I nuovi controlli della Norma ISO 27001:2022 che impattano sui dati personali
La recente pubblicazione, a ottobre 2022, della Norma ISO/IEC 27001:2022 “Information security, cybersecurity and privacy protection — Information security management systems — Requirements, ha completamente rivisto l’impianto dei controlli dello standard.
Molti, se non la maggior parte, dei controlli, impattano sulla protezione dei dati personali in modo indiretto; alcuni sono invece direttamente mirati a tale aspetto. Con la nuova versione sono stati anche definiti due nuovi controlli specifici per la protezione dei dati, nella sezione 8 “Controlli tecnici”:
- 8.10 Information deletion
- 8.11 Data masking
In questo articolo si approfonderanno gli elementi principali relativi ad essi.
I controlli - La ISO 27001 si caratterizza per essere un framework di requisiti, di analisi del rischio e di controlli. La componente dei controlli è l’elemento caratterizzante di questo standard. La nuova versione del 2022 ha introdotto 11 nuovi controlli; di questi, due sono specificamente mirati alla protezione dei dati; l’analisi che segue è impostata secondo un modello che prevede siano indicati, per ogni controllo: ambito di applicazione, descrizione, tecnologia, organizzazione/processi, persone, documentazione. (Vedasi anche l’articolo in lingua inglese “Detailed explanation of 11 new security controls in ISO 27001:2022”)
Il controllo 8.10 Information deletion - Cancellazione delle informazioni - “Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.”
“Le informazioni memorizzate sui sistemi informatici, sui dispositivi o su qualsiasi altro supporto di memorizzazione verranno cancellate quando non più necessarie.”
Ambito di applicazione. Questo controllo si applica a tutte le organizzazioni, considerando che la cancellazione delle informazioni (qui intesa anche con il significato di distruzione) è un possibile trattamento di dati personali (art. 4 del REG. EU 2016/678).
Descrizione. Questo controllo richiede la cancellazione delle informazioni quando non più necessarie, al fine di evitare l’accesso ai dati – sia generali che specifici - e consentire il rispetto della privacy e di altri requisiti (compresi quelli concordati con i committenti); ciò implica l'eliminazione dei dati nei sistemi IT, nei supporti rimovibili o nei servizi cloud.
Tecnologia. Si devono utilizzare strumenti per un’eliminazione sicura, in base ai requisiti normativi e/o contrattuali, ed in linea con quanto emerge dalla valutazione del rischio.
Organizzazione/processi. È necessario impostare un processo che definisca: quali dati devono essere eliminati, le responsabilità, i metodi per l'eliminazione, i tempi (per i dati personali devono essere considerati i tempi previsti nell’informativa agli interessati). Parte di queste informazioni sono riportate nel registro dei trattamenti; se per tale processo o per parte di esso viene effettuato il ricorso a fornitori esterni, questi devono essere preventivamente qualificati.
(Nella foto: l'Ing. Monica Perego, docente al Corso 'Sistemi di gestione della sicurezza delle informazioni, cybersecurity e privacy con la nuova ISO 27001:2022')
Persone. Rendere i dipendenti ed i collaboratori consapevoli del motivo per cui eliminare i dati è importante e formarli su come farlo correttamente, laddove abbiano in capo specifiche responsabilità. Gli autorizzati devono essere anche sensibilizzati sul rischio di duplicazione delle informazioni, che espone a maggiori rischi il processo di cancellazione.
Documentazione. Nessuna documentazione è richiesta dalla ISO/IEC 27001:2022; tuttavia, si potrebbero includere regole sull'eliminazione delle informazioni nei seguenti documenti:
- procedura di smaltimento e distruzione: come vengono eliminate le informazioni sui supporti rimovibili e la documentazione cartacea, quando presente;
- criterio di utilizzo accettabile: in che modo gli autorizzati devono eliminare sui propri device le informazioni riservate;
- procedure operative di sicurezza: come gli amministratori di sistema devono eliminare i dati su server, reti e cloud.
Le organizzazioni dovrebbero anche disporre di una politica di conservazione dei dati che definisca per quanto tempo è necessario conservare ciascun tipo di informazione e quando è necessario eliminarla. (Nota: Questo controllo presenta dei sottocontrolli: generale, metodi di cancellazione)
Il controllo 8.11 Data masking - Mascheramento e anonimizzazione dei dati - “Data masking shall be used in accordance with the organization’s topic-specific policy on access control and other related topic-specific policies, and business requirements, taking applicable legislation into consideration.”
“Il mascheramento dei dati sarà utilizzato in conformità con la politica dell’organizzazione sul controllo degli accessi, con altre politiche correlate e con i requisiti di business, tenendo in considerazione la legislazione applicabile.”
Ambito di applicazione. Questo controllo si applica in modo prevalente alle organizzazioni che sviluppano applicativi.
Descrizione. Il controllo richiede l'utilizzo del data masking e il controllo degli accessi (controllo 8.3 Information access restriction), per limitare l'esposizione di informazioni. Ciò impatta in modo particolare sui dati personali, perché regolamentati dalla normativa, ma potrebbero essere incluse anche altre categorie di dati che richiedono particolari protezioni e/o su richiesta della committenza, come da documentazione contrattuale.
Tecnologia. Le organizzazioni devono utilizzare tecniche per la pseudonimizzazione o l'anonimizzazione al fine di mascherare i dati, se ciò è richiesto dalle procedure interne, sulla base dell’analisi del rischio e/o dalla committenza. Possono essere utilizzati anche altri metodi come la crittografia o l'offuscamento.
Organizzazione/processi. È necessario impostare processi che determinano quali dati devono essere mascherati, chi può accedere (e a quale tipo di dati) e quali metodi sono utilizzati per mascherarli.
Persone. È necessario illustrare ai dipendenti ed ai collaboratori perché è importante mascherare i dati, ed istruirli su quali dati devono essere mascherati, nonché sulle tecniche da applicare. È anche necessario far comprendere, agli autorizzati ed a chi decide le regole, quali sono le criticità dell’offuscamento massiccio dei dati (big data per finalità collettive, ad esempio in ambito sanitario).
Documentazione. Nessuna documentazione è richiesta dalla ISO/IEC 27001:2022; tuttavia, si potrebbero includere riferimenti sul mascheramento dei dati nei seguenti documenti:
- procedura privacy by design: definisce le analisi da condurre per valutare la necessità o meno di mascherare i dati e le responsabilità connesse;
- politica di classificazione delle informazioni: determina quali dati sono particolari e quali categorie di dati devono essere mascherate;
- criterio di controllo degli accessi: definisce chi può accedere, e a quale tipo di dati - mascherati o non mascherati;
- politica di sviluppo sicuro: definisce la tecnologia per mascherare i dati.
Tutte le organizzazioni che devono essere conformi al Regolamento generale sulla protezione dei dati o ad altra normativa che richiede simili misure sulla privacy, dovrebbero disporre anche dei seguenti documenti:
- Politica di anonimizzazione e pseudonimizzazione: dettagli su come viene implementato il mascheramento dei dati nel contesto di un regolamento sulla privacy.
Da ricordare che, mentre è possibile collegare i dati pseudonimizzati ad una persona fisica, e quindi essi sono ancora considerati come dati personali, mentre quelli anonimizzati sono tali se viene persa ogni possibilità di collegarli ad una persona fisica.
Conclusione - Per quanto la ISO/IEC 27001:2022 non tratti in modo esplicito dei dati personali, i controlli analizzati sono da considerarsi vere e proprie misure di accountability; ancora una volta si evidenzia come tale strumento sia di interesse anche per le organizzazioni che devono mettere in atto misure tecniche afferenti alla protezione dei dati personali e possono integrare validamente quanto richiesto dalla ISO/IEC 27701:2019.