16
โซลูชั่นที่ตอบโจทยสำหรับทุกองคกรในทุกวิกฤติการณ คุณจึงมั่นใจไดวา ไมวาจะอยูที่ไหนคุณก็สามารถจัดการกับเครือขายไรสาย ในสาขาตางๆ ขององคกรไดจากทุกทีขณะที่ยังคงความปลอดภัยไว ในระดับสูงไดเชนเดิม ไทยแอรเอเชีย เผยวิสัยทัศนการลงทุนระบบ RSA SIEM และ VMware เชื่อมั่นบริการจาก เบย คอมพิวติ้ง นิตยสาร เบย คอมพิวติ้ง ฉบับที13 2555 P. 06

Bay Computing 13

Embed Size (px)

DESCRIPTION

Newsletter of Bay Computing

Citation preview

โซลูช่ันท่ีตอบโจทยสำหรับทุกองคกรในทุกวิกฤติการณ คุณจึงม่ันใจไดวา ไมวาจะอยูท่ีไหนคุณก็สามารถจัดการกับเครือขายไรสาย

ในสาขาตางๆ ขององคกรไดจากทุกท่ี ขณะที่ยังคงความปลอดภัยไว

ในระดับสูงไดเชนเดิม

ไทยแอรเอเชีย เผยวิสัยทัศนการลงทุนระบบ RSA SIEM และ VMware เช่ือม่ันบริการจาก เบย คอมพิวต้ิง

นิตยสาร เบย คอมพิวติ้ง ฉบับที่ 13 ป 2555

P. 06

Bay Newsletter_issue 13-1.indd 1Bay Newsletter_issue 13-1.indd 1 3/28/2012 3:24:24 PM3/28/2012 3:24:24 PM

2 Bay Computing Newsletter l 13th Issue

C O N T E N T S

EDITOR’S NOTE & CONTENTS

สวัสดีปมังกรทองทุกทานคะ Bay’s Newsletter กลับมาพรอมกับโซลูชั่นท่ีชวย

ตอบโจทยสำหรับองคกรท่ีประสบปญหาอุทกภัยในชวงปลายปทีผ่านมา ภายใตชือ่

“Work at Home” ที่มาในคอนเซ็ปตอยูที่ไหนก็สามารถทำงานได แตเร่ืองความ

ปลอดภัยเรายังคงไวในระดับสูงเชนเดิม

ฉบับนี้เรายังมีโซลูช่ัน Endpoint Management and Security Suite เพ่ือชวยในการบริหาร

จัดการเคร่ืองปลายทางภายใตคอนโซลเดียว เพ่ือความสะดวกและลดตนทุนดานการบริหาร

จัดการ นอกจากน้ีเรายังมีภาคจบของ PCI-DSS ตอทายดวย Cisco Unified Computing

System (UCS) เพ่ือเปนประโยชนกับลูกคาท่ีมีระบบดาตาเซ็นเตอร แลวกลับมาพบกันใหม

ในฉบับหนานะคะ

นิดา ตั้งวงศศิริ, ผูจัดการท่ัวไป

02 EDITOR's NOTE & CONTENTS 03 NEWS UPDATE 05 Work @ Home Solution 06 SUCCESS STORY ä·ÂáÍÃ�àÍàªÕ à¼ÂÇÔÊÑ·Ñȹ�¡ÒÃŧ·Ø¹Ãкº RSA SIEM áÅÐ VMware àª×èÍÁÑ蹺ÃÔ¡Òèҡ àºÂ� ¤ÍÁ¾ÔÇμÔé§ 09 SOLUTION UPDATE PCI-DSS Solutions μ͹·Õè 3 12 SonicWALL Tops the NSS Chart 13 NETWITNESS 14 ISMS STANDARD àÊÃÔÁÁÒμáÒäÇÒÁ»ÅÍ´ÀÑÂäÍ·Õ Œ́Ç ISO 27001:2005 μ͹·Õè 11 “Annex A” (μ͹¨º) 16 Endpoint Management and Security Suite

Bay Newsletter_issue 13-1.indd 2Bay Newsletter_issue 13-1.indd 2 3/28/2012 3:24:33 PM3/28/2012 3:24:33 PM

Bay Computing Newsletter l 13th Issue 3

NEWS UPDATE

Exclusive Golf Challenge เมื่อวันท่ี 27 ธันวาคมท่ีผานมา บริษัท เบย คอมพิวต้ิง

รวมกับ RSA และ M.Tech ไดจัดกิจกรรมการแขงขันกอลฟ เพ่ือ

เปนการสรางความสัมพนัธและตอบแทนกลุมลกูคา ณ สนามกอลฟ

ริเวอรเดล กอลฟคลับ (ปทุมธานี) ภายใตชื่องาน “Exclusive Golf

Challenge 2011” โดยมีผูสนใจเขารวมงานอยางหนาตา ทั้งน้ี

นอกจากจะมีการแขงขันกอลฟในชวงเชาแลว งานเล้ียงสังสรรค

ในชวงเย็นยังไดรับเกียรติจาก โปรเชาวรัตน เขมรัตน มาชวยสอน

เทคนิคตางๆ ใหกับลูกคาท่ีสนใจจะปรึกษาการเลนกอลฟ ซึ่ง

ภายในงานดำเนินไปอยางอบอุนและเปนกันเอง

01

04

National Cyber Security Conference 2011

เมื่อวันท่ี 18-19 สิงหาคมท่ีผานมา บริษัท เบย คอมพิวต้ิง และ

RSA เขารวมออกบูธในงานสัมมนาวิชาการดานการรักษาความ

ปลอดภัยไซเบอรแหงชาติ (National Cyber Security Conference

2011) ณ สโมสรทหารบก ถนนวิภาวดีรังสิต โดยวัตถุประสงค

ของงานจัดข้ึนเพ่ือกระตุนใหเกิดความต่ืนตัวกับภัยคุกคามท่ี

มาจากไซเบอรและเสริมสรางเครือขาย ทำใหเกิดความรวมมือ

ระหวางหนวยงานภาครัฐและภาคเอกชนในการปองกันภัยคุกคาม

ที่มาจากไซเบอร โดยเราไดนำโซลูชั่นใหม RSA Netwitness -

Network Forensics ทีช่วยสืบคนและพิสจูนเคร่ืองมอืท่ีมภัียคุกคาม

จากไซเบอรไดอยางดีเย่ียม

เบยรวมออกบูธงาน Digital Forensics เม่ือวันท่ี 1 กันยายน 2554 ที่ผานมา บริษัท เบย

คอมพิวต้ิง และ RSA รวมออกบูธงานสัมมนาทางวิชาการดาน

Digital Forensics ประจำป 2554 ณ หองแกรนด บอลรูม ชั้น 4

โรงแรมแกรนด มิลเลนเน่ียม สุขุมวิท ซึ่งงานน้ีจัดข้ึนโดย DSI

(กรมสอบสวนคดีพิเศษ) เปนการเสวนาเร่ือง “เทคโนโลยีกับการ

จัดเก็บ รวบรวม และตรวจพิสูจนพยานหลักฐานดิจิตอลของ

ภาคเอกชน” ทั้งน้ี บริษัท เบย คอมพิวติ้ง ยังไดนำเสนอโซลูชั่น

“Netwitness - Network Forensics” ซึ่งเปนผลิตภัณฑใหมของ

ทาง RSA เพ่ือใหขอมูลท่ีเปนประโยชนแกผูมารวมงาน

2nd Annual Regional Collaboration in Cyber Security Conference

เมื่อวันท่ี 27-28 กันยายนท่ีผานมา Bay และ RSA รวมออกบูธ

ในงาน “2nd Annual Regional Collaboration in Cyber Security

Conference Bangkok Thailand 2011” ณ หองแกรนด บอลรูม

โรงแรมแชงกรลีา จดัขึน้โดย National Defense University ภายในงาน

เปนการสัมมนาเพ่ือใหความรูและแลกเปล่ียนความคิดเห็น ในหัวขอ

ที่กำลังเปนท่ีนาสนใจ เชน International Cybersecurity and

Cyber Terrorism, The state of Regional Cyber Security and

Cybersecurity from an Operational Perspective เปนตน

นอกจากน้ี บริษทั เบย คอมพิวต้ิง ไดนำโซลูชัน่ของ RSA ไปนำเสนอ

และใหความรูเพ่ิมเติมแกผูเขารวมงานสัมมนาดวย

03

02

2011

18-19 August

2011

27-28 September

2011

1 September

2011

27 December

Bay Newsletter_issue 13-1.indd 3Bay Newsletter_issue 13-1.indd 3 3/28/2012 3:25:28 PM3/28/2012 3:25:28 PM

4 Bay Computing Newsletter l 13th Issue

NEWS UPDATE

เบยฯ ไดรับรางวัลกับทาง EMC เมื่อวันท่ี 21 กุมภาพันธ ที่ผานมา บริษัท เบย

คอมพิวต้ิง เขารวมงาน “The EMC Partner All Hands

2012” ซึ่งจัดข้ึนท่ีโรงแรมคอนราด กรุงเทพฯ ในงานน้ี

นอกจากจะเปนการขอบคุณพารตเนอรแลว ทาง EMC

ยังไดมอบราวัล “EMC Solution Focus Partner of

the year 2012 - RSA Award” ให บรษิทั เบย คอมพวิต้ิง

จำกัด อีกดวย

งานเล้ียงปใหมบริษัท บริษัท เบย คอมพิวต้ิง จำกัด ไดจัดงานเล้ียงปใหมประจำป

2555 เพ่ือใหพนักงานไดรวมสังสรรคและเสริมสรางกำลังใจใหกับ

พนักงานทุกคน ในชวงวิกฤติการณที่ผานมา ซึ่งงานน้ีจัดข้ึนเม่ือวันท่ี

20 มกราคม 2555 โดยกิจกรรมในชวงเชาไดจัดขึ้นท่ี “Star Sport

Arena” เปนการแขงขันแบดมินตันกระชับมิตร สวนงานเล้ียงในชวง

เย็นจัด ณ Buddy Oriental Riverside Pakkred ภายใตธีมงาน “Colorful

Night Party 2012” ซึ่งภายในงานพนักงานทุกคนไดรวมกันแตงกาย

ตามคอนเซ็ปตงาน อีกท้ังยังมีเซอรไพรสโชวจากพนักงานในแตละ

แผนก เพ่ือเปนการสรางสีสันของงานใหสนุกสนานและอบอุนเปนกันเอง

มากยิ่งข้ึน

บ.เบยฯ รวมบริจาคส่ิงของ แกผูประสบภัยน้ำทวม

อันเน่ืองจากวิกฤติการณอุทกภัยคร้ังใหญที่ผานมา สงผลกระทบ

ตอทุกหนวยงานท้ังภาครัฐ ภาคเอกชน รวมถึงประชาชนมากกวา

27 จังหวัดทั่วประเทศ ทำใหมีผูประสบภัยจากอุทกภัยครั้งน้ี

เปนจำนวนมาก บริษัท เบย คอมพิวต้ิง จึงรวมบริจาคเงิน เพ่ือ

นำไปซ้ือสิ่งของอุปโภคบริโภคท่ีเปนประโยชนแกผูประสบภัย

โดยไดนำส่ิงของท้ังหมดไปบริจาคใหที่ศูนยผูพักพิงผูประสบภัย

ณ มหาวิทยาลัยธรรมศาสตร ศูนยรังสิต เมื่อวันท่ี 10 ตุลาคม

2554 บริษัท เบย คอมพิวต้ิงขอรวมสงกำลังใจใหผูประสบภัย

ทุกทาน และขอเปนกำลังใจในการสูตอไปดวยกัน

06

07 08

ราอะเวย บริษัท เบย คอมพิวต้ิง จำกัด ไดตระหนักถึง

ผลกระทบความเสียหายท่ีเกิดจากวิกฤติการณน้ำทวมในป

2554 ท่ีผานมา ดังน้ัน ทางบริษัทจึงไดติดตอกับทางมหาวิทยาลัย

เทคโนโลยีพระจอมเกลาธนบุรีเพ่ือขอรับสูตรน้ำยากำจัด

เชื้อรา ”ราอะเวย” เพ่ือนำมาผสมและนำไปแจกจายใหกับ

ลูกคาของบริษัท รวมทั้งพนักงานท่ีไดรับผลกระทบจาก

เหตุการณในครั้งน้ี น้ำยาราอะเวยตัวน้ีมีคุณสมบัติชวยขจัด

เช้ือราท่ีเกิดจากความอับชื้น และยังชวยปองกันเช้ือราไมให

กลับมาไดอีกคร้ัง

05

2012

20 January

2011

10 October

2012

21 February

Bay Newsletter_issue 13-1.indd 4Bay Newsletter_issue 13-1.indd 4 3/28/2012 3:25:29 PM3/28/2012 3:25:29 PM

Work @ HomeSolution

โซลูช่ันท่ีตอบโจทยสำหรับ ทุกองคกรในทุกวิกฤติการณ

Aruba Remote Networking สามารถตอบสนองความตองการใชงานไดอยางหลากหลาย นับตั้งแตการจัดการเครือขายไรสาย (WLAN) ภายในสาขาตางๆ ไดจากศูนยกลาง โดยจัดการสาขาที่อยูหางไกล (Remote Sites) ไดนับรอยสาขา หรือจะเปนการติดตั้งเครือขาย Wi-Fi อิสระขนาดยอมที่ใชเวลาเพียงไมกี่นาที ไปจนถึงการจัดเตรียมซอฟตแวร VPN ท่ีชาญฉลาดสำหรับอุปกรณพกพา (mobile devices) ตางๆ ไมวาคุณจะเลือกใชงานในรูปแบบใด คุณก็สามารถเช่ือมตอกับทรัพยากรของเครือขายภายในองคกรไดอยางงายดาย โดยขอความชวยเหลือเพียงเล็กนอยหรือไมตอง ขอความชวยเหลือจากฝายไอทีใหเขามาดูแลถึงออฟฟศแบบ On-site เลย และการเช่ือมตอของคุณยังมาพรอมความปลอดภัย เนื่องจาก Aruba ไดจัดเตรียมระบบตรวจสอบตัวตน (authentication) ที่เขมแข็ง, มีการเขารหัสขอมูลในระดับเดียวกับที่ใชเขารหัสขอมูลทางทหาร และมีการปองกันภัยคุกคามที่มาจากระบบไรสายดวย ในกรณีท่ีสาขาปลายทางตองการเช่ือมตอกลับมายังศูนยกลางแตไมมีระบบเครือขายท่ีจะเช่ือมตอกลับมาน้ัน Aruba มีอุปกรณท่ีทำใหมีระบบเครือขายเช่ือมตอผานเครือขาย 3G ได โดยรองรบัผูใหบรกิารทกุคาย ทำใหการใชงานงาย สะดวก เหมาะกับผูใชงาน ทีต่องการทำงานไดจากทกุๆ สถานท่ีทีส่ามารถเชือ่มตอกบัระบบโทรศพัทเคลือ่นทีไ่ด ส่ิงที่ทำให Remote Networking ของ Aruba มีความแตกตางจากผลิตภัณฑอื่นๆ อาจจะอยูที่ความฉลาดในการเรียนรูสภาพแวดลอมทางเครือขายของตัวมันเอง เนื่องจากสามารถใหบริการผูใชงานที่อยูไกลออกไป (remote workers) ไดอยางมีเสถียรภาพ ควบคุมการแอ็กเซสเขาใชงานทรัพยากรของเครือขายไดอยางปลอดภัย โดยพิจารณาดูวาผูใชคือใครเปนหลัก ไมวาจะอยูท่ีไหน ใชอุปกรณอะไร มีแอพพลิเคช่ันตวัไหนอยู และเชื่อมตอเขามาในรูปแบบใดก็ตาม

Bay Newsletter_issue 13-1.indd 5Bay Newsletter_issue 13-1.indd 5 3/28/2012 3:25:31 PM3/28/2012 3:25:31 PM

6 Bay Computing Newsletter l 13th Issue

SUCCESS STORY

ไทยแอรเอเชีย นับเปนสายการบินราคา

ประหยัด รายแรกๆ ที่เปดใหบริการ

ในประเทศไทย โดยเปดใหบริการต้ังแตวันที่

3 กุมภาพันธ 2547 ดวยสโลแกน “Everyone

Can Fly” ที่ทำใหการเดินทางทางอากาศ ไมใช

เรื่องที่ไกลตัวของคนไทยอีกตอไป โดยทุกวันนี้

ไทยแอรเอเชียมีเสนทางการบินภายในประเทศ

11 เสนทาง นอกจากน้ียังมีเสนทางการบิน

ไปยังตางประเทศดวย ซึ่งตลอดระยะเวลา 8 ป

ที่ผานมา ไทยแอรเอเชียมีการเติบโตอยาง

กาวกระโดด จากพนักงาน 200 คน จนถึงทุกวันน้ี

มีมากกวา 2,000 คน และมีจำนวนผูโดยสาร

สะสมท่ีเดินทางกับไทยแอรเอเชียตั้งแตปแรก

จนถึงปน้ีมากกวา 30 ลานคน ทำใหความทาทาย

ในการดำเนินธุรกิจของไทยแอรเอเชียอยูท่ี “การ

แขงขันกับตัวเอง” เพื่อปรับปรุงบริการใหดีขึ้น

ลูกคาประทับใจมากข้ึน ในขณะเดียวกัน ก็ตอง

รักษาตนทุนใหอยูบนพื้นฐานธุรกิจสายการบิน

ราคาประหยัดดวย ซึง่รวมถึงการลงทุนดานไอที

ท่ีไทยแอรเอเชียคอนขางใหความสำคัญและ

มีการพัฒนาระบบไอทีมาอยางตอเนื่อง

“สำหรับการลงทุนดานไอที เราก็ลงทุนบนพื้นฐานวาเราเปน

สายการบินราคาประหยัดเชนกัน แตเราก็กลาที่จะลงทุนระบบท่ี

ราคาสูง หากเทคโนโลยีนั้นตอบโจทยผูใชบริการดานไอทีของเรา

ทั้งลูกคาท่ีเปนบุคคลภายนอกและพนักงานภายใน โดยการลงทุน

ของที่นี่ เราจะพยายามนำเทคโนโลยีที่จับตองไดและงายตอการ

ใชงานของคนสวนใหญ เอามาประยุกตใชกับองคกรของเรา

ใหมากท่ีสุด นอกจากน้ียังเนนการลงทุนระบบท่ีชวยลดความซับซอน

ในการบริหารจัดการ เนื่องจากที่นี่เมื่อเทียบอัตราสวนพนักงาน

ทั้งหมดที่มีกวา 2,000 คน กับพนักงานไอทีที่มีเพียง 13 คนแลว

ถือวาต่ำมาก เราจึงพยายามนำเทคโนโลยีเขามาใชใหมากที่สุด

ขณะที่ตองควบคุมตนทุนใหคุมคาที่สุด”

ไทยแอรเอเชีย

วิสัยทัศนการลงทุนดานไอที คุณพิพัฒน คุณประคัลภ ผูจัดการฝาย IT บริษัท

ไทยแอรเอเชีย จำกัด เปดเผยถึงวิสัยทัศนการลงทุนของ

ไทยแอรเอเชยีวา “เนือ่งจาก ไทยแอรเอเชีย เปนสายการบิน

ราคาประหยัด ดังนั้น นโยบายการลงทุนทุกอยางของเรา

จึงตระหนักถึงเร่ืองของราคา (Cost Conscious) คอนขาง

ชัดเจน คือ เราจะดูวาตนทุนที่เราใชคุมคาหรือไม แต

ไมไดหมายความวาเราตองซ้ือของท่ีราคาถูกเสมอไป

หากราคาสมเหตุสมผล บางอยางเราก็กลาท่ีจะลงทุน

ถาสิ่งนั้นสามารถตอบโจทยเราไดในระยะยาว และทำให

ลูกคาเกิดความพึงพอใจและมีความสุข”

เผยวิสัยทัศนการลงทุนระบบ RSA SIEM และ VMware เช่ือม่ันบริการจาก เบย คอมพิวต้ิง

Bay Newsletter_issue 13-1.indd 6Bay Newsletter_issue 13-1.indd 6 3/28/2012 3:25:32 PM3/28/2012 3:25:32 PM

Bay Computing Newsletter l 13th Issue 7

SUCCESS STORY

“เรามองวา เราไมมีคูแขงทางการคา เรามีแตคูคาท่ีเราจะทำ

การคาดวย ดังนั้น สิ่งที่ทาทายท่ีสุดของเราก็คือ การแขงขันกับ

ตัวเอง วาจะสามารถรักษาตนทุน เพ่ือมอบบริการในราคาประหยัด

ใหกับผูโดยสารไดอยางไร ในขณะเดียวกันเรื่องความปลอดภัย

ทั้งหลายและการใหบริการของเราก็ตองดีเหมือนเดิม นี่คือสิ่งที่

ทาทายสำหรับเรามากกวา”

เลือกท่ีความคุมคา นอกเหนือไปจากระบบหลักที่เปนระบบจองตั๋วผานทางเว็บไซต

(Reservation System) ซึ่งไทยแอรเอเชียใชบริการเอาตซอรส

แบบ SaaS (Software as a Service), ระบบบัญชี (Accounting

System) ที่ไทยแอรเอเชียเปน SSC (share service center) ซึ่ง

รับทำบัญชีใหกับกลุมแอรเอเชียทั้งหมด และระบบมอนิเตอรตางๆ

ทางไทยแอรเอเชียยังไดลงทุนระบบ RSA SIEM และ VMware

เพิ่มเติม เพื่อเพิ่มประสิทธิภาพในการทำงานและการใหบริการ

โดยระบบท้ังสองน้ีทางไทยแอรเอเชียเลือกใชโซลูชั่นท่ีนำเสนอโดย

บริษัท เบย คอมพิวติ้ง จำกัด เนื่องจากผลิตภัณฑทั้งสองสามารถ

ตอบสนองความตองการใชงานของไทยแอรเอเชีย

ไดอยางครอบคลุม และบริษัท เบย คอมพิวติ้ง

จำกัด ก็มีบริการหลังการขายที่ดีและยืดหยุน

ใหกับบริษัทฯ อีกดวย

คุณพิพัฒน อธิบายถึงการตัดสินใจเลือกระบบ

RSA SIEM และ VMware วา “ในการลงทุน

ระบบ Log Management นั้น เราไมไดซื้อมา

เพื่อที่จะ comply ตาม พ.ร.บ. คอมพิวเตอร ป 2550 เทาน้ัน แตเราตองการไดประโยชนมากย่ิงข้ึน คือ นอกจาก

การเก็บ Log แลว ตอนน้ีเรายังนำขอมูล Log มาวิเคราะหพฤติกรรม

ในลักษณะเชิงรุก เพื่อปองกันความเส่ียงจาก Fraud ที่จะเกิดขึ้น

ในอนาคตในระบบของธุรกิจสายการบิน ซึ่งเปนธุรกิจท่ีมีการ

รับเงินลวงหนา ทำใหเราสามารถจัดการปองกันหรือแกไขปญหา

ไดทันทวงที หากมีเหตุการณ (event) แปลกๆ เกิดขึ้น และเหตุผล

ที่เลือกแบรนด RSA ก็เน่ืองจากเปน Hardware Appliance ที่

ตอบโจทยความตองการของเราไดครบในอุปกรณชิ้นเดียวจบ

และบริหารจัดการไดงาย”

“สวนระบบ VMware เรานำมาใชรองรับในสวนของระบบบัญชีที่

เปนแบ็กออฟฟศ และในสวนของสตอเรจ เน่ืองจากไทยแอรเอเชีย

มีการเติบโตของจำนวนพนักงานแบบกาวกระโดด และการท่ี

ไทยแอรเอเชียเปน share service center ในการทำระบบบัญชี

ของแอรเอเชียท้ังหมด นอกจากน้ีเรายังมีระบบท่ีเปน e-Document

อยูในเซิรฟเวอรหลายระบบ ทำใหสตอเรจของเราโตเร็วมาก เราจึง

มีแผนท่ีจะขยายสตอเรจใหใหญข้ึนในป 2555 การนำระบบ VMware

¤Ø³¾Ô¾Ñ²¹ � ¤Ø³»ÃФÑÅÀ� ¼ÙŒ¨Ñ´¡Òý†Ò IT ºÃÔÉÑ· ä·ÂáÍà �àÍàªÕ ¨Ó¡Ñ´

Bay Newsletter_issue 13-1.indd 7Bay Newsletter_issue 13-1.indd 7 3/28/2012 3:25:34 PM3/28/2012 3:25:34 PM

8 Bay Computing Newsletter l 13th Issue

SUCCESS STORY

มาใช จะชวยใหเราสามารถจัดการระบบของเราไดอยางยืดหยุน

และแทนท่ีจะตองสั่งซ้ือฮารดแวรเพื่อเซตอัพเซิรฟเวอรทั้งหลาย

VMware จะชวยใหเราสามารถเซตอัพระบบทั้งหลายไดภายใน

ระยะเวลาอันสั้น โดยไมตองมาทำเรื่องจัดซ้ือใหม” คุณพิพัฒน

กลาวเพ่ิมเติม

สำหรับผลลัพธที่ไดหลังจากนำระบบ VMware มาใช คุณพิพัฒน

เลาวา “ในแงของผูใช เคาสามารถดึงขอมูลจากสตอเรจไดเร็วขึ้น

เปดไฟลไดเร็วข้ึน สามารถจัดการงานของเคาไดดีข้ึน ทางฝงพนักงาน

ไอที ส่ิงท่ีเราไดรับประโยชนคอนขางมาก คือ เร่ืองการบริหารจัดการ

ระบบเหลานี้ จะงายขึ้นมาก สามารถจัดการผานหนาจอคอนโซล

ที่เดียว ไมตองแอ็กเซสเขาไปจัดการทีละเคร่ืองเหมือนสมัยกอน

และท่ีทีมซิสเต็มสชอบมากคือ การท่ีเราสามารถเซตอัพและจัดการ

เครื่องเซิรฟเวอรใหมจำนวนมากไดคอนขางเร็วแคไมกี่นาที เมื่อ

เทียบกับการเซตอัพเซิรฟเวอรจริงที่ตองใชเวลาส่ังซื้อและเซตอัพ

หลายวัน”

อยางการอิมพลีเมนตระบบ VMware เรามีขอจำกัดเนื่องจากวา

เซิรฟเวอรของเรามีการใชงานถึงขีดจำกัดแลว เราจำเปนตอง

เซตอัพระบบใหไดในระยะเวลาอันส้ัน ทางเบย คอมพิวต้ิง ก็สามารถ

ชวยเหลือเราในสวนนี้ไดเปนอยางดี สามารถอิมพลีเมนตระบบได

ในระยะเวลาท่ีเรากำหนด รวมถึงสามารถไมเกรตระบบเกาไดโดย

ไมสงผลกระทบกับผูใชปกติดวย ทำใหเราพอใจกับบริการที่ไดรับ

จากเบย คอมพิวติ้ง”

กาวตอไปท่ีไมหยุดย้ัง คุณพิพัฒนกลาวถึงทิศทางการพัฒนาระบบไอทีของไทยแอรเอเชีย

ในอนาคตวา “เรามีการพัฒนาบริการและระบบไอทีอยางตอเน่ือง

จากเดิมท่ีเราเชาเคร่ืองบินโบอ้ิง 737 ท่ีใชแลว (Used) มาใหบริการ

แตตั้งแตป 2554 เราสามารถคอนเฟรมไดแลววา ตอนนี้เราเปน

New Fleet ดังสโลแกน ‘เครื่องใหม ใครๆ ก็บินได’ โดยเราเปล่ียน

จากเครื่องโบอิ้งท้ังหมดเปนแอรบัส A320 ทั้งหมด ซึ่งมีประมาณ

21 ลำ ที่ใหบริการในปจจุบัน”

“สำหรับการพัฒนาดานไอที เรามีแผนท่ีจะซ้ือฟเจอรบางตัวของ

VMware เพ่ิม เพ่ือใหจัดการระบบงายข้ึน และครอบคลุมทุกฟเจอร

ที่เราตองการ เนื่องจากหลังจากท่ีเราใชแลว เราเห็นถึงประโยชน

ของระบบดังกลาววา สามารถตอบโจทยทั้งในสวนของการ

ใหบริการเอ็นดยูสเซอร และตอบโจทยในสวนของทางฝายไอทีเอง

นอกจากน้ีเรายังมีแผนที่จะศึกษาและลงทุนระบบไอทีดานอื่นๆ

เพิ่มเติม ไมวาจะเปนระบบซีเคียวริตี้ การทำ DR site เอง และ

ระบบคลาวด ซึง่ในป 2555 เราจะเร่ิมมโีปรเจก็ตเลก็ๆ ทยอยออกมา

บางสวน โดยตอนแรกจะเปนพวกสตอเรจ แลวเปนพวกไฟลแชริ่ง

และพวกออฟฟศ เนื่องจากทุกวันน้ีเราซื้อไลเซนสออฟฟศคอนขาง

เยอะ ทั้งยังมีแผนท่ีจะนำระบบท่ีเปน Self-Services มาใชงาน

มากขึน้ นอกเหนือจากเว็บเชก็อนิ ไมวาจะเปนโมบายบุกกิง้ โมบาย

บริการสุดประทับใจ สำหรับการตัดสินใจเลือกบริษัท เบย คอมพิวติ้ง จำกัด ใหมา

รับผิดชอบการอิมพลีเมนตและดูแลระบบทั้งสองนั้น คุณพิพัฒน

ใหเหตุผลวา “เรามองวาเบย คอมพิวติ้ง ไมใชผูขาย แตเปน

พารตเนอรทางธุรกิจของเรา ซึ่งเหตุผลที่เราเลือกเบย คอมพิวต้ิง

ก็เพราะ เบย คอมพิวต้ิง มีบริการหลังการขายท่ีดีและมีความยืดหยุน

ในการใหบริการกับเราพอสมควร รวมถึงมีการเขามาพูดคุยให

คำปรึกษาหรืออัพเดตเทคโนโลยีใหมๆ เปนประจำทุกป ซึ่งเปน

ขอมลูทีช่วยในการวางแผนการลงทุนดานไอทขีองเราในปถดัๆ ไป”

คุณพิพัฒนกลาวเสริมอีกวา “ในกรณีที่เราตองการความชวยเหลือ

อยางดวนพิเศษ ทางเบย คอมพิวติ้ง ก็สามารถใหเราไดทันทวงที

เช็กอิน คีออสเช็กอิน เพื่ออำนวยความสะดวกใหกับ

ผูโดยสาร และลดจำนวนพนกังานทีห่นาเคานเตอรเชก็อนิ

ไมใหโตตามอัตราสวนของเสนทางการบินท่ีเราจะมีมากขึน้”

“โจทยของเราคือ ถาสิ่งใดท่ีจะทำใหลูกคาเกิดความ

พึงพอใจและมีความสุข เราก็จะพยายามลงทุน

ในสวนนั้นใหมากขึ้น ไมวาเทคโนโลยีนั้นจะชวยได

มากนอยแคไหนก็ตาม เพราะลูกคาคือคนสำคัญ

ของเรา” คณุพพิฒันกลาวทิง้ทายถงึความตัง้ใจในการ

พัฒนาระบบ รวมถึงการพยายามเลือกผลิตภัณฑ

และผูวางระบบท่ีคุมคาทีส่ดุ เพ่ือมอบบริการท่ีดยีิง่ๆ

ขึ้นไปใหกับลูกคาอยางไมหยุดยั้ง

Bay Newsletter_issue 13-1.indd 8Bay Newsletter_issue 13-1.indd 8 3/28/2012 3:25:38 PM3/28/2012 3:25:38 PM

Bay Computing Newsletter l 13th Issue 9

SOLUTION UPDATE

โซลูช่ันของมาตรฐาน PCI-DSS

PCI-DSS v 2.0 มาตรฐานในการรักษา

ความปลอดภัยธุรกรรมอิเล็กทรอนิกส

PCI-DSS คือ มาตรฐานเกี่ยวกับการรักษา

ความปลอดภัย กำหนดโดย PCI-SSC ซึ่ง

ครอบคลุมการปกปองขอมูลท่ีมีความสำคัญ

(Sensitive Data) โดยกำหนดตัวควบคุม

สำหรับการบริหารจัดการการรักษาความ

ปลอดภัย, นโยบายการใชงานขอมูล, ข้ันตอน

กระบวนการ, สถาปตยกรรมระบบเครือขาย,

การออกแบบซอฟตแวร และอ่ืนๆ เพ่ือปกปอง

ขอมูลสำคัญของผูถอืบัตร

นอกจากน้ี PCI-DSS บังคับใชกับผูเก่ียวของ

ทั้งหมดในวงจร การออกบัตร ประมวลผล

และสถาบันการเงิน รวมถึงรานคาผูรับบัตร

ซึ่งตองถูกรับรองโดยหนวยงานผูตรวจสอบ

ท่ีไดรับการรับรองจาก PCI แลว โดยมาตรฐาน

บังคับใหผูเก่ียวของตองปฏิบัติตาม และ

หากไมปฏิบัติตามอาจถูกระงับการใหบริการ

รวมถึงหากเกิดเหตุขอมูลรั่วไหล ความผิด

ตางๆ รวมถึงคาใชจายและความเสียหาย

ท่ีเกิดข้ึนท้ังหมด จะตกเปนของผูท่ีไมปฏิบัติ

ตามมาตรฐานน้ีแตเพียงผูเดียว

แกนหลักของ PCI-DSS คือ Principle

ซึ่งเกิดจากการรวมกันของ Requirement

ตางๆ โดยแบงเปน 6 Principle รวม

12 Requirement โดยในตอนท่ี 3 นี้จะ

กลาวถึงโซลูชั่นเพื่อตอบโจทยในแตละ

Requirement

สถานะทั่วไปของผูใหบริการ (Service

Provider) หรือผูคา (Merchant) จากการศึกษา

ในป 2007 ของ PCI-SSC และสำนักวิจัย

ฟอรเรสเตอร เปนดังภาพตอไปนี้

PCI-DSS SolutionPCI-DSS Solution โดย อวิรุทธ เลี้ยงศิริ, Technology Director, บริษัท เบย คอมพิวติ้ง จำกัด

ตอนท่ี 3

จะพบวาปญหาสวนใหญ อยูในพืน้ท่ีของการ

บรหิารจดัการสทิธิ ์ (Access Management)

โดยเฉพาะในองคกรขนาดใหญ (Level 1)

ซ่ึงองคกรท่ีไมมีระบบ Identity Management

จะมีสิทธิ์ เ กิดปญหาในขณะตรวจสอบ

(Audit) ตามมาตรฐาน PCI-DSS คอนขาง

มาก รองลงมาคือ พื้นท่ีในสวนของการ

มอนิเตอรและการทดสอบ (Monitoring

and Testing)

ขั้นตอนการเตรียมตัวเพ่ือ ตรวจสอบตามมาตรฐาน PCI-DSS ประกอบดวย 3 ขั้นตอนหลัก คือ

Discovering Cardholder Assets

เปนข้ันตอนท่ีองคกรจะตองคนหาวา ขอมูล

ของผูถือบัตร มีความเก่ียวของกับระบบงาน

ใดบางภายในองคกร เพื่อทำ Inventory

สำหรับการเตรียมพรอมในขั้นตอนตอไป

หรือเรียกวาเปนการทำ Scoping เบ้ืองตน

โดยควรมีรายละเอียดวาระบบงานใด เก่ียวของ

มากนอยเพียงใด เชน แคประมวลผล มีการ

จัดเก็บเลขที่หรือขอมูลสวนบุคคลของ

ผูถือบัตรหรือไม มีระบบรักษาความปลอดภัย

อะไรแลวบาง เปนตน

Identify Compliance Gap

เปนข้ันตอนที่องคกรจะตองประเมินความ

พรอม และหาความแตกตาง (Gap) ระหวาง

ระบบปจจุบันและมาตรฐานท่ี PCI-DSS

กำหนด ซึง่ขัน้ตอนน้ีสามารถทำไดหลายวิธ ี

เชน หากเปนองคกรใหญ ควรจัดจางท่ีปรึกษา

(Consult) ที่มีความชำนาญ หากเปนไปได

ควรสามารถรับรองหรือมีใบอนุญาต QSA

ที่ไดรับการรับรองจาก PCI-SSC ซึ่งจะ

สามารถชวยในการหา Gap ไดอยางมี

ประสิทธิภาพมากกวา หรือในกรณีเปน

องคกรขนาดเล็ก สามารถดาวนโหลด SAQ

(Self-Assessment Questionnaire) ซ่ึงเปน

Base: 677 IT security decision makers directly or indirectly involved in protecting credit card data within their organizations Source: PCI Custom Study, Forrester Consulting, July 2007

What are your current areas of non-compliance?

Lack of appropriate access management (i.e., access control, identity management, physical

security)

Lack of appropriate monitoring and testing (i.e., tracking, monitoring, testing systems and

processes)

Lack of appropriate infrastructure management (i.e., AV, firewalls, System hardening)

Lack of credit card data protection controls

(i.e., discovery, disposal, masking, encryption, key management)

Poor security policy (i.e., policies, awareness,

etc.)

Other

Level 1 Level 2 Level 3 (pre-Level 2)

51% 47%

38%

31% 42%

38%

27% 41%

28%

27% 22% 22%

9%

0%

8%

1%

7%

1%

Bay Newsletter_issue 13-1.indd 9Bay Newsletter_issue 13-1.indd 9 3/28/2012 3:25:39 PM3/28/2012 3:25:39 PM

10 Bay Computing Newsletter l 13th Issue

SOLUTION UPDATE

คำถามมาตรฐาน โดยแนะนำใหเลือก

ประเภทของ SAQ ที่ถูกตอง (มี 4 ประเภท

คือ A, B, C, D) โดยแนะนำใหใชประเภท

D (226 คำถาม) เพื่อใหครอบคลุม ยกเวน

องคกรเปน Merchant ที่ไมไดใชระบบ

อิเล็กทรอนิกส อาจลดประเภทเปน SAQ

ประเภท A,B,C ได และเม่ือได Gap

Analysis แลวจึงดำเนินการขั้นตอไป

ตอบ Requirement 12 โดยการสรางหรือปรับเปล่ียน

นโยบายรักษาความปลอดภัย (Security

Policy) ขององคกร ใหมีหัวขอและเรื่อง

เกี่ยวกับการรักษาความปลอดภัยขอมูล

ผูถือบัตร และหัวขอท่ีจำเปนตาม Requirement

ทั้ง 11 ขอที่เหลืออยางครบถวน พรอมท้ัง

กำหนดวิธีการตรวจสอบเพื่อใหยืนยันกับ

ผูตรวจสอบ (QSA) ไดวา นโยบายไดถูก

บังคับใช และยืนยันประสิทธิผลของนโยบาย

นั้นๆ ได

โซลูช่ันสำหรับตอบแตละ Requirement Requirement # 1 :

Install and maintain a firewall

การมีไฟรวอลลใช และถูกปรับแตง รวมถึง

ตรวจสอบประสิทธภิาพอยางสม่ำเสมอ เปน

Requirement ท่ีสำคัญ เพ่ือใหองคกรมีการ

แบงแยกระบบเครือขายระหวางภายนอก

และภายในอยางชัดเจน และแยกเครือขายท่ี

มีขอมูลผูถือบัตรออกจากเครือขายภายใน

ปกติ พรอมทั้งมีการรักษาความปลอดภัยที่

เพียงพอ โดยยึดหลัก least to know (รูหรือ

เขาถึงไดเฉพาะท่ีจำเปนจริงๆ เทานั้น)

Solution : Firewall Configuration

Management, SIEM, Vulnerability

Assessment

Requirement # 2 :

Do not use vendor passwords

เปนขอบงัคับท่ีระบใุหหลกีเลีย่งการใชรหัสผาน

(Password) ที่เปนคา Default ที่กำหนด

มาใหจากโรงงาน หรือผูผลิตกำหนดใหเมื่อ

ติดตั้งระบบ ซึ่งมักเปนคาท่ีรูกันโดยท่ัวไป

ทำใหผูไมประสงคดสีามารถเขาถงึระบบได

โดยไมตองเดารหัสผาน นอกเหนือจากน้ี

คือ การกำหนดใหรหัสผานตองมีความ

ซับซอน (Complexity) เชน มีอักขระพิเศษ

ผสมกับตัวอักษรเล็กและใหญ มีความยาว

ไมต่ำกวา 8 ตัวอักษร เปล่ียนทุก 60 วัน

และหามใชรหัสผานซ้ำกับท่ีเคยใชยอนหลัง

1 ป เปนตน รวมถึงมีการกำหนด Security

Configuration ท่ีอางอิงจาก Best Practice

เชน สถาบัน CIS, NIST และอื่นๆ

Solution : Security Configuration

Management, Integrity Monitoring,

Password Management/ Token/ 2-Factor

Authentication

Requirement # 3 :

Protect stored cardholder data

ขอบังคับนี้ระบุใหมีการปกปองขอมูลของ

ผูถือบัตร ทั้งท่ีประมวลผล สงผาน และ

จัดเก็บไว ใหมีการรักษาความปลอดภัยอยาง

เพียงพอ

Solution : File / Folder / Drive Encryption,

Database Encryption, Data Loss

Prevention (DLP), Database Activity

Monitoring

Requirement # 4 :

Encrypt transmission of credit card data

ขอบังคับนี้ระบุใหมีการเขารหัสระหวางการ

สื่อสารขอมูลของผูถือบัตร เพื่อปองกันการ

แอบดักจับขอมูล โดยการเขารหัสผานสื่อ

บางประเภท เชน เครือขายไรสาย (Wi-Fi)

ระบุถึงประเภทการเขารหัสวาตองเปน

มาตรฐาน WPA v1 หรือ WPA v2 เทานั้น

การใชมาตรฐานเกาแบบ WEP ถือวาไม

ปลอดภัยเพียงพอ เปนตน หรือการเขารหัส

สำหรับสื่ออื่นๆ ควรเลือกใชการเขารหัส

มาตรฐาน AES ที่ความยาวกุญแจรหัส

ไมนอยกวา 128bit เปนตน

Solution : SSL-VPN, IPSec VPN, WPA2,

L2TP, Public Key Infrastructure, Digital

Right Management (DRM) เปนตน

Requirement # 5 :

Use and regularly update anti-virus

ขอบังคับนี้ระบุใหมีการใชซอฟตแวรเพื่อ

ปองกันไวรัสอยางเพียงพอ กลาวคือ ควรมี

ระบบในการตรวจจับและคัดกรองโปรแกรม

ไมพึงประสงคที่ไมเพียงแตแคไวรัสเทานั้น

แตควรรวมถึงโปรแกรมท่ีอาจสงผลใหขอมูล

รั่วไหล เชน กลุมของสปายแวร เปนตน

นอกจากน้ีตองมีรายงานและหลักฐาน

ท่ีตรวจสอบไดวา มีซอฟตแวรทำงานตลอด

เวลา และมีการอัพเดตใหซอฟตแวรมีความ

ทันสมัย สามารถตรวจจับภัยคุกคามใหมๆ

ไดอยางสม่ำเสมอ

Solution : Anti-virus Management

Console, SIEM, GRC Dashboard เปนตน

Requirement # 6 :

Develop and Maintain secure systems

and applications

ขอบังคับน้ีระบุใหมีการพัฒนาซอฟตแวร

อยางปลอดภัย และปรับปรุงแกไขขอผิดพลาด

อยางสม่ำเสมอ ในกรณีใชซอฟตแวรสำเร็จรูป

ตองมีการติดต้ังแพตชหรือฮอตฟกซที่

เก่ียวของกับความปลอดภัยของระบบอยาง

ทันทวงที และสม่ำเสมอ พรอมทั้งมีการ

วางแผนตอบรับเหตุการณที่ อาจเกิด

ผลกระทบจากปญหาของระบบและ

แอพพลิเคช่ัน ท่ีเกิดจากการโจมตีผานเครือขาย

ภายนอก โดยเฉพาะเว็บแอพพลิเคช่ัน

Solution : Patch Management, Desktop

Bay Newsletter_issue 13-1.indd 10Bay Newsletter_issue 13-1.indd 10 3/28/2012 3:25:39 PM3/28/2012 3:25:39 PM

Bay Computing Newsletter l 13th Issue 11

SOLUTION UPDATE

Management, Software Lifecycle

Management, Software Source-code

Scanner, Web Application Firewall, Web

Application Vulnerability Scanner เปนตน

Requirement # 7 :

Restrict access to cardholder data by

business need to know

ขอกำหนดน้ีระบุใหองคกร มีการบริหาร

จัดการสิทธิ์ในการเขาถึงขอมูลในแตละ

ระบบงานอยางจำกัด และเฉพาะเทาท่ี

จำเปนจริงๆ เทานั้น พรอมสามารถแสดง

กระบวนการ หรือเอกสารประกอบการ

ปฏิบัติงาน หรือหลักฐานที่แสดงใหเห็นวา

การเปลี่ยนแปลงตำแหนงหรือการเขาออก

ของเจาหนาที่ ไดถูกบันทึก/ปรับปรุงให

ถูกตองอยางสม่ำเสมอ

Solution : Identity Management,

2-Factor Authentication, Security

Configuration Management, Directory

Service

Requirement # 8 :

Assign a unique ID to each person

with computer access

ขอกำหนดนี้ ร ะบุ ให การ เข าถึ ง ระบบ

คอมพิวเตอร ไมวาระบบใดๆ ตองมีรหัส

ผูใชเฉพาะบุคคล ไมมีการแบงปนกันใช

หรือใชงานรวมกันเด็ดขาด ในระบบท่ีมีขอมูล

ผูถือบัตรเครดิตในระบบ

Solution : Identity Management,

2-Factor Authentication, Directory

Service, RADIUS เปนตน

Requirement # 9 :

Restrict physical access to cardholder

data

ขอกำหนดน้ีระบุใหการเขาถึงเคร่ืองหรือ

ระบบท่ีเก็บขอมูลผูถือบัตรทางกายภาพ

ตองถูกควบคุมและปองกันอยางเหมาะสม

ทั้งการมีประตู ระบบควบคุมการเขาออก

การลงเวลา และกลองวงจรปด (CCTV)

รวมถึงกระบวนการในการจัดเก็บ ใชงาน

และทำลาย ของส่ือขอมูล (Media) ท่ีมีขอมูล

อยูภายใน

Solution : Media Library, Physical Data

Center Control, CCTV, Card Access

Control, Physical Security Control

Center เปนตน

Requirement # 10 :

Regularly monitor and test network

ขอกำหนดน้ีระบุใหการใชงานระบบเครือขาย

ภายใน ตองมีกระบวนการและระบบในการ

ตรวจสอบสถานะความปลอดภัย รวมถึง

ทดสอบหาปญหาท่ีมีในระบบเครือขายอยาง

สม่ำเสมอ โดยระบบเครือขายตองสามารถ

ทำ Audit Trail ของการใชงานเครือขาย

การเขาถึงระบบตางๆ ที่สามารถสืบยอน

ไปยังตนตอหรือผูกระทำได การดูแลระบบ

ใหมีวันและเวลาท่ีถูกตองตรงกันท้ังเครือขาย

นอกจากนี้ Audit Trail ทั้งหมดตองถูก

จัดเก็บไวไมนอยกวา 1 ป

Solution : Centralized Log Management,

SIEM, RADIUS, Directory Server, Identity

Management, Network Monitoring

System (NMS) เปนตน

Requirement # 11 :

Regularly test security systems and

processes

ขอกำหนดน้ีระบุใหมีการทดสอบความ

ปลอดภัย และหาความผิดปกติที่เกี่ยวกับ

ความปลอดภัยของระบบและเครือขายอยาง

สม่ำเสมอ เชน ตรวจหาแอ็กเซสพอยนต

เถ่ือน และความปลอดภัยของระบบเครือขาย

ไรสาย (Wireless / Wi-Fi) อยางนอยทุก

3 เดือน ตองคนหาชองโหวในระบบเครือขาย

ภายในทุก 3 เดือน และคนหาชองโหวจาก

ภายนอก (External Scan) โดยผูไดรับ

อนุญาต (Application Scanning Vendor)

จาก PCI-SSC ทุก 3 เดือนเชนกัน

Solution : Vulnerability Assessment,

Web Application Vulnerability Scanner,

Wireless IPS, Network IPS, File Integrity

Monitoring, Security Configuration

Management เปนตน

Requirement # 12 :

Maintain a policy that addresses

information security for all personnel

ขอกำหนดน้ีระบุใหองคกร ตองมีการจัดทำ

นโยบายในการรักษาความปลอดภัย ที่

ครอบคลุมทุกสวนขององคกร ท่ีมีการเขาถึง

ขอมูลผูถือบัตรได และมีการตรวจสอบ

ประสิทธิผลและปรับปรุงอยางสม่ำเสมอ

ใหถูกตองและเปนไปตามสถานการณที่

เปล่ียนแปลงไปขององคกรและภัยคุกคาม

พรอมระบุผูรับผิดชอบในการดำเนินการ

และตรวจสอบอยางเปนระบบ

ซึ่งจากขอกำหนดท้ังหมดท่ีกลาวมา จะ

เห็นไดวา มาตรฐาน PCI-DSS ในทางหน่ึง

เปนการยกระดับการรักษาความปลอดภัย

ที่ถือวาเขมขนมากกวามาตรฐานที่

ไดรับการยอมรับกันทั่วไป เชน ISO/

IEC 27001:2005 ซึ่ง PCI-DSS ลงลึก

ในรายละเอียด และมีขอหามชัดเจน

ในหลายๆ แงมุม ดังน้ัน การเตรียมการ

ท่ีเหมาะสม และมีท่ีปรึกษาท่ีตอบสนอง

ตอสภาพการใชงานแตละองคกรจึง

เปนส่ิงท่ีสำคัญ เพ่ือใหการผานการตรวจ

มาตรฐาน PCI-DSS v2.0 เปนไปดวยดี

และสำเร็จตอไป

Bay Newsletter_issue 13-1.indd 11Bay Newsletter_issue 13-1.indd 11 3/28/2012 3:25:40 PM3/28/2012 3:25:40 PM

12 Bay Computing Newsletter l 13th Issue

สิ่งท่ี “คาน้ี” บงบอก ราคาตออัตราความเร็วในการปกปอง (Price Per Protected Mbps) ในแกน X ของชารต

เปนคาท่ีนำตนทุนรวมในการเปนเจาของ (TCO) ในระยะเวลาตอเน่ือง 3 ป มาประเมิน

รวมกับการวัดประสิทธิภาพและประสิทธิผลดานความปลอดภัย เพื่อไดตัวเลขท่ีสามารถ

ใชเปรียบเทียบตนทุนแทจริงของแตละอุปกรณที่เรานำมาทดสอบ โดยอุปกรณยิ่งอยู

ทางดานขวามากเทาไร (ตนทุนต่ำสุด) ก็ยิ่งดีมากเทานั้น

สวนแกน Y จะเปนอัตราการสกัดก้ันภัยคุกคามท่ีไดผล (Effective Block Rate) ตามการ

วัดคาของการทดสอบประสิทธิภาพดานความปลอดภัยจาก NSS Labs ซึ่งโดยท่ัวไปแลว

สำหรับผลิตภัณฑ NGFW (Next Generation Firewall) นั้น เราจะทดสอบดวยการใช

คากำหนดเร่ิมตน (default settings) เปนหลัก โดยอุปกรณที่มีตัวเลขปรากฏดานบนสุด

จะเปนอุปกรณที่ดีที่สุด

“SonicWALL Tops the NSS Chart”“SonicWALL Tops the NSS Chart”

Best Perform Best Perform Next Generation Next Generation Firewall 2012Firewall 2012

สนใจขอมูลเพิ่มเติม หรือตองการทดสอบประสิทธิภาพของ SonicWALL

ติดตอไดที่ : บริษัท เบย คอมพิวติ้ง จำกัด โทร. 0-2962-2223 www.baycoms.com

Security Value Map ของ NGFS (Next Generation Firewall Security) ในป 2012 จากรายงานการวิเคราะหผลิตภัณฑ หรือ Product Analysis Reports (PAR) และรายงานการวิเคราะหเชิงเปรียบเทียบ หรือ Comparative Analysis Reports (CAR) ถูกนำมาใชสราง Security Value Map (SVM) เอกสารระดับสูงนี้จ ะแสดงภาพเปรียบเทียบคุณคาท่ีสัมพันธกันของทางเลือกตางๆ ในการลงทุนเทคโนโลยีดานความปลอดภัยของคุณท่ีเขาใจไดงายๆ โดยการเปรียบเทียบประสิทธิภาพดานความปลอดภยักับความคุมคา (ราคาตออัตราเร็วในการปกปอง หรือ Price Per Protected Mbps) ของผลิตภัณฑที่ทำการทดสอบ สรุปผลไดวา SonicWALL Next GenerationFirewall มีประสิทธิภาพสูงสุด เหนือกวาผลิตภัณฑอื่นๆ ในตระกูลเดียวกัน

Bay Newsletter_issue 13-1.indd 12Bay Newsletter_issue 13-1.indd 12 3/28/2012 3:25:41 PM3/28/2012 3:25:41 PM

Bay Computing Newsletter l 13th Issue 13

TECHNOLOGY UPDATE

สนใจขอมูลเพิ่มเติม ติดตอไดท่ี

บริษัท เบย คอมพิวต้ิง จำกัด อีเมล [email protected]

สิง่ท่ีองคกรสวนใหญประสบปญหา • โครงสรางระบบความปลอดภัยทางเน็ตเวิรกที่มีอยู ไม สามารถตรวจจับการคุกคามไดหมด ไมวาจะเปน A/V, IDS/IPS เปนตน • เหตุการณที่เกิดข้ึนอันเปนภัยตอระบบขององคกร ตอง ใชเวลาคอนขางนานในการตรวจสอบ และไมมีระบบการ ตรวจเช็กความสัมพันธของเหตุการณที่เกิดข้ึนกับแหลง ขอมูลอื่นโดยอัตโนมัติ • ทรัพยสินทางปญญาหรือขอมูลความลับของลูกคาถูก สำเนาและขโมยออกนอกองคกร • ภัยคุกคามที่เกิดข้ึนถูกเปดเผยสูสาธารณะ สงผลใหเกิด ความเสียหายตอมูลคาขององคกร • เกิดการสูญเสียทางชื่อเสียงและคาใชจายตางๆ มากมาย ตามมา อันเกิดมาจากการคุกคาม เน็ทวทิเนส ประกอบดวย แอพพลเิคชัน่หลกัๆ ทัง้สิน้ 4 สวน ดวยกัน Spectrum • ทำงานเลียนแบบเทคนิคของนักวิเคราะหโปรแกรมมัลแวร ชั้นนำ โดยจะถามคำถามมากมายเกี่ยวกับวัตถุ ที่ไมมีลายเซ็น (signature) หรือพฤติกรรม “รายๆ” ใหเห็น • ยกระดับความสามารถของโปรแกรม NetWitness Live ดวย การรวมขอมูลขาวสารจากบริการเฝาระวังและตรวจสอบ ประวัติภัยคุกคามชั้นนำ (threat intelligence and reputation services) เพ่ือประเมิน ใหคะแนน และ จัดลำดับความสำคัญของความเสี่ยงตางๆ • ใชประโยชนจากความสามารถในการตรวจตราระบบ เครือขายที่ครอบคลุมของเน็ทวิทเนส เพ่ือทำใหเห็น ภาพรวมของทั้งระบบเครือขายไดชัดเจน และแยกประเภท ขอมูลจากโพรโตคอลและแอพพลิเคชั่นไดทุกตัว • สรางประสิทธิภาพและความกระจางชัดใหกับกระบวนการ วิเคราะหโปรแกรมมัลแวร โดยจะสงผลตรวจสอบที่ได แบบสมบูรณใหกับผูเช่ียวชาญดานความปลอดภัยระบบ Informer • แสดงผล Dashboard, แผนภาพ และขอมูลสรุปอยาง ยืดหยุน เพ่ือการมองภาพรวมทิศทางของภัยคุกคาม • ไดรับคำตอบอัตโนมัติสำหรับทุกคำถาม ที่เก่ียวกับ • ความปลอดภัยของระบบเครือขาย • ฝายรักษาความปลอดภัย / ฝายบุคคล • ฝายกฎหมาย / ฝายวิจัยและพัฒนา (R&D) / เจาหนาที่ Compliance • ฝายปฏิบัติงานดานไอที • มีรายงานทั้งแบบไฟล HTML, CSV และ PDF • รองรับการ Push ขอมูลแบบ CEF, SNMP, syslog, SMTP เพ่ือรวมเขากับระบบ SIEM และระบบบริหาร จัดการเหตุการณบนเครือขายอื่นๆ อยางสมบูรณ

เนท็วิทเนส ถือเปนการเปลีย่นแปลงแพลตฟอรมทางดานการดแูลระบบเนต็เวริกครัง้ยิง่ใหญในวงการ ทีช่วยใหองคกรสามารถลวงรูและเขาใจ กับสิง่ตางๆ ทัง้หมดทีเ่กิดข้ึนในเน็ตเวิรกขององคกรไดอยางแมนยำทีส่ดุ โดยโซลูชัน่ของเนท็วทิเนสถกูนำมาใชอยางกวางขวางในสภาพแวดลอมทัง้หมดขององคกร เพ่ือแกปญหาการคกุคามทางอเิล็กทรอนกิส รวมถงึตรวจสอบ ดแูลทางดานความปลอดภยัในเน็ตเวิรก การแกไขและปองกนัการคุกคามที่มาจากทั้งภายในและนอกองคกร, zero-day exploits and targeted malware, advanced persistent threats, fraud, espionage และปองกันการร่ัวไหลของขอมูลที่มีคา (data leakage) ออกนอกองคกร

Investigator • วิเคราะห Session การขับเคลื่อนขอมูลโตตอบของเนื้อหาในเลเยอรที่ 2-7 • วิเคราะห Session ของพอรต ซ่ึงเปนเทคโนโลยีที่ไดรับรางวัลและมีสิทธิบัตร • สรางเสนทางการวิเคราะหและจุดการตรวจสอบเน้ือหา/สภาพแวดลอม (content/context) แบบไมจำกัด • ขอมูลถูกนำเสนอในรูปแบบที่ผูใชงานคุนเคย (ไดแก เว็บไซต, ไฟลเสียง, ไฟลขอมูล, อีเมล, โปรแกรมแชท และอื่นๆ) • รองรับชุดขอมูลขนาดใหญ • สามารถตรวจสอบขอมูลระดับเทราไบตไดในชั่วอึดใจ • มีการวิเคราะหที่รวดเร็ว ทำใหการวิเคราะหที่เคยใชเวลาเปนวัน บัดนี้ใชเวลาเพียงแคไมก่ีนาที • มีรุนที่เปนฟรีแวร ซ่ึงถูกใชโดยผูเช่ียวชาญดานระบบปลอดภัยกวา 45,000 คนทั่วโลก Visualize • ปฏิวัติอินเทอรเฟซแบบภาพเพ่ือแสดงเนื้อหาบนเครือขาย • แยกประเภทและนำเสนอภาพ ไฟล ออปเจ็กต เสียง และออดิโอ แบบโตตอบ เพ่ือการวิเคราะห • รองรับการใชงานแบบมัลติทัช การเจาะขอมูล ขอมูลไทมไลน และการแสดงขอมูลอัตโนมัติ เม่ือบราวซหาขอมูล • รีวิวและจัดเรียงขอมูลอยางรวดเร็ว

WHY NETWITNESS? Netwitness NextGen เปนแพลตฟอรมที่ชวยรักษาความปลอดภัยใหกับระบบเครือขาย และไดผสมผสานเทคโนโลยีโครงสรางพื้นฐานที่ไดรับการยอมรับและมีสิทธิบัตร เขากับเครื่องมือวิเคราะหข้ันสงู ซ่ึงจะทำใหองคกรสามารถแกปญหาดานความปลอดภยัอนัซบัซอนไดอยางเฉียบขาด พรอมกบัคนหาคำตอบท่ีแจกแจงรายละเอียดและมีความชัดเจน ท้ังยังเสริมขอมูลความรูใหกับสังคมผูเช่ียวชาญดานระบบปลอดภยัทัว่โลก โปรแกรมเนท็วทิเนสนี ้ ไดรับการออกแบบมาใหเปนแพลตฟอรมทีช่วยใหรักษาความปลอดภยัใหกับระบบเครือขายแบบถงึแกน เพราะในปจจุบนั เน็ทวทิเนสเปนเพียงโซลูชัน่เดียวในทองตลาดที่สามารถทำงานไดอยางรวดเร็ว ยืดหยุน และมีประสิทธิภาพพอที่จะปรับตัวและเผชิญหนาตอสูกับภัยคุกคามที่พัฒนาความรุนแรงเพ่ิมข้ึนทุกวัน และสามารถตอบสนองตอ จุดประสงคดานการบริหารจัดการความเสี่ยงระดับองคกรได

Bay Newsletter_issue 13-1.indd 13Bay Newsletter_issue 13-1.indd 13 3/28/2012 3:25:42 PM3/28/2012 3:25:42 PM

14 Bay Computing Newsletter l 13th Issue

ISMS STANDARD

เสริมมาตรการความปลอดภัยไอทีดวย ISO 27001:2005“Annex A” (ตอนจบ)

ตอนท่ี 11

โดย ภัคณัฏฐ โพธิ์ทองบวรภัค Security Manager บริษัท เบย คอมพิวติ้ง จำกัด

สวสัดคีรบัทานผูอาน ในท่ีสดุเราก็ไดเดินทางมาถึงตอนจบกันแลวสำหรับในสวนของ Annex

A ซึง่ทีผ่านมาเราทำความเขาใจในหัวขอตางๆ ดงันี ้ A. 5 นโยบายความม่ันคงปลอดภัย (Security policy) A. 6 โครงสรางทางดานความม่ันคงปลอดภัยสำหรับองคกร (Organization of information security) A. 7 การบริหารจัดการทรัพยสินขององคกร (Asset management) A. 8 ความมั่นคงปลอดภัยที่เกี่ยวของกับบุคลากร (Human resources security) A. 9 การสรางความม่ันคงปลอดภัยทางกายภาพและสิง่แวดลอม (Physical and environmental security) A.10 การบริหารจัดการทางดานการส่ือสารและการ ดำเนินงานของเครือขายสารสนเทศขององคกร (Communications and operations management) A.11 การควบคุมการเขาถงึ (Access control) A.12 การจัดหา การพัฒนา และการบำรุงรักษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) สำหรบัในฉบบันีเ้ราจะมาทำความเขาใจ Annex A กนัตอ ในหัวขอ A.12 (สวนท่ีเหลือ) ถึง A.15 ซ่ึงเปนหัวขอสุดทายนะครบั A.12.6 การบริหารจัดการ ชองโหวในฮารดแวรและซอฟตแวร (Technical Vulnerability Management) วัตถุประสงค : เพื่อลดความเส่ียงจากการโจมตีโดยอาศยัชองโหวทางเทคนคิ ทีม่กีารเผยแพรหรอืตพีมิพในสถานท่ีตางๆ A.12.6.1 มาตรการควบคุมชองโหวทางเทคนิค (Control of technical vulnerabilities)

ตวัควบคุม : ตองกำหนดใหมกีารตดิตามขอมลูขาวสารที่เกี่ยวของกับชองโหวในระบบตางๆ ที่ใชงาน ประเมินความเส่ียงของชองโหวเหลาน้ัน รวมท้ังกำหนดมาตรการรองรบัเพือ่ลดความเส่ียงดังกลาว A.13 การบริหารจัดการ เหตุการณท่ีเก่ียวของกับความ ม่ันคงปลอดภัยขององคกร (Information security incident management) A.13.1 การรายงานเหตุการณ และจุดออนท่ีเก่ียวของกับความ ม่ันคงปลอดภัย (Reporting information security events and weaknesses) วัตถุประสงค : เพ่ือใหเหตุการณและจุดออนท่ีเก่ียวของกบัความมัน่คงปลอดภยัตอระบบสารสนเทศขององคกรไดรบัการดำเนินการท่ีถกูตองในชวงระยะเวลาท่ีเหมาะสม A.13.1.1 การรายงานเหตุการณท่ีเก่ียวของกับความมัน่คงปลอดภัย (Reporting information security events) ตัวควบคุม : ตองรายงานเหตุการณท่ีเก่ียวของกับความมัน่คงปลอดภัยขององคกร โดยผานชองทางการรายงานที่กำหนดไว และจะตองดำเนินการอยางรวดเร็วที่สุด เทาทีจ่ะทำได A.13.1.2 การรายงานจุดออนที่เก่ียวของกับความมัน่คงปลอดภัยขององคกร (Reporting security weaknesses) ตวัควบคุม : ตองบนัทกึและรายงานจุดออนทีเ่กีย่วของกบัความมัน่คงปลอดภยัขององคกรทีส่งัเกตพบหรอืเกดิความสงสัยในระบบหรือบรกิารทีใ่ชงานอยู A.13.2 การบริหารจัดการ และ การปรับปรุงแกไขตอเหตุการณท่ี เก่ียวของกับความม่ันคงปลอดภัย (Management of information security incidents and improvements) วัตถุประสงค : เพื่อใหมีวิธีการที่สอดคลองและไดผลในการบริหารจัดการเหตุการณท่ีเก่ียวของกับความม่ันคงปลอดภยัสำหรับสารสนเทศขององคกร A.13.2.1 หนาทีค่วามรับผดิชอบและข้ันตอนปฏิบตั ิ

(Responsibilities and procedures) ตัวควบคุม : ตองกำหนดหนาที่ความรับผิดชอบและ ขั้นตอนปฏิบัต ิ เพื่อรับมือกับเหตุการณที่เกี่ยวของกับความมัน่คงปลอดภยัขององคกร และขัน้ตอนดงักลาวตองมคีวามรวดเร็ว ไดผล และมคีวามเปนระบบระเบียบทีด่ ี A.13.2.2 การเรียนรูจากเหตุการณที่เกี่ยวของกับความมัน่คงปลอดภัย (Learning from security incidents) ตัวควบคุม : ตองบันทึกเหตุการณละเมิดความม่ันคงปลอดภยั โดยอยางนอยจะตองพจิารณาถึงประเภทของเหตุการณ ปริมาณท่ีเกิดขึ้น และคาใชจายเกิดขึ้นจากความเสียหาย เพื่อจะไดเรียนรูจากเหตุการณที่เกิดขึ้นแลว และเตรยีมการปองกนัทีจ่ำเปนไวลวงหนา A.13.2.3 การเกบ็รวบรวมหลักฐาน (Collection of evidence) ตวัควบคมุ : ตองรวบรวมและจัดเก็บหลักฐานตามกฎหรือหลักเกณฑสำหรับการเก็บหลักฐานอางอิงในกระบวนการทางศาลทีเ่กีย่วของ เมือ่พบวาเหตกุารณที่เกิดขึ้นนั้นมีความเกี่ยวของกับการดำเนินการทาง กฎหมายแพงหรืออาญา A.14 การบริหารความ ตอเน่ืองในการดำเนินงาน ขององคกร (Business continuity management) A.14.1 หัวขอพ้ืนฐานสำหรับ การบริหารความตอเน่ืองในการ ดำเนินงานขององคกร (Information security aspects of business continuity management) วัตถุประสงค : เพ่ือปองกันการติดขัดหรือการหยุดชะงักของกิจกรรมตางๆ ทางธุรกิจ เพื่อปองกันกระบวนการทางธุรกิจที่สำคัญอันเปนผลมาจากการลมเหลวหรือหายนะที่มีตอระบบสารสนเทศ และเพื่อใหสามารถกูระบบกลบัคนืมาไดภายในระยะเวลาอันเหมาะสม A.14.1.1 กระบวนการในการสรางความตอเนือ่งใหกับธุรกิจ (Including information security in the business continuity management process) ตวัควบคมุ : ตองกำหนดใหมกีระบวนการในการสรางความตอเน่ืองใหกับธุรกิจ การบริหารจัดการและการปรับปรุงกระบวนการดังกลาวอยางสม่ำเสมอ กระบวนการน้ี

Bay Newsletter_issue 13-1.indd 14Bay Newsletter_issue 13-1.indd 14 3/28/2012 3:25:42 PM3/28/2012 3:25:42 PM

Bay Computing Newsletter l 13th Issue 15

ISMS STANDARD

จะตองระบุขอกำหนดท่ีเก่ียวของกับความม่ันคงปลอดภัยท่ีจำเปนสำหรบัการสรางความตอเนือ่งใหกบัธุรกจิ A.14.1.2 การประเมินความเสีย่งในการสรางความตอเนือ่งใหกบัธรุกจิ (Business continuity and risk assessment) ตัวควบคุม : ตองระบุเหตุการณที่สามารถทำใหธุรกิจขององคกรเกดิการตดิขดัหรอืหยดุชะงกั โอกาสที่จะเกิดขึ้น ผลกระทบที่เปนไปได รวมทั้งผลที่เกิดขึ้นตอความมัน่คงปลอดภัยสำหรบัสารสนเทศขององคกร A.14.1.3 การจัดทำและใชงานแผนสรางความตอเน่ืองใหกับธุรกิจ (Developing and implementing continuity plans including information security) ตัวควบคุม : ตองจัดทำและใชงานแผนสรางความตอเน่ืองใหกับธุรกิจและการดำเนินงานตางๆ ใหสามารถดำเนินตอไปไดในระดับและชวงเวลาท่ีกำหนดไวภายหลังจากท่ีมเีหตกุารณทีท่ำใหธรุกจิเกดิการตดิขดั หยดุชะงกั หรอืลมเหลว A.14.1.4 การกำหนดกรอบสำหรับการวางแผนเพ่ือสรางความตอเนือ่งใหกับธรุกจิ (Business continuity planning framework) ตวัควบคุม : ตองกำหนดกรอบสำหรับการวางแผนเพ่ือสรางความตอเน่ืองใหกับธุรกิจ เพ่ือใหแผนงานท่ีเก่ียวของทัง้หมดมีความสอดคลองกนั ครอบคลุมขอกำหนดทางดานความม่ันคงปลอดภัยท่ีกำหนดไว และจัดลำดับความสำคญัของงานตางๆ ทีต่องดำเนินการ A.14.1.5 การทดสอบและการปรับปรุงแผนสรางความตอเน่ืองใหกับธุรกิจ (Testing, maintaining and re-assessing business continuity plans) ตวัควบคมุ : ตองกำหนดใหมกีารทดสอบและปรับปรุงแผนสรางความตอเน่ืองใหกบัธรุกจิอยางสม่ำเสมอ เพือ่ใหแผนมีความทันสมยัและไดผลเปนอยางด ี A.15 การปฏิบัติตาม ขอกำหนด (Compliance) A.15.1 การปฏิบัติตามขอกำหนด ทางกฎหมาย (Compliance with legal requirements) วัตถุประสงค : เพื่อหลีกเล่ียงการละเมิดขอกำหนด ทางกฎหมาย ระเบียบปฏิบตัขิอกำหนดในสัญญา และขอกำหนดทางดานความม่ันคงปลอดภัยอืน่ๆ A.15.1.1 การระบุขอกำหนดตางๆ ที่มีผลทางกฎหมาย (Identification of applicable legislation) ตวัควบคุม : ตองระบขุอกำหนดทางดานกฎหมาย ดานระเบยีบปฏบิตั ิและทีป่รากฏในสัญญา (ระหวางองคกร และบุคคลหรือหนวยงานภายนอกอ่ืน) ที่เกี่ยวของกับการดำเนินงานหรือธุรกิจขององคกร ตองบันทึกขอกำหนดดังกลาวไวเปนลายลักษณอักษร และปรับปรุงขอกำหนดเหลาน้ันใหทนัสมยัอยูเสมอ รวมทัง้กำหนดแนวทางการปฏบิตัเิพือ่ใหสอดคลองกบัขอกำหนดดังกลาว

A.15.1.2 การปองกันสทิธแิละทรัพยสนิทางปญญา (Intellectual property rights (IRP)) ตวัควบคุม : ตองกำหนดข้ันตอนปฏิบตัเิพือ่ปองกนัการละเมิดสิทธิหรือทรัพยสินทางปญญา ขั้นตอนปฏิบัต ิดังกลาวตองกำหนดหรือควบคุมใหปฏิบัติตามขอกำหนดทางดานกฎหมาย ทางดานระเบียบปฏิบตั ิและท่ีปรากฏ ในสัญญา (ระหวางองคกร และบุคคลหรือหนวยงานภายนอกอ่ืน) รวมท้ังขอกำหนดในการใชงานผลิตภณัฑซอฟตแวรจากผูขายดวย A.15.1.3 การปองกันขอมูลสำคัญที่เก่ียวของกับองคกร (Protection of organizational records) ตัวควบคุม : ตองกำหนดใหมีการปองกันขอมูลท่ีเก่ียวของกับขอกำหนดทางกฎหมายและระเบียบปฏิบัติ ขอกำหนดที่ปรากฏในสัญญา และขอกำหนดทางธุรกิจ จากการสญูหาย การถกูทำลายใหเสยีหาย และการปลอมแปลง A.15.1.4 การปองกันขอมูลสวนตัว (Data protection and privacy of personal information) ตวัควบคุม : ตองกำหนดใหมกีารปองกนัขอมลูสวนตวัตามทีร่ะบหุรอืกำหนดไวในกฎหมาย ระเบียบปฏบิตั ิและขอสญัญาท่ีเกีย่วของ A.15.1.5 การปองกนัการใชงานอปุกรณประมวลผล สารสนเทศผิดวตัถุประสงค (Prevention of misuse of information processing facilities) ตัวควบคุม : ตองปองกันไมใหผูใชงานใชอุปกรณประมวลผลสารสนเทศขององคกรผิดวัตถุประสงคหรือโดยไมไดรบัอนญุาต A.15.1.6 การใชงานมาตรการการเขารหัสขอมูลตามขอกำหนด (Regulation of cryptographic controls) ตัวควบคุม : ตองกำหนดใหใชมาตรการการเขารหัสขอมูล โดยใหยดึถึอตามหรอืตองสอดคลองกบัขอตกลง กฎหมายและระเบียบปฏบิตัทิีเ่กีย่วของ A.15.2 การปฏิบัติตามนโยบาย มาตรฐานความม่ันคงปลอดภัย และขอกำหนดทางเทคนิค (Compliance with security policies and standards, and technical compliance)

วัตถุประสงค : เพื่อใหระบบเปนไปตามนโยบายและมาตรฐานความม่ันคงปลอดภัยขององคกร A.15.2.1 การปฏิบัติตามนโยบาย และมาตรฐานความม่ันคงปลอดภัย (Compliance with security policies and standards) ตัวควบคุม : ตองกำหนดใหผูบังคับบัญชาคอยกำกับ ดูแล และควบคุมการปฏิบัติงานของผูที่อยูใตการบงัคบับญัชาของตน ใหปฏบิตัติามขัน้ตอนปฏบิตัทิางดานความม่ันคงปลอดภยัตามหนาทีค่วามรบัผดิชอบของตน ท้ังน้ี เพ่ือใหการปฏิบัติเปนไปตามนโยบายและมาตรฐานความมัน่คงปลอดภัยขององคกร A.15.2.2 การตรวจสอบการปฏิบัติตามมาตรฐานทางเทคนิคขององคกร (Technical compliance checking) ตัวควบคุม : ตองกำหนดใหมีการตรวจสอบระบบสารสนเทศอยางสม่ำเสมอ เพื่อควบคุมใหเปนไปตามมาตรฐานความม่ันคงปลอดภัยทางเทคนิคขององคกร A.15.3 การตรวจประเมินระบบ สารสนเทศ (Information systems audit considerations) วัตถุประสงค : เพ่ือใหการตรวจประเมินระบบสารสนเทศไดประสิทธิภาพสูงสุด และมีการแทรกแซงหรือทำใหหยดุชะงกัตอกระบวนการทางธุรกจินอยทีส่ดุ A.15.3.1 มาตรการการตรวจประเมินระบบสารสนเทศ (Information systems audit controls) ตัวควบคุม : ตองระบุขอกำหนดและกิจกรรมท่ีเก่ียวของกับการตรวจประเมินระบบสารสนเทศขององคกร เพื่อใหมีผลกระทบนอยที่สุดตอกระบวนการทางธุรกิจ เชน การหยุดชะงักของกระบวนการทางธุรกิจในระหวางทีท่ำการตรวจประเมิน A.15.3.2 การปองกันเคร่ืองมือสำหรับการตรวจประเมินระบบสารสนเทศ (Protection of information systems audit tools) ตัวควบคุม : ตองกำหนดใหมีการจำกัดการเขาถึงเคร่ืองมือสำหรับการตรวจประเมินระบบสารสนเทศ (เชน ซอฟตแวรที่ใชในการตรวจประเมิน) เพ่ือปองกันการใชงานผิดวัตถุประสงค หรือการเปดเผยขอมูลการตรวจประเมินโดยไมไดรบัอนญุาต ณ ตอนน้ี ทานผูอานทุกทานก็ไดทำความรูจักกับ มาตรฐานความปลอดภัยขอมูลสารสนเทศ ISO 27001:2005 กนัไปเปนทีเ่รยีบรอยแลว ดวยเนือ้หาที่เขมขน ตั้งแตตอนที ่ 1 ถึงตอนที ่ 11 คงชวยให ทุกทานสามารถทำความเขาใจและเร่ิมนำมาตรฐานความปลอดภัยขอมลูสารสนเทศ ISO 27001:2005 ไปปฏิบตัภิายในองคกรหรือบริษทัได และในตอนสดุทายน้ี ผูเขยีนก็ขอขอบคณุทานผูอานทกุทานที่สนใจในมาตรฐานความปลอดภัยขอมูลสารสนเทศ มา ณ ทีน่ี ้แลวพบกันใหมในโอกาสตอไปครับ

Bay Newsletter_issue 13-1.indd 15Bay Newsletter_issue 13-1.indd 15 3/28/2012 3:25:43 PM3/28/2012 3:25:43 PM

Lumension®® Endpoint

โซลูชั่นสำหรับบริหารจัดการเคร่ืองปลายทาง ภายใตสถาปตยกรรมแบบ คอนโซลเดียว เซิรฟเวอรเดียว และ

เอเจนตเดียว เพ่ือการระบุความเสี่ยงและการบริหารจัดการระบบไอทีทั่วทั้งองคกรไดอยางมีประสิทธิภาพมากข้ึน

และเปนระบบเดียวกัน

ทุกวันนี้ การเปล่ียนแปลงอยางรวดเร็วของระบบเครือขายไอที จะเปนแบบกระจายศูนยและทำงานบนระบบเสมือนมากข้ึน สงผลใหมีขอมูล

จำนวนมากถูกจัดเก็บอยูบนอุปกรณปลายทางที่หางไกล อยางเครื่องแลปทอปและสมารตโฟน และมีการเขาถึงขอมูลเหลานี้ผาน

แอพพลเิคชัน่ในรปูแบบคลาวดมากขึน้ โปรแกรมมุงรายหรอืมลัแวรทีม่คีวามซบัซอนขึน้ก็จองเลนงานแอพพลเิคชัน่เหลาน้ี เพือ่พยายามหาทาง

เขาถึงขอมูลสำคัญๆ ขององคกร แรงกดดันดานงบประมาณท่ีรุมเราก็ทำใหองคกรตางๆ เร่ิมมองหาโซลูชั่นดานความปลอดภัยที่รองรับการ

ประมวลผลแบบกระจาย ท่ีทำงานไดหลายระบบ และเปนระบบเสมือนมากข้ึน เพื่อตอบสนองความตองการทางธุรกิจไดอยางคุมคา

Lumension® Endpoint Management and Security Suite เปนโซลูชั่นท่ีมีความยืดหยุนและรองรับการเปล่ียนแปลงไดอยางรวดเร็ว โดย

ชวยลดความซบัซอนในการทำงานของทัง้ทมีปฏบิตังิานดานไอทแีละทมีรักษาความปลอดภยัดานไอท ี ลดตนทุนการเปนเจาของ (TCO) มองเหน็

ภาพการทำงานเดนชัดข้ึน และมอบอำนาจการควบคุมกลับไปสูทีมไอทีอีกคร้ัง

อุปกรณปลายทางมีความปลอดภัยมากข้ึน

มองเห็นภาพโดยรวมไดชัดเจน และมีการจัดการนโยบายระหวาง

ทีมปฏิบัติงานไอทีและทีมรักษาความปลอดภัยระบบไอที

บริหารจัดการและจัดทำรายงานไดจากระบบควบคุมกลาง

ไลเซนสผลิตภัณฑแบบโมดูล

มีสถาปตยกรรมท่ีสามารถขยายระบบได มีความยืดหยุน

และรองรับการเปล่ียนแปลงไดอยางรวดเร็ว

Next Generation Endpoint Security เพ่ือการดูแลบรหิารจดัการ Next Generation Endpoint Security เพ่ือการดูแลบริหารจัดการ เครือ่งปลายทางอยางมีประสทิธิภาพ เคร่ืองปลายทางอยางมีประสิทธิภาพ

Endpoint Operations Product Modules Lumension

® Patch and Remediation:

ชวยลดความเส่ียงองคกรและเพ่ิมประสิทธิภาพในการปฏิบัติงานดาน

ไอที ผานการขจัดชองโหวตางๆ ของระบบปฏิบัติการและแอพพลิเคชั่น

ทั้งระบบและเซิรฟเวอรทั้งหมดในเวลาท่ีเหมาะสมแบบเชิงรุก

Lumension® Security Configuration Management :

ชวยใหมั่นใจวาอุปกรณปลายทางไดรับการกำหนดคาอยางปลอดภัย

และเปนไปตามวิธีปฏิบัติที่ดีที่สุดของอุตสาหกรรมและขอบังคับตางๆ

Lumension® Enterprise Reporting :

ชวยใหเห็นภาพรวมที่ชัดเจนจากศูนยกลาง เกี่ยวกับสินทรัพยดานไอที

และขอมูลชองโหวและการกำหนดคาระบบทั้งหมดในองคกร

Endpoint Security and IT Risk Management Product Modules Lumension

® Application Control :

เปดใชงานการบังคับใชนโยบายการใชงานแอพพลิเคชั่น เพื่อใหแนใจวา

ซอฟตแวรที่ไดรับอนุญาตหรือเชื่อถือไดเทานั้นที่ไดรับสิทธใหทำงานได

Lumension® AntiVirus :

ใหการปกปองทีค่รอบคลมุมลัแวรทัง้หมด รวมท้ัง ไวรสั สปายแวร โทรจนั

และแอดแวร

Lumension® Device Control :

ระบุอุปกรณที่เคล่ือนยายไดทั้งหมดท่ีมีในขณะน้ีหรือเคยไดเชื่อมตอกับ

อุปกรณปลายทางของคุณ พรอมบังคับใชนโยบายการเขาถึงอุปกรณ/

พอรตและการเขารหัสขอมูล เพื่อปองกันขอมูลเสียหาย และ/หรือ

ถูกโจรกรรม

Lumension® Risk Manager :

ควบคุมการปฏิบัติตามกฎขอบังคับและเวิรกโฟลวการบริหารจัดการ

ความเสี่ยงดานไอทีดวยขบวนการอัตโนมัติ พรอมใหการมองเห็น

ภาพรวมระบบท่ีสำคัญเก่ียวกับคน กระบวนการ และเทคโนโลยีทั่วทั้ง

องคกร

Bay Newsletter_issue 13-1.indd 16Bay Newsletter_issue 13-1.indd 16 3/28/2012 3:25:43 PM3/28/2012 3:25:43 PM