by A.Pinya Hom-anek, GCFW, CISSP, CISA
ACIS Professional Team

รูปที่ 1

หลังจากที่เราได้ปฏิบัติตาม ISMF (ดูรูปที่ 1) ในขั้นตอนที่ 1 และ 2 คือ Risk Management / Vulnerability Assessment / Penetration Testing และ Critical Hardening/Patching/Fixing แล้ว (อ่านย้อนหลังได้ใน eLeader 2 ฉบับก่อนหน้านี้ หรือใน Web Site: www.acisonline.net) เราจะเข้าสู่ขั้นตอนที่ 3 คือ “Practical Information Security Policy” ซึ่งเป็นขั้นตอนที่มีความสำคัญกับองค์กรอย่างมากในการจัดการกับระบบรักษา ความปลอดภัยข้อมูลคอมพิวเตอร์อย่างได้ประสิทธิผลในการปฏิบัติจริง เพราะหากองค์กรไม่มีการกำหนด “นโยบายการใช้งานคอมพิวเตอร์และอินเทอร์เน็ตอย่างปลอดภัย” ก็จะทำให้ระบบยังคงมีปัญหาได้ อาทิ ระบบติดไวรัส, แฮกเกอร์ใช้ Trojan Horse เจาะเข้าระบบจากความผิดพลาดของผู้ใช้งาน (User) ที่โดนแฮกเกอร์ใช้เทคนิค “Social Engineering” เจาะเข้ามา เป็นต้น ไม่ว่าเราจะติดตั้ง Firewall, IDS ตลอดจน Anti Virus Software อย่างเต็มระบบแค่ไหน ก็เป็นเพียงการป้องกันในระดับเทคนิค (Technical Level) เท่านั้น (ดูรูปที่ 2) เรายังขาดการป้องกันในระดับบริหารจัดการ (Administrative Level) ซึ่งหมายถึงเรื่อง Policy , Standard, Guideline และ Procedure ที่ต้องถูกนำมาใช้เป็นนโยบายใน การปฏิบัติของผู้ใช้ IT ในองค์กร

(ดูรูปที่ 2)

โดยปกติแล้วองค์กรมักจะนิยมเขียนนโยบายด้านความปลอดภัยข้อมูลคอมพิวเตอร์ โดยอิงจากมาตรฐาน BS ISO/IEC 17799:2000 (ดูรูปที่ 3) ซึ่งประกอบไปด้วยหัวข้อต่างๆ 10 เรื่อง โดยเน้นในรูปของภาพรวมไม่เจาะลึกด้านปฏิบัติ

(ดูรูปที่ 3)

ดังนั้นในบางองค์กรเช่น ธนาคารหรือสถาบันการเงิน อาจนำหลักการด้านนโยบายจากหน่วยงานอื่นที่ไม่ใช่ ISO มาเป็นต้นแบบก็ได้ เช่น มาตรฐาน CobiT (Control Objectives for Information and Related Technology) Framework ของ สถาบัน IT Governance Institute (www.itgi.org) ซึ่งเน้นในการตรวจสอบโดยผู้ตรวจสอบด้าน Information System โดยตรงคือ CISA (Certified Information System Auditor) ที่ได้รับการรับรองจากสถาบัน ISACA (www.isaca.org) ซึ่งเป็นผู้ที่ช่วยกำหนดมาตฐานในการตรวจสอบ (Audit) ระบบ Information System ตามขั้นตอนและอ้างอิงมาตรฐาน CobiT
นอกจาก BS ISO/IEC 17799:2000 และ CobiT แล้วก็ยังมีแนวทางการกำหนดนโยบาย ด้านการรักษาความปลอดภัยระบบ คอมพิวเตอร์อีกจาก 2 หน่วยงานที่มีบทบาทสำคัญ และเน้นการนำไปใช้งานจริง กล่าวคือ เป็น Information Security Policy ที่ได้รับการขัดเกลาและประยุกต์แล้ว ได้แก่ CBK (Common Body of Knowledge) ดูรูปที่ 4 จาก ISC2.org และ SANS/FBI Top 20 ของ SANS Institute ซึ่งร่วมมือกับ FBI (รายละเอียดเพิ่มเติมที่ www.sans.org/top20)

(ดูรูปที่ 4)

CBK นั้น เป็นองค์ความรู้ที่ สำคัญ และ จำเป็น ในการกำหนดนโยบายด้านความปลอดภัยระบบข้อมูลคอมพิวเตอร์ คิดค้นขึ้นโดยสถาบัน (ISC)2 (www.isc2.org) ผู้ที่ต้องการศึกษาอย่างลึกซึ้ง ควรลองเข้าไปสอบ CISSP (Certified Information Systems Security Professional) ซึ่งเป็นใบรับรอง (Certificate) ที่จะทำให้เรามีความเข้าใจลึกซึ้งใน CBK ทั้ง 10 โดเมน มากขึ้นและสามารถนำมาใช้ในภาคปฏิบัติกับองค์กรของเราได้อย่างดี
ส่วน SANS/FBI Top 20 Vulnerabilities นั้นเหมาะสำหรับผู้ดูแลระบบหรือ System Administrator ที่จะนำไปใช้กับ Platform ที่ตนเองดูแลอยู่ ได้แก่ UNIX Platform Top 10 Vulnerabilities และ Windows Platform Top 10 Vulnerabilities
ความหมายของ Policy หมายถึง นโยบายในภาพรวมที่กระชับและได้ใจความ เรียกว่า “Goal” หรือ เป้าหมายที่เราต้องการบรรลุ , Standard หมายถึง มาตรฐานที่ต้องบังคับในการปฏิบัติจริง เช่น รหัสผ่านต้องมีความยาวไม่ต่ำกว่า 8 ตัวอักษร เป็นต้น , Guideline หมายถึง แนวทางในการปฏิบัติที่ไม่ได้บังคับ แต่แนะนำเพื่อให้ผู้ปฏิบัติให้สามารถบรรลุเป้าหมายได้ง่ายขึ้น และ Procedure หมายถึง รายละเอียดปลีกย่อยเป็นข้อ ๆ ที่ต้องนำมาปฏิบัติเพื่อให้ได้มาซึ่ง Standard ที่ได้วางไว้ (ดูรูปที่ 5)

(ดูรูปที่ 5)

การกำหนดรายละเอียดของนโยบายด้านการรักษาความปลอดภัยระบบข้อมูลคอมพิวเตอร์ จึงต้องประกอบไปด้วย 4 ส่วนหลักๆ นี้ใน การพัฒนารายละเอียดต่างๆ ในนโยบาย ซึ่งนโยบายของแต่ละองค์กรอาจจะไม่เหมือนกัน ขึ้นกับการทำงานด้าน Information System ขององค์กรนั้นๆ อาทิ พฤติกรรมของผู้ใช้งาน, ทิศทางของผู้บริหารระดับสูงด้าน Information System หรือ Platform ที่เลือกใช้ อาจต้องมีการกำหนด “Best Practices” ให้กับ Platform ที่เราใช้อยู่โยเฉพาะ เช่นเราใช้ “Apache” เป็น Web Server อยู่เราก็ใช้ “Best Practices” สำหรับ Web Server Apache โดยเฉพาะ ซึ่งก็จะมีรายละเอียดและข้อกำหนดต่างๆ ที่เราสามารถนำไปจัดการใช้กับ Web Server ได้ในทางปฏิบัติ
จะเห็นได้ว่า เราไม่สามารถนำ Information Security Policy จากสถาบันต่างๆ ดังได้กล่าวมาแล้วทั้ง 4 สถาบัน มาใช้งานได้ทันที เนื่องจาก เราต้องมีการประเมินสถานการณ์ความเสี่ยงขององค์กรเราเสียก่อน ซึ่งก็คือขั้นตอนที่ 1 ของ ISMF (Risk Management / Vulnerability Assessment / Penetration Testing) นั่นเองหากปราศจากขั้นตอนนี้ แล้วเรามาทำนโยบายก่อน จะทำให้เราขาดข้อมูลประกอบการตัดสินใจในการกำหนดนโยบายให้ใช้งานได้จริง เพราะฉะนั้น การกำหนดนโยบายต้องทำภายหลังจากการประเมินความเสี่ยงแล้ว
ปัญหาใหญ่ๆ อีกอย่างหนึ่งสำหรับองค์กรที่มีนโยบายที่ดีและได้ลงทุนลงแรงไปมากกับการพัฒนานโยบายความปลอดภัยข้อมูล คอมพิวเตอร์ หน่วยงานบางแห่งใช้เวลามากกว่า 2 ปีในการทำงานนโยบาย แต่กลับพบว่าเมื่อได้คลอดนโยบายออกมาเป็นรูปธรรม เพื่อให้คน IT ในองค์กรได้ปฏิบัติ แล้ว ผลลัพธ์ออกมาไม่เป็นอย่างที่คาดหวังไว้ เพราะหลายๆ คนไม่ยอมทำตามนโยบาย บางคนอ่านแล้วไม่เข้าใจ บอกว่าศัพท์เทคนิคมากเกินไป บางคนบอกว่าไม่ตรงกับงานที่รับผิดชอบอยู่นำมาใช้งานจริงไม่ได้ เป็นต้น ทางแก้ปัญหาที่ถูกต้องคือ ต้องมีการทำ Security Awareness Training ให้กับผู้ใช้ IT เสียก่อน ตั้งแต่ระดับผู้บริหารกระทั่งถึง ระดับผู้ใช้ทั่วไป เพื่อให้มีความตระหนักถึงภัยจากการใช้งานอินเทอร์เน็ตอย่างไม่ระมัดระวังและไม่ถูกต้อง (ซึ่งผมจะกล่าวถึงใน ISMF ขั้นตอนที่ 5 ต่อไปในรายละเอียด)

ในฉบับหน้าเราจะมาดูรายละเอียดของ ISMF ในขั้นตอนที่ 4 คือ “Defense In-Depth / Best Practices Implementation” ว่ามีรายละเอียดอย่างไรบ้าง อย่าลืมติดตามนะครับ สวัสดีครับ

จาก : หนังสือ eLeader Thailand
ฉบับที่179 ประจำเดือนมกราคม 2546
Update Information : 24 ธันวาคม 2546