ACIS Article

10 หลักเกณฑ์ในการเลือก MSSP (Managed Security Service Provider) เพื่อให้สอดคล้องกับกฎหมายสารสนเทศและนโยบาย IT Security Outsourcing ในยุค IT Governance
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
E-mail:

ความสำคัญของธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ หรือ IT Governance นั้น เริ่มเป็นรูปธรรมและกลายเป็นเรื่องจำเป็นสำหรับผู้บริหารระบบสารสนเทศระดับสูง หรือ CIO (Chief Information Officer) เนื่องจากกระแสของ "Regulatory Compliance" หรือ การปฏิบัติตามกฎข้อบังคับหรือกฎหมายต่างๆได้ มีผลกระทบกับผู้บริหารระดับสูงขององค์กรอย่างหลีกเลี่ยงไม่ได้ เพราะหากไม่ปฏิบัติตามกฎหมาย ผู้บริหารระดับสูงถือว่าเป็นจำเลยในกรณีที่มีการตรวจสอบโดยผู้ตรวจสอบว่าไม่ได้ปฎิบัติตามกฎข้อบังคับ หรือ กฎหมายดังกล่าว เช่น กฎหมาย SOX (Sarbanes-Oxley) ของประเทศสหรัฐอเมริกา, J-SOX ของประเทศญี่ปุ่น ตลอดจนกฎหมายพ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 ที่มีผลบังคับใช้แล้ว และ พ.ร.บ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ที่กำลังจะผ่านความเห็นชอบจากคณะรัฐมนตรี ล้วนแต่มีข้อกำหนดเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ที่ผู้บริหารระดับสูงต้องให้ความสนใจ และนำไปปฏิบัติ ยกตัวอย่างเช่น ผู้ให้บริการระบบสารสนเทศมีความจำเป็นต้องเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ไว้ไม่น้อยกว่าสามสิบวันนับแต่วันที่ข้อมูลเข้าสู่ระบบคอมพิวเตอร์ ซึ่งจะเห็นได้ว่าร่างกฎหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์มีความสอดคล้องกับประกาศของคณะกรรมการธุรกรรมทางอิเล็คทรอนิคส์ในเรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็คทรอนิคส์ (เวอร์ชั่นที่ 2) ประจำปี 2549 ในข้อ 6.10 การเฝ้าระวังทางด้านความปลอดภัย (Monitoring) ซึ่งมีรายละเอียดดังนี้

6.10.1 การบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานสารสนเทศ (Audit logging) (หัวหน้างานสารสนเทศ) ต้องกำหนดให้ทำการบันทึกกิจกรรมการใช้งานของผู้ใช้ การปฏิเสธการให้บริการของระบบ และเหตุการณ์ต่างๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย อย่างสม่ำเสมอตามระยะเวลาที่กำหนดไว้

6.10.2 การตรวจสอบการใช้งานระบบ (Monitoring system use) (หัวหน้างานสารสนเทศ) ต้องกำหนดให้มีขั้นตอนปฏิบัติ เพื่อตรวจสอบการใช้งานทรัพย์สินสารสนเทศอย่างสม่ำเสมอ อาทิ เพื่อดูว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่

6.10.3 การป้องกันข้อมูลบันทึกเหตุการณ์ (Protection of log information) (หัวหน้างานสารสนเทศ) ต้องกำหนดให้มีมาตรการป้องกันข้อมูลบันทึกกิจกรรมหรือเหตุการณ์ต่างๆ ที่เกี่ยวข้องกับการใช้งานสารสนเทศ เพื่อป้องกันการเปลี่ยนแปลงหรือการแก้ไขโดยไม่ได้รับอนุญาต

6.10.4 บันทึกกิจกรรมการดำเนินงานของเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ (Administrator and operator logs) (หัวหน้างานสารสนเทศ) ต้องกำหนดให้มีการบันทึกกิจกรรมการดำเนินงานของผู้ดูแลระบบหรือเจ้าหน้าที่ที่เกี่ยวข้องกับระบบอื่นๆ

6.10.5 การบันทึกเหตุการณ์ข้อผิดพลาด (Fault logging) (หัวหน้างานสารสนเทศ) ต้องกำหนดให้มีการบันทึกเหตุการณ์ข้อผิดพลาดต่างๆ ที่เกี่ยวข้องกับการใช้งานสารสนเทศ วิเคราะห์ข้อผิดพลาดเหล่านั้น และดำเนินการแก้ไขตามสมควร

6.10.6 การตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน (Clock synchronization) (ผู้ดูแลระบบ) ต้องตั้งเวลาของเครื่องคอมพิวเตอร์ทุกเครื่องในสำนักงานให้ตรงกัน โดยอ้างอิงจากแหล่งเวลาที่ถูกต้องเพื่อช่วยในการตรวจสอบช่วงเวลาหากเครื่องคอมพิวเตอร์ขององค์กรถูกบุกรุก

จากมาตรฐานดังกล่าว ทำให้ CIO ต้องวางแผนบริหารจัดการระบบสารสนเทศในส่วนของการจัดเก็บบันทึกเหตุการณ์ที่เกี่ยวข้องกับการใช้งานสารสนเทศ (Audit Logging) ตามระยะเวลาที่ได้กำหนดไว้ (Record Retention Period) ตลอดจนต้องป้องกันข้อมูลบันทึกเหตุการณ์ให้ปลอดภัยจากการถูกแก้ไขโดยไม่ได้รับอนุญาต ซึ่งควรเก็บข้อมูลบันทึกเหตุการณ์ให้อยู่ในระบบฐานข้อมูลส่วนกลางในลักษณะ "Centralized Log Management System" เพื่อให้ผู้ที่ไม่เกี่ยวข้องไม่สามารถเข้ามาแก้ไขข้อมูลได้ ตลอดจนต้องมีการตรวจสอบเฝ้าระวังการใช้งานระบบว่ามีสิ่งผิดปกติเกิดขึ้นหรือไม่ (Anomaly Detection) โดยนำ Log ที่เก็บอยู่ใน Centralized Log Management System มาวิเคราะห์ โดยใช้เทคโนโลยี Data Mining ซึ่งโปรแกรมที่นิยมใช้ในการวิเคราะห์ดังกล่าว เรียกว่า โปรแกรม SIM หรือ โปรแกรม Security Information Management

เนื่องจากโปรแกรม SIM นั้นมีราคาค่อนข้างสูงสำหรับการนำมาใช้งานในองค์กรขนาดกลางและขนาดเล็ก ซึ่งแม้กระทั่งองค์กรขนาดใหญ่ก็ยังต้องใช้งบประมาณการลงทุนไม่ต่ำกว่าสิบล้านบาทสำหรับการจัดซื้อจัดจ้างโปรแกรม SIM ดังนั้นทางออกที่น่าสนใจคือการใช้บริการ IT Security Outsourcing จาก MSSP (Managed Security Service Provider) ในส่วนของการเก็บ Log และวิเคราะห์ Log รวมถึงการเฝ้าระวัง (Real-time Monitoring) ผู้บุกรุกตามมาตรฐานของคณะกรรมการธุรกรรมทางอิเล็คทรอนิคส์ เพื่อให้สอดคล้องกับข้อกำหนดในมาตราต่างๆที่กำลังจะประกาศบังคับใช้ในส่วนของพ.ร.บ.การกระทำผิดเกี่ยวกับคอมพิวเตอร์ และ พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ 2549 ตามพ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544

จากกระแส IT Security Outsourcing ดังกล่าวทำให้หลักเกณฑ์ในการเลือกใช้บริการจาก MSSP (Managed Security Service Porvider) จึงเป็นเรื่องสำคัญที่ผู้บริหารสารสนเทศระดับสูงขององค์กรต้องให้ความสนใจและศึกษารายละเอียดอย่างรอบคอบ เพราะการ Outsource ระบบรักษาความปลอดภัยข้อมูลเพื่อให้สอดคล้องกับกฎหมาย และมาตรฐานดังกล่าวนั้นถือเป็นหน้าที่ของผู้บริหารระบบสารสนเทศระดับสูง หรือ CIO ต้องกำหนดไว้ในแผนหรือนโยบายด้านสารสนเทศขององค์กร

สำหรับ 10 หลักเกณฑ์ในการเลือกใช้บริการจาก MSSP มีรายละเอียดดังนี้

1. การให้บริการของ MSSP ควรต้องสอดคล้องกับข้อกำหนดในมาตราต่างๆของกฎหมายในประเทศไทย<BR>
กฎหมายในประเทศไทย ที่เกี่ยวข้องกับเรื่อง IT Security Monitoring and Outsourcing ได้แก่ พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.2544 พระราชกฤษฎีกากำหนดหลักเกณฑ์และวิธีการในการทำธุรกรรมทางอิเล็กทรอนิกส์ 2549 และ พ.ร.บ. การกระทำผิดเกี่ยวกับคอมพิวเตอร์ เพื่อตอบโจทย์ในเรื่องของธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) ซึ่งจะมีประโยชน์ต่อพนักงานเจ้าหน้าที่ในการสืบสวนสอบสวน ในลักษณะ Computer Forensics และทำให้องค์กรปฎิบัติตามแนวทาง IT Governance เพื่อมุ่งสู่วัตถุประสงค์ระดับองค์กรตามหลัก "บรรษัทภิบาล" หรือ "Corporate Governance" ในที่สุด

2. MSSP ควรมีลักษณะการให้บริการที่มีประสิทธิภาพ และมีความปลอดภัยสูง

กล่าวคือ ควรมีการวิเคราะห์รายงานในรูปแบบของ Web-based เพื่อให้สามารถเข้าถึงข้อมูลได้ง่ายและควรเข้ารหัสด้วย SSL Protocol หรือ https ไม่ควรใช้โปรโตคอล http ซึ่งไม่ปลอดภัย ตลอดจนการวิเคราะห์ Log ควรทำในลักษณะ Real Time Monitoring สามารถตรวจสอบการแพร่กระจายของ Worm ได้ทันท่วงที เป็นต้น

3. MSSP ควรมีทีมงานบุคคลากรผู้เชี่ยวชาญด้านความปลอดภัยเฉพาะทางที่ได้รับการรับรองความรู้ความสามารถด้านความปลอดภัยคอมพิวเตอร์ในสาขาใดสาขาหนึ่ง

MSSP ที่ดีควรมีเจ้าหน้าที่ในการให้บริการผู้ว่าจ้างในการแจ้งเตือนภัย และตอบข้อซักถามในเวลาที่เกิดปัญหา เพราะการวิเคราะห์ปัญหาด้านความปลอดภัยนั้น ต้องการเจ้าหน้าที่ผู้เชี่ยวชาญด้านความปลอดภัยเฉพาะทางในการให้คำตอบ ยกตัวอย่าง เช่น บุคคลากรในระดับ Tier One หรือ ในระดับปฏิบัติการตอบปัญหาและแจ้งเตือนผู้ว่าจ้าง ควรมี Certification ขั้นต่ำ ได้แก่ Comptia Security+ และ CCNA (Cisco Certified Network Associated) หรือ MSCE (Microsoft Certified System Engineer) เพราะระบบสารสนเทศที่เราใช้ส่วนใหญ่มักจะเป็นอุปกรณ์เครือข่ายที่วิ่งบน TCP/ IP Protocol และ เครื่องแม่ข่ายของหลายองค์กรนั้นใช้ระบบปฎิบัติการ Microsoft Windows เป็นส่วนใหญ่ ในส่วนของเครื่องแม่ข่ายที่ใช้ระบบปฎิบัติการ UNIX หรือ Linux ควรมีผู้เชี่ยวชาญเฉพาะทางเช่นกัน เพราะต้องอาศัยความรู้ทางเทคนิคค่อนข้างสูง ปัญหาก็คือ จำนวนผู้เชี่ยวชาญ UNIX หรือ Linux มีปริมาณน้อยกว่าจำนวนผู้เชี่ยวชาญ Microsoft Windows

สำหรับเจ้าหน้าที่ผู้เชี่ยวชาญด้านความปลอดภัยเฉพาะทางระดับสูง ควรมี Certification ขั้นต่ำ ได้แก่ CISSP หรือ CISA

4. MSSP ควรมีประสบการณ์ไม่ต่ำกว่า 2-3 ปี และมีลูกค้าอ้างอิงไม่ต่ำกว่า 3-5 รายที่สามารถติดต่อขอข้อมูลได้

การเลือก MSSP ที่มีประสบการณ์เป็นเรื่องจำเป็นอย่างยิ่งยวด เพราะหาก MSSP ขาดประสบการณ์ก็เหมือนขาดผู้เชี่ยวชาญในการช่วยเป็นที่ปรึกษาให้กับองค์กรที่ว่าจ้าง MSSP นั้นๆ MSSP ควรมีลูกค้าอ้างอิงที่องค์กรสามารถขอเบอร์โทรศัพท์โทรเข้าไปพูดคุยสอบถาม ลักษณะการให้บริการของ MSSP ว่าเป็นที่พึงพอใจหรือไม่ องค์กรควรตรวจสอบในเรื่องของ "Customer Satisfaction" และ ตรวจสอบเรื่องของ SLA "Service Level Agreement" โดยอาจขอเป็นเอกสาร SLA ตัวอย่างจาก MSSP เพื่อนำมาศึกษา และประยุกต์ปรับแต่ง SLA ให้เข้ากับองค์กรต่อไป

5. MSSP ควรมีบริการเสริมด้านความปลอดภัยข้อมูลที่ครบวงจร

MSSP ควรมีการจัดฝึกอบรม Security Awareness Training ให้กับพนักงานในองค์กร เพื่อให้เกิดความรู้ความเข้าใจในเรื่องความปลอดภัยข้อมูลมากขึ้น และควรมีบริการ Vulnerability Assessment และ Penetration Testing เพื่อประเมินความเสี่ยงด้านความปลอดภัยข้อมูลให้องค์กรอย่างต่อเนื่อง ตลอดจนควรเป็นที่ปรึกษาในการกำหนด Security Policy, Standard, Guideline และ Procedure ในการปฎิบัติงานด้านความปลอดภัยข้อมูลขององค์กร เพื่อให้สอดคล้องกับมาตรฐานต่างๆ เช่นมาตรฐาน ISO/ IEC 27001 หรือมาตรฐาน CobiT 4.0 เป็นต้น

6. MSSP ควรมีโปรแกรมหรือเครื่องมือวิเคราะห์ที่ทันสมัยและมีประสิทธิภาพสูง

MSSP ควรมีโปรแกรม SIM หรือ Security Information Management ในการทำ Data Mining, Correlation Analysis และ Root-caused Analysis เพื่อวิเคราะห์ Log ซึ่งโปรแกรม SIM ควรรองรับ Log ได้ในปริมาณมากๆ เช่น 4 GB ต่อวัน เป็นต้น โปรแกรม SIM ที่ดีควรรองรับ Log จากเครื่องแม่ข่ายทั้ง Microsoft Windows และ UNIX/ Linux ตลอดจน Log จาก Firewall และ IPS/ IDS รวมถึง Log จาก Network Device เช่น Router และ Core Switching เป็นต้น

7. MSSP ควรมีขั้นตอนในการปฎิบัติการวิเคราะห์ การแก้ปัญหาที่เป็นระบบและได้มาตรฐานสากล

MSSP ควรมีการนำมาตรฐาน ITIL (IT infrastructure Library) มาใช้ในกระบวนการแก้ป้ญหาหรือการตอบรับกับเหตุการณ์เฉพาะทาง (Problem Management และ Incident Management) ควรมีกระบวนการในการวิเคราะห์ผู้บุกรุกเชิงลึก (In-Depth Intrusion Analysis) ตลอดจนมีกระบวนการในการแจ้งข่าวสารด้านความปลอดภัยข้อมูลให้กับลูกค้าได้รับทราบในลักษณะข่าวรายวัน (Daily Security News and Alerts) รวมถึงการแจ้งข่าวแบบฉุกเฉินผ่านทาง SMS หรือโทรติดต่อลูกค้าโดยตรงผ่านโทรศัพท์เคลื่อนที่ เป็นต้น

8. MSSP ควรมีการจัดเตรียมรายงานที่ชัดเจนและสามารถนำไปใช้ประโยชน์เป็นรูปธรรมได้ รายงานของ MSSP ไม่ควรจะเป็นรายงานในลักษณะรายงานที่มาจากระบบ IDS/ IPS ซึ่งยังไม่มีการวิเคราะห์แต่อย่างใด รายงานที่ดีจาก MSSP ควรเป็นลักษณะ Incident Report ในเชิงวิเคราะห์ เพื่อให้องค์กรสามารถนำไปใช้ประโยชน์ในการแก้ปัญหาจาก Security Incident ได้อย่างทันท่วงที

9. MSSP ควรเป็นผู้นำทางด้านความปลอดภัยข้อมูลคอมพิวเตอร์

MSSP ควรมีบุคคลากรที่ได้รับเชิญเป็น Guest Speaker ตามงานสัมมนาด้านความปลอดภัยข้อมูลทั้งในและต่างประเทศ เพื่อแสดงวิสัยทัศน์ และศักยภาพของ MSSP ตลอดจนควรมีการ Publish Article ในทุกเดือน เพี่อให้ความรู้\แก่ลูกค้าของ MSSP และให้ความรู้เป็นสาธารณะแก่วงการความปลอดภัยข้อมูล ตลอดจนควรมีสายสัมพันธ์กับภาครัฐในการติดตามจับแฮกเกอร์ เช่น มีสายสัมพันธ์อันดีกับกรมสอบสวนคดีพิเศษ (DSI) หรือสำนักงานตำรวจแห่งชาติ (Royal Thai Police) เพี่อเป็นประโยชน์แก่ผู้ว่าจ้างในกรณีที่เกิด Security Incident ที่มีผลในเรื่องกฎหมาย

10. MSSP ควรกำหนดราคาให้มีเหตุผลและยุติธรรมต่อลูกค้า

การให้บริการ IT Security Outsource แก่องค์กร โดยเฉพาะองค์ขนาดเล็ก และ ขนาดกลาง ปัญหาส่วนใหญ่ คือ ปัญหาด้านงบประมาณในการจัดจ้างเป็นรายเดือน ซึ่งมีจำกัดในยุคเศรษฐกิจที่ทุกฝ่ายต้องรัดเข็มขัด ดังนั้น ราคาการให้บริหารจึงกลายเป็นปัจจัยสำคัญในการตัดสินใจเลือกใช้บริการจาก MSSP ในอันดับตันๆ รองจากเรื่อง Customer Reference ดังที่กล่าวมาแล้ว ซึ่งก็เป็นเรื่องสำคัญเหมือนกัน เพราะชื่อเสียงของ MSSP นั้นเป็นปัจจัยที่ละเอียดอ่อนในการตัดสินใจของลูกค้า หาก MSSP ติด Black-list หรือให้บริการที่ไม่ประทับใจต่อลูกค้าในอดีตก็ย่อมมีผลกระทบกับลูกค้ารายใหม่ๆอย่างแน่นอน ดังนั้นหลักเกณฑ์ในการเลือกใช้บริการจาก MSSPในส่วนของ Cost และ Customer Reference จึงเป็นประเด็นสำคัญที่ไม่ควรมองข้าม

กล่าวโดยสรุปคือ การลงทุนเฝ้าระวังระบบความปลอดภัยข้อมูลในลักษณะ Real-time Monitoring ตลอดจนติดตั้งระบบ Centralized Log Management และระบบ SIM (Security Information Management) ตลอดจน การจัดเตรียมบุคคลากรผู้เชี่ยวชาญรองรับระบบดังกล่าวเป็นเรื่องที่องค์กรไม่สมควรที่จะลงทุนเอง แต่ควรใช้บริการ IT Security Outsourcing จาก MSSP มากกว่า ในกรณีขององค์กรใหญ่ สามารถจัดซื้อจัดจ้างระบบ SIM และ Centralized Log Managementได้แต่ควรทำงานร่วมกับ MSSP ในลักษณะ Co-Sourcing โดยใช้ความรู้ความสามารถจากบุคคลากรของ MSSP ที่ได้รับ Certified ดังกล่าวในตอนต้น จะเป็นวิธีการลงทุนที่คุ้มค่ามากกว่าที่จะใช้บุคลากรทั้งหมดขององค์กร

ในยุคแห่ง IT Governance และ Regulatory Compliance ที่กำลังจะมาถึงในอนาคตอันใกล้สำหรับประเทศไทย ผู้บริหารระบบสารสนเทศระดับสูง หรือ CIO ควรมีความตระหนักและเตรียมการเรื่อง IT Security Outsourcing ในแผนปฎิบัติการหลักด้านสารสนเทศและความปลอดภัยกับข้อมูลขององค์กร (IT Master Plan หรือ IT Security Master Plan) ซึ่งเป็นหน้าที่ที่ผู้บริหารระบบสารสนเทศระดับสูงทุกคนต้องรับผิดชอบตามกระแส IT Governance และ Regulatory Compliance ดังกล่าว

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนมกราคม
Update Information : 24 มกราคม 2550