SlideShare a Scribd company logo
Risk Assessment : RA
Risk Assessment : RA


              Information
                Security




Information                 Risk
การประเมิ น ความเสี่ ยงเป็ น
กระบวนการแรกในวธการบรหาร
กระบวนการแรกในวิธีการบริ หาร
จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร
ตรวจสอบขอบเขตของความเสยง
ตรวจสอบขอบเขตของความเสี่ยง
แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก
กระบวนการจะชวยใหสามารถหา
กระบวนการจะช่ วยให้ สามารถหา
วิธี การควบคุ ม ที่เหมาะสมสําหรั บ
การลดหรอกาจดความเสยงท่
การลดหรื อกํ า จั ด ความเสี่ ยงที
เกิดขึน้
สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้
                          ้
  1. การอธบายลกษณะของระบบ
  1 การอธิบายลักษณะของระบบ
     (System Characterization)
  2. การบงชภยคุกคาม (Threat Identification)
  2        ่ ชี ้ ั         (Th Id ifi i )
  3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification)
                ้
  4. การวิเคราะห์์ การควบคุม (Control Analysis)
  5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม
     (Likelihood Determination)
สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้
                         ้
  6. การวิเคราะห์ ผลกระทบ (Impact Analysis)
  7. การตรวจสอบความเสี่ยง (Risk Determination)
  8. การเสนอวิธีการควบคม (Control Recommendations)
     การเสนอวธการควบคุม
  9. การทําเอกสารสรุ ปผล (Result Documentation)
การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน
ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด
ทรั พยากรและข้ อมลข่ าวสารที่มีอย่             จะต้ องกําหนด
ขอบเขตในการประเมินความเสี่ยง จําแนกขอบเขตการให้
สิิทธิิในการทํางาน และเตรีี ยมข้้ อมูลที่ มีผลต่่ อความเสี่ ียง
                ํ                         ี
    1.ข้ อมูลที่สัมพันธ์ กับระบบ
        (System-Related Information)
    2.เทคนิคการรวบรวมข้ อมููล
        (Information-Gathering Techniques)
ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information)
    • อุปกรณฮารดแวร
      อปกรณ์ ฮาร์ ดแวร์
    • ซอฟแวร์
    • การเชื่อมต่ อระบบทังภายในและภายนอก
      การเชอมตอระบบทงภายในและภายนอก
                           ้
    • ระบบข้ อมูลและข่ าวสาร
    • บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ
                  ี      ใ
    • พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ
                                             ํ
       ข้ อมูลสารสนเทศ
ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information)
    •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ
    •ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ
      หรื อความสําคัญที่มีต่อองค์ กร
    • ระดัับการปกปองข้้ อมูลและระบบ
                 ป ป  ้
เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques)
   • ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่
     สวนแบบสอบถาม                   ในการรวบรวมขอมูลท
   เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง
                     ี ํ
   แบบสอบถาม
   • ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews)
   การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล
   การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล
   สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม
                                       ี
จะกระทาตอสงทไมมความมนคง
จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง
    ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ
ผลกระทบจากภายนอกไดงาย      ไ ้่
 การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification)
          ้
เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม
  ้              ้         ้
และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล
สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats)
เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น
          ้               ิ ไ         ป็
     ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้
การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย
                                    ้
เจตนา
     ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment
Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล
            เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล
                              ้
เป็ นต้ น
Natural 
  Threats
  Th


  Human 
  Threats      Motivation and 
               Threat Actions
               Threat Actions

Environment 
  Threats
การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ
                  ั
ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด
ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด
ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา
                     ้           ้        ้
รายการความไมมนคงของระบบที่ ทาใ ้
              ไ ่ ่ั               ี ํ ใหระบบมีีโอกาส
ได้ รับภัยคุกคาม
ความไมมันคง
            ่ ่          แหลงกําเนิดภัยคุกคาม
                            ่                      ปฏิกรยาภัยคุกคาม
                                                       ิ ิ
    (Vulnerability)        (Threat‐Source)          (Threat‐Action)

ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ
ไ ่         ้        พนักงานที่หมดสภาพ          การแอบเข้้ ามาดึงข้้ อมูล
                                                                 ึ
พนักงานที่ออกจาก     การเป็ นพนักงานของ         สําคัญของบริษัทโดย
บริษัทไปแล้ วจากระบบ บริษัท
บรษทไปแลวจากระบบ ร                              การตอโมเดมเขามาใน
                                                การต่ อโมเดมเข้ ามาใน
                                                บริษัท
ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย
 ู              ู        ไฟ, บุคคลทเพกเฉย       ระบบนาฉดพนทางาน
                                                ระบบนําฉีดพ่ นทํางาน
                                                         ้
พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ
      ้       ้                                 เมื่อเกิดไฟไหม้
แต่ ไม่ มีอุปกรณ์ กันนํา
                       ้
สําหรัับอุปกรณ์์ ไฟฟาและ
   ํ                 ้
เอกสารข้ อมูลต่ างๆ
เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่
        ้                    ้
องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี
          ใ                ี     ไ ื                  ํ ั โ
จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ
          • วิธีการควบคุม (Control Method)
          • ประเภทของการควบคุุม (Control Category)
วิธีการควบคุม (Control Method) การควบคุมการรั กษา
ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่
                                       ้
เชิงเทคนิค
      การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ
          ร ว ุมเ เทคนิ            ร ้ ร เ วกั
อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น
วธการเขารหสขอมูล
วิธีการเข้ ารหัสข้ อมล
      การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ
และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ
                 ป ิ ั ิ          โ
ปลอดภัย
ประเภทของการควบคุม (Control Category) การควบคุม
ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2
ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้
  ้
ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ
                                ้
ตรวจจบ  ั
       การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด
                         ้
    ความไม่ ปลอดภัยกับระบบ
       การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้
    ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ
                                     ้
การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ
    การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ
                                                  ้ึ
เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน
               ี
สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ
ส                ้ ่ี ี ั     ปจจยทตองพจารณาไดแก่    ไ ้
     • ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ
     ก่ อให้ เกิดความเสี่ ยง
     • ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง
     • ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ
     ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ
สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ
ควบคุมทมอยู มมประสทธภาพ
ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ
   ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ
สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี
การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก
                                           ้
ความไม่ ม่ ันคงที่เกิดขึน
                        ้
ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ
สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ
ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ
มั่นคงของระบบได้ ดี
การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ
ระบบเมื่ ือเกิดภยคุกคามขึน กอนที่ จะเริ่ ิมวิเคราะห์
              ิ ั        ึ้ ่ ี              ิ
ผลกระทบ ทัง 3 ด้ าน
               ้
   • พันธกิจของระบบ (System mission)
   • ความสําคัญของระบบและข้ อมููล
     (System and data criticality)
   • ความไวต่ อการเปลี่ยนแปลงของระบบและข้ อมล
     ความไวตอการเปลยนแปลงของระบบและขอมูล
     (System and data sensitivity)
ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ
ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ
                  ูญ
องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ
และองค์ กร
     ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ
ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ
             ใ ิ
องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ
สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร
ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร
เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง
เลกนอย
เล็กน้ อย
การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก
ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให
ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้
   ้                                              ้
ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง
ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ
                                ป
ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน
เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
     โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ
     โอกาสเกิดความเสี่ยง (Lik lih d) กับ ความรนแรงของ
ความเสี่ยง (Impact)
โอกาสการเกิด         ความรุ นแรงของความเสี่ยง (Impact)
  ความเสี่ยง      ตา (10)
                  ตํ่า          ปานกลาง (50)      สูง (100)
                                                  สง
 (Likelihood)

   สูง (1.0)         ตํํ่า        ปานกลาง             สูง
                10 x 1.0 = 10   50 x 1.0 = 50   100 x 1.0 = 100
ปานกลาง (0.5)        ตา ํ่        ปานกลาง
                                  ป                ปานกลาง
                                                   ป
                10 x 0.5 = 5    50 x 0.5 = 25   100 x 0.5 = 50
   ตํ่า (0.1)        ตา
                     ตํ่า            ตา
                                     ตํ่า             ตา
                                                      ตํ่า
                10 x 0.1 = 1    50 x 0.1 = 5    100 x 0.1 = 10
ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ
      ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข
                      ู
อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน
                         ํ                            ิ
ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้
                                           ั ี
      ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ
แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง
                      ไ        ป ป                ใ
เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย
คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง
         ใ          ี             ใ    ป ป   ้
ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน
                          ้                ้
ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ
       ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ
       ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ
เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ
รบมอกบความเสยงได
รั บมือกับความเสี่ยงได้
การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ
เกิดกับระบบข้ อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร
ให้ อยู่ในระดับที่สามารถยอมรั บได้ การเสนอวิธีการควบคุม
เป็ นผลจากกระบวนการประเมินความเสี่ยงและเป็ นการ
เตรยมขอมูลสาหรบกระบวนการลดระดบความเสยง
เตรี ยมข้ อมลสําหรั บกระบวนการลดระดับความเสี่ยง
เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี
การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป
                                  ้
รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ
การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ
องคกร
องค์ กร
1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ
                            ุ
เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย
(ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา
          ้
มหาวิทยาลัยธรรมศาสตร์ , (2544))
                            ( ))
    2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk
in Information Technology Project)
                          gy j )
(จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา
เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร
ลาดกระบัง, (2545))
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
                             ้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์ ความเสี่ยงคือ
   • ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ
          ้
   มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน
   มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น
                            ํ
   ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า
                          ํ
   ปญหามอะไรบาง
   ปั ญหามีอะไรบ้ าง
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
                             ้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์ ความเสี่ยงคือ
   • การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ
   วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ
   วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ
                         ้
   ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่
   ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม
   ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี
   เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ
                                          ิ ้
   สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน
   สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน
   บูรณการและการเก็บรกษาความลับที่เหมาะสม.
การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้
                             ้
ผลการวเคราะหความเสยงคอ
ผลการวิเคราะห์ ความเสี่ยงคือ
   • ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ
   ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น
   ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน
                   ิ                                     ้
   สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ .
            ื ํ                          ้
Q
&
A
Thank You…  Security Group

More Related Content

What's hot

Data Mining And Data Warehousing Laboratory File Manual
Data Mining And Data Warehousing Laboratory File ManualData Mining And Data Warehousing Laboratory File Manual
Data Mining And Data Warehousing Laboratory File Manual
Nitin Bhasin
 
التعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحليةالتعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحلية
Ahmed Al Enizi
 
OLAP in Data Warehouse
OLAP in Data WarehouseOLAP in Data Warehouse
OLAP in Data Warehouse
SOMASUNDARAM T
 
تحقيق الجنائي الالكتروني
تحقيق الجنائي الالكترونيتحقيق الجنائي الالكتروني
تحقيق الجنائي الالكتروني
jordanprogrammer
 
The Interaction Model
The Interaction ModelThe Interaction Model
The Interaction Model
Tim Sheiner
 
Ppt
PptPpt
Cryptol 수업자료
Cryptol 수업자료Cryptol 수업자료
Cryptol 수업자료
arundine
 
Multidimensional schema of data warehouse
Multidimensional schema of data warehouseMultidimensional schema of data warehouse
Multidimensional schema of data warehouse
kunjan shah
 
امن المعلومات المحاضرة الاولى
امن المعلومات المحاضرة الاولىامن المعلومات المحاضرة الاولى
امن المعلومات المحاضرة الاولى
ايمن البيلي
 
المخاطر التى تهدد أمن المعلومات اليوم التانى222 .pptx
المخاطر التى تهدد أمن  المعلومات اليوم التانى222 .pptxالمخاطر التى تهدد أمن  المعلومات اليوم التانى222 .pptx
المخاطر التى تهدد أمن المعلومات اليوم التانى222 .pptx
AtefMarzouk1
 
Windows handle 의 비밀 2
Windows handle 의 비밀 2Windows handle 의 비밀 2
Windows handle 의 비밀 2
Joosaeng Kim
 
System Analysis And Design
System Analysis And DesignSystem Analysis And Design
System Analysis And Design
Lijo Stalin
 
Data warehousing ppt
Data warehousing pptData warehousing ppt
Data warehousing ppt
Ashish Kumar Thakur
 
Introduction to ETL and Data Integration
Introduction to ETL and Data IntegrationIntroduction to ETL and Data Integration
Introduction to ETL and Data Integration
CloverDX (formerly known as CloverETL)
 
الوحدة السابعة - قاعدة البيانات وادارتها
الوحدة السابعة - قاعدة البيانات وادارتهاالوحدة السابعة - قاعدة البيانات وادارتها
الوحدة السابعة - قاعدة البيانات وادارتها
Amin Abu Hammad
 
مخططات حالات الاستخدام Use case diagram uml
مخططات حالات الاستخدام Use case diagram umlمخططات حالات الاستخدام Use case diagram uml
مخططات حالات الاستخدام Use case diagram uml
Sally Jarkas
 
Data warehousing and business intelligence project report
Data warehousing and business intelligence project reportData warehousing and business intelligence project report
Data warehousing and business intelligence project report
sonalighai
 
Decision table
Decision tableDecision table
Decision table
jeebala
 
Interface Selection Options.pptx
Interface Selection Options.pptxInterface Selection Options.pptx
Interface Selection Options.pptx
XanGwaps
 
ETL Testing Interview Questions and Answers
ETL Testing Interview Questions and AnswersETL Testing Interview Questions and Answers
ETL Testing Interview Questions and Answers
H2Kinfosys
 

What's hot (20)

Data Mining And Data Warehousing Laboratory File Manual
Data Mining And Data Warehousing Laboratory File ManualData Mining And Data Warehousing Laboratory File Manual
Data Mining And Data Warehousing Laboratory File Manual
 
التعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحليةالتعرف على الاختراقات في الشبكات المحلية
التعرف على الاختراقات في الشبكات المحلية
 
OLAP in Data Warehouse
OLAP in Data WarehouseOLAP in Data Warehouse
OLAP in Data Warehouse
 
تحقيق الجنائي الالكتروني
تحقيق الجنائي الالكترونيتحقيق الجنائي الالكتروني
تحقيق الجنائي الالكتروني
 
The Interaction Model
The Interaction ModelThe Interaction Model
The Interaction Model
 
Ppt
PptPpt
Ppt
 
Cryptol 수업자료
Cryptol 수업자료Cryptol 수업자료
Cryptol 수업자료
 
Multidimensional schema of data warehouse
Multidimensional schema of data warehouseMultidimensional schema of data warehouse
Multidimensional schema of data warehouse
 
امن المعلومات المحاضرة الاولى
امن المعلومات المحاضرة الاولىامن المعلومات المحاضرة الاولى
امن المعلومات المحاضرة الاولى
 
المخاطر التى تهدد أمن المعلومات اليوم التانى222 .pptx
المخاطر التى تهدد أمن  المعلومات اليوم التانى222 .pptxالمخاطر التى تهدد أمن  المعلومات اليوم التانى222 .pptx
المخاطر التى تهدد أمن المعلومات اليوم التانى222 .pptx
 
Windows handle 의 비밀 2
Windows handle 의 비밀 2Windows handle 의 비밀 2
Windows handle 의 비밀 2
 
System Analysis And Design
System Analysis And DesignSystem Analysis And Design
System Analysis And Design
 
Data warehousing ppt
Data warehousing pptData warehousing ppt
Data warehousing ppt
 
Introduction to ETL and Data Integration
Introduction to ETL and Data IntegrationIntroduction to ETL and Data Integration
Introduction to ETL and Data Integration
 
الوحدة السابعة - قاعدة البيانات وادارتها
الوحدة السابعة - قاعدة البيانات وادارتهاالوحدة السابعة - قاعدة البيانات وادارتها
الوحدة السابعة - قاعدة البيانات وادارتها
 
مخططات حالات الاستخدام Use case diagram uml
مخططات حالات الاستخدام Use case diagram umlمخططات حالات الاستخدام Use case diagram uml
مخططات حالات الاستخدام Use case diagram uml
 
Data warehousing and business intelligence project report
Data warehousing and business intelligence project reportData warehousing and business intelligence project report
Data warehousing and business intelligence project report
 
Decision table
Decision tableDecision table
Decision table
 
Interface Selection Options.pptx
Interface Selection Options.pptxInterface Selection Options.pptx
Interface Selection Options.pptx
 
ETL Testing Interview Questions and Answers
ETL Testing Interview Questions and AnswersETL Testing Interview Questions and Answers
ETL Testing Interview Questions and Answers
 

Similar to IT Risk Assessment

Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBRisk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBIngfahx Punyaphet
 
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Nawanan Theera-Ampornpunt
 
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัยการป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัย
Kinko Rhino
 
learningunitonesciencecomputer4
learningunitonesciencecomputer4learningunitonesciencecomputer4
learningunitonesciencecomputer4
Nopparat Suaychalad
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
Nawanan Theera-Ampornpunt
 
รู้เท่าทันไอที
รู้เท่าทันไอทีรู้เท่าทันไอที
รู้เท่าทันไอทีPrachyanun Nilsook
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
Nawanan Theera-Ampornpunt
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
Nawanan Theera-Ampornpunt
 
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit
Settapong_CyberSecurity
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Nawanan Theera-Ampornpunt
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
Nawanan Theera-Ampornpunt
 
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)
Nawanan Theera-Ampornpunt
 
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQAACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQA
taem
 
Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)
Nawanan Theera-Ampornpunt
 
Risk Management 53
Risk Management 53Risk Management 53
Risk Management 53
Liquor Distillery Organization
 
IT Security & Risk Management
IT Security & Risk ManagementIT Security & Risk Management
IT Security & Risk Management
Nawanan Theera-Ampornpunt
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Nawanan Theera-Ampornpunt
 
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัยบันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัย
Suradet Sriangkoon
 
Gen1013 chapter 7
Gen1013 chapter 7Gen1013 chapter 7
Gen1013 chapter 7virod
 

Similar to IT Risk Assessment (20)

Risk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIBRisk Management : Cataloging Unit CMUMEDLIB
Risk Management : Cataloging Unit CMUMEDLIB
 
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
Ethics, Security and Privacy Management of Hospital Data Part 2 (January 24, ...
 
การป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัยการป้องกันและระบบความปลอดภัย
การป้องกันและระบบความปลอดภัย
 
learningunitonesciencecomputer4
learningunitonesciencecomputer4learningunitonesciencecomputer4
learningunitonesciencecomputer4
 
Ch8
Ch8Ch8
Ch8
 
Patient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental StudentsPatient Privacy and Security of Health Information for Dental Students
Patient Privacy and Security of Health Information for Dental Students
 
รู้เท่าทันไอที
รู้เท่าทันไอทีรู้เท่าทันไอที
รู้เท่าทันไอที
 
Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)Security and Privacy Management of Patient Information (October 26, 2018)
Security and Privacy Management of Patient Information (October 26, 2018)
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง: เรื่องเล่าจากรามาธิ...
 
Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit Cybersecurity workforce development toolkit
Cybersecurity workforce development toolkit
 
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
Security Awareness Training for Ramathibodi Medical Residents and Fellows (Ju...
 
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
ใช้ไอทีอย่างปลอดภัย พวกเราสบายใจ คนไข้ได้รับความคุ้มครอง (Security Awareness ...
 
Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)Hospital Information System (HIS) (March 13, 2018)
Hospital Information System (HIS) (March 13, 2018)
 
ACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQAACTEP2014: ED accreditation HA JCI TQA
ACTEP2014: ED accreditation HA JCI TQA
 
Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)Hospital Information System (June 26, 2018)
Hospital Information System (June 26, 2018)
 
Risk Management 53
Risk Management 53Risk Management 53
Risk Management 53
 
IT Security & Risk Management
IT Security & Risk ManagementIT Security & Risk Management
IT Security & Risk Management
 
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
Security & Privacy of Patient Information: เรื่องเล่าจากรามาธิบดี (April 17, ...
 
บันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัยบันได 7 ขั้นสู่ความปลอดภัย
บันได 7 ขั้นสู่ความปลอดภัย
 
Gen1013 chapter 7
Gen1013 chapter 7Gen1013 chapter 7
Gen1013 chapter 7
 

More from Banyong Jandragholica

Casestudy railway
Casestudy railwayCasestudy railway
Casestudy railway
Banyong Jandragholica
 
Clouds, big data, and smart assets
Clouds, big data, and smart assetsClouds, big data, and smart assets
Clouds, big data, and smart assets
Banyong Jandragholica
 
10 web trends to watch in 2010
10 web trends to watch in 201010 web trends to watch in 2010
10 web trends to watch in 2010
Banyong Jandragholica
 
20100808 rtarf banyong
20100808 rtarf banyong20100808 rtarf banyong
20100808 rtarf banyong
Banyong Jandragholica
 
HTML5_NAC
HTML5_NACHTML5_NAC
Cloud computing nac
Cloud computing nacCloud computing nac
Cloud computing nac
Banyong Jandragholica
 

More from Banyong Jandragholica (7)

Casestudy railway
Casestudy railwayCasestudy railway
Casestudy railway
 
Clouds, big data, and smart assets
Clouds, big data, and smart assetsClouds, big data, and smart assets
Clouds, big data, and smart assets
 
10 web trends to watch in 2010
10 web trends to watch in 201010 web trends to watch in 2010
10 web trends to watch in 2010
 
20100808 rtarf banyong
20100808 rtarf banyong20100808 rtarf banyong
20100808 rtarf banyong
 
E risk ict_audit
E risk ict_auditE risk ict_audit
E risk ict_audit
 
HTML5_NAC
HTML5_NACHTML5_NAC
HTML5_NAC
 
Cloud computing nac
Cloud computing nacCloud computing nac
Cloud computing nac
 

IT Risk Assessment

  • 1.
  • 3. Risk Assessment : RA Information Security Information Risk
  • 4. การประเมิ น ความเสี่ ยงเป็ น กระบวนการแรกในวธการบรหาร กระบวนการแรกในวิธีการบริ หาร จั ด ก า ร ค ว า ม เ สี่ ย ง ใ น ก า ร ตรวจสอบขอบเขตของความเสยง ตรวจสอบขอบเขตของความเสี่ยง แ ล ะ ภั ย คุ ก ค า ม ที่ ผ ล ที่ ไ ด้ จ า ก กระบวนการจะชวยใหสามารถหา กระบวนการจะช่ วยให้ สามารถหา วิธี การควบคุ ม ที่เหมาะสมสําหรั บ การลดหรอกาจดความเสยงท่ การลดหรื อกํ า จั ด ความเสี่ ยงที เกิดขึน้
  • 5. สามารถแบ่ งออกเป็ น 9 ขันตอนดังนี ้ ้ 1. การอธบายลกษณะของระบบ 1 การอธิบายลักษณะของระบบ (System Characterization) 2. การบงชภยคุกคาม (Threat Identification) 2 ่ ชี ้ ั (Th Id ifi i ) 3. การบ่ งชีความไม่ ม่ ันคง (Vulnerability Identification) ้ 4. การวิเคราะห์์ การควบคุม (Control Analysis) 5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
  • 6. สามารถแบ่ งออกเป็็ น 9 ขันตอนดังนี ้ ้ 6. การวิเคราะห์ ผลกระทบ (Impact Analysis) 7. การตรวจสอบความเสี่ยง (Risk Determination) 8. การเสนอวิธีการควบคม (Control Recommendations) การเสนอวธการควบคุม 9. การทําเอกสารสรุ ปผล (Result Documentation)
  • 7. การระบุของเขตในการพิจารณาจะต้ องคํานึงถึงจํานวน ทรพยากรและขอมูลขาวสารทมอยูในระบบ จะตองกาหนด ทรั พยากรและข้ อมลข่ าวสารที่มีอย่ จะต้ องกําหนด ขอบเขตในการประเมินความเสี่ยง จําแนกขอบเขตการให้ สิิทธิิในการทํางาน และเตรีี ยมข้้ อมูลที่ มีผลต่่ อความเสี่ ียง ํ ี 1.ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) 2.เทคนิคการรวบรวมข้ อมููล (Information-Gathering Techniques)
  • 8. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) • อุปกรณฮารดแวร อปกรณ์ ฮาร์ ดแวร์ • ซอฟแวร์ • การเชื่อมต่ อระบบทังภายในและภายนอก การเชอมตอระบบทงภายในและภายนอก ้ • ระบบข้ อมูลและข่ าวสาร • บุคคลผู้ ท่ ดูแลและใช้้ งานระบบ ี ใ • พันธกิจของระบบ เช่ น กระบวนการที่ทาโดยระบบ ํ ข้ อมูลสารสนเทศ
  • 9. ข้ อมูลที่สัมพันธ์ กับระบบ (System-Related Information) •ความสาคญของขอมูลและระบบ เชน คุณคาของระบบ •ความสําคัญของข้ อมลและระบบ เช่ น คณค่ าของระบบ หรื อความสําคัญที่มีต่อองค์ กร • ระดัับการปกปองข้้ อมูลและระบบ ป ป ้
  • 10. เทคนิคการรวบรวมข้ อมูล(Information-Gathering Techniques) • ส่ วนแบบสอบถาม (Questionnaire) ในการรวบรวมข้ อมลที่ สวนแบบสอบถาม ในการรวบรวมขอมูลท เกี่ยวข้ อง ผู้ท่ ทาการประเมินความเสี่ยงสามารถปรับปรุ ง ี ํ แบบสอบถาม • ส่ วนการสัมภาษณ์ ตามสถานที่จริง (On-site Interviews) การสมภาษณบุคคลทมหนาทดูแลหรื อบริหารระบบข้ อมล การสัมภาษณ์ บคคลที่มีหน้ าที่ดแลหรอบรหารระบบขอมูล สารสนเทศทําให้ ผ้ ูประเมินความเสี่ยงสามารถรวบรวมข้ อมูลที่มี
  • 11. ภัยคุกคาม คือ สิ่งที่เป็ นไปได้ ท่ แหล่ งกําเนิดภัยคุกคาม ี จะกระทาตอสงทไมมความมนคง จะกระทําต่ อสิ่งที่ไม่ มีความมั่นคง ความไม่ ม่ ันคงคือความอ่ อนแอของสิ่งหนึ่งทําให้ ได้ รับ ผลกระทบจากภายนอกไดงาย ไ ้่ การบ่ งชีแหล่ งกําเนิดภัยคุกคาม (Threat-Source Identification) ้ เปาหมายของขันตอนนีคือ ระบุแหล่ งกําเนิดของภัยคุกคาม ้ ้ ้ และประมวลผลเป็ นรายชื่อภัยคุุกคามที่มีผลต่ อระบบข้ อมููล สามารถแบ่ งออกเป็ น 3 ประเภทดังนี ้
  • 12. ประเภทแรก ภัยคุกคามโดยธรรมชาติ (Natural Threats) เช่่ น นํําท่่ วม แผ่่ นดินไหว พายุ เป็ นต้้ น ้ ิ ไ ป็ ประเภทสอง ภัยคุกคามโดยมนุษย์ (Human Threats) ทัง ้ การกระทําที่ เกิดจากความไม่ ตังใจและการกระทําผิดโดย ้ เจตนา ประเภทสาม ภัยคุกคามจากสภาพแวดล้ อม (Environment Threats) เช่ น ระบบไฟฟาขัดข้ อง มลภาวะ สารเคมีร่ ั วไหล เชน ระบบไฟฟาขดของ, มลภาวะ, สารเคมรวไหล ้ เป็ นต้ น
  • 13. Natural  Threats Th Human  Threats Motivation and  Threat Actions Threat Actions Environment  Threats
  • 14. การวิเคราะห์ ภยคุกคามที่มีต่อระบบข้ อมูลสารสนเทศ ั ตองมการวเคราะหความออนแอไมมนคงของสภาพแวด ต้ องมีการวิเคราะห์ ความอ่ อนแอไม่ ม่ ันคงของสภาพแวด ล้ อม ของระบบ เปาหมายของขันตอนนีคือการพัฒนา ้ ้ ้ รายการความไมมนคงของระบบที่ ทาใ ้ ไ ่ ่ั ี ํ ใหระบบมีีโอกาส ได้ รับภัยคุกคาม
  • 15. ความไมมันคง ่ ่ แหลงกําเนิดภัยคุกคาม ่ ปฏิกรยาภัยคุกคาม ิ ิ (Vulnerability) (Threat‐Source) (Threat‐Action) ไมมีีการลบขอมูลของ พนกงานทหมดสภาพ ไ ่ ้ พนักงานที่หมดสภาพ การแอบเข้้ ามาดึงข้้ อมูล ึ พนักงานที่ออกจาก การเป็ นพนักงานของ สําคัญของบริษัทโดย บริษัทไปแล้ วจากระบบ บริษัท บรษทไปแลวจากระบบ ร การตอโมเดมเขามาใน การต่ อโมเดมเข้ ามาใน บริษัท ศนย์ กลางข้ อมลใช้ ระบบ ไฟ, บคคลที่เพิกเฉย ู ู ไฟ, บุคคลทเพกเฉย ระบบนาฉดพนทางาน ระบบนําฉีดพ่ นทํางาน ้ พ่ นนําเพื่อปองกันไฟไหม้ ไม่ ให้ ความใส่ ใจ ้ ้ เมื่อเกิดไฟไหม้ แต่ ไม่ มีอุปกรณ์ กันนํา ้ สําหรัับอุปกรณ์์ ไฟฟาและ ํ ้ เอกสารข้ อมูลต่ างๆ
  • 16. เปาหมายของขันตอนนีเ้ พื่อวิเคราะห์ การควบคุมที่ ้ ้ องค์์ กรใช้้ อยู่หรืื อที่ วางแผนไว้้ เพื่ อลดหรืื อกําจัดโอกาสที่ ี ใ ี ไ ื ํ ั โ จะเกิดภัยคุกคาม ได้ 2 อย่ างคือ • วิธีการควบคุม (Control Method) • ประเภทของการควบคุุม (Control Category)
  • 17. วิธีการควบคุม (Control Method) การควบคุมการรั กษา ความปลอดภัยอาศัยวิธีการควบคุมทังเชิงเทคนิคและที่ไม่ ใช่ ้ เชิงเทคนิค การควบคมเชิงเ นคคือการปกปองระบบเกี่ยว บ ร ว ุมเ เทคนิ ร ้ ร เ วกั อุปกรณ์ ฮาร์ ดแวร์ ซอฟแวร์ ของเครื่ องคอมพิวเตอร์ เช่ น วธการเขารหสขอมูล วิธีการเข้ ารหัสข้ อมล การควบคุมที่ไม่ ใช่ เชิงเทคนิคคือการบริหารจัดการ และควบคุมการปฏิบตงานเช่่ น นโยบายรัั กษาความ ป ิ ั ิ โ ปลอดภัย
  • 18. ประเภทของการควบคุม (Control Category) การควบคุม ทงเชงเทคนค และทไมใชเชงเทคนคถูกแบงประเภทได 2 ทังเชิงเทคนิค และที่ไม่ ใช่ เชิงเทคนิคถกแบ่ งประเภทได้ ้ ประเภทคือการควบคุมแบบปองกัน และการควบคุมแบบ ้ ตรวจจบ ั การควบคุมแบบปองกันมีจุดประสงค์ เพื่อไม่ ให้ เกิด ้ ความไม่ ปลอดภัยกับระบบ การควบคุุมแบบตรวจจับมีจุดประสงค์ เพื่อแจ้ งให้ ทราบว่ าเกิดความไม่ ปลอดภัยขึนบนระบบ ้
  • 19. การวดระดบโอกาสทจะเกดความเสยงซงบงชถงความ การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่ งชีถงความ ้ึ เป็ นไปได้ ท่ ระบบจะไม่ มีความมั่นคงสามารถทําได้ เมื่ออยู่ใน ี สภาพแวดลอมทมภยคุกคาม ปั ั ่ ี ้ ิ ส ้ ่ี ี ั ปจจยทตองพจารณาไดแก่ ไ ้ • ความสามารถของแหล่ งกําเนิดภัยคุกคามในการ ก่ อให้ เกิดความเสี่ ยง • ธรรมชาติของความไม่ ม่ ันคงที่ก่อให้ เกิดความเสี่ยง • ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
  • 20. ระดบสูง หมายถง แหลงกาเนดภยคุกคามมความสามารถ ระดับสง หมายถึง แหล่ งกําเนิดภัยคกคามมีความสามารถ สูงในการกระตุ้นและก่ อให้ เกิดความเสี่ยงต่ อระบบและวิธีการ ควบคุมทมอยู มมประสทธภาพ ควบคมที่มีอย่ ไม่ มีประสิทธิภาพ ระดับปานกลาง หมายถึง แหล่ งกําเนิดภัยคุกคามมีความ สามารถพอ ที่จะก่ อให้ เกิดความเสี่ยงต่ อระบบได้ แต่ ระบบมี การควบคุมที่มีประสิทธิ ภาพทําให้ สามารถปองกันระบบจาก ้ ความไม่ ม่ ันคงที่เกิดขึน ้
  • 21. ระดับตํ่า หมายถึง แหล่ งกําเนิดภัยคุุกคามไม่ สามารถ สร้ างความเสี่ยงให้ แก่ ระบบได้ หรื อวิธีการควบคุมความ ปลอดภัยของระบบมีประสิทธิภาพสููง สามารถรั กษาความ มั่นคงของระบบได้ ดี
  • 22. การวัดระดับความเสี่ยงคือการตรวจสอบผลกระทบต่ อ ระบบเมื่ ือเกิดภยคุกคามขึน กอนที่ จะเริ่ ิมวิเคราะห์ ิ ั ึ้ ่ ี ิ ผลกระทบ ทัง 3 ด้ าน ้ • พันธกิจของระบบ (System mission) • ความสําคัญของระบบและข้ อมููล (System and data criticality) • ความไวต่ อการเปลี่ยนแปลงของระบบและข้ อมล ความไวตอการเปลยนแปลงของระบบและขอมูล (System and data sensitivity)
  • 23. ผลกระทบระดับสูง หมายถึง ความไม่ ม่ ันคงของระบบ ส่ งผลให้ เกิดการสญเสียทรั พย์ สิน และทรั พยากรหลักของ ูญ องค์ กรจํานวนมาก หรื อเป็ นอันตรายร้ ายแรงต่ อพันธกิจ และองค์ กร ผลกระทบระดับปานกลาง หมายถึง ความไม่ ม่ ันคงของ ระบบส่ งผลให้้ เกิดการสูญเสีียทรััพย์์ สิน และทรััพยากรของ ใ ิ องค์ กร หรื อส่ งผลต่ อพันธกิจและองค์ กร
  • 24. ผลกระทบระดับตํ่า หมายถึง ความไม่ ม่ ันคงของระบบ สงผลใหเกดการสูญเสยทรพยสนและทรพยากรขององคกร ส่ งผลให้ เกิดการสญเสียทรั พย์ สินและทรั พยากรขององค์ กร เล็กน้ อย หรื อส่ งผลต่ อพันธกิจหรื อชื่อเสียงขององค์ กรบ้ าง เลกนอย เล็กน้ อย
  • 25. การตรวจสอบความเสี่ ย งจะพิ จ ารณาจากปั จจั ย จาก ขนตอนทผานมาไดแก โอกาสทภยคุ กคามทเกดขนทาให ขั นตอนที่ผ่านมาได้ แก่ โอกาสที่ภัยคกคามที่เกิด ขึน ทํา ให้ ้ ้ ระบบขาดความมั่ น คง, ระดั บ ผลกระทบหรื อ ความรุ น แรง ของภััยคุกคามที่ ีมีต่อระบบ และประสิิทธิิภาพของแผนการ ป ควบคุ ม ความปลอดภั ย ของระบบ โดยใช้ วิ ธี ม าตรฐาน เมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix)
  • 26. วิธีมาตรฐานเมตริกซ์ ระดับความเสี่ยง (Risk-Level Matrix) โอกาสเกดความเสยง (Likelihood) กบ ความรุ นแรงของ โอกาสเกิดความเสี่ยง (Lik lih d) กับ ความรนแรงของ ความเสี่ยง (Impact)
  • 27. โอกาสการเกิด ความรุ นแรงของความเสี่ยง (Impact) ความเสี่ยง ตา (10) ตํ่า ปานกลาง (50) สูง (100) สง (Likelihood) สูง (1.0) ตํํ่า ปานกลาง สูง 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100 ปานกลาง (0.5) ตา ํ่ ปานกลาง ป ปานกลาง ป 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50 ตํ่า (0.1) ตา ตํ่า ตา ตํ่า ตา ตํ่า 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
  • 28. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดับความเสี่ยงสง หมายถึงจําเป็ นต้ องได้ รับการแก้ ไข ู อย่ างเร่ งด่ วน ระบบที่ดาเนินอยู่อาจจะยังคงปฏิบัตงาน ํ ิ ตามปกติแต่ จะต้ องนําแผนการแก้ ไขมาใช้ ทนทีท่ เป็ นไปได้ ั ี ระดับความเสี่ยงปานกลาง หมายถึงควรมีการแก้ ไขและ แผนการควบคุมควรได้้ รับการปรัั บปรุ งแล้้ วนํํามาใช้้ ความเสี่ ียง ไ ป ป ใ เป็ นฟั งก์ ชันของโอกาสที่จะเกิดเหตุการณ์ ใดๆ ซึ่งก่ อให้ เกิดภัย คุกคามในระบบที่ มีความอ่่ อนแอในการปกปองกัับความรุ นแรง ใ ี ใ ป ป ้ ของผลกระทบที่จะเกิดขึนจากภัยคุกคามนัน ้ ้
  • 29. ระดับความเสี่ยง (Risk Level) แบ่ งเป็ น 3 ระดับ ระดบความเสยงตา หมายถงระบบควรไดรบการตรวจสอบ ระดับความเสี่ยงตํ่า หมายถึงระบบควรได้ รับการตรวจสอบ เพื่อให้ แน่ ใจว่ าแผนการควบคุมที่มีอยู่จะสามารถแก้ ไขปั ญหาและ รบมอกบความเสยงได รั บมือกับความเสี่ยงได้
  • 30. การควบคุมภายในองค์ กรช่ วยลดระดับความเสี่ยงที่จะ เกิดกับระบบข้ อมูลสารสนเทศ และข้ อมูลอื่ นๆขององค์์ กร ให้ อยู่ในระดับที่สามารถยอมรั บได้ การเสนอวิธีการควบคุม เป็ นผลจากกระบวนการประเมินความเสี่ยงและเป็ นการ เตรยมขอมูลสาหรบกระบวนการลดระดบความเสยง เตรี ยมข้ อมลสําหรั บกระบวนการลดระดับความเสี่ยง
  • 31. เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์ แล้ ว ต้ องมี การรวบรวมข้ อมูลที่ เกี่ ยวข้ องทังหมดและจัดทําเอกสารสรุ ป ้ รายงานการประเมินความเสี่ยงเป็ นรายงานที่นําไปใช้ ร่วมกับ การบริหารจัดการ เพื่อประกอบการตัดสินใจต่ างๆของ องคกร องค์ กร
  • 32. 1. การศึกษาการบริหารจัดการความเสี่ยงในการพัฒนาระบบ ุ เทคโนโลยีสารสนเทศของธรกิจธนาคารไทย (ผาณิต ลิมเกียรติเชิดชู, วิทยาลัยนวัตกรรมอุดมศึกษา ้ มหาวิทยาลัยธรรมศาสตร์ , (2544)) ( )) 2 การศึกษาความเสี่ยงในโครงการเทคโนโลยีสารสนเทศ (Risk in Information Technology Project) gy j ) (จินตนา กองนิล,หลักสูตรวิทยาศาสตร์ มหาบัณฑิต สาขาวิชา เทคโนโลยีสารสนเทศสถาบันเทคโนโลยีพระจอมเกล้ าเจ้ าคุุณทหาร ลาดกระบัง, (2545))
  • 33. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ตัวชีนําในการกําหนดนโยบายและการดําเนินการด้ านความ ้ มนคงสารสนเทศ ถาไมทาการวเคราะหความเสยงใหเปน มั่นคงสารสนเทศ ถ้ าไม่ ทาการวิเคราะห์ ความเสี่ยงให้ เป็ น ํ ประจํา ตามระยะเวลาที่กาหนดไว้ องค์ กรก็ไม่ สามารถรู้ ได้ ว่า ํ ปญหามอะไรบาง ปั ญหามีอะไรบ้ าง
  • 34. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • การกําหนดนโยบายความมั่นคง สารสนเทศโดยไม่ มีผลการ วเคราะหความเสยงชนา กเปนการนโยบายทไมมหลกการและ วิเคราะห์ ความเสี่ยงชีนํา ก็เป็ นการนโยบายที่ไม่ มีหลักการและ ้ ย่ อมไม่ ส่งผลดีต่อความมั่นคงสารสนเทศขององค์ กร องค์ กรที่ ดาเนนการดานสารสนเทศโดยไมมนโยบายความมนคง หรอม ดําเนินการด้ านสารสนเทศโดยไม่ มีนโยบายความมั่นคง หรื อมี เกิดความล้ มเหลวเพราะนโยบายไม่ มีส่ งชีนํา อาจนําไปสู่ระบบ ิ ้ สารสนเทศทไมสามารถดาเนนการไดโดยม สภาพพรอมใชงาน สารสนเทศที่ไม่ สามารถดําเนินการได้ โดยมี สภาพพร้ อมใช้ งาน บูรณการและการเก็บรกษาความลับที่เหมาะสม.
  • 35. การประเมินความเสี่ยงเป็ นขันตอนสําคัญที่เลี่ยงไม่ ได้ ้ ผลการวเคราะหความเสยงคอ ผลการวิเคราะห์ ความเสี่ยงคือ • ระบบสารสนเทศที่มีอาจส่ งผลให้ เกิด ความเสียหายด้ านความ ปลอดภยตอชวตและทรพยสนของผู ส่วนได้ เสีย อีกทังอาจเป็ น ปลอดภัยต่ อชีวตและทรั พย์ สินของผ้ มีสวนไดเสย อกทงอาจเปน ิ ้ สาเหตุท่ ทาให้ เกิด ภาวะเสี่ยงต่ อการฟองร้ องดําเนินคดีได้ . ื ํ ้
  • 36. Q & A