What's New Here?

แสดงบทความที่มีป้ายกำกับ ความปลอดภัยสารสนเทศ แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ ความปลอดภัยสารสนเทศ แสดงบทความทั้งหมด

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)


                                  ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com


 ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่


บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

         บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ


มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

        Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 


Stakeholder มีความคาดหวังอะไรต่อองค์กร 

        แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม


เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

         การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่ 

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

Posted by pryn 1 comment


                                  ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com


 ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่


บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

         บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ


มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

        Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 


Stakeholder มีความคาดหวังอะไรต่อองค์กร 

        แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม


เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

         การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่ 

มาตรการ(Control)จัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 :2013

          การบริหารจัดการสารสนเทศในองค์กรให้มั่นคงปลอดภัยตามมาตรฐานISO 27001 :2013นั้น จำเป็นต้องมีมาตรการที่เหมาะสมกับความเสี่ยงของสารสนเทศ (Information Security Risk)
ISO27001:2013 Controls Annex A
  
          ในการจัดทำและดำเนินระบบ (ISMS Establishment and Implementation)  ISO27001:2013 มีมาตรการให้ท่านเลือกมาใช้มากมายครอบคลุมตั้งแต่เรื่องคน (Human) เรื่องHardware ,Software และอื่นๆ

ท่านสามารถนำมาตรการเหล่านี้มาใช้งาน (Implementation) และวางระบบเฝ้าระวังตรวจสอบ (ISMS Monitoring and Measurement) เพื่อวัดผลว่ามาตรการนั้นๆมีประสิทธิภาพเพียงพอที่จัดการความเสี่ยงได้อย่างเหมาะสมหรือไม่

บทความนี้ขอนำเสนอมาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ ตาม Annex A ของ ISO 27001:2013

มาตรการมีทั้งหมด 14  ข้อได้แก่
  • A5. นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)    
  • A6.  โครงสร้างความมั่นคงปลอดภัยสารสนเทศ  (organization  of  Information Security)
  • A7. ความมั่นคงปลอดภัยสําหรับบุคลากร (Human Resource Security)
  • A8. การบริหารจัดการทรัพย์สิน (Asset Management)
  • A9. การควบคุมการเข้าถึง (Access Control)
  • A10. การเข้ารหัสข้อมูล (Cryptography)
  • A11.  ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม  (Physical  and environmental Security)
  • A12. ความมั่นคงปลอดภัยสําหรับการดําเนินการ (Operations Security)
  • A13. ความมั่นคงปลอดภัยสําหรับการสื่อสารข้อมูล (Communications security)
  • A14. การจัดหา การพัฒนา และการบํารุงรักษาระบบ (System acquisition, development and maintenance)
  • A15. ความสัมพันธ์กับผู้ขาย ผู้ให้บริการภายนอก (Supplier relationships)
  • A16.  การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ  (Information Security Incident Management)
  • A17. ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information security aspects of business continuity management)
  • A18. ความสอดคล้อง (Compliance)   

มาตรการ(Control)จัดการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 :2013

Posted by pryn No comments

          การบริหารจัดการสารสนเทศในองค์กรให้มั่นคงปลอดภัยตามมาตรฐานISO 27001 :2013นั้น จำเป็นต้องมีมาตรการที่เหมาะสมกับความเสี่ยงของสารสนเทศ (Information Security Risk)
ISO27001:2013 Controls Annex A
  
          ในการจัดทำและดำเนินระบบ (ISMS Establishment and Implementation)  ISO27001:2013 มีมาตรการให้ท่านเลือกมาใช้มากมายครอบคลุมตั้งแต่เรื่องคน (Human) เรื่องHardware ,Software และอื่นๆ

ท่านสามารถนำมาตรการเหล่านี้มาใช้งาน (Implementation) และวางระบบเฝ้าระวังตรวจสอบ (ISMS Monitoring and Measurement) เพื่อวัดผลว่ามาตรการนั้นๆมีประสิทธิภาพเพียงพอที่จัดการความเสี่ยงได้อย่างเหมาะสมหรือไม่

บทความนี้ขอนำเสนอมาตรการจัดการความมั่นคงปลอดภัยของสารสนเทศ ตาม Annex A ของ ISO 27001:2013

มาตรการมีทั้งหมด 14  ข้อได้แก่
  • A5. นโยบายความมั่นคงปลอดภัยสารสนเทศ (Information Security Policy)    
  • A6.  โครงสร้างความมั่นคงปลอดภัยสารสนเทศ  (organization  of  Information Security)
  • A7. ความมั่นคงปลอดภัยสําหรับบุคลากร (Human Resource Security)
  • A8. การบริหารจัดการทรัพย์สิน (Asset Management)
  • A9. การควบคุมการเข้าถึง (Access Control)
  • A10. การเข้ารหัสข้อมูล (Cryptography)
  • A11.  ความมั่นคงปลอดภัยทางกายภาพและสภาพแวดล้อม  (Physical  and environmental Security)
  • A12. ความมั่นคงปลอดภัยสําหรับการดําเนินการ (Operations Security)
  • A13. ความมั่นคงปลอดภัยสําหรับการสื่อสารข้อมูล (Communications security)
  • A14. การจัดหา การพัฒนา และการบํารุงรักษาระบบ (System acquisition, development and maintenance)
  • A15. ความสัมพันธ์กับผู้ขาย ผู้ให้บริการภายนอก (Supplier relationships)
  • A16.  การบริหารจัดการเหตุการณ์ความมั่นคงปลอดภัยสารสนเทศ  (Information Security Incident Management)
  • A17. ประเด็นด้านความมั่นคงปลอดภัยสารสนเทศของการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจ (Information security aspects of business continuity management)
  • A18. ความสอดคล้อง (Compliance)   

Overview ข้อกำหนด ISO 27001:2013 ตอนที่ 1

ISO27001-2013 overview requirement














ผู้เขียน  ปริญญ์  เสรีพงศ์ CISA CEH ISMS(IRCA) 

Email : mr.pryn@gmail.com


บทความนี้อธิบายภภาพรวมของข้อกำหนดมาตรฐานISO27001:2013 Information Security Management System (ISMS)  เพื่อให้ผู้อ่านได้เข้าใจภาพกว้างของมาตรฐานเป็นพื้นฐานสำหรับศึกษารายละเอียดเพิ่มเติมในเอกสารมาตรฐานฉบับเต็มได้ง่ายขึ้น

  1. บริบทขององค์กร (Context of the organization)
  2. ภาวะผู้นํา (Leadership)
  3. การวางแผน (Planning)
  4. การสนับสนุน (Support)
  5. การดําเนินการ (Operation)
  6. การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)
  7. การปรับปรุง (Improvement)

1.บริบทขององค์กร (Context of the organization)

1.1 ทำความเข้าใจองค์กรและบริบทขององค์กร (Understanding the organization and its context)

พื้นฐานสำคัญในการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001:2013  คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน(Internal issues) และประเด็นภายนอก(External issues) นำทั้ง2ประเด็นนี้มาพิจารณาในการวางระบบให้ครอบคลุมอย่างเหมาะสมไม่ตกหล่นประเด็นสำคัญ

1.2 กําหนดความจําเป็นและความคาดหวังของผู้ที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)

ในการทำ ISO27001 จะต้องรู้ว่าใครคือผู้เกี่ยวข้อง (Interested parties) และพวกเขามีความต้องการและคาดหวังอะไร(needs and expectations)จากองค์กรของเรา  ระบบงานใดมีความสำคัญเพราะเป็นงานที่เกี่ยวข้องกับการส่งมอบสินค้าหรือบริการให้กับผู้เกี่ยวข้อง  บริบทขององค์กรเป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ(Scope)

1.3 การกําหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)

ขอบเขต(Scope)ของการทำ ISO27001:2013 ต้องพิจารณาถึงข้อกำหนดและความต้องการของผู้เกี่ยวข้อง(Interested parties)  ตรงนี้เป็นเงื่อนไขสำคัญที่องค์กรต้องทำความเข้าใจและกำหนดขอบเขตให้เหมาะสมและเพียงพอคือไม่กำหนดขอบเขตเล็กเกินไปจนตกหล่นผู้เกี่ยวข้อง หรือขอบเขตกว้างเกินกว่าความสามารถในการบริหารจัดการส่งผลให้ระบบขาดประสิทธิภาพ

1.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security management system)

จัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)  โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง นำไปปฏิบัติและรักษาไว้ รวมถึงปรับปรุงอย่างต่อเนื่อง โดยISMSต้องสอดคล้องตามข้อกําหนดของ ISO27001:2013 Information Security Management System

ข้อ 2 ภาวะผู้นํา (Leadership)

2.1 ภาวะผู้นําและการให้ความสําคัญ (Leadership and commitment) 

ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นําและให้ความสําคัญต่อระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)

2.2 นโยบาย (Policy)

ผู้บริหารระดับสูงกําหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด

2.3 บทบาท หน้าที่ความรับผิดชอบ และอํานาจหน้าที่ (Organizational roles, responsibilities and authorities)

กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสารสนเทศ

ข้อ 3 การวางแผน (Planning)

3.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส (Actions to address risks and opportunities)

การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จะต้องพิจารณาถึงบริบทขององค์กร  พิจารณาความเสี่ยงที่เกี่ยวข้องจากนั้นวางแนวทางจัดการอย่างเหมาะสม

3.2  วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและแผนการบรรลุวัตถุประสงค์ (Information security objectives and plans to achieve them) 

กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ(Information Security Objectives)และแผนการบรรลุวัตถุประสงค์  โดยวัตถุประสงค์นี้จะต้องวัดผลได้ และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ(Information Security Policy)


ข้อกำหนดที่เหลือ อ่านได้จากบทความ "Overview ข้อกำหนด ISO27001:2013 ตอนที่2 (จบ)"



Overview ข้อกำหนด ISO 27001:2013 ตอนที่ 1

Posted by pryn No comments

ISO27001-2013 overview requirement














ผู้เขียน  ปริญญ์  เสรีพงศ์ CISA CEH ISMS(IRCA) 

Email : mr.pryn@gmail.com


บทความนี้อธิบายภภาพรวมของข้อกำหนดมาตรฐานISO27001:2013 Information Security Management System (ISMS)  เพื่อให้ผู้อ่านได้เข้าใจภาพกว้างของมาตรฐานเป็นพื้นฐานสำหรับศึกษารายละเอียดเพิ่มเติมในเอกสารมาตรฐานฉบับเต็มได้ง่ายขึ้น

  1. บริบทขององค์กร (Context of the organization)
  2. ภาวะผู้นํา (Leadership)
  3. การวางแผน (Planning)
  4. การสนับสนุน (Support)
  5. การดําเนินการ (Operation)
  6. การประเมินประสิทธิภาพและประสิทธิผล (Performance evaluation)
  7. การปรับปรุง (Improvement)

1.บริบทขององค์กร (Context of the organization)

1.1 ทำความเข้าใจองค์กรและบริบทขององค์กร (Understanding the organization and its context)

พื้นฐานสำคัญในการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISO27001:2013  คือความเข้าใจบริบทขององค์กร โดยต้องระบุประเด็นภายใน(Internal issues) และประเด็นภายนอก(External issues) นำทั้ง2ประเด็นนี้มาพิจารณาในการวางระบบให้ครอบคลุมอย่างเหมาะสมไม่ตกหล่นประเด็นสำคัญ

1.2 กําหนดความจําเป็นและความคาดหวังของผู้ที่เกี่ยวข้อง (Understanding the needs and expectations of interested parties)

ในการทำ ISO27001 จะต้องรู้ว่าใครคือผู้เกี่ยวข้อง (Interested parties) และพวกเขามีความต้องการและคาดหวังอะไร(needs and expectations)จากองค์กรของเรา  ระบบงานใดมีความสำคัญเพราะเป็นงานที่เกี่ยวข้องกับการส่งมอบสินค้าหรือบริการให้กับผู้เกี่ยวข้อง  บริบทขององค์กรเป็นข้อมูลสำคัญในการกำหนดขอบเขตของการจัดทำระบบ(Scope)

1.3 การกําหนดขอบเขตของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Determining the scope of the information security management system)

ขอบเขต(Scope)ของการทำ ISO27001:2013 ต้องพิจารณาถึงข้อกำหนดและความต้องการของผู้เกี่ยวข้อง(Interested parties)  ตรงนี้เป็นเงื่อนไขสำคัญที่องค์กรต้องทำความเข้าใจและกำหนดขอบเขตให้เหมาะสมและเพียงพอคือไม่กำหนดขอบเขตเล็กเกินไปจนตกหล่นผู้เกี่ยวข้อง หรือขอบเขตกว้างเกินกว่าความสามารถในการบริหารจัดการส่งผลให้ระบบขาดประสิทธิภาพ

1.4 ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information security management system)

จัดทำระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)  โดยกำหนดนโยบาย จัดทำเอกสารที่เกี่ยวข้อง นำไปปฏิบัติและรักษาไว้ รวมถึงปรับปรุงอย่างต่อเนื่อง โดยISMSต้องสอดคล้องตามข้อกําหนดของ ISO27001:2013 Information Security Management System

ข้อ 2 ภาวะผู้นํา (Leadership)

2.1 ภาวะผู้นําและการให้ความสําคัญ (Leadership and commitment) 

ผู้บริหารระดับสูงต้องแสดงให้เห็นถึงภาวะผู้นําและให้ความสําคัญต่อระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ(ISMS)

2.2 นโยบาย (Policy)

ผู้บริหารระดับสูงกําหนดนโยบายความมั่นคงปลอดภัยสารสนเทศให้สอดคล้องกับจุดประสงค์ขององค์กรและสอดคล้องกับข้อกำหนด

2.3 บทบาท หน้าที่ความรับผิดชอบ และอํานาจหน้าที่ (Organizational roles, responsibilities and authorities)

กำหนดหน้าที่และความรับผิดชอบทางด้านความมั่นคงปลอดภัยของสารสนเทศ

ข้อ 3 การวางแผน (Planning)

3.1 การดําเนินการเพื่อจัดการกับความเสี่ยงและโอกาส (Actions to address risks and opportunities)

การวางแผนงานสำหรับระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ จะต้องพิจารณาถึงบริบทขององค์กร  พิจารณาความเสี่ยงที่เกี่ยวข้องจากนั้นวางแนวทางจัดการอย่างเหมาะสม

3.2  วัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศและแผนการบรรลุวัตถุประสงค์ (Information security objectives and plans to achieve them) 

กำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยสารสนเทศ(Information Security Objectives)และแผนการบรรลุวัตถุประสงค์  โดยวัตถุประสงค์นี้จะต้องวัดผลได้ และสอดคล้องกับนโยบายความมั่นคงปลอดภัยของสารสนเทศ(Information Security Policy)


ข้อกำหนดที่เหลือ อ่านได้จากบทความ "Overview ข้อกำหนด ISO27001:2013 ตอนที่2 (จบ)"



โลกนี้อยู่ยาก !!! เมื่อจอมแฉบันลือโลก Edward Snowden ถูกเสนอชื่อชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

ในมุมของInformation Security Management - ISO27001 มองว่า Edward Snowden เป็นภัยคุกคาม(Insider Threat)ขององค์กร(NSA) ซึ่งเป็นผู้ว่าจ้าง  ผลกระทบที่เกิดจากข้อมูลรั่วไหล (Information leak) กระทบต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง

เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

สมาชิกสภาของประเทศนอร์เวย์คือนายBård Vegard Solhjell และนายSnorre Valen ได้เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014 พร้อมทั้งบรรยายคุณงามความดี(หรือเปล่า??) ว่าการที่นาย Snowden ออกมาแฉถึงการดักฟังที่สุดแสนจะอื้อฉาวนั้นสร้างคุณประโยชน์ต่อโลกนี้สมควรได้รับรางวัลอันทรงเกียรตินี้

Edward Snowden คือใคร

ผมนั้นไม่รู้จักเฮียSnowdenเป็นการส่วนตัวก็เลยต้องใช้บริการgoogle และก็ไม่ผิดหวัง พี่google ให้คำตอบมาจนอ่านไม่หวาดไม่ไหวขอสรุปสั้นๆประมาณนี้ครับ

ชื่อ : Edward Joseph Snowden
เกิดเมื่อ :  21 June 1983
อาชีพ : อดีตลูกจ้างของ Central Intelligence Agency (หน่ายงาน CIA ) และอดีต Outsource ให้กับ  National Security Agency (NSA)
ผลงาน : เปิดโปงGlobal surveillance disclosures (2013–present) ซึ่งประกอบด้วยโครงการย่อยๆ ตัวอย่างเช่น
  •     PRISM (surveillance program) : โครงการ Survillance ระดับGlobal แบบไร้พรมแดน
  •     XKeyscore : โครงการดักจับข้อมูลทาง Internet มาวิเคราะห์หาความเชื่อมโยงในการสืบสวน   ต่างๆของงานด้านสายลับ
  •     Tempora : โครงการดักจับข้อมูลใน fibre-optic cables
  •     Project 6 : โครงการ Survillanceภายใต้ความร่วมมือกับเยอรมันเพื่อป้องกันการก่อการร้าย
   แต่ละโครงการล้วนแต่หมิ่นเหม่ต่อการละเมิดสิทธิผู้อื่น เพราะเล่นดักจับข้อมูลเอาไปวิเคราะห์โดยที่เจ้าของไม่ได้อนุญาต ทั้งข้อมูลธุรกิจ ข้อมูลส่วนตัวจิปาถะ โดนดักฟังทั้งสิ้น

   นี่แค่บางส่วนเองครับที่ผมนำมาเขียน และก็ไม่รู้ว่าที่เฮีย Snowden ยังไม่ได้แฉออกมามีอะไรให้เซอร์ไพรส์อีกบ้าง !!

ก็ต้องช่วยลุ้นเฮียเค้าล่ะครับเผลอๆ ถ้าแกได้รางวัลขึ้นมาจริงๆ อยากรู้ว่าโอบามาจะว่ายังไง ??


Source : http://news.cnet.com/8301-13578_3-57618008-38/snowden-nominated-for-nobel-peace-prize/ 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

โลกนี้อยู่ยาก !!! เมื่อจอมแฉบันลือโลก Edward Snowden ถูกเสนอชื่อชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

Posted by pryn No comments

ในมุมของInformation Security Management - ISO27001 มองว่า Edward Snowden เป็นภัยคุกคาม(Insider Threat)ขององค์กร(NSA) ซึ่งเป็นผู้ว่าจ้าง  ผลกระทบที่เกิดจากข้อมูลรั่วไหล (Information leak) กระทบต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง

เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

สมาชิกสภาของประเทศนอร์เวย์คือนายBård Vegard Solhjell และนายSnorre Valen ได้เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014 พร้อมทั้งบรรยายคุณงามความดี(หรือเปล่า??) ว่าการที่นาย Snowden ออกมาแฉถึงการดักฟังที่สุดแสนจะอื้อฉาวนั้นสร้างคุณประโยชน์ต่อโลกนี้สมควรได้รับรางวัลอันทรงเกียรตินี้

Edward Snowden คือใคร

ผมนั้นไม่รู้จักเฮียSnowdenเป็นการส่วนตัวก็เลยต้องใช้บริการgoogle และก็ไม่ผิดหวัง พี่google ให้คำตอบมาจนอ่านไม่หวาดไม่ไหวขอสรุปสั้นๆประมาณนี้ครับ

ชื่อ : Edward Joseph Snowden
เกิดเมื่อ :  21 June 1983
อาชีพ : อดีตลูกจ้างของ Central Intelligence Agency (หน่ายงาน CIA ) และอดีต Outsource ให้กับ  National Security Agency (NSA)
ผลงาน : เปิดโปงGlobal surveillance disclosures (2013–present) ซึ่งประกอบด้วยโครงการย่อยๆ ตัวอย่างเช่น
  •     PRISM (surveillance program) : โครงการ Survillance ระดับGlobal แบบไร้พรมแดน
  •     XKeyscore : โครงการดักจับข้อมูลทาง Internet มาวิเคราะห์หาความเชื่อมโยงในการสืบสวน   ต่างๆของงานด้านสายลับ
  •     Tempora : โครงการดักจับข้อมูลใน fibre-optic cables
  •     Project 6 : โครงการ Survillanceภายใต้ความร่วมมือกับเยอรมันเพื่อป้องกันการก่อการร้าย
   แต่ละโครงการล้วนแต่หมิ่นเหม่ต่อการละเมิดสิทธิผู้อื่น เพราะเล่นดักจับข้อมูลเอาไปวิเคราะห์โดยที่เจ้าของไม่ได้อนุญาต ทั้งข้อมูลธุรกิจ ข้อมูลส่วนตัวจิปาถะ โดนดักฟังทั้งสิ้น

   นี่แค่บางส่วนเองครับที่ผมนำมาเขียน และก็ไม่รู้ว่าที่เฮีย Snowden ยังไม่ได้แฉออกมามีอะไรให้เซอร์ไพรส์อีกบ้าง !!

ก็ต้องช่วยลุ้นเฮียเค้าล่ะครับเผลอๆ ถ้าแกได้รางวัลขึ้นมาจริงๆ อยากรู้ว่าโอบามาจะว่ายังไง ??


Source : http://news.cnet.com/8301-13578_3-57618008-38/snowden-nominated-for-nobel-peace-prize/ 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)


การจัดการรหัสผ่าน(Password)เป็นเรื่องที่ ISO27001:2013 ให้ความสำคัญ เพราะรหัสผ่าน(Password)เป็นข้อมูลที่ต้องรักษาไว้เป็นความลับ(Confidential) การตั้งรหัสผ่านอย่างเหมาะสมไม่ให้รั่วไหล หรือเดาได้ง่ายเป็นมาตรการหนึ่งที่ต้องปฏิบัติในการทำระบบISO27001 Information Security Management System (ISMS)

 รหัสผ่านยอดแย่ประจำปี 2013

SplashData ได้รวบรวมข้อมูลและจัดอันดับpassword ยอดแย่ติดต่อกันมาหลายปี   โดยเก็บข้อมูลจากpasswordที่โดนเหล่าHacker ขโมยไปแล้วเอามาแฉทางเวบไซท์


ในข่าวไม่ได้แจ้งว่า SplashData จัดอันดับยังไง มีเกณฑ์อะไร ถึงสรุปว่า 123456 เป็นPassword ยอดแย่อันดับ1 !!

ผมคิดว่า SplashData คงรวบรวมทั้งหมดมาวิเคราะห์และจัดกลุ่ม  จึงได้พบว่าในกลุ่มเดาง่ายนั้นคงจะมีคำว่า "123456"  และ "password" โผล่มาเยอะเลยทีเดียว

สำหรับสุดยอด Password ยอดแย่ประจำปี 2013 ได้แก่



ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)

Posted by pryn No comments


การจัดการรหัสผ่าน(Password)เป็นเรื่องที่ ISO27001:2013 ให้ความสำคัญ เพราะรหัสผ่าน(Password)เป็นข้อมูลที่ต้องรักษาไว้เป็นความลับ(Confidential) การตั้งรหัสผ่านอย่างเหมาะสมไม่ให้รั่วไหล หรือเดาได้ง่ายเป็นมาตรการหนึ่งที่ต้องปฏิบัติในการทำระบบISO27001 Information Security Management System (ISMS)

 รหัสผ่านยอดแย่ประจำปี 2013

SplashData ได้รวบรวมข้อมูลและจัดอันดับpassword ยอดแย่ติดต่อกันมาหลายปี   โดยเก็บข้อมูลจากpasswordที่โดนเหล่าHacker ขโมยไปแล้วเอามาแฉทางเวบไซท์


ในข่าวไม่ได้แจ้งว่า SplashData จัดอันดับยังไง มีเกณฑ์อะไร ถึงสรุปว่า 123456 เป็นPassword ยอดแย่อันดับ1 !!

ผมคิดว่า SplashData คงรวบรวมทั้งหมดมาวิเคราะห์และจัดกลุ่ม  จึงได้พบว่าในกลุ่มเดาง่ายนั้นคงจะมีคำว่า "123456"  และ "password" โผล่มาเยอะเลยทีเดียว

สำหรับสุดยอด Password ยอดแย่ประจำปี 2013 ได้แก่



ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

               ภัยคุกคาม(Threat) อาจเป็นมนุษย์  ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม  การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี  หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้
-      มนุษย์ เช่น แฮกเกอร์  สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ  เป็นต้น
-      ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น
-      ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability)  เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ  ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย  กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้  

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

Posted by pryn No comments

               ภัยคุกคาม(Threat) อาจเป็นมนุษย์  ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม  การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี  หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้
-      มนุษย์ เช่น แฮกเกอร์  สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ  เป็นต้น
-      ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น
-      ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability)  เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ  ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย  กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้  

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

               ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability
ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์เครือข่าย    หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล  เป็นต้น 

-      ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ  หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้   ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ  ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน
             ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว  แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย  เช่น  ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม  และทำไปด้วยความคึกคะนอง   ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก
                 ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง   เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้  กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต    
นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น  ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret)  ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public)  ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด   พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน  มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

-      ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ   ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น  คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น
            ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย  บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้  อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล  ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้    จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

-      ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ  อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ
-     การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)
-     ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้  องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ  หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง  นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง  ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ  เกิดความสูญเสียมูลค่ามหาศาล


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

Posted by pryn No comments

               ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability
ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์เครือข่าย    หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล  เป็นต้น 

-      ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ  หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้   ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ  ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน
             ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว  แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย  เช่น  ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม  และทำไปด้วยความคึกคะนอง   ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก
                 ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง   เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้  กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต    
นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น  ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret)  ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public)  ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด   พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน  มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

-      ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ   ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น  คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น
            ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย  บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้  อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล  ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้    จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

-      ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ  อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ
-     การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)
-     ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้  องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ  หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง  นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง  ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ  เกิดความสูญเสียมูลค่ามหาศาล


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

โครงสร้างของมาตรฐาน ISO 27001

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์  ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป  คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป  ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
       pryn@ftpi.or.th 

โครงสร้างของมาตรฐาน ISO 27001

Posted by pryn No comments

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์  ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป  คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป  ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
       pryn@ftpi.or.th 

สมัครสมาชิก: ความคิดเห็น ( Atom )

Latest Tweets

ขับเคลื่อนโดย Blogger.
back to top