Le indicazioni dalla Linea Guida ISO/IEC 27002:2022
La ISO/IEC 27001:2022 affronta il tema della gestione dei supporti contenenti dati attraverso numerosi controlli (8.3.1, 8.3.2, 8.3.3 e 11.2.5). Il tema che ha rilevanti implicazioni sulla protezione dei dati personali. Indicazioni, di carattere operativo che, possono essere considerate misure di accountability, sono contenute nella ISO/IEC 27002:2022 e specificatamente nel controllo 7.10 “Storage Media” – Supporti di memorizzazione. Ovviamente le indicazioni relative alla gestione dei supporti non si limita a quelli elettronici (es. HD, dischi esterni, nastri di back-up, supporti contenenti dati biometrici), ma deve essere estesa anche a quelli cartacei e più in generale a ogni forma di supporto contenente dati.
Questo articolo affronta il tema della gestione di tali supporti, approfondendo le indicazioni contenute nella Linea Guida ISO/IEC 27002:2022.
Il controllo 7.10 della ISO/IEC 27001:2013
Il controllo 7.10 “Storage media” – Supporti di memorizzazione, prevede, in sintesi, che i supporti di memorizzazione siano gestiti nel corso di tutto il loro ciclo di vita – acquisizione, utilizzo, trasporto e smaltimento – in modo congruente con il livello di classificazione delle informazioni che vi sono contenute.
Lo scopo del controllo è quello di garantire solo la divulgazione, la modifica, la rimozione o la distruzione sulla base delle autorizzazioni delle informazioni sull’archiviazione su tali supporti. Il controllo presenta le seguenti caratteristiche:
La Linea Guida ISO/IEC 27002 fornisce indicazioni sia per quanto riguarda la gestione dei supporti rimovibili contenenti dati che per il loro riutilizzo sicuro o distruzione. In questo articolo svilupperemo la prima parte.
Emerge infatti, a riguardo, un interessante elenco di elementi da considerare, di seguito analizzati con una serie di note integrative.
Linee guida per la gestione dei supporti di memorizzazione rimovibili
I punti di attenzione individuati si applicano sia ai supporti elettronici che cartacei e, più in generale, anche ad ogni altro tipo di supporto:
Integrazioni
La ISO/IEC 27001:2022 specifica inoltre che:
- le indicazioni fornite nel controllo, includono anche documenti cartacei;
- quando si trasferiscono supporti fisici che contengono dati bisogna applicare le misure previste dal controllo 5.14 “Information transfer” – Trasferimento di informazioni;
- quando le informazioni riservate sui supporti di memorizzazione non sono crittografate, devono essere valutate misure rafforzate per la loro gestione.
Conclusione
Le implicazioni connesse alla gestione dei supporti contenenti dati (non solo personali) implicano la definizione di misure di accountability. Ancora una volta la ISO/IEC 27001 attraverso la linea guida ISO/IEC 27002:2022 fornisce preziose indicazioni, che devono essere applicate in relazione al contesto come indica l’art. 32 del GDPR; per mitigare i rischi di perdita di riservatezza, disponibilità ed integrità.