โลกในปัจจุบันนี้ เป็นยุคของข่าวสารข้อมูล โดยเป็นการใช้ข้อมูล เพื่อทำประโยชน์ด้านต่างๆ เช่น การใช้ในด้านการทำธุรกิจ หรือ ในด้านความบันเทิง ซึ่งสามารถกล่าวได้ว่า ข้อมูลต่างๆ เป็นสิ่งที่ขาดไม่ได้ในชีวิตประจำวัน ตั้งแต่เช้า มีการอ่านหนังสือพิมพ์เพื่อรับรู้ข่าวสารต่างๆ พอถึงที่ทำงาน ก็มีการดูข้อมูลที่เกี่ยวกับงานที่รับผิดชอบ เช่น แบบงานจากลูกค้า ข้อมูลการเงิน ข้อมูลพนักงาน ข้อมูลบริษัท เป็นต้น และ ในปัจจุบันนี้ มีการแข่งขันในด้านธุรกิจสูงมาก องค์กรต่างๆ มีการปรับตัว และมีการนำระบบ คอมพิวเตอร์ มาใช้ในการจัดการ เรื่องของข้อมูลอย่างแพร่หลาย ข้อมูลต่างๆ มีการจัดทำขึ้นมากมาย เพื่อใช้ในการในการดำเนินธุรกิจ แม้ข้อมูลต่างๆเหล่านี้ จะมีประโยชน์ ต่อบริษัทในการดำเนิน ธุรกิจ แต่หาก มองอีกมุมหนึ่งก็เป็น ภัยร้ายแรงต่อองค์กรได้เช่นกัน หากข้อมูลต่างๆเหล่านั้น ตกไปอยู่ในมือผู้ที่ไม่ประสงค์ดี หรือผู้ที่ไม่สมควร
ดังนั้น ในปัจจุบัน จึงมีการควบคุมข้อมูลข่าวสารต่างๆ ที่มีความสำคัญของบริษัทไว้ ไม่ว่าจะเป็น แบบสินค้า, ข้อมูลลูกค้า, ข้อมูลการเงิน, ข้อมูลพนักงาน และข้อมูลอื่นๆ ที่เกี่ยวข้อง ทั้งที่อยู่ในรูปของ สิ่งตีพิมพ์ หรือเขียนลงในกระดาษ, ข้อมูลไฟล์ที่ถูกจัดเก็บลงในระบบอิเล็กทรอนิคส์, จดหมาย, อีเมล, การพูดในที่ประชุม, แฟกซ์, รูปถ่าย, และ ผลิตภัณฑ์ต้นแบบ เป็นต้น เพื่อปกป้องการดำเนินธุรกิจให้เป็นไปอย่างต่อเนื่อง, เสริมสร้างความเชื่อมั่นของลูกค้า และตลอดจนผู้ถือหุ้นและพนักงาน
ความจำเป็นของการรักษาความมั่นคงปลอดภัยด้านไอซีที (ICT Security issues and Trends)
- การพิสูจน์ตัวตน (Authentication) เพื่อให้มั่นใจว่าทั้งผู้รับและผู้ส่งเป็นตัวจริง
- การเข้ารหัสลับ (Cryptography) เพื่อปกป้องการรักษาความลับของข้อมูล (Confidential) ไม่ให้ถูกเปิดเผยออกไป
- การให้สิทธิ (Authorization) เพื่อที่จะรับประกันว่าผู้ใช้ทุกฝ่ายมีสิทธิทำธุรกรรมได้
- การตรวจสอบความถูกต้อง (Integrity) เพื่อที่จะรับประกันได้ว่า การทำธุรกรรมไม่ได้ถูกเปลี่ยนแปลง หรือทำให้เสียหาย
- การไม่ปฏิเสธความรับผิดชอบ (Non-repudiation) เพื่อที่จะจัดให้มีหลักฐานรับรองการทำธุรกรรมแก่ผู้ใช้บริการ ทั้งสองฝ่าย
- การรักษาความมั่นคงปลอดภัยด้านไอซีที หมายถึงการบริการจัดการใน 3 ส่วน ได้แก่ C (Confidentiality), I (Integrity), A (Availability)
กระบวนการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
OECD "Guidelines for security and privacy"
- ความตื่นตัว
- ความรับผิดชอบ
- การโต้ตอบเหตุ
- จริยธรรม
- ความเสมอภาค
- การประเมินความเสี่ยง
- การออกแบบความมั่นคงปลอดภัยและการนำไปปฏิบัติ
- การจัดการด้านความมั่นคงปลอดภัย
- การทบทวนการปฏิบัติงานตามระยะเวลา
ในปัจจุบันนี้ ผู้ที่มีหน้าที่ในการเริ่มต้นออกแบบติดตั้ง และดูแลระบบการรักษาความปลอดภัยขององค์กร เป็นพื้นฐานสำหรับการพัฒนามาตรฐานการรักษาความปลอดภัยขององค์กร และระเบียบปฏิบัติที่มีประสิทธิภาพเพื่อสร้างความมั่นใจให้กับองค์กร และหน่วยงานอื่นที่เกี่ยวข้อง มีการนำระบบต่างๆมาใช้เพื่อให้ มีประสิทธิภาพและเกิดความน่าเชื่อถือ ในการที่จะควบคุมข้อมูล ต่างๆ หลายระบบอย่างเป็นสากล เช่น
BSI IT Security Baselines
¨ จัดทำโดยองค์กรในประเทศเยอรมันนี เพื่อวางมาตรฐานด้าน IT Security (Bundesamt fur Sicherheit der Informationstechnik) (www.bsi.de/)
GASSP
¨ The General Accepted System Security Principles (GASSP) เพื่อกำหนดมาตรฐานตามความต้องการของรัฐบาลสหรัฐอเมริกา โดย Computer Society Institute
¨ (www.gocsi.com/ and www.mit.edu/security/www/gassp1.html)
GMITS
¨ Guidelines for the management of IT Security (GMITS) หรือ เรียกอีกชื่อหนึ่ง ว่า "ISO/IEC TR 13335 1-4" (www.iso.ch/)
COBIT
¨ The Control Objectives for IT (COBIT) (www.isaca.org) เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย มุ่งที่จะกำหนดกรอบการทำงานเพื่อการควบคุม ผลผลิตที่สำคัญขององค์กร อาทิ เช่น Management Guide, Control Objectives เป็นต้น เผยแพร่โดย ISACA (Internal Audit Professional Representative body) กระบวนการของ CobiT แบ่งออกเป็น การวางแผนและจัดการองค์กร (PO : Planning and Organization), การจัดหาและติดตั้ง (AI : Acquisition and Implementation), การส่งมอบและบำรุงรักษา (DS : Delivery and Support), การติดตามผล (M : Monitoring)
ITIL: Information Technology Infrastructure Library BS15000 (www.itil.co.uk/)
¨ เผยแพร่โดย the Central Computer & Telecommunications Agency (CCTA) เพื่อกำหนดความรู้พื้นฐานสำหรับ การบริหารจัดการของโครงสร้างพื้นฐานด้านไอที และเพื่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ กำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ และส่งผลด้านความพึงพอใจของ User ทั่วๆ ไป มาตรฐาน ITIL ถูกจัดทำเป็นหนังสือหลายเล่าโดยแบ่งออกเป็น 2 ส่วน ได้แก่
¨ BS15000-1 Specification for Service management
¨ BS15000-2 Code of practice for service management
NIST: the U.S. National Institute of Standards and Technology
¨ Federal Information Processing Standards: FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems); FIPS 201 (Personal Identity Verification for Federal Employees and Contractors)
¨ Special Publication: SP 800-53 (Feb 2005) -Recommended Security Controls for Federal Information Systems; 800-53A –Techniques and Procedures for Verifying the Effectiveness of Security Controls in Information Systems (Spring 2004)
SANS Top 20
¨ มาตรฐาน SANS TOP20 เป็นมาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป
¨ SANS เป็นสถาบันที่ให้บริการฝึกอบรมด้าน Information Security การออกใบรับรอง และการค้นคว้าทางด้านความปลอดภัยที่มีชื่อเสียงและได้รับความเชื่อถือเป็นอันดับต้นๆ ของโลก โดยในแต่ละปี SANS จะทำการสรุป 20 อันดับ ของช่องโหว่ทางด้านความปลอดภัยของระบบต่างๆ ซึ่งเวอร์ชันล่าสุดคือ SANS Top-20 2007 Security Risks เวอร์ชัน 8.0
¨ SANS Top-20 2007 Security Risks นั้น จะจัดแบ่งออกเป็น 6 หัวข้อคือ Client-side Vulnerabilities, Server-side Vulnerabilities, Security Policy and Personnel, Network Devices และ Zero Day Attacks
ISMF 7 (Information Security Management Framework)
¨ ISMF 7 เป็นมาตรฐานตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบโดยแฮกเกอร์และมัลแวร์ต่างๆ
มาตรฐานที่ถูกกำหนดให้เป็นมาตรฐานการรักษาความปลอดภัยของข้อมูลระดับนานาชาติ ที่ได้รับความนิยมมากที่สุด ซึ่งเป็นมาตรฐานที่พัฒนาโดยประเทศอังกฤษ ประกอบด้วย 2 ส่วน คือ
· BS 7799-1 ซึ่งต่อมาได้เปลี่ยนเป็นมาตรฐาน ISO/IEC 17799 : Information Technology – Code of Practice for Information Security Management มาตรฐาน ISO/IEC 17799 เริ่มแรกได้ประกาศใช้เมื่อปี 2000 ซึ่งประกอบด้วย 10 โดเมน และต่อมามีการปรับปรุงอีกครั้งเมื่อปี 2005 และปรับให้มี 11 โดเมน
· BS 7799-2 ซึ่งต่อมาได้รับการยอมรับเป็นมาตรฐาน ISO 27001 : Information Security Management : Specification with Guidance for Use
ISO27000 Family
ISO 27000
- Fundamentals and Vocabulary
- มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS)
ISO 27001
- ISMS Requirements
- ISO 27001 กำหนดมาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ
ISO 27002
- 17799 Code of Practice
- ISO 27002 จะเป็นชื่อเรียกใหม่ของ ISO 17799 ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls)
ISO 27003
- ISMS Implementation Guidelines
- ISO 27003 จะเป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide)
ISO 27004
- ISM Measurements
- ISO 27004 จะเป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผลที่เกิดจากการนำ ISMS ไปใช้
ISO 27005
- ISMS Risk Management
- ISO 27005 เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3"
ISO 27006
- ISMS Accreditation Guidelines
- ISO 27006 จะเป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies)
แต่ระบบที่เป็นที่นิยม ใช้กันแพร่หลาย ครอบคลุมข้อมูลทุกประเภท และ มีความเชื่อถือระดับสากล คือ ISO/IEC 27001 และ ISO 17799 ซึ่งทั้งสองระบบนี้ ควรจะใช้ร่วมกัน โดย ISO/IEC 27001 จะเป็นกรอบของระบบการบริหารจัดการข้อมูล และ ISO 17799 จะเป็น กรอบด้านเทคนิคของการควบคุมข้อมูล
Information Security Management System (ISMS)
• การจัดการความเสี่ยงและแผนการเตรียมพร้อม
¨ ต้องคำนึงถึงความต้องการเฉพาะของแต่ละองค์กร ทั้งนี้เนื่องจากวัตถุประสงค์ในการดำเนินงานและดำเนินกิจกรรมต่างๆ ของแต่ละองค์กรมีความแตกต่างกัน ดังนั้นการเผชิญกับปัญหาด้านความเสี่ยงต่อภัยจากอินเทอร์เน็ต หรือไอซีทีในการประกอบธุรกรรมจึงต่างกัน ในการดำเนินโครงการ ISMS จึงต้องเริ่มต้นด้วยการประเมินความเสี่ยงขององค์กร (Risk assessment) ก่อนเสมอ
• โครงการจัดทำ ISMS ในองค์กร
¨ มาตรฐาน ISO 27001 เสนอแนวทางจัดทำโครงการ ISMS ในองค์กรและระบุองค์ประกอบสำคัญในการบริหารโครงการที่จำเป็นต้องมี
ISO/IEC 27001:2005 เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ
หลักการของการออกแบบโครงสร้างระบบ ISO/IEC 27001:2005 จะใช้ อ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอุตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC 27001:2005 ได้เร็วและง่ายขึ้น ISO/IEC 27001:2005 เป็นระบบการจัดการความปลอดภัยของข้อมูล โดย
• เป็น “International Standard” ของ “Information Security Management (ISM)”
• กำหนดคุณลักษณะเฉพาะของการบริหารจัดการความมั่นคงฯ ด้านสารสนเทศ
• กำหนดหลักปฏิบัติของ ISM (Code of Practice for Information Security Management)
• เป็นหลักสำหรับ การออกใบรับรอง (Certification) โดยองค์กรภายนอก
• สามารถใช้เพื่อการประเมินและการออกใบรับรอง โดย “Certification Bodies”
• นำไปประยุกต์ใช้ได้กับหน่วยงานทุกประเภทและหลายขนาด
• มุ่งที่จะหวังผลในเชิงป้องกัน
สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น 11 การควบคุมหลักดังนี้
1. Security policy
2. Organization Information Security
3. Asset Management
4. Human Resource Security
5. Physical and environment security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance
กระบวนการ “P-D-C-A”
• Plan (establish the ISMS) – จัดทำนโยบายความมั่นคงฯ มีวัตถุประสงค์ เป้าหมาย กระบวนการและขั้นตอน ที่เกี่ยวข้องกับการบริหารความเสี่ยงและการปรับปรุงการรักษาความมั่นคงฯ สารสนเทศ ที่สอดคล้องกันกับวัตถุประสงค์และนโยบายหลักขององค์กร
• Do (implement and operate the ISMS) – การดำเนินการและปฏิบัติงานตามนโยบายฯ การควบคุม กระบวนการและขั้นตอนที่กำหนด
• Check (monitor and review the ISMS) – ประเมินผลและ ถ้าเป็นไปได้ ควรวัดผลการดำเนินการตามนโยบายความมั่นคงฯ วัตถุประสงค์และประสบการณ์ที่ได้ ทำรายงานต่อผู้บริหาร เพื่อใช้ในการทบทวนนโยบายฯ ต่อไป
• Act (maintain and improve the ISMS) – ปรับปรุงเชิงป้องกันและแก้ไขข้อผิดพลาดที่เกิดขึ้น ตามที่ได้รับรายงานการประเมินจากฝ่ายบริหาร เพื่อให้เกิดการปรับปรุงอย่างต่อเนื่องในระบบการบริหารจัดการฯ
ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้
ดังนั้น ในปัจจุบัน จึงมีการควบคุมข้อมูลข่าวสารต่างๆ ที่มีความสำคัญของบริษัทไว้ ไม่ว่าจะเป็น แบบสินค้า, ข้อมูลลูกค้า, ข้อมูลการเงิน, ข้อมูลพนักงาน และข้อมูลอื่นๆ ที่เกี่ยวข้อง ทั้งที่อยู่ในรูปของ สิ่งตีพิมพ์ หรือเขียนลงในกระดาษ, ข้อมูลไฟล์ที่ถูกจัดเก็บลงในระบบอิเล็กทรอนิคส์, จดหมาย, อีเมล, การพูดในที่ประชุม, แฟกซ์, รูปถ่าย, และ ผลิตภัณฑ์ต้นแบบ เป็นต้น เพื่อปกป้องการดำเนินธุรกิจให้เป็นไปอย่างต่อเนื่อง, เสริมสร้างความเชื่อมั่นของลูกค้า และตลอดจนผู้ถือหุ้นและพนักงาน
ความจำเป็นของการรักษาความมั่นคงปลอดภัยด้านไอซีที (ICT Security issues and Trends)
- การพิสูจน์ตัวตน (Authentication) เพื่อให้มั่นใจว่าทั้งผู้รับและผู้ส่งเป็นตัวจริง
- การเข้ารหัสลับ (Cryptography) เพื่อปกป้องการรักษาความลับของข้อมูล (Confidential) ไม่ให้ถูกเปิดเผยออกไป
- การให้สิทธิ (Authorization) เพื่อที่จะรับประกันว่าผู้ใช้ทุกฝ่ายมีสิทธิทำธุรกรรมได้
- การตรวจสอบความถูกต้อง (Integrity) เพื่อที่จะรับประกันได้ว่า การทำธุรกรรมไม่ได้ถูกเปลี่ยนแปลง หรือทำให้เสียหาย
- การไม่ปฏิเสธความรับผิดชอบ (Non-repudiation) เพื่อที่จะจัดให้มีหลักฐานรับรองการทำธุรกรรมแก่ผู้ใช้บริการ ทั้งสองฝ่าย
- การรักษาความมั่นคงปลอดภัยด้านไอซีที หมายถึงการบริการจัดการใน 3 ส่วน ได้แก่ C (Confidentiality), I (Integrity), A (Availability)
กระบวนการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ
OECD "Guidelines for security and privacy"- ความตื่นตัว
- ความรับผิดชอบ
- การโต้ตอบเหตุ
- จริยธรรม
- ความเสมอภาค
- การประเมินความเสี่ยง
- การออกแบบความมั่นคงปลอดภัยและการนำไปปฏิบัติ
- การจัดการด้านความมั่นคงปลอดภัย
- การทบทวนการปฏิบัติงานตามระยะเวลา
ในปัจจุบันนี้ ผู้ที่มีหน้าที่ในการเริ่มต้นออกแบบติดตั้ง และดูแลระบบการรักษาความปลอดภัยขององค์กร เป็นพื้นฐานสำหรับการพัฒนามาตรฐานการรักษาความปลอดภัยขององค์กร และระเบียบปฏิบัติที่มีประสิทธิภาพเพื่อสร้างความมั่นใจให้กับองค์กร และหน่วยงานอื่นที่เกี่ยวข้อง มีการนำระบบต่างๆมาใช้เพื่อให้ มีประสิทธิภาพและเกิดความน่าเชื่อถือ ในการที่จะควบคุมข้อมูล ต่างๆ หลายระบบอย่างเป็นสากล เช่น
BSI IT Security Baselines
¨ จัดทำโดยองค์กรในประเทศเยอรมันนี เพื่อวางมาตรฐานด้าน IT Security (Bundesamt fur Sicherheit der Informationstechnik) (www.bsi.de/)
GASSP
¨ The General Accepted System Security Principles (GASSP) เพื่อกำหนดมาตรฐานตามความต้องการของรัฐบาลสหรัฐอเมริกา โดย Computer Society Institute
¨ (www.gocsi.com/ and www.mit.edu/security/www/gassp1.html)
GMITS
¨ Guidelines for the management of IT Security (GMITS) หรือ เรียกอีกชื่อหนึ่ง ว่า "ISO/IEC TR 13335 1-4" (www.iso.ch/)
COBIT
¨ The Control Objectives for IT (COBIT) (www.isaca.org) เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย มุ่งที่จะกำหนดกรอบการทำงานเพื่อการควบคุม ผลผลิตที่สำคัญขององค์กร อาทิ เช่น Management Guide, Control Objectives เป็นต้น เผยแพร่โดย ISACA (Internal Audit Professional Representative body) กระบวนการของ CobiT แบ่งออกเป็น การวางแผนและจัดการองค์กร (PO : Planning and Organization), การจัดหาและติดตั้ง (AI : Acquisition and Implementation), การส่งมอบและบำรุงรักษา (DS : Delivery and Support), การติดตามผล (M : Monitoring)
ITIL: Information Technology Infrastructure Library BS15000 (www.itil.co.uk/)
¨ เผยแพร่โดย the Central Computer & Telecommunications Agency (CCTA) เพื่อกำหนดความรู้พื้นฐานสำหรับ การบริหารจัดการของโครงสร้างพื้นฐานด้านไอที และเพื่อการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ กำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ และส่งผลด้านความพึงพอใจของ User ทั่วๆ ไป มาตรฐาน ITIL ถูกจัดทำเป็นหนังสือหลายเล่าโดยแบ่งออกเป็น 2 ส่วน ได้แก่
¨ BS15000-1 Specification for Service management
¨ BS15000-2 Code of practice for service management
NIST: the U.S. National Institute of Standards and Technology
¨ Federal Information Processing Standards: FIPS 199 (Standards for Security Categorization of Federal Information and Information Systems); FIPS 201 (Personal Identity Verification for Federal Employees and Contractors)
¨ Special Publication: SP 800-53 (Feb 2005) -Recommended Security Controls for Federal Information Systems; 800-53A –Techniques and Procedures for Verifying the Effectiveness of Security Controls in Information Systems (Spring 2004)
SANS Top 20
¨ มาตรฐาน SANS TOP20 เป็นมาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป
¨ SANS เป็นสถาบันที่ให้บริการฝึกอบรมด้าน Information Security การออกใบรับรอง และการค้นคว้าทางด้านความปลอดภัยที่มีชื่อเสียงและได้รับความเชื่อถือเป็นอันดับต้นๆ ของโลก โดยในแต่ละปี SANS จะทำการสรุป 20 อันดับ ของช่องโหว่ทางด้านความปลอดภัยของระบบต่างๆ ซึ่งเวอร์ชันล่าสุดคือ SANS Top-20 2007 Security Risks เวอร์ชัน 8.0
¨ SANS Top-20 2007 Security Risks นั้น จะจัดแบ่งออกเป็น 6 หัวข้อคือ Client-side Vulnerabilities, Server-side Vulnerabilities, Security Policy and Personnel, Network Devices และ Zero Day Attacks
ISMF 7 (Information Security Management Framework)
¨ ISMF 7 เป็นมาตรฐานตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบโดยแฮกเกอร์และมัลแวร์ต่างๆ
มาตรฐานที่ถูกกำหนดให้เป็นมาตรฐานการรักษาความปลอดภัยของข้อมูลระดับนานาชาติ ที่ได้รับความนิยมมากที่สุด ซึ่งเป็นมาตรฐานที่พัฒนาโดยประเทศอังกฤษ ประกอบด้วย 2 ส่วน คือ
· BS 7799-1 ซึ่งต่อมาได้เปลี่ยนเป็นมาตรฐาน ISO/IEC 17799 : Information Technology – Code of Practice for Information Security Management มาตรฐาน ISO/IEC 17799 เริ่มแรกได้ประกาศใช้เมื่อปี 2000 ซึ่งประกอบด้วย 10 โดเมน และต่อมามีการปรับปรุงอีกครั้งเมื่อปี 2005 และปรับให้มี 11 โดเมน
· BS 7799-2 ซึ่งต่อมาได้รับการยอมรับเป็นมาตรฐาน ISO 27001 : Information Security Management : Specification with Guidance for Use
ISO27000 Family
ISO 27000
- Fundamentals and Vocabulary
- มีวัตถุประสงค์เพื่อแสดง ศัพท์และนิยาม (Vocabulary and Definitions) ที่ใช้ในมาตรฐาน นั่นคือ ศัพท์บัญญัติ (Terminology) ทั้งหลายที่ใช้ในมาตรฐานการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Management Standards- ISMS)
ISO 27001
- ISMS Requirements
- ISO 27001 กำหนดมาตรฐานที่จำเป็นของ ISMS ได้แก่ คุณลักษณะเฉพาะ (Specification) ซึ่งองค์กรทั้งหลายจะต้องขอรับ "ใบรับรอง" (Certificate) จากหน่วยงานภายนอก ว่าได้มี "การปฏิบัติตามข้อกำหนด (Compliance)" เหล่านี้แล้ว อย่างเป็นทางการ
ISO 27002
- 17799 Code of Practice
- ISO 27002 จะเป็นชื่อเรียกใหม่ของ ISO 17799 ซึ่งเดิมเรียกว่า "BS 7799 Part 1" เป็นมาตรฐานแสดง หลักปฏิบัติสำหรับ ISM (Code of practice for Information Security Management) ที่อธิบายวัตถุประสงค์ของระเบียบวิธีการควบคุมด้าน IS ทั้งหลายอย่างละเอียด และแสดงรายการวิธีปฏิบัติที่ดีที่สุด ของการควบคุมความมั่นคงปลอดภัย (Best-practice security controls)
ISO 27003
- ISMS Implementation Guidelines
- ISO 27003 จะเป็นแนวทางประยุกต์ใช้มาตรฐาน (Implementation guide)
ISO 27004
- ISM Measurements
- ISO 27004 จะเป็นมาตรฐานการวัด ISM เพื่อที่จะช่วยวัดประสิทธิภาพหรือประเมินผลที่เกิดจากการนำ ISMS ไปใช้
ISO 27005
- ISMS Risk Management
- ISO 27005 เป็นมาตรฐาน "การบริหารจัดการความเสี่ยงด้าน IS (Information Security Risk Management)" ซึ่งจะมาแทนที่มาตรฐานเดิม ได้แก่ "BS 7799 Part 3"
ISO 27006
- ISMS Accreditation Guidelines
- ISO 27006 จะเป็นแนวทางปฏิบัติสำหรับกระบวนการ ออกใบรับรอง (Certification process) หรือการลงทะเบียน (Registration process) .ให้กับหน่วยงานที่เกี่ยวข้อง (ISMS certification/registration bodies)
แต่ระบบที่เป็นที่นิยม ใช้กันแพร่หลาย ครอบคลุมข้อมูลทุกประเภท และ มีความเชื่อถือระดับสากล คือ ISO/IEC 27001 และ ISO 17799 ซึ่งทั้งสองระบบนี้ ควรจะใช้ร่วมกัน โดย ISO/IEC 27001 จะเป็นกรอบของระบบการบริหารจัดการข้อมูล และ ISO 17799 จะเป็น กรอบด้านเทคนิคของการควบคุมข้อมูล
Information Security Management System (ISMS)
• การจัดการความเสี่ยงและแผนการเตรียมพร้อม
¨ ต้องคำนึงถึงความต้องการเฉพาะของแต่ละองค์กร ทั้งนี้เนื่องจากวัตถุประสงค์ในการดำเนินงานและดำเนินกิจกรรมต่างๆ ของแต่ละองค์กรมีความแตกต่างกัน ดังนั้นการเผชิญกับปัญหาด้านความเสี่ยงต่อภัยจากอินเทอร์เน็ต หรือไอซีทีในการประกอบธุรกรรมจึงต่างกัน ในการดำเนินโครงการ ISMS จึงต้องเริ่มต้นด้วยการประเมินความเสี่ยงขององค์กร (Risk assessment) ก่อนเสมอ
• โครงการจัดทำ ISMS ในองค์กร
¨ มาตรฐาน ISO 27001 เสนอแนวทางจัดทำโครงการ ISMS ในองค์กรและระบุองค์ประกอบสำคัญในการบริหารโครงการที่จำเป็นต้องมี
ISO/IEC 27001:2005 เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้ธุรกิจดำเนินไปอย่างต่อเนื่อง ซึ่งข้อกำหนดต่างๆกำหนดขึ้นโดยองค์กรที่มีชื่อเสียงและมีความน่าเชื่อถือระหว่างประเทศ คือ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การประยุกต์ใช้ ISMS จะช่วยให้กิจกรรมทางธุรกิจต่อเนื่องไม่สะดุด, ช่วยป้องกันกระวนการทางธุรกิจจากภัยร้ายแรงต่างๆเช่น แผ่นดินไหว, วาตภัย, อุทกภัย ฯลฯ และ ความเสียหายของระบบข้อมูล โดยครอบคุม ทุกกลุ่มอุตสาหกรรมและทุกกลุ่มธุรกิจ
หลักการของการออกแบบโครงสร้างระบบ ISO/IEC 27001:2005 จะใช้ อ้างอิง รูปแบบ PDCA Model (Plan Do Check Action) ซึ่งเป็นโครงสร้างเดียวกับ ระบบ การบริหารที่เป็นสากลที่ใช้กันทั่วโลก เช่น ระบบการจัดการคุณภาพ (ISO 9001:2000), ระบบการจัดการสิ่งแวดล้อม (ISO14001:2004), ระบบการจัดการคุณภาพสำหรับอุตสาหกรรมรถยนต์ (ISO/TS 16949), ระบบการจัดการจัดการคุณภาพสำหรับอุตสาหกรรมอาหาร (ISO 21001) ฯลฯ ซึ่งองค์ที่มีการประยุกต์ระบบการจัดการต่างๆนี้แล้ว จะสามารถต่อยอดระบบ ISO/IEC 27001:2005 ได้เร็วและง่ายขึ้น ISO/IEC 27001:2005 เป็นระบบการจัดการความปลอดภัยของข้อมูล โดย
• เป็น “International Standard” ของ “Information Security Management (ISM)”
• กำหนดคุณลักษณะเฉพาะของการบริหารจัดการความมั่นคงฯ ด้านสารสนเทศ
• กำหนดหลักปฏิบัติของ ISM (Code of Practice for Information Security Management)
• เป็นหลักสำหรับ การออกใบรับรอง (Certification) โดยองค์กรภายนอก
• สามารถใช้เพื่อการประเมินและการออกใบรับรอง โดย “Certification Bodies”
• นำไปประยุกต์ใช้ได้กับหน่วยงานทุกประเภทและหลายขนาด
• มุ่งที่จะหวังผลในเชิงป้องกัน
สำหรับระบบ ISO/IEC 17799:2005 เป็นกรอบด้านการควบคุมระบบ ความปลอดภัยข้อมูล ซึ่งแบ่งออกเป็น 11 การควบคุมหลักดังนี้
1. Security policy
2. Organization Information Security
3. Asset Management
4. Human Resource Security
5. Physical and environment security
6. Communications and operations management
7. Access control
8. Information systems acquisition, development and maintenance
9. Information security incident management
10. Business continuity management
11. Compliance
กระบวนการ “P-D-C-A”
• Plan (establish the ISMS) – จัดทำนโยบายความมั่นคงฯ มีวัตถุประสงค์ เป้าหมาย กระบวนการและขั้นตอน ที่เกี่ยวข้องกับการบริหารความเสี่ยงและการปรับปรุงการรักษาความมั่นคงฯ สารสนเทศ ที่สอดคล้องกันกับวัตถุประสงค์และนโยบายหลักขององค์กร
• Do (implement and operate the ISMS) – การดำเนินการและปฏิบัติงานตามนโยบายฯ การควบคุม กระบวนการและขั้นตอนที่กำหนด
• Check (monitor and review the ISMS) – ประเมินผลและ ถ้าเป็นไปได้ ควรวัดผลการดำเนินการตามนโยบายความมั่นคงฯ วัตถุประสงค์และประสบการณ์ที่ได้ ทำรายงานต่อผู้บริหาร เพื่อใช้ในการทบทวนนโยบายฯ ต่อไป
• Act (maintain and improve the ISMS) – ปรับปรุงเชิงป้องกันและแก้ไขข้อผิดพลาดที่เกิดขึ้น ตามที่ได้รับรายงานการประเมินจากฝ่ายบริหาร เพื่อให้เกิดการปรับปรุงอย่างต่อเนื่องในระบบการบริหารจัดการฯ
ระบบ ISMS เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA ดังนั้น ระบบจะมีการหมุนเพื่อปรับปรุงอย่างต่อเนื่องอยู่ตลอดเวลามี่ที่สิ้นสุด โดยโครงสร้างของข้อกำหนด จะถูกแบ่งตาม PDCA ดังนี้
โดยระบบ ISO/IEC 27001:2005 มีการแนะนำให้ประยุกต์ ข้อกำหนดของ ISO/IEC 17799:2005 มาใช้ในการควบคุมและจัดการเกี่ยวกับความเสี่ยงที่เกิดขึ้น (ตามข้อกำหนด 4.2.1g ของ ISO/IEC 27001:2005) และ หากองค์กรจะไม่เลือกประยุกต์และ/หรือใช้บางส่วน ข้อกำหนดของ ISO/IEC17799:2005 สามารถกระทำได้ แต่ต้องมีการอธิบายสาเหตุของการไม่เลือกประยุกต์ใช้ให้ชัดเจนไว้ใน SOA (ตามข้อกำหนด 4.2.1j ของ ISO/IEC 27001:2005)
โดยสรุปแล้วระบบการจัดการความปลอดภัยข้อมูล ISO/IEC 27001:2005 หรือ ISMS เป็นระบบ dynamic system ที่มีการประยุกต์หลักการ PDCA Cycle ที่สามารถประยุกต์ใช้ได้กับทุกธุรกิจ เพื่อให้ระบบข้อมูลขององค์กร มี Confidentiality ให้แน่ใจว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มีสิทธิที่จะเข้าเท่านั้น, มี Integrity ป้องกัน ให้ ข้อมูลมีความถูกต้อง และความสมบูรณ์ และ Availability แน่ใจว่า ผู้ที่มีสิทธิในการเข้าถึงข้อมูล สามารถเข้าถึงได้เมื่อมีความต้องการ โดยระบบการจัดการ ISMS นั้น จะเป็นระบบการจัดการภายใต้ความสี่ยงที่ยอมรับได้ ไม่ใช่ให้ระบบไม่มีความเสี่ยงเลยหรือไม่เกิดปัญหาเลย ทำให้เกิดประสิทธิภาพในการใช้ ทรัพยากรในการลงทุนสำหรับการจัดการความปลอดภัยของข้อมูลอย่างมีประสิทธภาพ โดยส่วนใหญ่จะมีการใช้ร่วมกับ ระบบ ISO/IEC 17799:2005 เพื่อให้เกิดประสิทธิภาพในการดำเนินงาน ในปัจจุบัน คณะอนุกรรมการด้านความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) ประจำปี 2550 โดยอ้างอิงจากมาตรฐาน ISO/IEC 27001:2005 และ ISO/IEC 17799:2005 (ปัจจุบันเปลี่ยนเป็น ISO/IEC 27002 แต่เนื้อหายังคงเหมือนเดิม) เพื่อให้สอดคล้องกับมาตรฐานสากล คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์จะดำเนินการผลักดันให้มาตรฐานนี้กลายเป็นมาตรฐานของประเทศไทยที่ได้รับการรับรองโดย สำนักงานมาตรฐานผลิตภัณฑ์อุตสาหกรรม (สมอ.) และ มาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์
เอกสารอ้างอิง
1. กิตติพงษ์ เกียรตินิยมรุ่ง Lead Auditor TUV Rheinland Thailand mailto:http://www.tuv.com/th/_iso_27001.html
2. ปริญญา หอมเอนก , CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, Security+, ITIL Foundation ACIS Professional Center prinya@acisonline.net
2. ปริญญา หอมเอนก , CISSP, SSCP, CISA, CISM, SANS GIAC GCFW, Security+, ITIL Foundation ACIS Professional Center prinya@acisonline.net
3. ISO IEC 27001 2005 Translated into plain English: Introduction, http://www.praxiom.com/iso-27001-intro.htm
4. ACinfotec, Co.,Ltd., BS 7799-2:2002 and ISO 17799: 2005 ISMS Intensive Training, 2006
บทความ
