ACIS Article

พื้นฐานที่จำเป็นสำหรับมืออาชีพด้านระบบความปลอดภัยคอมพิวเตอร์ (CBK) ตอนจบ "Security Management Practices" และ "Law, Investigation & Ethics"
by A.Pinya Hom-anek
CISSP,CISA
ACIS Professional Team
E-mail:

จากข้อมูลที่ IDC ได้ทำนายทิศทาง IT ในปี 2546 สรุปได้ว่า Information Security จะเป็นเรื่องสำคัญที่มาแรงพอๆกับเรื่อง Linux จะมาแทนที่ระบบปฏิบัติการ UNIX พร้อมทั้งคาดว่าในปีหน้า จะมีการโจมตีระบบเครือข่ายอินเตอร์เน็ตครั้งใหญ่อีกด้วย

     กระแส IT ในยุคอนาคตนั้นต้องการ IT Professional เข้ามาดูแลจัดการระบบซึ่งนับวันยิ่งทวีความซับซ้อนขึ้นเรื่อยๆ ตลาด Hardware และ Software ด้านความปลอดภัยข้อมูลมีการขยายตัวขึ้นอย่างมาก ไม่ว่าจะเป็น Anti-Virus , Firewall , Intrusion Detection System (IDS) และ Virtual Private Network (VPN)
     จึงไม่น่าแปลกใจที่จำนวนของ CISSP (Certified Information System Security Professional) นั้นเพิ่มขึ้นถึง 10,000 คนแล้วในขณะนี้ (ข้อมูลเพิ่มเติมดูได้ทีhttp://www.pisa.org.hk/event/certexam/cissp/cissp_update.html) โดยในทวีปเอเชียมีจำนวน CISSP เกือบ 2 พันคน ซึ่งประเทศฮ่องกงเป็นประเทศที่มี CISSP มากที่สุด รองลงมาก็คือ เกาหลีใต้ และสิงคโปร์ แสดงให้เห็นถึงศักยภาพในการพัฒนาบุคลากรด้าน Information Security ของประเทศต่างๆ ในแถบเอเชีย
     ในอนาคตปัญหาเรื่องอาชญากรรมทางอินเตอร์เน็ต หรือ สงครามอินเตอร์เน็ต (Cyber Warfare) คงเป็นเรื่องที่หลีกเลี่ยงไม่ได้ ในยุค Digital Economy เช่นนี้เราจึงจำต้องให้ความสำคัญกับการจัดการ Information Security ตลอดจนข้อกฎหมายต่างๆที่เกี่ยวข้อง (IT Laws)

     ในฉบับนี้ผมขอกล่าวถึงCBK (Common Body of Knowledge) ใน DOMAIN ที่ 9 และ 10 เริ่มจาก DOMAIN ที่ 9 "Security Management Practices" เป็นเรื่องเกี่ยวกับการการบริหารจัดการเรื่องระบบความปลอดภัยข้อมูลในองค์การอย่างมีหลักการ
     เริ่มจากต้องเข้าใจ "CIA Triad" เสียก่อน CIA Triad ประกอบด้วย Confidentiality, Integrity และ Availability (ผมได้เขียนถึง CIA Triad ไปแล้วใน E-week ฉบับเดือนกันยายน) ผู้ที่ต้องการสอบผ่านข้อสอบของ (ISC)2 เพื่อเป็น CISSP นั้นต้องเข้าใจเรื่องการบริหารความเสี่ยง (Risk Management), การวิเคราะห์ความเสี่ยง (Risk Analysis), การเลือกและเปรียบเทียบ Safeguard, การทำ Cost-Benefit Analysis
     ขั้นตอนสำคัญที่เราควรศึกษาโดยละเอียด ได้แก่ เรื่อง "Risk Assesment" โดยใช้โปรแกรมและวิธีทางด้านเทคนิคต่างๆ เพื่อตรวจดูว่าระบบของเรามีช่องโหว่ (Vulnerability) ที่อาจจะมีผลกระทบจากภัยทั้งภายในและภายนอก (Internal and External Threat) Risk Assessment นั้นจะมีทั้งแบบ Quantitative และ Qualitative เราควรรู้ถึงข้อดีและข้อเสียของแต่ละแบบ ตลอดจนรู้สูตรการคำนวณมูลค่าความเสียหายต่อปี ALE (Annual Loss Expectancy) เป็นต้น
     เรื่องการจำแนกประเภทข้อมูล (Data Classification) ก็อยู่ใน Domain นี้เช่นกัน ข้อมูลถูกแบ่งออกเป็น 4 ประเภทใหญ่ๆ ได้แก่ Top Secret, Secret, Confidential และ Unclassified
     การจัดการ "Change Control" ที่มักจะใช้ในธุรกิจธนาคาร ก็เป็นเรื่องที่เราต้องทำความเข้าใจ ตลอดจนควรศึกษานโยบายในการจ้างและเลิกจ้างพนักงาน (Employment Policies & Practices) อีกด้วย
     เรื่องแผนการฝึกอบรมให้เกิดความตื่นตัวด้านระบบรักษาความปลอดภัยข้อมูล (Security Awareness Program) เป็นเรื่องสำคัญที่ไม่ควรมองข้าม ควรมีการฝึกอบรมตั้งแต่ผู้บริหารจนถึงผู้ใช้งานทั่วไปให้ตระหนักถึงความสำคัญเรื่อง Information Security ว่าเป็นความรับผิดชอบของทุกคนในองค์กร ไม่ใช่แต่เพียงแผนก MIS เท่านั้น
     กล่าวโดยสรุป DOMAIN นี้จะเน้นหลักการในการบริหารด้านความปลอดภัยกับข้อมูลอย่างเป็นระบบ ตลอดจนเน้นเรื่อง "Security Awareness Program" ว่าเป็นเรื่องสำคัญที่ ควรนำมา Implement ในองค์กรที่ต้องการรักษาความปลอดภัยของระบบอย่างจริงจัง

     Domain ที่10 ซึ่งเป็น Domain สุดท้ายของ CBK ได้แก่เรื่องของ "Law, Investigation & Ethics" เรื่องกฎหมายนั้นเป็นกฎหมายของประเทศสหรัฐอเมริกาเช่น Computer Fraud and Abuse Act ตลอดจนเรื่องของของ Licensed, Intellectual Properties และ Administrative Law
     ยกตัวอย่าง Intellectual Properties ได้แก่ Trademarks, Copyrights, Patents และ Trade Secrets ซึ่งทั้ง 4 ประเภทนั้นมีความแตกต่างกัน
     พูดถึงเรื่อง Investigation ให้นึกถึงการทำงานของตำรวจที่มาตรวจที่เกิดเหตุเพื่อเก็บหลักฐาน (Evidences) เพียงแต่หลักฐานที่ต้องเก็บในที่นี้นั้นอยู่ในรูปแบบของ Digital Format ซึ่งต้องมีกระบวนการในการเก็บหลักฐานที่ถูกต้อง (Evidence Handling Process) เพื่อสามารถนำมาใช้ในชั้นศาลได้ Domain นี้จะกล่าวถึง คำศัพท์ต่างๆที่เราควรรู้ ได้แก่ Due Care, Due Diligence, Hearsay, Chain of Custody เป็นต้น
     อาชญากรรมทางคอมพิวเตอร์ หรือ Computer Crime นั้นแบ่งได้เป็น 6 ประเภทใหญ่ๆ ได้แก่ Military Attack, Business Attack, Financial Attack, Terrorist Attack, Grudge Attack และ "Fun" Attacks เราควรทำความเข้าใจถึงความแตกต่างของการ "Attack" ในแต่ละแบบ
     เรื่องของจริยธรรมทางคอมพิวเตอร์ก็ถูกนำมาออกข้อสอบ CISSP ด้วย โดยจะกล่าวถึง RFC 1087 "Ethic And The Internet" ของ IAB (Internet Activity Board) และ (ISC)2 "Code of Ethics" ซึ่งเป็นของ (ISC)2 เอง เราสามารถอ่าน "Code of Ethics" ได้ที่ http://www.isc2.org/code.html โดยจะกล่าวถึงการประพฤติปฏิบัติให้สมกับเป็น CISSP หรือ Certified Information System Security Professional ซึ่งทาง (ISC)2 ค่อนข้างเน้นเรื่องนี้เป็นพิเศษ

     จาก CBK (Common Body of Knowledge) 10 Domain ที่ท่านผู้อ่านได้ติดตามใน e-week ในหลายฉบับที่ผ่านมา ผมคิดว่าท่านคงมองเห็นภาพรวมของ CBK ว่ามีความสำคัญการทำงานด้าน Information Security เพียงใด ผมขอให้ท่านผู้อ่านที่ตั้งใจในการสอบ CISSP ประสบความสำเร็จเป็น "CISSP" กันทุกท่าน เพื่อที่จะได้มาช่วยกันพัฒนาประเทศไทย ให้เข้าสู่ "สังคมแห่งภูมิปัญญาและการเรียนรู้" อย่างที่รัฐบาลเราได้วางแผนไว้นะครับ
     ท้ายสุดนี้ ผมขอส่งความสุขให้แก่ท่านผู้อ่านทุกท่าน และขอให้มีสุขภาพร่างกายแข็งแรงนะครับ สวัสดีปีใหม่ครับ.

จาก : หนังสือ eWeek Thailand
ปีที่ 10 ฉบับที่26 ประจำเดือนมกราคม 2546 (ปักหลัง)
Update Information : 23 ธันวาคม 2545