Successfully reported this slideshow.
Your SlideShare is downloading. ×

TISA Pro-Talk_1-2554-Dr. rom_personnel standards

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 42 Ad

More Related Content

Slideshows for you (20)

Similar to TISA Pro-Talk_1-2554-Dr. rom_personnel standards (20)

Advertisement

TISA Pro-Talk_1-2554-Dr. rom_personnel standards

  1. 1. บทบาทของ TISA กับการยกระดับมาตรฐาน รอม หิรัญพฤกษ์ บุคคลากรด้าน Information Security 22/3/2554
  2. 2. ไซเบอร์ สเปซ (cyber space) ไซเบอร์สเปซหมายรวมถึงทุกรูปแบบของกิจกรรมการเชื่อมโยงเครือข่ายดิจิทล ั ซึ่งรวมถึงเนื้ อหาและการทางานทุกอย่างที่เกิดขึนผ่านเครือข่ายดิจิทล ้ ั • เทคโนโลยีสารสนเทศและอินเทอร์เน็ตถูกประยุกต์ใช้อย่างแพร่หลายในภาครัฐ และเอกชน และมีผลกระทบต่อชีวตประจาวันของประชาชนทัวไป ปญหาที่ ิ ่ ั ั เกิดขึนตามมาได้แก่ปญหาการก่ออาชญากรรม (Cyber Crime, e-crime) โดยใช้ ้ อินเทอร์เน็ตเป็ นเครืองมือ การฉ้อโกง การก่อการร้าย ไปถึงสงครามไซเบอร์ ซึง ่ ่ ใช้คอมพิวเตอร์และเครือข่ายเป็ นเครืองมือ (Cyber war) ซึงรวมถึงการทา ่ ่ สงครามข่าวสาร (information war) ซึงมีประเด็นการป้องกันและตอบโต้ท่ี ่ เรียกว่า Information Operation (IO)
  3. 3. 2011 Outlook: (ISC)² • Cybercrime and Espionage • Software Security • Mobile Security • The Business Face of Security • Security as a Profession • Evolution of Security Technology • Cloud Computing • Data Loss Prevention & Rights Management • Social Media • Regulatory and Political 3
  4. 4. TISA : Thailand Information Security Association TISA web site : http://www.tisa.or.th 4
  5. 5. 5 Information Security TRIAD Availability Information Security Integrity Confidentiality 14/10/54 5
  6. 6. Today’s Key Concerns Cyber Threats Considerations • Increasing Social Network Attacks  Ethical and Strategic Issues in Organization Issues  Social Networking Policies • Identity theft  Lifestyles • Privacy issue in Social Networking • Security issue in Social Networking  User Awareness • Ethical issue Impacts • Individuals • Corporate • Social People is the “KEY” Social Networking Security Conference 6 2010
  7. 7. Social Media Landscape Social Networking Security 7 Conference 2010
  8. 8. IT Security Roles 1. Chief Information Officer 2. Digital Forensics Professional 3. Information Security Officer 4. IT Security Compliance Officer 5. IT Security Engineer 6. IT Security Professional 7. IT Systems Operations and Maintenance Professional 8. Physical Security Professional 9. Privacy Professional 10.Procurement Professional 8
  9. 9. กฎหมายทีเกียวข้อง ่ ่ • พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 และ พ.ศ. 2551 – พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธการในการทาธุรกรรมทาง ี อิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 (มาตรา 35) – พรฎ. กาหนดวิธการแบบ (มันคง) ปลอดภัยในการประกอบธุรกรรม ี ่ อิเล็กทรอนิกส์ (มาตรา 25) ซึงเป็ นข้อแนะนาของสานักงาน ่ คณะกรรมการนโยบายรัฐวิสาหกิจ และบริษทไทยเรทติง แอนด์ อินฟอร์ ั ้ เมชันเซอร์วส จากัด (ทริส) ่ ิ • พรบ. ว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 – ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสือสาร เรือง หลักเกณฑ์ ่ ่ การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผูให้บริการ พ.ศ. 2550 ้
  10. 10. The Competent Officials : knowledge and qualification Computer Forensic Information Technology Graduations/Experiences Computer Science Information Security Laws Competent Official Appointment by ICT Minister after taking examination Information Security Training Qualifications Computer/Network Forencis Training Moral/Ethics Course Law Enforcement Course 10
  11. 11. The 2010 State of Cybersecurity from the Federal CISO’s Perspective — An (ISC)2 Report 11
  12. 12. Most Hacked Organizations 2007 Incidents by sector of attacked organization 12
  13. 13. Business Motivations For Hacking Source from Breach Security 2007 Incidents by attack outcome 13
  14. 14. Leading IT and InfoSec Professional Certification Institutes
  15. 15. CISSPs in Asia- South Korea: Highest in Asia As of: 30/SEPT/07 China (400) Macao (8) Korea, South (2,003) Thailand (91) Japan (883) Hong Kong (1,311) Indonesia (44) Singapore (9)47 Philippines (112) India (909) Taiwan (238) Sri Lanka (35) Malaysia (177)
  16. 16. DoD 8570.01-M Information Assurance Workforce Improvement Program December 19, 2005
  17. 17. DoD 8570.01-M Information Assurance Workforce Improvement Program May 15, 2008
  18. 18. Recent Standards/Guidelines Topic Business ICT Governance GRC, COSO (ERM)CG CobiT4.1 (ITG) ISO 38500:2008 (ITG) ISO 27014 (ISG) ISO 27001:2005 (ISMS) Risk BS31100:2008 (RM) BS7799-3:2006 (ISRM) ISO13335-3,4:1998 ISO31000:2008 (RM) ISO27005:2008 (ISRM) NIST SP800-30:2002 (ITRM) Continuity FEMA141:1993 (EM) PAS 77:2006 (ITSCM) Crisis PAS 56:2003 (BCI:BCMGPG) BS 25777:2008 (ICTCM) BS 25999:2006 (BCM) ISO 24762:2008 (ICT DR) ISO/PAS 22399:2007 (Societal security) NIST SP800-34:2002 (ITSC:DRP) Others PAS 99:2006 (Integrated Management) ITILv3 ISO 20000 (ITSMS)
  19. 19. Relationship of Risk Managements
  20. 20. BCM ISO 27002 Control 14.1 Information Continuity management ISO 27005 Risk Assessment ISO 24762 ICT DR Services Vendor Risk Mgmt Mitigation Logical DR site Access Power Asset Control Supply Mgmt Physical Telecom Access Fire Control DR plan Protection
  21. 21. Governance, Risk & Compliance - GRC Source: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management PWC white paper Stakeholder Expectations Governance Key linkage Setting objectives, tone, policies, risk appetite Objectives & and accountabilities. Monitoring performance. Risk Appetite Enterprise Risk Management Key linkage Identifying and assessing risks that may affect the ability to Risk Response achieve objectives and determining risk response strategies & Control and control activities. Activities Compliance Operating in accordance with objectives and ensuring adherence with laws and regulations, internal policies and procedures, and stakeholder commitments. 21 Laws Policies Procedures Processes/system People Tools &Technologies
  22. 22. GRC related best practices and compliance SOX CobiT 4.1 GLBA HIPAA ITSM ITAF/GTAG ISO/IEC 27001 Corporate Governance PCI DSS IT Governance BS25999 (BCM) ITIL & ISO/IEC 20000 ISO/IEC 27006 Basel II COSO (ERM) CCA/ETA (C) Copyright 2007-2009, ACIS Professional Center Company Limited
  23. 23. Difference among IA, IT Audit, Infosec Audit and System Security Audit Internal IT Audit InfoSec Audit System Security Audit Audit Audit scope Enterprise IT IS Security System specific NIST(SPP800-53A,SP800- Audit COSO CobiT ISO27001 115), Framework NSA:IAM, OSSTMM ITG, IT/Biz Security System security, Audit objective CG Alignment Governance hardening Professional NSA:IAM,OPST, OPSA, CIA CISA CISSP, IRCA:ISMS Cert. CEH, SSCP, CSSLP etc.
  24. 24. Information Technology (IT) Security Essential Body of Knowledge (EBK) A Competency and Functional Framework for IT Security Workforce Development September 2008 United States Department of Homeland Security
  25. 25. EBK Development Process Refer to 53 Critical Work Function (CWF) from DoD IASS
  26. 26. Key Divisions • 4 functional perspectives Functional Perspectives • 14 competency areas 1. Manage • 10 roles 2. Design 3. Implement 4. Evaluate
  27. 27. IT Security Roles 1. Chief Information Officer 2. Digital Forensics Professional 3. Information Security Officer 4. IT Security Compliance Officer 5. IT Security Engineer 6. IT Security Professional 7. IT Systems Operations and Maintenance Professional 8. Physical Security Professional 9. Privacy Professional 10.Procurement Professional
  28. 28. Competency Areas (MDIE in each) 1. Data Security 8. Personnel Security 2. Digital Forensics 9. Physical and 3. Enterprise Continuity Environmental Security 4. Incident Management 10. Procurement 5. IT Security Training and 11. Regulatory and Standards Awareness Compliance 6. IT System Operations and 12. Security Risk Management Maintenance 13. Strategic Security 7. Network and Management Telecommunication Security 14. System and Application Security
  29. 29. TISA EBK Analysis IT Security Roles Executive Functional Corollary IT Security EBK: A Competency and IT Security Compliance Officer Physical Security Professional Digital Forensics Professional Functional Framework Information Security Officer IT Systems Operations and Procurement Professional Maintenance Professional Chief Information Officer IT Security Professional IT Security Engineer Privacy Professional Functional Perspectives M - Manage D - Design I - Implement E - Evaluate M 11 12 0 1 2 1 0 1 3 1 D 2 7 1 3 4 6 4 2 6 1 I 0 1 2 5 8 3 4 4 4 1 E 3 10 14 3 5 7 2 3 5 1 Total Competency Units 16 30 17 12 19 17 10 10 18 4 Managerial Professional Level Level Entry Level
  30. 30. Your Competency Scorecard
  31. 31. Enterprise Infosec Competency Profile * Organization assess Infosec competency Enterprise requirement against EBK Capability * Assess current competency within the enterprise * Identify competency gap  training requirement, recruitment EBK Infosec training provider maps Training training courses to EBK Provider
  32. 32. TISA Roadmap 2012 TISA Exam Thailand InfoSec First Launch 2011 Local InfoSec Professional Council TISET#1 Q1 Certification TISA Level I,II,III TISET Pilot Test 2010 (preparation for taking Q4 Increase number of International InfoSec InfoSec professional Certification) across industries in Thailand and Asia 2009 Pacific TISA EBK Assessment Exam (Pilot Test) Social Networking Security 33 Conference 2010
  33. 33. TISET Certification Roadmap TISA IT Security – Essential Body of Knowledge (EBK) Test Internal Audit, IT/GRC Technical / IT Practitioner EXPERT IT Audit, InfoSec Audit Management ADVANCE International Certified IT & Information Security Professional Good Step to take … CISSP, SSCP, CISA, CISM, CSSLP, SANS GIAC FOUNDATION (Localized) on IT & Information Security TISA TISET Certification Competencies Test TISA TISET Exam Social Networking Security 34 Conference 2010
  34. 34. Thank You
  35. 35. CyberCrime, CyberTerror, CyberEspionage, and CyberWar • What happened to Estonia was the first instance of cyber-warfare against a specific government. Russia was suspected as the instigator of the digital assault, a charge the Russian government denied, but there was no reliable evidence to prove this. • DDoS attacks had happened before, seemingly triggered by political or other events. The latest such incident involved a DDoS attack on US servers from what appeared to be Korean computers after a South Korean contestant to the 2002 Winter Games in Salt Lake City was disqualified. • The cyber-attack against Estonia could have been orchestrated by private individuals sympathetic to the Russian government or ethnic Russian citizens in Estonia, although the obviously large financial resource made available for the May 9-10 DDoS attacks places this in some doubt.
  36. 36. องค์กรด้าน Cybersecurity ในประเทศใกล้เคียง • สิงค์โปร์ – National Infocomm Security Committee (NISC) ทาหน้าทีกาหนดนโยบายและ ่ ยุทธศาสตร์ระดับชาติ โดย Infocomm Development Authority (IDA) ทาหน้าทีเป็ น ่ เลขาธิการคณะกรรมการชุดนี้ – Singapore Infocomm Technology Security Authority (SITSA) ขึน เพือ ้ ่ ั ดาเนินการด้านปฏิบตการในแก้ไขปญหาด้าน Cybersecurity ของประเทศสิงคโปร์ ั ิ • มาเลเซีย – Cyber Security Malaysia เป็ นหน่วยงานทีมความเชียวชาญด้าน Cybersecurity ่ ี ่ ภายใต้ Ministry of Science, Technology and Innovation (MOSTI) http://www.cybersecurity.my • ออสเตรเลีย – Cyber Security Policy and Coordination (CSPC) Committee ทางานด้านการกา หรดนโยบายและแผนยุทธศาสตร์ระดับชาติ
  37. 37. Cyberwar History 1982: logic bomb in computer control systems cause the explosion of Soviet pipeline 1999: AF/91 caused Iraqi anti-aircraft guns malfunction 1999: USA has been attacked from computers and computer networks situated in China and Russia. 2006: Israel alleges that cyber-warfare was part of the conflict, where the Israel Defense Force (IDF) estimates several countries in the Middle East used Russian hackers and scientists 2007: McAfee, Inc. alleged that China was actively involved in "cyberwar." China was accused of cyber-attacks on India, Germany, and the United States 2007, April: Estonia came under cyber attack from Russia targeting ministries, banks, and media 2007, Sept.: Israel carried out an airstrike on Syria using a computer program designed to interfere with the computers of integrated air defense systems 2007: US suffered "an espionage Pearl Harbor" in which an "unknown foreign power...broke into all of the high tech agencies, all of the military agencies, and downloaded terabytes of information." 2007: Kyrgyz Central Election Commission was defaced during its election. The message left on the website read "This site has been hacked by Dream of Estonian organization". During the election campaigns and riots preceding the election, there were cases of Denial-of- service attacks against the Kyrgyz ISPs. 2008: Russian, South Ossetian, Georgian and Azerbaijani sites were attacked by hackers during the 2008 South Ossetia War. 2008: U.S. military facility in the Middle East. The Pentagon released a document, which reflected that a "malicious code" on a USB flash drive spread undetected on Pentagon systems. 2009, March: a cyber spy network, GhostNet, using servers mainly based in China has tapped into classified documents from government and private organizations in 103 countries 2009, July: a series of coordinated cyber attacks against major government, news media, and financial websites in South Korea and the United States. From North Korea and UK 2009, Dec.: through January 2010, a cyber attack, dubbed Operation Aurora, was launched from China against Google and over 20 other companies. 2010, May: Indian Cyber Army defacing Pakistani websites. In return 1000+ Indian websites were defaced by PakHaxors, TeaMp0isoN, UrduHack & ZCompany Hacking Crew, among those were the Indian CID website 2010, Sept: Iran was attacked by the Stuxnet worm. The worm is said to be the most advanced piece of malware ever discovered and significantly increases the profile of cyberwarfare. 2010, Oct.: Government Communications Headquarters (GCHQ), said Britain faces a “real and credible” threat from cyber attacks by hostile states and criminals and government systems are targeted 1,000 times each month 2010, Nov.: Indian Cyber Army hacked the websites belonging to the Pakistan Army and ministries, as a revenge of the Mumbai terrorist attack 2010, Dec.: Pakistan Cyber Army hacked the website of India's top investigating agency, the Central Bureau of Investigation (CBI).
  38. 38. การสร้ างความมันคงด้ านไซเบอร์ ในระดับชาติ ่ National Cybersecurity • กาหนดนโยบายความั่นคงด้ านไซเบอร์ เป็ นส่ วนหนึ่งของนโยบาย ความมั่นคงแห่ งชาติ จาเป็ นต้ องสร้ างยุทธศาสตร์ ด้านนีเ้ ป็ นหลัก อย่ างหนึ่งในการปองกันประเทศ ้ • สร้ างความร่ วมมือภาครัฐและภาคเอกชน • ปองกันการเกิดอาชญากรรมไซเบอร์ หรือทาให้ ลดจานวนลง ้ • สร้ างหน่ วยงานรับผิดชอบเหตุการณ์ ด้านความมั่นคงไซเบอร์ โดยตรง • สร้ างวัฒนธรรมเกี่ยวกับความมั่นคงด้ านไซเบอร์
  39. 39. ข้อเสนอในการเตรียมการรับมือปัญหา ด้าน cyber security 1 .จัดตั้งโครงการร่ วมมือข้ ามหน่ วยงานระหว่ างกระทรวง โดยมีงบประมาณ สาหรั บ • สร้ างระบบงานสารสนเทศที่ปลอดภัย, มั่นคง, และสามารถทางานได้ ต่อเนื่อง แม้ เมื่อเกิดปั ญหาขึน ้ • นโยบาย, งานวิจัย, กฎหมาย,ข้ อบังคับต่ างๆที่จาเป็ น • ความตระหนักถึงภัยและการปรั บวัฒนธรรมการทางานและการใช้ งาน อินเทอร์ เน็ต • ทักษะและการศึกษาที่จะทาให้ ร้ ู เท่ าทันโลกไซเบอร์ • การสร้ างขีดความสามารถที่สูงขึนของบุคลากร และการพัฒนางานวิจัยที่ ้ เกี่ยวข้ องทางเทคนิค • การร่ วมมือกับนานาประเทศในการแก้ ปัญหานี ้
  40. 40. ข้อเสนอ … (ต่อ) 2. ทางานอย่างใกล้ชิดกับกลุ่มต่างๆ 4. จัดตังศูนย์ปฏิบติการความันคง ้ ั ่ ทังทีเ่ ป็ นภาครัฐ ภาคเอกชน ้ ด้านไซเบอร์ (Cyber Security อุตสาหกรรม กลุ่มสิทธิต่างๆ, Operations Centre - CSOC) องค์กรสาธารณะ, และพันธมิตร นานาชาติ • เผ้าดูสถานการณ์ในโลกไซเบอร์ที่อาจ มีผลกระทบกับประเทศไทย และ ประสานงานการโต้ตอบที่เหมาะสม 3. จัดตังสานักงานความมันคงด้าน ้ ่ ไซเบอร์ (Office of Cyber • สร้างความเข้าใจในประเด็นที่เกี่ยวข้อง Security - OCS) ให้เป็ น กับการถูกโจมตีทางไซเบอร์ เพื่อทาให้ หน่ วยงานหลักในการกาหนด ผูเกี่ยวข้องต่างๆทราบว่าจะต้อง ้ แนวทางการดาเนินงานด้าน เตรียมตัวอย่างไร และจะต้องทาอะไร ความมันคงปลอดภัยในภาครรัฐ ่ เมื่อถูกโจมตี ทังหมด ้ • ให้คาแนะนาและข้อมูลข่าวสารที่ เกี่ยวกับความเสี่ยงต่อภาคธุรกิจและ ประชาชนทัวไป ่

×