ความมนคงปลอดภยของ สารสนเทศ ความมนคงปลอดภยของสารสนเทศค ออะไร แนวคดหลกของความมนคงปลอดภย ของสารสนเทศ

ความมนคงปลอดภยของ สารสนเทศ • ความมนคงปลอดภยของสารสนเทศค ออะไร • แนวคดหลกของความมนคงปลอดภย ของสารสนเทศ • แนวคดของความมนคงปลอดภยของส ารสนเทศตามมาตรฐาน NSTISSC • องคประกอบของระบบสารสนเทศกบควา มมนคงปลอดภย • แนวทางในการดำเนนงานความมนคง ปลอดภยของสารสนเทศ

ความมนคงปลอดภยของส ารสนเทศคออะไร • ความมนคงปลอดภย (Security) คอ สถานะทมความปลอดภย ไรกงวล อยในสถานะทไมมอนตรายและไ ดรบการปองกนจากภยอนตรายท งทเกดขนโดยตงใจหรอบงเ อญ • เชน ความมนคงปลอดภยของประเทศ ยอมเกดขนโดยมระบบปองกนหล ายระดบ เพอปกปองผนำประเทศ

ความมนคงปลอดภยของอ งคกร • ความมนคงปลอดภยทางกายภาย Physical Security • ความมนคงปลอดภยสวนบคคล Personal Security • ความมนคงปลอดภยในการปฏบตงาน Operations Security • ความมนคงปลอดภยในการตดตอสอสาร Communication Security • ความมนคงปลอดภยของเครอขาย Network Security • ความมนคงปลอดภยของสารสนเทศ Information

Information Security • ความมนคงปลอดภยของสารสนเทศ คอ การปองกนสารสนเทศและองคประกอบอ นทเกยวของ Policy Information security Management Network Security Computer & Data Security

• การรกษาความปลอดภยทางขอมล Information Security คอ ผลทเกดขนจาการใชระบบของนโยบายแล ะ/ หรอ ระเบยบปฏบตทใชในการพสจนทร าบ ควบคม และปองกนการเปดเผยขอมล (ทไดรบคำสงใหมการปองกน โดยไมไดรบอนญาต • นยามโดย Thai. CERT )

แนวคดหลกของความมนคงปล อดภยของสารสนเทศ • กลมอตสาหกรรมความมนคงปลอดภยของคอ มพวเตอร C. I. A Triangle ไดกำหนดแนวคดหลกของความมนคงปลอด ภยของคอมพวเตอรขน ประกอบดวย 1. ความลบ Confidentiality 2. ความสมบรณ Integrity 3. ความพรอมใช Availability 4. ความถกตองแมนยำ Accuracy 5. เปนของแท Authenticity 6. ความเปนสวนตว Privacy

ความลบ Confidentiality • เปนการรบประกนวาผมสทธและไดร บอนญาตเทานนทสามารถเขาถงขอม ลได • องคกรตองมมาตรการปองกนการเขาถงสาร สนเทศทเปนความลบ เชน การจดประเภทของสารสนเทศ การรกษาความปลอดภยในกบแหลงจดเกบข อมล กำหนดนโยบายรกษาความมนคงปลอดภยและ นำไปใช

• ภยคกคามทเพมมากขนในปจจ บน มสาเหตมาจากความกาวหนาทางเทคโนโ ลย ประกอบกบความตองการความสะดวกสบายใ นการสงซอสนคาของลกคา โดยการยอมใหสารสนเทศสวนบคคลแก website เพอสทธสนการทำธรกรรมตาง ๆ โดยลมไปวาเวบไซตเปนแหลงขอม

ความสมบรณ Integrity • ความสมบรณ คอ ความครบถวน ถกตอง และไมมสงแปลกปลอม สารสนเทศทมความสมบรณจงเปน สารสนเทศทนำไปใชประโยชนไดอย างถกตองครบถวน • สารสนเทศจะขาดความสมบรณ กตอเมอสารสนเทศนนถกนำไปเ ปลยนแปลง ปลอมปนดวยสารสนเทศอน ถกทำใหเสยหาย ถกทำลาย

ความพรอมใช Availability • ความพรอมใช หมายถง สารสนเทศจะถกเขาถงหรอเรยกใชง านไดอยางราบรน โดยผใชหรอระบบอนทไดรบ อนญาตเทานน • หากเปนผใชหรอระบบทไมไดร บอนญาต การเขาถงหรอเรยกใชงานจะถกขด ขวางและลมเหลงในทสด

ความถกตองแมนยำ Accuracy • ความถกตองแมนยำ หมายถง สารสนเทศตองไมมความผดพลาด และตองมคาตรงกบความคาดหวงของ ผใชเสมอ • เมอใดกตามทสารสนเทศมคาผดเ พยนไปจากความคาดหวงของผใช ไมวาจะเกดจากการแกไขดวยความต งใจหรอไมกตาม เมอนนจะถอวาสารสนเทศ

ความเปนของแท Authenticity • สารสนเทศทเปนของแท คอ สารสนเทศทถกจดทำขนจากแหล งทถกตอง ไมถกทำซำโดยแหลงอนทไม ไดรบอนญาต หรอแหลงทไมคนเคยและไมเคย ทราบมากอน

ความเปนสวนตว Privacy • ความเปนสวนตว คอ สารสนเทศทถกรวบรวม เรยกใช และจดเกบโดยองคกร จะตองถกใชในวตถประสงคทผ เปนเขาของสารสนเทศรบทราบ ณ ขณะทมการรวบรวมสารสนเทศนน • มฉะนนจะถอวาเปนการละเมดส ทธสวนบคคลดานสารสนเทศ

แนวคดของความมนคงปลอดภ ยของสารสนเทศตามมาตรฐาน NSTISSC • NSTISSC (Nation Security Telecommunications and Information Systems Security • คอ คณะกรรมการดานความมนคงโทรคมนาค มและระบบสารสนเทศแหงชาตของตางปร ะเทศทไดรบการยอมรบแหงหนง ไดกำหนดแนวคดความมนคงปลอดภ ยขนมา

Te ch no lo gy Technology Education Policy Confidentiality uc at io n Confidentiality Integrity Po lic y Ed Integrity Availability แสดงแนวคดความมนคงปลอดภยของสารสนเทศตามม าตรฐาน NSTISSC

• สงสำคญในการดำเนนงานความม นคงปลอดภยของสารสนเทศนน นอกจากจะมความคดหลกในดานตางๆ แลว ยงรวมถงการกำหนดนโยบายการปฏบ ตงาน การใหการศกษา และเทคโนโลยทจะนำมาใชเปนกลไ กควบคมและปองกน ทตองเกยวของกบการจดการควา มมนคงปลอดภยของสารสนเทศดวย

องคประกอบของระบบสารสน เทศกบความมนคงปลอดภ ย 1. Software ยอมตองอยภายใตเงอนไขของการบรหาร โครงการภายใตเวลา ตนทน และกำลงคนทจำกด ซงมกจะทำภายหลงจากการพฒนาซอฟตแว รเสรจแลว

• Hardware จะใชนโยบายเดยวกบสนทรพยทจ บตองไดขององคกร คอการปองกนจากการลกขโมยหรอภย อนตรายตาง ๆ รวมถงการจดสถานททปลอดภยให กบอปกรณหรอฮารดแวร

• Data ขอมล /สารสนเทศ เปนทรพยากรทมคาขององคกร การปองกนทแนนหนากมความจำเ ปนสำหรบขอมลทเปนความลบ ซงตองอาศยนโยบายความปลอดภยและ กลไกปองกนทดควบคกน

• People บคลากร คอภยคกคามตอสารสนเทศทถกมอง ขามมากทสด โดยเฉพาะบคลากรทไมมจรรยาบรรณใ นอาชพ กเปนจดออนตอการโจมตได จงไดมการศกษากนอยางจรงจง เรยกวา Social Engineering ซงเปนการปองการการหลอกหลวงบคลา กร

• Procedure ขนตอนการทำงาน เปนอกหนงองคประกอบทถกมองข าม หากมจฉาชพทราบขนตอนการทำงาน กจะสามารถคนหาจดออนเพอนกระท ำการอนกอนใหเกดความเสยหายตอ องคกรและลกคาขององคกรได

• Network เครอขายคอมพวเตอร การเชอมตอระหวางคอมพวเตอรและร ะหวางเครอขายคอมพวเตอร ทำใหเกดอาชญากรรมและภยคกคามคอ มพวเตอร โดยเฉพาะการเชอมตอระบบสารสนเทศเข ากบเครอขายอนเตอรเนต

อปสรรคของงานความมนคง ปลอดภย ของสารสนเทศ • ความมนคงปลอดภย คอ ความไมสะดวก เนองจากตองเสยเวลาในการปอน password และกระบวนการอน ๆ ในการพสจนตวผใช

• มความซบซอนบางอยางในคอมพวเต อรทผใชทวไปไมทราบ เชน Registry , Port, Service ทเหลานจะทราบในแวดวงของ Programmer หรอผดแลระบบ

• ผใชคอมไมระแวดระวง • การพฒนาซอฟตแวรไมคำนงถงค วามปลอดภยภายหลง • แนวโนมเทคโนโลยสารสนเทศคอการแบ งปน ไมใช การปองกน

• มการเขาถงขอมลไดจากทกสถานท • ความมนคงปลอดภยไมไดเกดขน ทซอฟแวรและฮารดแวรเพยงอยาง เดยว • มจฉาชพมความเชยวชาญ (ในการเจาะขอมลของผอนมากเ ปนพเศษ (

แนวทางในการดำเนนงานความม นคงปลอดภย ของสารสนเทศ • Boottom –Up Approach เปนแนวทางทผดแลระบบหรอเจาหนาท ทรบผดชอบดานความมนคงปลอดภยโดยตรง เปนผรเรมหรอกำหนดมาตรการรกษาควา มปลอดภย ขนมาระหวางการพฒนาระบบ • ขอด คอ เจาหนาทจะสามารถดแลงานดวยตนเองในทก ๆ วน และใชความรความสามารถ ความเชยวชาญทมการปรบปรงกลไกควบคม ความปลอดภยใหมประสทธภาพอยางเตมท • ขอเสย แนวทางน

• Top-down Approach การดำเนนงานความมนคงปลอดภยจะเร มตนโดยผบรหารหรอผมอำน าจหนาทโดยตรง ซงสามารถบงคบใชนโยบาย บคลากรทรบผดชอบ • ขอด ขนตอนกระบวนการมนคงไดอยางเต มท เนองจากไดรบการสนบสนนจากผ

Bottom-up Approach Top-down Approach CEO CFO CIO COO CFO Chief Finance Officer CISO VP-Sytems VP-Network CIO Chief Information Officeพ Security Manager Systems Manager Network Management COO Chief Operating Office CISO Chief Information Security Technician Systems Technician Network Technician Security Office VIP Vice President

วงจรการพฒนาระบบความม นคงปลอดภยของสารสนเทศ • วงจรการพฒนาระบบ System Development life Cycle: SDLC โดยแตละ Phase ของ SDLC สามารถนำมาปรบใชกบการดำเนนโครงการพ ฒนาระบบความมนคงปลอดภยของสารสนเทศได เรยกวา Security Systems Development Life Cycle : Sec. SDLC • บางองคกร สามารถใชวธการจดการความเสยง Risk Management เปนกระบวนการหลกในการพฒนาระบบความมนค งปลอดภยของสารสนเทศได

เมอถกนำไปปรบใชในอง คกร จะถกแบง เฟส phase ในจำนวนทแตกตางกน Investigation Analysis Logical Design Physical Design Implementation Repeat Maintenance And Change เมอนำมาปรบใชกบการพฒนาระบบความมนคงปลอดภย

• การสำรวจ Investigation เรมจากไดรบคำสงจากผบรการ ระดบสง ใหดำเนนการพฒนาระบบความมนคง ปลอดภย โดยมการกำหนดเปาหมาย กระบวนการผลลพธทตองการ บคลากร งบประมาณและระยะเวลา ยงมการกำหนด นโยบายความมนคงปลอดภยในระดบองค กรมาพรอมกนดวย • ทมงานทรบผดชอบจะนำรายละเอยด

• การวเคราะห Analysis เปนเฟสททมงานจะไดนำเอกสารมาท ำการศกษาเพมเตม ศกษาถงภยคกคาม และวธปองกน รวมถงกฎหมายสทธสวนบคคล การจดการความเสยง (ระบความเสยง • ประเมนหาความเสยงทมผลกระทบใน ระดบรายแรง พรอมกนเตรยมปองกนไมใหเกดค วามเสยงตางๆ ไดอก )

• การออกแบบระดบตรรกะ Logical Design เปนเฟสทตองจดทำโครงรางของระบ บความมนคงปลอดภยของสารสนเทศ ตรวจสอบและจดทำนโยบายหลกทจะน ำไปใช

• การออกแบบระดบกายภาพ Physical Design เปนเฟสการกำหนดเทคโนโลยสารสนเทศ ทจะนำมาสนบสนนโครงรางระบบคว ามมนคงปลอดภยทไดออกแบบไวใ นเฟสทผานมา มการประเมนเทคโนโลย พรอมกบสรางทางเลอกของเทคโนโลย ทจะนำมาใช

• การพฒนา Implementation ดำเนนงานพฒนาระบบความมนคงปลอ ดภยของสารสนเทศทไดออกแบบไวให เกดขนจรง และทำการทดสอบ จนกวาไมพบขอผดพลาด

• การบำรงรกษาและเปลยนแปลง Maintenance and Change การตดตาม ทดสอบแกไข และซอมบำรงอยตลอดเวลา ควรมการอพเดทภยคมคาม รายละเอยดใหทนสมยอยอยางสม ำเสมอ

การเปรยบเทยบกจกรรมใน SDLC /Sec. SDLC เฟส 1 Investigation กจกรรมใน Sec. S กจกรรมใน SDLCธรรมดา DLC • กำหนดเปาหมาย ผบรหารกำหน และขอบเขตโครงการ ดกระบวนการดำเน นโครงการ • ประมาณตนทน • ประเมนทรพยากร เปาหมาย และเอกสารแสดงนโ • ศกษาความเปนไ ยบายความมนคง ปได ท มอย

เฟส กจกรรมใน SDLCธรรมดา 2 • ศกษาระบบเดมต Analysis ามเอกสารทไดร บในเฟสแรก • กำหนดความตอง การของระบบ • ศกษาการประสานง านระบบเกากบระ บบใหม • จดทำเอกสาร และปรบปรง กจกรรมใน Sec. S DLC • วเคราะหนโยบา ยความมนคงปลอ ดภยเดม • วเคราะหภยค กคาม • พจารณาประเด นกฎหมาย • วเคราะหความเส ยง

เฟส 3 Logical Design กจกรรมใน SDLCธรรมดา • ประเมนความจำ เปนทางธรกจ • เลอกขอมลสน บสนนและโครงส รางของระบบ • สรางทางเลอกขอ งระบบใหม • จดทำเอกสารแล ะปรบปรงแกไข กจกรรมใน Sec. S DLC • จดทำโครงรา งระบบความมน คงปลอดภย • วางแผนรบมอเ หตการณไมคา ดคด • วางแผนฟนฟ ความเสยหาย

เฟส 4 Physical Design กจกรรมใน SDLCธรรมดา • เลอกเทคโนโลยท จะนำมาสนบส นนระบบ • เลอกทางเลอกของ ระบบ • ตดสนใจวาจะซ อหรอจะพฒนา ระบบเอง • จดทำเอกสาร และปรบปรงแกไ ข กจกรรมใน Sec. S DLC • เลอกเทคโนโลย ทจะนำสนบส นนโครงการ • กำหนดนยาม • กำหนดเงอนไ ขในการคดเลอกเ ทคโนโลยความม นคงปลอดภย • ทบทวนและพจาร ณาอนมตโครงก าร

เฟส 5 Implementation กจกรรมใน SDLCธรรมดา • พฒนาหรอระบบ ใหม • สงซอ componentของระ บบใหม • จดทำเอกสารของ ระบบ • ฝกอบรมผใช • นำเสนอระบบตอ ผใช • ทดสอบระบบ กจกรรมใน Sec. SDLC • ซอหรอพฒนา ระบบ • นำเสนอตอผบ รหารระดบสง

เฟส กจกรรมใน SDLCธรรมดา 6 • สนบสนนการใช Maintena งานระบบ nce and Change • ทดสอบระบบอยเ ปนระยะ • อดเกรดและซอม บำรงระบบตามคว ามจำเปน กจกรรมใน Sec. S DLC ตดตาม ทำสอบ แกไข อพเดท และซอมบำรงร ะบบทนททพบ วามภยคกคาม

บทบาทของบคลากรสารสนเทศใน ดานความมนคงปลอดภย 1. ผบรการระดบสง Senior Manager 1. 2. ผบรหารสารสนเทศระดบสง chief Information Officer : CIO มหนาทใหคำแนะนำและแสดงความคดเ หนแก ผบรหารระดบสง 1. 2. ผบรหารความมนคงปลอดภยของสารสนเท ศระดบสง Chief Information Security Officer : CISO ทำหนาทในการประเมน

2. ทมงานดำเนนโครงการความมนคงปลอ ดภยของสารสนเทศ Information Securtiy Project Team ทมงานดำเนนโครงการ ควรเปน ผ ทมความร ความสามารถในดานเทคโนโลยอยางลกซ ง และควรจะมความรในดานอนๆ ทเกยวของควบคไปดวย

ทมงานดำเนนโครงการประกอบไปด วย • ผสนบสนน Champion • หวหนาทม Team Leader • นกพฒนานโยบายความมนคงปลอดภย Security Policy Development • ผชำนาญการประเมนความเสยง Risk Assessment Specialist • ผเชยวชาญดานความมนคงปลอดภยของ สารสนเทศ Security Professional • ผดแลระบบ System Administrator • ผใชระบบ End User

3. การเปนเจาของขอมล Data Ownership ประกอบดวย 3. 1 เจาของขอมล Data Owners ผมสทธในการใชขอมล และมหนาทในการรกษาความมนคงปลอดภยของข อมลดวย 3. 2 ผดแลขอมล Data Cusodians เปนผทตองทำงานรวมกบ Data Owners โดยตรง ทำหนาทจดเกบและบำรงรกษาขอมล 3. 3 ผใชขอมล เปนผททำงานกบขอมล Data Users โดยตรง

สรป • ความมนคงปลอดภยของสารสนเทศ Information Security คอการปองกนสารสนเทศและองค ประกอบอน ๆ ทเกยวของ

• แนวคด C. I. A Triangle ประกอบไปดวย ความลบ Confidentiality ความสมบรณ Integrity ความพรอมใช Availability และยงกำหนดเพมอก คอ ความถกตองแมนยำ Accuracy ความเปนของแท Authenticity และความเปนสวนตว Privacy

แนวทางในการดำเนนงานความมนคงปลอ ดภยของสารสนเทศ ม 2 ลกษณะ คอ 1. Bottom-Up Approach คอผดแลระบบหรอทมงานเปนผร เรมโครงการ 2. Top-down Approach คอผบรหารระดบสงเปนผรเร มและกำหนดโครงการ

วงจรการพฒนาระบบความมนคงปลอ ดภยของสารสนเทศ ม • • • 6 เฟส คอ การสำรวจ Investigation การวเคราะห Analysis การออกแบบระดบตรรกะ Logical Design การออกแบบและพฒนากายภาพ Physical Design การพฒนา Implementation การบำรงรกษาและเปลยนแปลง Maintenance and Change

บคคลทเกยวของกบระบบคว ามมนคงปลอดภยของสารสนเทศ • ผบรหารสารสนเทศระดบสง • ผบรหารความมนคงปลอดภยข องสารสนเทศระดบสง • ผบรหารโครงการ หรอหวหนาทม • เจาหนาทเทคนคดานความม นคงปลอดภยของสารสนเทศ เปนตน