ยินดีต้อนรับสู่ Modoko's Blog ~* ... กรุณาลงชื่อให้กำลังใจใน ด้วยค่ะ ...
Group Blog
 
All blogs
 
มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ




มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ



กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)

17 ธันวาคม 2551


เมื่อ “เทคโนโลยีสารสนเทศ” ก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”

แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง

การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการใน
การป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร

หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจและสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศได้เกิดมากขึ้นเป็นลำดับและรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กร (Corporate Governance)

องค์กรที่ประสบความสำเร็จต่างๆ มีความเข้าใจ และประเมินค่าของความเสี่ยง เทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผลและมีการควบคุมที่เพียงพอในระดับบริหาร โดยการปฏิบัติตามมาตรฐานสำหรับการจัดการเรื่องความปลอดภัยและการควบคุมทางด้านเทคโนโลยีสารสนเทศ


มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ

มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ที่หลายองค์กรนำมาใช้ในการบริหารจัดการความเสี่ยงก็คือ มาตรฐาน ISO/IEC 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 นอกจากนี้
ยังมีมาตรฐานอื่นๆ ที่มีสถาบันที่มีชื่อเสียงกำหนดเพื่อเป็นแนวทางในการปฏิบัติ ได้แก่ มาตรฐาน ISO/IEC TR 13335, มาตรฐาน ISO/IEC 15408:2005, มาตรฐาน ITIL (IT Infrastructure Library), มาตรฐาน FIPS PUB 200, มาตรฐาน NIST 800-14 และมาตรฐาน IT Baseline Protection Manual

ISO/IEC 27001:2005 และ ISO/IEC 27002:2005 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง

ในปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO/IEC 27001:2005 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001 (มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร รวมถึงได้มีการนำมาตรฐานดังกล่าวไปแปลเป็นภาษาไทย เพื่อใช้เป็นพื้นฐานในการพัฒนากฎหมายด้านสารสนเทศอีกด้วย

จุดเด่นที่สำคัญอีกอย่างหนึ่งสำหรับมาตรฐานนี้ คือ องค์กรที่มีการจัดทำระบบ ISO 9000 หรือ ISO 14000 อยู่แล้ว จะมีความพร้อมในการนำระบบ ISO/IEC 27001:2005 มาใช้งานร่วมกับมาตรฐานเดิมที่มีอยู่ เนื่องจากมาตรฐานเหล่านี้ล้วนใช้พื้นฐานของหลักการ PDCA รวมถึงใช้ระบบการจัดการเอกสาร และบันทึกตามรูปแบบมาตรฐานของสถาบัน ISO จึงสามารถใช้ระบบเอกสารที่องค์กรคุ้นเคยแล้วกับมาตรฐาน ISO/IEC 27001:2005 ได้ และยังมีกลไกสำหรับการทบทวนโดยผู้บริหาร (Management review) และการตรวจติดตามระบบภายในองค์กร (Internal audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย


ISO/IEC 27001:2005 (Information Security Management System: ISMS)

ISO/IEC 27001:2005 (Information Security Management System: ISMS) กล่าวถึงข้อกำหนดสำหรับใช้เป็นเกณฑ์ในการตรวจรับรองความมีมาตรฐานของ “ระบบบริหารความมั่นคงของข้อมูล” (Information Security Management Systems – ISMS) โดยมีรายละเอียดนับตั้งแต่การริเริ่มทำระบบ การปฏิบัติใช้งาน การทบทวน การปรับปรุงอย่างต่อเนื่อง ซึ่งสอดคล้องกับแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) นั่นเอง ทั้งนี้ ระบบ ISMS ที่จัดตั้งขึ้นนั้น จะต้องอ้างอิงตามหัวข้อของการควบคุมด้านความมั่นคงของข้อมูล 133 หัวข้อในมาตรฐาน ISO 27002 ตามความเหมาะสมด้วย

เนื้อหาของมาตรฐาน ISO 27001:2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” (Information security management systems: ISMS) ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญ สำหรับองค์กรที่ต้องการนำระบบ ISMS ไปใช้ในการปกป้องข้อมูล กระบวนการธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญขององค์กร เนื้อหาของมาตรฐาน ISO 27001:2005 แบ่งออกเป็น 8 ส่วน ดังนี้

1. ขอบเขต (Scope)
2. มาตรฐานอ้างอิง (Normative reference)
3. คำจำกัดความและนิยาม (Terms and definitions)
4. ระบบบริหารความมั่นคงของข้อมูล (Information security management system)
5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)
6. การตรวจประเมินการบริหารความมั่นคงของข้อมูลภายใน (Internal ISMS audit)
7. การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)
8. การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)

มาตรฐานนี้ได้ถูกจัดทำขึ้นโดยยึดตามแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) เพื่อให้เกิดวิธีการปฏิบัติงานที่เป็นระบบ และมีการพัฒนาขึ้นอย่างต่อเนื่อง (Continuous improvement) เริ่มต้นตั้งแต่การจัดตั้ง (Establish) การนำระบบไปใช้ (Implement) การดำเนินงาน (Operate) การติดตามและวัดผล (Monitor) การทบทวน (Review) การบำรุงรักษาระบบ (Maintain) และการปรับปรุงพัฒนาระบบให้ดียิ่งขึ้น (Improve) ซึ่งสามารถอธิบายได้ดังรูป



รูปที่ 1 แสดงแนวคิดของหลักการ PDCA (Plan-Do-Check-Act)


ทั้งนี้ หัวใจสำคัญของการริเริ่มจัดตั้ง การปฏิบัติใช้งาน และการปรับปรุงระบบ ISMS อย่างต่อเนื่องก็คือ การประเมินความเสี่ยง (Risk assessment) และการเลือกวิธีการเพื่อแก้ไขควบคุมความเสี่ยงให้เหมาะสมกับการปฏิบัติงานและระดับความเสี่ยงที่ยอมรับได้ขององค์กร


ISO/IEC 27002:2005 (Code of Practice for Information Security Management)

ISO/IEC 27002:2005 (Code of Practice for Information Security Management) กล่าวถึงวิธีปฏิบัติที่จะนำไปสูระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรไดจัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO 27001:2005 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรไดประเมินไว้ ซึ่งจะมีทั้งหมด 133 หัวข้อ และแบ่งออกเป็น 11 หมวดหลัก ดังนี้

1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครงสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมูและการควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้กับองค์กร (Human resources security)
5. ความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาและดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)

มาตรฐาน ISO 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 เป็นมาตรฐานสากลที่ใช้กันอย่างแพรหลายแลว ดังนั้น ความพร้อมใช้ของมาตรฐานนี้ และความสำคัญของการเป็นมาตรฐานที่ว่าด้วยเรื่องของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ มาตรฐานนี้จึงควรศึกษาและให้ความสำคัญเป็นอย่างมาก


ISO/IEC TR 13335 (Guidelines for the Management of IT Security)

ISO/IEC TR 13335 (Guidelines for the Management of IT Security) เป็น Technical Report ซึ่งมาตรฐาน ISO/IEC 27001 ไดมีการอ้างอิงมายังมาตรฐาน ISO/IEC 13335 ในเรื่องของการจัดทำ Technical Report ซึ่งเริ่มต้นจากการระบุภัยคุกคามจุดอ่อนหรือชองโหวของระบบเทคโนโลยีสารสนเทศ แนวทางการประเมินความเสี่ยงต่างๆ จนสามารถระบุแนวทางเพื่อลดความเสี่ยงได สำหรับเนื้อหาหลักของมาตรฐานนี้จะแบ่งเป็น 5 สวนสำคัญ ดังนี้

1. การบริหารจัดการหน้าที่การงานต่างๆ ของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ
ที่ไดรับการวางโครงร่างไว รวมถึงจัดหาแนวคิดด้านความมั่นคงปลอดภัยให้เป็นไปตามโครงร่างที่ได้ตั้งไว้ ทั้งรูปแบบสารสนเทศและเทคโนโลยีที่ใช้ในการติดต่อสื่อสาร
2. การนำไปปฏิบัติและการบริหารจัดการด้านความมั่นคงปลอดภัยต้องไดรับการจัดทำด้วยวิธีการ
ที่เหมาะสมที่สุด
3. เทคนิคสำหรับการบริหารจัดการด้านความมั่นคงปลอดภัยต้องไดรับการจัดการให้จากผู้จัดทำระบบ เทคโนโลยีสารสนเทศ
4. ต้องให้แนวทางปฏิบัติสำหรับการเลือกวิธีการรักษาความมั่นคงปลอดภัย ซึ่งพิจารณาจากประเภทของระบบไอทีนั้นๆ รวมถึงความตระหนักด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจมีขึ้นในอนาคต
5. สารสนเทศที่อยู่บนระบบกรณีที่ต้องมีการส่งผ่านสายสื่อสาร ตองไดรับการรักษาความมั่นคงปลอดภัย ในระหว่างการส่งและต้องจัดให้เครือข่ายมีความมั่นคงปลอดภัยด้วย


ISO/IEC 15408:2005/Common Criteria/ ITSEC

ISO/IEC 15408:2005/Common Criteria/ ITSEC มาตรฐานนี้ไดรับการพิมพ์เผยแพรโดย ISO/IEC JTC1 กลุ่มองค์กรที่ให้ความร่วมมือกันจัดทำมาตรฐาน กลางหรือข้อกำหนดร่วมกันที่เรียกว่า Common Criteria โดยส่วนใหญ่เป็นกลุ่มองค์กรในประเทศแถบยุโรป เป้าหมายในการร่างมาตรฐานกลางหรือข้อกำหนดร่วมนี้ จัดทำขึ้นเพื่อใช้เป็นเกณฑ์กลางในการวัดระดับความมั่นคงปลอดภัยว่าระบบต่างๆ ที่จัดทำขึ้น เมื่อนำมาเปรียบเทียบกับเกณฑ์นี้แล้วระบบนั้นจะมีความมั่นคงปลอดภัยอยู่ในระดับใด
ทั้งนี้ การที่มีตัวแทนองค์กรมาร่วมมือกันกำหนดมาตรฐานกลางนี้ ก็เพื่อความยุติธรรมในการสร้างข้อกำหนด องค์กรต่างๆ ที่เข้ามาร่วมกันดำเนินการในเรื่องนี้ ไดแก

• องค์กร Communication Security Establishment จากประเทศแคนาดา
• องค์กร Central Service of the Information จากประเทศฝรั่งเศส
• องค์กร Federal Office for Security in Information Technology จากประเทศเยอรมนี
• องค์กร The Netherlands National Communications Security Agency จากประเทศเนเธอรแลนด์
• องค์กร Communications-Electronics Security Group จากประเทศสหราชอาณาจักรอังกฤษ
• องค์กร National Institute of Standards and Technology and National Security Agency จากประเทศสหรัฐอเมริกา


ITIL (Information Technology Infrastructure Library)

ITIL (Information Technology Infrastructure Library) เป็นแนวทางปฏิบัติ (Guidance) ที่ว่าด้วยเรื่องเกี่ยวกับโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ ไดรับการจัดทำเผยแพรโดยหน่วยงานรัฐบาล คือ Central Computer and Telecommunications Agency หรือ CCTA ซึ่งขณะนี้กลายเป็นองค์กร The British Office of Government Commerce (OGC) แต่ก็มิไดประกาศบังคับว่าทุกองค์กรที่เกี่ยวข้องจะต้องปฏิบัติตาม ITIL โดยเนื้อหาใน ITIL แบ่งเป็น 8 เรื่อง ดังนี้

1. การบริหารจัดการซอฟต์แวร์และทรัพย์สินขององค์กร (Software and Asset Management)
2. การส่งมอบผลิตภัณฑ์หรือบริการที่ได้มาตรฐาน (Service Delivery)
3. คุณภาพของการบริการหลังส่งมอบ (Service Support)
4. การวางแผนสำหรับการบริหารจัดการการให้บริการ (Planning to Implement Service Management)
5. การบริหารจัดการโครงสร้างพื้นฐานด้านไอซีที (ICT Infrastructure Management)
6. การบริหารจัดการแอพพลิเคชั่น (Application Management)
7. การบริหารจัดการด้านความมั่นคงปลอดภัย (Security Management)
8. มุมมองทางธุรกิจ (Business Perspective, Volume II)

ITIL ไดชื่อว่าเป็นแนวทางปฏิบัติที่ดีเยี่ยม (best practice) ในการบริหารจัดการด้าน IT Serviceให้แกผู้บริโภคอย่างเปี่ยมคุณภาพ แนวทางปฏิบัตินี้เหมาะกับองค์กรไมว่าจะขนาดเล็กหรือใหญ่ โดยเฉพาะอย่างยิ่งองค์กรที่เน้นเรื่องของการบริการด้าน IT Service

ITIL เป็นแนวทางปฏิบัติปัจจุบันยังไมสามารถขอใบรับรองได เนื่องจากปัจจุบัน ITIL เป็นเอกสารอ้างอิงสำหรับใช้เป็นแนวทางปฏิบัติ แต่ในอนาคตก็อาจมีการคัดเอาเฉพาะส่วนนี้มาทำข้อกำหนด และมีการออกใบรับรองภายใต้ชื่อ ISO 20000 (มาตรฐานการให้บริการด้านสารสนเทศ)


FIPS PUB 200 (The Federal Information Processing Standards Publication 200)

FIPS PUB 200 (The Federal Information Processing Standards Publication 200) กล่าวถึงเรื่องของข้อกำหนดขั้นต่ำสำหรับความต้องการด้านความมั่นคงปลอดภัย ซึ่งเป็นภาคบังคับขององค์กรบริหารจัดการสารสนเทศและระบบสารสนเทศกลางของประเทศสหรัฐอเมริกา ทุกองค์กรที่เป็นหน่วยงานภาครัฐจะต้องปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยนี้เป็นอย่างน้อย โดยมาตรฐานนี้ จะมีการระบุประเภทของระบบสารสนเทศต่างๆ และวิธีปฏิบัติที่จำเป็นสำหรับควบคุม เพื่อให้เกิดความมั่นคงปลอดภัยของสารสนเทศในระบบนั้นๆ

FIPS PUB 200 เป็นมาตรฐานที่ไดรับการพิมพ์เผยแพรจากองค์กรกลางที่กำกับดูแลมาตรฐานต่างๆ ของ ระบบประมวลผลสารสนเทศในประเทศสหรัฐอเมริกา The Federal Information Processing Standards (FIPS) มาตรฐานนี้ไดรับการกำหนดให้เป็นมาตรฐานขั้นต่ำ และองค์กรภาครัฐต้องปฏิบัติตามเป็นภาคบังคับ เนื่องมาจากรัฐบาลของประเทศสหรัฐอเมริกาต้องการสนับสนุนเรื่องความมั่นคงปลอดภัย ดังนั้น จึงไดบัญญัติกฎหมาย Federal Information Security Management Act (FISMA) ซึ่งส่งผลให้หน่วยงานต่างๆ ต้องปฏิบัติตามโดยปริยาย โดยเนื้อหาโดยสรุปของมาตรฐานนี้ ได้แก

1. การระบุข้อกำหนดขั้นต่ำของระบบประมวลผลสารสนเทศขององค์กรกลางในประเทศสหรัฐอเมริกา
2. การจัดทำข้อกำหนดนี้เพื่อสนับสนุนการพัฒนา
3. การลงมือปฏิบัติ
4. การดำเนินการ เพื่อสร้างความมั่นคงปลอดภัยระบบสารสนเทศ โดยหน่วยงานสามารถคัดเลือกเฉพาะส่วนที่เกี่ยวข้องกับองค์กรของตนมาปฏิบัติตาม มาตรฐานนี้จึงไดมีการจัดทำแนวทางในการคัดเลือก และกำหนดมาตรการด้านความมั่นคงปลอดภัยที่จำเป็นและเหมาะสมสำหรับระบบประมวลผลสารสนเทศของแต่ละหน่วยงาน

FIPS PUB 200 กล่าวได้ว่าเป็นข้อกำหนดตามกฎ หรือข้อบังคับที่องค์กรภาครัฐหรือองค์กรกลางของรัฐบาลสหรัฐอเมริกาต้องปฏิบัติตามให้ได และมาตรฐานนี้ยังเป็นเพียงข้อกำหนดขั้นต่ำและไมมีการให้ใบรับรองสำหรับมาตรฐานของระบบสารสนเทศที่ต้องการความมั่นคงปลอดภัยในระดับที่สูงกว่านี้ จะมีองค์กรอีกองค์กรหนึ่งที่ช่วยพัฒนามาตรฐานด้านเทคโนโลยีต่างๆ และไดจัดทำไวเพื่อเสริมสร้างมาตรฐานความมั่นคงปลอดภัยทางด้านเทคนิค หน่วยงานที่ดูแลในส่วนนี้มีชื่อว่า National Institute of Security Technology หรือ NIST ดังนั้นระบบที่มีข้อมูลสารสนเทศที่ต้องรักษาความลับ ความถูกต้อง และความสมบูรณของข้อมูลในระดับสูงจำเป็นจะต้องใช้มาตรฐานที่รัดกุมและเข้มแข็งมากกว่ามาตรฐาน FIPS PUB 200 นี้ หรืออาจต้องอาศัยความเฉพาะด้านทางเทคโนโลยีและใช้มาตรฐานของ NIST เป็นมาตรฐานหลัก


NIST 800-14 (National Institute of Standards and Technology 800-14)

NIST 800-14 (National Institute of Standards and Technology 800-14) เป็นมาตรฐานที่ไดรับการพิมพ์เผยแพรจากสถาบันมาตรฐานเทคโนโลยีสารสนเทศแห่งชาติของสหรัฐอเมริกา โดยใช้ชื่อหนังสือว่า Generally Accepted Principles and Practices for Securing Information Technology Systems มาตรฐานนี้เป็นเกณฑ์กลางที่ไดรับการจัดทำและเผยแพรขึ้นโดยสถาบันดังกล่าว เพื่อเสริมสร้างองค์กรที่ใช้ระบบสารสนเทศให้นำมาตรฐานเทคโนโลยีทีไดจัดพิมพ์นี้ไปใช้ เพื่อเสริมสร้างความมั่นคงปลอดภัยให้แกระบบเทคโนโลยีสารสนเทศขององค์กรหรือหน่วยงานต่างๆ ในประเทศสหรัฐอเมริกาให้มากที่สุด ทั้งนี้ เพื่อเป็นการป้องกันภัยคุกคามด้านอาชญากรรมคอมพิวเตอร์และการละเมิดความมั่นคงปลอดภัยข้อมูลสารสนเทศ โดยเฉพาะอย่างยิ่ง สารสนเทศบนระบบโครงสร้างพื้นฐานของประเทศ โดยเนื้อหาของ NIST 800-14 เป็นกฎพื้นฐานด้าน Computer Security จำนวน 8 ข้อ ดังนี้

1. ในพันธกิจขององค์กรต้องให้การสนับสนุนเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
2. ในการบริหารจัดการขององค์กรต้องผนวกเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ไว
เป็นสาระสำคัญด้วย
3. ควรมีการลงทุนที่เหมาะสมในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
4. ผู้เป็นเจ้าของระบบต้องแสดงความรับผิดชอบต่อการรักษาความมั่นคงปลอดภัยของระบบ
โดยตลอด
5. ความรับผิดชอบและการดูแลเอาใจใสในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ต้องไดรับการดำเนินการอย่างชัดแจ้ง
6. การรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ต้องการแนวทางที่ผสมผสานในวิธีปฏิบัติ เช่น การรักษา ความมั่นคงปลอดภัยทางกายภาพ ทางด้านฮาร์ดแวร์ ซอฟต์แวร์ และผู้ใช้ เป็นต้น
7. ความมั่นคงปลอดภัยคอมพิวเตอร์ต้องไดรับการปรับปรุงให้ดีขึ้นอย่างต่อเนื่องและสม่ำเสมอ
8. ปัจจัยแวดล้อมสามารถส่งผลต่อการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ไดเสมอ

NIST เป็นแนวทางปฏิบัติที่องค์กรที่จัดทำมีเจตนาให้ใช้เป็นเอกสารอ้างอิง และเป็นเสมือนเครื่องมือในการตรวจสอบระบบเทคโนโลยีสารสนเทศขององค์กร แนวทางปฏิบัตินี้ จัดเป็นเกณฑ์พื้นฐานที่หลายองค์กรเห็นร่วมกันว่าควรจะต้องจัดให้มีและสามารถตรวจสอบได้โดยฝ่ายตรวจสอบทั้งภายในและภายนอกองค์กร เช่น ผู้ตรวจสอบกิจการภายใน ผู้จัดการ ผู้ใช้หรือลูกค้า พนักงานด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เป็นต้น แนวทางที่ NIST ไดจัดทำนั้นสามารถประยุกต์ใช้ไดทั้งภาครัฐและเอกชน


IT BPM (Information Technology Baseline Protection Manual)

IT BPM (Information Technology Baseline Protection Manual) เป็นหนังสือคูมือที่แนะนำการรักษาความมั่นคงปลอดภัยระบบอย่างมีมาตรฐาน แต่อาจกำหนดไวเป็นมาตรฐานขั้นต่ำคูมือนี้พิมพ์เผยแพรโดยสถาบันมาตรฐานแห่งชาติอังกฤษ (British Standards Institution: BSI) ซึ่งเป็นองค์กรกลางที่กำกับดูแลเรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ โดยจะจัดทำเฉพาะระบบสารสนเทศที่มีใช้ในองค์กรทั่วไป อาทิ ระบบสารสนเทศเกี่ยวกับบุคลากรขององค์กร ระบบสารสนเทศสำหรับสื่อสารด้วยไปรษณีย์อิเล็กทรอนิกส์ เป็นต้น

คู่มือนี้จะให้การแนะนำว่าระบบที่ยกตัวอย่างนี้ ควรมีเกราะป้องกัน หรือวิธีการด้านความมั่นคงปลอดภัยอย่างน้อยต้องดำเนินการอย่างไรบ้าง ซึ่งแต่ละองค์กรอาจนำไปประยุกต์ใช้ด้วยวัตถุประสงค์ที่แตกต่างกันออกไป เช่น ตองการที่จะใช้เป็นเกณฑ์ระบุว่า ความปลอดภัยขั้นต่ำขององค์กรคืออะไร องค์กรต้องการใช้เป็นแนวทางปฏิบัติด้านความมั่นคงปลอดภัยที่ดีระดับหนึ่ง การปรับปรุงความมั่นคงปลอดภัยระบบข้อมูลสารสนเทศ หรือบางองค์กร อาจต้องการไดรับใบรับรอง เป็นต้น

อย่างไรก็ดี หนังสือคูมือนี้ จะไดรับการปรับปรุงทุกๆหกเดือน การจะปรับปรุงในหัวข้อใดจะต้องไดรับความเห็นชอบจากการลงมติของกลุ่มความร่วมมือ ซึ่งเนื้อหา IT BPM ประกอบด้วย

1. ระบบต้องมีการบริหารจัดการด้านความมั่นคงปลอดภัยตั้งแต่ขั้นการออกแบบ ประสานงาน และติดตามสถานะของความมั่นคงปลอดภัยของระบบที่เกี่ยวกับหน้าที่งานนั้น
2. ระบบต้องมีการวิเคราะห์และจัดทำเป็นเอกสารเกี่ยวกับโครงสร้างที่มีอยู่ของทรัพย์สินที่เป็นเทคโนโลยีสารสนเทศในองค์กร
3. ระบบต้องไดรับการประเมินถึงมาตรการและระบบบริหารจัดการด้านความมั่นคงปลอดภัยเดิม
ที่ได้จัดทำไวแล้วนั้น ว่ามีประสิทธิภาพเพียงพอและเหมาะสมแล้วหรือยัง
4. องค์กรต่างๆ สามารถนำโครงสร้างของเครือข่ายที่มีความมั่นคงปลอดภัย ซึ่งไดออกแบบไว เหมาะสมแล้วตามคูมือนี้มาเป็นแนวทางในการจัดทำเครือข่ายขององค์กร
5. ระบบต้องไดรับการดำเนินการปรับปรุงแกไขกรณีที่พบว่ามาตรการหรือแนวทางการรักษาความมั่นคงปลอดภัยเหล่านั้นไมเพียงพอ หรือมีการดำเนินการบาอย่างที่ยังไมรัดกุม เป็นต้น


References:

The Government of the Hong Kong Special Administrative Region. An Overview of Information Security Standards. February, 2008.

โกเมน พิบูลย์โรจน์, ดร.. IT Security Management Standard กับการจัดการความเสี่ยง. เอกสารประกอบการบรรยายศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย. , มกราคม 2551.

เมธา สุวรรณสาร. IT Governance & Risk Management กับศักยภาพการแข่งขันและการสร้างมูลค่าเพิ่มขององค์กร. จุลสารสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.). ฉบับที่ 39 มกราคม - มีนาคม, 2549.

ดวงกมล ทรัพย์พิทยากร. มาตรฐาน แนวทางปฏิบัติ และกรอบวิธีปฏิบัติต่างๆ ที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ. เอกสารเผยแพร่ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย. กุมภาพันธ์, 2550.

ปริญญา หอมเอนก. บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005. eWeek Thailand. กรกฎาคม, 2548.








Create Date : 27 มกราคม 2552
Last Update : 25 กุมภาพันธ์ 2553 9:52:26 น. 0 comments
Counter : 2681 Pageviews.

modoko
Location :
กรุงเทพ Thailand

[Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]




Friends' blogs
[Add modoko's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.