Upload
others
View
15
Download
0
Embed Size (px)
Citation preview
GDPR, ISO 27000, NIST, ecc. come mi aiutano le
certificazioni ICT per la privacy?
Dott. Glauco Bertocchi CISMRoma 03/05/2017
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 2
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
G. Bertocchi- GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 3
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
3
G. Bertocchi- GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 4
Presentazione relatore
Glauco Bertocchi
Esperienza più che ventennale nel campo ICT
Esperienza più che ventennale nel campo della security
Numerose docenze universitarie e ad organizzazioni statali
Autore o coautore di numerose pubblicazioni in campo ICT e security
Ha svolto e svolge consulenze professionali in ambito sicurezza
Valutatore dei progetti di ricerca ed innovazione FP7 (2007) e H2020 (2014)
Certificato CISM dal 2003
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 5
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud.. .. …
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
5
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 6
ISO22301
GDPR codici di condotta e certificazioni (1)
• Articolo 40 Codici di condotta 1.Gli Stati membri, le autorità di controllo, il
comitato e la Commissione incoraggiano l'elaborazione di codici di condotta
destinati a contribuire alla corretta applicazione del presente regolamento, in
funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche
delle micro, piccole e medie imprese.
• Articolo 41 Monitoraggio dei codici di condotta approvati 1.Fatti
salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e
58, il controllo della conformità con un codice di condotta ai sensi dell'articolo 40
può essere effettuato da un organismo in possesso del livello adeguato di
competenze riguardo al contenuto del codice e del necessario accreditamento a tal
fine dell'autorità di controllo competente.
I codici di condotta già sono applicati in Italia come allegati del d.lgs
196/2003– Allegato A.1 Codice di deontologia attività giornalistica
– Allegato A.2 Codice di deontologia per scopi storici
– Allegato A.3 Codice di deontologia scopi statistici e di ricerca scientifica
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 7
GDPR codici di condotta e certificazioni (2)
• Articolo 42 Certificazione • 1.Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di
Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di
protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai
titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche
delle micro, piccole e medie imprese.
• 3.La certificazione è volontaria e accessibile tramite una procedura trasparente.
• 4.La certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del
responsabile del trattamento riguardo alla conformità al presente regolamento e lascia impregiudicati i compiti e
i poteri delle autorità di controllo competenti a norma degli articoli 55 o 56.
• 5.La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui
all'articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di
controllo competente ai sensi dell'articolo 58, paragrafo 3, o dal comitato, ai sensi dell'articolo 63. Ove i
criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la
protezione dei dati
• Articolo 43 Organismi di certificazione
• 1.Fatti salvi i compiti e i poteri dell'autorità di controllo competente di cui agli articoli 57 e 58, gli organismi di
certificazione in possesso del livello adeguato di competenze riguardo alla protezione dei dati, rilasciano e
rinnovano la certificazione, dopo averne informato l'autorità di controllo al fine di consentire alla stessa di
esercitare i suoi poteri a norma dell'articolo 58, paragrafo 2, lettera h), ove necessario. Gli Stati membri
garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 8
GDPR codici di condotta e certificazioni (3)
• Articolo 63 Meccanismo di coerenza• Al fine di contribuire all'applicazione coerente del presente regolamento in tutta l'Unione, le autorità di controllo
cooperano tra loro e, se del caso, con la Commissione mediante il meccanismo di coerenza stabilito nella
presente sezione.
• Articolo 64 Parere del comitato europeo per la protezione dei dati• 1.Il comitato emette un parere ove un'autorità di controllo competente intenda adottare una delle misure in
appresso. A tal fine, l'autorità di controllo competente comunica il progetto di decisione al comitato, quando la
decisione:
• b) riguarda una questione di cui all'articolo 40, paragrafo 7, relativa alla conformità al presente regolamento di
un progetto di codice di condotta o una modifica o proroga di un codice di condotta; 4.5.2016 L 119/73 Gazzetta
ufficiale dell'Unione europea IT
• c) è finalizzata ad approvare i criteri per l'accreditamento di un organismo ai sensi dell'articolo 41, paragrafo 3,
o di un organismo di certificazione ai sensi dell'articolo 43, paragrafo 3;
• Articolo 68 Comitato europeo per la protezione dei dati• 1.Il comitato europeo per la protezione dei dati («comitato») è istituito quale organismo dell'Unione ed è dotato
di personalità giuridica.
• 2.Il comitato è rappresentato dal suo presidente.
• 3.Il comitato è composto dalla figura di vertice di un'autorità di controllo per ciascuno Stato membro e dal
garante europeo della protezione dei dati, o dai rispettivi rappresentanti.
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 9
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud.. .
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
9
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 10
NIST 800-53 r4 Privacy control catalog (1)
• Appendice J del documento che contiene l’equivalente dell’ISO
2700x.• Privacy, with respect to personally identifiable information (PII),119 is a core value that can be
obtained only with appropriate legislation, policies, procedures, and associated controls to
ensure compliance with requirements.
• This appendix provides a structured set of controls for protecting privacy and serves as a
roadmap for organizations to use in identifying and implementing privacy controls
concerning the entire life cycle of PII, whether in paper or electronic form. The controls
focus on information privacy as a value distinct from, but highly interrelated with,
information security.
• The privacy controls in this appendix are based on the Fair Information Practice Principles
(FIPPs)121 embodied in the Privacy Act of 1974, Section 208 of the E-Government Act of 2002,
and Office of Management and Budget (OMB) policies…. There are eight privacy control
families, each aligning with one of the FIPPs.
• There is a strong similarity between the structure of the privacy controls in this appendix
and the structure of the security controls in Appendices F and G.
• Provides a structured set of privacy controls, based on best practices, that helps
organizations comply with applicable federal laws, Executive Orders, directives, instructions,
regulations, policies, standards, guidance, and organization-specific issuances;
• Establishes a linkage and relationship between privacy and security controls for
purposes of enforcing respective privacy and security requirements that may overlap in
concept and in implementation within federal information systems, programs, and organizations;
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 11
NIST 800-53 r4 Privacy control catalog (2)
• FAMILY: AUTHORITY AND PURPOSE This family ensures that
organizations: (i) identify the legal bases that authorize a particular personally
identifiable information (PII) collection or activity that impacts privacy; and (ii)
specify in their notices the purpose(s) for which PII is collected. (2 controlli)
• FAMILY: ACCOUNTABILITY, AUDIT, AND RISK MANAGEMENTThis family enhances public confidence through effective controls for governance,
monitoring, risk management, and assessment to demonstrate that organizations
are complying with applicable privacy protection requirements and minimizing
overall privacy risk. (8 controlli)
• FAMILY: DATA QUALITY AND INTEGRITY This family enhances public
confidence that any personally identifiable information (PII) collected and
maintained by organizations is accurate, relevant, timely, and complete for the
purpose for which it is to be used, as specified in public notices. (2 controlli)
• FAMILY: DATA MINIMIZATION AND RETENTION This family helps
organizations implement the data minimization and retention requirements to
collect, use, and retain only personally identifiable information (PII) that is relevant
and necessary for the purpose for which it was originally collected. Organizations
retain PII for only as long as necessary to fulfill the purpose(s) specified in public
notices and in accordance with a National Archives and Records Administration
(NARA)-approved record retention schedule (3 controlli)
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 12
NIST 800-53 r4 Privacy control catalog (3)
• FAMILY: INDIVIDUAL PARTICIPATION AND REDRESS This family
addresses the need to make individuals active participants in the decision-making
process regarding the collection and use of their personally identifiable information
(PII). By providing individuals with access to PII and the ability to have their PII
corrected or amended, as appropriate, the controls in this family enhance public
confidence in organizational decisions made based on the PII. (4 controlli)
• FAMILY: SECURITY This family supplements the security controls in
Appendix F to ensure that technical, physical, and administrative safeguards are in
place to protect personally identifiable information (PII) collected or maintained by
organizations against loss, unauthorized access, or disclosure, and to ensure that
planning and responses to privacy incidents comply with OMB policies and
guidance. The controls in this family are implemented in coordination with
information security personnel and in accordance with the existing NIST Risk
Management Framework. (2 controlli)
• FAMILY: TRANSPARENCY This family ensures that organizations provide
public notice of their information practices and the privacy impact of their programs
and activities (3 controlli)
• FAMILY: USE LIMITATION This family ensures that organizations only use
personally identifiable information (PII) either as specified in their public notices, in a
manner compatible with those specified purposes, or as otherwise permitted by law.
Implementation of the controls in this family will ensure that the scope of PII use is
limited accordingly (2 controlli)
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 13
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• ..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
13
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 14
ISO 27001 elementi presenti, parti mancanti (1)
• Ci sono alcuni requisiti della GDPR che non sono direttamente previsti in
Iso 27001, ad esempio nell’ambito dei diritti dei soggetti dei dati personali
come il diritto di essere informati, il diritto di avere la cancellazione dei dati
stessi e la loro portabilità.
• D’altra parte l’implementazione di ISO 27001 identifica i dati personali
come bene da proteggere ed inoltre coloro che si affidano al cloud
possono usare le raccomandazioni di ISO 27018 per la privacy e ISO
27017 per la security, con questo approccio sono soddisfatti molti dei
requisiti di sicurezza della GDPR. Di seguito alcuni aspetti relativi allo
standard ISO 27001
• Risk assessment – Quando si implementa ISO 27001 i dati personali
dovrebbero essere classificati in base al controllo A.8.2.1 (Classification of
information), “Information should be classified in terms of legal
requirements, value, criticality and sensitivity to unauthorized disclosure or
modification.”
• Compliance –Nell’implementazione di ISO 27001, il controllo A.18.1.1
(Identification of applicable legislation and contractual requirements),
obbliga a elencare la GDPR (se applicabile) .In ogni caso il controllo
A.18.1.4 (Privacy and protection of personally identifiable information)
copre anche i casi in cui la GDPR non si applichi.
•
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 15
ISO 27001 elementi presenti, parti mancanti (2)
• Breach notification –L’implementazione della famiglia di controlli ISO
27001 A.16.1 (Management of information security incidents and
improvements) estesa ai dati personali assicura una accettabile gestione
di tali eventi
• Asset management –la clausola di controlli ISO 27001 A.8 (Asset
management) porta all’inclusione dei dati personali come asset oggetto di
information security
• Privacy by Design –La privacy by design è un requisito dei prodotti e dei
processi GDPR, se si applica la clausola di controlli ISO 27001 A.14
(System acquisitions, development and maintenance) ci si deve
conformare affinché “information security is an integral part of information
systems across the entire lifecycle.”
• Relazioni con i fornitori–La clausola di controlli ISO 27001 A.15
(Supplier relationships) può contribuire a definire i livelli di sicurezza e le
responsabilità nella gestione dei dati personali
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 16
ISO 27001 elementi presenti, parti mancanti (3)
• In sintesi ISO27001 può essere utilizzato per soddisfare
buona parte della sicurezza dei dati personali prevista
dalla GDPR in quanto questi sono asset oggetto di
information security.
• La copertura non è totale e alcune procedure devono
essere aggiunte all’ISMS ISO 27001, ad esempio, per
quegli aspetti che prevedono la relazione con
«l’interessato» come le richiesta da parte di
quest’ultimo e le relative azioni e risposte.
• Inoltre manca il cloud!
……… Ma per questo ci sono ISO 27017 e 27018 e
anche il framework 29100
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 17
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
17
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 18
ISO 29100, 27017 e 27018 standard utili per la
privacy, la sicurezza e la privacy in cloud..(1)
ISO/IEC 29100 Information technology — Security techniques —
Privacy framework (2011)
• Definisce termini, attributi che possono essere usati per rendere
indentificabile una persona, i principi generali , ecc. della privacy
• The privacy principles of ISO/IEC 29100
• Consent and choice
• Purpose legitimacy and specification
• Collection limitation
• Data minimization
• Use, retention and disclosure limitation
• Accuracy and quality
• Openness, transparency and notice
• Individual participation and access
• Accountability
• Information security
• Privacy compliance
•
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 19
ISO 29100, 27017 e 27018 standard utili per la
privacy, la sicurezza e la privacy in cloud..(2)
• ISO/IEC 27017:2015 Information technology -- Security
techniques -- Code of practice for information security
controls based on ISO/IEC 27002 for cloud services
• ISO/IEC 27017:2015 gives guidelines for information security controls applicable to
the provision and use of cloud services by providing:
- additional implementation guidance for relevant controls specified in
ISO/IEC 27002;
- additional controls with implementation guidance that specifically relate to
cloud services.
• This Recommendation / International Standard provides controls and
implementation guidance for both cloud service providers and cloud service
customers.
• Le modifiche ai controlli esistenti sono abbastanza consistenti , tra
le aree maggiormente interessate Access control. I nuovi controlli
sono numerati in modo da essere compatibili con le clausole e le
security categories di 27002 (ovviamente…)
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 20
ISO 29100, 27017 e 27018 standard utili per la
privacy, la sicurezza e la privacy in cloud..(3) • ISO/IEC 27018:2014 Information technology -- Security
techniques -- Code of practice for protection of personally
identifiable information (PII) in public clouds acting as PII
processors
• ISO/IEC 27018:2014 establishes commonly accepted control objectives, controls
and guidelines for implementing measures to protect Personally Identifiable
Information (PII) in accordance with the privacy principles in ISO/IEC 29100 for the
public cloud computing environment.
• In particular, ISO/IEC 27018:2014 specifies guidelines based on ISO/IEC 27002,
taking into consideration the regulatory requirements for the protection of PII which
might be applicable within the context of the information security risk environment(s)
of a provider of public cloud services.
• ISO/IEC 27018:2014 is applicable to all types and sizes of organizations, including
public and private companies, government entities, and not-for-profit organizations,
which provide information processing services as PII processors via cloud
computing under contract to other organizations.
• The guidelines in ISO/IEC 27018:2014 might also be relevant to organizations
acting as PII controllers; however, PII controllers can be subject to additional PII
protection legislation, regulations and obligations, not applying to PII processors.
ISO/IEC 27018:2014 is not intended to cover such additional obligations.
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 21
ISO 29100, 27017 e 27018 standard utili per la
privacy, la sicurezza e la privacy in cloud..(4)
• ISO 27018 rafforza i controlli ISO 27002 con specifici
aspetti per la cloud privacy e aggiunge dei controlli
completamente nuovi per i dati personali .
• E’ specificato per i responsabili del trattamento e non
per i titolari dello stesso
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 22
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
22
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 23
Spunti di riflessione
• La certificazione dei sistemi informativi copre diversi
aspetti e facilita l’inclusione della privacy nei processi
aziendali
• Quale sarà il rapporto tra codici di condotta , sigilli e
certificazioni GDPR e le esistenti certificazioni ICT è
tutto da scoprire
• Se avete dubbi se intraprendere il percorso per una
certificazione ISMS il nuovo regolamento europeo
aggiunge una rilevante motivazione
• Gli standard ci sono già anche se manca qualche parte
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 24
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
24
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 25
Bibliografia & sitografia
• NIST SP 800-53 rev4, Security and Privacy Controls for Federal
Information Systems and Organizations, April 2013
(http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-
53r4.pdf)
• NIST SP 800-122, Guide to Protecting the Confidentiality of Personally
Identifiable Information (PII), April 2010
(http://csrc.nist.gov/publications/nistpubs/800-122/sp800-122.pdf)
• NIST SP 800-144, Guidelines on Security and Privacy in Public Cloud
Computing, December 2011 (http://csrc.nist.gov/publications/nistpubs/800-
144/SP800-144.pdf)
• ISO https://www.iso.org/standard
• ISO/IEC 29134, Information technology — Security techniques — Privacy
impact assessment — Methodology
G. Bertocchi -GDPR, ISO 27000, NIST, ecc. come mi aiutano le certificazioni ICT per la privacy? 26
• Presentazione relatore
• GDPR codici di condotta e certificazioni
• NIST 800-53 r4 Privacy control catalog
• ISO 27001 elementi presenti, parti mancanti
• ISO 29100, 27017 e 27018 standard utili per la privacy , la sicurezza e la
privacy in cloud..
• Spunti di riflessione
• Bibliografia & sitografia
• Q&A
Agenda
26