Vediamo adesso quali sono i controlli richiesti dalla ISO 27001. Si tratta di pratiche da attuare per ridurre i rischi a livelli accettabili. I controlli possono essere tecnici, organizzativi, legali, fisici, umani, ecc.
L'allegato A della ISO 27001 elenca 114 controlli organizzati nelle 14 sezioni numerate da A.5 a A.18.
I controlli tecnici sono implementati principalmente nei sistemi informativi, utilizzando componenti software, hardware e firmware aggiunti al sistema come, ad esempio, backup, software antivirus, ecc. I controlli organizzativi vengono implementati definendo le regole da seguire e il comportamento previsto per utenti, apparecchiature, software e sistemi. I controlli legali vengono implementati assicurando che le regole e i comportamenti previsti seguano e applichino le leggi, i regolamenti, i contratti e altri strumenti legali simili a cui l'organizzazione deve conformarsi (per esempio gli accordi di non divulgazione o quelli relativi al livello di servizio).
I controlli fisici vengono implementati principalmente utilizzando apparecchiature o dispositivi che hanno un'interazione fisica con persone e oggetti (per esempio telecamere CCTV, sistemi di allarme, serrature, ecc.) I controlli delle risorse umane vengono implementati fornendo conoscenze, istruzione, abilità o esperienza alle persone per consentire loro di svolgere le attività in modo sicuro (per esempio formazione sulla consapevolezza relativa alle norme di sicurezza, formazione per auditor interni ISO 27001, ecc.)
Venendo ai documenti che risultano obbligatori per certificarsi secondo la ISO 27001, abbiamo un insieme minimo di politiche, procedure, piani, registrazioni e altre informazioni documentate necessarie.
Nello specifico, la norma richiede la redazione dei seguenti documenti:
- Campo di applicazione del sistema (punto 4.3)
- Politica e obiettivi per la sicurezza delle informazioni (punti 5.2 e 6.2)
- Metodologia di valutazione e trattamento del rischio (punto 6.1.2)
- Dichiarazione di applicabilità (punto 6.1.3 d)
- Piano di trattamento dei rischi (punti 6.1.3 e e 6.2)
- Rapporto di valutazione dei rischi (punto 8.2)
- Definizione dei ruoli e delle responsabilità relativi alla sicurezza (controlli A.7.1.2 e A.13.2.4)
- Inventario dei beni (controllo A.8.1.1)
- Uso accettabile dei beni (controllo A.8.1.3)
- Politica di controllo degli accessi (controllo A.9.1.1)
- Procedure operative per la gestione informatica (controllo A.12.1.1)
- Principi di ingegneria per un sistema sicuro (controllo A.14.2.5)
- Politica di sicurezza del fornitore (controllo A.15.1.1)
- Procedura di gestione delle problematiche (controllo A.16.1.5)
- Procedure di continuità operativa (controllo A.17.1.2)
- Requisiti legali, regolamentari e contrattuali (controllo A.18.1.1)
E queste sono le registrazioni obbligatore:
- Registri della formazione, delle capacità, dell’esperienza e delle qualifiche (punto 7.2)
- Risultati di monitoraggio e misurazione (punto 9.1)
- Programma degli audit interni (punto 9.2)
- Risultati degli audit interni (punto 9.2)
- Risultati del riesame della direzione (punto 9.3)
- Risultati delle azioni correttive (punto 10.1)
- Registri delle attività dell’utente, eccezioni ed eventi relativi alla sicurezza (controlli A.12.4.1 e A.12.4.3)
Naturalmente, se lo ritiene necessario, un’azienda può decidere di redigere documenti aggiuntivi.
Preparato tutto il materiale, un'organizzazione può richiedere la certificazione ISO 27001 invitando un organismo di certificazione accreditato a svolgere l'audit di certificazione e, se l'audit ha esito positivo, a rilasciare all'azienda il certificato che proverà che l'azienda è pienamente conforme allo standard.
Alla famiglia della ISO 27000 appartengono anche altri standard, dato che la ISO 27000 definisce principalmente ciò che è necessario per certificarsi ma non specifica come farlo. Queste indicazioni ulteriori sono date dagli altri documenti per la sicurezza delle informazioni.
Nello specifico, ci sono più di 40 standard nella famiglia ma quelli usati più comunemente sono:
UNI CEI EN ISO/IEC 27000 “Tecnologie informatiche – Tecniche di sicurezza – Sistemi di gestione per la sicurezza delle informazioni _ Panoramica e vocabolario” che fornisce termini e definizioni utilizzati nella serie di standard
UNI CEI EN ISO/IEC 27002 “Tecnologie informatiche – Tecniche di sicurezza – Codice di pratica per la gestione della sicurezza delle informazioni” che fornisce linee guida per l'implementazione dei controlli elencati nell'allegato A della ISO 27001. Questo documento può essere molto utile, perché fornisce dettagli su come implementare questi controlli
ISO/IEC 27004 “Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation” che fornisce linee guida per la misurazione della sicurezza delle informazioni: si adatta bene alla ISO 27001, perché spiega come determinare se il sistema di gestione ha raggiunto i suoi obiettivi
ISO/IEC 27005 “Information technology – Security techniques – Information security risk management” che fornisce linee guida per la gestione dei rischi per la sicurezza delle informazioni. È un ottimo supplemento alla ISO 27001, perché fornisce dettagli su come eseguire la valutazione e il trattamento del rischio, probabilmente la fase più difficile dell'implementazione
UNI CEI EN ISO/IEC 27017 “Tecnologie informatiche – Tecniche di sicurezza – Raccolta di prassi sui controlli per la sicurezza delle informazioni per i servizi in cloud basata sulla ISO/IEC 27002” che fornisce linee guida per la sicurezza delle informazioni negli ambienti cloud
UNI CEI EN ISO/IEC 27018 “Tecnologie informatiche – Tecniche di sicurezza – Raccolta di prassi per la protezione dei dati personali trattati in cloud pubblici da responsabili del trattamento” che fornisce linee guida per la protezione della privacy negli ambienti cloud
ISO/IEC 27031 “Information technology – Security techniques - Guidelines for information and communication technology readiness for business continuity” che fornisce linee guida su cosa considerare quando si sviluppa la continuità aziendale per le tecnologie dell'informazione e della comunicazione. Questo standard è un ottimo collegamento tra la sicurezza delle informazioni e le pratiche di continuità aziendale.
La versione corrente della ISO 27001 è quella del 2013 (2017 per l’Italia): UNI CEI EN ISO/IEC 27001:2017. La prima versione della ISO 27001 è stata pubblicata nel 2005 (ISO/IEC 27001:2005), la seconda versione nel 2013 e lo standard è stato rivisto l'ultima volta nel 2019, quando è stata confermata la versione del 2013 (ovvero, non sono state necessarie modifiche).
È importante notare che i diversi paesi membri dell'ISO possono tradurre lo standard nelle proprie lingue, apportando piccole aggiunte (ad es. prefazioni nazionali) che non influiscono sul contenuto della versione internazionale dello standard. Queste "versioni" hanno lettere aggiuntive per differenziarle dallo standard internazionale. Queste versioni locali dello standard contengono anche l'anno in cui sono state adottate dall'ente di normazione locale.
Chiudiamo ricordando che, nella maggior parte dei paesi, l'implementazione della ISO 27001 non è obbligatoria. Tuttavia, alcuni paesi hanno pubblicato normative che richiedono a determinati settori di implementare la ISO 27001. Le organizzazioni pubbliche e private, poi, possono definire la conformità alla ISO 27001 come un requisito legale nei loro contratti e accordi di servizio con i loro fornitori. Inoltre, come accennato in precedenza, i paesi possono definire leggi o regolamenti che trasformano l'adozione della ISO 27001 in un requisito legale che deve essere soddisfatto dalle organizzazioni che operano nel loro territorio.