ISAC Cambodia (InfoSec)
GeneralSecurity News

Tips: Cybersecurity and Privacy Best Practices for Industries

ការស្វែងយល់អំពី “ការអនុវត្តន៍ល្អៗរបស់ឧស្សាហកម្មសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មាន” ពាក់ព័ន្ធទៅនឹងដំណើរការនៃការរំពឹងទុកនៃតម្រូវការទាំងសន្តិសុខ និងឯកជនភាព។ ដំណើរការនេះគឺជាផ្នែកទាំងអស់នៃការកំណត់ការរំពឹងទុកសមរម្យមួយ ដែលមាន “ទំហំត្រឹមត្រូវ” សម្រាប់អង្គភាព ដោយសារតែអង្គភាពនិមួយៗមានតម្រូវការពិសេសរៀងៗខ្លួន។ វាអាចជាការល្អបំផុតក្នុងការមើលឃើញ “ការអនុវត្តល្អៗ” ដូចជាជម្រើសជាច្រើន ដែលអ្នកអាចជ្រើសរើសអ្វីដែលអាចអនុវត្តន៍ចំពោះស្ថាប័នរបស់អ្នកដោយផ្អែកលើកាតព្វកិច្ចតាមច្បាប់បទបញ្ញត្តិនិងកិច្ចសន្យានានា។

ក្របខណ្ឌទាំងអស់ (Framwork) គឺមិនស្មើគ្នានោះទេ

បើិសិនជាអ្នកចំណាយពេលណាមួយអាននូវក្របខណ្ឌ Cybersecurity និង Privacy នោះអ្នកនឹងឃើញថាវាមិនស្មើគ្នាទៅក្នុងបរិបទជាច្រើន ដូចជា៖

– Scope of coverage (breath)
– Amount of details provided (depth)
– Taxonomy (overall arrangement of requirements & formatting)
– Industry-specific terminology

នៅក្នុងន័យថា “កុំឲ្យខ្លាំងពេក! កុំឲ្យខ្សោយពេក! គឺត្រឹមត្រូវ” ក្នុងការកំណត់នូវក្របខណ្ឌល្អប្រសើរណាមួយ សម្រាប់អង្គភាពអ្នក នោះវាត្រូវតែសិក្សាទៅលើការសម្រេចចិត្តនៅក្នុងអាជីវកម្មឲ្យបានច្រើនជាងការសម្រេចចិត្ត ផ្នែកបច្ចេកទេសសម្រាប់ហេតុផលដូចខាងក្រោម៖

– តើក្របខណ្ឌ (framework) នោះវាបានដោះស្រាយរាល់បញ្ហា បទដ្ឋានគតិយុត្ត និងការទាមទារផ្សេងៗទៀតដែរឬទេ?
– តើវាមាននូវធនធានសមស្របដើម្បីអនុវត្តន៍នូវក្របខណ្ឌនោះដែរឬទេ? (ឧ. ធនធានមនុស្ស,ដំណើរការ, និងការពិចារណាទៅលើបច្ចេកវិទ្យា)
– តើក្របខណ្ឌនោះវាសមមូលជាមួយនឹងវប្បធម៌របស់អង្គភាពដែរឬទេ? (ឧ. នឹងមានប្រតិកម្មខ្លាំងក្លាពីអ្នកប្រើប្រាស់និងអ្នកគ្រប់គ្រង?)

ធ្វើការកំណត់នូវ Framework ដែលត្រឹមត្រូវ

នៅពេលអ្នកដឹងពីអ្វីដែលអាចអនុវត្តន៍បានចំពោះស្ថាប័នរបស់អ្នក អ្នកអាចកំណត់យ៉ាងច្បាស់ពីការរំពឹងទុកដែលអ្នកត្រូវអនុវត្តន៍តាមរយៈមនុស្ស (people) ដំណើរការ (process) និងបច្ចេកវិទ្យា (technology)។ ការអនុវត្តល្អបំផុតមានភាពខុសគ្នាទៅតាមប្រភេទនៃឧស្សាហកម្ម ប៉ុន្តែវាក៏អាចមានការត្រួតស៊ីគ្នាផងដែរ ដូច្នេះវាជារឿងធម្មតាសម្រាប់ស្ថាប័នមួយធ្វើការបន្សីុគ្នាជាមួយការអនុវត្តល្អៗជាច្រើន ដើម្បីបង្កើតវិធីសាស្ត្រកូនកាត់ក្នុងការជ្រើសរើស និងអនុវត្តន៍យន្តការឆ្លើយតប (controls)។ ជារឿយៗមានការរំពឹងទុកខុសគ្នារវាងវិស័យឧស្សាហកម្ម (ដូចជាធនាគារ, ធានារ៉ាប់រង, រោងចក្រ, បច្ចេកវិទ្យាជាដើម) ក៏ដូចជាទំហំនៃអង្គភាពដោយផ្អែកលើកម្រិតធនធាន ហើយវានឹងបង្ហាញនូវរូបភាពខុសៗគ្នាលើការរំពឹងទុក។

រាល់ framework ទាំងអស់គឺមិនស្មើគ្នានោះទេ ហេតុដូច្នេះហើយវាគឺមានសារៈសំខាន់ណាស់ក្នុងការវិភាគ ក្នុងគោលបំណងដើម្បីកំណត់ឲ្យបានល្អបំផុតស្របទៅនឹងការត្រូវការរបស់អ្នកនៅពេលដែលធ្វើការជ្រើសរើសនូវ cybersecurity ឬ privacy framework។ អ្វីដែលងាយស្រួលក្នុងការអនុវត្តប្រហែលជាមិនផ្តល់នូវការគ្របដណ្តប់បានពេញលេញនោះទេ។

ជារឿយៗ អង្គភាពគឺត្រូវការឆ្លើយតបទៅនឹងអនុលោមភាពច្រើនជាងមួយ ហើយមិនមាននូវអង្គភាពពីរដែលឲ្យ និយមន័យពាក្យថា “ការអនុវត្តល្អៗ” ដូចគ្នានោះដែរ។ វាពឹងផ្នែកទៅលើទីតាំងភូមិសាស្ត្រដែលអង្គភាពប្រតិបត្តិការ ដែលជាទូទៅគឺរងឥទ្ធិពលដោយសារតម្រូវការអនុលោមភាពបទដ្ឋានគតិយុត្តិ។

ជ្រើសរើសក្របខណ្ឌដែលត្រឹមត្រូវសម្រាប់អង្គភាពអ្នក

អង្គភាពភាគច្រើនធ្វើការជ្រើសរើសនូវក្របខណ្ឌ cyber frameworks ចំនួន៣ ដើម្បីធ្វើការកំណត់ baseline របស់ខ្លួន

– NIST 800-53
– ISO 27002
– NIST Cybersecurity Framework

បើសិនជាអ្នកធ្វើការសាកសួរអ្នកអាជីពផ្នែកសន្តិសុខបច្ចេកវិទ្យាគមនាគមន៍ និងព័ត៌មានដើម្បីធ្វើការជ្រើសរើសនូវអ្វីដែលជាការអនុវត្តល្អនោះ គឺជាទូទៅមានពីរ NIST ឬ ISO។ បើសិនជាអ្នកធ្វើការជជែកគ្នាទៅលើរសជាតិរបស់ទឹកក្រូច (កូកាកូឡា និង​ Pepsi) វានឹងពាក់ព័ន្ធទៅនឹងចំណង់ចំណូលចិត្តផ្ទាល់ខ្លួន ដោយសារតែផលិតផលទាំងពីរនេះគឺមានជាតិស្ករ និងខុសគ្នាទៅលើរសជាតិតិចតួចរួមជាមួយការវេចខ្ចប់តែប៉ុណ្ណោះ។ យើងក៏អាចលើកយកហេតុផលនេះមកបកស្រាយចំពោះ Framework ធំៗចំនួនពីរ គឺ NIST 800-53 និង ISO 27002 ។ ក្របខណ្ឌទាំងពីរនេះគឺវាគ្របដណ្តប់ទៅលើមូលដ្ឋានគ្រឹះដូចគ្នានៃកម្មវិធីសន្តិសុខព័ត៌មាន ប៉ុន្តែគ្រាន់តែខុសទៅលើខ្លឹមសារ​ (content) និងទ្រង់ទ្រាយ (layout) មួយចំនួនប៉ុណ្ណោះ។ ក្របខណ្ឌទាំងពីរនេះគឺអាចជាដំណោះស្រាយដ៏ល្អអស្ចារ្យ ប៉ុន្តែវាសំខាន់ណាស់ក្នុងការស្វែងយល់អំពីអត្ថប្រយោជន៍ និងចំនុចខ្វៈខាតរបស់វាទាំងពីរ។ ហេតុដូច្នេះហើយ ការជ្រើសរើសគួរតែផ្នែកទៅលើប្រភេទនៃឧស្សាហកម្មដែលអាជីវកម្មរបស់អ្នកកំពុងដំណើរការ។

ដើម្បីឲ្យកាន់តែច្បាស់នោះ ឧទាហរណ៍បញ្ជាក់ថា នៅក្នុងផ្នែកទាំង១៤ នៃ ISO27002 security controls គឺមាននៅក្នុងផ្នែកទាំង២៦ នៃ NIST 800-53 rev4 security control។ ISO 27002 គឺជាផ្នែកមួយដ៏សំខាន់នៃ NIST 800-53។

NIST Cybersecurity Framework (NIST CSF) យកផ្នែកមួយចំនួននៃ ISO 27002 និង NIST 800-53 ប៉ុន្តែមិនមែនមានតែពីរនេះទេ ដែលធ្វើឲ្យ NIST CSF គឺល្អប្រសើរសម្រាប់អង្គភាពតូចៗដែលត្រូវការនូវ best practice framework ដើម្បីធ្វើការបន្សីុគ្នា។ ចំណែកឯ ISO 27002 និង NIST 800-53 គឺល្អប្រសើរសម្រាប់អង្គភាពធំៗ ឬក៏អង្គភាពណាដែលមានតម្រូវការអនុលោមភាពជាក់លាក់។

តម្រូវការដូចជា Payment Card Industry Data Security Standard (PCI DSS) គឺមានលក្ខណៈលំអិតស្មុគស្មាញជាង NIST ដែលជាហេតុឲ្យអ្នកត្រូវការប្រើប្រាស់ ISO 27002 ឬ NIST 800-53 ជាមុនសិន មុននឹងទៅយក PCI DSS ។

ការអនុវត្តល្អៗរបស់ឧស្សាហកម្មសម្រាប់ឯកជនភាព

ស្រដៀងគ្នាទៅនឹង cybersecurity framework ដែរ ការជ្រើសរើសយកនូវ privacy framework គឺត្រូវតែពឹងផ្នែកទៅលើតម្រូវការអនុលោមភាពគតិយុត្តិ ជាមួយនឹងតម្រូវការអាជីវកម្មដែលនឹងអាចឲ្យយើង តាក់តែងនូវគោលការណ៍ឯកជនភាពសម្រាប់អង្គភាព។

អង្គភាពអាចជ្រើសរើសចេញពីក្របខណ្ឌឯកជនភាពល្បីៗ ដើម្បីធ្វើការកំណត់នូវមូលដ្ឋានសម្រាប់ការអនុវត្តៈ

– ISO 29100
– GAPP
– Privacy by Design (PbD)

យោងតាមបរិបទឯកជនភាព ការអនុវត្តល្អៗរបស់ឧស្សាហកម្មភាគច្រើនតែងតែកំណត់ចេញពីក្នុងក្របខណ្ឌខាងក្រោម៖

– Asia Pacific Economic Cooperation (APEC)
– Fair Information Practice Principles (FIPP)
– Generally Accepted Privacy Practices (GAPP)
– Health Insurance Portability & Accountability Act (HIPAA) Privacy Rule
– ISO 27018: Information Technology — Security Techniques — Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors
– ISO 29100: Information Technology — Security Techniques — Privacy Framework
– Nymity Privacy Management Accountability Framework
– OASIS Privacy Management Reference Model and Methodology (PMRM)
– Organization for Economic Cooperation & Development (OECD) Privacy Principles
– Privacy by Design (PbD)
– SOC 2 Trusted Services Criteria (TSC) – Privacy Principles

ឧទាហរណ៍នៃការប្រើប្រាស់នៅក្នងឧស្សាហកម្ម

ខាងក្រោមនេះគឺជាឧទារហណ៍មួយចំនួននៃការប្រើប្រាស់ framework នៅក្នុងទម្រង់ខុសៗផ្នែកទៅតាមប្រភេទនៃឧស្សាហកម្ម។

ក. សម្រាប់ Insurance Broker

តម្រូវការអនុលោមភាពអាចមានដូចខាងក្រោមៈ

– NY DFS 23NYCRR500
– Payment Card Industry Data Security Standard (PCI DSS)
– State Privacy / Data Breach Laws

តើហេតុអ្វី? នៅក្នុងករណីនេះ insurance broker គឺត្រូវទទួលនូវការបង់សាច់ប្រាក់ធំៗពីអតិថិជនតាមរយៈ credit cards ហេតុដូច្នេះ broker ត្រូវតែអនុលោមទៅតាម PCI DSS ។ សម្រាប់អតិថិជននៅទីក្រុង New York (NY clients), broker ក៏ត្រូវស្ថិតនៅក្រោមការត្រួតពិនិត្យរបស់NY Department of Financial Services សម្រាប់គតិយុត្តលេខ 23NYCRR500 ។

ការអនុវត្តរបស់ឧស្សាហកម្ម? នៅក្នុងករណីនេះគឺ ISO27002 គឺសមស្របបំផុតដោយសារតែវាគ្របដណ្តប់ PCI DSS និងការទាមទាររបស់រដ្ឋ New York ។ NIST មិនគ្របដណ្តប់ទៅលើ PCI DSS នោះទេ។

ខ. សម្រាប់ឧស្សាហកម្មរោងចក្រធំៗ (Manufacturing Company)

តម្រូវការអនុលោមភាពអាចមានដូចខាងក្រោមៈ

– NIST 800-171
– Payment Card Industry Data Security Standard (PCI DSS)
– State Privacy / Data Breach Laws (MA 201 CMR 17.00)

ហេតុអ្វី? នៅក្នុងករណីនេះ រោងចក្រធំៗមាននូវការកុងត្រាបន្ត (subcontract) ជាមួយនឹង US Department of Defense (DoD) contractor ដើម្បីផលិតនូវផ្នែកឧបករណ៍ដែលត្រូវបានចាត់ទុកជា Controlled Unclassified Information (CUI) ហេតុដូច្នេះ NIST 800-171 គឺត្រូវការជាចាំបាច់។ Manufacturer ទទួលយកនូវការបង់សាច់ប្រាក់តាមរយៈពីអតិថិជន ហេតុដូច្នេះត្រូវតែអនុលោមតាម PCI DSS។ ហើយបើរោងចក្រផលិតទាំងនោះ មានទីតាំងក្នុងរដ្ឋ Massachusetts ត្រូវអនុលោមតាម MA 201 CMR 17.00 ផងដែរ។

ការអនុវត្តរបស់ឧស្សាហកម្ម? ក្នុងករណីនេះ NIST 800-53 គឺសមស្របបំផុត ដោយនឹងធ្វើការគ្របបណ្ដប់ទៅលើ NIST 800-171, PCI DSS និងគតិយុត្តរបស់រដ្ឋ។ ISO 27002 និង NIST មិនមានលក្ខណៈគ្រប់គ្រាន់ឡើយ។

គ. ហាងកាហ្វេ (Coffee Shop)

តម្រូវការអនុលោមភាពអាចមានដូចខាងក្រោមៈ

– Payment Card Industry Data Security Standard (PCI DSS)

ហេតុអ្វី? នៅក្នុងករណីនេះហាងការហ្វេទទួលយកនូវការបង់ប្រាក់តាមរយៈ credit និង debit cards ហេតុដូច្នេះហើយវាស្ថិតនៅក្រោម PCI DSS ។

ការអនុវត្តរបស់ឧស្សាហកម្ម? នៅក្នុងករណីនេះ ISO27002 គឺសមរម្យបំផុតដែលនឹងគ្របដណ្តប់ PCI DSS។ ប៉ុន្តែហាងការហ្វេក៏អាចធ្វើការជ្រើសរើសយកដំណោះដាច់តែឯងតែមួយគត់ ដោយគ្រាន់តែឆ្លើយតបទៅនឹងការទាមទារនៃ PCI DSS ដោយមិនចាំបាច់ធ្វើការបំពេញនូវក្របខណ្ឌសន្តិសុខដ៏ធំនោះទេ៕

ប្រភព៖ Secure Controls Framework (SCF)

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button