now - Faculty of Information Technology
Download
Report
Transcript now - Faculty of Information Technology
ระบบบริ หารความปลอดภัยสารสนเทศ
อาจารย์ ดร.มหศักดิ์ เกตุฉ่า
Faculty of Information
Technology
ระบบบริ หารความปลอดภัยสารสนเทศ
• การรักษาความปลอดภัยในองค์กรควรเป็ นไปตามมาตรฐานความปลอดภัยที่
เป็ นที่ยอมรับ ที่ต้องเริ่ มต้ น ด้ วยการกาหนด นโยบายความปลอดภั ย ณรงค์ชยั
(มปป., หน้ า 6) ได้ กล่าวว่า “ระบบการรักษาความปลอดภัยนัน้ ไม่ว่าจะสลับ
ซับซ้ อ นขนาดไหน ก็มีจุดประสงค์ ที่คล้ าย ๆ กันแทบทุกระบบ คื อ เพื่ อรั กษา
ความลับ เพื่ อ ป้ องกัน การเปลี่ ย นแปลงข้ อ มูล และเพื่ อ ให้ ระบบท าง านได้
ตามปกติอย่างมีประสิทธิภาพ”
นโยบายความปลอดภัยในองค์ กร
•แต่ละองค์กรควรจะมีการกาหนดนโยบายในหัวข้ อต่อไปนี ้
1.1.นโยบายการวางระบบเครื อข่าย (Network
Policy) เป็ นการกาหนดเกี่ยวกับการเลือกใช้ อปุ กรณ์ ให้ เหมาะสม
กับองค์กร
1.2.นโยบายการจัดการข้ อมูลข่าวสาร (Information
Policy) เป็ นการกาหนดสิทธิ การบันทึกข้ อมูล การป้องกันการ
เข้ าถึงข้ อมูล เป็ นต้ น
1.3.นโยบายเกี่ยวกับการใช้ งาน (Usage Policy)
เป็ นการกาหนดขันตอนการปฏิ
้
บตั ิที่เหมาะสมและปลอดภัย
ประวัติการรักษาความปลอดภัย
• เนื่องจากมีการพัฒนาเทคโนโลยีด้านคอมพิวเตอร์ ผสมผสานไปกับการพั ฒนา
เทคโนโลยี ก ารสื่ อ สาร ท าให้ เ กิ ด เป็ นเทคโนโลยี ส ารสนเทศ ที่ เ ชื่ อ มโยงเป็ น
เครื อข่ายไปทัว่ โลก เกิดประโยชน์ต่อสังคมอย่างมากมาย ข้ อมูลที่อ ยู่ในระบบ
เครื อข่ายมีอยู่หลายรู ปแบบ เช่น ข้ อมูลตัวอักษร, ตัวเลข, เสียง, รู ปภาพ ,
ภาพเคลื่อนไหว เป็ นต้ น ผู้คนทัว่ ไปสามารถส่งข่าวสาร พูดคุยกันได้ โดยสะดวก
โดยไม่ ต้ อ งเสี ย เวลาในการเดิ น ทางไปมาหากัน สามารถท างานผ่ า นระบบ
เครื อข่ายได้ ดังนัน้ ระบบการจัดการความมั่นคงปลอดภัยของข้ อมูลข่ าวสาร
(Information Security Management System: ISMS) จึง
เป็ นสิ่งจาเป็ นต่อองค์กรที่ต้องคานึงถึงการรักษาความปลอดภัย ในด้ านต่าง ๆ
ดังนี ้
•การรักษาความปลอดภัยทางกายภาพ Physical Security
•การรักษาความปลอดภัยในการแผ่รังสี Emissions Security
•ก า ร รั ก ษ า ค ว า ม ป ล อ ด ภั ย ข อ ง ค อ ม พิ ว เ ต อ ร์ Computer
Security
•การรักษาความปลอดภัยระบบเครื อข่าย Network Security
•การรั ก ษาความปลอดภั ย ในการสื่ อ สาร Communication
Security
•การรั ก ษาความปลอดภั ย ในข้ อมู ล ข่ า วสาร Information
Security
จุดประสงค์ ของการรักษาความปลอดภัย
• “ระบบการรักษาความปลอดภัยนัน้ ไม่วา่ จะสลับ ซับซ้ อนขนาดไหนก็มี
จุดประสงค์ที่คล้ าย ๆ กันแทบทุกระบบ คือ เพื่อรักษาความลับ เพื่อป้องกัน การ
เปลี่ยนแปลงข้ อมูล และเพื่อให้ ระบบทางาน ได้ ตามปกติอย่างมี
ประสิทธิภาพ” มี 3 ประการคือ
1.เพื่อรักษาความลับของข้ อมูล Confidentiality เป็ นการ
ปกปิ ดไม่ให้ ข้อมูลถูกเปิ ดเผย หรื อเปิ ดเผยข้ อมูลให้ แก่บคุ คลที่เกี่ยวข้ องเท่านัน้
2.เพื่อความคงสภาพของข้ อมูล Integrity เป็ นการรักษาความ
ถูกต้ องของข้ อมูล ไม่ให้ มีการเปลี่ยนแปลงข้ อมูลโดยไม่ได้ รับอนุญาต
หรื อป้องกันการปลอมแปลงข้ อมูล
3.เพื่อความพร้ อมในการใช้ งาน Availability เป็ นความสามารถ
ในการเข้ าใช้ ข้อมูล หรื อทรัพยากรต่าง ๆ มีกลไก ในการรักษา ความพร้ อม ใช้
งาน ป้องกันผู้ไม่ประสงค์ดีเข้ ามาควบคุมหรื อสัง่ การระบบไม่ให้ ทางานตามปกติ
จุดประสงค์ ของการรักษาความปลอดภัย
กระบวนการรักษาความปลอดภัยข้ อมูล
•กระบวนการ ในการรักษาความปลอดภัยข้ อมูล ขององค์กรนัน้ เป็ น
กระบวนการ ที่ต้องทา อย่างต่อเนื่อง ซึง่ ประกอบด้ วย 5 ขันตอนหลั
้
ก
คือ
•การประเมินความเสี่ยงRisk Assessment
•กาหนดนโยบาย Policy
•การติดตังระบบป
้
้ องกัน Implementation
•การฝึ กอบรม Training
•การตรวจสอบ Audit
กระบวนการรักษาความปลอดภัยข้อมูล
มาตรฐานการรักษาความปลอดภัย
มาตรฐานการรักษาความปลอดภัยของข้อมูล
• มาตรฐาน ISO/IEC 27000
• มาตรฐาน ISO/IEC 27001
• มาตรฐาน ISO/IEC 27002
• มาตรฐาน ITIL
มาตรฐาน ISO/IEC 27000
•เป็ นชุดมาตรฐานสากลที่เกี่ยวข้ องกับการรักษาความปลอดภัย
ส า ร ส น เ ท ศ พั ฒ น า โ ด ย ป ร ะ เ ท ศ อั ง ก ฤ ษ ( British
Standard:BS) โดยเนื อ้ หาที่ ส าคั ญ ของมาตรฐานนี ้
ประกอบด้ วย
•ความเสี่ยงเกี่ยวกับความปลอดภัยของข้ อมูลในองค์กร
•การประเมิณความเสี่ยง
•วิธีปฏิบตั ิเพื่อลดความเสี่ยง
•การดาเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง
มาตรฐาน ISO/IEC 27001
• Information Security Management System: ISMS
• เป็ นมาตรฐานการจัดการข้ อ มูลที่ มี ความสาคัญ เพื่ อให้ ธุ รกิ จดาเนิ นไปอย่า ง
ต่ อ เนื่ อ ง ซึ่ ง ข้ อ ก าหนดต่ า งๆก าหนดขึ น้ โดยองค์ ก รที่ มี ชื่ อ เสี ย งและมี ค วาม
น่า เชื่ อ ถื อ ระหว่างประเทศ คื อ ISO
(The
International
Organization for Standardization) และ IEC (The
International Electrotechnical Commission) การ
ประยุกต์ใช้ ISMS จะช่วยให้ กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด , ช่วยป้องกัน
กระวนการทางธุรกิจจากภัยร้ ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย
ฯลฯ และ ความเสียหายของระบบข้ อมูล โดยครอบคุม ทุกกลุม่ อุตสาหกรรมและ
ทุกกลุม่ ธุรกิจ
มาตรฐาน ISO/IEC 27001
• มาตรฐานนี ้คือ มาตรฐานการจัดการความปลอดภัยข้ อมูลและ
คาแนะนาสาหรับกาหนดคุณสมบัติในการใช้ งาน (Information
Security Management : Specification with
Guidance for Use “แนวทาง ในการนามาตรฐาน ISO/IEC
27001 มาใช้ ในองค์กรนัน้ ควรมีขนตอน
ั้
7 ขันตอน”
้
ซึง่ อธิบายเป็ น
ข้ อ ๆ ได้ ดงั นี ้
มาตรฐาน ISO/IEC 27001
1.จัดตังคณะท
้
างานเพื่อศึกษามาตรฐานและปรับประยุกต์ให้ เข้ ากับองค์กร
2.จัดฝึ กอบรมให้ ผ้ ปู ฏิบตั ิงานได้ เข้ าใจข้ อกาหนดทัง้ 11 หัวข้ อ
3.ประเมินระบบในภาพรวม เพื่อให้ ทราบถึงสิง่ ที่ควรจะเป็ นหรื อควรจะทา
4.ทารายงานและนาเสนอผู้บริหารระดับสูงขึ ้นไปเพื่อพิจารณา
5.ประเมินความเสี่ยงและจัดทาแผนปฏิบตั ิการเพื่อลดความเสี่ยง
6.ปฏิบตั ิตามแผนที่กาหนดไว้ มาตรฐาน
7.มีการสอบทานและเฝ้าระวังเพื่อดูความเปลี่ยนแปลง และปรับตัวแก้ ไขปั ญหา
มาตรฐาน ISO/IEC 27001
กาหนดระบบบริ หารจัดการความมัน่ คง
ปลอดภัย (Plan)
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
•a. กาหนดขอบเขตของระบบระบบบริหารจัดการความมัน่ คง
ปลอดภัย โดยพิจารณาถึงลักษณะของธุรกิจ องค์กร สถานที่ตงั ้
ทรัพย์สนิ และเทคโนโลยี รวมทังอาจพิ
้
จารณาถึงสิง่ ที่ไม่รวมอยูใ่ น
ขอบเขตของระบบบริหารจัดการความมัน่ คงปลอดภัย
•b. กาหนดนโยบายความมัน่ คงปลอดภัย โดยพิจารณาถึงลักษณะ
ของธุรกิจ องค์กร สถานที่ตงั ้ ทรัพย์สิน และเทคโนโลยี ซึ่งนโยบาย
ความมัน่ คงปลอดภัยจะต้ องมีองค์ประกอบดังนี ้
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
b.1 กรอบในการดาเนินการ ทิศทางและหลักการที่เกี่ยวข้ อง
กับการรักษาความมัน่ คงปลอดภัยสาหรับสารสนเทศ
b.2 ข้ อกาหนดทางธุรกิจ ข้ อกาหนดในสัญญาต่างๆ
ระเบียบปฏิบตั ิ ข้ อบังคับ รวมทังกฎหมายของประเทศ
้
b.3 การบริหารจัดการความเสี่ยงเชิงกลยุทธ์ในระดับองค์กร
b.4 เกณฑ์ในการประเมินความเสี่ยง
b.5 การได้ รับการอนุมตั ิจากผู้บริหาร
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
•c. กาหนดวิธีการประเมินความเสี่ยงที่เป็ นรูปธรรมขององค์กร
c.1 ระบุวิธีการประเมินความเสี่ยงที่เหมาะสมกับ
ระบบบริ หารจัดการทางด้ านความมัน่ คงปลอดภัยขององค์กร
c.2 กาหนดเกณฑ์ในการยอมรับความเสี่ยงและ
ระบุระดับความเสี่ยงที่ยอมรับได้
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
•d. ระบุความเสี่ยง
d.1 ระบุทรัพย์สินที่อยูใ่ นขอบเขตของระบบบริ หาร
จัดการความมัน่ คงปลอดภัยรวมทังผู
้ ้ เป็ นเจ้ าของทรัพย์สินเหล่านัน้
d.2 ระบุภยั คุกคามที่มีตอ่ ทรัพย์สินเหล่านัน้
d.3 ระบุจดุ อ่อนที่ภยั คุกคามอาจจะใช้ ให้ เป็ นประโยชน์
d.4 ระบุผลกระทบที่ก่อให้ เกิดความสูญเสียทางด้ าน
ความลับ ความสมบูรณ์ ความพร้ อมใช้ ของทรัพย์สินเหล่านัน้
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
•e. วิเคราะห์และประเมินความเสี่ยง
e.1 ประเมินผลกระทบที่มีตอ่ ธุรกิจซึง่ อาจเป็ นผลจาก
ความล้ มเหลวในการรักษาความมัน่ คงปลอดภัย โดยพิจารณาผล
ของการสูญเสียความลับ ความสมบูรณ์ ความพร้ อมใช้
ของทรัพย์สินเหล่านัน้
e.2 กาหนดความน่าจะเป็ นของความเสี่ยงอันเกิดจาก
ความล้ มเหลวในการรักษาความมัน่ คงปลอดภัย
e.3 กาหนดระดับความเสี่ยง
e.4 กาหนดว่าความเสี่ยงเหล่านัน้ สามารถยอมรับได้
หรื อไม่ โดยใช้ เกณฑ์ในการยอมรับความเสี่ยงที่กาหนดไว้
ในข้ อ 1) c.2)
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
• f. ระบุและประเมินทางเลือกในการจัดการกับความเสี่ยงการดาเนินการที่เป็ นไป
ได้ อาจรวมถึง
f.1 ใช้ มาตรการที่เหมาะสม
f.2 ยอมรับความเสี่ยงเหล่านัน้ โดยมีเงื่อนไขว่า ความเสี่ยงเหล่านัน้
จะต้ องอยูภ่ ายในเกณฑ์ในการยอมรับความเสี่ยงที่กาหนดไว้ ในข้ อ 1) c.2)
f.3 หลีกเลี่ยงความเสี่ยงเหล่านัน้
f.4 โอนย้ ายความเสี่ยงเหล่านันไปสู
้ ผ่ ้ อู ื่น เช่น บริษัทประกันภัย เป็ น
ต้ น
g. เลือกวัตถุประสงค์และมาตรการทางด้ านความมัน่ คงปลอดภัยเพื่อจัดการกับ
ความเสี่ยง วัตถุประสงค์และมาตรการดังกล่าวสามารถเลือกมาจากมาตรฐาน
การรักษาความมัน่ คงปลอดภัยในการประกอบธุรกรรมทางด้ านอิเล็กทรอนิกส์
กาหนดระบบบริ หารจัดการความมัน่ คงปลอดภัย (Plan)
• h. ขอการอนุมตั ิและความเห็นชอบสาหรับความเสี่ยงที่ยงั หลงเหลืออยูใ่ นระบบ
บริหารจัดการความมัน่ คงปลอดภัย
i. ขอการอนุมตั ิเพื่อลงมือปฏิบตั ิและดาเนินการ
j. จัดทาเอกสาร SoA (Statement of Applicability) แสดงการใช้
งานมาตรการตามที่แสดงไว้ ในส่วนของมาตรฐานการรักษาความมัน่ คง
ปลอดภัยในการประกอบธุรกรรมทางด้ านอิเล็กทรอนิกส์เอกสารดังกล่าวควรมี
องค์ประกอบดังนี ้
j.1 วัตถุประสงค์และมาตรการทางด้ านความมัน่ คงปลอดภัยตามที่
ได้ เลือกไว้ ในข้ อ 1) g) รวมทังเหตุ
้ ผลการใช้ งาน
j.2 วัตถุประสงค์และมาตรการทางด้ านความมัน่ คงปลอดภัยที่
ลงมือปฏิบตั ิและดาเนินการระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Do)
ลงมือปฏิบตั ิและดาเนินการระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Do)
• a.จัดทาแผนการจัดการความเสี่ยงซึง่ กล่าวถึงการดาเนินการเชิงบริ หารจัดการ
ทรัพยากรที่จาเป็ น หน้ าที่ความรับผิดชอบ และลาดับการดาเนินการเพื่อบริหาร
จัดการความเสี่ยงที่พบ
b.ลงมือปฏิบตั ิตามแผนการจัดการความเสี่ยงเพื่อบรรลุในวัตถุประสงค์ทางด้ าน
ความมัน่ คงปลอดภัยที่ได้ กาหนดไว้
c.ลงมือปฏิบตั ิตามมาตรการที่เลือกไว้ ในข้ อ 2) g) เพื่อบรรลุวตั ถุประสงค์
ทางด้ านความมัน่ คงปลอดภัยของมาตรการดังกล่าว
ลงมือปฏิบตั ิและดาเนินการระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Do)
• d.กาหนดวิธีการในการวัดความสัมฤทธิผลของมาตรการที่เลือกมาใช้ งาน การ
วัดดังกล่าวจะต้ องสามารถสร้ างผลลัพธ์ที่สามารถเปรี ยบเทียบได้ รวมทัง้
สามารถสร้ างผลลัพธ์เดิมขึ ้นมาอีกครัง้ หนึง่ ได้
e.จัดทาและลงมือปฏิบตั ิตามแผนการอบรมและสร้ างความตระหนัก
f.บริหารการดาเนินงานสาหรับระบบบริหารจัดการความมัน่ คงปลอดภัย
g.บริหารทรัพยากรสาหรับระบบบริหารจัดการความมัน่ คงปลอดภัย
h.จัดทาและลงมือปฏิบตั ิตามขันตอนปฏิ
้
บตั ิและมาตรการอื่นๆ ซึ่งช่วยในการ
ตรวจจับและรับมือกับเหตุการณ์ทางด้ านความมัน่ คงปลอดภัย
เฝ้ าระวังและทบทวนระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Check)
เฝ้ าระวังและทบทวนระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Check)
• a. ลงมือปฏิบตั ิตามขันตอนปฏิ
้
บตั ิและมาตรการอื่นๆ สาหรับการเฝ้าระวังและทบทวน
เพื่อให้ ระบบบริ หารจัดการความมัน่ คงปลอดภัยสามารถ
a.1 ตรวจจับข้ อผิดพลาดจากการประมวลผล
a.2 ระบุการละเมิดความมัน่ คงปลอดภัยและเหตุการณ์ที่เกี่ยวข้ องกับความมัน่ คง
ปลอดภัย
a.3 ช่วยให้ ผ้ บู ริ หารสามารถระบุได้ ว่ากิจกรรมทางด้ านความมัน่ คงปลอดภัยที่
มอบหมายให้ กบั บุคลากรขององค์กร
เป็ นไปตามที่คาดหมายไว้ หรื อไม่
a.4 ตรวจจับเหตุการณ์ที่เกี่ยวข้ องกับความมัน่ คงปลอดภัยโดยอาศัยตัวบ่งชี ้ต่างๆ
เพื่อช่วยในการตรวจจับเหตุการณ์
ต่างๆ ที่ไม่คาดคิด
a.5 ตรวจสอบได้ ว่าการดาเนินการเพื่อแก้ ไขการละเมิดทางด้ านความมัน่ คง
ปลอดภัยมีความสัมฤทธิผลหรื อไม่
เฝ้ าระวังและทบทวนระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Check)
• b. ดาเนินการทบทวนความสัมฤทธิผลของระบบบริหารจัดการความมัน่ คง
ปลอดภัยอย่างสม่าเสมอ โดยนาสิง่ ต่างๆ ต่อไปนี ้มาพิจารณาร่วมด้ วย ได้ แก่ ผล
การตรวจสอบก่อนหน้ านี ้ เหตุการณ์ละเมิดความมัน่ คงปลอดภัยที่เกิดขึ ้น ผล
การวัดความสัมฤทธิผลคาแนะนาและผลตอบกลับจากองค์กรหรื อหน่วยงานที่
เกี่ยวข้ องเป็ นต้ น
c. วัดความสัมฤทธิผลของมาตการทางด้ านความมัน่ คงปลอดภัยเพื่อตรวจสอบ
ว่าเป็ นไปตามข้ อกาหนดทางด้ านความมัน่ คงปลอดภัย
เฝ้ าระวังและทบทวนระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Check)
• d. ทบทวนผลการประเมินความเสี่ยงตามรอบระยะเวลาที่กาหนดไว้ กบั ระดับ
ความเสี่ยงที่ยงั เหลืออยู่ และระดับความเสี่ยงที่ยอมรับได้ โดยพิจารณาการ
เปลี่ยนแปลงของสิง่ ต่อไปนี ้ประกอบด้ วย
d.1 องค์กร
d.2 เทคโนโลยี
d.3 วัตถุประสงค์และกระบวนการทางธุรกิจ
d.4 ภัยคุกคามที่ระบุไว้ ก่อนหน้ านี ้ กับสภาพการเปลี่ยนแปลง
ปั จจุบนั
d.5 ความสัมฤทธิผลของมาตรการที่ได้ ลงมือปฏิบตั ิไปแล้ ว
d.6 เหตุการณ์ภายนอก ได้ แก่ การเปลี่ยนแปลงที่มีตอ่ กฎระเบียบ
กฎหมาย ข้ อกาหนดในสัญญาที่ทาไว้
หรื อข้ อกาหนดอื่นๆ และการเปลี่ยนแปลงทางสังคม เป็ นต้ น
เฝ้ าระวังและทบทวนระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Check)
• e. ดาเนินการตรวจสอบระบบบริหารจัดการความมัน่ คงปลอดภัยภายในองค์กร
ตามรอบระยะเวลาที่ได้ กาหนดไว้
f. ดาเนินการทบทวนระบบบริหารจัดการความมัน่ คงปลอดภัยโดยผู้บริหาร
อย่างสม่าเสมอ
g. ปรับปรุงแผนทางด้ านความมัน่ คงปลอดภัยโดยนาผลของการเฝ้าระวังและ
ทบทวนกิจกรรมต่างๆ มาพิจารณาร่วมด้ วย
h. บันทึกการดาเนินการซึง่ อาจมีผลกระทบต่อความสัมฤทธิผลหรื อ
ประสิทธิภาพของระบบบริหารจัดการความมัน่ คงปลอดภัย
บารุ งรักษาและปรับปรุ งระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Act)
บารุ งรักษาและปรับปรุ งระบบบริ หารจัดการความมัน่ คงปลอดภัย
(Act)
• a.ปรับปรุงระบบบริหารจัดการความมัน่ คงปลอดภัยตามที่ระบุไว้
b.ใช้ มาตรการเชิงแก้ ไขและป้องกันและใช้ บทเรี ยนจากประสบการณ์ทางด้ าน
ความมัน่ คงปลอดภัย ขององค์กรเองและขององค์กรอื่นมาช่วยในการปรับปรุงให้
ดีขึ ้น
c.แจ้ งการปรับปรุงและการดาเนินการให้ แก่ทกุ หน่วยที่เกี่ยวข้ องโดยให้
รายละเอียดที่เหมาะสมต่อสถานการณ์ที่เกิดขึ ้น
d.ตรวจสอบว่าการปรับปรุงที่ทาไปแล้ วนันบรรลุ
้
ตามวัตถุประสงค์ที่กาหนดไว้
หรื อไม่
ISO 27002
•ISO 27002 เป็ นชื่อเรี ยกใหม่ของ ISO 17799 ซึง่ เดิมเรี ยกว่า
"BS 7799 Part 1" เป็ นมาตรฐานแสดง หลักปฏิบตั ิสาหรับ
ISM (Code of practice for Information
Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบ
วิธีการควบคุมด้ าน IS ทังหลายอย่
้
างละเอียด และแสดงรายการวิธี
ปฏิบตั ิที่ดีที่สดุ ของการควบคุมความมัน่ คงปลอดภัย (Bestpractice security controls)
มาตรฐาน ITIL
• เมื่ อ ปี ค.ศ.1980ภายใต้ รั ฐ บาลของประเทศอั ง กฤษที่ มี ห น่ ว ยงานชื่ อ ว่ า CCTA(Central
Computerand TelecommunicationsAgency)ได้ จดั ทาวิธีการบริ หารจัดการด้ าน
ระบบสารสนเทศขึ ้นมาเพื่อใช้ กบั หน่วยงานระบบสารสนเทศของ รัฐบาลประเทศอังกฤษภายใต้ ชื่อ
โครงการคือGovernment Information Technology Infrastructure
Management Methodology" (GITMM)ซึ่งวัตถุประสงค์ของโครงการคือเป็ น
วิธีการบริ หารจัดการระบบสารสนเทศซึ่งต่อมาก็ได้ มีการเปลี่ยนมือการพัฒนากันเรื่ อย มาจนเป็ น
ITILในปั จจุบนั ที่มีการพัฒนาไปจนถึง ITILเวอร์ ชนั 3ซึ่งเป็ นเวอร์ ชนั ล่าสุดที่มี การตีพิมพ์อย่างเป็ น
ทางการเมื่อวันที่30 มิถนุ ายน2007ที่ผ่านมานี่เองโดยเนื ้อหาของITILที่มีการพัฒนาจากเวอร์ ชนั 2มา
เป็ นเวอร์ ชั น 3นั น้ ได้ เน้ นไปที่ ก ารผสมผสานของวงจร ชี วิ ต การให้ บริ การด้ วยระบบไอที
(Integrated service lifecycle approach) เพื่อให้ เหมาะสมกับยุคสมัยของงาน
บริ การในปั จจุบนั โดยที่ไอทีต้องทางานสอดคล้ องกับการดาเนินงานทางธุรกิจและสามารถสร้ าง
คุณค่าจากการใช้ ไอทีได้ ด้วยนอกเหนือไปจากการทางาน ด้ านขบวนการตามปกติแล้ วซึ่งผู้ บริ หาร
และนักลงทุนเองต่างมองถึง ความคุ้ม ค่าจากการลงทุน ด้ านไอที ROI (Return
on
Investment) ที่มีค่าใช้ จ่ายค่อนข้ างสูงมากในปั จจุบนั
•เป็ นขบวนการของการบริหารจัดการด้ านการให้ บริการโดยใช้ ระบบไอ
ที (IT Service Management) ซึง่ มีสว่ นประกอบหลักอยู่ 5
ส่วนคือ
• กลยุทธ์ ด้านการบริการ (Service Strategy)
• การออกแบบงานบริการ (Service Design)
• การส่ งมอบงานบริการ (Service Transition)
• การปฏิบัตงิ านบริการ (Service Operation)
• การพัฒนางานด้ านบริการ (Continual Service
Improvement)
• 1.กลยุทธ์ ด้านการบริการ (Service Strategy) จะครอบคุลมถึงกล
ยุทธ์และการวางแผนที่สร้ างคุณค่า หน้ าที่และความรับผิดชอบ การวางแผนและ
พัฒนากลยุทธ์ แผนงานธุรกิจที่เชื่อมโยงกับระบบไอที ปั จจัยที่เป็ นโอกาสในการ
ประสบความสาเร็จและความเสี่ยงที่อาจจะเกิดขึ ้น
• 2.การออกแบบงานบริการ (Service Design) จะครอบคลุมถึงวงจร
ของการบริการ หน้ าที่และความรับผิดชอบ การออกแบบวัตถุประสงค์ของการ
บริการและส่วนประกอบต่างๆ การคัดเลือกและการจัดสรรรูปแบบงานบริการ
ค่าใช้ จ่ายของงานบริการ การวิเคราะห์ผลประโยชน์และความเสี่ยง การพัฒนา
งานบริการ การวัดผลและควบคุม รวมถึงปั จจัยการประสบความสาเร็จและ
ความเสี่ยง
3. การส่ งมอบงานบริการ (Service Transition) จะครอบคลุมถึงการ
จัดการความเปลี่ยนแปลงต่างๆ ที่จะเกิดขึ ้นไม่วา่ จะเป็ นรูปแบบองค์กรหรื อ
วัฒนธรรมองค์กร การบริหารจัดการความรู้ การวิเคราะห์ความเสี่ยง ข้ อควร
ปฏิบตั ิในการบริการ สถานการณ์การงานบริการ แนวทาง การฝึ กฝน เครื่ องมือ
ในการบริการ การวัดผลและควบคุม
4. การปฏิบัตงิ านบริการ (Service Operation) จะครอบคลุมถึง
แนวทางและสถานะของวงจรการบริการ พื ้นฐานและขบวนการงานบริการ การ
ประยุกต์ใช้ การจัดการโครงสร้ าง การจัดการขบวนการ ปั จจัยความสาเร็ จและ
ความเสี่ยงในงานบริการ
5.การพัฒนางานด้ านบริการ (Continual Service
Improvement) จะครอบคลุมถึง การขับเคลื่อนหรื อการ
ผลักดันงานบริการ หลักการงานพัฒนาด้ านบริการ หน้ าที่และความ
รับผิดชอบ ผลประโยชน์ที่จะได้ รับ การทาให้ ประสบผลสาเร็ จ แนวทาง
การฝึ กฝน เครื่ องมือในการพัฒนา การฝึ กฝน
หลักวิธีการของ วิศวกรรมซอฟต์ แวร์ (SoftwareEngineering)
ในรู ปแบบของ SDLC
ขั้นตอนที่ 1 การเริ่มต้ นและวางแผนโครงการ
การเก็บ requirement
ของผู้ใช้ ระบบ
การเก็บข้ อมูลความต้ องการ
ความปลอดภัยของ user
พัฒนาระบบ E-mail
การระบุทางเลือกใน
การแก้ ไขปั ญหา
การ วิเคราะห์ความเสี่ยง(Risk
Analysis)
การเลือกแนวทาง
การกาหนดกลยุทธ์ทางด้ าน
ความปลอดภัย
ขั้นตอนที่ 2 การออกแบบ Function การทางาน
เป็ นเรื่ องของการ ออกแบบมี 5 ส่ วน ส่ วนแรกเป็ นการสร้างแผนโครงการนั้นๆ
โดยสามารถเลือกบริ เวณหรื อขอบเขตความปลอดภัยระดับไหนบ้าง ต่อมาเป็ นการ
ดูความต้องการในลักษณะของการทางานว่าโปรแกรมมีงานย่อยอะไรต้องสร้าง
ความปลอดภัยใส่ ไปด้วยหรื อไม่อย่างไรในซอฟต์แวร์ ที่ผลิต ต่อมา ทดสอบแต่ละ
ฟังก์ชนั่ ที่สร้างขึ้นมา ต้องมีการทดสอบแต่ละส่ วนว่ามีการทางานแบบสมบูรณ์ใน
ทุกแง่มุม ข้อมูลมากน้อย ข้อมูลผิดนามาทดสอบให้หมด และอาจจะทดสอบทาง
ความปลอดภัยไปด้วย เช่น buffer over flow ด้วย DOS ด้วยหรื อไม่
ต่อมา ใส่ ความต้องการทางความปลอดภัยด้วย ต่อมาทาการพัฒนาความต้องการ
พื้นฐานของฟังก์ชนั่ ด้วย
หลักวิธีการของ วิศวกรรมซอฟต์ แวร์ (SoftwareEngineering)
ในรู ปแบบของ SDLC
ขั้นตอนที่ 2 การออกแบบ Function การทางาน
สร้ างแผนของ
โครงการ
กาหนดความ
จัดส่วนของการ
ปลอดภัยแต่ละ
ทดสอบ
Function
โปรแกรมมีงาน
เลือกขอบเขตของ
ย่อยอะไรบ้ างที่ต้อง
ความปลอดภัย
สร้ างความ
ซับซ้ อนขนาดไหน
ปลอดภัย
ทดสอบแต่ละ
function ที่
สร้ างขึ ้นมา
กาหนดกลยุทธ์
ทางความ
ปลอดภัย
พัฒนาความ
ต้ องการขั ้น
พื ้นฐาน
ใส่ความต้ องการ
ทางความปลอดภัย
กาหนดกิจกรรม
ทางด้ านความ
ปลอดภัย
ขั้นตอนที่ 3 การออกแบบความปลอดภัยขั้นละเอียด
หลักวิธีการของ วิศวกรรมซอฟต์ แวร์ (SoftwareEngineering)
ในรูปแบบของ SDLC Vขั้นตอนนี้เป็ นการใส่ รายละเอียดความ
ปลอดภัยที่ตอ้ งการลงไป ด้วยการเขียน ER – Diagram
อาจมีบางตัวคอยเชคสิ ทธิ์ หรื อใส่ เรื่ องของการเก็บข้อมูลในการใช้งาน
บางอย่างลงไป ด้วย ต่อมา ทดสอบความปลอดภัย และวางแผน สุ ดท้ย
ทารายงานผล
ขั้นตอนที่ 3 การออกแบบความปลอดภัยขั้นละเอียด
เตรี ยมการออกแบบ
ปรับปรุงแก้ ไขแผนความ
ปลอดภัยขั ้นละเอียด
พัฒนาเอกสารทางด้ าน
ความปลอดภัย
การเขียน ER-Diagram โดยพิจารณาถึงโมดูล การทางานอะไรบ้ างที่ตรวจสอบ
สิทธิ์ใช้ งาน หรื อการเก็บ log หลังจากนัน้ ทดสอบความปลอดภัย เมื่อเกิดปั ญหา
ทาการปรับปรุงแผน และรายงานผล
ขั้นตอนที่ 4 การพัฒนาโปรแกรม และ ทาคู่มอื การใช้ งาน
ในระหว่ า งท าการเขี ย นโปรแกรมต้ อ งมองแง่ ร้ า ยมองด้ า น
security ด้วย ขนาดของข้อมูลที่จดั เก็บต้องดูดว้ ยว่า มีเรื่ อง
ความปลอดภัยหรื อไม่ ต่อมา ต้องมีการเทสเรื่ องของ evaluate
และทดสอบในเชิ ง security ท้ายสุ ดก็ทาการทางาน สร้าง
เอกสารและทา security code ด้วย
หลักวิธีการของ วิศวกรรมซอฟต์ แวร์ (SoftwareEngineering)
ในรู ปแบบของ SDLC
ขั้นตอนที่ 4 การพัฒนาโปรแกรม และ ทาคู่มอื การใช้ งาน
พัฒนาระบบ
ทา Unit Test และ
ประเมินผล
ทาคู่มือการใช้ งาน
ขั้นตอนที่ 5 ขั้นตอนการสรุ ปและการประเมินผล
ทดสอบระบบและความปลอดภัยของ component ด้วย ต่อมา
ดูแลประสิ ทธิภาพระบบและความปลอดภัยด้วย ต่อมา integrate
ก็ทาความปลอดภัยด้วย project manual ด้วย และทาเรื่ อง
ของการปฏิบตั ิทางความปลอดภัยด้วย และสุ ดท้ายก็เสร็ จ เรี ยบร้อย
หลักวิธีการของ วิศวกรรมซอฟต์ แวร์ (SoftwareEngineering)
ในรู ปแบบของ SDLC
ขั้นตอนที่ 5 ขั้นตอนการสรุ ปและการประเมินผล
ทดสอบ
ตรวจเชค
ติดตั ้งระบบ
ทาเอกสาร
ทางด้ าน
coding
ทาเอกสารการ
ยอมรับจาก
ลูกค้ า
ตัวอย่าง การจัดการความเสี่ ยง อุปกรณ์
เครื อข่าย
20 ธรรมเนียมปฏิบตั ิพ้นื ฐานที่เกี่ยวข้องกับระบบรักษาความปลอดภัย
1.
2.
3.
4.
สร้ างอานาจและระดับการเข้ าเครื่ อง
มัน่ ใจในความซื่อสัตย์ของบุคลากร
สร้ างวิธีแก้ ปัญหา โดยมีผ้ รู ับผิดชอบ
มีระดับความสาคัญในการป้องกัน
อุปกรณ์
5. นับข้ อมูลที่สาคัญ, ไม่สาคัญที่ต้อง
ป้องกัน
6. เพ่งความสนใจไปที่อปุ กรณ์สาคัญๆ
7. สร้ างขอบเขตรอบๆ อุปกรณ์ที่จะป้องกัน
8. ป้องกันขอบเขตนันด้
้ วย
9. สอดส่องดูแลบารุงรักษาขอบเขต
10. ควบคุมอุปกรณ์ และการเข้ าใช้
11. จากัดความรู้ ความรับผิดชอบ และแบ่งแยกการ
ทางาน ของเจ้ าหน้ าที่
12. ไม่ควรให้ คนอื่นล่วงรู้สินทรัพย์ของเรา
13. การอนุญาตให้ คนอื่นเข้ าไปใช้
14. กาหนดความรับผิดชอบในแต่ละส่วน
15. ทาเอกสารให้ ร้ ูว่าใครรับผิดชอบอะไร
16.ตรวจสอบหลายๆ ครัง้ ให้ ครอบคลุม
17. วิเคราะห์เอกสารว่าครอบคลุมหรื อยัง
18. สืบหาสิ่งผิดปรกติในสื่อที่เกิดขึ ้น
19.ลงโทษในสิ่งที่สืบหาเจอ
20.เตรี ยมพร้ อมอยู่เสมอ เพื่อที่จะกลับมา ใหม่
53
เทคนิคในการจัดการความปลอดภัย
การจัดการความปลอดภัย
กายภาพ
บุคคล
การเข้ ารหัส
การแพร่กระจายคลื่น
การจัดการระบบการสื่อสาร
กลุ่มของฟั งก์ ชัน
ลับที่สุด
X
X
X
X
-
ลับ
X
x
X
-
ปกปิ ด
X
X
X
ไม่ ปกปิ ด
X
X
X
หมายเหตุ x จะเปลี่ยนไปตามลักษณะขององค์กรไม่ตายตัว
54
การจัดการความปลอดภัยขั้นพื้นฐาน
1.
2.
3.
การจัดการแบบไม่ อยู่คนเดียว
ถ้ ามี Never alone principles เมื่อไหร่พฤติกรรมของความปลอดภัยทังหมด
้
จะต้ องมีคนมากกว่า 1 คนในพฤติกรรมนันๆ
้
การจัดการแบบจากัดช่ วงระยะเวลาการทางาน Time Limitation of
Duties
- จะต้ องไม่มีบคุ คลใด บุคคลหนึ่งดูแลความปลอดภัย
- หมุนเวียนสลับตาแหน่ง
แยกงานออกจากกัน Separation of Duties
จะต้ องไม่มีใครคนใดคนหนึง่ จะต้ องมีความรู้ที่รับผิดชอบเท่านัน้ ไม่สามารถ
ล่วงรู้งานอื่นที่นอกเหนือไปจากงานที่ได้ รับมอบหมาย
55
งานต่อไปนี้ควรแยกออกจากกันเพื่อให้มีความปลอดภัยที่ดี
1.
2.
3.
4.
5.
6.
คนที่เป็ น Operation ควรแยกหน้ าที่กบั Programming ไม่ควรเป็ นคนเดียวกัน
การเตรี ยมข้ อมูลการประมวลผลข้ อมูล
การทางานของ Computer Operation การบันทึกข้ อมูลบน Mediaควรแยก
ออกจากกัน
การรับรู้ข้อมูล ข้ อความหรื อทรัพยากรมีคา่ ควรแยกออกจากการส่ง
ทรัพยากรนัน้
การเขียนโปรแกรมที่เกี่ยวข้ องกับการประยุกต์ + การเขียนโปรแกรมที่
เกี่ยวข้ องกับระบบแยกกัน
การเขียนโปรแกรมที่เกี่ยวข้ องกับการประยุกต์ + การเขียน Program
database ควรแยกกัน
56
แบ่งงานออกจากกันโดยใช้
1.
2.
สร้ างกาแพงกัน้ ห้ อง
- สื่อที่จะต้ องเก็บไว้ ในที่ที่มีความปลอดภัยควรจะติดกับห้ องคอมพิวเตอร์
- การเตรี ยมข้ อมูลต้ องเตรี ยมในที่มีความปลอดภัย ใกล้ ห้องคอมพิวเตอร์ แต่ไม่ควรอยู่ในห้ อง
คอมพิวเตอร์
- ควรแยกออกจากศูนย์คอมพิวเตอร์ เพื่อความปลอดภัย
- จะต้ องจากัดคนทัว่ ไปยกเว้ นคนที่เกี่ยวข้ อง
- ห้ องรักษาความปลอดภัยจะต้ องแยกออกจาก Operators
- สิ่งที่เกี่ยวข้ องกับขยะ ที่รอจะทาลายสมควรจะกาจัดในที่ปลอดภัยไม่ควรอยู่ในห้ องคอมพิวเตอร์
การแยกจากกันโดยการบริหาร
- โปรแกรมเมอร์ จะต้ องไม่ไปยุ่งเกี่ยวกับสารสนเทศ
- โอเปอร์ เรเตอร์ ต้องไม่เขียนหรื อส่งโปรแกรม
- คนที่ทาหน้ าที่เกี่ยวกับความปลอดภัย ไม่ควรให้ คนอื่นมาทาหน้ าที่เกี่ยวข้ องได้
57
การวิเคราะห์ภยั คุกคาม และการจัดการความเสี่ ยง
การวิเคราะห์ เพื่อหาจุดอ่ อนที่ง่ายต่ อการโจมตี
- ภัยคุกคามที่ไม่มีแนวทางที่แน่นอน และโครงสร้ างที่แน่นอน ตัวอย่ าง
โรงพยาบาล
ภัยคุกคามที่เกิดขึน้
เป็ นเหตุให้ โดย
1.
2.
3.
4.
5.
ไฟล์ที่เก็บข้ อมูลของคนไข้
เสียหาย
ระบบบัญชีเสียหาย
ข้ อมูลของคนไข้ ถกู เปิ ดเผย
ตารางการทางานแพทย์
เปลี่ยนแปลงได้
ข้ อมูลของคนไข้ เรี ยกมาดูไม่ได้
1.
2.
3.
รายงานที่ไม่ครบถ้ วน
รายงานไม่มีหลักฐานและ
เหตุผลเพียงพอ
ความไม่สม่าเสมอในการ
รายงาน
58
Threat tree
ตัวอย่างโรงพยาบาล
Threat
โรงพยาบาล
เกี่ยวกับคนไข้
Sub threats
Disclosure
threats
Sub threats
Integrity
threat
เกี่ยวกับชีวติ
ไม่เกี่ยวกับคนไข้
ไม่เกี่ยวกับชีวติ
ไม่เกี่ยวกับเงิน
เกี่ยวกับเงิน
Denial of
Service
threat
คนภายนอก
คนภายใน
59
วัฏจักรของการสร้างระบบการรักษาความปลอดภัย
ระบบที่จะทาการวิเคราะห์การรักษาความปลอดภัย
การแยกระบบออกเป็ นส่ วนๆ
ใส่ ระบบป้ องกันภัยเข้าไป
พยายามแจกแจงจุดอ่อน ภัยคุกคาม ที่อาจจะเกิดขึ้น
ประมาณค่าความเสี่ ยง
จัดลาดับจุดอ่อนในระบบ
ยอมรับหรื อไม่
No
Yes
60
• เว็บไซต์กลางที่รวบรวมเรื่ องราวหรื อข้ อมูลเกี่ยวกับเหตุการณ์การละเมิดการ
รักษาความปลอดภัย เช่น
• www.securityfocus.com ให้ บริการข้ อมูลเกี่ยวกับจุดอ่อนและช่อง
โหว่ตา่ งๆ
• www.incident.org ให้ บริการข้ อมูลเกี่ยวกับภัยต่างๆในปั จจุบนั
• www.sans.org ให้ ข้อมูลเกี่ยวกับการฝึ กอบรมทางด้ านความปลอดภภัย
และรวบรวมเอกสารทางด้ านนี ้มากมาย
• www.cert.org ให้ ข้อมูลเกี่ยวกับภัยคุกคาม คาแนะนา วิธีป้องกัน
• www.thaicert.nectec.or.th ศูนย์ประสานงานการรักษาความ
ปลอดภัยคอมพิวเตอร์ ประเทศไทย
คาถามท้ายบท
•Information Security Management
System(ISMS) หมายถึงอะไร
• สรุปใจความสาคัญของขันตอนทั
้
งสี
้ ่ คือ PDCA ของมาตรฐาน
27001
• มาตรฐานใดที่มีวตั ถุประสงค์ในการกาหนดวิธีปฏิบตั ิที่ดีที่สดุ (Best
Practice) สาหรับกระบวนการการส่งมอบงานและการบริการ
ทางด้ านไอที