Company

LOGO

Chapter 3ความปลอดภัยของข�อม�ลและการ

จัดการความเสี่��ยงInformation Security

andRisk Management

เมษายน 20 256

6

2

ความปลอดภัยของระบบฐานข�อม�ล (Database Security)

ระบบฐานข�อม�ลน�นม�ความจั�าเป นอย!างย"�งต่!อ ความปลอดภัยของข�อม�ล เพราะข�อม�ลในระบบ

ข�อม�ลข!ายสี่ารในป&จัจั'บนน�นจัะถู�กเก)บไว�ในฐาน ข�อม�ลเป นสี่!วนใหญ่! บางคร�งเพ-�อความสี่ะดวก

รวดเร)วในการใช้�งานฐานข�อม�ลน�น อาจัจั�าเป นต่�อง ให�ม�บ'คคลหลายคนสี่ามารถูเข�าถู/งข�อม�ลพร�อมๆ

กนจัากหลายๆ สี่ถูานที่�� หร-อบางคร�งก)อาจัจั�าเป น ต่�องใช้�เที่คโนโลย� Internet เป นต่วเช้-�อมต่!อและ

กระจัายข�อม�ลออกไปในวงกว�าง

เมษายน 20 256

6

3

การโจัมต่�ระบบฐานข�อม�ล (Database Attack)

การโจัมต่�ระบบฐานข�อม�ลซึ่/�งที่�าให�ข�อม�ลที่��เป น ความลบน�น ถู�กเป4ดเผยต่!อบ'คคลที่��ไม!ได�รบ

อน'ญ่าต่การโจัมต่�ระบบฐานข�อม�ลโดยที่�าให�ข�อม�ลที่��ถู�กเก)บ

ไว�ในระบบฐานข�อม�ลน�นถู�กเปล��ยนแปลงไปในที่างที่��เสี่�ยหาย

การโจัมต่�ระบบฐานข�อม�ลโดยที่�าให�ข�อม�ลที่��ถู�กเก)บไว�ในระบบฐานข�อม�ลน�นไม!สี่ามารถูใช้�งานได�จัากบ'คคลที่��ได�รบอน'ญ่าต่อย!างถู�กต่�อง

เมษายน 20 256

6

4

เมษายน 20 256

6

6

ป&ญ่หาการร�วไหลของข�อม�ลจัากการว"เคราะห6 ข�อม�ล

(Inference Problem)

โดยที่�วไปแล�ว การรกษาความปลอดภัยของข�อม�ล น�น สี่ามารถูที่��จัะที่�าได�โดยระบ'การเข�าถู/งข�อม�ลว!า

สี่ามารถูที่��จัะเข�าถู/งได�โดยบ'คคลที่�วไป (Public) หร-อสี่ามารถูที่��จัะเข�าถู/งได�เฉพาะบ'คคลเที่!าน�น

(Personnel/Private) ข�อม�ลเฉพาะบ'คคลที่��เป นความลบ จัะไม!สี่ามารถูที่��

จัะเข�าถู/งได�โดยบ'คคลที่�วไป แต่!ข�อม�ลน��สี่ามารถูที่��จัะร�วไหลได�โดยการว"เคราะห6ข�อม�ลจัากข�อม�ลที่��เป น

แบบ Public ได� เช้!น ฐานข�อม�ลในแผนกที่รพยากรมน'ษย6

เมษายน 20 256

6

7

ป&ญ่หาการร�วไหลความลบของข�อม�ลจัากการรวบรวมข�อม�ลต่!างๆ ที่��ไม!เป น ความลบเข�าด�วยกน (Database Aggregation Problem)

ป&ญ่หาน��เก"ดข/�นเม-�อม�การรวบรวมข�อม�ลต่!างๆ ที่��ไม!เป นความลบเข�าไว�ด�วยกนและสี่ามารถูเก"ดการปะต่"ดปะต่!อกนเข�าจันที่�าให�ความลบเก"ดการร�วไหลได�

ว"ธี�การแก�ไขที่��อาจัน�ามาใช้�ได�ก)ค-อ การปรบเปล��ยน ระดบการจั�าแนกข�อม�ลของม�ลที่��ไม!เป นความลบ

โดยที่��เม-�อข�อม�ลเหล!าน�� เม-�อม�การน�ามารวมกนเม-�อใดก)ให�ปรบเปล��ยนระดบไปเป นช้�นของข�อม�ลความลบซึ่/�งบ'คคลที่��ไม!ได�รบอน'ญ่าต่ไม!สี่ามารถูเข�าถู/งได�

เมษายน 20 256

6

8

ระบบฐานข�อม�ลที่��เป นอย�!บนระบบปฏิ"บต่"การที่��ปลอดภัย(Database Applications on Secure Operating system)

ว"ธี�การที่��ด�ว"ธี�หน/�งที่��มาใช้�ในการรกษาความ ปลอดภัยของระบบฐานข�อม�ลก)ค-อ การใช้�

โปรแกรมฐานข�อม�ลบนระบบปฏิ"บต่"การที่��ม�ความ ปลอดภัยสี่�ง (Trusted Computing Base) ซึ่/�ง

ว"ธี�การน��สี่ามารถูให�ความปลอดภัยต่!อข�อม�ลได� เพราะระบบปฏิ"บต่"จัะเป นต่วที่�างานต่!างๆ ที่��เก��ยว

กบการเก)บรกษาข�อม�ลเก-อบที่�งหมด ข�อม�ลจัะได�รบการปกป:องจัากระบบปฏิ"บต่"การที่��ได�รบการ

พ"สี่�จัน6แล�วว!าม�ความปลอดภัยสี่�ง

เมษายน 20 256

6

10

การรกษาความปลอดภัยของระบบฐาน ข�อม�ลโดยการใช้�ว"ธี� Integrity Lock

การรกษาความปลอดภัยแบบน��สี่ามารถูที่�าได�โดย การใช้� Trusted Front End (TFE) เพ-�อใช้�ในการ

รกษาความปลอดภัยให�แก!ระบบฐานข�อม�ล โดยที่�� ต่ว TFE น��จัะเป นต่วกลางเช้-�อมต่!อระหว!างต่วฐาน

ข�อม�ลและโปรแกรมอ-�นๆ ที่��จัะเข�ามาใช้�ฐานข�อม�ลซึ่/�งอาจัเป นโปรแกรมที่��อาจัไม!ม�ความน!าเช้-�อถู-อที่างด�านระบบการรกษาความปลอดภัยก)เป นได�

การก�าหนดสิทธิการเข้�าถึ�งข้�อมู�ล การก�าหนดสี่"ที่ธี"การเข�าถู/งข�อม�ลเป นค�าสี่งที่�ใช้�ก�าหนดสี่"ที่ธี"ให�กบผ��ใช้�

แต่!ละคนม�สี่"ที่ธี"กระที่�าการใดกบ ข�อม�ลในต่ารางใดได�บ�างหร-อการก�าหนดให�ม�สี่"ที่ธี"ด�ข�อม�ลได�เพ�ยงอย!าง

เด�ยว (1) การก�าหนดสี่"ที่ธี"ในการเข�าถู/งข�อม�ล ได�แก! การเร�ยกค�นข�อม�ลด�วยค�าสี่ง (SELECT) การเพ"ม

ข�อม�ลด�วยค�าสี่ง(INSERT) การ ลบข�อม�ลม�ลด�วยค�าสี่ง (DELETE) หร-อการปรบปร'ง ม�ลด�วยค�าสี่ง (UPDATE)

ร�ปแบบ GRANT <SELECT,INSERT,UPDATE,DELETE> ON < ช้-อ ต่าราง> TO < ช้-อ ผ��ใช้�>; (2) การให�สี่"ที่ธี"ในการเข�าถู/งข�อม�ลที่�งหมด

ใช้� ALL PRIVILEGES ( หร-อ ALL เที่!านน ) ในค�าสี่ง GRANT

ร�ปแบบ GRANT ALL ON < ช้-อ ต่าราง> TO < ช้-อ ผ��ใช้�>; (3) การให�สี่"ที่ธี"ในการเร�ยกด�ข�อม�ลแก!ผ��ใช้�ที่'กคน

ใช้� PUBLIC กบค�าสี่ง SELECT ควบค�!ไปกบค�าสี่ง GRANT

ร�ปแบบ GRANT SELECT ON < ช้-อ ต่าราง> TO PUBLIC;

เมษายน 20 256

6

12

สี่"�งที่��ต่�องค�าน/งถู/งในการน�าระบบDatabase มาใช้�งานในการรกษา

ความปลอดภัยของข�อม�ล ต่�องที่�าการต่"ดต่�งซึ่อฟที่6แวร6เพ"�มเต่"มของบร"ษที่ผ��ผล"ต่เสี่มอเพ-�อเป นการอ'ดร�ร �วที่างด�านความ

ปลอดภัยต่!างๆ ที่��อาจัเก"ดข/�นมาได�ต่�องศึ/กษาและปฏิ"บต่"ต่ามค�าแนะน�าที่��มากบค�!ม-อที่��

ใช้�นากรรกษาความลบของระบบฐานข�อม�ลโดยอย!างเคร!งครด

ควรใช้�ระบบฐานข�อม�ลที่��ได�รบการรบรองโดย มาต่รฐานของที่างที่หาร (US) เพราะเป น

มาต่รฐานที่��ให�ความปลอดภัยที่��สี่�งมาก

เมษายน 20 256

6

13

การรบรองความปลอดภัยของ ระบบฐานข�อม�ลโดยใช้�มาต่รฐาน

TCSEC เป นมาต่รฐานที่��น�ามาใช้�ในการบอกระดบปลอดภัย

ของระบบฐานข�อม�ล ซึ่/�งม�อย�!หลายระดบแล�วแต่! การใช้�งาน ระดบความปลอดภัยที่��เพ�ยงพอสี่�าหรบ

การน�ามาใช้�ในเช้"งธี'รก"จัน�นมกใช้�ระดบ C2 ซึ่/�งโดย มากก)มกเพ�ยงพอแก!ความต่�องการโดยที่�วไป แต่!

หากต่�องการความปลอดภัยที่��สี่�งข/�นก)อาจัใช้�ระบบB1 ได�ซึ่/�งเป นระดบความปลอดภัยที่��สี่�งกว!ามาก

เมษายน 20 256

6

14

ค!าระดบมาต่รฐานที่��ใช้�ในการรกษาความปลอดภัยของระบบฐานข�อม�ลที่��ม�อย�!ต่าม

ที่�องต่ลาดโดยที่�วไป Database Level Certificate

Date Notes

Informix B1 15/11/94

Trusted oracle 7

B1 05/04/94

Secure SQL Server, V11.0

B1 18/05/95 Sybase

SQL Server, V11.0.6

C2 13/10/95 Sybase

Informix Online/Secure 5.0

C2 13/10/94

Oracle 7 C2 05/04/94

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย

ซึ่าลาม"เที่คน"ค (Salami Technique) เป นว"ธี� ยกยอกเง"น สี่"นค�า หร-อบร"การจัากหลายแหล!งที่�ละ เล)กที่�ละน�อย โดยเม-�อเวลาผ!านไปนาน ๆ เง"น

จั�านวนน�นก)จัะเพ"�มจั�านวนสี่�ง

ต่วอย!างเช้!นผ��ที่'จัร"ต่อาจัใช้�ว"ธี�การซึ่!อนค�าสี่�งเพ-�อ ลดยอดดอกเบ��ยเง"นฝากในบญ่ช้�ต่!าง ๆ ในจั�านวน

ที่��อย�!ในที่ศึน"ยมหลกที่��สี่ามเป นต่�นไปเพ-�อมาสี่ะสี่ม ในบญ่ช้�ของผ��ที่'จัร"ต่ซึ่/�งจัะเพ"�มข/�นเร-�อย ๆ จันเป น

เง"นจั�านวนมากในที่��สี่'ด

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)

ซึ่'ปเปอร6แซึ่พพ"�ง (Superzapping) เป นการที่'จัร"ต่ที่��เร�ยกช้-�อต่ามโปรแกรมย�ที่"ล"ต่��ที่��ม�อย�!ใน

ระบบโปรแกรมของบร"ษที่ไอบ�เอ)ม ซึ่/�งโปรแกรมดงกล!าวสี่ามารถูใช้�ปรบปร'งหร-อเร�ยกด�เน-�อหาที่'กสี่!วน

ในระบบ และสี่ามารถูปรบปร'งรายการบางอย!างได�โดยไม!สี่ร�างหลกฐานให�ต่รวจัสี่อบ

ต่วอย!างเช้!น การใช้�โปรแกรมเพ-�อถูอนเง"นไปเข�าบญ่ช้�ของเพ-�อนร!วมธี'รก"จัโดยไม!ก!อให�เก"ดหลกฐานในการต่รวจัสี่อบในบญ่ช้�แยกประเภัที่

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)

แที่ร)พดอร6 (Trap Doors) เป นรหสี่โปรแกรมที่��ช้!วยให�นกพฒนาโปรแกรมสี่ามารถูเข�าไปแก�ไขข�อ

ผ"ดพลาดได�ในภัายหลง ซึ่/�งโดยปกต่"ในการต่รวจัสี่อบข�นสี่'ดที่�ายรหสี่ดงกล!าวจัะต่�องถู�กน�าออกจัาก

โปรแกรม แต่!บางคร�งอาจัละเลยโดยไม!ต่�งใจั หร-อโดยต่�งใจัให�คงม�อย�!เพ-�อสี่ะดวกในการแก�ไขภัายหลง

ต่วอย!างเช้!น โปรแกรมแอบลกลอบการใช้�เวลาหร-อการใช้�โปรแกรมลบเฉพาะสี่�าหรบผ��บร"หาร

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)

ลอจั"กบอมบ6 (Logic Bombs) ค-อ โปรแกรมที่��ลงม-อกระที่�าการบางอย!างในระบบคอมพ"วเต่อร6ในช้!วงเวลาและภัายใต่�เง-�อนไขหร-อสี่ภัาวการณ์6ที่��เอ-�อ

อ�านวยประโยช้น6แก!ผ��ที่'จัร"ต่ได�

ต่วอย!างเช้!น การซึ่!อนค�าสี่�งให�ต่รวจัสี่อบป@ วนที่�� และเวลา ในระบบคอมพ"วเต่อร6เม-�อเวลาต่รงกบที่��ผ��

ซึ่!อนค�าสี่�งก�าหนดไว� ลอจั"กบอมบ6จัะสี่�งให�อ'ปกรณ์6คอมพ"วเต่อร6ที่�างานต่ามต่�องการ

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)

อะซึ่"งโครนสี่แอต่แที่ก (Asynchronous Attacks) เป นโปรแกรมประเภัที่หน/�งที่��จัะเร"�มที่�างานเม-�อได�รบสี่ญ่ญ่าณ์บอกผลการปฏิ"บต่"การก!อนหน�าน��

ต่วอย!างเช้!น ในขณ์ะใดขณ์ะหน/�ง ม�ค�าสี่�งให�ระบบคอมพ"วเต่อร6จัดที่�ารายงานข�อม�ลผลลพธี6จัากงาน

หลายงานพร�อมกน ภัายหลงการออกรายงานที่��ก�าหนดรายงานหน/�งเสี่ร)จัสี่"�น

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)

ซึ่�เว"จัจั"�ง (Seaverging) หมายถู/ง การได�รบ ข�อม�ลที่��ผ!านการประมวลผลแล�ว ซึ่/�งอาจัปรากฏิใน

ร�ปแบบที่��ด�ได�ด�วยต่าเปล!า หร-อคงค�างอย�!ในระบบ คอมพ"วเต่อร6ภัายหลงจัากประมวลผลงานหน/�ง ๆ

เสี่ร)จัเร�ยบร�อยแล�ว

ต่วอย!างเช้!น การได�รบข�อม�ลคงค�างอย�!ในระบบคอมพ"วเต่อร6ที่��เก"ดจัากการลบค!าในบฟเฟอร6ไม!

หมด เช้!น ข�อม�ลเง"นเด-อน

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย(ต่!อ)

ดาต่�าล�กเกจั (Data Leakage) เป นการน�าข�อม�ล ออกจัากระบบคอมพ"วเต่อร6 โดยอาศึยว"ธี�การต่!าง ๆ ผ��

ที่'จัร"ต่อาจัซึ่!อนเที่คน"คไว�ในระบบคอมพ"วเต่อร6 แต่!ในข�นต่อนการน�าข�อม�ลออกจัะต่�องสี่ามารถูหลบหล�กการ

สี่งสี่ยจัากพนกงานปฏิ"บต่"การคอมพ"วเต่อร6 หร-อ พนกงานอ-�น ๆ ได�

ต่วอย!างเช้!น เคร-�องคอมพ"วเต่อร6ถู�กต่"ดต่�งเคร-�องสี่!ง ว"ที่ย'ขนาดเล)กมากลงไป โดยเคร-�องสี่!งดงกล!าวสี่ามารถู

เป4ดเผยข�อม�ลที่��ม�อย�!ในระบบไปยงเคร-�องที่��อย�!ห!างออกไปได�

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)

พ"กก��แบAกก"�ง (Piggybacking) ค-อการบ'กร'ก โดยอาศึยเคร-�องม-อที่างอ"เล)กที่รอน"กสี่6

ต่วอย!างเช้!น การแอบพ!วงสี่ายโที่รศึพที่6ค�!สี่าย เด�ยวกนไว� เม-�อเคร-�องที่��ใช้�งานจัร"งเป4ดเข�าไปใน

ระบบ ซึ่/�งอาจัม�การใสี่!รหสี่ลบ ภัายในจังหวะที่��ผ��ใช้� จัร"งเข�าระบบแล�วและอาจัไม!อย�!ที่��เคร-�องในบางขณ์ะ

จั/งสี่ามารถูที่�าการที่'จัร"ต่ได�

ร�ปแบบการที่'จัร"ต่ในระบบเคร-อข!าย (ต่!อ)

ไวร6แที่)พพ"�ง (Wiretapping) หมายถู/ง การที่'จัร"ต่โดยการลกลอบแก�ไขข�อม�ลผ!านวงจัรสี่-�อสี่าร

ร�ปแบบต่!าง ๆ ระหว!างการรบสี่!งข�อม�ล

การที่'จัร"ต่แบบน��ไม!เป นที่��น"ยมเน-�องจัากที่�ายากเน-�องจัากต่�องใช้�อ'ปกรณ์6เพ-�อใช้�ในการบนที่/กและ

พ"มพ6ข�อม�ล นอกจัากน��ยงม�ว"ธี�อ-�นที่��สี่ามารถูที่�าการที่'จัร"ต่ได�ง!ายกว!า

แนวที่างในการควบค'มระบบสี่ารสี่นเที่ศึบนเคร-อข!าย

อ"นเต่อร6เน)ต่ ไฟร6วอลล6 (Firewall) ที่�าหน�าที่��ควบค'มและต่รวจัสี่อบ

ข�อม�ลที่��จัะผ!านเข�าสี่�!เคร-อข!ายภัายในและข�อม�ลที่��จัะสี่!ง ออกไปสี่�!เคร-อข!ายภัายนอก โดยม�การก�าหนดกฎต่!าง ๆ

ข/�นเพ-�อด�แลให�ข�อม�ที่��จัะผ!านเข�าออกระหว!างเคร-อข!าย เที่คโนโลย�เก��ยวกบรหสี่ (Cryptology) ประกอบไป

ด�วย การเข�ารหสี่ (Encryption) เป นการที่�าให�ข�อม�ลที่��จัะสี่!ง

ผ!านไปที่างเคร-อข!ายอย�!ในร�ปแบบที่��ไม!สี่ามารถูอ!านออกได�และที่�าให�ข�อม�ลน�นเป นความลบ

การถูอดรหสี่ (Decryption) เป นการแปลงข�อม�ลที่��เข�ารหสี่ให�กลบมาสี่ามารถูอ!านออกได�

ต่วอย!างการเข�ารหสี่และการถูอดรหสี่ข�อม�ล

การใช้�ลายม-อช้-�อด"จั"ต่อลในการการควบค'มและต่รวจั สี่อบ (Digital Signature) โดยม�กระบวนการคร!าว

ๆ ดงต่!อไปน�� น�าข�อม�ลอ"เล)กที่รอน"กสี่6มาเข�ารหสี่ โดยใช้�ก'ญ่แจัสี่!วนต่ว

(Private Key) ของผ��สี่!ง ซึ่/�งเปร�ยบเสี่ม-อนการลงลายม-อ ช้-�อของผ��สี่!งเพราะผ��สี่!งเที่!าน�นที่��ม�ก'ญ่แจัสี่!วนของผ��สี่!งเอง

และจัะได�ข�อม�ลที่��เข�ารหสี่แล�ว เร�ยกว!าลายม-อช้-�อด"จั"ต่อล ที่�าการสี่!งลายม-อช้-�อด"จั"ต่อลพร�อมข�อม�ลต่�นฉบบไปยงผ��รบ

แล�วน�าลายม-อช้-�อด"จั"ต่อลมาที่�าการถูอดรหสี่ด�วยก'ญ่แจัสี่าธีารณ์ะ (Public Key) ของผ��สี่!ง

แนวที่างการใช้�อ"นเต่อร6เน)ต่ในงานต่รวจัสี่อบ

ผ��ต่รวจัสี่อบใช้�อ"นเต่อร6เน)ต่เพ-�อประโยช้น6ของการต่รวจัสี่อบ ใน 2 ลกษณ์ะค-อ

– การเข�าถู/งข�อม�ล ผ��ต่รวจัสี่อบสี่ามารถูเข�าสี่�!ระบบ สี่ารสี่นเที่ศึขององค6กรเพ-�อเข�าถู/งข�อม�ลต่!าง ๆ ที่��ต่�องการ

โดยผ!านที่างเคร-อข!ายอ"นเต่อร6เน)ต่ และสี่ามารถูใช้�ข�อม�ลเหล!าน�นประกอบการต่รวจัสี่อบ

– การต่รวจัสี่อบแบบต่!อเน-�อง ผ��ต่รวจัสี่อบสี่ามารถูก�าหนดให�ม�การแจั�งเต่-อนโดยอต่โนมต่"เม-�อม�การที่�ารายการที่��ผ"ดปกต่"หร-อม�เหต่'การณ์6ผ"ดปกต่"ข/�นในระบบ

สี่ารสี่นเที่ศึ สี่ามารถูด�าเน"นการต่รวจัสี่อบระบบสี่ารสี่นเที่ศึได�อย!างต่!อเน-�องโดยไม!ต่�องที่�าเร-�องขอเข�าต่รวจัสี่อบที่'ก

คร�งและสี่ามารถูแก�ป&ญ่หาต่!าง ๆ ได�ที่นที่!วงที่�

แนวที่างการใช้�อ"นเต่อร6เน)ต่ในงานต่รวจัสี่อบ

ระบบอ"นเต่อร6เน)ต่ที่�าให�เก"ดว"ธี�การต่รวจัสี่อบใหม! ๆ ดงน��คอมพ"วเต่อร6สี่ามารถูถู�กต่รวจัสี่อบได�โดยไม!ต่�องอย�!บน

ระบบออนไลน6เด�ยวกนล)อกไฟล6สี่ามารถูเข�าถู/งจัากที่างไกลโดยผ!านอ"นเต่อร6เน)ต่ เอกสี่ารในร�ปแบบอ"เล)กที่รอน"กสี่6 (Soft File) สี่ามารถู

ถู�กต่รวจัสี่อบจัากผ��ต่รวจัสี่อบจัากสี่ถูานที่��ใดก)ได�สี่ามารถูต่รวจัสี่อบคอมพ"วเต่อร6แม!ข!ายโดยผ!าน

อ"นเต่อร6เน)ต่ได�ช้!วยให�ผ��ต่รวจัสี่อบสี่ามารถูต่รวจัสี่อบได�อย!างต่!อเน-�อง

แที่นที่��จัะเป นการขอเข�าไปต่รวจัสี่อบเป นคร�งคราว

การต่รวจัสี่อบระบบความปลอดภัยพ-�นฐานบนระบบเคร-อข!าย

การต่รวจัสี่อบแฟ:มร!องรอยการต่รวจัสี่อบ (Audit Trail) เป นแฟ:มคอมพ"วเต่อร6ที่��บนที่/กล�าดบของเหต่'การณ์6ที่��เก"ดข/�น

ในระบบแบบอต่โนมต่" เพ-�อบนที่/กการกระที่�าใด ๆ ที่��เก"ดข/�นกบ ระบบโดยเร�ยงต่ามล�าดบเวลาที่��เก"ดข/�นต่�งแต่!เร"�มต่�นจันจับ

และบนที่/กเวลาต่�งแต่!การล)อกอ"นเข�าสี่�!ระบบจันกระที่�งล)อกเอาที่6ออกจัากระบบ

แฟ:มร!องรอยการต่รวจัสี่อบ แบ!งออกเป น 2 ประเภัที่ค-อ

แฟ:มร!องรอยการต่รวจัสี่อบด�านการบญ่ช้� (Accounting Audit Trail)

แฟ:มร!องรอยการต่รวจัสี่อบด�านการปฏิ"บต่"งาน (Operation Audit Trail)

การต่รวจัสี่อบระบบความปลอดภัยพ-�นฐานบนระบบเคร-อข!าย

การควบค'มความม�อย�! (Existence Controls) – เป นการ ควบค'มให�ม�การสี่�ารองและก��ค-นระบบเคร-อข!าย โดยม�ว"ธี�การ

ต่!าง ๆ ได�แก! จัดเต่ร�ยมสี่ถูานที่��และจัดเก)บอ'ปกรณ์6และช้"�นสี่!วนที่��จัะต่�องใช้�ใน

ระบบเคร-อข!ายสี่�ารองไว�ที่ �งหมด ใช้�อ'ปกรณ์6ที่��ม�ความสี่ามารถูในการแก�ไขข�อผ"ดพลาดที่��อาจัเก"ด

ข/�นภัายในระบบเคร-อข!าย ใช้�อ'ปกรณ์6ที่��ผ!านการที่ดสี่อบว!าม�ค'ณ์ภัาพสี่�ง ม�การบ�าร'งรกษาฮาร6ดแวร6และซึ่อฟต่6แวร6อย!างเพ�ยงพอและ

สี่ม��าเสี่มอ ม�สี่"�งอ�านวยความสี่ะดวกในการก��ค-นระบบที่��เพ�ยงพอและเหมาะ

สี่ม

การจัดการความเสี่��ยงที่างด�านเที่คโนโลย�สี่ารสี่นเที่ศึ

การจัดการความเสี่��ยง (Risk Management) ค-อ กระบวนการในการระบ' ว"เคราะห6ประเม"น ด�แล ต่รวจัสี่อบ และควบค'มความเสี่��ยงที่��สี่มพนธี6กบก"จักรรม หน�าที่��และกระบวนการที่�างาน เพ-�อให�องค6กรลดความเสี่�ยหายจัากความเสี่��ยงมากที่��สี่'ด อนเน-�องมาจัากภัยที่��องค6กรต่�องเผช้"ญ่ในช้!วงเวลาใดเวลาหน/�ง

การจัดการความเสี่��ยง (Risk Management) ค-อ กระบวนการในการระบ' ว"เคราะห6ประเม"น ด�แล ต่รวจัสี่อบ และควบค'มความเสี่��ยงที่��สี่มพนธี6กบก"จักรรม หน�าที่��และกระบวนการที่�างาน เพ-�อให�องค6กรลดความเสี่�ยหายจัากความเสี่��ยงมากที่��สี่'ด อนเน-�องมาจัากภัยที่��องค6กรต่�องเผช้"ญ่ในช้!วงเวลาใดเวลาหน/�ง

กระบวนการบรหารจั�ดการความูเสิ��ยงด�าน เทคโนโลย�สิารสินเทศ

กระบวนการบร"หารจัดการความเสี่��ยงการเป น 6 ข�นต่อน ดงน�� 1. การประเม"นความเสี่��ยง (Risk assessment) ประกอบด�วยกระบวนการ

ว"เคราะห6ความเสี่��ยงและ การประเม"นค!าความเสี่��ยง 1.1 การว"เคราะห6ความเสี่��ยง (Risk analysis) ประกอบด�วย 3 ข�นต่อนดงน��

▫ การช้��ระบ'ความเสี่��ยง (Risk identification) ▫ ลกษณ์ะรายละเอ�ยดของความเสี่��ยง (Risk description) ▫ การประมาณ์ความเสี่��ยง (Risk estimation)

1.2 ประเม"นค!าความเสี่��ยง (Risk evaluation) 2. การรายงานผลการว"เคราะห6ความเสี่��ยง (Risk reporting) 3. กระบวนการบรรเที่าความเสี่��ยง (Risk mitigation) 4. การควบค'มความเสี่��ยง (Risk control) 5. การรายงานความเสี่��ยงต่กค�าง (Residual risk reporting) 6. การเฝ:าสี่งเกต่ (Monitoring)

การรกษาความปลอดภัยข�อม�ลน�น ความเสี่��ยง ประกอบด�วยสี่องสี่!วน ค-อ

ช้!องโหว! (Vulnerability) ภัยค'กคาม(Threat)

ช้!องโหว! (Vulnerability) หมายถู/ง ช้!องที่างที่��อาจั ถู�กใช้�สี่�าหรบการโจัมต่�ได� เช้!น ประต่� หน�าต่!างที่��ถู�ก

เป4ดไว� อาจัเป นสี่"�งล!อที่��ผ��ไม!หวงด�แอบเข�ามาขโมย ที่รพย6สี่"นในบ�านได� ถู�าที่างเที่คโนโลย� เช้!น การ

เป4ด Port ที่"�งไว�โดยไม!จั�าเป น อาจัก!อให�เก"ด อนต่รายได�

ภัยค'กคาม(Threat) ค-อ สี่"�งที่��อาจัเก"ดข/�นและม�อนต่รายต่!อที่รพย6สี่"น ภัยค'กคามจัากคนภัายในองค6กร เช้!น การฉ�อโกง การ

ที่�างานผ"ดพลาดโดยไม!ต่�งใจั ภัยค'กคามจัากคนภัายนนอกองค6กร เช้!น การเจัาะเข�ามา

ในระบบ การก!อว"นาศึกรรม การโจัรกรรม หร-อ การใช้� เล!ห6กลอ'บาย หลอกล!อถูามข�อม�ล

ภัยธีรรมช้าต่" เช้!น น��าที่!วม แผ!นด"นไหว สี่/นาม" ไฟไหม�ฟ:าผ!า

ภัยค'กคามจัากสี่ภัาพแวดล�อมไม!เหมาะสี่ม เช้!น น��าร �วซึ่/ม ฝ'Dนละออง สี่ารเคม� อ'ณ์หภั�ม"ร�อน ความช้-�น

การโจัมต่�(Target)

เป:าหมายของการโจัมต่� ความลบ (Confidentiality) เป นเป:าหมายก)ต่!อเม-�อความ

ลบของข�อม�ลถู�กเป4ดเผยเช้!นความลบที่างราช้การ ความ ลบที่างธี'รก"จั ข�อม�ลสี่!วนบ'คคล

ความคงสี่ภัาพ(Integrity) จัะต่กเป นเป:าหมายเม-�อ พยายามที่��จัะเปล��ยนแปลงข�อม�ล หร-อหลอกลวงให�เช้-�อ

ข�อม�ลที่��เป นเที่)จั เช้!นการเปล��ยนยอดเง"นในบญ่ช้�ธีนาคารเพ-�อให�จั�านวนเง"นมากข/�น

ความพร�อมใช้�งาน(Availability) ต่กเป นเป:าหมายเม-�อม� การโจัมต่�แบบปฏิ"เสี่ธีการให�บร"การ เป:าหมายน�นอาจัเป น

ระบบที่��ให�บร"การข�อม�ล หร-อ ข�อม�ลโครงสี่ร�างขององค6กร

ผ��โจัมต่�

ค-อผ��กระที่�าการใดๆที่��ก!อให�เก"ดผลกระที่บที่างด�านลบ กบผ��ถู�กโจัมต่� ลกษณ์ะของผ��โจัมต่� เช้!น

การเข�าถู/ง(Access) สี่ามารถูเข�าถู/งเป:าหมายได� เข�าถู/ง ระบบ เคร-อข!าย สี่ถูานที่�� หร-อข�อม�ลที่��ต่�องการ อาจัจัะเป น

ที่างต่รงเช้!น การเจัาะเข�าระบบบญ่ช้ข� หร-อที่างอ�อม เช้!น อาจัม�โอกาสี่เข�าถู/งโดยช้!องที่างพ"เศึษ พนกงานล-มป4ดประต่�

แอบเข�าไปได� ความร� � (Knowledge) ม�ความร� �เก��ยวกบเป:าหมายเช้!น

บญ่ช้�ผ��ใช้� รหสี่ผ!าน ที่��อย�! หมายเลขไอพ� ระบบรกษาความ ปลอดภัย

แรงจั�งใจั(Motivate) ความที่�าที่าย ความอยากได� เช้!น เง"น สี่"�งของ บร"การหร-อ ข�อม�ล

ผ��โจัมต่� อาจัเป นบ'คคลดงต่!อไปน�� พนกงาน พนกงานเก!า แฮคเกอร6 ศึต่ร�หร-อค�!แข!ง ผ��ก!อการร�าย ล�กค�า ภัยธีรรมช้าต่"

เหต่'การณ์6

ว"ธี�การที่��ผ��โจัมต่�อาจัที่�าอนต่รายต่!อองค6กร เช้!น แก�ไขหน�าเว)บไซึ่ต่6ขององค6กร การใช้�บญ่ช้�ผ��ใช้�ในที่างที่��ผ"ด หร-อ เก"นกว!าที่��ได�รบ

อน'ญ่าต่ การแก�ไขข�อม�ลที่��สี่�าคญ่ที่�งที่��ต่ �งใจัหร-อไม!ได�ต่�งใจั การเจัาะเข�าระบบโดยไม!ได�รบอณ์'ญ่าต่ การที่�าลายระบบโดยไม!ได�ต่�งใจั การรบกวนระบบสี่-�อสี่ารที่�งข�อม�ลภัายในและภัายนอก

การประเมูนความูเสิ��ยง (Risk assessment)

1. การวเคราะห"ความูเสิ��ยง การวเคราะห"ความูเสิ��ยงประกอบ ด�วย 3 กระบวนการ ค#อ

กระบวนการท�� 1 การชี้�%ระบ&ความูเสิ��ยง (Risk identification) เป'นการชี้�%ให�เห)นถึ�งป*ญหาความูไมู-แน-นอนท��องค"กรเผชี้ญอย�-

กระบวนการน�%จั�าเป'นต้�องอาศ�ยความูร��ความูเข้�าใจัองค"กร ภารกจัและกจักรรมู สิ�งแวดล�อมูด�านกฎหมูาย สิ�งคมู

การเมู#องและว�ฒนธิรรมู พั�ฒนาการและป*จัจั�ยท��มู�ต้-อความู สิ�าเร)จัข้ององค"กร รวมูท�%งโอกาสิและสิ�งค&กคามูท��มู�ต้-อองค"กร

การชี้�%ระบ&ความูเสิ��ยงควรได�ด�าเนนการอย-างท��วถึ�งครอบคล&มู กจักรรมูในท&กๆ ด�านข้ององค"กร สิาเหต้&สิ�าค�ญข้องความู

เสิ��ยงค#อการมู�สิ�งค&กคามู (Threat) ท��อาจัสิ-งผลให�เกดการ ละเมูดความูมู��นคงสิารสินเทศและสิ-งผลเสิ�ยต้ามูมูา

กระบวนการท�� 2 ล�กษณะรายละเอ�ยดข้องความูเสิ��ยง(description of risk) เมู#�อชี้�%ระบ&ความูเสิ��ยงได�แล�ว และน�ามูา

บรรยายรายละเอ�ยดและล�กษณะข้องความูเสิ��ยงน�%น ได�แก- - ช้-�อความเสี่��ยง (Name) - ขอบเขต่ (Scope) - ลกษณ์ะความเสี่��ยง (Nature) - ผ��ที่��ม�ผลกระที่บ - ลกษณ์ะเช้"งประมาณ์ - การยอมรบความเสี่��ยง - การบ�าบดและการควบค'ม - แนวที่างการปรบปร'ง - การพฒนากลย'ที่ธี6และนโยบาย

กระบวนการท�� 3 การประมูาณความูเสิ��ยง (risk estimation) ข้�%นต้อนน�%เป'นการด�ป*ญหาความู

เสิ��ยงในแง-ข้องโอกาสิการเกดเหต้& (incident) หร#อเหต้&การณ" (event) ว-ามู�มูากน�อยเพั�ยงไร

และผลท��ต้ดต้ามูมูาว-ามู�ความูร&นแรงหร#อเสิ�ย หายมูากน�อยเพั�ยงใด

โอกาสี่ หร-อ ความน!าจัะเป น (Probability or Likelihood) หร-อความบ!อยคร�งของการเก"ดเหต่'หร-อเหต่'การณ์6 อาจัแบ!ง

แบบง!ายๆเป น 5 ระดบจัากน�อยไปหามาก เช้!น - บ!อย (frequent) พบได�บ!อยคร�งเป นประจั�า - ประปราย (probable) - ต่ามโอกาสี่ (occasional) - น�อยคร�งมาก (remote) - แที่บไม!เก"ดเลย (improbable)

หมายเหต่' บางองค6กรแบ!งความบ!อยคร�งของการเก"ดเหต่'ออก เป น 3 ระดบ เที่!าน�น ซึ่/�งแล�วแต่!ความต่�องการเพ-�อความเหมาะ

สี่มของแต่!ละองค6กร

1.2 การประเมูนค-าความูเสิ��ยง (Risk evaluation)

หลกเกณ์ฑ์6ยอมรบความเสี่��ยง (Risk acceptance criteria) ว!าจัะยอมรบได�มากน�อยเพ�ยงใด เพ-�อประกอบ

การต่ดสี่"นใจัว!าจัะบ�าบดความเสี่��ยงน�นๆต่!อไปอย!างไร พ/ง พ"จัารณ์าในแง!ต่!างๆดงต่!อไปน�� เช้!น

- ค!าใช้�จั!าย ประโยช้น6และความค'�มที่'นที่��จัะได�รบจัากการแก�ไข บ�าบดความเสี่��ยง (costs and benefits)

- ข�อก�าหนดด�านกฎหมายและกฎระเบ�ยบขององค6กร (legal requirements)

- ป&จัจัยด�านเศึรษฐก"จัและสี่งคม (socioeconomic factors) - ป&จัจัยด�านสี่"�งแวดล�อม (environmental factors) - ประเด)นสี่าระสี่�าคญ่ในม'มมองของผ��ม�สี่!วนได�เสี่�ย (concerns

of stakeholders)

ต่วอย!าง การประเม"นค!าความเสี่��ยง (risk evaluation)

ต่าราง แสี่ดงเมต่ร"กซึ่6ระดบความเสี่��ยง 3x3

ต่วอย!างในที่��น��ใช้�เมต่ร"กซึ่6 3x3 จัากโอกาสี่เก"ดภัย ค'กคาม 3 ระดบ (สี่�ง, ปานกลาง, ต่��า) และผลกระ

ที่บของภัยค'กคาม 3 ระดบ (สี่�ง, ปานกลาง, ต่��า) แสี่ดงได�ดงต่าราง แสี่ดง ค!าความเป นไปได�ของ

ระดบโอกาสี่เก"ดภัยค'กคามม�ค!าเป น 1 เม-�อเป นระดบสี่�ง, ม�ค!าเป น 0.5 เม-�อเป นระดบปานกลาง และม�ค!า

เป น 0.1 เม-�อเป นระดบต่��า และ ค!าของระดบความ ร'นแรงของผลกระที่บจัากภัยค'กคามม�ค!าเป น 100

เม-�อเป นระดบสี่�ง, ม�ค!าเป น 50 เม-�อเป นระดบปาน กลาง และม�ค!าเป น 10 เม-�อเป นระดบต่��า ต่ามล�าดบ

ระดบความเสี่��ยงสี่�ง หมายถู/งจั�าเป นต่�องได�รบการแก�ไขอย!าง เร!งด!วน ระบบที่��ด�าเน"นอย�!อาจัจัะยงคงปฏิ"บต่"งานต่ามปกต่"

แต่!จัะต่�องน�าแผนการแก�ไขมาใช้�ที่นที่�ที่��เป นไปได� ระดบความเสี่��ยงปานกลาง หมายถู/งควรม�การแก�ไขและ

แผนการควบค'มควรได�รบการปรบปร'งแล�วน�ามาใช้�ความ เสี่��ยงเป นฟ&งก6ช้นของโอกาสี่ที่��จัะเก"ดเหต่'การณ์6ใดๆ ซึ่/�งก!อให�

เก"ดภัยค'กคามในระบบที่��ม�ความอ!อนแอในการปกป:อง กบ ความร'นแรงของผลกระที่บที่��จัะเก"ดข/�นจัากภัยค'กคามน�น

ระดบความเสี่��ยงต่��า หมายถู/งระบบควรได�รบการต่รวจัสี่อบเพ-�อให�แน!ใจัว!าแผนการควบค'มที่��ม�อย�!จัะสี่ามารถูแก�ไขป&ญ่หา

และรบม-อกบความเสี่��ยงได�

2. การรายงานผลการวเคราะห"ความู เสิ��ยง

(Risk reporting) เม-�อประเม"นความเสี่��ยงแล�วเสี่ร)จั จั�าเป นต่�องออก

รายงานการประเม"นเป นเอกสี่ารที่��ผ��อ-�นสี่ามารถูอ!านได�เอกสี่ารน��จัะเป นสี่าระสี่�าคญ่ในการสี่-�อสี่ารให�

บ'คลากรที่�งองค6กรได�รบร� � รายงานประกอบด�วยรายละเอ�ยดอย!างน�อยต่ามลกษณ์ะรายละเอ�ยด

ของความเสี่��ยง และการออกรายงานม� วต่ถู'ประสี่งค6ให�สี่!วนต่!างๆได�รบร� �ดงต่!อไปน��

ฝDายบร"หาร ฝDายหวหน�างาน ผ��ปฏิ"บต่"งาน

ฝDายบร"หารฝDายบร"หาร

-รบร� �นยสี่�าคญ่ของความเสี่��ยงที่��องค6กรเผช้"ญ่อย�! - เข�าใจัผลที่��กระที่บต่!อผ��ม�สี่!วนได�เสี่�ยต่!างๆในกรณ์�ที่��เก"ดม�เหต่' หร-อเหต่'การณ์6และเก"ดผลเสี่�ยต่!อภัารก"จัและผลประกอบการ - ด�าเน"นการเพ-�อสี่ร�างความต่ระหนกในป&ญ่หาความเสี่��ยงให�เก"ดการรบร� �ที่ �วที่�งองค6กร - เข�าใจัผลกระที่บที่��อาจัม�ต่!อความม�นใจัของผ��ที่��ได�รบผลกระที่บ - ให�แน!ใจัว!ากระบวนการบร"หารความเสี่��ยงก�าลงเป นไปอย!างได�ผล - ออกนโยบายบร"หารความเสี่��ยงที่��ม�เน-�อหาด�านปรช้ญ่าและความรบผ"ดช้อบของหน!วยงานและบ'คลากรต่!างๆในการบร"หารความเสี่��ยง

ฝDายหวหน�างานฝDายหวหน�างาน

- ต่ระหนกในความเสี่��ยงอนเก��ยวข�องกบภัาระหน�าที่��ของต่น ผลกระที่บที่��อาจัม�ต่!อหน!วยงานอ-�น หร-อก"จักรรมอ-�นในองค6กร - ม�ดช้น�ช้��วดสี่มรรถูนะของก"จักรรมในหน!วยงานเพ-�อด�ว!าระบบงานของต่นเองได�รบผลกกระที่บจัากความเสี่��ยงมากน�อยเพ�ยงใด - รายงานผลกระที่บจัากความเสี่��ยงในกรณ์�เก"ดหร-อจัะเก"ดเหต่'และเสี่นอแนะแนวที่างการแก�ไข - รายงานความเสี่��ยงใดๆที่��เก"ดใหม!หร-อความล�มเหลวใดๆ ในมาต่รการการควบค'มหร-อป:องกนอารกขาสี่ารสี่นเที่ศึที่��ม�อย�!

ผ��ปฏิ"บต่"งานผ��ปฏิ"บต่"งาน

-เข�าใจับที่บาที่ภัาระหน�าที่��และความรบผ"ดช้อบในความเสี่��ยงแต่!ละรายการ - เข�าใจับที่บาที่ในการด�าเน"นการพฒนาอย!างต่!อเน-�องด�านการบร"หารความเสี่��ยง - เข�าใจัการบร"หารความเสี่��ยงและความต่ระหนกต่!อความเสี่��ยงในการเป นวฒนธีรรมองค6กรที่��สี่�าคญ่อย!างหน/�ง

3. กระบวนการบรรเทาเสิ��ยง (Risk mitigation)

การบรรเที่าความเสี่��ยงเก��ยวข�องกบการจัดล�าดบ, การ ค�านวณ์ความเสี่��ยง และการลงม-อควบค'มการลดความ

เสี่��ยงอย!างเหมาะสี่มต่ามแนวที่างที่��มาจัากการประเม"นความ เสี่��ยง เน-�องจัากการที่��จัะก�าจัดความเสี่��ยงในระบบที่�งหมดน�น

เป นเร-�องที่��ที่�าได�ยาก ผ��บร"หารธี'รก"จัจัะต่�องเป นผ��รบผ"ดช้อบ การที่�างานน��ด�วยเง-�อนไขในการใช้�งบประมาณ์ที่��ต่��าที่��สี่'ด

(Least-cost) และใช้�ว"ธี�การควบค'มที่��เหมาะสี่มที่��สี่'ดเพ-�อลด ระดบความเสี่��ยงให�อย�!นะระดบที่��ยอมรบได� โดยสี่!งผลกระที่บ

ต่!อพนธีก"จัและที่รพยากรขององค6กรให�น�อยที่��สี่'ด ที่างเล-อกเพ-�อการบรรเที่าความเสี่��ยง สี่ามารถูแบ!งออกเป น

6 ประเภัที่ดงน�

3.1 การยอมรบความเสี่��ยง(Risk Assumption)

การยอมรบความเสี่��ยงในระดบที่��เป นอย�!และให� ระบบข�อม�ลสี่ารสี่นเที่ศึด�าเน"นงานไปต่ามปกต่" ซึ่/�ง

เป นการยอมรบในผลที่��อาจัต่ามมา เช้!น การพ"สี่�จัน6 ต่วจัร"งเพ�ยงใช้� ID และ Password ม�ความเสี่��ยง

เพราะอาจัม�การขโมยไปใช้�ได�การให�ม�ใช้�ช้�วมาต่ร(biometrics) เช้!น การต่รวจัลายน"�วม-อหร-อ

ม!านต่า อาจัม�ค!าใช้�จั!ายสี่�งไม!ค'�มค!า โรงพยาบาลอาจัยอมรบความเสี่��ยงของระบบป&จัจั'บนและ

ที่�างานต่!อไปโดยไม!ที่�าอะไร

3.2 การหล�กเล��ยงความเสี่��ยง(Risk Avoidance)

การหล�กเล��ยงความเสี่��ยงด�วยการก�าจัดสี่าเหต่'ของความ เสี่��ยง เช้!น เม-�อพบว!าป&จัจั'บนโรงพยาบาล ม�การสี่�ารอง

ข�อม�ลเพ�ยง 1 ช้'ดและจัดเป นความเสี่��ยงต่!อการสี่�ญ่เสี่�ย การเล��ยงความเสี่��ยงน��อาจัได�แก!การที่�าสี่�ารองข�อม�ล 2

ช้'ด และแยกเก)บในสี่ถูานที่��ต่!างกน การบร"หารจัดการการเช้-�อมโยงสี่�!เคร-อข!ายผ!านโมเด)มถู�าเป นการยากต่!อ

การควบค'มหร-อบร"หารจัดการ องค6กรอาจัเล-อกที่างออกโดยการยกเล"กไม!ให�ใช้�บร"การ

และแนะน�าให�พนกงานใช้�บร"การผ!านที่าง ISP ในช้!วงที่��ม� การระบาดของไวรสี่อย!างหนก องค6กรอาจัม�เล-อกระงบ

ไม!ให�ใช้�คอมพ"วเต่อร6ที่��ไม!ได�ต่"ดต่�ง Antivirus เป นต่�น

3.3 การจั�ากดความเสี่��ยง (Risk Limitation) ค-อการที่�าระบบควบค'มเพ-�อให�เก"ดผลกระที่บจัากการการถู�กค'กคามระบบหร-อจัากความไม!ม�นคงของ

ระบบให�น�อยที่��สี่'ด3.4 การวางแผนความเสี่��ยง (Risk planning) ค-อ

การจัดการความเสี่��ยงด�วยการพฒนาแผนบรรเที่า ความเสี่��ยงที่��จัดล�าดบความสี่�าคญ่ การใช้�และการ

ด�แลว"ธี�การควบค'ม

3.5 การว"จัยและการรบร� �ความเสี่��ยง (Research and Acknowledgement) ค-อการลดความสี่�ญ่เสี่�ยที่��เก"ดจัากความเสี่��ยงโดยการต่รวจัสี่อบเพ-�อรบที่ราบความอ!อนแอของระบบและค�นคว�าว"จัยให�ได�ว"ธี�การควบค'มเพ-�อเสี่ร"ม

ความม�นคงให�แก!ระบบ3.6 การถู!ายโอนความเสี่��ยง (Risk Transference) ค-อการ

ถู!ายโอนความเสี่��ยงด�วยการหาที่างเล-อกอ-�นเพ-�อช้ดเช้ย ความสี่�ญ่เสี่�ยเช้!น อ'ปกรณ์6เคร-อข!ายเม-�อซึ่-�อมาแล�วม�ระยะ

ประกนเพ�ยงหน/�งป@ เพ-�อเป นการรบม-อในกรณ์�ที่��อ'ปกรณ์6 เคร-อข!ายไม!ที่�างาน องค6กรอาจัเล-อกซึ่-�อประกน หร-อสี่ญ่ญ่า

การบ�าร'งรกษาหลงขาย (Maintenance service) เป นต่�น

4. การควบค&มูความูเสิ��ยง (Risk control)

เม-�อต่�องม�การควบค'มเก"ดข/�นสี่"�งที่��ต่�องปฏิ"บต่"ค-อ ระบ'ความเสี่��ยงที่��เก"ดข/�นให�มากที่��สี่'ด แล�วพยายาม

หาว"ธี�ลดความเสี่��ยงด�วยว"ธี�ที่��ม�ต่�นที่'นต่��าและสี่!ง ผลกระที่บต่!อพนธีก"จัอ-�นๆขององค6กรให�น�อยที่��สี่'ด

กระบวนการในการบรรเที่าความเสี่��ยงสี่ร'ปได�ดงน

1. จัดล�าดบความสี่�าคญ่ของการปฏิ"บต่"งาน(Prioritize Actions) จัากผลการจัดล�าดบความ

เสี่��ยงในกระบวนการประเม"นความเสี่��ยง น�าไปสี่�!การ จัดล�าดบการลงม-อปฏิ"บต่"งานด�วย ภัายใต่�

ที่รพยากรที่��ม�อย�! ล�าดบแรกสี่'ดควรจัะเล-อกลงม-อ กบความเสี่��ยงที่��ม�ระดบความเสี่��ยงสี่�ง ซึ่/�งต่�องการ

การแก�ไขในที่นที่�เพ-�อปกป:องพนธีก"จัขององค6กร ผลลพธี6ที่��ได�ค-อล�าดบการลงม-อจัดการความเสี่��ยง

2. ประเม"นที่างเล-อกในการควบค'ม (Evaluate recommended Control Options) ว"ธี�การควบค'มที่��ถู�กเสี่นอในกระบวนการประเม"นความเสี่��ยงอาจัไม!ใช้!ว"ธี�ที่��เหมาะสี่มที่��สี่'ดหร-อเป นที่างเล-อกที่��เป นไป

ได�ที่��สี่'ดสี่�าหรบแต่!ละองค6กร ข�นต่อนน��จั/งเป นการเล-อกว"ธี�การที่��ม�ความเป นไปได�มากที่��สี่'ดที่��จัะสี่ามารถูบรรเที่า

ความเสี่��ยงได� ผลลพธี6ที่��ได�ค-อรายช้-�อของว"ธี�การควบค'ม3. ว"เคราะห6ผลประโยช้น6ที่��ได�รบ

(Conduct Cost-Benefit Analysis) การว"เคราะห6ผลประโยช้น6น��จัะช้!วยให�ระดบบร"หารสี่ามารถูต่ดสี่"นใจัและ

เล-อกการควบค'มที่��ม�ประสี่"ที่ธี"ภัาพ

4. เล-อกว"ธี�การควบค'ม (Select Control) จัากพ-�นฐาน ผลลพธี6ที่��ได�จัากการว"เคราะห6ผลประโยช้น6 ผ��บร"หารสี่ามารถู

ต่รวจัสี่อบว"ธี�ควบค'มที่�งหมดและเล-อกว"ธี�ที่��ครอบ คล'มที่�งการควบค'มเช้"งเที่คน"ค, เช้"งปฏิ"บต่"การ และเช้"งบร"หารเพ-�อให�ม�นใจัความเพ�ยงพอต่!อความต่�องการความปลอดภัยของ

ระบบและองค6กร5. มอบหมายความรบผ"ดช้อบ (Assign Responsibility)

ค-อการเล-อกบ'คคลที่��เหมาะสี่มซึ่/�งม�ความเช้��ยวช้าญ่และม� ที่กษะในการลงม-อควบค'ม พร�อมมอบหมายหน�าที่��ร บผ"ดช้อบ

6. พฒนาแผนการปฏิ"บต่"งานเพ-�อการป:องกน (Develop a Safeguard Implementation Plan)

ประเภัที่ของการควบค'ม (Control Category)

1. การควบค'มความปลอดภัยเช้"งเที่คน"ค(Technical Security Controls) การควบค'มน��เพ-�อ

ให�ป:องกนภัยค'กคามที่��อาจัเก"ดข/�น ซึ่/�งการควบค'ม สี่ามารถูจัดช้!วงได�ต่�งแต่!ที่��ม�ว"ธี�การอย!างง!ายๆ ไป

จันถู/งว"ธี�ที่��ม�ความสี่ลบซึ่บซึ่�อน และโดยปกต่"การ ควบค'มน��จัะเก��ยวข�อง โครงสี่ร�างสี่ถูาป&ต่ยกรรม

ของระบบ , ว"นยในการที่�าว"ศึวกรรม และการรกษา ความปลอดภัยในโดยรวมของอ'ปกรณ์6ฮาร6ดแวร6

ซึ่อฟแวร6 และเฟ4ร6มแวร6 เช้!น

1.1 การควบค'มแบบสี่นบสี่น'น (Support) เป นการควบค'มแบบที่�วไปสี่�าหรบการรกษาความ

ปลอดภัยของระบบเที่คโนโลย�สี่ารสี่นเที่ศึ ได�แก! การบ!งช้�� (Identification) การจัดการโดยใช้�ก'ญ่แจัเข�ารหสี่ลบ (Cryptographic

Key) การบร"หารความปลอดภัย (security

Administration) การปกป:องระบบ (System Protections)

1.2 การควบค'มแบบป:องกน (Prevent) เป นการควบค'มที่��ป:องกนช้!องโหว!ซึ่/�งเก"ดจัากจั'ดที่��เคยเก"ดความไม!ปลอดภัย

ข/�นคร�งแรก สี่�าหรบการควบค'มในที่างเที่คน"คได�แก! การต่รวจัสี่อบช้-�อผ��ใช้�งานและรหสี่ผ!าน (Authentication) การต่รวจัสี่อบสี่"ที่ธี"การอน'ญ่าต่ใช้�งาน (Authorization) การบงคบใช้�การควบค'มการเข�าถู/งข�อม�ล (Access Control

Enforcement) การไม!ปฏิ"เสี่ธีการที่�างาน (repudiation) การสี่-�อสี่ารที่��ได�รบการปกป:อง (Protected communication) โดยการใช้�

ว"ธี�เข�ารหสี่ข�อม�ลและใช้�เที่คโนโลย�การเข�ารหสี่ลบ การรกษาความเป นสี่!วนต่วเก��ยวกบรายการข�อม�ลที่��ม�การเปล��ยนแปลง (Transaction Privacy)

1.3 การควบค'มแบบต่รวจัจับและก��ค-น(Detect and Recover) เป นการควบค'มเพ-�อต่รวจั

จับช้!องโหว!ในระบบพร�อมที่�งก��ข�อม�ลกลบค-น ว"ธี�การ ควบค'มได�แก!

การต่รวจัสี่อบระบบ (Audit) การต่รวจัจับการบ'กร'กระบบ (Intrusion Detection) การพ"สี่�จัน6ระบบรวม (Proof of wholeness) เพ-�อว"เคราะห6ความ

ถู�กต่�องแม!นย�าของระบบ การฟF� นฟ�ระบบให�กลบสี่�!สี่ถูานะที่��ปลอดภัย (Restore Secure

State) การต่รวจัจับและก�าจัดไวรสี่ (Virus detection and eradication)

2. การควบค'มความปลอดภัยเช้"งการจัดการ(Management Security Controls) เป นการปฏิ"บต่"งานเพ-�อจัดการและลดความสี่�ญ่เสี่�ยซึ่/�ง

เก"ดจัากความเสี่��ยง การควบค'มเช้"งการจัดการม'!งเน�นที่��ข�อก�าหนดต่ามนโยบายการปกป:องข�อม�ลและ

มาต่รฐานขององค6กร ซึ่/�งน�าไปสี่�!กระบวนการปฏิ"บต่"ที่�� ต่อบสี่นองต่!อเป:าหมายและพนธีก"จัขององค6กร

3. การควบค'มความปลอดภัยเช้"งปฏิ"บต่"การ(Operational Security Controls) มาต่รฐานการรกษาความปลอดภัยขององค6กรควรม�การก�าหนดกล'!มของการควบค'มและแนะแนวเพ-�อให�กระบวนการรกษาความปลอดภัยถู�กน�าไปใช้�อย!าง

เหมาะสี่ม ว"ธี�การควบค'มในที่างปฏิ"บต่"น �นเก��ยวข�องกบการแก�ไขข�อบกพร!องของการที่�างาน

ที่��ม�ภัยค'กคามเก"ดข/�น สี่ามารถูแบ!งกล'!มได� 2 กล'!มดงน��

3.1 การควบค'มความปลอดภัยเช้"งปฏิ"บต่"การ แบบป:องกน

(Preventive Operational Controls) ต่วอย!าง เช้!น

3.1.1 ควบค'มการเข�าถู/งและการจัดกล'!มการเข�าถู/ง3.1.2 การกระจัายข�อม�ลภัายนอกในขอบเขต่จั�ากด3.1.3 ควบค'มไวรสี่ซึ่อฟแวร63.1.4 การควบค'มสี่"นที่รพย6ที่างด�านข�อม�ลสี่ารสี่นเที่ศึ

เพ-�อป:องกนความเสี่�ย หายจัากไฟ

3.2 การควบค'มความปลอดภัยเช้"งปฏิ"บต่"การ แบบป:องกน

(Preventive Operational Controls) ต่วอย!าง เช้!น

3.2.1 การใช้�ว"ธี�การรกษาความปลอดภัยเช้"งกายภัาพ เช้!น การใช้�โที่รที่ศึน6วงจัรป4ด, การต่"ดต่�งเซึ่)นเซึ่อร6

เป นต่�น3.2.2 ด�แลระบบรกษาความปลอดภัยในสี่ภัาพแวดล�อม

เช้!น การใช้�ต่วต่รวจัจับ เป นต่�น

5. การรายงานความูเสิ��ยงต้กค�าง (Residual risk reporting)

เม-�อม�การบรรเที่าความเสี่��ยงแล�ว จั�าเป นต่�องม�การ รายงานและที่บที่วนอย�!เสี่มอเพ-�อด�ว!าม�การประเม"น และ

การประเม"นค!าความเสี่��ยงอย�!ต่ลอดเวลา และด�ว!า มาต่รการควบค'มต่!างๆที่��ออกมาใช้�ได�ผลหร-อไม!เพ�ยงไร

ว"ธี�การมาต่รฐานที่��ใช้�กนโดยที่�วไป ค-อการม�หน!วยงาน ภัายในหร-อภัายนอกที่�าการต่รวจัสี่อบโดยกระบวนการ IT

auditing ที่��เหมาะสี่ม เน-�องจัากสี่"�งแวดล�อมและกฎ ระเบ�ยบม�พลวต่รและการเปล��ยนแปลงเก"ดข/�นต่ลอดเวลา

จั/งจั�าเป นต่�องม�การบร"หารความเสี่��ยงและการต่รวจัสี่อบ เป นประจั�า

6. การเฝ้9าสิ�งเกต้ (Monitoring) กระบวนการเฝ:าสี่งเกต่เป นหลกประกนว!า องค6กร

ม�มาต่รการต่!างๆ ที่��จั�าเป นและเหมาะสี่มสี่�าหรบ การบร"หารความเสี่��ยงต่!างๆ และมาต่รการเหล!าน�น

ม�ผ��ปฏิ"บต่"ต่ามและบงเก"ดผลจัร"ง

ค�าถูามที่�ายบที่

อธี"บายความหมายของความเสี่��ยงในม'มมองที่��เก��ยวกบการรกษาความปลอดภัยข�อม�ลในระบบสี่ารสี่นสี่นเที่ศึ

การบร"หารความเสี่��ยงประกอบไปด�วยข�นต่อนอะไรบ�าง

อธี"บายความสี่นพนธี6ระหว!าง ความเสี่��ยง ช้!องโหว! และภัยค'กคาม พร�อมยกต่วอย!างประกอบ

Company

LOGO

End of Chapter

Thank You