Transcript Chapter 12 Information Security

Chapter 3
ความปลอดภัยของข้อมูลและการจัดการความเสี่ ยง
Information Security
and
Risk Management
Company
LOGO
ความปลอดภัยของระบบฐานข้อมูล (Database Security)
ระบบฐานข้อมูลนั้นมีความจาเป็ นอย่างยิง่ ต่อความปลอดภัยของข้อมูล
เพราะข้อมูลในระบบข้อมูลข่ายสารในปัจจุบนั นั้นจะถูกเก็บไว้ใน
ฐานข้อมูลเป็ นส่ วนใหญ่ บางครั้งเพื่อความสะดวกรวดเร็ วในการใช้งาน
ฐานข้อมูลนั้น อาจจาเป็ นต้องให้มีบุคคลหลายคนสามารถเข้าถึงข้อมูล
พร้อมๆ กันจากหลายๆ สถานที่ หรื อบางครั้งก็อาจจาเป็ นต้องใช้
เทคโนโลยี Internet เป็ นตัวเชื่อมต่อและกระจายข้อมูลออกไปใน
วงกว้าง
9 เมษายน 2558
2
การโจมตีระบบฐานข้อมูล (Database Attack)
การโจมตีระบบฐานข้อมูลซึ่งทาให้ขอ้ มูลที่เป็ นความลับนั้น ถูกเปิ ดเผย
ต่อบุคคลที่ไม่ได้รับอนุญาต
การโจมตีระบบฐานข้อมูลโดยทาให้ขอ้ มูลที่ถูกเก็บไว้ในระบบ
ฐานข้อมูลนั้นถูกเปลี่ยนแปลงไปในทางที่เสี ยหาย
การโจมตีระบบฐานข้อมูลโดยทาให้ขอ้ มูลที่ถูกเก็บไว้ในระบบ
ฐานข้อมูลนั้นไม่สามารถใช้งานได้จากบุคคลที่ได้รับอนุญาตอย่าง
ถูกต้อง
9 เมษายน 2558
3
9 เมษายน 2558
4
ปั ญหาการรั่วไหลของข้อมูลจากการวิเคราะห์ขอ้ มูล
(Inference Problem)
โดยทัว่ ไปแล้ว การรักษาความปลอดภัยของข้อมูลนั้น สามารถทีจ่ ะทา
ได้โดยระบุการเข้าถึงข้อมูลว่าสามารถที่จะเข้าถึงได้โดยบุคคลทัว่ ไป
(Public) หรื อสามารถที่จะเข้าถึงได้เฉพาะบุคคลเท่านั้น
(Personnel/Private)
ข้อมูลเฉพาะบุคคลที่เป็ นความลับ จะไม่สามารถที่จะเข้าถึงได้โดยบุคคล
ทัว่ ไป แต่ขอ้ มูลนี้สามารถที่จะรั่วไหลได้โดยการวิเคราะห์ขอ้ มูลจาก
ข้อมูลที่เป็ นแบบ Public ได้
เช่น ฐานข้อมูลในแผนกทรัพยากรมนุษย์
9 เมษายน 2558
6
ปัญหาการรั่วไหลความลับของข้อมูลจากการรวบรวมข้อมูลต่างๆ ที่ไม่เป็ นความลับเข้าด้วยกัน
(Database Aggregation Problem)
ปัญหานี้เกิดขึ้นเมื่อมีการรวบรวมข้อมูลต่างๆ ที่ไม่เป็ นความลับเข้าไว้
ด้วยกันและสามารถเกิดการปะติดปะต่อกันเข้าจนทาให้ความลับเกิดการ
รั่วไหลได้
วิธีการแก้ไขที่อาจนามาใช้ได้กค็ ือ การปรับเปลี่ยนระดับการจาแนก
ข้อมูลของมูลที่ไม่เป็ นความลับ โดยที่เมื่อข้อมูลเหล่านี้ เมื่อมีการนามา
รวมกันเมื่อใดก็ให้ปรับเปลี่ยนระดับไปเป็ นชั้นของข้อมูลความลับซึ่ง
บุคคลที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงได้
9 เมษายน 2558
7
ระบบฐานข้อมูลที่เป็ นอยูบ่ นระบบปฏิบตั ิการที่ปลอดภัย
(Database Applications on Secure Operating system)
วิธีการที่ดีวิธีหนึ่งที่มาใช้ในการรักษาความปลอดภัยของระบบ
ฐานข้อมูลก็คือ การใช้โปรแกรมฐานข้อมูลบนระบบปฏิบตั ิการที่มีความ
ปลอดภัยสูง (Trusted Computing Base) ซึ่งวิธีการนี้
สามารถให้ความปลอดภัยต่อข้อมูลได้เพราะระบบปฏิบตั ิจะเป็ นตัว
ทางานต่างๆ ที่เกี่ยวกับการเก็บรักษาข้อมูลเกือบทั้งหมด ข้อมูลจะได้รับ
การปกป้ องจากระบบปฏิบตั ิการที่ได้รับการพิสูจน์แล้วว่ามีความ
ปลอดภัยสูง
9 เมษายน 2558
8
การรักษาความปลอดภัยของระบบฐานข้อมูลโดยการใช้วธิ ี
Integrity Lock
การรักษาความปลอดภัยแบบนี้สามารถทาได้โดยการใช้ Trusted
Front End (TFE) เพื่อใช้ในการรักษาความปลอดภัยให้แก่
ระบบฐานข้อมูล โดยที่ตวั TFE นี้จะเป็ นตัวกลางเชื่อมต่อระหว่างตัว
ฐานข้อมูลและโปรแกรมอื่นๆ ที่จะเข้ามาใช้ฐานข้อมูลซึ่งอาจเป็ น
โปรแกรมที่อาจไม่มีความน่าเชื่อถือทางด้านระบบการรักษาความ
ปลอดภัยก็เป็ นได้
9 เมษายน 2558
10
 การกาหนดสิ ทธิการเข้ าถึงข้ อมูล
 การกาหนดสิ ทธิการเข้าถึงข้อมูลเป็ นคาสังทีใช้กาหนดสิ ทธิให้กบั ผูใ้ ช้แต่ละคนมีสิทธิกระทาการ
ใดกับ
 ข้อมูลในตารางใดได้บา้ งหรื อการกาหนดให้มีสิทธิดูขอ้ มูลได้เพียงอย่างเดียว
 (1) การกาหนดสิ ทธิในการเข้าถึงข้อมูล ได้แก่ การเรี ยกค้นข้อมูลด้วยคาสัง (SELECT) การเพิมข้อมูลด้วยคาสัง
(INSERT) การ ลบข้อมูลมูลด้วยคาสัง (DELETE) หรื อการปรับปรุ ง มูลด้วยคาสัง (UPDATE)
รู ปแบบ GRANT <SELECT,INSERT,UPDATE,DELETE> ON <ชือ ตาราง> TO <ชือ ผูใ้ ช้>;
 (2) การให้สิทธิในการเข้าถึงข้อมูลทั้งหมด
ใช้ ALL PRIVILEGES (หรื อ ALL เท่านัน ) ในคาสัง GRANT
รู ปแบบ GRANT ALL ON <ชือ ตาราง> TO <ชือ ผูใ้ ช้>;
 (3) การให้สิทธิในการเรี ยกดูขอ้ มูลแก่ผใู ้ ช้ทุกคน
ใช้ PUBLIC กับคาสัง􀃉 SELECT ควบคู่ไปกับคาสัง GRANT
รู ปแบบ GRANT SELECT ON <ชือ ตาราง> TO PUBLIC;
สิ่ งที่ตอ้ งคานึงถึงในการนาระบบ Database
มาใช้งานในการรักษาความปลอดภัยของข้อมูล
ต้องทาการติดตั้งซอฟท์แวร์เพิ่มเติมของบริ ษทั ผูผ้ ลิตเสมอเพื่อเป็ นการ
อุดรู รั่วทางด้านความปลอดภัยต่างๆ ที่อาจเกิดขึ้นมาได้
ต้องศึกษาและปฏิบตั ิตามคาแนะนาที่มากับคู่มือที่ใช้นากรรักษาความลับ
ของระบบฐานข้อมูลโดยอย่างเคร่ งครัด
ควรใช้ระบบฐานข้อมูลที่ได้รับการรับรองโดยมาตรฐานของทางทหาร
(US) เพราะเป็ นมาตรฐานที่ให้ความปลอดภัยที่สูงมาก
9 เมษายน 2558
12
การรับรองความปลอดภัยของระบบฐานข้อมูล
โดยใช้มาตรฐาน TCSEC
เป็ นมาตรฐานที่นามาใช้ในการบอกระดับปลอดภัยของระบบฐานข้อมูล
ซึ่งมีอยูห่ ลายระดับแล้วแต่การใช้งาน ระดับความปลอดภัยทีเ่ พียงพอ
สาหรับการนามาใช้ในเชิงธุรกิจนั้นมักใช้ระดับ C2 ซึ่งโดยมากก็มกั
เพียงพอแก่ความต้องการโดยทัว่ ไป แต่หากต้องการความปลอดภัยที่
สูงขึ้นก็อาจใช้ระบบ B1 ได้ซ่ ึงเป็ นระดับความปลอดภัยที่สูงกว่ามาก
9 เมษายน 2558
13
ค่าระดับมาตรฐานที่ใช้ในการรักษาความปลอดภัยของระบบ
ฐานข้อมูลที่มีอยูต่ ามท้องตลาดโดยทัว่ ไป
Database
Informix
Level
B1
Certificate Date
15/11/94
Trusted oracle 7
B1
05/04/94
Secure SQL Server,
V11.0
B1
18/05/95
Sybase
SQL Server, V11.0.6
Informix
Online/Secure
5.0
C2
C2
13/10/95
13/10/94
Sybase
Oracle 7
C2
05/04/94
9 เมษายน 2558
Notes
14
รู ปแบบการทุจริ ตในระบบเครื อข่าย
ซาลามิเทคนิค (Salami Technique) เป็ นวิธียกั ยอกเงิน สิ นค้า หรื อบริ การ
จากหลายแหล่งทีละเล็กทีละน้อย โดยเมื่อเวลาผ่านไปนาน ๆ เงินจานวน
นั้นก็จะเพิ่มจานวนสูง
ตัวอย่างเช่นผูท้ ุจริ ตอาจใช้วิธีการซ่อนคาสัง่ เพื่อลดยอดดอกเบี้ยเงินฝาก
ในบัญชีต่าง ๆ ในจานวนที่อยูใ่ นทศนิยมหลักที่สามเป็ นต้นไปเพื่อมา
สะสมในบัญชีของผูท้ ุจริ ตซึ่งจะเพิ่มขึ้นเรื่ อย ๆ จนเป็ นเงินจานวนมากใน
ที่สุด
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
ซุปเปอร์แซพพิง่ (Superzapping) เป็ นการทุจริ ตที่เรี ยกชื่อตาม
โปรแกรมยูทิลิต้ ีที่มีอยูใ่ นระบบโปรแกรมของบริ ษทั ไอบีเอ็ม ซึ่ง
โปรแกรมดังกล่าวสามารถใช้ปรับปรุ งหรื อเรี ยกดูเนื้อหาทุกส่วนใน
ระบบ และสามารถปรับปรุ งรายการบางอย่างได้โดยไม่สร้างหลักฐานให้
ตรวจสอบ
ตัวอย่างเช่น การใช้โปรแกรมเพื่อถอนเงินไปเข้าบัญชีของเพือ่ นร่ วม
ธุรกิจโดยไม่ก่อให้เกิดหลักฐานในการตรวจสอบในบัญชีแยกประเภท
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
แทร็ พดอร์ (Trap Doors) เป็ นรหัสโปรแกรมที่ช่วยให้นกั พัฒนา
โปรแกรมสามารถเข้าไปแก้ไขข้อผิดพลาดได้ในภายหลัง ซึ่งโดยปกติใน
การตรวจสอบขั้นสุ ดท้ายรหัสดังกล่าวจะต้องถูกนาออกจากโปรแกรม
แต่บางครั้งอาจละเลยโดยไม่ต้ งั ใจ หรื อโดยตั้งใจให้คงมีอยูเ่ พื่อสะดวก
ในการแก้ไขภายหลัง
ตัวอย่างเช่น โปรแกรมแอบลักลอบการใช้เวลา หรื อการใช้โปรแกรมลับ
เฉพาะสาหรับผูบ้ ริ หาร
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
ลอจิกบอมบ์ (Logic Bombs) คือ โปรแกรมที่ลงมือกระทาการบางอย่าง
ในระบบคอมพิวเตอร์ในช่วงเวลาและภายใต้เงื่อนไขหรื อสภาวการณ์ที่
เอื้ออานวยประโยชน์แก่ผทู ้ ุจริ ตได้
ตัวอย่างเช่น การซ่อนคาสัง่ ให้ตรวจสอบปี วันที่ และเวลา ในระบบ
คอมพิวเตอร์เมื่อเวลาตรงกับที่ผซู ้ ่อนคาสัง่ กาหนดไว้ ลอจิกบอมบ์จะสัง่
ให้อุปกรณ์คอมพิวเตอร์ทางานตามต้องการ
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
อะซิงโครนัสแอตแทก (Asynchronous Attacks) เป็ นโปรแกรมประเภท
หนึ่งที่จะเริ่ มทางานเมื่อได้รับสัญญาณบอกผลการปฏิบตั กิ ารก่อนหน้านี้
ตัวอย่างเช่น ในขณะใดขณะหนึ่ง มีคาสัง่ ให้ระบบคอมพิวเตอร์จดั ทา
รายงานข้อมูลผลลัพธ์จากงานหลายงานพร้อมกัน ภายหลังการออก
รายงานที่กาหนดรายงานหนึ่งเสร็ จสิ้ น
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
ซีเวิจจิ้ง (Seaverging) หมายถึง การได้รับข้อมูลที่ผา่ นการประมวลผล
แล้ว ซึ่งอาจปรากฏในรู ปแบบที่ดูได้ดว้ ยตาเปล่า หรื อคงค้างอยูใ่ นระบบ
คอมพิวเตอร์ภายหลังจากประมวลผลงานหนึ่ง ๆ เสร็ จเรี ยบร้อยแล้ว
ตัวอย่างเช่น การได้รับข้อมูลคงค้างอยูใ่ นระบบคอมพิวเตอร์ที่เกิดจาก
การลบค่าในบัฟเฟอร์ไม่หมด เช่น ข้อมูลเงินเดือน
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
ดาต้าลีกเกจ (Data Leakage) เป็ นการนาข้อมูลออกจากระบบ
คอมพิวเตอร์ โดยอาศัยวิธีการต่าง ๆ ผูท้ ุจริ ตอาจซ่อนเทคนิคไว้ในระบบ
คอมพิวเตอร์ แต่ในขั้นตอนการนาข้อมูลออกจะต้องสามารถหลบหลีก
การสงสัยจากพนักงานปฏิบตั ิการคอมพิวเตอร์ หรื อพนักงานอืน่ ๆ ได้
ตัวอย่างเช่น เครื่ องคอมพิวเตอร์ถูกติดตั้งเครื่ องส่ งวิทยุขนาดเล็กมากลง
ไป โดยเครื่ องส่ งดังกล่าวสามารถเปิ ดเผยข้อมูลที่มีอยูใ่ นระบบไปยัง
เครื่ องที่อยูห่ ่างออกไปได้
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
พิกกี้แบ๊กกิ้ง (Piggybacking) คือการบุกรุ กโดยอาศัยเครื่ องมือทาง
อิเล็กทรอนิกส์
ตัวอย่างเช่น การแอบพ่วงสายโทรศัพท์คู่สายเดียวกันไว้ เมือ่ เครื่ องที่ใช้
งานจริ งเปิ ดเข้าไปในระบบ ซึ่งอาจมีการใส่ รหัสลับ ภายในจังหวะที่ผใู ้ ช้
จริ งเข้าระบบแล้วและอาจไม่อยูท่ ี่เครื่ องในบางขณะ จึงสามารถทาการ
ทุจริ ตได้
รู ปแบบการทุจริ ตในระบบเครื อข่าย (ต่อ)
ไวร์แท็พพิ่ง (Wiretapping) หมายถึง การทุจริ ตโดยการลักลอบแก้ไข
ข้อมูลผ่านวงจรสื่ อสารรู ปแบบต่าง ๆ ระหว่างการรับส่ งข้อมูล
การทุจริ ตแบบนี้ไม่เป็ นที่นิยมเนื่องจากทายาก เนื่องจากต้องใช้อุปกรณ์
เพื่อใช้ในการบันทึกและพิมพ์ขอ้ มูล นอกจากนี้ยงั มีวิธีอื่นที่สามารถทา
การทุจริ ตได้ง่ายกว่า
แนวทางในการควบคุมระบบสารสนเทศบน
เครื อข่ายอินเตอร์เน็ต
ไฟร์วอลล์ (Firewall) ทาหน้าที่ควบคุมและตรวจสอบข้อมูลที่จะผ่าน
เข้าสู่เครื อข่ายภายในและข้อมูลที่จะส่ งออกไปสู่เครื อข่ายภายนอก โดยมี
การกาหนดกฎต่าง ๆ ขึ้นเพื่อดูแลให้ขอ้ มูที่จะผ่านเข้าออกระหว่าง
เครื อข่าย
เทคโนโลยีเกี่ยวกับรหัส (Cryptology) ประกอบไปด้วย


การเข้ารหัส (Encryption) เป็ นการทาให้ขอ้ มูลที่จะส่ งผ่านไปทางเครื อข่ายอยู่
ในรู ปแบบที่ไม่สามารถอ่านออกได้และทาให้ขอ้ มูลนั้นเป็ นความลับ
การถอดรหัส (Decryption) เป็ นการแปลงข้อมูลที่เข้ารหัสให้กลับมาสามารถ
อ่านออกได้
ตัวอย่างการเข้ารหัสและการถอดรหัสข้อมูล
การใช้ลายมือชื่อดิจิตอลในการการควบคุมและตรวจสอบ (Digital
Signature) โดยมีกระบวนการคร่ าว ๆ ดังต่อไปนี้


นาข้อมูลอิเล็กทรอนิกส์มาเข้ารหัส โดยใช้กญ
ุ แจส่ วนตัว (Private Key) ของผูส้ ่ ง
ซึ่ งเปรี ยบเสมือนการลงลายมือชื่อของผูส้ ่ งเพราะผูส้ ่ งเท่านั้นที่มีกญ
ุ แจส่ วนของผู ้
ส่ งเอง และจะได้ขอ้ มูลที่เข้ารหัสแล้ว เรี ยกว่าลายมือชื่อดิจิตอล
ทาการส่ งลายมือชื่อดิจิตอลพร้อมข้อมูลต้นฉบับไปยังผูร้ ับ แล้วนาลายมือชื่อ
ดิจิตอลมาทาการถอดรหัสด้วยกุญแจสาธารณะ (Public Key) ของผูส้ ่ ง
แนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบ
ผูต้ รวจสอบใช้อินเตอร์เน็ตเพื่อประโยชน์ของการตรวจสอบใน 2 ลักษณะ
คือ
การเข้าถึงข้อมูล – ผูต้ รวจสอบสามารถเข้าสู่ระบบสารสนเทศของ
องค์กรเพื่อเข้าถึงข้อมูลต่าง ๆ ที่ตอ้ งการโดยผ่านทางเครื อข่าย
อินเตอร์เน็ต และสามารถใช้ขอ้ มูลเหล่านั้นประกอบการตรวจสอบ
การตรวจสอบแบบต่อเนื่อง – ผูต้ รวจสอบสามารถกาหนดให้มีการแจ้ง
เตือนโดยอัตโนมัติเมื่อมีการทารายการที่ผดิ ปกติหรื อมีเหตุการณ์ผดิ ปกติ
ขึ้นในระบบสารสนเทศ สามารถดาเนินการตรวจสอบระบบสารสนเทศ
ได้อย่างต่อเนื่องโดยไม่ตอ้ งทาเรื่ องขอเข้าตรวจสอบทุกครั้งและสามารถ
แก้ปัญหาต่าง ๆ ได้ทนั ท่วงที
แนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบ
ระบบอินเตอร์เน็ตทาให้เกิดวิธีการตรวจสอบใหม่ ๆ ดังนี้
คอมพิวเตอร์สามารถถูกตรวจสอบได้โดยไม่ตอ้ งอยูบ่ นระบบออนไลน์
เดียวกัน
ล็อกไฟล์สามารถเข้าถึงจากทางไกลโดยผ่านอินเตอร์เน็ต
เอกสารในรู ปแบบอิเล็กทรอนิกส์ (Soft File) สามารถถูกตรวจสอบจากผู ้
ตรวจสอบจากสถานที่ใดก็ได้
สามารถตรวจสอบคอมพิวเตอร์แม่ข่ายโดยผ่านอินเตอร์เน็ตได้
ช่วยให้ผตู ้ รวจสอบสามารถตรวจสอบได้อย่างต่อเนื่องแทนที่จะเป็ นการขอ
เข้าไปตรวจสอบเป็ นครั้งคราว
การตรวจสอบระบบความปลอดภัยพื้นฐานบน
ระบบเครื อข่าย
การตรวจสอบแฟ้ มร่ องรอยการตรวจสอบ (Audit Trail) เป็ นแฟ้ ม
คอมพิวเตอร์ที่บนั ทึกลาดับของเหตุการณ์ที่เกิดขึ้นในระบบแบบอัตโนมัติ
เพื่อบันทึกการกระทาใด ๆ ที่เกิดขึ้นกับระบบโดยเรี ยงตามลาดับเวลาที่
เกิดขึ้นตั้งแต่เริ่ มต้นจนจบ และบันทึกเวลาตั้งแต่การล็อกอินเข้าสู่ระบบ
จนกระทัง่ ล็อกเอาท์ออกจากระบบ
แฟ้ มร่ องรอยการตรวจสอบ แบ่งออกเป็ น 2 ประเภท คือ
 แฟ้ มร่ องรอยการตรวจสอบด้านการบัญชี (Accounting Audit Trail)
 แฟ้ มร่ องรอยการตรวจสอบด้านการปฏิบตั ิงาน (Operation Audit Trail)
การตรวจสอบระบบความปลอดภัยพื้นฐานบน
ระบบเครื อข่าย
การควบคุมความมีอยู่ (Existence Controls) – เป็ นการควบคุมให้มีการ
สารองและกูค้ ืนระบบเครื อข่าย โดยมีวิธีการต่าง ๆ ได้แก่
 จัดเตรี ยมสถานที่และจัดเก็บอุปกรณ์และชิ้นส่ วนที่จะต้องใช้ในระบบ
เครื อข่ายสารองไว้ท้ งั หมด
 ใช้อุปกรณ์ที่มีความสามารถในการแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นภายใน
ระบบเครื อข่าย
 ใช้อุปกรณ์ที่ผา่ นการทดสอบว่ามีคุณภาพสู ง
 มีการบารุ งรักษาฮาร์ ดแวร์ และซอฟต์แวร์ อย่างเพียงพอและสม่าเสมอ
 มีสิ่งอานวยความสะดวกในการกูค้ ืนระบบที่เพียงพอและเหมาะสม
การจัดการความเสี่ ยงทางด้านเทคโนโลยีสารสนเทศ
การจัดการความเสี่ ยง (Risk Management) คือ
กระบวนการในการระบุ วิเคราะห์ประเมิน ดูแล ตรวจสอบ
และควบคุมความเสี่ ยงที่สมั พันธ์กบั กิจกรรม หน้าที่และ
กระบวนการทางาน เพื่อให้องค์กรลดความเสี ยหายจากความ
เสี่ ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญใน
ช่วงเวลาใดเวลาหนึ่ง
กระบวนการบริหารจัดการความเสี่ ยงด้ านเทคโนโลยีสารสนเทศ
 กระบวนการบริหารจัดการความเสี่ ยงการเป็ น 6 ขั้นตอน ดังนี้
 1. การประเมินความเสี่ ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ ยงและ การ
ประเมินค่าความเสี่ ยง
 1.1 การวิเคราะห์ความเสี่ ยง (Risk analysis) ประกอบด้วย 3
ขั้นตอนดังนี้
 ▫ การชี้ระบุความเสี่ ยง (Risk identification)
 ▫ ลักษณะรายละเอียดของความเสี่ ยง (Risk description)
 ▫ การประมาณความเสี่ ยง (Risk estimation)
 1.2 ประเมินค่าความเสี่ ยง (Risk evaluation)
 2. การรายงานผลการวิเคราะห์ความเสี่ ยง (Risk reporting)
 3. กระบวนการบรรเทาความเสี่ ยง (Risk mitigation)
 4. การควบคุมความเสี่ ยง (Risk control)
 5. การรายงานความเสี่ ยงตกค้าง (Residual risk reporting)
 6. การเฝ้ าสังเกต (Monitoring)
 การรักษาความปลอดภัยข้อมูลนั้น ความเสี่ ยงประกอบด้วยสองส่ วน คือ


ช่องโหว่ (Vulnerability)
ภัยคุกคาม(Threat)
ช่องโหว่ (Vulnerability) หมายถึง ช่องทางที่อาจถูกใช้สาหรับการ
โจมตีได้ เช่น ประตู หน้าต่างที่ถูกเปิ ดไว้ อาจเป็ นสิ่ งล่อที่ผไู ้ ม่หวังดีแอบ
เข้ามาขโมยทรัพย์สินในบ้านได้ ถ้าทางเทคโนโลยี เช่น การเปิ ด Port
ทิ้งไว้โดยไม่จาเป็ น อาจก่อให้เกิดอันตรายได้
 ภัยคุกคาม(Threat) คือ สิ่ งที่อาจเกิดขึ้นและมีอนั ตรายต่อ
ทรัพย์สิน




ภัยคุกคามจากคนภายในองค์กร เช่น การฉ้อโกง การทางานผิดพลาดโดยไม่
ตั้งใจ
ภัยคุกคามจากคนภายนนอกองค์กร เช่น การเจาะเข้ามาในระบบ การก่อ
วินาศกรรม การโจรกรรม หรื อ การใช้ เล่ห์กลอุบาย หลอกล่อถามข้อมูล
ภัยธรรมชาติ เช่น น้ าท่วม แผ่นดินไหว สึ นามิ ไฟไหม้ ฟ้ าผ่า
ภัยคุกคามจากสภาพแวดล้อมไม่เหมาะสม เช่น น้ ารั่วซึ ม ฝุ่ นละออง สารเคมี
อุณหภูมิร้อน ความชื้น
การโจมตี(Target)
 เป้าหมายของการโจมตี



ความลับ (Confidentiality) เป็ นเป้ าหมายก็ต่อเมื่อความลับของข้อมูล
ถูกเปิ ดเผยเช่นความลับทางราชการ ความลับทางธุรกิจ ข้อมูลส่ วนบุคคล
ความคงสภาพ(Integrity) จะตกเป็ นเป้ าหมายเมื่อพยายามที่จะ
เปลี่ยนแปลงข้อมูล หรื อหลอกลวงให้เชื่อข้อมูลที่เป็ นเท็จ เช่นการเปลี่ยน
ยอดเงินในบัญชีธนาคารเพื่อให้จานวนเงินมากขึ้น
ความพร้อมใช้งาน(Availability) ตกเป็ นเป้ าหมายเมื่อมีการโจมตีแบบ
ปฏิเสธการให้บริ การ เป้ าหมายนั้นอาจเป็ นระบบที่ให้บริ การข้อมูล หรื อ ข้อมูล
โครงสร้างขององค์กร
ผูโ้ จมตี
 คือผูกระท
าการใดๆทีก
่ อให
้
่
้เกิดผลกระทบ
ทางด้านลบกับผูถ้ ูกโจมตี ลักษณะของผูโ้ จมตี เช่น



การเข้าถึง(Access) สามารถเข้าถึงเป้ าหมายได้ เข้าถึงระบบ เครื อข่าย
สถานที่ หรื อข้อมูลที่ตอ้ งการ อาจจะเป็ นทางตรงเช่น การเจาะเข้าระบบบัญชขี
หรื อทางอ้อม เช่น อาจมีโอกาสเข้าถึงโดยช่องทางพิเศษ พนักงานลืมปิ ดประตู
แอบเข้าไปได้
ความรู้ (Knowledge) มีความรู ้เกี่ยวกับเป้ าหมายเช่น บัญชีผใู ้ ช้
รหัสผ่าน ที่อยู่ หมายเลขไอพี ระบบรักษาความปลอดภัย
แรงจูงใจ(Motivate) ความท้าทาย ความอยากได้ เช่น เงิน สิ่ งของ บริ การ
หรื อ ข้อมูล
 ผูโจมตี
อาจเป็ นบุคคลดังตอไปนี
้
้
่







พนักงาน
พนักงานเก่า
แฮคเกอร์
ศัตรู หรื อคู่แข่ง
ผูก้ ่อการร้าย
ลูกค้า
ภัยธรรมชาติ
เหตุการณ์
 วิธก
ี ารทีผ
่ โจมตี
ู้
อาจทาอันตรายตอองค
กร
่
์
เช่น






แก้ไขหน้าเว็บไซต์ขององค์กร
การใช้บญั ชีผใู ้ ช้ในทางที่ผิด หรื อ เกินกว่าที่ได้รับอนุญาต
การแก้ไขข้อมูลที่สาคัญทั้งที่ต้ งั ใจหรื อไม่ได้ต้ งั ใจ
การเจาะเข้าระบบโดยไม่ได้รับอณุญาต
การทาลายระบบโดยไม่ได้ต้ งั ใจ
การรบกวนระบบสื่ อสารทั้งข้อมูลภายในและภายนอก
การประเมินความเสี่ ยง (Risk assessment)
1. การวิเคราะห์ ความเสี่ ยง การวิเคราะห์ ความเสี่ ยงประกอบด้ วย 3
กระบวนการ คือ
กระบวนการที่ 1 การชี้ระบุความเสี่ ยง (Risk identification)
เป็ นการชี้ให้ เห็นถึงปัญหาความไม่ แน่ นอนทีอ่ งค์ กรเผชิญอยู่ กระบวนการนี้
จาเป็ นต้ องอาศัยความรู้ความเข้ าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อม
ด้ านกฎหมาย สั งคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มตี ่ อ
ความสาเร็จขององค์ กร รวมทั้งโอกาสและสิ่ งคุกคามทีม่ ีต่อองค์กร การชี้ระบุ
ความเสี่ ยงควรได้ ดาเนินการอย่ างทัว่ ถึงครอบคลุมกิจกรรมในทุกๆ ด้ านของ
องค์ กร สาเหตุสาคัญของความเสี่ ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจ
ส่ งผลให้ เกิดการละเมิดความมั่นคงสารสนเทศและส่ งผลเสี ยตามมา
 กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ ยง (description of risk) เมือ่ ชี้
ระบุความเสี่ ยงได้ แล้ ว และนามาบรรยายรายละเอียดและลักษณะของความเสี่ ยงนั้น ได้แก่









- ชื่อความเสี่ ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ ยง (Nature)
- ผูท้ ี่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ ยง
- การบาบัดและการควบคุม
- แนวทางการปรับปรุ ง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมาณความเสี่ ยง (risk estimation)
ขั้นตอนนีเ้ ป็ นการดูปัญหาความเสี่ ยงในแง่ ของโอกาสการเกิดเหตุ
(incident) หรือเหตุการณ์ (event) ว่ ามีมากน้ อยเพียงไรและ
ผลทีต่ ิดตามมาว่ ามีความรุนแรงหรือเสี ยหายมากน้ อยเพียงใด
โอกาส หรื อ ความน่าจะเป็ น (Probability or Likelihood) หรื อ
ความบ่อยครั้งของการเกิดเหตุหรื อเหตุการณ์ อาจแบ่งแบบง่ายๆเป็ น 5 ระดับ
จากน้อยไปหามาก เช่น





- บ่อย (frequent) พบได้บ่อยครั้งเป็ นประจา
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)
หมายเหตุ บางองค์กรแบ่งความบ่อยครั้งของการเกิดเหตุออกเป็ น 3 ระดับ เท่านั้น
ซึ่ งแล้วแต่ความต้องการเพื่อความเหมาะสมของแต่ละองค์กร
1.2การประเมินค่ าความเสี่ ยง (Risk evaluation)
หลักเกณฑ์ยอมรับความเสี่ ยง (Risk acceptance criteria) ว่าจะ
ยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสิ นใจว่าจะบาบัดความเสี่ยงนั้นๆ
ต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น





- ค่าใช้จ่าย ประโยชน์และความคุม้ ทุนที่จะได้รับจากการแก้ไขบาบัดความเสี่ ยง (costs
and benefits)
- ข้อกาหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่ งแวดล้อม (environmental factors)
- ประเด็นสาระสาคัญในมุมมองของผูม้ ีส่วนได้เสี ย (concerns of
stakeholders)
ตัวอย่าง การประเมินค่าความเสี่ ยง (risk evaluation)
ตาราง แสดงเมตริ กซ์ระดับความเสี่ ยง 3x3
ตัวอย่างในที่น้ ีใช้เมตริ กซ์ 3x3 จากโอกาสเกิดภัยคุกคาม 3 ระดับ
(สูง, ปานกลาง, ต่า) และผลกระทบของภัยคุกคาม 3 ระดับ (สูง,
ปานกลาง, ต่า) แสดงได้ดงั ตาราง แสดง ค่าความเป็ นไปได้ของระดับ
โอกาสเกิดภัยคุกคามมีค่าเป็ น 1 เมื่อเป็ นระดับสูง, มีค่าเป็ น 0.5 เมื่อ
เป็ นระดับปานกลาง และมีค่าเป็ น 0.1 เมื่อเป็ นระดับต่า และ ค่าของ
ระดับความรุ นแรงของผลกระทบจากภัยคุกคามมีค่าเป็ น 100 เมื่อ
เป็ นระดับสูง, มีค่าเป็ น 50 เมื่อเป็ นระดับปานกลาง และมีค่าเป็ น
10 เมื่อเป็ นระดับต่า ตามลาดับ
ระดับความเสี่ ยงสูง หมายถึงจาเป็ นต้องได้รับการแก้ไขอย่างเร่ งด่วน
ระบบที่ดาเนินอยูอ่ าจจะยังคงปฏิบตั ิงานตามปกติแต่จะต้องนาแผนการ
แก้ไขมาใช้ทนั ทีที่เป็ นไปได้
ระดับความเสี่ ยงปานกลาง หมายถึงควรมีการแก้ไขและแผนการควบคุม
ควรได้รับการปรับปรุ งแล้วนามาใช้ความเสี่ ยงเป็ นฟังก์ชนั ของโอกาสที่
จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอ
ในการปกป้ อง กับความรุ นแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคาม
นั้น
ระดับความเสี่ ยงต่า หมายถึงระบบควรได้รับการตรวจสอบเพื่อให้แน่ใจ
ว่าแผนการควบคุมที่มีอยูจ่ ะสามารถแก้ไขปัญหาและรับมือกับความ
เสี่ ยงได้
2. การรายงานผลการวิเคราะห์ ความเสี่ ยง
(Risk reporting)
เมื่อประเมินความเสี่ ยงแล้วเสร็ จ จาเป็ นต้องออกรายงานการประเมินเป็ น
เอกสารที่ผอู ้ ื่นสามารถอ่านได้เอกสารนี้จะเป็ นสาระสาคัญในการสื่ อสาร
ให้บุคลากรทั้งองค์กรได้รับรู ้ รายงานประกอบด้วยรายละเอียดอย่างน้อย
ตามลักษณะรายละเอียดของความเสี่ ยง และการออกรายงานมี
วัตถุประสงค์ให้ส่วนต่างๆได้รับรู ้ดงั ต่อไปนี้
ฝ่ ายบริ หาร
ฝ่ ายหัวหน้างาน
ผูป้ ฏิบตั ิงาน
ฝ่ ายบริ หาร
-รับรู้นยั สาคัญของความเสี่ ยงที่องค์กรเผชิ ญอยู่
- เข้าใจผลที่กระทบต่อผูม้ ีส่วนได้เสี ยต่างๆในกรณี ที่
เกิดมีเหตุ หรื อเหตุการณ์และเกิดผลเสี ยต่อภารกิจและ
ผลประกอบการ
- ดาเนินการเพื่อสร้างความตระหนักในปัญหาความ
เสี่ ยงให้เกิดการรับรู้ทวั่ ทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมัน่ ใจของผูท้ ี่ได้รับ
ผลกระทบ
- ให้แน่ใจว่ากระบวนการบริ หารความเสี่ ยงกาลัง
เป็ นไปอย่างได้ผล
- ออกนโยบายบริ หารความเสี่ ยงที่มีเนื้อหาด้าน
ปรัชญาและความรับผิดชอบของหน่วยงานและ
บุคลากรต่างๆในการบริ หารความเสี่ ยง
ฝ่ ายหัวหน้างาน
- ตระหนักในความเสี่ ยงอันเกี่ยวข้องกับภาระหน้าที่
ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรื อ
กิจกรรมอื่นในองค์กร
- มีดชั นีช้ ีวดั สมรรถนะของกิจกรรมในหน่วยงานเพื่อ
ดูวา่ ระบบงานของตนเองได้รับผลกกระทบจากความ
เสี่ ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ ยงในกรณี เกิดหรื อจะ
เกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ ยงใดๆที่เกิดใหม่หรื อความล้มเหลว
ใดๆ ในมาตรการการควบคุมหรื อป้ องกันอารักขา
สารสนเทศที่มีอยู่
ผูป้ ฏิบตั ิงาน
-เข้าใจบทบาทภาระหน้าที่และความรับผิดชอบใน
ความเสี่ ยงแต่ละรายการ
- เข้าใจบทบาทในการดาเนินการพัฒนาอย่างต่อเนื่อง
ด้านการบริ หารความเสี่ ยง
- เข้าใจการบริ หารความเสี่ ยงและความตระหนักต่อ
ความเสี่ ยงในการเป็ นวัฒนธรรมองค์กรที่สาคัญอย่าง
หนึ่ง
3. กระบวนการบรรเทาเสี่ ยง
(Risk mitigation)
การบรรเทาความเสี่ ยงเกี่ยวข้องกับการจัดลาดับ, การคานวณความเสี่ ยง
และการลงมือควบคุมการลดความเสี่ ยงอย่างเหมาะสมตามแนวทางทีม่ า
จากการประเมินความเสี่ ยง เนื่องจากการที่จะกาจัดความเสี่ ยงในระบบ
ทั้งหมดนั้นเป็ นเรื่ องที่ทาได้ยาก ผูบ้ ริ หารธุรกิจจะต้องเป็ นผูร้ ับผิดชอบ
การทางานนี้ดว้ ยเงื่อนไขในการใช้งบประมาณที่ต่าที่สุด
(Least-cost) และใช้วิธีการควบคุมที่เหมาะสมที่สุดเพื่อลดระดับ
ความเสี่ ยงให้อยูน่ ะระดับที่ยอมรับได้ โดยส่ งผลกระทบต่อพันธกิจและ
ทรัพยากรขององค์กรให้นอ้ ยที่สุด
ทางเลือกเพื่อการบรรเทาความเสี่ ยง สามารถแบ่งออกเป็ น 6 ประเภท
ดังนี
3.1 การยอมรับความเสี่ ยง
(Risk Assumption)
การยอมรับความเสี่ ยงในระดับที่เป็ นอยูแ่ ละให้ระบบข้อมูลสารสนเทศ
ดาเนินงานไปตามปกติ ซึ่งเป็ นการยอมรับในผลที่อาจตามมา เช่น การ
พิสูจน์ตวั จริ งเพียงใช้ ID และ Password มีความเสี่ ยงเพราะอาจ
มีการขโมยไปใช้ได้การให้มีใช้ชีวมาตร (biometrics) เช่น การ
ตรวจลายนิ้วมือหรื อม่านตา อาจมีค่าใช้จ่ายสูงไม่คุม้ ค่า โรงพยาบาลอาจ
ยอมรับความเสี่ ยงของระบบปัจจุบนั และทางานต่อไปโดยไม่ทาอะไร
3.2 การหลีกเลี่ยงความเสี่ ยง
(Risk Avoidance)
การหลีกเลี่ยงความเสี่ ยงด้วยการกาจัดสาเหตุของความเสี่ ยง เช่น เมื่อ
พบว่าปัจจุบนั โรงพยาบาล มีการสารองข้อมูลเพียง 1 ชุดและจัดเป็ น
ความเสี่ ยงต่อการสูญเสี ย การเลี่ยงความเสี่ ยงนี้อาจได้แก่การทาสารอง
ข้อมูล 2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริ หารจัดการการ
เชื่อมโยงสู่เครื อข่ายผ่านโมเด็มถ้าเป็ นการยากต่อการควบคุมหรื อบริ หาร
จัดการ
องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริ การ และแนะนาให้
พนักงานใช้บริ การผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่าง
หนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง
Antivirus เป็ นต้น
3.3 การจากัดความเสี่ ยง (Risk Limitation) คือการทาระบบ
ควบคุมเพื่อให้เกิดผลกระทบจากการการถูกคุกคามระบบหรื อจากความ
ไม่มนั่ คงของระบบให้นอ้ ยที่สุด
3.4 การวางแผนความเสี่ ยง (Risk planning) คือการจัดการ
ความเสี่ ยงด้วยการพัฒนาแผนบรรเทาความเสี่ ยงที่จดั ลาดับความสาคัญ
การใช้และการดูแลวิธีการควบคุม
3.5 การวิจยั และการรับรู ้ความเสี่ ยง (Research and
Acknowledgement) คือการลดความสูญเสี ยที่เกิดจากความ
เสี่ ยงโดยการตรวจสอบเพื่อรับทราบความอ่อนแอของระบบและ
ค้นคว้าวิจยั ให้ได้วิธีการควบคุมเพื่อเสริ มความมัน่ คงให้แก่ระบบ
3.6 การถ่ายโอนความเสี่ ยง (Risk Transference) คือการ
ถ่ายโอนความเสี่ ยงด้วยการหาทางเลือกอื่นเพื่อชดเชยความสูญเสี ยเช่น
อุปกรณ์เครื อข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็ นการ
รับมือในกรณี ที่อุปกรณ์เครื อข่ายไม่ทางาน องค์กรอาจเลือกซื้อประกัน
หรื อสัญญาการบารุ งรักษาหลังขาย (Maintenance
service) เป็ นต้น
4. การควบคุมความเสี่ ยง (Risk control)
เมื่อต้องมีการควบคุมเกิดขึ้นสิ่ งที่ตอ้ งปฏิบตั ิคือระบุความเสี่ ยงที่เกิดขึ้น
ให้มากที่สุด แล้วพยายามหาวิธีลดความเสี่ ยงด้วยวิธีที่มีตน้ ทุนต่าและ
ส่ งผลกระทบต่อพันธกิจอื่นๆขององค์กรให้นอ้ ยที่สุด กระบวนการใน
การบรรเทาความเสี่ ยงสรุ ปได้ดงั น
1. จัดลาดับความสาคัญของการปฏิบตั ิงาน
(Prioritize Actions) จากผลการจัดลาดับความเสี่ ยงใน
กระบวนการประเมินความเสี่ ยง นาไปสู่การจัดลาดับการลงมือ
ปฏิบตั ิงานด้วย ภายใต้ทรัพยากรที่มีอยู่ ลาดับแรกสุ ดควรจะเลือกลงมือ
กับความเสี่ ยงที่มีระดับความเสี่ ยงสูง ซึ่งต้องการการแก้ไขในทันทีเพื่อ
ปกป้ องพันธกิจขององค์กร ผลลัพธ์ที่ได้คือลาดับการลงมือจัดการความ
เสี่ ยง
2. ประเมินทางเลือกในการควบคุม
(Evaluate recommended Control Options)
วิธีการควบคุมที่ถูกเสนอในกระบวนการประเมินความเสี่ ยงอาจไม่ใช่วิธี
ที่เหมาะสมที่สุดหรื อเป็ นทางเลือกที่เป็ นไปได้ที่สุดสาหรับแต่ละองค์กร
ขั้นตอนนี้จึงเป็ นการเลือกวิธีการที่มีความเป็ นไปได้มากที่สุดที่จะ
สามารถบรรเทาความเสี่ ยงได้ ผลลัพธ์ที่ได้คือรายชื่อของวิธีการควบคุม
3. วิเคราะห์ผลประโยชน์ที่ได้รับ
(Conduct Cost-Benefit Analysis) การวิเคราะห์
ผลประโยชน์น้ ีจะช่วยให้ระดับบริ หารสามารถตัดสิ นใจและเลือกการ
ควบคุมที่มีประสิ ทธิภาพ
4. เลือกวิธีการควบคุม (Select Control) จากพื้นฐานผลลัพธ์
ที่ได้จากการวิเคราะห์ผลประโยชน์ ผูบ้ ริ หารสามารถตรวจสอบวิธี
ควบคุมทั้งหมดและเลือกวิธีที่ครอบ คลุมทั้งการควบคุมเชิงเทคนิค, เชิง
ปฏิบตั ิการ และเชิงบริ หารเพื่อให้มนั่ ใจความเพียงพอต่อความต้องการ
ความปลอดภัยของระบบและองค์กร
5. มอบหมายความรับผิดชอบ (Assign Responsibility)
คือการเลือกบุคคลที่เหมาะสมซึ่งมีความเชี่ยวชาญและมีทกั ษะในการลง
มือควบคุม พร้อมมอบหมายหน้าที่รับผิดชอบ
6. พัฒนาแผนการปฏิบตั ิงานเพื่อการป้ องกัน
(Develop a Safeguard Implementation Plan)
ประเภทของการควบคุม
(Control Category)
1. การควบคุมความปลอดภัยเชิงเทคนิค
(Technical Security Controls) การควบคุมนี้เพื่อให้
ป้ องกันภัยคุกคามที่อาจเกิดขึ้น ซึ่งการควบคุมสามารถจัดช่วงได้ต้ งั แต่ที่
มีวิธีการอย่างง่ายๆ ไปจนถึงวิธีที่มีความสลับซับซ้อน และโดยปกติการ
ควบคุมนี้จะเกี่ยวข้อง โครงสร้างสถาปัตยกรรมของระบบ , วินยั ในการ
ทาวิศวกรรม และการรักษาความปลอดภัยในโดยรวมของอุปกรณ์
ฮาร์ดแวร์ ซอฟแวร์ และเฟิ ร์มแวร์ เช่น
1.1 การควบคุมแบบสนับสนุน (Support) เป็ นการควบคุมแบบ
ทัว่ ไปสาหรับการรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศ
ได้แก่




การบ่งชี้ (Identification)
การจัดการโดยใช้กุญแจเข้ารหัสลับ (Cryptographic Key)
การบริ หารความปลอดภัย (security Administration)
การปกป้ องระบบ (System Protections)
1.2 การควบคุมแบบป้ องกัน (Prevent) เป็ นการควบคุมที่ป้องกัน
ช่องโหว่ซ่ ึงเกิดจากจุดที่เคยเกิดความไม่ปลอดภัยขึ้นครั้งแรก สาหรับการ
ควบคุมในทางเทคนิคได้แก่






การตรวจสอบชื่อผูใ้ ช้งานและรหัสผ่าน (Authentication)
การตรวจสอบสิ ทธิการอนุญาตใช้งาน (Authorization)
การบังคับใช้การควบคุมการเข้าถึงข้อมูล (Access Control Enforcement)
การไม่ปฏิเสธการทางาน (repudiation)
การสื่ อสารที่ได้รับการปกป้ อง (Protected communication) โดยการใช้วธิ ี
เข้ารหัสข้อมูลและใช้เทคโนโลยีการเข้ารหัสลับ
การรักษาความเป็ นส่ วนตัวเกี่ยวกับรายการข้อมูลที่มีการเปลี่ยนแปลง
(Transaction Privacy)
1.3 การควบคุมแบบตรวจจับและกูค้ ืน
(Detect and Recover) เป็ นการควบคุมเพื่อตรวจจับช่องโหว่ใน
ระบบพร้อมทั้งกูข้ อ้ มูลกลับคืน วิธีการควบคุมได้แก่





การตรวจสอบระบบ (Audit)
การตรวจจับการบุกรุ กระบบ (Intrusion Detection)
การพิสูจน์ระบบรวม (Proof of wholeness) เพื่อวิเคราะห์ความถูกต้องแม่นยาของ
ระบบ
การฟื้ นฟูระบบให้กลับสู่ สถานะที่ปลอดภัย (Restore Secure State)
การตรวจจับและกาจัดไวรัส (Virus detection and eradication)
2. การควบคุมความปลอดภัยเชิงการจัดการ (Management
Security Controls)

เป็ นการปฏิบตั ิงานเพื่อจัดการและลดความสู ญเสี ยซึ่ งเกิดจากความเสี่ ยง การ
ควบคุมเชิงการจัดการมุ่งเน้นที่ขอ้ กาหนดตามนโยบายการปกป้ องข้อมูลและ
มาตรฐานขององค์กร ซึ่ งนาไปสู่ กระบวนการปฏิบตั ิที่ตอบสนองต่อเป้ าหมาย
และพันธกิจขององค์กร
3. การควบคุมความปลอดภัยเชิงปฏิบตั ิการ (Operational
Security Controls) มาตรฐานการรักษาความปลอดภัยของ
องค์กรควรมีการกาหนดกลุ่มของการควบคุมและแนะแนวเพื่อให้
กระบวนการรักษาความปลอดภัยถูกนาไปใช้อย่างเหมาะสม วิธีการ
ควบคุมในทางปฏิบตั ิน้ นั เกี่ยวข้องกับการแก้ไขข้อบกพร่ องของการ
ทางานที่มีภยั คุกคามเกิดขึ้น สามารถแบ่งกลุ่มได้ 2 กลุ่มดังนี้
3.1 การควบคุมความปลอดภัยเชิงปฏิบตั ิการแบบป้ องกัน
(Preventive Operational Controls) ตัวอย่างเช่น
3.1.1 ควบคุมการเข้าถึงและการจัดกลุม่ การเข้าถึง
3.1.2 การกระจายข้อมูลภายนอกในขอบเขตจากัด
3.1.3 ควบคุมไวรัสซอฟแวร์
3.1.4 การควบคุมสิ นทรัพย์ทางด้านข้อมูลสารสนเทศ เพื่อป้ องกันความเสี ย
หายจากไฟ
3.2 การควบคุมความปลอดภัยเชิงปฏิบตั ิการแบบป้ องกัน
(Preventive Operational Controls) ตัวอย่างเช่น
3.2.1 การใช้วธิ ี การรักษาความปลอดภัยเชิงกายภาพ เช่น การใช้โทรทัศน์
วงจรปิ ด, การติดตั้งเซ็นเซอร์ เป็ นต้น
3.2.2 ดูแลระบบรักษาความปลอดภัยในสภาพแวดล้อม เช่น การใช้ตวั
ตรวจจับ เป็ นต้น
5. การรายงานความเสี่ ยงตกค้ าง (Residual risk reporting)
เมื่อมีการบรรเทาความเสี่ ยงแล้ว จาเป็ นต้องมีการรายงานและทบทวนอยู่
เสมอเพื่อดูวา่ มีการประเมิน และการประเมินค่าความเสี่ ยงอยูต่ ลอดเวลา
และดูวา่ มาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรื อไม่เพียงไร วิธีการ
มาตรฐานที่ใช้กนั โดยทัว่ ไป คือการมีหน่วยงานภายในหรื อภายนอกทาการ
ตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจาก
สิ่ งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้น
ตลอดเวลา จึงจาเป็ นต้องมีการบริ หารความเสี่ ยงและการตรวจสอบเป็ น
ประจา
6. การเฝ้ าสั งเกต (Monitoring)
กระบวนการเฝ้ าสังเกตเป็ นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่
จาเป็ นและเหมาะสมสาหรับ การบริ หารความเสี่ ยงต่างๆ และมาตรการ
เหล่านั้นมีผปู ้ ฏิบตั ิตามและบังเกิดผลจริ ง
คาถามท้ายบท
อธิบายความหมายของความเสี่ ยงในมุมมองที่เกี่ยวกับการรักษาความ
ปลอดภัยข้อมูลในระบบสารสนสนเทศ
 การบริหารความเสี่ ยงประกอบไปดวยขั
น
้ ตอน
้
อะไรบ้าง
 อธิบายความสั นพันธระหว
าง
ความเสี่ ยง
์
่
ช่องโหว่ และภัยคุกคาม พร้อมยกตัวอย่างประกอบ

End of Chapter
Company
LOGO Thank You