by A.Pinya Hom-anek, CISSP
กล่าวถึง Domain ที่ 6 ของ Common Body of Knowledge (CBK) ได้แก่ Operation Security เนื้อหาความรู้ใน Domain นี้มีรายละเอียดค่อนข้างกว้าง ครอบคลุมถึงเรื่องของการตรวจสอบ (IT Audit) ซึ่งเป็นเนื้อหาเดียวกับที่ใช้สอบ CISA (Certified Information Systems Auditor) Operation Security นั้นเป็นเรื่องของวิธีการควบคุมการทำงานของอุปกรณ์และกำลังคน ตลอดจนทรัพยากรต่างๆอย่างเป็นระบบ การตรวจสอบและการเฝ้าดูการทำงานของระบบ IT และ INFOSEC (Auditing and Monitoring) รวมทั้งการกำหนดสิทธิ์ (Privileges) ในการใช้งานระบบ เป็นต้น

เนื้อหาหลักๆ ใน Domain นี้ จะประกอบด้วยเรื่อง Administrative Management, Concepts, Control Type, Operation Control, Resource Protection, Auditing, Audit trails, Monitoring Tools and Techniques, Intrusion Detection System, Penetration Testing, Inappropriate Activates, Threat & Countermeasures และ Violation, Breaches and Repeating รวมทั้งหมด 13 เรื่องที่จำเป็นต้องเข้าใจเพื่อนำไปสอบ CISSP (Certified Information System Security Professional) และใช้ในการทำงานจริงในองค์กร ผมขอกล่าวในรายละเอียดดังนี้
Administrative Management จะครอบคลุมถึงเรื่องการรับสมัครพนักงานเช่นเรื่อง Job Requirement / Specification, Background Checking (การตรวจสอบประวัติ) การแบ่งแยกหน้าที่ในการทำงาน (Separation of Duties) การกำหนดสิทธิให้น้อยที่สุดเพื่อที่จะสามารถทำงานที่กำหนดให้เท่านั้น (Least Privilege) การสลับเปลี่ยนหน้าที่ในการทำงาน (Job Rotation) การบังคับให้พนักงานหยุดพักงานเพื่อการตรวจสอบภายใน (Taking of Vacation) รวมทั้งขั้นตอนปฏิบัติเมื่อพนักงานลาออก (Terminations)
Operation Security Concept นั้นจะกล่าวถึงเรื่องการจัดการกับ Computer Virus การสำรองข้อมูลที่มีความสำคัญ พื้นฐานของหลักการ Need-to-know และ Least Privilege ความแตกต่างระหว่าง Due Care และ Due Diligence การตรวจสอบ Fraud และการทำ Record Retentions เป็นต้น

เรื่องของ Control ก็เป็นเรื่องสำคัญที่เราต้องรู้ถึงความแตกต่างของ Control ทั้ง 5 แบบ ได้แก่ Directive, Preventive, Detective, Corrective และ Recovery Control (เนื้อหาในส่วนนี้ใช้ในการสอบ CISA ได้ด้วย) เรื่อง Change Control Management เป็นเรื่องสำคัญในการทำงานโดยเฉพาะการทำงานของธนาคารและสถาบันการเงินโดยทั่วไป การป้องกัน Password files, Main Storage และ System Log ก็เป็นเรื่องที่เราต้องทราบเช่นกัน

ในเรื่องของการตรวจสอบ (Auditing) จะประกอบไปด้วย Compliance Checks, Standard of Due Care, Audit Trail การกำหนดให้หนึ่งผู้ใช้ต่อหนึ่งรหัสผ่าน (Individual Accountability) การตรวจสอบเหตุการณ์หลังการถูก Compromise (การถูก Hack) ขั้นตอนในการตรวจสอบ Log จากระบบ IDS การทำ Sampling การวางแผนเรื่อง Availability ของระบบ การ Monitor Event แบบ Real time โดยการใช้เทคนิคต่างๆ เช่นขึ้น Banner มาเตือน (Warning Banner) การตรวจจับการกด Keyboard การวิเคราะห์ Trafficโดยใช้ Sniffer การวิเคราะห์ Trend หาแนวโน้มของการ attack ตลอดจนการใช้อุปกรณ์ในการตรวจจับเช่น CCTV (Closed Circuit Television) รูปแบบในการ Report เหตุการณ์ในแบบต่างๆ เทคโนโลยี IDS (Intrusion Detection System) เป็นเรื่องที่ถูกนำมาออกข้อสอบด้วยเช่นกัน โดยจะกล่าวถึงรูปแบบของ IDS เช่น การวิเคราะห์ Pattern ของการจู่โจม การวิเคราะห์ความผิดปกติในการใช้งานระบบ (Anomaly Identification) การวิเคราะห์ Signature ของการจู่โจมในแบบต่างๆ

การเจาะระบบเพื่อตรวจสอบดูว่าเรามีช่องโหว่หรือไม่นั้น เป็นเรื่องสำคัญที่เราเรียกว่า “Penetration Testing Technique” เช่น การใช้โปรแกรมสุ่มหมุนโทรศัพท์ (War Dialing) การใช้ Sniffer การลุยค้นข้อมูล (Dumpster Diving) ตลอดจนวิธีการหลอกลวงผู้แลระบบให้หลงเชื่อ ที่เราเรียกว่า “Social Engineering” การทำงานที่ไม่ปกติในรูปแบบต่างๆ ที่ก่อให้เกิดความเสียหายให้แก่ระบบไม่ว่าจะเป็น Fraud, Collusion, Abuse เราควรทราบถึงความแตกต่างของคำศัพท์เหล่านี้

ภัยที่มาจากอินเทอร์เน็ต (Internet Threat) ในรูปแบบต่างๆเราเรียกว่า External Threat หรือภัยจากพนักงานในองค์กรของเราเอง (Internal Threat) การจู่โจมของ Hacker และ Cracker การจารกรรม (Espionage) การก่อวินาศกรรม (Sabotage) ตลอดจนการทำงานของ Virus ในรูปแบบของ Malicious Mobile Code ก็ถูกนำมาออกข้อสอบเช่นกัน
เรื่องสุดท้ายเป็นเรื่องของการฝ่าฝืนกฎเกณฑ์ในรูปแบบต่างๆ เช่น Violation หรือ Breach เป็นต้น เราควรมีความรู้หรือประสบการณ์ในเรื่องเหล่านี้มาบ้างจะทำให้เราเกิดความเข้าใจเวลาไปทำข้อสอบและ เวลาไปปฏิบัติงานจริง ดังนั้นจะเห็นได้ว่าการสอบ CISSP นั้นต้องการวัดเราทั้งภาคทฤษฎี และประสบการณ์จากการปฏิบัติงานจริงๆด้วย ในฉบับหน้าผมจะกล่าวถึงความรู้ CBK ใน Domain ที่ 7 ได้แก่ Business Continuity Planning (BCP) และ Disaster Recover Planning (DRP) ต่อไปนะครับ สวัสดีครับ

จาก : หนังสือ eWeek Thailand
ปีที่ 10 ฉบับที่24 ประจำเดือนธันวาคม 2545 (ปักหลัง)
Update Information : 6 ธันวาคม 2545