950 likes | 1.3k Views
Chapter 3 ความปลอดภัยของข้อมูลและการจัดการความเสี่ยง Information Security and Risk Management. ความปลอดภัยของระบบฐานข้อมูล (Database Security).
E N D
Chapter 3ความปลอดภัยของข้อมูลและการจัดการความเสี่ยงInformation Security andRisk Management
ความปลอดภัยของระบบฐานข้อมูล (Database Security) • ระบบฐานข้อมูลนั้นมีความจำเป็นอย่างยิ่งต่อความปลอดภัยของข้อมูล เพราะข้อมูลในระบบข้อมูลข่ายสารในปัจจุบันนั้นจะถูกเก็บไว้ในฐานข้อมูลเป็นส่วนใหญ่ บางครั้งเพื่อความสะดวกรวดเร็วในการใช้งานฐานข้อมูลนั้น อาจจำเป็นต้องให้มีบุคคลหลายคนสามารถเข้าถึงข้อมูลพร้อมๆ กันจากหลายๆ สถานที่ หรือบางครั้งก็อาจจำเป็นต้องใช้เทคโนโลยี Internet เป็นตัวเชื่อมต่อและกระจายข้อมูลออกไปในวงกว้าง
การโจมตีระบบฐานข้อมูล (Database Attack) • การโจมตีระบบฐานข้อมูลซึ่งทำให้ข้อมูลที่เป็นความลับนั้น ถูกเปิดเผยต่อบุคคลที่ไม่ได้รับอนุญาต • การโจมตีระบบฐานข้อมูลโดยทำให้ข้อมูลที่ถูกเก็บไว้ในระบบฐานข้อมูลนั้นถูกเปลี่ยนแปลงไปในทางที่เสียหาย • การโจมตีระบบฐานข้อมูลโดยทำให้ข้อมูลที่ถูกเก็บไว้ในระบบฐานข้อมูลนั้นไม่สามารถใช้งานได้จากบุคคลที่ได้รับอนุญาตอย่างถูกต้อง
ปัญหาการรั่วไหลของข้อมูลจากการวิเคราะห์ข้อมูล (Inference Problem) • โดยทั่วไปแล้ว การรักษาความปลอดภัยของข้อมูลนั้น สามารถที่จะทำได้โดยระบุการเข้าถึงข้อมูลว่าสามารถที่จะเข้าถึงได้โดยบุคคลทั่วไป (Public) หรือสามารถที่จะเข้าถึงได้เฉพาะบุคคลเท่านั้น (Personnel/Private) • ข้อมูลเฉพาะบุคคลที่เป็นความลับ จะไม่สามารถที่จะเข้าถึงได้โดยบุคคลทั่วไป แต่ข้อมูลนี้สามารถที่จะรั่วไหลได้โดยการวิเคราะห์ข้อมูลจากข้อมูลที่เป็นแบบ Public ได้ • เช่น ฐานข้อมูลในแผนกทรัพยากรมนุษย์
ปัญหาการรั่วไหลความลับของข้อมูลจากการรวบรวมข้อมูลต่างๆ ที่ไม่เป็นความลับเข้าด้วยกัน (Database Aggregation Problem) • ปัญหานี้เกิดขึ้นเมื่อมีการรวบรวมข้อมูลต่างๆ ที่ไม่เป็นความลับเข้าไว้ด้วยกันและสามารถเกิดการปะติดปะต่อกันเข้าจนทำให้ความลับเกิดการรั่วไหลได้ • วิธีการแก้ไขที่อาจนำมาใช้ได้ก็คือ การปรับเปลี่ยนระดับการจำแนกข้อมูลของมูลที่ไม่เป็นความลับ โดยที่เมื่อข้อมูลเหล่านี้ เมื่อมีการนำมารวมกันเมื่อใดก็ให้ปรับเปลี่ยนระดับไปเป็นชั้นของข้อมูลความลับซึ่งบุคคลที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงได้
ระบบฐานข้อมูลที่เป็นอยู่บนระบบปฏิบัติการที่ปลอดภัย (Database Applications on Secure Operating system) • วิธีการที่ดีวิธีหนึ่งที่มาใช้ในการรักษาความปลอดภัยของระบบฐานข้อมูลก็คือ การใช้โปรแกรมฐานข้อมูลบนระบบปฏิบัติการที่มีความปลอดภัยสูง (Trusted Computing Base) ซึ่งวิธีการนี้สามารถให้ความปลอดภัยต่อข้อมูลได้เพราะระบบปฏิบัติจะเป็นตัวทำงานต่างๆ ที่เกี่ยวกับการเก็บรักษาข้อมูลเกือบทั้งหมด ข้อมูลจะได้รับการปกป้องจากระบบปฏิบัติการที่ได้รับการพิสูจน์แล้วว่ามีความปลอดภัยสูง
การรักษาความปลอดภัยของระบบฐานข้อมูลโดยการใช้วิธี Integrity Lock • การรักษาความปลอดภัยแบบนี้สามารถทำได้โดยการใช้ Trusted Front End (TFE) เพื่อใช้ในการรักษาความปลอดภัยให้แก่ระบบฐานข้อมูล โดยที่ตัว TFE นี้จะเป็นตัวกลางเชื่อมต่อระหว่างตัวฐานข้อมูลและโปรแกรมอื่นๆ ที่จะเข้ามาใช้ฐานข้อมูลซึ่งอาจเป็นโปรแกรมที่อาจไม่มีความน่าเชื่อถือทางด้านระบบการรักษาความปลอดภัยก็เป็นได้
การกำหนดสิทธิการเข้าถึงข้อมูลการกำหนดสิทธิการเข้าถึงข้อมูล • การกำหนดสิทธิการเข้าถึงข้อมูลเป็นคำสังทีใช้กำหนดสิทธิให้กับผู้ใช้แต่ละคนมีสิทธิกระทำการใดกับ • ข้อมูลในตารางใดได้บ้างหรือการกำหนดให้มีสิทธิดูข้อมูลได้เพียงอย่างเดียว • (1) การกำหนดสิทธิในการเข้าถึงข้อมูล ได้แก่ การเรียกค้นข้อมูลด้วยคำสัง (SELECT) การเพิมข้อมูลด้วยคำสัง (INSERT) การ ลบข้อมูลมูลด้วยคำสัง (DELETE) หรือการปรับปรุง มูลด้วยคำสัง (UPDATE) รูปแบบ GRANT <SELECT,INSERT,UPDATE,DELETE> ON <ชือ ตาราง> TO <ชือ ผู้ใช้>; • (2) การให้สิทธิในการเข้าถึงข้อมูลทั้งหมด ใช้ ALL PRIVILEGES (หรือ ALL เท่านัน ) ในคำสัง GRANT รูปแบบ GRANT ALL ON <ชือ ตาราง> TO <ชือ ผู้ใช้>; • (3) การให้สิทธิในการเรียกดูข้อมูลแก่ผู้ใช้ทุกคน ใช้ PUBLIC กับคำสัง SELECT ควบคู่ไปกับคำสัง GRANT รูปแบบ GRANT SELECT ON <ชือ ตาราง> TO PUBLIC;
สิ่งที่ต้องคำนึงถึงในการนำระบบ Database มาใช้งานในการรักษาความปลอดภัยของข้อมูล • ต้องทำการติดตั้งซอฟท์แวร์เพิ่มเติมของบริษัทผู้ผลิตเสมอเพื่อเป็นการอุดรูรั่วทางด้านความปลอดภัยต่างๆ ที่อาจเกิดขึ้นมาได้ • ต้องศึกษาและปฏิบัติตามคำแนะนำที่มากับคู่มือที่ใช้นากรรักษาความลับของระบบฐานข้อมูลโดยอย่างเคร่งครัด • ควรใช้ระบบฐานข้อมูลที่ได้รับการรับรองโดยมาตรฐานของทางทหาร (US) เพราะเป็นมาตรฐานที่ให้ความปลอดภัยที่สูงมาก
การรับรองความปลอดภัยของระบบฐานข้อมูลโดยใช้มาตรฐาน TCSEC • เป็นมาตรฐานที่นำมาใช้ในการบอกระดับปลอดภัยของระบบฐานข้อมูล ซึ่งมีอยู่หลายระดับแล้วแต่การใช้งาน ระดับความปลอดภัยที่เพียงพอสำหรับการนำมาใช้ในเชิงธุรกิจนั้นมักใช้ระดับ C2 ซึ่งโดยมากก็มักเพียงพอแก่ความต้องการโดยทั่วไป แต่หากต้องการความปลอดภัยที่สูงขึ้นก็อาจใช้ระบบ B1 ได้ซึ่งเป็นระดับความปลอดภัยที่สูงกว่ามาก
ค่าระดับมาตรฐานที่ใช้ในการรักษาความปลอดภัยของระบบฐานข้อมูลที่มีอยู่ตามท้องตลาดโดยทั่วไปค่าระดับมาตรฐานที่ใช้ในการรักษาความปลอดภัยของระบบฐานข้อมูลที่มีอยู่ตามท้องตลาดโดยทั่วไป
รูปแบบการทุจริตในระบบเครือข่าย • ซาลามิเทคนิค (Salami Technique) เป็นวิธียักยอกเงิน สินค้า หรือบริการจากหลายแหล่งทีละเล็กทีละน้อย โดยเมื่อเวลาผ่านไปนาน ๆ เงินจำนวนนั้นก็จะเพิ่มจำนวนสูง ตัวอย่างเช่นผู้ทุจริตอาจใช้วิธีการซ่อนคำสั่งเพื่อลดยอดดอกเบี้ยเงินฝากในบัญชีต่าง ๆ ในจำนวนที่อยู่ในทศนิยมหลักที่สามเป็นต้นไปเพื่อมาสะสมในบัญชีของผู้ทุจริตซึ่งจะเพิ่มขึ้นเรื่อย ๆ จนเป็นเงินจำนวนมากในที่สุด
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ซุปเปอร์แซพพิ่ง (Superzapping) เป็นการทุจริตที่เรียกชื่อตามโปรแกรมยูทิลิตี้ที่มีอยู่ในระบบโปรแกรมของบริษัทไอบีเอ็ม ซึ่งโปรแกรมดังกล่าวสามารถใช้ปรับปรุงหรือเรียกดูเนื้อหาทุกส่วนในระบบ และสามารถปรับปรุงรายการบางอย่างได้โดยไม่สร้างหลักฐานให้ตรวจสอบ ตัวอย่างเช่น การใช้โปรแกรมเพื่อถอนเงินไปเข้าบัญชีของเพื่อนร่วมธุรกิจโดยไม่ก่อให้เกิดหลักฐานในการตรวจสอบในบัญชีแยกประเภท
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • แทร็พดอร์ (Trap Doors) เป็นรหัสโปรแกรมที่ช่วยให้นักพัฒนาโปรแกรมสามารถเข้าไปแก้ไขข้อผิดพลาดได้ในภายหลัง ซึ่งโดยปกติในการตรวจสอบขั้นสุดท้ายรหัสดังกล่าวจะต้องถูกนำออกจากโปรแกรม แต่บางครั้งอาจละเลยโดยไม่ตั้งใจ หรือโดยตั้งใจให้คงมีอยู่เพื่อสะดวกในการแก้ไขภายหลัง ตัวอย่างเช่น โปรแกรมแอบลักลอบการใช้เวลา หรือการใช้โปรแกรมลับเฉพาะสำหรับผู้บริหาร
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ลอจิกบอมบ์ (Logic Bombs) คือ โปรแกรมที่ลงมือกระทำการบางอย่างในระบบคอมพิวเตอร์ในช่วงเวลาและภายใต้เงื่อนไขหรือสภาวการณ์ที่เอื้ออำนวยประโยชน์แก่ผู้ทุจริตได้ ตัวอย่างเช่น การซ่อนคำสั่งให้ตรวจสอบปี วันที่ และเวลา ในระบบคอมพิวเตอร์เมื่อเวลาตรงกับที่ผู้ซ่อนคำสั่งกำหนดไว้ ลอจิกบอมบ์จะสั่งให้อุปกรณ์คอมพิวเตอร์ทำงานตามต้องการ
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • อะซิงโครนัสแอตแทก (Asynchronous Attacks) เป็นโปรแกรมประเภทหนึ่งที่จะเริ่มทำงานเมื่อได้รับสัญญาณบอกผลการปฏิบัติการก่อนหน้านี้ ตัวอย่างเช่น ในขณะใดขณะหนึ่ง มีคำสั่งให้ระบบคอมพิวเตอร์จัดทำรายงานข้อมูลผลลัพธ์จากงานหลายงานพร้อมกัน ภายหลังการออกรายงานที่กำหนดรายงานหนึ่งเสร็จสิ้น
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ซีเวิจจิ้ง (Seaverging) หมายถึง การได้รับข้อมูลที่ผ่านการประมวลผลแล้ว ซึ่งอาจปรากฏในรูปแบบที่ดูได้ด้วยตาเปล่า หรือคงค้างอยู่ในระบบคอมพิวเตอร์ภายหลังจากประมวลผลงานหนึ่ง ๆ เสร็จเรียบร้อยแล้ว ตัวอย่างเช่น การได้รับข้อมูลคงค้างอยู่ในระบบคอมพิวเตอร์ที่เกิดจากการลบค่าในบัฟเฟอร์ไม่หมด เช่น ข้อมูลเงินเดือน
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ดาต้าลีกเกจ (Data Leakage) เป็นการนำข้อมูลออกจากระบบคอมพิวเตอร์ โดยอาศัยวิธีการต่าง ๆ ผู้ทุจริตอาจซ่อนเทคนิคไว้ในระบบคอมพิวเตอร์ แต่ในขั้นตอนการนำข้อมูลออกจะต้องสามารถหลบหลีกการสงสัยจากพนักงานปฏิบัติการคอมพิวเตอร์ หรือพนักงานอื่น ๆ ได้ ตัวอย่างเช่น เครื่องคอมพิวเตอร์ถูกติดตั้งเครื่องส่งวิทยุขนาดเล็กมากลงไป โดยเครื่องส่งดังกล่าวสามารถเปิดเผยข้อมูลที่มีอยู่ในระบบไปยังเครื่องที่อยู่ห่างออกไปได้
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • พิกกี้แบ๊กกิ้ง (Piggybacking) คือการบุกรุกโดยอาศัยเครื่องมือทางอิเล็กทรอนิกส์ ตัวอย่างเช่น การแอบพ่วงสายโทรศัพท์คู่สายเดียวกันไว้ เมื่อเครื่องที่ใช้งานจริงเปิดเข้าไปในระบบ ซึ่งอาจมีการใส่รหัสลับ ภายในจังหวะที่ผู้ใช้จริงเข้าระบบแล้วและอาจไม่อยู่ที่เครื่องในบางขณะ จึงสามารถทำการทุจริตได้
รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ไวร์แท็พพิ่ง (Wiretapping) หมายถึง การทุจริตโดยการลักลอบแก้ไขข้อมูลผ่านวงจรสื่อสารรูปแบบต่าง ๆ ระหว่างการรับส่งข้อมูล การทุจริตแบบนี้ไม่เป็นที่นิยมเนื่องจากทำยาก เนื่องจากต้องใช้อุปกรณ์เพื่อใช้ในการบันทึกและพิมพ์ข้อมูล นอกจากนี้ยังมีวิธีอื่นที่สามารถทำการทุจริตได้ง่ายกว่า
แนวทางในการควบคุมระบบสารสนเทศบนเครือข่ายอินเตอร์เน็ตแนวทางในการควบคุมระบบสารสนเทศบนเครือข่ายอินเตอร์เน็ต • ไฟร์วอลล์ (Firewall) ทำหน้าที่ควบคุมและตรวจสอบข้อมูลที่จะผ่านเข้าสู่เครือข่ายภายในและข้อมูลที่จะส่งออกไปสู่เครือข่ายภายนอก โดยมีการกำหนดกฎต่าง ๆ ขึ้นเพื่อดูแลให้ข้อมูที่จะผ่านเข้าออกระหว่างเครือข่าย • เทคโนโลยีเกี่ยวกับรหัส (Cryptology) ประกอบไปด้วย • การเข้ารหัส (Encryption) เป็นการทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้และทำให้ข้อมูลนั้นเป็นความลับ • การถอดรหัส (Decryption) เป็นการแปลงข้อมูลที่เข้ารหัสให้กลับมาสามารถอ่านออกได้
ตัวอย่างการเข้ารหัสและการถอดรหัสข้อมูลตัวอย่างการเข้ารหัสและการถอดรหัสข้อมูล • การใช้ลายมือชื่อดิจิตอลในการการควบคุมและตรวจสอบ (Digital Signature) โดยมีกระบวนการคร่าว ๆ ดังต่อไปนี้ • นำข้อมูลอิเล็กทรอนิกส์มาเข้ารหัส โดยใช้กุญแจส่วนตัว(Private Key) ของผู้ส่ง ซึ่งเปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนของผู้ส่งเอง และจะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่าลายมือชื่อดิจิตอล • ทำการส่งลายมือชื่อดิจิตอลพร้อมข้อมูลต้นฉบับไปยังผู้รับ แล้วนำลายมือชื่อดิจิตอลมาทำการถอดรหัสด้วยกุญแจสาธารณะ(Public Key) ของผู้ส่ง
แนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบแนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบ ผู้ตรวจสอบใช้อินเตอร์เน็ตเพื่อประโยชน์ของการตรวจสอบใน 2 ลักษณะคือ • การเข้าถึงข้อมูล – ผู้ตรวจสอบสามารถเข้าสู่ระบบสารสนเทศขององค์กรเพื่อเข้าถึงข้อมูลต่าง ๆ ที่ต้องการโดยผ่านทางเครือข่ายอินเตอร์เน็ต และสามารถใช้ข้อมูลเหล่านั้นประกอบการตรวจสอบ • การตรวจสอบแบบต่อเนื่อง – ผู้ตรวจสอบสามารถกำหนดให้มีการแจ้งเตือนโดยอัตโนมัติเมื่อมีการทำรายการที่ผิดปกติหรือมีเหตุการณ์ผิดปกติขึ้นในระบบสารสนเทศ สามารถดำเนินการตรวจสอบระบบสารสนเทศได้อย่างต่อเนื่องโดยไม่ต้องทำเรื่องขอเข้าตรวจสอบทุกครั้งและสามารถแก้ปัญหาต่าง ๆ ได้ทันท่วงที
แนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบแนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบ ระบบอินเตอร์เน็ตทำให้เกิดวิธีการตรวจสอบใหม่ ๆ ดังนี้ • คอมพิวเตอร์สามารถถูกตรวจสอบได้โดยไม่ต้องอยู่บนระบบออนไลน์เดียวกัน • ล็อกไฟล์สามารถเข้าถึงจากทางไกลโดยผ่านอินเตอร์เน็ต • เอกสารในรูปแบบอิเล็กทรอนิกส์ (Soft File) สามารถถูกตรวจสอบจากผู้ตรวจสอบจากสถานที่ใดก็ได้ • สามารถตรวจสอบคอมพิวเตอร์แม่ข่ายโดยผ่านอินเตอร์เน็ตได้ • ช่วยให้ผู้ตรวจสอบสามารถตรวจสอบได้อย่างต่อเนื่องแทนที่จะเป็นการขอเข้าไปตรวจสอบเป็นครั้งคราว
การตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่ายการตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่าย • การตรวจสอบแฟ้มร่องรอยการตรวจสอบ(Audit Trail) เป็นแฟ้มคอมพิวเตอร์ที่บันทึกลำดับของเหตุการณ์ที่เกิดขึ้นในระบบแบบอัตโนมัติ เพื่อบันทึกการกระทำใด ๆ ที่เกิดขึ้นกับระบบโดยเรียงตามลำดับเวลาที่เกิดขึ้นตั้งแต่เริ่มต้นจนจบ และบันทึกเวลาตั้งแต่การล็อกอินเข้าสู่ระบบจนกระทั่งล็อกเอาท์ออกจากระบบ แฟ้มร่องรอยการตรวจสอบ แบ่งออกเป็น 2 ประเภท คือ • แฟ้มร่องรอยการตรวจสอบด้านการบัญชี (Accounting Audit Trail) • แฟ้มร่องรอยการตรวจสอบด้านการปฏิบัติงาน (Operation Audit Trail)
การตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่ายการตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่าย • การควบคุมความมีอยู่ (Existence Controls) – เป็นการควบคุมให้มีการสำรองและกู้คืนระบบเครือข่าย โดยมีวิธีการต่าง ๆ ได้แก่ • จัดเตรียมสถานที่และจัดเก็บอุปกรณ์และชิ้นส่วนที่จะต้องใช้ในระบบเครือข่ายสำรองไว้ทั้งหมด • ใช้อุปกรณ์ที่มีความสามารถในการแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นภายในระบบเครือข่าย • ใช้อุปกรณ์ที่ผ่านการทดสอบว่ามีคุณภาพสูง • มีการบำรุงรักษาฮาร์ดแวร์และซอฟต์แวร์อย่างเพียงพอและสม่ำเสมอ • มีสิ่งอำนวยความสะดวกในการกู้คืนระบบที่เพียงพอและเหมาะสม
การจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศการจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
กระบวนการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ • กระบวนการบริหารจัดการความเสี่ยงการเป็น 6 ขั้นตอน ดังนี้ • 1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและ การประเมินค่าความเสี่ยง • 1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้ • ▫ การชี้ระบุความเสี่ยง (Risk identification) • ▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description) • ▫ การประมาณความเสี่ยง (Risk estimation) • 1.2 ประเมินค่าความเสี่ยง (Risk evaluation) • 2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting) • 3. กระบวนการบรรเทาความเสี่ยง (Risk mitigation) • 4. การควบคุมความเสี่ยง (Risk control) • 5. การรายงานความเสี่ยงตกค้าง (Residual risk reporting) • 6. การเฝ้าสังเกต (Monitoring)
การรักษาความปลอดภัยข้อมูลนั้น ความเสี่ยงประกอบด้วยสองส่วน คือ • ช่องโหว่ (Vulnerability) • ภัยคุกคาม(Threat) ช่องโหว่ (Vulnerability) หมายถึง ช่องทางที่อาจถูกใช้สำหรับการโจมตีได้ เช่น ประตู หน้าต่างที่ถูกเปิดไว้ อาจเป็นสิ่งล่อที่ผู้ไม่หวังดีแอบเข้ามาขโมยทรัพย์สินในบ้านได้ ถ้าทางเทคโนโลยี เช่น การเปิด Port ทิ้งไว้โดยไม่จำเป็น อาจก่อให้เกิดอันตรายได้
ภัยคุกคาม(Threat) คือ สิ่งที่อาจเกิดขึ้นและมีอันตรายต่อทรัพย์สิน • ภัยคุกคามจากคนภายในองค์กร เช่น การฉ้อโกง การทำงานผิดพลาดโดยไม่ตั้งใจ • ภัยคุกคามจากคนภายนนอกองค์กร เช่น การเจาะเข้ามาในระบบ การก่อวินาศกรรม การโจรกรรม หรือ การใช้ เล่ห์กลอุบาย หลอกล่อถามข้อมูล • ภัยธรรมชาติ เช่น น้ำท่วม แผ่นดินไหว สึนามิ ไฟไหม้ ฟ้าผ่า • ภัยคุกคามจากสภาพแวดล้อมไม่เหมาะสม เช่น น้ำรั่วซึม ฝุ่นละออง สารเคมี อุณหภูมิร้อน ความชื้น
การโจมตี(Target) • เป้าหมายของการโจมตี • ความลับ (Confidentiality) เป็นเป้าหมายก็ต่อเมื่อความลับของข้อมูลถูกเปิดเผยเช่นความลับทางราชการ ความลับทางธุรกิจ ข้อมูลส่วนบุคคล • ความคงสภาพ(Integrity) จะตกเป็นเป้าหมายเมื่อพยายามที่จะเปลี่ยนแปลงข้อมูล หรือหลอกลวงให้เชื่อข้อมูลที่เป็นเท็จ เช่นการเปลี่ยนยอดเงินในบัญชีธนาคารเพื่อให้จำนวนเงินมากขึ้น • ความพร้อมใช้งาน(Availability) ตกเป็นเป้าหมายเมื่อมีการโจมตีแบบปฏิเสธการให้บริการ เป้าหมายนั้นอาจเป็นระบบที่ให้บริการข้อมูล หรือ ข้อมูลโครงสร้างขององค์กร
ผู้โจมตี • คือผู้กระทำการใดๆที่ก่อให้เกิดผลกระทบทางด้านลบกับผู้ถูกโจมตี ลักษณะของผู้โจมตี เช่น • การเข้าถึง(Access) สามารถเข้าถึงเป้าหมายได้ เข้าถึงระบบ เครือข่าย สถานที่ หรือข้อมูลที่ต้องการ อาจจะเป็นทางตรงเช่น การเจาะเข้าระบบบัญชขี หรือทางอ้อม เช่น อาจมีโอกาสเข้าถึงโดยช่องทางพิเศษ พนักงานลืมปิดประตูแอบเข้าไปได้ • ความรู้ (Knowledge) มีความรู้เกี่ยวกับเป้าหมายเช่น บัญชีผู้ใช้ รหัสผ่าน ที่อยู่ หมายเลขไอพี ระบบรักษาความปลอดภัย • แรงจูงใจ(Motivate) ความท้าทาย ความอยากได้ เช่น เงิน สิ่งของ บริการหรือ ข้อมูล
ผู้โจมตี อาจเป็นบุคคลดังต่อไปนี้ • พนักงาน • พนักงานเก่า • แฮคเกอร์ • ศัตรูหรือคู่แข่ง • ผู้ก่อการร้าย • ลูกค้า • ภัยธรรมชาติ
เหตุการณ์ • วิธีการที่ผู้โจมตีอาจทำอันตรายต่อองค์กร เช่น • แก้ไขหน้าเว็บไซต์ขององค์กร • การใช้บัญชีผู้ใช้ในทางที่ผิด หรือ เกินกว่าที่ได้รับอนุญาต • การแก้ไขข้อมูลที่สำคัญทั้งที่ตั้งใจหรือไม่ได้ตั้งใจ • การเจาะเข้าระบบโดยไม่ได้รับอณุญาต • การทำลายระบบโดยไม่ได้ตั้งใจ • การรบกวนระบบสื่อสารทั้งข้อมูลภายในและภายนอก
การประเมินความเสี่ยง (Risk assessment) • 1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ • กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่ • - ชื่อความเสี่ยง (Name) • - ขอบเขต (Scope) • - ลักษณะความเสี่ยง (Nature) • - ผู้ที่มีผลกระทบ • - ลักษณะเชิงประมาณ • - การยอมรับความเสี่ยง • - การบำบัดและการควบคุม • - แนวทางการปรับปรุง • - การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมาณความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด
โอกาส หรือ ความน่าจะเป็น (Probability or Likelihood) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น • - บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ • - ประปราย (probable) • - ตามโอกาส (occasional) • - น้อยครั้งมาก (remote) • - แทบไม่เกิดเลย (improbable) • หมายเหตุ บางองค์กรแบ่งความบ่อยครั้งของการเกิดเหตุออกเป็น 3 ระดับ เท่านั้น ซึ่งแล้วแต่ความต้องการเพื่อความเหมาะสมของแต่ละองค์กร
1.2การประเมินค่าความเสี่ยง (Risk evaluation) • หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น • - ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits) • - ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements) • - ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors) • - ปัจจัยด้านสิ่งแวดล้อม (environmental factors) • - ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
ตัวอย่าง การประเมินค่าความเสี่ยง (risk evaluation) • ตาราง แสดงเมตริกซ์ระดับความเสี่ยง 3x3
ตัวอย่างในที่นี้ใช้เมตริกซ์ 3x3 จากโอกาสเกิดภัยคุกคาม 3 ระดับ (สูง, ปานกลาง, ต่ำ) และผลกระทบของภัยคุกคาม 3 ระดับ (สูง, ปานกลาง, ต่ำ) แสดงได้ดังตาราง แสดง ค่าความเป็นไปได้ของระดับโอกาสเกิดภัยคุกคามมีค่าเป็น 1 เมื่อเป็นระดับสูง, มีค่าเป็น 0.5 เมื่อเป็นระดับปานกลาง และมีค่าเป็น 0.1 เมื่อเป็นระดับต่ำ และ ค่าของระดับความรุนแรงของผลกระทบจากภัยคุกคามมีค่าเป็น 100 เมื่อเป็นระดับสูง, มีค่าเป็น 50 เมื่อเป็นระดับปานกลาง และมีค่าเป็น 10 เมื่อเป็นระดับต่ำ ตามลำดับ
ระดับความเสี่ยงสูง หมายถึงจำเป็นต้องได้รับการแก้ไขอย่างเร่งด่วน ระบบที่ดำเนินอยู่อาจจะยังคงปฏิบัติงานตามปกติแต่จะต้องนำแผนการแก้ไขมาใช้ทันทีที่เป็นไปได้ • ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ไขและแผนการควบคุมควรได้รับการปรับปรุงแล้วนำมาใช้ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอในการปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น • ระดับความเสี่ยงต่ำ หมายถึงระบบควรได้รับการตรวจสอบเพื่อให้แน่ใจว่าแผนการควบคุมที่มีอยู่จะสามารถแก้ไขปัญหาและรับมือกับความเสี่ยงได้
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting) • เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้ ฝ่ายบริหาร ฝ่ายหัวหน้างาน ผู้ปฏิบัติงาน
-รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่ - เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ - ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร - เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ - ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล - ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง ฝ่ายบริหาร
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร - มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด - รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข - รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่ ฝ่ายหัวหน้างาน
-เข้าใจบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยงแต่ละรายการ - เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง - เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง ผู้ปฏิบัติงาน
3. กระบวนการบรรเทาเสี่ยง (Risk mitigation) • การบรรเทาความเสี่ยงเกี่ยวข้องกับการจัดลำดับ, การคำนวณความเสี่ยง และการลงมือควบคุมการลดความเสี่ยงอย่างเหมาะสมตามแนวทางที่มาจากการประเมินความเสี่ยง เนื่องจากการที่จะกำจัดความเสี่ยงในระบบทั้งหมดนั้นเป็นเรื่องที่ทำได้ยาก ผู้บริหารธุรกิจจะต้องเป็นผู้รับผิดชอบการทำงานนี้ด้วยเงื่อนไขในการใช้งบประมาณที่ต่ำที่สุด (Least-cost) และใช้วิธีการควบคุมที่เหมาะสมที่สุดเพื่อลดระดับความเสี่ยงให้อยู่นะระดับที่ยอมรับได้ โดยส่งผลกระทบต่อพันธกิจและทรัพยากรขององค์กรให้น้อยที่สุด • ทางเลือกเพื่อการบรรเทาความเสี่ยง สามารถแบ่งออกเป็น 6 ประเภทดังนี