ความรู้พื้นฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ

เนื่องด้วยกระผมได้มีโอกาสเข้าร่วมอบรมเรื่อง “ความรู้พื้นฐานระบบการจัดการความมั่นคงปลอดภัยของสารสนเทศ” วิทยากรผู้บรรยาย คุณปริญญ์ เสรีพงศ์ ที่ปรึกษาส่วนคุณภาพและมาตรฐานสถาบันเพิ่มผลผลิตแห่งชาติ  จัดโดยศูนย์คอมพิวเตอร์มหาวิทยาลัยศิลปากร จึงขอสรุปผลการอบรมดังนี้ครับ
Introduction to ISO 27001 Information Security Management System
ผลสำรวจภัยคุกคามทางอินเตอร์เน็ท ปี 2555
–  ในปี 2012 มีการโจมตีเป้าหมายเพิ่มขึ้น 42%
–  31% ของการโจมตีเป้าหมายมุ่งเป้าไปที่ธุรกิจที่มีพนักงานน้อยกว่า 250 คน
–  มีองค์กรติดเชื้อ 500 แห่งจากการโจมตีเพียงวันเดียว
–  Zero-day 14 ช่องโหว่ในปี 2012
–  32% ของภัยคุกคามมือถือทั้งหมดขโมยข้อมูล
–  การโจมตีบนเว็บเพิ่มขึ้น 30%
–  ช่องโหว่ใหม่ที่พบในปี 2012 มีจำนวน 5,291 รายการ
–  ช่องโหว่ 415 รายการเป็นช่องโหว่บนระบบปฏิบัติการมือถือ
–  แฮกเกอร์เจาะข้อมูล Staff มหาวิทยาลัย
–  แฮกเกอร์ขโมยข้อมูล Apple, Jeep Motor
–  ขโมยข้อมูลทางการค้า ฟอร์ด
–  บริษัทน้ำมันยักษ์ใหญ่โดน Hack Database
พ.ร.บ. การกระทำความผิดเกี่ยวกับคอมพิวเตอร์มีผลบังคับใช้ตั้งแต่ 19 ก.ค. 2550 โทษสูงสุดคือ จำคุก 20 ปี
                ผลการบังคับใช้ พ.ร.บ. คอมพิวเตอร์ฯ 2550
–  จำนวนคดีจำแนกตามประเภทเนื้อหาความผิด รวม 325 คดี
–  คดีที่ศาลชั้นต้นพิจรณาเสร็จสิ้นแล้ว 163 คดี
–  ประเภทเนื้อหาที่กระทรวงไอซีทียื่นคำร้องต่อศาลให้มีคำสั่งระงับการเข้าถึงเว็บไซต์ 81,213 ราย
Information Security – นิยาม
–  Protecting information and information systems from unauthorized access, use, disclosure, disruption, modification
–  Preservation of Confidentiality, Integrity and Availability of information
Information security
C I A
Confidentiality Integrity Availability
ISO27001 เกี่ยวข้องอย่างไร
–  เข้าใจภัยคุกคาม ช่องโหว่ ความเสี่ยงและมาตรการที่ใช้ควบคุม
–  แนวปฏิบัติที่ชัดเจนในการใช้งานสารสนเทศองค์กร
–  การปฏิบัติสอดคล้องตามกฎหมายไอที
–  แนวปฏิบัติเมื่อเกิด Incident ต่างๆ
–  Busniess Continuity ที่เกี่ยวข้องกับระบบสารสนเทศ
–  ใบรับรองมาตรฐาน ISO27001 (เมื่อผ่านการตรวจประเมิน)
รู้จักมาตรฐาน ISO27001
–  เป็นมาตรฐานระหว่างประเทศ (Internal Standard)
–  สำหรับการบริหารงาน (Management System) ด้านความมั่นคงปลอดภัยของสารสนเทศ (Information Security)
–  สามารถขอใบรับรองได้ (Certification)
–  ใช้แนวทาง PDCA (Plan Do Check Act)
–  ประยุกต์ใช้ได้ทุกขนาดองค์กร ประเภทธุรกิจ ภาครัฐหรือเอกชน
–  มีหน่วยงาน 7,940 แห่งทั่วโลกผ่านการรับรอง
–  ประเทศไทยมี 59 หน่วยงานที่ผ่านการรับรอง (กค. 56)
จุดเด่นของ ISO 27001
–  สร้างแรงผลักดันด้วยกลไกลธุรกิจ
–  ใช้เป็นเครื่องมือสร้างจุดเด่นเหนือคู่แข่ง
–  ผลักดันให้องค์กรทำตามกฎหมาย
–  มีการ Surveillance Audit (ตรวจติดตามผล)
–  ลดความเสี่ยงอย่างเป็นระบบ ทำให้ภาพรวมของสังคมดีขึ้น
แนวคิดพื้นฐานของ ISO 27001 Information security Management System
ระบบการจัดการ PDCA (Plan,Do,Check,Act)
ความมั่นคงความปลอดภัย Confidentiality Integrity Availability
ของสารสนเทศ Information Assets
การเตรียมตัว และทรัพยากร
–  ผู้บริหาร (Top Management)      สนับสนุน
–  กำหนดคณะทำงาน
–  เวลา
–  เตรียมงบประมาณ
–  ข้อมูลสนับสนุน (HW & SW Inventory, Configuration, etc)
– สถิติ Incident ด้านไอที (Record : Attemp, Attack, Failure, etc)
ISO27001 : แนวทางการนำมาใช้งาน ประกอบด้วย 9 ขั้นตอน

1. กำหนดนโยบาย (ISMS Policy)
2. กำหนดขอบเขตของระบบ (ISMS Scope)
3. ประเมินความเสี่ยง (Risk Assessment)
4. จัดทำแผนลดความเสี่ยง (Risk Treatment Plan)
5. ปฏิบัติตามคู่มือการทำงาน
6. เฝ้าระวังและทบทวน (Monitoring and Review)
7. ตรวจประเมิน (Internal Audit)
8. แก้ไขและป้องกันข้อบกพร่อง (Corrective and Preventive action)
9. ประชุมทบทวนฝ่ายบริหาร (Management review)

Threats : ภัยคุกคาม
Social Engineering : Hacker, Identity Theft, Phishing, Insider Threats, Natural Disaster, Virus & Worm
Vulnerabilities : ช่องโหว่
Hardware
–  ขาดระบบป้องกันทางกายภาพ
–  เครื่องชำรุด
–  อื่นๆ
Software
–  ช่องโหว่ของระบบปฏิบัติการ
–  ช่องโหว่ของโปรแกรม (Bugss)
–  โปรแกรมรุ่นทดสอบ (Beta version)
–  อื่นๆ
People
–  ผู้ใช้ขาดความรู้ ความตระหนัก
–  ใช้งานผิดวัตถุประสงค์
–  Human error
Management
–  ขาดมาตรการควบคุมดูแลผู้ใช้
–  ขาดการบำรุงรักษาระบบ
–  ขาดการประเมินความสามารถของระบบ
ความเสี่ยง (RISK)
ความเสี่ยง = โอกาสเกิด X ความรุนแรง
เช่น ความเสี่ยงสูง Unauthorized access | โอกาสสูง (เพราะไม่ได้ตั้งรหัสผ่าน) | ความรุนแรงสูง
เลือกมาตรการ (Controls) มาใช้งาน
A5.Security Policy
A6.Organizing Information Security
A7.Asset Management
A8.Human Resources Security
A9.Physical & Environmental Security
A10.Communications & Operations Management
A11.Access Control
A12.Information systems acquisition, development and maintenance
A13.Information security incident
A14.Business continuity management
A15.Compliance
ระบบเอกสารของ ISO27001
โครงสร้างระบบเอกสารสำหรับ ISO27001
คู่มือ (MANUAL)
ระเบียบปฏิบัติ (PROCEDURE)
ขั้นตอนการปฏิบัติ (WORK INSTRUCTION, FORM)
บันทึก (RECORD)
ตัวอย่างเอกสาร
–  ISMS Policy
–  Scope of the ISMS
–  Statement of Applicability
–  Risk Treatment Plan
–  Document Control Procedure
–  Training Procedure
–  Internal Audit Procedure
–  Management Review Procedure
มาตรการด้านความมั่นคงปลอดภัยของสารสนเทศ
ISO 27001 : 2005 Annex A
A5.Security Policy – ผู้บริหารกำหนดแนวทางการจัดการอย่างเป็นรูปธรรมสำหรับจัดการความมั่นคงปลอดภัยของสารสนเทศ
A6.Organizing Information Security – พิจารณาความเสี่ยงจากภายในและภายนอกองค์กร
A7.Asset Management – รวบรวมข้อมูลรายการทรัพย์สินสารสนเทศ และจัดหมวดหมู่
A8.Human Resources Security – กำหนดมาตรการรักษาความมั่นคงปลอดภัยสารสนเทศสำหรับพนักงานใหม่, โอนย้ายและลาออกจากองค์กร
A9.Physical & Environmental Security – การป้องกันโครงสร้างพื้นฐานของระบบสื่อสารและประมวลผลคอมพิวเตอร์
A10.Communications & Operations Management – มาตรการทางเทคนิค
A11.Access Control – ควบคุมการเข้าถึง network, systems, applications, functions และ data
A12.Information systems acquisition, development and maintenance – ข้อกำหนดด้านความมั่นคงปลอดภัยในระบบสารสนเทศ
A13.Information security incident – จัดการเหตุการด้านความมั่นคงปลอดภัยของสารสนเทศ
A14.Business continuity management – การป้องกัน, ดูแลรักษาและการกู้คืนระบบงานที่มีความสำคัญทางธุรกิจ
A15.Compliance – ปฏิบัติสอดคล้องกับนโยบายการรักษาความปลอดภัยข้อมูลมาตรฐาน, กฎหมายและระเบียบข้อบังคับ
ปัจจัยที่มีผลต่อความสำเร็จ (Critical Success Factors)
–  ได้รับการสนับสนุนจาก Top Management อย่างเป็นรูปธรรม
–  ตัวแทนฝ่ายบริหาร – Information Security Management Representative (ISMR) – ต้องกำกับดูแลควบคุมและติดตามงาน
–  กำหนดขอบเขตของระบบให้ชัดเจน
–  กระจายงานให้คณะทำงานอย่างเหมาะสม
–  สร้างแรงจูงในให้ผู้ที่มาเป็นคณะทำงาน
Management Responsibility
ผู้บริหารระดับสูง (Top Management) : กำหนดทิศทางและสนับสนุนอย่างเป็นรูปธรรม
ตัวแทนฝ่ายบริหาร – ISMR (Information Security Management Representative) : กำกับดูแล ประสานงาน ติดตามผล แก้ปัญหา
คณะทำงาน (Working Committee) : ทีมลงมือปฏิบัติ ปรับปรุงระบบ ทำเอกสาร
Business Continuity Management
–  ระบบสารสนเทศล้มเหลว (Failure) หรือภัยพิบัติ (Disaster)
–  ประคองกระบวนการธุรกิจที่สำคัญ (Critical Business Process)
–  กู้ระบบคืนสู่ระดับที่ยอมรับได้ ภายในเวลาที่กำหนด
–  เตรียมการล่วงหน้า ฝึกซ้อม
–  ปรับปรุงอยู่เสมอให้เหมาะสมกับความเสี่ยงใหม่ๆ
การขอการรับรอง ISO 27001
–  ตรวจประเมินโดย Third Party Certification Body
–  Certificatie มีอายุ 3 ปี
–  มีการ Survillance Audit เป็นระยะ
–  ครบ 3 ปี ตรวจใหม่ทั้งระบบ เหมือน ISO9001