แนวคิดการประเมินและวิเคราะห์ความเสี่ยงด้านสารสนเทศ

แนวคิดการประเมินและวิเคราะห์ความเสี่ยงด้านสารสนเทศ


       ข้อมูล (Information) คือ ข้อมูลที่ผ่านการประมวลผลด้วยวิธีที่เหมาะสมและถูกต้องเพื่อให้ได้ผลลัพธ์ ตรงตามความต้องการของผู้ใช้ อยู่ในรูปแบบที่ใช้งานได้ดังนั้นข้อมูลจึงเปรียบเสมือนทรัพย์สินทางธุรกิจ ที่มีมูลค่าแก่องค์กรนั้นๆ และจำเป็นอย่างยิ่งที่จะต้องมีการป้องกันที่เหมาะสม


       การรักษาความปลอดภัยทางข้อมูล (Information Security) คือ การป้องกันข้อมูลจากภัยคุกคาม (Threat) เพื่อที่จะทำให้เกิดความมั่นใจว่าธุรกิจจะสามารถดำเนินงานได้อย่างต่อเนื่อง สามารถลดความเสียหายที่อาจเกิดแก่ธุรกิจ และสามารถเพิ่มอัตราผลตอบแทนจากการลงทุนและโอกาสทางธุรกิจได้

       ความเสี่ยง  (Risk) คือ โอกาสซึ่งก่อให้เกิดภัยคุกคามโดยการใช้ประโยชน์จากจุดบกพร่องหรือความอ่อนแอ ซึ่งเป็นสาเหตุของความสูญเสีย หรือการทำลายทรัพย์สินหรือกลุ่มของทรัพย์สิน และมีผลกระทบทั้งทางตรงและทางอ้อมต่อองค์กร

การประเมินความเสี่ยง(Risk Assessment)
       การประเมินความเสี่ยงเป็นกระบวนการแรกในวิธีการบริหารจัดการความเสี่ยง องค์กรทั้งหลายมักใช้การประเมินความเสี่ยงในการตรวจสอบขอบเขตของความเสี่ยง และภัยคุกคามที่สัมพันธ์กับระบบสารสนเทศรวมไปถึงช่วงชีวิตของการพัฒนาระบบ (SDLC: System Development Life Cycle) ผลที่ได้จากกระบวนการนี้ช่วยให้สามารถหาวิธีการควบคุมที่เหมาะสมสำหรับการลด หรือกำจัดความเสี่ยงที่เกิดขึ้น ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอในการปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น ในการตรวจสอบโอกาสในการเกิดเหตุการณ์หรือภัยคุกคามหนึ่งๆ ในอนาคตที่มีต่อระบบข้อมูลขององค์กรนั้นจะต้องวิเคราะห์จากความอ่อนแอ และวิธีการควบคุมของระบบ ในขณะที่ผลกระทบที่เกิดขึ้นจะพิจารณาที่ความรุนแรง วิธีการประเมินความเสี่ยงสามารถแบ่งเป็น 9 ขั้นตอนดังนี้

          1. การอธิบายลักษณะของระบบ (System Characterization)
          2. การบ่งชี้ภัยคุกคาม (Threat Identification)
          3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
          4. การวิเคราะห์การควบคุม (Control Analysis)
          5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
          6. การวิเคราะห์ผลกระทบ (Impact Analysis)
          7. การตรวจสอบความเสี่ยง (Risk Determination)
          8. การเสนอวิธีการควบคุม (Control Recommendations)
          9. การทำเอกสารสรุปผล (Result Documentation)



1. การอธิบายลักษณะของระบบ (System Characterization)
     ในการประเมินความเสี่ยงในระบบข้อมูลสารสนเทศ ขั้นตอนแรกคือการระบุของเขตในการพิจารณาซึ่งจะต้องคำนึงถึงจำนวนทรัพยากรและ ข้อมูลข่าวสารที่มีอยู่ในระบบ การอธิบายลักษณะระบบข้อมูลสารสนเทศจะต้องกำหนดขอบเขตในการประเมินความเสี่ยง จำแนกขอบเขตการให้สิทธิในการทำงาน และเตรียมข้อมูลที่มีผลต่อความเสี่ยง เช่น อุปกรณ์ฮาร์ดแวร์ ซอฟแวร์ และการเชื่อมต่อระบบเป็นต้น

       1.1 ข้อมูลที่สัมพันธ์กับระบบ (System-Related Information)
       การระบุความเสี่ยงในระบบข้อมูลสารสนเทศ ต้องอาศัยความเข้าใจในสภาพแวด ล้อมของกระบวนการภายในระบบ ผู้ที่มีหน้าที่ในการประเมินความเสี่ยงต้องรวบรวมข้อมูลที่สัมพันธ์กับระบบ ทั้งหมดก่อน ซึ่งปกติสามารถจำแนกประเภทได้ดังนี้

     •  อุปกรณ์ฮาร์ดแวร์
     •  ซอฟแวร์
     •  การเชื่อมต่อระบบทั้งภายในและภายนอกระบบ
     •  ข้อมูลและข่าวสาร
     •  บุคคลผู้ที่ดูแลและใช้งานระบบ
     •  พันธกิจของระบบ เช่น กระบวนการที่ทำโดยระบบข้อมูลสารสนเทศ
     •  ความสำคัญของข้อมูล และระบบ เช่น คุณค่าของระบบ หรือความสำคัญที่มีต่อองค์กร
     •  ระดับการปกป้องข้อมูลและระบบ

       นอกจากนี้ยังมีข้อมูลเพิ่มเติมที่เกี่ยวข้องกับสภาพแวดล้อมในการทำงานของข้อมูล และระบบอีก เช่น นโยบายความปลอดภัยของระบบขององค์กร โครงสร้างการรักษาความปลอดภัยของระบบ สถาปัตยกรรมเครือข่ายปัจจุบัน การควบคุมการทำงานของระบบ เป็นต้น

       1.2 เทคนิคการรวบรวมข้อมูล (Information-Gathering Techniques)
       เทคนิดที่สามารถนำมาใช้ประกอบไปด้วย 2 ส่วน ได้แก่ ส่วนแบบสอบถามและส่วนการสัมภาษณ์ตามสถานที่จริง ส่วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้อมูลที่เกี่ยวข้อง ผู้ที่ทำการประเมินความเสี่ยงสามารถปรับปรุงแบบสอบถาม ซึ่งเกี่ยวข้องกับการบริหารและการควบคุมการปฏิบัติงานที่วางแผนหรือถูกนำไป ใช้กับระบบข้อมูลสารสนเทศได้ แบบสอบถามนี้ควรจะสามารถใช้ได้ทั้งกับบุคคลที่มีความรู้ทางด้านเทคนิคและ บุคคลที่มีความรู้ด้านการบริหารจัดการที่ทำงานเกี่ยวข้องกับระบบข้อมูล สารสนเทศ นอกจากนี้แบบสอบถามยังสามารถนำไปใช้ในกรณีที่มีการสัมภาษณ์ได้อีกด้วย

       1.3 ส่วนการสัมภาษณ์ตามสถานที่จริง (On-site Interviews) การสัมภาษณ์บุคคลที่มีหน้าที่ดูแลหรือบริหารระบบข้อมูลสารสนเทศทำให้ผู้ ประเมินความเสี่ยงสามารถรวบรวมข้อมูลที่มีประโยชน์ได้อย่างเต็มที่ การเข้าไปตามสถานที่จริงทำให้ผู้ประเมินความเสี่ยงสามารถสังเกตและรวบรวม ข้อมูลเกี่ยวกับลักษณะทางกายภาพ สภาพแวดล้อม และการรักษาความปลอดภัยในเชิงปฏิบัติของระบบข้อมูลสารสนเทศได้ การตรวจเอกสาร (Document Review) เอกสารนโยบายบริษัท เอกสารเกี่ยวกับระบบ และเอกสารที่เกี่ยวกับการรักษาความปลอดภัยสามารถนำมาใช้เป็นข้อมูลที่ดีใน การประเมินได้

2. การบ่งชี้ภัยคุกคาม (Threat Identification)

       ภัยคุกคาม คือ สิ่งที่เป็นไปได้ที่แหล่งกำเนิดภัยคุกคามจะกระทำต่อสิ่งที่ไม่มีความมั่นคง ความไม่มั่นคงคือความอ่อนแอของสิ่งหนึ่งทำให้ได้รับผลกระทบจากภายนอกได้ง่าย การพิจารณาความเป็นไปได้ของการเกิดภัยคุกคามจึงต้องพิจารณาจากแหล่งกำเนิด ภัยคุกคาม ความอ่อนแอไม่มั่นคง และการควบคุมที่มีอยู่

       การบ่งชี้แหล่งกำเนิดภัยคุกคาม(Threat-Source Identification) เป้าหมายของขั้นตอนนี้คือ ระบุแหล่งกำเนิดของภัยคุกคามและประมวลผลเป็นรายชื่อภัยคุกคามที่มีผลต่อระบบ ข้อมูลสารสนเทศเพื่อนำมาใช้ในการประเมิน แหล่งกำเนิดของภัยคุกคามโดยทั่วไปสามารถแบ่งออกเป็น 3 ประเภทดังนี้

       ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่น น้ำท่วม แผ่นดินไหว พายุ เป็นต้น
       ประเภทสอง  ภัยคุกคามโดยมนุษย์ (Human Threats) ทั้งการกระทำที่เกิดจากความไม่ตั้งใจและการกระทำผิดโดยเจตนา
       ประเภทสาม  ภัยคุกคามจากสภาพแวดล้อม (Environment Threats) เช่น ระบบไฟฟ้าขัดข้อง, มลภาวะ, สารเคมีรั่วไหล เป็นต้น

       ปฏิกิริยาแรงกระตุ้นและการคุกคาม (Motivation and Threat Actions) แรงกระตุ้นและแหล่งกำเนิดที่นำมาซึ่งการจู่โจมทำให้มนุษย์ได้รับอันตราย ข้อมูลข่าวสารจะเป็นประโยชน์ต่อองค์กรที่มีการศึกษาสภาพแวดล้อมซึ่งเป็นภัย คุกคามต่อพนักงานและสามารถจัดประเภทของภัยคุกคามนั้นได้ นอกจากนี้การศึกษาข้อมูลในอดีตของระบบเช่น ข้อมูลของปัญหา รายงานระบบรักษาความปลอดภัย และบทสัมภาษณ์ผู้ดูแลระบบ ยังช่วยให้สามารถระบุแหล่งกำเนิดของภัยคุกคามที่ก่อให้เกิดอันตรายต่อระบบ ข้อมูลอีกด้วย

3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
       การวิเคราะห์ภัยคุกคามที่มีต่อระบบข้อมูลสารสนเทศ ต้องมีการวิเคราะห์ความอ่อนแอไม่มั่นคงของสภาพแวดล้อมของระบบ เป้า หมายของขั้นตอนนี้คือการพัฒนารายการความไม่มั่นคงของระบบที่ทำให้ระบบมี โอกาสได้รับภัยคุกคาม ตัวอย่างความไม่มั่นคงของระบบซึ่งก่อให้เกิดภัยคุกคาม



ที่มา
: www.guru-ict.com

 4221
ผู้เข้าชม
ทำเว็บธุรกิจ ทําเว็บขายของ ออกแบบเว็บไซต์ เว็บไซต์สำเร็จรูป SoGoodWeb

บทความที่เกี่ยวข้อง

Get started for free today. DEMO FREE 60 DAYS
สร้างเว็บไซต์สำเร็จรูปฟรี ร้านค้าออนไลน์