จากฉบับที่แล้วผมได้กล่าวถึงขั้นตอนในการจัดการกับความเสี่ยงของระบบ (Risk Assessment) ซึ่งมีทั้งหมด 6 ขั้นตอน ขั้นตอนที่หนึ่งกล่าวถึง “Inventory Definition and Requirement” และขั้นตอนที่สองเป็นเรื่องของ “Vulnerability and Threat Assessment” ในฉบับนี้ผมขอต่อใน ขั้นตอนที่สาม
เราจะแยกความแตกต่างของใบรับรองผู้ดูแลความปลอดภัยข้อมูลคอมพิวเตอร์ของแต่ละสำนักได้อย่างไร ? ไม่ว่าจะเป็น CISSP, CISA, CISM หรือ GIAC
GSEC, CNSP, CISSP, Security, CISA, CISM, GCWN, GCFW, GCUX และอีกหลายๆ ใบ
จากการที่เรานำระบบ IT มาใช้ในชีวิตประจำวันของการทำงานในองค์กรอย่างที่ยกตัวอย่างให้ท่านผู้อ่านได้ทราบแล้วนั้น จึงมีความจำเป็นที่ต้องมีฝ่ายหรือบุคลากรที่จะมาตรวจสอบด้าน IT ซึ่งเรามักเรียกว่า “IT Auditor” หรือ “IS Auditor”
“Security” ของระบบ IT นั้น ดูเหมือนว่าคำจำกัดความจะมีความหมายค่อนข้างลึกซึ้ง เพราะ “Security” ไม่ได้เป็นแค่ Product เช่น การติดตั้ง Firewall และ IDS (Intrusion Detection System) แล้วจบ แต่ “Security” เป็น “Ongoing Process” หมายถึงต้องทำเป็นระบบและทำอย่างต่อเนื่องไม่มีวันจบ
การป้องกันระบบเครือข่ายของเราที่ต่อเชื่อมโยงกับระบบ Internet นั้น ในทางเทคนิคเราใช้คำว่า “Defense Network Perimeter Security” เป็นเรื่องสำคัญที่ทุกองค์กร
ความรู้พื้นฐานที่สำคัญที่ใช้เป็นหลักในการสอบ CISSP ก็คือ CBK (Common Body of Knowledge) ผมได้กล่าวถึง CBK ไปแล้วทั้งหมด 6 DOMAIN ใน e-week ฉบับก่อน ๆ ในตอนนี้ เราจะมาพูดถึง CBK DOMAIN 7 และ 8
การเตรียมตัวสอบ CISSP (Certified Information Security Systems Professional) นั้น จำเป็นต้องมีความรู้พื้นฐานที่เรียกว่า CBK (Common Body of Knowledge) ทั้ง 10 Domain ในฉบับนี้ ผมจะกล่าวถึง Domain ที่ 5 ของ CBK ได้แก่ “Security Model and Architecture”
กล่าวถึง Domain ที่ 6 ของ Common Body of Knowledge (CBK) ได้แก่ Operation Security เนื้อหาความรู้ใน Domain นี้มีรายละเอียดค่อนข้างกว้าง ครอบคลุมถึงเรื่องของการตรวจสอบ (IT Audit) ซึ่งเป็นเนื้อหาเดียวกับที่ใช้สอบ CISA
ใน ช่วงไตรมาสสุดท้ายของปี 2545 นี้ กระแสความนิยมและการยอมรับในใบประกาศ “CISSP” หรือ “Certified Information Security Systems Professional” ซึ่งเป็น Security Certification ในระดับสากลนั้น มีแนวโน้มที่เพิ่มขึ้นอย่างก้าวกระโดด
ขณะนี้เป็นที่ยอมรับกันโดยทั่วไปว่า ระบบปฏิบัติการ LINUX รวมถึงโปรแกรมต่างๆที่ทำงานบน LINUX ในลักษณะ Open source นั้น ได้รับความนิยมมากขึ้นเรื่อยๆ สังเกตได้จากงาน LINUX Application Day ที่ NECTEC