Information Security Management Framework (ISMF) Version 2 Part
by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
จากบทความในครั้งที่แล้วนั้นทำให้เราทราบว่าโมเดล ISMF Version 2 นั้นประกอบไปด้วย 4 งานหลัก (Plan, Do, Check, Act ในภาพที่1) และ แต่ละงานหลักมี 4 งานย่อย (รูปทรงกราฟวงกลมที่อยู่ถัดจากชื่องานหลัก) รวมทั้งหมด 16 งานย่อยซึ่งแต่ละงานย่อยนั้นก็จะมีเนื้องานที่แตกต่างกันออกไป สำหรับบทความในตอนนี้จะอธิบายถึงงานต่างๆที่อยู่ในส่วนสุดท้ายของ ISMF version 2 คือ ส่วนที่สี่ คือ ส่วนของการนำข้อข้อเสนอแนะ (Information Security Recommendation) มาใช้ในการปรับปรุงระบบ (Act) ซึ่งเป็น งานหลักที่ต้องทำต่อจาก ส่วนที่สาม (Check) โดยเป็นการนำ “Information Security Recommendation” ซึ่งเป็นผลลัพท์ของส่วนที่สาม มาใช้เพื่อเป็นแนวทางในการปรับแต่งนโยบาย วิธีการปฏิบัติ รวมไปถึงมาตรการต่างๆที่จะออกมาเพื่อให้พนักงานมีความเข้าใจและปฏิบัติตามนโยบาย รวมไปถึงการสร้างเกณท์วัดความสำเร็จของของโครงการ
มีคำกล่าวที่ว่า “หากต้องการดำเนินการใดๆอย่างราบรื่น แล้วการวางแผนอย่างรัดกุมนั้นเป็นสิ่งสำคัญที่ขาดไม่ได้” ซึ่งในมุมมองด้านการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ก็เช่นเดียวกัน การวางแผนที่ดีนั้นจะทำให้ท่านทราบถึงกิจกรรมที่จะต้องทำตลอดทั้งโครงการ โดยมีการตรวจสอบและประเมินสภาวะปัจจุบันของการระดับการรักษาความปลอดภัยข้อมูลขององค์กร ประกอบกับเป้าหมายซึ่งต้องการจะให้องค์กรดำเนินไปถึง
ภายหลังจากขั้นตอนในส่วนของ การจัดเก็บ Log การตรวจสอบ Vulnerability การตรวจสอบ Compliance ตาม Security Policy และ การวิเคราะห์ข้อมูลในลักษณะ Real-time Monitoring ใน phase ที่ผ่านมา (Check) เราก็จะได้ผลลัพธ์ (outcome) ออกมา คือ Information security recommendation ซึ่งจะเป็นแนวทางสำหรับการแก้ไขและปรับปรุงกระบวนการด้านการรักษาความปลอดภัยของข้อมูลใน phase สุดท้าย (Act) ซึ่งประกอบไปด้วย 4 งานย่อย ซึ่งมีรายละเอียดดังนี้
- Incident Response and BCP/DRP Update หมายถึง การนำ information security recommendation มาใช้ในการปรับปรุงแก้ไขกระบวนการวางแผนสำหรับการเตรียมพร้อมรับภัยด้านความปลอดภัยข้อมูลที่ไม่คาดฝัน (Incident response plan) รวมไปถึงแผนสำรองฉุกเฉิน (Business Continuity Plan และ Disaster Recovery Plan) เพื่อให้เหมาะสมกับสถานการณ์ปัจจุบันขององค์กร ซึ่งขั้นตอนนี้ควรทำเป็นประจำอย่างน้อยปีละหนึ่งครั้ง
- Information Security Policy Update หมายถึง การนำ Information security recommendation มาใช้ในการปรับปรุงนโยบายด้านความมั่นคงปลอดภัยข้อมูล (Information security policy) ที่ประกาศใช้มาในขั้นตอนก่อนหน้านี้ ทั้งนี้เพื่อให้เหมาะสมกับการนำนโยบายด้านความมั่นคงปลอดภัยข้อมูลมาปฎิบัติจริง โดยเน้นในเรื่องของการยอมรับนโยบายของผู้ปฎิบัติงานเป็นหลัก เป็นการปรับความสมดุลระหว่างระดับของความปลอดภัยระบบที่เราต้องการ และ ความสะดวกในการปฎิบัติงานของผู้ปฎิบัติงานที่ต้องใช้คอมพิวเตอร์เป็นประจำโดยต้องสอดคล้องกับนโยบายด้านความมั่นคงปลอดภัยข้อมูลขององค์กรด้วย
- Patch Management หมายถึง การบริหารจัดการติดตั้ง Patch ให้กับระบบคอมพิวเตอร์ในองค์กรอย่างเป็นระบบเพื่อปิดช่องโหว่ (Vulnerabilities) ที่อาจถูกโจมตีด้วย Exploit ในอนาคต กระบวนการ Patch Management ประกอบด้วยมุมมองทางด้านกระบวนการ และ มุมมองทางด้านเทคโนโลยี โดยมุมมองทางด้านเทคโนโลยีนั้น จะเน้นในเรื่องของการลดเวลาในการติดตั้ง Patch ภายในองค์กร รวมไปถึงการลด bandwidth ที่ใช้ในการ update patch ซึ่งเทคโนโลยีเหล่านี้นั้นจะดำเนินการ download patch จาก vendor รายต่างๆมาเก็บไว้ที่เครื่องให้บริการหลักภายในองค์กร จากนั้นจึงทดสอบ patch และ กระจาย patch ดังกล่าวไปยังเครื่องแม่ข่ายและลูกข่ายต่างๆ ทั่วองค์กรผ่านเครือข่ายภายในขององค์กร ซึ่งทำให้มีการใช้ Internet bandwidth ลดลง รวมไปถึงใช้เวลาในการติดตั้ง patch ต่างๆ ลดลงอีกด้วยส่วนมุมมองทางด้านกระบวนการนั้น จะเน้นกระบวนการในการทดสอบ patch เป็นหลัก โดยนำเครื่องแม่ข่ายและลูกข่าย (clients and servers) ของ application หลักๆ มาทดสอบติดตั้ง patch ก่อนการติดตั้ง patch จริงลงในเครื่อง production ทั้ง client และ server กระบวนการ patch management ซึ่งมุ่งเน้นทั้งประเด็นด้านกระบวนการ และ ด้านเทคโนโลยีอย่างเหมาะสม จะสามารถช่วยให้เครื่องแม่ข่ายและลูกข่ายในองค์กรนั้นปลอดภัยจากภัยอินเทอร์เน็ตในวันนี้รวมถึงภัยต่างๆ ที่อาจจะเกิดขึ้นในอนาคตอีกด้วย
- Information Security Metrics หมายถึง การสร้างวิธีการวัดผลสำเร็จสำหรับงานทางด้านการรักษาความมั่นคงปลอดภัยของข้อมูลในองค์กร ซึ่งการวัดผลที่เรามักพูดถึงกันบ่อยๆ นั้น จำเป็นอย่างยิ่งที่จะต้องสะท้อนถึงวัตถุประสงค์ทางธุรกิจ (business objective) และความต้องการทางธุรกิจ (business requirement) ดังนั้น การสร้างวิธีวัดผลที่ถูกต้องนั้นจะต้องเริ่มจากประเด็นทางธุรกิจก่อน โดยนำความต้องการทางธุรกิจมาเป็นที่ตั้ง ซึ่งมีได้หลายองค์ประกอบ เช่น กฎหมาย และ วิธีการทำธุรกิจ ภายหลังจากที่เรารวบรวมความต้องการทางธุรกิจแล้ว จึงดำเนินการถ่ายทอดปัจจัยดังกล่าวมาสู่นโยบายรักษาความปลอดภัยในองค์กร ซึ่งเปรียบเสมือน ยุทธศาสตร์ที่จะนำไปสู่ความสำเร็จในการรักษาความมั่นคงปลอดภัยของข้อมูลในองค์กร ในท้ายที่สุดจึงสร้างวิธีการวัดผลจากนโยบายรักษาความมั่นคงปลอดภัยข้อมูลดังกล่าว โดยวิธีการวัดผลนั้นจะต้องสามารถวัดความสำเร็จออกมาเป็นภาพหรือผลลัพท์ที่ชัดเจนได้
หลังจากที่เราปฎิบัติตามกระบวนการใน phase นี้ทั้งหมดแล้ว จะได้ผลลัพธ์เป็น KPI (Key Performance Indicator) และ Information Security scorecard ซึ่งเป็นตัวชี้วัดความสำเร็จด้านการรักษาความมั่นคงปลอดภัยของข้อมูล แล้วจึงนำผลการประเมินที่ได้มาใช้ในการวางแผนงานด้านการรักษาความมั่นคงปลอดภัยของข้อมูล ใน phase ที่หนึ่ง (Plan Phase) ซึ่งเป็นการกลับเข้าสู่กระบวนการ Information Security Management Framework version 2 ต่อไป หมายความว่า เราควรปฎิบัติตาม model ISMF version 2 ในรูปแบบวนแป็นรอบ (cycle) อย่างต่อเนื่องเพื่อรักษาความมั่นคงปลอดภัยข้อมูลขององค์กรบนพื้นฐานของ Risk Management Concept และเป็นกระบวนการในแบบบูรณาการอย่างสมบูรณ์
จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกรกฎาคม 2549
Update Information : 19 กรกฎาคม 2549