Download - ISO 27036 - Information Technology - Information …siaper(l’acquirente(che(per(il(fornitore.(THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI UK POLAND CROATIA TURKEY Grazie per l’attenzione

THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI

UK POLAND CROATIA TURKEY

ISO 27036 Information technology — Security techniques

— Information security for supplier relationships

Ing. Bruno Bernardi Padova 29/04/2015

Proviamo a par*re da un classico …

e da un caso concreto … normalmente diffuso …

e vediamo cosa ci dice la ISO 27001:2013 …

e vediamo cosa ci dice la ISO 27001:2013 …

La ISO 27001:2013 prevede un set di controlli rela*vamente a due obie@vi di sicurezza.

Il primo obie@vo (A.15.1) è la protezione degli asset dell’azienda accessibili da parte dei fornitori, indipendentemente dalla collocazione dell’asset.

Le poli*che di sicurezza e le modalità di sicurezza richieste devono trovare applicazione all’interno degli accordi contraNuali, che devono essere riferibili all’intera filiera di fornitura. Importante notare, ai fini del controllo A.15.1.3 che devono essere sta* defini* i rischi associa* ai servizi e ai prodo@ della filiera. E quindi sarebbe bene che tali rischi fossero chiari e condivisi da entrambe le par6, acquirente del servizio o prodoNo e fornitore / sub fornitore.

1

Un altro aspeNo importante, rafforzato da A.15.1.3 è che si dovrebbe avere la garanzia di oNenere una rintracciabilità dei componen6 cri6ci lungo tu9a la catena di fornitura. A ben vedere quindi, il controllo A.15.1.3 estende l’obie@vo che in una prima leNura sembra indirizzato alla protezione degli asset dell’acquirente del servizio o prodoNo accessibili al fornitore, andando a coinvolgere non solo i rischi associa* all’accesso agli asset (vedi A.15.1.1) ma anche quelli associa* al servizio o prodoNo fornito. Quali siano ques* rischi e quali i requisi* di sicurezza dovrà essere stabilito nell’analisi dei rischi.

… vediamo cosa ci dice la ISO 27001:2013 …

Il secondo obie@vo (A.15.2) è quello di mantenere i livello di sicurezza concordato. Da qui la possibilità (il dovere per ISO 27001) da parte dell’acquirente, di controllare e riesaminare (termine che prevede l’esistenza di indicatori) i servizi eroga*.

… vediamo cosa ci dice la ISO 27001:2013 …

2

Il controllo A.15.2.2 (Managing changes to supplier services) ben si collega con A.15.1.2 completandolo. Richiede di poter ges*re le cri*cità collegate ad una modifica della fornitura, sia che questa modifica sia richiesta dall’acquirente che effeNuata dal fornitore.

e quindi tornando all’esempio iniziale …

Veniamo ora alla formulazione degli ar*coli da inserire nell’accordo con il fornitore. Il primo in esempio era: 1) Nel caso di necessità da parte del Fornitore di a@vare subappal* o subforniture rela*vi al servizio erogato a … , il Fornitore stesso informerà preven*vamente …. stessa a riguardo. Il Fornitore si impegna inoltre a garan*re che il subappaltatore o il subfornitore rispe@ nell’erogazione del servizio gli stessi requisi* di sicurezza delle informazioni applica* dal Fornitore stesso e che sia possibile o9enere la rintracciabilità dei componen6 cri6ci lungo tu9a la catena di fornitura. Appare chiaro che a fronte di questo ar6colo, dovrebbero essere no6 e defini6 i requisi6 di sicurezza e la loro cri6cità.

Il secondo in esempio era: 2) Il Fornitore si impegna a consen*re a ... il monitoraggio delle performance del servizio erogato e l’esecuzione di verifiche ispe@ve di parte seconda da parte di ... stessa limitatamente al servizio fornito. È incluso nel canone l’assistenza da parte del personale del Fornitore per una verifica ispe@va all’anno. Il Fornitore si impegna altresì a dare preven6va comunicazione di modifiche alla fornitura del servizio erogato, al fine di perme9ere a ... di valutare e ges6re eventuali cri6cità derivan6 dal cambiamento. In questo modo diamo più risposta al controllo A.15.2.2

e quindi tornando all’esempio iniziale …

Informa*on security for supplier rela*onships

Spesso, sempre più spesso, con una firma noi diamo le chiavi di casa a persone che in verità non possiamo conoscere.

Possiamo semplicemente fidarci? E loro a chi daranno le nostre chiavi di casa?

Supply Chain Risks

[NIST Publishes Supply Chain Risk Guide: hNp://www.inforisktoday.com/]

ICT Supply Chain Risk Management (SCRM)

La problema*ca emerge in un workshop del NIST nell’oNobre del 2012

L’ICT supply chain diventa una vulnerabilità ad elevato rischio di sfruNamento

Aumenta la richiesta sia degli Sta* che delle aziende per la ges*one del rischio

Il rischio dalla filiera delle tecnologie dell'informazione e della comunicazione è ormai ampiamente riconosciuto.

È un rischio crescente proporzionalmente con la velocità e la complessità con cui si evolve l’ICT supply chain (globalizzazione,

distribuzione, composizione)


In Europa, già nel 2011 si trova presente la problema*ca e vi è un primo esempio significa*vo Parlando di ICT Security, tra le norme della ISO 27001 si richiama la ISO 27036, allora in draf.


[ICT Supply chain Risk management]

ISO 28000 Specification for

Security management systems for the supply

chain

ISO/IEC 27036 Information security

for supplier relationships

ISO 28000 : 2007 Specifica*on for security management systems for the supply chain

1 27036-‐1_2014 Overview and concepts

2 27036-‐2_2014 Requirements

3 27036-‐3_2013 Guidelines for informa*on and communica*on technology supply chain security

4 Guidelines for security of Cloud services

ISO/IEC 27036 Informa6on security for supplier rela6onships

ICT Supply Chain (Risk) Management

ISO/IEC 27036-‐1:2014

Focus: fondamentale, per raggiungere gli obie@vi di efficacia insi* nella fornitura, che sia il fornitore che l’acquirente condividano e affron*no adeguatamente i rischi per la sicurezza ICT

ISO/IEC 27036 1 Overview and concepts


La norma fornisce una framework opera*vo u*le a supportare le organizzazioni nel garan*re i processi di ges*one della sicurezza delle loro informazioni e dei loro sistemi informa*vi nella relazione con i fornitori. La norma fornisce introduce anche i conce@ descri@ nelle altre par* della norma ISO / IEC 27036.

ISO/IEC 27036-‐1 contenu*

ISO/IEC 27036-‐1

La parte 1 è molto interessante perché definisce il problema e fissa i conce@ chiave, dis*nguendo il *po di rapporto: 5.2 Tipi di rappor6 con i fornitori 5.2.1 Relazioni con i fornitori per i prodo^ 5.2.2 Relazioni con i fornitori di servizi

Questo ha una par6colare valenza per l’analisi dei rischi connessi.

Fornitori di PRODOTTI: •  Vulnerabilità nei prodo^ •  Qualità dei prodo^ •  Diri^ di proprietà intelle9uale •  Auten6cità •  Garanzia / affidabilità

Fornitori di SERVIZI •  Accesso fisico ai locali dell’organizzazione

•  Accesso logico alle informazioni aziendali

•  Accesso da remoto ai sistemi aziendali

•  Ges6one delle informazioni off-‐site

•  Ges6one di applicazioni offsite (es servizi Saas, Paas)

•  Ges6one di infrastru9ure (Iaas) / apparecchiature aziendali offsite

•  Ges6one storage offsite

ISO/IEC 27036-‐1 (Esempi di rischi Tabella 1)

[ISO/IEC 27036-‐1:2014]

[ISO/IEC 27036-‐1:2014]

ISO/IEC 27036-‐1

Introduce, al punto 5.2.3, il conceNo di filiera ICT dove acquiren* e fornitori lungo tuNa la catena di fornitura ICT ereditano rischi associa* con i singoli rappor* con i sub-‐fornitori di prodo@ e servizi, riconoscendo la complessità di un processo di controllo a causa della scarsa visibilità man mano che si procede nella catena

ISO/IEC 27036-‐1

5.2.4 Cloud Compu6ng -‐ introduce la parte 4 5.3 Informa6on security risks in supplier rela6onships and associated threats – introduce il conceNo di rischio nella fornitura I rischi sono una fonte di preoccupazione non solo per l'acquirente e il fornitore, ma anche per i clien* e le altre par* interessate. Acquirente e fornitore sono ugualmente responsabili per rendere il loro accordo di fiducia e per la ges*one i rischi di sicurezza delle informazioni, nonché la formazione dei ruoli delinea* e responsabilità sicurezza delle informazioni e l'aNuazione dei controlli.

ISO/IEC 27036-‐1

U6li esempi per l’analisi dei rischi ISO 27001 ...

ISO/IEC 27036-‐1

5.4 Managing informa6on security risks in supplier rela6onships – introduce il conceNo di ges*one del rischio nella fornitura ... Indipendentemente dalla natura del prodoNo o del servizio offerto, la visibilità sulla sicurezza delle informazioni dovrebbe essere considerata come una parte importante per stabilire un rapporto con il fornitore... Per iden*ficare e ges*re ques* rischi per la sicurezza dell'informazione, l'acquirente deve o9enere la garanzia che il fornitore abbia implementato informazioni adeguate di ges*one e di controllo della sicurezza. Nel caso in cui ques* non sono negoziabili, l'acquirente deve selezionare prodo9o o servizio di un fornitore sulla base di criteri che includano requisi6 per la ges6one della sicurezza delle informazioni e controlli per evitare o aNenuare i rischi ad un livello acceNabile ...

ISO/IEC 27036-‐1

5.5 ICT supply chain considera6ons – criteri ... L’accordo di fornitura dovrebbe garan*re: -‐ Ges*one dei rischi per la sicurezza, compresa la con*nuità delle informazioni, informazioni sistemi e servizi -‐ Ges*one della riservatezza di documen* fisici ed eleNronici... -‐ Ges*one di integrità dei materiali... -‐ Ges*one di integrità del sofware... -‐ Ges*one della sicurezza fisica degli impian*... -‐ ...

ISO/IEC 27036

ISO/IEC 27036 2 Requirements


La norma riporta i requisi* fondamentali per la definizione , l'aNuazione , il funzionamento , il monitoraggio , la revisione

della sicurezza delle informazioni e per mantenere e migliorare relazioni con i fornitori e acquirente .

Per soddisfare queste esigenze , l'organizzazione dovrebbe avere già implementato internamente i processi richies* dallo standard ISO/IEC 27001 (governance , la ges*one

aziendale , la ges*one del rischio , opera*vi e ges*one delle risorse umane , ecc.)

ISO/IEC 27036-‐2 Requirements

La norma non è cer*ficabile ma può essere u*lizzata a corredo della cer*ficazione ISO/IEC 27001

[ISO/IEC 27036-‐1:2014]


La norma non è rivolta solo agli acquiren6 ma anche ai fornitori in quanto coinvol* nel processo di fornitura

[ISO/IEC 27036-‐2:2014]

La prima parte definisce i requisi* di sicurezza delle informazioni e di alto livello applicabili al ges*one di diversi rappor* con i fornitori. La seconda definisce i requisi* di sicurezza delle informazioni applicabili a un acquirente e un fornitore in un contesto di una singola istanza di relazione fornitore.

ISO/IEC 27036-‐2 StruNura

Agreement processes •  Acquisi*on processes

•  Supply processes

Organisa6onal project –enabling processes •  Life cycle model management processes

•  Infrastructure management processes

•  Project porrolio management processes

•  Huma resource management processes

•  Quality management processes

Procject procecces •  Project planning processes

•  Project assessment end control processes

•  Decision management processes

•  Risk management processes

•  Configura*on management processes

•  Informa*on management processes

• Measurement processes

Technical processes • Architectural design processes

Al § 6 vengono defini* i requisi* ad alto livello riferi* alla ges*one del ciclo di vita della ges*one dei fornitori


Supplier rela6onship

planning processes

Supplier selec6on processes

Supplier rela6onship agreement processes

Supplier rela6onship management processes

Supplier rela6onship termina6on processes


Al § 7 vengono defini* i requisi* riferi* ad una singola istanza di fornitura

Supplier selec*on processes: focus

Inputs Outputs

7.2 Processo di selezione del fornitore La norma indica gli obie@vi che devono essere soddisfa@ da acquirente e fornitore (ruoli) per ges*re con successo la sicurezza delle informazioni all'interno del processo di selezione dei fornitori Il framework si struNura come un classico processo

Ac6vi6es

Supplier selec*on processes Input

Output

Supplier selec*on processes

A^vità

ISO/IEC 27036 3 Guidelines for informa*on and communica*on technology supply chain security


La norma fornisce indicazioni per la ges*one dei seguen* rischi per la sicurezza delle informazioni rela*vi alla supply chain:

•  rischi per la sicurezza da* causa* da catene di fornitura ICT fisicamente disperse e mul*-‐layered;

•  rischi correla* ad aspe@ organizza*vi e tecnici (ad esempio inserimento di codice malevolo);

•  rischi di business con*nuity.

La norma riporta una integrazione delle contromisure ISO/ IEC 27002 e dei processi del sofware del ciclo di vita descri@ nella norma ISO / IEC 15288 e ISO / IEC 12207.

ISO/IEC 27036-‐3 contenu*

ISO/IEC 27036-‐3 Annex B Le linee guida proposte dalla norma sono correlate alle contromisure della norma ISO/IEC 27002:13

ISO/IEC 27036-‐4 Guidelines for security of cloud services COMMITTEE DRAFT 2014-‐12-‐22

ISO/IEC 27036-‐4 – Annex A

•  ISO/IEC DIS 27017 -‐ Informa*on technology -‐-‐ Security techniques -‐-‐ Code of prac*ce for informa*on security controls based on ISO/IEC 27002 for cloud services

•  ISO/IEC 27018:2014 Informa*on technology -‐-‐ Security techniques -‐-‐ Code of prac*ce for protec*on of personally iden*fiable informa*on (PII) in public clouds ac*ng as PII processors

L’aNenzione di CSQA

Corsi di formazione rivol* •  al personale aziendale coinvolto nella

definizione e mantenimento dei rappor* con i fornitori

•  ai consulen* che possono u*lizzare il framework 27036

A9estazione di conformità del processo di ges6one dell’ICT supply chain alla ISO/IEC 27036, per le aziende già in possesso della cer*ficazione ISO 27001. Vale sia per l’acquirente che per il fornitore.

THIENE ROMA PARMA CUNEO BARI TRENTO SASSARI

UK POLAND CROATIA TURKEY

Grazie per l’attenzione

Ing. Bruno Bernardi Padova 29/04/2015