. Vecchio: 14 capitoli e 114 misure di controllo
    2. Novità: 4 capitoli (Umana, Tecnica, Fisica e Organizzazione)
  • 93 misure di gestione invece di 114, quindi meno lavoro? Ce ne sono 11 nuove, ma sono incluse nel totale di 93. Ma come? Nella nuova 27002, 114 misure di controllo che già appartenevano molto sono state accorpate, alcune sono rimaste invariate e una misura è stata scorporata per arrivare a 82 misure. L'elenco completo delle differenze tra la ISO 27002:2013 e la ISO 27002:2022 si trova nell'Allegato B della ISO 27002:2022.

Sarà familiare agli utenti di CyberManager che hanno utilizzato il set di misure di CyberManager. Invece dei 4 nuovi capitoli e delle 82 misure di gestione accorpate, il set di misure di CyberManager era già basato su 7 paragrafi e 71 misure accorpate.

Abbiamo quindi compreso la nuova ISO 27002:2022, ma siamo andati solo un po' oltre. A proposito, questo set di misure CyberManager può ancora essere utilizzato nella nuova configurazione.

Non appena il nuovo Allegato A sarà in vigore, verrà elaborato quanto segue:

6.1) Aggiunta della ISO/IEC ISO27001:2017 +A1:2022 se si dispone di una licenza.

6.2) Forniamo una diversa classificazione delle misure

Sostituire le misure nel capitolo corretto, alcune fusioni e aggiungere/integrare le nuove 11 misure.

Tutti i collegamenti esistenti con i controlli di altri standard come ISAE 3402, SOC 2, ecc. continueranno ad esistere. Di fatto, non cambia nulla rispetto alle misure esistenti e a quelle fuse.  

Nuovi modelli per le nuove misure: Nella nuova ISO 27002 sono state aggiunte nuove misure di controllo, che devono quindi essere aggiunte o integrate nel set di misure:

- Informazioni sulle minacce (cl. 5.7)

- Sicurezza delle informazioni per l'utilizzo dei servizi cloud (cl. 5.23)

- Prontezza delle TIC per la continuità operativa (cl. 5.30)

- Monitoraggio della sicurezza fisica (cl. 7.4) Gestione della configurazione (cl. 8.9)  

- Cancellazione di informazioni (cl. 8.10) 

- Mascheramento dei dati (cl. 8.11)

- Prevenzione della fuga di dati (cl. 8.12) 

- Attività di monitoraggio (cl. 8.16) 

- Filtro web (cl. 8.23) 

- Codifica sicura (cl. 8.28)

È necessario implementare queste nuove misure di controllo indipendentemente dal fatto che si utilizzi la "vecchia" ISO 27002:2017, il set di misure CyberManager o un altro set simile alla vecchia ISO 27002.

Una fregatura?

La norma ISO 27002:2022 include una tabella di riferimento per far seguire le "vecchie" misure di controllo a quelle nuove. Il testo di alcune misure di controllo è stato modificato, in parte a causa della fusione (in questo caso non ci sono grandi cambiamenti per quanto riguarda il contenuto), ma il testo può anche essere modificato. Nel caso di alcune misure di controllo per le quali le migliori pratiche sono state inserite come linee guida per l'implementazione, è stato modificato anche il contenuto della misura di controllo e, di conseguenza, anche l'Allegato A.

Naturalmente ve lo faremo notare a tempo debito, ma dovrete verificare se le vostre misure attuali sono ancora adatte.

6.3) E in termini di funzionalità?

Il processo di selezione delle misure per la generazione delle proposte di misura (baseline) in CyberManager è già ampiamente compatibile con l'uso di questi attributi. 

Il sistema offre già la possibilità di lavorare con selezioni (attributi) come i tipi di controllo, ma non è ancora stato applicato un tipo rilevabile.

Le funzioni di sicurezza informatica sono già state implementate.

I concetti di sicurezza informatica e i domini di sicurezza sono già applicati come attributi del livello di sicurezza per il (livelli BBN1, BBN2 e BBN3) e i concetti di sicurezza informatica per il controllo CIS e il CSF NIST.

L'attributo "Capacità operative" in CyberManager è parzialmente coperto dai tipi di processo/organizzazione e/o risorsa.

La nuova ISO 27002:2022 non apporta modifiche sostanziali, ma, ove necessario, la integreremo in modo che l'allineamento con la ISO27002:2020 sia il più ottimale possibile per i clienti che desiderano utilizzarla.

 

Per comodità di questo blog, alcune questioni sono state tradotte dalla norma ISO/IEC 27002:2022.
ma vi consigliamo di attendere la traduzione ufficiale in olandese dei nuovi standard.
Fonti:
Informazioni rese disponibili dal NEN durante il webinar di febbraio,
lo standard ISO/IEC 27002:2022, il sito web NEN, il sito web ISO.org e il nostro organismo di certificazione. 

Domande?

Immaginiamo che possiate avere delle domande o che vogliate coordinarvi con noi in anticipo per quanto riguarda la ISO 27002:2022, e siamo naturalmente felici di aiutarvi.

Volete saperne di più sulla ISO 27001 o su altre certificazioni che potrebbero essere di interesse per la vostra organizzazione e su come CyberMager può aiutarvi?

Saremo lieti di metterci in contatto per opportunità e informazioni!

Inviare a: sales@irm360.nl o compilare il modulo di contatto qui o contattare il proprio partner