Tips: Cybersecurity and Privacy Best Practices for Industries
ការស្វែងយល់អំពី “ការអនុវត្តន៍ល្អៗរបស់ឧស្សាហកម្មសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន” ពាក់ព័ន្ធទៅនឹងដំណើរការនៃការរំពឹងទុកនៃតម្រូវការទាំងសន្តិសុខ និងឯកជនភាព។ ដំណើរការនេះគឺជាផ្នែកទាំងអស់នៃការកំណត់ការរំពឹងទុកសមរម្យមួយ ដែលមាន “ទំហំត្រឹមត្រូវ” សម្រាប់អង្គភាព ដោយសារតែអង្គភាពនិមួយៗមានតម្រូវការពិសេសរៀងៗខ្លួន។ វាអាចជាការល្អបំផុតក្នុងការមើលឃើញ “ការអនុវត្តល្អៗ” ដូចជាជម្រើសជាច្រើន ដែលអ្នកអាចជ្រើសរើសអ្វីដែលអាចអនុវត្តន៍ចំពោះស្ថាប័នរបស់អ្នកដោយផ្អែកលើកាតព្វកិច្ចតាមច្បាប់បទបញ្ញត្តិនិងកិច្ចសន្យានានា។
ក្របខណ្ឌទាំងអស់ (Framwork) គឺមិនស្មើគ្នានោះទេ
បើិសិនជាអ្នកចំណាយពេលណាមួយអាននូវក្របខណ្ឌ Cybersecurity និង Privacy នោះអ្នកនឹងឃើញថាវាមិនស្មើគ្នាទៅក្នុងបរិបទជាច្រើន ដូចជា៖
– Scope of coverage (breath)
– Amount of details provided (depth)
– Taxonomy (overall arrangement of requirements & formatting)
– Industry-specific terminology
នៅក្នុងន័យថា “កុំឲ្យខ្លាំងពេក! កុំឲ្យខ្សោយពេក! គឺត្រឹមត្រូវ” ក្នុងការកំណត់នូវក្របខណ្ឌល្អប្រសើរណាមួយ សម្រាប់អង្គភាពអ្នក នោះវាត្រូវតែសិក្សាទៅលើការសម្រេចចិត្តនៅក្នុងអាជីវកម្មឲ្យបានច្រើនជាងការសម្រេចចិត្ត ផ្នែកបច្ចេកទេសសម្រាប់ហេតុផលដូចខាងក្រោម៖
– តើក្របខណ្ឌ (framework) នោះវាបានដោះស្រាយរាល់បញ្ហា បទដ្ឋានគតិយុត្ត និងការទាមទារផ្សេងៗទៀតដែរឬទេ?
– តើវាមាននូវធនធានសមស្របដើម្បីអនុវត្តន៍នូវក្របខណ្ឌនោះដែរឬទេ? (ឧ. ធនធានមនុស្ស,ដំណើរការ, និងការពិចារណាទៅលើបច្ចេកវិទ្យា)
– តើក្របខណ្ឌនោះវាសមមូលជាមួយនឹងវប្បធម៌របស់អង្គភាពដែរឬទេ? (ឧ. នឹងមានប្រតិកម្មខ្លាំងក្លាពីអ្នកប្រើប្រាស់និងអ្នកគ្រប់គ្រង?)
ធ្វើការកំណត់នូវ Framework ដែលត្រឹមត្រូវ
នៅពេលអ្នកដឹងពីអ្វីដែលអាចអនុវត្តន៍បានចំពោះស្ថាប័នរបស់អ្នក អ្នកអាចកំណត់យ៉ាងច្បាស់ពីការរំពឹងទុកដែលអ្នកត្រូវអនុវត្តន៍តាមរយៈមនុស្ស (people) ដំណើរការ (process) និងបច្ចេកវិទ្យា (technology)។ ការអនុវត្តល្អបំផុតមានភាពខុសគ្នាទៅតាមប្រភេទនៃឧស្សាហកម្ម ប៉ុន្តែវាក៏អាចមានការត្រួតស៊ីគ្នាផងដែរ ដូច្នេះវាជារឿងធម្មតាសម្រាប់ស្ថាប័នមួយធ្វើការបន្សីុគ្នាជាមួយការអនុវត្តល្អៗជាច្រើន ដើម្បីបង្កើតវិធីសាស្ត្រកូនកាត់ក្នុងការជ្រើសរើស និងអនុវត្តន៍យន្តការឆ្លើយតប (controls)។ ជារឿយៗមានការរំពឹងទុកខុសគ្នារវាងវិស័យឧស្សាហកម្ម (ដូចជាធនាគារ, ធានារ៉ាប់រង, រោងចក្រ, បច្ចេកវិទ្យាជាដើម) ក៏ដូចជាទំហំនៃអង្គភាពដោយផ្អែកលើកម្រិតធនធាន ហើយវានឹងបង្ហាញនូវរូបភាពខុសៗគ្នាលើការរំពឹងទុក។
រាល់ framework ទាំងអស់គឺមិនស្មើគ្នានោះទេ ហេតុដូច្នេះហើយវាគឺមានសារៈសំខាន់ណាស់ក្នុងការវិភាគ ក្នុងគោលបំណងដើម្បីកំណត់ឲ្យបានល្អបំផុតស្របទៅនឹងការត្រូវការរបស់អ្នកនៅពេលដែលធ្វើការជ្រើសរើសនូវ cybersecurity ឬ privacy framework។ អ្វីដែលងាយស្រួលក្នុងការអនុវត្តប្រហែលជាមិនផ្តល់នូវការគ្របដណ្តប់បានពេញលេញនោះទេ។
ជារឿយៗ អង្គភាពគឺត្រូវការឆ្លើយតបទៅនឹងអនុលោមភាពច្រើនជាងមួយ ហើយមិនមាននូវអង្គភាពពីរដែលឲ្យ និយមន័យពាក្យថា “ការអនុវត្តល្អៗ” ដូចគ្នានោះដែរ។ វាពឹងផ្នែកទៅលើទីតាំងភូមិសាស្ត្រដែលអង្គភាពប្រតិបត្តិការ ដែលជាទូទៅគឺរងឥទ្ធិពលដោយសារតម្រូវការអនុលោមភាពបទដ្ឋានគតិយុត្តិ។
ជ្រើសរើសក្របខណ្ឌដែលត្រឹមត្រូវសម្រាប់អង្គភាពអ្នក
អង្គភាពភាគច្រើនធ្វើការជ្រើសរើសនូវក្របខណ្ឌ cyber frameworks ចំនួន៣ ដើម្បីធ្វើការកំណត់ baseline របស់ខ្លួន
– NIST 800-53
– ISO 27002
– NIST Cybersecurity Framework
បើសិនជាអ្នកធ្វើការសាកសួរអ្នកអាជីពផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានដើម្បីធ្វើការជ្រើសរើសនូវអ្វីដែលជាការអនុវត្តល្អនោះ គឺជាទូទៅមានពីរ NIST ឬ ISO។ បើសិនជាអ្នកធ្វើការជជែកគ្នាទៅលើរសជាតិរបស់ទឹកក្រូច (កូកាកូឡា និង Pepsi) វានឹងពាក់ព័ន្ធទៅនឹងចំណង់ចំណូលចិត្តផ្ទាល់ខ្លួន ដោយសារតែផលិតផលទាំងពីរនេះគឺមានជាតិស្ករ និងខុសគ្នាទៅលើរសជាតិតិចតួចរួមជាមួយការវេចខ្ចប់តែប៉ុណ្ណោះ។ យើងក៏អាចលើកយកហេតុផលនេះមកបកស្រាយចំពោះ Framework ធំៗចំនួនពីរ គឺ NIST 800-53 និង ISO 27002 ។ ក្របខណ្ឌទាំងពីរនេះគឺវាគ្របដណ្តប់ទៅលើមូលដ្ឋានគ្រឹះដូចគ្នានៃកម្មវិធីសន្តិសុខព័ត៌មាន ប៉ុន្តែគ្រាន់តែខុសទៅលើខ្លឹមសារ (content) និងទ្រង់ទ្រាយ (layout) មួយចំនួនប៉ុណ្ណោះ។ ក្របខណ្ឌទាំងពីរនេះគឺអាចជាដំណោះស្រាយដ៏ល្អអស្ចារ្យ ប៉ុន្តែវាសំខាន់ណាស់ក្នុងការស្វែងយល់អំពីអត្ថប្រយោជន៍ និងចំនុចខ្វៈខាតរបស់វាទាំងពីរ។ ហេតុដូច្នេះហើយ ការជ្រើសរើសគួរតែផ្នែកទៅលើប្រភេទនៃឧស្សាហកម្មដែលអាជីវកម្មរបស់អ្នកកំពុងដំណើរការ។
ដើម្បីឲ្យកាន់តែច្បាស់នោះ ឧទាហរណ៍បញ្ជាក់ថា នៅក្នុងផ្នែកទាំង១៤ នៃ ISO27002 security controls គឺមាននៅក្នុងផ្នែកទាំង២៦ នៃ NIST 800-53 rev4 security control។ ISO 27002 គឺជាផ្នែកមួយដ៏សំខាន់នៃ NIST 800-53។
NIST Cybersecurity Framework (NIST CSF) យកផ្នែកមួយចំនួននៃ ISO 27002 និង NIST 800-53 ប៉ុន្តែមិនមែនមានតែពីរនេះទេ ដែលធ្វើឲ្យ NIST CSF គឺល្អប្រសើរសម្រាប់អង្គភាពតូចៗដែលត្រូវការនូវ best practice framework ដើម្បីធ្វើការបន្សីុគ្នា។ ចំណែកឯ ISO 27002 និង NIST 800-53 គឺល្អប្រសើរសម្រាប់អង្គភាពធំៗ ឬក៏អង្គភាពណាដែលមានតម្រូវការអនុលោមភាពជាក់លាក់។
តម្រូវការដូចជា Payment Card Industry Data Security Standard (PCI DSS) គឺមានលក្ខណៈលំអិតស្មុគស្មាញជាង NIST ដែលជាហេតុឲ្យអ្នកត្រូវការប្រើប្រាស់ ISO 27002 ឬ NIST 800-53 ជាមុនសិន មុននឹងទៅយក PCI DSS ។
ការអនុវត្តល្អៗរបស់ឧស្សាហកម្មសម្រាប់ឯកជនភាព
ស្រដៀងគ្នាទៅនឹង cybersecurity framework ដែរ ការជ្រើសរើសយកនូវ privacy framework គឺត្រូវតែពឹងផ្នែកទៅលើតម្រូវការអនុលោមភាពគតិយុត្តិ ជាមួយនឹងតម្រូវការអាជីវកម្មដែលនឹងអាចឲ្យយើង តាក់តែងនូវគោលការណ៍ឯកជនភាពសម្រាប់អង្គភាព។
អង្គភាពអាចជ្រើសរើសចេញពីក្របខណ្ឌឯកជនភាពល្បីៗ ដើម្បីធ្វើការកំណត់នូវមូលដ្ឋានសម្រាប់ការអនុវត្តៈ
– ISO 29100
– GAPP
– Privacy by Design (PbD)
យោងតាមបរិបទឯកជនភាព ការអនុវត្តល្អៗរបស់ឧស្សាហកម្មភាគច្រើនតែងតែកំណត់ចេញពីក្នុងក្របខណ្ឌខាងក្រោម៖
– Asia Pacific Economic Cooperation (APEC)
– Fair Information Practice Principles (FIPP)
– Generally Accepted Privacy Practices (GAPP)
– Health Insurance Portability & Accountability Act (HIPAA) Privacy Rule
– ISO 27018: Information Technology — Security Techniques — Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors
– ISO 29100: Information Technology — Security Techniques — Privacy Framework
– Nymity Privacy Management Accountability Framework
– OASIS Privacy Management Reference Model and Methodology (PMRM)
– Organization for Economic Cooperation & Development (OECD) Privacy Principles
– Privacy by Design (PbD)
– SOC 2 Trusted Services Criteria (TSC) – Privacy Principles
ឧទាហរណ៍នៃការប្រើប្រាស់នៅក្នងឧស្សាហកម្ម
ខាងក្រោមនេះគឺជាឧទារហណ៍មួយចំនួននៃការប្រើប្រាស់ framework នៅក្នុងទម្រង់ខុសៗផ្នែកទៅតាមប្រភេទនៃឧស្សាហកម្ម។
ក. សម្រាប់ Insurance Broker
តម្រូវការអនុលោមភាពអាចមានដូចខាងក្រោមៈ
– NY DFS 23NYCRR500
– Payment Card Industry Data Security Standard (PCI DSS)
– State Privacy / Data Breach Laws
តើហេតុអ្វី? នៅក្នុងករណីនេះ insurance broker គឺត្រូវទទួលនូវការបង់សាច់ប្រាក់ធំៗពីអតិថិជនតាមរយៈ credit cards ហេតុដូច្នេះ broker ត្រូវតែអនុលោមទៅតាម PCI DSS ។ សម្រាប់អតិថិជននៅទីក្រុង New York (NY clients), broker ក៏ត្រូវស្ថិតនៅក្រោមការត្រួតពិនិត្យរបស់NY Department of Financial Services សម្រាប់គតិយុត្តលេខ 23NYCRR500 ។
ការអនុវត្តរបស់ឧស្សាហកម្ម? នៅក្នុងករណីនេះគឺ ISO27002 គឺសមស្របបំផុតដោយសារតែវាគ្របដណ្តប់ PCI DSS និងការទាមទាររបស់រដ្ឋ New York ។ NIST មិនគ្របដណ្តប់ទៅលើ PCI DSS នោះទេ។
ខ. សម្រាប់ឧស្សាហកម្មរោងចក្រធំៗ (Manufacturing Company)
តម្រូវការអនុលោមភាពអាចមានដូចខាងក្រោមៈ
– NIST 800-171
– Payment Card Industry Data Security Standard (PCI DSS)
– State Privacy / Data Breach Laws (MA 201 CMR 17.00)
ហេតុអ្វី? នៅក្នុងករណីនេះ រោងចក្រធំៗមាននូវការកុងត្រាបន្ត (subcontract) ជាមួយនឹង US Department of Defense (DoD) contractor ដើម្បីផលិតនូវផ្នែកឧបករណ៍ដែលត្រូវបានចាត់ទុកជា Controlled Unclassified Information (CUI) ហេតុដូច្នេះ NIST 800-171 គឺត្រូវការជាចាំបាច់។ Manufacturer ទទួលយកនូវការបង់សាច់ប្រាក់តាមរយៈពីអតិថិជន ហេតុដូច្នេះត្រូវតែអនុលោមតាម PCI DSS។ ហើយបើរោងចក្រផលិតទាំងនោះ មានទីតាំងក្នុងរដ្ឋ Massachusetts ត្រូវអនុលោមតាម MA 201 CMR 17.00 ផងដែរ។
ការអនុវត្តរបស់ឧស្សាហកម្ម? ក្នុងករណីនេះ NIST 800-53 គឺសមស្របបំផុត ដោយនឹងធ្វើការគ្របបណ្ដប់ទៅលើ NIST 800-171, PCI DSS និងគតិយុត្តរបស់រដ្ឋ។ ISO 27002 និង NIST មិនមានលក្ខណៈគ្រប់គ្រាន់ឡើយ។
គ. ហាងកាហ្វេ (Coffee Shop)
តម្រូវការអនុលោមភាពអាចមានដូចខាងក្រោមៈ
– Payment Card Industry Data Security Standard (PCI DSS)
ហេតុអ្វី? នៅក្នុងករណីនេះហាងការហ្វេទទួលយកនូវការបង់ប្រាក់តាមរយៈ credit និង debit cards ហេតុដូច្នេះហើយវាស្ថិតនៅក្រោម PCI DSS ។
ការអនុវត្តរបស់ឧស្សាហកម្ម? នៅក្នុងករណីនេះ ISO27002 គឺសមរម្យបំផុតដែលនឹងគ្របដណ្តប់ PCI DSS។ ប៉ុន្តែហាងការហ្វេក៏អាចធ្វើការជ្រើសរើសយកដំណោះដាច់តែឯងតែមួយគត់ ដោយគ្រាន់តែឆ្លើយតបទៅនឹងការទាមទារនៃ PCI DSS ដោយមិនចាំបាច់ធ្វើការបំពេញនូវក្របខណ្ឌសន្តិសុខដ៏ធំនោះទេ៕
ប្រភព៖ Secure Controls Framework (SCF)