1 / 70

Chapter 3 ความปลอดภัยของข้อมูลและการจัดการความเสี่ยง Information Security and Risk Management

Chapter 3 ความปลอดภัยของข้อมูลและการจัดการความเสี่ยง Information Security and Risk Management. ความปลอดภัยของระบบฐานข้อมูล (Database Security).

wayne-barron
Download Presentation

Chapter 3 ความปลอดภัยของข้อมูลและการจัดการความเสี่ยง Information Security and Risk Management

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapter 3ความปลอดภัยของข้อมูลและการจัดการความเสี่ยงInformation Security andRisk Management

  2. ความปลอดภัยของระบบฐานข้อมูล (Database Security) • ระบบฐานข้อมูลนั้นมีความจำเป็นอย่างยิ่งต่อความปลอดภัยของข้อมูล เพราะข้อมูลในระบบข้อมูลข่ายสารในปัจจุบันนั้นจะถูกเก็บไว้ในฐานข้อมูลเป็นส่วนใหญ่ บางครั้งเพื่อความสะดวกรวดเร็วในการใช้งานฐานข้อมูลนั้น อาจจำเป็นต้องให้มีบุคคลหลายคนสามารถเข้าถึงข้อมูลพร้อมๆ กันจากหลายๆ สถานที่ หรือบางครั้งก็อาจจำเป็นต้องใช้เทคโนโลยี Internet เป็นตัวเชื่อมต่อและกระจายข้อมูลออกไปในวงกว้าง

  3. การโจมตีระบบฐานข้อมูล (Database Attack) • การโจมตีระบบฐานข้อมูลซึ่งทำให้ข้อมูลที่เป็นความลับนั้น ถูกเปิดเผยต่อบุคคลที่ไม่ได้รับอนุญาต • การโจมตีระบบฐานข้อมูลโดยทำให้ข้อมูลที่ถูกเก็บไว้ในระบบฐานข้อมูลนั้นถูกเปลี่ยนแปลงไปในทางที่เสียหาย • การโจมตีระบบฐานข้อมูลโดยทำให้ข้อมูลที่ถูกเก็บไว้ในระบบฐานข้อมูลนั้นไม่สามารถใช้งานได้จากบุคคลที่ได้รับอนุญาตอย่างถูกต้อง

  4. ปัญหาการรั่วไหลของข้อมูลจากการวิเคราะห์ข้อมูล (Inference Problem) • โดยทั่วไปแล้ว การรักษาความปลอดภัยของข้อมูลนั้น สามารถที่จะทำได้โดยระบุการเข้าถึงข้อมูลว่าสามารถที่จะเข้าถึงได้โดยบุคคลทั่วไป (Public) หรือสามารถที่จะเข้าถึงได้เฉพาะบุคคลเท่านั้น (Personnel/Private) • ข้อมูลเฉพาะบุคคลที่เป็นความลับ จะไม่สามารถที่จะเข้าถึงได้โดยบุคคลทั่วไป แต่ข้อมูลนี้สามารถที่จะรั่วไหลได้โดยการวิเคราะห์ข้อมูลจากข้อมูลที่เป็นแบบ Public ได้ • เช่น ฐานข้อมูลในแผนกทรัพยากรมนุษย์

  5. ปัญหาการรั่วไหลความลับของข้อมูลจากการรวบรวมข้อมูลต่างๆ ที่ไม่เป็นความลับเข้าด้วยกัน (Database Aggregation Problem) • ปัญหานี้เกิดขึ้นเมื่อมีการรวบรวมข้อมูลต่างๆ ที่ไม่เป็นความลับเข้าไว้ด้วยกันและสามารถเกิดการปะติดปะต่อกันเข้าจนทำให้ความลับเกิดการรั่วไหลได้ • วิธีการแก้ไขที่อาจนำมาใช้ได้ก็คือ การปรับเปลี่ยนระดับการจำแนกข้อมูลของมูลที่ไม่เป็นความลับ โดยที่เมื่อข้อมูลเหล่านี้ เมื่อมีการนำมารวมกันเมื่อใดก็ให้ปรับเปลี่ยนระดับไปเป็นชั้นของข้อมูลความลับซึ่งบุคคลที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงได้

  6. ระบบฐานข้อมูลที่เป็นอยู่บนระบบปฏิบัติการที่ปลอดภัย (Database Applications on Secure Operating system) • วิธีการที่ดีวิธีหนึ่งที่มาใช้ในการรักษาความปลอดภัยของระบบฐานข้อมูลก็คือ การใช้โปรแกรมฐานข้อมูลบนระบบปฏิบัติการที่มีความปลอดภัยสูง (Trusted Computing Base) ซึ่งวิธีการนี้สามารถให้ความปลอดภัยต่อข้อมูลได้เพราะระบบปฏิบัติจะเป็นตัวทำงานต่างๆ ที่เกี่ยวกับการเก็บรักษาข้อมูลเกือบทั้งหมด ข้อมูลจะได้รับการปกป้องจากระบบปฏิบัติการที่ได้รับการพิสูจน์แล้วว่ามีความปลอดภัยสูง

  7. การรักษาความปลอดภัยของระบบฐานข้อมูลโดยการใช้วิธี Integrity Lock • การรักษาความปลอดภัยแบบนี้สามารถทำได้โดยการใช้ Trusted Front End (TFE) เพื่อใช้ในการรักษาความปลอดภัยให้แก่ระบบฐานข้อมูล โดยที่ตัว TFE นี้จะเป็นตัวกลางเชื่อมต่อระหว่างตัวฐานข้อมูลและโปรแกรมอื่นๆ ที่จะเข้ามาใช้ฐานข้อมูลซึ่งอาจเป็นโปรแกรมที่อาจไม่มีความน่าเชื่อถือทางด้านระบบการรักษาความปลอดภัยก็เป็นได้

  8. การกำหนดสิทธิการเข้าถึงข้อมูลการกำหนดสิทธิการเข้าถึงข้อมูล • การกำหนดสิทธิการเข้าถึงข้อมูลเป็นคำสังทีใช้กำหนดสิทธิให้กับผู้ใช้แต่ละคนมีสิทธิกระทำการใดกับ • ข้อมูลในตารางใดได้บ้างหรือการกำหนดให้มีสิทธิดูข้อมูลได้เพียงอย่างเดียว • (1) การกำหนดสิทธิในการเข้าถึงข้อมูล ได้แก่ การเรียกค้นข้อมูลด้วยคำสัง (SELECT) การเพิมข้อมูลด้วยคำสัง (INSERT) การ ลบข้อมูลมูลด้วยคำสัง (DELETE) หรือการปรับปรุง มูลด้วยคำสัง (UPDATE) รูปแบบ GRANT <SELECT,INSERT,UPDATE,DELETE> ON <ชือ ตาราง> TO <ชือ ผู้ใช้>; • (2) การให้สิทธิในการเข้าถึงข้อมูลทั้งหมด ใช้ ALL PRIVILEGES (หรือ ALL เท่านัน ) ในคำสัง GRANT รูปแบบ GRANT ALL ON <ชือ ตาราง> TO <ชือ ผู้ใช้>; • (3) การให้สิทธิในการเรียกดูข้อมูลแก่ผู้ใช้ทุกคน ใช้ PUBLIC กับคำสัง􀃉 SELECT ควบคู่ไปกับคำสัง GRANT รูปแบบ GRANT SELECT ON <ชือ ตาราง> TO PUBLIC;

  9. สิ่งที่ต้องคำนึงถึงในการนำระบบ Database มาใช้งานในการรักษาความปลอดภัยของข้อมูล • ต้องทำการติดตั้งซอฟท์แวร์เพิ่มเติมของบริษัทผู้ผลิตเสมอเพื่อเป็นการอุดรูรั่วทางด้านความปลอดภัยต่างๆ ที่อาจเกิดขึ้นมาได้ • ต้องศึกษาและปฏิบัติตามคำแนะนำที่มากับคู่มือที่ใช้นากรรักษาความลับของระบบฐานข้อมูลโดยอย่างเคร่งครัด • ควรใช้ระบบฐานข้อมูลที่ได้รับการรับรองโดยมาตรฐานของทางทหาร (US) เพราะเป็นมาตรฐานที่ให้ความปลอดภัยที่สูงมาก

  10. การรับรองความปลอดภัยของระบบฐานข้อมูลโดยใช้มาตรฐาน TCSEC • เป็นมาตรฐานที่นำมาใช้ในการบอกระดับปลอดภัยของระบบฐานข้อมูล ซึ่งมีอยู่หลายระดับแล้วแต่การใช้งาน ระดับความปลอดภัยที่เพียงพอสำหรับการนำมาใช้ในเชิงธุรกิจนั้นมักใช้ระดับ C2 ซึ่งโดยมากก็มักเพียงพอแก่ความต้องการโดยทั่วไป แต่หากต้องการความปลอดภัยที่สูงขึ้นก็อาจใช้ระบบ B1 ได้ซึ่งเป็นระดับความปลอดภัยที่สูงกว่ามาก

  11. ค่าระดับมาตรฐานที่ใช้ในการรักษาความปลอดภัยของระบบฐานข้อมูลที่มีอยู่ตามท้องตลาดโดยทั่วไปค่าระดับมาตรฐานที่ใช้ในการรักษาความปลอดภัยของระบบฐานข้อมูลที่มีอยู่ตามท้องตลาดโดยทั่วไป

  12. รูปแบบการทุจริตในระบบเครือข่าย • ซาลามิเทคนิค (Salami Technique) เป็นวิธียักยอกเงิน สินค้า หรือบริการจากหลายแหล่งทีละเล็กทีละน้อย โดยเมื่อเวลาผ่านไปนาน ๆ เงินจำนวนนั้นก็จะเพิ่มจำนวนสูง ตัวอย่างเช่นผู้ทุจริตอาจใช้วิธีการซ่อนคำสั่งเพื่อลดยอดดอกเบี้ยเงินฝากในบัญชีต่าง ๆ ในจำนวนที่อยู่ในทศนิยมหลักที่สามเป็นต้นไปเพื่อมาสะสมในบัญชีของผู้ทุจริตซึ่งจะเพิ่มขึ้นเรื่อย ๆ จนเป็นเงินจำนวนมากในที่สุด

  13. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ซุปเปอร์แซพพิ่ง (Superzapping) เป็นการทุจริตที่เรียกชื่อตามโปรแกรมยูทิลิตี้ที่มีอยู่ในระบบโปรแกรมของบริษัทไอบีเอ็ม ซึ่งโปรแกรมดังกล่าวสามารถใช้ปรับปรุงหรือเรียกดูเนื้อหาทุกส่วนในระบบ และสามารถปรับปรุงรายการบางอย่างได้โดยไม่สร้างหลักฐานให้ตรวจสอบ ตัวอย่างเช่น การใช้โปรแกรมเพื่อถอนเงินไปเข้าบัญชีของเพื่อนร่วมธุรกิจโดยไม่ก่อให้เกิดหลักฐานในการตรวจสอบในบัญชีแยกประเภท

  14. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • แทร็พดอร์ (Trap Doors) เป็นรหัสโปรแกรมที่ช่วยให้นักพัฒนาโปรแกรมสามารถเข้าไปแก้ไขข้อผิดพลาดได้ในภายหลัง ซึ่งโดยปกติในการตรวจสอบขั้นสุดท้ายรหัสดังกล่าวจะต้องถูกนำออกจากโปรแกรม แต่บางครั้งอาจละเลยโดยไม่ตั้งใจ หรือโดยตั้งใจให้คงมีอยู่เพื่อสะดวกในการแก้ไขภายหลัง ตัวอย่างเช่น โปรแกรมแอบลักลอบการใช้เวลา หรือการใช้โปรแกรมลับเฉพาะสำหรับผู้บริหาร

  15. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ลอจิกบอมบ์ (Logic Bombs) คือ โปรแกรมที่ลงมือกระทำการบางอย่างในระบบคอมพิวเตอร์ในช่วงเวลาและภายใต้เงื่อนไขหรือสภาวการณ์ที่เอื้ออำนวยประโยชน์แก่ผู้ทุจริตได้ ตัวอย่างเช่น การซ่อนคำสั่งให้ตรวจสอบปี วันที่ และเวลา ในระบบคอมพิวเตอร์เมื่อเวลาตรงกับที่ผู้ซ่อนคำสั่งกำหนดไว้ ลอจิกบอมบ์จะสั่งให้อุปกรณ์คอมพิวเตอร์ทำงานตามต้องการ

  16. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • อะซิงโครนัสแอตแทก (Asynchronous Attacks) เป็นโปรแกรมประเภทหนึ่งที่จะเริ่มทำงานเมื่อได้รับสัญญาณบอกผลการปฏิบัติการก่อนหน้านี้ ตัวอย่างเช่น ในขณะใดขณะหนึ่ง มีคำสั่งให้ระบบคอมพิวเตอร์จัดทำรายงานข้อมูลผลลัพธ์จากงานหลายงานพร้อมกัน ภายหลังการออกรายงานที่กำหนดรายงานหนึ่งเสร็จสิ้น

  17. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ซีเวิจจิ้ง (Seaverging) หมายถึง การได้รับข้อมูลที่ผ่านการประมวลผลแล้ว ซึ่งอาจปรากฏในรูปแบบที่ดูได้ด้วยตาเปล่า หรือคงค้างอยู่ในระบบคอมพิวเตอร์ภายหลังจากประมวลผลงานหนึ่ง ๆ เสร็จเรียบร้อยแล้ว ตัวอย่างเช่น การได้รับข้อมูลคงค้างอยู่ในระบบคอมพิวเตอร์ที่เกิดจากการลบค่าในบัฟเฟอร์ไม่หมด เช่น ข้อมูลเงินเดือน

  18. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ดาต้าลีกเกจ (Data Leakage) เป็นการนำข้อมูลออกจากระบบคอมพิวเตอร์ โดยอาศัยวิธีการต่าง ๆ ผู้ทุจริตอาจซ่อนเทคนิคไว้ในระบบคอมพิวเตอร์ แต่ในขั้นตอนการนำข้อมูลออกจะต้องสามารถหลบหลีกการสงสัยจากพนักงานปฏิบัติการคอมพิวเตอร์ หรือพนักงานอื่น ๆ ได้ ตัวอย่างเช่น เครื่องคอมพิวเตอร์ถูกติดตั้งเครื่องส่งวิทยุขนาดเล็กมากลงไป โดยเครื่องส่งดังกล่าวสามารถเปิดเผยข้อมูลที่มีอยู่ในระบบไปยังเครื่องที่อยู่ห่างออกไปได้

  19. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • พิกกี้แบ๊กกิ้ง (Piggybacking) คือการบุกรุกโดยอาศัยเครื่องมือทางอิเล็กทรอนิกส์ ตัวอย่างเช่น การแอบพ่วงสายโทรศัพท์คู่สายเดียวกันไว้ เมื่อเครื่องที่ใช้งานจริงเปิดเข้าไปในระบบ ซึ่งอาจมีการใส่รหัสลับ ภายในจังหวะที่ผู้ใช้จริงเข้าระบบแล้วและอาจไม่อยู่ที่เครื่องในบางขณะ จึงสามารถทำการทุจริตได้

  20. รูปแบบการทุจริตในระบบเครือข่าย (ต่อ) • ไวร์แท็พพิ่ง (Wiretapping) หมายถึง การทุจริตโดยการลักลอบแก้ไขข้อมูลผ่านวงจรสื่อสารรูปแบบต่าง ๆ ระหว่างการรับส่งข้อมูล การทุจริตแบบนี้ไม่เป็นที่นิยมเนื่องจากทำยาก เนื่องจากต้องใช้อุปกรณ์เพื่อใช้ในการบันทึกและพิมพ์ข้อมูล นอกจากนี้ยังมีวิธีอื่นที่สามารถทำการทุจริตได้ง่ายกว่า

  21. แนวทางในการควบคุมระบบสารสนเทศบนเครือข่ายอินเตอร์เน็ตแนวทางในการควบคุมระบบสารสนเทศบนเครือข่ายอินเตอร์เน็ต • ไฟร์วอลล์ (Firewall) ทำหน้าที่ควบคุมและตรวจสอบข้อมูลที่จะผ่านเข้าสู่เครือข่ายภายในและข้อมูลที่จะส่งออกไปสู่เครือข่ายภายนอก โดยมีการกำหนดกฎต่าง ๆ ขึ้นเพื่อดูแลให้ข้อมูที่จะผ่านเข้าออกระหว่างเครือข่าย • เทคโนโลยีเกี่ยวกับรหัส (Cryptology) ประกอบไปด้วย • การเข้ารหัส (Encryption) เป็นการทำให้ข้อมูลที่จะส่งผ่านไปทางเครือข่ายอยู่ในรูปแบบที่ไม่สามารถอ่านออกได้และทำให้ข้อมูลนั้นเป็นความลับ • การถอดรหัส (Decryption) เป็นการแปลงข้อมูลที่เข้ารหัสให้กลับมาสามารถอ่านออกได้

  22. ตัวอย่างการเข้ารหัสและการถอดรหัสข้อมูลตัวอย่างการเข้ารหัสและการถอดรหัสข้อมูล • การใช้ลายมือชื่อดิจิตอลในการการควบคุมและตรวจสอบ (Digital Signature) โดยมีกระบวนการคร่าว ๆ ดังต่อไปนี้ • นำข้อมูลอิเล็กทรอนิกส์มาเข้ารหัส โดยใช้กุญแจส่วนตัว(Private Key) ของผู้ส่ง ซึ่งเปรียบเสมือนการลงลายมือชื่อของผู้ส่งเพราะผู้ส่งเท่านั้นที่มีกุญแจส่วนของผู้ส่งเอง และจะได้ข้อมูลที่เข้ารหัสแล้ว เรียกว่าลายมือชื่อดิจิตอล • ทำการส่งลายมือชื่อดิจิตอลพร้อมข้อมูลต้นฉบับไปยังผู้รับ แล้วนำลายมือชื่อดิจิตอลมาทำการถอดรหัสด้วยกุญแจสาธารณะ(Public Key) ของผู้ส่ง

  23. แนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบแนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบ ผู้ตรวจสอบใช้อินเตอร์เน็ตเพื่อประโยชน์ของการตรวจสอบใน 2 ลักษณะคือ • การเข้าถึงข้อมูล – ผู้ตรวจสอบสามารถเข้าสู่ระบบสารสนเทศขององค์กรเพื่อเข้าถึงข้อมูลต่าง ๆ ที่ต้องการโดยผ่านทางเครือข่ายอินเตอร์เน็ต และสามารถใช้ข้อมูลเหล่านั้นประกอบการตรวจสอบ • การตรวจสอบแบบต่อเนื่อง – ผู้ตรวจสอบสามารถกำหนดให้มีการแจ้งเตือนโดยอัตโนมัติเมื่อมีการทำรายการที่ผิดปกติหรือมีเหตุการณ์ผิดปกติขึ้นในระบบสารสนเทศ สามารถดำเนินการตรวจสอบระบบสารสนเทศได้อย่างต่อเนื่องโดยไม่ต้องทำเรื่องขอเข้าตรวจสอบทุกครั้งและสามารถแก้ปัญหาต่าง ๆ ได้ทันท่วงที

  24. แนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบแนวทางการใช้อินเตอร์เน็ตในงานตรวจสอบ ระบบอินเตอร์เน็ตทำให้เกิดวิธีการตรวจสอบใหม่ ๆ ดังนี้ • คอมพิวเตอร์สามารถถูกตรวจสอบได้โดยไม่ต้องอยู่บนระบบออนไลน์เดียวกัน • ล็อกไฟล์สามารถเข้าถึงจากทางไกลโดยผ่านอินเตอร์เน็ต • เอกสารในรูปแบบอิเล็กทรอนิกส์ (Soft File) สามารถถูกตรวจสอบจากผู้ตรวจสอบจากสถานที่ใดก็ได้ • สามารถตรวจสอบคอมพิวเตอร์แม่ข่ายโดยผ่านอินเตอร์เน็ตได้ • ช่วยให้ผู้ตรวจสอบสามารถตรวจสอบได้อย่างต่อเนื่องแทนที่จะเป็นการขอเข้าไปตรวจสอบเป็นครั้งคราว

  25. การตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่ายการตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่าย • การตรวจสอบแฟ้มร่องรอยการตรวจสอบ(Audit Trail) เป็นแฟ้มคอมพิวเตอร์ที่บันทึกลำดับของเหตุการณ์ที่เกิดขึ้นในระบบแบบอัตโนมัติ เพื่อบันทึกการกระทำใด ๆ ที่เกิดขึ้นกับระบบโดยเรียงตามลำดับเวลาที่เกิดขึ้นตั้งแต่เริ่มต้นจนจบ และบันทึกเวลาตั้งแต่การล็อกอินเข้าสู่ระบบจนกระทั่งล็อกเอาท์ออกจากระบบ แฟ้มร่องรอยการตรวจสอบ แบ่งออกเป็น 2 ประเภท คือ • แฟ้มร่องรอยการตรวจสอบด้านการบัญชี (Accounting Audit Trail) • แฟ้มร่องรอยการตรวจสอบด้านการปฏิบัติงาน (Operation Audit Trail)

  26. การตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่ายการตรวจสอบระบบความปลอดภัยพื้นฐานบนระบบเครือข่าย • การควบคุมความมีอยู่ (Existence Controls) – เป็นการควบคุมให้มีการสำรองและกู้คืนระบบเครือข่าย โดยมีวิธีการต่าง ๆ ได้แก่ • จัดเตรียมสถานที่และจัดเก็บอุปกรณ์และชิ้นส่วนที่จะต้องใช้ในระบบเครือข่ายสำรองไว้ทั้งหมด • ใช้อุปกรณ์ที่มีความสามารถในการแก้ไขข้อผิดพลาดที่อาจเกิดขึ้นภายในระบบเครือข่าย • ใช้อุปกรณ์ที่ผ่านการทดสอบว่ามีคุณภาพสูง • มีการบำรุงรักษาฮาร์ดแวร์และซอฟต์แวร์อย่างเพียงพอและสม่ำเสมอ • มีสิ่งอำนวยความสะดวกในการกู้คืนระบบที่เพียงพอและเหมาะสม

  27. การจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศการจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง

  28. กระบวนการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ • กระบวนการบริหารจัดการความเสี่ยงการเป็น 6 ขั้นตอน ดังนี้ • 1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและ การประเมินค่าความเสี่ยง • 1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้ • ▫ การชี้ระบุความเสี่ยง (Risk identification) • ▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description) • ▫ การประมาณความเสี่ยง (Risk estimation) • 1.2 ประเมินค่าความเสี่ยง (Risk evaluation) • 2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting) • 3. กระบวนการบรรเทาความเสี่ยง (Risk mitigation) • 4. การควบคุมความเสี่ยง (Risk control) • 5. การรายงานความเสี่ยงตกค้าง (Residual risk reporting) • 6. การเฝ้าสังเกต (Monitoring)

  29. การรักษาความปลอดภัยข้อมูลนั้น ความเสี่ยงประกอบด้วยสองส่วน คือ • ช่องโหว่ (Vulnerability) • ภัยคุกคาม(Threat) ช่องโหว่ (Vulnerability) หมายถึง ช่องทางที่อาจถูกใช้สำหรับการโจมตีได้ เช่น ประตู หน้าต่างที่ถูกเปิดไว้ อาจเป็นสิ่งล่อที่ผู้ไม่หวังดีแอบเข้ามาขโมยทรัพย์สินในบ้านได้ ถ้าทางเทคโนโลยี เช่น การเปิด Port ทิ้งไว้โดยไม่จำเป็น อาจก่อให้เกิดอันตรายได้

  30. ภัยคุกคาม(Threat) คือ สิ่งที่อาจเกิดขึ้นและมีอันตรายต่อทรัพย์สิน • ภัยคุกคามจากคนภายในองค์กร เช่น การฉ้อโกง การทำงานผิดพลาดโดยไม่ตั้งใจ • ภัยคุกคามจากคนภายนนอกองค์กร เช่น การเจาะเข้ามาในระบบ การก่อวินาศกรรม การโจรกรรม หรือ การใช้ เล่ห์กลอุบาย หลอกล่อถามข้อมูล • ภัยธรรมชาติ เช่น น้ำท่วม แผ่นดินไหว สึนามิ ไฟไหม้ ฟ้าผ่า • ภัยคุกคามจากสภาพแวดล้อมไม่เหมาะสม เช่น น้ำรั่วซึม ฝุ่นละออง สารเคมี อุณหภูมิร้อน ความชื้น

  31. การโจมตี(Target) • เป้าหมายของการโจมตี • ความลับ (Confidentiality) เป็นเป้าหมายก็ต่อเมื่อความลับของข้อมูลถูกเปิดเผยเช่นความลับทางราชการ ความลับทางธุรกิจ ข้อมูลส่วนบุคคล • ความคงสภาพ(Integrity) จะตกเป็นเป้าหมายเมื่อพยายามที่จะเปลี่ยนแปลงข้อมูล หรือหลอกลวงให้เชื่อข้อมูลที่เป็นเท็จ เช่นการเปลี่ยนยอดเงินในบัญชีธนาคารเพื่อให้จำนวนเงินมากขึ้น • ความพร้อมใช้งาน(Availability) ตกเป็นเป้าหมายเมื่อมีการโจมตีแบบปฏิเสธการให้บริการ เป้าหมายนั้นอาจเป็นระบบที่ให้บริการข้อมูล หรือ ข้อมูลโครงสร้างขององค์กร

  32. ผู้โจมตี • คือผู้กระทำการใดๆที่ก่อให้เกิดผลกระทบทางด้านลบกับผู้ถูกโจมตี ลักษณะของผู้โจมตี เช่น • การเข้าถึง(Access) สามารถเข้าถึงเป้าหมายได้ เข้าถึงระบบ เครือข่าย สถานที่ หรือข้อมูลที่ต้องการ อาจจะเป็นทางตรงเช่น การเจาะเข้าระบบบัญชขี หรือทางอ้อม เช่น อาจมีโอกาสเข้าถึงโดยช่องทางพิเศษ พนักงานลืมปิดประตูแอบเข้าไปได้ • ความรู้ (Knowledge) มีความรู้เกี่ยวกับเป้าหมายเช่น บัญชีผู้ใช้ รหัสผ่าน ที่อยู่ หมายเลขไอพี ระบบรักษาความปลอดภัย • แรงจูงใจ(Motivate) ความท้าทาย ความอยากได้ เช่น เงิน สิ่งของ บริการหรือ ข้อมูล

  33. ผู้โจมตี อาจเป็นบุคคลดังต่อไปนี้ • พนักงาน • พนักงานเก่า • แฮคเกอร์ • ศัตรูหรือคู่แข่ง • ผู้ก่อการร้าย • ลูกค้า • ภัยธรรมชาติ

  34. เหตุการณ์ • วิธีการที่ผู้โจมตีอาจทำอันตรายต่อองค์กร เช่น • แก้ไขหน้าเว็บไซต์ขององค์กร • การใช้บัญชีผู้ใช้ในทางที่ผิด หรือ เกินกว่าที่ได้รับอนุญาต • การแก้ไขข้อมูลที่สำคัญทั้งที่ตั้งใจหรือไม่ได้ตั้งใจ • การเจาะเข้าระบบโดยไม่ได้รับอณุญาต • การทำลายระบบโดยไม่ได้ตั้งใจ • การรบกวนระบบสื่อสารทั้งข้อมูลภายในและภายนอก

  35. การประเมินความเสี่ยง (Risk assessment) • 1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ • กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา

  36. กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่ • - ชื่อความเสี่ยง (Name) • - ขอบเขต (Scope) • - ลักษณะความเสี่ยง (Nature) • - ผู้ที่มีผลกระทบ • - ลักษณะเชิงประมาณ • - การยอมรับความเสี่ยง • - การบำบัดและการควบคุม • - แนวทางการปรับปรุง • - การพัฒนากลยุทธ์และนโยบาย

  37. กระบวนการที่ 3 การประมาณความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด

  38. โอกาส หรือ ความน่าจะเป็น (Probability or Likelihood) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น • - บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ • - ประปราย (probable) • - ตามโอกาส (occasional) • - น้อยครั้งมาก (remote) • - แทบไม่เกิดเลย (improbable) • หมายเหตุ บางองค์กรแบ่งความบ่อยครั้งของการเกิดเหตุออกเป็น 3 ระดับ เท่านั้น ซึ่งแล้วแต่ความต้องการเพื่อความเหมาะสมของแต่ละองค์กร

  39. 1.2การประเมินค่าความเสี่ยง (Risk evaluation) • หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น • - ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits) • - ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements) • - ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors) • - ปัจจัยด้านสิ่งแวดล้อม (environmental factors) • - ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)

  40. ตัวอย่าง การประเมินค่าความเสี่ยง (risk evaluation) • ตาราง แสดงเมตริกซ์ระดับความเสี่ยง 3x3

  41. ตัวอย่างในที่นี้ใช้เมตริกซ์ 3x3 จากโอกาสเกิดภัยคุกคาม 3 ระดับ (สูง, ปานกลาง, ต่ำ) และผลกระทบของภัยคุกคาม 3 ระดับ (สูง, ปานกลาง, ต่ำ) แสดงได้ดังตาราง แสดง ค่าความเป็นไปได้ของระดับโอกาสเกิดภัยคุกคามมีค่าเป็น 1 เมื่อเป็นระดับสูง, มีค่าเป็น 0.5 เมื่อเป็นระดับปานกลาง และมีค่าเป็น 0.1 เมื่อเป็นระดับต่ำ และ ค่าของระดับความรุนแรงของผลกระทบจากภัยคุกคามมีค่าเป็น 100 เมื่อเป็นระดับสูง, มีค่าเป็น 50 เมื่อเป็นระดับปานกลาง และมีค่าเป็น 10 เมื่อเป็นระดับต่ำ ตามลำดับ

  42. ระดับความเสี่ยงสูง หมายถึงจำเป็นต้องได้รับการแก้ไขอย่างเร่งด่วน ระบบที่ดำเนินอยู่อาจจะยังคงปฏิบัติงานตามปกติแต่จะต้องนำแผนการแก้ไขมาใช้ทันทีที่เป็นไปได้ • ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ไขและแผนการควบคุมควรได้รับการปรับปรุงแล้วนำมาใช้ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอในการปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น • ระดับความเสี่ยงต่ำ หมายถึงระบบควรได้รับการตรวจสอบเพื่อให้แน่ใจว่าแผนการควบคุมที่มีอยู่จะสามารถแก้ไขปัญหาและรับมือกับความเสี่ยงได้

  43. 2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting) • เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้ ฝ่ายบริหาร ฝ่ายหัวหน้างาน ผู้ปฏิบัติงาน

  44. -รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่ - เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ - ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร - เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ - ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล - ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง ฝ่ายบริหาร

  45. - ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร - มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด - รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข - รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่ ฝ่ายหัวหน้างาน

  46. -เข้าใจบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยงแต่ละรายการ - เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง - เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง ผู้ปฏิบัติงาน

  47. 3. กระบวนการบรรเทาเสี่ยง (Risk mitigation) • การบรรเทาความเสี่ยงเกี่ยวข้องกับการจัดลำดับ, การคำนวณความเสี่ยง และการลงมือควบคุมการลดความเสี่ยงอย่างเหมาะสมตามแนวทางที่มาจากการประเมินความเสี่ยง เนื่องจากการที่จะกำจัดความเสี่ยงในระบบทั้งหมดนั้นเป็นเรื่องที่ทำได้ยาก ผู้บริหารธุรกิจจะต้องเป็นผู้รับผิดชอบการทำงานนี้ด้วยเงื่อนไขในการใช้งบประมาณที่ต่ำที่สุด (Least-cost) และใช้วิธีการควบคุมที่เหมาะสมที่สุดเพื่อลดระดับความเสี่ยงให้อยู่นะระดับที่ยอมรับได้ โดยส่งผลกระทบต่อพันธกิจและทรัพยากรขององค์กรให้น้อยที่สุด • ทางเลือกเพื่อการบรรเทาความเสี่ยง สามารถแบ่งออกเป็น 6 ประเภทดังนี

More Related