ภัยคุกคามและช่องโหว่: องค์ประกอบสำคัญในการจัดการความเสี่ยงตาม ISO 27001

 

ในบริบทของมาตรฐาน ISO 27001 ว่าด้วยระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) "ภัยคุกคาม" (Threat) และ "ช่องโหว่" (Vulnerability) เป็นสององค์ประกอบสำคัญที่เกี่ยวข้องกันอย่างใกล้ชิด และเป็นพื้นฐานสำคัญในการประเมินและจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร

ความหมายและความแตกต่าง

• ภัยคุกคาม (Threat): หมายถึง สาเหตุที่อาจเป็นไปได้ของการเกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลกระทบต่อความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพความพร้อมใช้งาน (Availability) ของสารสนเทศ ภัยคุกคามอาจมีที่มาจากหลายแหล่ง เช่น ผู้ไม่หวังดีภายในองค์กร ผู้ไม่หวังดีภายนอกองค์กร ภัยธรรมชาติ หรือความผิดพลาดของระบบ  

• ช่องโหว่ (Vulnerability): หมายถึง จุดอ่อนหรือข้อบกพร่องในสินทรัพย์ (Asset) หรือมาตรการควบคุม ซึ่งภัยคุกคามอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อก่อให้เกิดความเสียหาย ช่องโหว่อาจอยู่ในรูปแบบของความผิดพลาดในการออกแบบระบบ การตั้งค่าที่ไม่เหมาะสม หรือการขาดมาตรการควบคุมที่เพียงพอ   

ความสัมพันธ์และการนำไปใช้ใน ISO 27001

ISO 27001 กำหนดให้องค์กรต้องดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยในการประเมินความเสี่ยงนั้น องค์กรต้องพิจารณาทั้งภัยคุกคามและช่องโหว่ที่เกี่ยวข้อง    

• องค์กรต้องระบุภัยคุกคามที่อาจเกิดขึ้นกับสารสนเทศขององค์กร และวิเคราะห์ว่าภัยคุกคามเหล่านั้นมีโอกาสที่จะใช้ประโยชน์จากช่องโหว่ใดได้บ้าง

• การประเมินความเสี่ยงต้องพิจารณาทั้งโอกาสที่จะเกิดภัยคุกคาม (Likelihood) และผลกระทบ (Impact) ที่อาจเกิดขึ้นหากภัยคุกคามนั้นเกิดขึ้นจริง    

• ผลลัพธ์จากการประเมินความเสี่ยงจะนำไปใช้ในการกำหนดมาตรการควบคุมความเสี่ยงที่เหมาะสม เพื่อลดโอกาสที่จะเกิดภัยคุกคาม หรือลดผลกระทบหากเกิดเหตุการณ์ที่ไม่พึงประสงค์ขึ้น    

ผลลัพธ์และประโยชน

การทำความเข้าใจและจัดการกับภัยคุกคามและช่องโหว่อย่างมีประสิทธิภาพ ช่วยให้องค์กรสามารถ

• ระบุความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างครอบคลุมและแม่นยำ

• กำหนดมาตรการควบคุมความเสี่ยงที่ตรงจุดและมีประสิทธิภาพ

• ลดโอกาสที่จะเกิดเหตุการณ์ที่ไม่พึงประสงค์ และลดความเสียหายหากเกิดขึ้น

• สร้างระบบการจัดการความมั่นคงปลอดภัยสารสนเทศที่แข็งแกร่งและยั่งยืน

โดยสรุป ภัยคุกคามและช่องโหว่เป็นสององค์ประกอบสำคัญที่องค์กรต้องให้ความสนใจในการจัดการความเสี่ยงตามมาตรฐาน ISO 27001 การทำความเข้าใจความสัมพันธ์ระหว่างภัยคุกคามและช่องโหว่ และการนำข้อมูลเหล่านี้มาใช้ในการประเมินและจัดการความเสี่ยง จะช่วยให้องค์กรสามารถปกป้องสารสนเทศของตนเองได้อย่างมีประสิทธิภาพ

ผู้เขียน ปริญญ์ เสรีพงศ์ ที่ปรึกษา ISO 27001 pryn@sdxdataverse.com

ภัยคุกคามและช่องโหว่: องค์ประกอบสำคัญในการจัดการความเสี่ยงตาม ISO 27001

Posted by pryn No comments

 

ในบริบทของมาตรฐาน ISO 27001 ว่าด้วยระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) "ภัยคุกคาม" (Threat) และ "ช่องโหว่" (Vulnerability) เป็นสององค์ประกอบสำคัญที่เกี่ยวข้องกันอย่างใกล้ชิด และเป็นพื้นฐานสำคัญในการประเมินและจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศขององค์กร

ความหมายและความแตกต่าง

• ภัยคุกคาม (Threat): หมายถึง สาเหตุที่อาจเป็นไปได้ของการเกิดเหตุการณ์ที่ไม่พึงประสงค์ ซึ่งอาจส่งผลกระทบต่อความลับ (Confidentiality) ความถูกต้องครบถ้วน (Integrity) และสภาพความพร้อมใช้งาน (Availability) ของสารสนเทศ ภัยคุกคามอาจมีที่มาจากหลายแหล่ง เช่น ผู้ไม่หวังดีภายในองค์กร ผู้ไม่หวังดีภายนอกองค์กร ภัยธรรมชาติ หรือความผิดพลาดของระบบ  

• ช่องโหว่ (Vulnerability): หมายถึง จุดอ่อนหรือข้อบกพร่องในสินทรัพย์ (Asset) หรือมาตรการควบคุม ซึ่งภัยคุกคามอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อก่อให้เกิดความเสียหาย ช่องโหว่อาจอยู่ในรูปแบบของความผิดพลาดในการออกแบบระบบ การตั้งค่าที่ไม่เหมาะสม หรือการขาดมาตรการควบคุมที่เพียงพอ   

ความสัมพันธ์และการนำไปใช้ใน ISO 27001

ISO 27001 กำหนดให้องค์กรต้องดำเนินการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ โดยในการประเมินความเสี่ยงนั้น องค์กรต้องพิจารณาทั้งภัยคุกคามและช่องโหว่ที่เกี่ยวข้อง    

• องค์กรต้องระบุภัยคุกคามที่อาจเกิดขึ้นกับสารสนเทศขององค์กร และวิเคราะห์ว่าภัยคุกคามเหล่านั้นมีโอกาสที่จะใช้ประโยชน์จากช่องโหว่ใดได้บ้าง

• การประเมินความเสี่ยงต้องพิจารณาทั้งโอกาสที่จะเกิดภัยคุกคาม (Likelihood) และผลกระทบ (Impact) ที่อาจเกิดขึ้นหากภัยคุกคามนั้นเกิดขึ้นจริง    

• ผลลัพธ์จากการประเมินความเสี่ยงจะนำไปใช้ในการกำหนดมาตรการควบคุมความเสี่ยงที่เหมาะสม เพื่อลดโอกาสที่จะเกิดภัยคุกคาม หรือลดผลกระทบหากเกิดเหตุการณ์ที่ไม่พึงประสงค์ขึ้น    

ผลลัพธ์และประโยชน

การทำความเข้าใจและจัดการกับภัยคุกคามและช่องโหว่อย่างมีประสิทธิภาพ ช่วยให้องค์กรสามารถ

• ระบุความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศได้อย่างครอบคลุมและแม่นยำ

• กำหนดมาตรการควบคุมความเสี่ยงที่ตรงจุดและมีประสิทธิภาพ

• ลดโอกาสที่จะเกิดเหตุการณ์ที่ไม่พึงประสงค์ และลดความเสียหายหากเกิดขึ้น

• สร้างระบบการจัดการความมั่นคงปลอดภัยสารสนเทศที่แข็งแกร่งและยั่งยืน

โดยสรุป ภัยคุกคามและช่องโหว่เป็นสององค์ประกอบสำคัญที่องค์กรต้องให้ความสนใจในการจัดการความเสี่ยงตามมาตรฐาน ISO 27001 การทำความเข้าใจความสัมพันธ์ระหว่างภัยคุกคามและช่องโหว่ และการนำข้อมูลเหล่านี้มาใช้ในการประเมินและจัดการความเสี่ยง จะช่วยให้องค์กรสามารถปกป้องสารสนเทศของตนเองได้อย่างมีประสิทธิภาพ

ผู้เขียน ปริญญ์ เสรีพงศ์ ที่ปรึกษา ISO 27001 pryn@sdxdataverse.com

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

                                  ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่

• บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

         บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

• มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

        Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 

• Stakeholder มีความคาดหวังอะไรต่อองค์กร 

        แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม

• เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

         การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่ 

EP1 : การเตรียมตัวสำหรับตัวแทนฝ่ายบริหารระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ ISMR (Information Security Management Representative)

Posted by pryn 1 comment

                                  ภาพจาก https://unsplash.com/photos/m0oSTE_MjsI

ผู้เขียน ปริญญ์ เสรีพงศ์ CISA CEH ISMS(IRCA)

Email : mr.pryn@gmail.com

 ISMR จะต้องเข้าใจภาพรวมของระบบ ISO 27001  ทั้งหมด เริ่มตั้งแต่

• บริบทองค์กร คือ องค์กรก่อตั้งขึ้นมาเพื่อวัตถุประสงค์อะไร  

         บริบทองค์กร เป็นสิ่งสำคัญอย่างมากในการกำหนดวัตถุประสงค์ เป้าหมายและแนวทางการวางระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

• มี Stakeholder อะไรบ้างที่เกี่ยวข้อง  และแต่ละparties มีบทบาทอย่างไร 

        Stakeholder คือผู้ที่ได้รับผลทั้งทางตรงและทางอ้อมของการจัดการความมั่นคงปลอดภัยของสารสนเทศ 

• Stakeholder มีความคาดหวังอะไรต่อองค์กร 

        แน่นอนว่า Stakeholder ย่อมมีผลประโยชน์ทางใดทางหนึ่งจากองค์กร ดังนั้นจึงต้องทราบความคาดหวังของ Stakeholder เพื่อนำมาประกอบการกำหนดแนวทาง และมาตรการที่เหมาะสม

• เข้าใจว่าองค์กรมีระบบสารสนเทศอะไรบ้างที่ตอบสนอง stakeholder  เช่นระบบ Email สำหรับเจ้าหน้าที่และติดต่อลูกค้า, web site สำหรับลูกค้า ผู้สนใจ  เป็นต้น

         การระบุระบบสารสนเทศเป็นจุดเริ่มต้นของการประเมินความเสี่ยง โดยต้องระบุ Hardware ,Software Service ที่เกี่ยวข้องให้ครบสมบูรณ์ เพื่อใช้เป็นข้อมูลในการระบุภัยคุกคาม และช่องโหว่ 

โลกนี้อยู่ยาก !!! เมื่อจอมแฉบันลือโลก Edward Snowden ถูกเสนอชื่อชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

ในมุมของInformation Security Management - ISO27001 มองว่า Edward Snowden เป็นภัยคุกคาม(Insider Threat)ขององค์กร(NSA) ซึ่งเป็นผู้ว่าจ้าง  ผลกระทบที่เกิดจากข้อมูลรั่วไหล (Information leak) กระทบต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง

เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

สมาชิกสภาของประเทศนอร์เวย์คือนายBård Vegard Solhjell และนายSnorre Valen ได้เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014 พร้อมทั้งบรรยายคุณงามความดี(หรือเปล่า??) ว่าการที่นาย Snowden ออกมาแฉถึงการดักฟังที่สุดแสนจะอื้อฉาวนั้นสร้างคุณประโยชน์ต่อโลกนี้สมควรได้รับรางวัลอันทรงเกียรตินี้

Edward Snowden คือใคร

ผมนั้นไม่รู้จักเฮียSnowdenเป็นการส่วนตัวก็เลยต้องใช้บริการgoogle และก็ไม่ผิดหวัง พี่google ให้คำตอบมาจนอ่านไม่หวาดไม่ไหวขอสรุปสั้นๆประมาณนี้ครับ

ชื่อ : Edward Joseph Snowden
เกิดเมื่อ :  21 June 1983
อาชีพ : อดีตลูกจ้างของ Central Intelligence Agency (หน่ายงาน CIA ) และอดีต Outsource ให้กับ  National Security Agency (NSA)
ผลงาน : เปิดโปงGlobal surveillance disclosures (2013–present) ซึ่งประกอบด้วยโครงการย่อยๆ ตัวอย่างเช่น

•     PRISM (surveillance program) : โครงการ Survillance ระดับGlobal แบบไร้พรมแดน
•     XKeyscore : โครงการดักจับข้อมูลทาง Internet มาวิเคราะห์หาความเชื่อมโยงในการสืบสวน   ต่างๆของงานด้านสายลับ
•     Tempora : โครงการดักจับข้อมูลใน fibre-optic cables
•     Project 6 : โครงการ Survillanceภายใต้ความร่วมมือกับเยอรมันเพื่อป้องกันการก่อการร้าย

   แต่ละโครงการล้วนแต่หมิ่นเหม่ต่อการละเมิดสิทธิผู้อื่น เพราะเล่นดักจับข้อมูลเอาไปวิเคราะห์โดยที่เจ้าของไม่ได้อนุญาต ทั้งข้อมูลธุรกิจ ข้อมูลส่วนตัวจิปาถะ โดนดักฟังทั้งสิ้น

   นี่แค่บางส่วนเองครับที่ผมนำมาเขียน และก็ไม่รู้ว่าที่เฮีย Snowden ยังไม่ได้แฉออกมามีอะไรให้เซอร์ไพรส์อีกบ้าง !!

ก็ต้องช่วยลุ้นเฮียเค้าล่ะครับเผลอๆ ถ้าแกได้รางวัลขึ้นมาจริงๆ อยากรู้ว่าโอบามาจะว่ายังไง ??


Source : http://news.cnet.com/8301-13578_3-57618008-38/snowden-nominated-for-nobel-peace-prize/ 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

โลกนี้อยู่ยาก !!! เมื่อจอมแฉบันลือโลก Edward Snowden ถูกเสนอชื่อชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

Posted by pryn No comments

ในมุมของInformation Security Management - ISO27001 มองว่า Edward Snowden เป็นภัยคุกคาม(Insider Threat)ขององค์กร(NSA) ซึ่งเป็นผู้ว่าจ้าง  ผลกระทบที่เกิดจากข้อมูลรั่วไหล (Information leak) กระทบต่อความน่าเชื่อถือขององค์กรอย่างรุนแรง

เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014

สมาชิกสภาของประเทศนอร์เวย์คือนายBård Vegard Solhjell และนายSnorre Valen ได้เสนอชื่อ Edward Snowden เข้าชิงรางวัลโนเบลสาขาสันติภาพ ปี 2014 พร้อมทั้งบรรยายคุณงามความดี(หรือเปล่า??) ว่าการที่นาย Snowden ออกมาแฉถึงการดักฟังที่สุดแสนจะอื้อฉาวนั้นสร้างคุณประโยชน์ต่อโลกนี้สมควรได้รับรางวัลอันทรงเกียรตินี้

Edward Snowden คือใคร

ผมนั้นไม่รู้จักเฮียSnowdenเป็นการส่วนตัวก็เลยต้องใช้บริการgoogle และก็ไม่ผิดหวัง พี่google ให้คำตอบมาจนอ่านไม่หวาดไม่ไหวขอสรุปสั้นๆประมาณนี้ครับ

ชื่อ : Edward Joseph Snowden
เกิดเมื่อ :  21 June 1983
อาชีพ : อดีตลูกจ้างของ Central Intelligence Agency (หน่ายงาน CIA ) และอดีต Outsource ให้กับ  National Security Agency (NSA)
ผลงาน : เปิดโปงGlobal surveillance disclosures (2013–present) ซึ่งประกอบด้วยโครงการย่อยๆ ตัวอย่างเช่น

•     PRISM (surveillance program) : โครงการ Survillance ระดับGlobal แบบไร้พรมแดน
•     XKeyscore : โครงการดักจับข้อมูลทาง Internet มาวิเคราะห์หาความเชื่อมโยงในการสืบสวน   ต่างๆของงานด้านสายลับ
•     Tempora : โครงการดักจับข้อมูลใน fibre-optic cables
•     Project 6 : โครงการ Survillanceภายใต้ความร่วมมือกับเยอรมันเพื่อป้องกันการก่อการร้าย

   แต่ละโครงการล้วนแต่หมิ่นเหม่ต่อการละเมิดสิทธิผู้อื่น เพราะเล่นดักจับข้อมูลเอาไปวิเคราะห์โดยที่เจ้าของไม่ได้อนุญาต ทั้งข้อมูลธุรกิจ ข้อมูลส่วนตัวจิปาถะ โดนดักฟังทั้งสิ้น

   นี่แค่บางส่วนเองครับที่ผมนำมาเขียน และก็ไม่รู้ว่าที่เฮีย Snowden ยังไม่ได้แฉออกมามีอะไรให้เซอร์ไพรส์อีกบ้าง !!

ก็ต้องช่วยลุ้นเฮียเค้าล่ะครับเผลอๆ ถ้าแกได้รางวัลขึ้นมาจริงๆ อยากรู้ว่าโอบามาจะว่ายังไง ??


Source : http://news.cnet.com/8301-13578_3-57618008-38/snowden-nominated-for-nobel-peace-prize/ 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

Passwordของท่านเดาง่ายแค่ไหน ???

จากโพสก่อนนี้เรื่อง รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)   ผมเดาว่าหลายท่านคงเคยใช้Passwordเหล่านั้นเหมือนกัน ??   ถ้ายังใช้อยู่ควรจะรีบเปลี่ยนอย่างไวเลยครับ  เปลี่ยนให้มี 8 ตัวอักษรประกอบด้วยอักษรตัวเล็ก ตัวใหญ่ สัญลักษณ์ปนๆกันไป รหัสผ่านแบบนี้เดายากปลอดภัยสูงครับ  ซึ่งในการทำ ISO27001 Information Security Management ก็เน้นเรื่องนี้เช่นเดียวกัน

  วัดความแข็งแรงของรหัสผ่าน(Password)

เมื่อตั้งPassword ใหม่แล้วลองตรวจสอบดูว่าแข็งแกร่งแค่ไหน บทความนี้ผมจะแนะนำ Tool ตรวจสอบความแข็งแกร่งของ Password ครับ

Password Meter เป็นเวบไซท์ที่มี Application ตรวจสอบความแข็งแกร่งของ Password ให้บริการฟรีๆ
เจ้าโปรแกรมนี้เจ๋งใช้ได้เลยทีเดียว มี Feature ตรวจเช็คได้หลายอย่าง เช่น

• จำนวนตัวอักษร ของPassword
• อักษรตัวเล็กตัวใหญ่ (Uppercase,Lowercase letters)
• มีตัวเลข, สัญญลักษณ์ปนอยู่ด้วยหรือไม่
• ฯลฯ

นอกจากนั้นยังคำนวน score  ให้อีกด้วย  แจ๋วจริง !!

มาดูวิธีการใช้งานกันเลยครับ

การใช้งาน Password Meter

1.เข้าเวบ http://www.passwordmeter.com

2.Save หน้าเวบนี้ไว้ในเครื่องของเราเพื่อความปลอดภัย  เพราะถ้าใช้งานบนเวบ ไม่แน่ใจว่าเวบเก็บข้อมูล password เราไว้หรือเปล่า ลองคิดดูเล่นๆนะครับ สมมติว่าเวบแอบเก็บข้อมูลไว้ ก็จะได้คลัง passwordขนาดใหญ่มาฟรีๆเลยทีเดียว และแน่นอนมี password ที่ใช้งานจริงๆปนอยู่ด้วย !!!

3.เปิดไฟล์ Password Strength Checker.htm ในเครื่องเรา

4. ป้อน Password ที่ต้องการตรวจสอบ

ตัวอย่างการใช้งาน

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

Passwordของท่านเดาง่ายแค่ไหน ???

Posted by pryn No comments

จากโพสก่อนนี้เรื่อง รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)   ผมเดาว่าหลายท่านคงเคยใช้Passwordเหล่านั้นเหมือนกัน ??   ถ้ายังใช้อยู่ควรจะรีบเปลี่ยนอย่างไวเลยครับ  เปลี่ยนให้มี 8 ตัวอักษรประกอบด้วยอักษรตัวเล็ก ตัวใหญ่ สัญลักษณ์ปนๆกันไป รหัสผ่านแบบนี้เดายากปลอดภัยสูงครับ  ซึ่งในการทำ ISO27001 Information Security Management ก็เน้นเรื่องนี้เช่นเดียวกัน

  วัดความแข็งแรงของรหัสผ่าน(Password)

เมื่อตั้งPassword ใหม่แล้วลองตรวจสอบดูว่าแข็งแกร่งแค่ไหน บทความนี้ผมจะแนะนำ Tool ตรวจสอบความแข็งแกร่งของ Password ครับ

Password Meter เป็นเวบไซท์ที่มี Application ตรวจสอบความแข็งแกร่งของ Password ให้บริการฟรีๆ
เจ้าโปรแกรมนี้เจ๋งใช้ได้เลยทีเดียว มี Feature ตรวจเช็คได้หลายอย่าง เช่น

• จำนวนตัวอักษร ของPassword
• อักษรตัวเล็กตัวใหญ่ (Uppercase,Lowercase letters)
• มีตัวเลข, สัญญลักษณ์ปนอยู่ด้วยหรือไม่
• ฯลฯ

นอกจากนั้นยังคำนวน score  ให้อีกด้วย  แจ๋วจริง !!

มาดูวิธีการใช้งานกันเลยครับ

การใช้งาน Password Meter

1.เข้าเวบ http://www.passwordmeter.com

2.Save หน้าเวบนี้ไว้ในเครื่องของเราเพื่อความปลอดภัย  เพราะถ้าใช้งานบนเวบ ไม่แน่ใจว่าเวบเก็บข้อมูล password เราไว้หรือเปล่า ลองคิดดูเล่นๆนะครับ สมมติว่าเวบแอบเก็บข้อมูลไว้ ก็จะได้คลัง passwordขนาดใหญ่มาฟรีๆเลยทีเดียว และแน่นอนมี password ที่ใช้งานจริงๆปนอยู่ด้วย !!!

3.เปิดไฟล์ Password Strength Checker.htm ในเครื่องเรา

4. ป้อน Password ที่ต้องการตรวจสอบ

ตัวอย่างการใช้งาน

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)

การจัดการรหัสผ่าน(Password)เป็นเรื่องที่ ISO27001:2013 ให้ความสำคัญ เพราะรหัสผ่าน(Password)เป็นข้อมูลที่ต้องรักษาไว้เป็นความลับ(Confidential) การตั้งรหัสผ่านอย่างเหมาะสมไม่ให้รั่วไหล หรือเดาได้ง่ายเป็นมาตรการหนึ่งที่ต้องปฏิบัติในการทำระบบISO27001 Information Security Management System (ISMS)

 รหัสผ่านยอดแย่ประจำปี 2013

SplashData ได้รวบรวมข้อมูลและจัดอันดับpassword ยอดแย่ติดต่อกันมาหลายปี   โดยเก็บข้อมูลจากpasswordที่โดนเหล่าHacker ขโมยไปแล้วเอามาแฉทางเวบไซท์

ในข่าวไม่ได้แจ้งว่า SplashData จัดอันดับยังไง มีเกณฑ์อะไร ถึงสรุปว่า 123456 เป็นPassword ยอดแย่อันดับ1 !!

ผมคิดว่า SplashData คงรวบรวมทั้งหมดมาวิเคราะห์และจัดกลุ่ม  จึงได้พบว่าในกลุ่มเดาง่ายนั้นคงจะมีคำว่า "123456"  และ "password" โผล่มาเยอะเลยทีเดียว

สำหรับสุดยอด Password ยอดแย่ประจำปี 2013 ได้แก่

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

รหัสผ่านยอดแย่ประจำปี 2013 (The 2013 list of worst passwords)

Posted by pryn No comments

การจัดการรหัสผ่าน(Password)เป็นเรื่องที่ ISO27001:2013 ให้ความสำคัญ เพราะรหัสผ่าน(Password)เป็นข้อมูลที่ต้องรักษาไว้เป็นความลับ(Confidential) การตั้งรหัสผ่านอย่างเหมาะสมไม่ให้รั่วไหล หรือเดาได้ง่ายเป็นมาตรการหนึ่งที่ต้องปฏิบัติในการทำระบบISO27001 Information Security Management System (ISMS)

 รหัสผ่านยอดแย่ประจำปี 2013

SplashData ได้รวบรวมข้อมูลและจัดอันดับpassword ยอดแย่ติดต่อกันมาหลายปี   โดยเก็บข้อมูลจากpasswordที่โดนเหล่าHacker ขโมยไปแล้วเอามาแฉทางเวบไซท์

ในข่าวไม่ได้แจ้งว่า SplashData จัดอันดับยังไง มีเกณฑ์อะไร ถึงสรุปว่า 123456 เป็นPassword ยอดแย่อันดับ1 !!

ผมคิดว่า SplashData คงรวบรวมทั้งหมดมาวิเคราะห์และจัดกลุ่ม  จึงได้พบว่าในกลุ่มเดาง่ายนั้นคงจะมีคำว่า "123456"  และ "password" โผล่มาเยอะเลยทีเดียว

สำหรับสุดยอด Password ยอดแย่ประจำปี 2013 ได้แก่

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

               ภัยคุกคาม(Threat) อาจเป็นมนุษย์  ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม  การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี  หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้

-      มนุษย์ เช่น แฮกเกอร์  สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ  เป็นต้น

-      ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น

-      ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability)  เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ  ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย  กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้  

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

ภัยคุกคาม และช่องโหว่ (Threat and Vulnerability)

Posted by pryn No comments

               ภัยคุกคาม(Threat) อาจเป็นมนุษย์  ภัยธรรมชาติ หรือปัจจัยอื่นๆ ที่มีแนวโน้มที่จะก่อให้เกิดความเสียหายได้ ทั้งที่เจตนาสร้างความเสียหายหรือไม่ก็ตาม  การทำความเข้าใจและตระหนักถึงภัยคุกคามจะช่วยให้เข้าใจองค์ประกอบที่เกี่ยวข้องกันทั้งระบบได้เป็นอย่างดี  หากจำแนกแหล่งกำเนิดของภัยคุกคาม อาจแบ่งได้ดังนี้

-      มนุษย์ เช่น แฮกเกอร์  สายลับ ผู้ก่อการร้าย ผู้ไม่ประสงค์ดีที่โจมตีระบบสารสนเทศ ไวรัส โปรแกรมไม่ประสงค์ดีต่างๆ  เป็นต้น

-      ภัยธรรมชาติ เช่นน้ำท่วม ฟ้าผ่า พายุ แผ่นดินไหว เป็นต้น

-      ข้อผิดพลาดทางเทคนิค เช่น อุปกรณ์ชำรุด เสื่อมสภาพ หรือทำงานผิดพลาด เป็นต้น

ช่องโหว่(Vulnerability)  เป็นองค์ประกอบที่สำคัญของการศึกษาเรื่องความมั่นคงปลอดภัยของสารสนเทศ  ภัยคุกคามที่กล่าวมาข้างต้นจะใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างความเสียหาย ดังนั้นหากช่องโหว่มีจำนวนมาก โอกาสที่ภัยคุกคามจะสร้างความเสียหายจากช่องโหว่ดังกล่าวก็มากตามไปด้วย  กล่าวได้ว่าหากไม่มีช่องโหว่หรือจุดอ่อน ภัยคุกคามก็ไม่สามารถทำอันตรายแก่ระบบสารสนเทศได้  

ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

               ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability) 

ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์เครือข่าย    หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล  เป็นต้น 

-      ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ  หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้   ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ  ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน

             ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว  แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย  เช่น  ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม  และทำไปด้วยความคึกคะนอง   ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก

                 ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง   เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้  กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต    

นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น  ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret)  ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public)  ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด   พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน  มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

-      ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ   ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น  คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น

            ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย  บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้  อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล  ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้    จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

-      ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ  อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ

-     การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)

-     ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้  องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ  หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง  นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง  ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ  เกิดความสูญเสียมูลค่ามหาศาล


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ

Posted by pryn No comments

               ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability) 

ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์  อุปกรณ์เครือข่าย    หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล  เป็นต้น 

-      ความลับ (Confidentiality)

การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ  หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้   ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ  ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน

             ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว  แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย  เช่น  ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม  และทำไปด้วยความคึกคะนอง   ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก

                 ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง   เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้  กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต    

นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น  ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret)  ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public)  ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด   พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน  มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด

-      ความถูกต้องสมบูรณ์ (Integrity)

การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ   ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น  คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น

            ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย  บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้  อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล  ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้    จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้

-      ความพร้อมใช้งาน (Availability)

การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ  อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ

-     การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)

-     ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)

ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้  องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ  หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง  นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง  ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ  เกิดความสูญเสียมูลค่ามหาศาล


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
pryn@ftpi.or.th 

โครงสร้างของมาตรฐาน ISO 27001

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์  ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป  คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป  ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
       pryn@ftpi.or.th 

โครงสร้างของมาตรฐาน ISO 27001

Posted by pryn No comments

ISO 27001 (Information Security Management System-ISMS)มาตรฐานการจัดการความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วยข้อกำหนดที่ครอบคลุมถึงการ จัดทำ นำไปปฏิบัติ ทบทวนและเฝ้าระวัง รักษาความต่อเนื่อง รวมถึงปรับปรุงระบบให้สอดคล้องกับสถานะการณ์  ผู้ที่ประยุกต์ใช้มาตรฐานนี้ต้องจัดทำเอกสารให้ครอบคลุมข้อกำหนดข้างต้น และระบบที่จัดทำขึ้นนี้จะต้องเหมาะสมกับความเสี่ยงเชิงธุรกิจขององค์กร

มาตรฐานนี้ใช้แนวทาง PDCA (Plan-Do-Check-Act) เป็นโครงสร้างเช่นเดียวกับมาตรฐานที่รู้จักกันอย่างแพร่หลาย เช่น ISO 9001(Quality Management System-QMS) ISO14001(Environmental Management System-EMS) ดังนั้นองค์กรที่มีระบบ QMS,EMS อยู่แล้วสามารถเข้าใจแนวทางของ ISMS ได้ไม่ยากนัก เพียงแต่เปลี่ยนมุมมองมาสนใจที่ Information และวางแนวทางบริหารให้เกิดความมั่นคงปลอดภัย โดยผ่านกระบวนการ วางแผน (Plan) นำไปปฏิบัติ(Do) ทบทวนและตรวจสอบ(Check) และแก้ไขปรับปรุง (Act)

จะเห็นได้ว่าหลักการ PCDA สอดคล้องกับสามัญสำนึกทั่วไป  คือก่อนทำอะไรควรมีการวางแผนล่วงหน้า พิจารณาให้รอบคอบแล้วลงจึงมือทำตามแผน หลังจากนั้นก็ตรวจสอบผลลัพธ์ว่าเป็นไปตามแผนที่วางไว้หรือไม่ หากไม่เป็นไปตามแผนก็ต้องแก้ไขปรับปรุง และนำบทเรียนมาพิจารณาในการวางแผนก่อนทำงานครั้งต่อไป  ซึ่งแนวคิดนี้สามารถประยุกต์ใช้ในการทำมาตรฐาน ISO/IEC 27001 ได้เป็นอย่างดี

การที่องค์กรหนึ่งผ่านการรับรองมาตรฐานระบบการความมั่นคงปลอดภัยของสารสนเทศ ISO 27001 นั้นหมายถึง องค์กรดังกล่าวได้นำข้อกำหนดของมาตรฐาน ISO 27001 มาประยุกต์ใช้อย่างครบถ้วน และมีหลักฐานที่เป็นรูปธรรมให้เชื่อได้ว่าองค์กรดังกล่าวมีระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศที่ได้มาตรฐานสากล 


ผู้เขียน : Pryn Sereepong, CISA, CEH, ISMS(IRCA)
       pryn@ftpi.or.th