Information Security Management Framework (ISMF) ขั้นตอนที่ 6 Internal/ External Audit, Re-Assessment and Re-Hardening | ACIS Professional Center Co., Ltd.

Information Security Management Framework (ISMF) ขั้นตอนที่ 6 Internal/ External Audit, Re-Assessment and Re-Hardening

Nov, 21

3188 Views
0 Likes
, , , , , , , , , ,

by A.Pinya Hom-anekGCFWCISSPCISA
ACIS Professional Team
จาก ISMF ขั้นตอนที่ 5 เกี่ยวกับการฝึกอบรมพัฒนาบุคลากรให้มีความรู้เกี่ยวกับการรักษาความปลอดภัยระบบเครือข่ายและระบบคอมพิวเตอร์ตามมาตรฐานสากลแล้ว ในขั้นตอนที่ 6 จะเน้นเรื่องการ “ตรวจสอบ” หรือ “IT Auditing” ซึ่งเป็นส่วนหนึ่งของแนวคิด “IT Governance” ที่องค์กรสมัยใหม่นิยมนำมาประยุกต์ใช้ หลังจากที่เราได้ทำการประเมินความเสี่ยงของระบบและปิดช่องโหว่ของระบบแล้ว เราจะทราบได้อย่างไรว่าช่องโหว่ที่มีผลกระทบกับระบบได้ถูกจัดการแก้ไขอย่างถูกต้อง ดังนั้น เราจึงต้องทำการตรวจสอบซ้ำเป็นครั้งที่ 2 การตรวจสอบทำโดยการทำ Re-Assessment รายละเอียดเหมือน ISMF ขั้นตอนที่ 1 แต่จะสรุปผลออกมาในภาพรวมมากขึ้น โดยมีการเปรียบเทียบกับผลจากขั้นตอนที่ 1 ก่อนที่เราจะ “Hardening” หรือ ปิดช่องโหว่ในขั้นตอนที่ 2 เราจะได้ความแตกต่างจาก “GAP Analysis” แสดงให้เห็นถึงผล “ก่อน Hardening” และ “หลัง Hardening” ว่ามีความแตกต่างกันอย่างไร ถ้าการ Hardening ยังไม่สมบูรณ์ก็ต้องมีการ Re-Hardening อีกครั้งเพื่อให้แน่ใจว่าได้ปิดช่องโหว่จนความเสี่ยงอยู่ระดับที่ยอมรับได้ (Risk Acceptance Level) การตรวจสอบระบบนั้นผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ควรมี “Compliance Checklist” เพื่อนำไปตรวจสอบระบบต่างๆ และนำผลลัพธ์มาทำ “GAP Analysis” ว่าระบบที่ใช้อยู่นั้นได้มีการจัดการด้านระบบรักษาความปลอดภัยเป็นไปตาม “IT Security Policy” ขององค์กรหรือไม่และได้ทำตาม “Best Practices” ที่เหมาะสมกับระบบนั้นๆ แล้วหรือยัง

หลักการในการตรวจสอบระบบสารสนเทศที่ถูกต้องก็คือ ต้องมีการประเมินความเสี่ยง (Risk Assessment) ขององค์กรเสียก่อน ซึ่งมีขั้นตอนสำคัญที่ต้องปฏิบัติ เช่น การระบุปัจจัยที่มีผลทำให้เกิดความเสี่ยง และ การระบุความเสี่ยงที่มีโอกาสเกิดขึ้น (Risk Identification), การวิเคราะห์ความเสี่ยง (Risk Analysis) และการบริหารจัดการกับความเสี่ยง (Risk Management)

การตรวจสอบระบบสารสนเทศต้องพิจารณาเรื่องของ Control หรือ การควบคุม ว่าได้มีการจัดการอย่างถูกต้องหรือไม่ การตรวจสอบการควบคุมแบ่งออกเป็น 3 ประเภทใหญ่ๆ คือ

  1. การควบคุมแบบป้องกันล่วงหน้า (Preventive Control)
  2. การควบคุมแบบค้นหาประวัติเหตุการณ์ที่เกิดขึ้น (Detective Control)
  3. การควบคุมแบบแก้ไขปัญหาจากเหตุการณ์ที่เกิดขึ้น (Corrective Control)

IT Auditor ควรจะพิจารณาการควบคุม (Control) ไปพร้อมๆกันทั้ง 3 มุมมอง ได้แก่

  1. มุมมองทางด้านการบริหารจัดการ (Administrative Control)
  2. มุมมองทางด้านเทคนิค (Technical Control)
  3. มุมมองทางด้านกายภาพ (Physical Control)

IT Auditor ต้องมีความรู้ความเข้าใจในขั้นตอนกระบวนการตรวจสอบระบบสารสนเทศ (IT Audit Process) ตลอดจนมีความรู้ด้านเทคนิคเชิงลึก (IT Audit Technical Know-how) ในระบบที่ต้องเข้าไปตรวจสอบ เราสามารถแบ่งประเภทของงานตรวจสอบระบบสารสนเทศออกเป็น 7 ประเภทใหญ่ๆ ดังนี้

  1. การตรวจสอบระบบปฏิบัติการ (NOS Audit) เช่น การตรวจสอบระบบ Server ที่ใช้ MS Windows เช่น Windows NT, Window 2000 Server ตลอดจน Workstation ที่ใช้ Windows XP เป็นต้น การตรวจสอบควรจะครอบคลุมถึงระบบปฏิบัติการอื่นด้วย เช่น การตรวจสอบระบบปฏิบัติการ Unix เช่น Sun Solaris, HP/UX, IBM AIX และ ระบบปฏิบัติการ Linux ที่ได้รับความนิยมเพิ่มขึ้นเรื่อยๆ
  2. การตรวจสอบอุปกรณ์เครือข่าย (Network Devices Audit) เช่น การตรวจสอบ Router, การตรวจสอบ Switching และ การตรวจสอบ Remote Access Server ตลอดจน การตรวจสอบโครงสร้างของเครือข่าย (Network Infrastructure Audit) และ ประสิทธิภาพของเครือข่าย (Network Performance Audit) โดยใช้โปรแกรมตรวจสอบประเภท Packet Sniffer หรือ RMON Probe เป็นต้น
  3. การตรวจสอบอุปกรณ์รักษาความปลอดภัย (Security Devices Audit) เช่น การตรวจสอบ Firewall, การตรวจสอบ Intrusion Detection System (IDS), การตรวจสอบ Intrusion Prevention System (IPS), การตรวจสอบโปรแกรม Enterprise Anti-Virus, การตรวจสอบ VPN Server เป็นต้น การตรวจสอบอุปกรณ์รักษาความปลอดภัยนั้นเป็นสิ่งที่มีความจำเป็นอย่างสูง เพราะถ้าอุปกรณ์รักษาความปลอดภัยมีปัญหาเสียเอง หรือโดน Hacker เจาะเข้ามา compromised ก็จะทำให้เกิดปัญหากับความปลอดภัยของระบบโดยรวม ผู้ตรวจสอบควรเป็นผู้ชำนาญงานด้านการใช้งาน Firewall หรือ IDS/IPS มาก่อนด้วยจะช่วยได้มาก
  4. การตรวจสอบโปรแกรมฐานข้อมูล (RDBMS Audit) เช่น การตรวจสอบ Oracle, IBM DB2, Microsoft SQL Server, Informix, SYBASE หรือ MySQL RDBMS การตรวจสอบโปรแกรมฐานข้อมูลควรกระทำควบคู่ไปกับการตรวจสอบระบบปฏิบัติการที่โปรแกรมฐานข้อมูลทำงานอยู่ เช่น Oracle ทำงานบน Unix เป็นต้น เพื่อที่จะเจาะลึกลงไปในด้านความปลอดภัยของตัวโปรแกรมฐานข้อมูลเองว่ามีช่องโหว่หรือไม่ ผู้ตรวจสอบควรเป็นผู้เชี่ยวชาญการใช้งานโปรแกรมฐานข้อมูลนั้นๆมาก่อน เพราะการตรวจสอบต้องใช้ความรู้เชิงลึกทางด้าน RDBMS ด้วย
  5. การตรวจสอบโปรแกรมประยุกต์และโปรแกรมที่ให้บริการในลักษณะ Server (Application Specific Audit) เช่น การตรวจสอบ Web Server IIS บน Microsoft Windows Platform และ การตรวจสอบ Web Server Apache บน Unix/Linux Platform ซึ่งทั้ง 2เป็นโปรแกรม Web Server ยอดนิยมอยู่ในขณะนี้ นอกจากการตรวจสอบ Web Server แล้ว IT Auditor ควรตรวจสอบ Mail Server, FTP Server, LDAP Server, RADIUS Server ตลอดจน DNS Server ซึ่งถือเป็นหัวใจหลักของระบบ หาก DNS Server มีปัญหาจะทำให้ระบบไม่สามารถอ้างอิง Hostname ได้ ซึ่งจะก่อให้เกิดปัญหาใหญ่กับระบบโดยรวม
  6. การตรวจสอบกระบวนการบริหารจัดการควบคุมด้านสารสนเทศ (Administrative Control) จากข้อ 1 ถึง ข้อ 5 เป็นการตรวจสอบในมุมมองทางด้านเทคนิค (Technical Control) การตรวจสอบในมุมมองการบริหารจัดการนั้น ได้แก่ การตรวจสอบ Policy, Standard, Guideline และ Procedure ที่องค์กรมีอยู่ว่าครอบคลุม และ มีการปฏิบัติตามหรือไม่ ในขั้นตอนนี้รวมถึงการตรวจสอบว่าองค์กรมีการจัดฝึกอบรมด้านการรักษาความปลอดภัย (Security Awareness Training) หรือไม่ ซึ่งตามปกติควรจะ มีเป็นประจำทุกปี การตรวจสอบการบริหารจัดการนั้นต้องพิจารณาจากโครงสร้างหน่วยงาน, การแบ่งแยกหน้าที่ต่างๆในหน่วยงาน, การจัดทำแผนสำรองฉุกเฉิน และแผนรับเหตุการณ์ (Business Continuity Planning, Disaster Recovery Planning and Incident Response Procedure) ตลอดจนการควบคุมการเปลี่ยนแปลงระบบงาน (Change Control Management)
  7. การตรวจสอบด้านกายภาพ (Physical Control) ได้แก่ การตรวจสอบระบบควบคุมการเข้า-ออกศูนย์คอมพิวเตอร์, การตรวจสอบ Hardware ระบบ Backup/Restore และ ระบบไฟสำรอง เช่น มี UPS เพียงพอหรือไม่ การตรวจสอบอุปกรณ์เฝ้าระวัง เช่น กล้องวงจรปิด (CCTV) เป็นต้น

ISMF ขั้นตอนที่ 6 นั้นเป็นขั้นตอนที่สำคัญและต้องการบุคลากร IT Auditor ที่มีประสบการณ์และมีความรู้จริงในการตรวจสอบระบบ เพื่อให้ผลจากการตรวจสอบเข้าใกล้ความเป็นจริงมากที่สุด เพราะปัญหาส่วนใหญ่ในการตรวจสอบระบบสารสนเทศ ก็คือ IT Auditor ยังขาดประสบการณ์เพราะความรู้ เทคนิคยังไม่ลึกพอที่จะเข้าไปตรวจสอบระบบ เช่น

  • ความรู้ด้าน Vulnerability Assessment และ Penetration Testing ในลักษณะ Ethical Hacking หรือ White Hat Hacking
  • ความรู้พื้นฐานทางด้านเครือข่าย เช่น ISO OSI Layer Model, TCP/IP Protocol Suite
  • ความรู้การใช้งานระบบปฏิบัติการพื้นฐาน คือ Microsoft Windows และ Unix/Linux
  • ความรู้พื้นฐานในการใช้งานอุปกรณ์เครือข่าย Router หรือ Switching ซึ่ง IT Auditor ควรมีความรู้พื้นฐานในระดับ CCNA (Cisco Certified Network Associate)
  • ความรู้ทางด้านความปลอดภัยข้อมูล เช่น Concept ของ CIA TRIAD (Confidentiality, Integrity and Availability), การทำงานของ Firewall และ IDS ในบริเวณ Network Perimeter ขององค์กร ตลอดจนวิธีการบุกรุกของ Hacker และ การทำงานของ Virus

ดังนั้น IT Auditor ควรจะมี CISA Certification เพื่อแสดงถึงความรู้ในด้าน IT Audit Process แล้ว ก็ควรจะมีความรู้พื้นฐานทางด้านเทคนิคด้วย ทั้งด้านระบบเครือข่ายและระบบปฏิบัติการที่ตนเองต้องเข้าไปตรวจสอบ ทางแก้ปัญหาในเชิงบูรณาการก็คือ IT Auditor ต้องเข้ารับการฝึกอบรมทางด้านเทคนิคเพิ่มเติม หรือ หาความรู้เพิ่มด้วยตนเองจากการติดตามข่าวสารเทคโนโลยีด้านความปลอดภัยใหม่ๆอยู่ตลอดเวลา เพื่อให้ทันกับยุคที่การสื่อสารไร้พรมแดน และ ภัยอินเตอร์เน็ต ไม่ว่าจะเป็น Hacker และ Virus ที่นับวันจะทวีความรุนแรงมากขึ้น ในโลกยุค Digital ที่มีความเปลี่ยนแปลงอยู่ตลอดเวลา

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนเมษายน 2547
Update Information : 25 มีนาคม 2547

, , , , , , , , , ,
Messenger
Messenger