www.rsu-igetweb.com

วันจันทร์ที่ 6 กันยายน พ.ศ. 2553

การวางแผนเพื่อความมั่นคง Planning for Security

การวางแผน (Planning) เป็นการสร้างขั้นตอนการทำงานเพื่อไปยังเป้าหมาย และแล้วก็ควบคุมขั้นตอนเหล่านั้นเพื่อกำหนดทิศทางสำหรับอนาคตขององค์กร
การวางแผน ประกอบด้วยสิ่งต่อไปนี้:
• พนักงาน
• การจัดการ
• ผู้ถือหุ้น
• ผู้ได้รับผลประโยชน์ภายนอก
• สิ่งแวดล้อมทางกายภาพ
• สิ่งแวดล้อมทางการเมืองและกฎหมาย
• สิ่งแวดล้อมทางการแข่งขัน
• สิ่งแวดล้อมทางเทคโนโลยี

วิธีการวางแผนแบบจากบนลงล่าง (Top-down method of planning)
ผู้นำขององค์กรเลือกทิศทาง การวางแผนเริ่มโดยการวางแผนทั่วไปและจบด้วยการวางแผนเฉพาะความมั่นคงสารสนเทศ

การวางแผนกลยุทธ์ (Strategic planning)
• เป็นแนวทางในความพยายามขององค์กร
• เน้นทรัพยากรตามเป้าหมายที่กำหนดได้อย่างชัดเจน

“การวางแผนกลยุทธ์เป็นความพยายามที่จะสร้างการตัดสินใจและการปฏิบัติงานพื้นฐาน ซึ่งจะทำให้เห็นว่าองค์กรจะเป็นอย่างไร ทำอะไร และทำไมถึงทำ โดยเน้นที่อนาคต”

การวางแผนกลยุทธ์ ประกอบด้วย:
• Mission statement พันธกิจ
• Vision statement วิสัยทัศน์
• Values statement ข้อความแสดงค่านิยม
• Strategy กลยุทธ์
• Coordinated plans for sub units แผนความร่วมมือสำหรับหน่วยรอง

การทราบว่ากระบวนการของแผนทั่วไปขององค์กรทำงานอย่างไร ช่วยในการวางแผนกระบวนการของความมั่นคงสารสนเทศ

พันธกิจ (Mission Statement) คือสิ่งที่ยืนยันธุรกิจขององค์กรและสิ่งที่องค์กรมุ่งหวังจะปฏิบัติ อธิบายสิ่งที่องค์กรทำ และเพื่อใคร

วิสัยทัศน์ (Vision statement) คือแสดงสิ่งที่องค์กรต้องการจะเป็น ควรแสดงความทะเยอทะยาน

ข้อความแสดงค่านิยม (Values statement)โดยการกำหนดหลักการขององค์กรในข้อความแสดงค่านิยม จะทำให้มาตรฐานขององค์กรมีความชัดเจน เราจะทำอะไรให้เป็นสิ่งที่มีคุณภาพสูง อะไรเป็นสิ่งที่ผลักดันเรา

ข้อความเกี่ยวกับพันธกิจ วิสัยทัศน์ และค่านิยม ก่อให้เกิดพื้นฐานสำหรับการวางแผนกลยุทธ์เป็นพื้นฐานสำหรับทิศทางในระยะยาว ในการวางแผน องค์กร :
• พัฒนากลยุทธ์โดยทั่วไป
• สร้างแผนกลยุทธ์เฉพาะ สำหรับแผนกหลัก ๆ

แต่ละระดับของแผนกแปลงวัตถุประสงค์เหล่านั้นเป็นวัตถุประสงค์ที่เฉพาะเจาะจงสำหรับแผนกที่อยู่ในระดับล่างลงไป เพื่อการปฏิบัติตามกลยุทธ์กว้าง ๆ นี้ ผู้บริหารต้องมีการกำหนดความรับผิดชอบด้านการจัดการของแต่ละคน เป้าหมายทางกลยุทธ์ต้องแปลงเป็นงานที่มีความเฉพาะเจาะจง วัดได้ บรรลุได้ และเป็นวัตถุประสงค์ที่สูงและทำได้สำเร็จในเวลาที่เหมาะสม

องค์ประกอบของแผนกลยุทธ์
1. บทนำโดยประธานหรือผู้บริหารอาวุโส
2. บทสรุปสำหรับผู้บริหาร
3. ข้อความเกี่ยวกับพันธกิจและวิสัยทัศน์
4. ลักษณะภาวะการณ์และประวัติขององค์กร
5. ประเด็นเกี่ยวกับกลยุทธ์และค่านิยมหลัก
6. เป้าหมายและวัตถุประสงค์ของโครงการ
7. เป้าหมายและวัตถุประสงค์ของการจัดการ/การปฏิบัติการ
8. ภาคผนวก (อาจไม่มีก็ได้) : การวิเคราะห์จุดแข็ง จุดอ่อน โอกาส และการคุกคาม (การวิเคราะห์ SWOT) การสำรวจ งบประมาณ และอื่น ๆ

การวางแผนกลเม็ด (Tactical Planning) เน้นระยะที่สั้นกว่าการวางแผนกลยุทธ์ โดยปกติจะเป็นระยะ 1 ถึง 3 ปีแตกเป้าหมายของกลยุทธ์เป็นชุดของวัตถุประสงค์ที่ต่อเนื่องกัน ถ้าการวางแผนกลยุทธ์พิจารณาถึงที่ที่ฉันต้องการจะไป การวางแผนกลเม็ด ก็คือ การพิจารณาถึงขั้นตอนที่ดีที่สุดที่จะใช้เพื่อให้ไปถึงจุดหมายนั้น

การวางแผนการปฏิบัติ (Operational Planning) ใช้โดยผู้จัดการ และพนักงาน เพื่อจัดระเบียบสิ่งที่จะดำเนินต่อไป ซึ่งเป็นการปฏิบัติงานในแต่ละวัน รวมทั้งกิจกรรมความร่วมมือที่กำหนดอย่างชัดเจน ในแผนกต่าง ๆ เช่น
• ข้อกำหนดหรือความต้องการในการสื่อสาร
• การประชุมประจำสัปดาห์
• บทสรุป
• รายงานความก้าวหน้า

วงจรชีวิตของการพัฒนาระบบThe Systems Development Life Cycle (SDLC)
วิธีที่จะออกแบบและติดตั้งระบบสารสนเทศในองค์กร โครงการที่ใช้วงจร SDLC อาจคิดขึ้นจากเหตุการณ์หรือจากการวางแผน ในตอนท้ายของแต่ละขั้นตอน มีการทบทวน โดยวิเคราะห์ความเป็นไปได้ เมื่อผู้ทบทวนพิจารณาว่าโครงการควรจะทำต่อ ยกเลิก จ้างคนภายนอกทำ หรือ ชะลอออกไปก่อน ใช้วิธีการต่าง ๆ เพื่อให้เข้าใจความเป็นไปได้ในด้านเศรษฐกิจ เทคนิค และพฤติกรรมของกระบวนการที่จะทำ
1 การค้นหาความจริง (Investigation) ค้นให้พบปัญหาที่จะแก้ เริ่มด้วยจุดมุ่งหมาย ข้อจำกัด และขอบเขตของโครงการ การวิเคราะห์ความคุ้มค่าในเบื้องต้นเพื่อประเมินผลประโยชน์ที่จะได้รับและทุนที่จะต้องใช้เพื่อให้ได้ประโยชน์ดังกล่าว
2 การวิเคราะห์ (Analysis) เริ่มด้วยสารสนเทศจากขั้นการค้นหาความจริง ประเมินความพร้อมขององค์กร สถานะของระบบปัจจุบัน และความสามารถที่จะดำเนินการและสนับสนุนระบบที่เราเสนอนักวิเคราะห์จะพิจารณาสิ่งที่คาดว่าระบบใหม่จะทำ และมันจะปฏิสัมพันธ์กับระบบที่มีอยู่อย่างไร
3 การออกแบบทางตรรกะ (Logical Design) สารสนเทศที่ได้จากขั้นการวิเคราะห์ใช้เพื่อเสนอทางเลือกในการแก้ปัญหา ระบบ และ/หรือ การประยุกต์จะถูกเลือกตามความต้องการทางธุรกิจ การออกแบบทางตรรกะ จะเป็นการพิมพ์เขียวสำหรับการดำเนินการตามทางเลือกที่ต้องการ
4 การออกแบบกายภาพ (Physical Design) ในระหว่างขั้นการออกแบบกายภาพ ทีมงานจะเลือกเทคโนโลยีที่เหมาะสม องค์ประกอบที่ได้รับเลือกจะถูกประเมินเพื่อตัดสินใจว่าจะทำเอง หรือซื้อ
5 การติดตั้งระบบ (Implementation) การพัฒนาซอฟท์แวร์ ที่ไม่ได้จากการซื้อ และสร้างความสามารถที่จะบูรณาการได้ องค์ประกอบที่ถูกปรับจะถูกทดสอบและทำเอกสารประกอบ ผู้ใช้ถูกอบรม และมีการทำเอกสารสนับสนุน เมื่อทุกองค์ประกอบถูกทดสอบแต่ละองค์ประกอบแล้วจะต้องมีการติดตั้งและทดสอบโดยรวมด้วย
6 การบำรุงรักษา (Maintenance) งานที่ต้องมีการสนับสนุน และปรับระบบให้ทำงานได้ตลอดชีวิตที่เหลือของมัน ระบบถูกทดสอบเป็นระยะ เพื่อให้เป็นไปตามคุณลักษณะ ประเมินความเป็นไปได้ของการดำเนินการต่อไป หรือควรหยุดยกระดับ และปรับให้ทันสมัย เมื่อระบบปัจจุบันไม่สามารถสนับสนุนพันธกิจขององค์กรได้ต่อไป จะต้องถูกยกเลิกและต้องมีโครงการพัฒนาระบบใหม่

Security Systems Development Life Cycle (SecSDLC)
วงจรชีวิตของการพัฒนาระบบความมั่นคงสารสนเทศ อาจมีข้อแตกต่างในหลายประการ แต่โดยรวมแล้ว วิธีการจะคล้ายกับวงจรชีวิตของการพัฒนาระบบ (SDLC) กระบวนการพัฒนาระบบความมั่นคงสารสนเทศ (SecSDLC process involves) ประกอบด้วย การทราบการคุกคามเฉพาะและความเสี่ยงที่มีของการคุกคามนั้น ๆ การออกแบบและดำเนินการตามการควบคุมเพื่อตอบโต้การคุกคาม และช่วยในการจัดการความเสี่ยงที่การคุกคามมีต่อองค์กร

1. การค้นหาความจริง (SecSDLC: Investigation) มักจะเริ่มด้วยการการชี้แนะจากฝ่ายบริหารโดยการกำหนดกระบวนการ ผลที่จะได้ และเป้าหมายของโครงการและงบประมาณ กำหนดทีมงานที่จะวิเคราะห์ปัญหา กำหนดขอบเขต วางเป้าหมาย และระบุข้อจำกัดต่าง ๆ วิเคราะห์ความเป็นไปได้เพื่อพิจารณาว่าองค์กรมีทรัพยากรและความรับผิดชอบที่จะต้องวิเคราะห์และออกแบบความมั่นคงที่ประสบความสำเร็จได้หรือไม่

2. การวิเคราะห์ (SecSDLC: Analysis) การวิเคราะห์เบื้องต้นเกี่ยวกับนโยบาย หรือ โครงการความมั่นคงที่มีอยู่ จะทำขนานไปกับการคุกคามที่ทราบ และการควบคุมในปัจจุบัน รวมทั้งการวิเคราะห์ในประเด็นที่เกี่ยวกับกฎหมายที่เกี่ยวข้องซึ่งอาจมีผลต่อการออกแบบระบบความมั่นคง

การบริหารความเสี่ยงจะเริ่มในขั้นนี้ การบริหารความเสี่ยง: กระบวนการที่ค้นหา วัด และประเมินระดับของความเสี่ยงที่องค์กรกำลังประสบอยู่โดยเฉพาะอย่างยิ่งการคุกคามที่มีต่อสารสนเทศที่เก็บและผ่านการประมวลผลโดยองค์กร เพื่อให้เข้าใจดียิ่งขึ้น ขั้นการวิเคราะห์ของ SecSDLC ท่านควรจะทราบสิ่งที่เกี่ยวกับชนิดของการคุกคามที่องค์กรประสบอยู่ ในบริบทนี้ การคุกคามจะเป็นวัตถุ บุคคล หรือสิ่งอื่น ๆ ที่แทนอันตรายที่แน่นอนที่มีต่อสินทรัพย์หนึ่ง ๆ

การบริหารความเสี่ยง (Risk management)
ใช้วิธีบางประการที่จะให้ระดับความสำคัญของความเสี่ยงในแต่ละประเภทของการคุกคาม และวิธีการโจมตีที่สัมพันธ์กัน เพื่อจัดการความเสี่ยง ท่านต้องค้นหา และวัดคุณค่าของสินทรัพย์สารสนเทศของท่าน การประเมินความเสี่ยงจะสามารถกำหนดระดับของความเสี่ยง หรือ กำหนดคะแนนให้แต่ละสินทรัพย์สารสนเทศ

การบริหารความเสี่ยงจะระบุความอ่อนแอของระบบสารสนเทศ และ ต้องมีขั้นตอนที่ระมัดระวังเพื่อประกันความลับ ความถูกต้อง และการมีให้ใช้ได้ ขององค์ประกอบต่าง ๆ ทั้งหมดในระบบสารสนเทศขององค์กร
การออกแบบ (SecSDLC: Design)
ขั้นการออกแบบ ที่จริงแล้วจะประกอบไปด้วย 2 ขั้นตอน :
1. ขั้นการออกแบบทางตรรกะ : สมาชิกของทีมงานคิด และพัฒนาพิมพ์เขียวสำหรับความมั่นคง และ พิจารณาและดำเนินการนโยบายหลัก
2. ขั้นการออกแบบทางกายภาพ : สมาชิกของทีมงานประเมินเทคโนโลยีที่ต้องการเพื่อสนับสนุนพิมพ์เขียว ทางความมั่นคง คิดทางเลือก และลงความเห็นในแบบขั้นสุดท้าย

ตัวแบบความมั่นคง (Security models)
ผู้จัดการความมั่นคงมักจะใช้ตัวแบบความมั่นคงที่ได้สร้างหรือกำหนดไว้เพื่อเป็นแนวทางในออกแบบ

กระบวนการ ตัวแบบความมั่นคง ทำให้ได้กรอบที่แน่ใจได้ว่าทุก ๆ ประเด็นของความมั่นคงได้รับการพิจารณา องค์กรสามารถปรับหรือเลือกกรอบที่เหมาะกับความต้องการความมั่นคงสารสนเทศ

องค์ประกอบที่สำคัญของการออกแบบโครงการความมั่นคงสารสนเทศ คือ นโยบายความมั่นคงสารสนเทศ การจัดการต้องมีนโยบายความมั่นคง 3 ประเภท :
1. นโยบายทั่วไป หรือนโยบายโครงการความมั่นคง
2. นโยบายความมั่นคงเฉพาะประเด็น
3. นโยบายความมั่นคงเฉพาะระบบ

องค์ประกอบอื่นของโครงการความมั่นคงสารสนเทศ คือโครงการการศึกษาและการฝึกอบรมเกี่ยวกับความมั่นคง

โครงการ SETA ประกอบด้วยองค์ประกอบ 3 ประการ :
1. การศึกษาเกี่ยวกับความมั่นคง
2. การฝึกอบรมเกี่ยวกับความมั่นคง
3. ความตระหนักในความมั่นคง
วัตถุประสงค์ของ SETA ก็คือการส่งเสริมความมั่นคง โดย:
• Improving awareness การเพิ่มความตระหนัก
• Developing skills & knowledge การพัฒนาทักษะและความรู้
• Building in-depth knowledgeการสร้างความรู้เชิงลึก ความตั้งใจต้องมุ่งไปสู่การออกแบบการควบคุมและความปลอดภัยที่ใช้ในการป้องกันสารสนเทศจากการโจมตีโดยสิ่งคุกคาม

การควบคุม 3 ประการ :
1. การควบคุมการจัดการ
2. การควบคุมการปฏิบัติการ
3. การควบคุมด้านเทคนิค

การควบคุมการจัดการ (Managerial controls) เน้นการออกแบบและดำเนินการกระบวนการวางแผนความมั่นคง และการจัดการโครงการความมั่นคง การควบคุมการจัดการ ยังเน้น :
• การจัดการความเสี่ยง
• การทบทวนการควบคุมความมั่นคง

การควบคุมการปฏิบัติการ Operational controls  ครอบคลุมหน้าที่ทางการจัดการ และการวางแผนในระดับที่ต่ำกว่า ซึ่งประกอบด้วย :
• การฟื้นฟูจากอุบัติภัย
• การวางแผนตอบสนองต่อเหตุการณ์
• การควบคุมการปฏิบัติการ ยังเน้น ความมั่นคงด้านบุคลากร  ความมั่นคงด้านกายภาพ และการป้องกันสิ่งที่ป้อนเข้าและผลลัพธ์ของการผลิต

การควบคุมด้านเทคนิค เน้นประเด็นที่เกี่ยวกับกลเม็ดและเทคนิคที่สัมพันธ์กับการออกแบบและการดำเนินการเกี่ยวกับความมั่นคงในองค์กร ต้องมีการพิจารณาและเลือกเทคโนโลยีที่จำเป็นในการป้องกันสารสนเทศ

การวางแผนรองรับการเกิดเหตุการณ์ฉุกเฉิน
การเตรียมเอกสารที่สำคัญจะทำให้ได้แผนรองรับการเกิดเหตุการณ์ฉุกเฉิน เพื่อเตรียมการปฏิบัติและ การฟื้นฟูจากเหตุการณ์ที่คุกคามองค์กร
• การวางแผนตอบสนองต่อเหตุการณ์ Incident response planning (IRP)
• การวางแผนฟื้นฟูจากวิบัติภัย Disaster recovery planning (DRP)
• การวางแผนเพื่อให้ธุรกิจดำเนินการไปอย่างต่อเนื่อง Business continuity planning (BCP)

ความมั่นคงด้านกายภาพเน้นที่การออกแบบ การติดตั้งและบำรุงรักษาระบบตอบโต้เพื่อป้องกันทรัพยากรทางด้านกายภาพขององค์กร

ทรัพยากรด้านกายภาพ ประกอบด้วย :
• บุคคล
• ฮาร์ดแวร์
• องค์ประกอบที่สนับสนุนระบบสารสนเทศ

การติดตั้งระบบทางเลือกของความมั่นคง คือการจัดหา การทดสอบ และติดตั้ง และการทดสอบอีกครั้ง

ประเด็นที่เกี่ยวกับบุคลากรจะถูกประเมิน และดำเนินการโครงการให้การศึกษาหรือฝึกอบรมเกี่ยวกับความมั่นคง

องค์ประกอบที่สำคัญของขั้นการติดตั้งระบบคือการจัดการแผนงานของโครงการ  การดำเนินงานของแผนงานของโครงการมี 3 ขั้นตอนคือ
• การวางแผนโครงการ
• ติดตามตรวจตรางานและขั้นตอนการปฏิบัติงานในแผนงานของโครงการ
• สรุปแผนงานของโครงการ

ทีมงานของโครงการความมั่นคงสารสนเทศควรจะประกอบด้วยบุคคลที่มีประสบการณ์ในด้านเทคนิค และในด้านที่ไม่เน้นเทคนิค ในหนึ่ง หรือมากกว่า 1 แขนง ดังนี้
• ผู้บริหารอาวุโส ที่ให้การสนับสนุนทั้งด้านการเงินและการบริหาร ซึ่งอยู่ในระดับสูงสุดขององค์กร
• ผู้นำทีม หรือผู้จัดการโครงการ
• ผู้พัฒนานโยบายความมั่นคง
• ผู้เชี่ยวชาญด้านการประเมินความเสี่ยง
• นักวิชาชีพความมั่นคง ซึ่งผ่านการฝึกอบรมหรือได้รับการศึกษามาอย่างดีในด้านความมั่นคงสารสนเทศ
• ผู้บริหารระบบ
• ผู้ใช้

การจัดหาบุคลากรในหน้าที่ความมั่นคงสารสนเทศ
แต่ละองค์กรควรจะพิจารณาทางเลือกในการจัดบุคลากรสำหรับทำหน้าที่ความมั่นคงสารสนเทศ ตัดสินว่าจะกำหนดตำแหน่งและตั้งชื่อหน้าที่ความมั่นคงอย่างไร วางแผนเพื่อให้ได้บุคลากรที่ทำหน้าที่ ความมั่นคงสารสนเทศอย่างเหมาะสม เข้าใจผลกระทบของความมั่นคงสารสนเทศทุก ๆ บทบาทของเทคโนโลยีสารสนเทศ บูรณาการสังกัปของ ความมั่นคงสารสนเทศเข้ากับการจัดการบุคลากรขององค์กร

การสนับสนุนโครงการความมั่นคงสารสนเทศต้องใช้นักวิชาชีพอย่างกว้างขวาง ดังนี้
• Chief Information Officer (CIO)
ผู้บริการระดับสูงด้านสารสนเทศ รับผิดชอบด้านการปรับกลยุทธ์ขององค์กรให้เป็นแผนปฏิบัติการด้านระบบสารสนเทศ หรือแผนกประมวลผลข้อมูลขององค์กร
• Chief Information Security Officer (CISO)
ผู้บริการระดับสูงด้านความมั่นคงสารสนเทศ รับผิดชอบการประเมิน จัดการและ ติดตั้งระบบความมั่นคงสารสนเทศขององค์กร
• Security managers
ผู้จัดการความมั่นคง รับผิดชอบการปฏิบัติงานด้านความมั่นคงสารสนเทศในแต่ละวัน
• Security technicians
นักเทคนิคความมั่นคง รับผิดชอบด้านการป้องกันการบุกรุก และระบบการป้องกัน การติดตั้งซอฟต์แวร์ วินิจฉัยและแก้ไขปัญหา และประสานงานกับผู้บริหารระบบ และผู้บริหารเครือข่าย
• Data owners
เจ้าของข้อมูล รับผิดชอบต่อความมั่นคงและการใช้สารสนเทศชุดใดชุดหนึ่ง
• Data custodians
ผู้รับผิดชอบข้อมูล ทำงานโดยตรงกับเจ้าของข้อมูล และรับผิดชอบในการเก็บ บำรุงรักษา และป้องกันข้อมูล
• Data users
ผู้ใช้ข้อมูล ซึ่งทำงานกับสารสนเทศในงานแต่ละวันเพื่อสนับสนุนพันธกิจขององค์กร หลาย ๆ องค์กรจัดให้มีการรับรองทางวิชาชีพเพื่อให้สามารถค้นหาความสามารถของผู้สมัครงาน ดังนี้
• CISSP (The Certified Information System Security Professionals)
• SSCP (The System Security Certified Practitioner)
• SCP (The Security Certified Professionals)
• CISM (The Certified Information System Manager)

การบำรุงรักษา
เมื่อโครงการความมั่นคงสารสนเทศได้ถูกติดตั้งแล้ว มันต้องมีการดำเนินการ มีการจัดการที่เหมาะสม และทำให้กระบวนการต่าง ๆ มีความทันสมัย ถ้าโครงการไม่มีการปรับปรุงที่เพียงพอให้ทันต่อความเปลี่ยนแปลงในสิ่งแวดล้อมภายใน หรือภายนอก มันอาจจะต้องเริ่มวงจรใหม่อีกครั้งหนึ่ง เมื่อมีการออกแบบตัวแบบการจัดการระบบ เพื่อใช้ในการจัดการ และดำเนินการระบบ ตัวแบบการบำรุงรักษาก็ต้องเน้นที่ความพยายามขององค์กรในการบำรุงรักษาระบบ
1. การเฝ้าดูภายนอก เพื่อให้มีความตระหนักต่อการคุกคาม หรือการโจมตีจากภายนอก
2. การเฝ้าดูภายใน เพื่อให้ตระหนักในเครือข่ายขององค์กร
3. การวางแผนและการประเมินความเสี่ยง
4. การประเมินความอ่อนแอ และการแก้ไข
5. ความพร้อม และการทบทวน
6. การประเมินความอ่อนแอ

ประเด็นหนึ่งที่มีการวางแผนในวงจรชีวิตของการพัฒนาระบบความมั่นคง คือ ตัวแบบการจัดการระบบ

ตัวแบบของ ISO ในการจัดการเครื่องข่าย ประกอบด้วย 5 ประการ:
1. การจัดการความผิดพลาด
2. การกำหนดและการจัดการการเปลี่ยนแปลง
3. การจัดการบัญชีและการตรวจสอบ
4. การจัดการความสามารถ
5. การจัดการความมั่นคง
Systems Management Model ตัวแบบการจัดการระบบ
การจัดการความผิดพลาด ประกอบด้วยการค้นหา การติดตาม การวินิจฉัย และการแก้ไขความผิดพลาด
ในระบบ การจัดการการกำหนดเป็นการบริหารองค์ประกอบของโครงการความมั่นคง การจัดการการเปลี่ยนแปลงเป็นการบริหารการเปลี่ยนแปลงของกลยุทธ์ การปฏิบัติ หรือ องค์ประกอบของโครงการความมั่นคงสารสนเทศ การจัดการด้านบัญชีและการตรวจสอบ ประกอบด้วยการคืนเงินและการเฝ้าดูระบบการจัดการความสามารถ เป็นการพิจารณาว่าระบบความมั่นคงสามารถทำงานได้อย่างมีประสิทธิภาพหรือไม่

การจัดการโครงการความมั่นคง (Security Program Management)
เมื่อโครงการความมั่นคงสารสนเทศทำงาน มันต้องมีการปฏิบัติงานและมีการจัดการ
เพื่อช่วยเหลือการจัดการอย่างแท้จริงของโครงการความมั่นคงสารสนเทศ มาตรฐานการจัดการโดยทั่วไปสามารถทำให้มีความเข้าใจถึงกระบวนการและขั้นตอนที่ต้องการได้ สามารถเป็นตัวแบบ BS7799/ISO17799 หรือ ตัวแบบ NIST ที่เคยทราบมาแล้ว

สรุป SDLC และ SecSDLC ต่างก็มี 6 ขั้นตอน
1. ค้นหาความจริง
2. วิเคราะห์
3. ออกแบบตรรกะ
4. ออกแบบทางกายภาพ
5. ติดตั้งระบบ
6. บำรุงรักษา

หลายองค์กรได้คำนึงถึงเรื่องความมั่นคงปลอดภัยของสารสนเทศมากขึ้น โดยได้มีการวางแผนจัดการความมั่นคงปลอดภัยให้เกิดขึ้นอย่างเป็นกระบวนการ และดำเนินไปด้วยความต่อเนื่อง ทั้งนี้ ก็เพื่อบรรลุเป้าหมายของการสร้างความมั่นคงปลอดภัยของสารสนเทศ นั่นคือ สารสนเทศจะต้องเป็นความลับ (Confidentiality) มีความสมบูรณ์ และบูรณภาพ (Integrity) พร้อมใช้เสมอ (Availability) ถูกต้องแม่นยำ (Accuracy) เป็นของแท้ (Authenticity) และมีความเป็นส่วนตัว (Privacy) หัวใจสำคัญที่จะทำให้งานสร้างความมั่นคงปลอดภัยของสารสนเทศขององค์กรประสบผลสำเร็จ ไม่ใช่การใช้เทคโนโลยีเพียงอย่างเดียว แต่เป็นการสร้างจิตสำนึกและความรับผิดชอบให้เกิดขึ้นกับพนักงานในองค์กร ในการใช้งานระบบและข้อมูลของลูกค้า

สำหรับการบริหารความเสี่ยงของข้อมูลสารสนเทศในการประเมินความเสี่ยง (Risk Assessment) นั้น  องค์กรทั้งหลายมักใช้การประเมินความเสี่ยงในการตรวจสอบขอบเขตของความเสี่ยงและภัยคุกคามที่สัมพันธ์กับระบบสารสนเทศ ซึ่งมักรวมไปถึงช่วงชีวิตของการพัฒนาระบบ(SDLC: System Development Life Cycle) ด้วย ซึ่งผลที่ได้จากกระบวนการนี้ช่วยให้สามารถหาวิธีการควบคุมที่เหมาะสม สำหรับการลดหรือกำจัดความเสี่ยงที่เกิดขึ้นได้เป็นอย่างดี

เนื่องจากความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ที่ก่อให้เกิดภัยคุกคามในระบบที่มีการป้องกันอ่อนแอกับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น ดังนั้นในการตรวจสอบโอกาสที่จะเกิดเหตุการณ์หรือภัยคุกคามหนึ่งๆ ในอนาคตที่มีต่อระบบข้อมูลขององค์กรนั้น ก็จะมาวิเคราะห์ที่ความอ่อนแอและวิธีการ
ควบคุมของระบบกับผลกระทบที่เกิดขึ้น ซึ่งจะพิจารณาดูที่ความรุนแรงเป็นสำคัญ วิธีการประเมินความเสี่ยงสามารถแบ่งเป็น 9 ขั้นตอน ดังนี้
1. การอธิบายลักษณะของระบบ (System Characterization)
2. การบ่งชี้ภัยคุกคาม (Threat Identification)
3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
4. การวิเคราะห์การควบคุม (Control Analysis)
5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
6. การวิเคราะห์ผลกระทบ (Impact Analysis)
7. การตรวจสอบความเสี่ยง (Risk Determination)
8. การเสนอวิธีการควบคุม (Control Recommendations)
9. การทำเอกสารสรุปผล (Result Documentation)

ในที่นี้จะขอยกตัวอย่างถึงการวิเคราะห์ภัยคุกคามที่มีต่อระบบข้อมูลสารสนเทศ จากที่กล่าวมาแล้วก็จะไปวิเคราะห์ที่ความอ่อนแอ ไม่มั่นคงของสภาพแวดล้อมของระบบ ซึ่งจะใช้เป็นตัวการบ่งชี้ความไม่มั่นคง (Vulnerability Identification) นั่นเอง เป้าหมายของขั้นตอนนี้คือการพัฒนารายการ ความไม่มั่นคงของระบบที่ทำให้ระบบมีโอกาสได้รับภัยคุกคาม
อ้างอิง

www.scaat.in.th/Bachelor/new/2_2551/4123458/091151.doc
http://fortimax.co.uk/images/graphic_sdlc.gif
http://www.tpa.or.th/tpanews/upload/mag_content/12/ContentFile80.pdf

ไม่มีความคิดเห็น:

แสดงความคิดเห็น