โลกนี้อยู่ยาก !!! เมื่อจอมแฉบันลือโลก Edward Snowden ถูกเสนอชื่อชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

ในมุมของInformation Security Management - ISO27001 มองว่า Edward Snowden เป็นภัยคุกคาม(Insider Threat)ขององค์กร(NSA) ซึ่งเป็นผู้ว่าจ้าง  ผลกระทบที่เกิดจากข้อมูลรั่วไหล (Information leak) กระทบต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง

เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

สมาชิกสภาของประเทศนอร์เวย์คือนายBård Vegard Solhjell และนายSnorre Valen ได้เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014 พร้อมทั้งบรรยายคุณงามความดี(หรือเปล่า??) ว่าการที่นาย Snowden ออกมาแฉถึงการดักฟังที่สุดแสนจะอื้อฉาวนั้นสร้างคุณประโยชน์ต่อโลกนี้สมควรได้รับรางวัลอันทรงเกียรตินี้

Edward Snowden คือใคร

ผมนั้นไม่รู้จักเฮียSnowdenเป็นการส่วนตัวก็เลยต้องใช้บริการgoogle และก็ไม่ผิดหวัง พี่google ให้คำตอบมาจนอ่านไม่หวาดไม่ไหวขอสรุปสั้นๆประมาณนี้ครับ

ชื่อ : Edward Joseph Snowden
เกิดเมื่อ :  21 June 1983
อาชีพ : อดีตลูกจ้างของ Central Intelligence Agency (หน่ายงาน CIA ) และอดีต Outsource ให้กับ  National Security Agency (NSA)
ผลงาน : เปิดโปงGlobal surveillance disclosures (2013–present) ซึ่งประกอบด้วยโครงการย่อยๆ ตัวอย่างเช่น

•     PRISM (surveillance program) : โครงการ Survillance ระดับGlobal แบบไร้พรมแดน
•     XKeyscore : โครงการดักจับข้อมูลทาง Internet มาวิเคราะห์หาความเชื่อมโยงในการสืบสวน   ต่างๆของงานด้านสายลับ
•     Tempora : โครงการดักจับข้อมูลใน fibre-optic cables
•     Project 6 : โครงการ Survillanceภายใต้ความร่วมมือกับเยอรมันเพื่อป้องกันการก่อการร้าย

   แต่ละโครงการล้วนแต่หมิ่นเหม่ต่อการละเมิดสิทธิผู้อื่น เพราะเล่นดักจับข้อมูลเอาไปวิเคราะห์โดยที่เจ้าของไม่ได้อนุญาต ทั้งข้อมูลธุรกิจ ข้อมูลส่วนตัวจิปาถะ โดนดักฟังทั้งสิ้น

   นี่แค่บางส่วนเองครับที่ผมนำมาเขียน และก็ไม่รู้ว่าที่เฮีย Snowden ยังไม่ได้แฉออกมามีอะไรให้เซอร์ไพรส์อีกบ้าง !!

ก็ต้องช่วยลุ้นเฮียเค้าล่ะครับเผลอๆ ถ้าแกได้รางวัลขึ้นมาจริงๆ อยากรู้ว่าโอบามาจะว่ายังไง ??


Source : http://news.cnet.com/8301-13578_3-57618008-38/snowden-nominated-for-nobel-peace-prize/ 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

โลกนี้อยู่ยาก !!! เมื่อจอมแฉบันลือโลก Edward Snowden ถูกเสนอชื่อชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

Posted by pryn No comments

ในมุมของInformation Security Management - ISO27001 มองว่า Edward Snowden เป็นภัยคุกคาม(Insider Threat)ขององค์กร(NSA) ซึ่งเป็นผู้ว่าจ้าง  ผลกระทบที่เกิดจากข้อมูลรั่วไหล (Information leak) กระทบต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง

เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

สมาชิกสภาของประเทศนอร์เวย์คือนายBård Vegard Solhjell และนายSnorre Valen ได้เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014 พร้อมทั้งบรรยายคุณงามความดี(หรือเปล่า??) ว่าการที่นาย Snowden ออกมาแฉถึงการดักฟังที่สุดแสนจะอื้อฉาวนั้นสร้างคุณประโยชน์ต่อโลกนี้สมควรได้รับรางวัลอันทรงเกียรตินี้

Edward Snowden คือใคร

ผมนั้นไม่รู้จักเฮียSnowdenเป็นการส่วนตัวก็เลยต้องใช้บริการgoogle และก็ไม่ผิดหวัง พี่google ให้คำตอบมาจนอ่านไม่หวาดไม่ไหวขอสรุปสั้นๆประมาณนี้ครับ

ชื่อ : Edward Joseph Snowden
เกิดเมื่อ :  21 June 1983
อาชีพ : อดีตลูกจ้างของ Central Intelligence Agency (หน่ายงาน CIA ) และอดีต Outsource ให้กับ  National Security Agency (NSA)
ผลงาน : เปิดโปงGlobal surveillance disclosures (2013–present) ซึ่งประกอบด้วยโครงการย่อยๆ ตัวอย่างเช่น

•     PRISM (surveillance program) : โครงการ Survillance ระดับGlobal แบบไร้พรมแดน
•     XKeyscore : โครงการดักจับข้อมูลทาง Internet มาวิเคราะห์หาความเชื่อมโยงในการสืบสวน   ต่างๆของงานด้านสายลับ
•     Tempora : โครงการดักจับข้อมูลใน fibre-optic cables
•     Project 6 : โครงการ Survillanceภายใต้ความร่วมมือกับเยอรมันเพื่อป้องกันการก่อการร้าย

   แต่ละโครงการล้วนแต่หมิ่นเหม่ต่อการละเมิดสิทธิผู้อื่น เพราะเล่นดักจับข้อมูลเอาไปวิเคราะห์โดยที่เจ้าของไม่ได้อนุญาต ทั้งข้อมูลธุรกิจ ข้อมูลส่วนตัวจิปาถะ โดนดักฟังทั้งสิ้น

   นี่แค่บางส่วนเองครับที่ผมนำมาเขียน และก็ไม่รู้ว่าที่เฮีย Snowden ยังไม่ได้แฉออกมามีอะไรให้เซอร์ไพรส์อีกบ้าง !!

ก็ต้องช่วยลุ้นเฮียเค้าล่ะครับเผลอๆ ถ้าแกได้รางวัลขึ้นมาจริงๆ อยากรู้ว่าโอบามาจะว่ายังไง ??


Source : http://news.cnet.com/8301-13578_3-57618008-38/snowden-nominated-for-nobel-peace-prize/ 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)

การจัดการรหัสผ่าน(Password)เป็นเรื่องที่ ISO27001:2013 ให้ความสำคัญ เพราะรหัสผ่าน(Password)เป็นข้อมูลที่ต้องรักษาไว้เป็นความลับ(Confidential) การตั้งรหัสผ่านอย่างเหมาะสมไม่ให้รั่วไหล หรือเดาได้ง่ายเป็นมาตรการหนึ่งที่ต้องปฏิบัติในการทำระบบISO27001 Information Security Management System (ISMS)

 รหัสผ่านยอดแย่ประจำปี 2013

SplashData ได้รวบรวมข้อมูลและจัดอันดับpassword ยอดแย่ติดต่อกันมาหลายปี   โดยเก็บข้อมูลจากpasswordที่โดนเหล่าHacker ขโมยไปแล้วเอามาแฉทางเวบไซท์

ในข่าวไม่ได้แจ้งว่า SplashData จัดอันดับยังไง มีเกณฑ์อะไร ถึงสรุปว่า 123456 เป็นPassword ยอดแย่อันดับ1 !!

ผมคิดว่า SplashData คงรวบรวมทั้งหมดมาวิเคราะห์และจัดกลุ่ม  จึงได้พบว่าในกลุ่มเดาง่ายนั้นคงจะมีคำว่า "123456"  และ "password" โผล่มาเยอะเลยทีเดียว

สำหรับสุดยอด Password ยอดแย่ประจำปี 2013 ได้แก่

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)

Posted by pryn No comments

การจัดการรหัสผ่าน(Password)เป็นเรื่องที่ ISO27001:2013 ให้ความสำคัญ เพราะรหัสผ่าน(Password)เป็นข้อมูลที่ต้องรักษาไว้เป็นความลับ(Confidential) การตั้งรหัสผ่านอย่างเหมาะสมไม่ให้รั่วไหล หรือเดาได้ง่ายเป็นมาตรการหนึ่งที่ต้องปฏิบัติในการทำระบบISO27001 Information Security Management System (ISMS)

 รหัสผ่านยอดแย่ประจำปี 2013

SplashData ได้รวบรวมข้อมูลและจัดอันดับpassword ยอดแย่ติดต่อกันมาหลายปี   โดยเก็บข้อมูลจากpasswordที่โดนเหล่าHacker ขโมยไปแล้วเอามาแฉทางเวบไซท์

ในข่าวไม่ได้แจ้งว่า SplashData จัดอันดับยังไง มีเกณฑ์อะไร ถึงสรุปว่า 123456 เป็นPassword ยอดแย่อันดับ1 !!

ผมคิดว่า SplashData คงรวบรวมทั้งหมดมาวิเคราะห์และจัดกลุ่ม  จึงได้พบว่าในกลุ่มเดาง่ายนั้นคงจะมีคำว่า "123456"  และ "password" โผล่มาเยอะเลยทีเดียว

สำหรับสุดยอด Password ยอดแย่ประจำปี 2013 ได้แก่

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

               ภัยคุกคาม(Threat) อาจเป็นมนุษย์  ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม  การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี  หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้

-      มนุษย์ เช่น แฮกเกอร์  สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ  เป็นต้น

-      ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น

-      ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability)  เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ  ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย  กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้  

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

Posted by pryn No comments

               ภัยคุกคาม(Threat) อาจเป็นมนุษย์  ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม  การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี  หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้

-      มนุษย์ เช่น แฮกเกอร์  สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ  เป็นต้น

-      ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น

-      ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability)  เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ  ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย  กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้  

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

               ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability) 

ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์เครือข่าย    หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล  เป็นต้น 

-      ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ  หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้   ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ  ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน

             ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว  แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย  เช่น  ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม  และทำไปด้วยความคึกคะนอง   ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก

                 ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง   เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้  กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต    

นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น  ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret)  ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public)  ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด   พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน  มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

-      ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ   ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น  คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น

            ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย  บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้  อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล  ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้    จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

-      ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ  อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ

-     การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)

-     ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้  องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ  หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง  นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง  ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ  เกิดความสูญเสียมูลค่ามหาศาล


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

Posted by pryn No comments

               ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability) 

ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์เครือข่าย    หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล  เป็นต้น 

-      ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ  หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้   ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ  ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน

             ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว  แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย  เช่น  ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม  และทำไปด้วยความคึกคะนอง   ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก

                 ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง   เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้  กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต    

นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น  ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret)  ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public)  ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด   พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน  มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

-      ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ   ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น  คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น

            ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย  บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้  อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล  ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้    จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

-      ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ  อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ

-     การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)

-     ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้  องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ  หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง  นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง  ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ  เกิดความสูญเสียมูลค่ามหาศาล


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

โครงสร้างของมาตรฐาน ISO 27001

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์  ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป  คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป  ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
       pryn@ftpi.or.th 

โครงสร้างของมาตรฐาน ISO 27001

Posted by pryn No comments

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์  ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป  คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป  ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
       pryn@ftpi.or.th