Controlli di sicurezza e privacy: le nuove regole pratiche del NIST per le aziende - Cyber Security 360

NIST SP 800-53

Controlli di sicurezza e privacy: le nuove regole pratiche del NIST per le aziende

La SP 800-53 “Security and Privacy Controls for Information Systems and Organizations” del NIST, ora aggiornata alla quinta versione, rappresenta un documento fondamentale per chi si occupa di sicurezza informatica. Ecco tutte le nuove regole pratiche in tema di controlli di sicurezza e privacy per le aziende

17 Dic 2020
Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del Comitato Scientifico CLUSIT

La NIST SP 800-53 “Security and Privacy Controls for Information Systems and Organizations” rappresenta un documento fondamentale per chi si occupa di sicurezza informatica in quanto contiene una serie di controlli di sicurezza e privacy molto utili per verificare la conformità delle aziende.

Lo scorso 20 settembre è stata rilasciata la quinta versione della SP 800-53, seguita poi da un ulteriore aggiornamento pubblicato lo scorso 10 dicembre. Analizziamone in dettaglio tutte le novità.

Controlli privacy e sicurezza: cos’è e a cosa serve la SP 800-53

La prima versione della SP 800-53 venne rilasciata nel febbraio 2005 con il titolo “Recommended Security Controls for Federal Information Systems”.

La quarta revisione, rilasciata nel 2013 (poi aggiornata a gennaio 2015), ha rappresentato un passo fondamentale perché ha introdotto le “diciassette famiglie di controllo” che sono poi state adottate da numerosi enti federali e dal settore privato.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery

Tali famiglie di controlli sono elencate nella Table D-2 Security Control Baselines:

  1. Access Control (AC)
  2. Awareness and Training (AT)
  3. Audit and Accountability (AU)
  4. Security Assessment and Authorization (CA)
  5. Configuration Management (CM)
  6. Contingency Planning (CP)
  7. Identification and Authentication (IA)
  8. Incident Response (IR)
  9. Maintenance (MA)
  10. Media Protection (MP)
  11. Physical and Environmental Protection (PE)
  12. Planning (PL)
  13. Personnel Security (PS)
  14. Risk Assessment (RA)
  15. System and Services Acquisition (SA)
  16. System and Communications Protection (SC)
  17. System and Information Integrity (SI)

e riguardano tutti gli aspetti della sicurezza informatica quali le minacce interne, l’analisi del rischio, la sicurezza del software, i dispositivi mobili e via dicendo.

Le successive 17 tabelle da D-3 a D-19 forniscono, invece, una sintesi più dettagliata e includono tutti i controlli e i miglioramenti per le rispettive famiglie di controlli di sicurezza.

Questi vengono poi descritti nell’Appendice F (“Security Control Catalog”).

È importante rilevare come i controlli di sicurezza riportati nella SP 800-53 sono analoghi (anche se sviluppati con un dettaglio molto più granulare) a quelli dell’altrettanto nota ISO/IEC 27001:2013. Nell’Appendice A di tale norma sono riportati 114 controlli suddivisi in 14 Aree di controllo (punti da 5 a 18).

Per questo la SP 800-53 offre due tabelle H nelle quali viene mappata la corrispondenza tra i controlli della SP 800-53 e quelli della ISO/IEC 27001:

  1. Table H-1: Mapping NIST SP 800-53 to ISO/IEC 27001
  2. Table H-2: Mapping ISO/IEC 27001 to NIST SP 800-53

In una terza tabella H-3 vengono infine mappate anche le corrispondenze con la ISO/IEC 15408 (conosciuta anche come “Common Criteria”).

Controlli di sicurezza e privacy: cosa c’è di nuovo nella SP 800-53

Come dicevamo, alla fine di settembre 2020, il NIST ha pubblicato la versione ufficiale del NIST SP 800-53 Rev. 5, che poi è stata ulteriormente aggiornata il 10 dicembre 2020.

È un corposo documento di 465 pagine (che diventano 492 con le premesse).

Le modifiche più significative che rileviamo nell’aggiornamento riguardano l’inserimento di tre nuove categorie di controlli di sicurezza, con un’attenzione maggiore alla privacy.

L’elenco dei controlli integra quelli sulla sicurezza con quelli sulla privacy.

Infatti, la tabella (a pag.8) che riassume tutti i controlli ora è definita: Table 1: Security and Privacy Control Families e le famiglie di controlli sono diventate 20, con l’aggiunta di:

  • Program Management (PM)
  • PII Processing and Transparency (PT)
  • Supply Chain Risk Management (SR)

Da evidenziare la nuova famiglia di controllo della gestione del rischio della catena di fornitura SR (quindi degli outsourcers, che rappresentano sempre di più un fattore di rischio rilevante per le aziende).

I controlli relativi ad ogni specifica famiglia sono riportati ora in modo più chiaro in Appendix C – Control Summaries, dove troviamo le tabelle da C-1 a C-20 che forniscono una sintesi dei controlli sulla sicurezza e sulla privacy: ogni tabella è dedicata ad una specifica famiglia di controllo.

Nelle tabelle sono presenti altre due colonne: “Implemented by” e “Assurance”.

I controlli sicurezza e privacy eliminati dalla SP 800-53

Se un controllo è stato eliminato dal catalogo (rispetto alla rev.4) esso è indicato in testo grigio chiaro con una “W” e l’indicazione di dove il controllo è stato spostato o accorpato con altri.

Nella colonna “Implemented by” il controllo che è tipicamente implementato attraverso sistemi e mezzi tecnici è indicato da una “S”, mentre se esso è stato attuato da un’organizzazione (cioè attraverso mezzi non tecnici) è indicato da una “O”.

Un controllo che può essere implementato da un’organizzazione, da un sistema o da una combinazione dei due è indicato da una “O/S”.

Nella colonna “Assurance” un controllo contrassegnato da un “√” indica che il controllo che corrisponde ad una richiesta di sicurezza o di riservatezza è stato o sarà realizzato.

Altra novità: una parte della del processo di selezione dei controlli è stato spostato in altre pubblicazioni NIST quali la SP 800-37 (“Risk Management Framework”) e soprattutto la SP 800-53B (“Control Baselines for Information Systems and Organizations”).

L’integrazione con il Risk Management Framework (RMF) è evidente nella richiesta di garantire “la riservatezza, l’integrità e la disponibilità delle informazioni elaborate, memorizzate o trasmesse e di gestire i rischi per la privacy individuale”.

Misure di controllo per tutte le realtà aziendali

La SP 800-53 rev.5 mette a disposizione una serie molto completa di misure di controllo praticamente per qualsiasi tipo di sistema informatico, da quelli IT generici ai sistemi ICS di controllo industriale, i sistemi basati su cloud, i dispositivi mobili, i dispositivi IoT, i sistemi di comunicazione, i sistemi mobili e via dicendo.

Gli obiettivi sono quelli di rendere i sistemi informativi da cui dipendiamo più resistenti alla penetrazione, limitare i danni degli attacchi quando si verificano, rendere i sistemi più resilienti e – non meno importante – proteggere la privacy degli individui.

Come detto, rappresenta un documento fondamentale e che è – de facto – uno standard adottato sia nelle organizzazioni private che negli enti pubblici.

La SP 800-53 è strettamente connessa al NIST Cybersecurity Framework: nelle 5 “Function” che considera e nelle Category e Subcategory ad esse relative si fa riferimento (vedasi colonna “Informative References”) ai corrispondenti controlli indicati sulla SP 800-53, oltre a quelli della ISO/IEC 27001:2013.

Quindi la SP 800-53 rappresenta lo strumento (sarebbe giusto dire le linee guida) per applicare il NIST Cybersecurity Framework.

Conclusioni

Ricordiamo che il NIST Cybersecurity Framework è in pratica adottato anche in Italia, nella versione italiana del “Framework nazionale per la cybersecurity e la data protection” (che rappresenta la “traduzione” del NIST Cybersecurity Framework).

Il Framework nazionale per la cybersecurity può rappresentare un modello estremamente utile per realizzare un progetto di sicurezza nelle aziende.

La sua applicazione diventa obbligatoria per le società ed organizzazioni che sono classificate come Operatore di servizi essenziali (OSE) e per questo sottoposte alla Direttiva (UE) 2016/1148, nota come Direttiva NIS.

WHITEPAPER
Cosa fare per trovare, classificare e analizzare i dati in tempo reale?
Big Data
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 3