จากบทความ ep. 2 สำหรับการเตรียมการมาตรฐานใหม่
- 8.9 Configuration management
- 8.10 Information deletion
- 8.11 Data masking
- 8.12 Data leakage prevention
มาตรการควบคุม (Control)
การตั้งค่าโดยรวมถึงการตั้งค่าด้านความมั่นคงปลอดภัยของฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ควรมีการดำเนินการ จัดทำเอกสาร ดำเนินการติดตั้ง ติดตาม และทบทวน
วัตถุประสงค์ (Purpose)
เพื่อให้องค์กรสามารถมั่นใจได้ว่าฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ทำงานได้อย่างถูกต้อง และเป็นไปตามการตั้งค่าด้านความมั่นคงปลอดภัยสารสนเทศ และการตั้งค่าไม่ได้ถูกเปลี่ยนแปลงแก้ไขจากผู้ที่ไม่ได้รับอนุญาต หรือการเปลี่ยนแปลงที่ไม่ถูกต้อง
ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)
องค์กรควรกำหนดให้มีกระบวนการ และเครื่องมือในการตั้งค่าโดยรวมถึงการตั้งค่าด้านความมั่นคงปลอดภัยสารสนเทศ สำหรับฮาร์ดแวร์ ซอฟต์แวร์ บริการ (เช่น บริการคลาวด์) และเครือข่าย สำหรับการติดตั้งระบบใหม่ และการติดตามการตั้งค่าดังกล่าวตลอดอายุการใช้งาน โดยต้องมีการกำหนดบทบาทหน้าที่ความรับผิดชอบเพื่อให้มั่นใจได้ว่าองค์กรมีการควบคุมการตั้งค่าทั้งหมดจากองค์กร โดยพิจารณาให้ครอบคลุมหัวข้อดังต่อไปนี้
- แม่แบบมาตรฐาน (Standard
templates) โดยพิจารณาครอบคลุมหัวข้อดังนี้
- ใช้คำแนะนำที่มีการเปิดเผยเป็นสาธารณะ เช่น แม่แบบ (template) จากเจ้าของโปรดักส์ หรือ
- คำแนะนำจากองค์กรด้านความมั่นคงปลอดภัย พิจารณาระดับของการป้องกันเพื่อเลือกใช้ระดับความปลอดภัยที่เพียงพอ
- แม่แบบที่จัดทำ และเป็นไปตามนโยบาย มาตรฐาน หรือ ความต้องการด้านความมั่นคงปลอดภัยขององค์กร
- พิจารณาความเป็นไปได้ และการบังคับใช้ของการกำหนดค่าความปลอดภัยในบริบทขององค์กร และควรมีการทบทวนอย่างสม่ำเสมอ
และให้มีการปรับปรุงเมื่อพบการโจมตี หรือช่องโหว่ที่เกี่ยวข้อง หรือมีการปรับปรุงเวอร์ชันของ ซอฟต์แวร์ และฮาร์ดแวร์
- การจัดการการตั้งค่า (Managing configurations) การบริหารจัดการการเปลี่ยนแปลงการตั้งค่าควรมีการเก็บบันทึกการตั้งค่าไว้ โดยต้องจัดให้มีการจัดเก็บข้อมูลบันทึกที่มีความมั่นคงปลอดภัย เพื่อให้ข้อมูลที่จัดเก็บมีความมั่นคงปลอดภัยในการเปลี่ยนแปลงการตั้งค่านั้น สามารถดำเนินการตามกระบวนการบริหารจัดการการเปลี่ยนแปลงขององค์กร (Change Management)
- การติดตามการตั้งค่า (Monitoring configurations) ควรจัดให้มีเครื่องมือที่เหมาะสมในการติดตามการตั้งค่า และควรมีการทบทวนการตั้งค่าอย่างสม่ำเสมอ เพื่อให้มั่นใจได้ว่า การตั้งค่านั้นมีความถูกต้อง มีการใช้งานรหัสผ่านที่มีความแข็งแรงเพียงพอ อุปกรณ์ที่ถูกตั้งค่ามีการทำงานอย่างมีประสิทธิภาพ
นอกจากนี้ควรมีการเปรียบเทียบการตั้งค่าที่ใช้งานในปัจจุบันกับการตั้งค่าที่ควรจะเป็น หรือตามแม่แบบมาตรฐาน (Standard templates) เพื่อตรวจสอบข้อแตกต่างอีกด้วย
มาตรการควบคุม (Control)
ข้อมูลที่ถูกเก็บอยู่ในระบบสารสนเทศ หรือถูกจัดเก็บไว้ในอุปกรณ์ ทั้งพื้นที่จัดเก็บข้อมูล หรือสื่อบันทึกข้อมูลควรถูกลบเมื่อไม่มีความจำเป็นในการใช้งาน
วัตถุประสงค์ (Purpose)
เพื่อป้องกันการเปิดเผยของข้อมูลที่มีความอ่อนไหว และเพื่อให้เป็นไปตามกฎหมาย กฎระเบียบ หรือข้อกำหนด และข้อผูกมัดสัญญาที่เกี่ยวกับการลบข้อมูลสารสนเทศ
ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)
ข้อมูลที่มีความอ่อนไหว ไม่ควรถูกเก็บไว้นานเกินความจำเป็น เพื่อลดความเสี่ยงของการรั่วไหลของข้อมูลนั้น เมื่อต้องการลบข้อมูลควรพิจารณาดังต่อไปนี้
- กระบวนการ หรือ วิธีการลบข้อมูล เช่น การเขียนทับข้อมูลหลาย ๆ ครั้ง การเลือกใช้วิธีลบข้อมูลด้วยเทคนิคการเข้ารหัส (Cryptographic Erasure)
- การบันทึกผลลัพธ์ของการลบข้อมูล และการเก็บหลักฐานที่เกี่ยวข้อง
- ในกรณีที่ใช้งานผู้ให้บริการภายนอกในการลบข้อมูล ต้องมีการเก็บหลักฐานการลบจากผู้ให้บริการ
หากมีการเก็บข้อมูลไว้ที่บุคคลที่สาม องค์กรควรกำหนดให้มีกระบวนการลบข้อมูลตรงกับความต้องการขององค์กรระบุไว้ในสัญญาที่ทำกับบุคคลที่สาม
มาตรการควบคุม (Control)
บริษัทควรมีการปิดบังข้อมูล (Data masking) ที่สอดคล้องกับนโยบายเฉพาะในการควบคุมการเข้าถึง หรือระเบียบข้อบังคับขององค์กร ตลอดจนการดำเนินตามข้อกฎหมายที่เกี่ยวข้อง
วัตถุประสงค์ (Purpose)
เพื่อลดการเปิดเผยของข้อมูลอ่อนไหวโดยรวมถึงข้อมูลส่วนบุคคล เพื่อปฏิบัติตามตามกฎหมาย ข้อบังคับ กฎระเบียบ และข้อตกลงในสัญญาที่เกี่ยวข้อง
ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)
ในการป้องกันข้อมูลที่มีความอ่อนไหว องค์กรสามารถเลือกใช้วิธีในการปิดบังหรือซ่อนข้อมูล เช่น เทคนิค Data masking Pseudonymization หรือ Anonymization โดยการเลือกใช้วิธีการแทนที่ข้อมูล (Pseudonymization) หรือ ข้อมูลนิรนาม (Anonymization) สำหรับข้อมูลส่วนบุคคล สามารถแปลงข้อมูลส่วนบุคคล หรือข้อมูลที่มีความอ่อนไหว โดยไม่แสดงถึงความเชื่อมโยงระหว่างข้อมูลปลอม และข้อมูลจริง เมื่อใช้วิธีการนี้แล้วต้องมั่นใจได้ว่าข้อมูลที่ต้องการป้องกัน ถูกเปลี่ยนแปลงเพียงพอที่จะปิดบังข้อมูลที่แท้จริง
มาตรการควบคุม (Control)
บริษัทควรมีการใช้งานมาตรการป้องกันการรั่วไหลของข้อมูลกับระบบสารสนเทศ เครือข่าย และอุปกรณ์อื่น ที่ประมวลผล จัดเก็บ หรือส่งต่อข้อมูลอ่อนไหว
วัตถุประสงค์ (Purpose)
เพื่อตรวจจับ และป้องกันการเปิดเผย และเข้าถึงข้อมูลโดยบุคคลหรือระบบที่ไม่ได้รับอนุญาต
ภาพรวมของแนวทางดำเนินการตามมาตรฐาน (Overview Guidance)
องค์กรควรพิจารณาดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงของการรั่วไหลของข้อมูลครอบคลุมการประมวลผล การจัดเก็บ หรือการส่งต่อข้อมูลอ่อนไหว
- ระบุ และจัดประเภทข้อมูลเพื่อป้องกันการรั่วไหล เช่น ข้อมูลส่วนบุคคล ข้อมูลรูปแบบการกำหนดราคา และการออกแบบผลิตภัณฑ์
- การตรวจสอบช่องทางการรั่วไหลของข้อมูล เช่น อีเมล การถ่ายโอนไฟล์ อุปกรณ์พกพา และอุปกรณ์จัดเก็บข้อมูลแบบพกพา
- ดำเนินการเพื่อป้องกันข้อมูลรั่วไหล เช่น การกักอีเมลที่มีข้อมูลที่อ่อนไหว
สำหรับ Ep สุดท้ายสามารถไปตามอ่านกันได้เลยนะคะ EP.4
สำหรับบริษัทหรือองค์กรใดที่สนใจหรือต้องการให้เอซีอินโฟเทคเป็นที่ปรึกษาเกี่ยวกับมาตรฐาน ISO27001 ให้กับองค์กรของท่าน สามารถสอบถามเพิ่มเติมได้ที่ [email protected] หรือ โทร. 02 670 8980 ถึง 3 (จันทร์ – ศุกร์, 9:00 – 18:00 น.)