iso 27036 - information technology - information...
TRANSCRIPT
THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI
UK POLAND CROATIA TURKEY
ISO 27036 Information technology — Security techniques
— Information security for supplier relationships
Ing. Bruno Bernardi Padova 29/04/2015
e vediamo cosa ci dice la ISO 27001:2013 …
La ISO 27001:2013 prevede un set di controlli rela*vamente a due obie@vi di sicurezza.
Il primo obie@vo (A.15.1) è la protezione degli asset dell’azienda accessibili da parte dei fornitori, indipendentemente dalla collocazione dell’asset.
Le poli*che di sicurezza e le modalità di sicurezza richieste devono trovare applicazione all’interno degli accordi contraNuali, che devono essere riferibili all’intera filiera di fornitura. Importante notare, ai fini del controllo A.15.1.3 che devono essere sta* defini* i rischi associa* ai servizi e ai prodo@ della filiera. E quindi sarebbe bene che tali rischi fossero chiari e condivisi da entrambe le par6, acquirente del servizio o prodoNo e fornitore / sub fornitore.
1
Un altro aspeNo importante, rafforzato da A.15.1.3 è che si dovrebbe avere la garanzia di oNenere una rintracciabilità dei componen6 cri6ci lungo tu9a la catena di fornitura. A ben vedere quindi, il controllo A.15.1.3 estende l’obie@vo che in una prima leNura sembra indirizzato alla protezione degli asset dell’acquirente del servizio o prodoNo accessibili al fornitore, andando a coinvolgere non solo i rischi associa* all’accesso agli asset (vedi A.15.1.1) ma anche quelli associa* al servizio o prodoNo fornito. Quali siano ques* rischi e quali i requisi* di sicurezza dovrà essere stabilito nell’analisi dei rischi.
… vediamo cosa ci dice la ISO 27001:2013 …
Il secondo obie@vo (A.15.2) è quello di mantenere i livello di sicurezza concordato. Da qui la possibilità (il dovere per ISO 27001) da parte dell’acquirente, di controllare e riesaminare (termine che prevede l’esistenza di indicatori) i servizi eroga*.
… vediamo cosa ci dice la ISO 27001:2013 …
2
Il controllo A.15.2.2 (Managing changes to supplier services) ben si collega con A.15.1.2 completandolo. Richiede di poter ges*re le cri*cità collegate ad una modifica della fornitura, sia che questa modifica sia richiesta dall’acquirente che effeNuata dal fornitore.
e quindi tornando all’esempio iniziale …
Veniamo ora alla formulazione degli ar*coli da inserire nell’accordo con il fornitore. Il primo in esempio era: 1) Nel caso di necessità da parte del Fornitore di a@vare subappal* o subforniture rela*vi al servizio erogato a … , il Fornitore stesso informerà preven*vamente …. stessa a riguardo. Il Fornitore si impegna inoltre a garan*re che il subappaltatore o il subfornitore rispe@ nell’erogazione del servizio gli stessi requisi* di sicurezza delle informazioni applica* dal Fornitore stesso e che sia possibile o9enere la rintracciabilità dei componen6 cri6ci lungo tu9a la catena di fornitura. Appare chiaro che a fronte di questo ar6colo, dovrebbero essere no6 e defini6 i requisi6 di sicurezza e la loro cri6cità.
Il secondo in esempio era: 2) Il Fornitore si impegna a consen*re a ... il monitoraggio delle performance del servizio erogato e l’esecuzione di verifiche ispe@ve di parte seconda da parte di ... stessa limitatamente al servizio fornito. È incluso nel canone l’assistenza da parte del personale del Fornitore per una verifica ispe@va all’anno. Il Fornitore si impegna altresì a dare preven6va comunicazione di modifiche alla fornitura del servizio erogato, al fine di perme9ere a ... di valutare e ges6re eventuali cri6cità derivan6 dal cambiamento. In questo modo diamo più risposta al controllo A.15.2.2
e quindi tornando all’esempio iniziale …
Informa*on security for supplier rela*onships
Spesso, sempre più spesso, con una firma noi diamo le chiavi di casa a persone che in verità non possiamo conoscere.
Possiamo semplicemente fidarci? E loro a chi daranno le nostre chiavi di casa?
ICT Supply Chain Risk Management (SCRM)
La problema*ca emerge in un workshop del NIST nell’oNobre del 2012
L’ICT supply chain diventa una vulnerabilità ad elevato rischio di sfruNamento
Aumenta la richiesta sia degli Sta* che delle aziende per la ges*one del rischio
Il rischio dalla filiera delle tecnologie dell'informazione e della comunicazione è ormai ampiamente riconosciuto.
È un rischio crescente proporzionalmente con la velocità e la complessità con cui si evolve l’ICT supply chain (globalizzazione,
distribuzione, composizione)
ICT Supply Chain Risk Management (SCRM)
In Europa, già nel 2011 si trova presente la problema*ca e vi è un primo esempio significa*vo Parlando di ICT Security, tra le norme della ISO 27001 si richiama la ISO 27036, allora in draf.
ICT Supply Chain Risk Management (SCRM)
[ICT Supply chain Risk management]
ISO 28000 Specification for
Security management systems for the supply
chain
ISO/IEC 27036 Information security
for supplier relationships
1 27036-‐1_2014 Overview and concepts
2 27036-‐2_2014 Requirements
3 27036-‐3_2013 Guidelines for informa*on and communica*on technology supply chain security
4 Guidelines for security of Cloud services
ISO/IEC 27036 Informa6on security for supplier rela6onships
ICT Supply Chain (Risk) Management
ISO/IEC 27036-‐1:2014
Focus: fondamentale, per raggiungere gli obie@vi di efficacia insi* nella fornitura, che sia il fornitore che l’acquirente condividano e affron*no adeguatamente i rischi per la sicurezza ICT
ISO/IEC 27036 1 Overview and concepts
Informa*on security for supplier rela*onships
La norma fornisce una framework opera*vo u*le a supportare le organizzazioni nel garan*re i processi di ges*one della sicurezza delle loro informazioni e dei loro sistemi informa*vi nella relazione con i fornitori. La norma fornisce introduce anche i conce@ descri@ nelle altre par* della norma ISO / IEC 27036.
ISO/IEC 27036-‐1
La parte 1 è molto interessante perché definisce il problema e fissa i conce@ chiave, dis*nguendo il *po di rapporto: 5.2 Tipi di rappor6 con i fornitori 5.2.1 Relazioni con i fornitori per i prodo^ 5.2.2 Relazioni con i fornitori di servizi
Questo ha una par6colare valenza per l’analisi dei rischi connessi.
Fornitori di PRODOTTI: • Vulnerabilità nei prodo^ • Qualità dei prodo^ • Diri^ di proprietà intelle9uale • Auten6cità • Garanzia / affidabilità
Fornitori di SERVIZI • Accesso fisico ai locali dell’organizzazione
• Accesso logico alle informazioni aziendali
• Accesso da remoto ai sistemi aziendali
• Ges6one delle informazioni off-‐site
• Ges6one di applicazioni offsite (es servizi Saas, Paas)
• Ges6one di infrastru9ure (Iaas) / apparecchiature aziendali offsite
• Ges6one storage offsite
ISO/IEC 27036-‐1 (Esempi di rischi Tabella 1)
[ISO/IEC 27036-‐1:2014]
[ISO/IEC 27036-‐1:2014]
ISO/IEC 27036-‐1
Introduce, al punto 5.2.3, il conceNo di filiera ICT dove acquiren* e fornitori lungo tuNa la catena di fornitura ICT ereditano rischi associa* con i singoli rappor* con i sub-‐fornitori di prodo@ e servizi, riconoscendo la complessità di un processo di controllo a causa della scarsa visibilità man mano che si procede nella catena
ISO/IEC 27036-‐1
5.2.4 Cloud Compu6ng -‐ introduce la parte 4 5.3 Informa6on security risks in supplier rela6onships and associated threats – introduce il conceNo di rischio nella fornitura I rischi sono una fonte di preoccupazione non solo per l'acquirente e il fornitore, ma anche per i clien* e le altre par* interessate. Acquirente e fornitore sono ugualmente responsabili per rendere il loro accordo di fiducia e per la ges*one i rischi di sicurezza delle informazioni, nonché la formazione dei ruoli delinea* e responsabilità sicurezza delle informazioni e l'aNuazione dei controlli.
ISO/IEC 27036-‐1
5.4 Managing informa6on security risks in supplier rela6onships – introduce il conceNo di ges*one del rischio nella fornitura ... Indipendentemente dalla natura del prodoNo o del servizio offerto, la visibilità sulla sicurezza delle informazioni dovrebbe essere considerata come una parte importante per stabilire un rapporto con il fornitore... Per iden*ficare e ges*re ques* rischi per la sicurezza dell'informazione, l'acquirente deve o9enere la garanzia che il fornitore abbia implementato informazioni adeguate di ges*one e di controllo della sicurezza. Nel caso in cui ques* non sono negoziabili, l'acquirente deve selezionare prodo9o o servizio di un fornitore sulla base di criteri che includano requisi6 per la ges6one della sicurezza delle informazioni e controlli per evitare o aNenuare i rischi ad un livello acceNabile ...
ISO/IEC 27036-‐1
5.5 ICT supply chain considera6ons – criteri ... L’accordo di fornitura dovrebbe garan*re: -‐ Ges*one dei rischi per la sicurezza, compresa la con*nuità delle informazioni, informazioni sistemi e servizi -‐ Ges*one della riservatezza di documen* fisici ed eleNronici... -‐ Ges*one di integrità dei materiali... -‐ Ges*one di integrità del sofware... -‐ Ges*one della sicurezza fisica degli impian*... -‐ ...
ISO/IEC 27036 2 Requirements
Informa*on security for supplier rela*onships
La norma riporta i requisi* fondamentali per la definizione , l'aNuazione , il funzionamento , il monitoraggio , la revisione
della sicurezza delle informazioni e per mantenere e migliorare relazioni con i fornitori e acquirente .
Per soddisfare queste esigenze , l'organizzazione dovrebbe avere già implementato internamente i processi richies* dallo standard ISO/IEC 27001 (governance , la ges*one
aziendale , la ges*one del rischio , opera*vi e ges*one delle risorse umane , ecc.)
ISO/IEC 27036-‐2 Requirements
La norma non è cer*ficabile ma può essere u*lizzata a corredo della cer*ficazione ISO/IEC 27001
[ISO/IEC 27036-‐1:2014]
ISO/IEC 27036-‐2 Requirements
La norma non è rivolta solo agli acquiren6 ma anche ai fornitori in quanto coinvol* nel processo di fornitura
[ISO/IEC 27036-‐2:2014]
La prima parte definisce i requisi* di sicurezza delle informazioni e di alto livello applicabili al ges*one di diversi rappor* con i fornitori. La seconda definisce i requisi* di sicurezza delle informazioni applicabili a un acquirente e un fornitore in un contesto di una singola istanza di relazione fornitore.
ISO/IEC 27036-‐2 StruNura
Agreement processes • Acquisi*on processes
• Supply processes
Organisa6onal project –enabling processes • Life cycle model management processes
• Infrastructure management processes
• Project porrolio management processes
• Huma resource management processes
• Quality management processes
Procject procecces • Project planning processes
• Project assessment end control processes
• Decision management processes
• Risk management processes
• Configura*on management processes
• Informa*on management processes
• Measurement processes
Technical processes • Architectural design processes
Al § 6 vengono defini* i requisi* ad alto livello riferi* alla ges*one del ciclo di vita della ges*one dei fornitori
ISO/IEC 27036-‐2 Requirements
Supplier rela6onship
planning processes
Supplier selec6on processes
Supplier rela6onship agreement processes
Supplier rela6onship management processes
Supplier rela6onship termina6on processes
ISO/IEC 27036-‐2 Requirements
Al § 7 vengono defini* i requisi* riferi* ad una singola istanza di fornitura
Supplier selec*on processes: focus
Inputs Outputs
7.2 Processo di selezione del fornitore La norma indica gli obie@vi che devono essere soddisfa@ da acquirente e fornitore (ruoli) per ges*re con successo la sicurezza delle informazioni all'interno del processo di selezione dei fornitori Il framework si struNura come un classico processo
Ac6vi6es
ISO/IEC 27036 3 Guidelines for informa*on and communica*on technology supply chain security
Informa*on security for supplier rela*onships
La norma fornisce indicazioni per la ges*one dei seguen* rischi per la sicurezza delle informazioni rela*vi alla supply chain:
• rischi per la sicurezza da* causa* da catene di fornitura ICT fisicamente disperse e mul*-‐layered;
• rischi correla* ad aspe@ organizza*vi e tecnici (ad esempio inserimento di codice malevolo);
• rischi di business con*nuity.
La norma riporta una integrazione delle contromisure ISO/ IEC 27002 e dei processi del sofware del ciclo di vita descri@ nella norma ISO / IEC 15288 e ISO / IEC 12207.
ISO/IEC 27036-‐3 Annex B Le linee guida proposte dalla norma sono correlate alle contromisure della norma ISO/IEC 27002:13
ISO/IEC 27036-‐4 – Annex A
• ISO/IEC DIS 27017 -‐ Informa*on technology -‐-‐ Security techniques -‐-‐ Code of prac*ce for informa*on security controls based on ISO/IEC 27002 for cloud services
• ISO/IEC 27018:2014 Informa*on technology -‐-‐ Security techniques -‐-‐ Code of prac*ce for protec*on of personally iden*fiable informa*on (PII) in public clouds ac*ng as PII processors
L’aNenzione di CSQA
Corsi di formazione rivol* • al personale aziendale coinvolto nella
definizione e mantenimento dei rappor* con i fornitori
• ai consulen* che possono u*lizzare il framework 27036
A9estazione di conformità del processo di ges6one dell’ICT supply chain alla ISO/IEC 27036, per le aziende già in possesso della cer*ficazione ISO 27001. Vale sia per l’acquirente che per il fornitore.