งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

LOGO การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร.

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "LOGO การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร."— ใบสำเนางานนำเสนอ:

1

2 LOGO การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

3 LOGO กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร พ.อ.หญิง จันทิมา ศรีสุข ผู้อำนวยการ กองวิชาเทคโนโลยีสารสนเทศ ศูนย์ฝึกอบรมเทคโนโลยีสารสนเทศและการสื่อสารทหาร ผู้อำนวยการ กองวิชาเทคโนโลยีสารสนเทศ ศูนย์ฝึกอบรมเทคโนโลยีสารสนเทศและการสื่อสารทหาร กรมการสื่อสารทหาร กองบัญชาการกองทัพไทย - เศรษฐศาสตร์บัณฑิต จุฬาลงกรณ์มหาวิทยาลัย - เศรษฐศาสตร์บัณฑิต จุฬาลงกรณ์มหาวิทยาลัย - Master of Science in Computer and Information Science USA - Master of Science in Computer and Information Science USA

4 LOGO เนื้อหาการอบรม ความหมายและพื้นฐานทั่วไป 1 การจัดการความเสี่ยงระบบสารสนเทศ 2 การประเมินความเสี่ยง 3 การลดความเสี่ยง และการติดตามประเมินผลต่อเนื่อง ของการจัดการความเสี่ยง 4 การทำรายงานการจัดการความเสี่ยงของหน่วยต้นสังกัด 5 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

5 LOGO เนื้อหาการอบรม กรณีศึกษา : การรักษาความปลอดภัยระบบสารสนเทศ บก.ทท. 9 Workshop : การรักษาความปลอดภัยระบบสารสนเทศเบื้องต้น กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร การสงครามสารสนเทศ ภัยคุกคาม และ การรักษาความปลอดภัยระบบสารสนเทศ

6 LOGO การจัดการความเสี่ยงขององค์กร คือ การบริหารปัจจัยและควบคุมกิจกรรม คือ การบริหารปัจจัยและควบคุมกิจกรรม รวมทั้งกระบวนการการดำเนินงานต่าง ๆ รวมทั้งกระบวนการการดำเนินงานต่าง ๆ เพื่อลดมูลเหตุของโอกาสที่จะก่อให้เกิด เพื่อลดมูลเหตุของโอกาสที่จะก่อให้เกิด ความเสี่ยงที่จะมีผลกระทบให้องค์กรเสียหาย ความเสี่ยงที่จะมีผลกระทบให้องค์กรเสียหาย ให้ระดับและขนาดของความเสี่ยงที่จะเกิด ลดลงอยู่ในระดับ ที่องค์กรสามารถรับได้ ประเมิน ควบคุม และตรวจสอบได้ อย่างเป็นระบบ โดยคำนึงถึงการบรรลุภารกิจเป็นสำคัญ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ความหมายและพื้นฐานทั่วไป

7 LOGO การจัดการความเสี่ยงระบบสารสนเทศ คือ การบริหารปัจจัยและควบคุมกิจกรรม รวมทั้งกระบวนการ การดำเนินงานต่าง ๆ เพื่อ ลดมูลเหตุของโอกาสที่จะก่อให้เกิด ความเสี่ยงที่จะมีผลกระทบให้ระบบสารสนเทศขององค์กร เสียหาย ให้ระดับและขนาดของความเสี่ยงที่จะเกิด ลดลงอยู่ใน ระดับที่องค์กรสามารถรับได้ ประเมินได้ ควบคุมได้ และ ตรวจสอบได้ อย่างเป็นระบบ สามารถปกป้องระบบสารสนเทศ และข้อมูลซึ่งถือว่าเป็นทรัพย์สินขององค์กร ซึ่งจะช่วยสนับสนุน พันธกิจให้บรรลุภารกิจขององค์กร กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ความหมายและพื้นฐานทั่วไป

8 LOGO จุดมุ่งหมายของการจัดการความเสี่ยงระบบสารสนเทศ เพื่อให้องค์กรสามารถปฏิบัติภารกิจระบบสารสนเทศได้สำเร็จ โดย 1.มีการรักษาความปลอดภัยที่ดีขึ้นสำหรับระบบสารสนเทศ ซึ่งทำ หน้าที่เก็บ ดำเนินกรรมวิธี และส่งผ่านสารสนเทศขององค์กร 2.สามารถเลือกวิธีจัดการความเสี่ยงที่ใช้งานได้ดี โดยใช้งบประมาณ ที่เหมาะสม 3.มีการกำหนดหน้าที่ความรับผิดชอบในการจัดการระบบ สารสนเทศไว้อย่างชัดเจน โดยพิจารณาตามเอกสารที่ได้จากการ จัดการความเสี่ยง ความหมายและพื้นฐานทั่วไป กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

9 LOGO ความเสี่ยงระบบสารสนเทศ ความเสี่ยงระบบสารสนเทศ หมายถึง โอกาส หรือ การ กระทำใด ๆ ที่อาจสร้างผลเสียแก่ระบบสารสนเทศ ภัยทางกายภาพ / ภัยจากสภาพแวดล้อม ภัยทางกายภาพ / ภัยจากสภาพแวดล้อม ระบบล่ม (System Failure) ระบบล่ม (System Failure) ภัยคุกคามจาก Virus, Worm, Trojan Horse ภัยคุกคามจาก Virus, Worm, Trojan Horse การละเมิดสิทธิในการเข้าถึง หรือ ใช้งาน การละเมิดสิทธิในการเข้าถึง หรือ ใช้งาน (Unauthorized access and use) การขโมยข้อมูลสารสนเทศ (Information Theft) การขโมยข้อมูลสารสนเทศ (Information Theft) การขโมยซอฟต์แวร์ (Software Theft) การขโมยซอฟต์แวร์ (Software Theft) การขโมยเครื่อง/อุปกรณ์คอมพิวเตอร์ (Hardware Theft) การขโมยเครื่อง/อุปกรณ์คอมพิวเตอร์ (Hardware Theft) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ความหมายและพื้นฐานทั่วไป

10 LOGO กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร การจัดการความเสี่ยง ระบบสารสนเทศ

11 LOGO การจัดการความเสี่ยงระบบสารสนเทศ ประกอบด้วย 3 กระบวนการ คือ 1. การประเมินความเสี่ยง (Risk Assessment) 2. การลดความเสี่ยง (Risk Mitigation) 3. การติดตามประเมินผลต่อเนื่อง (Ongoing Risk Evaluate) ทั้งสามส่วนนี้จะต้องนำมาดำเนินการร่วมกันอย่างเป็นวงรอบ การจัดการความเสี่ยงระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

12 LOGO การจัดการความเสี่ยงระบบสารสนเทศ การประเมินความเสี่ยง ( Risk Assessment) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

13 LOGO การจัดการความเสี่ยงระบบสารสนเทศ การประเมินความเสี่ยง ( Risk Assessment) วิเคราะห์และประเมินความเสี่ยงทั้งหมดที่ระบุไว้ เพื่อเลือกปัญหา ที่คาดว่าจะเกิด และจำเป็นต้อง ได้รับการเอาใจใส่ เนื่องจากมีโอกาสเกิดสูง และจะ ทำให้เกิดผลเสียอย่างมาก กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

14 LOGO การกำหนดว่ามีอะไรบ้างที่เป็นความเสี่ยง ระบุความเสี่ยงจากภัยคุกคาม ที่มีแนวโน้มว่าจะเกิด อันจะมีผลทางลบต่อระบบสารสนเทศ รวบรวมความเสี่ยงจากภัยคุกคามที่มีแนวโน้มจะเกิด รวบรวมความเสี่ยงจากภัยคุกคามที่มีแนวโน้มจะเกิด เริ่มจากความเสี่ยงระดับองค์กร เริ่มจากความเสี่ยงระดับองค์กร ต่อด้วยการพิจารณาความเสี่ยงเฉพาะของระดับย่อย ตามโครงสร้างองค์กร ต่อด้วยการพิจารณาความเสี่ยงเฉพาะของระดับย่อย ตามโครงสร้างองค์กร การประเมินความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

15 LOGO การประเมินความเสี่ยง การวิเคราะห์เพื่อกำหนด/บ่งชี้ความเสี่ยง -Source Analysis -Source Analysis การพิจารณาจากต้นเหตุของความเสี่ยง เช่น บุคลากรที่เกี่ยวข้อง สภาพแวดล้อม -Problem Analysis -Problem Analysis การพิจารณาจากปัญหาที่เกิด เช่น ปัญหาภัยจากภัยคุกคามต่าง ๆ ได้แก่ ปัญหาการถูก หลอกลวงทาง Online ปัญหาการถูกโจมตีจาก Hacker กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

16 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ขั้นที่ 1 การกำหนดคุณ ลักษณะของระบบ ขั้นที่ 2 การบ่งชี้ภัยคุกคาม ขั้น 3 การบ่งชี้ จุดอ่อน ช่องโหว่ ขั้น 4 Hardware Software System Interface Data and Information People System Mission INPUT กิจกรรม OUTPUT ขอบเขตของระบบ หน้าที่ของระบบ ความสำคัญของระบบและข้อมูล ความอ่อนไหวของระบบและข้อมูล ประวัติการถูกคุกคาม ของระบบ ข้อมูลจากแหล่งข่าว ทางลับและทางสื่อมวลชน รายการภัยคุกคาม รายการที่น่าจะเป็น จุดอ่อน ช่องโหว่ รายงานการประเมินความเสี่ยงที่ ผ่านมา ข้อสังเกตของหน่วยตรวจสอบอื่น ความต้องการความปลอดภัย ผลทดสอบการรักษาความปลอดภัย กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

17 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ขั้นที่ 4 วิเคราะห์การ ควบคุมความเสี่ยง ขั้นที่ 5 การกำหนดความเสี่ยง ที่น่าจะเกิด ขั้น 6 การวิเคราะห์ผลกระทบ ขั้น 7 การควบคุมในปัจจุบัน แผนการควบคุม INPUT กิจกรรม OUTPUT แหล่งกำเนิดและ ความสามารถของภัยคุกคาม ลักษณะของช่องโหว่ ประสิทธิภาพการควบคุม ในปัจจุบัน ลำดับความเสี่ยง ลำดับผลกระทบ ผลกระทบต่องาน/พันธกิจ การประเมินจุดวิกฤตของสินทรัพย์ ความสำคัญของข้อมูล ความอ่อนไหวของข้อมูล รายการการควบคุมปัจจุบัน และแผนการควบคุม กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

18 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ขั้นที่ 7 การหาระดับความเสี่ยง ขั้นที่ 8 การกำหนดวิธีการ ควบคุมความเสี่ยง ขั้น 9 การทำเอกสารผลลัพธ์ INPUT กิจกรรม OUTPUT วิธีการควบคุม ที่ถูกกำหนด รายงานการประเมิน ความเสี่ยง แหล่งกำเนิดและ ความสามารถของภัยคุกคาม ความสำคัญของผลกระทบ ความพอพียงของแผน และ การควบคุมความเสี่ยง ความเสี่ยงและ ระดับความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

19 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดคุณลักษณะของระบบ ขั้นที่ 1 การกำหนดคุณลักษณะของระบบ เป็นการแสดงความสัมพันธ์ภายในระบบ ในกลุ่มหัวข้อ - Hardware - Software - Software - การเชื่อมโยงของระบบ (ทั้งภายในและภายนอกระบบ) - การเชื่อมโยงของระบบ (ทั้งภายในและภายนอกระบบ) - ข้อมูลและสารสนเทศ - ข้อมูลและสารสนเทศ - บุคลากรที่สนับสนุนและใช้งานระบบสารสนเทศ - บุคลากรที่สนับสนุนและใช้งานระบบสารสนเทศ - งาน/พันธกิจของระบบ - งาน/พันธกิจของระบบ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

20 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดคุณลักษณะของระบบ (ต่อ) ขั้นที่ 1 การกำหนดคุณลักษณะของระบบ (ต่อ) วิธีการรวบรวมข้อมูล - แบบสอบถาม - แบบสอบถาม - การสัมภาษณ์บุคลากรภายในหน่วย - การสัมภาษณ์บุคลากรภายในหน่วย - การอ่านค้นจากเอกสารที่มีอยู่ - การอ่านค้นจากเอกสารที่มีอยู่ - Scan ด้วยเครื่องมืออัตโนมัติ - Scan ด้วยเครื่องมืออัตโนมัติ (เช่น ภาพเครือข่ายการสื่อสารข้อมูล) (เช่น ภาพเครือข่ายการสื่อสารข้อมูล) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

21 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดคุณลักษณะของระบบ (ต่อ) ขั้นที่ 1 การกำหนดคุณลักษณะของระบบ (ต่อ) ผลได้จากขั้นที่ 1 - คุณลักษณะของระบบ IT ที่จะประเมินความเสี่ยง - คุณลักษณะของระบบ IT ที่จะประเมินความเสี่ยง - ภาพรวมสภาพแวดล้อมของระบบนี้ - ภาพรวมสภาพแวดล้อมของระบบนี้ - ตีกรอบขอบเขตของระบบ - ตีกรอบขอบเขตของระบบ - หน้าที่ของระบบ - หน้าที่ของระบบ - ความสำคัญของระบบและข้อมูลที่มีต่อองค์กร - ความสำคัญของระบบและข้อมูลที่มีต่อองค์กร - ความอ่อนไหวของระบบและข้อมูล - ความอ่อนไหวของระบบและข้อมูล กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

22 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนด/บ่งชี้ ว่าอะไรคือภัยคุกคาม ขั้นที่ 2 การกำหนด/บ่งชี้ ว่าอะไรคือภัยคุกคาม ระบุมูลเหตุภัยคุกคามที่มีแนวโน้มว่าจะเกิดอันจะมีผล ระบุมูลเหตุภัยคุกคามที่มีแนวโน้มว่าจะเกิดอันจะมีผล ทางลบต่อระบบสารสนเทศ รวบรวมปัญหาที่มีแนวโน้มจะเกิดภัยคุกคาม รวบรวมปัญหาที่มีแนวโน้มจะเกิดภัยคุกคาม - จากภายใน / ภายนอกองค์กร - จากภายใน / ภายนอกองค์กร - ทั้งที่เจตนา และ ไม่เจตนา - ทั้งที่เจตนา และ ไม่เจตนา เริ่มจากภัยคุกคามระดับองค์กร เริ่มจากภัยคุกคามระดับองค์กร ต่อด้วยการพิจารณาภัยคุกคามเฉพาะระดับหน่วยย่อย ตามโครงสร้างองค์กร ต่อด้วยการพิจารณาภัยคุกคามเฉพาะระดับหน่วยย่อย ตามโครงสร้างองค์กร กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

23 LOGO Hacker Hacker Cracker Cracker ความท้าทาย ความท้าทาย Ego Ego ตัวป่วน ตัวป่วน Hacking Hacking Social Engineering Social Engineering บุกรุกระบบ บุกรุกระบบ เจาะระบบ เจาะระบบ เข้าใช้ระบบ เข้าใช้ระบบ ลำดับขั้นตอนการประเมินความเสี่ยง ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มาสาเหตุวิธีการ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

24 LOGO อาชญากรรม ทาง คอมพิวเตอร์ การฉ้อโกง การฉ้อโกง การติดสินบน การติดสินบน การปลอมตัว การปลอมตัว ทาง ทาง การเจาะเข้าระบบ การเจาะเข้าระบบ ลำดับขั้นตอนการประเมินความเสี่ยง ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มาสาเหตุวิธีการ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ความต้องการ ความต้องการ ทำลายข้อมูล ทำลายข้อมูล การเปิดเผยข้อมูล การเปิดเผยข้อมูล โดยผิดกฎหมาย โดยผิดกฎหมาย มุ่งต่อเงิน มุ่งต่อเงิน ต้องการแก้ข้อมูล ต้องการแก้ข้อมูล

25 LOGO การก่อการร้าย การหักหลัง การหักหลัง ทำลายระบบ ทำลายระบบ ขัดผลประโยชน์ ขัดผลประโยชน์ การล้างแค้น การล้างแค้น ทำลายทางกายภาพ ทำลายทางกายภาพ IW IW โจมตีต่อระบบ โจมตีต่อระบบ เจาะระบบ เจาะระบบ ลำดับขั้นตอนการประเมินความเสี่ยง ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มาสาเหตุวิธีการ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

26 LOGO การจารกรรม (ระดับบริษัท, ระดับรัฐบาล) การแข่งขัน การแข่งขัน เพื่อเหนือกว่า เพื่อเหนือกว่า การจารกรรม การจารกรรม ทางเศรษฐกิจ ทางเศรษฐกิจ ลำดับขั้นตอนการประเมินความเสี่ยง ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มาสาเหตุวิธีการ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ขโมยข้อมูล ขโมยข้อมูล ติดตามพฤติกรรม ส่วนตัวของเป้าหมาย ติดตามพฤติกรรม ส่วนตัวของเป้าหมาย การสร้างข่าวลวง ให้สังคมเข้าใจผิด การสร้างข่าวลวง ให้สังคมเข้าใจผิด ละเมิดสิทธิการเข้า ใช้งาน ละเมิดสิทธิการเข้า ใช้งาน

27 LOGO ภัยจากภายในองค์กร(จากบุคลากรที่ อ่อนการฝึกอบรม, ไม่พอใจ,ถูกมองข้าม, ไม่ซื่อสัตย์ หรือ ถูกไล่ออก) ลำดับขั้นตอนการประเมินความเสี่ยง ภัยคุกคามที่เกิดจากมนุษย์ แหล่งที่มา สาเหตุ วิธีการ ให้ร้ายนายจ้าง ให้ร้ายนายจ้าง หักหลัง หักหลัง เข้าดูข้อมูลสารสนเทศ เข้าดูข้อมูลสารสนเทศ ด่า บัตรสนเท่ห์ ด่า บัตรสนเท่ห์ การทุจริต/ขโมย การทุจริต/ขโมย ติดสินบน ติดสินบน Malware Malware เอาข้อมูลไปขาย เอาข้อมูลไปขาย ทำลายระบบ ทำลายระบบ ละเมิดสิทธิการเข้าใช้ ละเมิดสิทธิการเข้าใช้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ทะเยอทะยานทะเยอทะยาน อยากรู้อยากเห็นอยากรู้อยากเห็น EGOEGO ฉลาดจัดฉลาดจัด มุ่งหวังเงินมุ่งหวังเงิน แก้แค้นแก้แค้น ไม่ได้ตั้งใจทำผิดไม่ได้ตั้งใจทำผิด

28 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนด/บ่งชี้ ว่าอะไรคือภัยคุกคาม (ต่อ) ขั้นที่ 2 การกำหนด/บ่งชี้ ว่าอะไรคือภัยคุกคาม (ต่อ) ผลได้จากขั้นที่ 2 - บัญชีสรุปรายการภัยคุกคามที่สามารถเข้ารุกรานทาง - บัญชีสรุปรายการภัยคุกคามที่สามารถเข้ารุกรานทาง จุดอ่อนของระบบได้ จุดอ่อนของระบบได้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Threats

29 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) ได้แก่ จุดอ่อน หรือ ช่องโหว่ของระบบด้านความ ปลอดภัย เช่น เรื่องของขั้นตอนการปฏิบัติ การออกแบบ การนำออกใช้งาน หรือ การควบคุมภายใน ที่สามารถเกิด ความไม่ปลอดภัยได้ รวมทั้งช่องโหว่และการฝ่าฝืน กฎระเบียบ นโยบายด้านการรักษาความปลอดภัย กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

30 LOGO การไม่ลบ ID ของกำลังพลที่ ลาออกแล้วออก จากระบบ สารสนเทศของ หน่วย กำลังพล กำลังพลที่ลาออกแล้ว ลำดับขั้นตอนการประเมินความเสี่ยง ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน จุดอ่อน/ช่องโหว่ที่มาของภัยคุกคาม วิธีการคุกคาม Dial เข้าระบบ เครือข่ายแล้ว เข้าสู่ฐานข้อมูล ของหน่วย Dial เข้าระบบ เครือข่ายแล้ว เข้าสู่ฐานข้อมูล ของหน่วย กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

31 LOGO Firewall ของ หน่วย ยอมให้ใช้ Telnet เข้าใช้ ภายในได้ Firewall ของ หน่วย ยอมให้ใช้ Telnet เข้าใช้ ภายในได้ การตั้งUserID และชื่อ Server ที่ง่ายต่อการเดา เช่น xyzServer การตั้งUserID และชื่อ Server ที่ง่ายต่อการเดา เช่น xyzServer ลำดับขั้นตอนการประเมินความเสี่ยง ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน ใช้ Telnetเข้า xyzServer แล้ว ใช้ชื่อ UserIDที่ ง่าย ๆเข้าใช้ ฐานข้อมูลใน ระบบ ใช้ Telnetเข้า xyzServer แล้ว ใช้ชื่อ UserIDที่ ง่าย ๆเข้าใช้ ฐานข้อมูลใน ระบบ จุดอ่อน/ช่องโหว่ที่มาของภัยคุกคามวิธีการคุกคาม กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ผู้ละเมิดสิทธิการ เข้าใช้งาน เช่น - hacker - กำลังพลที่ออก จากราชการแล้ว - อาชญากรทาง คอมพิวเตอร์ - ผู้ก่อการร้าย

32 LOGO ผู้รับจ้างจัดทำ ระบบแจ้งจุดอ่อน ของระบบไว้แล้ว แต่ไม่มีการอุด ช่องโหว่ดังกล่าว ผู้ไม่มีสิทธิใช้งาน ผู้ไม่มีสิทธิใช้งาน เช่น hacker กำลังพลที่ออก แล้ว อาชญากร คอมพิวเตอร์ ผู้ก่อการร้าย ลำดับขั้นตอนการประเมินความเสี่ยง ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน ผู้ไม่มีสิทธิเข้า ใช้งานฐานข้อมูล ของหน่วย ผ่าน ทางช่องโหว่ ผู้ไม่มีสิทธิเข้า ใช้งานฐานข้อมูล ของหน่วย ผ่าน ทางช่องโหว่ จุดอ่อน/ช่องโหว่ที่มาของภัยคุกคาม วิธีการคุกคาม กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

33 LOGO ศูนย์ข้อมูลฯใช้ Sprinkles กรณี ไฟไหม้ แต่ไม่ได้ จัดหาแผ่นกันน้ำ เพื่อป้องกันเครื่อง/ อุปกรณ์คอมพิวเตอร์ จากฝอยน้ำ อุปกรณ์ป้องกัน ไฟไหม้ และ ความละเลยของเจ้าหน้าที่ ลำดับขั้นตอนการประเมินความเสี่ยง ตัวอย่างภัยคุกคามที่จะเกิดจากจุดอ่อน ฝอยน้ำจาก Sprinkles กระเด็นใส่ เครื่อง/อุปกรณ์ ในศูนย์ข้อมูล ฝอยน้ำจาก Sprinkles กระเด็นใส่ เครื่อง/อุปกรณ์ ในศูนย์ข้อมูล จุดอ่อน/ช่องโหว่ที่มาของภัยคุกคามวิธีการคุกคาม กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

34 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.1 หาจุดอ่อน/ช่องโหว่ของระบบได้จากไหน เอกสารประเมินความเสี่ยงเดิมที่เคยทำไว้ เอกสารประเมินความเสี่ยงเดิมที่เคยทำไว้ รายงานผู้ตรวจการ รายงานผู้ตรวจการ รายงานการตรวจสอบระบบรักษาความปลอดภัย รายงานการตรวจสอบระบบรักษาความปลอดภัย รายงานการทดสอบและประเมินผลระบบสารสนเทศ รายงานการทดสอบและประเมินผลระบบสารสนเทศ บัญชีรายการจุดอ่อนทางเทคโนโลยีสารสนเทศ ที่องค์กรต่าง ๆ บัญชีรายการจุดอ่อนทางเทคโนโลยีสารสนเทศ ที่องค์กรต่าง ๆ ได้รวบรวมไว้ ได้รวบรวมไว้ คำแนะนำของหน่วยงานด้านรักษาความปลอดภัย คำแนะนำของหน่วยงานด้านรักษาความปลอดภัย คำแนะนำของบริษัทผู้ผลิตผลิตภัณฑ์นั้นๆ คำแนะนำของบริษัทผู้ผลิตผลิตภัณฑ์นั้นๆ เอกสารแสดงผลการดำเนินงานใหม่ๆ ของผู้รับจ้างด้านรักษา เอกสารแสดงผลการดำเนินงานใหม่ๆ ของผู้รับจ้างด้านรักษา ความปลอดภัย ความปลอดภัย นักวิเคราะห์ด้านการรักษาความปลอดภัยซอฟต์แวร์ นักวิเคราะห์ด้านการรักษาความปลอดภัยซอฟต์แวร์ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

35 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.2 การทดสอบความปลอดภัยของระบบ ใช้เครื่อง Scan หาช่องโหว่แบบอัตโนมัติ ใช้เครื่อง Scan หาช่องโหว่แบบอัตโนมัติ วิธีการทดสอบและประเมินผลระบบ วิธีการทดสอบและประเมินผลระบบ การทดลองคุกคามเจาะเข้าในระบบ การทดลองคุกคามเจาะเข้าในระบบ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

36 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.3 รายการความต้องการด้านการรักษาความปลอดภัย ความปลอดภัยด้านการบริหารจัดการ (Management) ความปลอดภัยด้านการบริหารจัดการ (Management) - จัดมอบความรับผิดชอบ แบ่งมอบหน้าที่ - ให้การสนับสนุนต่อเนื่อง - ให้การสนับสนุนต่อเนื่อง - จัดทบทวนการควบคุมด้านความปลอดภัยตามกำหนดเวลา - จัดทบทวนการควบคุมด้านความปลอดภัยตามกำหนดเวลา - ตรวจสอบประวัติและความโปร่งใสของบุคลากร - ตรวจสอบประวัติและความโปร่งใสของบุคลากร - จัดการประเมินความเสี่ยง - จัดการประเมินความเสี่ยง - จัดฝึกอบรมเทคนิคการรักษาความปลอดภัย - จัดฝึกอบรมเทคนิคการรักษาความปลอดภัย - กำหนดและทบทวนการกำหนดสิทธิในระบบงาน - กำหนดและทบทวนการกำหนดสิทธิในระบบงาน - จัดทำแผนรักษาความปลอดภัยระบบสารสนเทศ - จัดทำแผนรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

37 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.3 รายการความต้องการด้านการรักษาความปลอดภัย ความปลอดภัยด้านการปฏิบัติการ (Operation) ความปลอดภัยด้านการปฏิบัติการ (Operation) - ควบคุมอากาศ (ควัน, ฝุ่น, สารเคมี) - ควบคุมความคงที่ของกระแสไฟฟ้า - ควบคุมความคงที่ของกระแสไฟฟ้า - ควบคุมการใช้สื่อข้อมูลและการจัดเก็บ/ทำลาย - ควบคุมการใช้สื่อข้อมูลและการจัดเก็บ/ทำลาย - การจัดทำป้ายชื่อสื่อข้อมูลที่เป็นแบบ external media - การจัดทำป้ายชื่อสื่อข้อมูลที่เป็นแบบ external media - ความสะดวกทั่วไป(ห้องเครื่อง, ศูนย์ข้อมูล, สำนักงาน) - ความสะดวกทั่วไป(ห้องเครื่อง, ศูนย์ข้อมูล, สำนักงาน) - ควบคุมความชื้น, อุณหภูมิ - ควบคุมความชื้น, อุณหภูมิ - เครื่อง workstation, laptops, PC - เครื่อง workstation, laptops, PC กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

38 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) 3.3 รายการความต้องการด้านการรักษาความปลอดภัย ความปลอดภัยด้านเทคนิค (technical) ความปลอดภัยด้านเทคนิค (technical) - การสื่อสารข้อมูล (dial-in, การเชื่อมโยงเครือข่าย, router) - cryptography - cryptography - อำนาจในการอนุญาตให้ใช้ระบบงาน - อำนาจในการอนุญาตให้ใช้ระบบงาน - กำหนดบุคคลและสิทธิ - กำหนดบุคคลและสิทธิ - การตรวจจับภัยคุกคาม - การตรวจจับภัยคุกคาม - ตรวจสอบความทนทานของระบบ - ตรวจสอบความทนทานของระบบ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

39 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ขั้นที่ 3 การกำหนดจุดอ่อน (Vulnerability) (ต่อ) ผลได้จากขั้นที่ 3 ผลได้จากขั้นที่ 3 - รายการจุดอ่อน/ช่องโหว่ของระบบ ที่มีแนวโน้มว่า - รายการจุดอ่อน/ช่องโหว่ของระบบ ที่มีแนวโน้มว่า เป็นจุดที่ภัยคุกคามจะเข้าโจมตีได้ เป็นจุดที่ภัยคุกคามจะเข้าโจมตีได้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Vulnerabilities

40 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์การควบคุมความเสี่ยง ขั้นที่ 4 การวิเคราะห์การควบคุมความเสี่ยง การวิเคราะห์การควบคุมความเสี่ยง จะมีผลต่อการ พิจารณาจัดระดับโอกาสที่จะเกิดของความเสี่ยง/ภัยคุกคาม แต่ละเรื่อง ขั้นตอนนี้มีจุดประสงค์ให้มีการวิเคราะห์การควบคุม ความเสี่ยง ซึ่งใช้อยู่หรือวางแผนจะนำออกใช้ เพื่อลดหรือกำจัด โอกาสที่ภัยคุกคามจะเข้ามาทางจุดอ่อน/ช่องโหว่ของระบบ ซึ่ง การวิเคราะห์การควบคุมความเสี่ยงดังกล่าว จะมีผลต่อการ พิจารณาจัดระดับโอกาสที่จะเกิดของความเสี่ยง/ภัยคุกคาม แต่ละเรื่อง (ซึ่งวิธีคิดจะอยู่ในขั้นตอนที่ 5) ตัวอย่างเช่น จุดอ่อนจะไม่ค่อยน่ากลัว หรือ โอกาสจะเกิด ภัยคุกคามค่อนข้างน้อย เนื่องจากวิเคราะห์แล้วพบว่าการ ควบคุมด้านความปลอดภัยสามารถกำจัด หรือ ลดอันตรายจาก ภัยคุกคามดังกล่าวได้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

41 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์การควบคุมความเสี่ยง (ต่อ) ขั้นที่ 4 การวิเคราะห์การควบคุมความเสี่ยง (ต่อ) 4.1 วิธีการควบคุมความเสี่ยง (Control Method) ควบคุมทางเทคนิค ที่เกี่ยวกับ Hardware Software Firmware ควบคุมทางเทคนิค ที่เกี่ยวกับ Hardware Software Firmware เช่น เครื่องมือ - การควบคุมการเข้าถึงระบบ (access control) - การระบุและพิสูจน์ตัวตน (Identification and authentication) - การเข้ารหัส (encryption) ควบคุมทางที่ไม่ใช่เทคนิค ได้แก่ด้านการจัดการ และ การปฏิบัติงาน ควบคุมทางที่ไม่ใช่เทคนิค ได้แก่ด้านการจัดการ และ การปฏิบัติงาน เช่น นโยบายด้านความปลอดภัย, ระเบียบปฏิบัติ, รปภ.บุคคลสถานที่และสภาพแวดล้อม กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

42 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์การควบคุมความเสี่ยง (ต่อ) ขั้นที่ 4 การวิเคราะห์การควบคุมความเสี่ยง (ต่อ) 4.2 ประเภทของการควบคุมความเสี่ยง 4.2 ประเภทของการควบคุมความเสี่ยง แบ่งเป็น 2 กลุ่ม ประเภทป้องกัน (Preventive Control) ประเภทป้องกัน (Preventive Control) ประเภทตรวจค้น (Detective Control) ประเภทตรวจค้น (Detective Control) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

43 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์การวิธีควบคุมความเสี่ยง (ต่อ) ขั้นที่ 4 การวิเคราะห์การวิธีควบคุมความเสี่ยง (ต่อ) 1. ประเภทป้องกัน (Preventive Control) เป็นการยับยั้งขัดขวางความพยายามที่จะฝ่าฝืนนโยบาย/กฎ/ ระเบียบการรักษาความปลอดภัย รวมถึงการอนุญาตให้เข้าใช้งาน (access), การเข้ารหัส (encryption) และ การพิสูจน์ตัวตนเพื่อเข้าสู่ ระบบ (authentication) 2. ประเภทตรวจค้น (Detective Control) เป็นการแจ้งเตือนการฝ่าฝืน หรือความพยายามฝ่าฝืน นโยบาย/กฎ/ระเบียบการรักษาความปลอดภัย รวมถึงการควบคุมลักษณะ การตรวจสอบ สืบค้น การตรวจค้นการเจาะระบบ (intrusion detection method) และ การตรวจสอบการรับส่งข้อมูลด้วยการนับจำนวน bits ว่า ตรงกันหรือไม่ (checksum) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

44 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์การวิธีควบคุมความเสี่ยง (ต่อ) ขั้นที่ 4 การวิเคราะห์การวิธีควบคุมความเสี่ยง (ต่อ) ผลได้จากขั้นที่ 4 ผลได้จากขั้นที่ 4 - รายการ การควบคุมความเสี่ยงระบบ IT หรือแผนที่จะใช้ เพื่อ - รายการ การควบคุมความเสี่ยงระบบ IT หรือแผนที่จะใช้ เพื่อ ลดโอกาสที่จะเกิดภัยคุกคามจากจุดอ่อนของระบบ ลดโอกาสที่จะเกิดภัยคุกคามจากจุดอ่อนของระบบ ลดผลกระทบจากภัยดังกล่าว ลดผลกระทบจากภัยดังกล่าว กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

45 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดระดับความเสี่ยง ขั้นที่ 5 การกำหนดระดับความเสี่ยง (Likelihood Determination) (Likelihood Determination) เรียงลำดับโอกาสที่จะเกิดภัยคุกคาม เป็นการจัดเรียงลำดับโอกาสที่จะเกิดภัยคุกคาม หรือ ความเสี่ยงจากจุดอ่อน/ช่องโหว่ของระบบ โดยพิจารณาจาก ที่มา/แรงผลักดัน/และความสามารถของภัยคุกคาม ที่มา/แรงผลักดัน/และความสามารถของภัยคุกคาม ลักษณะของจุดอ่อน/ช่องโหว่ของระบบ ลักษณะของจุดอ่อน/ช่องโหว่ของระบบ ประสิทธิภาพของการควบคุมความเสี่ยงที่ใช้อยู่ใน ประสิทธิภาพของการควบคุมความเสี่ยงที่ใช้อยู่ใน ปัจจุบัน ปัจจุบัน กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

46 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดระดับของโอกาสที่จะเกิดภัยคุกคาม ขั้นที่ 5 การกำหนดระดับของโอกาสที่จะเกิดภัยคุกคาม (Likelihood Determination) (ต่อ) (Likelihood Determination) (ต่อ) จัดได้ 3 ระดับคือ สูง (High) สูง (High) : ภัยคุกคามมีสาเหตุผลักดันสูง และมีความสามารถใน การคุกคามรุนแรง เครื่องมือที่ใช้ป้องกันหรือการตั้งรับและการแก้ปัญหา ยังไม่มีประสิทธิภาพ กลาง (Medium) กลาง (Medium) : ภัยคุกคามมีสาเหตุผลักดัน และมีความสามารถ แต่ได้จัดให้มีการควบคุมความเสี่ยงไว้แล้ว ซึ่ง สามารถขัดขวางการ คุกคามที่เข้าทางช่องโหว่ของระบบได้ ต่ำ (Low) ต่ำ (Low) : ภัยคุกคามไม่มีสาเหตุผลักดัน และไม่มีความสามารถ หรือมีการควบคุมความเสี่ยงไว้แล้ว ซึ่งสามารถขจัด การคุกคาม หรือ อย่างน้อยก็ขัดขวางการเข้าทางช่องโหว่ของระบบได้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

47 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การกำหนดระดับของโอกาสที่จะเกิดภัยคุกคาม ขั้นที่ 5 การกำหนดระดับของโอกาสที่จะเกิดภัยคุกคาม (Likelihood Determination) (ต่อ) (Likelihood Determination) (ต่อ) ผลได้จากขั้นที่ 5 ผลได้จากขั้นที่ 5 - การจัดลำดับโอกาสที่จะเกิดภัยคุกคาม - การจัดลำดับโอกาสที่จะเกิดภัยคุกคาม (Likelihood rating) (Likelihood rating) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

48 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) เป็นการประมาณการผลกระทบทางลบเมื่อเกิดภัยคุกคาม จากจุดอ่อน/ช่องโหว่ของระบบ เพื่อจัดลำดับผลกระทบที่คาดว่า จะเกิด ก่อนการวิเคราะห์ขั้น 6 จะต้องได้ผลของขั้นที่ 1คือ - งาน/พันธกิจ ของระบบ - ความสำคัญของระบบและข้อมูลที่มีต่อองค์กร - ความอ่อนไหวของระบบและข้อมูล กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

49 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) การจัดลำดับความรุนแรงของผลกระทบ การวิเคราะห์จะเป็นการจัดลำดับความรุนแรงของผลกระทบ โดยพิจารณาจากงาน/พันธกิจร่วมกับทรัพย์สินทางสารสนเทศของ องค์กร ทั้งเชิงปริมาณและคุณภาพ (qualitative and quantitative) ในความสำคัญและความอ่อนไหวของทรัพย์สิน ด้านสารสนเทศขององค์กร (hardware software ระบบงาน การบริการ และอุปกรณ์เทคนิคที่เกี่ยวข้องอื่นๆ) ที่สนับสนุน ภารกิจหลักขององค์กร กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

50 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบทางลบคือ การเกิดความเสียหายต่อระบบสารสนเทศ ข้อมูลไม่ถูกต้องสมบูรณ์ (Loss of Integrity) ข้อมูลไม่ถูกต้องสมบูรณ์ (Loss of Integrity) เกิดจากการเข้าแก้ไข ข้อมูลผิดๆ ทั้งที่เจตนาและไม่เจตนา ทำให้ได้ผลที่ไม่ถูกต้องเที่ยงตรง ทำให้ ตัดสินใจผิดได้ อันเป็นขั้นแรกที่อาจส่งให้เกิดผลเสีย ขั้นต่อไป คือไม่สามารถ นำข้อมูลมาใช้ประโยชน์ได้ และระบบไม่น่าเชื่อถืออีกด้วย ข้อมูลไม่สามารถนำมาใช้ประโยชน์ได้ (Loss of Availability) ข้อมูลไม่สามารถนำมาใช้ประโยชน์ได้ (Loss of Availability) หากผู้ใช้ไม่สามารถนำข้อมูลมาใช้ประโยชน์ได้ก็จะเป็นผลต่อภารกิจหลัก ขององค์กร ความไม่น่าเชื่อถือของระบบ (Confidentiality) ความไม่น่าเชื่อถือของระบบ (Confidentiality) ทำให้ระบบงาน และ องค์กรดูด้อยค่า ไม่น่าสนใจ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

51 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ลำดับขั้นตอนการประเมินความเสี่ยง ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบเชิงปริมาณ (Quantitative) ผลกระทบเชิงคุณภาพ (Qualitative) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

52 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบเชิงปริมาณ (Quantitative) สามารถแจงออกมาเป็นค่าตัวเลขได้ เช่น จำนวนรายรับที่ สูญเสียไป ต้นทุนที่ใช้ในการซ่อมบำรุงหรือแก้ปัญหาที่เกิดจากภัย คุกคาม เป็นต้น ข้อดี ข้อดี สามารถแปลระดับความมากน้อยของผลกระทบได้ง่าย ทำให้ พิจารณา cost/benefit analysis เพื่อนำมาอ้างอิงกำหนด การควบคุมได้ ข้อเสีย ข้อเสีย การวัดค่าเป็นช่วงพิสัยตัวเลข (range) มีความหมายไม่ ชัดเจน ต้องแปลงเป็นความหมายเชิงคุณภาพอีกทีหนึ่ง (สูง กลาง ต่ำ) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

53 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลกระทบเชิงคุณภาพ (Qualitative) ไม่สามารถแจงให้เห็นเป็นตัวเลขได้ เช่น การขาดความ เชื่อถือจากภายนอกองค์กร องค์กรด้อยความสำคัญลง เป็นต้น แต่สามารถแสดงในรูปแบบ ผลกระทบมาก (high) ผลกระทบ ปานกลาง (medium) และ ผลกระทบน้อย (low) ได้ ข้อดี ข้อดี สามารถใช้จัดลำดับความเสี่ยง และกำหนดสิ่งที่จะต้อง ปรับปรุงเพื่ออุดจุดอ่อน/ช่องโหว่ที่กำลังพิจารณาได้ ข้อเสีย ข้อเสีย ไม่สามารถวัดระดับผลกระทบเป็นตัวเลขอ้างอิงได้ จึง จัดทำ cost/benefit analysis ยาก กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

54 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) Low Medium High 1. สูญเสียต้นทุนและ ทรัพยากรสูงมาก 2. เป็นอันตราย ทำลาย ขัดขวางการทำงาน ความสำคัญขององค์กร อย่างชัดเจนมาก 3. อาจเกิดการบาดเจ็บ หรือเสียชีวิตได้ 1. มีค่าสูญเสียต้นทุน และทรัพยากร 2. เป็นอันตราย ทำลาย ขัดขวางการทำงาน ความสำคัญขององค์กร 3. อาจเกิดการบาดเจ็บได้ 1. มีค่าสูญเสียต้นทุน และทรัพยากรบางอย่าง 2. อาจพอสังเกตเห็น อันตราย ทำลาย ขัดขวางการทำงาน ความสำคัญขององค์กร กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

55 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ปัจจัยอื่นที่สามารถนำมาใช้ร่วมวิเคราะห์เพิ่มเติมหรือไม่ก็ได้ การประมาณความถี่ที่ภัยคุกคามจะเข้ารุกรานทางช่องโหว่ ในช่วงเวลาที่กำหนด เช่น ในระยะเวลา 1 ปี ต้นทุนโดยประมาณที่ต้องใช้เมื่อมีภัยคุกคามเข้ารุกรานทาง ช่องโหว่ ค่าตัวถ่วงในหัวข้อที่วิเคราะห์ ว่ามีน้ำหนักมากน้อยเป็น อัตราส่วนกันอย่างไร กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

56 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ขั้นที่ 6 การวิเคราะห์ผลกระทบ (Impact Analysis) (ต่อ) ผลได้จากขั้นที่ 6 - ความมากน้อยของผลกระทบ (มาก กลาง น้อย) - ความมากน้อยของผลกระทบ (มาก กลาง น้อย) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

57 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) เพื่อทำการจัดระดับความเสี่ยงของระบบสารสนเทศ สำหรับการคำนวณระดับความเสี่ยงจะแสดงในรูปแบบของ โอกาสที่จะเกิดของภัยที่จะเข้าคุกคามทางช่องโหว่ของระบบ ความมากน้อยของผลกระทบที่เกิดจากภัยคุกคาม ความครบถ้วนพอเพียงของการควบคุมความเสี่ยงและแผน ที่จะใช้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

58 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ตารางระดับความเสี่ยง (Risk-Level Matrix) คิดจากผลคูณของ อัตราโอกาสที่จะเกิดภัยคุกคาม กับ อัตราผลกระทบ ที่จะเกิดจากภัยคุกคาม (threat likelihood x threat impact) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

59 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ค่าที่กำหนดให้ threat likelihood สูง (high) เป็น 3 ค่าที่กำหนดให้ threat likelihood คือ ค่าความเป็นไปได้ (probability) ให้ความน่าจะเกิด สูง (high) เป็น 3 ปานกลาง (medium) เป็น 2 ปานกลาง (medium) เป็น 2 ต่ำ (low) เป็น 1 ต่ำ (low) เป็น 1 ค่าที่กำหนดให้ระดับผลกระทบมาก (high) เป็น 3 ค่าที่กำหนดให้ระดับผลกระทบ มาก (high) เป็น 3 ปานกลาง (medium) เป็น 2 ปานกลาง (medium) เป็น 2 น้อย (low) เป็น น้อย (low) เป็น 1 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

60 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ)โอกาสที่จะเกิดความเสี่ยงน้อยมีโอกาสที่จะเกิดน้อยมาก1 ปานกลางมีโอกาสที่จะเกิด2 มากมีโอกาสที่จะเกิดสูงมาก3 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

61 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ)ผลกระทบด้านงบประมาณน้อย2 ล้าน หรือต่ำกว่า1 ปานกลาง10 ล้าน หรือต่ำกว่า2 มากมากกว่า 10 ล้าน3 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

62 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ)ผลกระทบด้านเวลาน้อยไม่สังเกตว่ามีการเปลี่ยนแปลง1 ปานกลางเร็วขึ้น %2 มากเร็วขึ้นมากกว่า 18 %3 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

63 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ)ผลกระทบด้านคุณภาพน้อย ไม่สังเกตว่ามีการเปลี่ยนแปลง หรือเปลี่ยนแปลงน้อยมาก 1 ปานกลาง สังเกตพบว่าคุณภาพเปลี่ยน และผู้ใช้ต้องการแก้ไข 2 มาก กระทบคุณภาพจนใช้ไม่ได้ จนถึงใช้ประโยชน์ไม่ได้เลย 3 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

64 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ตารางระดับความเสี่ยง (Risk-Level Matrix) ตารางขนาด 3x3 matrix สำหรับกำหนดความเสี่ยงระดับสูง ปานกลาง และต่ำ โอกาสที่จะเกิดภัย คุกคาม ผลกระทบที่จะเกิดจากภัยคุกคามน้อย (1)ปานกลาง (2)มาก (3) มาก มาก (3)ต่ำ 3 x 1 = 3 ปานกลาง 3 x 2 = 6 สูง 3 x 3 = 9 ปานกลาง ปานกลาง (2)ต่ำ 2 x 1 = 2 ปานกลาง 2 x 2 = 4 ปานกลาง 2 x 3 = 6 น้อย น้อย (1)ต่ำ 1 x 1= 1 ต่ำ 1 x 2= 2 ต่ำ 1 x 3 = 3 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

65 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขนาดความเสี่ยงและการปฏิบัติที่เหมาะสมระดับความเสี่ยงการปฏิบัติที่เหมาะสมสูง ต้องการการแก้ไขอย่างยิ่ง โดยระบบสามารถ ดำเนินต่อได้แต่ต้องจัดให้มีการแก้ไข เร็วที่สุด ปานกลาง ต้องมีการแก้ไข และพัฒนาแผนการแก้ไข ในเวลาที่เหมาะสม ต่ำ จะมีการพิจารณาว่าจะต้องจัดให้มีการแก้ไขหรือ จะยอมรับความเสี่ยงนั้น กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

66 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ขั้นที่ 7 การหาระดับความเสี่ยง (Risk Determination) (ต่อ) ผลได้จากขั้นที่ 7 - ระดับความเสี่ยง (Risk Level) - ระดับความเสี่ยง (Risk Level) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร LOW LOW HIGH HIGH Likelihood of Risk Impack of Risk Low-level Risk Medium-level Risk Critical-level Risk

67 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Likelihood Impact Key Very High High Meduim Low เกิดยาก ไม่น่าเกิด อาจเกิด น่าเกิด ค่อนข้างแน่ (1) (2) (3) (4) (5) (1) (2) (3) (4) (5) ไม่มีผล (1) น้อย (2) ปานกลาง (3) มาก (4) เสียหายสิ้นเชิง (5)

68 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Low Low High High Likelihood of Risk Impack of Risk of Risk Quadrant 1 Prevent at Source Quadrant 3 Monitor Quadrant 2 Detect and Monitor Quadrant 4 Low Control

69 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

70 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (Control Recommendations) (Control Recommendations) จุดประสงค์ของข้อเสนอแนะเพื่อควบคุมความเสี่ยง คือ ลดระดับความเสี่ยง เพื่อลดระดับความเสี่ยงที่มีต่อระบบสารสนเทศ ระดับที่สามารถยอมรับได้ ให้เหลืออยู่ในระดับที่สามารถยอมรับได้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

71 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) (Control Recommendations) (Control Recommendations) ปัจจัยที่จะต้องนำมาพิจารณาในการเสนอแนะแก้ไขเพื่อควบคุม ความเสี่ยง ได้แก่ ผลที่ได้ของข้อเสนอแนะ ผลที่ได้ของข้อเสนอแนะ กฎ ข้อบังคับ ระเบียบ ต่างๆ กฎ ข้อบังคับ ระเบียบ ต่างๆ นโยบายระดับองค์กร นโยบายระดับองค์กร ผลกระทบต่อการปฏิบัติงาน ผลกระทบต่อการปฏิบัติงาน ความปลอดภัย และความน่าเชื่อถือ ความปลอดภัย และความน่าเชื่อถือ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

72 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) (Control Recommendations) (Control Recommendations) ข้อเสนอแนะนี้ ข้อเสนอแนะนี้จะเป็นผลลัพธ์ที่ได้จากขั้นตอนการประเมิน เป็น Input ของขั้นตอนการลด ความเสี่ยง และจะถูกนำไปเป็น Input ของขั้นตอนการลด ความเสี่ยง (Risk Mitigation) ความเสี่ยง (Risk Mitigation) ซึ่งเป็นขั้นที่จะทำการประเมินผล และนำข้อเสนอแนะ (ด้านระเบียบปฏิบัติ และ การควบคุมด้าน เทคนิค) ออกใช้งาน ไม่จำเป็นต้องนำข้อเสนอแนะทุกข้อมาใช้จริง แต่ให้ พิจารณาตามความเหมาะสม และ cost-benefit analysis กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

73 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) ขั้นที่ 8 การจัดทำข้อเสนอแนะเพื่อควบคุมความเสี่ยง (ต่อ) (Control Recommendations) (Control Recommendations) ผลได้จากขั้นที่ 8 - ข้อเสนอแนะวิธีที่จะใช้ในการควบคุมความเสี่ยง - ข้อเสนอแนะวิธีที่จะใช้ในการควบคุมความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

74 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การจัดทำเอกสาร (Results Documentation) ขั้นที่ 9 การจัดทำเอกสาร (Results Documentation) เพื่อจัดทำเอกสารอย่างเป็นทางการ พร้อมบทสรุป ซึ่งจะช่วย การบริหารจัดการ ระดับสูง ผู้ที่รับผิดชอบในแต่ละงาน/พันธกิจ การตัดสินใจด้านนโยบาย ด้านการปฏิบัติงาน ด้านงบประมาณ และ การจัดการการเปลี่ยนแปลง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

75 LOGO ลำดับขั้นตอนการประเมินความเสี่ยง การจัดทำเอกสาร (Results Documentation) ขั้นที่ 9 การจัดทำเอกสาร (Results Documentation) ผลได้จากขั้นที่ 9 - รายงานการประเมินความเสี่ยงที่กล่าวถึง - รายงานการประเมินความเสี่ยงที่กล่าวถึง ภัยคุกคามและจุดอ่อนของระบบ ภัยคุกคามและจุดอ่อนของระบบ การวัดความเสี่ยง การวัดความเสี่ยง ข้อเสนอแนะเพื่อพิจารณาใช้สำหรับควบคุมความเสี่ยง ข้อเสนอแนะเพื่อพิจารณาใช้สำหรับควบคุมความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

76 LOGO การจัดการความเสี่ยงระบบสารสนเทศ ประกอบด้วย 3 กระบวนการ คือ 1. การประเมินความเสี่ยง (Risk Assessment) 2. การลดความเสี่ยง (Risk Mitigation) 3. การติดตามประเมินผลต่อเนื่อง (Ongoing Risk Evaluate) ทั้งสามส่วนนี้จะต้องนำมาดำเนินการร่วมกันอย่างเป็นวงรอบ การจัดการความเสี่ยงระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

77 LOGO การจัดการความเสี่ยงระบบสารสนเทศ การลดความเสี่ยง ( Risk Mitigation) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

78 LOGO การจัดการความเสี่ยงระบบสารสนเทศ การลดความเสี่ยง ( Risk Mitigation) วิธีที่มีต้นทุนน้อยสุดที่จัดทำวิธีลดความเสี่ยงที่ ได้ผลที่สุด เป็นขั้นที่ 2 ของการจัดการความเสี่ยง ซึ่งผู้บริหารจะ เลือกใช้วิธีที่มีต้นทุนน้อยสุดที่จัดทำวิธีลดความเสี่ยงที่ ได้ผลที่สุด โดยให้เหลือความเสี่ยงที่อยู่ในระดับที่ ยอมรับได้ มีผลกระทบต่อทรัพยากรและการดำเนิน พันธกิจขององค์กรน้อยที่สุด กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

79 LOGO การจัดการความเสี่ยงระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

80 LOGO การลดความเสี่ยง ทางเลือกของวิธีลดความเสี่ยง การยอมรับความเสี่ยง (Risk Acceptance) ที่เกิดกับ ระบบ IT และดำเนินงานต่อไป หรือจัดควบคุมความเสี่ยงให้ อยู่ในระดับที่ยอมรับได้ การยอมรับความเสี่ยง (Risk Acceptance) ที่เกิดกับ ระบบ IT และดำเนินงานต่อไป หรือจัดควบคุมความเสี่ยงให้ อยู่ในระดับที่ยอมรับได้ การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) โดยกำจัด สาเหตุ และ/หรือ สิ่งที่จะก่อให้เกิดความเสี่ยง การหลีกเลี่ยงความเสี่ยง (Risk Avoidance) โดยกำจัด สาเหตุ และ/หรือ สิ่งที่จะก่อให้เกิดความเสี่ยง การจำกัดความเสี่ยง (Risk Limitation) โดยใช้วิธีการ ควบคุมความเสี่ยง การจำกัดความเสี่ยง (Risk Limitation) โดยใช้วิธีการ ควบคุมความเสี่ยง การถ่ายโอนความเสี่ยง (Risk Transference) โดยหาวิธี ชดเชย เช่น การซื้อประกันการถ่ายโอนความเสี่ยง (Risk Transference) โดยหาวิธี ชดเชย เช่น การซื้อประกัน กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

81 LOGO การลดความเสี่ยง ทางเลือกของวิธีลดความเสี่ยง การวางแผนความเสี่ยง (Risk Management Planning) โดยพัฒนาแผนการลดความเสี่ยง ซึ่งมีการจัดลำดับ และใช้การ ควบคุมอย่างต่อเนื่อง การค้นคว้าและวิจัย (Research and Acknowledgment) ค้นคว้าหาความรู้เรื่องจุดอ่อน/ช่องโหว่ ข้อบกพร่อง และวิจัย หาทางควบคุมความเสี่ยงดังกล่าว การค้นคว้าและวิจัย (Research and Acknowledgment) ค้นคว้าหาความรู้เรื่องจุดอ่อน/ช่องโหว่ ข้อบกพร่อง และวิจัย หาทางควบคุมความเสี่ยงดังกล่าว กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

82 LOGO การลดความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

83 LOGO การลดความเสี่ยง Risk Mitigation Strategy Threat Source System Design VulnerableExploitable? Vulnerability to attack Exists & No Risk Risk Exists Attacker ’ s cost Threshold กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

84 LOGO ลำดับขั้นตอนการลดความเสี่ยง ขั้นที่ 1 จัดลำดับการ ปฏิบัติการ ขั้นที่ 2 ประเมินค่าทางเลือกข้อเสนอแนะ ความเป็นไปได้ ประสิทธิภาพ ขั้น 3 การ;วิเคราะห์ Cost-benefit Analysis ผลกระทบของการใช้การควบคุม ผลกระทบการไม่ใช้การควบคุม งบประมาณที่ใช้ ขั้น 4 ระดับความเสี่ยง ที่ได้จาก ขั้นการประเมินความเสี่ยง INPUT กิจกรรม OUTPUT ลำดับการปฏิบัติการ จากเสี่ยงมากไปหาน้อย รายงานการประเมิน ความเสี่ยง รายการภัยคุกคาม ผลการวิเคราะห์ Cost-benefit Analysis กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

85 LOGO ลำดับขั้นตอนการลดความเสี่ยง ขั้นที่ 4 เลือกวิธีการควบคุมความเสี่ยง ขั้นที่ 5 มอบหมายความรับผิดชอบ ขั้น 6 จัดทำแผนการนำเสนอออกใช้งาน ความเสี่ยง (จุดอ่อน/ภัยคุกคาม)และระดับ ข้อเสนอแนะการควบคุมความเสี่ยง ลำดับขั้นตอนการปฏิบัติงาน เลือกวิธีการควบคุม (ความเป็นไปได้, ประสิทธิภาพ,ประโยชน์ และงบประมาณ ทรัพยากรที่ต้องการ รายชื่อคณะทำงานที่รับผิดชอบงานที่กำหนด วันที่เริ่มและสิ้นสุดการนำเสนอใช้ การติดตามดูแลต่อเนื่อง INPUT กิจกรรม OUTPUT วิธีการควบคุม ความเสี่ยงที่เลือกใช้ รายชื่อผู้รับผิดชอบ งานที่กำหนด แผนการ นำเสนอออกใช้ งาน ขั้น 7 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

86 LOGO ลำดับขั้นตอนการลดความเสี่ยง ขั้นที่ 7 การนำวิธีการควบคุม ออกมาใช้จริง INPUT กิจกรรม OUTPUT ความเสี่ยงที่ยัง เหลืออยู่ในระบบ การควบคุมลด ความเสี่ยงลงได้ แต่อาจไม่หมด การเพิ่มการควบคุมความเสี่ยงที่เหลืออยู่ กำจัดต้นเหตุ เพิ่มวิธีการควบคุมแบบอื่น เช่นคุมทางกายภาพเพิ่มเติม จากการคุมทางเทคนิคที่ยุ่งยากกว่า ลดปริมาณของผลกระทบ ( จำกัดการขยายตัวของจุดอ่อน, ปรับความสัมพันธ์ระหว่างระบบ IT กับพันธกิจขององค์กร ) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

87 LOGO ลำดับขั้นตอนการลดความเสี่ยง ลำดับขั้นตอนการลดความเสี่ยง เพื่อให้ได้มาซึ่งการควบคุมความเสี่ยง จัดลำดับการปฏิบัติการ ขั้นตอนที่ 1 จัดลำดับการปฏิบัติการ เรียงระดับ จากสูงมาต่ำในการดำเนินการอุดช่องโหว่แก้ไขจุดอ่อน จากระดับความเสี่ยงที่แจ้งในรายงานการจัดการความเสี่ยง เพื่อ จัดสรรทรัพยากรให้แก่ความเสี่ยงที่ไม่สามารถรับได้ เรียงระดับ จากสูงมาต่ำในการดำเนินการอุดช่องโหว่แก้ไขจุดอ่อน ที่จะเกิด ภัยคุกคาม เพื่อป้องกันการปฏิบัติพันธกิจ และชื่อเสียงของ องค์กร ผลได้ : ลำดับของการปฏิบัติการกับความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

88 LOGO ลำดับขั้นตอนการลดความเสี่ยงโอกาสที่จะปรับปรุงการจัดการความเสี่ยงโอกาสน้อยยากมากที่จะปรับปรุงต่อในอนาคต1 โอกาสปานกลางยากที่จะปรับปรุงต่อในอนาคต2 โอกาสสูงง่ายในการปรับปรุงต่อในอนาคต3 ระยะเวลาที่สามารถลงมือปฏิบัติ มากกว่า 12 เดือน 1 ระหว่าง 6–12 เดือน 2 ภายใน 6 เดือน 3 กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

89 LOGO ลำดับขั้นตอนการลดความเสี่ยง ลำดับ ประเด็น ความเสี่ยง โอกาสที่ จะเกิด ผล กระ ทบ ระดับ ความ เสี่ยง โอกาส ปรับปรุง ระยะเวลา ที่สามารถ เริ่มลงมือ ปฏิบัติ ผล คูณ ลำดับการ จัดเพื่อ ปฏิบัติการ 1 Network มีปัญหา Server ล่ม Virus เข้า กระจายใน เครือข่าย ไฟไหม้ศูนย์ คอมพิวเตอร์ การจัดลำดับเพื่อปฏิบัติการกับความเสี่ยง โอกาสที่จะเกิด x ผลกระทบ x โอกาสที่จะปรับปรุงการจัดการความเสี่ยง x ระยะเวลา โอกาสที่จะเกิด x ผลกระทบ x โอกาสที่จะปรับปรุงการจัดการความเสี่ยง x ระยะเวลาที่สามารถลงมือปฏิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

90 LOGO ลำดับขั้นตอนการลดความเสี่ยง ประเมินค่าทางเลือกข้อเสนอแนะ ขั้นตอนที่ 2 ประเมินค่าทางเลือกข้อเสนอแนะ พิจารณาความเป็นไปได้และประสิทธิภาพของทางเลือกเหล่านั้น ข้อเสนอแนะทางเลือกเพื่อการควบคุมต่างๆ ที่ได้จากขั้นการ ประเมินอาจไม่เหมาะสมและใช้ได้จริงทุกข้อ จึงต้องมีการ พิจารณาความเป็นไปได้และประสิทธิภาพของทางเลือกเหล่านั้น ให้ได้วิธีที่เหมาะสมและลดความเสี่ยงไห้เหลือน้อยสุด ผลที่ได้ : รายการวิธีการควบคุมความเสี่ยงที่ใช้ได้จริง ผลที่ได้ : รายการวิธีการควบคุมความเสี่ยงที่ใช้ได้จริง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

91 LOGO ลำดับขั้นตอนการลดความเสี่ยง การวิเคราะห์ Cost-benefit Analysis ขั้นตอนที่ 3 การวิเคราะห์ Cost-benefit Analysis เพื่อช่วยการตัดสินใจเลือกหนทางปฏิบัติ และกำหนดงบประมาณ ผลได้ : ข้อมูลต้นทุนที่จะเกิดทั้งกรณีเลือกหรือไม่เลือกใช้วิธีการ ควบคุม กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

92 LOGO ลำดับขั้นตอนการลดความเสี่ยง เลือกวิธีการควบคุมความเสี่ยง ขั้นตอนที่ 4 เลือกวิธีการควบคุมความเสี่ยง ประสิทธิภาพงบประมาณ เทคนิคการปฏิบัติงาน บริหาร ซึ่งมีประสิทธิภาพเหมาะสมกับงบประมาณที่ใช้ที่สุด ซึ่ง ประกอบด้วยด้านเทคนิค ขั้นตอนการปฏิบัติงาน และด้านการ บริหาร ที่แน่ใจได้ว่าจะปลอดภัยเพียงพอต่อระบบสารสนเทศ ขององค์กร ผลที่ได้ : วิธีการควบคุมความเสี่ยงที่เลือกใช้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

93 LOGO ลำดับขั้นตอนการลดความเสี่ยง มอบหมายความรับผิดชอบ ขั้นตอนที่ 5 มอบหมายความรับผิดชอบ บุคลากรภายในภายนอก ให้บุคลากรภายใน หรือจัดหาจากภายนอกองค์กร ที่เหมาะสม มีความรู้ความชำนาญด้านวิธีการควบคุมที่เลือก ผลได้ : รายชื่อผู้รับผิดชอบงานที่กำหนด กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

94 LOGO ลำดับขั้นตอนการลดความเสี่ยง ขั้นตอนที่ 6 ทำแผนการป้องกันความเสี่ยง (Safeguard) ออกใช้งาน ความเสี่ยง (จุดอ่อน/ภัยคุกคาม) ระดับความเสี่ยง ข้อเสนอแนะหนทางปฏิบัติการควบคุมความเสี่ยง ลำดับขั้นตอนการปฏิบัติงาน เลือกหนทางปฏิบัติการควบคุม (ความเป็นไปได้,ประสิทธิภาพ,ประโยชน์,งบประมาณ) 6. ทรัพยากรที่ต้องการ 7. รายชื่อคณะทำงานที่รับผิดชอบงานที่กำหนด 8. วันที่เริ่มและสิ้นสุดการนำเสนอใช้ 9. การติดตามดูแลต่อเนื่อง ผลได้ : แผนนำการป้องกันความเสี่ยงออกใช้งาน (Safeguard Implementation Plan) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

95 LOGO ลำดับขั้นตอนการลดความเสี่ยง ขั้นตอนที่ 7 การนำวิธีการควบคุมออกมาใช้จริง ความเสี่ยงที่เหลือจะถูกควบคุมต่อไป วิธีการควบคุมความเสี่ยงที่ใช้จะลดความเสี่ยงลงได้ แต่อาจกำจัดได้ไม่หมด ความเสี่ยงที่เหลือจะถูกควบคุมต่อไป ผลได้ : ความเสี่ยงที่ยังคงหลงเหลืออยู่ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

96 LOGO การลดความเสี่ยง การควบคุมด้านเทคนิค การควบคุมด้านบริหารจัดการ การควบคุมด้านการปฏิบัติงาน ประเภท การควบคุม ความเสี่ยง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

97 LOGO การลดความเสี่ยง การควบคุมด้านเทคนิคการควบคุมด้านเทคนิค แบบเสริมความปลอดภัย(Supporting) System Protection Protection ผลิตภัณฑ์ รปภ. OSOS ApplicationApplication Cryptography กำหนดตัวบุคคล กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

98 LOGO การลดความเสี่ยง การควบคุมด้านเทคนิคการควบคุมด้านเทคนิค แบบป้องกัน(Preventive) NonRepudia-tion AccessControlEnforce-ment Authori-zation Authenti-cation ProtectedCommuni-cation กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร TransactionPrivacy

99 LOGO การลดความเสี่ยง การควบคุมด้านเทคนิคการควบคุมด้านเทคนิค Audit IntrusionDetection แบบตรวจสอบและฟื้นฟูระบบ (Detective and Recovery) RestoreSecureState VirusDetection กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

100 LOGO การลดความเสี่ยง PreventivePreventiveDetectiveDetectiveRecoveryRecovery แบ่งมอบความรับผิดชอบ ด้านรักษาความปลอดภัย ให้มีการพัฒนาและ บำรุงรักษาระบบ รปภ. จัด รปภ.บุคคล (การแบ่งมอบงาน, การลงทะเบียน, ไม่ให้สิทธิพิเศษ ฯ) กำกับความใส่ใจ การอบรมบุคลากร ตรวจสอบประวัติ บุคลากร กำกับให้มีการทบทวน การควบคุมตามวงรอบ ตรวจสอบระบบ จัดดำเนินการจัดการ ความเสี่ยง อย่างต่อเนื่อง กำกับให้ IT รับ ความเสี่ยงที่มีอยู่ได้ จัดให้มีแผนการ พัฒนา / บำรุงรักษา การปฏิบัติงานอย่าง ต่อเนื่อง จัดให้มีแผนการ เผชิญเหตุ ฟื้นระบบ ให้สามารถกลับไป ทำงานต่อได้ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร การควบคุมด้านบริหารจัดการการควบคุมด้านบริหารจัดการ

101 LOGO การลดความเสี่ยง Preventive Preventive กำกับการใช้และทำลายสื่อข้อมูล ป้องกันภัย Virus ปกป้องสิ่งอำนวยความสะดวก ด้าน IT จัดให้มีการสำเนาข้อมูล สำรอง ระบบ ปกป้องรักษา PC, Workstation รปภ. อัคคีภัย จัดระบบไฟฟ้าสำรอง ควบคุมอุณหภูมิ/ความชื้น Detective Detective รปภ. ทางกายภาพ (จัดเวรยาม, CCTV, alarm) รปภ. สภาพแวดล้อม (เครื่องตรวจควัน) กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร การควบคุมด้านการปฏิบัติงาน

102 LOGO การจัดการความเสี่ยงระบบสารสนเทศ ประกอบด้วย 3 กระบวนการ คือ 1. การประเมินความเสี่ยง (Risk Assessment) 2. การลดความเสี่ยง (Risk Mitigation) 3. การติดตามประเมินผลต่อเนื่อง (Ongoing Risk Evaluate) ทั้งสามส่วนนี้จะต้องนำมาดำเนินการร่วมกันอย่างเป็นวงรอบ การจัดการความเสี่ยงระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

103 LOGO การติดตามประเมินผลต่อเนื่อง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร วงจรการติดตามประเมินผลต่อเนื่อง (Ongoing Risk Evaluate) พิจารณากำหนดความเสี่ยง ( ต่อเนื่อง ) ( ทบทวน ) พัฒนา กฎ ระเบียบ ขั้นตอนการปฏิบัติงาน เพื่อความปลอดภัย จัดให้มีการฝึกอบรม บุคลากรตามภารกิจ ที่เกี่ยวข้อง ตรวจสอบการปฏิบัติ ตามกฎระเบียบ บันทึกยืนยันการปฏิบัติและ การเปลี่ยนแปลงที่ดีขึ้น พิจารณาผลที่ได้จาก การปฏิบัติตามกฎระเบียบ พิจารณาผลที่ได้จาก การปฏิบัติตามกฎระเบียบ

104 LOGO การติดตามประเมินผลต่อเนื่อง กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

105 LOGO การจัดการความเสี่ยงระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

106 LOGO กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ภัยคุกคามด้านเทคโนโลยีสารสนเทศ

107 LOGO ภัยคุกคาม Threat การดำเนินการจากมูลเหตุของภัยคุกคามที่เข้าโจมตี โดยผ่านทางช่องโหว่ หรือจุดบกพร่องของระบบ ภัยคุกคาม Threat การดำเนินการจากมูลเหตุของภัยคุกคามที่เข้าโจมตี โดยผ่านทางช่องโหว่ หรือจุดบกพร่องของระบบ โดยตั้งใจ โดยตั้งใจ โดยไม่ได้ตั้งใจ โดยไม่ได้ตั้งใจ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ภัยคุกคามด้าน IT

108 LOGO ภัยคุกคาม ด้าน IT SPAM Malicious Content Wireless Network Threat SPYWARE Malicious Software (MALWARE) Virus Worm Trojan Hacking Phishing Pharming ภัยคุกคามด้าน IT กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

109 LOGO SPAM SPAM - จดหมายขยะทาง ผู้ส่งไม่เสียค่าใช้จ่ายเพิ่มในการส่ง แต่ผู้รับและ องค์กรของผู้รับจะสิ้นเปลืองทั้งเวลาและค่าใช้จ่าย เช่น ค่า Internet รายชั่วโมง ค่า เชื่อมต่อ Mail Server และเวลาในการลบทิ้ง Spyware Spyware – Software ที่ใช้ช่องทาง Internet เข้าสู่เครื่องคอมพิวเตอร์ของผู้ใช้ที่ Download ซอฟต์แวร์มาใช้งาน โดยผู้ผลิตซอฟต์แวร์ตัวนั้นล่วงละเมิดแอบติดตั้ง ส่วนรายงานผลไว้ในซอฟต์แวร์ดังกล่าวเพื่อแอบดูลักษณะการใช้งานของผู้ใช้โดยผู้ใช้ ผู้นั้นไม่ทราบ ส่งกลับสู่บริษัทผู้ผลิต Worm Worm – เป็นโปรแกรมที่เข้าสู่ระบบคอมพิวเตอร์ได้ทาง Floppy Disk, Handy Drive หรือ Internet สามารถทำสำเนาตัวเองแพร่กระจายไปยังโปรแกรม อื่นๆ ได้ ระหว่างที่โปรแกรมทำงานจะสร้างความเดือดร้อน หรือรำคาญ ขึ้นกับว่า ถูกออกแบบให้เกิดความเสียหายแบบใด Virus Virus - เหมือน Worm ต่างกันที่ Worm เป็น โปรแกรม แต่ Virus เป็น Code ส่วน หนึ่งที่แอบฝังตัวอยู่ในโปรแกรมปกติทั่วไป ทำให้ยากต่อการตรวจสอบและกำจัด ภัยคุกคามด้าน IT กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

110 LOGO Trojan Horse Trojan Horse - ส่วนใหญ่แฝงตัวเข้าสู่เครื่องคอมพิวเตอร์โดยเข้ามากับโปรแกรม อื่นๆ เช่น จาก File ที่ขอคัดลอกกันต่อๆ มา ทำตัวเป็นไส้ศึกคือเมื่อเปิดใช้งานจะ เปิดช่องโหว่ของเครื่อง ขโมยและส่งข้อมูลออกสู่ภายนอก Phishing Phishing – การโจมตีในรูปแบบของการปลอมแปลง ( Spoofing) ส่ง มายังเหยื่อ และสร้าง Website ปลอม หลอกให้เหยื่อเปิดเผยข้อมูลทางการเงิน บัตร เครดิต บัตรประจำตัว ฯ Pharming Pharming – เป็นอาชญากรรมทางอิเล็กทรอนิกส์ที่ซับซ้อนกว่า Phishing คือไม่ จำเป็นต้องปลอม ส่งไปหาเหยื่อทีละราย แต่เป็นการ Hack เข้าระบบ DSN ของ ISP โดยตรง ทำให้ผู้ใช้คิดว่า Link เข้า URL ที่ถูกต้อง แต่กลับถูก Redirect สู่ Website ปลอม หรือ Hack เข้าเครื่อง Client ตามบ้าน แล้วส่ง Trojan มาเปลี่ยน Redirect ไป Website ปลอม Hacking Hacking – การเจาะระบบ Wireless Network Threat Wireless Network Threat – ภัยคุกคามที่มาจากเครือข่ายไร้สาย ที่ออกแบบมา อย่างไม่ปลอดภัย และ ไร้ขอบเขตมีการขยายตัวออกนอกองค์กรได้ ภัยคุกคามด้าน IT กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

111 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

112 LOGO Hardware Software Network Peopleware Procedure Physical and Environment องค์ประกอบของ ระบบสารสนเทศที่ ต้องรักษา ความปลอดภัย การป้องกัน การตรวจสอบ การแก้ไข การรักษาความปลอดภัย ครอบคลุมมาตรการด้านใดบ้าง การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

113 LOGO การป้องกัน การตรวจสอบ การแก้ไข การรักษาความปลอดภัย ครอบคลุมมาตรการด้านใดบ้าง การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Preventive Preventive – ป้องกันไม่ให้เกิด เป็นวิธีที่ดีที่สุด Detective Detective - ถ้าป้องกันไม่ได้ ต้องตรวจจับให้รู้ ทันทีที่เกิด เพื่อให้แก้ไขได้เร็ว Recovery Recovery - หากเกิดแล้วต้องตามแก้ไขฟื้นฟู

114 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร องค์ประกอบของความมั่นคงปลอดภัยของระบบสารสนเทศ 1.ความลับ (Confidentiality) เป็นการทำให้มั่นใจว่าผู้ที่มีสิทธิ หน้าที่ เท่านั้น ที่สามารถเข้าถึงได้ หน้าที่ เท่านั้น ที่สามารถเข้าถึงได้ 2. ความถูกต้องสมบูรณ์ (Integrity) ข้อมูลจะต้องมีความถูกต้อง สมบูรณ์ทันสมัย สมบูรณ์ทันสมัย 3. ความพร้อมใช้ (Availability) ต้องสามารถตอบสนองความ ต้องการของผู้ใช้งานตามสิทธิ ต้องการของผู้ใช้งานตามสิทธิ ได้เมื่อต้องการ ได้เมื่อต้องการ

115 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :ความหมายและพื้นฐานทั่วไป กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร IT Security Components Network Security Access Control Business Continuity Compliance Confidentiality Risk Assessment

116 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร สิ่งที่ต้องคำนึงถึงในการรักษาความปลอดภัยระบบสารสนเทศ 1.ต้องป้องกันในทุกองค์ประกอบ (Hardware Software Network Peopleware (Hardware Software Network Peopleware Process/Procedure Physical/Environment) Process/Procedure Physical/Environment) 2. คุ้มครองป้องกันข้อมูลตามมูลค่าของข้อมูล (Trade การลงทุน กับ มูลค่าความเสียหาย) (Trade การลงทุน กับ มูลค่าความเสียหาย) 3. ไม่มีระบบรักษาความปลอดภัยที่สมบูรณ์แบบ ไม่มีระบบที่ ใช้ได้ตลอดไป 4. ต้องทำสม่ำเสมอเป็นวงรอบต่อเนื่องตลอดไป

117 LOGO การรักษาความปลอดภัยระบบสารสนเทศ การจัดการความเสี่ยงระบบสารสนเทศ (IT Risk Management) เป็นพื้นฐานของระบบการจัดการความปลอดภัยสารสนเทศ (ISMS – Information Security Management System) เพื่อให้ระบบข้อมูลสารสนเทศขององค์กรมีคุณสมบัติในด้านต่างๆ Confidentiality เพื่อให้มั่นใจได้ว่าข้อมูลต่างๆ สามารถเข้าถึง ได้เฉพาะ ผู้ที่มี สิทธิที่จะเข้าเท่านั้น Integrity เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องครบถ้วน สมบูรณ์ โดยไม่ได้ถูกเปลี่ยนแปลงหรือแก้ไขจากผู้ไม่ได้รับอนุญาต Availability เพื่อให้มั่นใจได้ว่าข้อมูลพร้อมที่จะใช้งานอยู่เสมอ โดยผู้ที่มีสิทธิในการเข้าถึงข้อมูลสามารถเข้าถึงได้ทุกเมื่อที่ต้องการ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

118 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร ระบบรักษาความปลอดภัยสารสนเทศ ISMS- Information Security Management System เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA เป็นระบบ Dynamic system ที่ใช้โครงสร้าง PDCA (Plan Do Check Act) ระบบจะมีการหมุนเพื่อปรับปรุง (Plan Do Check Act) ระบบจะมีการหมุนเพื่อปรับปรุง อย่างต่อเนื่องอยู่ตลอดเวลา อย่างต่อเนื่องอยู่ตลอดเวลา A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P ของวงรอบถัดไป A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P ของวงรอบถัดไป วงรอบที่เหมาะสมสำหรับ PDCA ของ Security วงรอบที่เหมาะสมสำหรับ PDCA ของ Security Management คือ 1 ปี Management คือ 1 ปี

119 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

120 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Plan - การจัดทำระบบ ISMS (Establish ISMS) a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS b) กำหนด ISMS Policy c) กำหนด รูปแบบการประเมินความเสี่ยง d) กำหนดความเสี่ยง e) วิเคราะห์ และ ประเมินความเสี่ยง f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง g) เลือกการควบคุม เพื่อลดความเสี่ยง h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management J) จัดทำ Statement of Applicable(SOA) Plan - การจัดทำระบบ ISMS (Establish ISMS) a) กำหนด scope และ ขอบเขตการจัดทำระบบ ISMS b) กำหนด ISMS Policy c) กำหนด รูปแบบการประเมินความเสี่ยง d) กำหนดความเสี่ยง e) วิเคราะห์ และ ประเมินความเสี่ยง f) กำหนดและประเมิน วิธีการเพื่อลดความเสี่ยง g) เลือกการควบคุม เพื่อลดความเสี่ยง h) เห็นชอบความเสี่ยงที่เหลืออยู่โดย management I) เห็นชอบและประยุกต์ใช้ ระบบ โดย management J) จัดทำ Statement of Applicable(SOA)

121 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Do Do - ประยุกต์ใช้และดำเนินการ ระบบ ISMS (Implement and Operate) a) กำหนดแผนการลดความเสี่ยง b) ดำเนินการตามแผนลดความเสี่ยง c) ดำเนินการ ตามการควบคุมที่เลือก d) กำหนดการวัดประสิทธิภาพของระบบการควบคุม e) จัดทำรายการฝึกอบรม f) จัดการการประยุกต์ใช้ระบบ g) ประยุกต์ใช้ ระเบียบปฎิบัติงาน

122 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Check - เฝ้าระวังและตรวจสอบระบบ ISMS (Monitor and review) a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบ การประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่ กำหนด e) ดำเนินการ ตรวจติดตามภายในระบบ ISMS f) ดำเนินการ จัดทำ management review g) ปรับปรุง security plan ให้ทันสมัย h) บันทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและ ประสิทธิผลของระบบ Check - เฝ้าระวังและตรวจสอบระบบ ISMS (Monitor and review) a) จัดทำ ระเบียบปฏิบัติการ เฝ้าระวังและตรวจสอบระบบ ISMS b) ทบทวนประสิทธิภาพของ ระบบอย่างสม่ำเสมอ c) วัดประสิทธิภาพการควบคุมในการปฏิบัติตามข้อกำหนด d) ทบทวน การประเมินความเสี่ยงตามแผน ความเสี่ยงที่เหลือ ระบบ การประเมินความเสี่ยง และการเปลี่ยนแปลงต่างๆ ตามรอบเวลาที่ กำหนด e) ดำเนินการ ตรวจติดตามภายในระบบ ISMS f) ดำเนินการ จัดทำ management review g) ปรับปรุง security plan ให้ทันสมัย h) บันทึกการการทำงานและหลักฐานที่มีผลต่อประสิทธิภาพและ ประสิทธิผลของระบบ

123 LOGO การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Action Action -รักษาและปรับปรุง ระบบ ISMS (Maintain and Improve) a) ดำเนินการ corrective action และ preventive action b) สื่อสาร วิธีการและการปรับปรุงต่างๆ ให้กับผู้ที่เกี่ยวข้องต่างๆ c) แน่ใจว่า วิธีการที่ปรับปรุงขึ้น บรรลุจุดประสงค์ที่วางไว้

124 LOGO PPT Concept People Policy and Process Technology การรักษาความปลอดภัยระบบสารสนเทศ การรักษาความปลอดภัยระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

125 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :People สร้าง Human Firewall แผนปฏิบัติในการสร้างความตะหนักในการใช้ข้อมูลสารสนเทศ ในองค์กร (Information Security Awareness Training) - อบรมระดับผู้บริหาร - อบรมระดับกลุ่มผู้ใช้งานทั่วไป - อบรมสำหรับกลุ่มผู้ดูแลระบบเครือข่าย กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

126 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :Policy Check List for Security Policy Check List for Security Policy องค์กรได้จัดทำนโยบายรักษาความปลอดภัยระบบสารสนเทศ ขององค์กรอย่างเป็นลายลักษณ์อักษรหรือไม่ องค์กรได้จัดทำนโยบายรักษาความปลอดภัยระบบสารสนเทศ ขององค์กรอย่างเป็นลายลักษณ์อักษรหรือไม่ นโยบายดังกล่าวได้รับอนุมัติอย่างเป็นทางการ จากผู้บริหารแล้วหรือไม่ นโยบายดังกล่าวได้รับอนุมัติอย่างเป็นทางการ จากผู้บริหารแล้วหรือไม่ องค์กรได้ตีพิมพ์และเผยแพร่นโยบายดังกล่าว ให้กำลังพลทราบแล้วหรือไม่ องค์กรได้ตีพิมพ์และเผยแพร่นโยบายดังกล่าว ให้กำลังพลทราบแล้วหรือไม่ นโยบายดังกล่าว ได้กล่าวอย่างชัดเจนถึงหลักการ วัตถุประสงค์ หรือเป้าหมาย ในการสร้างความปลอดภัยหรือไม่ นโยบายดังกล่าว ได้กล่าวอย่างชัดเจนถึงหลักการ วัตถุประสงค์ หรือเป้าหมาย ในการสร้างความปลอดภัยหรือไม่ องค์กรมีขั้นตอนปฏิบัติ ในการตรวจสอบ หรือ ปรับปรุง นโยบายรักษาความปลอดภัยหรือไม่ องค์กรมีขั้นตอนปฏิบัติ ในการตรวจสอบ หรือ ปรับปรุง นโยบายรักษาความปลอดภัยหรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

127 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :Policy Check List for Organization Security Check List for Organization Security องค์กรมีคณะทำงานกำกับดูแล งาน/โครงการ ที่เกี่ยวข้องกับการ รักษาความปลอดภัยระบบสารสนเทศ หรือไม่ องค์กรมีคณะทำงานกำกับดูแล งาน/โครงการ ที่เกี่ยวข้องกับการ รักษาความปลอดภัยระบบสารสนเทศ หรือไม่ องค์กรได้กำหนดหน้าที่ความรับผิดชอบการดูแลรักษาทรัพย์สิน ด้านสารสนเทศขององค์กรแล้วหรือไม่ องค์กรได้กำหนดหน้าที่ความรับผิดชอบการดูแลรักษาทรัพย์สิน ด้านสารสนเทศขององค์กรแล้วหรือไม่ องค์กรทราบวิธีการติดต่อกับหน่วยงาน CERT เพื่อขอความช่วยเหลือเมื่อจำเป็นหรือไม่ องค์กรทราบวิธีการติดต่อกับหน่วยงาน CERT เพื่อขอความช่วยเหลือเมื่อจำเป็นหรือไม่ องค์กรมีผู้เชี่ยวชาญด้านการรักษา ความปลอดภัยระบบสารสนเทศช่วยให้คำแนะนำหรือไม่ องค์กรมีผู้เชี่ยวชาญด้านการรักษา ความปลอดภัยระบบสารสนเทศช่วยให้คำแนะนำหรือไม่ สัญญา Outsource ระบุข้อกฎหมายและระเบียบปฏิบัติ สำหรับ ให้ Outsourcee ปฏิบัติตามหรือไม่ สัญญา Outsource ระบุข้อกฎหมายและระเบียบปฏิบัติ สำหรับ ให้ Outsourcee ปฏิบัติตามหรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

128 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :Policy Check List for Business Continuity Management องค์กรมีกระบวนการบริหารให้ระบบ สารสนเทศดำเนินไปอย่างต่อเนื่อง หรือไม่ องค์กรมีกระบวนการบริหารให้ระบบ สารสนเทศดำเนินไปอย่างต่อเนื่อง หรือไม่ องค์กรได้ดำเนินการวิเคราะห์ภัยคุกคาม ภัยพิบัติ ที่อาจส่งผลต่อความต่อเนื่องของ ระบบสารสนเทศ หรือไม่ องค์กรได้ดำเนินการวิเคราะห์ภัยคุกคาม ภัยพิบัติ ที่อาจส่งผลต่อความต่อเนื่องของ ระบบสารสนเทศ หรือไม่ องค์กรได้จัดทำแผน Backup/Recovery เพื่อสร้างความต่อเนื่อง ของระบบสารสนเทศ ภายหลังเกิดภัยคุกคาม /ภัยพิบัติ หรือไม่ องค์กรได้จัดทำแผน Backup/Recovery เพื่อสร้างความต่อเนื่อง ของระบบสารสนเทศ ภายหลังเกิดภัยคุกคาม /ภัยพิบัติ หรือไม่ องค์กรได้มีการทดสอบการปฏิบัติตามแผน Backup/Recovery ตามวงรอบที่เหมาะสม หรือไม่ องค์กรได้มีการทดสอบการปฏิบัติตามแผน Backup/Recovery ตามวงรอบที่เหมาะสม หรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

129 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :Policy Check List for Physical Security Check List for Physical Security มีการจัดห้อง บริเวณ สภาพแวดล้อม เพื่อรักษาความปลอดภัย ระบบคอมพิวเตอร์และระบบเครือข่าย หรือไม่ มีการจัดห้อง บริเวณ สภาพแวดล้อม เพื่อรักษาความปลอดภัย ระบบคอมพิวเตอร์และระบบเครือข่าย หรือไม่ มีมาตรการควบคุมการเข้าออกพื้นที่ หรือบริเวณที่รักษาความปลอดภัย หรือไม่ มีมาตรการควบคุมการเข้าออกพื้นที่ หรือบริเวณที่รักษาความปลอดภัย หรือไม่ มีมาตรการรักษาความปลอดภัยสายไฟฟ้า หรือ สายสื่อสารหรือไม่ (การถูกทำลายเสียหาย, การหยุดทำงานโดยมีผู้บุกรุก) มีมาตรการรักษาความปลอดภัยสายไฟฟ้า หรือ สายสื่อสารหรือไม่ (การถูกทำลายเสียหาย, การหยุดทำงานโดยมีผู้บุกรุก) ผู้ใช้ระบบงานปิดเครื่องคอมพิวเตอร์ และ อุปกรณ์ ประกอบ หลังเสร็จสิ้นการใช้งาน หรือไม่ ผู้ใช้ระบบงานปิดเครื่องคอมพิวเตอร์ และ อุปกรณ์ ประกอบ หลังเสร็จสิ้นการใช้งาน หรือไม่ มีการบันทึก การยืม/การคืน เครื่องคอมพิวเตอร์และอุปกรณ์ ประกอบ หรือไม่ มีการบันทึก การยืม/การคืน เครื่องคอมพิวเตอร์และอุปกรณ์ ประกอบ หรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

130 LOGO การรักษาความปลอดภัยระบบสารสนเทศ :Technology Check List for Access Security Check List for Access Security การควบคุมการเข้าถึงข้อมูล เป็นไปตามหลักการความจำเป็นในการ รับรู้ข่าวสาร (Need to Know) หรือไม่ การควบคุมการเข้าถึงข้อมูล เป็นไปตามหลักการความจำเป็นในการ รับรู้ข่าวสาร (Need to Know) หรือไม่ มีการจัดทำสิทธิการเข้าถึงระบบงานตามความจำเป็น ของการใช้งานหรือไม่ มีการจัดทำสิทธิการเข้าถึงระบบงานตามความจำเป็น ของการใช้งานหรือไม่ กระบวนการจัดสรรรหัสให้ผู้ใช้ เป็นไปอย่างปลอดภัย หรือไม่ กระบวนการจัดสรรรหัสให้ผู้ใช้ เป็นไปอย่างปลอดภัย หรือไม่ มีมาตรการป้องกันการเข้าถึง ระบบเครือข่ายระยะไกล หรือไม่ มีมาตรการป้องกันการเข้าถึง ระบบเครือข่ายระยะไกล หรือไม่ มีมาตรการแยกระบบเครือข่ายภายใน ออกจาก เครือข่ายภายนอกหรือไม่ มีมาตรการแยกระบบเครือข่ายภายใน ออกจาก เครือข่ายภายนอกหรือไม่ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

131 LOGO Digital Signature Private KeyPublic Key Digital Signature – ลายมือชื่อดิจิทัล (ต่างจาก Digitized Signature - การ Scan ลายมือชื่อที่เราเขียนลงในกระดาษ แล้วนำมาเก็บไว้ในเครื่องคอมพิวเตอร์) ประกอบด้วยกุญแจคู่ Private Key และ Public Key ที่สร้างจากสมการทาง คณิตศาสตร์ โดยเอากุญแจสาธารณะไว้ใช้ตรวจสอบว่า เอกสารอิเล็กทรอนิกส์ที่ส่งมาเป็นเอกสารที่ถูกส่งมาจาก เจ้าของกุญแจส่วนตัวหรือไม่ และสามารถเปิดเอกสารนั้นได้ Certificate Authority Certificate Authority – หรือ CA คือหน่วยงานที่ทำหน้าที่ รับรองกุญแจคู่ดังกล่าวอย่างเป็นทางการ และออกใบรับรอง อิเล็กทรอนิกส์ให้แก่ผู้ร้องขอ การรักษาความปลอดภัยระบบสารสนเทศ :Technology กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

132 LOGO กระบวนการสร้างความปลอดภัยให้ระบบสารสนเทศ กระบวนการสร้างความปลอดภัยให้ระบบสารสนเทศ ประกอบด้วย งานการศึกษาพื้นฐานของระบบ งานวิเคราะห์ความเสี่ยงในจุดต่างๆ ของระบบ ซึ่งผลที่ได้จะถูกนำไปดำเนินการต่อ ดังนี้ - งานสร้างความปลอดภัยทางกายภาพ - งานสร้างความปลอดภัยให้ระบบปฏิบัติการ - งานสร้างความปลอดภัยให้ Server * งานการวางแผน - งานป้องกันการบุกรุกระบบทางเครือข่าย * งานทบทวนแผน - งานพัฒนานโยบายการใช้งานระบบ ตามวงรอบ - งานสร้างความตระหนักให้กับผู้ใช้ เช่น ปีละครั้ง - งานสำรองข้อมูล - งานบริการและจัดการเมื่อเกิดเหตุไม่ปลอดภัย การรักษาความปลอดภัยระบบสารสนเทศ :Technology กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

133 LOGO งานป้องกันการบุกรุกระบบทางเครือข่าย งานป้องกันการบุกรุกระบบทางเครือข่าย * งานการจัดทำ Firewall งานการจัดทำ Firewall ควบคุมการเข้าออกเครือข่าย ป้องกันผู้ไม่มีสิทธิเข้ามาใช้เครือข่าย และ Server ขององค์กร งานจัดทำระบบป้องกันการบุกรุก งานจัดทำระบบป้องกันการบุกรุก ติดตั้งเพื่อแจ้งเตือนความพยายามบุกรุกตลอด 24 ชั่วโมง งานจัดทำระบบค้นหาจุดอ่อน/ช่องโหว่ งานจัดทำระบบค้นหาจุดอ่อน/ช่องโหว่ มีการดำเนินการตามช่วงเวลาที่กำหนดไว้ งานตรวจสอบความสมบูรณ์ของ File/Database ในระบบ งานตรวจสอบความสมบูรณ์ของ File/Database ในระบบ จากร่องรอยที่ผู้บุกรุกทิ้งไว้ ทำให้สามารถทราบถึงการกระทำที่เกิดขึ้นกับ File งานการป้องกัน Virus งานการป้องกัน Virus เนื่องจาก Firewall ไม่สามารถรับรู้ได้ว่าการ Download หรือ การรับ มี Virus ติดมาด้วยหรือไม่ งานตรวจสอบปริมาณข้อมูลบนเครือข่าย งานตรวจสอบปริมาณข้อมูลบนเครือข่าย หากมีปริมาณมากผิดปกติอาจเกิดจากการแพร่ กระจายของ Virus งานเฝ้าดูการทำงานของ Server งานเฝ้าดูการทำงานของ Server จากหลักฐานบันทึกการเข้าใช้บริการจาก Server ผู้ดูแล จะเฝ้าดูความพยายามที่จะบุกรุกได้ งานการอุดช่องโหว่ในตัว Software งานการอุดช่องโหว่ในตัว Software ปัจจุบันมี Software หลายตัวที่สามารถช่วยอุด ช่องโหว่ได้โดยอัตโนมัติ การรักษาความปลอดภัยระบบสารสนเทศ :Technology กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

134 LOGO แบบทดสอบความปลอดภัย (ของ NECTEC แบบทดสอบความปลอดภัย (ของ NECTEC ) 1. 1.ท่านได้ติดตั้งโปรแกรมป้องกันไวรัสลงบนระบบของท่านหรือไม่ 2. 2.ท่านทราบหรือไม่ว่าโปรแกรมป้องกันไวรัสที่ท่านใช้เป็นเวอร์ชั่นล่าสุดหรือไม่ 3. 3.ท่านได้สั่งให้โปรแกรมป้องกันไวรัสของท่านปรับปรุงรายชื่อไวรัสโดยอัตโนมัติหรือไม่ 4. 4.ในช่วงเวลา 7 วันที่ผ่านมา ท่านได้ดาวน์โหลดรายชื่อไวรัสมาปรับปรุงโปรแกรมป้องกันไวรัสของท่านหรือไม่ 5. 5.ท่านได้ติดตั้งโปรแกรมไฟร์วอลล์ส่วนตัว (Personal Firewall) ลงบนระบบของท่านหรือไม่ 6. 6.โปรแกรมไฟร์วอลล์ของท่านเป็นเวอร์ชั่นล่าสุดหรือไม่ 7. 7.เมื่อท่านไม่ใช้เครือข่ายอินเตอร์เน็ต ท่านยกเลิกการเชื่อมต่อจากเครือข่าย (Disconnect) หรือไม่ 8. 8.รหัสผ่านที่ท่านใช้ประกอบด้วยการผสมกันระหว่างตัวเลขและตัวอักษรทั้งตัวพิมพ์เล็กและตัวพิมพ์ใหญ่หรือไม่ 9. 9.ท่านได้เปลี่ยนรหัสผ่านของท่านในช่วง 30 วันที่ผ่านมาหรือไม่ ท่านจำรหัสผ่านของท่านโดยที่ไม่ต้องจดไว้หรือไม่ โปรแกรมระบบปฏิบัติการ เว็บบราวเซอร์ และโปรแกรมใช้งานต่าง ๆ ของท่านเป็นเวอร์ชั่นล่าสุดหรือไม่ ท่านได้สั่งให้โปรแกรมทั้งหมดปรับปรุงตัวเองโดยอัตโนมัติ (Automatic Update) หรือไม่ (ถ้ามี) ท่านทราบหรือไม่ว่าในโปรแกรมเว็บบราวเซอร์ของท่านได้มีการตั้งค่าสำหรับ Cookies ไว้อย่างไร การรักษาความปลอดภัยระบบสารสนเทศ :Technology กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

135 LOGO กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร การบริหารฟื้นฟูระบบสารสนเทศจากภัยพิบัติ

136 LOGO การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร Civil War Earthquake Flood Storm

137 LOGO การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร หากเกิดภัยพิบัติ ระบบสารสนเทศของหน่วยงานล่ม ท่านมีแผนจัดการปัญหาเหล่านี้หรือไม่ ปริมาณ ข้อมูล/สารสนเทศ ที่จะสูญหาย จากภัยพิบัติ ปริมาณ ข้อมูล/สารสนเทศ ที่จะสูญหาย จากภัยพิบัติ ระยะเวลาที่จะใช้จัดหา Hardware/Software ใหม่มาใช้ ระยะเวลาที่จะใช้จัดหา Hardware/Software ใหม่มาใช้ ระยะเวลาของการติดตั้งระบบ/ข้อมูลใหม่ ให้พร้อมใช้ ในสถานะเดียวกับก่อนระบบล่ม ระยะเวลาของการติดตั้งระบบ/ข้อมูลใหม่ ให้พร้อมใช้ ในสถานะเดียวกับก่อนระบบล่ม

138 LOGO การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร IT Disaster Recovery Plan IT DRP

139 LOGO การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร กิจกรรมที่หน่วยผู้ใช้ ร่วมในการจัดทำ IT DRP รวบรวมระบบงานสารสนเทศของหน่วยงานทั้งหมด รวบรวมระบบงานสารสนเทศของหน่วยงานทั้งหมด - พิจารณาว่าระบบใดคือ CBF – Critical Business Function - พิจารณาว่าระบบใดคือ CBF – Critical Business Function - พิจารณาว่าระบบใดเป็น Inter-dependencies กระทบกับผู้อื่น - พิจารณาว่าระบบใดเป็น Inter-dependencies กระทบกับผู้อื่น - จัดลำดับความสำคัญของระบบงาน - จัดลำดับความสำคัญของระบบงาน จัดทำ Hardware/Software Inventory ที่ใช้แต่ละระบบงาน จัดทำ Hardware/Software Inventory ที่ใช้แต่ละระบบงาน - Hardware จำนวน / รุ่นปี / s pecification - Software version / configuration จัดทำ Data backup ตามวงรอบที่กำหนด จัดทำ Data backup ตามวงรอบที่กำหนด กำหนดเวลาที่ยอมถอยข้อมูลใน Backup กำหนดเวลาที่ยอมถอยข้อมูลใน Backup กำหนดเวลาเป้าหมายที่ต้องให้ระบบ CBF กลับทำงานได้ตามปกติ กำหนดเวลาเป้าหมายที่ต้องให้ระบบ CBF กลับทำงานได้ตามปกติ

140 LOGO การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร categoryHotWarmCold ReadinessMins to HrsHrs to DaysDays to Wks Application System Loaded and Ready Present but not ready Absent : must be purchased and installed CommunicationReady to goCapableLittle or None Application DataUp-to-dateNot up-to-date : must be refreshed Not present : must be loaded CostVery HighModerateLow

141 LOGO การฟื้นฟูระบบสารสนเทศจากภัยพิบัติ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

142 LOGO การสงครามสารสนเทศ การสงครามสารสนเทศ Information Warfare - IW กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร - Electronics Warfare - Information Security - Operation Security - Psychological Operations - Physical Destruction

143 LOGO การสงครามสารสนเทศ (Information Warfare) การสงครามสารสนเทศ (Information Warfare) เป็นการปฏิบัติการสารสนเทศ (Information Operations) เพื่อปกป้องข้อมูลข่าวสาร และระบบสารสนเทศของตนเอง ในระหว่างสถานการณ์วิกฤติ หรือ มีความขัดแย้งกัน รวมทั้งเพื่อทำลาย และสร้างผลกระทบต่อข้อมูลข่าวสาร และระบบสารสนเทศ ให้ได้เปรียบ เหนือกว่าข้าศึก การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

144 LOGO ระดับ ยุทธวิธี ระดับ ยุทธการ ระดับ ยุทธศาสตร์ บูรณาการทรัพยากรที่มีอยู่ทั้งหมด มาเป็นเครื่องมือกระทำต่อฝ่ายข้าศึก ทั้งเชิงรับและเชิงรุกอย่างสอดคล้อง และต่อเนื่อง - Electronics Warfare - Information Security - Operation Security - Psychological Operations - Physical Destruction กระทำเพื่อให้สามารถ ปฏิบัติ หรือประสานการ ปฏิบัติที่มีประสิทธิภาพ และมีอิทธิพลต่อข้าศึก ให้ไม่สามารถปฏิบัติ หรือประสานการปฏิบัติ ที่มีประสิทธิภาพได้ มุ่งเพื่อให้มีอิทธิพล กระทบต่อทางเลือก และ พฤติกรรมของข้าศึกให้ ตกลงใจผิดพลาด หรือ สนับสนุนผิดพลาดต่อ เจตนารมย์ หรือความ ตั้งใจของข้าศึก การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

145 LOGO ปฏิบัติการเชิงรุก โจมตีระบบเครือข่ายเป้าหมาย ใช้เครื่องมือของรัฐในการประสานการปฏิบัติ และการทำลายเป้าหมาย รับสนับสนุนจากเอกชนใช้เครื่องมือ ที่ทันสมัยปฏิบัติการจารกรรมข้อมูล ลาดตระเวน ทุจริต และขโมยข้อมูล ใช้เครื่องมือและเทคนิคธรรมดา ไม่ซับซ้อนไม่ทันสมัย และ ไม่ได้รับการสนับสนุนใด ๆ ระดับที่ 1 ขีดความสามารถของภัยคุกคาม (Threat Capabilities) ระดับที่ 2 ระดับที่ 3 ระดับที่ 4 มือสมัครเล่น บุคคล/กลุ่ม/ผู้ก่อการร้ายระดับเอกชน บุคคล/กลุ่ม/ผู้ก่อการร้ายระดับประเทศ ระดับประเทศ รับสนับสนุนระดับประเทศ (พลเรือน/รัฐบาล) ใช้เครื่องมือที่ทันสมัยปฏิบัติการจารกรรม ข้อมูลลาดตระเวน ทุจริต และขโมยข้อมูล การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

146 LOGO กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร การสงครามสารสนเทศ วางกำลังตั้งรับข้าศึก Operation Security Information Security Information Integrity Information Transport Deceive Destroy Deny Disrupt Degrade Exploitive

147 LOGO การ ป้องกัน การ ตรวจพบ การ จัดคืน สภาพ การ ตอบโต้ การปฏิบัติการเชิงรับ (Defensive Information Operations) การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

148 LOGO การปฏิบัติการข้อมูลสารสนเทศเชิงรับ (Defensive Information Operations) เป็นการทำให้ระบบสารสนเทศไม่ล่อแหลมต่อการปฏิบัติจากฝ่ายตรงข้าม และป้องกัน ไม่ให้ฝ่ายตรงข้ามมารบกวนต่อระบบสารสนเทศของเรา ๑.การป้องกัน ๑.การป้องกัน เป็นการปฏิบัติทุกรูปแบบเพื่อปกป้องไม่ให้เกิดการจารกรรม หรือเป็นการใช้เครื่องมือตรวจจับการเข้าถึง ๒.การตรวจพบ ๒. การตรวจพบ เป็นการค้นหากรณีเกิดการบุกรุก หรือ เจาะเข้าระบบ สารสนเทศของเรา ๓.การฟื้นสภาพ ๓.การฟื้นสภาพ เป็นการทำให้ระบบสารสนเทศที่ถูกทำลาย หรือ รบกวน กลับไปใช้งานได้เหมือนเดิม ๔.การโต้ตอบ ๔.การโต้ตอบ เป็นการแสดงตอบกลับอย่างรวดเร็วต่อการปฏิบัติเชิงรุก หรือการบุกรุกจากฝ่ายตรงข้าม การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

149 LOGO วิธีการโจมตี 1.การเข้าถึง โดยไม่ได้รับ อนุญาต 2.ซอฟต์แวร์ ประสงค์ร้าย 3. การโจมตีทาง อิเล็กทรอนิกส์ 4. การทำลาย ทางกายภาพ 5. การลวง 6. การโฆษณา ชวนเชื่อ Malware : Virus Worm Trojan Spyware การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

150 LOGO การ ทำลาย การ รบกวน การ ลดค่า การ ปฏิเสธ การปฏิบัติการเชิงรุก (Offensive Information Operations) การ ลวง การ ขยายผล การ มีอิทธิพล การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

151 LOGO การปฏิบัติการข้อมูลสารสนเทศเชิงรุก การปฏิบัติการข้อมูลสารสนเทศเชิงรุก (Offensive Information Operations) ทำให้เกิดความได้เปรียบ ทางข้อมูลที่มีประสิทธิภาพมากที่สุด ๑.การทำลาย ๑.การทำลาย เป็นการทำลายระบบสารสนเทศของฝ่ายตรงข้ามให้เกิด ความเสียหาย และไม่สามารถทำงานต่อได้ หรือ ไม่สามารถนำมาใช้ งานได้ การทำลายจะมีประสิทธิภาพมากที่สุด ณ ห้วงเวลาก่อนที่ฝ่าย ตรงข้ามมีความต้องการใช้ข้อมูล ๒.การรบกวน ๒. การรบกวน เป็นการปฏิบัติการเพื่อให้ข้อมูลสารสนเทศของฝ่ายตรง ข้ามเสียหาย หรือ ฝ่ายตรงข้ามเสียจังหวะในการทำงาน รบกวนการ ปฏิบัติตามตารางเวลา หรือทำให้ต้องปฏิบัติ ก่อน/หลัง ตารางเวลา การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

152 LOGO ๓. การลดค่า ๓. การลดค่า เป็นการลดประสิทธิภาพ หรือ ประสิทธิผลในการควบคุมบังคับ บัญชาของฝ่ายตรงข้าม กระทบต่อการรวบรวมข้อมูลสารสนเทศ สามารถ ลดขวัญของกำลังพล ลดคุณค่าของเป้าหมาย หรือ ลดคุณภาพการ ตัดสินใจ/การปฏิบัติ ให้ต่ำลง ๔. การปฏิเสธ ๔. การปฏิเสธ โดยวางเงื่อนไขให้ฝ่ายตรงข้ามต้องระงับการใช้ข้อมูล สารสนเทศที่จะเอาไปใช้หรือเอาไปสนับสนุนการตัดสินใจ ไม่ให้มี ประสิทธิภาพ และไม่ทันเวลา ๕. การลวง ๕. การลวง ทำให้ฝ่ายตรงข้ามตกลงใจผิด หรือ เข้าใจว่าเป็นจริง ๖. การขยายผล ๖. การขยายผล เป็นการเข้าไปในระบบสารสนเทศของฝ่ายตรงข้าม เพื่อ รวบรวมข้อมูลสารสนเทศ หรือ ทำให้วางแผนผิด หรือ เข้าใจใน สารสนเทศที่มีอยู่ผิด ๗. การมีอิทธิพล ๗. การมีอิทธิพล การทำให้ฝ่ายตรงข้ามมีพฤติกรรมสนับสนุนการปฏิบัติ หรือ ไม่ต่อต้านการปฏิบัติ ของฝ่ายเรา การสงครามสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร

153 LOGO กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร


ดาวน์โหลด ppt LOGO การจัดการความเสี่ยง และ การรักษาความปลอดภัย ระบบสารสนเทศ กองวิชา IT ศูนย์ฝึก ICT สส. ทหาร.

งานนำเสนอที่คล้ายกัน


Ads by Google