จากบทความ ep. 2 สำหรับการเตรียมการมาตรฐานใหม่

[link บทความก่อนหน้า] ในบทความถัดจากนี้จะเป็นข้อมูลสำหรับมาตรการควบคุม (control) ใหม่ 11 ข้อ โดยบทความนี้จะเป็นข้อมูลการวิเคราะห์ใน clause คือ Clause 8 Technological controls โดยจะประกอบด้วย 4 มาตรการควบคุมดังต่อไปนี้

  • 8.9 Configuration management
  • 8.10 Information deletion
  • 8.11 Data masking
  • 8.12 Data leakage prevention

มาตรการควบคุม (Control)

การตั้งค่าโดยรวมถึงการตั้งค่าด้านความมั่นคงปลอดภัยของฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ควรมีการดำเนินการ จัดทำเอกสาร ดำเนินการติดตั้ง ติดตาม และทบทวน

วัตถุประสงค์ (Purpose)

เพื่อให้องค์กรสามารถมั่นใจได้ว่าฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ทำงานได้อย่างถูกต้อง และเป็นไปตามการตั้งค่าด้านความมั่นคงปลอดภัยสารสนเทศ และการตั้งค่าไม่ได้ถูกเปลี่ยนแปลงแก้ไขจากผู้ที่ไม่ได้รับอนุญาต หรือการเปลี่ยนแปลงที่ไม่ถูกต้อง

ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)

องค์กรควรกำหนดให้มีกระบวนการ และเครื่องมือในการตั้งค่าโดยรวมถึงการตั้งค่าด้านความมั่นคงปลอดภัยสารสนเทศ สำหรับฮาร์ดแวร์ ซอฟต์แวร์ บริการ (เช่น บริการคลาวด์) และเครือข่าย สำหรับการติดตั้งระบบใหม่ และการติดตามการตั้งค่าดังกล่าวตลอดอายุการใช้งาน โดยต้องมีการกำหนดบทบาทหน้าที่ความรับผิดชอบเพื่อให้มั่นใจได้ว่าองค์กรมีการควบคุมการตั้งค่าทั้งหมดจากองค์กร โดยพิจารณาให้ครอบคลุมหัวข้อดังต่อไปนี้

  • แม่แบบมาตรฐาน (Standard templates) โดยพิจารณาครอบคลุมหัวข้อดังนี้
    • ใช้คำแนะนำที่มีการเปิดเผยเป็นสาธารณะ เช่น แม่แบบ (template) จากเจ้าของโปรดักส์ หรือ
    • คำแนะนำจากองค์กรด้านความมั่นคงปลอดภัย พิจารณาระดับของการป้องกันเพื่อเลือกใช้ระดับความปลอดภัยที่เพียงพอ
    • แม่แบบที่จัดทำ และเป็นไปตามนโยบาย มาตรฐาน หรือ ความต้องการด้านความมั่นคงปลอดภัยขององค์กร
    • พิจารณาความเป็นไปได้ และการบังคับใช้ของการกำหนดค่าความปลอดภัยในบริบทขององค์กร และควรมีการทบทวนอย่างสม่ำเสมอ

และให้มีการปรับปรุงเมื่อพบการโจมตี หรือช่องโหว่ที่เกี่ยวข้อง หรือมีการปรับปรุงเวอร์ชันของ ซอฟต์แวร์ และฮาร์ดแวร์

  • การจัดการการตั้งค่า (Managing configurations) การบริหารจัดการการเปลี่ยนแปลงการตั้งค่าควรมีการเก็บบันทึกการตั้งค่าไว้ โดยต้องจัดให้มีการจัดเก็บข้อมูลบันทึกที่มีความมั่นคงปลอดภัย เพื่อให้ข้อมูลที่จัดเก็บมีความมั่นคงปลอดภัยในการเปลี่ยนแปลงการตั้งค่านั้น สามารถดำเนินการตามกระบวนการบริหารจัดการการเปลี่ยนแปลงขององค์กร (Change Management)
  • การติดตามการตั้งค่า (Monitoring configurations) ควรจัดให้มีเครื่องมือที่เหมาะสมในการติดตามการตั้งค่า และควรมีการทบทวนการตั้งค่าอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า การตั้งค่านั้นมีความถูกต้อง มีการใช้งานรหัสผ่านที่มีความแข็งแรงเพียงพอ อุปกรณ์ที่ถูกตั้งค่ามีการทำงานอย่างมีประสิทธิภาพ

นอกจากนี้ควรมีการเปรียบเทียบการตั้งค่าที่ใช้งานในปัจจุบันกับการตั้งค่าที่ควรจะเป็น หรือตามแม่แบบมาตรฐาน (Standard templates) เพื่อตรวจสอบข้อแตกต่างอีกด้วย


มาตรการควบคุม (Control)

ข้อมูลที่ถูกเก็บอยู่ในระบบสารสนเทศ หรือถูกจัดเก็บไว้ในอุปกรณ์ ทั้งพื้นที่จัดเก็บข้อมูล หรือสื่อบันทึกข้อมูลควรถูกลบเมื่อไม่มีความจำเป็นในการใช้งาน

วัตถุประสงค์ (Purpose)

เพื่อป้องกันการเปิดเผยของข้อมูลที่มีความอ่อนไหว และเพื่อให้เป็นไปตามกฎหมาย กฎระเบียบ หรือข้อกำหนด และข้อผูกมัดสัญญาที่เกี่ยวกับการลบข้อมูลสารสนเทศ

ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)

ข้อมูลที่มีความอ่อนไหว ไม่ควรถูกเก็บไว้นานเกินความจำเป็น เพื่อลดความเสี่ยงของการรั่วไหลของข้อมูลนั้น เมื่อต้องการลบข้อมูลควรพิจารณาดังต่อไปนี้

  • กระบวนการ หรือ วิธีการลบข้อมูล เช่น การเขียนทับข้อมูลหลาย ๆ ครั้ง การเลือกใช้วิธีลบข้อมูลด้วยเทคนิคการเข้ารหัส (Cryptographic Erasure)
  • การบันทึกผลลัพธ์ของการลบข้อมูล และการเก็บหลักฐานที่เกี่ยวข้อง
  • ในกรณีที่ใช้งานผู้ให้บริการภายนอกในการลบข้อมูล ต้องมีการเก็บหลักฐานการลบจากผู้ให้บริการ

หากมีการเก็บข้อมูลไว้ที่บุคคลที่สาม องค์กรควรกำหนดให้มีกระบวนการลบข้อมูลตรงกับความต้องการขององค์กรระบุไว้ในสัญญาที่ทำกับบุคคลที่สาม


มาตรการควบคุม (Control)

บริษัทควรมีการปิดบังข้อมูล (Data masking) ที่สอดคล้องกับนโยบายเฉพาะในการควบคุมการเข้าถึง หรือระเบียบข้อบังคับขององค์กร ตลอดจนการดำเนินตามข้อกฎหมายที่เกี่ยวข้อง

วัตถุประสงค์ (Purpose)

เพื่อลดการเปิดเผยของข้อมูลอ่อนไหวโดยรวมถึงข้อมูลส่วนบุคคล เพื่อปฏิบัติตามตามกฎหมาย ข้อบังคับ กฎระเบียบ และข้อตกลงในสัญญาที่เกี่ยวข้อง

ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)

ในการป้องกันข้อมูลที่มีความอ่อนไหว องค์กรสามารถเลือกใช้วิธีในการปิดบังหรือซ่อนข้อมูล เช่น เทคนิค Data masking Pseudonymization หรือ Anonymization โดยการเลือกใช้วิธีการแทนที่ข้อมูล (Pseudonymization) หรือ ข้อมูลนิรนาม (Anonymization) สำหรับข้อมูลส่วนบุคคล สามารถแปลงข้อมูลส่วนบุคคล หรือข้อมูลที่มีความอ่อนไหว โดยไม่แสดงถึงความเชื่อมโยงระหว่างข้อมูลปลอม และข้อมูลจริง เมื่อใช้วิธีการนี้แล้วต้องมั่นใจได้ว่าข้อมูลที่ต้องการป้องกัน ถูกเปลี่ยนแปลงเพียงพอที่จะปิดบังข้อมูลที่แท้จริง


มาตรการควบคุม (Control)

บริษัทควรมีการใช้งานมาตรการป้องกันการรั่วไหลของข้อมูลกับระบบสารสนเทศ เครือข่าย และอุปกรณ์อื่น ที่ประมวลผล จัดเก็บ หรือส่งต่อข้อมูลอ่อนไหว

วัตถุประสงค์ (Purpose)

เพื่อตรวจจับ และป้องกันการเปิดเผย และเข้าถึงข้อมูลโดยบุคคลหรือระบบที่ไม่ได้รับอนุญาต

ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)

องค์กรควรพิจารณาดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงของการรั่วไหลของข้อมูลครอบคลุมการประมวลผล การจัดเก็บ หรือการส่งต่อข้อมูลอ่อนไหว

  • ระบุ และจัดประเภทข้อมูลเพื่อป้องกันการรั่วไหล เช่น ข้อมูลส่วนบุคคล ข้อมูลรูปแบบการกำหนดราคา และการออกแบบผลิตภัณฑ์
  • การตรวจสอบช่องทางการรั่วไหลของข้อมูล เช่น อีเมล การถ่ายโอนไฟล์ อุปกรณ์พกพา และอุปกรณ์จัดเก็บข้อมูลแบบพกพา
  • ดำเนินการเพื่อป้องกันข้อมูลรั่วไหล เช่น การกักอีเมลที่มีข้อมูลที่อ่อนไหว


สำหรับ Ep สุดท้ายสามารถไปตามอ่านกันได้เลยนะคะ EP.4

สำหรับบริษัทหรือองค์กรใดที่สนใจหรือต้องการให้เอซีอินโฟเทคเป็นที่ปรึกษาเกี่ยวกับมาตรฐาน ISO27001 ให้กับองค์กรของท่าน สามารถสอบถามเพิ่มเติมได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3  (จันทร์ – ศุกร์, 9:00 – 18:00 น.)