TISA Pro-Talk_1-2554-Dr. rom_personnel standards

Uploaded on


  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads


Total Views
On Slideshare
From Embeds
Number of Embeds



Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

    No notes for slide


  • 1. บทบาทของ TISA กับการยกระดับมาตรฐาน รอม หิรัญพฤกษ์บุคคลากรด้าน Information Security 22/3/2554
  • 2. ไซเบอร์ สเปซ (cyber space) ไซเบอร์สเปซหมายรวมถึงทุกรูปแบบของกิจกรรมการเชื่อมโยงเครือข่ายดิจิทล ั ซึ่งรวมถึงเนื้ อหาและการทางานทุกอย่างที่เกิดขึนผ่านเครือข่ายดิจิทล ้ ั• เทคโนโลยีสารสนเทศและอินเทอร์เน็ตถูกประยุกต์ใช้อย่างแพร่หลายในภาครัฐ และเอกชน และมีผลกระทบต่อชีวตประจาวันของประชาชนทัวไป ปญหาที่ ิ ่ ั ั เกิดขึนตามมาได้แก่ปญหาการก่ออาชญากรรม (Cyber Crime, e-crime) โดยใช้ ้ อินเทอร์เน็ตเป็ นเครืองมือ การฉ้อโกง การก่อการร้าย ไปถึงสงครามไซเบอร์ ซึง ่ ่ ใช้คอมพิวเตอร์และเครือข่ายเป็ นเครืองมือ (Cyber war) ซึงรวมถึงการทา ่ ่ สงครามข่าวสาร (information war) ซึงมีประเด็นการป้องกันและตอบโต้ท่ี ่ เรียกว่า Information Operation (IO)
  • 3. 2011 Outlook: (ISC)²• Cybercrime and Espionage• Software Security• Mobile Security• The Business Face of Security• Security as a Profession• Evolution of Security Technology• Cloud Computing• Data Loss Prevention & Rights Management• Social Media• Regulatory and Political 3
  • 4. TISA : Thailand Information Security AssociationTISA web site : http://www.tisa.or.th 4
  • 5. 5 Information Security TRIAD Availability Information Security Integrity Confidentiality14/10/54 5
  • 6. Today’s Key ConcernsCyber Threats Considerations • Increasing Social Network Attacks  Ethical and Strategic Issues in OrganizationIssues  Social Networking Policies • Identity theft  Lifestyles • Privacy issue in Social Networking • Security issue in Social Networking  User Awareness • Ethical issueImpacts • Individuals • Corporate • Social People is the “KEY” Social Networking Security Conference 6 2010
  • 7. Social Media Landscape Social Networking Security 7 Conference 2010
  • 8. IT Security Roles1. Chief Information Officer2. Digital Forensics Professional3. Information Security Officer4. IT Security Compliance Officer5. IT Security Engineer6. IT Security Professional7. IT Systems Operations and Maintenance Professional8. Physical Security Professional9. Privacy Professional10.Procurement Professional 8
  • 9. กฎหมายทีเกียวข้อง ่ ่• พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พ.ศ. 2551 – พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธการในการทาธุรกรรมทาง ี อิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 (มาตรา 35) – พรฎ. กาหนดวิธการแบบ (มันคง) ปลอดภัยในการประกอบธุรกรรม ี ่ อิเล็กทรอนิกส์ (มาตรา 25) ซึงเป็ นข้อแนะนาของสานักงาน ่ คณะกรรมการนโยบายรัฐวิสาหกิจ และบริษทไทยเรทติง แอนด์ อินฟอร์ ั ้ เมชันเซอร์วส จากัด (ทริส) ่ ิ• พรบ. ว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสือสาร เรือง หลักเกณฑ์ ่ ่ การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผูให้บริการ พ.ศ. 2550 ้
  • 10. The Competent Officials : knowledge and qualification Computer Forensic Information Technology Graduations/Experiences Computer Science Information Security Laws Competent Official Appointment by ICT Minister after taking examination Information Security Training Qualifications Computer/Network Forencis Training Moral/Ethics Course Law Enforcement Course 10
  • 11. The 2010 State of Cybersecurity from theFederal CISO’s Perspective — An (ISC)2 Report 11
  • 12. Most Hacked Organizations2007 Incidents by sector of attacked organization 12
  • 13. Business Motivations For HackingSource from Breach Security 2007 Incidents by attack outcome 13
  • 14. Leading IT and InfoSec Professional Certification Institutes
  • 15. CISSPs in Asia- South Korea: Highest in Asia As of: 30/SEPT/07 China (400) Macao (8) Korea, South (2,003) Thailand (91) Japan (883) Hong Kong (1,311) Indonesia (44) Singapore (9)47 Philippines (112) India (909) Taiwan (238) Sri Lanka (35) Malaysia (177)
  • 16. DoD 8570.01-MInformation Assurance Workforce Improvement Program December 19, 2005
  • 17. DoD 8570.01-MInformation Assurance Workforce Improvement Program May 15, 2008
  • 18. Recent Standards/GuidelinesTopic Business ICTGovernance GRC, COSO (ERM)CG CobiT4.1 (ITG) ISO 38500:2008 (ITG) ISO 27014 (ISG) ISO 27001:2005 (ISMS)Risk BS31100:2008 (RM) BS7799-3:2006 (ISRM) ISO13335-3,4:1998 ISO31000:2008 (RM) ISO27005:2008 (ISRM) NIST SP800-30:2002 (ITRM)Continuity FEMA141:1993 (EM) PAS 77:2006 (ITSCM)Crisis PAS 56:2003 (BCI:BCMGPG) BS 25777:2008 (ICTCM) BS 25999:2006 (BCM) ISO 24762:2008 (ICT DR) ISO/PAS 22399:2007 (Societal security) NIST SP800-34:2002 (ITSC:DRP)Others PAS 99:2006 (Integrated Management) ITILv3 ISO 20000 (ITSMS)
  • 19. Relationship of Risk Managements
  • 20. BCM ISO 27002 Control 14.1 Information Continuity management ISO 27005 Risk Assessment ISO 24762 ICT DR Services Vendor Risk Mgmt Mitigation Logical DR site Access Power Asset Control Supply Mgmt Physical Telecom Access Fire Control DR planProtection
  • 21. Governance, Risk & Compliance - GRC Source: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management PWC white paper Stakeholder Expectations Governance Key linkage Setting objectives, tone, policies, risk appetite Objectives & and accountabilities. Monitoring performance. Risk Appetite Enterprise Risk Management Key linkage Identifying and assessing risks that may affect the ability to Risk Response achieve objectives and determining risk response strategies & Control and control activities. Activities Compliance Operating in accordance with objectives and ensuring adherence with laws and regulations, internal policies and procedures, and stakeholder commitments. 21Laws Policies Procedures Processes/system People Tools &Technologies
  • 22. GRC related best practices and compliance SOX CobiT 4.1 GLBA HIPAAITSM ITAF/GTAG ISO/IEC 27001Corporate Governance PCI DSS IT Governance BS25999 (BCM)ITIL & ISO/IEC 20000 ISO/IEC 27006 Basel II COSO (ERM) CCA/ETA (C) Copyright 2007-2009, ACIS Professional Center Company Limited
  • 23. Difference among IA, IT Audit, Infosec Audit and System Security Audit Internal IT Audit InfoSec Audit System Security Audit Audit Audit scope Enterprise IT IS Security System specific NIST(SPP800-53A,SP800- Audit COSO CobiT ISO27001 115), Framework NSA:IAM, OSSTMM ITG, IT/Biz Security System security,Audit objective CG Alignment Governance hardening Professional NSA:IAM,OPST, OPSA, CIA CISA CISSP, IRCA:ISMS Cert. CEH, SSCP, CSSLP etc.
  • 24. Information Technology (IT) Security Essential Body of Knowledge (EBK)A Competency and Functional Framework for IT Security Workforce Development September 2008United States Department of Homeland Security
  • 25. EBK Development ProcessRefer to 53 Critical Work Function (CWF) from DoD IASS
  • 26. Key Divisions• 4 functional perspectives Functional Perspectives• 14 competency areas 1. Manage• 10 roles 2. Design 3. Implement 4. Evaluate
  • 27. IT Security Roles1. Chief Information Officer2. Digital Forensics Professional3. Information Security Officer4. IT Security Compliance Officer5. IT Security Engineer6. IT Security Professional7. IT Systems Operations and Maintenance Professional8. Physical Security Professional9. Privacy Professional10.Procurement Professional
  • 28. Competency Areas (MDIE in each)1. Data Security 8. Personnel Security2. Digital Forensics 9. Physical and3. Enterprise Continuity Environmental Security4. Incident Management 10. Procurement5. IT Security Training and 11. Regulatory and Standards Awareness Compliance6. IT System Operations and 12. Security Risk Management Maintenance 13. Strategic Security7. Network and Management Telecommunication Security 14. System and Application Security
  • 29. TISA EBK Analysis IT Security Roles Executive Functional CorollaryIT Security EBK:A Competency and IT Security Compliance Officer Physical Security Professional Digital Forensics ProfessionalFunctional Framework Information Security Officer IT Systems Operations and Procurement Professional Maintenance Professional Chief Information Officer IT Security Professional IT Security Engineer Privacy ProfessionalFunctional PerspectivesM - ManageD - DesignI - ImplementE - Evaluate M 11 12 0 1 2 1 0 1 3 1 D 2 7 1 3 4 6 4 2 6 1 I 0 1 2 5 8 3 4 4 4 1 E 3 10 14 3 5 7 2 3 5 1 Total Competency Units 16 30 17 12 19 17 10 10 18 4 Managerial Professional Level Level Entry Level
  • 30. Your Competency Scorecard
  • 31. Enterprise Infosec Competency Profile * Organization assess Infosec competencyEnterprise requirement against EBKCapability * Assess current competency within the enterprise * Identify competency gap  training requirement, recruitment EBK Infosec training provider maps Training training courses to EBK Provider
  • 32. TISA Roadmap 2012 TISA Exam Thailand InfoSec First Launch 2011 Local InfoSec Professional Council TISET#1 Q1 Certification TISA Level I,II,IIITISET Pilot Test 2010 (preparation for taking Q4 Increase number of International InfoSec InfoSec professional Certification) across industries in Thailand and Asia 2009 Pacific TISA EBK Assessment Exam (Pilot Test) Social Networking Security 33 Conference 2010
  • 33. TISET Certification Roadmap TISA IT Security – Essential Body of Knowledge (EBK) Test Internal Audit, IT/GRC Technical / IT PractitionerEXPERT IT Audit, InfoSec Audit ManagementADVANCE International Certified IT & Information Security Professional Good Step to take … CISSP, SSCP, CISA, CISM, CSSLP, SANS GIACFOUNDATION (Localized)on IT & Information Security TISA TISET CertificationCompetencies Test TISA TISET Exam Social Networking Security 34 Conference 2010
  • 34. Thank You
  • 35. CyberCrime, CyberTerror, CyberEspionage, and CyberWar• What happened to Estonia was the first instance of cyber-warfare against a specific government. Russia was suspected as the instigator of the digital assault, a charge the Russian government denied, but there was no reliable evidence to prove this.• DDoS attacks had happened before, seemingly triggered by political or other events. The latest such incident involved a DDoS attack on US servers from what appeared to be Korean computers after a South Korean contestant to the 2002 Winter Games in Salt Lake City was disqualified.• The cyber-attack against Estonia could have been orchestrated by private individuals sympathetic to the Russian government or ethnic Russian citizens in Estonia, although the obviously large financial resource made available for the May 9-10 DDoS attacks places this in some doubt.
  • 36. องค์กรด้าน Cybersecurity ในประเทศใกล้เคียง• สิงค์โปร์ – National Infocomm Security Committee (NISC) ทาหน้าทีกาหนดนโยบายและ ่ ยุทธศาสตร์ระดับชาติ โดย Infocomm Development Authority (IDA) ทาหน้าทีเป็ น ่ เลขาธิการคณะกรรมการชุดนี้ – Singapore Infocomm Technology Security Authority (SITSA) ขึน เพือ ้ ่ ั ดาเนินการด้านปฏิบตการในแก้ไขปญหาด้าน Cybersecurity ของประเทศสิงคโปร์ ั ิ• มาเลเซีย – Cyber Security Malaysia เป็ นหน่วยงานทีมความเชียวชาญด้าน Cybersecurity ่ ี ่ ภายใต้ Ministry of Science, Technology and Innovation (MOSTI) http://www.cybersecurity.my• ออสเตรเลีย – Cyber Security Policy and Coordination (CSPC) Committee ทางานด้านการกา หรดนโยบายและแผนยุทธศาสตร์ระดับชาติ
  • 37. Cyberwar History1982: logic bomb in computer control systems cause the explosion of Soviet pipeline1999: AF/91 caused Iraqi anti-aircraft guns malfunction1999: USA has been attacked from computers and computer networks situated in China and Russia.2006: Israel alleges that cyber-warfare was part of the conflict, where the Israel Defense Force (IDF) estimates several countries in the Middle East used Russian hackers and scientists2007: McAfee, Inc. alleged that China was actively involved in "cyberwar." China was accused of cyber-attacks on India, Germany, and the United States2007, April: Estonia came under cyber attack from Russia targeting ministries, banks, and media2007, Sept.: Israel carried out an airstrike on Syria using a computer program designed to interfere with the computers of integrated air defense systems2007: US suffered "an espionage Pearl Harbor" in which an "unknown foreign power...broke into all of the high tech agencies, all of the military agencies, and downloaded terabytes of information."2007: Kyrgyz Central Election Commission was defaced during its election. The message left on the website read "This site has been hacked by Dream of Estonian organization". During the election campaigns and riots preceding the election, there were cases of Denial-of- service attacks against the Kyrgyz ISPs.2008: Russian, South Ossetian, Georgian and Azerbaijani sites were attacked by hackers during the 2008 South Ossetia War.2008: U.S. military facility in the Middle East. The Pentagon released a document, which reflected that a "malicious code" on a USB flash drive spread undetected on Pentagon systems.2009, March: a cyber spy network, GhostNet, using servers mainly based in China has tapped into classified documents from government and private organizations in 103 countries2009, July: a series of coordinated cyber attacks against major government, news media, and financial websites in South Korea and the United States. From North Korea and UK2009, Dec.: through January 2010, a cyber attack, dubbed Operation Aurora, was launched from China against Google and over 20 other companies.2010, May: Indian Cyber Army defacing Pakistani websites. In return 1000+ Indian websites were defaced by PakHaxors, TeaMp0isoN, UrduHack & ZCompany Hacking Crew, among those were the Indian CID website2010, Sept: Iran was attacked by the Stuxnet worm. The worm is said to be the most advanced piece of malware ever discovered and significantly increases the profile of cyberwarfare.2010, Oct.: Government Communications Headquarters (GCHQ), said Britain faces a “real and credible” threat from cyber attacks by hostile states and criminals and government systems are targeted 1,000 times each month2010, Nov.: Indian Cyber Army hacked the websites belonging to the Pakistan Army and ministries, as a revenge of the Mumbai terrorist attack2010, Dec.: Pakistan Cyber Army hacked the website of Indias top investigating agency, the Central Bureau of Investigation (CBI).
  • 38. การสร้ างความมันคงด้ านไซเบอร์ ในระดับชาติ ่ National Cybersecurity• กาหนดนโยบายความั่นคงด้ านไซเบอร์ เป็ นส่ วนหนึ่งของนโยบาย ความมั่นคงแห่ งชาติ จาเป็ นต้ องสร้ างยุทธศาสตร์ ด้านนีเ้ ป็ นหลัก อย่ างหนึ่งในการปองกันประเทศ ้• สร้ างความร่ วมมือภาครัฐและภาคเอกชน• ปองกันการเกิดอาชญากรรมไซเบอร์ หรือทาให้ ลดจานวนลง ้• สร้ างหน่ วยงานรับผิดชอบเหตุการณ์ ด้านความมั่นคงไซเบอร์ โดยตรง• สร้ างวัฒนธรรมเกี่ยวกับความมั่นคงด้ านไซเบอร์
  • 39. ข้อเสนอในการเตรียมการรับมือปัญหา ด้าน cyber security1 .จัดตั้งโครงการร่ วมมือข้ ามหน่ วยงานระหว่ างกระทรวง โดยมีงบประมาณ สาหรั บ• สร้ างระบบงานสารสนเทศที่ปลอดภัย, มั่นคง, และสามารถทางานได้ ต่อเนื่อง แม้ เมื่อเกิดปั ญหาขึน ้• นโยบาย, งานวิจัย, กฎหมาย,ข้ อบังคับต่ างๆที่จาเป็ น• ความตระหนักถึงภัยและการปรั บวัฒนธรรมการทางานและการใช้ งาน อินเทอร์ เน็ต• ทักษะและการศึกษาที่จะทาให้ ร้ ู เท่ าทันโลกไซเบอร์• การสร้ างขีดความสามารถที่สูงขึนของบุคลากร และการพัฒนางานวิจัยที่ ้ เกี่ยวข้ องทางเทคนิค• การร่ วมมือกับนานาประเทศในการแก้ ปัญหานี ้
  • 40. ข้อเสนอ … (ต่อ)2. ทางานอย่างใกล้ชิดกับกลุ่มต่างๆ 4. จัดตังศูนย์ปฏิบติการความันคง ้ ั ่ ทังทีเ่ ป็ นภาครัฐ ภาคเอกชน ้ ด้านไซเบอร์ (Cyber Security อุตสาหกรรม กลุ่มสิทธิต่างๆ, Operations Centre - CSOC) องค์กรสาธารณะ, และพันธมิตร นานาชาติ • เผ้าดูสถานการณ์ในโลกไซเบอร์ที่อาจ มีผลกระทบกับประเทศไทย และ ประสานงานการโต้ตอบที่เหมาะสม3. จัดตังสานักงานความมันคงด้าน ้ ่ ไซเบอร์ (Office of Cyber • สร้างความเข้าใจในประเด็นที่เกี่ยวข้อง Security - OCS) ให้เป็ น กับการถูกโจมตีทางไซเบอร์ เพื่อทาให้ หน่ วยงานหลักในการกาหนด ผูเกี่ยวข้องต่างๆทราบว่าจะต้อง ้ แนวทางการดาเนินงานด้าน เตรียมตัวอย่างไร และจะต้องทาอะไร ความมันคงปลอดภัยในภาครรัฐ ่ เมื่อถูกโจมตี ทังหมด ้ • ให้คาแนะนาและข้อมูลข่าวสารที่ เกี่ยวกับความเสี่ยงต่อภาคธุรกิจและ ประชาชนทัวไป ่