มาตรการรักษาความปลอดภัยของคอมพิวเตอร์
การเสริมสร้างความปลอดภัยของระบบคอมพิวเตอร์เพื่อป้องกันการถูกโจมตีจากผู้ไม่หวังดีนั้น
สิ่งที่สำคัญคือองค์กรจะต้องทำการป้องกันเครือข่าย และระบบจากภัยคุกคามต่างๆ
ทั้งจากภายนอก และภายในองค์กรเอง ซึ่งองค์การจะต้องมีการดำเนินการดังต่อไปนี้
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ
1. เตรียมความพร้อมในส่วนการตรวจสอบว่ามีการบุกรุกเข้ามาในระบบแล้วหรือไม่
2. ต้องหาวิธีการเพื่อที่จะทำการหยุดยั้งขัดขวางสิ่งที่จะก่อให้เกิดความเสียหายจากภัยคุกคามนั้นๆ
โดยในทางปฏิบัติแล้วจะมีแนวทางในการดำเนินการที่เรียกว่า "Prevention
is ideal but detection is a must" หรือ “การมีการป้องกันนั้นถือว่าดี
แต่การตรวจสอบนั้นถือว่ามีความจำเป็นต้องมีอย่างยิ่ง” และ "Offense
informs defense" หรือ “ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ
เราก็จะทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย”
สำหรับเป้าหมายในการนำเสนอมาตรการที่สำคัญเพื่อการปกป้องระบบดังกล่าวคือ
เพื่อให้สามารถที่จะปกป้องทรัพย์สินที่มีความสำคัญๆ โครงสร้างพื้นฐานของระบบ
รวมทั้งข้อมูลต่างๆ ขององค์กรได้ เช่น
การเสริมสร้างความแข็งแกร่งให้กับระบบคอมพิวเตอร์ในองค์กรอย่างต่อเนื่อง
มีการใช้งานระบบอัตโนมัติเพื่อป้องกันระบบ รวมทั้งมีการตรวจสอบข้อมูลที่สำคัญๆ
ขององค์กรที่ดี เพื่อลดโอกาสหรือจำนวนการถูกโจมตี
หรือใช้ระยะเวลาที่ใช้ในการกู้คืนระบบได้เร็วขึ้น
หรือแม้กระทั้งสามารถช่วยลดค่าใช้จ่ายในส่วนที่เกี่ยวข้องลงได้
เหตุผลที่มาตรการสำคัญเหล่านี้นำมาใช้และประยุกต์กับองค์กรได้ดีนั้น
เนื่องจากได้เชิญผู้เชี่ยวชาญที่มีความรู้ความสามารถ
และคลุกคลีอยู่กับภัยคุกคามทางคอมพิวเตอร์
จากหลากหลายหน่วยที่เกี่ยวข้องกับความมั่นคงปลอดภัย เช่น U.S.
Department of Defense, Nuclear Laboratories of the U.S. Department of Energy,
U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland
Security, United Kingdom’s Centre for the Protection of Critical
Infrastructure, FBI, Australian Defence Signals Directorate รวมทั้งหน่วยงานทางกฎหมายที่เกี่ยวข้อง
เข้ามาร่วมพัฒนาและนำเสนอเทคนิค และแนวทางในการป้องกันระบบคอมพิวเตอร์
ซึ่งทำให้ได้มาตรการที่มีประสิทธิภาพในการตรวจสอบ ป้องกัน
และลดความเสียหายที่เกิดขึ้นจากการถูกโจมตีในรูปแบบต่างๆ ได้
อีกทั้งมาตรการเหล่านี้ยังได้รับการปรับปรุงให้ทันสมัยอยู่ตลอดเวลาตามรูปแบบและวิธีการของภัยคุกคามต่างๆ
ในปัจจุบัน
หลักการแนวคิด 5 ข้อที่เกี่ยวข้องกับมาตรการควบคุมที่สำคัญเพื่อการปกป้องระบบคอมพิวเตอร์
1. Offense informs defense: ถ้าหากเราทราบถึงวิธีหรือขั้นตอนในการกระทำผิดนั้นๆ และเราก็จะทราบทราบถึงวิธีการป้องกันการกระทำผิดเหล่านั้นด้วย
2. Prioritization: ให้ลำดับความสำคัญที่จะดำเนินการกับความเสี่ยงที่สำคัญๆ ก่อน หรือทำการป้องกันในจุดที่จะก่อให้เกิดความเสียหายรุนแรง ตามลำดับก่อนหลัง
3. Metrics: นำเสนอข้อมูลตัวชี้วัดต่างๆ ที่เกี่ยวข้อง เช่น มูลค่าความเสียหายหากถูกโจมตีจากจุดอ่อนต่างๆ ความสำคัญของระบบ หรือข้อมูลในองค์กร และ ข้อมูลอื่นๆ ที่สามารถประเมินได้ให้กับผู้บริหาร ฝ่ายไอที ผู้ตรวจสอบ และบุคคลต่างๆ ที่เกี่ยวกับความมั่นคงปลอดภัยเพื่อช่วยกันประเมินและปรับปรุงข้อมูลเหล่าตัวชี้วัดนั้นได้รวดเร็วขึ้น
4. Continuous monitoring: ดำเนินการตรวจสอบอย่างต่อเนื่องเพื่อทดสอบและตรวจสอบประสิทธิผลของมาตรการรักษาความปลอดภัยในปัจจุบัน
5. Automation: ระบบอัตโนมัติสามารถเชื่อถือได้ และทำการขยายขีดความสามารถ รวมทั้งตรวจวัดได้อย่างต่อเนื่อง ตามข้อควรปฏิบัติในระเบียบวิธีการควบคุม และตัวชี้วัดที่เกี่ยวข้อง
แนวทางในการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กร
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้
สำหรับการประยุกต์ใช้มาตรการควบคุมที่สำคัญในองค์กรต่างๆ ที่ผ่านมานั้น สามารถนำมาสรุปเป็นวิธีการหรือรูปแบบขั้นตอนเพื่อให้ง่ายต่อการประยุกต์ใช้งานในองค์กรของเราได้
ขั้นตอนที่ 1: ตรวจสอบและวิเคราะห์ช่องโหว่ของระบบ (Gap
Assessment) ดำเนินการตรวจสอบและวิเคราะห์ช่องโหว่ของระบบเพื่อที่จะระบุให้ได้ว่าระบบมีช่องโหว่ใดที่เกี่ยวข้องในแต่ละมาตรการบ้าง
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการ ตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมกับองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐานในการปฏิบัติ
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำในขั้นตอนที่ 2 เพื่อให้สามารถดำเนินการตามระยะต่อๆ ไปได้ดีและเหมาะสมกับแต่ละองค์กรยิ่งขึ้น
ขั้นตอนที่ 2: ดำเนินการและปรับปรุงแผนการดำเนินการ (Roadmap) เลือกมาตรการที่จะดำเนินการ และวางแผนระยะดำเนินการ ตามความสำคัญทางธุรกิจ
ขั้นตอนที่ 3: เริ่มดำเนินการตามแผนในระยะดำเนินการขั้นแรก (First Phase of Controls) ดำเนินการเลือกวิธีการ เครื่องมือ และขั้นตอนการดำเนินงานตามแผนที่ได้วางไว้ และควรมีการปรังปรุงการดำเนินการข้างต้นให้เหมาะสมกับองค์กร
ขั้นตอนที่ 4: ประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ (Operations) ดำเนินการประยุกต์มาตรการที่ได้วางไว้มาเป็นระเบียบวิธีปฏิบัติ เช่น มีระเบียบวิธีการตรวจสอบอย่างต่อเนื่อง สร้างและปรับปรุงการดำเนินงานต่างๆ ให้เป็นมาตรฐานในการปฏิบัติ
ขั้นตอนที่ 5: รายงานและปรับปรุงแผนการดำเนินการ (Improve Roadmap) รายงานและปรับปรุงแผนการดำเนินการที่ได้ทำในขั้นตอนที่ 2 เพื่อให้สามารถดำเนินการตามระยะต่อๆ ไปได้ดีและเหมาะสมกับแต่ละองค์กรยิ่งขึ้น
ความคิดเห็น
แสดงความคิดเห็น