Post on 18-Dec-2014
description
Risk AssessmentRisk Assessment : RA: RA
Risk AssessmentRisk Assessment : RA: RA
InformationSecuritySecurity
Information Risk
การประเมนความเ สยง เ ปน
กระบวนการแรกในวธการบรหารกระบวนการแรกในวธการบรหาร
จ ด ก า ร ค ว า ม เ ส ย ง ใ น ก า ร
ตรวจสอบขอบเขตของความเสยงตรวจสอบขอบเขตของความเสยง
และภ ย ค กค ามท ผ ลท ไ ด จ า ก
กระบวนการจะชวยใหสามารถหากระบวนการจะชวยใหสามารถหา
วธการควบคมท เหมาะสมสาหรบ
การลดหรอกาจดความเ สยงทการลดหรอกาจดความเสยงท
เกดขน
สามารถแบงออกเปน 9 ขนตอนดงน
1 การอธบายลกษณะของระบบ1. การอธบายลกษณะของระบบ
(System Characterization)
2 ช (Th Id ifi i )2. การบงชภยคกคาม (Threat Identification)
3. การบงชความไมมนคง (Vulnerability Identification)
4. การวเคราะหการควบคม (Control Analysis)
5. การตรวจสอบโอกาสในการเกดภยคกคาม
(Likelihood Determination)
สามารถแบงออกเปน 9 ขนตอนดงน
6. การวเคราะหผลกระทบ (Impact Analysis)
7. การตรวจสอบความเสยง (Risk Determination)
8. การเสนอวธการควบคม (Control Recommendations) 8. การเสนอวธการควบคม (Control Recommendations)
9. การทาเอกสารสรปผล (Result Documentation)
การระบของเขตในการพจารณาจะตองคานงถงจานวน
ทรพยากรและขอมลขาวสารทมอยในระบบ จะตองกาหนดทรพยากรและขอมลขาวสารทมอยในระบบ จะตองกาหนด
ขอบเขตในการประเมนความเสยง จาแนกขอบเขตการให
ใ สทธในการทางาน และเตรยมขอมลทมผลตอความเสยง
1.ขอมลทสมพนธกบระบบ (System-Related Information)
2.เทคนคการรวบรวมขอมล (Information-Gathering Techniques)
ขอมลทสมพนธกบระบบ (System-Related Information)
• อปกรณฮารดแวร อปกรณฮารดแวร
• ซอฟแวร
• การเชอมตอระบบทงภายในและภายนอก• การเชอมตอระบบทงภายในและภายนอก
• ระบบขอมลและขาวสาร
ใ • บคคลผทดแลและใชงานระบบ
• พนธกจของระบบ เชน กระบวนการททาโดยระบบ
ขอมลสารสนเทศ
ขอมลทสมพนธกบระบบ (System-Related Information)
•ความสาคญของขอมลและระบบ เชน คณคาของระบบ•ความสาคญของขอมลและระบบ เชน คณคาของระบบ
หรอความสาคญทมตอองคกร
ป ป • ระดบการปกปองขอมลและระบบ
เทคนคการรวบรวมขอมล(Information-Gathering Techniques)
• สวนแบบสอบถาม (Questionnaire) ในการรวบรวมขอมลท สวนแบบสอบถาม (Questionnaire) ในการรวบรวมขอมลท
เกยวของ ผททาการประเมนความเสยงสามารถปรบปรง
แบบสอบถามแบบสอบถาม
• สวนการสมภาษณตามสถานทจรง (On-site Interviews)
การสมภาษณบคคลทมหนาทดแลหรอบรหารระบบขอมลการสมภาษณบคคลทมหนาทดแลหรอบรหารระบบขอมล
สารสนเทศทาใหผประเมนความเสยงสามารถรวบรวมขอมลทม
ภยคกคาม คอ สงทเปนไปไดทแหลงกาเนดภยคกคาม
จะกระทาตอสงทไมมความมนคง จะกระทาตอสงทไมมความมนคง
ความไมมนคงคอความออนแอของสงหนงทาใหไดรบ
ไ ผลกระทบจากภายนอกไดงาย
การบงชแหลงกาเนดภยคกคาม (Threat-Source Identification)
เปาหมายของขนตอนนคอ ระบแหลงกาเนดของภยคกคาม
และประมวลผลเปนรายชอภยคกคามทมผลตอระบบขอมล
สามารถแบงออกเปน 3 ประเภทดงน
ประเภทแรก ภยคกคามโดยธรรมชาต (Natural Threats)
ไ ป เชน นาทวม แผนดนไหว พาย เปนตน
ประเภทสอง ภยคกคามโดยมนษย (Human Threats) ทง
การกระทาทเกดจากความไมตงใจและการกระทาผดโดย
เจตนา
ประเภทสาม ภยคกคามจากสภาพแวดลอม (Environment
Threats) เชน ระบบไฟฟาขดของ มลภาวะ สารเคมรวไหล Threats) เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล
เปนตน
Natural
ThThreats
Human Threats Motivation and
Threat Actions
Environment
Threat Actions
Threats
การวเคราะหภยคกคามทมตอระบบขอมลสารสนเทศ
ตองมการวเคราะหความออนแอไมมนคงของสภาพแวดตองมการวเคราะหความออนแอไมมนคงของสภาพแวด
ลอม ของระบบ เปาหมายของขนตอนนคอการพฒนา
ไ ใ โรายการความไมมนคงของระบบททาใหระบบมโอกาส
ไดรบภยคกคาม
ความไมมนคง(Vulnerability)
แหลงกาเนดภยคกคาม(Threat‐Source)
ปฏกรยาภยคกคาม(Threat‐Action)
ไ พนกงานทหมดสภาพ ไมมการลบขอมลของ
พนกงานทออกจาก
บรษทไปแลวจากระบบ
พนกงานทหมดสภาพ
การเปนพนกงานของ
บรษท
การแอบเขามาดงขอมล
สาคญของบรษทโดย
การตอโมเดมเขามาในบรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน
บรษท
ศนยกลางขอมลใชระบบ ไฟ, บคคลทเพกเฉย ระบบนาฉดพนทางาน
พนนาเพอปองกนไฟไหม
แตไมมอปกรณกนนา
ป ไฟฟ
ไฟ, บคคลทเพกเฉยไมใหความใสใจ
ระบบนาฉดพนทางาน
เมอเกดไฟไหม
สาหรบอปกรณไฟฟาและ
เอกสารขอมลตางๆ
เปาหมายของขนตอนนเพอวเคราะหการควบคมท
ใ ไ โ องคกรใชอยหรอทวางแผนไวเพอลดหรอกาจดโอกาสท
จะเกดภยคกคาม ได 2 อยางคอ
• วธการควบคม (Control Method)
• ประเภทของการควบคม (Control Category)
วธการควบคม (Control Method) การควบคมการรกษา
ความปลอดภยอาศยวธการควบคมทงเชงเทคนคและทไมใช
เชงเทคนค
การควบคมเชงเทคนคคอการปกปองระบบเกยวกบร ว มเ เ น ร ร เ ว
อปกรณฮารดแวร ซอฟแวรของเครองคอมพวเตอร เชน
วธการเขารหสขอมลวธการเขารหสขอมล
การควบคมทไมใชเชงเทคนคคอการบรหารจดการ
ป โ และควบคมการปฏบตงานเชน นโยบายรกษาความ
ปลอดภย
ประเภทของการควบคม (Control Category) การควบคม
ทงเชงเทคนค และทไมใชเชงเทคนคถกแบงประเภทได 2 ทงเชงเทคนค และทไมใชเชงเทคนคถกแบงประเภทได 2
ประเภทคอการควบคมแบบปองกน และการควบคมแบบ
ตรวจจบ
การควบคมแบบปองกนมจดประสงคเพอไมใหเกด
ความไมปลอดภยกบระบบ
การควบคมแบบตรวจจบมจดประสงคเพอแจงให
ทราบวาเกดความไมปลอดภยขนบนระบบ
การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ
เปนไปไดทระบบจะไมมความมนคงสามารถทาไดเมออยใน
ส ป ไ สภาพแวดลอมทมภยคกคาม ปจจยทตองพจารณาไดแก
• ความสามารถของแหลงกาเนดภยคกคามในการ
กอใหเกดความเสยง
• ธรรมชาตของความไมมนคงทกอใหเกดความเสยง
• ความมประสทธภาพของวธการควบคมทมอย
ระดบสง หมายถง แหลงกาเนดภยคกคามมความสามารถ ระดบสง หมายถง แหลงกาเนดภยคกคามมความสามารถ
สงในการกระตนและกอใหเกดความเสยงตอระบบและวธการ
ควบคมทมอยไมมประสทธภาพควบคมทมอยไมมประสทธภาพ
ระดบปานกลาง หมายถง แหลงกาเนดภยคกคามมความ
สามารถพอ ทจะกอใหเกดความเสยงตอระบบได แตระบบม
การควบคมทมประสทธ ภาพทาใหสามารถปองกนระบบจาก
ความไมมนคงทเกดขน
ระดบตา หมายถง แหลงกาเนดภยคกคามไมสามารถ
สรางความเสยงใหแกระบบได หรอวธการควบคมความ
ปลอดภยของระบบมประสทธภาพสง สามารถรกษาความ
มนคงของระบบไดด
การวดระดบความเสยงคอการตรวจสอบผลกระทบตอ
ระบบเมอเกดภยคกคามขน กอนทจะเรมวเคราะห
ผลกระทบ ทง 3 ดาน
• พนธกจของระบบ (System mission)
• ความสาคญของระบบและขอมล
(System and data criticality)
• ความไวตอการเปลยนแปลงของระบบและขอมล ความไวตอการเปลยนแปลงของระบบและขอมล
(System and data sensitivity)
ผลกระทบระดบสง หมายถง ความไมมนคงของระบบ
สงผลใหเกดการสญเสยทรพยสน และทรพยากรหลกของ ญ
องคกรจานวนมาก หรอเปนอนตรายรายแรงตอพนธกจ
และองคกร
ผลกระทบระดบปานกลาง หมายถง ความไมมนคงของ
ใ ระบบสงผลใหเกดการสญเสยทรพยสน และทรพยากรของ
องคกร หรอสงผลตอพนธกจและองคกร
ผลกระทบระดบตา หมายถง ความไมมนคงของระบบ
สงผลใหเกดการสญเสยทรพยสนและทรพยากรขององคกรสงผลใหเกดการสญเสยทรพยสนและทรพยากรขององคกร
เลกนอย หรอสงผลตอพนธกจหรอชอเสยงขององคกรบาง
เลกนอยเลกนอย
การตรวจสอบความเสยงจะพจารณาจากปจจยจาก
ขนตอนท ผานมาไดแก โอกาสทภยคกคามท เกดขนทาใหขนตอนทผานมาไดแก โอกาสทภยคกคามทเกดขนทาให
ระบบขาดความม นคง, ระดบผลกระทบหรอความรนแรง
ป ของภยคกคามทมตอระบบ และประสทธภาพของแผนการ
ควบคมความปลอดภยของระบบ โดยใชว ธมาตรฐาน
เมตรกซระดบความเสยง (Risk-Level Matrix)
วธมาตรฐานเมตรกซระดบความเสยง (Risk-Level Matrix)
โอกาสเกดความเสยง (Lik lih d) กบ ความรนแรงของ โอกาสเกดความเสยง (Likelihood) กบ ความรนแรงของ
ความเสยง (Impact)
โอกาสการเกด
ความเสยง
ความรนแรงของความเสยง (Impact)
ตา (10) ปานกลาง (50) สง (100)(Likelihood)
ตา (10) ปานกลาง (50) สง (100)
สง (1.0)
ตา
10 x 1.0 = 10
ปานกลาง
50 x 1.0 = 50
สง
100 x 1.0 = 100
ป ปปานกลาง (0.5)
ตา
10 x 0.5 = 5
ปานกลาง
50 x 0.5 = 25
ปานกลาง
100 x 0.5 = 50
ตา ตา ตา
ตา (0.1)ตา
10 x 0.1 = 1
ตา
50 x 0.1 = 5
ตา
100 x 0.1 = 10
ระดบความเสยง (Risk Level) แบงเปน 3 ระดบ ระดบความเสยงสง หมายถงจาเปนตองไดรบการแกไข
อยางเรงดวน ระบบทดาเนนอยอาจจะยงคงปฏบตงาน
ตามปกตแตจะตองนาแผนการแกไขมาใชทนททเปนไปได
ระดบความเสยงปานกลาง หมายถงควรมการแกไขและ
ไ ป ป ใ แผนการควบคมควรไดรบการปรบปรงแลวนามาใชความเสยง
เปนฟงกชนของโอกาสทจะเกดเหตการณใดๆ ซงกอใหเกดภย
ใ ใ ป ป คกคามในระบบทมความออนแอในการปกปองกบความรนแรง
ของผลกระทบทจะเกดขนจากภยคกคามนน
ระดบความเสยง (Risk Level) แบงเปน 3 ระดบ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ
เพอใหแนใจวาแผนการควบคมทมอยจะสามารถแกไขปญหาและ
รบมอกบความเสยงไดรบมอกบความเสยงได
การควบคมภายในองคกรชวยลดระดบความเสยงทจะ
เกดกบระบบขอมลสารสนเทศ และขอมลอนๆขององคกร
ใหอยในระดบทสามารถยอมรบได การเสนอวธการควบคม
เปนผลจากกระบวนการประเมนความเสยงและเปนการ
เตรยมขอมลสาหรบกระบวนการลดระดบความเสยงเตรยมขอมลสาหรบกระบวนการลดระดบความเสยง
เมอการประเมนความเสยงเสรจสมบรณแลว ตองม
การรวบรวมขอมลทเกยวของทงหมดและจดทาเอกสารสรป
รายงานการประเมนความเสยงเปนรายงานทนาไปใชรวมกบ
การบรหารจดการ เพอประกอบการตดสนใจตางๆของ
องคกรองคกร
1. การศกษาการบรหารจดการความเสยงในการพฒนาระบบ
เทคโนโลยสารสนเทศของธรกจธนาคารไทย
(ผาณต ลมเกยรตเชดช, วทยาลยนวตกรรมอดมศกษา
มหาวทยาลยธรรมศาสตร, (2544)), ( ))
2 การศกษาความเสยงในโครงการเทคโนโลยสารสนเทศ (Risk
in Information Technology Project)gy j )
(จนตนา กองนล,หลกสตรวทยาศาสตรมหาบณฑต สาขาวชา
เทคโนโลยสารสนเทศสถาบนเทคโนโลยพระจอมเกลาเจาคณทหาร
ลาดกระบง, (2545))
การประเมนความเสยงเปนขนตอนสาคญทเลยงไมได
ผลการวเคราะหความเสยงคอผลการวเคราะหความเสยงคอ• ตวชนาในการกาหนดนโยบายและการดาเนนการดานความ
มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปนมนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปนประจา ตามระยะเวลาทกาหนดไวองคกรกไมสามารถรไดวา
ปญหามอะไรบาง ปญหามอะไรบาง
การประเมนความเสยงเปนขนตอนสาคญทเลยงไมได
ผลการวเคราะหความเสยงคอผลการวเคราะหความเสยงคอ• การกาหนดนโยบายความมนคง สารสนเทศโดยไมมผลการวเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและวเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ
ยอมไมสงผลดตอความมนคงสารสนเทศขององคกร องคกรท
ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม
เกดความลมเหลวเพราะนโยบายไมมสงชนา อาจนาไปสระบบ
สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน บรณการและการเกบรกษาความลบทเหมาะสม.
การประเมนความเสยงเปนขนตอนสาคญทเลยงไมได
ผลการวเคราะหความเสยงคอผลการวเคราะหความเสยงคอ• ระบบสารสนเทศทมอาจสงผลใหเกด ความเสยหายดานความปลอดภยตอชวตและทรพยสนของผมสวนไดเสย อกทงอาจเปนปลอดภยตอชวตและทรพยสนของผมสวนไดเสย อกทงอาจเปน
สาเหตททาใหเกด ภาวะเสยงตอการฟองรองดาเนนคดได.
QQQQ&&&&
AAAA
Thank You… Security GroupThank You… Security Group