ISO/IEC 27018: Cloud e Privacy
Questo articolo prosegue la serie dedicata a temi su cui ci sono i maggiori dubbi e perplessità sulle norme della serie ISO/IEC 27000.
Nel 2014 è stata pubblicata la norma ISO/IEC 27018 dal titolo “Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”. Si tratta di una linea guida per i fornitori di servizi cloud pubblici che vogliono migliorare la gestione dei dati personali. Negli anni è maturata la richiesta di disporre di certificazioni rispetto a questo standard, malgrado sia una linea guida e non uno standard di requisiti.
Certificazioni ISO/IEC 27018 e interventi di Accredia
All’estero, AWS (Amazon Web Services) ha ottenuto un certificato rispetto alla ISO/IEC 27018 ed è riuscita ad ottenerlo anche una Azienda in Italia. Accredia (l’organismo che controlla gli Organismi di certificazione) è quindi intervenuta a mettere ordine a luglio 2017 con una circolare.
Nel seguito sono quindi approfonditi l’uso delle linee guida come la ISO/IEC 27018, alcuni punti della circolare di Accredia e della ISO/IEC 29151, altro standard relativo alla privacy.
Gli standard settoriali e la loro certificazione
Le linee guida come la ISO/IEC 27018 sono denominate settoriali o, in inglese, sector-specific. Esse riportano dei controlli di sicurezza aggiuntivi rispetto a quelli elencati dall’Appendice A della ISO/IEC 27001.
Tra questi standard si possono citare la ISO/IEC 27011 per gli operatori di telecomunicazioni, la ISO/IEC 27017 per i servizi cloud (la ISO/IEC 27018 si concentra sulla privacy), la ISO/IEC 27019 per i fornitori di energia.
Un’organizzazione che vuole certificarsi ISO/IEC 27001 deve avere un documento, detto Dichiarazione di applicabilità (Statement of applicability), che riporti i controlli della ISO/IEC 27001 (quelli dell’Appendice A) e il loro stato di implementazione.
A rigore un’organizzazione, al posto dei controlli dell’Appendice A della ISO/IEC 27001, potrebbe usare un altro elenco di controlli, purché altrettanto esaustivo. Questo aspetto non è oggetto di questo articolo e quindi non verrà approfondito.
Aggiunta di standard settoriali alla ISO/IEC 27001
Se sono presenti degli standard settoriali e un’organizzazione vuole adottarli, può quindi aggiungere ai 114 controlli dell’Appendice A della ISO/IEC 27001 quelli di questi standard e richiedere un audit che includa la verifica anche di questi ultimi controlli.
A seguito di un audit “esteso” e in accordo alla norma che li regola (la ISO/IEC 27006), l’Organismo di certificazione può emettere un certificato ISO/IEC 27001 che riporti i riferimenti anche degli standard settoriali adottati. Per esemplificare, può emettere un certificato con riportato “La Dichiarazione di applicabilità include i controlli della ISO/IEC 27018”.
Ovviamente, un Organismo di certificazione può prevedere tempi di audit superiori agli audit basati sulla sola ISO/IEC 27001 e deve assicurare che gli auditor abbiano adeguate competenze sugli standard settoriali su cui svolgono le verifiche.
La circolare Accredia
Accredia, il 21 luglio 2017, ha pubblicato la circolare 13/2017 dal titolo “Informativa in merito all’accreditamento per lo schema di certificazione ISO/IEC 27001:2013 con integrazione della linea guida ISO/IEC 27018:2014 – Information Technology, Security techniques, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”.
Questo è avvenuto perché un Organismo di certificazione accreditato da Accredia ha emesso un certificato ISO/IEC 27018 (usando, scorrettamente, anche il logo Accredia). Giustamente Accredia ha cercato di portare ordine nel settore.
Purtroppo, per l’ansia di intervenire, la circolare tratta solo della ISO/IEC 27018, e non delle altre linee guida che potrebbero essere utilizzate come sopra riportato.
Inoltre la circolare inserisce requisiti eccessivi rispetto alle sue finalità. Sono richieste agli auditor competenze (formali) molto elevate, la visita ai data centre da dove sono erogati i servizi cloud (non considerando così le caratteristiche del cloud computing e il fatto che la ISO/IEC 27018 non aggiunge, rispetto alla ISO/IEC 27001, requisiti relativi alla sicurezza fisica), la possibilità di verificare l’applicazione della ISO/IEC 27018 separatamente dalla ISO/IEC 27001 (non cogliendo così le caratteristiche degli standard settoriali).
Soprattutto, appare evidente che Accredia non abbia colto l’occasione per regolamentare l’uso di tutti gli standard settoriali, malgrado questo sia previsto chiaramente dalla ISO/IEC 27006, ossia la norma di riferimento per l’accreditamento degli Organismi di certificazione.
La norma ISO/IEC 29151
Nel 2017 è stata pubblicata la norma ISO/IEC 29151 dal titolo “Code of practice for personally identifiable information protection”.
Essa riporta controlli aggiuntivi rispetto alla ISO/IEC 27001 e può essere usata esattamente come la ISO/IEC 27018. Questo potrebbe rispondere, almeno parzialmente, al requisito del GDPR relativo alla “certificazione della protezione dei dati”.
È bene ricordare, però, che nessuna Autorità di controllo ha ancora promosso questo schema e che deve essere inteso come un’estensione della certificazione ISO/IEC 27001 e, pertanto, più oneroso.
Un’altra attenzione va posta nei destinatari di questo standard: questo standard può essere applicato ai soli trattamenti per cui l’organizzazione è titolare.
Con il senno di poi, sarebbe stato meglio poter disporre di uno standard applicabile anche ai responsabili. Si spera che questo sia presto disponibile (sono in corso dei lavori per la norma ISO/IEC 27552, che uscirà tra non meno di due anni.
A cura di: Cesare Gallotti
Lavora dal 1999 nel campo della sicurezza delle informazioni, della qualità e della gestione dei servizi IT.
Ha condotto progetti di consulenza per la pubblica amministrazione e per il settore privato. Opera, sia in Italia che all’estero, come Lead Auditor ISO/IEC 27001, ISO 9001, ISO/IEC 200000 e ISO 22301. Ha progettato ed erogato corsi di Quality Assurance e di certificazione Lead Auditor ISO/IEC 27001 e ITIL Foundation.
Tra gli attestati si segnalano: le certificazioni AICQ SICEV Lead Auditor ISO/IEC 27001, IRCA Lead Auditor 9001, CISA, ITIL Expert e CBCI, la qualifica come Lead Auditor ISO/IEC 20000 e il perfezionamento postlaurea in “Computer Forensics e investigazioni digitali”.