La ISO/IEC 27002, prima storica norma della famiglia 27000, è stata oggetto di una ristrutturazione radicale durata quasi quattro anni ed è ora pronta per arrivare sul mercato. Come è cambiata e cosa cambierà in conseguenza?
Quella che è oggi conosciuta come ISO/IEC 27002 ha origine nell’ormai lontano 1992, come “Code of Practice for Information Security Management” in seno al Department of Trade and Industry (DTI) del governo britannico, per poi diventare nel 1995 la norma nazionale BS 7799-1 e nel 2000 la norma ISO/IEC 17799 sempre con un titolo sostanzialmente uguale. Diventerà ufficialmente ISO/IEC 27002 solo nell’aprile 2007, dopo la creazione della famiglia di norme ISO/IEC 27000. Aggiornata per l’ultima volta nel 2013, è ora pronta la nuova edizione, la cui uscita è attesa per l’inizio del 2022, con il nuovo e più sintetico titolo “Information security controls”. L’attuale edizione del 2013 è nata da un tumultuoso aggiornamento dell’edizione del 2005, nel corso del quale non è stato possibile per varie ragioni apportare miglioramenti decisivi, con il risultato finale, non particolarmente soddisfacente, che ha contribuito in ultima analisi all’affermazione di nuovi framework alternativi di controlli in materia.
Il notevole volume della norma e la sua disponibilità a solo titolo oneroso hanno aggravato la situazione, limitandone molto spesso l’uso esclusivamente come Annex A della più celebre ISO/IEC 27001. Preso atto della situazione, il SC 27 di ISO/IEC ha votato nel 2017 per una revisione sostanziale della norma, partendo dalla sua stessa struttura, che passa da un’organizzazione a tre livelli basata su 14 punti tematici che raggruppano le categorie di controllo e quindi i controlli alla più lineare suddivisione a due livelli con 4 temi che racchiudono direttamente i controlli stessi. I temi che costituiscono i capitoli da 5 a 8 della nuova norma sono rispettivamente: Organizational; People; Physical; Technological. I controlli, pur mantenendo la struttura cui siamo abituati nella ISO/IEC 27002 attuale (controllo, guida attuativa, altre informazioni), hanno inoltre due elementi significativi di innovazione: un obiettivo che sopperisce in modo migliorativo alla rimozione delle categorie di controllo, e un insieme di attributi che caratterizzano il controllo stesso. Gli attributi definiti per ogni controllo sono 5: tipo, proprietà, concetto, capacità operativa e dominio di sicurezza e sono stati pensati per poter più semplicemente filtrare e quindi individuare i controlli a seconda della necessità d’uso. Per esempio, mentre la “proprietà” è legata ai classici concetti di disponibilità, integrità e riservatezza, il “concetto” si lega alle 5 funzioni (Identify, Protect, Detect, Respond, Recover) “inventate” dal NIST Cybersecurity Framework.
Aggiornando la sostanza della norma per metterla al passo con i tempi sono stati aggiunti più di 10 controlli, ne sono stati accorpati molti e solo uno è stato rimosso. Il risultato è che, dai 114 controlli presenti nella versione del 2013, ne risultano 93 nella nuova versione, i cui contenuti sono stati completamente rivisti e aggiornati. Vale la pena sottolineare che l’Annex B della nuova norma riporta una mappatura tra i controlli della versione incipiente e di quella del 2013 per più semplice retrocompatibilità.
Il risultato della revisione della ISO/IEC 27002 è di immediata percezione, ha migliorato la comprensibilità e la fruizione dei controlli semplificandone l’utilizzo e la mappatura con altri framework. I riferimenti ad altre linee guida sono stati potenziati, rendendo la norma un punto di snodo importante e favorendone l’espansione anche rispetto agli schemi settoriali della famiglia 27000. Finalmente, la ISO/IEC 27002 ha un taglio moderno, pensato per andare al di là del classico documento cartaceo distribuito da ISO/IEC e per essere utilizzata in modo flessibile e anche indipendente dalla ISO/IEC 27001. Da un punto di vista pratico, assieme alla pubblicazione della nuova ISO/IEC 27002 per l’inizio del 2022 si prevede di far uscire un cosiddetto amendment all’attuale versione della ISO/IEC 27001 che sostituirà in toto l’Annex A con la nuova struttura dei controlli, in attesa di una (limitatamente) più estesa revisione anche della ISO/IEC 27001 che per vari motivi ha finora tardato ad avviarsi.
Fabio Guasconi comitato direttivo CLUSIT