Security Framework และมาตรฐานความมั่นคงดิจิทัล

About This Project

Information Security นั้นประกอบไปด้วยหลายองค์ประกอบและหลากหลายสาขาความรู้ ในสาขา IT เช่น Network Security, Application Security, Forensics, Cryptography, และอื่นๆ อีกมากมาย พื้นฐานการจัดการปัญหาต่างๆ ที่เกี่ยวข้องกับ Information Security นั้นมีความจำเป็นที่จะต้องทำให้สอดคล้องกับ Business Objectives หรือเป้าหมายทางธุรกิจ และการลงทุนนั้นจะต้องตอบโจทย์ของธุรกิจ กล่าวคือ จะต้องปกป้องทรัพย์สินที่สำคัญที่สุดของธุรกิจนั้นๆ จึงจะคุ้มค่า

หลักการจัดการดังกล่าวประกอบไปด้วยการดูแลให้เกิดการจัดการที่ดีมีธรรมาภิบาล (Good Governance) การจัดการความเสี่ยง (Risk Management) และการปฏิบัติตามกฎกติกา (Compliance) หรือเรียกสั้นๆ ว่า GRC

GRC นั้นประกอบไปด้วยหลาย Concept เช่น IT Governance(ซึ่งมีมาตรฐานการจัดการเช่น CobiT) และ IT Best Practice เช่น ISO 27001 – Information Security Management System.

แนวทางการดำเนินการ GRC (GRC Framework) เน้นการสร้างดุลยภาพระหว่าง People, Process และ Technology เพื่อเกื้อหนุนกันในการสร้างการจัดการองค์กรที่ดี โดยมีระบบการจัดการเป็นวัฎจักร PDCA (Plan-Do-Check-Act) เพื่อให้เกิดการพัฒนาอย่างต่อเนื่อง (Continuous Improvement)

 

บทความนี้จะอธิบายถึงมาตรฐาน ISO 27001:2013 ที่เป็นมาตรฐานที่เป็นที่ยอมรับที่สุดอันหนึ่งในวงการเกี่ยวกับการจัดการดูแลความปลอดภัยและความมั่นคงของข้อมูล (ISMS) นอกจากนั้น จะพูดถึงโครงสร้างการดำเนินการความมั่นคงไซเบอร์ระดับนานาชาติของ National Institute of Standards and Technology หรือ NIST Cyberse-Curity Framework ซึ่งมีเนื้อหาที่แตกต่างจาก ISMS และเริ่มเป็นที่นิยมใช้มากขึ้น

Information Security Management System(ISO 27001:2013) ISMS เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่อง การนำ ISMS มาประยุกต์ใช้ในองค์กรจะช่วยป้องกันกระบวนการทางธุรกิจจากภัยร้ายแรงต่างๆ เช่น วาตภัย อุทกภัย หรือการโจมตีจากผู้ไม่ประสงค์ดี

เป้าหมายของ ISMS คือการสร้างระบบการจัดการความปลอดภัยของข้อมูลเพื่อ

  • Confidentiality – การจัดการให้แน่ใจว่า ผู้ที่ควรได้รับสิทธิเท่านั้นที่สามารถเข้าถึงข้อมูลได้
  • Integrity – การดูแลป้องกันให้ข้อมูลมีความถูกต้องสมบูรณ์ทั้งในการเก็บและระหว่างการสื่อสาร
  • Availability – การทำให้แน่ใจว่าผู้ที่มีสิทธิสามารถเข้าถึงข้อมูลได้ในเวลาที่ต้องการ

หลักการสำคัญของการทำ ISMS คือการเข้าใจถึงการจัดการความเสี่ยงขององค์กร (Risk Management)

โดยปกติแล้วจะมีขั้นตอนคร่าวๆ ดังนี้

  1. ความเห็นชอบและการให้ความสำคัญของผู้บริหารองค์กรต่อการมีมาตรฐาน ISMS
  2. การวิเคราะห์องค์กรเพื่อเข้าใจ Context ขององค์กรและการจำกัด Scope ที่จะทำการ พัฒนากระบวนการเข้าสู่มาตรฐาน ISMS
  3. การกำหนด Policy หลักขององค์กร
  4. การประเมินความเสี่ยงขององค์กร และการกำหนดมาตรการ(Control) เพื่อจัดการความเสี่ยง (Managing Risk) โดยมี 4 วิธี คือ การลดทอนความเสี่ยง (Risk Reduction) การหลีกเลี่ยง ความเสี่ยง (Risk Avoidance) การถ่ายทอดความเสี่ยง (Risk Transfer) และการยอมรับความเสี่ยง (Risk Acceptance)
  5. การสร้างระบบการติดตามและประเมินผล (Monitoring and Evaluation)
  6. การเก็บหลักฐานและการจดบันทึก (Document Information)
  7. การฝึกฝนพนักงาน
  8. การตรวจสอบ (Audit)
  9. การประเมินโดยฝ่ายบริหาร (Management Review)
  10. การตรวจสอบโดยองค์กรภายนอกเพื่อประเมินและสอบรับใบรับรอง (External Audit and Certification)

โดยเป้าหมายขององค์กรส่วนใหญ่จะทำการสร้างระบบ ISMS เพื่อการได้รับใบรับรองในขั้นตอนที่ 10 เพื่อให้เป็นที่น่าเชื่อถือของลูกค้าและ Partner โดยเมื่อองค์กรได้รับใบรับรองแล้วจะต้องมีการตรวจสอบและประเมินเป็นระยะทุกปี เพื่อยืนยันการดำเนินการที่ถูกต้องและมีการพัฒนาอย่างต่อเนื่องของระบบ ISMS

ประโยชน์ของระบบ ISMS คือทำให้องค์กรรู้จักความเสี่ยงของตนเอง เพื่อนำไปสู่การลงทุนในการปกป้องข้อมูลสารสนเทศได้อย่างมีประสิทธิภาพ

NIST Cybersecurity Framework

National Institute of Standards and Technology (NIST) ของประเทศสหรัฐอเมริกา ประกาศแนวทางการจัดการ Cybersecurity เพื่อเป็นแนวทางให้ภาครัฐและเอกชนใช้ในการดำเนินการเกี่ยวกับการดูแลและปกป้ององค์กรจากภัยในโลกไซเบอร์เมื่อเดือนกุมภาพันธ์ 2557 ตามคำสั่งของประธานาธิบดี

โครงสร้างการดำเนินการ Cybersecurity ของ NIST (NIST Cybersecurity Framework) ถูกสร้างขึ้นเพราะปัจจุบันภัยร้ายจากการถูกโจมตีบนโลกไซเบอร์ได้สร้างความเสียหายแก่เศรษฐกิจและความมั่นคงของประเทศเป็นอย่างมาก โดยเป้าหมายของโครงสร้างการดำเนินการดังกล่าวคือช่วยให้องค์กรเข้าใจและมีวิธีการจัดการกระบวนการปกป้องและรับมือจากภัยร้ายได้อย่างมีประสิทธิภาพ โดยโครงสร้างดังกล่าวมีองค์ประกอบหลักดังนี้

 

  1. กลุ่มของกิจกรรมและกระบวนการขององค์กรที่จัดทำขึ้นเพื่อแยกแยะ (Identify) ปกป้อง (Protect) ตรวจสอบ (Detect)ตอบสนอง (Respond) และกอบกู้ (Recover) จากการโจมตีไซเบอร์ (Cyber Attack) หรือเรียกรวมๆ ว่า Framework Core
  2. ชุดของวิธีการประเมินระดับความพร้อมขององค์กรในการเตรียมการและดำเนินการปฏิบัติกิจกรรมและกระบวนการข้างต้นของ Framework Core (เรียกว่า Implementation Tiers)
  1. การจัดทำเป้าหมาย Profile (Target Profile) ขององค์กรและการประเมินสถานะขององค์กรในปัจจุบัน (Profile) เพื่อแยกแยะและบ่งชี้โอกาสในการพัฒนาระบบการปกป้องตนเองตามโครงสร้างความมั่นคง (Cybersecurity Framework)

จุดแข็งของ NIST Cybersecurity Framework เมื่อเทียบกับ ISO27001 (ISMS) คือ NIST Cybersecurity Framework มีเป้าหมายเพื่อปกป้ององค์กรจากการโจมตีซึ่งรวมไปถึงการตอบสนองและการกู้จากปัญหา โดยมีหลักการเน้นชุดกิจกรรมและวิธีปฏิบัติ ซึ่งต่างจาก ISMS ซึ่งเน้นที่ Policy และการป้องกันเป็นหลัก แต่ทั้งสองระบบไม่ได้มีความขัดแย้งกัน และองค์กรสามารถ Implement NIST Cybersecurity Framework เป็นส่วนหนึ่งของระบบ ISMS ได้ หรืออาจเริ่มจาก NIST Cybersecurity Framework Core แล้ว

เมื่อพร้อม ขยายชุดของ Control/Documentation/Audit เพื่อนำไปสู่การรับรองของ ISMS ได้เช่นกัน

การจัดการ Information Security นั้น ไม่มีวิธีใดวิธีหนึ่งหรือหลักการใดหลักการหนึ่งสามารถใช้ได้กับทุกองค์กรเพื่อแก้ทุกปัญหา (No Panacea หรือ Silver Bullet) หากแต่เป็นการจัดการให้เหมาะสมแก่คุณค่าและการลงทุนอยู่ตลอดเวลา โดยหลักการและมาตรฐานที่นำมากล่าวถึงในบทความนี้ทั้งสองตัวอย่างเป็นเพียงบางส่วนของมาตรฐานที่มีใช้ การจัดการ Security นั้นยังมีหลักการอื่นๆ ที่น่าสนใจและมีเป้าหมายจำเพาะอีก เช่น CSA C*STAR ซึ่งเป็นมาตรฐานการจัดการ Cloud Datacenter & Service Provider เพื่อสร้างความน่าเชื่อถือของระบบ Cloud และองค์กรที่ให้บริการผ่านระบบ Cloud และยังมีมาตรฐานอื่นๆ เช่น OWASP และ S-SDLC (Secure Software Development Life Cycle) อื่นๆ ที่มีเพื่อสร้างความน่าเชื่อถือของกระบวนการพัฒนาซอฟต์แวร์เป็นหลักอีก ซึ่งผู้เขียนจะนำมากล่าวถึงในบทความในฉบับถัดๆ ไป

Category
Cloud Platform & Infrastructure, Security, Solution