Understanding Security Control Frameworks

Disclaimer: This article is intended for educational purposes only.

Security control framework တွေဟာ Cyber security ထိန်းကျောင်းမှု တနည်းအားဖြင့် Cyber Security Governance လိုမျိုး‌၊ စနစ်ကျတဲ့ security policies တွေချမှတ်တဲ့နေရာမျိုး‌တွေ နဲ့ industry ရဲ့ သတ်မှတ်ချက် တွေနဲ့ကိုက်ညီမှုရှိမရှိ သေချာအောင် အထောက်အကူပေးတဲ့ အခန်းကဏ္ဍမှာ မရှိမဖြစ်အရေးပါသလို Cyber Security ကိုစတင်လေ့လာနေသူတွေအနေနဲ့လည်းသိထားဖို့လိုအပ်ပါတယ်။

What are security control frameworks?

Security Control Framework တွေဟာ Policy တွေ၊ လုပ်ငန်းစဉ်ဆောင်ရွက်မှုတွေ၊ လိုက်နာရန်လိုအပ်တဲ့ စံနှုန်းတွေ(compliance)၊ ဆိုက်ဘာလုံခြုံရးဆိုင်ရာ ထိန်း‌ကျောင်းမှု Cyber Security Governance နဲ့ ညှိ့နှိုင်းဆောင်ရွက်ရမယ့် ပုံစံကျတဲ့နည်းစနစ် (methodologies) တွေကိုချမှတ် စေပါတယ်။

Most popular security control frameworks

Security frameworks တွေ အများအပြားရှိတဲ့ကြားထဲကမှ ဒီ article မှာ တော့

• COBIT (Control Objectives for Information and Related Technologies)

• ISO/IEC 27002 (International Organization for Standardization & International Electrotechnical Commission 27002)

• NIST Special Publication 800-53 (National Institute of Standards and Technology)

ဆိုတဲ့ Framework သုံးခုကို လေ့လာသွားပါမယ်။

COBIT | Control Objectivs for Information Technologies: IT Governance and Compliance

COBIT ကို ISACA ဆိုတဲ့အဖွဲ့အစည်းက 1996 မှာ IT ပိုင်းဆိုင်ရာထိန်းကျောင်းမှု IT Governance အတွက် ရေးဆွဲခဲ့တာဖြစ်ပါတယ်။

အဖွဲ့အစည်းတခုရဲ့ security ပိုင်းဆိုင်ရာအစီအစဥ်‌ရေးဆွဲမှု၊ လိုက်နာရန်လိုအပ်တဲ့ စံနှုန်း တွေ၊ Business Goal တွေကို IT နဲ့ align လုပ်ပြီးသွားနိုင်ရေးစတာတွေကို ထည့်သွင်းပြီး သေချာစနစ်တကျရေးဆွဲထားတာဖြစ်ပါတယ်။

COBIT ကို Sarbanes-Oxley Act (SOX) Section 404 နဲ့ကိုက်ညီမှုရှိစေဖို့ COSO (The Committee of Sponsoring Organizations of the Treadway Commission’s) framework ပေါ်မှာအခြေခံပြီးရေးဆွဲထားတာဖြစ်ပါတယ်။ Section 404 ကတော့ မသမာတဲ့ ငွေကြေးအစီရင်ခံခြင်းရန်ကနေကွာကွယ်ဖို့ အဓိကရည်ရွယ်ပါတယ်။ Company တွေအနေနဲ့ မိမိ တို့ရဲ့ငွေကြေးပိုင်းဆိုင်ရာသုံးစွဲမှုကို စီမံခန့်ခွဲမှု အခြေအနေအားသုံးသပ်ခြင်း နှင့် Auditor မှ ထိုသုံးသပ်မှုအား အတည်ပြုခြင်းတို့ပါဝင်တဲ့ နှစ်စဉ်အစီအရင်ခံစာတင်ပြရန်လိုအပ်တယ်။

COBIT’s Five Principles:

1. Meeting Stakeholder Needs - IT ရဲ့ Goals နဲ့ Business Objectives တွေကို ချိန်ညှိရန်

2. Covering the Enterprise End-to-end - အဖွဲ့အစည်းအတွင်း မှာရှိတဲ့ IT နဲ့ဆက်စပ် သမျှ assets တွေကို စီမံခန့်ခွဲရန်

3. Applying a Single Integrated Framework - မူဝါဒ (policies) ၊ လုပ်ငန်းစဉ် (process) တွေအတွက်စံတခု ထား၍သတ်မှတ်ရန်

4. Enabling Holistic Approach - အဖွဲ့အစည်းအတွင်းမှာရှိသမျှ အရာအားလုံးက လုံခြုံရေးထိ‌ ရောက်မှုအတွက် ပူးပေါင်း ဆောင်ရွက်ရန်

5. Separating Governance from Management - ဆုံးဖြတ်ချမှတ်တဲ့အပိုင်း(Decision making) နဲ့ လုပ်ငန်းလည်ပတ်ဆောင်ရွက်မှု (Operational Execution) အပိုင်းတို့ကြားမှာ ပြတ်သားတဲ့ကွဲပြားမှု ကို maintain လုပ်ထားရန်

   ဆိုတဲ့ principle 5 ခုနဲ့အခြေခံပြီးရေးဆွဲထားတာဖြစ်ပါတယ်။

ISO/IEC 27002: International Security Standard

ISO/IEC 27002 ကတော့ နိုင်ငံတကာ cyber လုံခြုံရေးဆိုင်ရာ စံနှုန်းတခုဖြစ်ပါတယ်။ မူရင်း ဖြစ်တဲ့ British Standard 7799 ကနေ ISO 17799 သို့ပြောင်းလဲခဲ့ပြီး‌တော့ 2005 ခုနှစ်မှာ တော့ ISO 27002 ရယ်လို့ဖြစ်လာတာဖြစ်ပါတယ်။

ဒီ မူကတော့ အောက်မှာ မြင်ရမယ့် control objective တွေကိုသတ်မှတ်ပေးပါတယ်။

• Security policies

• Human resources security

• Cryptography

• Access Control

NIST SP 800-53: U.S Government Standard

NIST Special Publication 800-53 မူကို တော့ U.S. federal agency တွေနဲ့ ပုဂ္ဂလိကအဖွဲ့အစည်းတွေတွင်တွင်ကျယ်ကျယ် အသုံးပြုပါတယ်။ ဒီမူကတော့

• Security and privacy controls

• Compliance with Federal information System Management Act (FISMA)

• Categorizing security controls based on risk levels

စတာတွေကို အထူး‌အလေးပေးပြီးရေးဆွဲထားတာဖြစ်ပါတယ်။

ISO 27002 ရဲ့ control objective တွေလိုမျိုးပဲ NIST 800-53 မှာ လည်း security control တွေကို families တွေအနေနဲ့ အုပ်စုသတ်မှတ်ပေးထားတာရှိပါတယ်။

• Access controls

• Awareness and training

• Audit and accountability

စတာ တွေဖြစ်ပါတယ်။

အဖွဲ့အစည်းတွေအနေနဲ့ ဒီ control တွေကိုအသုံးပြုပြီးတော့ နိုင်ငံတော်အဆင့် လုံခြုံရေး၊ ဘဏ္ဍာရေး၊ ကိုယ်ပိုင်သတင်းအချက်အလက် စတဲ့ မတူညီတဲ့ data အမျိုးအစားတွေကို ကာကွယ်နိုင်မှာဖြစ်ပါတယ်။

Conclusion

ဒီ Article မှာ တော့ COBIT, ISO/IEC 27003, NIST 800-53 ဆိုတဲ့ ဆိုက်ဘာလုံခြုံ ရေး ‌‌‌‌‌‌‌‌‌‌‌‌မူတွေကို လေ့လာသွားတာဖြစ်ပါတယ်။ နောက် article မှာ Security Control တွေအကြောင်းလေ့လာမှာဖြစ်ပါတယ်။