La serie ISO/IEC 27000 "Information Security Management Systems (ISMS) Family of Standards"[1] (anche nota, in Italia, come famiglia di norme SGSI, “Sistemi di Gestione per la Sicurezza delle Informazioni”[2]) è uno standard di sicurezza informatica redatto dalla ISO. Raggruppa un insieme di norme internazionali che si prefiggono di proteggere le informazioni che vengono mantenute ed elaborate da un’organizzazione. Attraverso questa famiglia di norme, le organizzazioni possono sviluppare ed implementare un proprio sistema per la gestione della sicurezza informatica per le informazioni finanziarie, la proprietà intellettuale ed i dati degli addetti, di clienti o di terzi. Le informazioni vengono protette da possibili attacchi informatici, errori umani, calamità naturali o da qualsiasi altra vulnerabilità che si può presentare durante l’utilizzo di un sistema informatico.
La serie ISO/IEC 27000 fornisce un modello, definito da esperti di settore, da seguire nella creazione e mantenimento di un sistema di gestione.
Le norme delle serie:
- definiscono i requisiti per creare un SGSI e per coloro che certificano questi sistemi;
- forniscono una guida per progettare, attuare, mantenere e migliorare un SGSI;
- esprimono le linee guida nei vari ambiti di utilizzo di un SGSI;
- valutano la conformità di un SGSI.
La serie ISO/IEC 27000 è applicabile a tutte le organizzazioni di qualsiasi tipo e dimensione, esempio sono società commerciali, governative e organizzazioni non a scopo di lucro. Tutte le organizzazioni sono incoraggiate a valutare i loro rischi informativi, quindi a trattarli in base alle loro esigenze, utilizzando il manuale e i suggerimenti del caso. Data la natura dinamica del rischio e della sicurezza delle informazioni, il SGSI incorpora un feedback continuo e attività di miglioramento per rispondere ai cambiamenti delle minacce, delle vulnerabilità o degli impatti degli incidenti.
Enti che la pubblicano
[modifica | modifica wikitesto]Le norme della serie ISO/IEC 27000 vengono pubblicate congiuntamente da ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) che insieme formano un sistema specializzato per la standardizzazione a livello mondiale. In particolare le norme della serie ISO/IEC 27000 vengono redatte dal Sottocomitato 27 (SC27, Tecniche di Sicurezza IT) del Comitato Tecnico Congiunto (JCT1, Tecnologia dell’Informazione) di ISO/IEC, sigla completa ISO/IEC STC1 SC27.
Alle attività del SC27 partecipano 50 nazioni con diritto di voto e 19 nazioni come osservatori, per un totale di 69 paesi a cui si aggiungono 35 enti, soggetti e progetti internazionali attraverso liaison. L'Italia ha diritto di voto ed è rappresentata da UNINFO, ente federato di UNI (Ente Nazionale Italiano di Unificazione o anche chiamato Ente Italiano di Normazione) per l'intero settore delle tecnologie informatiche. All'interno di UNINFO è strutturato un SC27 nazionale per garantire adeguata partecipazione alle attività internazionali.
Le norme
[modifica | modifica wikitesto]La famiglia di norme SGSI
[modifica | modifica wikitesto]È costituita da norme interdipendenti tra loro (pubblicati o in fase di sviluppo) e include una serie di linee guida. La famiglia viene suddivisa in 4 macroaree:
- norme che descrivono una panoramica e la terminologia:
- ISO/IEC 27000 Sistemi di gestione della sicurezza delle informazioni - Panoramica e vocabolario.
- norme che specificano i requisiti:
- ISO/IEC 27001, Sistemi di gestione per la sicurezza delle informazioni – Requisiti;
- ISO/IEC 27006, Requisiti per gli organismi che forniscono audit e certificazione dei SGSI;
- ISO/IEC 27009, Applicazione specifica per settore di ISO / IEC 27001 – Requisiti.
- norme che descrivono le linee guida generali:
- ISO/IEC 27002, Codice di condotta per i controlli di sicurezza delle informazioni;
- ISO/IEC 27003, Guida all'implementazione dei SGSI;
- ISO/IEC 27004, Gestione della sicurezza delle informazioni – Misurazione;
- ISO/IEC 27005, Gestione dei rischi per la sicurezza delle informazioni;
- ISO/IEC 27007, Linee guida per la verifica dei SGSI;
- ISO/IEC TR 27008, Linee guida per i revisori dei controlli di sicurezza delle informazioni;
- ISO/IEC 27013, Guida per l'implementazione integrata di ISO/IEC 27001 e ISO/IEC 20000-1;
- ISO/IEC 27014, Governance della sicurezza delle informazioni;
- ISO/IEC TR 27016, Gestione della sicurezza delle informazioni - Economia organizzativa.
- norme che descrivono le linee guida negli specifici ambiti/settori:
- ISO/IEC 27010, Gestione della sicurezza delle informazioni per le comunicazioni intersettoriali e inter-organizzative;
- ISO/IEC 27011, Linee guida sulla gestione della sicurezza delle informazioni per le organizzazioni di telecomunicazioni basate su ISO/IEC 27002;
- ISO/IEC TR 27015, Linee guida per la gestione della sicurezza delle informazioni per i servizi finanziari;
- ISO/IEC 27017, Codice di condotta per i controlli di sicurezza delle informazioni basati su ISO/IEC 27002 per i servizi in cloud;
- ISO/IEC 27018, Codice di condotta per la protezione delle informazioni di identificazione personale (PII) in cloud pubblici che agiscono come processori PII;
- ISO/IEC 27019, Linee guida per la gestione della sicurezza delle informazioni basate su ISO/IEC 27002 per i sistemi di controllo del processo, specifici per il settore dei servizi energetici.
Altre norme pubblicate
[modifica | modifica wikitesto]- ISO/IEC 27031 - Linee guida per la disponibilità delle tecnologie dell'informazione e della comunicazione per la continuità aziendale
- ISO/IEC 27032 - Linea guida per la sicurezza informatica
- ISO/IEC 27033-1 - Sicurezza della rete - Parte 1: Panoramica e concetti
- ISO/IEC 27033-2 - Sicurezza di rete - Parte 2: Linee guida per la progettazione e l'implementazione della sicurezza di rete
- ISO/IEC 27033-3 - Sicurezza di rete - Parte 3: Scenari di rete di riferimento - Minacce, tecniche di progettazione e problemi di controllo
- ISO/IEC 27033-4 - Sicurezza di rete - Parte 4: Protezione delle comunicazioni tra reti tramite gateway di sicurezza
- ISO/IEC 27033-5 - Sicurezza di rete - Parte 5: Protezione delle comunicazioni su reti che utilizzano reti private virtuali (VPN)
- ISO/IEC 27033-6 - Sicurezza di rete - Parte 6: Protezione dell'accesso alla rete IP wireless
- ISO/IEC 27034-1 - Sicurezza delle applicazioni - Parte 1: Linee guida per la sicurezza delle applicazioni
- ISO/IEC 27034-2 - Sicurezza delle applicazioni - Parte 2: Quadro normativo dell'organizzazione
- ISO/IEC 27034-6 - Sicurezza delle applicazioni - Parte 6: Casi di studio
- ISO/IEC 27035-1 - Gestione degli incidenti di sicurezza delle informazioni - Parte 1: Principi della gestione degli incidenti
- ISO/IEC 27035-2 - Gestione degli incidenti per la sicurezza delle informazioni - Parte 2: Linee guida per pianificare e preparare la risposta agli incidenti
- ISO/IEC 27036-1 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 1: Panoramica e concetti
- ISO/IEC 27036-2 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 2: Requisiti
- ISO/IEC 27036-3 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 3: Linee guida per la sicurezza della catena di approvvigionamento delle tecnologie dell'informazione e della comunicazione
- ISO/IEC 27036-4 - Sicurezza delle informazioni per le relazioni con i fornitori - Parte 4: Linee guida per la sicurezza dei servizi cloud
- ISO/IEC 27037 - Linee guida per l'identificazione, la raccolta, l'acquisizione e la conservazione delle prove digitali
- ISO/IEC 27038 - Redazione del documento
- ISO/IEC 27039 - Prevenzione delle intrusioni
- ISO/IEC 27040 - Sicurezza dello storage
- ISO/IEC 27041 - Garanzia di indagine
- ISO/IEC 27042 - Analisi dell'evidenza digitale
- ISO/IEC 27043 - Indagine sugli incidenti
- ISO/IEC 27050-1 - Scoperta elettronica - Parte 1: Panoramica e concetti
- ISO/IEC 27701 - Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO 27799 - Gestione della sicurezza delle informazioni in materia di salute utilizzando ISO/IEC 27002 - guida le organizzazioni del settore sanitario su come proteggere le informazioni sulla salute personale utilizzando ISO/IEC 27002
-
Schematizzazione norme all'interno della serie ISO/IEC 27000
Note
[modifica | modifica wikitesto]- ^ ISO/IEC 27000:2018 - Information technology - Security techniques - Information security management systems - Overview and vocabulary, su iso.org, ISO/IEC.
- ^ Una terminologia comune per la sicurezza delle informazioni, su uni.com, Ente Nazionale Italiano di Unificazione (UNI). URL consultato il 1º maggio 2019.
Altri progetti
[modifica | modifica wikitesto]- Wikimedia Commons contiene immagini o altri file su ISO/IEC 2700-series