Information Security Management Framework (ISMF) Version 2
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
จากโมเดลในการจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ Information Security Management Framework (ISMF) Version 1 ซึ่งมีทั้งหมด 7 ขั้นตอน ดังรูปที่ 1
รูปที่ 1
พบว่า ISMF version 1 นั้นถูกนำมาประยุกต์ใช้ในองค์กรภาครัฐและเอกชน ของประเทศไทย ตลอด 2 ปีที่ผ่านมา ทำให้ทีมพัฒนา ISMF ได้ข้อคิด และประสบการณ์ที่มีประโยชน์จำนวนมาก ซึ่งส่งผลให้มุมมองของทีมพัฒนา ISMF ที่มีต่อโมเดลในการรักษาความปลอดภัยของข้อมูลนั้นเริ่มเปลี่ยนไป ดังนั้นทีมพัฒนา จึงได้ทำการวิจัยและพัฒนาโมเดลด้านการรักษาความปลอดภัยของข้อมูล ซึ่งเป็นแกนหลักในการรักษาความปลอดภัยขององค์กรขึ้นใหม่ โดยนำแนวความคิดด้านการบริหาร และ ด้านการรักษาความปลอดภัยของข้อมูลมาร่วมประยุกต์เข้าด้วยกัน
โมเดล ISMF Version 2 ได้ปรับมุมมองจาก “IT security” ไปเป็น “Information Security” ซึ่งหมายความว่าได้ปรับมุมมองจากเดิมซึ่งเป็นการเน้นในการแก้ปัญหาด้านเทคโนโลยีและไอทีเป็นหลัก เปลี่ยนไปเป็นการมองถึงปัญหาทางธุรกิจมากขึ้น
นอกจากนั้นทีมพัฒนา ISMF ยังได้พัฒนาโดยอาศัยหลักของการพัฒนาอย่างต่อเนื่อง (Continuous Improvement) ในการบริหารคุณภาพ (Quality Management) ซึ่งประกอบเป็น 4 แนวความคิดหลัก ประกอบด้วย 1. วางแผน (Plan) 2. ปฏิบัติ (Do) 3. ตรวจสอบ (Check) และ 4. แก้ไข (Act) แต่อย่างไรก็ตามการปรับแนวความคิดด้านการพัฒนาอย่างต่อเนื่องนั้นยังไม่สามารถนำมาใช้ในทางการรักษาความปลอดภัยของข้อมูลได้โดยตรง เนื่องจากแนวคิดด้านการรักษาความปลอดภัยของข้อมูลนั้นไม่ใช่การลดช่องโหว่ลงให้เท่ากับศูนย์ (zero risk) ทั้งนี้เนื่องจากการทำดังกล่าวนั้นอาจทำได้หากแต่ต้องใช้ต้นทุนที่สูงมากจนไม่คุ้มค่า และอาจขัดขวางต่อการทำธุรกิจของบริษัทอีกด้วย ดังนั้นการจัดการด้านรักษาความปลอดภัยของข้อมูลนั้นจึงควรตั้งอยู่บนแนวคิดด้าน Risk Management ซึ่งหมายความว่า การรับมือกับความเสี่ยงหรือความไม่ปลอดภัยของระบบนั้นไม่ไช่การทำได้เพียงแค่ซื้ออุปกรณ์เพิ่มและป้องกันระบบเท่านั้น หากยังมีวิธีการอื่นอีกมากมาย ซึ่งการอยู่เฉยๆไม่ทำอะไรเลย ก็นับเป็นหนึ่งในนั้นด้วย และ ก็นับว่าเป็นสิ่งที่ควรทำในกรณีที่ค่าใช้จ่ายในการป้องกันระบบสูงจนไม่คุ้มกับความเสียหายที่อาจจะเกิดขึ้นเป็นต้น
ดังนั้นโมเดล ISMF version 2 ที่พัฒนาขึ้นจึงได้ยึดแนวความคิดด้าน Risk Management เป็นหลัก ซึ่งสามารถช่วยให้องค์กรสามารถดำเนินการด้านการรักษาความปลอดภัยของข้อมูลได้อย่างเหมาะสม โดยคำนึงถึง Risk Tolerance และ Risk Acceptance เป็นหลัก ซึ่งจะช่วยให้องค์กรได้รับ ROI จากโครงการรักษาความปลอดภัยของข้อมูลได้ในระดับสูงสุด
โมเดล ISMF version2 นั้นประกอบไปด้วย 4 งานหลัก (Plan, Do, Check, Act ในภาพ) และแต่ละงานหลักมี 4 งานย่อย (รูปทรงกราฟวงกลมที่อยู่ถัดจากชื่องานหลัก) รวมทั้งหมด 16 งานย่อย โดยแต่ละงานหลักนั้นจะมีลูกศรสีแดงชี้ออกมาซึ่งหมายถึงผลลัพท์สุดท้ายของแต่ละงานหลัก และองค์ประกอบสุดท้ายคือวงแหวนรอบนอกซึ่งแสดงถึงงานซึ่งจะต้องทำอย่างต่อเนื่อง สม่ำเสมอตลอดโครงการไม่จำกัดว่าจะต้องทำในช่วงงานหลักใด สำหรับความหมายและหน้าที่ขององค์ประกอบต่างๆในโมเดล ISMF version 2 นั้นมีรายละเอียดดังนี้
- การวางแผนด้านการรักษาความปลอดภัยของข้อมูล (Plan) มีคำกล่าวที่ว่า “หากต้องการดำเนินการใดๆอย่างราบรื่น แล้วการวางแผนอย่างรัดกุมนั้นเป็นสิ่งสำคัญที่ขาดไม่ได้” ซึ่งในมุมมองด้านการรักษาความปลอดภัยของข้อมูลก็เช่นกัน การวางแผนที่ดีนั้นจะทำให้ท่านทราบกิจกรรมที่จะต้องทำตลอดทั้งโครงการ โดยมีการคำนึงถึง Risk Management เป็นหลัก ซึ่งจะทำให้ความเข้มของการรักษาความปลอดภัยของข้อมูลนั้นไม่ตึงหรือหย่อนจนเกินไป อยู่ในระดับที่พอเหมาะกับ Risk Tolerance นั้นเอง ในขั้นตอนวางแผนนี้ประกอบด้วยงานย่อยทั้งหมด 4 งาน ดังนี้
- Information Security Executive Briefing เป็นการเล่าถึง ขั้นตอน ขอบเขต ความต้องการ และข้อจำกัด ของโครงการให้กับผู้บริหารระดับสูงขององค์กร ทั้งนี้เพื่อเป็นการปรับความเข้าใจ ความคาดหวัง เตรียมความพร้อมเพื่อเริ่มโครงการ และเป็นการเก็บข้อมูลด้านธุรกิจขององค์กร เพื่อให้คำแนะนำเกี่ยวกับการตั้งโจทย์หรือเป้าหมายด้านการรักษาความปลอดภัยของข้อมูลขององค์กร ซึ่งอาจจะยึดมาตรฐานต่างๆ เช่น ISO/IEC 17799 (ISO/IEC27001) หรือมาตรฐานที่องค์กรประยุกต์ขึ้นเองก็ได้
- Gap Analysis เป็นการตรวจสอบองค์กรโดยการเปรียบเทียบกับมาตรฐานสากล เช่น ISO/IEC 17799 (ISO/IEC27001) ซึ่งจะช่วยให้การวางแผนเพื่อพัฒนาและปรับปรุงความปลอดภัยข้อมูลขององค์กรมีทิศทางที่ชัดเจนยิ่งขึ้น
- Information Security People, Process, and Technology Vulnerability Assessment เป็นการตรวจสอบหาช่องโหว่ด้านความปลอดภัยขององค์กรโดยมุ่งเน้นในด้าน บุคลากร กระบวนการ และเทคโนโลยี ซึ่งจะช่วยให้ผู้วางแผนได้ทราบข้อมูลจุดอ่อนขององค์กรในเชิงลึก ทำให้สามารถวางแผนได้ตรงความเป็นจริงมากขึ้น
- Penetration Testing คือการตรวจสอบด้านการรักษาความปลอดภัยของข้อมูลระดับลึกที่สุด โดยมีการแสดงผลและขั้นตอนในการนำเอาช่องโหว่ที่พบในขั้นตอน Vulnerability Assessment มาใช้ในการเจาะระบบจริง (Ethical Hacking) ซึ่งจะช่วยลด fault positive และ เพิ่ม Awareness ให้กับผู้บริหารและผู้ร่วมโครงการได้เป็นอย่างดี
ภายหลังจากดำเนินงานทั้ง 4 งานย่อยข้างต้นแล้ว ผู้ตรวจสอบและผู้ร่วมโครงการจึงสามารถร่วมกันพัฒนาแผนงานด้านการรักษาความปลอดภัยของข้อมูลให้แก่องค์กรได้ ซึ่งแผนดังกล่าวนั้นเรียกว่า “Information Security Master Plan”
- การนำแผนที่วางไว้มาปฏิบัติ (DO) ถึงแม้ว่าจะมีการวางแผนอย่างดีเพียงได้แต่หากปราศจากการดำเนินการอย่างเหมาะสมแล้ว โครงการคงไม่สามารถประสบความสำเร็จได้ ดังนั้นในขั้นตอนนี้จึงมีการนำผลลัพท์จากขั้นตอนที่ผ่านมาเพื่อใช้เป็นแนวทางปฏิบัติ โดยแบ่งเป็นการทำงานในเชิงเทคนิค และเชิงนโยบายรวมทั้งสิ้น 4 งานย่อยดังนี้
- Hardening เป็นการลดช่องโหว่ของระบบซึ่งเน้นในระดับ Host (Windows/UNIX) และ Network Device (Router, Switching) เป็นหลัก โดยแก้ไขเพื่อลดช่องโหว่ของเครื่องแม่ข่ายในระบบสำคัญๆ
- Defense in Depth เป็นการสร้างความปลอดภัยให้แก่ระบบในทุกระดับของระบบ ไม่ว่าจะเป็น DMZ, Network Gateway รวมไปถึง Host และ Application โดยเน้นการเขียนข้อกำหนดและ แนวทางเป็นหลัก
- Information Security Policy Development หมายถึงการพัฒนานโยบายด้านการรักษาความปลอดภัยของข้อมูล ซึ่งจะเป็นเส้นทางในการถ่ายทอด requirement ด้านการรักษาความปลอดภัยของข้อมูลขององค์กรมากสู่แนวทางและวิธีการปฏิบัติให้แก่พนักงานทุกคนในองค์กร
- Incident Response and BCP/DRP Plan การสร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉิน เพื่อรับมือกับภัยต่างๆที่อาจจะเกิดขึ้น เพื่อจำกัดความเสียหายให้เหลือน้อยที่สุด
ขั้นตอนที่ 2 นี้จะช่วยให้แผนที่วางไว้สามารถเกิดขึ้นจริงได้ในทางปฏิบัติ ซึ่งผลลัพท์ของขั้นตอนนี้นั้นจะเป็นเอกสารต่างๆที่เกี่ยวข้องกับการดำเนินงานได้แก่ นโยบายรักษาความปลอดภัย แผนสำรองฉุกเฉิน และเอกสารมาตรฐานด้านความปลอดภัยสำหรับการพัฒนาระบบและเครื่องแม่ข่าย
- การตรวจสอบและเฝ้าระวัง (Check) หลังจากการการวางแผนและการปฏิบัติที่ดี การตรวจสอบและเฝ้าระวังนั้นก็เป็นสิ่งสำคัญที่จะต้องทำในลำดับต่อมา ทั้งนี้เพื่อเป็นการตรวจสอบถึงความสำเร็จของงาน ความยอมรับของพนักงานในองค์กร ช่องโหว่และภัยใหม่ๆที่พบในระบบ เพื่อนำมาใช้ปรับปรุงและแก้ไขนโยบายและนำมาใช้ในการทำงานขั้นตอนต่อไป
- Centralized Log Management คือการจัดการ จัดเก็บและรวบรวม Log จากอุปกรณ์ต่างๆไว้ที่ส่วนกลาง เพื่อความสะดวกในการวิเคราะห์ และการเก็บ Log ของระบบตามที่กฏหมายกำหนด
- Vulnerability Management เป็นการสร้างระบบบริหารจัดการช่องโหว่ของระบบ ซึ่งจะดำเนินการสแกนระบบและทำรายงานแบบ real-time โดยมีการปรับแต่งให้สร้าง traffic รบกวนระบบน้อยที่สุด นอกจากนั้นยังมีระบบ assign ช่องโหว่ที่พบให้กับบุคลากรต่างๆในองค์กร ซึ่งจะสามารถช่วยให้เกิดการติดตามงานและยังช่วยวัดประสิทธิผลการทำงานของพนักงานแต่ละบุคคลได้ในระดับหนึ่งอีกด้วย
- Compliance Management เป็นการจัดการเพื่อให้ผลักให้สิ่งที่เขียนอยู่ในนโยบายรักษาความปลอดภัยสามารถเป็นจริงได้ในทางปฏิบัติ โดยการใช้เครื่องมือในการควบคุมการทำงานและการใช้งานระบบสารสนเทศ นอกจากนั้นยังมีประโยชน์ในการเฝ้าติดตามพฤติกรรมการใช้งานระบบของผู้ใช้งานได้อีกด้วย
- Real-time Threat Monitoring and Intrusion Analysis นำผลที่ได้จาก “Centralized Log Management ” มาเป็นวัตุดิบในการวิเคราะห์การใช้งานและภัยที่เกิดขึ้นกับระบบ มีวัตถุประสงค์ในการลด fault positive ที่แฝงอยู่ใน report และ Log จากอุปกรณ์ด้าน Information Security อุปกรณ์ host และ network ต่างๆผลลัพท์ของขั้นตอนนี้เรียกว่า “Information Security Recommendation” เป็นผลสรุปและวิเคราะห์จากงานย่อยต่างๆ และผลลัพท์นี้เองซึ่งจะนำมาใช้ในเป็นแนวทางในการปรับปรุงโครงการในขั้นตอนต่อไป
- การนำข้อข้อเสนอแนะมาใช้ในการปรับปรุงระบบ (Act) เป็นการนำ “Information Security Recommendation” จากขั้นตอนที่แล้ว มาใช้เพื่อเป็นแนวทางในการปรับแต่งนโยบาย วิธีการปฏิบัติ รวมไปถึงมาตรการต่างๆที่จะออกมาเพื่อให้พนักงานมีความเข้าใจและปฏิบัติตามนโยบาย รวมไปถึงการสร้างเกณท์วัดความสำเร็จของของโครงการ
- Incident Response and BCP/DRP Update เป็นการนำผลการวิเคราะห์และข้อแนะนำซึ่งเป็น outcome มาจากเฟสที่แล้ว มาใช้ในการปรับปรุงแก้ใช้สร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉินให้เหมาะสมกับองค์กรมากยิ่งขึ้น
- Information Security Policy Update เป็นการปรับปรุง นโยบายรักษาความปลอดภัยขององค์กรให้ทันสมัยและตอบรับกับปัจจับภายในและภายนอกที่เปลี่ยนแปลงไป
- Patch Management เป็นบริหารจัดการแพทช์อย่างเป็นขั้นตอน โดยมีการทดสอบความถูกต้องของไฟล์ patch มีการโหลด patch และดำเนินการติดตั้งโดยใช้ bandwidth น้อยที่สุด รวมไปถึงการ rollback อย่างมีประสิทธิผล
- Information Security Metrics หมายถึงการวิเคราะห์หาเกณท์วัดผลสำเร็จของการทำงานด้านการรักษาความปลอดภัยของข้อมูลผลลัพท์ที่สำคัญที่สุดของขั้นตอนนี้นั้นเรียกว่า “KPI and Information Security Scorecard” ซึ่งเป็นการนำเกณฑ์ตรวจวัดมาใช้ในการการวัดผลออกมาเป็น KPI ขององค์กร เพื่อใช้เป็นแนวทางในการตั้งเป้าหมายในการจัดทำโครงการรักษาความปลอดภัยของข้อข้อมูลในโครงการรอบต่อไป
สิ่งที่ต้องทำอย่างสม่ำเสมอตลอดโครงการ
งานในส่วนนี้จะอยู่ในวงแหวนรอบนอกของโมเดล ISMF version 2 ซึ่งเป็นงานจำเป็นที่จะต้องทำอย่างต่อเนื่องตลอดทั้งโครงการ ประกอบด้วยงานทั้งหมด 3 หัวข้อย่อยได้แก่
- Information Security Awareness Training and Education เป็นการจัดฝึกอบรบเพื่อเพิ่มความรู้และความตระหนักถึงความสำคัญของการรักษาความปลอดภัยให้แก่บุคลากรทุกระดับในองค์กร ซึ่งจะช่วยให้การบริหารจัดการด้าน “Information Security” ในองค์กรนั้นเป็นไปได้อย่างสะดวกมากขึ้น
- Incident Response and Forensics เป็นการเตรียมความพร้อมรับสิ่งที่ไม่คาดฝันอยู่เสมอ และ วิเคราะห์ต้นเหตุของปัญหา (Root-cause Analysis) จากวิธี Digital Forensics
- Managed Security Services หมายถึง การ Outsource เฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรผู้เชี่ยวชาญจากภายนอก การเฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรภายในองค์กรของเราเองนั้น นอกจากจะใช้เวลาค่อนข้างมากแล้วยังต้องการผู้เชี่ยวชาญที่แยกแยะระหว่าง Fault Alarm กับ Real Attack Alarm ซึ่งผู้เชี่ยวชาญต้องมีความชำนาญเป็นพิเศษด้านการวิเคราะห์การบุกรุกระบบ (Intrusion Analyst) ตลอดจนในปัจจุบันค่าตัวของบุคลากรที่มีความเชี่ยวชาญดังกล่าวก็ค่อนข้างสูงอยู่พอสมควร
จากปัญหาดังกล่าวจึงเกิดแนวคิดในการ “Outsource” ด้านการจัดการระบบรักษาความปลอดภัยซึ่งเรียกว่า “Managed Security Services” หรือ “MSS” การจัดจ้าง Outsource ด้าน Security โดยเฉพาะ เป็นแนวคิดที่ต้องการให้ Outsource มาช่วยในการจัดการบริหารความเสี่ยง และ ช่วยลดความเสี่ยงให้กับระบบโดยรวม (Risk Management & Risk Mitigation)
โมเดล ISMF Version 2 แสดงถึงการทำงานอย่างต่อเนื่อง และมีการทำแบบวนแป็นรอบซึ่งจะช่วยให้งานด้านการรักษาความปลอดภัยของข้อมูลนั้นสามารถพัฒนาอย่างต่อเนื่องบนพื้นฐานของ Risk Management และสำหรับบทความในตอนต่อไปนั้นจะเป็นการอธิบายลงรายละเอียดในแต่ละขั้นตอน ซึ่งจะช่วยให้คุณสามารถเข้าในวิธีการทำงานด้านการรักษาความปลอดภัยของข้อมูลได้อย่างถูกต้องมากยิ่งขึ้น
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกุมภาพันธ์ 2549
Update Information : 1 กุมภาพันธ์ 2549by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
จากโมเดลในการจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ Information Security Management Framework (ISMF) Version 1 ซึ่งมีทั้งหมด 7 ขั้นตอน ดังรูปที่ 1
พบว่า ISMF version 1 นั้นถูกนำมาประยุกต์ใช้ในองค์กรภาครัฐและเอกชน ของประเทศไทย ตลอด 2 ปีที่ผ่านมา ทำให้ทีมพัฒนา ISMF ได้ข้อคิด และประสบการณ์ที่มีประโยชน์จำนวนมาก ซึ่งส่งผลให้มุมมองของทีมพัฒนา ISMF ที่มีต่อโมเดลในการรักษาความปลอดภัยของข้อมูลนั้นเริ่มเปลี่ยนไป ดังนั้นทีมพัฒนา จึงได้ทำการวิจัยและพัฒนาโมเดลด้านการรักษาความปลอดภัยของข้อมูล ซึ่งเป็นแกนหลักในการรักษาความปลอดภัยขององค์กรขึ้นใหม่ โดยนำแนวความคิดด้านการบริหาร และ ด้านการรักษาความปลอดภัยของข้อมูลมาร่วมประยุกต์เข้าด้วยกัน
โมเดล ISMF Version 2 ได้ปรับมุมมองจาก “IT security” ไปเป็น “Information Security” ซึ่งหมายความว่าได้ปรับมุมมองจากเดิมซึ่งเป็นการเน้นในการแก้ปัญหาด้านเทคโนโลยีและไอทีเป็นหลัก เปลี่ยนไปเป็นการมองถึงปัญหาทางธุรกิจมากขึ้น
นอกจากนั้นทีมพัฒนา ISMF ยังได้พัฒนาโดยอาศัยหลักของการพัฒนาอย่างต่อเนื่อง (Continuous Improvement) ในการบริหารคุณภาพ (Quality Management) ซึ่งประกอบเป็น 4 แนวความคิดหลัก ประกอบด้วย 1. วางแผน (Plan) 2. ปฏิบัติ (Do) 3. ตรวจสอบ (Check) และ 4. แก้ไข (Act) แต่อย่างไรก็ตามการปรับแนวความคิดด้านการพัฒนาอย่างต่อเนื่องนั้นยังไม่สามารถนำมาใช้ในทางการรักษาความปลอดภัยของข้อมูลได้โดยตรง เนื่องจากแนวคิดด้านการรักษาความปลอดภัยของข้อมูลนั้นไม่ใช่การลดช่องโหว่ลงให้เท่ากับศูนย์ (zero risk) ทั้งนี้เนื่องจากการทำดังกล่าวนั้นอาจทำได้หากแต่ต้องใช้ต้นทุนที่สูงมากจนไม่คุ้มค่า และอาจขัดขวางต่อการทำธุรกิจของบริษัทอีกด้วย ดังนั้นการจัดการด้านรักษาความปลอดภัยของข้อมูลนั้นจึงควรตั้งอยู่บนแนวคิดด้าน Risk Management ซึ่งหมายความว่า การรับมือกับความเสี่ยงหรือความไม่ปลอดภัยของระบบนั้นไม่ไช่การทำได้เพียงแค่ซื้ออุปกรณ์เพิ่มและป้องกันระบบเท่านั้น หากยังมีวิธีการอื่นอีกมากมาย ซึ่งการอยู่เฉยๆไม่ทำอะไรเลย ก็นับเป็นหนึ่งในนั้นด้วย และ ก็นับว่าเป็นสิ่งที่ควรทำในกรณีที่ค่าใช้จ่ายในการป้องกันระบบสูงจนไม่คุ้มกับความเสียหายที่อาจจะเกิดขึ้นเป็นต้น
ดังนั้นโมเดล ISMF version 2 ที่พัฒนาขึ้นจึงได้ยึดแนวความคิดด้าน Risk Management เป็นหลัก ซึ่งสามารถช่วยให้องค์กรสามารถดำเนินการด้านการรักษาความปลอดภัยของข้อมูลได้อย่างเหมาะสม โดยคำนึงถึง Risk Tolerance และ Risk Acceptance เป็นหลัก ซึ่งจะช่วยให้องค์กรได้รับ ROI จากโครงการรักษาความปลอดภัยของข้อมูลได้ในระดับสูงสุด
โมเดล ISMF version2 นั้นประกอบไปด้วย 4 งานหลัก (Plan, Do, Check, Act ในภาพ) และแต่ละงานหลักมี 4 งานย่อย (รูปทรงกราฟวงกลมที่อยู่ถัดจากชื่องานหลัก) รวมทั้งหมด 16 งานย่อย โดยแต่ละงานหลักนั้นจะมีลูกศรสีแดงชี้ออกมาซึ่งหมายถึงผลลัพท์สุดท้ายของแต่ละงานหลัก และองค์ประกอบสุดท้ายคือวงแหวนรอบนอกซึ่งแสดงถึงงานซึ่งจะต้องทำอย่างต่อเนื่อง สม่ำเสมอตลอดโครงการไม่จำกัดว่าจะต้องทำในช่วงงานหลักใด สำหรับความหมายและหน้าที่ขององค์ประกอบต่างๆในโมเดล ISMF version 2 นั้นมีรายละเอียดดังนี้
- การวางแผนด้านการรักษาความปลอดภัยของข้อมูล (Plan) มีคำกล่าวที่ว่า “หากต้องการดำเนินการใดๆอย่างราบรื่น แล้วการวางแผนอย่างรัดกุมนั้นเป็นสิ่งสำคัญที่ขาดไม่ได้” ซึ่งในมุมมองด้านการรักษาความปลอดภัยของข้อมูลก็เช่นกัน การวางแผนที่ดีนั้นจะทำให้ท่านทราบกิจกรรมที่จะต้องทำตลอดทั้งโครงการ โดยมีการคำนึงถึง Risk Management เป็นหลัก ซึ่งจะทำให้ความเข้มของการรักษาความปลอดภัยของข้อมูลนั้นไม่ตึงหรือหย่อนจนเกินไป อยู่ในระดับที่พอเหมาะกับ Risk Tolerance นั้นเอง ในขั้นตอนวางแผนนี้ประกอบด้วยงานย่อยทั้งหมด 4 งาน ดังนี้
- Information Security Executive Briefing เป็นการเล่าถึง ขั้นตอน ขอบเขต ความต้องการ และข้อจำกัด ของโครงการให้กับผู้บริหารระดับสูงขององค์กร ทั้งนี้เพื่อเป็นการปรับความเข้าใจ ความคาดหวัง เตรียมความพร้อมเพื่อเริ่มโครงการ และเป็นการเก็บข้อมูลด้านธุรกิจขององค์กร เพื่อให้คำแนะนำเกี่ยวกับการตั้งโจทย์หรือเป้าหมายด้านการรักษาความปลอดภัยของข้อมูลขององค์กร ซึ่งอาจจะยึดมาตรฐานต่างๆ เช่น ISO/IEC 17799 (ISO/IEC27001) หรือมาตรฐานที่องค์กรประยุกต์ขึ้นเองก็ได้
- Gap Analysis เป็นการตรวจสอบองค์กรโดยการเปรียบเทียบกับมาตรฐานสากล เช่น ISO/IEC 17799 (ISO/IEC27001) ซึ่งจะช่วยให้การวางแผนเพื่อพัฒนาและปรับปรุงความปลอดภัยข้อมูลขององค์กรมีทิศทางที่ชัดเจนยิ่งขึ้น
- Information Security People, Process, and Technology Vulnerability Assessment เป็นการตรวจสอบหาช่องโหว่ด้านความปลอดภัยขององค์กรโดยมุ่งเน้นในด้าน บุคลากร กระบวนการ และเทคโนโลยี ซึ่งจะช่วยให้ผู้วางแผนได้ทราบข้อมูลจุดอ่อนขององค์กรในเชิงลึก ทำให้สามารถวางแผนได้ตรงความเป็นจริงมากขึ้น
- Penetration Testing คือการตรวจสอบด้านการรักษาความปลอดภัยของข้อมูลระดับลึกที่สุด โดยมีการแสดงผลและขั้นตอนในการนำเอาช่องโหว่ที่พบในขั้นตอน Vulnerability Assessment มาใช้ในการเจาะระบบจริง (Ethical Hacking) ซึ่งจะช่วยลด fault positive และ เพิ่ม Awareness ให้กับผู้บริหารและผู้ร่วมโครงการได้เป็นอย่างดี
ภายหลังจากดำเนินงานทั้ง 4 งานย่อยข้างต้นแล้ว ผู้ตรวจสอบและผู้ร่วมโครงการจึงสามารถร่วมกันพัฒนาแผนงานด้านการรักษาความปลอดภัยของข้อมูลให้แก่องค์กรได้ ซึ่งแผนดังกล่าวนั้นเรียกว่า “Information Security Master Plan”
- การนำแผนที่วางไว้มาปฏิบัติ (DO) ถึงแม้ว่าจะมีการวางแผนอย่างดีเพียงได้แต่หากปราศจากการดำเนินการอย่างเหมาะสมแล้ว โครงการคงไม่สามารถประสบความสำเร็จได้ ดังนั้นในขั้นตอนนี้จึงมีการนำผลลัพท์จากขั้นตอนที่ผ่านมาเพื่อใช้เป็นแนวทางปฏิบัติ โดยแบ่งเป็นการทำงานในเชิงเทคนิค และเชิงนโยบายรวมทั้งสิ้น 4 งานย่อยดังนี้
- Hardening เป็นการลดช่องโหว่ของระบบซึ่งเน้นในระดับ Host (Windows/UNIX) และ Network Device (Router, Switching) เป็นหลัก โดยแก้ไขเพื่อลดช่องโหว่ของเครื่องแม่ข่ายในระบบสำคัญๆ
- Defense in Depth เป็นการสร้างความปลอดภัยให้แก่ระบบในทุกระดับของระบบ ไม่ว่าจะเป็น DMZ, Network Gateway รวมไปถึง Host และ Application โดยเน้นการเขียนข้อกำหนดและ แนวทางเป็นหลัก
- Information Security Policy Development หมายถึงการพัฒนานโยบายด้านการรักษาความปลอดภัยของข้อมูล ซึ่งจะเป็นเส้นทางในการถ่ายทอด requirement ด้านการรักษาความปลอดภัยของข้อมูลขององค์กรมากสู่แนวทางและวิธีการปฏิบัติให้แก่พนักงานทุกคนในองค์กร
- Incident Response and BCP/DRP Plan การสร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉิน เพื่อรับมือกับภัยต่างๆที่อาจจะเกิดขึ้น เพื่อจำกัดความเสียหายให้เหลือน้อยที่สุด
ขั้นตอนที่ 2 นี้จะช่วยให้แผนที่วางไว้สามารถเกิดขึ้นจริงได้ในทางปฏิบัติ ซึ่งผลลัพท์ของขั้นตอนนี้นั้นจะเป็นเอกสารต่างๆที่เกี่ยวข้องกับการดำเนินงานได้แก่ นโยบายรักษาความปลอดภัย แผนสำรองฉุกเฉิน และเอกสารมาตรฐานด้านความปลอดภัยสำหรับการพัฒนาระบบและเครื่องแม่ข่าย
- การตรวจสอบและเฝ้าระวัง (Check) หลังจากการการวางแผนและการปฏิบัติที่ดี การตรวจสอบและเฝ้าระวังนั้นก็เป็นสิ่งสำคัญที่จะต้องทำในลำดับต่อมา ทั้งนี้เพื่อเป็นการตรวจสอบถึงความสำเร็จของงาน ความยอมรับของพนักงานในองค์กร ช่องโหว่และภัยใหม่ๆที่พบในระบบ เพื่อนำมาใช้ปรับปรุงและแก้ไขนโยบายและนำมาใช้ในการทำงานขั้นตอนต่อไป
- Centralized Log Management คือการจัดการ จัดเก็บและรวบรวม Log จากอุปกรณ์ต่างๆไว้ที่ส่วนกลาง เพื่อความสะดวกในการวิเคราะห์ และการเก็บ Log ของระบบตามที่กฏหมายกำหนด
- Vulnerability Management เป็นการสร้างระบบบริหารจัดการช่องโหว่ของระบบ ซึ่งจะดำเนินการสแกนระบบและทำรายงานแบบ real-time โดยมีการปรับแต่งให้สร้าง traffic รบกวนระบบน้อยที่สุด นอกจากนั้นยังมีระบบ assign ช่องโหว่ที่พบให้กับบุคลากรต่างๆในองค์กร ซึ่งจะสามารถช่วยให้เกิดการติดตามงานและยังช่วยวัดประสิทธิผลการทำงานของพนักงานแต่ละบุคคลได้ในระดับหนึ่งอีกด้วย
- Compliance Management เป็นการจัดการเพื่อให้ผลักให้สิ่งที่เขียนอยู่ในนโยบายรักษาความปลอดภัยสามารถเป็นจริงได้ในทางปฏิบัติ โดยการใช้เครื่องมือในการควบคุมการทำงานและการใช้งานระบบสารสนเทศ นอกจากนั้นยังมีประโยชน์ในการเฝ้าติดตามพฤติกรรมการใช้งานระบบของผู้ใช้งานได้อีกด้วย
- Real-time Threat Monitoring and Intrusion Analysis นำผลที่ได้จาก “Centralized Log Management ” มาเป็นวัตุดิบในการวิเคราะห์การใช้งานและภัยที่เกิดขึ้นกับระบบ มีวัตถุประสงค์ในการลด fault positive ที่แฝงอยู่ใน report และ Log จากอุปกรณ์ด้าน Information Security อุปกรณ์ host และ network ต่างๆผลลัพท์ของขั้นตอนนี้เรียกว่า “Information Security Recommendation” เป็นผลสรุปและวิเคราะห์จากงานย่อยต่างๆ และผลลัพท์นี้เองซึ่งจะนำมาใช้ในเป็นแนวทางในการปรับปรุงโครงการในขั้นตอนต่อไป
- การนำข้อข้อเสนอแนะมาใช้ในการปรับปรุงระบบ (Act) เป็นการนำ “Information Security Recommendation” จากขั้นตอนที่แล้ว มาใช้เพื่อเป็นแนวทางในการปรับแต่งนโยบาย วิธีการปฏิบัติ รวมไปถึงมาตรการต่างๆที่จะออกมาเพื่อให้พนักงานมีความเข้าใจและปฏิบัติตามนโยบาย รวมไปถึงการสร้างเกณท์วัดความสำเร็จของของโครงการ
- Incident Response and BCP/DRP Update เป็นการนำผลการวิเคราะห์และข้อแนะนำซึ่งเป็น outcome มาจากเฟสที่แล้ว มาใช้ในการปรับปรุงแก้ใช้สร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดฝัน และแผนสำรองฉุกเฉินให้เหมาะสมกับองค์กรมากยิ่งขึ้น
- Information Security Policy Update เป็นการปรับปรุง นโยบายรักษาความปลอดภัยขององค์กรให้ทันสมัยและตอบรับกับปัจจับภายในและภายนอกที่เปลี่ยนแปลงไป
- Patch Management เป็นบริหารจัดการแพทช์อย่างเป็นขั้นตอน โดยมีการทดสอบความถูกต้องของไฟล์ patch มีการโหลด patch และดำเนินการติดตั้งโดยใช้ bandwidth น้อยที่สุด รวมไปถึงการ rollback อย่างมีประสิทธิผล
- Information Security Metrics หมายถึงการวิเคราะห์หาเกณท์วัดผลสำเร็จของการทำงานด้านการรักษาความปลอดภัยของข้อมูลผลลัพท์ที่สำคัญที่สุดของขั้นตอนนี้นั้นเรียกว่า “KPI and Information Security Scorecard” ซึ่งเป็นการนำเกณฑ์ตรวจวัดมาใช้ในการการวัดผลออกมาเป็น KPI ขององค์กร เพื่อใช้เป็นแนวทางในการตั้งเป้าหมายในการจัดทำโครงการรักษาความปลอดภัยของข้อข้อมูลในโครงการรอบต่อไป
สิ่งที่ต้องทำอย่างสม่ำเสมอตลอดโครงการ
งานในส่วนนี้จะอยู่ในวงแหวนรอบนอกของโมเดล ISMF version 2 ซึ่งเป็นงานจำเป็นที่จะต้องทำอย่างต่อเนื่องตลอดทั้งโครงการ ประกอบด้วยงานทั้งหมด 3 หัวข้อย่อยได้แก่
- Information Security Awareness Training and Education เป็นการจัดฝึกอบรบเพื่อเพิ่มความรู้และความตระหนักถึงความสำคัญของการรักษาความปลอดภัยให้แก่บุคลากรทุกระดับในองค์กร ซึ่งจะช่วยให้การบริหารจัดการด้าน “Information Security” ในองค์กรนั้นเป็นไปได้อย่างสะดวกมากขึ้น
- Incident Response and Forensics เป็นการเตรียมความพร้อมรับสิ่งที่ไม่คาดฝันอยู่เสมอ และ วิเคราะห์ต้นเหตุของปัญหา (Root-cause Analysis) จากวิธี Digital Forensics
- Managed Security Services หมายถึง การ Outsource เฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรผู้เชี่ยวชาญจากภายนอก การเฝ้าระวังโดยการวิเคราะห์ Log ด้วยบุคลากรภายในองค์กรของเราเองนั้น นอกจากจะใช้เวลาค่อนข้างมากแล้วยังต้องการผู้เชี่ยวชาญที่แยกแยะระหว่าง Fault Alarm กับ Real Attack Alarm ซึ่งผู้เชี่ยวชาญต้องมีความชำนาญเป็นพิเศษด้านการวิเคราะห์การบุกรุกระบบ (Intrusion Analyst) ตลอดจนในปัจจุบันค่าตัวของบุคลากรที่มีความเชี่ยวชาญดังกล่าวก็ค่อนข้างสูงอยู่พอสมควร
จากปัญหาดังกล่าวจึงเกิดแนวคิดในการ “Outsource” ด้านการจัดการระบบรักษาความปลอดภัยซึ่งเรียกว่า “Managed Security Services” หรือ “MSS” การจัดจ้าง Outsource ด้าน Security โดยเฉพาะ เป็นแนวคิดที่ต้องการให้ Outsource มาช่วยในการจัดการบริหารความเสี่ยง และ ช่วยลดความเสี่ยงให้กับระบบโดยรวม (Risk Management & Risk Mitigation)
โมเดล ISMF Version 2 แสดงถึงการทำงานอย่างต่อเนื่อง และมีการทำแบบวนแป็นรอบซึ่งจะช่วยให้งานด้านการรักษาความปลอดภัยของข้อมูลนั้นสามารถพัฒนาอย่างต่อเนื่องบนพื้นฐานของ Risk Management และสำหรับบทความในตอนต่อไปนั้นจะเป็นการอธิบายลงรายละเอียดในแต่ละขั้นตอน ซึ่งจะช่วยให้คุณสามารถเข้าในวิธีการทำงานด้านการรักษาความปลอดภัยของข้อมูลได้อย่างถูกต้องมากยิ่งขึ้น
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกุมภาพันธ์ 2549
Update Information : 1 กุมภาพันธ์ 2549