Controlli di sicurezza e privacy: le nuove regole del NIST per una corretta valutazione

Il National Institute of Standards and Technology (NIST) degli Stati Uniti ha rilasciato una nuova guida per eseguire valutazioni della privacy e dei controlli di sicurezza all’interno dei sistemi e delle organizzazioni: il documento, pubblicato lo scorso 25 gennaio 2022, è un’integrazione della NIST SP 800-53 “Security and Privacy Controls for Information Systems and Organizations”, di cui era stata pubblicata la quinta versione a fine 2020: ne abbiamo parlato in questo articolo.

La NIST SP 800-53 è una delle pubblicazioni più importanti tra quelle emesse dal NIST, assieme al NIST Cybersecurity Framework (CSF) ed è completata da altri due documenti:

• SP 800-53A Assessing Security and Privacy Controls in Information Systems and Organizations
• SP 800-53B Control Baselines for Information Systems and Organizations

L’aggiornamento revisione 5 pubblicato a gennaio 2022 riguarda appunto la SP 800-53A Assessing Security and Privacy Controls in Information Systems and Organizations e sostituisce la precedente NIST.SP.800-53Ar4 che risaliva a dicembre 2014, quindi in un tempo in cui non erano ancora nati né il GDPR né il California Consumer Privacy Act (CCPA).

Quest’ultima – lo ricordiamo – è una legge statale sulla protezione dei dati che disciplina il modo in cui le aziende di tutto il mondo sono autorizzate a trattare le informazioni personali dei cittadini residenti in California. CCPA è entrato in vigore il primo gennaio 2020 (pienamente applicabile dal primo luglio 2020) e rappresenta la più recente ed importante legge sulla privacy negli Stati Uniti.

Questa pubblicazione NIST fornisce una metodologia e una serie di procedure per condurre le valutazioni dei controlli di sicurezza e privacy impiegati all’interno dei sistemi e delle organizzazioni in un efficace quadro di gestione del rischio.

La struttura della SP 800-53A rev.5

Il documento è estremamente corposo (722 pagine, addirittura più ampio del SP 800-53) e in esso il termine “sicurezza e privacy” ricorre diffusamente poiché la guida è applicabile sia alle valutazioni di controllo della sicurezza che della privacy.

Come spiegato nelle premesse del documento pubblicato, questa guida (che non è una norma) può essere rilevante anche solo per la sicurezza o la privacy. Spetta alle organizzazioni decidere autonomamente quando gestire le valutazioni dei controlli di sicurezza e privacy insieme o separatamente.

SP 800-53A fornisce una guida alla valutazione dei controlli nei piani di programma per la sicurezza delle informazioni, nei piani di programma per la privacy, nei piani di sicurezza dei sistemi e nei piani per la privacy.

Le procedure di valutazione, eseguite in varie fasi del ciclo di vita dello sviluppo del sistema, sono coerenti con i controlli di sicurezza e privacy della NIST Special Publication 800-53, Revision 5.

Vengono anche fornite informazioni sulla costruzione di piani di valutazione della sicurezza e della privacy efficaci, con una guida sull’analisi dei risultati della valutazione.

Al Cap.1.1 sono indicate le finalità di questa pubblicazione:

1. consentire valutazioni più coerenti, efficienti, comparabili e ripetibili dei controlli di sicurezza e privacy con risultati riproducibili;
2. promuovere una migliore comprensione dei rischi per le operazioni organizzative, le risorse organizzative, gli individui, altre organizzazioni e la nazione derivanti dal funzionamento e dall’uso dei sistemi;
3. facilitare valutazioni più convenienti dei controlli di sicurezza e privacy;
4. creare informazioni più complete, affidabili e degne di fiducia per i funzionari dell’organizzazione per supportare le decisioni di gestione del rischio, la reciprocità dei risultati della valutazione, la condivisione delle informazioni e la conformità alle leggi federali, agli ordini esecutivi, alle direttive, ai regolamenti e alle politiche.

È bene evidente che il processo di assessment di sicurezza e privacy tratta l’analisi dei rischi e richiama altre due importanti pubblicazioni NIST che definiscono il Risk Assessment ed il Risk Management:

• 800-30 Revision 1 “Guide for Conducting Risk Assessments”
• 800-37 Revision 2 “Risk Management Framework for Information Systems and Organizations”

Il processo di valutazione dei controlli comprende:

1. le attività svolte dalle organizzazioni e dai valutatori per prepararsi alle valutazioni dei controlli di sicurezza e privacy;
2. lo sviluppo di piani di valutazione della sicurezza e della privacy; la conduzione delle valutazioni dei controlli e l’analisi, la documentazione e la segnalazione dei risultati della valutazione;
3. l’analisi del rapporto post-valutazione e le attività successive.

Dopo il cap.1 introduttivo, la pubblicazione è organizzata come segue:

1. Il Capitolo Due “THE FUNDAMENTALS” descrive i concetti fondamentali associati alle valutazioni dei controlli di sicurezza e privacy, compresa l’integrazione delle valutazioni nel ciclo di vita dello sviluppo del sistema, l’importanza di una strategia a livello di organizzazione per condurre le valutazioni dei controlli di sicurezza e privacy, lo sviluppo di casi di garanzia efficaci per contribuire ad aumentare le basi di fiducia nell’efficacia dei controlli di sicurezza e privacy da valutare, e il formato e il contenuto delle procedure di valutazione. In questo capitolo, da pag.13, sono esposti anche alcuni esempi per eseguire una procedura di valutazione. Riportiamo in figura 1 quello relativo al controllo AC-17.
   
2. Il terzo capitolo “THE PROCESS” descrive il processo di valutazione dei controlli di sicurezza e privacy nei sistemi organizzativi e nei loro ambienti operativi, comprese le attività svolte dalle organizzazioni e dai valutatori per prepararsi alle valutazioni dei controlli di sicurezza e privacy; lo sviluppo di piani di valutazione della sicurezza; la conduzione delle valutazioni dei controlli di sicurezza e privacy; l’analisi, la documentazione e la comunicazione dei risultati della valutazione; l’analisi del rapporto post-valutazione e le attività successive svolte dalle organizzazioni. Qui la figura 8 (a pag.36) riassume il processo di valutazione dei controlli di sicurezza e privacy, comprese le attività svolte prima, durante e dopo la valutazione. Risulta evidente l’applicazione del classico ciclo Plan-Do-Check-Act (Ciclo di Deming).
   
3. Il quattro capitolo “SECURITY AND PRIVACY ASSESSMENT PROCEDURES” è la parte più importante e voluminosa dell’intero documento. Qui, dalla pagina 37, sono descritte in dettaglio le venti famiglie di controlli, assieme ad un catalogo di procedure di valutazione della sicurezza e della privacy che possono essere utilizzate per sviluppare piani di valutazione dei controlli di sicurezza. Ciascun controllo è descritto in modo dettagliato in una sorta di guida alla compilazione, alla quale rimandiamo.
4. Le appendici di supporto (dalla A alla F) forniscono informazioni sulla valutazione, inclusi riferimenti generali, definizioni e termini (Appendix A – GLOSSARY), acronimi (Appendix B), una descrizione dei metodi di valutazione, linee guida per i test di penetrazione (Appendix D), contenuto dei rapporti di valutazione della sicurezza e della privacy (Appendix E – ASSESSMENT REPORTS) e supporto di automazione per le valutazioni in corso.

Le venti famiglie di controlli elencate sulla SP 800-53A al Cap.4 sono coerenti con i controlli di sicurezza e privacy della NIST Special Publication 800-53, Revision 5 e sono le seguenti:

1. Access Control (AC)
2. Awareness and Training (AT)
3. Audit and Accountability (AU)
4. Assessment, Authorization and Monitoring (CA)
5. Configuration Management (CM)
6. Contingency Planning (CP)
7. Identification and Authentication (IA)
8. Incident Response (IR)
9. Maintenance (MA)
10. Media Protection (MP)
11. Physical and Environmental Protection (PE)
12. Planning (PL)
13. Program Management (PM)
14. Personnel Security (PS)
15. Personally Identifiable Information Processing and Transparency (PT)
16. Risk Assessment (RA)
17. System and Services Acquisition (SA)
18. System and Communications Protection (SC)
19. System and Information Integrity (SI)
20. Supply Chain Risk Management (SR)

Ciascuna famiglia è suddivisa in sottogruppi (definiti “identifier”), a loro volta suddivisi in voci di singoli controlli.

Questo schema riprende quello del NCSF che ha – in ordine gerarchico – le Function, le Category e le Subcategory.

Come per gli altri documenti NIST simili (CSF e SP 800-53) i controlli sono riportati anche in una tabella in formato Excel, che si può scaricare da qui e che rende più pratica l’attività di assessment.

La complessità del documento non deve spaventare: come per il NIST CSF, si tratta di un framework completo che elenca una lunga lista di controlli.

Ciascuna organizzazione potrà estrarre solo i controlli che ritiene pertinenti ad applicabili nel suo caso.

Questo è indicato nel documento stesso in modo molto chiaro: “Non ci si aspetta che le organizzazioni impieghino tutti i metodi e gli oggetti di valutazione contenuti nelle procedure di valutazione identificate in questa pubblicazione per i controlli di sicurezza e privacy associati distribuiti all’interno dei sistemi organizzativi o disponibili per essere ereditati da essi. Piuttosto, le organizzazioni hanno la flessibilità intrinseca di determinare il livello di sforzo necessario e la garanzia richiesta per una particolare valutazione (ad esempio, quali metodi e oggetti di valutazione sono più utili per ottenere i risultati desiderati)”.

Le procedure sono personalizzabili e possono essere facilmente adattate per fornire alle organizzazioni la flessibilità necessaria per condurre valutazioni dei controlli di sicurezza e privacy che supportino i processi di gestione del rischio organizzativo e siano allineati con la tolleranza al rischio dichiarata dall’organizzazione (quello che si definisce “risk appetite”).

Secondo quanto riportato, la selezione delle procedure di valutazione appropriate per l’organizzazione e la portata della valutazione dipendono dai seguenti fattori:

1. la categorizzazione di sicurezza del sistema;
2. la valutazione del rischio di privacy per il sistema;
3. i controlli di sicurezza e privacy derivanti dalla SP 800-53 come identificati nei piani del programma di sicurezza delle informazioni, nei piani del programma di privacy, nei piani di sicurezza e nei piani di privacy approvati;
4. i requisiti di garanzia che l’organizzazione intende soddisfare nel determinare l’efficacia complessiva dei controlli di sicurezza e privacy.

Infine, le informazioni prodotte durante le valutazioni di controllo possono essere utilizzate da un’organizzazione per:

1. identificare potenziali problemi o carenze nell’implementazione del Risk Management Framework da parte dell’organizzazione;
2. identificare le debolezze e le carenze relative alla sicurezza e alla privacy nel sistema e nell’ambiente in cui il sistema opera;
3. dare priorità alle decisioni di risposta al rischio e alle attività di risposta al rischio associate;
4. confermare che le debolezze e le carenze identificate relative alla sicurezza e alla privacy nel sistema e nell’ambiente in cui opera il sistema sono state affrontate;
5. sostenere le attività di monitoraggio e la consapevolezza della situazione della sicurezza delle informazioni e della consapevolezza della situazione della sicurezza delle informazioni e della privacy;
6. facilitare tutti i tipi di decisioni di autorizzazione del sistema;
7. informare le decisioni di bilancio e il processo di investimento del capitale.

Nulla di nuovo sul piano metodologico: chi conosce ed utilizza il NIST CSF troverà una totale affinità nella procedura di assessment proposta in questo documento.