การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ

การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ
การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กรมการสื่อสารทหาร กองบัญชาการกองทัพไทย กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
พ.อ.หญิง จันทิมา ศรีสุข ผู้อำนวยการ กองวิชาเทคโนโลยีสารสนเทศ ศูนย์ฝึกอบรมเทคโนโลยีสารสนเทศและการสื่อสารทหาร กรมการสื่อสารทหาร กองบัญชาการกองทัพไทย - เศรษฐศาสตร์บัณฑิต จุฬาลงกรณ์มหาวิทยาลัย - Master of Science in Computer and Information Science USA กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
เนื้อหาการอบรม 1 ความหมายและพื้นฐานทั่วไป 2 การจัดการความเสี่ยงระบบสารสนเทศ การประเมินความเสี่ยง 3 การลดความเสี่ยง และการติดตามประเมินผลต่อเนื่อง ของการจัดการความเสี่ยง 4 5 การทำรายงานการจัดการความเสี่ยงของหน่วยต้นสังกัด กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

เนื้อหาการอบรม ภัยคุกคาม และ การรักษาความปลอดภัยระบบสารสนเทศ 6 7 การสงครามสารสนเทศ กรณีศึกษา : การรักษาความปลอดภัยระบบสารสนเทศ บก.ทท. 8 Workshop : การรักษาความปลอดภัยระบบสารสนเทศเบื้องต้น 9 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ความหมายและพื้นฐานทั่วไป
การจัดการความเสี่ยงขององค์กร คือ การบริหารปัจจัยและควบคุมกิจกรรม รวมทั้งกระบวนการการดำเนินงานต่าง ๆ เพื่อลดมูลเหตุของโอกาสที่จะก่อให้เกิด ความเสี่ยงที่จะมีผลกระทบให้องค์กรเสียหาย ให้ระดับและขนาดของความเสี่ยงที่จะเกิด ลดลงอยู่ในระดับ ที่องค์กรสามารถรับได้ ประเมิน ควบคุม และตรวจสอบได้ อย่างเป็นระบบ โดยคำนึงถึงการบรรลุภารกิจเป็นสำคัญ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การจัดการความเสี่ยงระบบสารสนเทศ คือ การบริหารปัจจัยและควบคุมกิจกรรม รวมทั้งกระบวนการ การดำเนินงานต่าง ๆ เพื่อ ลดมูลเหตุของโอกาสที่จะก่อให้เกิดความเสี่ยงที่จะมีผลกระทบให้ระบบสารสนเทศขององค์กรเสียหาย ให้ระดับและขนาดของความเสี่ยงที่จะเกิด ลดลงอยู่ในระดับที่องค์กรสามารถรับได้ ประเมินได้ ควบคุมได้ และตรวจสอบได้ อย่างเป็นระบบ สามารถปกป้องระบบสารสนเทศและข้อมูลซึ่งถือว่าเป็นทรัพย์สินขององค์กร ซึ่งจะช่วยสนับสนุนพันธกิจให้บรรลุภารกิจขององค์กร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

จุดมุ่งหมายของการจัดการความเสี่ยงระบบสารสนเทศ เพื่อให้องค์กรสามารถปฏิบัติภารกิจระบบสารสนเทศได้สำเร็จ โดย มีการรักษาความปลอดภัยที่ดีขึ้นสำหรับระบบสารสนเทศ ซึ่งทำหน้าที่เก็บ ดำเนินกรรมวิธี และส่งผ่านสารสนเทศขององค์กร สามารถเลือกวิธีจัดการความเสี่ยงที่ใช้งานได้ดี โดยใช้งบประมาณที่เหมาะสม มีการกำหนดหน้าที่ความรับผิดชอบในการจัดการระบบสารสนเทศไว้อย่างชัดเจน โดยพิจารณาตามเอกสารที่ได้จากการจัดการความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ความเสี่ยงระบบสารสนเทศ หมายถึง โอกาส หรือ การกระทำใด ๆ ที่อาจสร้างผลเสียแก่ระบบสารสนเทศ ภัยทางกายภาพ / ภัยจากสภาพแวดล้อม ระบบล่ม (System Failure) ภัยคุกคามจาก Virus, Worm, Trojan Horse การละเมิดสิทธิในการเข้าถึง หรือ ใช้งาน (Unauthorized access and use) การขโมยข้อมูลสารสนเทศ (Information Theft) การขโมยซอฟต์แวร์ (Software Theft) การขโมยเครื่อง/อุปกรณ์คอมพิวเตอร์ (Hardware Theft) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การจัดการความเสี่ยง ระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การจัดการความเสี่ยงระบบสารสนเทศ
การจัดการความเสี่ยงระบบสารสนเทศ ประกอบด้วย 3 กระบวนการ คือ การประเมินความเสี่ยง (Risk Assessment) การลดความเสี่ยง (Risk Mitigation) การติดตามประเมินผลต่อเนื่อง (Ongoing Risk Evaluate) ทั้งสามส่วนนี้จะต้องนำมาดำเนินการร่วมกันอย่างเป็นวงรอบ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การประเมินความเสี่ยง ( Risk Assessment) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การประเมินความเสี่ยง ( Risk Assessment) วิเคราะห์และประเมินความเสี่ยงทั้งหมดที่ระบุไว้ เพื่อเลือกปัญหา ที่คาดว่าจะเกิด และจำเป็นต้องได้รับการเอาใจใส่ เนื่องจากมีโอกาสเกิดสูง และจะทำให้เกิดผลเสียอย่างมาก กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การประเมินความเสี่ยง
การกำหนดว่ามีอะไรบ้างที่เป็นความเสี่ยง ระบุความเสี่ยงจากภัยคุกคาม ที่มีแนวโน้มว่าจะเกิด อันจะมีผลทางลบต่อระบบสารสนเทศ รวบรวมความเสี่ยงจากภัยคุกคามที่มีแนวโน้มจะเกิด เริ่มจากความเสี่ยงระดับองค์กร ต่อด้วยการพิจารณาความเสี่ยงเฉพาะของระดับย่อย ตามโครงสร้างองค์กร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การประเมินความเสี่ยง
การวิเคราะห์เพื่อกำหนด/บ่งชี้ความเสี่ยง Source Analysis การพิจารณาจากต้นเหตุของความเสี่ยง เช่น บุคลากรที่เกี่ยวข้อง สภาพแวดล้อม Problem Analysis การพิจารณาจากปัญหาที่เกิด เช่น ปัญหาภัยจากภัยคุกคามต่าง ๆ ได้แก่ ปัญหาการถูกหลอกลวงทาง Online ปัญหาการถูกโจมตีจาก Hacker กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ลำดับขั้นตอนการประเมินความเสี่ยง
INPUT กิจกรรม OUTPUT Hardware Software System Interface Data and Information People System Mission ขอบเขตของระบบ หน้าที่ของระบบ ความสำคัญของระบบและข้อมูล ความอ่อนไหวของระบบและข้อมูล ขั้นที่ 1 การกำหนดคุณ ลักษณะของระบบ ขั้นที่ 2 การบ่งชี้ภัยคุกคาม ประวัติการถูกคุกคามของระบบ ข้อมูลจากแหล่งข่าว ทางลับและทางสื่อมวลชน รายการภัยคุกคาม รายงานการประเมินความเสี่ยงที่ผ่านมา ข้อสังเกตของหน่วยตรวจสอบอื่น ความต้องการความปลอดภัย ผลทดสอบการรักษาความปลอดภัย ขั้น 3 การบ่งชี้ จุดอ่อน ช่องโหว่ รายการที่น่าจะเป็นจุดอ่อน ช่องโหว่ ขั้น 4 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

INPUT กิจกรรม OUTPUT ขั้นที่ วิเคราะห์การควบคุมความเสี่ยง รายการการควบคุมปัจจุบัน และแผนการควบคุม การควบคุมในปัจจุบัน แผนการควบคุม แหล่งกำเนิดและ ความสามารถของภัยคุกคาม ลักษณะของช่องโหว่ ประสิทธิภาพการควบคุม ในปัจจุบัน ขั้นที่ 5 การกำหนดความเสี่ยง ที่น่าจะเกิด ลำดับความเสี่ยง ขั้น 6 การวิเคราะห์ผลกระทบ ผลกระทบต่องาน/พันธกิจ การประเมินจุดวิกฤตของสินทรัพย์ ความสำคัญของข้อมูล ความอ่อนไหวของข้อมูล ลำดับผลกระทบ ขั้น 7 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

INPUT กิจกรรม OUTPUT แหล่งกำเนิดและ ความสามารถของภัยคุกคาม ความสำคัญของผลกระทบ ความพอพียงของแผน และ การควบคุมความเสี่ยง ขั้นที่ 7 การหาระดับความเสี่ยง ความเสี่ยงและระดับความเสี่ยง ขั้นที่ 8 การกำหนดวิธีการ ควบคุมความเสี่ยง วิธีการควบคุมที่ถูกกำหนด ขั้น 9 การทำเอกสารผลลัพธ์ รายงานการประเมินความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 1 การกำหนดคุณลักษณะของระบบ เป็นการแสดงความสัมพันธ์ภายในระบบ ในกลุ่มหัวข้อ - Hardware - Software - การเชื่อมโยงของระบบ (ทั้งภายในและภายนอกระบบ) - ข้อมูลและสารสนเทศ - บุคลากรที่สนับสนุนและใช้งานระบบสารสนเทศ - งาน/พันธกิจของระบบ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 1 การกำหนดคุณลักษณะของระบบ (ต่อ) วิธีการรวบรวมข้อมูล - แบบสอบถาม - การสัมภาษณ์บุคลากรภายในหน่วย - การอ่านค้นจากเอกสารที่มีอยู่ - Scan ด้วยเครื่องมืออัตโนมัติ (เช่น ภาพเครือข่ายการสื่อสารข้อมูล) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 1 การกำหนดคุณลักษณะของระบบ (ต่อ) ผลได้จากขั้นที่ 1 - คุณลักษณะของระบบ IT ที่จะประเมินความเสี่ยง - ภาพรวมสภาพแวดล้อมของระบบนี้ - ตีกรอบขอบเขตของระบบ - หน้าที่ของระบบ - ความสำคัญของระบบและข้อมูลที่มีต่อองค์กร - ความอ่อนไหวของระบบและข้อมูล กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 2 การกำหนด/บ่งชี้ ว่าอะไรคือภัยคุกคาม ระบุมูลเหตุภัยคุกคามที่มีแนวโน้มว่าจะเกิดอันจะมีผล ทางลบต่อระบบสารสนเทศ รวบรวมปัญหาที่มีแนวโน้มจะเกิดภัยคุกคาม - จากภายใน / ภายนอกองค์กร - ทั้งที่เจตนา และ ไม่เจตนา เริ่มจากภัยคุกคามระดับองค์กร ต่อด้วยการพิจารณาภัยคุกคามเฉพาะระดับหน่วยย่อย ตามโครงสร้างองค์กร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มา สาเหตุ วิธีการ Hacker Cracker Hacking Social Engineering บุกรุกระบบ เจาะระบบ เข้าใช้ระบบ ความท้าทาย Ego ตัวป่วน กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มา สาเหตุ วิธีการ ความต้องการ ทำลายข้อมูล การเปิดเผยข้อมูล โดยผิดกฎหมาย มุ่งต่อเงิน ต้องการแก้ข้อมูล การฉ้อโกง การติดสินบน การปลอมตัว ทาง การเจาะเข้าระบบ อาชญากรรมทางคอมพิวเตอร์ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มา สาเหตุ วิธีการ ทำลายทางกายภาพ IW โจมตีต่อระบบ เจาะระบบ การหักหลัง ทำลายระบบ ขัดผลประโยชน์ การล้างแค้น การก่อการร้าย กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มา สาเหตุ วิธีการ ขโมยข้อมูล ติดตามพฤติกรรมส่วนตัวของเป้าหมาย การสร้างข่าวลวง ให้สังคมเข้าใจผิด ละเมิดสิทธิการเข้า ใช้งาน การแข่งขัน เพื่อเหนือกว่า การจารกรรม ทางเศรษฐกิจ การจารกรรม (ระดับบริษัท, ระดับรัฐบาล) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคามที่เกิดจากมนุษย์ สาเหตุ แหล่งที่มา วิธีการ ทะเยอทะยาน อยากรู้อยากเห็น EGO ฉลาดจัด มุ่งหวังเงิน แก้แค้น ไม่ได้ตั้งใจทำผิด ให้ร้ายนายจ้าง หักหลัง เข้าดูข้อมูลสารสนเทศ ด่า บัตรสนเท่ห์ การทุจริต/ขโมย ติดสินบน Malware เอาข้อมูลไปขาย ทำลายระบบ ละเมิดสิทธิการเข้าใช้ ภัยจากภายในองค์กร (จากบุคลากรที่ อ่อนการฝึกอบรม, ไม่พอใจ,ถูกมองข้าม, ไม่ซื่อสัตย์ หรือ ถูกไล่ออก) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 2 การกำหนด/บ่งชี้ ว่าอะไรคือภัยคุกคาม (ต่อ) ผลได้จากขั้นที่ 2 - บัญชีสรุปรายการภัยคุกคามที่สามารถเข้ารุกรานทาง จุดอ่อนของระบบได้ Threats กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) ได้แก่ จุดอ่อน หรือ ช่องโหว่ของระบบด้านความปลอดภัย เช่น เรื่องของขั้นตอนการปฏิบัติ การออกแบบ การนำออกใช้งาน หรือ การควบคุมภายใน ที่สามารถเกิดความไม่ปลอดภัยได้ รวมทั้งช่องโหว่และการฝ่าฝืนกฎระเบียบ นโยบายด้านการรักษาความปลอดภัย กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน จุดอ่อน/ช่องโหว่ ที่มาของภัยคุกคาม วิธีการคุกคาม การไม่ลบ ID ของกำลังพลที่ลาออกแล้วออกจากระบบสารสนเทศของหน่วย Dial เข้าระบบเครือข่ายแล้วเข้าสู่ฐานข้อมูลของหน่วย กำลังพล ที่ลาออกแล้ว กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน จุดอ่อน/ช่องโหว่ ที่มาของภัยคุกคาม วิธีการคุกคาม Firewall ของหน่วย ยอมให้ใช้ Telnet เข้าใช้ภายในได้ การตั้งUserID และชื่อ Server ที่ง่ายต่อการเดา เช่น xyzServer ผู้ละเมิดสิทธิการเข้าใช้งาน เช่น - hacker กำลังพลที่ออกจากราชการแล้ว อาชญากรทางคอมพิวเตอร์ ผู้ก่อการร้าย ใช้ Telnetเข้า xyzServer แล้วใช้ชื่อ UserIDที่ง่าย ๆเข้าใช้ฐานข้อมูลในระบบ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน จุดอ่อน/ช่องโหว่ ที่มาของภัยคุกคาม วิธีการคุกคาม ผู้ไม่มีสิทธิใช้งาน เช่น hacker กำลังพลที่ออกแล้ว อาชญากรคอมพิวเตอร์ ผู้ก่อการร้าย ผู้รับจ้างจัดทำระบบแจ้งจุดอ่อนของระบบไว้แล้ว แต่ไม่มีการอุดช่องโหว่ดังกล่าว ผู้ไม่มีสิทธิเข้าใช้งานฐานข้อมูลของหน่วย ผ่านทางช่องโหว่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน จุดอ่อน/ช่องโหว่ ที่มาของภัยคุกคาม วิธีการคุกคาม ศูนย์ข้อมูลฯใช้ Sprinkles กรณี ไฟไหม้ แต่ไม่ได้จัดหาแผ่นกันน้ำ เพื่อป้องกันเครื่อง/อุปกรณ์คอมพิวเตอร์ จากฝอยน้ำ ฝอยน้ำจาก Sprinkles กระเด็นใส่เครื่อง/อุปกรณ์ในศูนย์ข้อมูล อุปกรณ์ป้องกัน ไฟไหม้ และ ความละเลย ของเจ้าหน้าที่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.1 หาจุดอ่อน/ช่องโหว่ของระบบได้จากไหน เอกสารประเมินความเสี่ยงเดิมที่เคยทำไว้ รายงานผู้ตรวจการ รายงานการตรวจสอบระบบรักษาความปลอดภัย รายงานการทดสอบและประเมินผลระบบสารสนเทศ บัญชีรายการจุดอ่อนทางเทคโนโลยีสารสนเทศ ที่องค์กรต่าง ๆ ได้รวบรวมไว้ คำแนะนำของหน่วยงานด้านรักษาความปลอดภัย คำแนะนำของบริษัทผู้ผลิตผลิตภัณฑ์นั้นๆ เอกสารแสดงผลการดำเนินงานใหม่ๆ ของผู้รับจ้างด้านรักษา ความปลอดภัย นักวิเคราะห์ด้านการรักษาความปลอดภัยซอฟต์แวร์ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.2 การทดสอบความปลอดภัยของระบบ ใช้เครื่อง Scan หาช่องโหว่แบบอัตโนมัติ วิธีการทดสอบและประเมินผลระบบ การทดลองคุกคามเจาะเข้าในระบบ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.3 รายการความต้องการด้านการรักษาความปลอดภัย ความปลอดภัยด้านการบริหารจัดการ (Management) - จัดมอบความรับผิดชอบ แบ่งมอบหน้าที่ - ให้การสนับสนุนต่อเนื่อง - จัดทบทวนการควบคุมด้านความปลอดภัยตามกำหนดเวลา - ตรวจสอบประวัติและความโปร่งใสของบุคลากร - จัดการประเมินความเสี่ยง - จัดฝึกอบรมเทคนิคการรักษาความปลอดภัย - กำหนดและทบทวนการกำหนดสิทธิในระบบงาน - จัดทำแผนรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.3 รายการความต้องการด้านการรักษาความปลอดภัย ความปลอดภัยด้านการปฏิบัติการ (Operation) - ควบคุมอากาศ (ควัน, ฝุ่น, สารเคมี) - ควบคุมความคงที่ของกระแสไฟฟ้า - ควบคุมการใช้สื่อข้อมูลและการจัดเก็บ/ทำลาย - การจัดทำป้ายชื่อสื่อข้อมูลที่เป็นแบบ external media - ความสะดวกทั่วไป(ห้องเครื่อง, ศูนย์ข้อมูล, สำนักงาน) - ควบคุมความชื้น, อุณหภูมิ - เครื่อง workstation, laptops, PC กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.3 รายการความต้องการด้านการรักษาความปลอดภัย ความปลอดภัยด้านเทคนิค (technical) - การสื่อสารข้อมูล (dial-in, การเชื่อมโยงเครือข่าย, router) - cryptography - อำนาจในการอนุญาตให้ใช้ระบบงาน - กำหนดบุคคลและสิทธิ - การตรวจจับภัยคุกคาม - ตรวจสอบความทนทานของระบบ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ผลได้จากขั้นที่ 3 - รายการจุดอ่อน/ช่องโหว่ของระบบ ที่มีแนวโน้มว่า เป็นจุดที่ภัยคุกคามจะเข้าโจมตีได้ Vulnerabilities กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 4 การวิเคราะห์การควบคุมความเสี่ยง ขั้นตอนนี้มีจุดประสงค์ให้มีการวิเคราะห์การควบคุมความเสี่ยง ซึ่งใช้อยู่หรือวางแผนจะนำออกใช้ เพื่อลดหรือกำจัดโอกาสที่ภัยคุกคามจะเข้ามาทางจุดอ่อน/ช่องโหว่ของระบบ ซึ่งการวิเคราะห์การควบคุมความเสี่ยงดังกล่าว จะมีผลต่อการพิจารณาจัดระดับโอกาสที่จะเกิดของความเสี่ยง/ภัยคุกคาม แต่ละเรื่อง (ซึ่งวิธีคิดจะอยู่ในขั้นตอนที่ 5) ตัวอย่างเช่น จุดอ่อนจะไม่ค่อยน่ากลัว หรือ โอกาสจะเกิดภัยคุกคามค่อนข้างน้อย เนื่องจากวิเคราะห์แล้วพบว่าการควบคุมด้านความปลอดภัยสามารถกำจัด หรือ ลดอันตรายจากภัยคุกคามดังกล่าวได้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 4 การวิเคราะห์การควบคุมความเสี่ยง (ต่อ) 4.1 วิธีการควบคุมความเสี่ยง (Control Method) ควบคุมทางเทคนิค ที่เกี่ยวกับ Hardware Software Firmware เช่น เครื่องมือ - การควบคุมการเข้าถึงระบบ (access control) - การระบุและพิสูจน์ตัวตน (Identification and authentication) - การเข้ารหัส (encryption) ควบคุมทางที่ไม่ใช่เทคนิค ได้แก่ด้านการจัดการ และ การปฏิบัติงาน เช่น นโยบายด้านความปลอดภัย, ระเบียบปฏิบัติ, รปภ.บุคคลสถานที่และสภาพแวดล้อม กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 4 การวิเคราะห์การควบคุมความเสี่ยง (ต่อ) 4.2 ประเภทของการควบคุมความเสี่ยง แบ่งเป็น 2 กลุ่ม ประเภทป้องกัน (Preventive Control) ประเภทตรวจค้น (Detective Control) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 4 การวิเคราะห์การวิธีควบคุมความเสี่ยง (ต่อ) 1. ประเภทป้องกัน (Preventive Control) เป็นการยับยั้งขัดขวางความพยายามที่จะฝ่าฝืนนโยบาย/กฎ/ระเบียบการรักษาความปลอดภัย รวมถึงการอนุญาตให้เข้าใช้งาน (access), การเข้ารหัส (encryption) และ การพิสูจน์ตัวตนเพื่อเข้าสู่ระบบ (authentication) 2. ประเภทตรวจค้น (Detective Control) เป็นการแจ้งเตือนการฝ่าฝืน หรือความพยายามฝ่าฝืนนโยบาย/กฎ/ระเบียบการรักษาความปลอดภัย รวมถึงการควบคุมลักษณะการตรวจสอบ สืบค้น การตรวจค้นการเจาะระบบ (intrusion detection method) และ การตรวจสอบการรับส่งข้อมูลด้วยการนับจำนวน bits ว่าตรงกันหรือไม่ (checksum) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 4 การวิเคราะห์การวิธีควบคุมความเสี่ยง (ต่อ) ผลได้จากขั้นที่ 4 - รายการ การควบคุมความเสี่ยงระบบ IT หรือแผนที่จะใช้ เพื่อ ลดโอกาสที่จะเกิดภัยคุกคามจากจุดอ่อนของระบบ ลดผลกระทบจากภัยดังกล่าว กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 5 การกำหนดระดับความเสี่ยง (Likelihood Determination) เป็นการจัดเรียงลำดับโอกาสที่จะเกิดภัยคุกคาม หรือ ความเสี่ยงจากจุดอ่อน/ช่องโหว่ของระบบ โดยพิจารณาจาก ที่มา/แรงผลักดัน/และความสามารถของภัยคุกคาม ลักษณะของจุดอ่อน/ช่องโหว่ของระบบ ประสิทธิภาพของการควบคุมความเสี่ยงที่ใช้อยู่ใน ปัจจุบัน กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 5 การกำหนดระดับของโอกาสที่จะเกิดภัยคุกคาม (Likelihood Determination) (ต่อ) จัดได้ 3 ระดับคือ สูง (High) : ภัยคุกคามมีสาเหตุผลักดันสูง และมีความสามารถในการคุกคามรุนแรง เครื่องมือที่ใช้ป้องกันหรือการตั้งรับและการแก้ปัญหายังไม่มีประสิทธิภาพ กลาง (Medium) : ภัยคุกคามมีสาเหตุผลักดัน และมีความสามารถ แต่ได้จัดให้มีการควบคุมความเสี่ยงไว้แล้ว ซึ่ง สามารถขัดขวางการคุกคามที่เข้าทางช่องโหว่ของระบบได้ ต่ำ (Low) : ภัยคุกคามไม่มีสาเหตุผลักดัน และไม่มีความสามารถ หรือมีการควบคุมความเสี่ยงไว้แล้ว ซึ่งสามารถขจัด การคุกคาม หรืออย่างน้อยก็ขัดขวางการเข้าทางช่องโหว่ของระบบได้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 5 การกำหนดระดับของโอกาสที่จะเกิดภัยคุกคาม (Likelihood Determination) (ต่อ) ผลได้จากขั้นที่ 5 - การจัดลำดับโอกาสที่จะเกิดภัยคุกคาม (Likelihood rating) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) เป็นการประมาณการผลกระทบทางลบเมื่อเกิดภัยคุกคามจากจุดอ่อน/ช่องโหว่ของระบบ เพื่อจัดลำดับผลกระทบที่คาดว่าจะเกิด ก่อนการวิเคราะห์ขั้น 6 จะต้องได้ผลของขั้นที่ 1คือ - งาน/พันธกิจ ของระบบ - ความสำคัญของระบบและข้อมูลที่มีต่อองค์กร - ความอ่อนไหวของระบบและข้อมูล กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) การวิเคราะห์จะเป็นการจัดลำดับความรุนแรงของผลกระทบโดยพิจารณาจากงาน/พันธกิจร่วมกับทรัพย์สินทางสารสนเทศขององค์กร ทั้งเชิงปริมาณและคุณภาพ (qualitative and quantitative) ในความสำคัญและความอ่อนไหวของทรัพย์สินด้านสารสนเทศขององค์กร (hardware software ระบบงาน การบริการ และอุปกรณ์เทคนิคที่เกี่ยวข้องอื่นๆ) ที่สนับสนุนภารกิจหลักขององค์กร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบทางลบคือ การเกิดความเสียหายต่อระบบสารสนเทศ ข้อมูลไม่ถูกต้องสมบูรณ์ (Loss of Integrity) เกิดจากการเข้าแก้ไขข้อมูลผิดๆ ทั้งที่เจตนาและไม่เจตนา ทำให้ได้ผลที่ไม่ถูกต้องเที่ยงตรง ทำให้ตัดสินใจผิดได้ อันเป็นขั้นแรกที่อาจส่งให้เกิดผลเสีย ขั้นต่อไป คือไม่สามารถนำข้อมูลมาใช้ประโยชน์ได้ และระบบไม่น่าเชื่อถืออีกด้วย ข้อมูลไม่สามารถนำมาใช้ประโยชน์ได้ (Loss of Availability) หากผู้ใช้ไม่สามารถนำข้อมูลมาใช้ประโยชน์ได้ก็จะเป็นผลต่อภารกิจหลักขององค์กร ความไม่น่าเชื่อถือของระบบ (Confidentiality) ทำให้ระบบงาน และ องค์กรดูด้อยค่า ไม่น่าสนใจ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบเชิงปริมาณ (Quantitative) ผลกระทบเชิงคุณภาพ (Qualitative) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบเชิงปริมาณ (Quantitative) สามารถแจงออกมาเป็นค่าตัวเลขได้ เช่น จำนวนรายรับที่สูญเสียไป ต้นทุนที่ใช้ในการซ่อมบำรุงหรือแก้ปัญหาที่เกิดจากภัยคุกคาม เป็นต้น ข้อดี สามารถแปลระดับความมากน้อยของผลกระทบได้ง่าย ทำให้พิจารณา cost/benefit analysis เพื่อนำมาอ้างอิงกำหนด การควบคุมได้ ข้อเสีย การวัดค่าเป็นช่วงพิสัยตัวเลข (range) มีความหมายไม่ชัดเจน ต้องแปลงเป็นความหมายเชิงคุณภาพอีกทีหนึ่ง (สูง กลาง ต่ำ) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบเชิงคุณภาพ (Qualitative) ไม่สามารถแจงให้เห็นเป็นตัวเลขได้ เช่น การขาดความเชื่อถือจากภายนอกองค์กร องค์กรด้อยความสำคัญลง เป็นต้น แต่สามารถแสดงในรูปแบบ ผลกระทบมาก (high) ผลกระทบปานกลาง (medium) และ ผลกระทบน้อย (low) ได้ ข้อดี สามารถใช้จัดลำดับความเสี่ยง และกำหนดสิ่งที่จะต้องปรับปรุงเพื่ออุดจุดอ่อน/ช่องโหว่ที่กำลังพิจารณาได้ ข้อเสีย ไม่สามารถวัดระดับผลกระทบเป็นตัวเลขอ้างอิงได้ จึงจัดทำ cost/benefit analysis ยาก กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) High Medium Low 1. สูญเสียต้นทุนและทรัพยากรสูงมาก 2. เป็นอันตราย ทำลาย ขัดขวางการทำงานความสำคัญขององค์กร อย่างชัดเจนมาก 3. อาจเกิดการบาดเจ็บหรือเสียชีวิตได้ 1. มีค่าสูญเสียต้นทุน และทรัพยากร 2. เป็นอันตราย ทำลาย ขัดขวางการทำงานความสำคัญขององค์กร 3. อาจเกิดการบาดเจ็บได้ 1. มีค่าสูญเสียต้นทุน และทรัพยากรบางอย่าง 2. อาจพอสังเกตเห็นอันตราย ทำลาย ขัดขวางการทำงาน ความสำคัญขององค์กร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ปัจจัยอื่นที่สามารถนำมาใช้ร่วมวิเคราะห์เพิ่มเติมหรือไม่ก็ได้ การประมาณความถี่ที่ภัยคุกคามจะเข้ารุกรานทางช่องโหว่ ในช่วงเวลาที่กำหนด เช่น ในระยะเวลา 1 ปี ต้นทุนโดยประมาณที่ต้องใช้เมื่อมีภัยคุกคามเข้ารุกรานทางช่องโหว่ ค่าตัวถ่วงในหัวข้อที่วิเคราะห์ ว่ามีน้ำหนักมากน้อยเป็นอัตราส่วนกันอย่างไร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลได้จากขั้นที่ 6 - ความมากน้อยของผลกระทบ (มาก กลาง น้อย) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) เพื่อทำการจัดระดับความเสี่ยงของระบบสารสนเทศ สำหรับการคำนวณระดับความเสี่ยงจะแสดงในรูปแบบของ โอกาสที่จะเกิดของภัยที่จะเข้าคุกคามทางช่องโหว่ของระบบ ความมากน้อยของผลกระทบที่เกิดจากภัยคุกคาม ความครบถ้วนพอเพียงของการควบคุมความเสี่ยงและแผน ที่จะใช้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ตารางระดับความเสี่ยง (Risk-Level Matrix) คิดจากผลคูณของ อัตราโอกาสที่จะเกิดภัยคุกคาม กับ อัตราผลกระทบที่จะเกิดจากภัยคุกคาม (threat likelihood x threat impact) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ค่าที่กำหนดให้ threat likelihood คือ ค่าความเป็นไปได้ (probability) ให้ความน่าจะเกิด สูง (high) เป็น 3 ปานกลาง (medium) เป็น 2 ต่ำ (low) เป็น 1 ค่าที่กำหนดให้ระดับผลกระทบ มาก (high) เป็น 3 ปานกลาง (medium) เป็น 2 น้อย (low) เป็น 1 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) โอกาสที่จะเกิดความเสี่ยง น้อย มีโอกาสที่จะเกิดน้อยมาก 1 ปานกลาง มีโอกาสที่จะเกิด 2 มาก มีโอกาสที่จะเกิดสูงมาก 3 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ผลกระทบด้านงบประมาณ น้อย 2 ล้าน หรือต่ำกว่า 1 ปานกลาง 10 ล้าน หรือต่ำกว่า 2 มาก มากกว่า 10 ล้าน 3 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ผลกระทบด้านเวลา น้อย ไม่สังเกตว่ามีการเปลี่ยนแปลง 1 ปานกลาง เร็วขึ้น % 2 มาก เร็วขึ้นมากกว่า 18 % 3 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ผลกระทบด้านคุณภาพ น้อย ไม่สังเกตว่ามีการเปลี่ยนแปลง หรือเปลี่ยนแปลงน้อยมาก 1 ปานกลาง สังเกตพบว่าคุณภาพเปลี่ยน และผู้ใช้ต้องการแก้ไข 2 มาก กระทบคุณภาพจนใช้ไม่ได้ จนถึงใช้ประโยชน์ไม่ได้เลย 3 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ตารางระดับความเสี่ยง (Risk-Level Matrix) ตารางขนาด 3x3 matrix สำหรับกำหนดความเสี่ยงระดับสูง ปานกลาง และต่ำ โอกาสที่จะเกิดภัยคุกคาม ผลกระทบที่จะเกิดจากภัยคุกคาม น้อย (1) ปานกลาง (2) มาก (3) มาก (3) ต่ำ 3 x 1 = 3 3 x 2 = 6 สูง 3 x 3 = 9 ปานกลาง (2) 2 x 1 = 2 2 x 2 = 4 2 x 3 = 6 น้อย (1) 1 x 1= 1 1 x 2= 2 1 x 3 = 3 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขนาดความเสี่ยงและการปฏิบัติที่เหมาะสม ระดับความเสี่ยง การปฏิบัติที่เหมาะสม สูง ต้องการการแก้ไขอย่างยิ่ง โดยระบบสามารถดำเนินต่อได้แต่ต้องจัดให้มีการแก้ไข เร็วที่สุด ปานกลาง ต้องมีการแก้ไข และพัฒนาแผนการแก้ไข ในเวลาที่เหมาะสม ต่ำ จะมีการพิจารณาว่าจะต้องจัดให้มีการแก้ไขหรือจะยอมรับความเสี่ยงนั้น กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ผลได้จากขั้นที่ 7 - ระดับความเสี่ยง (Risk Level) HIGH Critical-level Risk Impack of Risk Medium-level Risk Low-level Risk LOW LOW HIGH Likelihood of Risk กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Key เสียหายสิ้นเชิง (5) Very High มาก (4) High Meduim ปานกลาง (3) Low Impact น้อย (2) ไม่มีผล (1) เกิดยาก ไม่น่าเกิด อาจเกิด น่าเกิด ค่อนข้างแน่ (1) (2) (3) (4) (5) Likelihood กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

High Quadrant 2 Detect and Monitor Quadrant 1 Prevent at Source Impack of Risk Quadrant 4 Low Control Quadrant 3 Monitor Low Likelihood of Risk Low High กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (Control Recommendations) จุดประสงค์ของข้อเสนอแนะเพื่อควบคุมความเสี่ยง คือ เพื่อลดระดับความเสี่ยงที่มีต่อระบบสารสนเทศ ให้เหลืออยู่ในระดับที่สามารถยอมรับได้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) (Control Recommendations) ปัจจัยที่จะต้องนำมาพิจารณาในการเสนอแนะแก้ไขเพื่อควบคุม ความเสี่ยง ได้แก่ ผลที่ได้ของข้อเสนอแนะ กฎ ข้อบังคับ ระเบียบ ต่างๆ นโยบายระดับองค์กร ผลกระทบต่อการปฏิบัติงาน ความปลอดภัย และความน่าเชื่อถือ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) (Control Recommendations) ข้อเสนอแนะนี้จะเป็นผลลัพธ์ที่ได้จากขั้นตอนการประเมิน ความเสี่ยง และจะถูกนำไปเป็น Input ของขั้นตอนการลด ความเสี่ยง (Risk Mitigation) ซึ่งเป็นขั้นที่จะทำการประเมินผล และนำข้อเสนอแนะ (ด้านระเบียบปฏิบัติ และ การควบคุมด้าน เทคนิค) ออกใช้งาน ไม่จำเป็นต้องนำข้อเสนอแนะทุกข้อมาใช้จริง แต่ให้ พิจารณาตามความเหมาะสม และ cost-benefit analysis กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) (Control Recommendations) ผลได้จากขั้นที่ 8 - ข้อเสนอแนะวิธีที่จะใช้ในการควบคุมความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 9 การจัดทำเอกสาร (Results Documentation) เพื่อจัดทำเอกสารอย่างเป็นทางการ พร้อมบทสรุป ซึ่งจะช่วย การบริหารจัดการ ระดับสูง ผู้ที่รับผิดชอบในแต่ละงาน/พันธกิจ การตัดสินใจด้านนโยบาย ด้านการปฏิบัติงาน ด้านงบประมาณ และ การจัดการการเปลี่ยนแปลง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นที่ 9 การจัดทำเอกสาร (Results Documentation) ผลได้จากขั้นที่ 9 - รายงานการประเมินความเสี่ยงที่กล่าวถึง ภัยคุกคามและจุดอ่อนของระบบ การวัดความเสี่ยง ข้อเสนอแนะเพื่อพิจารณาใช้สำหรับควบคุมความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง ( Risk Mitigation) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง ( Risk Mitigation) เป็นขั้นที่ 2 ของการจัดการความเสี่ยง ซึ่งผู้บริหารจะเลือกใช้วิธีที่มีต้นทุนน้อยสุดที่จัดทำวิธีลดความเสี่ยงที่ได้ผลที่สุด โดยให้เหลือความเสี่ยงที่อยู่ในระดับที่ยอมรับได้ มีผลกระทบต่อทรัพยากรและการดำเนินพันธกิจขององค์กรน้อยที่สุด กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ทางเลือกของวิธีลดความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การลดความเสี่ยง ทางเลือกของวิธีลดความเสี่ยง การยอมรับความเสี่ยง (Risk Acceptance) ที่เกิดกับระบบ IT และดำเนินงานต่อไป หรือจัดควบคุมความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) โดยกำจัดสาเหตุ และ/หรือ สิ่งที่จะก่อให้เกิดความเสี่ยง การจำกัดความเสี่ยง (Risk Limitation) โดยใช้วิธีการควบคุมความเสี่ยง การถ่ายโอนความเสี่ยง (Risk Transference) โดยหาวิธี ชดเชย เช่น การซื้อประกัน กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ทางเลือกของวิธีลดความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การลดความเสี่ยง ทางเลือกของวิธีลดความเสี่ยง การวางแผนความเสี่ยง (Risk Management Planning) โดยพัฒนาแผนการลดความเสี่ยง ซึ่งมีการจัดลำดับ และใช้การควบคุมอย่างต่อเนื่อง การค้นคว้าและวิจัย (Research and Acknowledgment) ค้นคว้าหาความรู้เรื่องจุดอ่อน/ช่องโหว่ ข้อบกพร่อง และวิจัย หาทางควบคุมความเสี่ยงดังกล่าว กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง Risk Mitigation Strategy Threat Source
Vulnerability to attack Exists System Design Vulnerable Exploitable? & No Risk No Risk Loss Anticipated > Threshold Risk Exists Attacker’s cost<gain Unacceptable Risk Risk accept Risk accept กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ลำดับขั้นตอนการลดความเสี่ยง
กิจกรรม INPUT OUTPUT ระดับความเสี่ยง ที่ได้จาก ขั้นการประเมินความเสี่ยง ขั้นที่ 1 จัดลำดับการ ปฏิบัติการ ลำดับการปฏิบัติการ จากเสี่ยงมากไปหาน้อย ขั้นที่ 2 ประเมินค่าทางเลือกข้อเสนอแนะ ความเป็นไปได้ ประสิทธิภาพ รายงานการประเมินความเสี่ยง รายการภัยคุกคาม ขั้น 3 การ;วิเคราะห์ Cost-benefit Analysis ผลกระทบของการใช้การควบคุม ผลกระทบการไม่ใช้การควบคุม งบประมาณที่ใช้ ผลการวิเคราะห์ Cost-benefit Analysis ขั้น 4 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กิจกรรม INPUT OUTPUT ขั้นที่ 4 เลือกวิธีการควบคุมความเสี่ยง วิธีการควบคุม ความเสี่ยงที่เลือกใช้ ขั้นที่ 5 มอบหมายความรับผิดชอบ รายชื่อผู้รับผิดชอบงานที่กำหนด ขั้น 6 จัดทำแผนการนำเสนอออกใช้งาน ความเสี่ยง (จุดอ่อน/ภัยคุกคาม)และระดับ ข้อเสนอแนะการควบคุมความเสี่ยง ลำดับขั้นตอนการปฏิบัติงาน เลือกวิธีการควบคุม (ความเป็นไปได้, ประสิทธิภาพ,ประโยชน์ และงบประมาณ ทรัพยากรที่ต้องการ รายชื่อคณะทำงานที่รับผิดชอบงานที่กำหนด วันที่เริ่มและสิ้นสุดการนำเสนอใช้ การติดตามดูแลต่อเนื่อง แผนการนำเสนอออกใช้งาน ขั้น 7 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กิจกรรม INPUT OUTPUT ขั้นที่ 7 การนำวิธีการควบคุม ออกมาใช้จริง ความเสี่ยงที่ยัง เหลืออยู่ในระบบ การควบคุมลดความเสี่ยงลงได้ แต่อาจไม่หมด การเพิ่มการควบคุมความเสี่ยงที่เหลืออยู่ กำจัดต้นเหตุ เพิ่มวิธีการควบคุมแบบอื่น เช่นคุมทางกายภาพเพิ่มเติมจากการคุมทางเทคนิคที่ยุ่งยากกว่า ลดปริมาณของผลกระทบ (จำกัดการขยายตัวของจุดอ่อน, ปรับความสัมพันธ์ระหว่างระบบ IT กับพันธกิจขององค์กร) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ลำดับขั้นตอนการลดความเสี่ยง เพื่อให้ได้มาซึ่งการควบคุมความเสี่ยง ขั้นตอนที่ 1 จัดลำดับการปฏิบัติการ จากระดับความเสี่ยงที่แจ้งในรายงานการจัดการความเสี่ยง เพื่อจัดสรรทรัพยากรให้แก่ความเสี่ยงที่ไม่สามารถรับได้ เรียงระดับจากสูงมาต่ำในการดำเนินการอุดช่องโหว่แก้ไขจุดอ่อน ที่จะเกิดภัยคุกคาม เพื่อป้องกันการปฏิบัติพันธกิจ และชื่อเสียงขององค์กร ผลได้ : ลำดับของการปฏิบัติการกับความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

โอกาสที่จะปรับปรุงการจัดการความเสี่ยง โอกาสน้อย ยากมากที่จะปรับปรุงต่อในอนาคต 1 โอกาสปานกลาง ยากที่จะปรับปรุงต่อในอนาคต 2 โอกาสสูง ง่ายในการปรับปรุงต่อในอนาคต 3 ระยะเวลาที่สามารถลงมือปฏิบัติ มากกว่า 12 เดือน 1 ระหว่าง 6–12 เดือน 2 ภายใน 6 เดือน 3 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การจัดลำดับเพื่อปฏิบัติการกับความเสี่ยง โอกาสที่จะเกิด x ผลกระทบ x โอกาสที่จะปรับปรุงการจัดการความเสี่ยง x ระยะเวลาที่สามารถลงมือปฏิบัติ ลำดับ ประเด็น ความเสี่ยง โอกาสที่จะเกิด ผล กระ ทบ ระดับความเสี่ยง โอกาส ปรับปรุง ระยะเวลาที่สามารถเริ่มลงมือปฏิบัติ ผลคูณ ลำดับการจัดเพื่อปฏิบัติการ 1 Network มีปัญหา 3 2 6 Server ล่ม 12 Virus เข้ากระจายในเครือข่าย 27 4 ไฟไหม้ศูนย์คอมพิวเตอร์ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นตอนที่ 2 ประเมินค่าทางเลือกข้อเสนอแนะ ข้อเสนอแนะทางเลือกเพื่อการควบคุมต่างๆ ที่ได้จากขั้นการประเมินอาจไม่เหมาะสมและใช้ได้จริงทุกข้อ จึงต้องมีการ พิจารณาความเป็นไปได้และประสิทธิภาพของทางเลือกเหล่านั้น ให้ได้วิธีที่เหมาะสมและลดความเสี่ยงไห้เหลือน้อยสุด ผลที่ได้ : รายการวิธีการควบคุมความเสี่ยงที่ใช้ได้จริง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นตอนที่ 3 การวิเคราะห์ Cost-benefit Analysis เพื่อช่วยการตัดสินใจเลือกหนทางปฏิบัติ และกำหนดงบประมาณ ผลได้ : ข้อมูลต้นทุนที่จะเกิดทั้งกรณีเลือกหรือไม่เลือกใช้วิธีการ ควบคุม กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นตอนที่ 4 เลือกวิธีการควบคุมความเสี่ยง ซึ่งมีประสิทธิภาพเหมาะสมกับงบประมาณที่ใช้ที่สุด ซึ่งประกอบด้วยด้านเทคนิค ขั้นตอนการปฏิบัติงาน และด้านการบริหาร ที่แน่ใจได้ว่าจะปลอดภัยเพียงพอต่อระบบสารสนเทศ ขององค์กร ผลที่ได้ : วิธีการควบคุมความเสี่ยงที่เลือกใช้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นตอนที่ 5 มอบหมายความรับผิดชอบ ให้บุคลากรภายใน หรือจัดหาจากภายนอกองค์กร ที่เหมาะสม มีความรู้ความชำนาญด้านวิธีการควบคุมที่เลือก ผลได้ : รายชื่อผู้รับผิดชอบงานที่กำหนด กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นตอนที่ 6 ทำแผนการป้องกันความเสี่ยง (Safeguard) ออกใช้งาน ความเสี่ยง (จุดอ่อน/ภัยคุกคาม) ระดับความเสี่ยง ข้อเสนอแนะหนทางปฏิบัติการควบคุมความเสี่ยง ลำดับขั้นตอนการปฏิบัติงาน เลือกหนทางปฏิบัติการควบคุม (ความเป็นไปได้,ประสิทธิภาพ,ประโยชน์,งบประมาณ) 6. ทรัพยากรที่ต้องการ 7. รายชื่อคณะทำงานที่รับผิดชอบงานที่กำหนด 8. วันที่เริ่มและสิ้นสุดการนำเสนอใช้ 9. การติดตามดูแลต่อเนื่อง ผลได้ : แผนนำการป้องกันความเสี่ยงออกใช้งาน (Safeguard Implementation Plan) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ขั้นตอนที่ 7 การนำวิธีการควบคุมออกมาใช้จริง วิธีการควบคุมความเสี่ยงที่ใช้จะลดความเสี่ยงลงได้ แต่อาจกำจัดได้ไม่หมด ความเสี่ยงที่เหลือจะถูกควบคุมต่อไป ผลได้ : ความเสี่ยงที่ยังคงหลงเหลืออยู่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง การควบคุมด้านเทคนิค ประเภท การควบคุม ความเสี่ยง
ประเภท การควบคุม ความเสี่ยง การควบคุมด้านบริหารจัดการ การควบคุมด้านการปฏิบัติงาน กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง การควบคุมด้านเทคนิค แบบเสริมความปลอดภัย (Supporting) ผลิตภัณฑ์ รปภ. OS Application กำหนด ตัวบุคคล System Protection Crypto graphy กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง การควบคุมด้านเทคนิค แบบป้องกัน (Preventive) Access Control Enforce- ment Non Repudia- tion Protected Communi- cation Authenti- cation Authori- zation Transaction Privacy กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การลดความเสี่ยง การควบคุมด้านเทคนิค แบบตรวจสอบและฟื้นฟูระบบ
(Detective and Recovery) Restore Secure State Intrusion Detection Virus Detection Audit กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การควบคุมด้านบริหารจัดการ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การลดความเสี่ยง การควบคุมด้านบริหารจัดการ Preventive Detective Recovery แบ่งมอบความรับผิดชอบ ด้านรักษาความปลอดภัย ให้มีการพัฒนาและบำรุงรักษาระบบ รปภ. จัด รปภ.บุคคล (การแบ่งมอบงาน, การลงทะเบียน, ไม่ให้สิทธิพิเศษ ฯ) กำกับความใส่ใจ การอบรมบุคลากร ตรวจสอบประวัติบุคลากร กำกับให้มีการทบทวน การควบคุมตามวงรอบ ตรวจสอบระบบ จัดดำเนินการจัดการความเสี่ยง อย่างต่อเนื่อง กำกับให้ IT รับ ความเสี่ยงที่มีอยู่ได้ จัดให้มีแผนการพัฒนา / บำรุงรักษา การปฏิบัติงานอย่างต่อเนื่อง จัดให้มีแผนการเผชิญเหตุ ฟื้นระบบ ให้สามารถกลับไปทำงานต่อได้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การควบคุมด้านการปฏิบัติงาน กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การลดความเสี่ยง การควบคุมด้านการปฏิบัติงาน Detective รปภ. ทางกายภาพ (จัดเวรยาม, CCTV, alarm) รปภ. สภาพแวดล้อม (เครื่องตรวจควัน) Preventive กำกับการใช้และทำลายสื่อข้อมูล ป้องกันภัย Virus ปกป้องสิ่งอำนวยความสะดวก ด้าน IT จัดให้มีการสำเนาข้อมูล สำรองระบบ ปกป้องรักษา PC, Workstation รปภ. อัคคีภัย จัดระบบไฟฟ้าสำรอง ควบคุมอุณหภูมิ/ความชื้น กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การติดตามประเมินผลต่อเนื่อง
วงจรการติดตามประเมินผลต่อเนื่อง (Ongoing Risk Evaluate) พิจารณากำหนดความเสี่ยง (ต่อเนื่อง) บันทึกยืนยันการปฏิบัติและการเปลี่ยนแปลงที่ดีขึ้น (ทบทวน) พัฒนา กฎ ระเบียบ ขั้นตอนการปฏิบัติงานเพื่อความปลอดภัย พิจารณาผลที่ได้จากการปฏิบัติตามกฎระเบียบ จัดให้มีการฝึกอบรมบุคลากรตามภารกิจที่เกี่ยวข้อง ตรวจสอบการปฏิบัติตามกฎระเบียบ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การติดตามประเมินผลต่อเนื่อง

การจัดการความเสี่ยงระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคามด้านเทคโนโลยีสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ภัยคุกคาม Threat การดำเนินการจากมูลเหตุของภัยคุกคามที่เข้าโจมตี โดยผ่านทางช่องโหว่ หรือจุดบกพร่องของระบบ โดยตั้งใจ โดยไม่ได้ตั้งใจ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Wireless Network Threat SPAM Malicious Content ภัยคุกคาม ด้าน IT Hacking SPYWARE Phishing Pharming Malicious Software (MALWARE) Virus Worm Trojan กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

SPAM - จดหมายขยะทาง ผู้ส่งไม่เสียค่าใช้จ่ายเพิ่มในการส่ง แต่ผู้รับและองค์กรของผู้รับจะสิ้นเปลืองทั้งเวลาและค่าใช้จ่าย เช่น ค่า Internet รายชั่วโมง ค่าเชื่อมต่อ Mail Server และเวลาในการลบทิ้ง Spyware – Software ที่ใช้ช่องทาง Internet เข้าสู่เครื่องคอมพิวเตอร์ของผู้ใช้ที่ Download ซอฟต์แวร์มาใช้งาน โดยผู้ผลิตซอฟต์แวร์ตัวนั้นล่วงละเมิดแอบติดตั้งส่วนรายงานผลไว้ในซอฟต์แวร์ดังกล่าวเพื่อแอบดูลักษณะการใช้งานของผู้ใช้โดยผู้ใช้ผู้นั้นไม่ทราบ ส่งกลับสู่บริษัทผู้ผลิต Worm – เป็นโปรแกรมที่เข้าสู่ระบบคอมพิวเตอร์ได้ทาง Floppy Disk , Handy Drive หรือ Internet สามารถทำสำเนาตัวเองแพร่กระจายไปยังโปรแกรมอื่นๆ ได้ ระหว่างที่โปรแกรมทำงานจะสร้างความเดือดร้อน หรือรำคาญ ขึ้นกับว่าถูกออกแบบให้เกิดความเสียหายแบบใด Virus - เหมือน Worm ต่างกันที่ Worm เป็น โปรแกรม แต่ Virus เป็น Code ส่วนหนึ่งที่แอบฝังตัวอยู่ในโปรแกรมปกติทั่วไป ทำให้ยากต่อการตรวจสอบและกำจัด กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Trojan Horse - ส่วนใหญ่แฝงตัวเข้าสู่เครื่องคอมพิวเตอร์โดยเข้ามากับโปรแกรมอื่นๆ เช่น จาก File ที่ขอคัดลอกกันต่อๆ มา ทำตัวเป็นไส้ศึกคือเมื่อเปิดใช้งานจะเปิดช่องโหว่ของเครื่อง ขโมยและส่งข้อมูลออกสู่ภายนอก Phishing – การโจมตีในรูปแบบของการปลอมแปลง ( Spoofing) ส่งมายังเหยื่อ และสร้าง Website ปลอม หลอกให้เหยื่อเปิดเผยข้อมูลทางการเงิน บัตรเครดิต บัตรประจำตัว ฯ Pharming – เป็นอาชญากรรมทางอิเล็กทรอนิกส์ที่ซับซ้อนกว่า Phishing คือไม่จำเป็นต้องปลอม ส่งไปหาเหยื่อทีละราย แต่เป็นการ Hack เข้าระบบ DSN ของ ISP โดยตรง ทำให้ผู้ใช้คิดว่า Link เข้า URL ที่ถูกต้อง แต่กลับถูก Redirect สู่ Website ปลอม หรือ Hack เข้าเครื่อง Client ตามบ้าน แล้วส่ง Trojan มาเปลี่ยนRedirect ไป Website ปลอม Hacking – การเจาะระบบ Wireless Network Threat – ภัยคุกคามที่มาจากเครือข่ายไร้สาย ที่ออกแบบมาอย่างไม่ปลอดภัย และ ไร้ขอบเขตมีการขยายตัวออกนอกองค์กรได้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การรักษาความปลอดภัยระบบสารสนเทศ

Hardware องค์ประกอบของระบบสารสนเทศที่ต้องรักษา ความปลอดภัย Peopleware Software Procedure Physical and Environment Network การรักษาความปลอดภัย ครอบคลุมมาตรการด้านใดบ้าง การป้องกัน การตรวจสอบ การแก้ไข กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การรักษาความปลอดภัย ครอบคลุมมาตรการด้านใดบ้าง การป้องกัน การตรวจสอบ การแก้ไข Preventive – ป้องกันไม่ให้เกิด เป็นวิธีที่ดีที่สุด Detective - ถ้าป้องกันไม่ได้ ต้องตรวจจับให้รู้ ทันทีที่เกิด เพื่อให้แก้ไขได้เร็ว Recovery - หากเกิดแล้วต้องตามแก้ไขฟื้นฟู กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

องค์ประกอบของความมั่นคงปลอดภัยของระบบสารสนเทศ ความลับ (Confidentiality) เป็นการทำให้มั่นใจว่าผู้ที่มีสิทธิ หน้าที่ เท่านั้น ที่สามารถเข้าถึงได้ 2. ความถูกต้องสมบูรณ์ (Integrity) ข้อมูลจะต้องมีความถูกต้อง สมบูรณ์ทันสมัย 3. ความพร้อมใช้ (Availability) ต้องสามารถตอบสนองความ ต้องการของผู้ใช้งานตามสิทธิ ได้เมื่อต้องการ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การรักษาความปลอดภัยระบบสารสนเทศ :ความหมายและพื้นฐานทั่วไป
การรักษาความปลอดภัยระบบสารสนเทศ :ความหมายและพื้นฐานทั่วไป Network Security Risk Assessment Access Control IT Security Components Confidentiality Business Continuity Compliance กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

สิ่งที่ต้องคำนึงถึงในการรักษาความปลอดภัยระบบสารสนเทศ ต้องป้องกันในทุกองค์ประกอบ (Hardware Software Network Peopleware Process/Procedure Physical/Environment) 2. คุ้มครองป้องกันข้อมูลตามมูลค่าของข้อมูล (Trade การลงทุน กับ มูลค่าความเสียหาย) 3. ไม่มีระบบรักษาความปลอดภัยที่สมบูรณ์แบบ ไม่มีระบบที่ใช้ได้ตลอดไป 4. ต้องทำสม่ำเสมอเป็นวงรอบต่อเนื่องตลอดไป กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การจัดการความเสี่ยงระบบสารสนเทศ (IT Risk Management) เป็นพื้นฐานของระบบการจัดการความปลอดภัยสารสนเทศ (ISMS – Information Security Management System) เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆ • Confidentiality เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึงได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น • Integrity เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องครบถ้วนสมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ไม่ได้รับอนุญาต • Availability เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อที่ต้องการ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

ระบบรักษาความปลอดภัยสารสนเทศ ISMS- Information Security Management System เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA (Plan Do Check Act) ระบบจะมีการหมุนเพื่อปรับปรุง อย่างต่อเนื่องอยู่ตลอดเวลา A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P ของวงรอบถัดไป วงรอบที่เหมาะสมสำหรับ PDCA ของ Security Management คือ 1 ปี กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Plan การจัดทำระบบ ISMS (Establish ISMS) a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS b) กำหนด ISMS Policy c) กำหนด รูปแบบการประเมินความเสี่ยง d) กำหนดความเสี่ยง e) วิเคราะห์ และ ประเมินความเสี่ยง f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง g) เลือกการควบคุม เพื่อลดความเสี่ยง h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management J) จัดทำ Statement of Applicable(SOA) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Do - ประยุกต์ใช้และดำเนินการ ระบบ ISMS (Implement and Operate) a) กำหนดแผนการลดความเสี่ยง b) ดำเนินการตามแผนลดความเสี่ยง c) ดำเนินการ ตามการควบคุมที่เลือก d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม e) จัดทำรายการฝึกอบรม f) จัดการการประยุกต์ใช้ระบบ g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Check เฝ้าระวังและตรวจสอบระบบ ISMS (Monitor and review) a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบการประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่กำหนด e) ดำเนินการ ตรวจติดตามภายในระบบ ISMS f) ดำเนินการ จัดทำ management review g) ปรับปรุง security plan ให้ทันสมัย h) บันทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและประสิทธิผลของระบบ การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Action รักษาและปรับปรุง ระบบ ISMS (Maintain and Improve) a) ดำเนินการ corrective action และ preventive action b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยวข้องต่างๆ c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

PPT Concept Policy and Process People Technology กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การรักษาความปลอดภัยระบบสารสนเทศ :People
สร้าง Human Firewall แผนปฏิบัติในการสร้างความตะหนักในการใช้ข้อมูลสารสนเทศในองค์กร (Information Security Awareness Training) - อบรมระดับผู้บริหาร อบรมระดับกลุ่มผู้ใช้งานทั่วไป อบรมสำหรับกลุ่มผู้ดูแลระบบเครือข่าย กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การรักษาความปลอดภัยระบบสารสนเทศ :Policy
Check List for Security Policy องค์กรได้จัดทำนโยบายรักษาความปลอดภัยระบบสารสนเทศ ขององค์กรอย่างเป็นลายลักษณ์อักษรหรือไม่ นโยบายดังกล่าวได้รับอนุมัติอย่างเป็นทางการ จากผู้บริหารแล้วหรือไม่ องค์กรได้ตีพิมพ์และเผยแพร่นโยบายดังกล่าว ให้กำลังพลทราบแล้วหรือไม่ นโยบายดังกล่าว ได้กล่าวอย่างชัดเจนถึงหลักการ วัตถุประสงค์ หรือเป้าหมาย ในการสร้างความปลอดภัยหรือไม่ องค์กรมีขั้นตอนปฏิบัติ ในการตรวจสอบ หรือ ปรับปรุง นโยบายรักษาความปลอดภัยหรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Check List for Organization Security องค์กรมีคณะทำงานกำกับดูแล งาน/โครงการ ที่เกี่ยวข้องกับการรักษาความปลอดภัยระบบสารสนเทศ หรือไม่ องค์กรได้กำหนดหน้าที่ความรับผิดชอบการดูแลรักษาทรัพย์สินด้านสารสนเทศขององค์กรแล้วหรือไม่ องค์กรทราบวิธีการติดต่อกับหน่วยงาน CERT เพื่อขอความช่วยเหลือเมื่อจำเป็นหรือไม่ องค์กรมีผู้เชี่ยวชาญด้านการรักษา ความปลอดภัยระบบสารสนเทศช่วยให้คำแนะนำหรือไม่ สัญญา Outsource ระบุข้อกฎหมายและระเบียบปฏิบัติ สำหรับให้ Outsourcee ปฏิบัติตามหรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Check List for Business Continuity Management องค์กรมีกระบวนการบริหารให้ระบบ สารสนเทศดำเนินไปอย่างต่อเนื่อง หรือไม่ องค์กรได้ดำเนินการวิเคราะห์ภัยคุกคาม ภัยพิบัติ ที่อาจส่งผลต่อความต่อเนื่องของ ระบบสารสนเทศ หรือไม่ องค์กรได้จัดทำแผน Backup/Recovery เพื่อสร้างความต่อเนื่องของระบบสารสนเทศ ภายหลังเกิดภัยคุกคาม /ภัยพิบัติ หรือไม่ องค์กรได้มีการทดสอบการปฏิบัติตามแผน Backup/Recovery ตามวงรอบที่เหมาะสม หรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Check List for Physical Security มีการจัดห้อง บริเวณ สภาพแวดล้อม เพื่อรักษาความปลอดภัยระบบคอมพิวเตอร์และระบบเครือข่าย หรือไม่ มีมาตรการควบคุมการเข้าออกพื้นที่ หรือบริเวณที่รักษาความปลอดภัย หรือไม่ มีมาตรการรักษาความปลอดภัยสายไฟฟ้า หรือ สายสื่อสารหรือไม่ (การถูกทำลายเสียหาย, การหยุดทำงานโดยมีผู้บุกรุก) ผู้ใช้ระบบงานปิดเครื่องคอมพิวเตอร์ และ อุปกรณ์ประกอบ หลังเสร็จสิ้นการใช้งาน หรือไม่ มีการบันทึก การยืม/การคืน เครื่องคอมพิวเตอร์และอุปกรณ์ประกอบ หรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การรักษาความปลอดภัยระบบสารสนเทศ :Technology
Check List for Access Security การควบคุมการเข้าถึงข้อมูล เป็นไปตามหลักการความจำเป็นในการรับรู้ข่าวสาร (Need to Know) หรือไม่ มีการจัดทำสิทธิการเข้าถึงระบบงานตามความจำเป็นของการใช้งานหรือไม่ กระบวนการจัดสรรรหัสให้ผู้ใช้ เป็นไปอย่างปลอดภัย หรือไม่ มีมาตรการป้องกันการเข้าถึง ระบบเครือข่ายระยะไกล หรือไม่ มีมาตรการแยกระบบเครือข่ายภายใน ออกจาก เครือข่ายภายนอกหรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Digital Signature – ลายมือชื่อดิจิทัล (ต่างจาก Digitized Signature - การ Scan ลายมือชื่อที่เราเขียนลงในกระดาษแล้วนำมาเก็บไว้ในเครื่องคอมพิวเตอร์) ประกอบด้วยกุญแจคู่ Private Key และ Public Key ที่สร้างจากสมการทางคณิตศาสตร์ โดยเอากุญแจสาธารณะไว้ใช้ตรวจสอบว่าเอกสารอิเล็กทรอนิกส์ที่ส่งมาเป็นเอกสารที่ถูกส่งมาจากเจ้าของกุญแจส่วนตัวหรือไม่ และสามารถเปิดเอกสารนั้นได้ Certificate Authority – หรือ CA คือหน่วยงานที่ทำหน้าที่รับรองกุญแจคู่ดังกล่าวอย่างเป็นทางการ และออกใบรับรองอิเล็กทรอนิกส์ให้แก่ผู้ร้องขอ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กระบวนการสร้างความปลอดภัยให้ระบบสารสนเทศ ประกอบด้วย งานการศึกษาพื้นฐานของระบบ งานวิเคราะห์ความเสี่ยงในจุดต่างๆ ของระบบ ซึ่งผลที่ได้จะถูกนำไปดำเนินการต่อ ดังนี้ - งานสร้างความปลอดภัยทางกายภาพ - งานสร้างความปลอดภัยให้ระบบปฏิบัติการ - งานสร้างความปลอดภัยให้ Server งานการวางแผน งานป้องกันการบุกรุกระบบทางเครือข่าย * งานทบทวนแผน - งานพัฒนานโยบายการใช้งานระบบ ตามวงรอบ - งานสร้างความตระหนักให้กับผู้ใช้ เช่น ปีละครั้ง - งานสำรองข้อมูล - งานบริการและจัดการเมื่อเกิดเหตุไม่ปลอดภัย กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

งานป้องกันการบุกรุกระบบทางเครือข่าย * งานการจัดทำ Firewall ควบคุมการเข้าออกเครือข่าย ป้องกันผู้ไม่มีสิทธิเข้ามาใช้เครือข่าย และ Server ขององค์กร งานจัดทำระบบป้องกันการบุกรุก ติดตั้งเพื่อแจ้งเตือนความพยายามบุกรุกตลอด 24 ชั่วโมง งานจัดทำระบบค้นหาจุดอ่อน/ช่องโหว่ มีการดำเนินการตามช่วงเวลาที่กำหนดไว้ งานตรวจสอบความสมบูรณ์ของ File/Database ในระบบ จากร่องรอยที่ผู้บุกรุกทิ้งไว้ ทำให้สามารถทราบถึงการกระทำที่เกิดขึ้นกับ File งานการป้องกัน Virus เนื่องจาก Firewall ไม่สามารถรับรู้ได้ว่าการ Download หรือ การรับ มี Virus ติดมาด้วยหรือไม่ งานตรวจสอบปริมาณข้อมูลบนเครือข่าย หากมีปริมาณมากผิดปกติอาจเกิดจากการแพร่ กระจายของ Virus งานเฝ้าดูการทำงานของ Server จากหลักฐานบันทึกการเข้าใช้บริการจาก Server ผู้ดูแล จะเฝ้าดูความพยายามที่จะบุกรุกได้ งานการอุดช่องโหว่ในตัว Software ปัจจุบันมี Software หลายตัวที่สามารถช่วยอุด ช่องโหว่ได้โดยอัตโนมัติ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

แบบทดสอบความปลอดภัย (ของ NECTEC) กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การรักษาความปลอดภัยระบบสารสนเทศ :Technology แบบทดสอบความปลอดภัย (ของ NECTEC) ท่านได้ติดตั้งโปรแกรมป้องกันไวรัสลงบนระบบของท่านหรือไม่ ท่านทราบหรือไม่ว่าโปรแกรมป้องกันไวรัสที่ท่านใช้เป็นเวอร์ชั่นล่าสุดหรือไม่ ท่านได้สั่งให้โปรแกรมป้องกันไวรัสของท่านปรับปรุงรายชื่อไวรัสโดยอัตโนมัติหรือไม่ ในช่วงเวลา 7 วันที่ผ่านมา ท่านได้ดาวน์โหลดรายชื่อไวรัสมาปรับปรุงโปรแกรมป้องกันไวรัสของท่านหรือไม่ ท่านได้ติดตั้งโปรแกรมไฟร์วอลล์ส่วนตัว (Personal Firewall) ลงบนระบบของท่านหรือไม่ โปรแกรมไฟร์วอลล์ของท่านเป็นเวอร์ชั่นล่าสุดหรือไม่ เมื่อท่านไม่ใช้เครือข่ายอินเตอร์เน็ต ท่านยกเลิกการเชื่อมต่อจากเครือข่าย (Disconnect) หรือไม่ รหัสผ่านที่ท่านใช้ประกอบด้วยการผสมกันระหว่างตัวเลขและตัวอักษรทั้งตัวพิมพ์เล็กและตัวพิมพ์ใหญ่หรือไม่ ท่านได้เปลี่ยนรหัสผ่านของท่านในช่วง 30 วันที่ผ่านมาหรือไม่ ท่านจำรหัสผ่านของท่านโดยที่ไม่ต้องจดไว้หรือไม่ โปรแกรมระบบปฏิบัติการ เว็บบราวเซอร์ และโปรแกรมใช้งานต่าง ๆ ของท่านเป็นเวอร์ชั่นล่าสุดหรือไม่ ท่านได้สั่งให้โปรแกรมทั้งหมดปรับปรุงตัวเองโดยอัตโนมัติ (Automatic Update) หรือไม่ (ถ้ามี) ท่านทราบหรือไม่ว่าในโปรแกรมเว็บบราวเซอร์ของท่านได้มีการตั้งค่าสำหรับ Cookies ไว้อย่างไร กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การบริหารฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ Earthquake Civil War Flood Storm กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ หากเกิดภัยพิบัติ ระบบสารสนเทศของหน่วยงานล่ม ท่านมีแผนจัดการปัญหาเหล่านี้หรือไม่ ปริมาณ ข้อมูล/สารสนเทศ ที่จะสูญหาย จากภัยพิบัติ ระยะเวลาที่จะใช้จัดหา Hardware/Software ใหม่มาใช้ ระยะเวลาของการติดตั้งระบบ/ข้อมูลใหม่ ให้พร้อมใช้ ในสถานะเดียวกับก่อนระบบล่ม กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

IT Disaster Recovery Plan กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ IT Disaster Recovery Plan IT DRP กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

กิจกรรมที่หน่วยผู้ใช้ ร่วมในการจัดทำ IT DRP
การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กิจกรรมที่หน่วยผู้ใช้ ร่วมในการจัดทำ IT DRP รวบรวมระบบงานสารสนเทศของหน่วยงานทั้งหมด - พิจารณาว่าระบบใดคือ CBF – Critical Business Function - พิจารณาว่าระบบใดเป็น Inter-dependencies กระทบกับผู้อื่น - จัดลำดับความสำคัญของระบบงาน จัดทำ Hardware/Software Inventory ที่ใช้แต่ละระบบงาน - Hardware จำนวน / รุ่นปี / specification - Software version / configuration จัดทำ Data backup ตามวงรอบที่กำหนด กำหนดเวลาที่ยอมถอยข้อมูลใน Backup กำหนดเวลาเป้าหมายที่ต้องให้ระบบ CBF กลับทำงานได้ตามปกติ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ
category Hot Warm Cold Readiness Mins to Hrs Hrs to Days Days to Wks Application System Loaded and Ready Present but not ready Absent : must be purchased and installed Communication Ready to go Capable Little or None Application Data Up-to-date Not up-to-date : must be refreshed Not present : must be loaded Cost Very High Moderate Low กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Information Warfare - IW กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การสงครามสารสนเทศ Information Warfare - IW - Electronics Warfare - Information Security - Operation Security - Psychological Operations - Physical Destruction กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ การสงครามสารสนเทศ (Information Warfare) เป็นการปฏิบัติการสารสนเทศ (Information Operations) เพื่อปกป้องข้อมูลข่าวสาร และระบบสารสนเทศของตนเอง ในระหว่างสถานการณ์วิกฤติ หรือ มีความขัดแย้งกัน รวมทั้งเพื่อทำลาย และสร้างผลกระทบต่อข้อมูลข่าวสาร และระบบสารสนเทศ ให้ได้เปรียบ เหนือกว่าข้าศึก กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ ระดับ ยุทธศาสตร์ ระดับยุทธวิธี ระดับยุทธการ บูรณาการทรัพยากรที่มีอยู่ทั้งหมดมาเป็นเครื่องมือกระทำต่อฝ่ายข้าศึกทั้งเชิงรับและเชิงรุกอย่างสอดคล้องและต่อเนื่อง - Electronics Warfare - Information Security - Operation Security - Psychological Operations - Physical Destruction กระทำเพื่อให้สามารถปฏิบัติ หรือประสานการปฏิบัติที่มีประสิทธิภาพ และมีอิทธิพลต่อข้าศึกให้ไม่สามารถปฏิบัติ หรือประสานการปฏิบัติที่มีประสิทธิภาพได้ มุ่งเพื่อให้มีอิทธิพลกระทบต่อทางเลือก และพฤติกรรมของข้าศึกให้ตกลงใจผิดพลาด หรือ สนับสนุนผิดพลาดต่อเจตนารมย์ หรือความตั้งใจของข้าศึก กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ ขีดความสามารถของภัยคุกคาม (Threat Capabilities)
ปฏิบัติการเชิงรุก โจมตีระบบเครือข่ายเป้าหมาย ใช้เครื่องมือของรัฐในการประสานการปฏิบัติ และการทำลายเป้าหมาย ระดับประเทศ ระดับที่ 4 รับสนับสนุนระดับประเทศ (พลเรือน/รัฐบาล)ใช้เครื่องมือที่ทันสมัยปฏิบัติการจารกรรม ข้อมูลลาดตระเวน ทุจริต และขโมยข้อมูล บุคคล/กลุ่ม/ผู้ก่อการร้ายระดับประเทศ ระดับที่ 3 รับสนับสนุนจากเอกชนใช้เครื่องมือที่ทันสมัยปฏิบัติการจารกรรมข้อมูลลาดตระเวน ทุจริต และขโมยข้อมูล บุคคล/กลุ่ม/ผู้ก่อการร้ายระดับเอกชน ระดับที่ 2 มือสมัครเล่น ใช้เครื่องมือและเทคนิคธรรมดา ไม่ซับซ้อนไม่ทันสมัย และ ไม่ได้รับการสนับสนุนใด ๆ ระดับที่ 1 กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ วางกำลังตั้งรับ ข้าศึก
Operation Security Deceive Destroy Information Integrity Deny Disrupt Degrade Exploitive Information Transport Information Security วางกำลังตั้งรับ ข้าศึก กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ การปฏิบัติการเชิงรับ (Defensive Information Operations) การจัดคืนสภาพ การ ป้องกัน การตรวจพบ การตอบโต้ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ การปฏิบัติการข้อมูลสารสนเทศเชิงรับ (Defensive Information Operations) เป็นการทำให้ระบบสารสนเทศไม่ล่อแหลมต่อการปฏิบัติจากฝ่ายตรงข้าม และป้องกัน ไม่ให้ฝ่ายตรงข้ามมารบกวนต่อระบบสารสนเทศของเรา การป้องกัน เป็นการปฏิบัติทุกรูปแบบเพื่อปกป้องไม่ให้เกิดการจารกรรม หรือเป็นการใช้เครื่องมือตรวจจับการเข้าถึง การตรวจพบ เป็นการค้นหากรณีเกิดการบุกรุก หรือ เจาะเข้าระบบสารสนเทศของเรา การฟื้นสภาพ เป็นการทำให้ระบบสารสนเทศที่ถูกทำลาย หรือ รบกวน กลับไปใช้งานได้เหมือนเดิม การโต้ตอบ เป็นการแสดงตอบกลับอย่างรวดเร็วต่อการปฏิบัติเชิงรุก หรือการบุกรุกจากฝ่ายตรงข้าม กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

3. การโจมตีทางอิเล็กทรอนิกส์ กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร
การสงครามสารสนเทศ วิธีการโจมตี 1.การเข้าถึงโดยไม่ได้รับ อนุญาต Malware : Virus Worm Trojan Spyware 2.ซอฟต์แวร์ประสงค์ร้าย การโฆษณาชวนเชื่อ การโจมตีทางอิเล็กทรอนิกส์ การทำลายทางกายภาพ การลวง กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ การปฏิบัติการเชิงรุก (Offensive Information Operations) การ ทำลาย การ รบกวน การลดค่า การปฏิเสธ การ ลวง การ มีอิทธิพล การขยายผล กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ การปฏิบัติการข้อมูลสารสนเทศเชิงรุก (Offensive Information Operations) ทำให้เกิดความได้เปรียบทางข้อมูลที่มีประสิทธิภาพมากที่สุด การทำลาย เป็นการทำลายระบบสารสนเทศของฝ่ายตรงข้ามให้เกิดความเสียหาย และไม่สามารถทำงานต่อได้ หรือ ไม่สามารถนำมาใช้งานได้ การทำลายจะมีประสิทธิภาพมากที่สุด ณ ห้วงเวลาก่อนที่ฝ่ายตรงข้ามมีความต้องการใช้ข้อมูล การรบกวน เป็นการปฏิบัติการเพื่อให้ข้อมูลสารสนเทศของฝ่ายตรงข้ามเสียหาย หรือ ฝ่ายตรงข้ามเสียจังหวะในการทำงาน รบกวนการปฏิบัติตามตารางเวลา หรือทำให้ต้องปฏิบัติ ก่อน/หลัง ตารางเวลา กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การสงครามสารสนเทศ ๓. การลดค่า เป็นการลดประสิทธิภาพ หรือ ประสิทธิผลในการควบคุมบังคับบัญชาของฝ่ายตรงข้าม กระทบต่อการรวบรวมข้อมูลสารสนเทศ สามารถลดขวัญของกำลังพล ลดคุณค่าของเป้าหมาย หรือ ลดคุณภาพการตัดสินใจ/การปฏิบัติ ให้ต่ำลง ๔. การปฏิเสธ โดยวางเงื่อนไขให้ฝ่ายตรงข้ามต้องระงับการใช้ข้อมูลสารสนเทศที่จะเอาไปใช้หรือเอาไปสนับสนุนการตัดสินใจ ไม่ให้มีประสิทธิภาพ และไม่ทันเวลา ๕. การลวง ทำให้ฝ่ายตรงข้ามตกลงใจผิด หรือ เข้าใจว่าเป็นจริง ๖. การขยายผล เป็นการเข้าไปในระบบสารสนเทศของฝ่ายตรงข้าม เพื่อรวบรวมข้อมูลสารสนเทศ หรือ ทำให้วางแผนผิด หรือ เข้าใจในสารสนเทศที่มีอยู่ผิด ๗. การมีอิทธิพล การทำให้ฝ่ายตรงข้ามมีพฤติกรรมสนับสนุนการปฏิบัติ หรือ ไม่ต่อต้านการปฏิบัติ ของฝ่ายเรา กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

Thank You ! กองวิชา IT ศูนย์ฝึก ICT สส.ทหาร

การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ

งานนำเสนอที่คล้ายกัน

งานนำเสนอเรื่อง: "การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ"— ใบสำเนางานนำเสนอ:

งานนำเสนอที่คล้ายกัน

เรื่องโครงการ

การติดต่อกลับ

เข้าสู่ระบบ

ลงทะเบียนผ่านเครือข่ายสังคม:

การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ

งานนำเสนอที่คล้ายกัน

งานนำเสนอเรื่อง: "การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ"— ใบสำเนางานนำเสนอ:

งานนำเสนอที่คล้ายกัน

เรื่องโครงการ

การติดต่อกลับ