NIST Privacy Framework ออกตัวเต็มแล้ว องค์กรควรศึกษาเพื่อใช้เป็นแนวทางบริหารความเสี่ยงด้านความเป็นส่วนตัว 

21 ม.ค.63 (13:19 น.)
เปิดอ่าน 20 ครั้ง

ปัจจุบันหลายประเทศทั่วโลกต่างให้ความสำคัญทั้งเรื่องความมั่นคงปลอดภัยและความเป็นส่วนตัว โดยมีการออกกฎหมายเพื่อให้รองรับกับทั้งสองเรื่องดังกล่าว ทางหน่วยงาน NIST ของสหรัฐฯ เองก็มีความพยายามพัฒนากรอบการทำงาน (framework) ด้านความเป็นส่วนตัวมาเป็นระยะเวลาหนึ่ง โดยหลังจากที่ได้เปิดรับฟังความคิดเห็นมาพอสมควร เมื่อวันที่ 16 มกราคม 2563 ทางหน่วยงาน NIST ก็ได้เผยแพร่เอกสาร Privacy Framework เวอร์ชัน 1.0 ออกมาให้ดาวน์โหลดแล้ว (https://www.nist.gov/privacy-framework) โดยตัวเอกสารนี้เป็นกรอบการทำงานด้านความเป็นส่วนตัว เพื่อใช้ประกอบกับกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework) ที่ออกมาก่อนหน้านี้

โดยภาพรวม NIST Privacy Framework ประกอบด้วย 3 หัวข้อหลักคือ Core, Profiles, และ Implementation Tiers ซึ่งไล่ตามลำดับของกระบวนการทำงาน ตั้งแต่การจัดกลุ่มงานย่อย ตั้งเป้าแผนการทำงาน ไปจนถึงเปรียบเทียบระดับของการใช้งานจริง

ในกรอบการทำงานจะแบ่งความเสี่ยงออกเป็น 2 ด้าน คือความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ (Cybersecurity Risks) และความเสี่ยงด้านความเป็นส่วนตัว (Privacy Risks) โดยความเสี่ยงทั้ง 2 ด้านนี้มีจุดร่วมตรงกลางเรียกว่า เหตุการณ์ด้านความเป็นส่วนตัวที่มีความมั่นคงปลอดภัยไซเบอร์มาเกี่ยวข้อง (Cybersecurity-related privacy events)

Core ของ NIST Privacy Framework จะแบ่งออกเป็น 5 ฟังก์ชัน (function) โดยอยู่ใน Privacy Risks จำนวน 4 ฟังก์ชัน (ประกอบด้วย Identify-P, Govern-P, Control-P และ Communicate-P) และอยู่ใน Cybersecurity-related privacy events จำนวน 1 ฟังก์ชัน (Protect-P) ซึ่งในส่วนนี้จะถูกใช้ควบคู่กับฟังก์ชัน Detect, Respond, และ Recover ของ NIST Cybersecurity Framework ด้วย

Profiles เป็นการหยิบฟังก์ชันจาก core มาจัดกลุ่ม โดยรูปแบบคือการประเมินว่าในปัจจุบัน (current) มีการทำงานครอบคลุมในฟังก์ชันไหนบ้างแล้ว และหากต้องการพัฒนาให้ไปถึงเป้าหมาย (target) จะต้องนำฟังก์ชันใดบ้างมาพิจารณาปรับใช้ต่อ

Implementation Tiers เป็นข้อมูลสำหรับผู้มีอำนาจตัดสินใจใช้อ้างอิงประกอบการพิจารณาความคุ้มค่าของการจัดสรรทรัพยากรเพื่อบริหารความเสี่ยง โดยระดับชั้นของการทำงานนั้นต้องอาศัยความร่วมมือทั้งจากระดับนโยบาย ระดับบริหาร และระดับปฏิบัติการ

ทาง NIST ได้จัดทำหน้าเว็บไซต์ Resource Repository เพื่อใช้ประกอบการอ้างอิงฟังก์ชันกับมาตรฐานหรือข้อแนะนำอื่นๆ ที่เคยมีอยู่แล้วก่อนหน้านี้ เพื่อให้การนำไปใช้งานสามารถทำได้ง่ายขึ้น โดยผู้ที่สนใจสามารถดูเพิ่มเติมได้จาก https://www.nist.gov/privacy-framework/resource-repository/browse

ทั้งนี้ การจะนำกรอบการทำงานไปปรับใช้ในองค์กรนั้นจำเป็นต้องพิจารณาความพร้อมด้านทรัพยากร รวมถึงประเมินความเสี่ยงและผลกระทบจากการดำเนินการด้วย ตัวเอกสารนี้เป็นเพียงแนวทางการทำงานเพราะฉะนั้นจะไม่มีรายละเอียดในระดับปฏิบัติ ผู้บริหารอาจต้องพิจารณาแนวปฏิบัติอื่นๆ รวมถึงข้อกฎหมาย และข้อกำหนดจากหน่วยงานกำกับดูแลร่วมด้วย

ที่มา 

Cyber Domain - Royal Thai Air Force

ล่าสุด

ระวังมัลแวร์ Emotet ขโมยรหัสธนาคารออนไลน์ แพร่กระจายผ่าน Wi-Fi
17 ก.พ.63(เมื่อวาน) อ่าน 31 ครั้ง
Microsoft เตือนผู้ดูแล Exchange เร่งปิด SMBv1 ป้องกันมัลแวร์
14 ก.พ.63(5 วัน) อ่าน 33 ครั้ง
สหรัฐฯ เข้าจับแฮ็กเกอร์ชาวจีนกรณีแฮ็ก Equifax
11 ก.พ.63(7 วัน) อ่าน 20 ครั้ง
พบช่องโหว่ WhatsApp สามารถใช้เข้าถึงไฟล์ของระบบได้
8 ก.พ.63(11 วัน) อ่าน 16 ครั้ง
พบ Backdoor ในชิป HiSilicon คาดอุปกรณ์ DVR/NVR จำนวนมากตกอยู่ในความเสี่ยง
8 ก.พ.63(11 วัน) อ่าน 11 ครั้ง
วิธีการป้องกันภัยจากฟิชชิ่ง (Phishing)
6 ก.พ.63(12 วัน) อ่าน 62 ครั้ง
ประกาศบัญชีรายชื่อผู้ผ่านการเลือกสรรพนักงานราชการทั่วไป
5 ก.พ.63(13 วัน) อ่าน 139 ครั้ง
บริษัทความปลอดภัยไซเบอร์ตรวจสอบระบบไอทีสนามบิน 100 แห่ง มีเพียง 3 แห่งที่ผ่านมาตรฐาน
4 ก.พ.63(14 วัน) อ่าน 15 ครั้ง
ทวิตเตอร์พบคนร้ายใช้ API จับคู่เบอร์โทรศัพท์กับชื่อบัญชี
4 ก.พ.63(14 วัน) อ่าน 7 ครั้ง
พบช่องโหว่บน Microsoft Azure Stack เสี่ยงถูกแฮ็กเกอร์เข้าควบคุม Cloud Servers บนนั้นได้
4 ก.พ.63(14 วัน) อ่าน 8 ครั้ง
ระวังภัย พบมัลแวร์แพร่กระจายผ่านอีเมลโดยอ้างชื่อไวรัสโคโรน่า
3 ก.พ.63(15 วัน) อ่าน 13 ครั้ง
พบช่องโหว่บน Plugin Code Snippets บน WordPress แนะผู้ใช้ควรอัปเดต
30 ม.ค.63(19 วัน) อ่าน 13 ครั้ง
เผยกลเม็ด Phishing ใหม่ของคนร้ายกับบริการ Citibank
30 ม.ค.63(19 วัน) อ่าน 21 ครั้ง
เตือน! พบบั๊กทำ Windows 10 บูตไม่ขึ้นใน KB4528760
30 ม.ค.63(19 วัน) อ่าน 17 ครั้ง
Microsoft ออกเตือนช่องโหว่ Zero-day บน Internet Explorer ที่ถูกใช้โจมตีแล้ว
28 ม.ค.63(21 วัน) อ่าน 33 ครั้ง