ไทยแอรเอเชีย
เผยวิสัยทัศนการลงทุนระบบ RSA SIEM และ VMware เชื่อมั่นบริการจาก เบย คอมพิวติ้ง P. 06
นิตยสาร เบย คอมพิวติ้ง ฉบับที่ 13 ป 2555
โซลูชั่นที่ตอบโจทยสำหรับทุกองคกรในทุกวิกฤติการณ คุณจึงมั่นใจไดวา ไมวาจะอยูที่ไหนคุณก็สามารถจัดการกับเครือขายไรสาย ในสาขาตางๆ ขององคกรไดจากทุกที่ ขณะที่ยังคงความปลอดภัยไว ในระดับสูงไดเชนเดิม
Bay Newsletter_issue 13-1.indd 1
3/28/2012 3:24:24 PM
EDITOR’S NOTE & CONTENTS
สวัสดีปมังกรทองทุกทานคะ Bay’s Newsletter กลับมาพรอมกับโซลูชั่นที่ชวย ตอบโจทยสำหรับองคกรทีป่ ระสบปญหาอุทกภัยในชวงปลายปทผี่ า นมา ภายใตชอื่ “Work at Home” ที่มาในคอนเซ็ปตอยูที่ไหนก็สามารถทำงานได แตเรื่องความ ปลอดภัยเรายังคงไวในระดับสูงเชนเดิม ฉบับนี้เรายังมีโซลูชั่น Endpoint Management and Security Suite เพื่อชวยในการบริหาร จัดการเครื่องปลายทางภายใตคอนโซลเดียว เพื่อความสะดวกและลดตนทุนดานการบริหาร จัดการ นอกจากนี้เรายังมีภาคจบของ PCI-DSS ตอทายดวย Cisco Unified Computing System (UCS) เพื่อเปนประโยชนกับลูกคาที่มีระบบดาตาเซ็นเตอร แลวกลับมาพบกันใหม ในฉบับหนานะคะ นิดา ตั้งวงศศิริ, ผูจัดการทั่วไป
CONTENTS
02 03 05 06
EDITOR's NOTE & CONTENTS NEWS UPDATE Work @ Home Solution SUCCESS STORY
ä·ÂáÍà àÍàªÕ à¼ÂÇÔÊÑ·Ñȹ ¡ÒÃŧ·Ø¹Ãкº RSA SIEM áÅÐ VMware àª×èÍÁÑ蹺ÃÔ¡Òèҡ àºÂ ¤ÍÁ¾ÔÇμÔé§
09 SOLUTION UPDATE PCI-DSS Solutions μ͹·Õè 3
12 SonicWALL Tops the NSS Chart 13 NETWITNESS 14 ISMS STANDARD àÊÃÔÁÁÒμáÒäÇÒÁ»ÅÍ´ÀÑÂäÍ·Õ´ŒÇ ISO 27001:2005 μ͹·Õè 11 “Annex A” (μ͹¨º)
16 Endpoint Management and Security Suite 2
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 2
3/28/2012 3:24:33 PM
NEWS UPDATE
01
National Cyber Security Conference 2011
เมื่อวันที่ 18-19 สิงหาคมที่ผานมา บริษัท เบย คอมพิวติ้ง และ RSA เขารวมออกบูธในงานสัมมนาวิชาการดานการรักษาความ ปลอดภัยไซเบอรแหงชาติ (National Cyber Security Conference 2011) ณ สโมสรทหารบก ถนนวิภาวดีรังสิต โดยวัตถุประสงค ของงานจั ด ขึ้ น เพื่ อ กระตุ น ให เ กิ ด ความตื่ น ตั ว กั บ ภั ย คุ ก คามที่ มาจากไซเบอรและเสริมสรางเครือขาย ทำใหเกิดความรวมมือ ระหวางหนวยงานภาครัฐและภาคเอกชนในการปองกันภัยคุกคาม ที่มาจากไซเบอร โดยเราไดนำโซลูชั่นใหม RSA Netwitness Network Forensics ทีช่ ว ยสืบคนและพิสจู นเครือ่ งมือทีม่ ภี ยั คุกคาม จากไซเบอรไดอยางดีเยี่ยม
02
เบยรวมออกบูธงาน Digital Forensics
เมื่ อ วั น ที่ 1 กั น ยายน 2554 ที่ ผ า นมา บริ ษั ท เบย คอมพิวติ้ง และ RSA รวมออกบูธงานสัมมนาทางวิชาการดาน Digital Forensics ประจำป 2554 ณ หองแกรนด บอลรูม ชั้น 4 โรงแรมแกรนด มิลเลนเนี่ยม สุขุมวิท ซึ่งงานนี้จัดขึ้นโดย DSI (กรมสอบสวนคดีพิเศษ) เปนการเสวนาเรื่อง “เทคโนโลยีกับการ จั ด เก็ บ รวบรวม และตรวจพิ สู จ น พ ยานหลั ก ฐานดิ จิ ต อลของ ภาคเอกชน” ทั้งนี้ บริษัท เบย คอมพิวติ้ง ยังไดนำเสนอโซลูชั่น “Netwitness - Network Forensics” ซึ่งเปนผลิตภัณฑใหมของ ทาง RSA เพื่อใหขอมูลที่เปนประโยชนแกผูมารวมงาน
2011
2011
1
18-19 August
September
2011
2011
September
December
27
27-28
03
2nd Annual Regional Collaboration in Cyber Security Conference
เมื่อวันที่ 27-28 กันยายนที่ผานมา Bay และ RSA รวมออกบูธ ในงาน “2nd Annual Regional Collaboration in Cyber Security Conference Bangkok Thailand 2011” ณ หองแกรนด บอลรูม โรงแรมแชงกรีลา จัดขึน้ โดย National Defense University ภายในงาน เปนการสัมมนาเพือ่ ใหความรูแ ละแลกเปลีย่ นความคิดเห็น ในหัวขอ ที่กำลังเปนที่นาสนใจ เชน International Cybersecurity and Cyber Terrorism, The state of Regional Cyber Security and Cybersecurity from an Operational Perspective เปนตน นอกจากนี้ บริษทั เบย คอมพิวติง้ ไดนำโซลูชน่ั ของ RSA ไปนำเสนอ และใหความรูเพิ่มเติมแกผูเขารวมงานสัมมนาดวย
04
Exclusive Golf Challenge
เมื่อวันที่ 27 ธันวาคมที่ผานมา บริษัท เบย คอมพิวติ้ง รวมกับ RSA และ M.Tech ไดจัดกิจกรรมการแขงขันกอลฟ เพื่อ เปนการสรางความสัมพันธและตอบแทนกลุม ลูกคา ณ สนามกอลฟ ริเวอรเดล กอลฟคลับ (ปทุมธานี) ภายใตชื่องาน “Exclusive Golf Challenge 2011” โดยมีผูสนใจเขารวมงานอยางหนาตา ทั้งนี้ นอกจากจะมีการแขงขันกอลฟในชวงเชาแลว งานเลี้ยงสังสรรค ในชวงเย็นยังไดรับเกียรติจาก โปรเชาวรัตน เขมรัตน มาชวยสอน เทคนิ ค ต า งๆ ให กั บ ลู ก ค า ที่ ส นใจจะปรึ ก ษาการเล น กอล ฟ ซึ่ ง ภายในงานดำเนินไปอยางอบอุนและเปนกันเอง
Bay Computing Newsletter l 13th Issue Bay Newsletter_issue 13-1.indd 3
3 3/28/2012 3:25:28 PM
NEWS UPDATE
2011
10
October
05
บ.เบยฯ รวมบริจาคสิ่งของ แกผูประสบภัยน้ำทวม
อันเนื่องจากวิกฤติการณอุทกภัยครั้งใหญที่ผานมา สงผลกระทบ ตอทุกหนวยงานทั้งภาครัฐ ภาคเอกชน รวมถึงประชาชนมากกวา 27 จั ง หวั ด ทั่ ว ประเทศ ทำให มี ผู ป ระสบภั ย จากอุ ท กภั ย ครั้ ง นี้ เปนจำนวนมาก บริษัท เบย คอมพิวติ้ง จึงรวมบริจาคเงิน เพื่อ นำไปซื้ อ สิ่ ง ของอุ ป โภคบริ โ ภคที่ เ ป น ประโยชน แ ก ผู ป ระสบภั ย โดยไดนำสิ่งของทั้งหมดไปบริจาคใหที่ศูนยผูพักพิงผูประสบภัย ณ มหาวิทยาลัยธรรมศาสตร ศูนยรังสิต เมื่อวันที่ 10 ตุลาคม 2554 บริษัท เบย คอมพิวติ้งขอรวมสงกำลังใจใหผูประสบภัย ทุกทาน และขอเปนกำลังใจในการสูตอไปดวยกัน
07
งานเลี้ยงปใหมบริษัท
ราอะเวย
บริ ษั ท เบย คอมพิ ว ติ้ ง จำกั ด ได ต ระหนั ก ถึ ง ผลกระทบความเสียหายที่เกิดจากวิกฤติการณน้ำทวมในป 2554 ทีผ่ า นมา ดังนัน้ ทางบริษทั จึงไดตดิ ตอกับทางมหาวิทยาลัย เทคโนโลยี พ ระจอมเกล า ธนบุ รี เ พื่ อ ขอรั บ สู ต รน้ ำ ยากำจั ด เชื้อรา ”ราอะเวย” เพื่อนำมาผสมและนำไปแจกจายใหกับ ลู ก ค า ของบริ ษั ท รวมทั้ ง พนั ก งานที่ ไ ด รั บ ผลกระทบจาก เหตุการณในครั้งนี้ น้ำยาราอะเวยตัวนี้มีคุณสมบัติชวยขจัด เชื้อราที่เกิดจากความอับชื้น และยังชวยปองกันเชื้อราไมให กลับมาไดอีกครั้ง
2012
2012
January
February
20
บริษัท เบย คอมพิวติ้ง จำกัด ไดจัดงานเลี้ยงปใหมประจำป 2555 เพื่อใหพนักงานไดรวมสังสรรคและเสริมสรางกำลังใจใหกับ พนักงานทุกคน ในชวงวิกฤติการณที่ผานมา ซึ่งงานนี้จัดขึ้นเมื่อวันที่ 20 มกราคม 2555 โดยกิจกรรมในชวงเชาไดจัดขึ้นที่ “Star Sport Arena” เปนการแขงขันแบดมินตันกระชับมิตร สวนงานเลี้ยงในชวง เย็นจัด ณ Buddy Oriental Riverside Pakkred ภายใตธมี งาน “Colorful Night Party 2012” ซึ่งภายในงานพนักงานทุกคนไดรวมกันแตงกาย ตามคอนเซ็ปตงาน อีกทั้งยังมีเซอรไพรสโชวจากพนักงานในแตละ แผนก เพือ่ เปนการสรางสีสนั ของงานใหสนุกสนานและอบอุน เปนกันเอง มากยิ่งขึ้น
4
06
21
08
เบยฯ ไดรับรางวัลกับทาง EMC
เมื่อวันที่ 21 กุมภาพันธ ที่ผานมา บริษัท เบย คอมพิวติ้ง เขารวมงาน “The EMC Partner All Hands 2012” ซึ่งจัดขึ้นที่โรงแรมคอนราด กรุงเทพฯ ในงานนี้ นอกจากจะเปนการขอบคุณพารตเนอรแลว ทาง EMC ยั ง ได ม อบราวั ล “EMC Solution Focus Partner of the year 2012 - RSA Award” ให บริษทั เบย คอมพิวติง้ จำกัด อีกดวย
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 4
3/28/2012 3:25:29 PM
Work @ Home Solution โซลูชั่นที่ตอบโจทยสำหรับ ทุกองคกรในทุกวิกฤติการณ
Aruba Remote Networking สามารถตอบสนองความตองการใชงานไดอยาง หลากหลาย นับตั้งแตการจัดการเครือขายไรสาย (WLAN) ภายในสาขาตางๆ ได จากศูนยกลาง โดยจัดการสาขาที่อยูหางไกล (Remote Sites) ไดนับรอยสาขา หรือจะเปนการติดตั้งเครือขาย Wi-Fi อิสระขนาดยอมที่ใชเวลาเพียงไมกี่นาที ไปจนถึงการจัดเตรียมซอฟตแวร VPN ทีช่ าญฉลาดสำหรับอุปกรณพกพา (mobile devices) ตางๆ ไมวา คุณจะเลือกใชงานในรูปแบบใด คุณก็สามารถเชือ่ มตอกับทรัพยากรของเครือขาย ภายในองคกรไดอยางงายดาย โดยขอความชวยเหลือเพียงเล็กนอยหรือไมตอง ขอความชวยเหลือจากฝายไอทีใหเขามาดูแลถึงออฟฟศแบบ On-site เลย และการ เชื่อมตอของคุณยังมาพรอมความปลอดภัย เนื่องจาก Aruba ไดจัดเตรียมระบบ ตรวจสอบตัวตน (authentication) ที่เขมแข็ง, มีการเขารหัสขอมูลในระดับเดียวกับ ที่ใชเขารหัสขอมูลทางทหาร และมีการปองกันภัยคุกคามที่มาจากระบบไรสายดวย ในกรณีทส่ี าขาปลายทางตองการเชือ่ มตอกลับมายังศูนยกลางแตไมมรี ะบบเครือขายที่ จะเชือ่ มตอกลับมานัน้ Aruba มีอปุ กรณทท่ี ำใหมรี ะบบเครือขายเชือ่ มตอผานเครือขาย 3G ได โดยรองรับผูใ หบริการทุกคาย ทำใหการใชงานงาย สะดวก เหมาะกับผูใ ชงาน ทีต่ อ งการทำงานไดจากทุกๆ สถานทีท่ สี่ ามารถเชือ่ มตอกับระบบโทรศัพทเคลือ่ นทีไ่ ด สิ่งที่ทำให Remote Networking ของ Aruba มีความแตกตางจากผลิตภัณฑอื่นๆ อาจจะอยูที่ความฉลาดในการเรียนรูสภาพแวดลอมทางเครือขายของตัวมันเอง เนื่องจากสามารถใหบริการผูใชงานที่อยูไกลออกไป (remote workers) ไดอยางมี เสถียรภาพ ควบคุมการแอ็กเซสเขาใชงานทรัพยากรของเครือขายไดอยางปลอดภัย โดยพิจารณาดูวา ผูใ ชคอื ใครเปนหลัก ไมวา จะอยูท ไ่ี หน ใชอปุ กรณอะไร มีแอพพลิเคชัน่ ตัวไหนอยู และเชื่อมตอเขามาในรูปแบบใดก็ตาม
Bay Newsletter_issue 13-1.indd 5
3/28/2012 3:25:31 PM
SUCCESS STORY ไทยแอรเอเชีย นับเปนสายการบินราคา ประหยั ด รายแรกๆ ที่ เ ป ด ให บ ริ ก าร ในประเทศไทย โดยเปดใหบริการตั้งแตวันที่ 3 กุมภาพันธ 2547 ดวยสโลแกน “Everyone Can Fly” ที่ทำใหการเดินทางทางอากาศ ไมใช เรื่องที่ไกลตัวของคนไทยอีกตอไป โดยทุกวันนี้ ไทยแอรเอเชียมีเสนทางการบินภายในประเทศ 11 เส น ทาง นอกจากนี้ ยั ง มี เ ส น ทางการบิ น ไปยังตางประเทศดวย ซึ่งตลอดระยะเวลา 8 ป ที่ ผ า นมา ไทยแอร เ อเชี ย มี ก ารเติ บ โตอย า ง กาวกระโดด จากพนักงาน 200 คน จนถึงทุกวันนี้ มีมากกวา 2,000 คน และมีจำนวนผูโดยสาร สะสมที่เดินทางกับไทยแอรเอเชียตั้งแตปแรก จนถึงปนม้ี ากกวา 30 ลานคน ทำใหความทาทาย ในการดำเนินธุรกิจของไทยแอรเอเชียอยูท ่ี “การ แขงขันกับตัวเอง” เพื่อปรับปรุงบริการใหดีขึ้น ลูกคาประทับใจมากขึ้น ในขณะเดียวกัน ก็ตอง รักษาตนทุนใหอยูบนพื้นฐานธุรกิจสายการบิน ราคาประหยัดดวย ซึง่ รวมถึงการลงทุนดานไอที ที่ไทยแอรเอเชียคอนขางใหความสำคัญและ มีการพัฒนาระบบไอทีมาอยางตอเนื่อง
ไทยแอร เ อเชี ย เผยวิสัยทัศนการลงทุนระบบ RSA SIEM
และ VMware เชื่อมั่นบริการจาก เบย คอมพิวติ้ง วิสัยทัศนการลงทุนดานไอที
คุ ณ พิ พั ฒ น คุ ณ ประคั ล ภ ผู จั ด การฝ า ย IT บริ ษั ท ไทยแอรเอเชีย จำกัด เปดเผยถึงวิสัยทัศนการลงทุนของ ไทยแอรเอเชียวา “เนือ่ งจาก ไทยแอรเอเชีย เปนสายการบิน ราคาประหยัด ดังนั้น นโยบายการลงทุนทุกอยางของเรา จึงตระหนักถึงเรือ่ งของราคา (Cost Conscious) คอนขาง ชัดเจน คือ เราจะดูวาตนทุนที่เราใชคุมคาหรือไม แต ไมไดหมายความวาเราตองซื้อของที่ราคาถูกเสมอไป หากราคาสมเหตุสมผล บางอยางเราก็กลาที่จะลงทุน ถาสิ่งนั้นสามารถตอบโจทยเราไดในระยะยาว และทำให ลูกคาเกิดความพึงพอใจและมีความสุข”
6
“สำหรั บ การลงทุ น ด า นไอที เราก็ ล งทุ น บนพื้ น ฐานว า เราเป น สายการบินราคาประหยัดเชนกัน แตเราก็กลาที่จะลงทุนระบบที่ ราคาสูง หากเทคโนโลยีนั้นตอบโจทยผูใชบริการดานไอทีของเรา ทั้งลูกคาที่เปนบุคคลภายนอกและพนักงานภายใน โดยการลงทุน ของที่นี่ เราจะพยายามนำเทคโนโลยีที่จับตองไดและงายตอการ ใช ง านของคนส ว นใหญ เอามาประยุ ก ต ใ ช กั บ องค ก รของเรา ใหมากทีส่ ดุ นอกจากนีย้ งั เนนการลงทุนระบบทีช่ ว ยลดความซับซอน ในการบริหารจัดการ เนื่องจากที่นี่เมื่อเทียบอัตราสวนพนักงาน ทั้งหมดที่มีกวา 2,000 คน กับพนักงานไอทีที่มีเพียง 13 คนแลว ถือวาต่ำมาก เราจึงพยายามนำเทคโนโลยีเขามาใชใหมากที่สุด ขณะที่ตองควบคุมตนทุนใหคุมคาที่สุด”
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 6
3/28/2012 3:25:32 PM
SUCCESS STORY
¤Ø³¾Ô¾Ñ²¹ ¤Ø³»ÃФÑÅÀ ¼ÙŒ¨Ñ´¡Òý†Ò IT ºÃÔÉÑ· ä·ÂáÍà àÍàªÕ ¨Ó¡Ñ´
ตอบสนองความตองการใชงานของไทยแอรเอเชีย ไดอยางครอบคลุม และบริษัท เบย คอมพิวติ้ง จำกัด ก็มีบริการหลังการขายที่ดีและยืดหยุน ใหกับบริษัทฯ อีกดวย
“เรามองว า เราไม มี คู แ ข ง ทางการค า เรามี แ ต คู ค า ที่ เ ราจะทำ การคาดวย ดังนั้น สิ่งที่ทาทายที่สุดของเราก็คือ การแขงขันกับ ตัวเอง วาจะสามารถรักษาตนทุน เพือ่ มอบบริการในราคาประหยัด ใหกับผูโดยสารไดอยางไร ในขณะเดียวกันเรื่องความปลอดภัย ทั้งหลายและการใหบริการของเราก็ตองดีเหมือนเดิม นี่คือสิ่งที่ ทาทายสำหรับเรามากกวา”
เลือกที่ความคุมคา
นอกเหนือไปจากระบบหลักที่เปนระบบจองตั๋วผานทางเว็บไซต (Reservation System) ซึ่งไทยแอรเอเชียใชบริการเอาตซอรส แบบ SaaS (Software as a Service), ระบบบัญชี (Accounting System) ที่ไทยแอรเอเชียเปน SSC (share service center) ซึ่ง รับทำบัญชีใหกับกลุมแอรเอเชียทั้งหมด และระบบมอนิเตอรตางๆ ทางไทยแอรเอเชียยังไดลงทุนระบบ RSA SIEM และ VMware เพิ่มเติม เพื่อเพิ่มประสิทธิภาพในการทำงานและการใหบริการ โดยระบบทั้งสองนี้ทางไทยแอรเอเชียเลือกใชโซลูชั่นที่นำเสนอโดย บริษัท เบย คอมพิวติ้ง จำกัด เนื่องจากผลิตภัณฑทั้งสองสามารถ
คุณพิพัฒน อธิบายถึงการตัดสินใจเลือกระบบ RSA SIEM และ VMware วา “ในการลงทุน ระบบ Log Management นั้น เราไมไดซื้อมา เพื่อที่จะ comply ตาม พ.ร.บ. คอมพิวเตอร ป 2550 เทานัน้ แตเราตองการไดประโยชนมากยิง่ ขึน้ คือ นอกจาก การเก็บ Log แลว ตอนนีเ้ รายังนำขอมูล Log มาวิเคราะหพฤติกรรม ในลักษณะเชิงรุก เพื่อปองกันความเสี่ยงจาก Fraud ที่จะเกิดขึ้น ในอนาคตในระบบของธุ ร กิ จ สายการบิ น ซึ่ ง เป น ธุ ร กิ จ ที่ มี ก าร รับเงินลวงหนา ทำใหเราสามารถจัดการปองกันหรือแกไขปญหา ไดทันทวงที หากมีเหตุการณ (event) แปลกๆ เกิดขึ้น และเหตุผล ที่เลือกแบรนด RSA ก็เนื่องจากเปน Hardware Appliance ที่ ตอบโจทย ค วามต อ งการของเราได ค รบในอุ ป กรณ ชิ้ น เดี ย วจบ และบริหารจัดการไดงาย” “สวนระบบ VMware เรานำมาใชรองรับในสวนของระบบบัญชีที่ เปนแบ็กออฟฟศ และในสวนของสตอเรจ เนื่องจากไทยแอรเอเชีย มี ก ารเติ บ โตของจำนวนพนั ก งานแบบก า วกระโดด และการที่ ไทยแอรเอเชียเปน share service center ในการทำระบบบัญชี ของแอรเอเชียทัง้ หมด นอกจากนีเ้ รายังมีระบบทีเ่ ปน e-Document อยูในเซิรฟเวอรหลายระบบ ทำใหสตอเรจของเราโตเร็วมาก เราจึง มีแผนทีจ่ ะขยายสตอเรจใหใหญขน้ึ ในป 2555 การนำระบบ VMware Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 7
7 3/28/2012 3:25:34 PM
SUCCESS STORY มาใช จะชวยใหเราสามารถจัดการระบบของเราไดอยางยืดหยุน และแทนที่จะตองสั่งซื้อฮารดแวรเพื่อเซตอัพเซิรฟเวอรทั้งหลาย VMware จะชวยใหเราสามารถเซตอัพระบบทั้งหลายไดภายใน ระยะเวลาอันสั้น โดยไมตองมาทำเรื่องจัดซื้อใหม” คุณพิพัฒน กลาวเพิ่มเติม สำหรับผลลัพธที่ไดหลังจากนำระบบ VMware มาใช คุณพิพัฒน เลาวา “ในแงของผูใช เคาสามารถดึงขอมูลจากสตอเรจไดเร็วขึ้น เปดไฟลไดเร็วขึน้ สามารถจัดการงานของเคาไดดขี น้ึ ทางฝง พนักงาน ไอที สิง่ ทีเ่ ราไดรบั ประโยชนคอ นขางมาก คือ เรือ่ งการบริหารจัดการ ระบบเหลานี้ จะงายขึ้นมาก สามารถจัดการผานหนาจอคอนโซล ที่เดียว ไมตองแอ็กเซสเขาไปจัดการทีละเครื่องเหมือนสมัยกอน และทีท่ มี ซิสเต็มสชอบมากคือ การทีเ่ ราสามารถเซตอัพและจัดการ เครื่องเซิรฟเวอรใหมจำนวนมากไดคอนขางเร็วแคไมกี่นาที เมื่อ เทียบกับการเซตอัพเซิรฟเวอรจริงที่ตองใชเวลาสั่งซื้อและเซตอัพ หลายวัน”
บริการสุดประทับใจ
สำหรับการตัดสินใจเลือกบริษัท เบย คอมพิวติ้ง จำกัด ใหมา รับผิดชอบการอิมพลีเมนตและดูแลระบบทั้งสองนั้น คุณพิพัฒน ให เ หตุ ผ ลว า “เรามองว า เบย คอมพิ ว ติ้ ง ไม ใ ช ผู ข าย แต เ ป น พารตเนอรทางธุรกิจของเรา ซึ่งเหตุผลที่เราเลือกเบย คอมพิวติ้ง ก็เพราะ เบย คอมพิวติง้ มีบริการหลังการขายทีด่ แี ละมีความยืดหยุน ในการใหบริการกับเราพอสมควร รวมถึงมีการเขามาพูดคุยให คำปรึกษาหรืออัพเดตเทคโนโลยีใหมๆ เปนประจำทุกป ซึ่งเปน ขอมูลทีช่ ว ยในการวางแผนการลงทุนดานไอทีของเราในปถดั ๆ ไป” คุณพิพัฒนกลาวเสริมอีกวา “ในกรณีที่เราตองการความชวยเหลือ อยางดวนพิเศษ ทางเบย คอมพิวติ้ง ก็สามารถใหเราไดทันทวงที
อยางการอิมพลีเมนตระบบ VMware เรามีขอจำกัดเนื่องจากวา เซิ ร ฟ เวอร ข องเรามี ก ารใช ง านถึ ง ขี ด จำกั ด แล ว เราจำเป น ต อ ง เซตอัพระบบใหไดในระยะเวลาอันสัน้ ทางเบย คอมพิวติง้ ก็สามารถ ชวยเหลือเราในสวนนี้ไดเปนอยางดี สามารถอิมพลีเมนตระบบได ในระยะเวลาที่เรากำหนด รวมถึงสามารถไมเกรตระบบเกาไดโดย ไมสงผลกระทบกับผูใชปกติดวย ทำใหเราพอใจกับบริการที่ไดรับ จากเบย คอมพิวติ้ง”
กาวตอไปที่ไมหยุดยั้ง
คุณพิพฒ ั นกลาวถึงทิศทางการพัฒนาระบบไอทีของไทยแอรเอเชีย ในอนาคตวา “เรามีการพัฒนาบริการและระบบไอทีอยางตอเนื่อง จากเดิมทีเ่ ราเชาเครือ่ งบินโบอิง้ 737 ทีใ่ ชแลว (Used) มาใหบริการ แตตั้งแตป 2554 เราสามารถคอนเฟรมไดแลววา ตอนนี้เราเปน New Fleet ดังสโลแกน ‘เครื่องใหม ใครๆ ก็บินได’ โดยเราเปลี่ยน จากเครื่องโบอิ้งทั้งหมดเปนแอรบัส A320 ทั้งหมด ซึ่งมีประมาณ 21 ลำ ที่ใหบริการในปจจุบัน” “สำหรับการพัฒนาดานไอที เรามีแผนที่จะซื้อฟเจอรบางตัวของ VMware เพิม่ เพือ่ ใหจดั การระบบงายขึน้ และครอบคลุมทุกฟเจอร ที่เราตองการ เนื่องจากหลังจากที่เราใชแลว เราเห็นถึงประโยชน ของระบบดั ง กล า วว า สามารถตอบโจทย ทั้ ง ในส ว นของการ ใหบริการเอ็นดยูสเซอร และตอบโจทยในสวนของทางฝายไอทีเอง นอกจากนี้เรายังมีแผนที่จะศึกษาและลงทุนระบบไอทีดานอื่นๆ เพิ่มเติม ไมวาจะเปนระบบซีเคียวริตี้ การทำ DR site เอง และ ระบบคลาวด ซึง่ ในป 2555 เราจะเริม่ มีโปรเจ็กตเล็กๆ ทยอยออกมา บางสวน โดยตอนแรกจะเปนพวกสตอเรจ แลวเปนพวกไฟลแชริ่ง และพวกออฟฟศ เนื่องจากทุกวันนี้เราซื้อไลเซนสออฟฟศคอนขาง เยอะ ทั้งยังมีแผนที่จะนำระบบที่เปน Self-Services มาใชงาน มากขึน้ นอกเหนือจากเว็บเช็กอิน ไมวา จะเปนโมบายบุก กิง้ โมบาย เช็ ก อิ น คี อ อสเช็ ก อิ น เพื่ อ อำนวยความสะดวกให กั บ ผูโ ดยสาร และลดจำนวนพนักงานทีห่ นาเคานเตอรเช็กอิน ไมใหโตตามอัตราสวนของเสนทางการบินทีเ่ ราจะมีมากขึน้ ” “โจทยของเราคือ ถาสิ่งใดที่จะทำใหลูกคาเกิดความ พึ ง พอใจและมี ค วามสุ ข เราก็ จ ะพยายามลงทุ น ในสวนนั้นใหมากขึ้น ไมวาเทคโนโลยีนั้นจะชวยได มากนอยแคไหนก็ตาม เพราะลูกคาคือคนสำคัญ ของเรา” คุณพิพฒ ั นกลาวทิง้ ทายถึงความตัง้ ใจในการ พัฒนาระบบ รวมถึงการพยายามเลือกผลิตภัณฑ และผูว างระบบทีค่ มุ คาทีส่ ดุ เพือ่ มอบบริการทีด่ ยี งิ่ ๆ ขึ้นไปใหกับลูกคาอยางไมหยุดยั้ง
8
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 8
3/28/2012 3:25:38 PM
SOLUTION UPDATE
PCI-DSS Solution
ตอนที่ 3
โดย อวิรุทธ เลี้ยงศิริ, Technology Director, บริษัท เบย คอมพิวติ้ง จำกัด
โซลูชั่นของมาตรฐาน PCI-DSS
PCI-DSS v 2.0 มาตรฐานในการรักษา ความปลอดภัยธุรกรรมอิเล็กทรอนิกส PCI-DSS คือ มาตรฐานเกี่ยวกับการรักษา ความปลอดภัย กำหนดโดย PCI-SSC ซึ่ง ครอบคลุมการปกปองขอมูลทีม่ คี วามสำคัญ (Sensitive Data) โดยกำหนดตัวควบคุม สำหรับการบริหารจัดการการรักษาความ ปลอดภัย, นโยบายการใชงานขอมูล, ขัน้ ตอน กระบวนการ, สถาปตยกรรมระบบเครือขาย, การออกแบบซอฟตแวร และอืน่ ๆ เพือ่ ปกปอง ขอมูลสำคัญของผูถอื บัตร นอกจากนี้ PCI-DSS บังคับใชกบั ผูเ กีย่ วของ ทั้งหมดในวงจร การออกบัตร ประมวลผล และสถาบันการเงิน รวมถึงรานคาผูรับบัตร ซึ่งตองถูกรับรองโดยหนวยงานผูตรวจสอบ ทีไ่ ดรบั การรับรองจาก PCI แลว โดยมาตรฐาน บังคับใหผูเกี่ยวของตองปฏิบัติตาม และ หากไมปฏิบตั ติ ามอาจถูกระงับการใหบริการ รวมถึงหากเกิดเหตุขอมูลรั่วไหล ความผิด ตางๆ รวมถึงคาใชจายและความเสียหาย ทีเ่ กิดขึน้ ทัง้ หมด จะตกเปนของผูท ไ่ี มปฏิบตั ิ ตามมาตรฐานนี้แตเพียงผูเดียว แกนหลั ก ของ PCI-DSS คื อ Principle ซึ่งเกิดจากการรวมกันของ Requirement ต า งๆ โดยแบ ง เป น 6 Principle รวม 12 Requirement โดยในตอนที่ 3 นี้ จ ะ กล า วถึ ง โซลู ชั่ น เพื่ อ ตอบโจทย ใ นแต ล ะ Requirement
What are your current areas of non-compliance? Lack of appropriate access management (i.e., access control, identity management, physical security)
38% 31%
Lack of appropriate monitoring and testing (i.e., tracking, monitoring, testing systems and processes)
27% 28%
Lack of appropriate infrastructure management (i.e., AV, firewalls, System hardening) Lack of credit card data protection controls (i.e., discovery, disposal, masking, encryption, key management)
22% 22% 9% 8% 7%
Poor security policy (i.e., policies, awareness, etc.) 0% Other 1% 1%
42% 38% 41%
27%
Level 1 Level 2 Level 3 (pre-Level 2)
Base: 677 IT security decision makers directly or indirectly involved in protecting credit card data within their organizations Source: PCI Custom Study, Forrester Consulting, July 2007
จะพบวาปญหาสวนใหญ อยูใ นพืน้ ทีข่ องการ บริหารจัดการสิทธิ์ (Access Management) โดยเฉพาะในองคกรขนาดใหญ (Level 1) ซึง่ องคกรทีไ่ มมรี ะบบ Identity Management จะมี สิ ท ธิ์ เ กิ ด ป ญ หาในขณะตรวจสอบ (Audit) ตามมาตรฐาน PCI-DSS คอนขาง มาก รองลงมาคื อ พื้ น ที่ ใ นส ว นของการ มอนิเตอรและการทดสอบ (Monitoring and Testing)
ขั้นตอนการเตรียมตัวเพื่อ ตรวจสอบตามมาตรฐาน PCI-DSS ประกอบดวย 3 ขั้นตอนหลัก คือ
Discovering Cardholder Assets สถานะทั่ ว ไปของผู ใ ห บ ริ ก าร (Service เปนขัน้ ตอนทีอ่ งคกรจะตองคนหาวา ขอมูล Provider) หรือผูค า (Merchant) จากการศึกษา ของผูถ อื บัตร มีความเกีย่ วของกับระบบงาน ในป 2007 ของ PCI-SSC และสำนักวิจัย ใดบางภายในองคกร เพื่อทำ Inventory ฟอรเรสเตอร เปนดังภาพตอไปนี้ สำหรับการเตรียมพรอมในขั้นตอนตอไป
หรือเรียกวาเปนการทำ Scoping เบื้องตน โดยควรมีรายละเอียดวาระบบงานใด เกีย่ วของ มากนอยเพียงใด เชน แคประมวลผล มีการ จั ด เก็ บ เลขที่ ห รื อ ข อ มู ล ส ว นบุ ค คลของ ผูถ อื บัตรหรือไม มีระบบรักษาความปลอดภัย อะไรแลวบาง เปนตน Identify Compliance Gap เปนขั้นตอนที่องคกรจะตองประเมินความ พรอม และหาความแตกตาง (Gap) ระหวาง ระบบปจจุบันและมาตรฐานที่ PCI-DSS กำหนด ซึง่ ขัน้ ตอนนีส้ ามารถทำไดหลายวิธี เชน หากเปนองคกรใหญ ควรจัดจางทีป่ รึกษา (Consult) ที่มีความชำนาญ หากเปนไปได ควรสามารถรับรองหรือมีใบอนุญาต QSA ที่ ไ ด รั บ การรั บ รองจาก PCI-SSC ซึ่ ง จะ สามารถช ว ยในการหา Gap ได อ ย า งมี ประสิ ท ธิ ภ าพมากกว า หรื อ ในกรณี เ ป น องคกรขนาดเล็ก สามารถดาวนโหลด SAQ (Self-Assessment Questionnaire) ซึง่ เปน Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 9
51% 47%
9 3/28/2012 3:25:39 PM
SOLUTION UPDATE คำถามมาตรฐาน โดยแนะนำให เ ลื อ ก ประเภทของ SAQ ที่ถูกตอง (มี 4 ประเภท คือ A, B, C, D) โดยแนะนำใหใชประเภท D (226 คำถาม) เพื่อใหครอบคลุม ยกเวน องค ก รเป น Merchant ที่ ไ ม ไ ด ใ ช ร ะบบ อิเล็กทรอนิกส อาจลดประเภทเปน SAQ ประเภท A,B,C ได และเมื่ อ ได Gap Analysis แลวจึงดำเนินการขั้นตอไป ตอบ Requirement 12 โดยการสร า งหรื อ ปรั บ เปลี่ ย น นโยบายรักษาความปลอดภัย (Security Policy) ขององคกร ใหมีหัวขอและเรื่อง เกี่ ย วกั บ การรั ก ษาความปลอดภั ย ข อ มู ล ผูถ อื บัตร และหัวขอทีจ่ ำเปนตาม Requirement ทั้ง 11 ขอที่เหลืออยางครบถวน พรอมทั้ง กำหนดวิธีการตรวจสอบเพื่อใหยืนยันกับ ผูตรวจสอบ (QSA) ไดวา นโยบายไดถูก บังคับใช และยืนยันประสิทธิผลของนโยบาย นั้นๆ ได
เปนขอบังคับทีร่ ะบุใหหลีกเลีย่ งการใชรหัสผาน (Password) ที่เปนคา Default ที่กำหนด มาใหจากโรงงาน หรือผูผลิตกำหนดใหเมื่อ ติดตั้งระบบ ซึ่งมักเปนคาที่รูกันโดยทั่วไป ทำใหผไู มประสงคดสี ามารถเขาถึงระบบได โดยไมตองเดารหัสผาน นอกเหนือจากนี้ คื อ การกำหนดให ร หั ส ผ า นต อ งมี ค วาม ซับซอน (Complexity) เชน มีอักขระพิเศษ ผสมกับตัวอักษรเล็กและใหญ มีความยาว ไมต่ำกวา 8 ตัวอักษร เปลี่ยนทุก 60 วัน และหามใชรหัสผานซ้ำกับทีเ่ คยใชยอ นหลัง 1 ป เปนตน รวมถึงมีการกำหนด Security Configuration ทีอ่ า งอิงจาก Best Practice เชน สถาบัน CIS, NIST และอื่นๆ
ปลอดภัยเพียงพอ เปนตน หรือการเขารหัส สำหรั บ สื่ อ อื่ น ๆ ควรเลื อ กใช ก ารเข า รหั ส มาตรฐาน AES ที่ ค วามยาวกุ ญ แจรหั ส ไมนอยกวา 128bit เปนตน Solution : SSL-VPN, IPSec VPN, WPA2, L2TP, Public Key Infrastructure, Digital Right Management (DRM) เปนตน
Requirement # 5 : Use and regularly update anti-virus ขอบังคับนี้ระบุใหมีการใชซอฟตแวรเพื่อ ปองกันไวรัสอยางเพียงพอ กลาวคือ ควรมี ระบบในการตรวจจับและคัดกรองโปรแกรม ไมพึงประสงคที่ไมเพียงแตแคไวรัสเทานั้น Solution : Security Configuration แตควรรวมถึงโปรแกรมทีอ่ าจสงผลใหขอ มูล Management, Integrity Monitoring, รั่ ว ไหล เช น กลุ ม ของสปายแวร เป น ต น Password Management/ Token/ 2-Factor นอกจากนี้ ต อ งมี ร ายงานและหลั ก ฐาน ทีต่ รวจสอบไดวา มีซอฟตแวรทำงานตลอด Authentication เวลา และมีการอัพเดตใหซอฟตแวรมคี วาม Requirement # 3 : ทันสมัย สามารถตรวจจับภัยคุกคามใหมๆ โซลูชั่นสำหรับตอบแตละ Protect stored cardholder data ไดอยางสม่ำเสมอ ขอบังคับนี้ระบุใหมีการปกปองขอมูลของ Requirement Requirement # 1 : ผู ถื อ บั ต ร ทั้ ง ที่ ป ระมวลผล ส ง ผ า น และ Solution : Anti-virus Management Install and maintain a firewall จัดเก็บไว ใหมกี ารรักษาความปลอดภัยอยาง Console, SIEM, GRC Dashboard เปนตน การมีไฟรวอลลใช และถูกปรับแตง รวมถึง เพียงพอ Requirement # 6 : ตรวจสอบประสิทธิภาพอยางสม่ำเสมอ เปน Requirement ทีส่ ำคัญ เพือ่ ใหองคกรมีการ Solution : File / Folder / Drive Encryption, Develop and Maintain secure systems แบงแยกระบบเครือขายระหวางภายนอก Database Encryption, Data Loss and applications และภายในอยางชัดเจน และแยกเครือขายที่ Prevention (DLP), Database Activity ขอบังคับนี้ระบุใหมีการพัฒนาซอฟตแวร อยางปลอดภัย และปรับปรุงแกไขขอผิดพลาด มีขอมูลผูถือบัตรออกจากเครือขายภายใน Monitoring อยางสม่ำเสมอ ในกรณีใชซอฟตแวรสำเร็จรูป ปกติ พรอมทั้งมีการรักษาความปลอดภัยที่ Requirement # 4 : ต อ งมี ก ารติ ด ตั้ ง แพตช ห รื อ ฮอตฟ ก ซ ที่ เพียงพอ โดยยึดหลัก least to know (รูห รือ เขาถึงไดเฉพาะที่จำเปนจริงๆ เทานั้น) Encrypt transmission of credit card data เกีย่ วของกับความปลอดภัยของระบบอยาง ขอบังคับนี้ระบุใหมีการเขารหัสระหวางการ ทั น ท ว งที และสม่ ำ เสมอ พร อ มทั้ ง มี ก าร Solution : Firewall Configuration สื่อสารขอมูลของผูถือบัตร เพื่อปองกันการ วางแผนตอบรั บ เหตุ ก ารณ ที่ อ าจเกิ ด Management, SIEM, Vulnerability แอบดักจับขอมูล โดยการเขารหัสผานสื่อ ผลกระทบจากป ญ หาของระบบและ Assessment บางประเภท เชน เครือขายไรสาย (Wi-Fi) แอพพลิเคชัน่ ทีเ่ กิดจากการโจมตีผา นเครือขาย ระบุ ถึ ง ประเภทการเข า รหั ส ว า ต อ งเป น ภายนอก โดยเฉพาะเว็บแอพพลิเคชั่น Requirement # 2 : มาตรฐาน WPA v1 หรือ WPA v2 เทานั้น Do not use vendor passwords การใชมาตรฐานเกาแบบ WEP ถือวาไม Solution : Patch Management, Desktop
10
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 10
3/28/2012 3:25:39 PM
SOLUTION UPDATE Management, Software Lifecycle Management, Software Source-code Scanner, Web Application Firewall, Web Application Vulnerability Scanner เปนตน Requirement # 7 : Restrict access to cardholder data by business need to know ข อ กำหนดนี้ ร ะบุ ใ ห อ งค ก ร มี ก ารบริ ห าร จั ด การสิ ท ธิ์ ใ นการเข า ถึ ง ข อ มู ล ในแต ล ะ ระบบงานอย า งจำกั ด และเฉพาะเท า ที่ จำเปนจริงๆ เทานั้น พรอมสามารถแสดง กระบวนการ หรื อ เอกสารประกอบการ ปฏิบัติงาน หรือหลักฐานที่แสดงใหเห็นวา การเปลี่ยนแปลงตำแหนงหรือการเขาออก ของเจ า หน า ที่ ได ถู ก บั น ทึ ก /ปรั บ ปรุ ง ให ถูกตองอยางสม่ำเสมอ Solution : Identity Management, 2-Factor Authentication, Security Configuration Management, Directory Service Requirement # 8 : Assign a unique ID to each person with computer access ข อ กำหนดนี้ ร ะบุ ใ ห ก ารเข า ถึ ง ระบบ คอมพิวเตอร ไมวาระบบใดๆ ตองมีรหัส ผู ใ ช เ ฉพาะบุ ค คล ไม มี ก ารแบ ง ป น กั น ใช หรือใชงานรวมกันเด็ดขาด ในระบบทีม่ ขี อ มูล ผูถือบัตรเครดิตในระบบ Solution : Identity Management, 2-Factor Authentication, Directory Service, RADIUS เปนตน Requirement # 9 : Restrict physical access to cardholder data ข อ กำหนดนี้ ร ะบุ ใ ห ก ารเข า ถึ ง เครื่ อ งหรื อ ระบบที่ เ ก็ บ ข อ มู ล ผู ถื อ บั ต รทางกายภาพ
ตองถูกควบคุมและปองกันอยางเหมาะสม ทั้งการมีประตู ระบบควบคุมการเขาออก การลงเวลา และกลองวงจรปด (CCTV) รวมถึงกระบวนการในการจัดเก็บ ใชงาน และทำลาย ของสือ่ ขอมูล (Media) ทีม่ ขี อ มูล อยูภายใน Solution : Media Library, Physical Data Center Control, CCTV, Card Access Control, Physical Security Control Center เปนตน
ภายในทุก 3 เดือน และคนหาชองโหวจาก ภายนอก (External Scan) โดยผู ไ ด รั บ อนุญาต (Application Scanning Vendor) จาก PCI-SSC ทุก 3 เดือนเชนกัน Solution : Vulnerability Assessment, Web Application Vulnerability Scanner, Wireless IPS, Network IPS, File Integrity Monitoring, Security Configuration Management เปนตน
Requirement # 12 : Requirement # 10 : Maintain a policy that addresses Regularly monitor and test network information security for all personnel ขอกำหนดนีร้ ะบุใหการใชงานระบบเครือขาย ขอกำหนดนี้ระบุใหองคกร ตองมีการจัดทำ ภายใน ตองมีกระบวนการและระบบในการ นโยบายในการรั ก ษาความปลอดภั ย ที่ ตรวจสอบสถานะความปลอดภัย รวมถึง ครอบคลุมทุกสวนขององคกร ทีม่ กี ารเขาถึง ทดสอบหาปญหาทีม่ ใี นระบบเครือขายอยาง ข อ มู ล ผู ถื อ บั ต รได และมี ก ารตรวจสอบ สม่ำเสมอ โดยระบบเครือขายตองสามารถ ประสิทธิผลและปรับปรุงอยางสม่ำเสมอ ทำ Audit Trail ของการใชงานเครือขาย ให ถู ก ต อ งและเป น ไปตามสถานการณ ที่ การเขาถึงระบบตางๆ ที่สามารถสืบยอน เปลี่ยนแปลงไปขององคกรและภัยคุกคาม ไปยังตนตอหรือผูกระทำได การดูแลระบบ พรอมระบุผูรับผิดชอบในการดำเนินการ ใหมวี นั และเวลาทีถ่ กู ตองตรงกันทัง้ เครือขาย และตรวจสอบอยางเปนระบบ นอกจากนี้ Audit Trail ทั้ ง หมดต อ งถู ก จัดเก็บไวไมนอยกวา 1 ป Solution : Centralized Log Management, SIEM, RADIUS, Directory Server, Identity Management, Network Monitoring System (NMS) เปนตน
ซึ่งจากขอกำหนดทั้งหมดที่กลาวมา จะ เห็นไดวา มาตรฐาน PCI-DSS ในทางหนึง่ เปนการยกระดับการรักษาความปลอดภัย ที่ ถื อ ว า เข ม ข น มากกว า มาตรฐานที่ ไดรับการยอมรับกันทั่วไป เชน ISO/ Requirement # 11 : IEC 27001:2005 ซึ่ง PCI-DSS ลงลึก Regularly test security systems and ในรายละเอียด และมีขอหามชัดเจน processes ในหลายๆ แงมมุ ดังนัน้ การเตรียมการ ข อ กำหนดนี้ ร ะบุ ใ ห มี ก ารทดสอบความ ทีเ่ หมาะสม และมีทป่ี รึกษาทีต่ อบสนอง ปลอดภัย และหาความผิดปกติที่เกี่ยวกับ ต อ สภาพการใช ง านแต ล ะองค ก รจึ ง ความปลอดภัยของระบบและเครือขายอยาง เปนสิง่ ทีส่ ำคัญ เพือ่ ใหการผานการตรวจ สม่ำเสมอ เชน ตรวจหาแอ็กเซสพอยนต มาตรฐาน PCI-DSS v2.0 เปนไปดวยดี เถือ่ น และความปลอดภัยของระบบเครือขาย และสำเร็จตอไป ไรสาย (Wireless / Wi-Fi) อยางนอยทุก 3 เดือน ตองคนหาชองโหวในระบบเครือขาย Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 11
11 3/28/2012 3:25:40 PM
“SonicWALL Tops the NSS Chart”
Best Perform Next Generation Firewall 2012
Security Value Map ของ NGFS (Next Generation Firewall Security) ในป 2012 จากรายงานการวิ เ คราะห ผ ลิ ต ภั ณ ฑ หรื อ Product Analysis Reports (PAR) และ รายงานการวิเคราะหเชิงเปรียบเทียบ หรือ Comparative Analysis Reports (CAR) ถูกนำมาใชสราง Security Value Map (SVM) เอกสารระดั บ สู ง นี้ จ ะแสดงภาพ เปรียบเทียบคุณคาทีส่ มั พันธกนั ของทางเลือก ต า งๆ ในการลงทุ น เทคโนโลยี ด า นความ ปลอดภัยของคุณที่เขาใจไดงายๆ โดยการ เปรียบเทียบประสิทธิภาพดานความปลอดภัย กั บ ความคุ ม ค า (ราคาต อ อั ต ราเร็ ว ในการ ปกปอง หรือ Price Per Protected Mbps) ของผลิตภัณฑที่ทำการทดสอบ สรุปผลไดวา SonicWALL Next Generation Firewall มีประสิทธิภาพสูงสุด เหนือกวา ผลิตภัณฑอื่นๆ ในตระกูลเดียวกัน
สิ่งที่ “คานี้” บงบอก
ราคาตออัตราความเร็วในการปกปอง (Price Per Protected Mbps) ในแกน X ของชารต เปนคาที่นำตนทุนรวมในการเปนเจาของ (TCO) ในระยะเวลาตอเนื่อง 3 ป มาประเมิน รวมกับการวัดประสิทธิภาพและประสิทธิผลดานความปลอดภัย เพื่อไดตัวเลขที่สามารถ ใชเปรียบเทียบตนทุนแทจริงของแตละอุปกรณที่เรานำมาทดสอบ โดยอุปกรณยิ่งอยู ทางดานขวามากเทาไร (ตนทุนต่ำสุด) ก็ยิ่งดีมากเทานั้น สวนแกน Y จะเปนอัตราการสกัดกั้นภัยคุกคามที่ไดผล (Effective Block Rate) ตามการ วัดคาของการทดสอบประสิทธิภาพดานความปลอดภัยจาก NSS Labs ซึ่งโดยทั่วไปแลว สำหรับผลิตภัณฑ NGFW (Next Generation Firewall) นั้น เราจะทดสอบดวยการใช คากำหนดเริ่มตน (default settings) เปนหลัก โดยอุปกรณที่มีตัวเลขปรากฏดานบนสุด จะเปนอุปกรณที่ดีที่สุด สนใจขอมูลเพิ่มเติม หรือตองการทดสอบประสิทธิภาพของ SonicWALL ติดตอไดที่ : บริษัท เบย คอมพิวติ้ง จำกัด โทร. 0-2962-2223 www.baycoms.com
12
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 12
3/28/2012 3:25:41 PM
TECHNOLOGY UPDATE เน็ทวิทเนส ถือเปนการเปลีย่ นแปลงแพลตฟอรมทางดานการดูแลระบบเน็ตเวิรก ครัง้ ยิง่ ใหญในวงการ ทีช่ ว ยใหองคกรสามารถลวงรูแ ละเขาใจ กับสิง่ ตางๆ ทัง้ หมดทีเ่ กิดขึน้ ในเน็ตเวิรก ขององคกรไดอยางแมนยำทีส่ ดุ โดยโซลูชนั่ ของเน็ทวิทเนสถูกนำมาใชอยางกวางขวางในสภาพแวดลอม ทัง้ หมดขององคกร เพือ่ แกปญ หาการคุกคามทางอิเล็กทรอนิกส รวมถึงตรวจสอบ ดูแลทางดานความปลอดภัยในเน็ตเวิรก การแกไขและปองกัน การคุกคามที่มาจากทั้งภายในและนอกองคกร, zero-day exploits and targeted malware, advanced persistent threats, fraud, espionage และปองกันการรั่วไหลของขอมูลที่มีคา (data leakage) ออกนอกองคกร สิง่ ทีอ่ งคกรสวนใหญประสบปญหา
• โครงสรางระบบความปลอดภัยทางเน็ตเวิรกที่มีอยู ไม สามารถตรวจจับการคุกคามไดหมด ไมวาจะเปน A/V, IDS/IPS เปนตน • เหตุการณที่เกิดขึ้นอันเปนภัยตอระบบขององคกร ตอง ใชเวลาคอนขางนานในการตรวจสอบ และไมมีระบบการ ตรวจเช็กความสัมพันธของเหตุการณที่เกิดขึ้นกับแหลง ขอมูลอื่นโดยอัตโนมัติ • ทรัพยสินทางปญญาหรือขอมูลความลับของลูกคาถูก สำเนาและขโมยออกนอกองคกร • ภัยคุกคามที่เกิดขึ้นถูกเปดเผยสูสาธารณะ สงผลใหเกิด ความเสียหายตอมูลคาขององคกร • เกิดการสูญเสียทางชื่อเสียงและคาใชจายตางๆ มากมาย ตามมา อันเกิดมาจากการคุกคาม เน็ทวิทเนส ประกอบดวย แอพพลิเคชัน่ หลักๆ ทัง้ สิน้ 4 สวน ดวยกัน
Spectrum
• ทำงานเลียนแบบเทคนิคของนักวิเคราะหโปรแกรมมัลแวร ชั้นนำ โดยจะถามคำถามมากมายเกี่ยวกับวัตถุ ที่ไมมีลายเซ็น (signature) หรือพฤติกรรม “รายๆ” ใหเห็น • ยกระดับความสามารถของโปรแกรม NetWitness Live ดวย การรวมขอมูลขาวสารจากบริการเฝาระวังและตรวจสอบ ประวั ติ ภั ย คุ ก คามชั้ น นำ (threat intelligence and reputation services) เพื่ อ ประเมิ น ให ค ะแนน และ จัดลำดับความสำคัญของความเสี่ยงตางๆ • ใช ป ระโยชน จ ากความสามารถในการตรวจตราระบบ เครื อ ข า ยที่ ค รอบคลุ ม ของเน็ ท วิ ท เนส เพื่ อ ทำให เ ห็ น ภาพรวมของทั้งระบบเครือขายไดชัดเจน และแยกประเภท ขอมูลจากโพรโตคอลและแอพพลิเคชั่นไดทุกตัว • สรางประสิทธิภาพและความกระจางชัดใหกับกระบวนการ วิเคราะหโปรแกรมมัลแวร โดยจะสงผลตรวจสอบที่ได แบบสมบูรณใหกับผูเชี่ยวชาญดานความปลอดภัยระบบ
Informer
• แสดงผล Dashboard, แผนภาพ และขอมูลสรุปอยาง ยืดหยุน เพื่อการมองภาพรวมทิศทางของภัยคุกคาม • ไดรับคำตอบอัตโนมัติสำหรับทุกคำถาม ที่เกี่ยวกับ • ความปลอดภัยของระบบเครือขาย • ฝายรักษาความปลอดภัย / ฝายบุคคล • ฝายกฎหมาย / ฝายวิจัยและพัฒนา (R&D) / เจาหนาที่ Compliance • ฝายปฏิบัติงานดานไอที • มีรายงานทั้งแบบไฟล HTML, CSV และ PDF • รองรับการ Push ขอมูลแบบ CEF, SNMP, syslog, SMTP เพื่อรวมเขากับระบบ SIEM และระบบบริหาร จัดการเหตุการณบนเครือขายอื่นๆ อยางสมบูรณ
Investigator
• วิเคราะห Session การขับเคลื่อนขอมูลโตตอบของเนื้อหาในเลเยอรที่ 2-7 • วิเคราะห Session ของพอรต ซึ่งเปนเทคโนโลยีที่ไดรับรางวัลและมีสิทธิบัตร • สรางเสนทางการวิเคราะหและจุดการตรวจสอบเนื้อหา/สภาพแวดลอม (content/context) แบบไมจำกัด • ขอมูลถูกนำเสนอในรูปแบบที่ผูใชงานคุนเคย (ไดแก เว็บไซต, ไฟลเสียง, ไฟลขอมูล, อีเมล, โปรแกรมแชท และอื่นๆ) • รองรับชุดขอมูลขนาดใหญ • สามารถตรวจสอบขอมูลระดับเทราไบตไดในชั่วอึดใจ • มีการวิเคราะหที่รวดเร็ว ทำใหการวิเคราะหที่เคยใชเวลาเปนวัน บัดนี้ใชเวลาเพียงแคไมกี่นาที • มีรุนที่เปนฟรีแวร ซึ่งถูกใชโดยผูเชี่ยวชาญดานระบบปลอดภัยกวา 45,000 คนทั่วโลก
Visualize
• ปฏิวัติอินเทอรเฟซแบบภาพเพื่อแสดงเนื้อหาบนเครือขาย • แยกประเภทและนำเสนอภาพ ไฟล ออปเจ็กต เสียง และออดิโอ แบบโตตอบ เพื่อการวิเคราะห • รองรับการใชงานแบบมัลติทัช การเจาะขอมูล ขอมูลไทมไลน และการแสดงขอมูลอัตโนมัติ เมื่อบราวซหาขอมูล • รีวิวและจัดเรียงขอมูลอยางรวดเร็ว
WHY NETWITNESS?
Netwitness NextGen เปนแพลตฟอรมที่ชวยรักษาความปลอดภัยใหกับระบบเครือขาย และได ผสมผสานเทคโนโลยีโครงสรางพื้นฐานที่ไดรับการยอมรับและมีสิทธิบัตร เขากับเครื่องมือวิเคราะห ขัน้ สูง ซึง่ จะทำใหองคกรสามารถแกปญ หาดานความปลอดภัยอันซับซอนไดอยางเฉียบขาด พรอมกับ คนหาคำตอบทีแ่ จกแจงรายละเอียดและมีความชัดเจน ทัง้ ยังเสริมขอมูลความรูใ หกบั สังคมผูเ ชีย่ วชาญ ดานระบบปลอดภัยทัว่ โลก โปรแกรมเน็ทวิทเนสนี้ ไดรบั การออกแบบมาใหเปนแพลตฟอรมทีช่ ว ยให รักษาความปลอดภัยใหกบั ระบบเครือขายแบบถึงแกน เพราะในปจจุบนั เน็ทวิทเนสเปนเพียงโซลูชนั่ เดียว ในทองตลาดที่สามารถทำงานไดอยางรวดเร็ว ยืดหยุน และมีประสิทธิภาพพอที่จะปรับตัวและ เผชิญหนาตอสูกับภัยคุกคามที่พัฒนาความรุนแรงเพิ่มขึ้นทุกวัน และสามารถตอบสนองตอ จุดประสงคดานการบริหารจัดการความเสี่ยงระดับองคกรได สนใจขอมูลเพิ่มเติม ติดตอไดที่
บริษัท เบย คอมพิวติ้ง จำกัด อีเมล info@baycoms.com Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 13
13 3/28/2012 3:25:42 PM
ISMS STANDARD
เสริมมาตรการความปลอดภัยไอที ดวย ISO 27001: 2005 ตอนที่ 11
“Annex A”
(ตอนจบ)
โดย ภัคณัฏฐ โพธิ์ทองบวรภัค Security Manager บริษัท เบย คอมพิวติ้ง จำกัด
สวัสดีครับทานผูอ า น ในทีส่ ดุ เราก็ไดเดินทาง มาถึงตอนจบกันแลวสำหรับในสวนของ Annex A ซึง่ ทีผ่ า นมาเราทำความเขาใจในหัวขอตางๆ ดังนี้ A. 5 นโยบายความมัน่ คงปลอดภัย (Security policy) A. 6 โครงสรางทางดานความมั่นคงปลอดภัยสำหรับ องคกร (Organization of information security) A. 7 การบริหารจัดการทรัพยสินขององคกร (Asset management) A. 8 ความมั่ น คงปลอดภั ย ที่ เ กี่ ย วข อ งกั บ บุ ค ลากร (Human resources security) A. 9 การสรางความมั่นคงปลอดภัยทางกายภาพและ สิง่ แวดลอม (Physical and environmental security) A.10 การบริหารจัดการทางดานการสื่อสารและการ ดำเนิ น งานของเครื อ ข า ยสารสนเทศขององค ก ร (Communications and operations management) A.11 การควบคุมการเขาถึง (Access control) A.12 การจัดหา การพัฒนา และการบำรุงรักษาระบบ สารสนเทศ (Information systems acquisition, development and maintenance) สำหรับในฉบับนีเ้ ราจะมาทำความเขาใจ Annex A กันตอ ในหัวขอ A.12 (สวนทีเ่ หลือ) ถึง A.15 ซึง่ เปนหัวขอสุดทาย นะครับ
A.12.6 การบริหารจัดการ ชองโหวในฮารดแวรและซอฟตแวร (Technical Vulnerability Management)
วัตถุประสงค : เพื่อลดความเสี่ยงจากการโจมตีโดย อาศัยชองโหวทางเทคนิค ทีม่ กี ารเผยแพรหรือตีพมิ พใน สถานทีต่ า งๆ
A.12.6.1 มาตรการควบคุมชองโหวทางเทคนิค (Control of technical vulnerabilities)
ตัวควบคุม : ตองกำหนดใหมกี ารติดตามขอมูลขาวสาร ที่เกี่ยวของกับชองโหวในระบบตางๆ ที่ใชงาน ประเมิน ความเสีย่ งของชองโหวเหลานัน้ รวมทัง้ กำหนดมาตรการ รองรับเพือ่ ลดความเสีย่ งดังกลาว
A.13 การบริหารจัดการ เหตุการณทเี่ กีย ่ วของกับความ มัน่ คงปลอดภัยขององคกร (Information security incident management) A.13.1 การรายงานเหตุการณ และจุดออนทีเ่ กีย ่ วของกับความ มัน่ คงปลอดภัย (Reporting information security events and weaknesses)
วัตถุประสงค : เพือ่ ใหเหตุการณและจุดออนทีเ่ กีย่ วของ กับความมัน่ คงปลอดภัยตอระบบสารสนเทศขององคกร ไดรบั การดำเนินการทีถ่ กู ตองในชวงระยะเวลาทีเ่ หมาะสม A.13.1.1 การรายงานเหตุการณทเ่ี กีย่ วของกับความ มัน่ คงปลอดภัย (Reporting information security events) ตัวควบคุม : ตองรายงานเหตุการณทเ่ี กีย่ วของกับความ มัน่ คงปลอดภัยขององคกร โดยผานชองทางการรายงาน ที่กำหนดไว และจะตองดำเนินการอยางรวดเร็วที่สุด เทาทีจ่ ะทำได A.13.1.2 การรายงานจุดออนที่เกี่ยวของกับความ มัน่ คงปลอดภัยขององคกร (Reporting security weaknesses) ตัวควบคุม : ตองบันทึกและรายงานจุดออนทีเ่ กีย่ วของ กับความมัน่ คงปลอดภัยขององคกรทีส่ งั เกตพบหรือเกิด ความสงสัยในระบบหรือบริการทีใ่ ชงานอยู
A.13.2 การบริหารจัดการ และ การปรับปรุงแกไขตอเหตุการณที่ เกีย ่ วของกับความมัน่ คงปลอดภัย (Management of information security incidents and improvements)
วัตถุประสงค : เพื่อใหมีวิธีการที่สอดคลองและไดผล ในการบริหารจัดการเหตุการณทเ่ี กีย่ วของกับความมัน่ คง ปลอดภัยสำหรับสารสนเทศขององคกร A.13.2.1 หนาทีค่ วามรับผิดชอบและขัน้ ตอนปฏิบตั ิ
14
(Responsibilities and procedures) ตัวควบคุม : ตองกำหนดหนาที่ความรับผิดชอบและ ขั้นตอนปฏิบัติ เพื่อรับมือกับเหตุการณที่เกี่ยวของกับ ความมัน่ คงปลอดภัยขององคกร และขัน้ ตอนดังกลาวตอง มีความรวดเร็ว ไดผล และมีความเปนระบบระเบียบทีด่ ี A.13.2.2 การเรียนรูจากเหตุการณที่เกี่ยวของกับ ความมัน่ คงปลอดภัย (Learning from security incidents) ตัวควบคุม : ตองบันทึกเหตุการณละเมิดความมั่นคง ปลอดภัย โดยอยางนอยจะตองพิจารณาถึงประเภทของ เหตุการณ ปริมาณที่เกิดขึ้น และคาใชจายเกิดขึ้นจาก ความเสียหาย เพื่อจะไดเรียนรูจากเหตุการณที่เกิดขึ้น แลว และเตรียมการปองกันทีจ่ ำเปนไวลว งหนา A.13.2.3 การเก็บรวบรวมหลักฐาน (Collection of evidence) ตัวควบคุม : ตองรวบรวมและจัดเก็บหลักฐานตามกฎ หรื อ หลั ก เกณฑ ส ำหรั บ การเก็ บ หลั ก ฐานอ า งอิ ง ใน กระบวนการทางศาลทีเ่ กีย่ วของ เมือ่ พบวาเหตุการณที่ เกิ ด ขึ้ น นั้ น มี ค วามเกี่ ย วข อ งกั บ การดำเนิ น การทาง กฎหมายแพงหรืออาญา
A.14 การบริหารความ ตอเนือ ่ งในการดำเนินงาน ขององคกร (Business continuity management) A.14.1 หัวขอพืน้ ฐานสำหรับ การบริหารความตอเนือ ่ งในการ ดำเนินงานขององคกร (Information security aspects of business continuity management)
วัตถุประสงค : เพือ่ ปองกันการติดขัดหรือการหยุดชะงัก ของกิจกรรมตางๆ ทางธุรกิจ เพื่อปองกันกระบวนการ ทางธุรกิจที่สำคัญอันเปนผลมาจากการลมเหลวหรือ หายนะที่มีตอระบบสารสนเทศ และเพื่อใหสามารถกู ระบบกลับคืนมาไดภายในระยะเวลาอันเหมาะสม A.14.1.1 กระบวนการในการสรางความตอเนือ่ งให กับธุรกิจ (Including information security in the business continuity management process) ตัวควบคุม : ตองกำหนดใหมกี ระบวนการในการสราง ความตอเนื่องใหกับธุรกิจ การบริหารจัดการและการ ปรับปรุงกระบวนการดังกลาวอยางสม่ำเสมอ กระบวนการนี้
Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 14
3/28/2012 3:25:42 PM
ISMS STANDARD จะตองระบุขอ กำหนดทีเ่ กีย่ วของกับความมัน่ คงปลอดภัยที่ จำเปนสำหรับการสรางความตอเนือ่ งใหกบั ธุรกิจ
วัตถุประสงค : เพื่อใหระบบเปนไปตามนโยบายและ มาตรฐานความมัน่ คงปลอดภัยขององคกร
A.14.1.2 การประเมินความเสีย่ งในการสรางความ ตอเนือ่ งใหกบั ธุรกิจ (Business continuity and risk assessment) ตัวควบคุม : ตองระบุเหตุการณที่สามารถทำใหธุรกิจ ขององคกรเกิดการติดขัดหรือหยุดชะงัก โอกาสที่จะเกิด ขึ้น ผลกระทบที่เปนไปได รวมทั้งผลที่เกิดขึ้นตอความ มัน่ คงปลอดภัยสำหรับสารสนเทศขององคกร
A.15.2.1 การปฏิบัติตามนโยบาย และมาตรฐาน ความมัน่ คงปลอดภัย (Compliance with security policies and standards) ตัวควบคุม : ตองกำหนดใหผูบังคับบัญชาคอยกำกับ ดู แ ล และควบคุ ม การปฏิ บั ติ ง านของผู ที่ อ ยู ใ ต ก าร บังคับบัญชาของตน ใหปฏิบตั ติ ามขัน้ ตอนปฏิบตั ทิ างดาน ความมัน่ คงปลอดภัยตามหนาทีค่ วามรับผิดชอบของตน ทัง้ นี้ เพือ่ ใหการปฏิบตั เิ ปนไปตามนโยบายและมาตรฐาน ความมัน่ คงปลอดภัยขององคกร
A.14.1.3 การจั ด ทำและใช ง านแผนสร า งความ ตอเนือ่ งใหกบั ธุรกิจ (Developing and implementing continuity plans including information security) ตัวควบคุม : ตองจัดทำและใชงานแผนสรางความ ตอเนือ่ งใหกบั ธุรกิจและการดำเนินงานตางๆ ใหสามารถ ดำเนินตอไปไดในระดับและชวงเวลาทีก่ ำหนดไวภายหลัง จากทีม่ เี หตุการณทที่ ำใหธรุ กิจเกิดการติดขัด หยุดชะงัก หรือลมเหลว A.14.1.4 การกำหนดกรอบสำหรับการวางแผนเพือ่ สรางความตอเนือ่ งใหกบั ธุรกิจ (Business continuity planning framework) ตัวควบคุม : ตองกำหนดกรอบสำหรับการวางแผนเพือ่ สรางความตอเนือ่ งใหกบั ธุรกิจ เพือ่ ใหแผนงานทีเ่ กีย่ วของ ทัง้ หมดมีความสอดคลองกัน ครอบคลุมขอกำหนดทาง ดานความมัน่ คงปลอดภัยทีก่ ำหนดไว และจัดลำดับความ สำคัญของงานตางๆ ทีต่ อ งดำเนินการ A.14.1.5 การทดสอบและการปรับปรุงแผนสราง ความตอเนื่องใหกับธุรกิจ (Testing, maintaining and re-assessing business continuity plans) ตัวควบคุม : ตองกำหนดใหมกี ารทดสอบและปรับปรุง แผนสรางความตอเนือ่ งใหกบั ธุรกิจอยางสม่ำเสมอ เพือ่ ใหแผนมีความทันสมัยและไดผลเปนอยางดี
A.15 การปฏิบต ั ต ิ าม ขอกำหนด (Compliance) A.15.1 การปฏิบต ั ต ิ ามขอกำหนด ทางกฎหมาย (Compliance with legal requirements)
วัตถุประสงค : เพื่อหลีกเลี่ยงการละเมิดขอกำหนด ทางกฎหมาย ระเบียบปฏิบตั ขิ อ กำหนดในสัญญา และ ขอกำหนดทางดานความมัน่ คงปลอดภัยอืน่ ๆ
A.15.1.1 การระบุ ข อ กำหนดต า งๆ ที่ มี ผ ลทาง กฎหมาย (Identification of applicable legislation) ตัวควบคุม : ตองระบุขอ กำหนดทางดานกฎหมาย ดาน ระเบียบปฏิบตั ิ และทีป่ รากฏในสัญญา (ระหวางองคกร และบุคคลหรือหนวยงานภายนอกอื่น) ที่เกี่ยวของกับ การดำเนินงานหรือธุรกิจขององคกร ตองบันทึกขอกำหนด ดังกลาวไวเปนลายลักษณอกั ษร และปรับปรุงขอกำหนด เหลานัน้ ใหทนั สมัยอยูเ สมอ รวมทัง้ กำหนดแนวทางการ ปฏิบตั เิ พือ่ ใหสอดคลองกับขอกำหนดดังกลาว
A.15.1.2 การปองกันสิทธิและทรัพยสนิ ทางปญญา (Intellectual property rights (IRP)) ตัวควบคุม : ตองกำหนดขัน้ ตอนปฏิบตั เิ พือ่ ปองกันการ ละเมิดสิทธิหรือทรัพยสินทางปญญา ขั้นตอนปฏิบัติ ดังกลาวตองกำหนดหรือควบคุมใหปฏิบตั ติ ามขอกำหนด ทางดานกฎหมาย ทางดานระเบียบปฏิบตั ิ และทีป่ รากฏ ในสัญญา (ระหวางองคกร และบุคคลหรือหนวยงาน ภายนอกอืน่ ) รวมทัง้ ขอกำหนดในการใชงานผลิตภัณฑ ซอฟตแวรจากผูข ายดวย A.15.1.3 การปองกันขอมูลสำคัญที่เกี่ยวของกับ องคกร (Protection of organizational records) ตัวควบคุม : ตองกำหนดใหมกี ารปองกันขอมูลทีเ่ กีย่ วของ กับขอกำหนดทางกฎหมายและระเบียบปฏิบตั ิ ขอกำหนด ที่ปรากฏในสัญญา และขอกำหนดทางธุรกิจ จากการ สูญหาย การถูกทำลายใหเสียหาย และการปลอมแปลง A.15.1.4 การปองกันขอมูลสวนตัว (Data protection and privacy of personal information) ตัวควบคุม : ตองกำหนดใหมกี ารปองกันขอมูลสวนตัว ตามทีร่ ะบุหรือกำหนดไวในกฎหมาย ระเบียบปฏิบตั ิ และ ขอสัญญาทีเ่ กีย่ วของ A.15.1.5 การปองกันการใชงานอุปกรณประมวลผล สารสนเทศผิดวัตถุประสงค (Prevention of misuse of information processing facilities) ตั ว ควบคุ ม : ต อ งป อ งกั น ไม ใ ห ผู ใ ช ง านใช อุ ป กรณ ประมวลผลสารสนเทศขององคกรผิดวัตถุประสงคหรือ โดยไมไดรบั อนุญาต A.15.1.6 การใชงานมาตรการการเขารหัสขอมูล ตามขอกำหนด (Regulation of cryptographic controls) ตัวควบคุม : ตองกำหนดใหใชมาตรการการเขารหัส ขอมูล โดยใหยดึ ถึอตามหรือตองสอดคลองกับขอตกลง กฎหมายและระเบียบปฏิบตั ทิ เี่ กีย่ วของ
A.15.2 การปฏิบต ั ต ิ ามนโยบาย มาตรฐานความมัน่ คงปลอดภัย และขอกำหนดทางเทคนิค (Compliance with security policies and standards, and technical compliance)
A.15.2.2 การตรวจสอบการปฏิบัติตามมาตรฐาน ทางเทคนิคขององคกร (Technical compliance checking) ตั ว ควบคุ ม : ตองกำหนดใหมีการตรวจสอบระบบ สารสนเทศอยางสม่ำเสมอ เพื่อควบคุมใหเปนไปตาม มาตรฐานความมัน่ คงปลอดภัยทางเทคนิคขององคกร
A.15.3 การตรวจประเมินระบบ สารสนเทศ (Information systems audit considerations)
วัตถุประสงค : เพือ่ ใหการตรวจประเมินระบบสารสนเทศ ไดประสิทธิภาพสูงสุด และมีการแทรกแซงหรือทำให หยุดชะงักตอกระบวนการทางธุรกิจนอยทีส่ ดุ A.15.3.1 มาตรการการตรวจประเมิ น ระบบ สารสนเทศ (Information systems audit controls) ตัวควบคุม : ตองระบุขอ กำหนดและกิจกรรมทีเ่ กีย่ วของ กับการตรวจประเมินระบบสารสนเทศขององคกร เพื่อ ใหมีผลกระทบนอยที่สุดตอกระบวนการทางธุรกิจ เชน การหยุดชะงักของกระบวนการทางธุรกิจในระหวาง ทีท่ ำการตรวจประเมิน A.15.3.2 การปองกันเครื่องมือสำหรับการตรวจ ประเมินระบบสารสนเทศ (Protection of information systems audit tools) ตั ว ควบคุ ม : ตองกำหนดใหมีการจำกัดการเขาถึง เครื่องมือสำหรับการตรวจประเมินระบบสารสนเทศ (เชน ซอฟตแวรที่ใชในการตรวจประเมิน) เพื่อปองกัน การใชงานผิดวัตถุประสงค หรือการเปดเผยขอมูลการ ตรวจประเมินโดยไมไดรบั อนุญาต ณ ตอนนี้ ทานผูอานทุกทานก็ไดทำความรูจักกับ มาตรฐานความปลอดภัยขอมูลสารสนเทศ ISO 27001:2005 กันไปเปนทีเ่ รียบรอยแลว ดวยเนือ้ หา ที่เขมขน ตั้งแตตอนที่ 1 ถึงตอนที่ 11 คงชวยให ทุกทานสามารถทำความเขาใจและเริม่ นำมาตรฐาน ความปลอดภัยขอมูลสารสนเทศ ISO 27001:2005 ไปปฏิบตั ภิ ายในองคกรหรือบริษทั ได และในตอน สุดทายนี้ ผูเ ขียนก็ขอขอบคุณทานผูอ า นทุกทานที่ สนใจในมาตรฐานความปลอดภัยขอมูลสารสนเทศ มา ณ ทีน่ ี้ แลวพบกันใหมในโอกาสตอไปครับ Bay Computing Newsletter l 13th Issue
Bay Newsletter_issue 13-1.indd 15
15 3/28/2012 3:25:43 PM
Lumension Endpoint ®
Next Generation Endpoint Security เพือ ่ การดูแลบริหารจัดการ เครือ ่ งปลายทางอยางมีประสิทธิภาพ โซลูชั่นสำหรับบริหารจัดการเครื่องปลายทาง ภายใตสถาปตยกรรมแบบ คอนโซลเดียว เซิรฟเวอรเดียว และ เอเจนตเดียว เพื่อการระบุความเสี่ยงและการบริหารจัดการระบบไอทีทั่วทั้งองคกรไดอยางมีประสิทธิภาพมากขึ้น และเปนระบบเดียวกัน ทุกวันนี้ การเปลี่ยนแปลงอยางรวดเร็วของระบบเครือขายไอที จะเปนแบบกระจายศูนยและทำงานบนระบบเสมือนมากขึ้น สงผลใหมีขอมูล จำนวนมากถู ก จั ด เก็ บ อยู บ นอุ ป กรณ ป ลายทางที่ ห า งไกล อย า งเครื่ อ งแลปทอปและสมาร ต โฟน และมี ก ารเข า ถึ ง ข อ มู ล เหล า นี้ ผ า น แอพพลิเคชัน่ ในรูปแบบคลาวดมากขึน้ โปรแกรมมุง รายหรือมัลแวรทมี่ คี วามซับซอนขึน้ ก็จอ งเลนงานแอพพลิเคชัน่ เหลานี้ เพือ่ พยายามหาทาง เขาถึงขอมูลสำคัญๆ ขององคกร แรงกดดันดานงบประมาณที่รุมเราก็ทำใหองคกรตางๆ เริ่มมองหาโซลูชั่นดานความปลอดภัยที่รองรับการ ประมวลผลแบบกระจาย ที่ทำงานไดหลายระบบ และเปนระบบเสมือนมากขึ้น เพื่อตอบสนองความตองการทางธุรกิจไดอยางคุมคา Lumension® Endpoint Management and Security Suite เปนโซลูชั่นที่มีความยืดหยุนและรองรับการเปลี่ยนแปลงไดอยางรวดเร็ว โดย ชวยลดความซับซอนในการทำงานของทัง้ ทีมปฏิบตั งิ านดานไอทีและทีมรักษาความปลอดภัยดานไอที ลดตนทุนการเปนเจาของ (TCO) มองเห็น ภาพการทำงานเดนชัดขึ้น และมอบอำนาจการควบคุมกลับไปสูทีมไอทีอีกครั้ง
อุปกรณปลายทางมีความปลอดภัยมากขึ้น มองเห็นภาพโดยรวมไดชัดเจน และมีการจัดการนโยบายระหวาง ทีมปฏิบัติงานไอทีและทีมรักษาความปลอดภัยระบบไอที บริหารจัดการและจัดทำรายงานไดจากระบบควบคุมกลาง ไลเซนสผลิตภัณฑแบบโมดูล มีสถาปตยกรรมที่สามารถขยายระบบได มีความยืดหยุน และรองรับการเปลี่ยนแปลงไดอยางรวดเร็ว
Endpoint ®Operations Product Modules Lumension Patch and Remediation:
เปดใชงานการบังคับใชนโยบายการใชงานแอพพลิเคชั่น เพื่อใหแนใจวา ซอฟตแวรที่ไดรับอนุญาตหรือเชื่อถือไดเทานั้นที่ไดรับสิทธใหทำงานได
ชวยลดความเสี่ยงองคกรและเพิ่มประสิทธิภาพในการปฏิบัติงานดาน ไอที ผานการขจัดชองโหวตางๆ ของระบบปฏิบัติการและแอพพลิเคชั่น ทั้งระบบและเซิรฟเวอรทั้งหมดในเวลาที่เหมาะสมแบบเชิงรุก
Lumension® AntiVirus :
Lumension® Security Configuration Management :
Lumension® Device Control :
ชวยใหมั่นใจวาอุปกรณปลายทางไดรับการกำหนดคาอยางปลอดภัย และเปนไปตามวิธีปฏิบัติที่ดีที่สุดของอุตสาหกรรมและขอบังคับตางๆ
ระบุอุปกรณที่เคลื่อนยายไดทั้งหมดที่มีในขณะนี้หรือเคยไดเชื่อมตอกับ อุปกรณปลายทางของคุณ พรอมบังคับใชนโยบายการเขาถึงอุปกรณ/ พอร ต และการเข า รหั ส ข อ มู ล เพื่ อ ป อ งกั น ข อ มู ล เสี ย หาย และ/หรื อ ถูกโจรกรรม
Lumension® Enterprise Reporting : ชวยใหเห็นภาพรวมที่ชัดเจนจากศูนยกลาง เกี่ยวกับสินทรัพยดานไอที และขอมูลชองโหวและการกำหนดคาระบบทั้งหมดในองคกร
Endpoint Security and IT Risk Management Product Modules ® Lumension Application Control :
Bay Newsletter_issue 13-1.indd 16
ใหการปกปองทีค่ รอบคลุมมัลแวรทงั้ หมด รวมทัง้ ไวรัส สปายแวร โทรจัน และแอดแวร
Lumension® Risk Manager : ควบคุมการปฏิบัติตามกฎขอบังคับและเวิรกโฟลวการบริหารจัดการ ความเสี่ ย งด า นไอที ด ว ยขบวนการอั ต โนมั ติ พร อ มให ก ารมองเห็ น ภาพรวมระบบที่สำคัญเกี่ยวกับคน กระบวนการ และเทคโนโลยีทั่วทั้ง องคกร
3/28/2012 3:25:43 PM