Security Framework และมาตรฐานความมั่นคงดิจิทัล

Security Framework และมาตรฐานความมั่นคงดิจิทัล

Information Security นั้นประกอบไปด้วยหลายองค์ประกอบและหลากหลายสาขาความรู้ ในสาขา IT เช่น Network Security, Application Security, Forensics, Cryptography, และอื่นๆ อีกมากมาย

 

พื้นฐานการจัดการปัญหาต่างๆ ที่เกี่ยวข้องกับ Information Security นั้นมีความจำเป็นที่จะต้องทำให้สอดคล้องกับ Business Objectives หรือเป้าหมายทางธุรกิจ และการลงทุนนั้นจะต้องตอบโจทย์ของธุรกิจ กล่าวคือ จะต้องปกป้องทรัพย์สินที่สำคัญที่สุดของธุรกิจนั้นๆ จึงจะคุ้มค่า

 

หลักการจัดการดังกล่าวประกอบไปด้วยการดูแลให้เกิดการจัดการที่ดีมีธรรมาภิบาล (Good Governance) การจัดการความเสี่ยง (Risk Management) และการปฏิบัติตามกฎกติกา (Compliance) หรือเรียกสั้นๆ ว่า GRC

 

 

GRC นั้นประกอบไปด้วยหลาย Concept เช่น IT Governance (ซึ่งมีมาตรฐานการจัดการเช่น CobiT) และ IT Best Practice เช่น ISO 27001 – Information Security Management System.

 

แนวทางการดำเนินการ GRC (GRC Framework) เน้นการสร้างดุลยภาพระหว่าง People, Process และ Technology เพื่อเกื้อหนุนกันในการสร้างการจัดการองค์กรที่ดี โดยมีระบบการจัดการเป็นวัฎจักร PDCA (Plan-Do-Check-Act) เพื่อให้เกิดการพัฒนาอย่างต่อเนื่อง (Continuous Improvement)

 

 

บทความนี้จะอธิบายถึงมาตรฐาน ISO 27001:2013 ที่เป็นมาตรฐานที่เป็นที่ยอมรับที่สุดอันหนึ่งในวงการเกี่ยวกับการจัดการดูแลความปลอดภัยและความมั่นคงของข้อมูล (ISMS)

 

นอกจากนั้น จะพูดถึงโครงสร้างการดำเนินการความมั่นคงไซเบอร์ระดับนานาชาติของ National Institute of Standards and Technology หรือ NIST Cyberse-Curity Framework ซึ่งมีเนื้อหาที่แตกต่างจาก ISMS และเริ่มเป็นที่นิยมใช้มากขึ้น

 

Information Security Management System (ISO 27001:2013) ISMS เป็นมาตรฐานการจัดการข้อมูลที่มีความสำคัญเพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่อง การนำ ISMS มาประยุกต์ใช้ในองค์กรจะช่วยป้องกันกระบวนการทางธุรกิจจากภัยร้ายแรงต่างๆ เช่น วาตภัย อุทกภัย หรือการโจมตีจากผู้ไม่ประสงค์ดี

 

เป้าหมายของ ISMS คือการสร้างระบบการจัดการความปลอดภัยของข้อมูลเพื่อ

 

  • Confidentiality – การจัดการให้แน่ใจว่า ผู้ที่ควรได้รับสิทธิเท่านั้นที่สามารถเข้าถึงข้อมูลได้
  • Integrity – การดูแลป้องกันให้ข้อมูลมีความถูกต้องสมบูรณ์ทั้งในการเก็บและระหว่างการสื่อสาร
  • Availability – การทำให้แน่ใจว่าผู้ที่มีสิทธิสามารถเข้าถึงข้อมูลได้ในเวลาที่ต้องการ

 

หลักการสำคัญของการทำ ISMS คือการเข้าใจถึงการจัดการความเสี่ยงขององค์กร (Risk Management)

โดยปกติแล้วจะมีขั้นตอนคร่าวๆ ดังนี้

 

  • ความเห็นชอบและการให้ความสำคัญของผู้บริหารองค์กรต่อการมีมาตรฐาน ISMS
  • การวิเคราะห์องค์กรเพื่อเข้าใจ Context ขององค์กรและการจำกัด Scope ที่จะทำการ พัฒนากระบวนการเข้าสู่มาตรฐาน ISMS
  • การกำหนด Policy หลักขององค์กร
  • การประเมินความเสี่ยงขององค์กร และการกำหนดมาตรการ(Control) เพื่อจัดการความเสี่ยง (Managing Risk)
    • การลดทอนความเสี่ยง (Risk Reduction)
    • การหลีกเลี่ยง ความเสี่ยง (Risk Avoidance)
    • การถ่ายทอดความเสี่ยง (Risk Transfer)
    • การยอมรับความเสี่ยง (Risk Acceptance)
  • การสร้างระบบการติดตามและประเมินผล (Monitoring and Evaluation)
  • การเก็บหลักฐานและการจดบันทึก (Document Information)
  • การฝึกฝนพนักงาน
  • การตรวจสอบ (Audit)
  • การประเมินโดยฝ่ายบริหาร (Management Review)
  • การตรวจสอบโดยองค์กรภายนอกเพื่อประเมินและสอบรับใบรับรอง (External Audit and Certification)

 

โดยเป้าหมายขององค์กรส่วนใหญ่จะทำการสร้างระบบ ISMS เพื่อการได้รับใบรับรองในขั้นตอนที่ 10 เพื่อให้เป็นที่น่าเชื่อถือของลูกค้าและ Partner โดยเมื่อองค์กรได้รับใบรับรองแล้วจะต้องมีการตรวจสอบและประเมินเป็นระยะทุกปี เพื่อยืนยันการดำเนินการที่ถูกต้องและมีการพัฒนาอย่างต่อเนื่องของระบบ ISMS

 

ประโยชน์ของระบบ ISMS คือทำให้องค์กรรู้จักความเสี่ยงของตนเอง เพื่อนำไปสู่การลงทุนในการปกป้องข้อมูลสารสนเทศได้อย่างมีประสิทธิภาพ

 

NIST Cybersecurity Framework

 

National Institute of Standards and Technology (NIST) ของประเทศสหรัฐอเมริกา ประกาศแนวทางการจัดการ Cybersecurity เพื่อเป็นแนวทางให้ภาครัฐและเอกชนใช้ในการดำเนินการเกี่ยวกับการดูแลและปกป้ององค์กรจากภัยในโลกไซเบอร์เมื่อเดือนกุมภาพันธ์ 2557 ตามคำสั่งของประธานาธิบดี

 

 

 

 

โครงสร้างการดำเนินการ Cybersecurity ของ NIST (NIST Cybersecurity Framework) ถูกสร้างขึ้นเพราะปัจจุบันภัยร้ายจากการถูกโจมตีบนโลกไซเบอร์ได้สร้างความเสียหายแก่เศรษฐกิจและความมั่นคงของประเทศเป็นอย่างมาก

 

โดยเป้าหมายของโครงสร้างการดำเนินการดังกล่าวคือช่วยให้องค์กรเข้าใจและมีวิธีการจัดการกระบวนการปกป้องและรับมือจากภัยร้ายได้อย่างมีประสิทธิภาพ โดยโครงสร้างดังกล่าวมีองค์ประกอบหลักดังนี้

 

 

  • กลุ่มของกิจกรรมและกระบวนการขององค์กรที่จัดทำขึ้นเพื่อแยกแยะ (Identify) ปกป้อง (Protect) ตรวจสอบ (Detect)ตอบสนอง (Respond) และกอบกู้ (Recover) จากการโจมตีไซเบอร์ (Cyber Attack) หรือเรียกรวมๆ ว่า Framework Core 
  • ชุดของวิธีการประเมินระดับความพร้อมขององค์กรในการเตรียมการและดำเนินการปฏิบัติกิจกรรมและกระบวนการข้างต้นของ Framework Core (เรียกว่า Implementation Tiers) 
  • การจัดทำเป้าหมาย Profile (Target Profile) ขององค์กรและการประเมินสถานะขององค์กรในปัจจุบัน (Profile) เพื่อแยกแยะและบ่งชี้โอกาสในการพัฒนาระบบการปกป้องตนเองตามโครงสร้างความมั่นคง (Cybersecurity Framework)

 

จุดแข็งของ NIST Cybersecurity Framework เมื่อเทียบกับ ISO27001 (ISMS) คือ NIST Cybersecurity Framework มีเป้าหมายเพื่อปกป้ององค์กรจากการโจมตีซึ่งรวมไปถึงการตอบสนองและการกู้จากปัญหา

 

โดยมีหลักการเน้นชุดกิจกรรมและวิธีปฏิบัติ ซึ่งต่างจาก ISMS ซึ่งเน้นที่ Policy และการป้องกันเป็นหลัก แต่ทั้งสองระบบไม่ได้มีความขัดแย้งกัน และองค์กรสามารถ Implement NIST Cybersecurity Framework เป็นส่วนหนึ่งของระบบ ISMS ได้ หรืออาจเริ่มจาก NIST Cybersecurity Framework Core แล้วเมื่อพร้อม ขยายชุดของ Control/Documentation/Audit เพื่อนำไปสู่การรับรองของ ISMS ได้เช่นกัน

 

 

การจัดการ Information Security นั้น ไม่มีวิธีใดวิธีหนึ่งหรือหลักการใดหลักการหนึ่งสามารถใช้ได้กับทุกองค์กรเพื่อแก้ทุกปัญหา (No Panacea หรือ Silver Bullet) หากแต่เป็นการจัดการให้เหมาะสมแก่คุณค่าและการลงทุนอยู่ตลอดเวลา

 

โดยหลักการและมาตรฐานที่นำมากล่าวถึงในบทความนี้ทั้งสองตัวอย่างเป็นเพียงบางส่วนของมาตรฐานที่มีใช้ การจัดการ Security นั้นยังมีหลักการอื่นๆ ที่น่าสนใจและมีเป้าหมายจำเพาะอีก เช่น CSA C*STAR ซึ่งเป็นมาตรฐานการจัดการ Cloud Datacenter & Service Provider เพื่อสร้างความน่าเชื่อถือของระบบ Cloud และองค์กรที่ให้บริการผ่านระบบ Cloud

 

ยังมีมาตรฐานอื่นๆ เช่น OWASP และ S-SDLC (Secure Software Development Life Cycle) อื่นๆ ที่มีเพื่อสร้างความน่าเชื่อถือของกระบวนการพัฒนาซอฟต์แวร์เป็นหลักอีก ซึ่งผู้เขียนจะนำมากล่าวถึงในบทความถัดๆ ไป

Top