information security management - …angsila.informatics.buu.ac.th/~56660048/887321 : internet...
TRANSCRIPT
Chanin Luangingkasut
การบริหารความเส่ียงSecurity Risk Management
1 Information Security Management
Security Risk Management Concepts
Information Security Management2
Security Risk Management คอื กระบวนการส าหรบั
• ระบุความเสีย่งดา้นความปลอดภยัระบบสารสนเทศ (Identify)
• จดัล าดบัความส าคญั (Prioritizing)
• ควบคมุความเสีย่งใหอ้ยูใ่นระดบัทีอ่งคก์รยอมรบัได้ (Mitigating risk to an acceptable level)
Information Security Management3
ตวัอยา่ง: บรษิทั บรูพา จ ากดั ตอ้งการใหพ้นกังานเชค็อเีมลผ์า่นเวบ็ได้
Information Security Management4
ตวัอยา่ง: วเิคราะหภ์าพรวมของระบบ
Risk Management Strategies
Information Security Management5
Reactive
กระบวนการท างานและแกไ้ขปญัหาดา้น IT Security เมือ่ปญัหาเกดิขึน้แลว้
Proactive
กระบวนการทีล่ดความเสีย่งทีจ่ะเกดิภยัคุกความและช่องโหว่ใหม่ ๆ ภายในองคก์ร
วตัถุประสงคข์องการบรหิารความเสีย่ง
Information Security Management6
ทราบถงึสาเหตุของความเสีย่งทีแ่ทจ้รงิ แสวงหาวธิทีีจ่ะควบคมุความเสีย่งนัน้ไดอ้ยา่งเหมาะสม ก าหนดแนวทางการท างาน หรอืนโยบายเพือ่ลดความเสีย่ง
Risk Management Process
Information Security Management7
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
Risk Assessment &
Risk Management
Information Security Management8
Risk Assessment
คอื การประเมนิความเสีย่ง
Risk Management
คอื การบรหิารจดัการความเสีย่งทีพ่บจากการประเมนิความเสีย่ง
Risk Assessment &
Risk Management
Information Security Management9
Risk Management • Risk Assessment
วตัถุประสงค์• ควบคมุและจดัการความ
เสีย่งใหอ้ยูใ่นระดบัทีย่อมรบัได้
• ประเมนิความเสีย่งและจดัล าดบัความส าคญัในการแกไ้ขปญัหา
วธิกีาร • 4 Phases • Single Phase
Schedule • Scheduled activity• ท าอยา่งตอ่เนื่อง ตลอดเวลาที่
ระบบ/application ใชง้าน
อืน่ ๆ • Budgeting requirement -
Risk Management Framework
Information Security Management10
Assets Threats Vulnerabilities
Risks
Security Measures
}
}
Analysis
Management
How to manage the risk
Information Security Management11
Manage Risk
ผลกระทบ (Impact)
อะไรคอืผลกระทบทีจ่ะเกดิตอ่ธุรกจิและองคก์ร?
โอกาส/ความน่าจะเป็น (Probability)
ความเป็นไปไดท้ีช่อ่งโหวน่ัน้จะสรา้งความเสยีหายต่อระบบ/application?
สินทรพัย์(Assets)
สิง่ทีต่อ้งการป้องกนัใหพ้น้จาก
ภยัคุกคาม
ภยัคกุคาม (Threat)
สิง่ทีส่ามารถสรา้งความเสยีหาย/ไมต่อ้งการให้
เกดิขึน้
ช่องโหว่(Vulnerability)
ภยัคุกคามนัน้ ๆ จะสรา้งความเสยีหายต่อ
ระบบไดอ้ยา่งไร
การลดความเส่ียง(Mitigation)
วธิกีารทีเ่ราสามารถควบคุมความเสีย่งนัน้ ?
Assessing the Risk
Information Security Management12
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management13
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
ศกึษาและวางแผน
Information Security Management14
ขัน้ตอนทีส่ าคญัส าหรบัการประเมนิความเสีย่ง ไดแ้ก่
วางแนวทางก าหนดขอบเขต ไดร้บัความยนิยอมก าหนดผลลพัธท์ีค่าดหวงั
สิง่ทีค่วรจะทราบ
Information Security Management15
ระบบทีจ่ะด าเนินงาน
ภยัคกุคาม
ผูร้บัผดิชอบ
รวบรวมขอ้มลู
Information Security Management16
ก่อนการประเมนิความเสีย่งจ าเป็นอยา่งยิง่ทีจ่ะตอ้งรวบรวมขอ้มลูของระบบเบือ้งตน้ ขอ้มลูทีต่อ้งการ เชน่
Assets ทีเ่กีย่วขอ้งภยัคกุคาม และชอ่งโหวท่ีม่อียู่มาตรการควบคมุความเสีย่งปจัจบุนัมาตรการทีค่าดหวงั
Classifying Assets
Information Security Management17
ตอ้งระบุและคดัแยกวา่สนิทรพัยแ์ต่ละชิน้จดัอยูใ่นกลุม่ใด
High business impact
Moderate business impact
Low business impact
หนงัสอืบางเลม่จะใชค้ าวา่ Critical หรอื Non-Critical
สิง่ทีต่อ้งทราบ
Information Security Management18
เราสามารถรวบรวมและจดัการความเสีย่งโดยใชแ้บบสอบถามดงันี้ : สนิทรพัยต์อ้งการจะจดัการความเสีย่ง? สนิทรพัยน์ัน้มคีา่กบัองคก์รอยา่งไร? องคป์ระกอบของสนิทรพัยท์ีส่นใจ เช่น ตวัระบบ ขอ้มลู ความเสีย่งทีอ่าจจะเกดิขึน้ ขอบเขตของความเสยีหาย มาตรการป้องกนัในปจัจุบนั มาตรการป้องกนัในอนาคต
ประเมนิความเสยีหายทีอ่าจจะเกดิขึน้
Information Security Management19
High: รุนแรง อาจท าใหร้ะบบหรอืขอ้มลูเสยีหายทัง้หมด ใชก้ารต่อไมไ่ด้
Medium: ความเสยีหายเกดิขึน้แบบมขีดีจ ากดัหรอืเสยีหายบางสว่น
Low: เสยีหายเลก็น้อย หรอืไมเ่สยีหายเลย
จดัล าดบัความเสีย่ง [1]
(Risk Prioritization)
Information Security Management20
ประเมนิโอกาส หรอืความน่าจะเป็น
Information Security Management21
High: โอกาสทีจ่ะเกดิขึน้ 1 ครัง้ต่อปี หรอืมากกวา่
Medium: 2 – 3 ปี จงึจะเกดิขึน้
Low: โอกาสทีจ่ะเกดิน้อยมาก และไมน่่าจะเกดิขึน้ภายใน 3 ปี
จดัล าดบัความเสีย่ง [2]
(Risk Prioritization)
Information Security Management22
จดัล าดบัความเสีย่ง [3]
(Risk Prioritization)
Information Security Management23
Best Practice
ส าหรบัการประเมนิความเสีย่ง
Information Security Management24
อา้งองิแหล่งขอ้มลูทีเ่ชือ่ถอืได้ เชน่ งานวจิยัขา่ว ฯลฯ
ชีแ้จงถงึผลกระทบต่อธุรกจิ
Asking for Management Support
Information Security Management25
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management26
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
น าเสนอ
Information Security Management27
หลงัจากประเมนิความเสีย่งเสรจ็สิน้ ตอ้งน าเสนอผลการประเมนิต่อผูบ้รหิารเพือ่
พจิารณาแนวทางการควบคุมความเสีย่ง สนบัสนุนงบประมาณ และนโยบายตดัสนิใจ
สิง่ทีต่อ้งน าเสนอต่อผูบ้รหิาร
Information Security Management28
ความเสีย่ง แนวทางการควบคมุ แนวทางทีน่ าเสนอจะสามารถท าใหค้วามเสีย่งลดลงได้อยา่งไร
ประมาณการคา่ใชจ้่าย ผลกระทบต่อการท างาน/ระบบ
ขัน้ตอน
Information Security Management29
Security risk
management
team
Security
steering
committee
Select the
risk mitigation
strategy
6
Mitigation
owner Identify
control
solutions
2
Define
functional
requirements
1
Estimate
cost of
each solution
5
Estimate
degree of risk
reduction
4Review
solutions
against
requirements
3
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management30
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
Implementing
Information Security Management31
การด าเนินการ
Information Security Management32
ก าหนดระยะเวลาตามระดบัความรุนแรงH ภายใน 1 เดอืนM ภายใน 3 เดอืนL ภายใน 6 เดอืน
Verification
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management33
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
การประเมนิผล
Information Security Management34
วดัไดจ้าก:
ทดสอบโดยตรงกบัระบบและมาตรการควบคมุ(Testing & Verification)
Annual audit & Periodic compliance report
Incident report
สรุป
Information Security Management35
Information Security Management36
กระบวนการบรหิารความเสีย่ง (Security Risk
Management)
ประเมนิความเสีย่ง น าเสนอความเสีย่ง และมาตรการควบคมุต่อผูบ้รหิาร ด าเนินการแกไ้ข ตรวจสอบ และประเมนิผล
การประเมนิความเสีย่งตอ้งสามารถจดัล าดบัความส าคญัได้ ตอ้งรูถ้งึรปูแบบวธิทีีอ่าจจะสรา้งความเสยีหาย ก าหนดมาตรการแกไ้ข และระยะเวลาทีเ่หมาะสม ประเมนิผล
Q/A
37 Information Security Management
ทดสอบ
Information Security Management38
SMS News
Information Security Management39
BYOD
Information Security Management40
Business Intelligence Tool
Information Security Management41