information security management - …angsila.informatics.buu.ac.th/~56660048/887321 : internet...
TRANSCRIPT
![Page 1: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/1.jpg)
Chanin Luangingkasut
การบริหารความเส่ียงSecurity Risk Management
1 Information Security Management
![Page 2: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/2.jpg)
Security Risk Management Concepts
Information Security Management2
Security Risk Management คอื กระบวนการส าหรบั
• ระบุความเสีย่งดา้นความปลอดภยัระบบสารสนเทศ (Identify)
• จดัล าดบัความส าคญั (Prioritizing)
• ควบคมุความเสีย่งใหอ้ยูใ่นระดบัทีอ่งคก์รยอมรบัได้ (Mitigating risk to an acceptable level)
![Page 3: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/3.jpg)
Information Security Management3
ตวัอยา่ง: บรษิทั บรูพา จ ากดั ตอ้งการใหพ้นกังานเชค็อเีมลผ์า่นเวบ็ได้
![Page 4: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/4.jpg)
Information Security Management4
ตวัอยา่ง: วเิคราะหภ์าพรวมของระบบ
![Page 5: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/5.jpg)
Risk Management Strategies
Information Security Management5
Reactive
กระบวนการท างานและแกไ้ขปญัหาดา้น IT Security เมือ่ปญัหาเกดิขึน้แลว้
Proactive
กระบวนการทีล่ดความเสีย่งทีจ่ะเกดิภยัคุกความและช่องโหว่ใหม่ ๆ ภายในองคก์ร
![Page 6: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/6.jpg)
วตัถุประสงคข์องการบรหิารความเสีย่ง
Information Security Management6
ทราบถงึสาเหตุของความเสีย่งทีแ่ทจ้รงิ แสวงหาวธิทีีจ่ะควบคมุความเสีย่งนัน้ไดอ้ยา่งเหมาะสม ก าหนดแนวทางการท างาน หรอืนโยบายเพือ่ลดความเสีย่ง
![Page 7: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/7.jpg)
Risk Management Process
Information Security Management7
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
![Page 8: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/8.jpg)
Risk Assessment &
Risk Management
Information Security Management8
Risk Assessment
คอื การประเมนิความเสีย่ง
Risk Management
คอื การบรหิารจดัการความเสีย่งทีพ่บจากการประเมนิความเสีย่ง
![Page 9: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/9.jpg)
Risk Assessment &
Risk Management
Information Security Management9
Risk Management • Risk Assessment
วตัถุประสงค์• ควบคมุและจดัการความ
เสีย่งใหอ้ยูใ่นระดบัทีย่อมรบัได้
• ประเมนิความเสีย่งและจดัล าดบัความส าคญัในการแกไ้ขปญัหา
วธิกีาร • 4 Phases • Single Phase
Schedule • Scheduled activity• ท าอยา่งตอ่เนื่อง ตลอดเวลาที่
ระบบ/application ใชง้าน
อืน่ ๆ • Budgeting requirement -
![Page 10: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/10.jpg)
Risk Management Framework
Information Security Management10
Assets Threats Vulnerabilities
Risks
Security Measures
}
}
Analysis
Management
![Page 11: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/11.jpg)
How to manage the risk
Information Security Management11
Manage Risk
ผลกระทบ (Impact)
อะไรคอืผลกระทบทีจ่ะเกดิตอ่ธุรกจิและองคก์ร?
โอกาส/ความน่าจะเป็น (Probability)
ความเป็นไปไดท้ีช่อ่งโหวน่ัน้จะสรา้งความเสยีหายต่อระบบ/application?
สินทรพัย์(Assets)
สิง่ทีต่อ้งการป้องกนัใหพ้น้จาก
ภยัคุกคาม
ภยัคกุคาม (Threat)
สิง่ทีส่ามารถสรา้งความเสยีหาย/ไมต่อ้งการให้
เกดิขึน้
ช่องโหว่(Vulnerability)
ภยัคุกคามนัน้ ๆ จะสรา้งความเสยีหายต่อ
ระบบไดอ้ยา่งไร
การลดความเส่ียง(Mitigation)
วธิกีารทีเ่ราสามารถควบคุมความเสีย่งนัน้ ?
![Page 12: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/12.jpg)
Assessing the Risk
Information Security Management12
![Page 13: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/13.jpg)
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management13
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
![Page 14: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/14.jpg)
ศกึษาและวางแผน
Information Security Management14
ขัน้ตอนทีส่ าคญัส าหรบัการประเมนิความเสีย่ง ไดแ้ก่
วางแนวทางก าหนดขอบเขต ไดร้บัความยนิยอมก าหนดผลลพัธท์ีค่าดหวงั
![Page 15: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/15.jpg)
สิง่ทีค่วรจะทราบ
Information Security Management15
ระบบทีจ่ะด าเนินงาน
ภยัคกุคาม
ผูร้บัผดิชอบ
![Page 16: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/16.jpg)
รวบรวมขอ้มลู
Information Security Management16
ก่อนการประเมนิความเสีย่งจ าเป็นอยา่งยิง่ทีจ่ะตอ้งรวบรวมขอ้มลูของระบบเบือ้งตน้ ขอ้มลูทีต่อ้งการ เชน่
Assets ทีเ่กีย่วขอ้งภยัคกุคาม และชอ่งโหวท่ีม่อียู่มาตรการควบคมุความเสีย่งปจัจบุนัมาตรการทีค่าดหวงั
![Page 17: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/17.jpg)
Classifying Assets
Information Security Management17
ตอ้งระบุและคดัแยกวา่สนิทรพัยแ์ต่ละชิน้จดัอยูใ่นกลุม่ใด
High business impact
Moderate business impact
Low business impact
หนงัสอืบางเลม่จะใชค้ าวา่ Critical หรอื Non-Critical
![Page 18: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/18.jpg)
สิง่ทีต่อ้งทราบ
Information Security Management18
เราสามารถรวบรวมและจดัการความเสีย่งโดยใชแ้บบสอบถามดงันี้ : สนิทรพัยต์อ้งการจะจดัการความเสีย่ง? สนิทรพัยน์ัน้มคีา่กบัองคก์รอยา่งไร? องคป์ระกอบของสนิทรพัยท์ีส่นใจ เช่น ตวัระบบ ขอ้มลู ความเสีย่งทีอ่าจจะเกดิขึน้ ขอบเขตของความเสยีหาย มาตรการป้องกนัในปจัจุบนั มาตรการป้องกนัในอนาคต
![Page 19: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/19.jpg)
ประเมนิความเสยีหายทีอ่าจจะเกดิขึน้
Information Security Management19
High: รุนแรง อาจท าใหร้ะบบหรอืขอ้มลูเสยีหายทัง้หมด ใชก้ารต่อไมไ่ด้
Medium: ความเสยีหายเกดิขึน้แบบมขีดีจ ากดัหรอืเสยีหายบางสว่น
Low: เสยีหายเลก็น้อย หรอืไมเ่สยีหายเลย
![Page 20: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/20.jpg)
จดัล าดบัความเสีย่ง [1]
(Risk Prioritization)
Information Security Management20
![Page 21: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/21.jpg)
ประเมนิโอกาส หรอืความน่าจะเป็น
Information Security Management21
High: โอกาสทีจ่ะเกดิขึน้ 1 ครัง้ต่อปี หรอืมากกวา่
Medium: 2 – 3 ปี จงึจะเกดิขึน้
Low: โอกาสทีจ่ะเกดิน้อยมาก และไมน่่าจะเกดิขึน้ภายใน 3 ปี
![Page 22: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/22.jpg)
จดัล าดบัความเสีย่ง [2]
(Risk Prioritization)
Information Security Management22
![Page 23: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/23.jpg)
จดัล าดบัความเสีย่ง [3]
(Risk Prioritization)
Information Security Management23
![Page 24: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/24.jpg)
Best Practice
ส าหรบัการประเมนิความเสีย่ง
Information Security Management24
อา้งองิแหล่งขอ้มลูทีเ่ชือ่ถอืได้ เชน่ งานวจิยัขา่ว ฯลฯ
ชีแ้จงถงึผลกระทบต่อธุรกจิ
![Page 25: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/25.jpg)
Asking for Management Support
Information Security Management25
![Page 26: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/26.jpg)
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management26
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
![Page 27: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/27.jpg)
น าเสนอ
Information Security Management27
หลงัจากประเมนิความเสีย่งเสรจ็สิน้ ตอ้งน าเสนอผลการประเมนิต่อผูบ้รหิารเพือ่
พจิารณาแนวทางการควบคุมความเสีย่ง สนบัสนุนงบประมาณ และนโยบายตดัสนิใจ
![Page 28: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/28.jpg)
สิง่ทีต่อ้งน าเสนอต่อผูบ้รหิาร
Information Security Management28
ความเสีย่ง แนวทางการควบคมุ แนวทางทีน่ าเสนอจะสามารถท าใหค้วามเสีย่งลดลงได้อยา่งไร
ประมาณการคา่ใชจ้่าย ผลกระทบต่อการท างาน/ระบบ
![Page 29: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/29.jpg)
ขัน้ตอน
Information Security Management29
Security risk
management
team
Security
steering
committee
Select the
risk mitigation
strategy
6
Mitigation
owner Identify
control
solutions
2
Define
functional
requirements
1
Estimate
cost of
each solution
5
Estimate
degree of risk
reduction
4Review
solutions
against
requirements
3
![Page 30: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/30.jpg)
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management30
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
![Page 31: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/31.jpg)
Implementing
Information Security Management31
![Page 32: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/32.jpg)
การด าเนินการ
Information Security Management32
ก าหนดระยะเวลาตามระดบัความรุนแรงH ภายใน 1 เดอืนM ภายใน 3 เดอืนL ภายใน 6 เดอืน
Verification
![Page 33: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/33.jpg)
การประเมนิความเสีย่ง(Assessing the Risk)
Information Security Management33
Implementing Controls
3
Conducting Decision Support
2
Measuring Program
Effectiveness
4 Assessing Risk1
![Page 34: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/34.jpg)
การประเมนิผล
Information Security Management34
วดัไดจ้าก:
ทดสอบโดยตรงกบัระบบและมาตรการควบคมุ(Testing & Verification)
Annual audit & Periodic compliance report
Incident report
![Page 35: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/35.jpg)
สรุป
Information Security Management35
![Page 36: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/36.jpg)
Information Security Management36
กระบวนการบรหิารความเสีย่ง (Security Risk
Management)
ประเมนิความเสีย่ง น าเสนอความเสีย่ง และมาตรการควบคมุต่อผูบ้รหิาร ด าเนินการแกไ้ข ตรวจสอบ และประเมนิผล
การประเมนิความเสีย่งตอ้งสามารถจดัล าดบัความส าคญัได้ ตอ้งรูถ้งึรปูแบบวธิทีีอ่าจจะสรา้งความเสยีหาย ก าหนดมาตรการแกไ้ข และระยะเวลาทีเ่หมาะสม ประเมนิผล
![Page 37: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/37.jpg)
Q/A
37 Information Security Management
![Page 38: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/38.jpg)
ทดสอบ
Information Security Management38
![Page 39: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/39.jpg)
SMS News
Information Security Management39
![Page 40: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/40.jpg)
BYOD
Information Security Management40
![Page 41: Information Security Management - …angsila.informatics.buu.ac.th/~56660048/887321 : Internet Security... · How to manage the risk 11 Information Security Management Manage Risk](https://reader031.vdocuments.net/reader031/viewer/2022022007/5acdb7277f8b9a63398e6f24/html5/thumbnails/41.jpg)
Business Intelligence Tool
Information Security Management41