by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center

รูปที่ 1

จาก บทความในสองตอนที่แล้วนั้นทำให้เราทราบว่าโมเดล ISMF Version 2 นั้นประกอบไปด้วย 4 งานหลัก (Plan, Do, Check, Act ) (ดูรูปที่ 1) และ แต่ละงานหลักมี 4 งานย่อย (รูปทรงกราฟวงกลมที่อยู่ถัดจากชื่องานหลัก) รวมทั้งหมด 16 งานย่อยซึ่งแต่ละงานย่อยนั้นก็จะมีเนื้องานที่แตกต่างกันออกไป สำหรับบทความในครั้งนี้จะอธิบายถึงงานต่างๆที่อยู่ใน ส่วนที่ 2 (Do) ได้แก่ การนำแผนที่วางไว้มาปฏิบัติ ซึ่งเป็นงานหลักที่ต้องทำต่อจาก ส่วนที่ 1 (Plan) คือ ส่วนของการวางแผนด้านการรักษาความปลอดภัยของข้อมูล (Plan)
สำหรับ งานย่อยในส่วนของการนำแผนที่วางไว้มาปฏิบัติ (Do) ดูรูปที่ 2 ถึงแม้ว่าจะมีการวางแผนอย่างดีเพียงใด แต่หากปราศจากการดำเนินการปฏิบัติจริงอย่างเหมาะสมแล้ว โครงการคงไม่สามารถประสบความสำเร็จได้ ดังนั้นในขั้นตอนนี้จึงมีการนำผลลัพท์จากขั้นตอนที่ผ่านมาคือ Information Security Master Plan มาใช้เป็นแนวทางปฏิบัติ โดยแบ่งเป็นการทำงานในเชิงเทคนิค และ เชิงนโยบายรวมทั้งสิ้น 4 งานย่อยดังนี้

1. Hardening หมายถึง การปิดช่องโหว่ของระบบทั้ง 3 ด้าน คือ Hardening People, Process และ Technology
2. Defense In-Depth หมายถึง การสร้างความปลอดภัยให้แก่ระบบแบบหลายระดับ ไม่ว่าจะเป็น DMZ, Network Gateway รวมไปถึง Host และ Application
3. Information Security Policy Development หมาย ถึง การพัฒนานโยบายด้านการรักษาความปลอดภัยของข้อมูล ซึ่งจะเป็นเส้นทางในการถ่ายทอดนโยบายด้านการรักษาความปลอดภัยของข้อมูลของ องค์กรจากผู้บริหารระดับสูง มาสู่แนวทางและวิธีการปฏิบัติด้านการรักษาความปลอดภัยของข้อมูลที่ถูกต้อง ให้แก่พนักงานทุกคนในองค์กร สอดคล้องตามมาตรฐาน ISO/IEC17799:2005 และ ISO/IEC 27001:2005
4. Incident Response and BCP/DRP Plan หมาย ถึง การสร้างแผนจัดการกับเหตุการณ์ที่ไม่คาดคิด และ แผนสำรองฉุกเฉิน เพื่อรับมือกับภัยต่างๆที่อาจจะเกิดขึ้นกับระบบ เพื่อจำกัดความเสียหายให้เหลือน้อยที่สุดเท่าที่องค์กรจะยอมรับได้

รูปที่ 2

ISMF version 2 ในส่วนที่ 2 (Do) นี้จะช่วยให้แผนที่วางไว้จาก ส่วนที่ 1 (Plan) สามารถ เกิดขึ้นจริงได้ในทางปฏิบัติ ซึ่งผลลัพธ์ของขั้นตอนนี้นั้นจะเป็นเอกสารต่างๆที่เกี่ยวข้องกับการดำเนิน งาน ได้แก่ นโยบายการรักษาความปลอดภัยข้อมูล (Information Security Policy Document) แผนสำรองฉุกเฉิน (BCP and DRP document) แผนรองรับเหตุที่การณ์ไม่คาดคิด (Incident Response Plan Document) เอกสารขั้นตอนรายละเอียดในการปิดช่องโหว่ของระบบ (Hardening Document) และ เอกสารรายละเอียดการจัดซื้อจัดจ้าง (Request For Proposal or RFP) 
สำหรับรายละเอียดของงานย่อยอีก 4 ขั้นตอนใน ISMF version 2 ส่วนที่ 2 (Do) มีรายละเอียดในแต่ละขั้นตอนดังนี้

1. Hardening ความ หมายของคำว่า “Hardening” หมายถึง กระบวนการในการรักษาความปลอดภัยให้กับระบบแบบลงลึกในรายละเอียด แบ่งออกเป็น 3 ส่วนสำคัญ คือ Hardening People, Process และ Technology มีรายละเอียดดังนี้1.1. ” Harden คน ให้มีความเข้าใจและตระหนักในเรื่องการรักษาความปลอดภัยข้อมูล“การ ฝึกอบรมทำความเข้าใจเรื่องภัยจากอินเตอร์เน็ต (Cyber Threat) หรือ ที่เรามักเรียกว่าการอบรม “Information Security Awareness Training” ซึ่งควรจะฝึกอบรมให้กับพนักงานทุกคนในองค์กรรวมทั้งผู้บริหารระดับสูง เป็นระยะๆ โดยปกติฝึกอบรมปีละสองครั้ง ครั้งละ 3 ถึง 6 ชั่วโมง จะทำให้ ผู้บริหาร และ พนักงานในองค์กรมีความเข้าใจ ตระหนักในเรื่องภัยต่างๆที่สามารถเกิดขึ้นได้ในระบบคอมพิวเตอร์ขององค์กร ซึ่งมีที่มาจากระบบอินเตอร์เน็ต เนื่องจากการรู้เท่าไม่ถึงการณ์ของพนักงาน หรือ เพราะองค์กรขาดนโยบายด้านความปลอดภัยข้อมูล (Information Security Policy)การ “Harden คน” หรือ “Harden People” ก็คือ การฝึกอบรม Information Security Awareness นั่นเอง การฝึกอบรมควรจัดทำให้ทั้งพนักงานที่เป็น IT staff และ Non-IT staff โดยเฉพาะ Non-IT staff นั้นควรเน้นเป็นพิเศษ โดยการแสดงให้เห็นถึงภัยอันตรายต่างๆที่มีผลกระทบกับตนเองและองค์กร เมื่อผู้บริหาร และ พนักงานมีความเข้าใจเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ในระดับหนึ่งก็ถือ ว่าเราได้ “Harden คน” สำเร็จไปขั้นหนึ่ง แต่การทำ Information Security Awareness Training นั้น จะต้องทำอย่างต่อเนื่องเป็นระยะๆเพื่อเป็นการกระตุ้นให้เกิดความตื่นตัว และ เกิดความเข้าใจถึงภัยแบบใหม่ๆ ที่สามารถเข้ามาทางระบบอินเตอร์เน็ตได้ ยกตัวอย่าง เช่น Phishing & Pharming Attack เป็นต้น1.2 ” Harden กระบวนการจัดการด้านการรักษาความปลอดภัยข้อมูลที่ถูกต้องตามมาตรฐานสากล “หมาย ถึง การนำเอา “Best practice” มาประยุกต์เป็น “Best Fit” ให้กับองค์กรตลอดจนการนำมาใช้ปฏิบัติจริงให้เกิดผลลัพธ์ที่ประเมินได้ชัดเจน ขั้นตอนนี้จริงๆ แล้วจำเป็นต้องมีนโยบายด้านการรักษาความปลอดภัยข้อมูลขององค์กรเสียก่อน (แต่ในหลายองค์กรยังไม่มี) โดยหลังจากการประเมินความเสี่ยงในส่วนของ “Plan” ใน ISMF Version 2 ทำให้เราทราบว่าจุดอ่อนขององค์กร (Vulnerability) ในเรื่องของกระบวนการการจัดการด้านการรักษาความปลอดภัยข้อมูลอยู่ที่ไหน โดยการนำ Checklist ที่เป็น “Best Practice” เช่น ISO/ IEC 27001:2005 หรือ CobiT Version 4 มาเป็นแนวทางในการทำ “Gap Analysis” และ “Risk Assessment” จากนั้นองค์กรควรปิดช่องโหว่ในกระบวนการที่ขาดหายไป หรือ แก้ไขช่องโหว่ในกระบวนการบริหารจัดการให้ดีขึ้นถูกต้องตามมาตรฐานสากล โดยอ้างอิงจากนโยบายด้านการรักษาความปลอดภัยข้อมูลขององค์กรดังที่กล่าวมา แล้ว (ถ้ามี) และถ้ายังไม่มีนโยบายก็ต้องทำการพัฒนานโยบายฯ นั้นขึ้นมาเสียก่อน โดยรายละเอียดจะอยู่ในขั้นตอนที่ 2.3
   การ “Harden กระบวนการ” หรือ “Harden Process” ก็คือการทำ “Configuration Management” “Change Management” และ “Release Management” ตามมาตรฐานสากล ITIL “IT Infrastructure Library” นั่นเอง ซึ่งเราอาจจะมีการเสริมด้วยมาตรฐานโดยการใช้ CobiT Version 4 ในส่วนของ DS (Delivery and Support) ก็จะช่วยให้มีรายละเอียดในการปฎิบัติมากขึ้น สำหรับ ITIL- CobiT Mapping ดูรูปที่ 3 และ 4 การเปลี่ยนแปลงกระบวนการ หรือ “Process Change” จำเป็นต้องได้รับการ “Approved” จากผู้บริหารด้วย หาไม่แล้วคงจะประสบความสำเร็จได้ยาก

รูปที่ 3

รูปที่ 4

1.3 การ ” Harden เชิงเทคนิค ”
ได้แก่ การปิดช่องโหว่ในระดับ Network Operating System เช่น Hardening Window 2000 Server หรือ Windows Server 2003 หรือ Hardening UNIX/Linux รวมทั้งการ Hardening Network Device เช่น Cisco Router/ Switching และ Hardening Security Device เช่น Firewall หรือ IPS/IDS เป็นต้น ตลอดจนการ Hardening Database เช่น Hardening Oracle หรือ Microsoft SQL Server และ การ Hardening Application เช่น Hardening Web Server IIS หรือ Apache เป็นต้น (ดูรูปที่ 5)

รูปที่ 5

การ Harden เชิงลึกในลักษณะนี้ จำเป็นต้องมี “Hardening Checklist” เพื่อเป็นแนวทางในการ Harden ที่ถูกต้อง สำหรับ Hardening Checklist นั้น ในบางครั้งผู้ตรวจสอบระบบสารสนเทศสามารถนำมาใช้เป็น “Auditor Checklist” และ แนะนำให้ผู้ดูแลระบบ (System Administrator) เป็นผู้ “Harden” ระบบเหล่านั้น ในกรณีที่ผู้ตรวจสอบระบบสารสนเทศ ตรวจพบช่องโหว่ ซึ่งผู้ตรวจสอบระบบสารสนเทศ อาจใช้วิธีเชิงลึกทางด้านเทคนิค เช่น การทำ Vulnerability Assessment และ Penetration Testing เป็นต้น ดังนั้นงานหนักจึงตกอยู่กับผู้ดูแลระบบ ซึ่งจะต้องเป็นผู้ดำเนินการปิดช่องโหว่ของระบบตาม “Harden Checklist” หรือ ตามที่ผู้ตรวจสอบได้ให้คำแนะนำไว้ใน Audit Report
ข้อคิดในการ “Hardening” ก็คือต้องใช้ความระมัดระวังอย่างสูง สำหรับการ Harden ระบบที่ใช้งานจริงแล้ว หรือ เรียกว่า “Harden Production System” เพราะถ้าหากการ Harden มีปัญหา เช่นมีการติดตั้ง Patch แล้ว ระบบเกิดไม่ทำงานขึ้นมา ก็จะส่งผลกระทบต่อการดำเนินงานขององค์กรโดยรวมได้ ดังนั้นผู้ที่จะต้องทำการ “Harden” ระบบ ควรเป็นผู้ที่มีประสบการณ์และมีความเชี่ยวชาญโดยตรงอย่างแท้จริง และมีการวางแผนอย่างรัดกุมก่อนที่จะทำการ “Hardening” ควรใช้มาตรฐาน ITIL มาประกอบด้วย ได้แก่ “Configuration Management” “Change Management” และ “Release Management” จะช่วยลดความเสี่ยงในการ Harden ได้

1. 2.    Defense-In-Depthหมาย ถึง การป้องกันระบบแบบหลายชั้น (Multi-layer Security Defense) เดิมคำว่า “Defense-In-Depth” นั้นเป็นคำที่ใช้กันในกลุ่มทหาร เป็นกลยุทธการป้องกันของทหารในการรบกับข้าศึก บางทีเราเรียกว่า “Elastic Defense” หมายถึงเน้นไปที่การถ่วงเวลามากกว่าการป้องกันแบบปกติทั่วไป เรียกได้ว่าเป็น มาตรการป้องกันระบบแบบหลายชั้น และ มีลักษณะเป็นแบบ “Redundancy” คือ หากมีบางส่วนของระบบเกิดปัญหาจากการโจมตีของผู้ไม่หวังดี ก็ยังมีส่วนที่ยังสามารถป้องกันระบบได้ ในทาง Information Security “Defense-In-Depth” หมายถึง การใช้เทคนิคด้านการป้องกันระบบในหลายๆแบบ เช่น ถึงแม้ว่าเราจะมี Firewall และ Anti-virus ในบริเวณ Network Perimeter เรียบร้อยแล้ว เราก็ยังติดตั้ง Anti-virus software ลงบนเครื่องลูกข่าย (Client) และเครื่องแม่ข่าย (Server) ทุกตัวขององค์กร เพื่อเป็นการป้องกันอีกขั้นหนึ่ง ลักษณะการป้องกันแบบ Defense-In-Depth นั้นจะป้องกันตั้งแต่ส่วนของ Perimeter, Network, Host, Application ไปจนถึงการป้องกันในระดับ Data และ Resource ดังรูปที่ 6 ดังนั้น การลงมือปฏิบัติในขั้นตอนนี้ต้องแน่ใจว่าได้กระทำในทุกระดับดังที่ได้กล่าว มาแล้วในตอนต้นจึงจะส่งผลลัพท์ที่ชัดเจนและมั่นใจในความปลอดภัยอย่างแท้จริง

รูปที่ 6

1. Information Security Policy Developmentหมาย ถึง การพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูลให้ออกมาเป็นรูปธรรม และ เป็นลายลักษณ์อักษรที่ได้รับการ “Approved” จากผู้บริหารระดับสูง ตลอดจนมีการประกาศใช้งานจริงในองค์กร รวมถึงบทลงโทษในกรณีที่ไม่ปฏิบัติตามนโยบายอย่างเคร่งครัดนโยบายด้านการ รักษาความปลอดภัยข้อมูลสำหรับองค์กรถือว่ามีความสำคัญมาก ไม่ว่าจะเป็น มาตรฐาน ISO/ IEC17799 หรือ 27001 ตลอดจนมาตรฐาน IT Governance (CobiT version 4) ก็ล้วนแต่ให้ความสำคัญเรื่องนโยบายฯ อยู่ในอันดับต้นๆที่ไม่สามารถจะยอมรับได้หากองค์กรไม่มีนโยบายฯดังกล่าว นโยบายด้านการรักษาความปลอดภัยขัอมูลที่ดีควรมีโครงร่างมาจาก “Best Practice” เช่น ISO/IEC 17799 หรือ 27001 โดยไม่จำเป็นจะต้องตรงกับทางที่ ISO/ IEC กำหนดไว้ทั้งหมด แต่ โครงสร้างโดยส่วนใหญ่ ควรสอดคล้องกับมาตรฐาน ISO/ IEC เราอาจนำมาตรฐาน IT Governance (CobiT version 4) หรือ ITIL เข้ามาเสริมได้ เพื่อเพิ่มรายละเอียดในเรื่องนโยบายให้เป็นรูปธรรมมากขึ้นหลายคนอาจสงสัยว่า ทำไมขั้นตอนนี้ถึงอยู่หลังจากขั้นตอนการทำ “Risk Assessment” ในส่วนที่1 (Plan) ของ ISMF Version 2 ทั้งนี้ก็เพราะว่าการพัฒนานโยบายฯ นั้นควรจะนำผลลัพธ์จากการทำ “Risk Assessment” มาเป็นแนวทางในการกำหนดนโยบายฯ เพื่อให้สอดคล้องกับรูปแบบการดำเนินงานขององค์กร ดังนั้นเราจึงควรทำการพัฒนานโยบายฯ หลังจากการทำ “Risk Assessment” และที่สำคัญที่สุดตัวนโยบายต้องได้รับการรับรองจากผู้บริหารระดับสูง หรือ Board of Directors และ มีการควบคุมการนำไปปฏิบัติประกาศใช้บังคับอย่างจริงจังในองค์กร ตลอดจนควรมีการปรับปรุงให้ทันสมัยอยู่เสมอ (การปรับปรุงนโยบายฯ อยู่ในส่วนที่ 4 ของ ISMF Version 2)
2. Incident Response and BC/ DR Plan ใน ขั้นตอนนี้จะประกอบด้วย 2 ส่วนหลักๆ คือ แผนรับมือกับเหตุการณ์ที่ไม่คาดคิด หรือ Incident Response Plan และแผนสำรองกรณีฉุกเฉิน หรือ BC/ DR Plan โดยที่ทั้ง 2 แผนควรมีการพัฒนาขึ้นมาเป็นลายลักษณ์อักษร เหมือนกับขั้นตอนที่ 2.3 ในการพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูล หรืออาจจะกลายเป็นส่วนหนึ่งของนโยบายฯ โดยรวมก็สามารถทำได้เช่นกัน4.1 Incident Response Planใน ส่วนของแผนรับมือกับเหตุการณ์ที่ไม่คาดคิดนั้น องค์กรควรจะปฏิบัติตามหลักการเรื่อง Incident Response และ Digital Forensic ตามมาตรฐานสากล ซึ่งมีอยู่หลายสถาบัน เช่น สถาบัน SANS หรือ NIST และ นำมาตรฐานมาประยุกต์ใช้กับองค์กร โดยให้สอดคล้องจากผลลัพธ์ของการทำ Risk Assessment และ สอดคล้องกับนโยบายด้านการรักษาความปลอดภัยข้อมูลขององค์กรการที่องค์กรมีแผน การรับมือกับเหตุการณ์ดังกล่าว จะทำให้ลดผลจากความเสียหายที่เกิดขึ้น และยังสามารถติดตามหาต้นตอของปัญหา (Root-caused of Problem) ตลอดจนตามล่าหา Hacker และนำ Hacker มาลงโทษตามกฎหมาย (ในกรณีที่มีกฎหมายออกมาเรียบร้อยแล้ว) แต่ถ้าหากองค์กรไม่มีแผนดังกล่าว การรับมือกับเหตุการณ์ไม่คาดคิดนั้นก็อาจจะทำได้ไม่เต็มที่ ซึ่งจะส่งผลกระทบกับการดำเนินงานขององค์กรโดยรวม ทำให้เกิดความเสียหายมากกว่าการที่เราได้เตรียมการณ์ไว้ล่วงหน้าดังกล่าว4.2 BC/ DR Plan
   BCP ย่อมาจาก Business Continuity Planning และ DRP ย่อมาจาก Disaster Recovery Planning โดยที่ BCP หมายถึงกระบวนการในการสร้างแผนให้กับองค์กรเพื่อจุดประสงค์ที่จะให้องค์กร สามารถทำธุรกิจ ธุรกรรมต่างๆได้อย่างต่อเนื่อง โดยไม่ติดขัดหลังจากที่ระบบเกิดปัญหาขึ้น BCP นั้นมีขั้นตอนต่างๆดังรูปที่ 7 เป็นลักษณะ Life Cycle
   

   รูปที่ 7

   ความ สำเร็จของ BCP ก็คือเอกสาร BC Plan เป็นลายลักษณ์อักษรที่สามารถนำไปปฏิบัติจริงได้ ในยามที่ระบบมีปัญหา บางครั้งอยู่ในรูปของ Manual หรือคู่มือปฏิบัติยามฉุกเฉิน ซึ่งอาจรวมส่วนของ DRP เข้าไปอยู่ด้วย หรือแยกเรื่อง DRP ออกมาต่างหากก็ได้ โดยที่ DRP นั้นเน้นไปที่การแก้ปัญหาเฉพาะหน้ายามฉุกเฉิน หลังจากที่ระบบเพิ่งเกิดปัญหาและต้องพยายามทำให้เกิดผลกระทบกับองค์กรให้ น้อยที่สุดเท่าที่จะทำได้
   ปัญหาในการพัฒนา BCP และ DRP จะสำเร็จไม่ได้ถ้าทุกคนไม่ช่วยกันทำ โดยเฉพาะเรื่องของ “Business Process” ที่แต่ละฝ่ายแต่ละแผนกย่อมมีความรู้ความเชี่ยวชาญของตนเองดีกว่าคนอื่น ตลอดจนต้องได้รับการสนับสนุนและการติดตามงานจากผู้บริหารระดับสูงด้วย คล้ายๆกับการทำ ISO Certified ที่ผู้บริหารต้องมีส่วนร่วมและติดตามงานโดยตลอด หาไม่แล้วแผน Business Continuity และ Disaster Recovery ที่เป็นรูปธรรมคงสำเร็จออกมาได้ยากในทางปฏิบัติ ในขณะนี้องค์กรชั้นนำหลายองค์กร โดยเฉพาะส่วนของ Financial Firm ต่างๆ เช่น Bank หรือ Broker กำลังให้ความสำคัญกับเรื่อง BCP และ DRP เป็นอย่างมาก สังเกตุได้จากการเข้าอบรมเรื่อง BCP และ DRP ที่อัตราการเพิ่มอย่างเห็นได้ชัด อีกทั้งยังเป็นข้อกำหนดของ ธนาคารแห่งประเทศไทย อีกด้วย
   กล่าวโดยสรุป ในส่วนที่ 2 “Do” ของ ISMF Version 2 นั้นประกอบด้วย 4 ขั้นตอนดังที่กล่าวมาแล้ว หลังจากที่ได้ทำทั้ง 4 ขั้นตอน องค์กรก็ได้ผลลัพธ์ออกมาเป็นเอกสารดังที่กล่าวมาในตอนต้น และ ได้รับความปลอดภัยที่เพิ่มขึ้นหลังจากการ Hardening ในขั้นตอนที่ 2.1 จากการทำตามหลักการ “Defense-In-Depth” ในขั้นตอนที่ 2.2 และจากการปฏิบัติตามนโยบายด้านการรักษาความปลอดภัยข้อมูล ในขั้นตอนที่ 2.3 ตลอดจนมีแผน Incident Response และ BC/ DR Plan ไว้ใช้ในยามฉุกเฉิน ในบทความครั้งต่อไปจะกล่าวถึงส่วนของการตรวจสอบ คือ ส่วนของการ “Check” และ “Audit” เพื่อให้แน่ใจว่าได้มีการปฏิบัติตามนโยบายฯ และ มีการเฝ้าระวังระบบอยู่ตลอดเวลา (Real-time Monitoring)ในลักษณะ “Proactive Defense” หรือไม่ ติดตามในฉบับหน้าครับ สวัสดีครับ

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนเมษายน 2549
Update Information : 18 เมษายน 2548