giovedì, 28 marzo 2024

W la Privacy

W la Privacy

I controlli della Norma ISO 27001:2022 che impattano sui dati personali

20/12/2022

La recente pubblicazione, a ottobre 2022, della Norma ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements", ha completamente rivisto l’impianto dei controlli dello standard. 

Molti, se non la maggior parte, dei controlli, impattano sulla protezione dei dati personali in modo indiretto; alcuni sono invece direttamente mirati a tale aspetto. Con la nuova versione sono stati anche definiti due nuovi controlli specifici per la protezione dei dati, nella sezione 8 “Controlli tecnici”:

- 8.10 Information deletion

- 8.11 Data masking

In questo articolo si approfonderanno gli elementi principali relativi ad essi.

I controlli - La ISO 27001 si caratterizza per essere un framework di requisiti, di analisi del rischio e di controlli. La componente dei controlli è l’elemento caratterizzante di questo standard. La nuova versione del 2022 ha introdotto 11 nuovi controlli; di questi, due sono specificamente mirati alla protezione dei dati; l’analisi che segue è impostata secondo un modello che prevede siano indicati, per ogni controllo: ambito di applicazione, descrizione, tecnologia, organizzazione/processi, persone, documentazione. (Vedasi anche l’articolo in lingua inglese “Detailed explanation of 11 new security controls in ISO 27001:2022”)

Il controllo 8.10 Information deletion - Cancellazione delle informazioni - “Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.”

“Le informazioni memorizzate sui sistemi informatici, sui dispositivi o su qualsiasi altro supporto di memorizzazione verranno cancellate quando non più necessarie.”

Ambito di applicazione. Questo controllo si applica a tutte le organizzazioni, considerando che la cancellazione delle informazioni (qui intesa anche con il significato di distruzione) è un possibile trattamento di dati personali (art. 4 del REG. EU 2016/678).

Descrizione. Questo controllo richiede la cancellazione delle informazioni quando non più necessarie, al fine di evitare l’accesso ai dati – sia generali che specifici - e consentire il rispetto della privacy e di altri requisiti (compresi quelli concordati con i committenti); ciò implica l'eliminazione dei dati nei sistemi IT, nei supporti rimovibili o nei servizi cloud.

Tecnologia. Si devono utilizzare strumenti per un’eliminazione sicura, in base ai requisiti normativi e/o contrattuali, ed in linea con quanto emerge dalla valutazione del rischio.

Organizzazione/processi. È necessario impostare un processo che definisca: quali dati devono essere eliminati, le responsabilità, i metodi per l'eliminazione, i tempi (per i dati personali devono essere considerati i tempi previsti nell’informativa agli interessati). Parte di queste informazioni sono riportate nel registro dei trattamenti; se per tale processo o per parte di esso viene effettuato il ricorso a fornitori esterni, questi devono essere preventivamente qualificati.

Persone. Rendere i dipendenti ed i collaboratori consapevoli del motivo per cui eliminare i dati è importante e formarli su come farlo correttamente, laddove abbiano in capo specifiche responsabilità. Gli autorizzati devono essere anche sensibilizzati sul rischio di duplicazione delle informazioni, che espone a maggiori rischi il processo di cancellazione.

Documentazione. Nessuna documentazione è richiesta dalla ISO/IEC 27001:2022; tuttavia, si potrebbero includere regole sull'eliminazione delle informazioni nei seguenti documenti:

- procedura di smaltimento e distruzione: come vengono eliminate le informazioni sui supporti rimovibili e la documentazione cartacea, quando presente;

- criterio di utilizzo accettabile: in che modo gli autorizzati devono eliminare sui propri device le informazioni riservate;

- procedure operative di sicurezza: come gli amministratori di sistema devono eliminare i dati su server, reti e cloud.

Le organizzazioni dovrebbero anche disporre di una politica di conservazione dei dati che definisca per quanto tempo è necessario conservare ciascun tipo di informazione e quando è necessario eliminarla. (Nota: Questo controllo presenta dei sottocontrolli: generale, metodi di cancellazione).

Per proseguire la lettura di questa interessante trattazione di Monica Perego - ingegnere, docente al Corso 'Sistemi di gestione della sicurezza delle informazioni, cybersecurity e privacy con la nuova ISO 27001:2022' - questo è il link


maggiori informazioni su:
www.federprivacy.org



Tutte le news

Privacy e Videosorveglianza

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia