เอกสารอิ เ ล็ ก ทรอนิ ก ส ข องมหาวิ ท ยาลั ย สุ โ ขทั ย ธรรมาธิ ร าชฉบั บ นี้ ได รั บ การสงวนลิ ข สิ ท ธิ์ แ ละคุ ม ครองภายใต ก ฎหมายลิ ข สิ ท ธิ์ รวมทั้ ง สนธิ สั ญ ญาว า ด ว ยทรั พ ย สิ น ทางป ญ ญา
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
หน่วยที่
9
ธ ส
ม
ระบบความมั่นคงปลอดภัย ของธุรกิจอิเล็กทรอนิกส์
ม
ธ ส
ม
ม
ธ ส
ชื่อ วุฒ ิ ตำ�แหน่ง หน่วยที่เขียน
ธ ส
ม
ธ ส
ม
ธ ส
ธ ส
ม
อาจารย์ปริญญา หอมเอนก
ธ ส
ม ม
ธ ส
อาจารย์ปริญญา หอมเอนก วศ.บ. (ไฟฟ้าส ื่อสาร) จุฬาลงกรณ์มหาวิทยาลัย M.B.A. (MBA) Assumption University (ABAC) ประธานศูนย์ฝ ึกอบรมระบบเครือข่ายคอมพิวเตอร์และความปลอดภัย ข้อมูล (ACIS Professional Center) หน่วยที่ 9
ม
9-1
9-2
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
หน่วยที่ 9
ธ ส
ม
ระบบความมั่นคงปลอดภัย ของธุรกิจอิเล็กทรอนิกส์
ม
เค้าโครงเนื้อหา
แนวคิด
ม
ม
ตอนที่ 9.1 แนวคิดระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 9.1.1 คุณสมบัติด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 9.1.2 ปัญหาด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 9.1.3 ภัยอันตรายด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ ตอนที่ 9.2 มาตรฐานระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 9.2.1 มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ 9.2.2 ข้อกำ�หนดมาตรฐานในการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัย สารสนเทศ ตอนที่ 9.3 มาตรการรักษาความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 9.3.1 การประเมินค วามเสีย่ งและจดั การความเสีย่ งดา้ นความมัน่ คงปลอดภัยข องธรุ กิจ อิเล็กทรอนิกส์ 9.3.2 การพิจารณามาตรการรักษาความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ธ ส
ม
ธ ส
ธ ส
ธ ส
ธ ส
ม
ธ ส
ม
ธ ส
1. ระบบความมั่นคงปลอดภัยด ้านสารสนเทศเป็นส ิ่งจ ำ�เป็นส ำ�หรับธ ุรกิจอ ิเล็กทรอนิกส์ โดย ต้องมีการพิจารณาเรื่องคุณสมบัติหลักด้านความมั่นคงปลอดภัยสารสนเทศ ประกอบ ด้วย การรักษาความลับ การรักษาความครบถ้วน และการรักษาสภาพพร้อมใช้งาน รวม ถึงการพิจารณาภัยอันตรายและภัยความเสี่ยง อันเนื่องมาจากภัยคุกคามและช่องโหว่ ของทรัพย์สินสารสนเทศ และปัญหาด้านความมั่นคงปลอดภัยขององค์กร เพื่อจัดทำ�ข้อ กำ�หนดด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 2. มาตรฐาน ISO/IEC 27001 หรือไอเอสเอ็มเอส เป็นมาตรฐานสำ�คัญในการจัดทำ�ระบบ บริหารจัดการความมั่นคงปลอดภัยสารสนเทศสำ�หรับธุรกิจอิเล็กทรอนิกส์ โดยประยุกต์ ใช้ก ระบวนการพดี ซี เีอซึ่งเป็นว งจรสำ�หรับก ารบริหารจัดการทีใ่ ช้ใ นมาตรฐานสากล ในการ กำ�หนดระยะเวลา และกิจกรรม 4 ขั้นต อนหลัก เพื่อด ำ�เนินก ารพัฒนาระบบไอเอสเอ็มเอส
ม
ม
ธ ส
ม
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ธ ส
ม
ม
ธ ส
ธ ส
ม
การนำ�ไปปฏิบัติ การตรวจสอบ และการปรับปรุง เป็นวงจรพัฒนาต่อเนื่องในการปรับปรุง ประสิทธิผลและประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ สำ�หรับระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ 3. การประเมินความเสี่ยงและการจัดการความเสี่ยง เป็นก ิจกรรมสำ�คัญเพื่อพิจารณาเลือก มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002 ในการควบคุมและจัดการความเสี่ยงตามสภาพปัจจัยความเสี่ยงของ ธุรกิจอ ิเล็กทรอนิกส์
ธ ส
วัตถุประสงค์
ม
9-3
ม
ธ ส
ธ ส
ม
เมื่อศ ึกษาหน่วยที่ 9 จบแล้ว นักศึกษาสามารถ 1. อธิบายแนวคิดและมาตรฐานระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ได้ 2. อธิบายการประยุกต์ใช้มาตรการรักษาความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ได้ 3. อธิบายแนวปฏิบัติในการพัฒนาระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ได้
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
9-4
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ตอนที่ 9.1
ธ ส
ม
ธ ส
แนวคิดระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
โปรดอ่านแผนการสอนประจำ�ตอนที่ 9.1 แล้วจ ึงศึกษาเนื้อหาสาระ พร้อมปฏิบัติกิจกรรมในแต่ละเรื่อง
ม
หัวเรื่อง
แนวคิด
ธ ส
เรื่องที่ 9.1.1 คุณสมบัติด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ เรื่องที่ 9.1.2 ปัญหาด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ เรื่องที่ 9.1.3 ภัยอันตรายด้านความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ธ ส
ม
ธ ส
1. คุ ณ สมบั ติ ห ลั ก ใ นก ารส ร้ า งค วามมั่ น คงป ลอดภั ย ด้ า นส ารสนเทศสำ � หรั บ ธุ ร กิ จ อิเล็กทรอนิกส์ ประกอบด้วย การรักษาความลับ การรักษาความครบถ้วน และการรักษา สภาพความพร้อมใช้งาน 2. ปญ ั หาดา้ นความมัน่ คงปลอดภัยข องธรุ กิจอ เิ ล็กทรอนิกส์ ต้องค�ำ นึงถ งึ อ งค์ป ระกอบ 3 ด้าน ได้แก่ “เทคโนโลยี” “กระบวนการ” และ “คน” เพื่อพ ิจารณาความสมดุลใ นการจัดการด้าน ความมั่นคงปลอดภัยข องธุรกิจอ ิเล็กทรอนิกส์ โดยมี “คน” เป็นป ัจจัยส ำ�คัญส ุดที่ต้องได้ รับก ารฝึกอ บรมและการสร้างความตระหนักด ้านความมั่นคงปลอดภัย เพื่อใ ห้ส ามารถใช้ งานเทคโนโลยีแ ละปฏิบตั ติ ามกระบวนการและนโยบายดา้ นความมัน่ คงปลอดภัยไ ด้อ ย่าง มีประสิทธิภาพ 3. ภัยความเสี่ยงอันเนื่องมาจากภัยคุกคามและช่องโหว่ของทรัพย์สินสารสนเทศ เป็นภัย อันตรายของธุรกิจอิเล็กทรอนิกส์ ซึ่งองค์กรจำ�เป็นต้องมีการประเมินความเสี่ยง โดยมี การระบุปัจจัยเสี่ยง ได้แก่ สามารถระบุรายการทรัพย์สินสารสนเทศที่อยู่ในขอบเขตการ ประเมินความเสี่ยง การระบุภัยค ุกคามและช่องโหว่ เพื่อให้สามารถจัดทำ�ข้อกำ�หนดด้าน ความมั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์ได้อย่างเหมาะสม
ม
ม
ธ ส
ธ ส
ม
ธ ส
วัตถุประสงค์
ม
ม
ธ ส
เมื่อศึกษาตอนที่ 9.1 จบแล้ว นักศึกษาสามารถ 1. อธิบายหลักการและคุณสมบัติด้านความมั่นคงปลอดภัยสารสนเทศได้ 2. อธิบายมุมมองในการจัดการปัญหาด้านความมั่นคงปลอดภัยได้ 3. อธิบายองค์ป ระกอบของปัจจัยเสี่ยงและข้อกำ�หนดด้านความมั่นคงปลอดภัยได้
ม
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-5
ธ ส
เรื่องที่ 9.1.1 คุณสมบัติด้านความมั่นคงปลอดภัยของธุรกิจ อิเล็กทรอนิกส์
ธ ส
ม
ม
ความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์เป็นสิ่งจำ�เป็นสำ�หรับพื้นฐานการดำ�เนินธุรกิจใน ปัจจุบันที่มีการติดต่อสื่อสารและประกอบธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งหลายปีที่ผ่านมานับตั้งแต่ก่อน และหลังปี ค.ศ. 2000 (ยุค Y2K) องค์กรต่างๆ มุ่งเน้นที่ความมั่นคงปลอดภัยข องระบบโครงสร้างพื้นฐาน ด้านเทคโนโลยีสารสนเทศหรือระบบเทคโนโลยีสารสนเทศ (IT security) แต่ปัจจุบันก ารรักษาความมั่นคง ปลอดภัยต้องมุ่งเน้นที่ร ะบบสารสนเทศในระดับสารสนเทศ (information security) เพราะ “สารสนเทศ” (information) เป็นหัวใจสำ�คัญในการดำ�เนินธุรกิจให้มีความต่อเนื่องอย่างยั่งยืน เพราะหากปกป้องระบบ เทคโนโลยีสารสนเทศที่เป็นเกราะภายนอกได้ แต่ไม่สามารถปกป้องความมั่นคงปลอดภัยของสารสนเทศ ซึ่งเป็นแ กนภายในของระบบเทคโนโลยีสารสนเทศ ก็อาจจะส่งผลกระทบต่อข้อมูลทางธุรกิจและการดำ�เนิน ธุรกิจขององค์กร ดังน ั้น การรักษาความมั่นคงปลอดภัยด้านสารสนเทศ จึงเป็นเรื่องสำ�คัญและถือเป็นหัวใจ สำ�คัญของความมั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์ ความมั่นคงปลอดภัยด ้านสารสนเทศ หรือค วามมั่นคงปลอดภัยข องระบบสารสนเทศ หมายถึง การ ธำ�รงไว้ซ ึ่งค วามลับ (confidentiality) ความถูกต ้องครบถ้วน (integrity) และสภาพพร้อมใช้ง าน (availability) ของสารสนเทศ เพื่อก ารป้องกันท รัพย์สินสารสนเทศจากการเข้าถึง ใช้ เปิดเผย ขัดขวาง เปลี่ยนแปลง แก้ไข ทำ�ให้สูญหาย ทำ�ให้เสียหาย ถูกทำ�ลาย หรือล่วงรู้โดยมิชอบ รวมทั้งคุณสมบัติอื่น ได้แก่ ความถูกต้อง แท้จริง (authenticity) ความรับผิด (accountability) การห้ามปฏิเสธความรับผิด (non-repudiation) และความน่าเชื่อถ ือ (reliability) ทรั พ ย์ สิ น ส ารสนเทศ หมายถึ ง ระบบเ ครื อ ข่ า ยค อมพิ ว เตอร์ ระบบค อมพิ ว เตอร์ ระบบง าน คอมพิวเตอร์ ระบบสารสนเทศ เครื่องคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ เครื่องบันทึกข้อมูล ข้อมูล สารสนเทศ ข้อมูลอ ิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ คุณสมบัติหลักของความมั่นคงปลอดภัยด้านสารสนเทศสำ�หรับธุรกิจอิเล็กทรอนิกส์ ประกอบด้วย องค์ป ระกอบ 3 ด้าน ได้แก่ การรักษาความลับ (Confidentiality - C) การรักษาความครบถ้วน (Integrity - I) และการรักษาสภาพพร้อมใช้ง าน (Availability - A) รวมเรียกว่า “CIA Triad” (ภาพที่ 9.1) เป็นอ งค์ป ระกอบ สำ�คัญของความมั่นคงปลอดภัยด้านสารสนเทศที่เป็นพื้นฐานสำ�คัญในการป้องกันทรัพย์สินสารสนเทศใน ธุรกิจอิเล็กทรอนิกส์ขององค์กร
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
9-6
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ธ ส
ภาพที่ 9.1 คุณสมบัตหิ ลักของความมั่นคงปลอดภัยด้านสารสนเทศสำ�หรับธุรกิจอิเล็กทรอนิกส์
ธ ส
1. การรักษาความลับ
ม
การรกั ษาความลบั (Confidentiality - C) หมายถงึ การรกั ษาหรือส งวนไว้เพือ่ ป อ้ งกันร ะบบเครือข า่ ย คอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูล อิเล็กทรอนิกส์ หรือข้อมูลคอมพิวเตอร์ จากการเข้าถึง ใช้ หรือเปิดเผยโดยบุคคลซึ่งไม่ได้รับอนุญาต กล่าวคือ C = “Confidentiality” เป็นการรักษาซึ่ง “ความลับ” (secret) ของข้อมูลและสารสนเทศ ของธรุ กิจอ เิ ล็กทรอนิกส์ หากขอ้ มูลท ถี่ กู ผ ไู้ ม่มสี ทิ ธิเข้าม าแอบอา่ นหรือถ กู แ ฮกเกอร์ (hacker) ลับล อบเข้าถ งึ ไ ด้ หรือข ้อมูลถ ูกเปิดเผย ความลับก จ็ ะไม่เป็นค วามลับอ ีกต ่อไ ป องค์กรจึงต ้องพยายามทีจ่ ะรักษาไว้ซ ึ่งก ารรักษา ความลบั โดยใช้เทคโนโลยีต า่ งๆ เข้าม าชว่ ย อาทิ เทคโนโลยีก ารเข้าร หัส (cryptography) ซึง่ พ ดู ถ งึ ก ารเข้าร หัส และถอดรหัสข้อมูล (encryption and decryption) เป็นพื้นฐานสำ�คัญของการศึกษา เทคโนโลยีที่ใช้ในทาง ปฏิบัติจ ริง เช่น เครือข ่ายส่วนบุคคลเสมือนจริงห รือว ีพ ีเอ็น (Virtual Private Network – VPN) เอสเอสแอล (Secure Socket Layer – SSL) หรือพีเคไอ (Public Key Infrastructure – PKI) เป็นต้น ล้วนแต่ต้องการ ความรู้ด ้านเทคโนโลยีก ารเข้ารหัส โดยมีวัตถุประสงค์สำ�คัญเพื่อรักษาซึ่งความลับของข้อมูลและสารสนเทศ ทั้งนี้ มีหลักการที่สัมพันธ์กันในเรื่องการรักษาความลับ คือ ความเป็นเจ้าของข้อมูล เพื่อให้มีการ รักษาความลับและปกป้องข้อมูล โดยให้ม ีเจ้าภ าพหรือผู้เป็นเจ้าของข้อมูล (data/information owner) ระบุ ให้ส ิทธิผู้ที่จะสามารถเข้าถึงห รือเข้าใช้ข้อมูลน ั้นได้
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
2. การรักษาความครบถ้วน
ม
9-7
ธ ส
การรักษาความครบถ้วน (Integrity-I) หมายถึง การดำ�เนินการเพื่อให้ข้อมูลสารสนเทศ ข้อมูล อิเล็กทรอนิกส์ หรือข้อมูลค อมพิวเตอร์ อยู่ในสภาพสมบูรณ์ขณะที่มีการใช้งาน ประมวลผล โอน หรือ เก็บ รักษา เพื่อมิให้มีการเปลี่ยนแปลงแก้ไข ทำ�ให้สูญหาย ทำ�ให้เสียหาย หรือ ถูกทำ�ลายโดยไม่ได้รับอนุญาต หรือโดยมิชอบ กล่าวคือ I = “Integrity” เป็นการรักษาซึ่งค วามแท้จริงข องข้อมูล ความถูกต ้องครบถ้วนของข้อมูล เพื่อให้แน่ใจว่าข้อมูลที่ถูกต้องขององค์กรจะไม่ถูกแก้ไขโดยผู้ที่ไม่มีสิทธิ์ ผู้ที่ไม่ได้รับอนุญาต หรือไม่ถูก เปลี่ยนแปลงโดยแฮกเกอร์ แครกเกอร์ หรือผ ู้บ ุกรุก (hacker/cracker/intruder) เพราะหากข้อมูลที่มีความ สำ�คัญโดยเฉพาะข้อมูลท ี่เกี่ยวข้องกับทางด้านการเงินหรือแผนธุรกิจ นั้นถูกเปลี่ยนแปลงแก้ไขจะส่งผลเสีย ให้ก ับองค์กรอย่างมากเพราะข้อมูลนั้นเชื่อถือไ ม่ได้ การทเี่ ครือ่ งคอมพิวเตอร์ท ใี่ ช้ใ นองค์กรมไี ฟล์แ ปลกๆ มาอยูใ่ นฮาร์ดดิสก์ หรือ ติดไ วรัสค อมพิวเตอร์ ก็หมายถึง การสูญเสียการรักษาความครบถ้วนเช่นกัน ดังนั้น จึงต้องมีการตรวจสอบการรักษาความครบ ถ้วนของไฟล์ข้อมูลในฮาร์ดดิสก์อย่างสม่ำ�เสมอ โดยใช้โปรแกรมจำ�พวกตรวจสอบการรักษาความครบถ้วน (integrity checker) ที่ส ามารถคำ�นวณค่า “checksum” ให้ก ับไ ฟล์ข ้อมูลข องเราเพื่อน ำ�มาเปรียบเทียบเวลา ที่ไ ฟล์มีการเปลี่ยนแปลงเกิดขึ้น ตัวอย่างเช่น โปรแกรมทริปไวร์ (Tripwire) เป็นต้น เทคโนโลยีท นี่ ำ�มาใช้ใ นการรักษาความครบถ้วนของข้อมูล อาทิ พีเคไอ (Public Key Infrastructure – PKI) โดยใช้ก รรมวิธีในการจัดการเพื่อตรวจสอบความถูกต ้องของข้อมูล อาทิ แฮช (hash) เรียกว่า การแฮช (hashing) หรือฟังก์ชันแ ฮช (hash function) และลายมือชื่อดิจิทัล (digital signatures) ซึ่งเป็นกรรมวิธี หนึ่งใ นการจัดการตามรูปแบบการเข้ารหัสข้อมูลและใช้ตรวจสอบยืนยันความถูกต้องของข้อมูล ทั้งนี้ มีหลักการที่สัมพันธ์ในเรื่องการรักษาความครบถ้วน คือ การพิสูจน์ตัวตน (authentication) เพื่อให้มีการพิสูจน์ยืนยันความเป็นตัวตน (identity) ของผู้มีสิทธิ์ในการเข้าถึงข้อมูลหรือใช้งานระบบ สารสนเทศ
ธ ส
ม
ธ ส
ม
ธ ส
3. การรักษาสภาพพร้อมใช้งาน
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
การรักษาสภาพพร้อมใช้ง าน (Availability - A) หมายถึง การจัดท ำ�ให้ท รัพย์สินส ารสนเทศสามารถ ทำ�งาน เข้าถึง หรือใช้งานได้ในเวลาที่ต ้องการ กล่าวคือ A = “Availability” เป็นการรักษาสภาพความพร้อมใช้งานของระบบคอมพิวเตอร์ ซึ่ง ครอบคลุมถ ึงส ารสนเทศและระบบสารสนเทศ ให้ผ ูท้ ีม่ สี ิทธิส์ ามารถเข้าใ ช้ง านได้ใ นเวลาทีต่ ้องการ ทั้งนี้ ระบบ ต้องมีค วามสามารถในการรองรับเพื่อก ารใช้ง านอยู่เสมอ มิใช่ว ่าร ะบบดีบ ้างล่มบ ้าง หรือ เมื่อเกิดป ัญหาระบบ ล่มแล้ว ไม่มีร ะบบสำ�รองไว้ใช้ง านหรือกว่าจะกู้ร ะบบได้ก็ใช้ระยะเวลานาน ทำ�ให้เกิด “downtime” ซึ่งเป็น ต้นเหตุทำ�ให้ธุรกิจติดขัด หยุดชะงัก หรือไ ม่สามารถดำ�เนินงานต่อไปได้
ม
ม
ธ ส
ม
9-8
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
เทคโนโลยีห รือเทคนิคท ี่ส ามารถนำ�มาใช้เพื่อส ร้างความพร้อมใช้ง าน อาทิ การทำ�ซ้ำ� (redundancy) เพื่อใ ห้ส ามารถมีข ้อมูลห รือข ้อมูลส ำ�รองที่ส ามารถพร้อมใช้ง านได้เมื่อม ีเหตุการณ์ฉ ุกเฉิน หลักก ารที่ส ัมพันธ์ ในเรื่องการรักษาสภาพพร้อมใช้งาน คือ การจัดเตรียมข้อมูลที่พร้อมใช้งาน (utility – usefulness of data) และแผนรองรับก รณีฉุกเฉิน (contingency plan) องค์กรควรมีระบบสำ�รอง แผนป้องกันระบบล่ม แผน ฉุกเฉิน รวมทั้งแ ผนรองรับค วามต่อเนื่องในการดำ�เนินธ ุรกิจ (Business Continuity Plan – BCP) และแผน กู้คืนระบบ (Disaster Recovery Plan – DRP)
ธ ส
ม
ธ ส
ม
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.1.1 แล้วโปรดปฏิบัตกิ ิจกรรม 9.1.1 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.1 เรื่องที่ 9.1.1
ม
ธ ส
เรื่องที่ 9.1.2 ปัญหาด้านความมั่นคงปลอดภัยของธุรกิจ อิเล็กทรอนิกส์
ธ ส
ม
ธ ส
ม
ปัญหาของระบบความมั่นคงปลอดภัยข องธุรกิจอ ิเล็กทรอนิกส์ใ นทุกว ันน ี้ ส่วนใหญ่เกิดจ าก “ความ เข้าใจผิด” (myth) ในเรื่องการบริหารจัดการเทคโนโลยีค วามมั่นคงปลอดภัย ดังก รณีต ัวอย่าง 3 ปัญหาหลักท ี่ ผูด้ ูแลระบบในองค์กรกำ�ลังเผชิญอ ยู่ใ นเวลานี้ ได้แก่ 1) ปัญหาไวรัสค อมพิวเตอร์ 2) ปัญหาสแปมเมล (spam mail) และ 3) ปัญหาการถูกบุกรุกจ ากแฮกเกอร์ ความเข้าใจผิด ก็คือ ผู้บริหารองค์กรมักคิดว่าการจัดซื้อจัดจ้างโปรแกรมกำ�จัดไวรัสคอมพิวเตอร์ (anti-virus software) หรือ การจัดซื้อไฟร์วอลล์ (firewall) และระบบตรวจจับผู้บุกรุกหรือไอดีเอส (Intrusion Detection System – IDS) เหล่านั้นก็น่าจะเพียงพอในการป้องกันระบบขององค์กรให้ปลอดภัย จากปัญหาดังกล่าว เนื่องจากหลังจ ากการติดตั้งร ะบบรักษาความปลอดภัยต่างๆ เหล่าน ั้น ไม่ว่าจะเป็นโปรแกรมตรวจ จับไวรัส ระบบไฟร์วอลล์ หรือระบบตรวจจับผ ู้บุกรุก ได้ระยะหนึ่งพบว่าป ัญหาทั้ง 3 ยังคงอยู่และดูเหมือน ว่าระบบป้องกันที่ไ ด้ลงทุนลงไปนั้นกลับไม่เกิดผลดังที่ได้ตั้งใจไว้ หรือ ผลที่ได้ไม่คุ้มค่ากับค ่าเงินที่ลงทุนไป (Return on Investment – ROI) ต้นเหตุของปัญหาที่ยังคงอยู่นั้นเกิดจากความเข้าใจผิดที่ผู้บริหารมักคิดว่า การนำ�เทคโนโลยี การป้องกันระบบความมั่นคงปลอดภัยมาใช้ น่าจะเพียงพอกับการป้องกันความมั่นคงปลอดภัยของธุรกิจ อิเล็กทรอนิกส์ ซึง่ แ ท้จ ริงเแล้วเทคโนโลยีห รือเครือ่ งมอื (technology/tool) เป็นเพียงหนึง่ ใ นสามองค์ป ระกอบ สำ�คัญที่จะทำ�ให้การแก้ปัญหาดังก ล่าวลุล่วงอย่างมีประสิทธิภาพ องค์ประกอบสำ�คัญที่ขาดหายไปอีก 2 องค์
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-9
ธ ส
ประกอบ คือ มุมมองด้าน “คน” (people) และ “กระบวนการ” (process) ซึ่งรวมถึงนโยบายความปลอดภัย และกระบวนการบริหารจัดการที่ด ี (policy/process) องค์ป ระกอบทั้ง 3 องค์ป ระกอบ ได้แก่ “คน” “เทคโนโลยี” และ “กระบวนการ” (ภาพที่ 9.2) นั้นมี ความจำ�เป็นต ้องสอดคล้องซึ่งก ันแ ละกัน จะขาดองค์ป ระกอบใดองค์ป ระกอบหนึ่งไ ม่ไ ด้ เช่น การมเีทคโนโลยี ที่ดี และค่อนข้างแพง เพียงอย่างเดียวยังไม่ใช่หนทางในการแก้ปัญหาที่ถูกต้อง เพราะยังขาดมุมมองอีก 2 ด้าน ซึ่งองค์กรส่วนใหญ่มักจะมองข้ามและไม่ค่อยจะให้ความสำ�คัญเท่าใดนักในโลกของความเป็นจริง ยกตัวอย่าง เช่น งบประมาณในการจัดซื้อจัดจ้างอุปกรณ์รักษาความปลอดภัยระบบเทคโนโลยีสารสนเทศ ส่วนใหญ่เน้นไปทางมูลค่าข องฮาร์ดแวร์แ ละซอฟต์แวร์ แต่ไม่ค่อยเน้นไปทางงบประมาณด้านการฝึกอบรม (security awareness training) หรือง บประมาณดา้ นนโยบายความปลอดภัยแ ละกระบวนการบริหารจดั การ (security policy and process) หรือถ้ามี ก็เป็นงบประมาณที่น้อยมากเสียจนแทบจะไม่สามารถฝึกอบรม หรือวางแผนนโยบายได้อย่างมีประสิทธิภาพ หากขาดทั้งสององค์ประกอบที่สำ�คัญดังกล่าว อาจทำ�ให้เกิด ปัญหาไวรัสคอมพิวเตอร์ ปัญหาสปายแวร์ (spyware) ปัญหาระบบถูกโ จมตีแ ละถูกด ักจ ับข ้อมูลจากผู้บ ุกรุก ผู้ประสงค์ร้าย หรือแฮกเกอร์ ซึ่งยังคงเกิดขึ้นอยู่ทุกวัน และสร้างความปวดหัวให้กับผู้ดูแลระบบตลอดจน ผู้ใช้งานคอมพิวเตอร์ จนในบางครั้งระบบเกิดปัญหาด้าน “Availability” จนไม่สามารถให้บริการต่อไปได้ และผู้บ ริหารระดับสูงต้องเข้ามาจัดการ และ สิ้นเปลืองงบประมาณหมดไปกับการแก้ปัญหาแบบครั้งต่อครั้ง (per incident basis) หรือ แบบฉุกเฉิน ซึ่งค่าใช้จ่ายในการแก้ปัญหาแบบเร่งด่วนย่อมสูงกว่าปกติ ทำ�ให้ องค์กรต้องสิ้นเปลืองโดยไม่จ ำ�เป็น
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ภาพที่ 9.2 องค์ป ระกอบในการจัดการระบบความมั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์
9-10
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
1. มุมมองด้านเทคโนโลยี
ม
ธ ส
การนำ� “เทคโนโลยี” ซึ่งค รอบคลุมถึง เทคโนโลยี (technology) และเทคนิค (technique) มาใช้ เป็นสิ่งจำ�เป็น แต่ “เทคโนโลยี” ไม่ใช่คำ�ตอบสุดท้าย ในปัจจุบันมุมมองด้านเทคโนโลยีได้เปลี่ยนไปจากที่ เคยมอง “เทคโนโลยี” เพียงมุมเดียว เป็นมุมมองทางด้านการนำ�เทคโนโลยีมาใช้อย่างมีประสิทธิภาพและมี ประสิทธิผลสอดคล้องกับว ัตถุประสงค์ข ององค์กร (corporate business objectives) หรือ ทีร่ ู้จักก ันใ นเรื่อง การกำ�กับดูแลกิจการที่ดีด้านไอที (Corporate IT Governance) และตามแนวคิดจีอาร์ซี (Governance, Risk Management, and Compliance – GRC) อย่างไรก็ตาม เทคโนโลยีใ หม่ๆ นั้นอ าจนำ�มาซึ่งค วามเสี่ยงด้วย เพราะ “เทคโนโลยี” มักจ ะไปเร็วก ว่า “นโยบาย” ยกตัวอย่างเช่น การใช้งานระบบเครือข่ายแลนแบบไร้สาย (wireless LAN) ทำ�ให้ทุกค นสะดวก สบายในการต่อเชื่อมกับระบบภายในขององค์กรและระบบอินเทอร์เน็ต แต่ปัญหาความปลอดภัยของระบบ เครือข่ายแลนแบบไร้สาย มักจะไม่ค่อยถูกน ำ�มากล่าวถึง หรือ จะมีคนที่รู้จริงเรื่อง การรักษาความปลอดภัย ของระบบไร้สาย (wireless security) ก็ห ายากพอสมควร หลายองค์กรที่นำ�ระบบเครือข ่ายแลนแบบไร้สาย มาใช้ก ลับก ่อใ ห้เกิดป ัญหาการถูกเจาะระบบโดยผู้บ ุกรุกผ ู้ไ ม่ห วังด ีห รือแ ฮกเกอร์ไ ด้อ ย่างง่ายดายผ่านทางจุด เชื่อมต่อของระบบไร้สาย (wireless access point) ที่ติดตั้งอย่างไม่ระมัดระวัง ดังนั้น “นโยบาย” ในการใช้ งานระบบเครือข ่ายแลนแบบไร้สายให้ปลอดภัยจึงเป็นเรื่องสำ�คัญเช่นกัน
ธ ส
ม
ธ ส
ม
2. มุมมองด้านกระบวนการ
ธ ส
ม
ธ ส
ม
ธ ส
ม
สำ�หรับมุมมองด้าน “กระบวนการ” สำ�หรับนโยบายความปลอดภัยและกระบวนการบริหารจัดการ ที่ดี (policy/process) ก็เป็นมุมมองที่มีความสำ�คัญเช่นเดียวกัน เมื่อมีการนำ�เทคโนโลยีห รือเทคนิค หรือ ผลิตภัณฑ์ระบบเทคโนโลยีสารสนเทศมาใช้ ย่อมต้องมีการจัดทำ�กระบวนการเพื่อบริหารจัดการหรือปฏิบัติ งาน ความเสี่ยงเกี่ยวกับการบริหารจัดการที่ไม่มีประสิทธิภาพก่อให้เกิดปัญหาตามมาในหลายๆ ประการ ตัวอย่างเช่น บางองค์กรไม่มีนโยบายด้านการรักษาความปลอดภัยสารสนเทศ ทำ�ให้ผู้ใช้คอมพิวเตอร์ตลอด จนผู้ดูแลระบบเครือข่ายในองค์กรไม่มีม าตรฐาน (IT security standard) หรือ แนวปฏิบัติ (IT security guideline) ในการปฏิบัติงานอย่างถูกต้อง ซึ่งใ นประเด็นนี้ การประเมินความเสี่ยง (risk assessment) เป็น เรื่องสำ�คัญที่ทุกองค์กรควรทำ�อย่างน้อยหนึ่งครั้งในหนึ่งปี ก่อนที่จะนำ�ผลลัพธ์มาพัฒนานโยบายด้านการ รักษาความปลอดภัยขององค์กรต่อไป การตรวจสอบด้านความมั่นคงปลอดภัย (IT/information security audit) และการเฝ้าร ะวังค วาม ปลอดภัยตลอดยี่สิบสี่ชั่วโมง (real time monitoring/vulnerability management/patch management) ก็เป็นอีกเรื่องที่เป็นมุมมองด้าน กระบวนการบริหารจัดการที่ดี โดยระบบจัดการล็อกไฟล์ส่วนกลาง (centralized log management) และระบบตรวจจับผู้บุกรุก (IDS/IPS) ที่มีประสิทธิภาพ รวมถึงการเฝ้า ระวังส ามารถว่าจ ้างหน่วยงานภายนอกหรือเอาต์ซอร์ส (outsource) ให้แ ก่ห น่วยงานที่ใ ห้บ ริการจัดการรักษา ความปลอดภัย (Managed Security Service Provider – MSSP) ในการจดั การบริหารระบบความปลอดภัย ให้กับองค์กร โดยตกลงกันตามข้อตกลงระดับการให้บริการ (Service Level Agreement – SLA) การ
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-11
ธ ส
เตรียมการกู้ระบบเพื่อแก้ปัญหา และทำ�ให้ระบบยังคงสามารถทำ�งานต่อไปโดยไม่กระทบกับธุรกิจ (business continuity planning and disaster recovery planning) ตลอดจนเรื่องการรับมือกับส ถานการณ์ เฉพาะหน้าที่อาจเกิดขึ้น รวมถึงก ารค้นหาความจริงว่าใครเป็นผ ู้บุกรุกระบบด้วย (incident response and digital forensics)
ธ ส
ม
3. มุมมองด้านคน
ธ ส
ม
มุมม องด้าน “คน” (people) นั้นเป็นเรื่องสำ�คัญที่สุดของมุมมองทั้ง 3 ประการ กล่าวคือหาก “คน” ไม่เข้าใจ หรือ ไม่มีป ระสิทธิภาพแล้ว โอกาสที่ต ้องการให้ร ะบบมีค วามปลอดภัยใ นระดับท ี่ต ้องการนั้นค งเกิด ขึ้นได้ยาก ผู้ใช้คอมพิวเตอร์ที่ไ ม่ไ ด้ร ับการฝึกอ บรมการตระหนักในเรื่องการรักษาความปลอดภัย (security awareness training) อาจก่อให้เกิดปัญหาด้านความปลอดภัยได้โดยการรู้เท่าไม่ถึงการณ์ เนื่องจากขาด ความรู้ค วามเข้าใจในการใช้ง านเทคโนโลยีห รือก ารปฏิบัติต ามกระบวนการดังก ล่าว ผู้ใ ช้ค อมพิวเตอร์ค วรได้ รับก ารฝึกอ บรมการตระหนักใ นเรื่องการรักษาความปลอดภัย ซึ่งจ ะก่อใ ห้เกิดค วามตระหนักแ ละความเข้าใจ การหลอกลวงต่างๆ ในอินเทอร์เน็ตมากขึ้น บุคลากรไอทีที่มีความรู้จริงด ้านระบบความมั่นคงปลอดภัยเป็น บุคลากรทหี่ ลายๆ องค์กรตอ้ งการตวั ไ ปรว่ มงานดว้ ย ความส�ำ คัญข องการรบั รองความเชีย่ วชาญดา้ นการรกั ษา ความปลอดภัยสารสนเทศ (Professional Information Security Certification) อาทิ CISSP (Certified Information Systems Security Professional) หรือ CISA (Certified Information Systems Auditor) ได้กลายเป็นมาตรฐานที่คนไอทีที่ทำ�งานด้านนี้มีความจำ�เป็นต้องพิสูจน์ตนเอง ขณะเดียวกันองค์กรชั้นนำ� ต่างๆ ก็ได้นำ�การรับรองความเชี่ยวชาญด้านการรักษาความปลอดภัยสารสนเทศเหล่านี้มาเป็นมาตรฐานใน การรับพนักงานไอทีเข้าทำ�งาน และ เป็นมาตรฐานสำ�หรับบริษัทที่ปรึกษา (IT security consulting) หรือ บริษัทที่รับตรวจสอบระบบไอที (IT security auditing) ที่องค์กรต้องการให้ว่าจ้างหน่วยงานภายนอก เพื่อดูแลรักษาความปลอดภัยด้านไอที (IT security outsourcing) หรือผู้ตรวจสอบภายนอกด้านไอที (IT external auditor) ให้แ ก่อ งค์กร กล่าวโดยสรุป จะเห็นว ่าทั้ง 3 องค์ป ระกอบหลัก ได้แก่ “คน” “เทคโนโลยี” และ “กระบวนการ” หรือ รวมเรียกว่า นโยบายความปลอดภัยและกระบวนการบริหารจัดการที่ดี เป็นเรื่องที่สอดคล้องกัน และ จำ�เป็น ต้องให้ค วามสำ�คัญร่วมกันอย่างสมดุล เพื่อก่อให้เกิดความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร ได้อย่างมีป ระสิทธิภาพและประสิทธิผลในที่สุด นอกจากนี้ กลุ่มปัญหาของระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ในองค์กร มีแตก ต่างกันตามแต่ละองค์กร ซึ่งเป็นปัญหาด้านต่างๆ นานัปการตามประเภทธุรกิจและการดำ�เนินการของ องค์กร และมีสาเหตุที่มาของปัญหาที่แตกต่างกัน อย่างไรก็ตาม สามารถสรุปและจัดกลุ่มในมุมมองของ ผลกระทบและวิธีจ ัดการ ได้เป็น 3 กลุ่มใหญ่ ได้แก่ ก่อนเกิดเหตุ ระหว่างเกิดเหตุ และหลังเกิดเหตุ กล่าวคือ 1) ปัญหาการบริหารจัดการในเชิงน โยบายและมาตรการปฏิบัติด ้านความมั่นคงปลอดภัย 2) ปัญหาการรับมือ กับเหตุการณ์ด้านความมั่นคงปลอดภัยที่เกิดข ึ้น และ 3) ปัญหาการบริหารจัดการเพื่อส ร้างความต่อเนื่องทาง ธุรกิจเมื่อเกิดเหตุการณ์ฉ ุกเฉินหรือภ ัยพิบัติ
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
9-12
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
1) กลุ่มปัญหาด้านความมั่นคงปลอดภัยในส่วนการบริหารจัดการในเชิงนโยบายและมาตรการ ปฏิบัติ กลุ่มปัญหาด้านความมั่นคงปลอดภัยในส่วนการบริหารจัดการในเชิงนโยบายและมาตรการปฏิบัติ หมายถึง กลุ่มปัญหาที่เกี่ยวข้องหรือเกิดขึ้นจากการขาดการบริหารจัดการด้านนโยบายหรือมาตรการที่ดีพอ ในการดำ�เนินธุรกิจอิเล็กทรอนิกส์ กลุ่มปัญหานี้สามารถจัดการป้องกันหรือดำ�เนินการแก้ไขได้ ตั้งแต่ก่อน เหตุความมั่นคงปลอดภัยจะเกิดขึ้น ได้แก่ (1) การขาดนโยบายด้านความมั่นคงปลอดภัยที่ครอบคลุมและเพียงพอต่อการใช้งาน (2) การข าดค ณะทำ � งานห รื อ ผู้ ป ระสานง านด้ า นค วามมั่ น คงป ลอดภั ย โ ดยตรงภ ายใน องค์กร (3) การขาดการทบทวนด้านความมั่นคงปลอดภัยอย่างสม่ำ�เสมอโดยผู้บริหาร (4) การขาดการตรวจสอบภายในด้านความมั่นคงปลอดภัย (5) การขาดการตรวจสอบด้านความมั่นคงปลอดภัยโดยผู้ตรวจสอบอิสระภายนอก (6) การขาดบุคลากรที่มีความรู้ค วามสามารถด้านความมั่นคงปลอดภัย (7) การขาดหน่วยงานภายในองค์กรทสี่ ามารถประสานงานและรบั มือก บั เหตุการณ์ด า้ นความ มั่นคงปลอดภัยท ี่เกิดขึ้น (8) ระบบเทคโนโลยีสารสนเทศไม่ได้มีการแก้ไขช่องโหว่อย่างเพียงพอ (9) ระบบเทคโนโลยีสารสนเทศถูกบุกรุก (10) ระบบเทคโนโลยีสารสนเทศถูกเจาะช่องโหว่และใช้เป็นช ่องทางในการบุกรุกระบบ (11) ระบบเทคโนโลยีสารสนเทศไม่สามารถให้บริการ (12) ระบบเทคโนโลยีสารสนเทศถูกโจมตีจ นกระทั่งไม่สามารถให้บริการได้ (13) ระบบเทคโนโลยีสารสนเทศถูกเข้าถึงโดยไม่ได้รับอนุญาตหรือโดยมิชอบ (14) การแพร่ก ระจายของไวรัสคอมพิวเตอร์ในระบบเทคโนโลยีสารสนเทศ (15) การขาดการวางแผนด้านความมั่นคงปลอดภัยโดยตรง (16) ผู้ใช้ง านขาดความตระหนักด้านความมั่นคงปลอดภัย 2) กลุ่มปัญหาด้านความมั่นคงปลอดภัยในส่วนการรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัย กลุ่มป ัญหาด้านความมั่นคงปลอดภัยใ นส่วนการรับมือก ับเหตุการณ์ด ้านความมั่นคงปลอดภัย หมายถึง กลุ่ม ปัญหาทเี่ กีย่ วข้องหรือเกิดข ึน้ จ ากการขาดการบริหารจดั การและมาตรการในการรบั มือก บั เหตุการณ์ด า้ นความ มั่นคงปลอดภัยเมื่อไ ด้เกิดข ึ้น ซึ่งเป็นกลุ่มป ัญหาทเี่กิดข ึ้นเมื่อเกิดเหตุการณ์ด ้านความมั่นคงปลอดภัย รวมถึง การมีมาตรการรับมือและแก้ไขเหตุการณ์ให้ส ามารถใช้งานระบบเทคโนโลยีสารสนเทศได้เป็นปกติ ได้แก่ (1) การขาดหน่วยงานภายในองค์กรทีส่ ามารถประสานงานและรับมือก ับเหตุการณ์ด ้านความ มั่นคงปลอดภัยที่เกิดขึ้น (2) ระบบเทคโนโลยีสารสนเทศถูกบุกรุก (3) ระบบเทคโนโลยีสารสนเทศถูกเจาะช่องโหว่และใช้เป็นช่องทางในการบุกรุกระบบ (4) ระบบเทคโนโลยีสารสนเทศไม่ส ามารถให้บริการ
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-13
ธ ส
(5) ระบบเทคโนโลยีสารสนเทศถูกโจมตีจ นกระทั่งไม่สามารถให้บริการได้ (6) ระบบเทคโนโลยีสารสนเทศถูกเข้าถ ึงโดยไม่ได้รับอนุญาตหรือโดยมิชอบ (7) การแพร่กระจายของไวรัสคอมพิวเตอร์ในระบบเทคโนโลยีสารสนเทศ (8) เหตุการณ์ด ้านความมั่นคงปลอดภัยอื่นๆ ในระบบเทคโนโลยีสารสนเทศ 3) กลุ่มปัญหาด้านความมั่นคงปลอดภัยในส่วนการบริหารจัดการเพื่อสร้างความต่อเนื่องทาง ธุรกิจเมื่อเกิดเหตุการณ์ฉุกเฉินหรือภัยพิบัติ กลุ่มปัญหาด้านความมั่นคงปลอดภัยในส่วนการบริหารจัดการ เพื่อสร้างความต่อเนื่องทางธุรกิจเมื่อเกิดเหตุการณ์ฉุกเฉินหรือภัยพิบัติ หมายถึง กลุ่มปัญหาที่เกี่ยวข้อง หรือเกิดขึ้นจากการขาดการบริหารจัดการเพื่อสร้างความต่อเนื่องทางธุรกิจเมื่อเกิดเหตุการณ์ฉุกเฉินหรือ ภัยพิบัติ ซึ่งเป็นกลุ่มปัญหาหลังเหตุการณ์ด้านความมั่นคงปลอดภัยที่ไม่สามารถรับมือหรือจัดการแก้ไข ตามปกติ ได้แก่ (1) ระบบเทคโนโลยีสารสนเทศไม่สามารถให้บริการได้ (2) การขาดนโยบายการบริหารความต่อเนื่องทางธุรกิจ (3) การขาดการวางแผนเพือ่ ส ร้างความตอ่ เนือ่ งทางธรุ กิจใ นกรณีท เี่ กิดภ ยั พ บิ ตั หิ รือไ ม่ส ามารถ ใช้ระบบสารสนเทศสำ�คัญใ นภาวะวิกฤต (4) การขาดแผนรองรับความต่อเนื่องทางธุรกิจ (Business Continuity Plan – BCP) (5) การขาดการวิเคราะห์ผ ลกระทบทางธุรกิจ (Business Impact Analysis – BIA) สำ�หรับ ระบบเทคโนโลยีส ารสนเทศหลักหรือระบบสารสนเทศสำ�คัญ เพื่อรองรับความต่อเนื่องในการดำ�เนินธุรกิจ (6) การขาดการวิเคราะห์ความเสี่ยง (Risk Analysis – RA) สำ�หรับระบบเทคโนโลยี สารสนเทศหลักหรือร ะบบสารสนเทศสำ�คัญ เพื่อร องรับความต่อเนื่องในการดำ�เนินธุรกิจ (7) การขาดมาตรฐานหรือว ธิ กี ารทเี่ ป็นร ปู ธ รรมส�ำ หรับก ารบริหารจดั การในการให้บ ริการระบบ เทคโนโลยีสารสนเทศหลัก เพื่อม ุ่งเน้นการให้บ ริการอย่างมีคุณภาพและต่อเนื่องสูงสุด ซึ่งอาจส่งผลกระทบ ต่อผู้ใช้บริการที่จำ�เป็นต้องใช้ระบบเทคโนโลยีสารสนเทศนั้น
ธ ส
ม
ธ ส
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.1.2 แล้ว โ ปรดปฏิบัติกิจกรรม 9.1.2 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.1 เรื่องที่ 9.1.2
ม
ม
ธ ส
ม
ธ ส
9-14
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
เรื่องที่ 9.1.3 ภัยอันตรายด้านความมั่นคงปลอดภัยของธุรกิจ อิเล็กทรอนิกส์
ธ ส
ม
ม
ผลกระทบที่มีต่อการประกอบธุรกรรมทางอิเล็กทรอนิกส์หรือการดำ�เนินธุรกิจอิเล็กทรอนิกส์ นั้น นอกจากปัญหาด้านความมั่นคงปลอดภัยแล้ว ปัจจัยสำ�คัญคือภัยอันตรายด้านความมั่นคงปลอดภัย ที่มีตามสภาพปัจจัยเสี่ยงขององค์กร โดยมีปัจจัยความเสี่ยงมาจากภัยคุกคาม (threats) และช่องโหว่ด้าน ค วามมั่นคงปลอดภัย (vulnerabilities) ทีม่ ตี ่อท รัพย์สินส ารสนเทศและระบบเทคโนโลยีส ารสนเทศ ซึ่งส ร้าง ความเสียหายและมีผ ลกระทบในการดำ�เนินธุรกิจอ ิเล็กทรอนิกส์
1. ภัยคุกคาม
ธ ส
ธ ส
ม
ธ ส
ภัยคุกคาม (threats) หมายถึง ปัจจัยที่ไม่พึงประสงค์ซึ่งมีความเป็นไปได้ที่จะส่งผลให้เกิดความ เสียหายต่อทรัพย์สินสารสนเทศ ระบบเทคโนโลยีสารสนเทศหรือองค์กร ความเสียหายเหล่านี้เกิดขึ้นจาก การที่ทรัพย์สินสารสนเทศนั้นถูกกระทำ�หรือโจมตี ประเภทของภัยคุกคาม มี 3 รูปแบบ คือ เกิดขึ้นโดย ธรรมชาติ (environmental) เกิดขึ้นโดยไม่เจตนาหรืออุบัติเหตุ (accidental) และ เกิดขึ้นโดยเจตนาหรือ โดยฝีมือของมนุษย์ (deliberate) ทั้งนี้ โดยอาศัยช่องโหว่ที่มีของทรัพย์สินสารสนเทศ ทำ�ให้เกิดความ เสียหายขึ้นจ ากภัยคุกคาม ประเภทของภัยคุกคามที่มีต่อธุรกิจอิเล็กทรอนิกส์ จำ�แนกได้เป็น 8 กลุ่ม โดยมีตัวอย่างของภัย คุกคามแต่ละประเภท ดังนี้ 1) ความเสียหายทางกายภาพ (physical damage) ตัวอย่างเช่น • ความเสียหายที่เกิดจากอัคคีภัย ไฟไหม้ • ความเสียหายที่เกิดจากน้ำ� • ความเสียหายที่เกิดจากมลภาวะ • ความเสียหายที่เกิดจากอุบัติเหตุร้ายแรง • ความเสียหายจากความเสื่อมอายุของสื่อบันทึกหรืออุปกรณ์ • ความเสียหายจากฝุ่นล ะออง การสึกกร่อน/สนิม การตกผลึก/แข็งตัว 2) เหตุการณ์ท างธรรมชาติ (natural events) ตัวอย่างเช่น • ความแปรปรวนของสภาพอากาศ/ภูมิอากาศ • ภัยจ ากแผ่นดินไ หว • ภัยท ี่เกี่ยวกับภูเขาไฟ • ภัยป รากฏการณ์ทางอุตุนิยมวิทยา เช่น พายุ • ภัยจ ากน้ำ�ท่วม/อุทกภัย
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-15
ธ ส
3) สูญเสียการให้บ ริการสำ�คัญ (loss of essential services) ตัวอย่างเช่น • ระบบปรับอากาศล้มเหลว • ระบบจ่ายน้ำ�ล้มเหลว • ระบบการจ่ายกระแสไฟฟ้าล้มเหลว • ระบบหรืออุปกรณ์โทรคมนาคมการสื่อสารล้มเหลว 4) การรบกวนจากการแพร่กระจายของรังสี (disturbance due to radiation) ตัวอย่างเช่น • การรบกวนของคลื่นแม่เหล็กไฟฟ้า • การแผ่ค ลื่นรังสีความร้อน • การแผ่รังสีแ ม่เหล็กไฟฟ้า/รังส ีแกมม่าจ ากนิวเคลียร์ 5) การคุกคามต่อข ้อมูล/การเข้าค รอบงำ�ข้อมูลโ ดยมชิ อบ (compromise of information) ตัวอย่าง
ธ ส
ม
เช่น
ธ ส
ม
ม
• การแทรกแซงหรือเข้าถึงข้อมูลโดยการใช้สัญญาณแทรกแซง • การลักลอบเข้าถึงข ้อมูลจากระยะไกล • การดักจับข้อมูล • การขโมยสื่อบ ันทึกหรือเอกสาร • การขโมยอุปกรณ์ • การกู้คืนข้อมูลจากสื่อท ี่ไม่ได้ใช้หรือที่นำ�ไปซ้ำ� • การเปิดเผยข้อมูล • ข้อมูลจ ากแหล่งที่เชื่อถือไ ม่ได้ • การเจาะระบบโดยใช้ฮาร์ดแวร์ • การเจาะระบบโดยใช้ซอฟต์แวร์ • การค้นหาตำ�แหน่งของอุปกรณ์ 6) ความล้มเหลวทางเทคนิค (technical failures) ตัวอย่างเช่น • ความล้มเหลวของอุปกรณ์ • อุปกรณ์ท ำ�งานผิดพ ลาด • ปริมาณเกินกว่าที่ระบบรับได้ • ซอฟต์แวร์ท ำ�งานผิดพ ลาด • การละเมิดความปลอดภัยในการดูแลรักษาระบบ 7) การกระทำ�โดยมิชอบ/โดยไม่ไ ด้ร ับอนุญาต (unauthorized actions) ตัวอย่างเช่น • การใช้งานอุปกรณ์โ ดยมิชอบ • การทำ�สำ�เนาซอฟต์แวร์โดยมิชอบ • การใช้ซอฟต์แวร์เถื่อน/ซอฟต์แวร์ท ี่ไม่ถูกต้องตามกฎหมาย • การขโมยข้อมูล/นำ�ข้อมูลไปใช้อย่างไม่ถูกต้อง • การเข้าถึงห รือป ระมวลผลข้อมูลโดยมิชอบ
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
9-16
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
8) การคุกคามหรือเข้าครอบงำ�เพื่อใช้งาน (compromise of functions) ตัวอย่างเช่น • ความผิดพ ลาดในการใช้งาน • การใช้สิทธิ์โ ดยมิชอบ • การปลอมแปลงหรือสวมรอยใช้สิทธิ์ • การละเลยหรือป ฏิเสธที่จะปฏิบัติ • การละเมิดหรือฝ่าฝืนด ้านบุคลากร นอกจากนี้ ภัยคุกคามที่เป็นฝีมือของมนุษย์ ยังสามารถจำ�แนกจำ�เพาะตามประเภทของแหล่งท ี่มา
ธ ส
ม
ได้แก่
ธ ส
ม
1) การเจาะระบบโดยกลุ่มแฮกเกอร์ (hacker/cracker) • แรงจงู ใจ ได้แก่ ความทา้ ทาย ความเป็นอ ตั ตะ (ego) ความเป็นข บถตอ่ ก ฎเกณฑ์ สถานภาพ และเป้าหมายทางการเงิน • เหตุการณ์ท ี่เป็นไปได้ ได้แก่ การเจาะระบบ (hacking) การอาศัยกระบวนการทางสังคม (social engineering) การบุกรุกร ะบบ (system intrusion) และการเข้าถ ึงระบบโดยมิชอบ 2) อาชญากรรมคอมพิวเตอร์ (computer criminal) • แรงจูงใจ ได้แก่ การทำ�ลายข้อมูล การเปิดเผยข้อมูลโดยผิดกฎหมาย การกรรโชกทรัพย์ หรือเรียกร้องเงินทอง การแก้ไขข้อมูลโดยไม่มีสิท ธิ์ • เหตุการณ์ท ีเ่ป็นไ ปได้ ได้แก่ การก่ออ าชญากรรมทางคอมพิวเตอร์/ไซเบอร์ การฉ้อฉล การ ให้สินบน การหลอกลวง การบุกรุกระบบ 3) การก่อการร้าย (terrorist) • แรงจูงใจ ได้แก่ การขู่กรรโชก (blackmail) การทำ�ลาย การแสวงหาผลประโยชน์ การแก้ แค้น เป้าหมายทางการเมือง การเข้าถึงสื่อ • เหตุการณ์ท ี่เป็นไ ปได้ ได้แก่ การก่อการร้าย/การวางระเบิด สงครามสารสนเทศ การโจมตี ระบบ การปลอมแปลง การเจาะระบบ 4) การจารกรรม (industrial espionage) • แรงจูงใจ ได้แก่ ผลประโยชน์ด้านการแข่งขัน การจารกรรมเพื่อผลทางเศรษฐกิจ • เหตุการณ์ท ี่เป็นไปได้ ได้แก่ ประโยชน์ทางการเมือง การแสวงหาประโยชน์ทางเศรษฐกิจ การขโมยข้อมูล การรุกล ้ำ�ข้อมูลส่วนบุคคล (privacy) การอาศัยกระบวนการทางสังคม การเจาะระบบ การ เข้าถึงระบบโดยไม่มีสิทธิ์ 5) การกระทำ�โดยบุคลากรภายในองค์กร (insiders) • แรงจงู ใจ ได้แก่ ความสอดรูส้ อดเห็น ความเป็นอ ตั ตะ (ego) ความฉลาด ประโยชน์ท างการ เงิน การแก้แค้น การละเมิดหรือความผิดพ ลาดโดยไม่เจตนา • เหตุการณ์ท ี่เป็นไปได้ ได้แก่ การโจมตีเจาะจงบุคคล การขู่กรรโชก การแอบดูข้อมูล การ ใช้ง านระบบคอมพิวเตอร์โ ดยผิดวัตถุประสงค์ การฉ้อฉล การขโมย การให้สินบน ข้อมูลที่เป็นเท็จ การดัก
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-17
ธ ส
จับข้อมูล การแพร่ไวรัสคอมพิวเตอร์ การนำ�ข้อมูลไ ปขาย ความบกพร่องของระบบ การบุกรุกระบบ การก่อ วินาศกรรม การเข้าถึงระบบโดยไม่ได้ร ับอนุญาต
ธ ส
2. ช่องโหว่
ม
ช่องโหว่ (vulnerabilities) หมายถึง จุดอ่อนของทรัพย์สินสารสนเทศ หรือของมาตรการที่ภัย คุกคามสามารถอาศัยเป็นช ่องทางหรือใ ช้เป็นป ระโยชน์ หรือเจาะช่องโหว่น ั้น สร้างความเสียห ายต่อท รัพย์สิน สารสนเทศ ระบบเทคโนโลยีสารสนเทศหรือองค์กรได้ ประเภทของช่องโหว่สามารถจำ�แนกตามประเภทของทรัพย์สินสารสนเทศ โดยมีตัวอย่างของ ช่องโหว่แต่ละประเภท ดังนี้ 1) ช่องโหว่ของทรัพย์สินสารสนเทศ ประเภท “ฮาร์ดแวร์” ตัวอย่างเช่น • มีก ารติดตั้งผ ิดพลาดหรือการบำ�รุงรักษาที่ไม่เพียงพอ • ขาดแผนทดแทนอุปกรณ์ต ามรอบระยะเวลา • มีส ภาพความเสี่ยงอันเนื่องมาจากความชื้น ฝุ่น หรือ เปื้อน • มีส ภาพความเสี่ยงอันเนื่องมากจากรังสีแม่เหล็กไฟฟ้า • มีส ภาพความเสี่ยงอันเนื่องมาจากความแปรปรวนของกระแสไฟฟ้า • มีส ภาพความเสี่ยงต่อความเสียหายอันเนื่องมาจากความแปรปรวนของอุณหภูมิ • ขาดการควบคุมการเปลี่ยนแปลงการตั้งค่า (configuration) อย่างมีประสิทธิภาพ • ขาดการดูแลที่ดีใ นการกำ�จัดอุปกรณ์ที่ไม่ได้ใช้ 2) ช่องโหว่ของทรัพย์สินสารสนเทศ ประเภท “ซอฟต์แวร์” ตัวอย่างเช่น • ไม่มีก ารทดสอบระบบ หรือ มีการทดสอบไม่เพียงพอ • ข้อบ กพร่องของซอฟต์แวร์ซ ึ่งเป็นที่รับรู้ • ไม่มีก ารลงชื่ออ อกจากระบบเมื่อไม่มีการใช้งานเครื่องคอมพิวเตอร์ • การกำ�จัดหรือนำ�สื่อบ ันทึกข้อมูลมาใช้ซ้ำ� ไม่มีการลบซอฟต์แวร์อย่างเหมาะสม • ขาดการบันทึกข้อมูลก ารใช้เพื่อก ารตรวจสอบ • การจัดสรรสิทธิการใช้งานที่ผิดพ ลาด • ซอฟต์แวร์ท ี่มีการนำ�ไปใช้อย่างแพร่หลาย (โดยมิชอบ) • มีก ารใช้โปรแกรมระบบงานกับข้อมูลที่ไม่ถูกต้องตามช่วงเวลา • มีก ารใช้งานที่ย ุ่งย ากซับซ้อนสำ�หรับผู้ใช้งาน • ขาดการจัดทำ�เอกสารเพื่อก ารใช้งาน • ตั้งค ่าพารามิเตอร์ไม่ถูกต ้อง • ระบุว ันท ี่ไม่ถ ูกต้อง • ไม่มีก ารสำ�รองข้อมูล
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
9-18
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
3) ช่องโหว่ข องทรัพย์สินสารสนเทศ ประเภท “เครือข่าย” (network) ตัวอย่างเช่น • ไม่มีก ระบวนการป้องกันก ารเข้าถึงเครือข่าย • ไม่มีก ระบวนการป้องกันก ารเข้าถึงข้อมูลที่ส่งผ่านเครือข่าย • การบริหารจัดการรหัสผ่านไม่มีประสิทธิภาพ • การเปิดพอร์ตการให้บ ริการที่ไ ม่จำ�เป็นห รือที่ไม่ได้ใช้งาน • ขาดการควบคุมการเปลี่ยนแปลงที่มีประสิทธิภาพ • ไม่มีก ารป้องกันการเข้าถึงสายสัญญาณสื่อสาร • ไม่มีก ารป้องกันช่องทางการสื่อสารที่สำ�คัญ • ไม่มีก ารควบคุมที่ดีในการลากสายและเข้าห ัวสายสื่อสัญญาณ • โครงสร้างสถาปัตยกรรมทางเครือข่ายที่ไม่เหมาะสม • การบริหารจัดการเครือข ่ายไม่เหมาะสม 4) ช่องโหว่ของทรัพย์สินสารสนเทศ ประเภท “บุคลากร” (person) ตัวอย่างเช่น • ขาดบุคลากร หรือ มีบุคลากรไม่เพียงพอในการปฏิบัติงาน • กระบวนการสรรหาพนักงานที่ไม่เหมาะสม • ขาดการอบรมสร้างความตระหนักด้านความปลอดภัย • การใช้ซอฟต์แวร์แ ละฮาร์ดแวร์ไม่ถูกวิธี • ขาดความรอบคอบในการทำ�งาน • ไม่มีก ารควบคุมติดตามการปฏิบัติงานอย่างใกล้ชิด • ไม่มีกระบวนการควบคุมการทำ�ความสะอาดหรือทำ�งานโดยบุคคลที่ไม่ใช่พนักงานใน
ธ ส
ม
ธ ส
ม
องค์กร
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
5) ช่องโหว่ข องทรัพย์สินสารสนเทศ ประเภท “สถานที่” (site) ตัวอย่างเช่น • ไม่มีน โยบายหรือมาตรการความปลอดภัยในการเข้าออกสถานที่ • ไม่มีม าตรการด้านความปลอดภัยทางกายภาพของสถานที่ • ไม่มีก ระบวนการควบคุมการเข้าอ อกสถานที่ • ขาดความรอบคอบในการเข้าออกสถานที่ • พื้นที่ม ีความเสี่ยงที่น้ำ�จะท่วม 6) ช่องโหว่ของทรัพย์สินสารสนเทศ ประเภท “โครงสร้าง” (organization) ตัวอย่างเช่น • โครงสร้างองค์กรที่มีการเปลี่ยนแปลงอยู่เสมอ • ไม่มีข ั้นตอนปฏิบัติในการระบุและประเมินความเสี่ยง • ไม่มีก ารตรวจสอบหรือควบคุมดูแลการล่วงละเมิดสิทธิ์ • ขาดขั้นตอนปฏิบัติสำ�หรับการลงทะเบียนและถอนสิทธิ์อย่างเป็นทางการ • ขาดกระบวนการทบทวนสิทธิ์การเข้าถึง • ข้อก ำ�หนดในการทำ�สัญญากับลูกค้าหรือคู่ค้าทางธุรกิจไม่ครอบคลุมเพียงพอ
ม
ธ ส
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
• • • • • • • • • • • •
เพียงพอ
ธ ส
ขาดขั้นตอนการปฏิบัติการเฝ้าระวังของกระบวนการสารสนเทศ ไม่มีก ารรายงานบันทึกความผิดพลาดกับผู้ดูแลระบบและผู้ปฏิบัติงาน การบำ�รุงร ักษาไม่เพียงพอ ไม่มีก ารตรวจสอบผลการดำ�เนินการตามสัญญา เช่น SLA, SLO, KPI เป็นต้น ไม่มีก ระบวนการควบคุมการเปลี่ยนแปลงระบบ (change management) ไม่มีข ั้นตอนการควบคุมเอกสารอย่างเป็นทางการ ไม่มีข ั้นตอนการควบคุมดูแลบันทึก ไม่มีแ ผนรองรับการดำ�เนินธุรกิจอย่างต่อเนื่อง ไม่มีน โยบายควบคุมการใช้งานอีเมล การขาดการจำ�แนกสารสนเทศ การขาดการระบุความรับผิดชอบด้านความปลอดภัยของข้อมูลในหน้าที่งาน ข้อกำ�หนดเกี่ยวกับการรักษาความปลอดภัยกับสัญญาจ้างกับพนักงานไม่ครอบคลุม
ธ ส
ม
ม
9-19
ธ ส
ธ ส
ม
ม
ธ ส
• การขาดการดำ�เนินการทางวินัยในกรณีของเหตุการณ์ด้านการรักษาความปลอดภัยของ
ข้อมูล
ม
• ขาดการทบทวนจากผู้บ ริหารอย่างสม่ำ�เสมอ • การขาดวิธีก ารในการรายงานจุดอ ่อนด้านความปลอดภัยของระบบ
ธ ส
3. ข้อกำ�หนดด้านความมั่นคงปลอดภัย
ม
ภัยอ ันตรายหรือภ ัยค วามเสี่ยง (risks) ของระบบความมั่นคงปลอดภัยข องธุรกิจอ ิเล็กทรอนิกส์เกิด ขึ้นไ ด้ต ามสภาพความเสี่ยงและปัจจัยค วามเสี่ยง อันเป็นผ ลเนื่องมาจากภัยค ุกคาม (threats) ทีอ่ าศัยช ่องโหว่ (vulnerabilities) ของทรัพย์สินสารสนเทศ (assets) การที่จะลดภัยอันตรายหรือภัยความเสี่ยงด้านความ มั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์ สามารถทำ�ได้โดยกำ�จัด ลด หรือ ควบคุมภัยคุกคามและโอกาสที่ ภัยค ุกคามอาศัยช ่องโหว่เหล่าน ั้น เพื่อล ดความเสี่ยงให้อ ยูใ่ นระดับเกณฑ์ท ีอ่ งค์กรยอมรับไ ด้ ทั้งนี้ ผลกระทบ หรือความเสียหายที่เกิดขึ้นจากภัยอันตรายหรือภัยความเสี่ยงนั้น ก็ขึ้นอยู่กับระดับคุณค่าของทรัพย์สิน สารสนเทศ (asset value) นั้น หากเป็นท รัพย์สินส ารสนเทศสำ�คัญ เช่น เป็นร ะบบสำ�คัญ ข้อมูลส ำ�คัญ เป็นต้น ก็ย่อมส่งผลกระทบและความเสียหายต่อองค์กรในระดับที่มากกว่าระบบที่มีความสำ�คัญน้อย ดังนั้น จึงเป็นความจำ�เป็นอย่างยิ่งสำ�หรับองค์กรที่จะต้องดำ�เนินการประเมินความเสี่ยงด้าน สารสนเทศหรือด้านความมั่นคงปลอดภัยสารสนเทศ โดยพิจารณาทุกปัจจัยเสี่ยงสำ�คัญที่มีต่อทรัพย์สิน สารสนเทศที่สำ�คัญที่มีผลกระทบต่อธุรกิจ เพื่อที่จะได้จัดทำ� ข้อกำ�หนดด้านความมั่นคงปลอดภัย (security requirements) ที่เหมาะสมและเพียงพอในการปกป้องทรัพย์สินสารสนเทศต่อสภาพปัจจัยเสี่ยง และ พิจารณามาตรการด้านความมั่นคงปลอดภัย (safeguards/controls) ที่เหมาะสมในการจัดการตามสภาพ ปัจจัยเสี่ยงนั้น (ภาพที่ 9.3)
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
9-20
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ภาพที่ 9.3 ความสัมพันธ์ขององค์ป ระกอบปัจจัยเสี่ยงสำ�หรับการจัดทำ�ข้อก ำ�หนดด้านความมั่นคงปลอดภัย
ธ ส
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.1.3 แล้ว โ ปรดปฏิบัติกิจกรรม 9.1.3 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.1 เรื่องที่ 9.1.3
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ตอนที่ 9.2
ธ ส
ม
9-21
ธ ส
มาตรฐานระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
โปรดอ่านแผนการสอนประจำ�ตอนที่ 9.2 แล้วจ ึงศึกษาเนื้อหาสาระ พร้อมปฏิบัติกิจกรรมในแต่ละเรื่อง
ม
หัวเรื่อง
แนวคิด
ธ ส
เรื่องที่ 9.2.1 มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ เรื่องที่ 9.2.2 ข้อกำ�หนดมาตรฐานในการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัย สารสนเทศ
ธ ส
ม
ธ ส
1. มาตรฐาน ISO/IEC 27001 เป็นมาตรฐานในการพัฒนาระบบบริหารจัดการความมั่นคง ปลอดภัยสารสนเทศ หรือไอเอสเอ็มเอส สำ�หรับธุรกิจอิเล็กทรอนิกส์ โดยระบุข้อก ำ�หนด ที่องค์กรต้องดำ�เนินการ ในการพัฒนาระบบ นำ�ไปปฏิบัติ ตรวจสอบ และปรับปรุงแ ก้ไข 2. มาตรฐานสนับสนุนในการพัฒนาระบบไอเอสเอ็มเอส ประกอบด้วย ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27004 และ ISO/IEC 27005 3. ข้อกำ�หนดในการพัฒนาระบบไอเอสเอ็มเอส กำ�หนดตามกรอบปฏิบัติวงจรพีดีซีเอ ระบุ กิจกรรมสำ�คัญท ีต่ ้องดำ�เนินก ารในแต่ละขั้นต อน ในระยะทีห่ นึ่ง การวางแผน ระยะทีส่ อง การลงมือปฏิบัติ ระยะที่สาม การตรวจสอบ และระยะที่สี่ การปรับปรุงแ ก้ไข
ม
วัตถุประสงค์
ธ ส
ธ ส
ม
ม
ธ ส
เมื่อศึกษาตอนที่ 9.2 จบแล้ว นักศึกษาสามารถ 1. อธิบายหลักการและความสัมพันธ์ของมาตรฐานหลักกับมาตรฐานสนับสนุนที่ใช้ในการ พัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ สำ�หรับระบบความมั่นคง ปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์ได้ 2. อธิบายหลักการและกระบวนการในการพัฒนาระบบไอเอสเอ็มเอสสำ�หรับระบบความ มั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ได้ 3. อธิบายกิจกรรมและแนวปฏิบัติในการพัฒนาระบบไอเอสเอ็มเอส การนำ�ไปปฏิบัติ การ ตรวจสอบ และการปรับปรุงแก้ไขได้
ม
ม
ธ ส
ม
9-22
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
เรื่องที่ 9.2.1 มาตรฐานระบบบริหารจัดการความมั่นคงปลอดภัย สารสนเทศ
ธ ส
ม
ม
ISO/IEC 27001 หรือมาตรฐานการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ หรือไอเอสเอ็มเอส (Information Security Management System – ISMS) เป็นมาตรฐานสากลด้าน ระบบความมั่นคงปลอดภัยสารสนเทศที่เป็นที่ยอมรับมากที่สุดในระดับสากล สำ�หรับใช้เป็นมาตรฐานและ บรรทัดฐานในการจัดทำ�ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศสำ�หรับองค์กร และสามารถ นำ�มาประยุกต์ใช้ได้ก ับองค์กรทุกประเภทธุรกิจแ ละทุกขนาดธุรกิจ รวมถึง ระบบความมั่นคงปลอดภัยของ ธุรกิจอิเล็กทรอนิกส์ ทั้งนี้ ประเทศไทยได้นำ�มาประยุกต์และอ้างอิงในการจัดทำ�กฎหมายด้านความมั่นคง ปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ได้แก่ พระราชกฤษฎีกากำ�หนดวิธีก ารแบบปลอดภัยใน การประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 และ พระราชกฤษฎีกากำ�หนดหลักเกณฑ์และวิธีการใน การทำ�ธุรกรรมทางอิเล็กทรอนิกส์ภ าครัฐ พ.ศ. 2549 ทั้งนี้ พระราชกฤษฎีกาทั้ง 2 ฉบับนี้ เป็นกฎหมายลำ�ดับ รองที่ออกตามพระราชบัญญัติว ่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มาตรฐาน ISO/IEC 27001 ไม่ไ ด้ม แี ค่ม าตรฐานเดียวในการบริหารจัดการด้านความมั่นคงปลอดภัย สารสนเทศ แต่มีเป็นชุดที่เรียกว่า ISO/IEC 27xxx series ซึ่งได้ทยอยประกาศใช้ตั้งแต่ปี ค.ศ. 2005 จนถึง ปัจจุบัน จำ�นวน 10 ฉบับ (ภาพที่ 9.4) โดยมีรายละเอียดดังนี้ - กลุ่มมาตรฐานที่แสดงภาพรวม (overview) ของหลักการและคำ�ศัพท์สำ�หรับ ISMS series ได้แก่ • ISO/IEC 27000:2009 - กลุ่มม าตรฐานที่เป็น “ข้อกำ�หนด” (requirement) ที่ต้องดำ�เนินการ ได้แก่ • ISO/IEC 27001:2005 ข้อกำ�หนดสำ�หรับองค์กรในการพัฒนาระบบไอเอสเอ็มเอส • ISO/IEC 27006:2007 ข้อกำ�หนดสำ�หรับองค์กรผู้ตรวจสอบอิสระที่ตรวจประเมินระบบ ไอเอสเอ็มเอส - มาตรฐานที่เป็น “แนวปฏิบัติ” (code of practice) ที่ใช้สนับสนุนในกระบวนการไอเอสเอ็มเอส ได้แก่ • ISO/IEC 27002:2005 แนวป ฏิ บั ติ สำ � หรั บ ม าตรการรั ก ษาค วามมั่ น คงป ลอดภั ย สารสนเทศ • ISO/IEC 27003:2010 แนวปฏิบัติสำ�หรับการจัดทำ�ระบบไอเอสเอ็มเอส • ISO/IEC 27004:2009 แนวปฏิบัติสำ�หรับก ารวัดประสิทธิผลระบบไอเอสเอ็มเอส • ISO/IEC 27005:2008 แนวปฏิบัตสิ ำ�หรับก ารบริหารความเสี่ยงด้านความมั่นคงปลอดภัย สารสนเทศ
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-23
ธ ส
- มาตรฐานที่เป็น “แนวปฏิบัติเฉพาะกลุ่ม” สำ�หรับธุรกิจหรือที่มีวัตถุประสงค์เฉพาะด้าน โดย อิงกับมาตรฐานในการรักษาความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC 27002) ได้แก่ • ISO/IEC 27011:2008 แนวป ฏิ บั ติ สำ � หรั บ ก ารรั ก ษาค วามมั่ น คงป ลอดภั ย ด้ า น โทรคมนาคม • ISO/IEC 27033:2009 แนวปฏิบัติสำ�หรับการรักษาความมั่นคงปลอดภัยด้านเครือข่าย • ISO/IEC 27799:2008 แนวป ฏิ บั ติ สำ � หรั บ ก ารรั ก ษาค วามมั่ น คงป ลอดภั ย ด้ า นเ วช สารสนเทศ เช่น โรงพยาบาล สถานพยาบาล เป็นต้น
ธ ส
ม
ธ ส
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม ม
ธ ส
ภาพที่ 9.4 กลุ่มม าตรฐาน ISO/IEC 27xxx Series ในการบริหารจัดการความมั่นคงปลอดภัยส ารสนเทศ
ม
ธ ส
1. มาตรฐาน ISO/IEC 27000:2009
ISO/IEC 27000:2005 (information security management systems — overview and vocabulary) เป็นม าตรฐานสนับสนุน ประกาศใช้ใ น ปี ค.ศ. 2009 หลังจ ากทมี่ าตรฐานสำ�คัญๆ จัดท ำ�เสร็จเรียบร้อย แล้ว โดยมีเนื้อหาเป็นคำ�อธิบายหลักการ ISMS และความสัมพันธ์ของกลุ่มมาตรฐาน 27000 Series (ISMS family of standards) รวมถึงน ิยามศัพท์พื้นฐ านที่เกี่ยวข้องในการจัดทำ�ระบบไอเอสเอ็มเอส
ม
9-24
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
2. มาตรฐาน ISO/IEC 27001:2005
ม
ธ ส
ISO/IEC 27001:2005 (information security management system – requirements) ประกาศ ใช้ตั้งแต่ปี ค.ศ. 2005 เป็นมาตรฐานการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศหรือไอเอสเอ็มเอส (ISMS) ระบุข้อกำ�หนดสำ�หรับองค์กรในการจัดทำ�ระบบไอเอสเอ็มเอส เพื่อยื่นตรวจประเมินรับรอง เป็น มาตรฐานหลักท รี่ ะบุข อ้ ก �ำ หนดทอี่ งค์กรตอ้ งด�ำ เนินก ารในการพฒ ั นาระบบบริหารจดั การความมัน่ คงปลอดภัย สารสนเทศหรือไอเอสเอ็มเอส (ISMS) เพื่อใ ห้การบริหารจัดการความมั่นคงปลอดภัยส ารสนเทศขององค์กร มีค วามเป็นมาตรฐานสากล ซึ่งห มายความถึง ระบบบริหารจัดการ (management system) ความเป็นระบบ (systematic) เป็นกระบวนการในการบริหารจัดการ (process oriented) และ สามารถพัฒนาปรับปรุง ประสิทธิผลได้อย่างต่อเนื่อง (continual improvement) โดยองค์กรสามารถยื่นขอตรวจประเมินรับรอง การบริหารจัดการไอเอสเอ็มเอสตามมาตรฐานนี้ได้
ธ ส
ม
3. มาตรฐาน ISO/IEC 27002:2005
ธ ส
ธ ส
ม
ม
ธ ส
ISO/IEC 27002:2005 (code of practice for information security management) ประกาศใช้ ตั้งแต่ปี ค.ศ. 2005 เป็นม าตรฐานที่ใ ช้สนับสนุนใ นการจัดทำ�มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ โดยมีรายละเอียดแนวปฏิบัติที่ดี (good practice) ในการรักษาความมั่นคงปลอดภัยสารสนเทศ จำ�นวน 11 หมวด (domain) ตามวัตถุประสงค์การควบคุม (control objective) จำ�นวน 39 หัวข้อ และมาตรการ ควบคุมใ นการรักษาความมั่นคงปลอดภัยส ารสนเทศ (information security control) จำ�นวน 133 รายการ สำ�หรับองค์กรพึงปฏิบัติและนำ�ไปประยุกต์ใช้ในการรักษาความมั่นคงปลอดภัยสารสนเทศขององค์กรได้ อย่างสัมฤทธิผล มาตรฐานชุดนี้บอกเพียงแนวปฏิบัติ (implementation guidance) ที่เป็นข้อแนะนำ�ในการนำ� มาตรการควบคุม (control) ไปประยุกต์ใช้ให้ได้ผ ล ไม่ใช่เป็นข้อกำ�หนดที่ต้องปฏิบัติตาม และองค์กรก็ไม่ จำ�เป็นต้องดำ�เนินการให้ครบทุกรายการ โดยสามารถเลือกเฉพาะมาตรการควบคุมที่จำ�เป็นและเหมาะสม ตามสภาพปัจจัยเสี่ยง ไปดำ�เนินการตามความเข้มของนโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ ขององค์กร ในที่นี้ อาจแบ่งร ะดับและเรียกเป็น ระดับเคร่งครัด ระดับป านกลาง และระดับพื้นฐาน ซึ่งระดับ พื้นฐานมีความหมายว่าใ ห้ดำ�เนินการเฉพาะมาตรการควบคุมที่จำ�เป็นท ี่เป็นพื้นฐานในเบื้องต้นก่อน จากนั้น องค์กรจึงค่อยพิจารณาความเหมาะสมที่จะปรับปรุงยกระดับความเข้มในการรักษาความมั่นคงปลอดภัย สารสนเทศขององค์กรไปทีละส่วน
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
4. มาตรฐาน ISO/IEC 27003:2010
ม
9-25
ธ ส
ISO/IEC 27003:2005 (information security management system – implementation guidance) ประกาศใช้ในปี ค.ศ. 2010 เป็นมาตรฐานสนับสนุนเพื่อใช้เป็นแ นวทางสำ�หรับการจัดทำ�และพัฒนา ระบบ ISMS ตามข้อกำ�หนดหลักของมาตรฐาน ISO/IEC 27001:2005 ทั้งนี้ เป็นเอกสารที่เน้นแนวทางใน ขั้นตอนแรกซึ่งเป็นขั้นตอนสำ�คัญสำ�หรับการพัฒนาระบบไอเอสเอ็มเอส ที่เป็นขั้นตอนระยะการวางแผน (Plan – P) ในกระบวนการวงจรพีด ีซีเอ (PDCA) เพื่อให้ได้ผลลัพธ์เป็นแผนการนำ�ไอเอสเอ็มเอสไปใช้งาน (ISMS implementation plan) สำ�หรับนำ�ไปปฏิบัติและดำ�เนินการในขั้นตอนต่อไปตามกระบวนการวงจร พีดีซีเอในการพัฒนาระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กร
ธ ส
ม
5. มาตรฐาน ISO/IEC 27004:2009
ธ ส
ม
ม
ISO/IEC 27004:2009 (information security management – measurement) ประกาศใช้ ในปี ค.ศ. 2009 เป็นมาตรฐานสนับสนุนเพื่อใช้ในการกำ�หนดการตรวจวัดประสิทธิผลของมาตรการในการ บริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยระบุวงจรพีดีซีเอที่เกี่ยวข้องในการตรวจวัดประสิทธิผล การกำ�หนดเกณฑ์การวัดประสิทธิผล และวิธีการดำ�เนินการวัดประสิทธิผล เป็นการตรวจสอบการปฏิบัติ ตามมาตรการด้านการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่องค์กรได้กำ�หนดขึ้นในระบบไอเอส เอ็มเอสไปให้มีประสิทธิผลและสัมฤทธิผลได้ตามวัตถุประสงค์การควบคุมและสภาพความเสี่ยงขององค์กร นั้น ประการสำ�คัญคือ ต้องสามารถทำ�การวัดผลได้ จึงจะสามารถควบคุมได้และบริหารจัดการได้ ดังนั้น จุด เริ่มต ้นที่ดีก ็คือต้องทำ�ความเข้าใจในมาตรการควบคุมแ ละวัตถุประสงค์ของการควบคุม เพื่อใ ห้สามารถระบุ กำ�หนดตัวชี้วัดหรือเกณฑ์สำ�หรับการวัดประสิทธิผลได้ เมื่อวัดผลได้ ก็จะสามารถควบคุมการรักษาความ มั่นคงปลอดภัยส ารสนเทศและบริหารจัดการได้อ ย่างสัมฤทธิผ ล
ธ ส
ม
6. มาตรฐาน ISO/IEC 27005:2008
ธ ส
ม
ธ ส
ม
ธ ส
ISO/IEC 27005:2008 (Information Security Risk Management – ISRM) ประกาศใช้ใน ปี ค.ศ. 2008 เป็นมาตรฐานสนับสนุนสำ�หรับการบริหารความเสี่ยงด้านสารสนเทศและด้านความมั่นคง ปลอดภัยสารสนเทศ ในการจัดทำ�ระบบไอเอสเอ็มเอส มีเนื้อหาระบุกระบวนการด้านประเมินความเสี่ยง (risk assessment) และด้านจัดการความเสี่ยง (risk treatment) รวมถึง กระบวนการยอมรับความเสี่ยง (risk acceptance) กระบวนการสื่อสารในการบริหารความเสี่ยง (risk communication) และ กระบวนการ ติดตามและทบทวนความเสี่ยง (risk monitoring and review)
ม
ธ ส
ม
ธ ส
ม
9-26
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม ม
ธ ส
ภาพที่ 9.5 แผนภาพแสดงกระบวนการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ (ISRM)
ม
7. มาตรฐาน ISO/IEC 27006:2007
ISO/IEC 27006:2007 (requirements for bodies providing audit and certification of ISMS) ประกาศใช้ใ นปี ค.ศ. 2007 เป็นม าตรฐานทีเ่ป็นข ้อก ำ�หนดหลักส ำ�หรับอ งค์กรหรือห น่วยงานทีเ่ป็นผ ูต้ รวจสอบ อิสระในการตรวจประเมินรับรองระบบไอเอสเอ็มเอส โดยระบุข้อกำ�หนดทั่วไปตามแนวทางการตรวจสอบ “ระบบบริหารจัดการ” (management system) มาตรฐานนี้จัดทำ�ขึ้นมาโดยเฉพาะสำ�หรับการตรวจสอบ ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ โดยมีหลักการพื้นฐานและกระบวนการเหมือนกับก าร ตรวจสอบภายในหรือการตรวจสอบทั่วไป ดังนั้น ผู้ตรวจสอบที่ปฏิบัติงานตรวจสอบ ระบบไอเอสเอ็มเอส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-27
ธ ส
ภายในองค์กร (internal ISMS audit) ก็สามารถนำ�ข้อกำ�หนดในมาตรฐานนี้ไปใช้อ้างอิงหรือเป็นแนวทาง ในการตรวจสอบได้
ธ ส
8. มาตรฐาน ISO/IEC 27011:2008
ม
ISO/IEC 27011:2008 (information security management guidelines for telecommunications organizations based on ISO/IEC 27002) ประกาศใช้ในปี ค.ศ. 2008 เป็นมาตรฐานสนับสนุน ในการรกั ษาความมัน่ คงปลอดภัยส ารสนเทศเฉพาะส�ำ หรับห น่วยงานองค์กรประเภทกจิ การโทรคมนาคม โดย เนื้อหาครอบคลุมถึงข้อกำ�หนดในกระบวนการพีดีซีเอในการพัฒนาระบบไอเอสเอ็มเอส สำ�หรับหน่วยงาน องค์กรประเภทโทรคมนาคม รวมถึงข้อกำ�หนดเฉพาะสำ�หรับมาตรการในการรักษาความมั่นคงปลอดภัย สารสนเทศที่จำ�เป็นสำ�หรับหน่วยงานองค์กรประเภทนี้
ม
9. มาตรฐาน ISO/IEC 27033:2009
ธ ส
ธ ส
ม
ธ ส
ISO/IEC 27033 (network security) เป็นกลุ่มชุดมาตรฐานในการรักษาความมั่นคงปลอดภัย สำ�หรับระบบเครือข่ายโดยเฉพาะ โดยมีว ัตถุประสงค์เพื่อประกาศใช้แทนชุดมาตรฐาน ISO/IEC 18028 (IT network security) และมีเป้าหมายที่จะประกาศใช้ทั้งหมด 7 ฉบับ ดังนี้ • ISO/IEC 27033-1:2009 Network security – Part 1: Overview and concepts • ISO/IEC 27033-2 Network security – Part 2: Guidelines for the design and implementation of network security • ISO/IEC 27033-3:2010 Network security – Part 3: Reference networking scenarios — Risks, design techniques and control issues • ISO/IEC 27033-4 Network security – Part 4: Securing communications between networks using security gateways – Risks, design techniques and control issues • ISO/IEC 27033-5 Network security – Part 5: Securing virtual private networks – Risks, design techniques and control issues • ISO/IEC 27033-6 Network security – Part 6: IP convergence • ISO/IEC 27033-7 Network security – Part 7: Wireless
ม
ม
ธ ส
ธ ส
ม
10. มาตรฐาน ISO/IEC 27799:2008
ธ ส
ม
ม
ธ ส
ISO/IEC 27799:2008 (health informatics — information security management in health using ISO/IEC 27002) ประกาศใช้ในปี ค.ศ. 2008 เป็นมาตรฐานในการบริหารจัดการและการรักษาความ มั่นคงปลอดภัยด้านเวชสารสนเทศสำ�หรับหน่วยงานองค์กรด้านสาธารณสุขหรือสถานพยาบาล (ภาพที่ 9.6 แผนภาพแสดงกระบวนการบริหารจัดการความมั่นคงปลอดภัยด้านเวชสารสนเทศ) โดยระบุทั้งหลักการ และข้อกำ�หนดด้านบริหารจัดการ ตามกระบวนการพีดีซีเอของไอเอสเอ็มเอสด้านเวชสารสนเทศ (ISMS for
ม
9-28
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
Health Informatics) และ แนวปฏิบัติด้านการจัดท ำ�มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ซึ่งมี รายละเอียดพอสงั เขปส�ำ หรับก ารวเิ คราะห์ส ถานภาพดา้ นความมัน่ คงปลอดภัยเวชสารสนเทศ (gap analysis) และการประเมินความเสี่ยง (risk assessment) เพื่อจัดทำ�มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ ที่เหมาะสมตามสภาพปัจจัยเสี่ยงขององค์กรประเภทสถานพยาบาล
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ภาพที่ 9.6 แผนภาพแสดงกระบวนการบริหารจัดการความมั่นคงปลอดภัยด ้านเวชสารสนเทศ
ธ ส
ม
ธ ส
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.2.1 แล้วโปรดปฏิบัตกิ ิจกรรม 9.2.1 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.2 เรื่องที่ 9.2.1
ม
ธ ส
ม
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-29
ธ ส
เรื่องที่ 9.2.2 ขอ้ ก �ำ หนดมาตรฐานในการพฒ ั นาระบบบริหารจดั การ ความมั่นคงปลอดภัยสารสนเทศ
ธ ส
ม
ม
มาตรฐานสากลด้านระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศหรือไอเอสเอ็มเอส (ISO/ IEC 27001 – Information Security Management System – ISMS) ได้กลายเป็นมาตรฐานสำ�คัญใน ปัจจุบันในการบริหารจัดการและในการรักษาความมั่นคงปลอดภัยสารสนเทศสำ�หรับองค์กรที่ต้องการยก ระดับการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรให้ได้มาตรฐานสากล ซึ่งรวมถึงระบบ ความมั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์ จุดเด่นข องระบบบริหารจัดการ (management system) ตามมาตรฐานไอเอสโอ (ISO – International Organization for Standardization) คือ การนำ�กระบวนการวงจรพีดีซีเอ (PDCA) ซึ่งป ระกอบ ด้วย ระยะที่หนึ่ง การวางแผน (Plan – P) ระยะที่ส อง การลงมือปฏิบัติ (Do – D) ระยะที่สาม การตรวจสอบ (Check – C) และ ระยะที่ส ี่ การปรับปรุงแก้ไข (Act – A) มาใช้เป็นวิธีการสำ�หรับกระบวนการในการจัดทำ� และพัฒนาระบบไอเอสเอ็มเอส ซึ่งต ้องมีก ารนำ�ไปปฏิบัติ ทบทวน ตรวจสอบ และดำ�เนินการปรับปรุงให้ด ีข ึ้น เรื่อยๆ เป็นว งจรต่อเนื่อง (ภาพที่ 9.7)
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ธ ส
ธ ส
ม
ม
ธ ส
ภาพที่ 9.7 แผนภาพแสดงกระบวนการวงจรพดี ีซีเอในการพัฒนาระบบไอเอสเอ็มเอส
สาระสำ�คัญของมาตรฐาน ISO/IEC 27001:2005 นี้อยู่ที่ ข้อกำ�หนดที่ 4, 5, 6, 7, 8 ซึ่งเป็นหัวใจหลัก ในการพฒ ั นาระบบบริหารจดั การความมัน่ คงปลอดภัยส ารสนเทศ (ISMS) โดยสว่ นทเี่ ป็นส าระส�ำ คัญท ีส่ ดุ คือ
ม
9-30
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
ข้อกำ�หนดที่ 4 ว่าด้วยการจัดทำ�ระบบไอเอสเอ็มเอส ซึ่งกำ�หนดกระบวนการทั้งหมดเป็น 4 ระยะ (phases) ตามที่ระบุในข้อกำ�หนดที่ 4.2.1-4.2.4 ตามกระบวนการวงจรพีดีซีเอ (ภาพที่ 9.8)
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ภาพที่ 9.8 โครงสร้างข้อกำ�หนดตามมาตรฐานในการพัฒนาระบบบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศ - ISMS Requirements
ธ ส
1. ระยะที่หนึ่ง การวางแผน
ธ ส
“การวางแผน” (Plan – P) เป็นขั้นต อนสำ�คัญใ นการจัดทำ�ระบบบริหารจัดการความมั่นคงปลอดภัย สารสนเทศ (Establishing the ISMS) ประกอบด้วยกิจกรรมสำ�คัญ 10 กิจกรรม โดยมีรายละเอียด ดังนี้ 1) กำ�หนดขอบเขต (the scope and boundaries of the ISMS) สำ�หรับก ารพัฒนาระบบไอเอส เอ็มเอส เพื่อระบุความชัดเจนของคุณลักษณะทางธุรกิจ โครงสร้าง สถานที่ ทรัพย์สินสารสนเทศ และ สิ่งที่ อยู่ในขอบเขตหรือสิ่งที่ไ ม่อยู่ใ นขอบเขตการพัฒนาระบบไอเอสเอ็มเอส 2) กำ�หนดนโยบายการบริหารจดั การความมัน่ คงปลอดภัยส ารสนเทศ (ISMS policy) เพือ่ เสนอฝา่ ย บริหารพิจารณาอนุมัติ สำ�หรับประกาศใช้เป็นกรอบนโยบายในการพัฒนาระบบไอเอสเอ็มเอสตามขอบเขตที่ กำ�หนด 3) กำ�หนดวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัย โดยระบุเกณฑ์วิธีในการประเมิน ความเสี่ยง และ เกณฑ์ก ารยอมรับความเสี่ยงและระดับความเสี่ยงที่ยอมรับได้
ม
ม
ธ ส
ม
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-31
ธ ส
4) ระบุป ัจจัยเสี่ยง ประกอบด้วย - ระบุท รัพย์สินส ารสนเทศที่อ ยู่ในขอบเขตการพัฒนาระบบไอเอสเอ็มเอส - ระบุภ ัยค ุกคามที่มีต ่อทรัพย์สินสารสนเทศ - ระบุช ่องโหว่ที่อาจเป็นช่องทางสำ�หรับภ ัยคุกคาม - ระบุผลกระทบต่อการสูญเสียด้านการรักษาความลับ การรักษาความครบถ้วน และการ รักษาสภาพพร้อมใช้งาน ที่อ าจมีต ่อทรัพย์สินสารสนเทศ 5) วิเคราะห์แ ละประเมินความเสี่ยง - ประเมินผ ลกระทบทางธุรกิจท ี่ม ีผลมาจากการสูญเสียด้านความมั่นคงปลอดภัย - ประเมินโ อกาสเกิดขึ้นของการสูญเสียด้านความมั่นคงปลอดภัย - ประเมินค ่าระดับความเสี่ยง - พิจารณาระดับความเสี่ยงว่าเป็นระดับค วามเสี่ยงที่ยอมรับไ ด้ห รือที่ต้องจัดการความเสี่ยง 6) ระบุแ ละประเมินทางเลือกเพื่อจัดการความเสี่ยง - การเลือกใช้มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ - การยอมรับสภาพความเสี่ยง - การหลีกเลี่ยงความเสี่ยง - การถ่ายโอนความเสี่ยงที่ส ัมพันธ์ท างธุรกิจไ ปยังห น่วยงานภายนอก เช่น การซื้อก รมธรรม์ ประกันภัย เป็นต้น 7) เลือกวัตถุประสงค์และมาตรการในการจัดการความเสี่ยง โดยพิจารณาจากมาตรการ จำ�นวน 133 รายการ ที่ร ะบุในภาคผนวก (Annex A) 8) เสนอฝ่ายบริหารเพื่อพ ิจารณาอนุมัติความเสี่ยงคงเหลือ 9) เสนอฝ่ายบริหารเพื่อพ ิจารณาเห็นชอบให้นำ�ระบบไอเอสเอ็มเอสไปปฏิบัติและดำ�เนินการ 10) จั ด ทำ �เ อกสารส รุ ป ม าตรการรั ก ษาค วามมั่ น คงป ลอดภั ย ส ารสนเทศที่ เ ลื อ กใ ช้ ใ นร ะบบ ไอเอสเอ็มเอส
ธ ส
ม
ธ ส
ม
ธ ส
2. ระยะที่สอง การลงมือปฏิบัติ
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ม
ธ ส
“การลงมือป ฏิบัติ” (Do – D) เป็นข ั้นต อนนำ�กระบวนการและมาตรการต่างๆ ในขั้นต อนการวางแผน ตามการพัฒนาระบบไอเอสเอ็มเอสทีไ่ ด้ร ับค วามเห็นช อบจากฝ่ายบริหาร เพื่อน ำ�ระบบไอเอสเอ็มเอสไ ปปฏิบัติ และดำ�เนินก ารในขั้นตอนปฏิบัติจริง (implement and operate the ISMS) ประกอบด้วยกิจกรรมสำ�คัญ 8 กิจกรรม โดยมีรายละเอียด ดังนี้ 1) จัดท ำ�แผนจัดการความเสี่ยง (risk treatment plan) โดยระบุลำ�ดับค วามสำ�คัญในการจัดการ ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ 2) นำ�แผนจัดการความเสี่ยงไปดำ�เนินการ 3) นำ�มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศที่เลือกใช้ไปดำ�เนินการ
ม
ม
ธ ส
9-32
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
4) กำ�หนดเกณฑ์วิธีการวัดประสิทธิผลของมาตรการด้านความมั่นคงปลอดภัย 5) จัดฝ ึกอ บรมและการสร้างความตระหนักด้านความมั่นคงปลอดภัย (training and awareness programmes) 6) บริหารจัดการในการดำ�เนินการระบบไอเอสเอ็มเอส 7) บริหารจัดการทรัพยากรสำ�หรับระบบไอเอสเอ็มเอส 8) นำ�ขั้นตอนปฏิบัติและมาตรการที่เกี่ยวข้องในการตรวจจับเหตุการณ์ด้านความมั่นคงปลอดภัย และการตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์
ธ ส
ม
3. ระยะที่สาม การตรวจสอบ
ธ ส
ม
ม
“การตรวจสอบ” (Check – C) เป็นข ั้นต อนสำ�คัญเพื่อก ารติดตาม ทบทวน และตรวจสอบ (monitor and review the ISMS) ว่าการดำ�เนินการต่างๆ ได้เป็นไปตามวัตถุประสงค์ในการบริหารจัดการและรักษา ความมั่นคงปลอดภัยส ารสนเทศตามกรอบนโยบายและวัตถุประสงค์ที่ก ำ�หนด ประกอบด้วยกิจกรรมสำ�คัญ 8 กิจกรรม โดยมีรายละเอียด ดังนี้ 1) จัดใ ห้มีการติดตามและทบทวนการนำ�ขั้นตอนปฏิบัติแ ละมาตรการต่างๆ ไปใช้ปฏิบัติงาน 2) ดำ�เนินก ารทบทวนประสิทธิผลของระบบไอเอสเอ็มเอสตามรอบระยะเวลาที่กำ�หนด 3) ดำ � เนิ น ก ารวั ด ป ระสิ ท ธิ ผ ลข องม าตรการที่ ใ ช้ เ พื่ อ บ รรลุ ต ามข้ อ กำ � หนดด้ า นค วามมั่ น คง ปลอดภัย 4) ทบทวนการประเมินความเสี่ยงตามรอบระยะเวลาที่กำ�หนด รวมถึงทบทวนความเสี่ยงคงเหลือ และระดับความเสี่ยงที่ยอมรับได้ โดยพิจารณาจากปัจจัยการเปลี่ยนแปลงด้านโครงสร้างหรือองค์ประกอบ ที่เกี่ยวข้อง 5) ดำ�เนินก ารตรวจสอบภายในระบบไอเอสเอ็มเอส (internal ISMS audit) ตามรอบระยะเวลาที่ กำ�หนด 6) จัดให้มีการทบทวนระบบไอเอสเอ็มเอสโดยฝ่ายบริหารอย่างสม่ำ�เสมอ เพื่อให้มั่นใจว่ามีการ ปรับปรุงกระบวนการในระบบไอเอสเอ็มเอส 7) ปรับปรุงแ ผนงานด้านความมั่นคงปลอดภัย โดยพิจารณาถึงผ ลที่ไ ด้ร ับจ ากการติดตามและการ ทบทวนจากผลการปฏิบัติ 8) บันทึกสิ่งที่ได้ดำ�เนินการและเหตุการณ์ที่อาจมีผลต่อประสิทธิผลหรือประสิทธิภาพของระบบ ไอเอสเอ็มเอส
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
4. ระยะที่สี่ การปรับปรุงแก้ไข
ธ ส
ม
ม
ธ ส
“การปรับปรุงแ ก้ไข” (Act – A) เป็นขั้นตอนสุดท้ายในวงจรพีดีซีเอ (PDCA) เพื่อการดำ�รงรักษา หรือปรับปรุงระบบไอเอสเอ็มเอส (maintain and improve the ISMS) ให้บรรลุตามวัตถุประสงค์ในการ
ม
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-33
ธ ส
บริหารจัดการและรักษาความมั่นคงปลอดภัยสารสนเทศ ประกอบด้วยกิจกรรมสำ�คัญ 4 กิจกรรม โดยมี รายละเอียด ดังนี้ 1) นำ�แนวทางการปรับปรุงระบบไอเอสเอ็มเอสที่ได้กำ�หนดไว้ไปดำ�เนินการ 2) ดำ�เนินก ารปรับปรุงเพื่อแก้ไข (corrective action) หรือเพื่อปกป้อง (preventive action) จาก ผลการเรียนรู้และผลการปฏิบัติ 3) สื่อสารสิ่งท ี่ได้ด ำ�เนินการหรือที่ได้ด ำ�เนินการปรับปรุง ไปยังผู้ที่เกี่ยวข้อง 4) ให้แ น่ใจว่าการปรับปรุงที่ด ำ�เนินการ ได้บรรลุวัตถุประสงค์ตามที่กำ�หนดไว้ นอกจากนี้ มาตรฐาน ISO/IEC 27001:2005 ในภาคผนวก (Annex A) (ภาพที่ 9.9) ระบุห ัวข้อ มาตรการรักษาความมั่นคงปลอดภัยส ารสนเทศ จำ�นวน 11 หมวด (domains) ซึ่งป ระกอบด้วยวัตถุประสงค์ การควบคุม (control objectives) จำ�นวน 39 ข้อ และมาตรการรักษาความมั่นคงปลอดภัยส ารสนเทศ จำ�นวน 133 รายการ ที่เชื่อมโยงและสอดคล้องกับมาตรฐาน ISO/IEC 27002:2005 สำ�หรับองค์กรได้พิจารณาเลือก มาตรการที่เหมาะสมในการรักษาความมั่นคงปลอดภัยสารสนเทศตามสภาพปัจจัยเสี่ยงขององค์กร (ภาพ ที่ 9.10)
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม ม
ธ ส
ม
ธ ส
ม ม
ธ ส
ภาพที่ 9.9 โครงสร้างแสดงข้อก ำ�หนดในการจัดทำ�มาตรการรักษาความมั่นคงปลอดภัย สารสนเทศตามมาตรฐาน ISO/IEC 27001 - Annex A
9-34
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ม
ธ ส
ม
ภาพที่ 9.10 โครงสร้างความสัมพันธ์ของข้อกำ�หนดในการจัดทำ�มาตรการรักษาความมั่นคง ปลอดภัยส ารสนเทศตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002
ม
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.2.2 แล้ว โ ปรดปฏิบัติกิจกรรม 9.2.2 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.2 เรื่องที่ 9.2.2
ม
ธ ส
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ตอนที่ 9.3
ธ ส
ม
9-35
ธ ส
มาตรการรักษาความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
โปรดอ่านแผนการสอนประจำ�ตอนที่ 9.3 แล้วจ ึงศึกษาเนื้อหาสาระ พร้อมปฏิบัติกิจกรรมในแต่ละเรื่อง
ม
หัวเรื่อง
แนวคิด
ธ ส
เรื่องที่ 9.3.1 การประเมินความเสี่ยงและจัดการความเสี่ยงด้านความมั่นคงปลอดภัยของ ธุรกิจอ ิเล็กทรอนิกส์ เรื่องที่ 9.3.2 การพิจารณามาตรการรักษาความมั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์
ธ ส
ม
ธ ส
1. การประเมินค วามเสีย่ งเป็นก จิ กรรมในระยะเริม่ ต น้ ท สี่ �ำ คัญใ นการพฒ ั นาระบบความมัน่ คง ปลอดภัยของธุรกิจอิเล็กทรอนิกส์ โดยมีกิจกรรมสำ�คัญในการกำ�หนดวิธีการประเมิน ความเสี่ยง การระบุปัจจัยเสี่ยง การวิเคราะห์แ ละประเมินระดับความเสี่ยง 2. ก ารจั ด การค วามเ สี่ ย งเ ป็ น กิ จ กรรมต่ อ เ นื่ อ งจากร ะยะเ ริ่ ม ต้ น จากผ ลก ารป ระเมิ น ความเสี่ยง เพื่อใ ช้ในการจัดทำ�แผนจัดการความเสี่ยงตามสภาพปัจจัยเสี่ยง 3. มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศตามมาตรฐานสากล ระบุวัตถุประสงค์ การควบคุมและมาตรการควบคุม จำ�นวน 11 หมวด รวม 39 วัตถุประสงค์ ประกอบ ด้วยมาตรการ 133 รายการ สำ�หรับองค์กรพิจารณาเลือกใช้ในการควบคุมและจัดการ ความเสี่ยง
ม
ธ ส
วัตถุประสงค์
ธ ส
ม
ม
ธ ส
เมื่อศึกษาตอนที่ 9.3 จบแล้ว นักศึกษาสามารถ 1. อธิบายความส�ำ คัญข องการประเมินค วามเสีย่ งและการจดั การความเสีย่ ง ตามกระบวนการ บริหารความเสีย่ งดา้ นสารสนเทศและความมัน่ คงปลอดภัยส ารสนเทศ สำ�หรับร ะบบความ มั่นคงปลอดภัยของธุรกิจอ ิเล็กทรอนิกส์ได้ 2. อธิบายแนวปฏิบัติในการพิจารณามาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ เพื่อ เป็นม าตรการควบคุมหรือลดความเสี่ยงในการจัดการความเสี่ยงได้ 3. อธิบายวัตถุประสงค์การควบคุมและมาตรการที่ใช้ในการรักษาความมั่นคงปลอดภัย สารสนเทศสำ�หรับระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ได้
ม
ม
ธ ส
ม
9-36
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
เรื่องที่ 9.3.1 การประเมินค วามเสีย่ งและจดั การความเสีย่ งดา้ นความ มั่นคงปลอดภัยข องธุรกิจอิเล็กทรอนิกส์
ธ ส
ม
ม
หัวใจสำ�คัญในการเลือกมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศสำ�หรับระบบความมั่นคง ปลอดภัยข องธุรกิจอ ิเล็กทรอนิกส์ ตามมาตรฐานระบบไอเอสเอ็มเอส (ISMS) คือ องค์กรต้องสามารถประเมิน ความเสี่ยงด้านความมั่นคงปลอดภัยส ารสนเทศ เพื่อใ ห้ร ับร ูส้ ภาพความเสี่ยงและปัจจัยเสี่ยงขององค์กร และ จะได้ดำ�เนินการจัดท ำ�แผนจัดการความเสี่ยงได้อย่างเหมาะสม จากนั้น จึงด ำ�เนินการเลือกใช้มาตรการรักษา ความมั่นคงปลอดภัยสารสนเทศตามข้อกำ�หนดด้านความมั่นคงปลอดภัยเพื่อบรรลุตามวัตถุประสงค์ด้าน ความมั่นคงปลอดภัยที่ต้องการ
ธ ส
1. การประเมินค วามเสี่ยง
ธ ส
ม
ธ ส
ม
ขั้นตอนเริ่มต้นที่สำ�คัญ คือ ดำ�เนินการประเมินความเสี่ยง (risk assessment) ด้านสารสนเทศ/ ด้ า นค วามมั่ น คงป ลอดภั ย ส ารสนเทศ ตามก ระบวนการแ ละเ กณฑ์ วิ ธี ก ารป ระเมิ น ค วามเ สี่ ย งที่ ไ ด้ รั บ ความเห็นช อบจากฝ่ายบริหาร เพื่อด ำ�เนินการ การพัฒนานโยบายและกระบวนการบริหารความเสี่ยงด้านสารสนเทศ/ด้านความมั่นคงปลอดภัย สารสนเทศ สำ�หรับระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์ ในปัจจุบันสามารถประยุกต์ใช้แนว ปฏิบัติตามมาตรฐาน ISO/IEC 27005 (information security risk management) ซึ่งร วมถึงการจัดทำ� เกณฑ์การประเมินความเสี่ยง และการจัดทำ�คู่มือบ ริหารความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ขอบเขตในการประเมินค วามเสี่ยงสามารถกำ�หนดเป็นร ะดับท ั้งอ งค์กรหรือเพียงบางส่วนขององค์กร หรือแ ม้แต่เพียงระบบสารสนเทศบางระบบ หรือ เพียงองค์ป ระกอบสำ�คัญข องระบบหรือบ ริการ แต่ท ั้งนีก้ ต็ ้อง สอดคล้องกับขอบเขตในการพัฒนาระบบไอเอสเอ็มเอส กิจกรรมที่เกี่ยวข้องในการประเมินความเสี่ยง ประกอบด้วย 3 กิจกรรม ดังนี้ 1) กำ�หนดวิธีการประเมินความเสี่ยงด้านความมั่นคงปลอดภัย โดยระบุเกณฑ์วิธีในการประเมิน ความเสี่ยง และ เกณฑ์ก ารยอมรับความเสี่ยงและระดับความเสี่ยงที่ยอมรับได้ 2) ระบุป ัจจัยเสี่ยง ประกอบด้วย - ระบุท รัพย์สินสารสนเทศที่อ ยู่ในขอบเขตการพัฒนาระบบไอเอสเอ็มเอส - ระบุภ ัยคุกคามที่มีต่อทรัพย์สินส ารสนเทศ - ระบุช ่องโหว่ท ี่อาจเป็นช่องทางสำ�หรับภ ัยคุกคาม - ระบุผลกระทบต่อการสูญเสียด้านการรักษาความลับ การรักษาความครบถ้วน และการ รักษาสภาพพร้อมใช้งาน ที่อาจมีต่อทรัพย์สินสารสนเทศ
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-37
ธ ส
3) วิเคราะห์แ ละประเมินความเสี่ยง - ประเมินผ ลกระทบทางธุรกิจท ี่ม ีผลมาจากการสูญเสียด้านความมั่นคงปลอดภัย - ประเมินโ อกาสเกิดขึ้นของการสูญเสียด้านความมั่นคงปลอดภัย - ประเมินค ่าระดับความเสี่ยง - พิ จ ารณาร ะดั บ ค วามเ สี่ ย งว่ า เ ป็ น ร ะดั บ ค วามเ สี่ ย งที่ ย อมรั บ ไ ด้ ห รื อ ที่ ต้ อ งจั ด การ ความเสี่ยง
ธ ส
ม
ธ ส
2. การจัดการความเสี่ยง
ม
ขั้นตอนในการจัดการความเสี่ยง (risk treatment) ได้แก่ การจัดทำ�แผนจัดการความเสี่ยง (risk treatment plan) เพื่อใ ห้บ รรลุต ามข้อก ำ�หนดหรือว ัตถุประสงค์ด ้านความมั่นคงปลอดภัยใ นการควบคุมห รือ ลดความเสี่ยง ตามสภาพปัจจัยเสี่ยงจากผลการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ การที่จะพิจารณาได้ว่ารายการความเสี่ยงใดตามสภาพปัจจัยเสี่ยงหรือปัจจัยเสี่ยงที่ต้องดำ�เนิน การจัดทำ�แผนจัดการความเสี่ยง ประเด็นส ำ�คัญคือต้องมีการจัดทำ�เกณฑ์การยอมรับความเสี่ยงและระดับ ค วามเสี่ยงที่ย อมรับไ ด้ต ามที่ไ ด้ร ับค วามเห็นช อบจากฝ่ายบริหาร เพื่อใ ช้เป็นเกณฑ์เปรียบเทียบและพิจารณา ผลรายการความเสี่ยง การคดั เลือกมาตรการรกั ษาความมัน่ คงปลอดภัยส ารสนเทศเพือ่ ใ ช้ใ นการควบคุมห รือล ดความเสีย่ ง จะได้ผ ลดหี รือไ ม่ ขึ้นอ ยูก่ ับว ่าม าตรการนั้นต ้องบรรลุต ามข้อก ำ�หนดทีร่ ะบุจ ากผลการประเมินค วามเสี่ยง เพื่อ ให้มั่นใจว่าความเสี่ยงนั้นจะต้องลดลงอยู่ใ นระดับความเสี่ยงที่ย อมรับได้ กิจกรรมที่เกี่ยวข้องในการจัดการความเสี่ยง ประกอบด้วย 5 กิจกรรม ดังนี้ 1) ระบุแ ละประเมินทางเลือกเพื่อจ ัดการความเสี่ยง - การเลือกใช้มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ - การยอมรับสภาพความเสี่ยง - การหลีกเลี่ยงความเสี่ยง - การถ่ายโอนความเสี่ยงที่ส ัมพันธ์ท างธุรกิจไ ปยังห น่วยงานภายนอก เช่น การซื้อก รมธรรม์ ประกันภัย เป็นต้น 2) เลือกวัตถุประสงค์และมาตรการในการจัดการความเสี่ยง โดยพิจารณาจากมาตรการ จำ�นวน 133 รายการ ที่ระบุในภาคผนวก (Annex A) 3) เสนอฝ่ายบริหารเพื่อพ ิจารณาอนุมัติความเสี่ยงคงเหลือ 4) จัดท ำ�แผนจัดการความเสี่ยง (risk treatment plan) โดยระบุลำ�ดับความสำ�คัญในการจัดการ ความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ 5) นำ�แผนจัดการความเสี่ยงไปดำ�เนินการ
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.3.1 แล้ว โ ปรดปฏิบัติกิจกรรม 9.3.1 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.3 เรื่องที่ 9.3.1
9-38
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
เรื่องที่ 9.3.2 การพิจารณามาตรการรักษาความมั่นคงปลอดภัยข อง ธุรกิจอิเล็กทรอนิกส์
ธ ส
ม
ม
หัวข้อม าตรการรักษาความมั่นคงปลอดภัยส ารสนเทศ สำ�หรับร ะบบความมั่นคงปลอดภัยข องธุรกิจ อิเล็กทรอนิกส์ สามารถเลือกได้จากรายการที่ระบุในภาคผนวก (Annex) ของมาตรฐาน ISO/IEC 27001 (ISMS requirements) ซึง่ ร ะบุเป็นช ือ่ ห วั ข้อม าตรการทใี่ ห้เลือกด�ำ เนินก าร (what) ส่วนแนวปฏิบตั หิ รือว ธิ กี าร ดำ�เนินก ารอย่างไร สามารถพิจารณาได้จ ากรายละเอียดในมาตรฐาน ISO/IEC 27002 (code of practice for information security management) ซึ่งร ะบุถ ึงแ นวปฏิบัตหิ รือว ิธกี ารดำ�เนินก ารในแต่ละมาตรการ (how) ว่ามีแนวทางอย่างไรเพื่อให้บรรลุตามข้อกำ�หนดและวัตถุประสงค์ด้านความมั่นคงปลอดภัยที่กำ�หนด มาตรการรักษาความมั่นคงปลอดภัยส ารสนเทศ ตามมาตรฐาน ISO/IEC 27001 และ ISO/IEC 27002 จำ�แนกได้เป็น 3 ระดับ คือ • ระดับหัวข้อการควบคุมหรือห มวดการควบคุม (domain) จำ�นวน 11 หมวด • ในแต่ละหมวด ประกอบด้วยวัตถุประสงค์การควบคุม (control objectives) ในจำ�นวนที่ แตกต่างกันขึ้นอยู่ก ับข้อกำ�หนดและวัตถุประสงค์ แต่จำ�นวนรวมของวัตถุประสงค์ทั้งหมด จำ�นวน 39 ข้อ • ในระดับวัตถุประสงค์การควบคุม ได้จำ�แนกเป็นมาตรการควบคุม (controls) ในจำ�แนกที่ แตกต่างกันตามแต่ละวัตถุประสงค์ โดยมีจ ำ�นวนรวมทั้งหมด 133 รายการ ทั้งนี้ องค์กรไม่จำ�เป็นต้องเลือกใช้มาตรการควบคุมทั้งหมด 133 รายการ รวมทั้งยังสามารถที่จะ พิจารณาเลือกมาตรการควบคุมอ ื่นท ี่อ าจไม่ไ ด้ร ะบุอ ยู่ใ น 133 รายการดังก ล่าวก็ได้ ทั้งนี้ ขึ้นอ ยู่ก ับข ้อก ำ�หนด และวัตถุประสงค์ด้านความมั่นคงปลอดภัยและขอบเขตในการรักษาความมั่นคงปลอดภัยสารสนเทศของ องค์กร มาตรการรักษาความมั่นคงปลอดภัยสารสนเทศ จำ�นวน 11 หมวด ประกอบด้วย 1) การสร้างความมั่นคงปลอดภัยด้านบริหารจัดการ 2) การจัดโครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ 3) การบริหารจัดการทรัพย์สินสารสนเทศ 4) การสร้างความมั่นคงปลอดภัยของระบบสารสนเทศด้านบุคลากร 5) การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม 6) การบริหารจัดการด้านการสื่อสารและการดำ�เนินงาน 7) การควบคุมการเข้าถึงข ้อมูล สารสนเทศ และระบบสารสนเทศ 8) การจัดหาหรือจัดให้ม ี การพัฒนา และการบำ�รุงร ักษาระบบสารสนเทศ 9) การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัย
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-39
ธ ส
10) การบริหารจัดการด้านความต่อเนื่องในการดำ�เนินงาน 11) การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบายและข้อกำ�หนดด้านความมั่นคง ปลอดภัย
ธ ส
1. การสร้างความมั่นคงปลอดภัยด ้านบริหารจัดการ
ม
ม
การจัดทำ�เอกสารนโยบายความมั่นคงปลอดภัย วัตถุประสงค์ เพื่อกำ�หนดทิศทางและให้การสนับสนุนด้านความมั่นคงปลอดภัยด้านสารสนเทศ ขององค์กร ให้เป็นไปตามหรือสอดคล้องกับข้อกำ�หนดทางธุรกิจ กฎหมาย และระเบียบปฏิบัติที่เกี่ยวข้อง ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) การจัดทำ�เอกสารนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยให้มีการจัดทำ�เอกสาร นโยบายความมั่นคงปลอดภัยส ารสนเทศ และได้ร ับก ารอนุมัตโิ ดยผูบ้ ริหารขององค์กร เพื่อเผยแพร่ ประกาศ ใช้และถือป ฏิบัติทั่วท ั้งอ งค์กร 2) การทบทวนเอกสารนโยบายความมั่นคงปลอดภัยสารสนเทศ โดยให้มีการดำ�เนินการ ทบทวนนโยบายความมั่นคงปลอดภัยสารสนเทศตามรอบระยะเวลาที่กำ�หนด หรือเมื่อมีการเปลี่ยนแปลง อย่างมีนัยสำ�คัญ เพื่อให้มั่นใจว่านโยบายฯจะยังคงเหมาะสมเพียงพอและสามารถนำ�ไปปฏิบัติได้อย่าง สัมฤทธิผล
ธ ส
ม
ธ ส
ม
ธ ส
2. การจัดโ ครงสร้างด้านความมั่นคงปลอดภัยของระบบสารสนเทศ
ธ ส
ม
2.1 การจัดโครงสร้างความมั่นคงปลอดภัยภายในองค์กร วัตถุประสงค์ เพื่อบริหารจัดการด้านความมั่นคงปลอดภัยสารสนเทศภายในองค์กร ประกอบด้วย มาตรการ 8 รายการ ได้แก่ 1) การสนับสนุนและให้ความสำ�คัญด ้านความมั่นคงปลอดภัยสารสนเทศจากฝ่ายบริหาร 2) การประสานงานด้านความมั่นคงปลอดภัยสารสนเทศภายในองค์กร 3) หน้าที่ค วามรับผิดช อบด้านความมั่นคงปลอดภัยสารสนเทศ 4) กระบวนการอนุมัติเพื่อน ำ�ระบบประมวลผลข้อมูลสารสนเทศมาใช้ในองค์กร 5) ข้อต กลงไม่เปิดเผยความลับข้อมูล 6) การจัดทำ�ข้อมูลรายชื่อผ ู้ต ิดต่อและผู้มีอำ�นาจหน้าที่ในกรณีจำ�เป็น 7) การจัดทำ�ข้อมูลรายชื่อผู้ต ิดต่อท ี่อยู่ในกลุ่มกิจกรรมที่เกี่ยวข้องหรือที่ส นใจเป็นพิเศษ 8) การจัดให้มีการตรวจสอบการบริหารจัดการความมั่นคงปลอดภัยโดยผู้ตรวจสอบอิสระ 2.2 การจัดโครงสร้างด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับลูกค้าและหน่วยงาน ภายนอก วัตถุประสงค์ เพื่อบริหารจัดการความมั่นคงปลอดภัยสำ�หรับสารสนเทศและอุปกรณ์ประมวลผล ขององค์กรที่สามารถเข้าถึงได้โดยหน่วยงานภายนอก รวมถึงส่วนที่ประมวลผลหรือนำ�ไปใช้ในการติดต่อ สื่อสารกับลูกค้าหรือห น่วยงานภายนอก ประกอบด้วยมาตรการ 3 รายการ ได้แก่
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
9-40
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
1) การระบุชี้ถึงค วามเสี่ยงที่เกี่ยวข้องกับผ ู้ให้บริการและหน่วยงานภายนอก 2) การระบุประเด็นความมั่นคงปลอดภัยสารสนเทศสำ�หรับล ูกค้าและผู้ใช้ภายนอก 3) การระบุและจัดทำ�ข้อกำ�หนดที่เกี่ยวกับค วามมั่นคงปลอดภัยสำ�หรับหน่วยงานภายนอก
ธ ส
3. การบริหารจัดการทรัพย์สินสารสนเทศ
ม
ม
3.1 หน้าทีค่ วามรับผิดชอบต่อทรัพย์สินข ององค์กร วัตถุประสงค์ เพื่อปกป้องทรัพย์สินขององค์กรจากความเสียหายที่อาจเกิดขึ้นได้ ประกอบด้วย มาตรการ 3 รายการ ได้แก่ 1) การจัดทำ�รายการบัญชีท รัพย์สิน 2) การระบุผู้เป็นเจ้าของหรือผู้ด ูแลทรัพย์สินสารสนเทศ 3) ข้อต กลงยอมรับเงื่อนไขการใช้งานทรัพย์สินสารสนเทศ 3.2 การจำ�แนกประเภทสารสนเทศ วัตถุประสงค์ เพื่อก ำ�หนดระดับข องการปกป้องสารสนเทศขององค์กรอย่างเหมาะสม ประกอบด้วย มาตรการ 2 รายการ ได้แก่ 1) แนวปฏิบัติในการจำ�แนกประเภทสารสนเทศ 2) การจัดทำ�ป้ายชื่อและการควบคุมจัดการสารสนเทศ
ธ ส
ม
ธ ส
ม
ธ ส
4. การสร้างความมั่นคงปลอดภัยข องระบบสารสนเทศด้านบุคลากร
ธ ส
ม
4.1 ความมั่นคงปลอดภัยก ่อนการจ้างงาน วัตถุประสงค์ เพื่อใ ห้มั่นใจว่าพนักงาน คู่ส ัญญา ผู้ปฏิบัติห น้าที่ที่มาจากหน่วยงานภายนอก มีความ เข้าใจในความรบั ผ ดิ ช อบของตนเอง และความรบั ผ ดิ ช อบนัน้ เพียงพอตอ่ ห น้าทีง่ านของตน รวมทัง้ เป็นการชว่ ย ลดความเสี่ยงจากการโจรกรรม การฉ้อฉล และการใช้ในทางที่ผิด ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) การกำ�หนดหน้าที่ความรับผิดช อบด้านความมั่นคงปลอดภัยสารสนเทศ 2) การตรวจสอบคุณสมบัติของผู้ส มัคร 3) การกำ�หนดเงื่อนไขการจ้างงาน 4.2 ความมั่นคงปลอดภัยใ นระหว่างการจ้างงาน วัตถุประสงค์ เพื่อใ ห้พ นักงาน คู่ส ัญญา และผู้ปฏิบัติหน้าที่ที่มาจากหน่วยงานภายนอก ได้ตระหนัก ถึงภัยค ุกคามและปัญหาที่เกี่ยวข้องกับความมั่นคงปลอดภัย รวมถึงหน้าที่ความรับผิดชอบที่เป็นพันธะทาง กฎหมาย รวมทั้งไ ด้เรียนรู้แ ละทำ�ความเข้าใจเกี่ยวกับน โยบายความมั่นคงปลอดภัยข ององค์กร ทั้งนี้ เพื่อล ด ความเสี่ยงอันเกิดจากความผิดพลาดในการปฏิบัติหน้าที่ ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) หน้าที่ค วามรับผิดช อบในการบริหารจัดการด้านความมั่นคงปลอดภัย 2) การสร้างความตระหนัก การให้ความรู้ การจัดฝึกอบรมด้านความมั่นคงปลอดภัย 3) กระบวนการทางวินัยเพื่อลงโทษ
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-41
ธ ส
4.3 ความมั่นคงปลอดภัยเมื่อมีการเปลี่ยนแปลงการจ้างงานหรือส ิ้นสุดก ารจ้างงาน วัตถุประสงค์ เพื่อใ ห้พ นักงาน คูส่ ัญญา ผูป้ ฏิบัตหิ น้าทีท่ ี่มาจากหน่วยงานภายนอก ได้ท ราบถึงห น้าที่ ความรับผิดชอบของตน เมื่อสิ้นสุดการจ้างงานหรือมีการเปลี่ยนแปลงการจ้างงาน เพื่อปฏิบัติตนได้อย่างถูก ต้องตามกฎระเบียบ ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) หน้าที่ค วามรับผิดชอบเมื่อมีก ารเปลี่ยนแปลงหรือสิ้นสุดการจ้างงาน 2) การส่งคืนทรัพย์สิน 3) การถอดถอนสิทธิ์ก ารใช้ระบบสารสนเทศ
ธ ส
ม
ธ ส
5. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม
ม
ม
5.1 พื้นทีท่ ี่ต้องมีการรักษาความมั่นคงปลอดภัย วัตถุประสงค์ เพื่อป้องกันก ารเข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต การก่อให้เกิดค วามเสียหาย หรือรบกวนต่อสถานที่แ ละสารสนเทศ ประกอบด้วยมาตรการ 6 รายการ ได้แก่ 1) การกำ�หนดขอบเขตพื้นที่ท ี่ต้องมีการรักษาความมั่นคงปลอดภัยทางกายภาพ 2) การควบคุมการเข้าออกพื้นที่ 3) การรักษาความมั่นคงปลอดภัยต่อพื้นที่ปฏิบัติงาน ห้องทำ�งาน และอุปกรณ์ 4) การป้องกันภ ัยคุกคามจากภายนอกและสิ่งแวดล้อม 5) การปฏิบัติงานในพื้นที่ท ี่ต้องรักษาความมั่นคงปลอดภัย 6) การจัดพื้นที่ส ำ�หรับการขนส่งและการส่งมอบสิ่งของโดยบุคคลภายนอก 5.2 ความมั่นคงปลอดภัยข องอุปกรณ์ วัตถุประสงค์ เพื่อป้องกันก ารสูญหาย ความเสียหาย การลักทรัพย์ การเข้าถ ึงทรัพย์สินสารสนเทศ โดยไม่ไ ด้ร บั อ นุญาต และการท�ำ ให้ก จิ กรรมตา่ งๆ ขององค์กรเกิดต ดิ ขัดห รือห ยุดช ะงักป ระกอบดว้ ยมาตรการ 7 รายการ ได้แก่ 1) การติดตั้งและการป้องกันอ ุปกรณ์ 2) ระบบสนับสนุนและอุปกรณ์ส นับสนุน 3) ความมั่นคงปลอดภัยของสายสื่อสัญญาณ 4) การบำ�รุงรักษาอุปกรณ์ 5) ความมั่นคงปลอดภัยสำ�หรับอุปกรณ์ที่ใช้งานนอกสถานที่ 6) การกำ�จัดอุปกรณ์ห รือการนำ�อุปกรณ์กลับมาใช้งาน 7) การเคลื่อนย้ายทรัพย์สิน
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส
9-42
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
6. การบริหารจัดการด้านการสื่อสารและการดำ�เนินงาน
6.1 การกำ�หนดหน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน วัตถุประสงค์ เพื่อให้การดำ�เนินงานที่เกี่ยวข้องกับอุปกรณ์ประมวลผลสารสนเทศเป็นไปอย่าง ถูกต้องและปลอดภัย โดยมีการกำ�หนดหน้าที่ความรับผิดชอบและขั้นตอนในการปฏิบัติงานอย่างชัดเจน ประกอบด้วยมาตรการ 4 รายการ ได้แก่ 1) การจัดทำ�เอกสารขั้นตอนการปฏิบัติงานที่เป็นล ายลักษณ์อักษร 2) การบริหารการเปลี่ยนแปลง ปรับปรุง แก้ไขระบบและอุปกรณ์ประมวลผลสารสนเทศ 3) การแบ่งแ ยกหน้าที่ความรับผิดช อบงาน 4) การจัดแยกอุปกรณ์ที่ใช้สำ�หรับการพัฒนาระบบ ทดสอบระบบ และที่ใช้ปฏิบัติงานจริง 6.2 การบริหารจัดการด้านการให้บริการของหน่วยงานภายนอก วัตถุประสงค์ เพื่อจัดทำ�และรักษาระดับความมั่นคงปลอดภัยของการปฏิบัติงานโดยหน่วยงาน ภายนอกให้เป็นไปตามข้อตกลงที่จัดทำ�ไว้ระหว่างองค์กรกับหน่วยงานภายนอก ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) การให้บริการโดยหน่วยงานภายนอก 2) การตรวจสอบการให้บริการของหน่วยงานภายนอก 3) การบริหารการเปลี่ยนแปลงในการให้บริการของหน่วยงานภายนอก 6.3 การวางแผนและการตรวจรับทรัพยากรสารสนเทศ วัตถุประสงค์ เพื่อลดความเสี่ยงจากความล้มเหลวของระบบ ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) การวางแผนความต้องการทรัพยากรสารสนเทศ 2) การตรวจรับระบบ 6.4 การป้องกันโ ปรแกรมที่ไม่ป ระสงค์ด ี วัตถุประสงค์ เพื่อป้องกันดูแลรักษาซอฟต์แวร์และสารสนเทศให้ปลอดภัยจากการถูกทำ�ลายโดย โปรแกรมที่ไม่ประสงค์ด ี ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) มาตรการควบคุมโปรแกรมที่ไ ม่ประสงค์ดี 2) มาตรการควบคุมโปรแกรมชนิดเคลื่อนที่ที่ดาวน์โหลดผ่านระบบเครือข่าย 6.5 การสำ�รองข้อมูล วัตถุประสงค์ เพือ่ ร กั ษาความถกู ต อ้ งสมบูรณ์แ ละความพร้อมใช้ข องสารสนเทศและอปุ กรณ์ป ระมวล ผลสารสนเทศ ประกอบด้วยมาตรการ 1 รายการ ได้แก่ 1) การสำ�รองข้อมูลสารสนเทศ 6.6 การบริหารจัดการด้านความมั่นคงปลอดภัยส ำ�หรับเครือข ่าย วัตถุประสงค์ เพื่อป้องกันสารสนเทศบนเครือข่ายและโครงสร้างพื้นฐานที่ส นับสนุนการทำ�งานของ เครือข่าย ประกอบด้วยมาตรการ 2 รายการ ได้แก่
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-43
ธ ส
1) มาตรการควบคุมเครือข่าย 2) ความมั่นคงปลอดภัยสำ�หรับบริการเครือข่าย 6.7 การจัดการสื่อบ ันทึกข้อมูล วัตถุประสงค์ เพื่อป้องกันการเปิดเผย การเปลี่ยนแปลงแก้ไข การลบหรือการทำ�ลายทรัพย์สิน สารสนเทศโดยไม่ได้รับอนุญาต รวมถึงป้องกันก ารติดขัดหรือหยุดชะงักทางธุรกิจ ประกอบด้วยมาตรการ 4 รายการ ได้แก่ 1) การบริหารจัดการสื่อบ ันทึกข้อมูลชนิดเคลื่อนย้ายได้ 2) การกำ�จัดสื่อบ ันทึกข้อมูล 3) ขั้นต อนปฏิบัติสำ�หรับการจัดการสารสนเทศ 4) ความมั่นคงปลอดภัยสำ�หรับเอกสารสารระบบ 6.8 การแลกเปลี่ยนสารสนเทศ วัตถุประสงค์ เพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศและซอฟต์แวร์ที่มีการแลกเปลี่ยนกัน ภายในองค์กร และที่ม ีการแลกเปลี่ยนกับหน่วยงานภายนอก ประกอบด้วยมาตรการ 5 รายการ ได้แก่ 1) นโยบายและขั้นตอนปฏิบัติสำ�หรับการแลกเปลี่ยนสารสนเทศ 2) ข้อต กลงในการแลกเปลี่ยนข้อมูลสารสนเทศ 3) สื่อบ ันทึกข้อมูลที่ใช้งาน 4) การส่งข้อความอิเล็กทรอนิกส์ 5) ระบบสารสนเทศที่เชื่อมโยงกัน 6.9 การสร้างความมั่นคงปลอดภัยส ำ�หรับบ ริการพาณิชย์อิเล็กทรอนิกส์ วัตถุประสงค์ เพื่อส ร้างความมั่นคงปลอดภัยส ำ�หรับบ ริการพาณิชย์อ ิเล็กทรอนิกส์ รวมถึงก ารใช้ง าน อย่างปลอดภัย ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) การพาณิชย์อิเล็กทรอนิกส์ 2) การทำ�ธุรกรรมออนไลน์ 3) สารสนเทศที่เผยแพร่สู่ส าธารณะ 6.10 การเฝ้าระวังด ้านความมั่นคงปลอดภัยในการใช้ง าน วัตถุประสงค์ เพื่อตรวจจับการประมวลผลข้อมูลโดยที่ไม่ได้รับอนุญาต ประกอบด้วยมาตรการ 6 รายการ ได้แก่ 1) การบันทึกเหตุการณ์เมื่อมีก ารใช้งาน 2) การใช้ระบบเฝ้าระวัง 3) การปกป้องข้อมูลที่บ ันทึกเหตุการณ์ 4) การบันทึกกิจกรรมของผู้ท ี่เกี่ยวข้องกับการดูแลระบบ 5) การบันทึกเหตุการณ์ข้อผิดพลาด 6) การตั้งเวลาระบบประมวลผลให้ตรงกัน
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
9-44
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
7. การควบคุมก ารเข้าถึงข้อมูล สารสนเทศ และระบบสารสนเทศ
7.1 ข้อกำ�หนดการดำ�เนินงานขององค์กรสำ�หรับควบคุมการเข้าถ ึงสารสนเทศ วัตถุประสงค์ เพื่อควบคุมการเข้าถึงส ารสนเทศ ประกอบด้วยมาตรการ 1 รายการ ได้แก่ นโยบาย ควบคุมก ารเข้าถึงสารสนเทศ 7.2 การบริหารจัดการสำ�หรับการเข้าถึงร ะบบสารสนเทศของผู้ใช้งาน วัตถุประสงค์ เพื่อค วบคุมการเข้าถึงระบบสารสนเทศเฉพาะผู้ที่ได้รับอ นุญาตแล้ว และป้องกันการ เข้าถึงโดยไม่ได้ร ับอนุญาต ประกอบด้วยมาตรการ 4 รายการ ได้แก่ 1) การลงทะเบียนผู้ใ ช้งาน 2) การบริหารจัดการสิทธิ์ในการใช้งานระบบสำ�หรับผู้มีสิทธิ์สูง 3) การบริหารจัดการรหัสผ่านสำ�หรับผู้ใช้งาน 4) การทบทวนสิทธิ์ข องผู้ใ ช้งาน 7.3 หน้าทีค่ วามรับผิดชอบของผใู้ ช้งาน วัตถุประสงค์ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต การเปิดเผย หรือการขโมยสารสนเทศ และอุปกรณ์ประมวลผลสารสนเทศ ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) การใช้งานรหัสผ่าน 2) การปกป้องอุปกรณ์เมื่อไม่มีผู้ด ูแล 3) นโยบายควบคุมความปลอดภัยโดยไม่เปิดเผยหรือทิ้งทรัพย์สินสำ�คัญบนโต๊ะทำ�งาน 7.4 มาตรการควบคุมก ารเข้าถึงเครือข ่าย วัตถุประสงค์ เพื่อป ้องกันก ารเข้าถ ึงบ ริการทางเครือข ่ายโดยไม่ไ ด้ร ับอ นุญาต ประกอบด้วยมาตรการ 7 รายการ ได้แก่ 1) นโยบายการใช้งานบริการเครือข่าย 2) การพิสูจน์ต ัวตนผู้ใ ช้งานสำ�หรับการเชื่อมต่อจากภายนอก 3) การพิสูจน์ต ัวตนสำ�หรับอุปกรณ์ในระบบเครือข่าย 4) การป้องกันพ อร์ตท ี่ใช้สำ�หรับตรวจสอบและปรับแต่งระบบ 5) การแบ่งแ ยกเครือข่าย 6) การควบคุมการเชื่อมต่อท างเครือข่าย 7) การกำ�หนดเส้นทางบนเครือข ่าย 7.5 มาตรการควบคุมก ารเข้าถึงร ะบบปฏิบัติการ วัตถุประสงค์ เพื่อป้องกันการเข้าถึงระบบปฏิบัติการโดยไม่ได้รับอนุญาต ประกอบด้วยมาตรการ 6 รายการ ได้แก่ 1) ขั้นต อนปฏิบัติสำ�หรับการเข้าถึงระบบอย่างปลอดภัย 2) การระบุและพิสูจน์ตัวตนของผู้ใ ช้งาน
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
9-45
ธ ส
3) ระบบบริหารจัดการรหัสผ่าน 4) การใช้งานโปรแกรมประเภทอรรถประโยชน์ 5) การกำ�หนดให้ปิดการเข้าใช้ระบบเมื่อไม่มีกิจกรรม 6) การจำ�กัดร ะยะเวลาการเชื่อมต่อระบบ 7.6 มาตรการควบคุมก ารเข้าถึงร ะบบงานและสารสนเทศ วัตถุประสงค์ เพื่ อ ป้ อ งกั น ก ารเ ข้ า ถึ ง ส ารสนเทศข องร ะบบง านป ระยุ ก ต์ โ ดยไ ม่ ไ ด้ รั บ อ นุ ญ าต ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) การจำ�กัดการเข้าถึงส ารสนเทศ 2) การจัดแ ยกระบบสารสนเทศที่มีความสำ�คัญสูง 7.7 มาตรการควบคุมอ ุปกรณ์สื่อสารประเภทพกพาและการปฏิบัตงิ านจากนอกสถานที่ วัตถุประสงค์ เพื่อสร้างความมั่นคงปลอดภัยสำ�หรับอุปกรณ์สื่อสารประเภทพกพาและการปฏิบัติ งานจากภายนอกองค์กร ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) การสื่อสารและการใช้อุปกรณ์ป ระมวลผลชนิดพกพา 2) การปฏิบัติงานนอกสถานที่
ธ ส
ม
ธ ส
ธ ส
ม
ม
8. การจัดหาหรือจัดให้มี การพัฒนา และการบำ�รุงรักษาระบบสารสนเทศ
ม
ธ ส
ม
8.1 ข้อกำ�หนดด้านความมั่นคงปลอดภัยสำ�หรับระบบสารสนเทศ วัตถุประสงค์ เพื่อใ ห้การจัดหาและการพัฒนาระบบสารสนเทศได้พ ิจารณาถึงป ระเด็นท างด้านความ มั่นคงปลอดภัยเป็นองค์ป ระกอบพื้นฐ านที่ส ำ�คัญ ประกอบด้วยมาตรการ 1 รายการ ได้แก่ 1) การวิเคราะห์และการระบุข้อกำ�หนดทางด้านความมั่นคงปลอดภัย 8.2 การประมวลผลสารสนเทศในระบบงาน วัตถุประสงค์ เพื่อป ้องกันข ้อผิดพลาด การสูญหาย การดัดแปลงแก้ไขในสารสนเทศ รวมถึงการนำ� สารสนเทศไปใช้ผ ิดวัตถุประสงค์ ประกอบด้วยมาตรการ 4 รายการ ได้แก่ 1) การตรวจสอบข้อมูลนำ�เข้า 2) การตรวจสอบข้อมูลในระหว่างการประมวลผล 3) การตรวจสอบความถูกต้องสมบูรณ์ของข้อความ 4) การตรวจสอบผลข้อมูล 8.3 มาตรการสำ�หรับก ารเข้ารหัสข ้อมูล วัตถุประสงค์ เพื่อรักษาความลับของข้อมูล ยืนยันตัวตนของผู้ส่งข้อมูล หรือ รักษาความถูกต้อง สมบูรณ์ของข้อมูลโ ดยใช้วิธีการเข้ารหัสข้อมูล ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) นโยบายการใช้งานการเข้ารหัสข้อมูล 2) การบริหารจัดการกุญแจเข้ารหัส
ม
ธ ส
ธ ส
ม
ม
ธ ส
ม
ธ ส
9-46
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
8.4 การสร้างความมั่นคงปลอดภัยใ ห้กับแฟ้มข้อมูลร ะบบ วัตถุประสงค์ เพื่อส ร้างความมั่นคงปลอดภัยใ ห้ก ับแ ฟ้มข ้อมูลต ่างๆ ของระบบทีใ่ ห้บ ริการ ประกอบ- ด้วยมาตรการ 3 รายการ ได้แก่ 1) การควบคุมการติดตั้งซ อฟต์แวร์ที่ใช้ปฏิบัติงาน 2) การป้องกันข้อมูลที่ใ ช้ทดสอบระบบ 3) การควบคุมการเข้าถึงช ุดคำ�สั่งโ ปรแกรมของระบบ 8.5 การสร้างความมั่นคงปลอดภัยส ำ�หรับก ระบวนการพัฒนาระบบและกระบวนการสนับสนุน วัตถุประสงค์ เพื่อร ักษาความมั่นคงปลอดภัยสำ�หรับซอฟต์แวร์ระบบงานและสารสนเทศ ประกอบ ด้วยมาตรการ 5 รายการ ได้แก่ 1) ขั้นต อนปฏิบัติในการควบคุมการเปลี่ยนแปลง 2) การทบทวนระบบงานในด้านเทคนิคหลังจ ากที่มีการเปลี่ยนแปลงระบบปฏิบัติการ 3) การจำ�กัดการเปลี่ยนแปลงแก้ไขต่อซอฟต์แวร์ที่มาจากผู้ผลิต 4) การรั่วไ หลของข้อมูล 5) การพัฒนาซอฟต์แวร์โ ดยหน่วยงานภายนอก 8.6 การบริหารจัดการช่องโหว่ใ นทางเทคนิค วัตถุประสงค์ เพื่อลดความเสี่ยงจากการโจมตีโดยอาศัยช่องโหว่ทางเทคนิคที่มีการเผยแพร่หรือ ตีพิมพ์ในสถานที่ต่างๆ ประกอบด้วยมาตรการ 1 รายการ ได้แก่ มาตรการควบคุมช่องโหว่ทางเทคนิค
ธ ส
ม
ธ ส
ม
ธ ส
ม
ธ ส
9. การบริหารจัดการสถานการณ์ด้านความมั่นคงปลอดภัย
ม
ธ ส
ม
9.1 การรายงานเหตุการณ์แ ละจุดอ่อนทเี่กี่ยวกับความมั่นคงปลอดภัยส ารสนเทศ วัตถุประสงค์ เพื่อรายงานเหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยต่อระบบ สารสนเทศเพื่อจ ะได้จัดการได้อย่างถูกต้องในช่วงระยะเวลาที่เหมาะสม ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) รายงานเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัยสารสนเทศ 2) การรายงานจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัย 9.2 การบริหารจัดการและการปรับปรุงแก้ไขต่อเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย สารสนเทศ วัตถุประสงค์ เพื่อให้มีวิธีการที่สอดคล้องและได้ผลในการบริหารจัดการต่อเหตุการณ์ท ี่เกี่ยวข้อง กับความมั่นคงปลอดภัยสารสนเทศ ประกอบด้วยมาตรการ 3 รายการ ได้แก่ 1) หน้าที่ค วามรับผิดช อบและขั้นตอนปฏิบัติ 2) การเรียนรู้จากเหตุการณ์ที่เกี่ยวข้องกับความมั่นคงปลอดภัย 3) การเก็บรวบรวมหลักฐาน
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
ม
ธ ส
10. การบริหารจัดการด้านความต่อเนื่องในการดำ�เนินงาน องค์กร
9-47
เกณฑ์ความมั่นคงปลอดภัยสารสนเทศสำ�หรับการบริหารความต่อเนื่องในการดำ�เนินงานของ
ธ ส
ม
วัตถุประสงค์ เพื่อป้องกันม ิให้การดำ�เนินงานขององค์กรต้องติดขัดหยุดชะงัก อันเป็นผลจากความ ล้มเหลวหรือหายนะที่มีต่อระบบสารสนเทศ เป็นการป้องกันกระบวนการดำ�เนินงานที่สำ�คัญขององค์กรให้ สามารถด�ำ เนินก ารได้ต อ่ เนือ่ ง และเพือ่ ใ ห้ส ามารถกรู้ ะบบกลับค นื ม าได้ภ ายในระยะเวลาอนั เหมาะสม ประกอบ ด้วยมาตรการ 5 รายการ ได้แก่ 1) กระบวนการบริหารจัดการความต่อเนื่องในการดำ�เนินงานขององค์กร โดยครอบคลุมถึง ด้านความมั่นคงปลอดภัย 2) การประเมินความเสี่ยงและความต่อเนื่องในการดำ�เนินงาน 3) การจัดทำ�แผนและการใช้แผนสร้างความต่อเนื่องในการดำ�เนินงาน 4) การกำ�หนดกรอบสำ�หรับการวางแผนเพื่อสร้างความต่อเนื่องในการดำ�เนินงาน 5) การทดสอบ การประเมินทบทวนและการปรับปรุงแผนสร้างความต่อเนื่องในการดำ�เนิน งานขององค์กร
ม
ธ ส
ธ ส
ม
ธ ส
ม
11. การตรวจสอบและการประเมินผลการปฏิบัติตามนโยบายและข้อกำ�หนดด้านความมั่นคง ปลอดภัย
ม
ธ ส
11.1 การปฏิบัติตามข้อกำ�หนดทางกฎหมาย วัตถุประสงค์ เพื่อห ลีกเลี่ยงการละเมิดข ้อก ำ�หนดทางกฎหมาย ระเบียบปฏิบัติ ข้อก ำ�หนดในสัญญา และข้อก ำ�หนดทางด้านความมั่นคงปลอดภัยอื่นๆ ประกอบด้วยมาตรการ 6 รายการ ได้แก่ 1) การระบุข้อกำ�หนดต่างๆ ที่มีผ ลทางกฎหมาย 2) การป้องกันก ารละเมิดสิทธิ์แ ละทรัพย์สินทางปัญญา 3) การปกป้องข้อมูลส ำ�คัญขององค์กรที่เกี่ยวข้องกับข ้อกำ�หนดทางกฎหมาย 4) การปกป้องและรักษาความลับข้อมูลส่วนบุคคล 5) การป้องกันก ารใช้ระบบและอุปกรณ์ประมวลผลสารสนเทศโดยผิดวัตถุประสงค์ 6) กฎข้อบังคับส ำ�หรับมาตรการเข้ารหัสข้อมูล 11.2 การปฏิบัติตามนโยบายมาตรฐานความมั่นคงปลอดภัยแ ละข้อกำ�หนดทางเทคนิค วัตถุประสงค์ เพื่อให้ระบบเป็นไปตามนโยบายและมาตรฐานความมั่นคงปลอดภัยขององค์กร ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) การปฏิบัติตามนโยบายและมาตรฐานด้านความมั่นคงปลอดภัย 2) การตรวจสอบการปฏิบัติตามมาตรฐานทางเทคนิค
ม
ธ ส
ม
ม
ธ ส
ม
ธ ส
9-48
ธ ส
ธุรกิจอิเล็กทรอนิกส์และการประยุกต์
ม
ธ ส
11.3 ข้อพิจารณาสำ�หรับการตรวจสอบระบบสารสนเทศ วัตถุประสงค์ เพื่อใ ห้การตรวจประเมินร ะบบสารสนเทศได้ป ระสิทธิภาพสูงสุดแ ละลดการแทรกแซง หรือทำ�ให้หยุดชะงักต ่อกระบวนการทางธุรกิจน ้อยที่สุด ประกอบด้วยมาตรการ 2 รายการ ได้แก่ 1) มาตรการสำ�หรับการตรวจประเมินระบบสารสนเทศ 2) การป้องกันเครื่องมือตรวจสอบระบบสารสนเทศ
ธ ส
ม
ม
หลังจากศึกษาเนื้อหาสาระเรื่องที่ 9.3.2 แล้ว โ ปรดปฏิบัติกิจกรรม 9.3.2 ในแนวการศึกษาหน่วยที่ 9 ตอนที่ 9.3 เรื่องที่ 9.3.2
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม ม
ธ ส
ธ ส
ม ม
ธ ส
ธ ส
ระบบความมั่นคงปลอดภัยของธุรกิจอิเล็กทรอนิกส์
บรรณานุกรม
ธ ส
ม
9-49
ธ ส
ม
พระราชกฤษฎีกากำ�หนดวิธีการแบบปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553 พระราชกฤษฎีกากำ�หนดหลักเกณฑ์แ ละวิธีการในการทำ�ธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549 รายงานการศึกษามาตรฐานทางเทคนิคด ้านความมั่นคงปลอดภัยข องโครงข่ายโทรคมนาคม สำ�นักงานคณะกรรมการ กิจการโทรคมนาคมแห่งช าติ 2552 ปริญญา หอมเอนก และคณะ 360๐ IT Security เรื่องที่ค นไอทีต้องรู้ บริษัท เออาร์ไอพี จำ�กัด (มหาชน) 2553 360๐ IT Management กลยุทธ์สู่การบริหารไอทีให้ได้มาตรฐานโลก..คัมภีร์ที่นักบริหารไอทีต้องรู้ บริษัท เออาร์ไ อพี จำ�กัด (มหาชน) 2554 ISO/IEC 27000:2005, Information technology – Security techniques – Information security management systems - Overview and vocabulary ISO/IEC 27001:2005, Information technology – Security techniques – Information security management systems – Requirements ISO/IEC 27002:2005 (ISO/IEC 17799:2005) Information technology – Security techniques – Code of Practice for Information Security Management ISO/IEC 27003:2005, Information technology – Security techniques – Information security management systems – Implementation guidance ISO/IEC 27004:2009, Information technology – Security techniques – Information security management – Measurement ISO/IEC 27005:2008, Information technology – Security techniques – Information security risk management ISO/IEC 27006:2007, Information technology – Security techniques – Requirements for bodies providing audit and certification of ISMS ISO/IEC 27011:2008, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27033-1:2009, Network security – Part 1: Overview and concepts ISO/IEC 27033-3:2010, Network security – Part 3: Reference networking scenarios - Risks, design techniques and control issues ISO/IEC 27799:2008, Health informatics - Information security management in health using ISO/ IEC 27002
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ธ ส
ม
ม
ธ ส
ธ ส
ม
ม
ธ ส