IT Security Audit
นิยามและคำจำกัดความของความปลอดภัยสารสนเทศ
การรักษาความมั่นคงปลอดภัยด้านไอซีที ประกอบด้วยการรักษาคุณค่าพื้นฐาน สามประการ ได้
แก่ การรักษาความลับ (Confidentiality) บูรณภาพ (Integrity) และความพร้อมใช้งาน (Availability)
ซึ่งมีคำจำกัดความที่สำคัญดังนี้
“เทคโนโลยีสารสนเทศ (IT)” หมายถึง เทคโนโลยีสำหรับการประมวลผลสารสนเทศ ซึ่งจะ
ครอบคลุมถึงการรับส่ง แปลง ประมวลผล และสืบค้นสารสนเทศ โดยมีองค์ประกอบ 3 ส่วนคือ
คอมพิวเตอร์ การสื่อสารและสารสนเทศ ซึ่งต้องอาศัยการทำงานร่วมกัน
“ความลับ (Confidentiality)” คือ การรับรองว่าจะมีการเก็บรักษาข้อมูลไว้เป็นความลับและจะมี
เพียงผู้มีสิทธิเท่านั้นที่จะสามารถเข้าถึงข้อมูลเหล่านั้นได้
“บูรณภาพ (Integrity)” คือการรับรองว่าข้อมูลจะไม่ถูกกระทำการใดๆ อันมีผลให้เกิดการ
เปลี่ยนแปลงหรือแก้ไขจากผู้ซึ่งไม่มีสิทธิ ไม่ว่าการกระทำนั้นจะมีเจตนาหรือไม่ก็ตาม
“ความพร้อมใช้งาน (Availability)” คือการรับรองได้ว่าข้อมูลหรือระบบเทคโนโลยีสารสนเทศ
ทั้งหลายพร้อมที่จะให้บริการในเวลาที่ต้องการใช้งาน
“การพิสูจน์ฝ่าย (Authentication)” คือการตรวจสอบและการพิสูจน์สิทธิของการขอเข้าใช้
ระบบของผู้ใช้บริการจากรายชื่อผู้มีสิทธิ สำหรับอุปกรณ์ไอที รวมถึงแอพพลิเคชันทั้งหลาย
“การพิสูจน์สิทธิ์ (Authorization)” หมายถึงการตรวจสอบว่า บุคคล อุปกรณ์ไอที หรือ
แอพพลิเคชัน นั้นๆ ได้รับอนุญาตให้ดำเนินการอย่างหนึ่งอย่างใดต่อระบบสารสนเทศหรือไม่
“การเก็บสำรองข้อมูล (Data backup)” หมายถึง ในระหว่างการเก็บสำรอง สำเนาของชุดข้อมูล
ปัจจุบันจะถูกสร้างขึ้นมา เพื่อป้องกันการสูญหาย
“การปกป้องข้อมูล (Data protection)” หมายถึงการป้องกันข้อมูลส่วนบุคคลต่อการประสงค์
ร้ายของบุคคลที่สาม
“การรักษาความมั่นคงปลอดภัยของข้อมูล (Data security)” หมายถึง การป้องกันข้อมูลใน
บริบทของ การรักษาความลับ บูรณภาพ และความพร้อมใช้งานของข้อมูล ซึ่งสามารถใช้แทน การ
รักษาความมั่นคงปลอดภัยของสารสนเทศได้
“การประเมินความเสี่ยง หรือการวิเคราะห์ความเสี่ยง (Risk assessment or analysis)” ของ
ระบบสารสนเทศ หมายถึง การตรวจสอบโอกาสของผลลัพธ์ใดๆ ที่ไม่พึงประสงค์ ต่อระบบฯ และ
ผลเสียที่อาจจะเกิดขึ้นตามมาได้
“นโยบายด้านความมั่นคงปลอดภัย (Security policy)” หมายถึงนโยบายที่แสดงเป้าหมายที่จะ
ต้องปกป้อง และขั้นตอนทั่วไปของกระบวนการรักษาความมั่นคงปลอดภัย ในบริบทของความ
ต้องการอย่างเป็นทางการขององค์กร รายละเอียดของวิธีการด้านความมั่นคงปลอดภัยมักจะอธิบาย
แยกไว้ในรายงานต่างหาก
การประเมินและวิเคราะห์ความเสี่ยงด้านสารสนเทศ
ข้อมูล (Information) คือ ข้อมูลที่ผ่านการประมวลผลด้วยวิธีที่เหมาะสมและถูกต้องเพื่อให้ได้ผลลัพธ์ตรงตามความต้องการของผู้ใช้ อยู่ในรูปแบบที่ใช้งานได้ดังนั้นข้อมูลจึงเปรียบเสมือนทรัพย์สินทางธุรกิจที่มีมูลค่าแก่องค์กรนั้นๆ และจำเป็นอย่างยิ่งที่จะต้องมีการป้องกันที่เหมาะสม
การรักษาความปลอดภัยทางข้อมูล (Information Security) คือ การป้องกันข้อมูลจากภัยคุกคาม (Threat) เพื่อที่จะทำให้เกิดความมั่นใจว่าธุรกิจจะสามารถดำเนินงานได้อย่างต่อเนื่อง สามารถลดความเสียหายที่อาจเกิดแก่ธุรกิจ และสามารถเพิ่มอัตราผลตอบแทนจากการลงทุนและโอกาสทางธุรกิจได้
ความเสี่ยง (Risk) คือ โอกาสซึ่งก่อให้เกิดภัยคุกคามโดยการใช้ประโยชน์จากจุดบกพร่องหรือความอ่อนแอซึ่งเป็นสาเหตุของความสูญเสีย หรือการทำลายทรัพย์สินหรือกลุ่มของทรัพย์สิน และมีผลกระทบทั้งทางตรงและทางอ้อมต่อองค์กร
การประเมินความเสี่ยง (Risk Assessment)
การประเมินความเสี่ยงเป็นกระบวนการแรกในวิธีการบริหารจัดการความเสี่ยง องค์กรทั้งหลายมักใช้การประเมินความเสี่ยงในการตรวจสอบขอบเขตของความเสี่ยงและภัยคุกคามที่สัมพันธ์กับระบบสารสนเทศรวมไปถึงช่วงชีวิตของการพัฒนาระบบ (SDLC: System Development Life Cycle) ผลที่ได้จากกระบวนการนี้ช่วยให้สามารถหาวิธีการควบคุมที่เหมาะสมสำหรับการลดหรือกำจัดความเสี่ยงที่เกิดขึ้น
ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอในการปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น ในการตรวจสอบโอกาสในการเกิดเหตุการณ์หรือภัยคุกคามหนึ่งๆ ในอนาคตที่มีต่อระบบข้อมูลขององค์กรนั้นจะต้องวิเคราะห์จากความอ่อนแอ และวิธีการควบคุมของระบบ ใน ขณะที่ผลกระทบที่เกิดขึ้นจะพิจารณาที่ความรุนแรง วิธีการประเมินความเสี่ยงสามารถแบ่งเป็น 9 ขั้นตอนดังนี้
1. การอธิบายลักษณะของระบบ (System Characterization)
2. การบ่งชี้ภัยคุกคาม (Threat Identification)
3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
4. การวิเคราะห์การควบคุม (Control Analysis)
5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
6. การวิเคราะห์ผลกระทบ (Impact Analysis)
7. การตรวจสอบความเสี่ยง (Risk Determination)
8. การเสนอวิธีการควบคุม (Control Recommendations)
9. การทำเอกสารสรุปผล (Result Documentation)
1.การอธิบายลักษณะของระบบ (System Characterization)
ในการประเมินความเสี่ยงในระบบข้อมูลสารสนเทศ ขั้นตอนแรกคือการระบุของเขตในการพิจารณาซึ่งจะต้องคำนึงถึงจำนวนทรัพยากรและข้อมูลข่าวสารที่มีอยู่ในระบบ การอธิบายลักษณะระบบข้อมูลสารสนเทศจะต้องกำหนดขอบเขตในการประเมินความเสี่ยง จำแนกขอบเขตการให้สิทธิในการทำงาน และเตรียมข้อมูลที่มีผลต่อความเสี่ยง เช่น อุปกรณ์ฮาร์ดแวร์ ซอฟแวร์ และการเชื่อมต่อระบบเป็นต้น
1.1 ข้อมูลที่สัมพันธ์กับระบบ (System-Related Information)
การระบุความเสี่ยงในระบบข้อมูลสารสนเทศ ต้องอาศัยความเข้าใจในสภาพแวด ล้อมของกระบวนการภายในระบบ ผู้ที่มีหน้าที่ในการประเมินความเสี่ยงต้องรวบรวมข้อมูลที่สัมพันธ์กับระบบทั้งหมดก่อน ซึ่งปกติสามารถจำแนกประเภทได้ดังนี้
1.1.1 อุปกรณ์ฮาร์ดแวร์
1.1.2 ซอฟแวร์
1.1.3 การเชื่อมต่อระบบทั้งภายในและภายนอกระบบ
1.1.4 ข้อมูลและข่าวสาร
1.1.5 บุคคลผู้ที่ดูแลและใช้งานระบบ
1.1.6 พันธกิจของระบบ เช่น กระบวนการที่ทำโดยระบบข้อมูลสารสนเทศ
1.1.7 ความสำคัญของข้อมูลและระบบ เช่น คุณค่าของระบบ หรือความสำคัญที่มีต่อองค์กร
1.1.8 ระดับการปกป้องข้อมูลและระบบ
นอกจากนี้ยังมีข้อมูลเพิ่มเติมที่เกี่ยวข้องกับสภาพแวดล้อมในการทำงานของข้อมูลและระบบอีก เช่น นโยบายความปลอดภัยของระบบขององค์กร โครงสร้างการรักษาความปลอดภัยของระบบ สถาปัตยกรรมเครือข่ายปัจจุบัน การควบคุมการทำงานของระบบ เป็นต้น
1.2 เทคนิคการรวบรวมข้อมูล (Information-Gathering Techniques) เทคนิดที่สามารถนำมาใช้ประกอบไปด้วย 2 ส่วน ได้แก่ ส่วนแบบสอบถาม และส่วนการสัมภาษณ์ตามสถานที่จริง
ส่วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้อมูลที่เกี่ยวข้อง ผู้ที่ทำการประเมินความเสี่ยงสามารถปรับปรุงแบบสอบถาม ซึ่งเกี่ยวข้องกับการบริหารและการควบคุมการปฏิบัติงานที่วางแผนหรือถูกนำไปใช้กับระบบข้อมูลสารสนเทศได้ แบบสอบถามนี้ควรจะสามารถใช้ได้ทั้งกับบุคคลที่มีความรู้ทางด้านเทคนิคและบุคคลที่มีความรู้ด้านการบริหารจัดการที่ทำงานเกี่ยวข้องกับระบบข้อมูลสารสนเทศ นอกจากนี้แบบสอบถามยังสามารถนำไปใช้ในกรณีที่มีการสัมภาษณ์ได้อีกด้วย
ส่วนการสัมภาษณ์ตามสถานที่จริง (On-site Interviews) การสัมภาษณ์บุคคลที่มีหน้าที่ดูแลหรือบริหารระบบข้อมูลสารสนเทศทำให้ผู้ประเมินความเสี่ยงสามารถรวบรวมข้อมูลที่มีประโยชน์ได้อย่างเต็มที่ การเข้าไปตามสถานที่จริงทำให้ผู้ประเมินความเสี่ยงสามารถสังเกตและรวบรวมข้อมูลเกี่ยวกับลักษณะทางกายภาพ สภาพแวดล้อม และการรักษาความปลอดภัยในเชิงปฏิบัติของระบบข้อมูลสารสนเทศได้ การตรวจเอกสาร (Document Review) เอกสารนโยบายบริษัท เอกสารเกี่ยวกับระบบ และเอกสารที่เกี่ยวกับการรักษาความปลอดภัยสามารถนำมาใช้เป็นข้อมูลที่ดีในการประเมินได้
2. การบ่งชี้ภัยคุกคาม (Threat Identification)
ภัยคุกคาม คือ สิ่งที่เป็นไปได้ที่แหล่งกำเนิดภัยคุกคามจะกระทำต่อสิ่งที่ไม่มีความมั่นคง ความไม่มั่นคงคือความอ่อนแอของสิ่งหนึ่งทำให้ได้รับผลกระทบจากภายนอกได้ง่าย การพิจารณาความเป็นไปได้ของการเกิดภัยคุกคามจึงต้องพิจารณาจากแหล่งกำเนิดภัยคุกคาม ความอ่อนแอไม่มั่นคง และการควบคุมที่มีอยู่
การบ่งชี้แหล่งกำเนิดภัยคุกคาม(Threat-Source Identification) เป้าหมายของขั้นตอนนี้คือ ระบุแหล่งกำเนิดของภัยคุกคามและประมวลผลเป็นรายชื่อภัยคุกคามที่มีผลต่อระบบข้อมูลสารสนเทศเพื่อนำมาใช้ในการประเมิน แหล่งกำเนิดของภัยคุกคามโดยทั่วไปสามารถแบ่งออกเป็น 3 ประเภทดังนี้
ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่น น้ำท่วม แผ่นดินไหว พายุ เป็นต้น
ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทั้งการกระทำที่เกิดจากความไม่ตั้งใจและการกระทำผิดโดยเจตนา
ประเภทสาม ภัยคุกคามจากสภาพแวดล้อม (Environment Threats) เช่น ระบบไฟฟ้าขัดข้อง, มลภาวะ, สารเคมีรั่วไหล เป็นต้น
ปฏิกิริยาแรงกระตุ้นและการคุกคาม (Motivation and Threat Actions) แรงกระตุ้นและแหล่งกำเนิดที่นำมาซึ่งการจู่โจมทำให้มนุษย์ได้รับอันตราย ข้อมูลข่าวสารจะเป็นประโยชน์ต่อองค์กรที่มีการศึกษาสภาพแวดล้อมซึ่งเป็นภัยคุกคามต่อพนักงานและสามารถจัดประเภทของภัยคุกคามนั้นได้ นอกจากนี้การศึกษาข้อมูลในอดีตของระบบเช่น ข้อมูลของปัญหา รายงานระบบรักษาความปลอดภัย และบทสัมภาษณ์ผู้ดูแลระบบ ยังช่วยให้สามารถระบุแหล่งกำเนิดของภัยคุกคามที่ก่อให้เกิดอันตรายต่อระบบข้อมูลอีกด้วย
3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
การวิเคราะห์ภัยคุกคามที่มีต่อระบบข้อมูลสารสนเทศ ต้องมีการวิเคราะห์ความอ่อนแอไม่มั่นคงของสภาพแวดล้อมของระบบ เป้าหมายของขั้นตอนนี้คือการพัฒนารายการความไม่มั่นคงของระบบที่ทำให้ระบบมีโอกาสได้รับภัยคุกคาม ตัวอย่างความไม่มั่นคงของระบบซึ่งก่อให้เกิดภัยคุกคาม
4. การวิเคราะห์การควบคุม (Control Analysis)
เป้าหมายของขั้นตอนนี้เพื่อวิเคราะห์การควบคุมที่องค์กรใช้อยู่หรือที่วางแผนไว้เพื่อลดหรือกำจัดโอกาสที่จะเกิดภัยคุกคาม การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่งชี้ถึงความเป็นไปได้ที่ระบบจะไม่มีความมั่นคงสามารถทำได้เมื่ออยู่ในสภาพแวดล้อมที่มีภัยคุกคาม เช่นโอกาสเกิดความเสี่ยงจะต่ำ ถ้าแหล่งกำเนิดภัยคุกคามมีความสามารถต่ำในการสร้างผลกระทบหรือเมื่อองค์กรมีวิธีการควบคุมและรักษาความปลอดภัยที่มีประสิทธิภาพมากพอที่จะลด หรือ กำจัดอันตรายที่จะเกิดขึ้น
4.1 วิธีการควบคุม (Control Method)
การควบคุมการรักษาความปลอดภัยอาศัยวิธีการควบคุมทั้งเชิงเทคนิคและที่ไม่ใช่เชิงเทคนิค การควบคุมเชิงเทคนิคคือการปกป้องระบบเกี่ยวกับอุปกรณ์ฮาร์ดแวร์ ซอฟแวร์ของเครื่องคอมพิวเตอร์เช่น วิธีการเข้ารหัสข้อมูล เครื่องมือตรวจสอบสิทธิการใช้งานข้อมูล เป็นต้น ส่วนการควบคุมที่ไม่ใช่เชิงเทคนิคคือการบริหารจัดการและควบคุมการปฏิบัติงานเช่น นโยบายรักษาความปลอดภัย เอกสารขั้นตอนการปฏิบัติงาน
4.2 ประเภทของการควบคุม (Control Category)
การควบคุมทั้งเชิงเทคนิคและที่ไม่ใช่เชิงเทคนิคถูกแบ่งประเภทได้ 2 ประเภทคือการควบคุมแบบป้องกันและแบบตรวจจับ การควบคุมแบบป้องกันมีจุดประสงค์เพื่อไม่ให้เกิดความไม่ปลอดภัยกับระบบ ในขณะที่การควบคุมแบบตรวจจับมีจุดประสงค์เพื่อแจ้งให้ทราบว่าเกิดความไม่ปลอดภัยขึ้นบนระบบ
5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่งชี้ถึงความเป็นไปได้ที่ระบบจะไม่มีความมั่นคงสามารถทำได้เมื่ออยู่ในสภาพแวดล้อมที่มีภัยคุกคาม ปัจจัยที่ต้องพิจารณาได้แก่
5.1 ความสามารถของแหล่งกำเนิดภัยคุกคามในการก่อให้เกิดความเสี่ยง
5.2 ธรรมชาติของความไม่มั่นคงที่ก่อให้เกิดความเสี่ยง
5.3 ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
โอกาสที่ระบบเกิดความไม่มั่นคงเนื่องจากแหล่งกำเนิดภัยคุกคามสามารถอธิบายได้ด้วยระดับของความเป็นไปได้เช่น ระดับสูง, ระดับปานกลาง และ ระดับต่ำ แต่ละระดับความเป็นไปได้มีคำนิยามดังนี้
ระดับสูง หมายถึง แหล่งกำเนิดภัยคุกคามมีความสามารถสูงในการกระตุ้นและก่อให้เกิดความเสี่ยงต่อระบบและวิธีการควบคุมที่มีอยู่ไม่มีประสิทธิภาพ
ระดับปานกลาง หมายถึง แหล่งกำเนิดภัยคุกคามมีความสามารถพอที่จะก่อให้เกิดความเสี่ยงต่อระบบได้ แต่ระบบมีการควบคุมที่มีประสิทธิภาพทำให้สามารถป้องกันระบบจากความไม่มั่นคงที่เกิดขึ้นจากภัยคุกคามได้
ระดับต่ำ หมายถึง แหล่งกำเนิดภัยคุกคามไม่สามารถสร้างความเสี่ยงให้แก่ระบบได้ หรือวิธีการควบคุมความปลอดภัยของระบบมีประสิทธิภาพสูง สามารถรักษาความมั่นคงของระบบได้ดี
6. การวิเคราะห์ผลกระทบ (Impact Analysis)
อีกขั้นตอนหนึ่งในการวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่อระบบเมื่อเกิดภัยคุกคามขึ้น ก่อนที่จะเริ่มวิเคราะห์ผลกระทบ จะต้องทำความเข้าใจกับข้อมูลได้แก่
6.1 พันธกิจของระบบ (System mission)
6.2 ความสำคัญของระบบและข้อมูล (System and data criticality)
6.3 ความไวต่อการเปลี่ยนแปลงของระบบและข้อมูล (System and data sensitivity)
ข้อมูลเบื้องต้นนี้ได้มาจากเอกสารขององค์กรเช่น รายงานการวิเคราะห์ผลกระทบต่อพันธกิจองค์กร หรือ รายงานการประเมินความสำคัญทรัพย์สินของบริษัท การวิเคราะห์ผลกระทบนำไปสู่การจัดลำดับผลกระทบโดยพิจารณาจากข้อมูลขององค์กร ซึ่งก็ขึ้นอยู่กับการประเมินความสำคัญและความไวต่อการเปลี่ยนแปลงของสินทรัพย์ทั้งหลายทั้งในเชิงปริมาณหรือเชิงคุณภาพ หากไม่สามารถหาข้อมูลรายงานขององค์กรได้ ความไวต่อการเปลี่ยนแปลงของระบบและข้อมูลสามารถตรวจสอบได้จากระดับการป้องกัน เพื่อดูแลรักษาระบบและข้อมูลให้สามารถใช้งานได้เมื่อต้องการ รวมไปถึงความน่าเชื่อถือ และความถูกต้องแม่นยำของระบบและข้อมูลด้วย อย่างไรก็ตาม ในการวิเคราะห์ผลกระทบต้องอาศัยความร่วมมือของเจ้าของข้อมูลและระบบ
ผลกระทบจะประกอบไปด้วยผลกระทบที่จับต้องได้สามารถวัดปริมาณได้ในรูปของรายได้ที่สูญเสียไป หรือต้นทุนในการซ่อมแซมระบบที่เพิ่มขึ้น ส่วนผลกระทบที่ไม่สามารถวัดปริมาณได้ก็สามารถอธิบายด้วยการวัดเป็นระดับของความรุนแรงที่มีต่อระบบเช่น ระดับสูง ปานกลาง และ ต่ำ นิยามของแต่ละระดับเป็นดังนี้
ผลกระทบระดับสูง หมายถึง ความไม่มั่นคงของระบบส่งผลให้เกิดการสูญเสียทรัพย์สินและทรัพยากรหลักขององค์กรจำนวนมาก หรือเป็นอันตรายร้ายแรงต่อพันธกิจหรือชื่อเสียงขององค์กร หรือส่งผลให้เกิดการสูญเสียชีวิตหรือบาดเจ็บสาหัส
ผลกระทบระดับปานกลาง หมายถึง ความไม่มั่นคงของระบบส่งผลให้เกิดการสูญเสียทรัพย์สินและทรัพยากรขององค์กร หรือส่งผลต่อพันธกิจหรือชื่อเสียงขององค์กร หรือส่งผลให้เกิดการบาดเจ็บ
ผลกระทบระดับต่ำ หมายถึง ความไม่มั่นคงของระบบส่งผลให้เกิดการสูญเสียทรัพย์สินและทรัพยากรขององค์กรเล็กน้อย หรือส่งผลต่อพันธกิจหรือชื่อเสียงขององค์กรบ้างเล็กน้อย
7. การตรวจสอบความเสี่ยง (Risk Determination)
การตรวจสอบความเสี่ยงจะพิจารณาจากปัจจัยจากขั้นตอนที่ผ่านมาได้แก่ โอกาสที่ภัยคุกคามที่เกิดขึ้นทำให้ระบบขาดความมั่นคง, ระดับผลกระทบหรือความรุนแรงของภัยคุกคามที่มีต่อระบบ และประสิทธิภาพของแผนการควบคุมความปลอดภัยของระบบ การวัดระดับความเสี่ยงจะใช้มาตรฐานเมตริกซ์ระดับความเสี่ยง (Risk-Level Matrix) ซึ่งสูตรวัดความเสี่ยงได้จากผลคูณของโอกาสเกิดความเสี่ยง (Likelihood) กับ ความรุนแรงของความเสี่ยง (Impact) ที่ระบบได้รับจากภัยคุกคามนั้น เมตริกซ์ระดับความเสี่ยงสามารถมีได้หลายขนาดแล้วแต่ความต้องการของแต่ละองค์กรเช่น เมตริกซ์ 3 x 3, เมตริกซ์ 4 x 4 เป็นต้น ตัวอย่างในที่นี้ใช้เมตริกซ์ 3x3 จากโอกาสเกิดภัยคุกคาม 3 ระดับ (สูง, ปานกลาง, ต่ำ) และผลกระทบของภัยคุกคาม 3 ระดับ (สูง, ปานกลาง, ต่ำ) แสดงได้ดังตารางที่ 2 แสดง ค่าความเป็นไปได้ของระดับโอกาสเกิดภัยคุกคามมีค่าเป็น 1 เมื่อเป็นระดับสูง, มีค่าเป็น 0.5 เมื่อเป็นระดับปานกลาง และมีค่าเป็น 0.1 เมื่อเป็นระดับต่ำ และ ค่าของระดับความรุนแรงของผลกระทบจากภัยคุกคามมีค่าเป็น 100 เมื่อเป็นระดับสูง, มีค่าเป็น 50 เมื่อเป็นระดับปานกลาง และมีค่าเป็น 10 เมื่อเป็นระดับต่ำ ตามลำดับ
ระดับความเสี่ยง (Risk Level) จากเมตริกซ์ระดับความเสี่ยงมีการกำหนดสเกลของความเสี่ยง จากเมตริกซ์ตัวอย่างกำหนดให้ระดับความเสี่ยงสูงมีค่าตั้งแต่ 50 – 100 ระดับความเสี่ยงปานกลางมีค่าตั้งแต่ 10-50 และระดับความเสี่ยงต่ำมีค่าต่ำกว่า 50 ในแต่ละระดับความเสี่ยงมีคำอธิบายและสิ่งที่ต้องปฏิบัติดังนี้
ระดับความเสี่ยงสูง หมายถึงจำเป็นต้องได้รับการแก้ไขอย่างเร่งด่วน ระบบที่ดำเนินอยู่อาจจะยังคงปฏิบัติงานตามปกติแต่จะต้องนำแผนการแก้ไขมาใช้ทันทีที่เป็นไปได้
ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ไขและแผนการควบคุมควรได้รับการปรับปรุงแล้วนำมาใช้ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอในการปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น
ระดับความเสี่ยงต่ำ หมายถึงระบบควรได้รับการตรวจสอบเพื่อให้แน่ใจว่าแผนการควบคุมที่มีอยู่จะสามารถแก้ไขปัญหาและรับมือกับความเสี่ยงได้
8. การเสนอวิธีการควบคุม (Control Recommendation)
การควบคุมภายในองค์กรช่วยลดระดับความเสี่ยงที่จะเกิดกับระบบข้อมูลสารสนเทศ และข้อมูลอื่นๆขององค์กรให้อยู่ในระดับที่สามารถยอมรับได้ การเสนอวิธีการควบคุมเป็นผลจากกระบวนการประเมินความเสี่ยงและเป็นการเตรียมข้อมูลสำหรับกระบวนการลดระดับความเสี่ยง
9. การจัดทำเอกสารสรุปผล (Results Documentation)
เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์แล้ว ต้องมีการรวบรวมข้อมูลที่เกี่ยวข้องทั้งหมดและจัดทำเอกสารสรุป รายงานการประเมินความเสี่ยงเป็นรายงานที่นำไปใช้ร่วมกับการบริหารจัดการ เพื่อประกอบการตัดสินใจต่างๆขององค์กร
มาตรฐานสมุดสีส้ม (The
เป็นมาตรฐานที่นิยมใช้เป็นที่อ้างอิงถึงกันอย่างกว้างขวาง ซึ่งเป็นมาตรฐานทางด้านความปลอดภัยของระบบคอมพิวเตอร์ที่ออกโดย รัฐบาลสหัฐฯ ในปี ค.ศ.1985
มาตรฐานเรียงลำดับความปลอดภัยต่ำสุดไปถึงสูงสุด โดยแยกเป็นระดับ D, C, B และ A เป็นมาตรฐานที่ใช้สำหรับประเมินผลตั้งแต่เครื่องคอมพิวเตอร์เมนเฟรม คอมพิวเตอร์ขนาดกลางไปจนถึงคอมพิวเตอร์ส่วนบุคคล รวมทั้งซอฟต์แวร์ระบบปฏิบัติการ ซอฟต์แวร์คลังข้อมูล และระบบเครือข่ายด้วย
ระดับความปลอดภัยของข้อมูลคอมพิวเตอร์
แบ่งได้เป็น 4 ระดับได้แก่
1. ระดับ D1
ความปลอดภัยของระบบคอมพิวเตอร์และซอฟต์แวร์ในระดับ d1 เป็นระบบที่มีระดับความปลอดภัยต่ำสุด หรือ "Minimal protection" คือไม่มีระบบความปลอดภัยเลย โดยตัวเครื่องในส่วนของฮาร์ดแวร์และซอฟต์แวร์ระบบปฏิบัติการ จะไม่มีป้องกัน ใดๆ ทั้งสิ้นและในการใช้งานก็จะไม่มีระบบตรวจสอบผู้ใช้ว่าเป็นใคร หรือมีสิทธิในการใช้เครื่องหรือไม่ และไม่การกำหนดหรือควบคุม ผู้ใช้ในการอ่าน/เขียนข้อมูลในระบบคอมพิวเตอร์นั้นๆ ซึ่งคอมพิวเตอร์ระดับความปลอดภัย d1 ที่เราคุ้นเคยกันดี ได้แก่ คอมพิวเตอร์ ส่วนบุคคลทั้งหลายที่ใช้ระบบปกิบัติการ เช่น MS-DOS, Windows บนเครื่องพีซี และ System7 บนเครื่องแมคอินทอช เป็นต้น
คอมพิวเตอร์อื่นๆที่ถูกจัดอยู่ในระดับความปลอดภัย d1 จะได้แก่ ระบบคอมพิวเตอร์ที่ไม่สามารถแยกแยะผู้ใช้แต่ละคนออกจาก กันได้ว่าใครเข้ามาใช้งานคอมพิวเตอร์เมื่อใด และไม่มีวิธีการระบุผู้ใช้แต่ละคนอย่างชัดเจน ว่าขณะนั้นผู้ที่กำลังพิมพ์ข้อความผ่านคีย์ บอร์ดเป็นใคร
2. ระดับ C
ความปลอดภัยในระดับ C จะแบ่งย่อยออกเป็น 2 ระดับ คือ C1และ C2 ดังนี้
- ระดับ C1
จะมีความปลอดภัยน้อยกว่าระดับ C2 กล่าวคือ C1 หมายถึงระบบคอมพิวเตอร์ที่มีความปลอดภัยเบื้องต้นรวมอยู่ในระบบ ปฏิบัติการ เรียกว่า "Discretionary Security Protection" ซึ่งสามารถแยกแยะผู้ใช้แต่ละคนออกจากกันได้โดยระบุชื่อผู้ใช้ และรหัสผ่านก่อนเข้าใช้งานคอมพิวเตอร์ ซึ่งชื่อผู้ใช้และรหัสผ่านของแต่ละคนจะได้รับสิทธิในการอ่าน/เขียนข้อมูลในแต่ละไฟล์ และ ในแต่ละไดเรคทอรีก็จะถูกควบคุมโดยระบบปฏิบัติการอีกชั้นหนึ่ง ซึ่งผู้ใช้ที่ไม่มีสิทธิใช้งานในไดเรคทอรีหรือไฟล์ ก็จะไม่สามารถเข้า ไปอ่านข้อมูลนั้นได้ นับว่าคอมพิวเตอร์ที่มีความปลอดภัยในระดับ C1 นั้นเป็นพื้นฐานของระดับความปลอดภัยระดับอื่นๆที่เข้มงวด มากขึ้นมีขีดความสามารถในการควบคุมความปลอดภัยของข้อมูลพอสมควร
-ระดับ C2
ความปลอดภัยระดับ C2 จะเหมือนกับระดับ C1 ที่ได้ปรับปรุงความปลอดภัยเพิ่มขึ้นอีกเล็กน้อย คือมีการควบคุมการใช้ งานของผู้ใช้มากขึ้นโดยการอ่านข้อมูล การแก้ไขข้อมูลในแต่ละไฟล์หรือแต่ละไดเรคทอรีนั้น จะถูกควคุมด้วยสิทธิการใช้งานและ อำนาจของผู้ใช้แต่ละคน ไม่ได้ถูกควบคุมโดยสิทธิการใช้งานเพียงอย่างเดียวเหมือนกับระดับ C1 โดยจะเรียกความปลอดภัยในระดับ C2 ว่า"controlled Access Protection" ซึ่งผู้ใช้แต่ละคนจะถูกกำหนดให้มีสิทธิในการใช้งานอ่าน/เขียนข้อมูลในไฟล์ และไดเรค ทอรีชนิดใดได้บ้าง และยังถูกกำหนดอำนาจหรือ Authorization Level ของแต่ละคนด้วยว่าใครสามารถทำอะไรในระบบได้บ้างนอก จากนี้การทำงานต่างๆที่เกิดขึ้นในระบบจะถูกบันทึกไว้ตรวจสอบในภายหลังได้ซึ่งการบันทึกนี้จะทำทุกครั้งที่ผู้ใช้สั่งงานในระบบ โดยเก็บ ลงในไฟล์ที่เรียกว่า System Log File
ในการกำหนดอำนาจให้ผู้ใช้แต่ละคนของระบบความปลอดภัยระดับ C2 นั้นสามารถกำหนดให้ผู้ใช้บางคนมีอำนาจเทียบเท่า กับผู้ดูแลระบบได้ โดยผู้ใช้คนนั้นไม่จำเป็นต้องใช้ระหัสผ่านของผู้ดูแลระบบเลย ซึ่งคุณสมบัตินี้จะทำให้คอมพิวเตอร์ที่มีความปลอด ภัยระดับ C2 สามารถแยกได้ว่าใครทำอะไรกับระบบได้ง่าย ซึ่งคอมพิวเตอร์ที่มีระดับความปลอดภัย C2 ได้แก่ คอมพิวเตอร์ที่ใช้ระบบ ปฏิบัติการ Unix ที่มีการเพิ่มความปลอดภัยมากขึ้นจากมาตรฐานนั้นเอง
3. ระดับ B
ความปลอดภัยระดับ B จะแบ่งย่อยออกเป็น 3 ระดับย่อย เรียงจากระดับความปลอดภัยตำไปถึงความปลอดภัย สูงกว่าตามลำดับ ดังจะกล่าวในรายละเอียดต่อไปนี้
-ระดับ B1
คือระบบคอมพิวเตอร์ที่มีความปลอดภัยผ่านมาตรฐานระดับ C2 และได้เพิ่มส่วนที่เรียกว่า Label ขึ้นมาเพื่อควบคุมการเรียก ใช้งานโดยความปลอดภัยระดับ B1 นี้มีชื่อเรียกว่า Labeled Security Protection ซึ่งจะกำหนด Labelของความปลอดภัยให้กับข้อ มูลและอุปกรณ์ต่างๆ ซึ่งผู้ใช้จะต้องมีอำนาจและสิทธิในการเรียกใช้ข้อมูลและอุปกรณ์เหล่านั้นมากกว่าหรือเท่ากับ ของความปลอดภัย ทีตั้งเอาไว้ จึงจะสามารถใช้งานข้อมูลหรืออุปกรณ์ในระบบนั้นได้ ซึ่งความปลอดภัยระดับ B1นี้เป็นระดับแรกที่เริ่มแบ่งความปลอดภัย ของข้อมูลและอุปกรณ์โดยใช้ Label กำกับ นอกจากนี้ยังแบ่งความปลอดภัยออกเป็นหลายระดับด้วย เช่น Secret และ Top Secret เป็นต้น
-ระดับ B2
ความปลอดภัยในระดับ B2 จะเทียบเท่ากับระดับ B1 แต่จะมีส่วนควบคุมเพิ่มขึ้นคือ กำหนดให้ทุกข้อมูลและอุปกรณ์ในระบบ คอมพิวเตอร์นี้ต้องมี Label กำกับการใช้งาน เช่น ไฟล์, ไดเรคทอรี, ฮาร์ดดิสก์, เทอร์มินัลฯลฯ ซึ่งจะมี Label ความปลอดภัยกำกับทุก ชิ้น เรียกว่า Structured Protection ซึ่งแตกต่างจากความปลอดภัยในระดับ B1 ที่กำหนดLabel ให้เฉพาะข้อมูลหรือุปกรณ์ที่สำคัญ เพียงบางส่วนเท่านั้น และในระดับนี้ยังสามารถกำกับความปลอดภัยได้หลายระดับอีกด้วยกล่าวโดยสรุปก็คือในระดับ B2 นี้จะเข้มงวด เรื่องความปลอดภัยมากกว่า B1 โดยรวมถึคอมพิวเตอร์ที่มีการเชื่อมต่อถึงกันผ่านระดับเครือข่ายซึ่งต้องมีการรักษาความปลอดภัยของ ระบบเครือข่าย และสายรับส่งข้อมูลด้วย เพื่อป้องกันจะเรียกว่า Trusted Path
-ระดับ B3
ความปลอดภัยระดับ B3 จะมีส่วนที่เพิ่มจากระดับ B2 คือภาพรวมของระบบคอมพิวเตอร์ ทั้งฮาร์ดแวร์และซอฟต์แวร์ จะถูกออกแบบมาเป็นพิเศษ มีการป้องกันการเจาะระบบและป้องกันการถูกลักลอบนำข้อมูลไปใช้โดยเฉพาะ ระบบความปลอดภัยระดับ นี้มีชื่อเรียกว่า Security Domians การเข้าใช้ระบบคอมพิวเตอร์ ระบบปฏิบัติการ และระบบเครือข่ายจะถูกรักษาความปลอดภัยอย่าง เข้มงวดตั้งแต่การออกแบบระบบไปจนถึงการใช้งานและการตรวจสอบ รวมถึงขั้นตอนการแก้ไขเมื่อระบบหยุดทำงาน จะถูกกำหนดขั้น ตอนไว้อย่างชัดเจนว่าให้มีการกู้ระบบกลับคืนมาอย่างไร จึงจะปลอดภัยจากปัญหาข้อมูลรั่วไหลและสามารถตรวจสอบได้ทุกขั้นตอน ดังนั้นความปลอดภัยระดับ จึงเป็นระบบที่มีความปลอดภัยสูงมาก ซึ่งระบบคอมพิวเตอร์ที่ใช้งานทางธุรกิจทุกวันนี้ มักจะไม่มีความ ปลอดภัยในระดับ B1,B2และ B3 เลย
4. ระดับ A
ความปลอดภัยระดับ A ถือว่าเป็นระบบที่มีความปลอดภัยสูงที่สุดของ Orange Book ซึ่งคุณสมบัติของระบบคอมพิวเตอร์ ทั้งฮาร์แวร์ ซอฟต์แวร์ และระบบเครือข่ายจะเหมือนกับความปลอดภัยในระดับ B3 ทุกประการ จะต่างกันตรงการออกแบบระบบและการ นำไปใช้ปฏิบัติงานจริงซึ่งจะมีการตรวจสอบทุกขั้นตอนและทุกรายละเอียด โดยความปลอดภัยระดับ A นี้เรียกว่า Verified Design คือ เน้นในเรื่องของการควบคุมตั้งแต่การออกแบบระบบฮาร์ดแวร์ ซอฟต์แวร์ และระบบเครือข่ายให้มีความปลอดภัยตามที่กำหนดไปจนถึง ขั้นตอนการติดตั้งและการปฏิบัติงานจริง เพื่อให้มีความมั่นใจว่า ระบบความปลอดภัยที่ออกแบบไว้นั้นจะมีผลในทางปฏิบัติได้จริง
ประเภทของภัยคุกคาม (Threat)
แบ่งได้เป็น 7 ประเภทภัยคุกคาม
ภัยคุกคามที่ 1 การเข้าใช้ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กรโดยไม่ได้รับอนุญาต (Unauthorized LAN access) หมายถึง การที่บุคคลเข้าไปในเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาต โดยสาเหตุที่ทำให้เกิดการเข้าใช้เครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ดังต่อไปนี้
1.1 ไม่มีระบบป้องกันการเข้าใช้ ระบบ LAN โดยไม่ได้รับอนุญาต
1.2 อนุญาตให้ผู้ใช้อื่นใช้รหัสผ่าน (Password) ของตนเอง
1.3 มีการจัดการเรื่องรหัสผ่านที่ไม่ดีหรือรหัสผ่านนั้นง่ายต่อการคาดเดา
1.4 มีการแสวงหาผลประโยชน์จากช่องโหว่ของระบบ LAN
1.5 ไม่มีการป้องกันการเข้าใช้เครื่องคอมพิวเตอร์โดยการใส่รหัสผ่าน
1.6 ไม่มีการป้องกันการใช้งานเครื่องคอมพิวเตอร์โดยไม่ได้รับอนุญาต
1.7 รหัสผ่านเข้าใช้ระบบ LAN ถูกบันทึกในเครื่องคอมพิวเตอร์
1.8 ขาดการควบคุมผู้ใช้จากการเชื่อมต่ออุปกรณ์กับระบบ LAN
1.9 ไม่มีการป้องกันการเข้าใช้โมเด็มโดยไม่ได้รับอนุญาต
1.10 ไม่มีการกำหนดเวลาเข้า-ออกระบบ LAN
1.11 รหัสผ่านเข้าระบบยังคงติดอยู่ที่หน้าจอมอนิเตอร์หลังจากใช้งานแล้ว
1.12 ไม่มีการลงบันทึกวัน-เวลาการเข้าใช้ระบบ
1.13 ไม่มีการกำหนดเวลาเข้า-ออกระบบ LAN
ภัยคุกคามที่ 2 การเข้าใช้ทรัพยากรของเครือข่ายคอมพิวเตอร์ภายในองค์กรอย่างไม่เหมาะสม (Inappropriate access to LAN resources) หมายถึง การที่มีบุคคลทั้งที่ได้รับอนุญาตและไม่ได้รับอนุญาตเข้าไปใช้ทรัพยากรภายในเครือข่ายคอมพิวเตอร์อย่างไม่เหมาะสม โดยสาเหตุที่ทำให้เกิดการเข้าใช้ทรัพยากรของเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
2.1 มีการอนุญาตให้ผู้ใช้บางรายเข้าใช้ระบบได้โดยไม่จำเป็น
2.2 มีการใช้สิทธิพิเศษของผู้บริหารและผู้จัดการระบบที่ไม่เหมาะสม
2.3 ไม่มีการป้องกันข้อมูลจากการนำไปใช้ที่ไม่เหมาะสม
2.4 ขาดการระบุสิทธิการเข้าใช้ระบบ (ก่อนเข้าระบบ)
2.5 เครื่องคอมพิวเตอร์ไม่มีการควบคุมการเข้าใช้ไฟล์ข้อมูลที่ไม่เหมาะสม
ภัยคุกคามที่ 3 การนำข้อมูลไปเปิดเผย (Disclosure of data) หมายถึง การที่มีบุคคลเข้าไปในเครือข่ายคอมพิวเตอร์หรืออ่านข้อมูลในเครือข่ายคอมพิวเตอร์ขององค์กร และอาจจะนำเอาข้อมูลที่ทราบมานั้นไปเปิดเผยทั้งโดยเจตนาและไม่เจตนา โดยสาเหตุที่ทำให้เกิดการนำข้อมูลไปเปิดเผยโดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
3.1 ขาดการควบคุมการเข้าใช้ระบบ LAN ที่ไม่เหมาะสม
3.2 ขาดการสร้างความปลอดภัยให้กับข้อมูล
3.3 จอมอนิเตอร์ที่ตั้งในสถานที่พลุกพล่านซึ่งถูกผู้ใช้อื่นมองเห็นได้
3.4 เครื่องพริ้นท์เตอร์ตั้งอยู่ในที่สถานที่พลุกพล่าน
3.5 ข้อมูลและสำเนา (Backup copies) ถูกเก็บในสถานที่เปิดเผย
ภัยคุกคามที่ 4 การดัดแปลงข้อมูลและซอฟท์แวร์ของเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาต (Unauthorized Modification to data and software) หมายถึง การที่มีบุคคลเข้าไปดัดแปลง แก้ไข ลบ หรือทำลายข้อมูลและซอฟท์แวร์ในเครือข่ายคอมพิวเตอร์โดยที่ไม่ได้รับอนุญาตหรือด้วยความไม่เจตนา โดยสาเหตุที่ทำให้เกิดการดัดแปลงข้อมูลและซอฟท์แวร์ของเครือข่ายคอมพิวเตอร์โดยไม่ได้รับอนุญาตอาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
4.1 ไม่อนุญาตให้ผู้ใช้แก้ไขข้อมูลระบบ LAN
4.2 ไม่มีการป้องกันการแก้ไขซอฟท์แวร์
4.3 ขาดการสร้างความปลอดภัยข้อมูลที่ถูกจัดเก็บไว้ (Cryptographic)
4.4 ให้สิทธิผู้ใช้แก้ไขข้อมูลเกินความจำเป็น
4.5 ขาดเครื่องมือป้องกันหรือตรวจจับไวรัส
ภัยคุกคามที่ 5 การนำข้อมูลไปเปิดเผยจากการอาศัยช่องว่างของการสื่อสารในเครือข่ายคอมพิวเตอร์ (Disclosure of LAN traffic) หมายถึง การที่มีบุคคลเข้ามาในเครือข่ายคอมพิวเตอร์ เมื่อมีโอกาสหรือช่องโหว่ให้เข้ามาได้ และอาจจะนำเอาข้อมูลที่ทราบมานั้นไปเปิดเผยทั้งโดยเจตนาและไม่เจตนา โดยสาเหตุที่ทำให้เกิดการนำข้อมูลไปเปิดเผยจากการอาศัยช่องว่างของการสื่อสารในเครือข่ายคอมพิวเตอร์อาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
5.1 ขาดการป้องกันการใช้อุปกรณ์ต่อพ่วง (Device) ในระบบ LAN โดยไม่ได้รับอนุญาต
5.2 มีการส่งผ่านข้อมูลแบบกระจายให้ผู้ใช้เครือข่ายทุกคนทราบ
5.3 การส่งผ่านข้อมูลไม่มีการเปลี่ยนให้เป็นรหัสก่อน
ภัยคุกคามที่ 6 การแอบอ้างว่าเป็นบุคคลอื่นเมื่อเข้ามาในเครือข่ายคอมพิวเตอร์ (Spoofing of LAN traffic) หมายถึง การที่มีข้อความส่งมายังผู้รับโดยอ้างว่าส่งมาจากบุคคลที่ใกล้ชิดกับผู้รับซึ่งอันที่จริงแล้วไม่ได้เป็นเช่นนั้น โดยสาเหตุที่ทำให้เกิดการแอบอ้างว่าเป็นบุคคลอื่นเมื่อเข้ามาในเครือข่ายคอมพิวเตอร์อาจเกิดจากการบ่งชี้ความไม่มั่นคง (Vulnerability) ต่อไปนี้
6.1 ขาดการสร้างความปลอดภัยข้อมูลขณะรับ-ส่ง (Encryption)
6.2 ขาดการระบุวันเวลาที่ส่งและรับข้อมูลผ่านระบบ LAN
6.3 ขาดการยืนยันความเป็นเจ้าของเอกสาร (Digital Signature)
6.4 ขาดการยืนยันสถานภาพผู้ใช้ระบบ (หลังเข้าระบบ)
ภัยคุกคามที่ 7 การเข้ามาทำลายการทำงานของเครือข่ายคอมพิวเตอร์ (Disruption of LAN functions) หมายถึง การที่มีการกระทำอันคุกคามต่อระบบเครือข่ายคอมพิวเตอร์ที่ทำให้ระบบถูกปิดกั้นและไม่สามารถที่จะเข้าใช้งานได้ในเวลาที่ต้องการ โดยสาเหตุที่ทำให้เกิดการเข้ามาทำลายการทำงานของเครือข่ายคอมพิวเตอร์อาจเกิดจากสิ่งต่อไปนี้
7.1 ไม่สามารถตรวจจับการสื่อสารที่มีรูปแบบผิดปกติ
7.2 ขาดแผนรองรับระบบฮาร์ดแวร์ (Hardware) ที่ล้มเหลว
7.3 มีการปรับแต่งหรือแก้ไขระบบ LAN ส่งผลให้ไม่สามารถใช้งานระบบได้
7.4 มีการแก้ไของค์ประกอบของฮาร์ดแวร์โดยไม่ได้รับอนุญาต
7.5 มีการซ่อมแซมอุปกรณ์ฮาร์ดแวร์โดยไม่เหมาะสม
7.6 ขาดการรักษาความปลอดภัยระบบฮาร์ดแวร์
รูปการโจมตีระบบ
มีรูปแบบการโจมตีในแบบต่างๆดังนี้
1. ทำลายระบบ (Destructive method)
วิธีนี้คือการใช้ซอฟต์แวร์เข้ามาก่อกวนหรือสร้างภาระงานหนักให้ระบบ เช่น ใช้โปรแกรมสร้างภาระให้เราเตอร์หรือเมล์เซิร์ฟเวอร์หยุดการทำงานจนกระทั่งผู้ใช้ไม่สามารถเข้าใช้บริการได้ วิธีนี้ถึงแม้ไม่ได้บุกรุกเข้ามาเพื่อให้ได้สิทธิ์การใช้ระบบ แต่ก็สร้างปัญหาให้ระบบไม่สามารถดำเนินการต่อไปได้ วิธีที่นิยมใช้โดยทั่วไปคือ
- การส่งอีเมล์ขนาดใหญ่จำนวนมาก หรือ เมล์บอมบ์(Mail bomb) ผู้เปิดอ่านจดหมายจะเสียเวลาอย่างมากเมื่อต้องอ่านจดหมายซึ่งอาจมีจำนวนมหาศาลและมีขนาดใหญ่ เซิร์ฟเวอร์ที่ถูกโจมตีด้วยเมล์บอมบ์ปริมาณมากมักหยุดการทำงานลงในชั่วระยะเวลาสั้น ๆ เนื่องจากต้องใช้ทรัพยากรระบบในการรับจดหมายที่เข้ามา วิธีการป้องกันการโจมตีด้วยเมล์บอมบ์มีหลายวิธี เช่น ติดตั้งเมล์ที่จำกัดขนาดที่จะรับการติดตั้งตัวกรองเมล์ และการตรวจจับและกำจัดเมล์ที่ได้รับ เป็นต้น
- การโจมตีจุดบกพร่องแบบ ดอส (Dos : Denial-of-Service) แครกเกอร์ใช้วิธีเข้าไปขอใช้บริการที่เครือข่ายมีให้ โดยการของจองทรัพยากรที่มีในระบบแบบสะสมด้วยอัตราที่รวดเร็วจนกระทั่วระบบไม่มีทรัพยากรเหลือเพื่อให้บริการผู้ใช้รายอื่น วิธีการที่นิยมใช้คือการสร้างแพ็กเกตขอเชื่อมต่อโปรโตคอลทีซีพีจำนวนมาก(เรียกว่า TCP SYN Flooding) หรือการสร้างแพ็กเกตขนาดใหญ่ส่งไปยังบริการไอซีเอ็มพีด้วยคำสั่ง ping (เรียกว่า ping of death) การแก้ปัญหาการโจมตีแบบนี้จะต้องติดตั้งซอฟต์แวร์ทีซีพีซึ่งไม่กันทรัพยากรระบบไว้นานเกินไปนอกจากนี้ยังมีการโจมตีในลักษณะอื่นที่เป็นที่รู้จักในหมู่แครกเกอร์
2. การโจมตีแบบรูทฟอร์ซ (Brute-force attack)
ผู้บุกรุกจะใช้โปรแกรมเชื่อมต่อด้วยเทลเน็ตไปยังเซิร์ฟเวอร์ปลายทาง โปรแกรมจะคาดเดาชื่อบัญชีจากชื่อมาตรฐานทั่วไปที่มีอยู่และสร้างรหัสผ่านขึ้นมาเพื่อเข้าใช้บัญชีนั้นโดยอัตโนมัติ โปรแกรมจะมีดิคชันนารีเพื่อเป็นฐานสำหรับใช้สร้างรหัสผ่านที่ตรงกับชื่อบัญชีหรือรหัสที่เขียนย้อนกลับ หรือรหัสผ่านที่เป็นคำที่พบได้ในดิคชันนารี หรือคำประสม เป็นต้น การโจมตีแบบนี้มักนิยมใช้ในหมู่แครกเกอร์มือใหม่เนื่องจากมีเครื่องมือที่หาได้ง่ายและใช้งานสะดวกแต่ก็เป็นวิธีที่ตรวจสอบและค้นหาต้นตอได้ง่ายเช่นกันเนื่องจากเซิร์ฟเวอร์ปลายทางจะมีระบบบันทึกการเข้าใช้งานทั้งที่สำเร็จและไม่สำเร็จ
3. การโจมตีแบบพาสซีพ (Passive attack)
แครกเกอร์อาจไม่จำเป็นต้องใช้วิธีเจาะเข้าไปยังเครื่องปลายทางโดยตรง หากแต่ติดตั้งโปรแกรมตรวจจับแพ็กเกต (packet sniffing) ไว้ในที่ใดที่หนึ่ง (หรือที่รู้จักกันดีในชื่อของสนิฟเฟอร์) เมื่อมีการเชื่อมขอใช้บริการไปยังเซิร์ฟเวอร์อื่น ชื่อบัญชีและรหัสผ่านที่ป้อนผ่านแป้นพิมพ์จะถูกบันทึกเก็บไว้และรายงานไปยังแครกเกอร์เนื่องจากข้อมูลที่วิ่งอยู่ในเครือข่ายนั้นมักเป็นข้อมูลดิบที่ไม่มีการเข้ารหัสลับ แครกเกอร์สามารถจะดักจับรหัสผ่านของทุกคนที่เข้าใช้งานระบบได้ไม่เว้นแม้แต่ผู้ดูแลระบบเองไม่ว่าผู้ใช้ใดจะเปลี่ยนรหัสผ่านไปกี่ครั้งก็ตาม แครกเกอร์ก็จะได้รหัสใหม่นั้นทุกครั้ง เทคนิคของการใช้สนิฟเฟอร์จำเป็นต้องใช้ความรู้ขั้นก้าวหน้าขึ้นมาอีกระดับหนึ่ง โดยปกติแล้วการตรวจหาว่าเซิร์ฟเวอร์มีสนิฟเฟอร์ซ่อนอยู่หรือไม่อาจทำได้โดยไม่ยากนัก แต่แครกเกอร์ที่เชี่ยวชาญมักวางหมากขั้นที่สองโดยการเปลี่ยนแปลงโปรแกรมตรวจสอบเพื่อไม่ให้รายงานผลว่ามีสนิฟเฟอร์ซ่อนอยู่ วิธีการป้องกันสนิฟเฟอร์อีกรูปแบบหนึ่งก็คือการใช้เซลล์ที่ผ่านการเข้ารหัสลับทำให้ไม่สามารถดูข้อมูลดิบได้
4. เครื่องมือแครกเกอร์ (Cracker Tools)
เทคนิคการเจาะเข้าสู่ระบบยูนิกซ์มีตั้งแต่วิธีพื้น ๆ ที่ไม่ได้ใช้เทคนิคหรือเครื่องใด เรื่อยไปจนกระทั่งเทคนิคที่ซับซ้อน แต่เป็นที่น่าสังเกตว่าพวกแครกเกอร์เพียงแต่ใช้วิธีพื้นฐานง่าย ๆ ก็สามารถเจาะเข้าสู่ระบบได้
5. สนิฟเฟอร์ (Sniffer)
สนิฟเฟอร์เป็นชื่อเครื่องหมายทางการค้าของระบบตรวจจับแพ็กเกตเพื่อนำมาวิเคราะห์และตรวจหาปัญหาในเครือข่าย ตัวระบบจะประกอบด้วยคอมพิวเตอร์ที่มีการ์ดเครือข่ายสมรรถนะสูงและซอฟต์แวร์ตรวจวิเคราะห์แพ็กเกต แต่ในปัจจุบันมีซอฟต์แวร์จำนวนมากที่มีขีดความสามารถระดับเดียวกับสนิฟเฟอร์ และทำงานได้โดยไม่ต้องพึ่งฮาร์ดแวร์เฉพาะ อีกทั้งมีแพร่หลายในแทบทุกระบบปฎิบัติการ ชื่อสนิฟเฟอร์ในปัจจุบันจึงนิยมใช้เป็นชื่อเรียกของโปรแกรมใด ๆ ที่สามารถตรวจจับและวิเคราะห์แพ็กเกตไปโดยปริยาย
6. แครกเกอร์ (Cracker)
เรามักจะเรียกพวกที่มีความสามารถเจาะเข้าสู่ระบบคอมพิวเตอร์ว่า "แฮกเกอร์" (Hacker) ซึ่งความหมายดั้งเดิมที่แท้จริงแล้ว แฮกเกอร์สื่อความหมายถึงผู้เชี่ยวชาญด้านโอเอสหรือระบบ สามารถเข้าไปแก้ไข ดัดแปลงการทำงานระดับลึกได้ หรือในสารบบความปลอดภัยแล้ว แฮกเกอร์เป็นอาชีพหนึ่งที่ทำหน้าที่เจาะระบบและค้นหาจุดอ่อนเพื่อหาหนทางแก้ไขป้องกัน ส่วนพวกที่เจาะระบบเข้าไปโดยไม่ประสงค์ดีมีชื่อเรียกโดยเฉพาะว่า "แครกเกอร์" (Cracker) พวกหลังนี้เข้าข่ายจารชนอิเล็กทรอนิกส์ที่มักชอบก่อกวนสร้างความวุ่นวายหรือทำงานเป็นมืออาชีพที่คอยล้วงความลับหรือข้อมูลไปขาย แต่จะทำอย่างไรได้เมื่อคำว่าแฮกเกอร์ใช้ผิดความหมายจนติดปากไปโดยปริยายเสียแล้ว
7. ม้าโทรจัน (Trojan horse)
โปรแกรมม้าโทรจันเป็นโปรแกรมที่ลวงให้ผู้ใช้งานเข้าใจผิดว่าเป็นโปรแกรมปกติโปรแกรมหนึ่งที่ใช้งานอยู่เป็นประจำ แต่การทำงานจริงกลับเป็นการดักจับข้อมูลเพื่อส่งไปให้แครกเกอร์ ตัวอย่างเช่นโปรแกรมโทรจันที่ลวงว่าเป็นโปรแกรมล็อกอินเข้าสู่ระบบ เมื่อผู้ใช้ป้อนบัญชีและรหัสผ่านก็จะแอบส่งรหัสผ่านไปให้แครกเกอร์
8. แบ็คดอร์ (Backdoors)
แครกเกอร์ใช้ ประตูลับ (Backdoors) ซึ่งเป็นวิธีพิเศษเข้าสู่ระบบโดยไม่ได้รับอนุญาต ความหมายของประตูลับอาจรวมไปถึงวิธีการที่ผู้พัฒนาโปรแกรมทิ้งรหัสพิเศษหรือเปิดทางเฉพาะไว้ในโปรแกรมโดยไม่ให้ผู้ใช้ล่วงรู้ แครกเกอร์ส่วนใหญ่จะมีชุดซอฟต์แวร์ซึ่งสร้างขึ้นเพื่อเจาะเข้าสู่ระบบตามจุดอ่อนที่มีอยู่ด้วยวิธีการต่าง ๆ
9. ซอฟต์แวร์ตรวจช่องโหว่ระบบ (Vulnerability Scaner)
ในอินเทอร์เน็ตมีซอฟต์แวร์เป็นจำนวนมากที่ใช้ในการตรวจวิเคราะห์หารูโหว่ของระบบรักษาความปลอดภัยซอฟต์แวร์เหล่านี้เผยแพร่โดยไม่คิดมูลค่าและเป็นเสมือนดาบสองคมที่ทั้งแฮกเกอร์และแครกเกอร์นำไปใช้ด้วยจุดประสงค์ที่ต่างกัน
กระบวนการกำหนดความเสี่ยง
ความเสี่ยงที่เกิดขึ้นอาจพิจารณาจากความสามารถในการถูกโจมตีข้อมูลภายในองค์กรเนื่องจากระบบไม่มีความมั่นคงและผลกระทบทางธุรกิจ หากเกิดความเสี่ยงขึ้น ระดับของความอ่อนแอของระบบสามารถแบ่งได้ดังนี้
1. โอกาสในการถูกโจมตีสูง หมายถึงในระบบมีความอ่อนแอมาก ความมั่นคงของระบบต่ำ และเกิดผลกระทบอย่างรุนแรงต่อธุรกิจ และต้องการปรับวิธีการควบคุมใหม่โดยด่วน
2. โอกาสในการถูกโจมตีปานกลาง หมายถึงระบบมีความอ่อนแอบ้าง แต่ยังส่งผลกระทบรุนแรงต่อธุรกิจ ควรจะต้องปรับการควบคุมใหม่
3. โอกาสในการถูกโจมตีต่ำ หมายถึงระบบมีโครงสร้างที่ดีอยู่แล้ว มีการปฏิบัติ งานที่ถูกต้อง ไม่จำเป็นต้องหาวิธีควบคุมเพิ่มเติมเพื่อลดโอกาสในการถูกโจมตี
ระดับความรุนแรงของผลกระทบเมื่อระบบเกิดความไม่มั่นคงสามารถแบ่งได้ 3 ระดับเช่นกันดังนี้
1. ผลกระทบรุนแรง ส่งผลต่อธุรกิจของบริษัทและทำลายการพัฒนาธุรกิจ
2. ผลกระทบที่มีนัยสำคัญ เป็นสาเหตุให้เกิดความเสียหายและต้นทุนที่สูงขึ้น แต่ธุรกิจยังคงอยู่ได้
3. ผลกระทบเล็กน้อย เป็นผลกระทบในระดับปฏิบัติการที่ต้องมีการจัดการตาม ปกติทั่วไป
การจัดลำดับความสำคัญของความเสี่ยงสามารถวัดได้ 4 ระดับ พิจารณาเปรียบเทียบระหว่างความไม่มั่นคงของระบบและผลกระทบต่อธุรกิจดังนี้
1. ระดับ A หมายถึง จำเป็นต้องมีการแก้ไขแผนปฏิบัติงานโดยด่วน
2. ระดับ B หมายถึง ควรจะมีการแก้ไขแผนปฏิบัติงาน
3. ระดับ C หมายถึง ให้ความสนใจโดยการเฝ้าสังเกต
4. ระดับ D หมายถึง ไม่จำเป็นต้องให้ความสนใจ
อย่างไรก็ตาม การกำหนดระดับความเสี่ยงซึ่งเป็นเมตริกซ์ที่เกิดจากการพิจารณาโอกาสที่ระบบจะถูกโจมตีเนื่องจากขาดความมั่นคงประกอบกับระดับความรุนแรงของผลกระทบ ที่จะเกิดกับองค์กรนั้น สามารถกำหนดได้ด้วยเมตริกซ์ที่ต่างกันออกไป ในที่นี้เป็นเมตริกซ์ขนาด 3x3 ในความเป็นจริงสามารถเพิ่มขนาดเป็น 4x4 หรือ 5x5 ได้ ทั้งนี้ขึ้นอยู่กับความเหมาะสมและการตัดสินใจของผู้บริหารที่ทำหน้าที่ดูแลการวิเคราะห์ความเสี่ยงขององค์กร
ผลที่ได้จากการจัดระดับความเสี่ยงนำไปสู่การควบคุมความเสี่ยงที่เกิดขึ้น โดยได้มาจากการวิเคราะห์ความเสี่ยงแต่ละตัวแล้วนำมาประมวลผลเพื่อหาแนวทางควบคุม ปัจจุบันสามารถแบ่งการควบคุมออกเป็น 26 วิธี
การออกแบบวิธีการเพื่อลดความเสี่ยง
โดยทั่วไปประกอบไปด้วย
1. การสร้างความปลอดภัยทางกายภาพ ได้แก่ การควบคุมการเข้าออกอาคารสำนักการ ห้องคอมพิวเตอร์ ห้อง
เซิร์ฟเวอร์ หรือห้องที่มีความสำคัญอื่น ๆ การควบคุมและจำกัดการใช้อุปกรณ์คอมพิวเตอร์ต่าง ๆ
2. การสร้างความปลอดภัยให้กับระบบปฏิบัติการ การติดตั้งระบบปฏิบัติการให้ทำการอย่างปลอดภัยถือเป็น
พื้นฐานที่สำคัญประการหนึ่งที่ไม่ควรละเลยไม่ว่าเครื่องคอมพิวเตอร์นั้นจะเป็นเครื่องของผู้ใช้ทั่วไปหรือ
เครื่องเซิร์ฟเวอร์ก็ตาม การติดตั้งนี้ควรถือเป็นภาคบังคับก่อนที่จะก้าวไปสู่การสร้างความปลอดภัยให้กับ
เซิร์ฟเวอร์ อุปมาอุปไมยคล้ายกับหากรากฐานของสิ่งปลูกสร้าง (ระบบปฏิบัติการ) ยังไม่แข็งแกร่งแล้ว การ
ก่อสร้างต่อไป (การสร้างความปลอดภัยให้กับเซิร์ฟเวอร์) เช่น ก่อสร้างชั้นที่ 1, 2 จะไม่สามารถทำได้อย่าง
ปลอดภัย
3. การสร้างความปลอดภัยให้กับเซิร์ฟเวอร์ เมื่อได้ทำการติดตั้งระบบปฏิบัติการอย่างปลอดภัยแล้ว ขั้นต่อไป
คือการติดตั้งและใช้การเซิร์ฟเวอร์ อาทิ เว็บเซิร์ฟเวอร์(Web Server) เอฟทีพีเซิร์ฟเวอร์ (FTP Server)
ซีเคียลเชลล์เซิร์ฟเวอร์(Secure Shell Server) ดีเอ็นเอสเซิร์ฟเวอร์ (DNS Server) ให้สามารถทำการ
อย่างปลอดภัย การสร้างความปลอดภัยนี้จะเกี่ยวข้องกับการศึกษาเพื่อสร้างความปลอดภัยให้กับเซิร์ฟเวอร์
ทุกเครื่องขององค์กร
4. การป้องกันการบุกรุกระบบ เป็นการเสริมสร้างระบบเครือข่ายให้มีความแข็งแกร่งมากยิ่งขึ้น เพื่อให้
เซิร์ฟเวอร์หรือเครื่องผู้ใช้ทั่วไปปลอดภัยจากการบุกรุกที่อาจมาจากทางอินเทอร์เน็ต การป้องกันนี้ประกอบ
ด้วย
- การจัดทำไฟร์วอลล์
การนี้เป็นการควบคุมหรือจำกัดการเข้าออกเครือข่ายขององค์กร ซึ่งหมายรวมถึงการป้องกัน
เพื่อไม่ให้ผู้ที่ไม่มีสิทธิเข้ามาใช้การเครือข่ายและเซิร์ฟเวอร์ขององค์กร
- การจัดทำระบบป้องกันการบุกรุก
ในกรณีที่ไฟร์วอลล์อนุญาตให้เข้ามาใช้การได้ เช่น เข้ามาใช้การเว็บเซิร์ฟเวอร์ขององค์กร สิ่ง
นี้ไม่ได้หมายความว่าองค์กรจะปลอดภัย 100 เปอร์เซ็นต์ ช่องโหว่ในซอฟต์แวร์ของเว็บเซิร์ฟเวอร์
ที่ยังไม่ได้รับการอุดอาจยังมีอยู่และสามารถใช้เป็นช่องทางในการในการบุกรุก การจัดทำระบบ
ป้องกันการบุกรุกนี้มีจุดประสงค์หลักหนึ่งคือเพื่อลดความเสี่ยงของช่องโหว่ในตัวซอฟต์แวร์
- การจัดทำระบบค้นหาจุดอ่อน
ระบบป้องกันการบุกรุกโดยทั่วไปจะสามารถทำการแจ้งเตือนผู้ดูแลระบบเมื่อตรวจพบความ
พยายามในการบุกรุก โดยทั่วไประบบนี้จะทำการอยู่ตลอด 24 ชั่วโมงโดยจะทำการตรวจสอบข้อ
มูลที่ผ่านเข้าออกเครือข่ายขององค์กรเพื่อดูว่ามีความพยายามที่จะบุกรุกหรือไม่ สำหรับระบบค้น
หาจุดอ่อน ความสามารถส่วนหนึ่งที่สำคัญของระบบนี้คือสามารถค้นหาช่องโหว่ในตัวซอฟต์แวร์
ซึ่งนับเป็นจุดอ่อนหนึ่ง (เช่นเดียวกับระบบป้องกันการบุกรุก) แต่ระบบนี้โดยปกติจะไม่ได้ทำการ
อยู่ตลอด 24 ชั่วโมง และจะมีการนำมาใช้การตามช่วงระยะเวลาที่กำหนดไว้ เช่น ทุกๆ เดือน รวม
ทั้งระบบจะไม่ได้ตรวจสอบข้อมูลที่ผ่านเข้าออกเครือข่าย
- การตรวจสอบความสมบูรณ์ของไฟล์ในระบบ
ความพยายามอย่างยิ่งยวดในการป้องกันการบุกรุกระบบไม่ว่าจะด้วยไฟร์วอลล์ ระบบป้องกัน
การบุกรุก หรือระบบค้นหาจุดอ่อน ก็ตามก็ยังอาจมีโอกาสที่ผู้บุกรุกจะสามารถจู่โจมเข้ามาได้อยู่ดี
(เรื่องของความปลอดภัยเป็นเรื่องของการลดความเสี่ยงแต่ไม่สามารถทำให้ความเสี่ยงเป็นศูนย์)
อย่างไรก็ตามเมื่อการบุกรุกครั้งหนึ่ง ๆ เกิดขึ้น ผู้บุกรุกมักทิ้งร่องรอยไว้ในระบบที่บุกรุกเข้าไป เช่น
การเปลี่ยนแปลงแก้ไขไฟล์ การติดตั้งซอฟต์แวร์ (ไฟล์) เข้าไปในระบบ การตรวจสอบความ
สมบูรณ์นี้จะเป็นทางหนึ่งที่จะช่วยให้ผู้ดูแลระบบสามารถทราบถึงการกระทำที่เกิดขึ้นกับไฟล์ใน
ระบบ เช่น ในเครื่องเซิร์ฟเวอร์หนึ่ง ๆ เพื่อจะได้หาทางดำเนินการแก้ไขต่อไป
- การป้องกันไวรัส
การบุกรุกของไวรัสภายในองค์กรอาจจะมาจากการดาวน์โหลดไฟล์ของผู้ใช้ผ่านทางอินเทอร์
เน็ตหรือจากทางอี-เมล์ที่ได้รับ โดยทั่วไปไฟร์วอลล์จะอนุญาตการดาวน์โหลดของผู้ใช้ผ่านทางอิน
เทอร์เน็ต รวมทั้งจะอนุญาตการส่งมอบอี-เมล์จากเมล์เซิร์ฟเวอร์ที่อยู่ภายนอกเข้ามาสู่เมล์เซิร์ฟเวอร์
ขององค์กร โดยที่ในทั้งสองกรณีไฟร์วอลล์จะไม่รับรู้ว่ามีไวรัสติดมาด้วยหรือไม่ ดังนั้นการป้อง
กันไวรัสจึงเป็นทางเสริมอีกทางหนึ่งที่สำคัญเพื่อป้องกันการบุกรุกจากภายนอกเข้ามาสู่เครือข่าย
ภายในองค์กร
- การตรวจสอบปริมาณข้อมูลบนเครือข่าย
ปริมาณข้อมูลบนเครือข่ายขององค์กรที่สูงมากผิดปกติอาจมีสาเหตุมาจากมีไวรัสกำลังแพร่
กระจายอยู่ หรือมีการส่งหรือรับข้อมูลในเครือข่ายขององค์กรเป็นปริมาณสูง ปริมาณข้อมูลใน
เครือข่ายที่สูงเกินไปนี้จะมีผลทำให้การใช้การเครือข่ายของพนักการเป็นไปอย่างล่าช้า ติดขัด หรือ
อาจถึงขั้นไม่สามารถใช้การได้เลย ดังนั้นการตรวจสอบปริมาณข้อมูลนี้ควรจะดำเนินการอย่าง
สม่ำเสมอเพื่อจะได้รู้ทราบว่ามีความผิดปกติเกิดขึ้นหรือไม่และจะได้ดำเนินการแก้ไขได้อย่างทัน
ท่วงที
- การเฝ้าดูการทำการของเซิร์ฟเวอร์
เซิร์ฟเวอร์ให้บริการส่วนใหญ่ขององค์กรจะให้บริการต่างๆ เช่น เว็บ เอฟทีพี(FTP)
ซีเคียลเชลล์(Secure Shell) MySQL เป็นต้น ซึ่งเซิร์ฟเวอร์ให้บริการนี้จะสามารถบันทึกกิจ
กรรมการเข้าใช้การของผู้ใช้เพื่อเก็บเอาไว้เป็นหลักฐานยืนยันในภายหลังได้ เช่น วันและเวลาที่เข้า
ใช้การ กิจกรรมที่ทำ เป็นต้น ข้อมูลที่บันทึกไว้นี้โดยปกติควรจะได้รับการตรวจสอบอย่าง
สม่ำเสมอจากผู้ดูแลระบบ (ซึ่งเป็นการเฝ้าดูว่ามีความพยายามที่จะบุกรุกเซิร์ฟเวอร์ขององค์กรหรือ
ไม่) หากพบความผิดปกติ เช่น ความพยายามในการเข้าใช้การเซิร์ฟเวอร์โดยที่ไม่มีสิทธิ ผู้ดูแล
ระบบจะได้หาทางแก้ไขต่อไป
- การอุดช่องโหว่ในตัวซอฟต์แวร์
ซอฟต์แวร์ที่ใช้การในระบบเครือข่าย เช่น ซอฟต์แวร์ระบบปฏิบัติการ ซอฟต์แวร์เซิร์ฟเวอร์
ต่าง ๆ อาจจะมีช่องโหว่ที่ผู้บุกรุกสามารถใช้ให้เป็นประโยชน์ในการเจาะระบบ ดังนั้นจึงมีความจำ
เป็นที่จะต้องหาทางอุดช่องโหว่เหล่านี้ ระบบค้นหาจุดอ่อนเป็นวิธีหนึ่งที่สามารถช่วยค้นหา ช่อง
โหว่ในตัวซอฟต์แวร์ได้ นอกจากนั้นแล้วในปัจจุบันมีซอฟต์แวร์อยู่หลายชนิดที่สามารถช่วยในการ
อุดช่องโหว่ให้โดยอัติโนมัติ
5. การพัฒนานโยบายการใช้การระบบเครือข่าย
การทางเทคนิคหลายการที่ได้กล่าวถึงข้างบน ได้แก่ การสร้างความปลอดภัยให้กับระบบ
ปฏิบัติการและเซิร์ฟเวอร์ การป้องกันการบุกรุก อาจจะไม่เป็นผลเท่าที่ควร หากผู้ดูแลระบบละเลย
การติดตั้งระบบปฏิบัติการหรือเซิร์ฟเวอร์ให้ทำการอย่างปลอดภัย พนักการละเลยไม่ติดตั้ง
ซอฟต์แวร์ป้องกันไวรัส พนักการไม่ทำการสำรองข้อมูลเก็บไว้ ผู้ดูแลระบบไม่เคยตรวจสอบข้อมูล
กิจกรรมการเข้าใช้การเซิร์ฟเวอร์ที่บันทึกไว้ พนักการขาดการตระหนักถึงภัยของไวรัสที่มีต่อ
ระบบเครือข่ายขององค์กร สิ่งต่าง ๆ เหล่านี้จึงทำให้มีความจำเป็นที่จะต้องจัดทำนโยบายการใช้
การออกมา (เป็นคล้าย ๆ กฎเหล็กที่ต้องปฏิบัติตาม) เพื่อควบคุมพฤติกรรมการใช้การระบบเครือ
ข่ายของทั้งผู้ดูแลระบบและผู้ใช้การทั่วไป เพื่อไม่ให้ละเลยหรือปฏิบัติออกนอกลู่นอกทางที่ตน
ควรกระทำ
6. การสร้างความตระหนักให้กับผู้ใช้
พฤติกรรมการใช้การระบบเครือข่าย เช่น การดาวน์โหลดไฟล์โดยไม่มีการตรวจสอบไวรัส
การแชร์รหัสผ่าน การแชร์ไฟล์โดยไม่มีรหัสผ่าน การส่งรหัสผ่านทางอีเมล์ หรือพฤติกรรมที่มี
ความเสี่ยงอื่น ๆ ทั้งหมดนี้สามารถทำให้ระบบเครือข่ายขององค์กรมีความเสี่ยงที่อาจจะถูกบุกรุก
หรือได้รับความเสียหายได้ จึงทำให้มีความจำเป็นที่จะต้องจัดกิจกรรมต่าง ๆ เพื่อสร้างความตระหนักให้กับผู้ใช้ เช่น การจัดอบรมเพื่อให้ความรู้ การติดประกาศในที่ ๆ สามารถมองเห็นได้ง่าย
เป็นต้น ทั้งนี้เพื่อให้ผู้ใช้มีความระมัดระวังมากยิ่งขึ้นในการใช้การระบบเครือข่าย
7. การสำรองข้อมูล
ความเสี่ยงมักเกิดขึ้นได้หลากหลาย เช่น ความเสี่ยงที่เกิดจากฮาร์ดดิสก์เสียหาย ความเสี่ยงที่
เกิดจากไวรัสทำลายข้อมูล ความเสี่ยงที่ผู้บุกรุกลบข้อมูลสำคัญทิ้งไป ความเสี่ยงเหล่านี้ล้วนทำให้มี
ความจำเป็นที่จะต้องสำรองข้อมูลเอาไว้ หากข้อมูลที่ใช้การเกิดการเสียหาย จะได้นำข้อมูลสำรอง
มาใช้การได้
8. การบริหารและจัดการเมื่อมีเหตุการณ์ที่ไม่ปลอดภัยเกิดขึ้น
เมื่อมีเหตุการณ์บุกรุกเกิดขึ้น เช่น มีไวรัสบนระบบเครือข่าย เครือข่ายถูกบุกรุก ข้อมูลหน้า
หลักบนเว็บไซต์ขององค์กรถูกเปลี่ยนแปลง ความพยายามในการบุกรุก ผู้ที่พบเห็นเหตุการณ์ควร
จะได้ทราบขั้นตอนปฏิบัติที่จำเป็นเพื่อจะได้รายการให้ผู้ที่มีอำนาจได้รับทราบเพื่อจะได้หาทาง
ดำเนินการแก้ไขต่อไป การบริหารและจัดการนี้มีจุดประสงค์สำคัญคือจัดทำขั้นตอนปฏิบัติเพื่อให้
ผู้ใช้สามารถรายการเหตุการณ์ที่พบได้อย่างทันท่วงที
การตรวจสอบสารสนเทศ
ความหมายของ "Internal Audit"
หมายถึง การตรวจสอบภายใน โดยฝ่ายตรวจสอบภายในของบริษัทเองซึ่ง "ผู้ตรวจสอบภายใน" ควรศึกษาองค์ความรู้ที่จำเป็นต้องใช้ในการปฏิบัติงานตรวจสอบภายใน ได้แก่ "Corporate Governance Framework", "COSO ERM Framework" , "COSO Based Audit", "Risk-Based Audit" ซึ่งผู้ตรวจสอบภายในควรสอบวัดความรู้ ซึ่งเป็นการวัดความรู้ทั้ง 4 ด้าน ได้แก่
1. The Internal Audit Activity's Role in Governance, Risk, and Control
2. Conducting the Internal Audit Engagement
3. Business Analysis and Information Technology (IT)
4. Business Management Skills
ในปัจจุบัน ทุกองค์กรมีความจำเป็นต้องนำระบบสารสนเทศมาใช้งานในแทบทุกส่วนขององค์กร ดังนั้น องค์ความรู้ทางด้านการตรวจสอบระบบสารสนเทศจึงเป็นสิ่งสำคัญที่ผู้ตรวจสอบภายในจำเป็นต้องศึกษาหาความรู้เพิ่มเติม แต่ผู้ตรวจสอบภายในสามารถจำกัดบทบาทของตนเป็นเพียง "ผู้ตรวจสอบภายใน" ไม่จำเป็นต้องเป็น "ผู้ตรวจสอบสารสนเทศ" หรือ "ผู้ตรวจสอบด้านความปลอดภัยข้อมูล" ก็ได้ ถ้าหากงานที่ทำอยู่นั้นไม่มีความจำเป็นต้องใช้ความรู้ทางด้านระบบสารสนเทศ หรือ ความรู้ทางด้านความปลอดภัยข้อมูล เช่น การตรวจสอบเรื่อง Finance เป็นต้น
ความหมายของ "IT Audit"
ปรัชญาของ "IT Audit" แตกต่างจากปรัชญาของ "Internal Audit" กล่าวคือ องค์ความรู้ของ "Internal Audit" เน้นเรื่องการประยุกต์ใช้ "COSO Framework" และการมองภาพรวมในลักษณะของ "Enterprise Risk Management" หรือ "ERM" ซึ่งเป็นภาพใหญ่ขององค์กร แต่ "IT Audit" นั้น จะเน้นไปที่ "CobiT Framework" หรือ อีกชื่อหนึ่งคือ "IT Governance Framework" โดยปรัชญาก็คือ การใช้งานระบบสารสนเทศให้สอดคล้อง หรือ "Align" กับวัตถุประสงค์ทางด้านธุรกิจหรือ "Business Objective" ตลอดจน "Governance Objective" ซึ่งได้แก่เรื่อง "Regulatory Compliance" ต่าง ๆ โดยการตรวจสอบระบบสารสนเทศมีลักษณะคล้ายกับการตรวจสอบภายใน ก็คือ การนำหลักการ "GRC" หรือ "Governance , Risk Management and Compliance" มาประยุกต์ใช้ และมีลักษณะการตรวจสอบในแบบ "Risk-Based Approach" แต่การตรวจสอบระบบสารสนเทศจำเป็นต้องมีองค์ความรู้เรื่อง "Information System Audit Process or IS Audit Process" เป็นองค์ความรู้หลัก ซึ่งองค์ความรู้ที่จำเป็นต้องศึกษามีทั้งหมด 6 องค์ความรู้ ได้แก่
1. IS Audit Process
2. IT Governance
3. Systems and Infrastructure Lifecycle Management
4. IT Service Delivery and Support
5. Protection of Information Assets
6. Business Continuity and Disaster Recovery
ความหมายของ "Information Security Audit"
กล่าวถึงองค์ความรู้ทางด้าน Information Security ก็คงหนีไม่พ้น "CBK" หรือ "Common Body of Knowledge"
จาก (ISC)2 โดยมีองค์ความรู้ทั้ง 10 องค์ความรู้ ได้แก่
1. Access Control
2. Application Security
3. Business Continuity and Disaster Recovery Planning
4. Cryptography
5. Information Security and Risk Management
6. Legal, Regulations, Compliance and Investigation
7. Operations Security
8. Physical (Environmental) Security
9. Security Architecture and Design
10. Telecommunications and Network Security
ซึ่งเป็นองค์ความรู้ที่ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลจำเป็นต้องรู้เพื่อนำไปประยุกต์ใช้ในการปฏิบัติงานในบทบาทของ ผู้เชี่ยวชาญด้านความปลอดภัยข้อมูล (Information Security Specialist)
สำหรับตำแหน่ง "ผู้ตรวจสอบด้านความปลอดภัยข้อมูล" (Information Security Auditor) นั้นมักจะไม่ค่อยได้ยินตำแหน่งนี้แต่มักจะได้ยินแต่ตำแหน่งผู้ตรวจสอบระบบสารสนเทศ หรือ "IT Auditor" โดยในปัจจุบัน “IT Auditor” จำเป็นต้องมีความรู้ด้านความปลอดภัยข้อมูลเป็นความรู้เสริม เพราะต้องไปตรวจเรื่อง Business Continuity Management (BCM) , ตรวจเรื่องนโยบายด้านความปลอดภัยขององค์กร (Corporate Information Security Policy) , ตรวจเรื่องหนังสือยินยอมรับเงื่อนไขนโยบายเกี่ยวกับความปลอดภัยระบบสารสนเทศ "Acceptable Use Policy" หรือ "AUP" ตลอดจนต้องตรวจสอบความปลอดภัยของ "Network Perimeter" เช่น การตรวจสอบ Firewall , IPS/IDS , VPN หรือ Anti-Virus ซึ่งจำเป็นต้องมีความรู้ทางด้านความปลอดภัยข้อมูลอย่างหลีกเลี่ยงไม่ได้
การตรวจสอบตามมาตรฐานการบริหารจัดการด้านความปลอดภัยข้อมูลที่ได้รับการยอมรับกันในปัจจุบันก็คือ การตรวจสอบตามมาตรฐาน ISO/IEC 27001 Information Security Management System (ISMS) โดย ISMS Lead Auditor ที่มาจาก Certification Body (CB) ผู้ตรวจสอบด้านความปลอดภัยข้อมูลมีหน้าที่ในการพิสูจน์ทราบว่า องค์กรได้ปฏิบัติตาม "Control" ต่างๆ ที่อยู่ในมาตรฐาน ISO/IEC 27001 ได้อย่างเกิดประสิทธิผล (Effectiveness) หรือไม่? โดยอ้างอิงจากองค์ความรู้ทั้ง 11 องค์ความรู้ ได้แก่
1. Security Policy
2. Organization of Information Security
3. Asset management
4. Human resources security
5. Physical and environmental security
6. Communications and Operations Management
7. Access Control
8. Information Systems Acquisition, Development and Maintenance
9. Information Security Incident Management
10. Business Continuity Management (BCM)
11. Compliance
จะเห็นได้ว่ามีหลายเรื่องที่ตรงกับ CBK ของ (ISC)2 โดยหลักการของผู้ตรวจสอบระบบความปลอดภัยข้อมูลตามมาตรฐาน ISO/IEC 27001 หรือ "ISMS Lead Auditor" นั้น จะยึดหลักการ "3E" ได้แก่
1. E = Existing
หมายถึง เอกสารสำคัญทั้งหมดในกระบวนการ ISMS จะต้องถูกจัดทำให้เสร็จสมบูรณ์ได้แก่ เอกสาร ISMS scope, ISMS Policy, Risk Assessment Methodology, Risk Assessment Report, Risk Treatment Plan และ Statement of Applicability (SOA) โดยจะอยู่ในรูปแบบของ Hard-copy หรือ Soft-copy เป็นไฟล์ PDF ก็ได้
2. E = Execute
หมายถึง องค์กรต้องปฏิบัติตามกระบวนการที่อยู่ในเอกสารในข้อหนึ่งมาในช่วงระยะเวลาหนึ่ง โดยปกติประมาณ 3-6 เดือน เพื่อให้แน่ใจว่า เอกสารทุกอย่างที่เกี่ยวข้องได้ถูกนำมาใช้ปฏิบัติงานเป็น "Process" หรือ "Procedure" จริงๆ โดยไม่ใช่เป็นเพียงเอกสารที่ทำขึ้นมาแต่ไม่ได้นำมาใช้ให้เกิดประโยชน์แก่องค์กร
3. E = Effectiveness
หมายถึง ต้องมีกระบวนการในการวัดประสิทธิผล "Effectiveness" ได้ว่า ก่อนการปฏิบัติตามกระบวนการ ISMS (Before ISMS) เปรียบเทียบกับหลังการปฏิบัติตามกระบวนการ ISMS (After ISMS) มีประสิทธิผลเกิดขึ้นและสามารถวัดได้เป็นรูปธรรม เช่น ก่อนการฝึกอบรม Information Security Awareness Training พนักงานในองค์กรทำข้อสอบ Pre-Test ได้คะแนนต่ำกว่าเกณฑ์ แต่หลังจากที่ฝึกอบรม Information Security Awareness Training ไปแล้ว กลับมาทำข้อสอบ Post-Test มีผลคะแนนที่ดีขึ้น เป็นต้น
มองในภาพรวมจะเห็นได้ว่า ลักษณะการตรวจสอบของ "Internal Audit" , "IT Audit" และ "Information Security Audit" นั้น จะมีลักษณะบางอย่างที่เหมือนกัน และมีหลายอย่างที่แตกต่างกัน ดังนั้น "Role" หรือ "บทบาท" ของผู้ตรวจสอบจึงจำเป็นที่จะต้องกำหนดลงไปให้ชัดเจนก่อนการตรวจสอบเพื่อไม่ให้ผู้ถูกตรวจสอบ (Auditee) เกิดความเข้าใจผิดและให้ข้อมูลไม่ตรงกับรูปแบบของการตรวจสอบ ทำให้ผลลัพธ์ที่ได้จากการตรวจสอบไม่สัมฤทธิ์ผลเท่าที่ควรจะเป็น
สำหรับส่วนที่เหมือนกันของการตรวจสอบทั้ง 3 ลักษณะ ก็คือ ควรจะตรวจสอบให้ได้ผลการตรวจสอบที่สามารถถ่ายทอดในภาพรวม หรือ "Holistic Approach" และ สามารถตอบโจทย์ของผู้บริหารตามหลัก "GRC" ได้อย่างชัดเจน เช่น "Internal Audit" สามารถแสดงผลการตรวจสอบให้สอดคล้องกับหลัก "CG" หรือ "Corporate Governance" สามารถทำให้ Board Of Director เกิดความเข้าใจถึงต้นตอของปัญหาและทางแก้ไขที่ถูกต้องตามแนวทาง CG
ขณะเดียวกัน "IT Audit" ก็สามารถนำหลัก "ITG" หรือ "IT Governance" โดยนำ "CobiT Framework" มาประยุกต์ใช้ให้เกิดผลลัพธ์จากการตรวจสอบที่มีประโยชน์ต่อการตัดสินใจของผู้บริการระดับสูงโดยอ้างอิง IT Goal กับ Business Goal ใน concept ของ Balanced Scorecard (BSC) ตามหลัก "GRC" ที่ถูกต้อง
สำหรับในส่วนของ "Information Security Audit" ก็เช่นเดียวกัน ควรมีการนำหลักการ "Information Security Governance" มาประยุกต์ใช้เพื่อให้สามารถนำผลลัพธ์จากการตรวจสอบด้านความปลอดภัยข้อมูลมาเป็นข้อมูลประกอบการตัดสินใจของผู้บริหารระดับสูง (Align with Business) ในลักษณะเดียวกับการตรวจสอบภายในและการตรวจสอบระบบสารสนเทศเช่นกัน
การตรวจสอบระบบสารสนเทศ
ความหมายของการตรวจสอบระบบสารสนเทศ (Information System Auditing) จากเอกสารวิชาการ มีดังนี้
(1) หมายถึง กระบวนการการรวบรวมหลักฐานและประเมินหลักฐาน เพื่อแสดงความเห็นว่า ระบบสารสนเทศมีการดูแลความปลอดภัยของทรัพย์สิน ระบบสารสนเทศเชื่อถือได้ การปฏิบัติงานสำเร็จตามเป้าหมายที่องค์กรกำหนด และการใช้ทรัพยากรเป็นไปอย่างมีประสิทธิภาพ
(2) หมายถึง การสร้างความเชื่อมั่นต่อฝ่ายบริหารอย่างสมเหตุสมผลในการบรรลุวัตถุประสงค์ของการควบคุมภายใน การรายงานจุดอ่อนของการควบคุมที่มีสาระสำคัญ และการให้ข้อ เสนอแนะในการปรับปรุงแก้ไข
จากคำนิยามทั้งสอง สรุปได้ว่าการตรวจสอบระบบสารสนเทศ หมายถึง การตรวจเพื่อแสดงความเห็นต่อระบบการควบคุมสารสนเทศที่องค์กรใช้ ว่าเหมาะสมและเป็นไปตามวัตถุประสงค์ของการควบคุมที่กำหนดไว้หรือไม่ ทั้งนี้วัตถุประสงค์ของการควบคุมอาจกำหนดโดยผู้บริหารหรือผู้ออกแบบระบบ แต่ผู้ตรวจสอบจะตรวจสอบเพื่อให้มั่นใจว่าระบบที่ออกแบบไว้นั้นยังคงเพียงพอ เหมาะสม มีการปฏิบัติตาม และได้ผลตามวัตถุประสงค์ที่กำหนดไว้อย่างไรหรือไม่
วัตถุประสงค์การควบคุมและตรวจสอบระบบสารสนเทศ
การควบคุมสารสนเทศ หมายถึง กระบวนการหรือวิธีการต่างๆ ที่ผู้บริหารกำหนดขึ้นเพื่อใช้ป้องกัน ค้นพบ และแก้ไขเหตุการณ์ที่ไม่ต้องการหรือลดโอกาสความเสี่ยงไม่ให้เกิดขึ้น เช่น ความเสี่ยงที่สารสนเทศในระบบไม่ถูกต้องเชื่อถือได้ ความเสี่ยงจากการลักลอบเข้าระบบโดยผู้ที่ไม่ได้รับอนุญาต ความเสี่ยงในการเปลี่ยนแปลงทำลายข้อมูล และความรั่วไหล วัตถุประสงค์ในการควบคุมสารสนเทศ อาจแบ่งได้หลายประการดังนี้
1. ความครบถ้วนและถูกต้องหรือบูรณาการของข้อมูล (Integrity of Data) ข้อมูลที่บันทึกและประมวลผลในระบบ ต้องเป็นข้อมูลที่ได้รับการอนุมัติ (Authorization) มีความถูกต้องแม่นยำ (Accuracy) ครบถ้วน (Completeness) และสามารถพิสูจน์หาร่องรอยหรือหลักฐานยืนยันได้ (Validity) รวมทั้งเป็นข้อมูลสาระสำคัญที่เกี่ยวข้องกับเรื่องที่จะตัดสินใจ (Relevance)
2. การรักษาความลับ (Confidentiality) ข้อมูลที่อยู่ในระบบสารสนเทศต้องควบคุมให้ใช้งานได้เฉพาะผู้ที่ได้รับอนุญาตเท่านั้น ไม่ให้เกิดการรั่วไหล ไม่เปิดเผยหรือเกิดกรณีลักลอบใช้ข้อมูลอย่างไม่ได้รับอนุญาต
3. ความหาได้เมื่อต้องการใช้ (Availability, Accessibility) วัตถุประสงค์ข้อนี้อาจดูตรงข้ามกับวัตถุประสงค์ในการเก็บรักษาความลับ แต่กิจการต้องพิจารณาว่าสารสนเทศที่จำเป็นในการใช้งานของผู้ใด ต้องให้ผู้นั้นได้รับทราบ และไม่ให้เกิดปัญหาการหวงข้อมูลระหว่างหน่วยงาน แต่ต้องสามารถใช้ประโยชน์จากข้อมูลร่วมกัน
ดังนั้นวัตถุประสงค์ทั้งสามประการจึงเป็นวัตถุประสงค์พื้นฐานที่สำคัญในการควบคุมข้อมูลและสารสนเทศ ข้อมูลสารสนเทศที่ถูกต้องเป็นทรัพย์สินที่มีค่าในการปฏิบัติงานจึงต้องมีการเก็บรักษาความลับข้อมูลไม่ให้รั่วไหล แต่ไม่ใช่เป็นความลับจนกระทั่งข้อมูลหาไม่ได้เมื่อต้องการใช้ ทั้งนี้ข้อมูลที่ไม่ถูกต้องย่อมไม่มีคุณค่า เป็นข้อมูลขยะ ซึ่งควรควบคุมไม่ให้เกิดขึ้นในระบบสารสนเทศของกิจการ
นอกจากนั้น วัตถุประสงค์การควบคุมสารสนเทศยังรวมถึง
4. การดูแลรักษาทรัพย์สินให้ปลอดภัย (Asset Safeguarding) ทรัพย์สินในระบบสารสนเทศ ได้แก่ ฮาร์ดแวร์ ซอฟต์แวร์ อุปกรณ์อื่น ฐานข้อมูล และแฟ้มข้อมูล ฯลฯ ที่ต้องดูแลรักษาให้ปลอดภัย ตัวอย่างเช่น
• การเก็บรักษาทรัพย์สินในสถานที่ที่ปลอดภัย รวมทั้งการควบคุมด้านสภาพแวดล้อม การเก็บรักษาดูแลตัวเครื่องและระบบงานในศูนย์คอมพิวเตอร์ไม่ให้เสียหาย ควบคุมให้เฉพาะผู้มีสิทธิเท่านั้นที่จะเข้าถึงหรือใช้งานได้
• การควบคุมการพัฒนาและการปรับปรุงแก้ไขโปรแกรมระบบงาน โดยต้องได้รับการอนุมัติ ทดสอบ อย่างเหมาะสมก่อนนำมาใช้ปฏิบัติงานจริง
• การป้องกันการหยุดชะงักในการปฏิบัติงาน เช่น การกำหนดแผนป้องกันอุบัติเหตุอุบัติภัย การมีระบบสำรอง การจัดทำแฟ้มสำเนา เป็นต้น
5. การควบคุมด้านประสิทธิภาพและประสิทธิผลของระบบงาน การประเมินประสิทธิภาพจะพิจารณาเกี่ยวข้องกับการประเมินเปรียบเทียบกับ ระยะเวลา ทรัพยากร ต้นทุน และคุณภาพที่ได้ เช่น การวิเคราะห์เปรียบเทียบต้นทุนกับประโยชน์ที่เกิดขึ้นว่าคุ้มค่าต่อการลงทุนหรือไม่ เป็นต้น
ส่วนการประเมินประสิทธิผล โดยปกติอาจประเมินพร้อมกับการประเมินประสิทธิภาพ แต่จะเน้นการพิจารณาว่าระบบงานสามารถใช้งานตามวัตถุประสงค์ของโครงการที่กำหนดไว้หรือไม่ การประเมินความพึงพอใจของผู้ใช้งาน ประโยชน์ของสารสนเทศที่ได้รับ ความสามารถในการปรับปรุงต่อการเปลี่ยนแปลงในอนาคต โดยปกติการประเมินประสิทธิผลจะกระทำได้เมื่อกิจการได้ระบุความต้องการดังกล่าวไว้ชัดเจนล่วงหน้า และผ่านระยะเวลาการเรียนรู้ในการใช้งานระบบนั้นไประยะหนึ่งแล้ว
6. การปฏิบัติตามนโยบาย ข้อกำหนด และกฎระเบียบที่เกี่ยวข้อง (Compliance with Policies, Statutes and Regulations) ซึ่งอาจเป็นการปฏิบัติตามกฎหมายและกฎระเบียบจากสถาบัน ผู้กำกับดูแลภายนอก เช่น การใช้โปรแกรมบัญชีตามมาตรฐานที่กำหนดโดยกรมสรรพากร และการปฏิบัติตามนโยบาย ข้อกำหนดภายใน เช่น การเก็บรักษารหัสผ่าน การปฏิบัติงานตามระดับอนุมัติที่ได้รับ เป็นต้น
วัตถุประสงค์ทั้งหกด้านเป็นวัตถุประสงค์รวม โดยวัตถุประสงค์ที่หนึ่งเป็นวัตถุประสงค์พื้นฐานของการตรวจสอบระบบสารสนเทศ ไม่ว่าจะเป็นการสอบบัญชีหรือการตรวจสอบภายใน ส่วนวัตถุประสงค์อื่น อาจเป็นวัตถุประสงค์ของการตรวจสอบภายในหรือการตรวจสอบจากผู้ตรวจสอบระบบสารสนเทศที่องค์กรธุรกิจจ้างมาเป็นกรณีพิเศษ
หลักการตรวจสอบระบบสารสนเทศ (IT Audit)
หลักการในการตรวจสอบระบบสารสนเทศที่ถูกต้องก็คือ ต้องมีการประเมินความเสี่ยง (Risk Assessment) ขององค์กรเสียก่อน ซึ่งมีขั้นตอนสำคัญที่ต้องปฏิบัติ เช่น การระบุปัจจัยที่มีผลทำให้เกิดความเสี่ยง และ การระบุความเสี่ยงที่มีโอกาสเกิดขึ้น (Risk Identification), การวิเคราะห์ความเสี่ยง (Risk Analysis) และการบริหารจัดการกับความเสี่ยง (Risk Management)
การตรวจสอบระบบสารสนเทศต้องพิจารณาเรื่องของ Control หรือ การควบคุม ว่าได้มีการจัดการอย่างถูกต้องหรือไม่ การตรวจสอบการควบคุมแบ่งออกเป็น 3 ประเภทใหญ่ๆ คือ
1. การควบคุมแบบป้องกันล่วงหน้า (Preventive Control)
2. การควบคุมแบบค้นหาประวัติเหตุการณ์ที่เกิดขึ้น (Detective Control)
3. การควบคุมแบบแก้ไขปัญหาจากเหตุการณ์ที่เกิดขึ้น (Corrective Control)
IT Auditor ควรจะพิจารณาการควบคุม (Control) ไปพร้อมๆกันทั้ง 3 มุมมอง ได้แก่
1. มุมมองทางด้านการบริหารจัดการ (Administrative Control)
2. มุมมองทางด้านเทคนิค (Technical Control)
3. มุมมองทางด้านกายภาพ (Physical Control)
IT Auditor ต้องมีความรู้ความเข้าใจในขั้นตอนกระบวนการตรวจสอบระบบสารสนเทศ (IT Audit Process) ตลอดจนมีความรู้ด้านเทคนิคเชิงลึก (IT Audit Technical Know-how) ในระบบที่ต้องเข้าไปตรวจสอบ สามารถแบ่งประเภทของงานตรวจสอบระบบสารสนเทศออกเป็น 7 ประเภทใหญ่ๆ ดังนี้
1. การตรวจสอบระบบปฏิบัติการ (NOS Audit) เช่น การตรวจสอบระบบ Server ที่ใช้ MS Windows เช่น Windows NT, Window 2000 Server ตลอดจน Workstation ที่ใช้ Windows XP เป็นต้น การตรวจสอบควรจะครอบคลุมถึงระบบปฏิบัติการอื่นด้วย เช่น การตรวจสอบระบบปฏิบัติการ Unix เช่น Sun Solaris, HP/UX, IBM AIX และ ระบบปฏิบัติการ Linux ที่ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ
2. การตรวจสอบอุปกรณ์เครือข่าย (Network Devices Audit) เช่น การตรวจสอบ Router, การตรวจสอบ Switching และ การตรวจสอบ Remote Access Server ตลอดจน การตรวจสอบโครงสร้างของเครือข่าย (Network Infrastructure Audit) และ ประสิทธิภาพของเครือข่าย (Network Performance Audit) โดยใช้โปรแกรมตรวจสอบประเภท Packet Sniffer หรือ RMON Probe เป็นต้น
3. การตรวจสอบอุปกรณ์รักษาความปลอดภัย (Security Devices Audit) เช่น การตรวจสอบ Firewall, การตรวจสอบ Intrusion Detection System (IDS), การตรวจสอบ Intrusion Prevention System (IPS), การตรวจสอบโปรแกรม Enterprise Anti-Virus, การตรวจสอบ VPN Server เป็นต้น การตรวจสอบอุปกรณ์รักษาความปลอดภัยนั้นเป็นสิ่งที่มีความจำเป็นอย่างสูง เพราะถ้าอุปกรณ์รักษาความปลอดภัยมีปัญหาเสียเอง หรือโดน Hacker เจาะเข้ามา compromised ก็จะทำให้เกิดปัญหากับความปลอดภัยของระบบโดยรวม ผู้ตรวจสอบควรเป็นผู้ชำนาญงานด้านการใช้งาน Firewall หรือ IDS/IPS มาก่อนด้วยจะช่วยได้มาก
4. การตรวจสอบโปรแกรมฐานข้อมูล (RDBMS Audit) เช่น การตรวจสอบ Oracle, IBM DB2, Microsoft SQL Server, Informix, SYBASE หรือ MySQL RDBMS การตรวจสอบโปรแกรมฐานข้อมูลควรกระทำควบคู่ไปกับการตรวจสอบระบบปฏิบัติการที่โปรแกรมฐานข้อมูลทำงานอยู่ เช่น Oracle ทำงานบน Unix เป็นต้น เพื่อที่จะเจาะลึกลงไปในด้านความปลอดภัยของตัวโปรแกรมฐานข้อมูลเองว่ามีช่องโหว่หรือไม่ ผู้ตรวจสอบควรเป็นผู้เชี่ยวชาญการใช้งานโปรแกรมฐานข้อมูลนั้นๆมาก่อน เพราะการตรวจสอบต้องใช้ความรู้เชิงลึกทางด้าน RDBMS ด้วย
5. การตรวจสอบโปรแกรมประยุกต์และโปรแกรมที่ให้บริการในลักษณะ Server (Application Specific Audit) เช่น การตรวจสอบ Web Server IIS บน Microsoft Windows Platform และ การตรวจสอบ Web Server Apache บน Unix/Linux Platform ซึ่งทั้ง 2เป็นโปรแกรม Web Server ยอดนิยมอยู่ในขณะนี้ นอกจากการตรวจสอบ Web Server แล้ว IT Auditor ควรตรวจสอบ Mail Server, FTP Server, LDAP Server, RADIUS Server ตลอดจน DNS Server ซึ่งถือเป็นหัวใจหลักของระบบ หาก DNS Server มีปัญหาจะทำให้ระบบไม่สามารถอ้างอิง Hostname ได้ ซึ่งจะก่อให้เกิดปัญหาใหญ่กับระบบโดยรวม
6. การตรวจสอบกระบวนการบริหารจัดการควบคุมด้านสารสนเทศ (Administrative Control) จากข้อ 1 ถึง ข้อ 5 เป็นการตรวจสอบในมุมมองทางด้านเทคนิค (Technical Control) การตรวจสอบในมุมมองการบริหารจัดการนั้น ได้แก่ การตรวจสอบ Policy, Standard, Guideline และ Procedure ที่องค์กรมี อยู่ว่าครอบคลุม และ มีการปฏิบัติตามหรือไม่ ในขั้นตอนนี้รวมถึงการตรวจสอบว่าองค์กรมีการจัด ฝึกอบรมด้านการรักษาความปลอดภัย (Security Awareness Training) หรือไม่ ซึ่งตามปกติควรจะ มีเป็นประจำทุกปี
การตรวจสอบการบริหารจัดการนั้นต้องพิจารณาจากโครงสร้างหน่วยงาน, การแบ่งแยกหน้าที่ต่างๆในหน่วยงาน, การจัดทำแผนสำรองฉุกเฉิน และแผนรับเหตุการณ์ (Business Continuity Planning , Disaster Recovery Planning and Incident Response Procedure) ตลอดจนการควบคุมการเปลี่ยนแปลงระบบงาน (Change Control Management)
7. การตรวจสอบด้านกายภาพ (Physical Control) ได้แก่ การตรวจสอบระบบควบคุมการเข้า-ออกศูนย์คอมพิวเตอร์, การตรวจสอบ Hardware ระบบ Backup/Restore และ ระบบไฟสำรอง เช่น มี UPS เพียงพอหรือไม่ การตรวจสอบอุปกรณ์เฝ้าระวัง เช่น กล้องวงจรปิด (CCTV) เป็นต้น
ความรู้ทางด้านความปลอดภัยข้อมูลก็เป็นเรื่องสำคัญเช่นกัน IT Auditor ควรเข้าใจ Concept ของ CIA TRIAD (Confidentiality, Integrity and Availability), การทำงานของ Firewall และ IDS ในบริเวณ Network Perimeter ขององค์กร ตลอดจนวิธีการบุกรุกของ Hacker และ การทำงานของ Virus
ดังนั้น IT Auditor ควรจะมีความรู้พื้นฐานทางด้านเทคนิคด้วย ทั้งด้านระบบเครือข่ายและระบบปฏิบัติการที่ตนเองต้องเข้าไปตรวจสอบ IT Auditor ต้องเข้ารับการฝึกอบรมทางด้านเทคนิคเพิ่มเติม หรือ หาความรู้เพิ่มด้วยตนเองจากการติดตามข่าวสารเทคโนโลยีด้านความปลอดภัยใหม่ๆอยู่ตลอดเวลา
กระบวนการตรวจสอบระบบสารสนเทศ
กระบวนการตรวจสอบระบบสารสนเทศนั้นไม่แตกต่างจากกระบวนการตรวจสอบโดยทั่วไป ทั้งในส่วนของการวางแผนการตรวจสอบ การเตรียมการสำหรับงานตรวจ การสำรวจเบื้องต้น และการสอบทานระบบการควบคุมภายใน การทดสอบเพิ่มเติม และเรื่องที่ตรวจพบ การรายงานและติดตามผลการตรวจสอบ อย่างไรก็ตาม ยังมีความแตกต่างที่เทคนิค และวิธีการที่ใช้ในการตรวจสอบ โดยมีรายละเอียดที่ต้องพิจารณาดังนี้
1. การวางแผนและคัดเลือกโครงการตรวจสอบ
ขั้นตอนนี้เป็นการวางแผนและคัดเลือกโครงการเพื่อตรวจสอบ การวางแผนการตรวจสอบเป็นกระบวนการแรกของขั้นตอนการปฏิบัติงานตรวจสอบ การวางแผนที่ดีจะช่วยให้งานตรวจสอบภายในมีประสิทธิภาพและประสิทธิผล บรรลุวัตถุประสงค์ภายใต้เงื่อนไขของทรัพยากรที่มีอย่างจำกัด การวางแผนและคัดเลือกโครงการจึงต้องนำการประเมินความเสี่ยงมาเป็นเครื่องมือเพื่อกำหนดลำดับความสำคัญของแต่ละโครงการ และควรพิจารณาข้อมูลที่ได้รับจากฝ่ายบริหารหรือคณะกรรมการ รวมทั้งพิจารณาข้อเรียกร้องของผู้รับการตรวจสอบด้วย
ในการประเมินความเสี่ยง ผู้ตรวจสอบภายในต้องกำหนดปัจจัยเสี่ยงที่เหมาะสมกับลักษณะของระบบงานสารสนเทศที่จะตรวจสอบ ตัวอย่างของปัจจัยเสี่ยงเพื่อใช้ในการวางแผนการตรวจสอบตามความเสี่ยง (Risk-based Audit Plan) มีดังนี้
ความซับซ้อนของระบบงาน เป็นการพิจารณาที่รายละเอียดวิธีการปฏิบัติงานและความซับซ้อนของงาน ในกรณีที่กิจกรรมหรือกระบวนการทำงานมีขั้นตอนรายละเอียดและยุ่งยากซับซ้อนมาก ก็จะยิ่งเพิ่มความเสี่ยงที่จะเกิดข้อผิดพลาดมากขึ้น
อายุของระบบงาน
จำนวนครั้งที่มีการแก้ไขระบบงานในช่วง 6 เดือนที่ผ่านมา การเปลี่ยนแปลงนโยบาย ระบบประมวลผลข้อมูล หรือระบบงานที่ผ่านมาไม่นาน มักเพิ่มความเสี่ยงแก่องค์กร เนื่องจากพนักงานยังไม่มีความชำนาญจึงอาจเกิดความผิดพลาดได้ง่ายขึ้น
งบประมาณในการพัฒนาหรือจัดหาระบบ เป็นการแบ่งแยกโดยอาศัยจำนวนเงินและผลกระทบทางการเงิน ซึ่งงบประมาณหรือจำนวนเงินจะเป็นเครื่องบ่งบอกถึงจุดที่มีความเสี่ยงและความสำคัญของผู้รับการตรวจ
เทคโนโลยีและ Platform ที่ใช้
ความสำคัญของระบบงาน และผลกระทบหากใช้ระบบงานไม่ได้
วิธีการพัฒนาระบบ และบริหารโครงการ
อายุ และรุ่นของระบบปฏิบัติการที่ใช้
ขนาดของระบบงาน
จำนวนรายการที่ประมวลผล
จำนวนผู้ใช้ระบบ การควบคุมภายในระบบงานจะเป็นที่ทราบและเข้าถึงได้โดยจำกัดเพียงบุคคลที่เกี่ยวข้องไม่กี่คนที่มีความรู้ความชำนาญในระบบการประมวลผลข้อมูล ซึ่งทำให้เกิดความเสี่ยงในความปลอดภัยของสินทรัพย์และข้อมูลที่เกี่ยวข้อง ความเสี่ยงจะยิ่งทวีมากขึ้นเมื่อการใช้คอมพิวเตอร์ขยายออกไป
วิธีการประมวลผล
คุณภาพและการเปลี่ยนแปลงบุคลากรสำคัญของหน่วยงานสารสนเทศ การเปลี่ยนตัวผู้รับผิดชอบตัดสินใจในปัจจัยหลักที่มีผลต่อความสำเร็จของงาน การเปลี่ยนแปลงผู้บริหารของหน่วยงาน รวมถึงการเปลี่ยนตัวผู้เชี่ยวชาญในกิจกรรมสารสนเทศ ก็เป็นอีกสาเหตุหนึ่งที่ทำให้ระดับความเสี่ยงเพิ่มขึ้น
แผนการตรวจสอบที่จัดทำขึ้นต้องสอดคล้องกับทรัพยากรของหน่วยตรวจสอบภายในที่มีอยู่ภายใต้งบประมาณที่กำหนด อย่างไรก็ตามหากมีปัจจัยบางอย่างที่มีผลกระทบที่สำคัญต่อองค์กรเกิดขึ้นภายหลังการจัดทำแผนการตรวจสอบ เช่น มีการปรับโครงสร้างขององค์กร มีการเปลี่ยนแปลงระบบงานที่สำคัญ เป็นต้น หน่วยตรวจสอบภายในควรมีการทบทวนแผนงานตรวจสอบ เนื่องจากปัจจัยเหล่านั้นมักทำให้ความเสี่ยงที่ประเมินไว้เดิมมีการเปลี่ยนแปลง
2. เทคนิคและวิธีการตรวจสอบ
เทคนิคการตรวจสอบระบบสารสนเทศอาจแบ่งเป็น 2 ประเภทคือ เทคนิคการตรวจสอบปกติที่เคยปฏิบัติในระบบมือ (Manual Test) และเทคนิคการตรวจสอบโดยใช้คอมพิวเตอร์ช่วย (CAATs)
เทคนิคการตรวจสอบปกติ หมายถึง เทคนิคการตรวจสอบที่เคยปฏิบัติในการตรวจสอบการประมวลผลด้วยมือตามปกติ ทั้งเทคนิคที่ใช้ในการทดสอบการควบคุม (Test of Comtrols) หรือในการทดสอบเนื้อหาสาระ (Substantive Test)
เทคนิคการตรวจสอบโดยใช้คอมพิวเตอร์ช่วย (CAATs) หมายถึง การนำความรู้และเทคโนโลยีด้านคอมพิวเตอร์มาช่วยเทคนิคการตรวจสอบที่เคยปฏิบัติในการตรวจสอบการประมวลผลด้วยมือตามปกติ เช่น การใช้โปรแกรมคอมพิวเตอร์หรือ Audit Software ทำการตรวจสอบหรือทดสอบการทำงานของระบบงานคอมพิวเตอร์ หรือใช้ในการตรวจสอบข้อมูลที่อยู่ในฐานข้อมูล เป็นต้น
กลไกการ Audit ในระดับ C2
Department of
เกณฑ์นี้แบ่งระดับความปลอดภัยของระบบคอมพิวเตอร์เป็น 4 ระดับคือ D, C, B, และ A เรียงตามลำดับจากความปลอดภัยน้อยที่สุดไปถึงความปลอดภัยสูงที่สุด โดยที่ในระดับความปลอดภัย C และ B จะแบ่งออกเป็นระดับความปลอดภัยย่อยๆอีกคือ C1, C2, B1, B2, และ B3
ใน TCSEC ระบุว่าสำหรับระดับความปลอดภัยตั้งแต่ C2 ถึงระดับ A1 นั้น การกระทำต่างๆของผู้ใช้จะต้องสามารถให้มีการ audit ได้ ซึ่งการ audit นี้ก็คือกระบวนการบันทึก, ตรวจสอบ, และวิเคราะห์ทบทวนกิจกรรมที่เกี่ยวข้องกับความปลอดภัยทั้งหลายในระบบ และระดับความปลอดภัย C2 นั้นเป็นที่ยอมรับกันทั่วไปว่ามีความปลอดภัยเพียงพอสำหรับการปฏิบัติงานที่ไม่เกี่ยวข้องกับปฏิบัติการทางทหาร
กล่าวทั่วไปถึงพื้นฐานการ Audit
เราใช้ Audit trails (หลักฐานที่สร้างจากกลไกการ audit) ในการตรวจจับและป้องปรามการเจาะเข้ามาในระบบคอมพิวเตอร์และใช้ในการตรวจถึงการใช้งานระบบโดยมิชอบ เราอาจใช้ audit trail ในเหตุการณ์เฉพาะเพียงบางเหตุการณ์หรืออาจใช้ในกิจกรรมทั้งหมดที่เกิดขึ้นบนระบบก็ได้ ทั้งนี้ขึ้นอยู่กับผู้รับผิดชอบในการ audit
กลไกการ Audit นั้นควรจะบันทึกเหตุการณ์ได้ทั้งในแบบของผู้กระทำ (subject) และผู้ถูกกระทำ (object) (ถึงแม้ว่า TCSEC ไม่ได้ระบุถึงความสามารถในส่วนนี้) ตัวอย่างเช่น กลไกการ audit ควรจะสามารถตรวจดูได้ทุกครั้งที่ John (ผู้กระทำ) เข้าถึงระบบ และทุกครั้งที่ file ข้อมูลเตาปฏิกรณ์นิวเคลียร์ (ผู้ถูกกระทำ) ถูกเข้าถึง และดังนั้นจึงจะสามารถตรวจสอบได้ทุกครั้งที่ John เข้าถึง file ข้อมูลเตาปฏิกรณ์นิวเคลียร์
จุดประสงค์ของกลไกการ Audit ในระดับ C2
กลไกการ Audit ของระบบคอมพิวเตอร์นั้นถูกจัดตั้งขึ้นมาด้วยมีจุดประสงค์ด้านความปลอดภัย 5 อย่างด้วยกันคือ
1. กลไกการ Audit จะต้องช่วยให้สามารถมีการตรวจสอบวิเคราะห์ถึง
- วิธีการเข้าถึงสู่ object ที่ถูกกระทำแต่ละอย่าง
- ประวัติการเข้าถึงของ process และบุคคลต่างๆ
- การใช้กลไกการป้องกันต่างๆของระบบและประสิทธิภาพของกลไกเหล่านั้น
2. กลไกการ Audit จะต้องช่วยให้สามารถค้นพบความพยายามซ้ำแล้วซ้ำเล่าที่จะข้ามผ่านกลไกการป้องกันต่างๆ ทั้งจากผู้ใช้ที่อยู่ภายในและจากบุคคลที่อยู่ภายนอก
3. กลไกการ Audit จะต้องช่วยให้สามารถค้นพบการที่ผู้ใช้ใช้ user privilege ที่สูงกว่า privilege ของตนเอง เช่น programmer ใช้ privilege ของ administrator ซึ่งในกรณีนี้ถึงจะไม่มีการข้ามผ่านการควบคุมความปลอดภัยแต่ก็อาจจะสามารถทำให้เกิดการละเมิดความปลอดภัยได้
4. กลไกการ Audit จะต้องเป็นตัวป้องปรามผู้ประสงค์ร้ายที่จะเข้ามาพยายามข้ามผ่านกลไกการป้องกันระบบ การที่กลไกการ audit จะสามารถทำหน้าที่ป้องปรามได้นั้นผู้ประสงค์ร้ายจะต้องทราบว่ามีกลไกการ audit ที่ใช้ในการตรวจจับความพยายามที่จะข้ามผ่านกลไกการป้องกันของระบบนี้อยู่
5. กลไกการ Audit จะเป็นหลักประกันความมั่นใจของผู้ใช้อีกชั้นหนึ่งว่าความพยายามทั้งหลายที่จะข้ามผ่านกลไกการป้องกันนั้นถูกบันทึกไว้และสามารถตรวจพบได้ ถึงแม้ว่าความพยายามในการข้ามผ่านกลไกการป้องกันนั้นจะประสบผลสำเร็จ ก็ยังสามารถใช้ audit trail เพื่อช่วยในการประเมินความเสียหายและทำให้สามารถควบคุมความเสียหายของระบบได้ดีขึ้น
ผู้ใช้กลไกการ Audit ในระดับ C2
เราสามารถแบ่งผู้ใช้กลไกการ audit ออกได้เป็นสองกลุ่มคือ กลุ่มแรกประกอบด้วยผู้รับผิดชอบในการ audit ซึ่งเป็นผู้ที่มีหน้าที่ในการจัดการ (administrative) ซึ่งจะเลือกว่าเหตุการณ์ใดในระบบที่ควรจะได้รับการ audit ซึ่งจะตั้ง audit flag เพื่อให้เหตุการณ์เหล่านั้นถูกบันทึกได้ และซึ่งจะวิเคราะห์ audit trail ของเหตุการณ์เหล่านั้น ในบางระบบ หน้าที่ในการ audit นั้นจะรวมเป็นหนึ่งในหน้าที่ของผู้จัดการความปลอดภัยของระบบ (system security administrator) ส่วนในบางระบบ ผู้นี้จะเป็นผู้ดูแลระบบ (system administrator) หรือในบางระบบจะมีผู้ที่มีหน้าที่รับผิดชอบในการ audit โดยเฉพาะ
กลุ่มที่สองของผู้ใช้กลไกการ audit ก็คือผู้ใช้ระบบนั้นๆนั่นเอง ซึ่งประกอบด้วยผู้ดูแล (administrator), ผู้ปฏิบัติงาน (operator), programmer, และผู้ใช้อื่นๆที่เหลือทั้งหมด ผู้ใช้เหล่านี้ถือว่าเป็นผู้ใช้กลไกการ audit เนื่องจากผู้ใช้เหล่านี้และโปรแกรมของผู้ใช้เหล่านี้สร้างเหตุการณ์ที่ถูก audit และนอกจากนี้ยังเนื่องจากว่าผู้ใช้เหล่านี้จะต้องเข้าใจถึงว่ามีกลไกการ audit อยู่ในระบบและเข้าใจว่ากลไกการ audit นี้จะมีผลกระทบอย่างไรต่อตนเอง ซึ่งความเข้าใจทั้งสองนี้เป็นสิ่งสำคัญมาก เพราะหากผู้ใช้ไม่มีความเข้าใจในเรื่องดังกล่าวก็จะทำให้ไม่สามารถบรรลุจุดประสงค์ของกลไกการ audit ที่จะใช้เป็นเครื่องมือในการป้องปรามและเป็นเครื่องช่วยในการให้ความมั่นใจต่อผู้ใช้
ความปลอดภัยของการ Audit ในระดับ C2
ตัว Software ที่ใช้ในการสร้าง audit trail รวมถึงตัว audit trail ที่ถูกสร้างขึ้นมานั้นควรจะได้รับการปกป้องโดยระบบรักษาความปลอดภัยของระบบนั้นและควรจะมีกฎการเข้าถึงที่เข้มงวด กลไกการ audit นั้นควรมีความปลอดภัยดังในหัวข้อต่อไปนี้
1. กลไกการบันทึกเหตุการณ์ควรเป็นส่วนหนึ่งของระบบที่ได้รับการปกป้องและควรจะได้รับการปกป้องจากการแก้ไขหรือการเปิดเผยโดยไม่ได้รับอนุญาต
2. ตัว Audit trail เองนั้นควรจะได้รับการปกป้องโดยระบบรักษาความปลอดภัยของระบบนั้นนั้นจาการเข้าถึงโดยไม่ได้รับอนุญาต (กล่าวคือมีเพียงผู้รับผิดชอบการ audit เท่านั้นที่จะเข้าถึง audit trail ได้) และ audit trail ยังควรจะได้รับการปกป้องจากการเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
3. กลไกที่ใช้ในการ เปิด/ปิด กลไกการ Audit ควรเป็นส่วนหนึ่งของระบบที่ได้รับการปกป้อง ผู้ใช้ที่ไม่ได้รับอนุญาตไม่ควรจะเข้าถึงกลไกนี้ได้ อย่างน้อยที่สุด ข้อมูลใน Audit trail ควรจะถือว่าเป็นความลับและตัว audit trail ควรถือว่ามีชั้นความลับที่สูงเท่ากับข้อมูลที่มีชั้นความลับสูงที่สุดในระบบนั้น เมื่อตัวกลาง (Media บรรจุข้อมูล) ที่บรรจุ audit trail ถูกถอดออกจากระบบแล้วตัวกลางนั้นควรจะได้รับการปกป้องทางกายภาคโดยได้รับการปกป้องเช่นเดียวกันกับข้อมูลที่มีชั้นความลับสูงสุดในระบบนั้น
เหตุการณ์ที่ควรจะได้รับการ Audit ในระดับ C2
ในระบบที่มีความปลอดภัยอยู่ในระดับ C2 นั้นควรจะมีการ audit เหตุการณ์ต่างๆต่อไปนี้
1. การใช้กลไกการแสดงตัว (Identification) และการพิสูจน์ทราบ (authentication)
2. การเพิ่มสิ่งใดสิ่งหนึ่ง (Object) เข้าไปยังพื้นที่ของผู้ใช้
3. การลบสิ่งใดสิ่งหนึ่งออกจากพื้นที่ของผู้ใช้
4. การกระทำใดๆที่ผู้ปฏิบัติการ (Operators), ผู้ดูแลระบบ (system administrators), และ/หรือผู้ดูแลความปลอดภัยระบบ (system security administrators) เป็นผู้กระทำ
5. เหตุการณ์ทั้งหมดที่เกี่ยวเนื่องกับความปลอดภัย
6. การสร้างสิ่งที่ถูกพิมพ์ออกมา
ข้อมูลที่ควรได้รับการ Audit ในระดับ C2
ในระบบที่มีความปลอดภัยอยู่ในระดับ C2 นั้นข้อมูลเหล่านี้ควรได้รับการบันทึกลงบน audit trail
1. วันและเวลาของเหตุการณ์
2. สิ่งชี้บอกที่ชัดเจน (เป็นเอกลักษณ์) ว่าผู้กระทำในเหตุการณ์นั้นเป็นใครหรือกระทำในนามของผู้ใด
3. ชนิดของเหตุการณ์
4. ผลความสำเร็จของเหตุการณ์
5. จุดแรก (เช่น Terminal ID) ที่ให้มีการแสดงตัว/พิสูจน์ทราบ
6. ชื่อของสิ่งใดๆ (Object) ที่ถูก เพิ่มเข้าไป, เข้าถึง, หรือลบออกจาก พื้นที่ของผู้ใช้
7. รายละเอียดของการแก้ไขต่างๆที่ผู้ดูแลระบบกระทำต่อฐานข้อมูลความปลอดภัยของผู้ใช้/ระบบ
พื้นฐานการ Audit ในระดับ C2
ในระบบที่มีความปลอดภัยอยู่ในระดับ C2 นั้นผู้ดูแลระบบควรจะสามารถ audit ได้โดยดูจาก identity ของบุคคลหนึ่งๆและควรที่จะ (ไม่จำเป็น--เป็นเพียงคำแนะนำ) สามารถ audit ได้โดยดูจาก identity ของสิ่งหนึ่งๆ
มาตรฐานความปลอดภัยของระบบสารสนเทศ
มาตรฐานความปลอดภัยของข้อมูล
ทั้งนี้เราสามารถจัดเก็บข้อมูลได้หลากหลายรูปแบบ ไม่ว่าจะเป็นทั้งในรูปแบบกระดาษ แผ่นดิสก์ ซีดี เทปเสียง หรือเทปวิดีทัศน์ แต่การดูแลรักษาให้ข้อมูลขององค์กรคงไว้นั้นต้องมีคุณสมบัติ ดังนี้
- การรักษาความลับของข้อมูล (Confidentiality) หมายถึง การอนุญาตให้ผู้มีสิทธิเท่านั้นที่สามารถเรียกดูข้อมูลได้
- การคงไว้ซึ่งความถูกต้องและครบถ้วนของข้อมูล (Integrity) หมายถึง ข้อมูลที่ถูกประมวลผลและจัดเก็บจะต้องคงไว้ซึ่งความถูกต้องและครบถ้วน ไม่มีการสูญเสียหรือแก้ไขจากผู้ที่ไม่มีสิทธิ
- การพร้อมให้ใช้งานเมื่อต้องการ (Availability) หมายถึง ผู้ที่มีสิทธิจะต้องสามารถเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการใช้งาน
การรักษาความปลอดภัยของข้อมูล
สำหรับการรักษาความปลอดภัยของข้อมูลสามารถแบ่งเป็นการรักษาความปลอดภัยของข้อมูล “ด้านเทคนิค” (Technicalmethod) และการรักษาความปลอดภัยของข้อมูลโดยใช้ “ระบบการจัดการความปลอดภัยของข้อมูล” หรือระบบ ISMS (Information Security Management Systems)
โดยแบบแรก คือ การใช้อุปกรณ์ ฮาร์ดแวร์และซอฟต์แวร์ติดตั้งกับระบบคอมพิวเตอร์ เพื่อตรวจจับสิ่งผิดปกติในระบบคอมพิวเตอร์และเครือข่าย เช่น การใช้โปรแกรม Anti-virus, Firewall, Intrusion Detection Systems และ Intrusion Prevention Systems
ส่วนวิธีที่ 2 จะเน้นที่ระบบการจัดการความปลอดภัยของข้อมูลที่ดีให้เกิดขึ้นในองค์กร เพื่อให้องค์กรสามารถจัดเก็บข้อมูลและนำข้อมูลไปใช้ได้อย่างปลอดภัย มีแนวทางการปฏิบัติที่ถูกต้องและเหมาะสมให้กับพนักงาน
ระบบการจัดการความปลอดภัยของข้อมูลนี้ มีลักษณะเป็นระบบการบริหารจัดการที่คล้ายคลึงกับ ISO 9001ซึ่งเป็นระบบการบริหารจัดการด้านคุณภาพ (Quality Management Systems), ISO 14001 ซึ่งเป็นระบบการบริหารจัดการสิ่งแวดล้อม (Environmental Management Systems) และ OHSAS 18001 ซึ่งเป็นระบบการบริหารจัดการด้านสุขภาพและความปลอดภัย (Occupational Health and Safety Assessment Specification)
สำหรับรายละเอียดของระบบการจัดการความปลอดภัยของข้อมูลนั้น BS 7799 และ ISO/IEC 17799 คือ มาตรฐานการจัดการด้านความปลอดภัยของข้อมูลให้แก่องค์กรอีกวิธีหนึ่ง ที่เน้น ระบบการบริหารจัดการ ไม่ใช่เน้ที่การใช้เทคโนโลยีฮาร์ดแวร์หรือซอฟต์แวร์ต่างๆ เข้ามาช่วยนั่นหมายความว่า มาตรฐานนี้จะมีข้อกำหนดต่างๆ เพื่อให้การรักาความปลอดภัยของข้อมูลครอบคลุมกระบวนการทำงานในองค์กรในส่วนที่เกี่ยวข้องกับการนำข้อมูลมาใช้และจัดเก็บข้อมูลทั้งหมด รวมถึงการมีแผนรับมือเมื่อเกิดเหตุฉุกเฉินขึ้นกับข้อมูล เช่น ไฟฟ้าดับ ฮาร์ดดิสก์เสีย หรือเกิดภัยธรรมชาติต่างๆ เพื่อให้องค์กรสามารถรับมือได้อย่างถูกต้อง และมีความสูญเสียน้อยที่สุด โดยสามารถกู้ข้อมูลกลับมาดำเนินงานตามปกติได้เร็วที่สุดด้วย
ในปัจจุบัน มีการนำมาตรฐาน BS 7799 ไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะญี่ปุ่น อังกฤษและแถบยุโรปเป็นเรื่องที่น่าสนใจว่าในอนาคตมาตรฐานด้านความปลอดภัยของข้อมูลนี้อาจได้รับการยอมรับ และนำไปใช้งานกันอย่างแพร่หลายในประเทศไทย ไม่แพ้ระบบการบริหารจัดการคุณภาพ (ISO 9001) ก็เป้นได้ เพราะการพัฒนา IT ที่เจริญรุดหน้าอย่างรวดเร็วและการดำเนินธุรกิจแบบดิจิตอลที่แพร่หลายอยู่ในประเทศไทย
จุดเด่นที่สำคัญอีกอย่างหนึ่งของมาตรบานการจัดการด้านความปลอดภัยของข้อมูลของ BS 7799 ได้ถูกปรับปรุงขึ้นเพื่อให้สามารถเข้ากันได้กับมาตรฐาน ISO 9001 หรือ ISO 14001 ซึ่งจะทำให้องค์กรที่มี ISO 9001 หรือ ISO 14001 อยู่แล้วสามารถใช้ระบบเอกสารที่องค์กรคุ้นเคยอยุ่แล้วร่วมกับมาตรฐาน BS 7799 ได้และยังมีระบบการทบทวนโดยผู้บริหาร (Management Review) และการตรวจติดตามระบบภายใน (Internal Audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย
ความเป็นมาของมาตรฐาน BS 7799 และ ISO/IEC 17799
สำหรับความเป็นมาของมาตรฐาน BS 7799 และ ISO/IEC 17799 ซึ่งเริ่มต้นพัฒนาขึ้น โดยสถาบันมาตรฐานอังกฤษ (British Standard Institute หรือ BSI) มาตรฐานนี้มีทั้งหมด 2 ส่วน ดังนี้
ส่วนที่ 1 BS 7799 พัฒนาขึ้นครั้งแรกในปี 1995 หลังจากนั้นได้มีการปรับปรุงแก้ไขโดยผู้เชี่ยวชาญอีกหลายครั้งในปี 1998 และ 1999 แล้วจึงได้รับการเสนอให้เป็นมาตรบานสากลด้านการจัดการความปลอดภัยของข้อมูล หลังจากพิจารณาและปรับปรุงโดย ISO (International Organization for Standardization) และ IEC (International Electrotechnical Commission) แล้ว BS ISO/IEC 17799:2000 ก็ได้รับประกาศใช้อย่างเป็นทางการในเดือนธันวาคม ปี 2000 ประกอบด้วยหัวข้อของการควบคุมด้านความปลอดภัยของข้อมูลทั้งหมด 127 หัวข้อ และแบ่งเป็น 10 หมวดหลัก
ส่วนที่ 2 BS 7799 มีประกาสใช้ครั้งแรกในปี 1998 มีเนื้อหาประกอบไปด้วยข้อกำหนด และแนวทางในการจัดตั้งระบบ ISMS ซึ่งใช้ในองค์กรและการให้การรับรองระบบ BS 7799 ในส่วนที่ 2 นี้ก็ได้ถูกปรับปรุงแก้ไขในปี 1999 และปี 2001 จนมาถึงปัจจุบัน BS 7799 – 2:2002 จึงได้ประกาศใช้เมื่อ 5 กันยายน ปี 2002 นี้ โดยมีการปรับปรุงแก้ไขดครงสร้างของมาตรบานให้เข้ากันได้กับ ISO 9001:2000 และ ISO 14001:1996
ข้อแตกต่างของ BS 7799 – 2:2002 และ ISO/IEC 17799:2000
สำหรับมาตรฐาน ISO/IEC 17799:2000 และ BS 7799 ส่วนที่ 1 นั้น ประกอบด้วยหัวข้อการควบคุมทางด้านการจัดการความปลอดภัยของข้อมูลที่ควรปฏิบัติ เพื่อให้เกิดความปลอดภัยต่อข้อมูลขององค์กรซึ่งจะมีหัวข้อการควบคุมทั้งหมด 127 ข้อ ใน 10 หมวดหลัก
ส่วนมาตรฐาน ของ BS 7799 – 2:2002 และ BS 7799 ส่วนที่ 2 มีเนื้อหาว่าด้วยการจัดตั้ง ระบบการจัดการด้านความปลอดภัยของข้อมูล ขึ้นในองค์กร โดยเริ่มตั้งแต่การริเริ่มทำระบบ การนำไปใช้ การทบทวน การปรับปรุงอย่างสม่ำเสมอ ซึ่งในส่วนนี้จะมีการประยุกต์เพื่อนำแนวคิด PDCA (Plan – Do – Check - Act) เข้ามาใช้ในการจัดตั้งและพัฒนาระบบด้วย
มาตรฐาน ISO/IEC 17799:2000
สำหรับมาตรฐาน ISO/IEC 17799:2000 ที่มีด้วยกัน 10 หมวดหลักๆ มีดังนี้
1. Security Policy ครอบคลุมถึงเรื่องของนโยบายการจัดการด้านความปลอดภัยของข้อมูลในองค์กร การเล็งเห็นถึงความสำคัญของนโยบายและการให้การสนับสนุนจากผู้บริหารระดับสูงเพื่อให้มีการนำนโยบายไปใช้อย่างมีประสิทธิภาพ
2. Organizational Security ครอบคลุมถึงเรื่องการจัดตั้งหน่วยงานขึ้นเพื่อประสานงานและดำเนินงานด้านการดูแลรักษาความปลอดภัยของข้อมูล
3. Asset Classification and Control ครอบคลุมถึงเรื่องของการจัดการจำแนกประเภทของข้อมูลตามระดับความสำคัญควบคุมการเข้าถึงข้อมูลแต่ละประเภท รวมถึงการควบคุมทรัพย์สินต่างๆ ขององค์กรที่เกี่ยวข้องกับงานด้าน IT
4. Personnel Security ครอบคลุมถึงเรื่องการให้ความรู้แก่พนักงานถึงภัยคุมคามต่างๆ และแนะนำวิธีการปฏิบัติงานที่ถูกต้องและเหมาะสม เช่น การตั้งรหัสผ่านและการใช้งานรหัสผ่านอย่างปลอดภัย การปฏิบัติเมื่อพบสิ่งผิดปกติในระบบ
5. Physical and Environmental Security ครอบคลุมถึงการรักษาความปลอดภัยของพื้นที่ทำงาน การควบคุมการเข้า –ออก และการนำสิ่งของเข้า – ออก เพื่อป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตและป้องกันการเสียหายของทรัพย์สิน
6. Communications and Operations Management ครอบคลุมถึงการรักษาความปลอดภัยให้แก่คอมพิวเตอร์ ระบบเครือข่ายและการประมวลผลข้อมูล เช่น การป้องกันไวรัสคอมพิวเตอร์ การทำข้อมุลสำรอง การจัดการเมื่อเกิดเหตุการณ์ฉุกเฉิน การควบคุมความปลอดภัยของระบบเครือข่าย การกำจัดสื่อบันทึกข้อมูล การควบคุมความปลอดภัยในการใช้งานอีเมล์ เป็นค้น
7. Access Control ครอบคลุมถึงการควบคุมการเข้าถึงข้อมูลและป้องกันการเข้าถึงข้อมูลโดยผู้ไม่ได้รับอนุญาต ทั้งจากการเข้าใช้งานทางคอมพิวเตอร์ภายในบริษัท ทางระบบเครือข่ายและทางระบบการเข้าถึงทางไกล (Remote Access)
8. Systems Development and Maintenance ครอบคลุมถึงการพัฒนาระบบคอมพิวเตอร์ ระบบเครือข่าย ซอฟต์แวร์และฮาร์ดแวร์ เริ่มตั้งแต่การจัดซื้อจัดจ้าง ติดตั้งระบบ การใช้งานจริง และการบำรุงรักษาอย่างสม่ำเสมอ รวมถึงการควบคุมการใช้รหัสลับ (Cryptographic Control)
9. Business Continuity Management ครอบคุลมถึงการจัดทำแผนการจัดการให้ธุรกิจดำเนินได้อย่างต่อเนื่อง (Business Continuity Plan-BCP) คือ วิธีปฏิบัติในการรับมือในกรณีที่เกิดความผิดพลาดขึ้นกับระบบหรือภัยธรรมชาติ เพื่อให้เกิดความเสียหายน้อยที่สุด เพื่อให้ธุรกิจสามารถฟื้นตัวกลับมาดำเนินงานตามปกติได้เร็วที่สุด
10. Compliance ครอบคลุมถึงการปฏิบัติงานที่ถูกต้องตามกฎหมาย เช่น การใช้ซอฟต์แวร์ที่มีลิขสิทธิ
มาตรฐาน BS 7799 – 2:2002
สำหรับมาตรฐาน BS 7799 – 2:2002 เกี่ยวข้องกับวิธีการปฏิบัติเพื่อให้เกิด ระบบการจัดการด้านความปลอดภัยของข้อมูล หรือ ระบบ ISMS ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญสำหรับองค์กรที่ต้องการนำระบบดังกล่าวไปปรับใช้เพื่อป้องกันความปลอดภัยให้แก่ข้อมูลขององค์กร มาตรฐานนี้สามาถแบ่งเป็น 7 ส่วน ดังนี้
1. Scope
2. Normative Reference
3. Terms and Definitions
4. Information Security Management System
5. Management Responsibility
6. Management Review of the ISMS 7.ISMS Improvement
มาตรฐานนี้จัดทำขึ้นโดยยึดตามแนวคิด PDCA เพื่อให้เกิดวิธีการปฏิบัติงานที่เป็นระบบ และมีการพัฒนาขึ้นอย่างต่อเนื่อง เริ่มต้นตั้งแต่การจัดตั้ง (Establish) การนำไปใช้ (Implement) การดำเนินงาน (Operate) การวัดผล (Monitor) การทบทวน (Review) การบำรุงรักษาระบบ (Maintain) และการปรับปรุงพัฒนาระบบ (Improve)
หัวใจสำคัญของการริเริ่มจัดตั้งและการพัฒนาระบบ ISMS อย่างต่อเนื่องที่สำคัญคือ การตรวจประเมินความเสี่ยง (Risk Assessment) และการเลือกวิธีการควบคุมให้เหมาะสมกับการปฏิบัติงานและระดับความปลอดภัยที่ยอมรับได้ขององค์กร
การออกใบรับรอง
ในแง่ขององค์กรแล้วการออกใบรับรองเป็นวิธีหนึ่งที่จะสามารถรับรองได้ว่าองค์กรมีระบบการจัดการด้านความปลอดภัยของข้อมูล (ISMS) ที่มีประสิทธิภาพ แต่การที่จะจัดทำระบบ ISMS จนถึงขั้นได้รับการรับรองนั้น ก็มีค่าใช้จ่ายที่สูงพอสมควรทั้งที่ขึ้นอยู่กับนโยบาย ความมุ่งมั่น และความจำเป็นของแต่ละองค์กร
ถึงแม้องค์กรจะไม่ได้มีความมุ่งมั่นหรือความจำเป็นที่จะจัดทำระบบเพื่อให้ได้รับการรับรอง แต่การนำแนวคิดของระบบ ISMS และหัวข้อการควบคุมมาตรฐาน ISO/ICE 17799 ไปประยุกต์ใช้เพียงบางส่วนเท่าที่จำเป็น เพื่อป้องกันความปลอดภัยให้แก่ข้อมูลและระบบคอมพิวเตอร์ขององค์กร ก็จะมีประโยชน์ต่อองค์กรอย่างล้นเหลือ เป้นการช่วยให้องค์กรสามารถป้องกันการคุกคามต่อข้อมูลและทรัพย์สินได้ ซึ่งอย่างที่รู้กันว่า ต้นทุนของการดำเนินการเพื่อป้องกันนั้น ย่อมน้อยกว่าและเทียบไม่ได้กับความเสียหายที่อาจะเกิดขึ้น
สำหรับวิธีการยื่นใบรับรองให้กับระบบการจัดการความปลอดภัยของข้อมูล (ISMS) นั้น จะมีขั้นตอนเหมือนกันกับการยื่นขอใบรับรองของระบบ ISO อื่นๆ โดยจะต้องเริ่มจากการเลือกองค์กรที่จะเข้ามาทำการตรวจรับรองระบบ ซึ่งจะต้องเป็นองค์กรที่ได้รับการขึ้นทะเบียนอย่างถูกต้อง
หลังจากนั้นต้องทำการกำหนดขอบเขตของระบบที่จะตรวจรับรอง เพื่อการวางแผนและดำเนินการตรวจรับรองอย่างมีประสิทธิภาพ ซึ่งเมื่อองค์กรได้รับการรับรองระบบ ISMS แล้วจะต้องทำการตรวจประเมินระบบทุกๆ 6 เดือน และการตรวจรับรองระบบอีกทุกๆ 3 ปี
ส่วนในแง่ของการออกใบรับรองให้กับบุคคล ผู้ที่จะทำการตรวจรับรองระบบ (Auditor) เพื่อให้สามารถมั่นใจได้ว่าบุคคลผู้นั้นมีความรู้ ความชำนาญในระบบ ISMS และมีคุณสมบัติเพียงพอที่จะดำเนินการตรวจสอบระบบ ISMS ได้ โดยองค์กรสากลที่ทำหน้าที่ควบคุมการออกใบรับรองให้กับผู้ตรวจสอบระบบก็คือ International Register of Certificated Auditors หรือ IRCA
สำหรับคุณสมบัติของผู้ที่จะสามารถยื่นขอใบรับรองจาก IRCA ได้นั้น จะต้องผ่านการอบรมในหลักสูตร BS 7799 and ISO/IEC 17799 Information Security Management Systems Lead Auditor Training Course ที่ได้รับการรับรองจาก IRCA ซึ่งมีการจัดอบรมอยู่ในหลายๆ ประเทศทั่วโลก รวมทั้งในประเทศไทยด้วย พร้อมวุฒิการศึกษาขั้นต่ำในระดับปริญญาหรืออนุปริญญาและมีประสบการณ์การทำงานอย่างน้อย 4 ปี
จริยธรรมของผู้ตรวจสอบระบบสารสนเทศ
เพื่อให้การปฏิบัติหน้าที่เป็นไปอย่างมีประสิทธิภาพ ผู้ตรวจสอบระบบสารสนเทศ จึงต้องพึงประพฤติปฏิบัติตนภายใต้กรอบความประพฤติที่ดีงามในอันที่จะนำมาซึ่งหลักประกันความเชื่อมั่นที่เที่ยงธรรม และที่ปรึกษาที่เปี่ยมด้วยคุณภาพ
แนวปฏิบัติ
1. หลักปฏิบัติที่กำหนดในจริยธรรมของผู้ตรวจสอบระบบสารสนเทศ เป็นหลักการพื้นฐานในการปฏิบัติหน้าที่ ที่ผู้ตรวจสอบระบบสารสนเทศพึงปฏิบัติโดยใช้สามัญสำนึก และวิจารณญาณอันเหมาะสม
2. ผู้ตรวจสอบระบบสารสนเทศ ควรประพฤติปฏิบัติตนตามกรอบจริยธรรมนี้นอกเหนือจากการปฏิบัติตามจรรยาบรรณ และกฎหมายหรือระเบียบอื่นที่เกี่ยวข้อง
3. ผู้ตรวจสอบระบบสารสนเทศควรยึดถือและดำรงไว้ซึ่งหลักปฏิบัติดังต่อไปนี้
3.1 ความมีจุดยืนที่มั่นคง (Integrity): ความมีจุดยืนที่มั่นคงของผู้ตรวจสอบระบบสารสนเทศจะช่วยให้เกิดความเชื่อถือ และยอมรับจากบุคคลทั่วไป
3.2 ความเที่ยงธรรม (Objectivity): ผู้ตรวจสอบระบบสารสนเทศ ต้องรวบรวมข้อมูลประเมินผลและรายงานผลการตรวจสอบด้วยความเที่ยงธรรม ผู้ตรวจสอบระบบสารสนเทศต้องทำหน้าที่ประเมินอย่างเป็นธรรมในทุก ๆ สถานการณ์ และไม่ปล่อยให้ความรู้สึกส่วนตัว หรือความรู้สึกนึกคิดของบุคคลอื่นเข้ามามีอิทธิพลเหนือการประเมิน นั้น
3.3 การปกปิดความลับ (Confidentiality): ผู้ตรวจสอบระบบสารสนเทศจะต้องเคารพต่อค่าและสิทธิแห่งข้อมูลที่ตนได้รับทราบจากการปฏิบัติงาน และไม่เปิดเผยข้อมูลดังกล่าว โดยไม่ได้รับอนุญาตจากผู้ที่มีอำนาจหน้าที่โดยตรงเสียก่อน ยกเว้นในกรณีทีมีพันธะในแง่ของงานอาชีพและเกี่ยวข้องกับกฎหมายเท่านั้น
3.4 ความสามารถในหน้าที่ (Competency): ผู้ตรวจสอบระบบสารสนเทศ จะต้องนำความรู้ ทักษะและประสบการณ์ไปใช้ในการปฏิบัติหน้าที่ให้บริการตรวจสอบภายในอย่างเต็มที่
หลักปฏิบัติงาน
1. ความมีจุดยืนที่มั่นคง (Integrity)
1.1 ผู้ตรวจสอบระบบสารสนเทศต้องปฏิบัติหน้าที่ของตนด้วยความซื่อสัตย์ขยันหมั่นเพียร และมีความรับผิดชอบ
1.2 ผู้ตรวจสอบระบบสารสนเทศ ต้องไม่เข้าไปเกี่ยวข้องในการกระทำใด ๆ ที่ขัดต่อกฎหมาย หรือไม่เข้าไปมีส่วนร่วมในการกระทำที่อาจนำความเสื่อมเสียมาสู่วิชาชีพ
1.3 ผู้ตรวจสอบระบบสารสนเทศ ต้องให้ความเคารพ และสนับสนุนการปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ และจรรยาบรรณ
2. ความเที่ยงธรรม (Objectivity)
2.1 ผู้ตรวจสอบระบบสารสนเทศ ต้องไม่มีส่วนเกี่ยวข้องหรือสร้างความสัมพันธ์ใด ๆ ที่จะนำไปสู่ความขัดแย้งกับผลประโยชน์ รวมทั้งกระทำการใด ๆ ที่จะทำให้เกิดอคติจนเป็นเหตุให้ไม่สามารถปฏิบัติงานตรวจสอบตามหน้าที่ความรับผิดชอบได้อย่างเที่ยงธรรม
2.2 ผู้ตรวจสอบระบบสารสนเทศ ไม่พึงรับสิ่งของใด ๆ ที่จะทำให้เกิดหรืออาจก่อให้เกิดความไม่เที่ยงธรรมในการใช้วิจารณญาณเยี่ยงผู้ประกอบวิชาชีพพึงปฏิบัติ
2.3 ผู้ตรวจสอบระบบสารสนเทศ ต้องเปิดเผยหรือรายงานข้อเท็จจริงอันเป็นสาระสำคัญทั้งหมดที่ตรวจพบ ซึ่งหากละเว้นไม่เปิดเผยหรือไม่รายงานข้อเท็จจริงดังกล่าวแล้ว จะทำให้รายงานการตรวจสอบบิดเบือนไปจากข้อเท็จจริง หรือเป็นการปิดบังการกระทำที่ผิดกฎหมาย
3. การปกปิดความลับ (Confidentiality)
3.1 ผู้ตรวจสอบระบบสารสนเทศ ต้องมีความรอบคอบในการใช้ข้อมูลต่าง ๆ ที่ได้รับจากการปฏิบัติงานตรวจสอบ
3.2 ผู้ตรวจสอบระบบสารสนเทศ ต้องไม่นำข้อมูลดังกล่าวไปใช้ในการแสวงหาผลประโยชน์เพื่อตนเอง และจะไม่กระทำการใด ๆ ที่ขัดต่อกฎหมาย
4. ความสามารถในหน้าที่ (Competency)
4.1 ผู้ตรวจสอบระบบสารสนเทศ ต้องปฏิบัติหน้าที่ด้วยความรู้ ความสามารถ ทักษะและประสบการณ์
4.2 ผู้ตรวจสอบระบบสารสนเทศ จะต้องปฏิบัติหน้าที่โดยยึดหลักมาตรฐานการตรวจสอบ
4.3 ผู้ตรวจสอบระบบสารสนเทศต้องพัฒนาศักยภาพของตนเอง รวมทั้งพัฒนาประสิทธิผล และคุณภาพของการให้บริการอย่างสม่ำเสมอและต่อเนื่อง
ตัวอย่างอาชญากรรมคอมพิวเตอร์ที่ผ่านมา
ค.ศ.1980
Hacking เครือข่ายคอมพิวเตอร์ของ Digital Equipment Corporation ที่บริษัท U.S.Leasing ด้วยการ
หลอกถามข้อมูล Login ทำ Logic Bomb สั่งให้เครื่องพิมพ์พิมพ์ข้อความทั้งวันทั้งคืน แล้วปล่อย Virus เข้าไป
ทำลายฐานข้อมูลของบริษัททั้งหมด
ค.ศ.1983
ภาพยนต์ 2 เรื่องของสหรัฐอเมริกา จำลองเหตุการณ์ที่เกิดขึ้นจากเรื่องจริง เรื่องแรก คือ "141
Hackers" เป็นเรื่องราวของเด็กหนุ่มที่ถูกจับในปี ค.ศ.1983 ฐานลักลอบใช้เครื่องคอมพิวเตอร์ และโมเด็ม
โทรศัพท์ เจาะเข้าไปในระบบคอมพิวเตอร์ของหน่วยงานต่างๆ ประมาณ 80 กว่าแห่ง รวมทั้งสถาบันโรคมะเร็ง
Sloan Kettering Memorial Cancer Institute, ธนาคาร Security Pacific National Bank และสถาบันวิจัย Los
Alamos National Laboratory) ในจำนวนนี้มีแฟ้มข้อมูลขององค์การสหประชาชาติ โดยข้อมูลของสถาบัน
โรคมะเร็งถูกทำลายบางส่วน การกระทำดังกล่าวถูกตัดสินว่าเป็นความผิดฐานใช้โทรศัพท์รบกวนผู้อื่น เรื่องที่
สองชื่อ War Game สร้างขึ้นในปีเดียวกัน (ค.ศ.1983) ซึ่งในภาพยนต์ดังกล่าวได้จำลองเหตุการณ์ที่เกิดขึ้นจริง
เป็นเรื่องของเด็กหนุ่มผู้มีอัจฉริยะทางคอมพิวเตอร์ สามารถเจาะเข้าไปในระบบคอมพิวเตอร์ของกองกำลัง
ป้องกันภัยทางอากาศในพื้นที่ภาคเหนือของสหรัฐ North Air Defense (NORAD) Command in
อยู่ในมลรัฐไวโอมิง และเกือบทำให้เกิดสงครามปรมาณูโดยอุบัติเหตุ
ผลกระทบของภาพยนตร์ที่ทำจากเรื่องจริงทั้งสองเรื่องนี้ ได้ถูกนำเข้าสู่ที่ประชุมสภา Congress ของ
สหรัฐหลายครั้งและในเดือนกันยายน ค.ศ.1983 และได้มีการนำตัวนาย Neal Patrick หนึ่งในผู้กระทำความผิด
ในแก๊ง 141 Hackers มาให้ปากคำในเรื่องการลักลอบใช้คอมพิวเตอร์โดยปราศจากอำนาจ และก่อนให้ปากคำ
ได้มีการนำภาพยนต์เรื่อง War Game มาฉายให้กรรมการผู้ไต่สวนชมเพื่อเป็นหลักฐานแสดงให้เห็นว่าผู้ต้องหา
กระทำความผิดได้จริงอย่างไร
ค.ศ.1988
นายมอริส นักศึกษา ม.คอร์แนล สร้าง Worm และปล่อยไว้ที่ระบบปฏิบัติการ UNIX ของ MIT และได้
ระบาดไปสู่ระบบเครือข่ายอื่นๆ ที่เชื่อมต่อด้วยกันอย่างรวดเร็ว ทำระบบเครือข่ายล่มตามๆ กัน
ค.ศ.1994
นายมิทนิค นักเจาะข้อมูลที่ชอบทดลองและท้าทายความสามารถของตน ได้เจาะระบบเครือข่าย
คอมพิวเตอร์ของ
คอมพิวเตอร์ของ The Well และ NetCom ซึ่งจากการเขียนโปรแกรมติดตามพฤติกรรมการก่ออาชญากรรม และ
การใช้อุปกรณ์ตามจับแบบเซลลูล่าร์ของ F.B.I. ทำให้สามารถจับตัวนายมิทนิคมาดำเนินคดีได้ภายในไม่ถึงสอง
เดือน
ค.ศ.1996
ชาวสวีเดนเจาะเข้า Web Site ของ CIA (Central Intelligence Agency ของสหรัฐฯ) และทิ้งข้อความว่า “Central Stupidity Agency”
ค.ศ.1997
แฮกเกอร์ได้เจาะเข้าไปในระบบรักษาความปลอดภัยของ Yahoo และได้แจ้งว่าใครก็ตามที่เข้ามาใช้
บริการของ Yahoo ในเดือนธันวาคมจะต้องติดไวรัสที่มีชื่อว่า "Logic bomb/Worm" โดยที่บริการของ Yahoo จะ
มีผู้ใช้ประมาณ 26 ล้านคนต่อเดือน และไวรัสดังกล่าวได้รับการกำหนดให้ทำลายระบบคอมพิวเตอร์นับล้าน
ทั่วโลก
ค.ศ.1998
Hacker ในประเทศสวีเดนและแคนาดา เจาะเข้าระบบคอมพิวเตอร์ของ ม.สแตนฟอร์ด และขโมย
ข้อมูลรหัสผ่านไปกว่า 5,000 รหัส
ตัวอย่างอาชญากรรมในประเทศไทย
กรณี Sanook.com
มีการแอบอ้างชื่อ ส่งข้อมูลไปแจ้งขอแก้ไข IP address ที่ InterNic ซึ่งทาง InterNic นั้นใช้เครื่องคอมพิวเตอร์ทำงานรับข้อมูลและแก้ไขแบบอัตโนมัติแทนคนทั้งหมด ลักษณะ Robot โดยได้แก้เป็น IP หมายเลขอื่นๆ ที่ไม่มีตัวตนจริง หลังจากนั้น InterNic จะกระจายข้อมูลไปยัง Root ต่างๆ ให้เปลี่ยนแปลง ดังนั้น เมื่อคนทั้งโลก จะเข้าเว็บของSanook.com ก็จะชี้ไปยัง IP ปลอมดังกล่าว ทำให้ไม่สามารถเข้าเว็บจริงได้ ทั้งๆที่ เว็บของ Sanook ก็ยังเปิดใช้บริการอยู่ตามปกติ กรณีนี้ ได้สืบทราบว่า ผู้ทำคือใคร ใช้ account ของ ISP รายใด ใช้หมายเลขโทร.ใด แต่ไม่อาจดำเนินคดีได้ ในช่วงเวลาดังกล่าวนั้น มีเว็บไซต์ชั้นนำหลายราย ก็ถูกกระทำในลักษณะนี้ เช่น Thaimail.com ฯลฯ
ปัญหาคือ ข้อหาฐานความผิด, มูลค่าความเสียหาย, ผู้เป็นเจ้าของ account ที่เข้าไปแก้ไขข้อมูลนั้น จะถือว่าเป็นผู้กระทำผิดได้หรือไม่, การแสวงหาหลักฐาน
กรณี Thailand.com
เป็นกรณีของผู้ใช้ชื่อว่า ซอนย่า รักไทย ขั้นแรก ส่งข้อมูลไปที่ InterNic ขอแก้ไข หมายเลขโทรศัพท์และ
ที่ติดต่อ เพื่อไม่ให้ติดต่อกลับได้ แต่ยังใช้ชื่อเจ้าของเดิม ขั้นต่อมา ได้แจ้งให้เปลี่ยนชื่อเจ้าของเป็น ซอนย่า รักไทย และที่อยู่ใหม่ โดยอ้างว่าได้ซื้อโดเมนนั้นมาจากเจ้าของเดิม แล้วตั้งเว็บใหม่บนเครื่องใหม่ โดยใช้โดเมนว่า Thailand.comต่อมาเมื่อเจ้าของเดิมทักทวง ก็อ้างว่าได้ซื้อมาและพร้อมจะขายคืนให้ในราคาเดิมคือ 5 ล้านบาท และได้ส่งเอกสารการซื้อขาย บัตรประชาชนปลอมของเจ้าของเดิม (บัตรเป็นภาษาอังกฤษ) และหนังสือยืนยันรับรองมีตราประทับของหน่วยราชการ (ไม่มีตัวตน) ไปให้ InterNic จนในที่สุดเจ้าของเดิมต้องแสดงหลักฐานต่างๆยืนยันพร้อมคำรับรองของบริษัทผู้รับฝากเว็บในสหรัฐฯไปให้ InterNic จึงได้โดเมนนั้นกลับคืนมา เจ้าของเดิมไม่อาจใช้เว็บนั้นได้ประมาณ1 เดือนเศษ
ปัญหาคือ ข้อหาฐานความผิด, มูลค่าความเสียหาย, ใครเป็นผู้เสียหาย เพราะไม่อาจหาหลักฐานแสดงความเป็นเจ้าของโดเมนที่ถูกต้องได้ (ไม่มีเอกสารสิทธิ), การแสวงหาหลักฐานเนื่องจาก ผู้ดูแลเครื่อง Server ใหม่ไม่ยอมให้หลักฐานการขอเช่าเนื้อที่ ทั้งชื่อที่อยู่และด้านการเงิน (แนวทางการช่วยเหลือ ควรให้ THNIC เป็นผู้ประสานกับ InterNic ในการรับรอง)
ปัญหากรณี ISP แห่งหนึ่ง ถูกพนักงานเดิมที่ไล่ออกไป แก้ไขเว็บ
ISP แห่งหนึ่งในประเทศไทย เมื่อได้ไล่พนักงานกลุ่มหนึ่งออกไปแล้ว ปรากฏว่าเว็บไซต์ของ ISP รายนั้น ได้ถูกเพิ่มเติมข้อมูลกลายเป็น เว็บลามกอนาจาร และได้ใช้ชื่อ E-Mail ของผู้บริหาร ส่งไปด่าทอผู้อื่น
ปัญหากรณี แอบใช้ Account InterNet ของผู้อื่น
การแอบลักลอบใช้ Account Internet ของผู้อื่น ทำให้ผู้นั้นต้องจ่ายค่าชั่วโมงมากขึ้น หรือเสียเวลาชั่วโมง
การใช้งาน (คล้ายกับการจูนโทรศัพท์มือถือของผู้อื่น) จากการสืบสวนบางรายทราบว่า ใครเป็นผู้ใช้ บางรายทราบ
เพียงหมายเลขโทรศัพท์ที่ใช้ในการติดต่อ (จาก Caller ID) และบางรายใช้หมายเลขโทรศัพท์เดียวกัน กับ Account
หลายๆ ราย
ปัญหา คือ ผู้กระทำผิดรู้ Account และ รหัสลับได้อย่างไร เจ้าของเป็นผู้บอกเอง หรือมี Hacker เข้ามาใน
ระบบแล้วนำข้อมูลไป , ใครเป็นผู้เสียหาย ISP หรือ ผู้ใช้บริการ, ฐานความผิดข้อหาใด แพ่ง หรือ อาญา, สิทธิใน
การใช้บริการ ชั่วโมงใช้งาน เป็นทรัพย์หรือไม่ , หลักฐานที่ต้องใช้ บันทึกหมายเลขโทรศัพท์ที่ติดต่อใช้บริการ Caller ID ได้หรือไม่, ใครที่ต้องถือว่าเป็นผู้กระทำผิด คนในบ้านหรือเจ้าบ้าน ถ้าไม่มีใครรับจะทำอย่างไร, ที่เกิดเหตุเป็นที่ใดเป็นที่ตั้ง ISP หรือที่บ้านผู้กระทำผิด หรือที่บ้านขอเจ้าของ Account, การประเมินค่าความเสียหาย
ปัญหากรณี เว็บที่ส่งเสริมการขายสินค้าของไทย 3 แห่ง ถูกใส่ร้าย
มีเว็บที่ส่งเสริมเผยแพร่สินค้าไทยสู่ตลาดโลก 3 เว็บไซต์ ได้ถูกกลุ่มผู้ไม่หวังดี ปลอม อี-เมล์ ของเว็บดังกล่าวแล้วส่งไปยังผู้ใช้อินเทอร์เน็ตทั่วโลกประมาณ 4 ล้านฉบับ เป็นลักษณะ Spam Mail และได้ใส่ร้ายเว็บดังกล่าวว่า " เป็นเว็บที่ฉ้อโกง จะนำชื่อและหมายเลขบัตรเครดิตของผู้ที่สนใจเข้ามาซื้อของ ไปใช้ในทางที่ผิด ขอให้อย่าเข้าเว็บไทยทั้ง 3 ดังกล่าว " ผลร้ายที่เกิดขึ้น นอกจากจะทำให้คนทั้งโลกไม่เข้าไปชมเว็บดังกล่าวแล้ว ยังทำให้องค์กรต่อต้าน Spam Mail สั่งให้ Web Hosting ยุติ ปิดการให้บริการ เว็บไทยทั้ง 3 อีกด้วย
ปัญหากรณี อาจารย์ในสถานศึกษา ถูกแอบขโมยข้อมูลตำราและข้อสอบ
อาจารย์ในสถานศึกษาแห่งหนึ่ง ได้ใช้เวลากว่า 3 ปี เขียนตำราไว้ รวมเกือบ 1,000 ไฟล์ รวมทั้งข้อสอบ ข้อเฉลย และคะแนนสอบ เก็บไว้ในเครื่อง PC ของตนในห้องทำงานส่วนตัว แต่เนื่องจากได้มีการต่อเชื่อมโยงเป็น
เครือข่าย LAN ไว้ทั้งสถานศึกษา จึงทำให้มีบุคคลอื่นสามารถเข้ามาดึงข้อมูลในเครื่อง PC ทั้งหมดที่มีไปได้
ปัญหากรณี การสั่งซื้อของจากการประมูล eBay.com
เว็บไซต์ eBay.Com เป็นเว็บที่เปิดโอกาสให้บุคคลทั่วไป ประกาศขายสินค้าโดยการประมูลบนเว็บ กรณี
ปัญหาคือ มีบุคคลในประเทศไทย ได้เข้าไปในเว็บ eBay.Com และพบว่า มีชายชาวอเมริกัน ได้ประกาศขายเครื่อง
โทรทัศน์ใช้แล้ว ขนาดจอภาพ 50 นิ้ว เกิดความสนใจจึงได้เข้าไปร่วมประมูล ต่อมาชายชาวอเมริกันดังกล่าวได้ส่ง
E-mail ว่าเป็นผู้ชนะการประมูล ขอให้ส่งเงินเข้าบัญชีเป็นจำนวน 266,000 บาท หลังจากนั้น บุคคลในประเทศไทยได้รับกล่องพัสดุขนาดใหญ่ จากบริษัทขนส่ง FedEx ที่กล่องเขียนว่าเป็น อีเล็กทรอนิกส์ แต่เมื่อเปิดกล่องดูพบว่าเป็นเพียงตุ๊กตา และเครื่องแก้วที่แตกแล้ว
ปัญหากรณี การแอบอ้างใช้ชื่อ และข้อมูลของบุคคลอื่น ขอฟรี E-mail
มีการแอบอ้าง ใช้ชื่อและข้อมูลของบุคคลอื่น ซึ่งเป็นผู้มีชื่อเสียง ไปขอใช้ ฟรี e-mail แล้วใช้ e-mail เข้าไปลงทะเบียนเล่นเกมส์ออนไลน์ และส่ง e-mail ไปยังผู้อื่นโดยอ้างว่าเป็นบุคคลผู้มีชื่อเสียงนั้นจริง ซึ่งอาจทำให้ผู้อื่นดูแคลนหรือลดความเชื่อถือศรัทธา
ปัญหากรณี พนักงานบริษัทที่รับออกแบบพัฒนาเว็บไซต์
บริษัทชั้นนำแห่งหนึ่งที่รับออกแบบและพัฒนาเว็บไซต์ ซึ่งมีลูกค้าทั้งในและต่างประเทศได้ถูกพนักงานในบริษัทนั้น แอบไปรับงานนอก โดยใช้ ทรัพยากร, อุปกรณ์เครื่องมือ, Software และเทคโนโลยี ต่างๆ ของบริษัท ใช้ในการพัฒนา และแอบอ้างผลงานของบริษัทฯ (ซึ่งต้องทำหลายคน) ว่าเป็นผลงานของตนเองในการเสนอขอทำงาน
กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารถูกแฮก
วันที่ 19 ก.ค. 50 เวลา 11.50 น. เว็บไซต์ของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
www.mict.go.th ถูกแฮกเกอร์นำภาพของ พ.ต.ท.ทักษิณ ชินวัตร อดีตนายกรัฐมนตรี รูปธงชาติ พร้อมข้อความ
ที่ไม่เหมาะสม และมีรูปของ พล.อ. สนธิ บุญยรัตกลิน ผู้บัญชาการทหารบก ในฐานะประธานคณะมนตรีความ
มั่นคงแห่งชาติ มีข้อความว่า “เอา คมช. คืนไป เอาทักษิณคืนมา” ไปแสดงไว้บนหน้าเว็บไซต์กระทรวงไอซีที
ประมาณ 20 นาที
แฮกเกอร์ เจาะ-ดูดเงิน ลูกค้ากรุงไทย
เจ้าหน้าที่ตำรวจกองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.) ได้รับแจ้ง
จากธนาคารกรุงไทยจำกัด (มหาชน) สำนักงานใหญ่ เมื่อวันที่ 10 เมษายน 51 ว่า มีลูกค้าของธนาคารหลายราย
ร้องเรียนว่าเงินในบัญชีธนาคารที่ได้มีการเปิดบัญชีออนไลน์ หรือที่เรียกกันว่าการใช้โปรแกรม ID-PLUS+ ถูกดึง
เงินออกจากบัญชีไปยอดเงินรวมไม่ต่ำกว่า 800,000 บาท ซึ่งแฮกเกอร์เป็นนักเรียน กศน.อยู่ที่ศูนย์การศึกษา
นอกโรงเรียนจังหวัดสมุทรปราการ
เว็บสภาโดนแฮก! เปลี่ยนรูป 'ชัย ชิดชอบ'
8 กรกฎาคม 2551 ได้มีแฮกเกอร์มือดีเข้าไปแฮกในเว็บไซต์ของรัฐสภา www.parliament.go.th ใน
ส่วนข้อมูลประวัติของนายชัย ชิดชอบ ประธานรัฐสภาและประธาน สภาผู้แทนราษฎร โดยได้เปลี่ยนรูปนายชัย
เป็นรูปตัวเงินตัวทอง โดยมีการโพสต์นานประมาณ 10 นาที ก่อนที่เจ้าหน้าที่จะตรวจพบและแก้ไขจนเรียบร้อย
บรรณานุกรม
Information security
http://en.wikipedia.org/wiki/Information_security
IT Security Cookbook
Risk Assessment
http://en.wikipedia.org/wiki/Risk_assessment
Risk Analysis
http://it.toolbox.com/wiki/index.php/Risk_Analysis
The
http://www.dynamoo.com/orange/
Department Of Defense Trusted Computer System Evaluation Criteria - "Orange Book"
Laptop theft
http://en.wikipedia.org/wiki/Laptop_theft
Network Access Control
http://en.wikipedia.org/wiki/Network_Access_Control
What You Need To Know About Botnets!
http://whitepapers.silicon.com/0,39024759,60125590p-39001181q,00.htm
Standards for Security Categorization of Federal Information and Information Systems
www.csrc.nist.gov/publications/ fips/fips199/FIPS-PUB-199-final.pdf
National Strategy to Secure Cyberspace
http://www.whitehouse.gov/pcipb
COBIT
http://en.wikipedia.org/wiki/COBIT
COBIT Framework
http://www.tcontas.pt/eurosai/lisboa_etc-seminar/Documents/Cobit/CobitFramework.pdf
Information Security Audit
http://en.wikipedia.org/wiki/Information_security_audit
Information technology security audit
http://en.wikipedia.org/wiki/Information_technology_security_audit
Information Systems Audit and Control Association
Information Security Audit and Computer Audit Made Easy
http://www.securitypolicy.co.uk/securityaudit/
Information audit
http://en.wikipedia.org/wiki/Information_audit
Conducting a Security Audit
http://www.securityfocus.com/infocus/1697
Security Audit
http://www.itsecurity.com/security-audit
10 Steps to Creating Your Own IT Security Audit
http://www.itsecurity.com/features/it-security-audit-010407
บัญญัติ 10 ประการ สำหรับการปราบ Malware ต่างๆ ในองค์กร
http://www.acisonline.net/article_prinya_malware.htm
กรณีตัวอย่าง อาชญากรรมทางคอมพิวเตอร์ ในประเทศไทย, ศูนย์ข้อมูลข้อสนเทศสำนักงานตำรวจแห่งชาติ พฤศจิกายน 2549
ก้าวทัน Malware กับการใช้อุปกรณ์ IT อย่างปลอดภัย
http://pclab.nectec.or.th/Documents/Support/Article/Malware.pdf
รายงานสรุปผลการตอบสนองเหตุละเมิดความปลอดภัยคอมพิวเตอร์ปี 2550, ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย กุมภาพันธ์ 2551
