by A.Pinya Hom-anek, CISSP

ก่อนอื่นผมต้องขอบอกข่าวดีให้กับท่านผู้อ่านที่มีความประสงค์ต้องการสอบ Certified Information System Security Professional “CISSP” ของหน่วยงาน ISC2 จากสหรัฐอเมริกา โดยปกติแล้วผู้สอบหรือ CISSP Candidate จะต้องเดินทางไปต่างประเทศเพื่อสอบตามประเทศเพื่อนบ้าน เช่น ประเทศสิงคโปร์ ,มาเลเซีย, หรือฮ่องกง ซึ่งมีค่าใช้จ่ายในหลักหมื่นบาท (ไม่รวมค่าสอบ 450 US$ นะครับ) ข่าวดีก็คือ ISC2 ตกลงที่จะมาจัดสอบ CISSP ในประเทศไทย ในช่วงต้นปี 2003 นี้ ท่านผู้อ่านท่านใดสนใจก็สามารถแสดงความจำนงค์ (โดยไม่เสียค่าใช้จ่าย ๆ ทั้งสิ้นยกเว้นค่าสอบที่ต้องจ่ายตรงให้กับ ISC2 อยู่แล้ว) ได้ที่www.acisonline.net ครับ

ความรู้พื้นฐานที่สำคัญที่ใช้เป็นหลักในการสอบ CISSP ก็คือ CBK (Common Body of Knowledge) ผมได้กล่าวถึง CBK ไปแล้วทั้งหมด 6 DOMAIN ใน e-week ฉบับก่อน ๆ ในตอนนี้ เราจะมาพูดถึง CBK DOMAIN 7 และ 8 ได้แก่ “BUSINESS CONTINUITY PLANNING” (BCP) , “DISASTER RECOVERY PLANNING” (DRP) และ “PHYSICAL SECURITY”

เรื่องของ BCP และ DRP นับวันจะยิ่งมีความสำคัญมากขึ้นเรื่อย ๆ จากเดิมที่เคยอยู่ในวงการ Bankingหรือ Finance ตลอดจนศูนย์คอมพิวเตอร์ขององค์กรต่าง ๆ ปัจจุบันกลายเป็นเรื่องที่ทุกองค์กรที่มี File, Server, Application Server หรือ Database Server ต้องให้ความสำคัญกับเรื่องนี้ เนื่องจากธุรกิจ หรือ ธุรกรรมต่าง ๆ ของเราต้องพึ่งพาอาศัย ICT แทบทั้งสิ้น ข้อมูลทุกอย่างล้วนถูก Digitized เก็บเป็นรูปแบบลักษณะเชิงเลข Binaryที่มีแต่ 0 กับ 1 ในอนาคตเราต้องฝากความหวังไว้กับ High-End Storage และ ระบบ Clustered Server ที่ค่อนข้างจะเชื่อถือได้ และ มี Availability ให้กับเราเสมอ แต่ในความเป็นจริงแล้ว ไม่มีระบบใด ในโลกนี้ที่จะไม่มีการ Down หรือ หยุดทำงาน เนื่องจากทุกวันนี้ เราต้องยอมรับว่ามี ภัย (Threat) ทั้งภายใน และภายนอก (Internal Threat and External Threat) ที่จะทำให้ระบบของเราต้องหยุดทำงาน

BCP ย่อมาจาก “BUSINESS CONTINUITY PLANNING” คือ แผนที่จะทำให้ธุรกิจดำเนินต่อไปได้แม้อยู่ในสถานะการณ์คับขัน ขั้นตอนแรกของ BCP หรือ DRP ก็คือ เราต้องประเมินความเสี่ยง (Risk Evaluation) ให้กับระบบของเรา โดยสำรวจที่มาของ Threat ต่าง ๆ ทั้งภายในและภายนอก แล้วแบ่งแยกเป็น Primary Threat และ Secondary Threat จากนั้นต้องหาวิธีที่จะทำอย่างไร ที่จะลดความเสี่ยงให้น้อยที่สุดเท่าที่จะทำได้
BIA หรือ “BUSINESS IMPACT ASESSMENT” คือ การประเมินผลกระทบกับธุรกิจหากมี DISASTER เกิดขึ้น DISASTER มีความแตกต่างจาก NON-DISASTER กล่าวคือ NON-DISASTER เป็นการที่ระบบหยุดทำงาน เนื่องจาก ความผิดพลาดบางประการของระบบเองโดยมีผลกระทบกับระบบบางส่วน เราต้องมีการเตรียมการรองรับเหตุการณ์ เพื่อให้ระบบของเราสามารถทำงานต่อได้โดยไม่สะดุด แต่ DISASTER ตัวอย่างเช่น ไฟไหม้ หรือน้ำท่วม นั้นทำให้ระบบของเราหยุดทำงานไปทั้งระบบ และ เป็นระยะเวลานานซึ่งอาจต้องใช้ OPERATION PROCESSING FACILITY สำรอง แทนระบบจริงที่ยังไม่สามารถใช้งานได้ ซึ่งเรามักจะเรียกว่า “OFFSITE BACKUP” ได้แก่ HOT SITE, WARM SITE และ COLD SITE ทั้งนี้ขึ้นกับงบประมาณ และลักษณะธุรกิจว่าจะเลือกใช้วิธีไหน

DRP หรือ DISASTER RECOVERY PLANNING เป็นแผนที่จะต้องเตรียมไว้ในการกู้ระบบในกรณีที่ระบบล่ม (System Down) โดยรายละเอียดจะกล่าวถึง Emergency Response Procedure, Extended Backup Operation, และ Restoring Computing Facilities นอกจากเรื่องของ Hot Site/Cold Site แล้ว เราควรศึกษาอีก 3 เรื่องได้แก่ Electronic Vaulting, Mirror Processingและ HSM (Hierachial Storage Management) ซึ่งก็เป็นทางเลือกในการ Backup ระบบเช่นกัน คำศัพท์ต่าง ๆเกี่ยวกับ CBK DOMAIN 7 ที่เราควรทราบตัวอย่างเช่น Catastrophes, Contingent Events เป็นต้น

มาดู CBK DOMAIN 8 กันบ้าง ได้แก่ เรื่องของความปลอดภัยทางด้านกายภาพหรือ “PHYSICAL SECURITY” DOMAIN นี้จะไม่เกี่ยวกับ IT โดยตรง แต่จะกล่าวรวมไปถึงเรื่องของ รั้ว , ประตู, ยามรักษาการ (แม้กระทั่งสุนัขเผ้ายาม) , เครื่องดักควัน , เครื่องดับเพลิง, กล้องวงจรปิด (CCTV) ตลอดจน พวก MOTION DETECTORS และ SENSORS ต่าง ๆ ซึ่งเราจำเป็นต้องมีความรู้ในวงกว้างถึงจะสามารถผ่านการทดสอบใน DOMAIN นี้ไปได้ เราควรศึกษาเรื่องการดับเพลิงในอาคาร โดยใช้การ HALON หรือ ใช้น้ำดับเพลิง (ประเภท WET PIPE หรือ DRY PIPE) ตลอดจน Threat ที่มีต่อ Physical Security ในรูปแบบต่าง ๆ เช่น ไฟไหม้ ,น้ำท่วม, พายุ, ผู้บุกรุก, หรือการก่อวินาศกรรม เป็นต้น จากนั้นควรรู้วิธีในการป้องกันปัญหาแก้ปัญหาสำหรับ Threat ในลักษณะต่าง ๆ ยกตัวอย่าง เรื่องของ Surveillance Devicesมีอยู่ 3 ประเภท ได้แก่ Guards, Dogs และ Visual Recording Devicesทั้ง 3 ประเภทนั้น มีลักษณะแตกต่างกันอย่างไร เราควรทราบเพื่อที่จะนำไปประยุกต์ในการใช้ปฏิบัติงานจริง การใช้ Carbondioxide หรือ Halon 1301 ในการดับเพลิง มีความแตกต่างจากการใช้ FM-200 หรือ HFC-227 อย่างไร เราก็ควรจะศึกษาความรู้ในเรื่องการใช้สารเคมีในการดับเพลิงเพิ่มเติมด้วย

จะเห็นว่าการสอบวัดความรู้เพื่อเป็น CISSP นั้น ไม่ใช่เรื่องเกี่ยวกับ IT หรือ INFOSEC เท่านั้น แต่เราต้องรู้ครอบคลุมถึงทุกอย่างที่เป็นระบบรักษาความปลอดภัยด้วย เพราะในชีวิตจริงใน Physical Security เป็นเรื่องที่เราต้องประสบอยู่ทุกวันอยู่แล้ว ในฉบับหน้าผมจะกล่าวถึงเรื่องของ CBK DOMAIN 9 และ 10 ได้แก่ “Security Management Practices” และ “Law, Investigations, & Ethics” เป็นตอนสุดท้ายใน CBK Series นี้นะครับ

จาก : หนังสือ eWeek Thailand
ปีที่ 10 ฉบับที่25 ประจำเดือนมกราคม 2546 (ปักแรก)
Update Information : 17 ธันวาคม 254