บทบาทของ TISA กบการยกระดบมาตรฐานบคคลากรดาน Information Security

รอม หรญพฤกษ 22/3/2554

ไซเบอรสเปซ (cyber space)

ไซเบอรสเปซหมายรวมถงทกรปแบบของกจกรรมการเชอมโยงเครอขายดจทล ซงรวมถงเนอหาและการท างานทกอยางทเกดขนผานเครอขายดจทล

• เทคโนโลยสารสนเทศและอนเทอรเนตถกประยกตใชอยางแพรหลายในภาครฐและเอกชน และมผลกระทบตอชวตประจ าวนของประชาชนทวไป ปญหาทเกดขนตามมาไดแกปญหาการกออาชญากรรม (Cyber Crime, e-crime) โดยใชอนเทอรเนตเปนเครองมอ การฉอโกง การกอการราย ไปถงสงครามไซเบอร ซงใชคอมพวเตอรและเครอขายเปนเครองมอ (Cyber war) ซงรวมถงการท าสงครามขาวสาร (information war) ซงมประเดนการปองกนและตอบโตทเรยกวา Information Operation (IO)

2011 Outlook: (ISC)²

• Cybercrime and Espionage

• Software Security

• Mobile Security

• The Business Face of Security

• Security as a Profession

• Evolution of Security Technology

• Cloud Computing

• Data Loss Prevention & Rights Management

• Social Media

• Regulatory and Political

3

4

TISA : Thailand Information Security Association

TISA web site : http://www.tisa.or.th

5

14/10/54

5

Information Security TRIAD

Availability

Confidentiality Integrity

Information

Security

Today’s Key Concerns Cyber Threats

• Increasing Social Network Attacks

Issues

• Identity theft

• Privacy issue in Social Networking

• Security issue in Social Networking

• Ethical issue

Impacts

• Individuals

• Corporate

• Social

Social Networking Security Conference 2010

6

Considerations

Ethical and Strategic Issues in

Organization

Social Networking Policies

Lifestyles

User Awareness

People is the “KEY”

Social Media Landscape

7 Social Networking Security

Conference 2010

8

IT Security Roles 1. Chief Information Officer 2. Digital Forensics Professional 3. Information Security Officer 4. IT Security Compliance Officer 5. IT Security Engineer 6. IT Security Professional 7. IT Systems Operations and Maintenance

Professional 8. Physical Security Professional 9. Privacy Professional 10.Procurement Professional

กฎหมายทเกยวของ

• พรบ. วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และ พ.ศ. 2551

– พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลคทรอนกสภาครฐ พ.ศ. 2549 (มาตรา 35)

– พรฎ. ก าหนดวธการแบบ (มนคง) ปลอดภยในการประกอบธรกรรมอเลกทรอนกส (มาตรา 25) ซงเปนขอแนะน าของส านกงานคณะกรรมการนโยบายรฐวสาหกจ และบรษทไทยเรทตง แอนด อนฟอรเมชนเซอรวส จ ากด (ทรส)

• พรบ. วาดวยการกระท าผดเกยวกบคอมพวเตอร พ.ศ. 2550 – ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑ

การเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550

10

The Competent Officials : knowledge and qualification

Qualifications

Appointment by ICT Minister after taking examination

Law Enforcement Course

Moral/Ethics Course

Computer/Network Forencis Training

Information Security Training

Computer Forensic

Graduations/Experiences

Information Technology

Computer Science

Information Security

Laws

Competent Official

The 2010 State of Cybersecurity from the Federal CISO’s Perspective — An (ISC)2 Report

11

12

2007 Incidents by sector of attacked organization

Most Hacked Organizations

13

2007 Incidents by attack outcome

Business Motivations For Hacking

Source from Breach Security

Leading IT and InfoSec Professional Certification Institutes

CISSPs in Asia- South Korea: Highest in Asia

As of: 30/SEPT/07

China (400)

Hong Kong (1,311)

India (909)

Indonesia (44)

Japan (883)

Korea, South (2,003)

Macao (8)

Malaysia (177)

Philippines (112) Singapore (9)47

Sri Lanka (35)

Taiwan (238)

Thailand (91)

DoD 8570.01-M Information Assurance Workforce Improvement Program

December 19, 2005

DoD 8570.01-M Information Assurance Workforce Improvement Program

May 15, 2008

Recent Standards/Guidelines Topic Business ICT Governance GRC, COSO (ERM)CG

CobiT4.1 (ITG) ISO 38500:2008 (ITG) ISO 27014 (ISG) ISO 27001:2005 (ISMS)

Risk BS31100:2008 (RM) ISO31000:2008 (RM)

BS7799-3:2006 (ISRM) ISO13335-3,4:1998 ISO27005:2008 (ISRM) NIST SP800-30:2002 (ITRM)

Continuity Crisis

FEMA141:1993 (EM) PAS 56:2003 (BCI:BCMGPG) BS 25999:2006 (BCM) ISO/PAS 22399:2007 (Societal security)

PAS 77:2006 (ITSCM) BS 25777:2008 (ICTCM) ISO 24762:2008 (ICT DR) NIST SP800-34:2002 (ITSC:DRP)

Others PAS 99:2006 (Integrated Management) ITILv3 ISO 20000 (ITSMS)

Relationship of Risk Managements

BCM ISO 27002

Control 14.1 Information Continuity

management

ISO 24762 ICT DR Services

Telecom

Power

Supply

DR site

Asset

Mgmt

Fire

Protection

Vendor

Mgmt Logical

Access

Control

DR plan

Physical

Access

Control

Risk

Mitigation

ISO 27005 Risk Assessment

21

Governance, Risk & Compliance - GRC

Governance

Enterprise Risk Management

Compliance

Stakeholder Expectations

Setting objectives, tone, policies, risk appetite and accountabilities. Monitoring performance.

Identifying and assessing risks that may affect the ability to achieve objectives and determining risk response strategies and control activities.

Operating in accordance with objectives and ensuring adherence with laws and regulations, internal policies and procedures, and stakeholder commitments.

Key linkage Objectives & Risk Appetite

Key linkage Risk Response & Control Activities

Policies Procedures Processes/system People Tools &Technologies

Source: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management PWC white paper

Laws

GRC related best practices and compliance

(C) Copyright 2007-2009, ACIS Professional Center Company Limited

Corporate Governance

IT Governance

ITIL & ISO/IEC 20000 COSO (ERM)

BS25999 (BCM)

HIPAA

ISO/IEC 27001

ISO/IEC 27006

ITSM

SOX

Basel II

PCI DSS

GLBA CobiT 4.1

CCA/ETA

ITAF/GTAG

Difference among IA, IT Audit, Infosec Audit and System Security Audit

Internal Audit

IT Audit InfoSec Audit System Security Audit

Audit scope Enterprise IT IS Security System specific

Audit Framework

COSO CobiT ISO27001 NIST(SPP800-53A,SP800-

115), NSA:IAM, OSSTMM

Audit objective CG ITG, IT/Biz Alignment

Security Governance

System security, hardening

Professional Cert.

CIA CISA CISSP, IRCA:ISMS NSA:IAM,OPST, OPSA,

CEH, SSCP, CSSLP

etc.

Information Technology (IT) Security

Essential Body of Knowledge (EBK)

A Competency and Functional Framework

for IT Security Workforce Development

September 2008

United States Department of Homeland Security

EBK Development Process

Refer to 53 Critical Work Function (CWF) from DoD IASS

Key Divisions

• 4 functional perspectives

• 14 competency areas

• 10 roles

Functional Perspectives

1. Manage

2. Design

3. Implement

4. Evaluate

IT Security Roles

1. Chief Information Officer

2. Digital Forensics Professional

3. Information Security Officer

4. IT Security Compliance Officer

5. IT Security Engineer

6. IT Security Professional

7. IT Systems Operations and Maintenance Professional

8. Physical Security Professional

9. Privacy Professional

10.Procurement Professional

Competency Areas (MDIE in each)

1. Data Security 2. Digital Forensics 3. Enterprise Continuity 4. Incident Management 5. IT Security Training and

Awareness 6. IT System Operations and

Maintenance 7. Network and

Telecommunication Security

8. Personnel Security

9. Physical and Environmental Security

10. Procurement

11. Regulatory and Standards Compliance

12. Security Risk Management 13. Strategic Security

Management 14. System and Application

Security

IT Security Roles

Executive Functional Corollary

IT Security EBK: A Competency and Functional Framework

Functional Perspectives M - Manage D - Design I - Implement E - Evaluate

Chie

f In

form

ation O

ffic

er

Info

rmation S

ecu

rity

Off

icer

IT S

ecu

rity

Com

plia

nce

Off

icer

Dig

ital Fore

nsi

cs P

rofe

ssio

nal

IT S

yst

em

s O

pera

tions

and

Main

tenance

Pro

fess

ional

IT S

ecu

rity

Pro

fess

ional

IT S

ecu

rity

Engin

eer

Physi

cal Secu

rity

Pro

fess

ional

Priva

cy P

rofe

ssio

nal

Pro

cure

ment

Pro

fess

ional

M 11 12 0 1 2 1 0 1 3 1

D 2 7 1 3 4 6 4 2 6 1

I 0 1 2 5 8 3 4 4 4 1

E 3 10 14 3 5 7 2 3 5 1

Total Competency Units 16 30 17 12 19 17 10 10 18 4

TISA EBK Analysis

Entry Level Professional Level

Managerial Level

Your Competency Scorecard

Enterprise Infosec Competency Profile

* Organization assess Infosec competency requirement against EBK

* Assess current competency within the enterprise

* Identify competency gap training requirement, recruitment

Infosec training provider maps training courses to EBK

EBK

Enterprise Capability

Training Provider

TISA Roadmap

33 Social Networking Security

Conference 2010

2009 TISA EBK Assessment Exam (Pilot Test)

2011 Local InfoSec Certification TISA Level I,II,III (preparation for taking International InfoSec Certification)

2010 Increase number of InfoSec professional across industries in Thailand and Asia Pacific

2012 Thailand InfoSec Professional Council

TISET Pilot Test

TISA Exam First Launch

TISET#1 Q1

Q4

34 Social Networking Security

Conference 2010

TISET Certification Roadmap

TISA TISET Exam

FOUNDATION (Localized) on IT & Information Security Competencies Test

TISA TISET Certification

International Certified IT & Information Security Professional

IT/GRC Management

Internal Audit, IT Audit, InfoSec Audit

Technical / IT Practitioner

ADVANCE

EXPERT

Good Step to take … CISSP, SSCP, CISA, CISM, CSSLP, SANS GIAC

TISA IT Security – Essential Body of Knowledge (EBK) Test

Thank You

CyberCrime, CyberTerror, CyberEspionage, and CyberWar

• What happened to Estonia was the first instance of cyber-warfare against a specific government. Russia was suspected as the instigator of the digital assault, a charge the Russian government denied, but there was no reliable evidence to prove this.

• DDoS attacks had happened before, seemingly triggered by political or other events. The latest such incident involved a DDoS attack on US servers from what appeared to be Korean computers after a South Korean contestant to the 2002 Winter Games in Salt Lake City was disqualified.

• The cyber-attack against Estonia could have been orchestrated by private individuals sympathetic to the Russian government or ethnic Russian citizens in Estonia, although the obviously large financial resource made available for the May 9-10 DDoS attacks places this in some doubt.

องคกรดาน Cybersecurity ในประเทศใกลเคยง

• สงคโปร – National Infocomm Security Committee (NISC) ท าหนาทก าหนดนโยบายและ

ยทธศาสตรระดบชาต โดย Infocomm Development Authority (IDA) ท าหนาทเปนเลขาธการคณะกรรมการชดน

– Singapore Infocomm Technology Security Authority (SITSA) ขน เพอด าเนนการดานปฏบตการในแกไขปญหาดาน Cybersecurity ของประเทศสงคโปร

• มาเลเซย – Cyber Security Malaysia เปนหนวยงานทมความเชยวชาญดาน Cybersecurity

ภายใต Ministry of Science, Technology and Innovation (MOSTI) http://www.cybersecurity.my

• ออสเตรเลย – Cyber Security Policy and Coordination (CSPC) Committee ท างานดานการก า

หรดนโยบายและแผนยทธศาสตรระดบชาต

Cyberwar History 1982: logic bomb in computer control systems cause the explosion of Soviet pipeline

1999: AF/91 caused Iraqi anti-aircraft guns malfunction

1999: USA has been attacked from computers and computer networks situated in China and Russia.

2006: Israel alleges that cyber-warfare was part of the conflict, where the Israel Defense Force (IDF) estimates several countries in the Middle East used Russian hackers and scientists

2007: McAfee, Inc. alleged that China was actively involved in "cyberwar." China was accused of cyber-attacks on India, Germany, and the United States

2007, April: Estonia came under cyber attack from Russia targeting ministries, banks, and media

2007, Sept.: Israel carried out an airstrike on Syria using a computer program designed to interfere with the computers of integrated air defense systems

2007: US suffered "an espionage Pearl Harbor" in which an "unknown foreign power...broke into all of the high tech agencies, all of the military agencies, and downloaded terabytes of information."

2007: Kyrgyz Central Election Commission was defaced during its election. The message left on the website read "This site has been hacked by Dream of Estonian organization". During the election campaigns and riots preceding the election, there were cases of Denial-of-service attacks against the Kyrgyz ISPs.

2008: Russian, South Ossetian, Georgian and Azerbaijani sites were attacked by hackers during the 2008 South Ossetia War.

2008: U.S. military facility in the Middle East. The Pentagon released a document, which reflected that a "malicious code" on a USB flash drive spread undetected on Pentagon systems.

2009, March: a cyber spy network, GhostNet, using servers mainly based in China has tapped into classified documents from government and private organizations in 103 countries

2009, July: a series of coordinated cyber attacks against major government, news media, and financial websites in South Korea and the United States. From North Korea and UK

2009, Dec.: through January 2010, a cyber attack, dubbed Operation Aurora, was launched from China against Google and over 20 other companies.

2010, May: Indian Cyber Army defacing Pakistani websites. In return 1000+ Indian websites were defaced by PakHaxors, TeaMp0isoN, UrduHack & ZCompany Hacking Crew, among those were the Indian CID website

2010, Sept: Iran was attacked by the Stuxnet worm. The worm is said to be the most advanced piece of malware ever discovered and significantly increases the profile of cyberwarfare.

2010, Oct.: Government Communications Headquarters (GCHQ), said Britain faces a “real and credible” threat from cyber attacks by hostile states and criminals and government systems are targeted 1,000 times each month

2010, Nov.: Indian Cyber Army hacked the websites belonging to the Pakistan Army and ministries, as a revenge of the Mumbai terrorist attack

2010, Dec.: Pakistan Cyber Army hacked the website of India's top investigating agency, the Central Bureau of Investigation (CBI).

การสรางความมนคงดานไซเบอรในระดบชาต National Cybersecurity

• ก าหนดนโยบายความนคงดานไซเบอรเปนสวนหนงของนโยบายความมนคงแหงชาต จ าเปนตองสรางยทธศาสตรดานนเปนหลกอยางหนงในการปองกนประเทศ

• สรางความรวมมอภาครฐและภาคเอกชน

• ปองกนการเกดอาชญากรรมไซเบอรหรอท าใหลดจ านวนลง

• สรางหนวยงานรบผดชอบเหตการณดานความมนคงไซเบอรโดยตรง

• สรางวฒนธรรมเกยวกบความมนคงดานไซเบอร

ขอเสนอในการเตรยมการรบมอปญหา ดาน cyber security

1 .จดตงโครงการรวมมอขามหนวยงานระหวางกระทรวง โดยมงบประมาณส าหรบ

• สรางระบบงานสารสนเทศทปลอดภย, มนคง, และสามารถท างานไดตอเนองแมเมอเกดปญหาขน

• นโยบาย, งานวจย, กฎหมาย,ขอบงคบตางๆทจ าเปน • ความตระหนกถงภยและการปรบวฒนธรรมการท างานและการใชงาน

อนเทอรเนต • ทกษะและการศกษาทจะท าใหรเทาทนโลกไซเบอร • การสรางขดความสามารถทสงขนของบคลากร และการพฒนางานวจยท

เกยวของทางเทคนค • การรวมมอกบนานาประเทศในการแกปญหาน

ขอเสนอ … (ตอ) 2. ท างานอยางใกลชดกบกลมตางๆ

ทงทเปนภาครฐ ภาคเอกชน อตสาหกรรม กลมสทธตางๆ, องคกรสาธารณะ, และพนธมตรนานาชาต

3. จดตงส านกงานความมนคงดาน

ไซเบอร (Office of Cyber Security - OCS) ใหเปนหนวยงานหลกในการก าหนดแนวทางการด าเนนงานดานความมนคงปลอดภยในภาครรฐทงหมด

4. จดตงศนยปฏบตการความนคงดานไซเบอร (Cyber Security Operations Centre - CSOC)

• เผาดสถานการณในโลกไซเบอรทอาจมผลกระทบกบประเทศไทย และประสานงานการโตตอบทเหมาะสม

• สรางความเขาใจในประเดนทเกยวของกบการถกโจมตทางไซเบอร เพอท าใหผเกยวของตางๆทราบวาจะตองเตรยมตวอยางไร และจะตองท าอะไรเมอถกโจมต

• ใหค าแนะน าและขอมลขาวสารทเกยวกบความเสยงตอภาคธรกจและประชาชนทวไป