Upload
wayne-barron
View
43
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Chapter 3 ความปลอดภัยของข้อมูลและการจัดการความเสี่ยง Information Security and Risk Management. ความปลอดภัยของระบบฐานข้อมูล (Database Security). - PowerPoint PPT Presentation
Citation preview
Company
LOGO
Chapter 3ความปลอดภัยของข�อม�ลและการ
จัดการความเสี่��ยงInformation Security
andRisk Management
เมษายน 20 256
6
2
ความปลอดภัยของระบบฐานข�อม�ล (Database Security)
ระบบฐานข�อม�ลน�นม�ความจั�าเป นอย!างย"�งต่!อ ความปลอดภัยของข�อม�ล เพราะข�อม�ลในระบบ
ข�อม�ลข!ายสี่ารในป&จัจั'บนน�นจัะถู�กเก)บไว�ในฐาน ข�อม�ลเป นสี่!วนใหญ่! บางคร�งเพ-�อความสี่ะดวก
รวดเร)วในการใช้�งานฐานข�อม�ลน�น อาจัจั�าเป นต่�อง ให�ม�บ'คคลหลายคนสี่ามารถูเข�าถู/งข�อม�ลพร�อมๆ
กนจัากหลายๆ สี่ถูานที่�� หร-อบางคร�งก)อาจัจั�าเป น ต่�องใช้�เที่คโนโลย� Internet เป นต่วเช้-�อมต่!อและ
กระจัายข�อม�ลออกไปในวงกว�าง
เมษายน 20 256
6
3
การโจัมต่�ระบบฐานข�อม�ล (Database Attack)
การโจัมต่�ระบบฐานข�อม�ลซึ่/�งที่�าให�ข�อม�ลที่��เป น ความลบน�น ถู�กเป4ดเผยต่!อบ'คคลที่��ไม!ได�รบ
อน'ญ่าต่การโจัมต่�ระบบฐานข�อม�ลโดยที่�าให�ข�อม�ลที่��ถู�กเก)บ
ไว�ในระบบฐานข�อม�ลน�นถู�กเปล��ยนแปลงไปในที่างที่��เสี่�ยหาย
การโจัมต่�ระบบฐานข�อม�ลโดยที่�าให�ข�อม�ลที่��ถู�กเก)บไว�ในระบบฐานข�อม�ลน�นไม!สี่ามารถูใช้�งานได�จัากบ'คคลที่��ได�รบอน'ญ่าต่อย!างถู�กต่�อง
เมษายน 20 256
6
4
เมษายน 20 256
6
6
ป&ญ่หาการร�วไหลของข�อม�ลจัากการว"เคราะห6 ข�อม�ล
(Inference Problem)
โดยที่�วไปแล�ว การรกษาความปลอดภัยของข�อม�ล น�น สี่ามารถูที่��จัะที่�าได�โดยระบ'การเข�าถู/งข�อม�ลว!า
สี่ามารถูที่��จัะเข�าถู/งได�โดยบ'คคลที่�วไป (Public) หร-อสี่ามารถูที่��จัะเข�าถู/งได�เฉพาะบ'คคลเที่!าน�น
(Personnel/Private) ข�อม�ลเฉพาะบ'คคลที่��เป นความลบ จัะไม!สี่ามารถูที่��
จัะเข�าถู/งได�โดยบ'คคลที่�วไป แต่!ข�อม�ลน��สี่ามารถูที่��จัะร�วไหลได�โดยการว"เคราะห6ข�อม�ลจัากข�อม�ลที่��เป น
แบบ Public ได� เช้!น ฐานข�อม�ลในแผนกที่รพยากรมน'ษย6
เมษายน 20 256
6
7
ป&ญ่หาการร�วไหลความลบของข�อม�ลจัากการรวบรวมข�อม�ลต่!างๆ ที่��ไม!เป น ความลบเข�าด�วยกน (Database Aggregation Problem)
ป&ญ่หาน��เก"ดข/�นเม-�อม�การรวบรวมข�อม�ลต่!างๆ ที่��ไม!เป นความลบเข�าไว�ด�วยกนและสี่ามารถูเก"ดการปะต่"ดปะต่!อกนเข�าจันที่�าให�ความลบเก"ดการร�วไหลได�
ว"ธี�การแก�ไขที่��อาจัน�ามาใช้�ได�ก)ค-อ การปรบเปล��ยน ระดบการจั�าแนกข�อม�ลของม�ลที่��ไม!เป นความลบ
โดยที่��เม-�อข�อม�ลเหล!าน�� เม-�อม�การน�ามารวมกนเม-�อใดก)ให�ปรบเปล��ยนระดบไปเป นช้�นของข�อม�ลความลบซึ่/�งบ'คคลที่��ไม!ได�รบอน'ญ่าต่ไม!สี่ามารถูเข�าถู/งได�
เมษายน 20 256
6
8
ระบบฐานข�อม�ลที่��เป นอย�!บนระบบปฏิ"บต่"การที่��ปลอดภัย(Database Applications on Secure Operating system)
ว"ธี�การที่��ด�ว"ธี�หน/�งที่��มาใช้�ในการรกษาความ ปลอดภัยของระบบฐานข�อม�ลก)ค-อ การใช้�
โปรแกรมฐานข�อม�ลบนระบบปฏิ"บต่"การที่��ม�ความ ปลอดภัยสี่�ง (Trusted Computing Base) ซึ่/�ง
ว"ธี�การน��สี่ามารถูให�ความปลอดภัยต่!อข�อม�ลได� เพราะระบบปฏิ"บต่"จัะเป นต่วที่�างานต่!างๆ ที่��เก��ยว
กบการเก)บรกษาข�อม�ลเก-อบที่�งหมด ข�อม�ลจัะได�รบการปกป:องจัากระบบปฏิ"บต่"การที่��ได�รบการ
พ"สี่�จัน6แล�วว!าม�ความปลอดภัยสี่�ง
เมษายน 20 256
6
10
การรกษาความปลอดภัยของระบบฐาน ข�อม�ลโดยการใช้�ว"ธี� Integrity Lock
การรกษาความปลอดภัยแบบน��สี่ามารถูที่�าได�โดย การใช้� Trusted Front End (TFE) เพ-�อใช้�ในการ
รกษาความปลอดภัยให�แก!ระบบฐานข�อม�ล โดยที่�� ต่ว TFE น��จัะเป นต่วกลางเช้-�อมต่!อระหว!างต่วฐาน
ข�อม�ลและโปรแกรมอ-�นๆ ที่��จัะเข�ามาใช้�ฐานข�อม�ลซึ่/�งอาจัเป นโปรแกรมที่��อาจัไม!ม�ความน!าเช้-�อถู-อที่างด�านระบบการรกษาความปลอดภัยก)เป นได�
การก�าหนดสิทธิการเข้�าถึ�งข้�อมู�ล การก�าหนดสี่"ที่ธี"การเข�าถู/งข�อม�ลเป นค�าสี่งที่�ใช้�ก�าหนดสี่"ที่ธี"ให�กบผ��ใช้�
แต่!ละคนม�สี่"ที่ธี"กระที่�าการใดกบ ข�อม�ลในต่ารางใดได�บ�างหร-อการก�าหนดให�ม�สี่"ที่ธี"ด�ข�อม�ลได�เพ�ยงอย!าง
เด�ยว (1) การก�าหนดสี่"ที่ธี"ในการเข�าถู/งข�อม�ล ได�แก! การเร�ยกค�นข�อม�ลด�วยค�าสี่ง (SELECT) การเพ"ม
ข�อม�ลด�วยค�าสี่ง(INSERT) การ ลบข�อม�ลม�ลด�วยค�าสี่ง (DELETE) หร-อการปรบปร'ง ม�ลด�วยค�าสี่ง (UPDATE)
ร�ปแบบ GRANT <SELECT,INSERT,UPDATE,DELETE> ON < ช้-อ ต่าราง> TO < ช้-อ ผ��ใช้�>; (2) การให�สี่"ที่ธี"ในการเข�าถู/งข�อม�ลที่�งหมด
ใช้� ALL PRIVILEGES ( หร-อ ALL เที่!านน ) ในค�าสี่ง GRANT
ร�ปแบบ GRANT ALL ON < ช้-อ ต่าราง> TO < ช้-อ ผ��ใช้�>; (3) การให�สี่"ที่ธี"ในการเร�ยกด�ข�อม�ลแก!ผ��ใช้�ที่'กคน
ใช้� PUBLIC กบค�าสี่ง SELECT ควบค�!ไปกบค�าสี่ง GRANT
ร�ปแบบ GRANT SELECT ON < ช้-อ ต่าราง> TO PUBLIC;
เมษายน 20 256
6
12
สี่"�งที่��ต่�องค�าน/งถู/งในการน�าระบบDatabase มาใช้�งานในการรกษา
ความปลอดภัยของข�อม�ล ต่�องที่�าการต่"ดต่�งซึ่อฟที่6แวร6เพ"�มเต่"มของบร"ษที่ผ��ผล"ต่เสี่มอเพ-�อเป นการอ'ดร�ร �วที่างด�านความ
ปลอดภัยต่!างๆ ที่��อาจัเก"ดข/�นมาได�ต่�องศึ/กษาและปฏิ"บต่"ต่ามค�าแนะน�าที่��มากบค�!ม-อที่��
ใช้�นากรรกษาความลบของระบบฐานข�อม�ลโดยอย!างเคร!งครด
ควรใช้�ระบบฐานข�อม�ลที่��ได�รบการรบรองโดย มาต่รฐานของที่างที่หาร (US) เพราะเป น
มาต่รฐานที่��ให�ความปลอดภัยที่��สี่�งมาก
เมษายน 20 256
6
13
การรบรองความปลอดภัยของ ระบบฐานข�อม�ลโดยใช้�มาต่รฐาน
TCSEC เป นมาต่รฐานที่��น�ามาใช้�ในการบอกระดบปลอดภัย
ของระบบฐานข�อม�ล ซึ่/�งม�อย�!หลายระดบแล�วแต่! การใช้�งาน ระดบความปลอดภัยที่��เพ�ยงพอสี่�าหรบ
การน�ามาใช้�ในเช้"งธี'รก"จัน�นมกใช้�ระดบ C2 ซึ่/�งโดย มากก)มกเพ�ยงพอแก!ความต่�องการโดยที่�วไป แต่!
หากต่�องการความปลอดภัยที่��สี่�งข/�นก)อาจัใช้�ระบบB1 ได�ซึ่/�งเป นระดบความปลอดภัยที่��สี่�งกว!ามาก
เมษายน 20 256
6
14
ค!าระดบมาต่รฐานที่��ใช้�ในการรกษาความปลอดภัยของระบบฐานข�อม�ลที่��ม�อย�!ต่าม
ที่�องต่ลาดโดยที่�วไป Database Level Certificate
Date Notes
Informix B1 15/11/94
Trusted oracle 7
B1 05/04/94
Secure SQL Server, V11.0
B1 18/05/95 Sybase
SQL Server, V11.0.6
C2 13/10/95 Sybase
Informix Online/Secure 5.0
C2 13/10/94
Oracle 7 C2 05/04/94
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย
ซึ่าลาม"เที่คน"ค (Salami Technique) เป นว"ธี� ยกยอกเง"น สี่"นค�า หร-อบร"การจัากหลายแหล!งที่�ละ เล)กที่�ละน�อย โดยเม-�อเวลาผ!านไปนาน ๆ เง"น
จั�านวนน�นก)จัะเพ"�มจั�านวนสี่�ง
ต่วอย!างเช้!นผ��ที่'จัร"ต่อาจัใช้�ว"ธี�การซึ่!อนค�าสี่�งเพ-�อ ลดยอดดอกเบ��ยเง"นฝากในบญ่ช้�ต่!าง ๆ ในจั�านวน
ที่��อย�!ในที่ศึน"ยมหลกที่��สี่ามเป นต่�นไปเพ-�อมาสี่ะสี่ม ในบญ่ช้�ของผ��ที่'จัร"ต่ซึ่/�งจัะเพ"�มข/�นเร-�อย ๆ จันเป น
เง"นจั�านวนมากในที่��สี่'ด
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)
ซึ่'ปเปอร6แซึ่พพ"�ง (Superzapping) เป นการที่'จัร"ต่ที่��เร�ยกช้-�อต่ามโปรแกรมย�ที่"ล"ต่��ที่��ม�อย�!ใน
ระบบโปรแกรมของบร"ษที่ไอบ�เอ)ม ซึ่/�งโปรแกรมดงกล!าวสี่ามารถูใช้�ปรบปร'งหร-อเร�ยกด�เน-�อหาที่'กสี่!วน
ในระบบ และสี่ามารถูปรบปร'งรายการบางอย!างได�โดยไม!สี่ร�างหลกฐานให�ต่รวจัสี่อบ
ต่วอย!างเช้!น การใช้�โปรแกรมเพ-�อถูอนเง"นไปเข�าบญ่ช้�ของเพ-�อนร!วมธี'รก"จัโดยไม!ก!อให�เก"ดหลกฐานในการต่รวจัสี่อบในบญ่ช้�แยกประเภัที่
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)
แที่ร)พดอร6 (Trap Doors) เป นรหสี่โปรแกรมที่��ช้!วยให�นกพฒนาโปรแกรมสี่ามารถูเข�าไปแก�ไขข�อ
ผ"ดพลาดได�ในภัายหลง ซึ่/�งโดยปกต่"ในการต่รวจัสี่อบข�นสี่'ดที่�ายรหสี่ดงกล!าวจัะต่�องถู�กน�าออกจัาก
โปรแกรม แต่!บางคร�งอาจัละเลยโดยไม!ต่�งใจั หร-อโดยต่�งใจัให�คงม�อย�!เพ-�อสี่ะดวกในการแก�ไขภัายหลง
ต่วอย!างเช้!น โปรแกรมแอบลกลอบการใช้�เวลาหร-อการใช้�โปรแกรมลบเฉพาะสี่�าหรบผ��บร"หาร
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)
ลอจั"กบอมบ6 (Logic Bombs) ค-อ โปรแกรมที่��ลงม-อกระที่�าการบางอย!างในระบบคอมพ"วเต่อร6ในช้!วงเวลาและภัายใต่�เง-�อนไขหร-อสี่ภัาวการณ์6ที่��เอ-�อ
อ�านวยประโยช้น6แก!ผ��ที่'จัร"ต่ได�
ต่วอย!างเช้!น การซึ่!อนค�าสี่�งให�ต่รวจัสี่อบป@ วนที่�� และเวลา ในระบบคอมพ"วเต่อร6เม-�อเวลาต่รงกบที่��ผ��
ซึ่!อนค�าสี่�งก�าหนดไว� ลอจั"กบอมบ6จัะสี่�งให�อ'ปกรณ์6คอมพ"วเต่อร6ที่�างานต่ามต่�องการ
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)
อะซึ่"งโครนสี่แอต่แที่ก (Asynchronous Attacks) เป นโปรแกรมประเภัที่หน/�งที่��จัะเร"�มที่�างานเม-�อได�รบสี่ญ่ญ่าณ์บอกผลการปฏิ"บต่"การก!อนหน�าน��
ต่วอย!างเช้!น ในขณ์ะใดขณ์ะหน/�ง ม�ค�าสี่�งให�ระบบคอมพ"วเต่อร6จัดที่�ารายงานข�อม�ลผลลพธี6จัากงาน
หลายงานพร�อมกน ภัายหลงการออกรายงานที่��ก�าหนดรายงานหน/�งเสี่ร)จัสี่"�น
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)
ซึ่�เว"จัจั"�ง (Seaverging) หมายถู/ง การได�รบ ข�อม�ลที่��ผ!านการประมวลผลแล�ว ซึ่/�งอาจัปรากฏิใน
ร�ปแบบที่��ด�ได�ด�วยต่าเปล!า หร-อคงค�างอย�!ในระบบ คอมพ"วเต่อร6ภัายหลงจัากประมวลผลงานหน/�ง ๆ
เสี่ร)จัเร�ยบร�อยแล�ว
ต่วอย!างเช้!น การได�รบข�อม�ลคงค�างอย�!ในระบบคอมพ"วเต่อร6ที่��เก"ดจัากการลบค!าในบฟเฟอร6ไม!
หมด เช้!น ข�อม�ลเง"นเด-อน
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)
ดาต่�าล�กเกจั (Data Leakage) เป นการน�าข�อม�ล ออกจัากระบบคอมพ"วเต่อร6 โดยอาศึยว"ธี�การต่!าง ๆ ผ��
ที่'จัร"ต่อาจัซึ่!อนเที่คน"คไว�ในระบบคอมพ"วเต่อร6 แต่!ในข�นต่อนการน�าข�อม�ลออกจัะต่�องสี่ามารถูหลบหล�กการ
สี่งสี่ยจัากพนกงานปฏิ"บต่"การคอมพ"วเต่อร6 หร-อ พนกงานอ-�น ๆ ได�
ต่วอย!างเช้!น เคร-�องคอมพ"วเต่อร6ถู�กต่"ดต่�งเคร-�องสี่!ง ว"ที่ย'ขนาดเล)กมากลงไป โดยเคร-�องสี่!งดงกล!าวสี่ามารถู
เป4ดเผยข�อม�ลที่��ม�อย�!ในระบบไปยงเคร-�องที่��อย�!ห!างออกไปได�
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)
พ"กก��แบAกก"�ง (Piggybacking) ค-อการบ'กร'ก โดยอาศึยเคร-�องม-อที่างอ"เล)กที่รอน"กสี่6
ต่วอย!างเช้!น การแอบพ!วงสี่ายโที่รศึพที่6ค�!สี่าย เด�ยวกนไว� เม-�อเคร-�องที่��ใช้�งานจัร"งเป4ดเข�าไปใน
ระบบ ซึ่/�งอาจัม�การใสี่!รหสี่ลบ ภัายในจังหวะที่��ผ��ใช้� จัร"งเข�าระบบแล�วและอาจัไม!อย�!ที่��เคร-�องในบางขณ์ะ
จั/งสี่ามารถูที่�าการที่'จัร"ต่ได�
ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)
ไวร6แที่)พพ"�ง (Wiretapping) หมายถู/ง การที่'จัร"ต่โดยการลกลอบแก�ไขข�อม�ลผ!านวงจัรสี่-�อสี่าร
ร�ปแบบต่!าง ๆ ระหว!างการรบสี่!งข�อม�ล
การที่'จัร"ต่แบบน��ไม!เป นที่��น"ยมเน-�องจัากที่�ายากเน-�องจัากต่�องใช้�อ'ปกรณ์6เพ-�อใช้�ในการบนที่/กและ
พ"มพ6ข�อม�ล นอกจัากน��ยงม�ว"ธี�อ-�นที่��สี่ามารถูที่�าการที่'จัร"ต่ได�ง!ายกว!า
แนวที่างในการควบค'มระบบสี่ารสี่นเที่ศึบนเคร-อข!าย
อ"นเต่อร6เน)ต่ ไฟร6วอลล6 (Firewall) ที่�าหน�าที่��ควบค'มและต่รวจัสี่อบ
ข�อม�ลที่��จัะผ!านเข�าสี่�!เคร-อข!ายภัายในและข�อม�ลที่��จัะสี่!ง ออกไปสี่�!เคร-อข!ายภัายนอก โดยม�การก�าหนดกฎต่!าง ๆ
ข/�นเพ-�อด�แลให�ข�อม�ที่��จัะผ!านเข�าออกระหว!างเคร-อข!าย เที่คโนโลย�เก��ยวกบรหสี่ (Cryptology) ประกอบไป
ด�วย การเข�ารหสี่ (Encryption) เป นการที่�าให�ข�อม�ลที่��จัะสี่!ง
ผ!านไปที่างเคร-อข!ายอย�!ในร�ปแบบที่��ไม!สี่ามารถูอ!านออกได�และที่�าให�ข�อม�ลน�นเป นความลบ
การถูอดรหสี่ (Decryption) เป นการแปลงข�อม�ลที่��เข�ารหสี่ให�กลบมาสี่ามารถูอ!านออกได�
ต่วอย!างการเข�ารหสี่และการถูอดรหสี่ข�อม�ล
การใช้�ลายม-อช้-�อด"จั"ต่อลในการการควบค'มและต่รวจั สี่อบ (Digital Signature) โดยม�กระบวนการคร!าว
ๆ ดงต่!อไปน�� น�าข�อม�ลอ"เล)กที่รอน"กสี่6มาเข�ารหสี่ โดยใช้�ก'ญ่แจัสี่!วนต่ว
(Private Key) ของผ��สี่!ง ซึ่/�งเปร�ยบเสี่ม-อนการลงลายม-อ ช้-�อของผ��สี่!งเพราะผ��สี่!งเที่!าน�นที่��ม�ก'ญ่แจัสี่!วนของผ��สี่!งเอง
และจัะได�ข�อม�ลที่��เข�ารหสี่แล�ว เร�ยกว!าลายม-อช้-�อด"จั"ต่อล ที่�าการสี่!งลายม-อช้-�อด"จั"ต่อลพร�อมข�อม�ลต่�นฉบบไปยงผ��รบ
แล�วน�าลายม-อช้-�อด"จั"ต่อลมาที่�าการถูอดรหสี่ด�วยก'ญ่แจัสี่าธีารณ์ะ (Public Key) ของผ��สี่!ง
แนวที่างการใช้�อ"นเต่อร6เน)ต่ในงานต่รวจัสี่อบ
ผ��ต่รวจัสี่อบใช้�อ"นเต่อร6เน)ต่เพ-�อประโยช้น6ของการต่รวจัสี่อบ ใน 2 ลกษณ์ะค-อ
– การเข�าถู/งข�อม�ล ผ��ต่รวจัสี่อบสี่ามารถูเข�าสี่�!ระบบ สี่ารสี่นเที่ศึขององค6กรเพ-�อเข�าถู/งข�อม�ลต่!าง ๆ ที่��ต่�องการ
โดยผ!านที่างเคร-อข!ายอ"นเต่อร6เน)ต่ และสี่ามารถูใช้�ข�อม�ลเหล!าน�นประกอบการต่รวจัสี่อบ
– การต่รวจัสี่อบแบบต่!อเน-�อง ผ��ต่รวจัสี่อบสี่ามารถูก�าหนดให�ม�การแจั�งเต่-อนโดยอต่โนมต่"เม-�อม�การที่�ารายการที่��ผ"ดปกต่"หร-อม�เหต่'การณ์6ผ"ดปกต่"ข/�นในระบบ
สี่ารสี่นเที่ศึ สี่ามารถูด�าเน"นการต่รวจัสี่อบระบบสี่ารสี่นเที่ศึได�อย!างต่!อเน-�องโดยไม!ต่�องที่�าเร-�องขอเข�าต่รวจัสี่อบที่'ก
คร�งและสี่ามารถูแก�ป&ญ่หาต่!าง ๆ ได�ที่นที่!วงที่�
แนวที่างการใช้�อ"นเต่อร6เน)ต่ในงานต่รวจัสี่อบ
ระบบอ"นเต่อร6เน)ต่ที่�าให�เก"ดว"ธี�การต่รวจัสี่อบใหม! ๆ ดงน��คอมพ"วเต่อร6สี่ามารถูถู�กต่รวจัสี่อบได�โดยไม!ต่�องอย�!บน
ระบบออนไลน6เด�ยวกนล)อกไฟล6สี่ามารถูเข�าถู/งจัากที่างไกลโดยผ!านอ"นเต่อร6เน)ต่ เอกสี่ารในร�ปแบบอ"เล)กที่รอน"กสี่6 (Soft File) สี่ามารถู
ถู�กต่รวจัสี่อบจัากผ��ต่รวจัสี่อบจัากสี่ถูานที่��ใดก)ได�สี่ามารถูต่รวจัสี่อบคอมพ"วเต่อร6แม!ข!ายโดยผ!าน
อ"นเต่อร6เน)ต่ได�ช้!วยให�ผ��ต่รวจัสี่อบสี่ามารถูต่รวจัสี่อบได�อย!างต่!อเน-�อง
แที่นที่��จัะเป นการขอเข�าไปต่รวจัสี่อบเป นคร�งคราว
การต่รวจัสี่อบระบบความปลอดภัยพ-�นฐานบนระบบเคร-อข!าย
การต่รวจัสี่อบแฟ:มร!องรอยการต่รวจัสี่อบ (Audit Trail) เป นแฟ:มคอมพ"วเต่อร6ที่��บนที่/กล�าดบของเหต่'การณ์6ที่��เก"ดข/�น
ในระบบแบบอต่โนมต่" เพ-�อบนที่/กการกระที่�าใด ๆ ที่��เก"ดข/�นกบ ระบบโดยเร�ยงต่ามล�าดบเวลาที่��เก"ดข/�นต่�งแต่!เร"�มต่�นจันจับ
และบนที่/กเวลาต่�งแต่!การล)อกอ"นเข�าสี่�!ระบบจันกระที่�งล)อกเอาที่6ออกจัากระบบ
แฟ:มร!องรอยการต่รวจัสี่อบ แบ!งออกเป น 2 ประเภัที่ค-อ
แฟ:มร!องรอยการต่รวจัสี่อบด�านการบญ่ช้� (Accounting Audit Trail)
แฟ:มร!องรอยการต่รวจัสี่อบด�านการปฏิ"บต่"งาน (Operation Audit Trail)
การต่รวจัสี่อบระบบความปลอดภัยพ-�นฐานบนระบบเคร-อข!าย
การควบค'มความม�อย�! (Existence Controls) – เป นการ ควบค'มให�ม�การสี่�ารองและก��ค-นระบบเคร-อข!าย โดยม�ว"ธี�การ
ต่!าง ๆ ได�แก! จัดเต่ร�ยมสี่ถูานที่��และจัดเก)บอ'ปกรณ์6และช้"�นสี่!วนที่��จัะต่�องใช้�ใน
ระบบเคร-อข!ายสี่�ารองไว�ที่ �งหมด ใช้�อ'ปกรณ์6ที่��ม�ความสี่ามารถูในการแก�ไขข�อผ"ดพลาดที่��อาจัเก"ด
ข/�นภัายในระบบเคร-อข!าย ใช้�อ'ปกรณ์6ที่��ผ!านการที่ดสี่อบว!าม�ค'ณ์ภัาพสี่�ง ม�การบ�าร'งรกษาฮาร6ดแวร6และซึ่อฟต่6แวร6อย!างเพ�ยงพอและ
สี่ม��าเสี่มอ ม�สี่"�งอ�านวยความสี่ะดวกในการก��ค-นระบบที่��เพ�ยงพอและเหมาะ
สี่ม
การจัดการความเสี่��ยงที่างด�านเที่คโนโลย�สี่ารสี่นเที่ศึ
การจัดการความเสี่��ยง (Risk Management) ค-อ กระบวนการในการระบ' ว"เคราะห6ประเม"น ด�แล ต่รวจัสี่อบ และควบค'มความเสี่��ยงที่��สี่มพนธี6กบก"จักรรม หน�าที่��และกระบวนการที่�างาน เพ-�อให�องค6กรลดความเสี่�ยหายจัากความเสี่��ยงมากที่��สี่'ด อนเน-�องมาจัากภัยที่��องค6กรต่�องเผช้"ญ่ในช้!วงเวลาใดเวลาหน/�ง
การจัดการความเสี่��ยง (Risk Management) ค-อ กระบวนการในการระบ' ว"เคราะห6ประเม"น ด�แล ต่รวจัสี่อบ และควบค'มความเสี่��ยงที่��สี่มพนธี6กบก"จักรรม หน�าที่��และกระบวนการที่�างาน เพ-�อให�องค6กรลดความเสี่�ยหายจัากความเสี่��ยงมากที่��สี่'ด อนเน-�องมาจัากภัยที่��องค6กรต่�องเผช้"ญ่ในช้!วงเวลาใดเวลาหน/�ง
กระบวนการบรหารจั�ดการความูเสิ��ยงด�าน เทคโนโลย�สิารสินเทศ
กระบวนการบร"หารจัดการความเสี่��ยงการเป น 6 ข�นต่อน ดงน�� 1. การประเม"นความเสี่��ยง (Risk assessment) ประกอบด�วยกระบวนการ
ว"เคราะห6ความเสี่��ยงและ การประเม"นค!าความเสี่��ยง 1.1 การว"เคราะห6ความเสี่��ยง (Risk analysis) ประกอบด�วย 3 ข�นต่อนดงน��
▫ การช้��ระบ'ความเสี่��ยง (Risk identification) ▫ ลกษณ์ะรายละเอ�ยดของความเสี่��ยง (Risk description) ▫ การประมาณ์ความเสี่��ยง (Risk estimation)
1.2 ประเม"นค!าความเสี่��ยง (Risk evaluation) 2. การรายงานผลการว"เคราะห6ความเสี่��ยง (Risk reporting) 3. กระบวนการบรรเที่าความเสี่��ยง (Risk mitigation) 4. การควบค'มความเสี่��ยง (Risk control) 5. การรายงานความเสี่��ยงต่กค�าง (Residual risk reporting) 6. การเฝ:าสี่งเกต่ (Monitoring)
การรกษาความปลอดภัยข�อม�ลน�น ความเสี่��ยง ประกอบด�วยสี่องสี่!วน ค-อ
ช้!องโหว! (Vulnerability) ภัยค'กคาม(Threat)
ช้!องโหว! (Vulnerability) หมายถู/ง ช้!องที่างที่��อาจั ถู�กใช้�สี่�าหรบการโจัมต่�ได� เช้!น ประต่� หน�าต่!างที่��ถู�ก
เป4ดไว� อาจัเป นสี่"�งล!อที่��ผ��ไม!หวงด�แอบเข�ามาขโมย ที่รพย6สี่"นในบ�านได� ถู�าที่างเที่คโนโลย� เช้!น การ
เป4ด Port ที่"�งไว�โดยไม!จั�าเป น อาจัก!อให�เก"ด อนต่รายได�
ภัยค'กคาม(Threat) ค-อ สี่"�งที่��อาจัเก"ดข/�นและม�อนต่รายต่!อที่รพย6สี่"น ภัยค'กคามจัากคนภัายในองค6กร เช้!น การฉ�อโกง การ
ที่�างานผ"ดพลาดโดยไม!ต่�งใจั ภัยค'กคามจัากคนภัายนนอกองค6กร เช้!น การเจัาะเข�ามา
ในระบบ การก!อว"นาศึกรรม การโจัรกรรม หร-อ การใช้� เล!ห6กลอ'บาย หลอกล!อถูามข�อม�ล
ภัยธีรรมช้าต่" เช้!น น��าที่!วม แผ!นด"นไหว สี่/นาม" ไฟไหม�ฟ:าผ!า
ภัยค'กคามจัากสี่ภัาพแวดล�อมไม!เหมาะสี่ม เช้!น น��าร �วซึ่/ม ฝ'Dนละออง สี่ารเคม� อ'ณ์หภั�ม"ร�อน ความช้-�น
การโจัมต่�(Target)
เป:าหมายของการโจัมต่� ความลบ (Confidentiality) เป นเป:าหมายก)ต่!อเม-�อความ
ลบของข�อม�ลถู�กเป4ดเผยเช้!นความลบที่างราช้การ ความ ลบที่างธี'รก"จั ข�อม�ลสี่!วนบ'คคล
ความคงสี่ภัาพ(Integrity) จัะต่กเป นเป:าหมายเม-�อ พยายามที่��จัะเปล��ยนแปลงข�อม�ล หร-อหลอกลวงให�เช้-�อ
ข�อม�ลที่��เป นเที่)จั เช้!นการเปล��ยนยอดเง"นในบญ่ช้�ธีนาคารเพ-�อให�จั�านวนเง"นมากข/�น
ความพร�อมใช้�งาน(Availability) ต่กเป นเป:าหมายเม-�อม� การโจัมต่�แบบปฏิ"เสี่ธีการให�บร"การ เป:าหมายน�นอาจัเป น
ระบบที่��ให�บร"การข�อม�ล หร-อ ข�อม�ลโครงสี่ร�างขององค6กร
ผ��โจัมต่�
ค-อผ��กระที่�าการใดๆที่��ก!อให�เก"ดผลกระที่บที่างด�านลบ กบผ��ถู�กโจัมต่� ลกษณ์ะของผ��โจัมต่� เช้!น
การเข�าถู/ง(Access) สี่ามารถูเข�าถู/งเป:าหมายได� เข�าถู/ง ระบบ เคร-อข!าย สี่ถูานที่�� หร-อข�อม�ลที่��ต่�องการ อาจัจัะเป น
ที่างต่รงเช้!น การเจัาะเข�าระบบบญ่ช้ข� หร-อที่างอ�อม เช้!น อาจัม�โอกาสี่เข�าถู/งโดยช้!องที่างพ"เศึษ พนกงานล-มป4ดประต่�
แอบเข�าไปได� ความร� � (Knowledge) ม�ความร� �เก��ยวกบเป:าหมายเช้!น
บญ่ช้�ผ��ใช้� รหสี่ผ!าน ที่��อย�! หมายเลขไอพ� ระบบรกษาความ ปลอดภัย
แรงจั�งใจั(Motivate) ความที่�าที่าย ความอยากได� เช้!น เง"น สี่"�งของ บร"การหร-อ ข�อม�ล
ผ��โจัมต่� อาจัเป นบ'คคลดงต่!อไปน�� พนกงาน พนกงานเก!า แฮคเกอร6 ศึต่ร�หร-อค�!แข!ง ผ��ก!อการร�าย ล�กค�า ภัยธีรรมช้าต่"
เหต่'การณ์6
ว"ธี�การที่��ผ��โจัมต่�อาจัที่�าอนต่รายต่!อองค6กร เช้!น แก�ไขหน�าเว)บไซึ่ต่6ขององค6กร การใช้�บญ่ช้�ผ��ใช้�ในที่างที่��ผ"ด หร-อ เก"นกว!าที่��ได�รบ
อน'ญ่าต่ การแก�ไขข�อม�ลที่��สี่�าคญ่ที่�งที่��ต่ �งใจัหร-อไม!ได�ต่�งใจั การเจัาะเข�าระบบโดยไม!ได�รบอณ์'ญ่าต่ การที่�าลายระบบโดยไม!ได�ต่�งใจั การรบกวนระบบสี่-�อสี่ารที่�งข�อม�ลภัายในและภัายนอก
การประเมูนความูเสิ��ยง (Risk assessment)
1. การวเคราะห"ความูเสิ��ยง การวเคราะห"ความูเสิ��ยงประกอบ ด�วย 3 กระบวนการ ค#อ
กระบวนการท�� 1 การชี้�%ระบ&ความูเสิ��ยง (Risk identification) เป'นการชี้�%ให�เห)นถึ�งป*ญหาความูไมู-แน-นอนท��องค"กรเผชี้ญอย�-
กระบวนการน�%จั�าเป'นต้�องอาศ�ยความูร��ความูเข้�าใจัองค"กร ภารกจัและกจักรรมู สิ�งแวดล�อมูด�านกฎหมูาย สิ�งคมู
การเมู#องและว�ฒนธิรรมู พั�ฒนาการและป*จัจั�ยท��มู�ต้-อความู สิ�าเร)จัข้ององค"กร รวมูท�%งโอกาสิและสิ�งค&กคามูท��มู�ต้-อองค"กร
การชี้�%ระบ&ความูเสิ��ยงควรได�ด�าเนนการอย-างท��วถึ�งครอบคล&มู กจักรรมูในท&กๆ ด�านข้ององค"กร สิาเหต้&สิ�าค�ญข้องความู
เสิ��ยงค#อการมู�สิ�งค&กคามู (Threat) ท��อาจัสิ-งผลให�เกดการ ละเมูดความูมู��นคงสิารสินเทศและสิ-งผลเสิ�ยต้ามูมูา
กระบวนการท�� 2 ล�กษณะรายละเอ�ยดข้องความูเสิ��ยง(description of risk) เมู#�อชี้�%ระบ&ความูเสิ��ยงได�แล�ว และน�ามูา
บรรยายรายละเอ�ยดและล�กษณะข้องความูเสิ��ยงน�%น ได�แก- - ช้-�อความเสี่��ยง (Name) - ขอบเขต่ (Scope) - ลกษณ์ะความเสี่��ยง (Nature) - ผ��ที่��ม�ผลกระที่บ - ลกษณ์ะเช้"งประมาณ์ - การยอมรบความเสี่��ยง - การบ�าบดและการควบค'ม - แนวที่างการปรบปร'ง - การพฒนากลย'ที่ธี6และนโยบาย
กระบวนการท�� 3 การประมูาณความูเสิ��ยง (risk estimation) ข้�%นต้อนน�%เป'นการด�ป*ญหาความู
เสิ��ยงในแง-ข้องโอกาสิการเกดเหต้& (incident) หร#อเหต้&การณ" (event) ว-ามู�มูากน�อยเพั�ยงไร
และผลท��ต้ดต้ามูมูาว-ามู�ความูร&นแรงหร#อเสิ�ย หายมูากน�อยเพั�ยงใด
โอกาสี่ หร-อ ความน!าจัะเป น (Probability or Likelihood) หร-อความบ!อยคร�งของการเก"ดเหต่'หร-อเหต่'การณ์6 อาจัแบ!ง
แบบง!ายๆเป น 5 ระดบจัากน�อยไปหามาก เช้!น - บ!อย (frequent) พบได�บ!อยคร�งเป นประจั�า - ประปราย (probable) - ต่ามโอกาสี่ (occasional) - น�อยคร�งมาก (remote) - แที่บไม!เก"ดเลย (improbable)
หมายเหต่' บางองค6กรแบ!งความบ!อยคร�งของการเก"ดเหต่'ออก เป น 3 ระดบ เที่!าน�น ซึ่/�งแล�วแต่!ความต่�องการเพ-�อความเหมาะ
สี่มของแต่!ละองค6กร
1.2 การประเมูนค-าความูเสิ��ยง (Risk evaluation)
หลกเกณ์ฑ์6ยอมรบความเสี่��ยง (Risk acceptance criteria) ว!าจัะยอมรบได�มากน�อยเพ�ยงใด เพ-�อประกอบ
การต่ดสี่"นใจัว!าจัะบ�าบดความเสี่��ยงน�นๆต่!อไปอย!างไร พ/ง พ"จัารณ์าในแง!ต่!างๆดงต่!อไปน�� เช้!น
- ค!าใช้�จั!าย ประโยช้น6และความค'�มที่'นที่��จัะได�รบจัากการแก�ไข บ�าบดความเสี่��ยง (costs and benefits)
- ข�อก�าหนดด�านกฎหมายและกฎระเบ�ยบขององค6กร (legal requirements)
- ป&จัจัยด�านเศึรษฐก"จัและสี่งคม (socioeconomic factors) - ป&จัจัยด�านสี่"�งแวดล�อม (environmental factors) - ประเด)นสี่าระสี่�าคญ่ในม'มมองของผ��ม�สี่!วนได�เสี่�ย (concerns
of stakeholders)
ต่วอย!าง การประเม"นค!าความเสี่��ยง (risk evaluation)
ต่าราง แสี่ดงเมต่ร"กซึ่6ระดบความเสี่��ยง 3x3
ต่วอย!างในที่��น��ใช้�เมต่ร"กซึ่6 3x3 จัากโอกาสี่เก"ดภัย ค'กคาม 3 ระดบ (สี่�ง, ปานกลาง, ต่��า) และผลกระ
ที่บของภัยค'กคาม 3 ระดบ (สี่�ง, ปานกลาง, ต่��า) แสี่ดงได�ดงต่าราง แสี่ดง ค!าความเป นไปได�ของ
ระดบโอกาสี่เก"ดภัยค'กคามม�ค!าเป น 1 เม-�อเป นระดบสี่�ง, ม�ค!าเป น 0.5 เม-�อเป นระดบปานกลาง และม�ค!า
เป น 0.1 เม-�อเป นระดบต่��า และ ค!าของระดบความ ร'นแรงของผลกระที่บจัากภัยค'กคามม�ค!าเป น 100
เม-�อเป นระดบสี่�ง, ม�ค!าเป น 50 เม-�อเป นระดบปาน กลาง และม�ค!าเป น 10 เม-�อเป นระดบต่��า ต่ามล�าดบ
ระดบความเสี่��ยงสี่�ง หมายถู/งจั�าเป นต่�องได�รบการแก�ไขอย!าง เร!งด!วน ระบบที่��ด�าเน"นอย�!อาจัจัะยงคงปฏิ"บต่"งานต่ามปกต่"
แต่!จัะต่�องน�าแผนการแก�ไขมาใช้�ที่นที่�ที่��เป นไปได� ระดบความเสี่��ยงปานกลาง หมายถู/งควรม�การแก�ไขและ
แผนการควบค'มควรได�รบการปรบปร'งแล�วน�ามาใช้�ความ เสี่��ยงเป นฟ&งก6ช้นของโอกาสี่ที่��จัะเก"ดเหต่'การณ์6ใดๆ ซึ่/�งก!อให�
เก"ดภัยค'กคามในระบบที่��ม�ความอ!อนแอในการปกป:อง กบ ความร'นแรงของผลกระที่บที่��จัะเก"ดข/�นจัากภัยค'กคามน�น
ระดบความเสี่��ยงต่��า หมายถู/งระบบควรได�รบการต่รวจัสี่อบเพ-�อให�แน!ใจัว!าแผนการควบค'มที่��ม�อย�!จัะสี่ามารถูแก�ไขป&ญ่หา
และรบม-อกบความเสี่��ยงได�
2. การรายงานผลการวเคราะห"ความู เสิ��ยง
(Risk reporting) เม-�อประเม"นความเสี่��ยงแล�วเสี่ร)จั จั�าเป นต่�องออก
รายงานการประเม"นเป นเอกสี่ารที่��ผ��อ-�นสี่ามารถูอ!านได�เอกสี่ารน��จัะเป นสี่าระสี่�าคญ่ในการสี่-�อสี่ารให�
บ'คลากรที่�งองค6กรได�รบร� � รายงานประกอบด�วยรายละเอ�ยดอย!างน�อยต่ามลกษณ์ะรายละเอ�ยด
ของความเสี่��ยง และการออกรายงานม� วต่ถู'ประสี่งค6ให�สี่!วนต่!างๆได�รบร� �ดงต่!อไปน��
ฝDายบร"หาร ฝDายหวหน�างาน ผ��ปฏิ"บต่"งาน
ฝDายบร"หารฝDายบร"หาร
-รบร� �นยสี่�าคญ่ของความเสี่��ยงที่��องค6กรเผช้"ญ่อย�! - เข�าใจัผลที่��กระที่บต่!อผ��ม�สี่!วนได�เสี่�ยต่!างๆในกรณ์�ที่��เก"ดม�เหต่' หร-อเหต่'การณ์6และเก"ดผลเสี่�ยต่!อภัารก"จัและผลประกอบการ - ด�าเน"นการเพ-�อสี่ร�างความต่ระหนกในป&ญ่หาความเสี่��ยงให�เก"ดการรบร� �ที่ �วที่�งองค6กร - เข�าใจัผลกระที่บที่��อาจัม�ต่!อความม�นใจัของผ��ที่��ได�รบผลกระที่บ - ให�แน!ใจัว!ากระบวนการบร"หารความเสี่��ยงก�าลงเป นไปอย!างได�ผล - ออกนโยบายบร"หารความเสี่��ยงที่��ม�เน-�อหาด�านปรช้ญ่าและความรบผ"ดช้อบของหน!วยงานและบ'คลากรต่!างๆในการบร"หารความเสี่��ยง
ฝDายหวหน�างานฝDายหวหน�างาน
- ต่ระหนกในความเสี่��ยงอนเก��ยวข�องกบภัาระหน�าที่��ของต่น ผลกระที่บที่��อาจัม�ต่!อหน!วยงานอ-�น หร-อก"จักรรมอ-�นในองค6กร - ม�ดช้น�ช้��วดสี่มรรถูนะของก"จักรรมในหน!วยงานเพ-�อด�ว!าระบบงานของต่นเองได�รบผลกกระที่บจัากความเสี่��ยงมากน�อยเพ�ยงใด - รายงานผลกระที่บจัากความเสี่��ยงในกรณ์�เก"ดหร-อจัะเก"ดเหต่'และเสี่นอแนะแนวที่างการแก�ไข - รายงานความเสี่��ยงใดๆที่��เก"ดใหม!หร-อความล�มเหลวใดๆ ในมาต่รการการควบค'มหร-อป:องกนอารกขาสี่ารสี่นเที่ศึที่��ม�อย�!
ผ��ปฏิ"บต่"งานผ��ปฏิ"บต่"งาน
-เข�าใจับที่บาที่ภัาระหน�าที่��และความรบผ"ดช้อบในความเสี่��ยงแต่!ละรายการ - เข�าใจับที่บาที่ในการด�าเน"นการพฒนาอย!างต่!อเน-�องด�านการบร"หารความเสี่��ยง - เข�าใจัการบร"หารความเสี่��ยงและความต่ระหนกต่!อความเสี่��ยงในการเป นวฒนธีรรมองค6กรที่��สี่�าคญ่อย!างหน/�ง
3. กระบวนการบรรเทาเสิ��ยง (Risk mitigation)
การบรรเที่าความเสี่��ยงเก��ยวข�องกบการจัดล�าดบ, การ ค�านวณ์ความเสี่��ยง และการลงม-อควบค'มการลดความ
เสี่��ยงอย!างเหมาะสี่มต่ามแนวที่างที่��มาจัากการประเม"นความ เสี่��ยง เน-�องจัากการที่��จัะก�าจัดความเสี่��ยงในระบบที่�งหมดน�น
เป นเร-�องที่��ที่�าได�ยาก ผ��บร"หารธี'รก"จัจัะต่�องเป นผ��รบผ"ดช้อบ การที่�างานน��ด�วยเง-�อนไขในการใช้�งบประมาณ์ที่��ต่��าที่��สี่'ด
(Least-cost) และใช้�ว"ธี�การควบค'มที่��เหมาะสี่มที่��สี่'ดเพ-�อลด ระดบความเสี่��ยงให�อย�!นะระดบที่��ยอมรบได� โดยสี่!งผลกระที่บ
ต่!อพนธีก"จัและที่รพยากรขององค6กรให�น�อยที่��สี่'ด ที่างเล-อกเพ-�อการบรรเที่าความเสี่��ยง สี่ามารถูแบ!งออกเป น
6 ประเภัที่ดงน�
3.1 การยอมรบความเสี่��ยง(Risk Assumption)
การยอมรบความเสี่��ยงในระดบที่��เป นอย�!และให� ระบบข�อม�ลสี่ารสี่นเที่ศึด�าเน"นงานไปต่ามปกต่" ซึ่/�ง
เป นการยอมรบในผลที่��อาจัต่ามมา เช้!น การพ"สี่�จัน6 ต่วจัร"งเพ�ยงใช้� ID และ Password ม�ความเสี่��ยง
เพราะอาจัม�การขโมยไปใช้�ได�การให�ม�ใช้�ช้�วมาต่ร(biometrics) เช้!น การต่รวจัลายน"�วม-อหร-อ
ม!านต่า อาจัม�ค!าใช้�จั!ายสี่�งไม!ค'�มค!า โรงพยาบาลอาจัยอมรบความเสี่��ยงของระบบป&จัจั'บนและ
ที่�างานต่!อไปโดยไม!ที่�าอะไร
3.2 การหล�กเล��ยงความเสี่��ยง(Risk Avoidance)
การหล�กเล��ยงความเสี่��ยงด�วยการก�าจัดสี่าเหต่'ของความ เสี่��ยง เช้!น เม-�อพบว!าป&จัจั'บนโรงพยาบาล ม�การสี่�ารอง
ข�อม�ลเพ�ยง 1 ช้'ดและจัดเป นความเสี่��ยงต่!อการสี่�ญ่เสี่�ย การเล��ยงความเสี่��ยงน��อาจัได�แก!การที่�าสี่�ารองข�อม�ล 2
ช้'ด และแยกเก)บในสี่ถูานที่��ต่!างกน การบร"หารจัดการการเช้-�อมโยงสี่�!เคร-อข!ายผ!านโมเด)มถู�าเป นการยากต่!อ
การควบค'มหร-อบร"หารจัดการ องค6กรอาจัเล-อกที่างออกโดยการยกเล"กไม!ให�ใช้�บร"การ
และแนะน�าให�พนกงานใช้�บร"การผ!านที่าง ISP ในช้!วงที่��ม� การระบาดของไวรสี่อย!างหนก องค6กรอาจัม�เล-อกระงบ
ไม!ให�ใช้�คอมพ"วเต่อร6ที่��ไม!ได�ต่"ดต่�ง Antivirus เป นต่�น
3.3 การจั�ากดความเสี่��ยง (Risk Limitation) ค-อการที่�าระบบควบค'มเพ-�อให�เก"ดผลกระที่บจัากการการถู�กค'กคามระบบหร-อจัากความไม!ม�นคงของ
ระบบให�น�อยที่��สี่'ด3.4 การวางแผนความเสี่��ยง (Risk planning) ค-อ
การจัดการความเสี่��ยงด�วยการพฒนาแผนบรรเที่า ความเสี่��ยงที่��จัดล�าดบความสี่�าคญ่ การใช้�และการ
ด�แลว"ธี�การควบค'ม
3.5 การว"จัยและการรบร� �ความเสี่��ยง (Research and Acknowledgement) ค-อการลดความสี่�ญ่เสี่�ยที่��เก"ดจัากความเสี่��ยงโดยการต่รวจัสี่อบเพ-�อรบที่ราบความอ!อนแอของระบบและค�นคว�าว"จัยให�ได�ว"ธี�การควบค'มเพ-�อเสี่ร"ม
ความม�นคงให�แก!ระบบ3.6 การถู!ายโอนความเสี่��ยง (Risk Transference) ค-อการ
ถู!ายโอนความเสี่��ยงด�วยการหาที่างเล-อกอ-�นเพ-�อช้ดเช้ย ความสี่�ญ่เสี่�ยเช้!น อ'ปกรณ์6เคร-อข!ายเม-�อซึ่-�อมาแล�วม�ระยะ
ประกนเพ�ยงหน/�งป@ เพ-�อเป นการรบม-อในกรณ์�ที่��อ'ปกรณ์6 เคร-อข!ายไม!ที่�างาน องค6กรอาจัเล-อกซึ่-�อประกน หร-อสี่ญ่ญ่า
การบ�าร'งรกษาหลงขาย (Maintenance service) เป นต่�น
4. การควบค&มูความูเสิ��ยง (Risk control)
เม-�อต่�องม�การควบค'มเก"ดข/�นสี่"�งที่��ต่�องปฏิ"บต่"ค-อ ระบ'ความเสี่��ยงที่��เก"ดข/�นให�มากที่��สี่'ด แล�วพยายาม
หาว"ธี�ลดความเสี่��ยงด�วยว"ธี�ที่��ม�ต่�นที่'นต่��าและสี่!ง ผลกระที่บต่!อพนธีก"จัอ-�นๆขององค6กรให�น�อยที่��สี่'ด
กระบวนการในการบรรเที่าความเสี่��ยงสี่ร'ปได�ดงน
1. จัดล�าดบความสี่�าคญ่ของการปฏิ"บต่"งาน(Prioritize Actions) จัากผลการจัดล�าดบความ
เสี่��ยงในกระบวนการประเม"นความเสี่��ยง น�าไปสี่�!การ จัดล�าดบการลงม-อปฏิ"บต่"งานด�วย ภัายใต่�
ที่รพยากรที่��ม�อย�! ล�าดบแรกสี่'ดควรจัะเล-อกลงม-อ กบความเสี่��ยงที่��ม�ระดบความเสี่��ยงสี่�ง ซึ่/�งต่�องการ
การแก�ไขในที่นที่�เพ-�อปกป:องพนธีก"จัขององค6กร ผลลพธี6ที่��ได�ค-อล�าดบการลงม-อจัดการความเสี่��ยง
2. ประเม"นที่างเล-อกในการควบค'ม (Evaluate recommended Control Options) ว"ธี�การควบค'มที่��ถู�กเสี่นอในกระบวนการประเม"นความเสี่��ยงอาจัไม!ใช้!ว"ธี�ที่��เหมาะสี่มที่��สี่'ดหร-อเป นที่างเล-อกที่��เป นไป
ได�ที่��สี่'ดสี่�าหรบแต่!ละองค6กร ข�นต่อนน��จั/งเป นการเล-อกว"ธี�การที่��ม�ความเป นไปได�มากที่��สี่'ดที่��จัะสี่ามารถูบรรเที่า
ความเสี่��ยงได� ผลลพธี6ที่��ได�ค-อรายช้-�อของว"ธี�การควบค'ม3. ว"เคราะห6ผลประโยช้น6ที่��ได�รบ
(Conduct Cost-Benefit Analysis) การว"เคราะห6ผลประโยช้น6น��จัะช้!วยให�ระดบบร"หารสี่ามารถูต่ดสี่"นใจัและ
เล-อกการควบค'มที่��ม�ประสี่"ที่ธี"ภัาพ
4. เล-อกว"ธี�การควบค'ม (Select Control) จัากพ-�นฐาน ผลลพธี6ที่��ได�จัากการว"เคราะห6ผลประโยช้น6 ผ��บร"หารสี่ามารถู
ต่รวจัสี่อบว"ธี�ควบค'มที่�งหมดและเล-อกว"ธี�ที่��ครอบ คล'มที่�งการควบค'มเช้"งเที่คน"ค, เช้"งปฏิ"บต่"การ และเช้"งบร"หารเพ-�อให�ม�นใจัความเพ�ยงพอต่!อความต่�องการความปลอดภัยของ
ระบบและองค6กร5. มอบหมายความรบผ"ดช้อบ (Assign Responsibility)
ค-อการเล-อกบ'คคลที่��เหมาะสี่มซึ่/�งม�ความเช้��ยวช้าญ่และม� ที่กษะในการลงม-อควบค'ม พร�อมมอบหมายหน�าที่��ร บผ"ดช้อบ
6. พฒนาแผนการปฏิ"บต่"งานเพ-�อการป:องกน (Develop a Safeguard Implementation Plan)
ประเภัที่ของการควบค'ม (Control Category)
1. การควบค'มความปลอดภัยเช้"งเที่คน"ค(Technical Security Controls) การควบค'มน��เพ-�อ
ให�ป:องกนภัยค'กคามที่��อาจัเก"ดข/�น ซึ่/�งการควบค'ม สี่ามารถูจัดช้!วงได�ต่�งแต่!ที่��ม�ว"ธี�การอย!างง!ายๆ ไป
จันถู/งว"ธี�ที่��ม�ความสี่ลบซึ่บซึ่�อน และโดยปกต่"การ ควบค'มน��จัะเก��ยวข�อง โครงสี่ร�างสี่ถูาป&ต่ยกรรม
ของระบบ , ว"นยในการที่�าว"ศึวกรรม และการรกษา ความปลอดภัยในโดยรวมของอ'ปกรณ์6ฮาร6ดแวร6
ซึ่อฟแวร6 และเฟ4ร6มแวร6 เช้!น
1.1 การควบค'มแบบสี่นบสี่น'น (Support) เป นการควบค'มแบบที่�วไปสี่�าหรบการรกษาความ
ปลอดภัยของระบบเที่คโนโลย�สี่ารสี่นเที่ศึ ได�แก! การบ!งช้�� (Identification) การจัดการโดยใช้�ก'ญ่แจัเข�ารหสี่ลบ (Cryptographic
Key) การบร"หารความปลอดภัย (security
Administration) การปกป:องระบบ (System Protections)
1.2 การควบค'มแบบป:องกน (Prevent) เป นการควบค'มที่��ป:องกนช้!องโหว!ซึ่/�งเก"ดจัากจั'ดที่��เคยเก"ดความไม!ปลอดภัย
ข/�นคร�งแรก สี่�าหรบการควบค'มในที่างเที่คน"คได�แก! การต่รวจัสี่อบช้-�อผ��ใช้�งานและรหสี่ผ!าน (Authentication) การต่รวจัสี่อบสี่"ที่ธี"การอน'ญ่าต่ใช้�งาน (Authorization) การบงคบใช้�การควบค'มการเข�าถู/งข�อม�ล (Access Control
Enforcement) การไม!ปฏิ"เสี่ธีการที่�างาน (repudiation) การสี่-�อสี่ารที่��ได�รบการปกป:อง (Protected communication) โดยการใช้�
ว"ธี�เข�ารหสี่ข�อม�ลและใช้�เที่คโนโลย�การเข�ารหสี่ลบ การรกษาความเป นสี่!วนต่วเก��ยวกบรายการข�อม�ลที่��ม�การเปล��ยนแปลง (Transaction Privacy)
1.3 การควบค'มแบบต่รวจัจับและก��ค-น(Detect and Recover) เป นการควบค'มเพ-�อต่รวจั
จับช้!องโหว!ในระบบพร�อมที่�งก��ข�อม�ลกลบค-น ว"ธี�การ ควบค'มได�แก!
การต่รวจัสี่อบระบบ (Audit) การต่รวจัจับการบ'กร'กระบบ (Intrusion Detection) การพ"สี่�จัน6ระบบรวม (Proof of wholeness) เพ-�อว"เคราะห6ความ
ถู�กต่�องแม!นย�าของระบบ การฟF� นฟ�ระบบให�กลบสี่�!สี่ถูานะที่��ปลอดภัย (Restore Secure
State) การต่รวจัจับและก�าจัดไวรสี่ (Virus detection and eradication)
2. การควบค'มความปลอดภัยเช้"งการจัดการ(Management Security Controls) เป นการปฏิ"บต่"งานเพ-�อจัดการและลดความสี่�ญ่เสี่�ยซึ่/�ง
เก"ดจัากความเสี่��ยง การควบค'มเช้"งการจัดการม'!งเน�นที่��ข�อก�าหนดต่ามนโยบายการปกป:องข�อม�ลและ
มาต่รฐานขององค6กร ซึ่/�งน�าไปสี่�!กระบวนการปฏิ"บต่"ที่�� ต่อบสี่นองต่!อเป:าหมายและพนธีก"จัขององค6กร
3. การควบค'มความปลอดภัยเช้"งปฏิ"บต่"การ(Operational Security Controls) มาต่รฐานการรกษาความปลอดภัยขององค6กรควรม�การก�าหนดกล'!มของการควบค'มและแนะแนวเพ-�อให�กระบวนการรกษาความปลอดภัยถู�กน�าไปใช้�อย!าง
เหมาะสี่ม ว"ธี�การควบค'มในที่างปฏิ"บต่"น �นเก��ยวข�องกบการแก�ไขข�อบกพร!องของการที่�างาน
ที่��ม�ภัยค'กคามเก"ดข/�น สี่ามารถูแบ!งกล'!มได� 2 กล'!มดงน��
3.1 การควบค'มความปลอดภัยเช้"งปฏิ"บต่"การ แบบป:องกน
(Preventive Operational Controls) ต่วอย!าง เช้!น
3.1.1 ควบค'มการเข�าถู/งและการจัดกล'!มการเข�าถู/ง3.1.2 การกระจัายข�อม�ลภัายนอกในขอบเขต่จั�ากด3.1.3 ควบค'มไวรสี่ซึ่อฟแวร63.1.4 การควบค'มสี่"นที่รพย6ที่างด�านข�อม�ลสี่ารสี่นเที่ศึ
เพ-�อป:องกนความเสี่�ย หายจัากไฟ
3.2 การควบค'มความปลอดภัยเช้"งปฏิ"บต่"การ แบบป:องกน
(Preventive Operational Controls) ต่วอย!าง เช้!น
3.2.1 การใช้�ว"ธี�การรกษาความปลอดภัยเช้"งกายภัาพ เช้!น การใช้�โที่รที่ศึน6วงจัรป4ด, การต่"ดต่�งเซึ่)นเซึ่อร6
เป นต่�น3.2.2 ด�แลระบบรกษาความปลอดภัยในสี่ภัาพแวดล�อม
เช้!น การใช้�ต่วต่รวจัจับ เป นต่�น
5. การรายงานความูเสิ��ยงต้กค�าง (Residual risk reporting)
เม-�อม�การบรรเที่าความเสี่��ยงแล�ว จั�าเป นต่�องม�การ รายงานและที่บที่วนอย�!เสี่มอเพ-�อด�ว!าม�การประเม"น และ
การประเม"นค!าความเสี่��ยงอย�!ต่ลอดเวลา และด�ว!า มาต่รการควบค'มต่!างๆที่��ออกมาใช้�ได�ผลหร-อไม!เพ�ยงไร
ว"ธี�การมาต่รฐานที่��ใช้�กนโดยที่�วไป ค-อการม�หน!วยงาน ภัายในหร-อภัายนอกที่�าการต่รวจัสี่อบโดยกระบวนการ IT
auditing ที่��เหมาะสี่ม เน-�องจัากสี่"�งแวดล�อมและกฎ ระเบ�ยบม�พลวต่รและการเปล��ยนแปลงเก"ดข/�นต่ลอดเวลา
จั/งจั�าเป นต่�องม�การบร"หารความเสี่��ยงและการต่รวจัสี่อบ เป นประจั�า
6. การเฝ้9าสิ�งเกต้ (Monitoring) กระบวนการเฝ:าสี่งเกต่เป นหลกประกนว!า องค6กร
ม�มาต่รการต่!างๆ ที่��จั�าเป นและเหมาะสี่มสี่�าหรบ การบร"หารความเสี่��ยงต่!างๆ และมาต่รการเหล!าน�น
ม�ผ��ปฏิ"บต่"ต่ามและบงเก"ดผลจัร"ง
ค�าถูามที่�ายบที่
อธี"บายความหมายของความเสี่��ยงในม'มมองที่��เก��ยวกบการรกษาความปลอดภัยข�อม�ลในระบบสี่ารสี่นสี่นเที่ศึ
การบร"หารความเสี่��ยงประกอบไปด�วยข�นต่อนอะไรบ�าง
อธี"บายความสี่นพนธี6ระหว!าง ความเสี่��ยง ช้!องโหว! และภัยค'กคาม พร�อมยกต่วอย!างประกอบ
Company
LOGO
End of Chapter
Thank You