Wednesday, July 12, 2023

Encoding, Encryption และ Hashing: ความแตกต่างที่สำคัญ

Encoding

Encoding เป็นการแปลงข้อมูลให้อยู่ในรูปแบบที่ระบบสามารถเข้าใจได้. จุดประสงค์หลักคือเพื่อความสะดวกในการรับส่งข้อมูล ไม่ใช่เพื่อความปลอดภัย.

เช่น: 

  • ASCII: แปลงตัวอักษรเป็นตัวเลข เช่น 'A' เป็น 65
  • Base64: ใช้ในการส่งข้อมูลผ่านอีเมล เช่น "Hello" เป็น "SGVsbG8="

Encoding สามารถถอดกลับเป็นข้อมูลต้นฉบับได้ง่าย โดยไม่ต้องใช้กุญแจพิเศษ


Encryption

Encryption เป็นการเข้ารหัสข้อมูลเพื่อรักษาความลับ. จุดประสงค์หลักคือป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูล.

เช่น:

  • AES: ใช้ในการเข้ารหัสข้อมูลในฮาร์ดดิสก์
  • RSA: ใช้ในการเข้ารหัสการสื่อสารทางอินเทอร์เน็ต
  • Caesar Cipher: วิธีการเข้ารหัสอย่างง่าย โดยเลื่อนตัวอักษรไปตามจำนวนที่กำหนด

การถอดรหัส Encryption จำเป็นต้องใช้กุญแจ (key) ที่ถูกต้อง.


Hashing

Hashing เป็นการแปลงข้อมูลให้เป็นค่าคงที่ที่ไม่สามารถแก้ไขหรือถอดกลับได้. จุดประสงค์หลักคือเพื่อตรวจสอบความถูกต้องของข้อมูล.

เช่น:

  • SHA-256: ใช้ในการตรวจสอบความถูกต้องของไฟล์ดาวน์โหลด
  • MD5: ใช้ในการตรวจสอบความถูกต้องของข้อมูลในฐานข้อมูล
  • bcrypt: ใช้ในการเก็บรหัสผ่านของผู้ใช้ในระบบ

ตัวอย่างการใช้งาน Hashing:

  • ตรวจสอบความถูกต้องของไฟล์: เปรียบเทียบค่า hash ของไฟล์ที่ดาวน์โหลดกับค่า hash ที่ผู้ให้บริการระบุไว้.
  • เก็บรหัสผ่าน: ระบบเก็บเฉพาะค่า hash ของรหัสผ่าน ไม่ใช่รหัสผ่านจริง เพื่อความปลอดภัย.


การ Hashing มีคุณสมบัติสำคัญคือ:

  • Input เดิมจะได้ output เดิมเสมอ
  • Input ต่างกันจะได้ output ต่างกัน
  • ไม่สามารถย้อนกลับจาก output เป็น input ได้
  • การเปลี่ยนแปลง input เพียงเล็กน้อยจะส่งผลให้ output เปลี่ยนแปลงอย่างมาก

NOTE:

  • Encoding ใช้เพื่อความสะดวกในการส่งข้อมูล 
  • Encryption ใช้เพื่อรักษาความลับของข้อมูล 
  • Hashing ใช้เพื่อตรวจสอบความถูกต้องของข้อมูล. 
โดยในการการเลือกใช้แต่ละวิธีขึ้นอยู่กับวัตถุประสงค์ในการใช้งานข้อมูลนั้น ๆ

Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล

ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 

หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่  HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)

ตัวอย่างการตั้งค่า Access control list: ACL

Tuesday, July 4, 2023

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ
  • การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
  • การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
  • การฝึกซ้อมเสมือนจริง (Full scale Exercise)
การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 

Wednesday, April 19, 2023

โรงพยาบาล: สถานที่แห่งความหวัง แฝงความเสี่ยง

โรงพยาบาล เปรียบเสมือนบ้านหลังที่สองสำหรับผู้ป่วย ยามเจ็บป่วยผู้คนต่างมุ่งหน้าไปเพื่อขอรับการรักษาพยาบาล เพื่อบรรเทาความทุกข์ทรมานที่เกิดขึ้น  แต่ว่าภายใต้ภาพลักษณ์ของสถานที่แห่งความหวัง  ยังแฝงไปด้วยความเสี่ยงที่หลายคนอาจมองข้าม ความเสี่ยงที่อาจได้เผชิญในการเข้ารับบริการที่โรงพยาบาลเมื่อลองแบ่งเป็นกลุ่ม อาจแบ่งได้ประมาณนี้ คือ

  1. ความเสี่ยงทางคลินิก เป็นความเสี่ยงที่พบได้บ่อยที่สุด เริ่มตั้งแต่การวินิจฉัยผิดพลาด การรักษาที่ไม่ถูกต้อง การติดเชื้อในโรงพยาบาล ภาวะแทรกซ้อนจากการรักษา การแพ้ยา การพลัดตกหกล้มซึ่งมีสาเหตุทั้งมาจากอาการของโรค เป็นภาวะหลังการได้รับยา หรืออาจจะเป็นอุบัติเหตุ สิ่งเหล่านี้ล้วนเป็นสิ่งที่ผู้ป่วยอาจต้องเผชิญ ถึงแม้โรงพยาบาลจะมีระบบ และมาตรการในการป้องกัน แต่ความผิดพลาดก็อาจเกิดขึ้นได้เสมอ

Wednesday, April 5, 2023

เตรียมพร้อมเอกสารสำหรับ Surveillance Audit ISO27001

เวลาจะตรวจ Surveillance Audit ISO27001 ประจำปีแต่ละที ก็จะกังวลว่าเตรียมเอกสารครบหรือยัง? ลองเช็คไปพร้อมๆ  กัน

ตรวจสอบ

  1. มีการเปลี่ยนแปลงของขอบเขตการบริหารจัดการ? -- Scope of ISMS (Clause 4.3) 
  2. มีการเปลี่ยนแปลงของนโยบาย? -- Information Security Policy (Clause 5.2) 
  3. มีการเปลี่ยนแปลงของกระบวนการประเมินความเสี่ยง และกระบวนการการจัดการความเสี่ยง? -- Information Security Risk Assessment Process (Clause 6.1.2), Information Security Risk Treatment Plan (Clause 6.1.3
  4. มีการเปลี่ยนแปลงของเอกสารการประยุกต์ใช้มาตรการควบคุม? -- Statement of Applicability (Clause 6.1.3)
  5. มีการเปลี่ยนแปลงเป้าหมายด้านความมั่นคงปลอดภัยสารสนเทศ? -- Information Security Objectives (Clause 6.2)
  6. มีการเปลี่ยนเปลงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ? -- Change Management (Clause 6.3)
  7. มีการเปลี่ยนแปลงของเอกสารอื่น ๆ ที่เกี่ยวข้อง? -- Documented Information Required by the Standard and Deemed Necessary by the Organization (Clause 7.5.1) 
*** ถ้ามีการเปลี่ยนแปลง 1-7 มีการจัดทำ/ทบทวน/แก้ไขเอกสารหรือยัง? ถ้าแก้ไขแล้วจัดเตรียมไว้

เตรียม

  1. ใบประกาศ, แผนการอบรม ผลการอบรม ของพนักงานที่เกี่ยวข้อง -- Evidence of Competences (Clause 7.2)
  2. ผลการประเมินความเสี่ยง -- Results of Information Security Risk Assessments (Clause 8.2)
  3. แผนการจัดการความเสี่ยง และการติดตามผลการจัดการ -- Results of Risk Treatment (Clause 8.3)
  4. ผลการติดตามและวัดผลประสิทธิผลการดำเนินการ (KPI) -- Evidence of Monitoring and Measurement Results (Clause 9.1) 
  5. แผนการตรวจ, ผลการตรวจ, รายงานการตรวจ, CAR, การตอบกลับ CAR, การติดตาม CAR -- Audit Program and Results (Clause 9.2) - Schedule and outcomes of ISMS audits.
  6. ผลลัพธ์ของกระบวนการที่ได้วางแผนไว้ -- Evidence that the Process Has Been Performed as Planned (Clause 8.1)
  7. ผลการทบทวนของผู้บริหาร -- Evidence of Management Reviews (Clause 9.3) 
  8. ผลการดำเนินการกับความไม่สอดคล้อง -- Nonconformities and Actions Taken (Clause 10.2)
หมายเหตุ: เป็นการตรวจสอบเฉพาะตามข้อกำหนด C4-10 ไม่รวมถึงเอกสารที่เกิดจากการประยุกต์ใช้มาตรการควบคุมตาม Annex A

Sunday, November 20, 2022

Clause 10 – Improvement (การปรับปรุง)


10.1 การปรับปรุงอย่างต่อเนื่อง

องค์กรต้องทำการปรับปรุงความเหมาะสม ความเพียงพอ และประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศอย่างต่อเนื่อง


10.2 ความไม่สอดคล้องและการปรับปรุงแก้ไข

เมื่อความไม่สอดคล้องเกิดขึ้น องค์กรต้อง:

  • a) ตอบสนองต่อความไม่สอดคล้อง และตามความเหมาะสม

    1. ดำเนินการเพื่อควบคุมและแก้ไข;
    2. รับมือกับผลกระทบที่ตามมา
  • b) ประเมินความจำเป็นสำหรับดำเนินการการขจัดสาเหตุของความไม่สอดคล้อง เพื่อไม่ให้ความไม่สอดคล้องเกิดขึ้นซ้ำ หรือไม่เกิดขึ้นที่อื่น ๆ โดย

    1. ทบทวนความไม่สอดคล้อง
    2. ระบุสาเหตุของความไม่สอดคล้อง และ
    3. ระบุ ถ้าความไม่สอดคล้องที่คล้ายกันมีอยู่ หรือสามารถมีโอกาสเกิดขึ้นได้

  • c) ดำเนินการปฏิบัติที่จำเป็น
  • d) ทบทวนประสิทธิผลของการปฏิบัติการแก่ไข และ
  • e) ทำการเปลี่ยนแปลงระบบบริหารจัดการความมันคงปลอดภัยสารสนเทศ ถ้าจำเป็นการปฏิบัติการแก้ไขต้องเหมาะสมต่อผลกระทบของความไม่สอดคล้องที่พบ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดง

  • f) ลักษณะของความไม่สอดคล้อง และการปฏิบัติใดๆ ที่ได้ดำเนินการ และ
  • g) ผลลัพธ์ของการปฏิบัติการแก้ไข

 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html

Saturday, November 19, 2022

Clause 9 – Performance evaluation (การประเมินผลการดำเนินการ)


9.1 การเฝ้าติดตาม ตรวจวัด วิเคราะห์ และประเมินผล

องค์กรต้องกำหนด

  • a) สิ่งที่ต้องได้รับการเฝ้าติดตามและดรวจวัด ซึ่งรวมถึงกระบวนการและมาตรการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศ
  • b) วิธีการสำหรับการเฝ้าติดตาม ตรวจวัด วิเคราะห์ การประเมินผลที่เหมาะสม เพื่อให้มั่นใจว่าผลที่ได้ถูกต้อง วิธีการที่เลือกใช้ควรให้ผลลัพธ์ที่ถูกต้องที่สามารถเปรียบเทียบได้ และทำซ้ำได้
  • c) เมื่อไรที่ต้องเฝ้าติดตามและวัดผล
  • d) ใครต้องเฝ้าติดตามและวัดผล
  • e) เมื่อไรที่ผลที่ได้จากการเฝ้าติดตามและวัดผลต้องนำมาวิเคราะห์และประเมินผล และ
  • f) ใครต้องวิเคราะห์และประเมินผลดังกล่าว

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์

องค์กรต้องประเมินประสิทธิภาพด้านความมั่นคงปลอดภัยสารสนเทศและประสิทธิภาพของระบบการจัดการด้านความมั่นคงปลอดภัยสารสนเทศ


9.2 การตรวจประเมินภายใน

9.2.1 ทั่วไป

องค์กรต้องดำเนินการตรวจประเมินภายในตามรอบระยะเวลาที่กำหนด เพื่อให้ข้อมูลที่แสดงว่าระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ:

a) สอดคล้องกับ

  1. ข้อกำหนดขององค์กรเอง สำหรับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  2. ข้อกำหนดของเอกสารฉบับนี้;

b) ได้นำไปปฏิบัติและรักษาให้คงไว้อย่างมีประสิทธิผล


9.2.2 โปรแกรมตรวจสอบภายใน

องค์กรต้องวางแผน จัดตั้ง นำไปปฏิบัติ และรักษาให้คงไว้ของโปรแกรมการตรวจประเมิน (Audit Programme) ซึ่งรวมถึงความถี่ วิธีการ หน้าที่ความรับผิดชอบ ข้อกำหนดของการวางแผน และการรายงาน

เมื่อจัดตั้งโปรแกรมการตรวจประเมินภายใน องค์กรต้องพิจารณาถึงความสำคัญของกระบวนการที่เกี่ยวข้องและผลการตรวจประเมินครั้งก่อน

องค์กรต้อง

  • a) กำหนดเกณฑ์การตรวจประเมิน และขอบเขตสำหรับการตรวจประเมินแต่ละครั้ง
  • b) คัดเลือกผู้ตรวจประเมินและดำเนินการตรวจประเมิน เพื่อให้มันใจได้ถึงความเป็นกลาง และความเป็นธรรมของกระบวนการตรวจประเมิน
  • c) มั่นใจว่าผลที่ได้จากการตรวจประเมินได้นำไปรายงานต่อผู้บริหารที่เกี่ยวข้อง;

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานของการดำเนินการตามโปรแกรมการตรวจประเมินและผลการตรวจประเมิน


9.3 การทบทวนของฝ่ายบริหาร

9.3.1 ทั่วไป

ผู้บริหารระดับสูงต้องทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศขององค์กรตามรอบระยะเวลาที่กำหนด เพื่อให้มันใจถึงความเหมาะสม เพียงพอ และประสิทธิผล ของระบบ


9.3.2 สิ่งที่ผู้บริหารต้องพิจารณาทบทวน

การทบทวนของฝ่ายบริหาร ต้องรวมถึงการพิจารณา

  • a) สถานะของการดำเนินงานจากการทบทวนของฝ่ายบริหารครั้งก่อน;
  • b) การเปลี่ยนแปลงของประเด็นภายในและภายนอกที่เกี่ยวข้องกับระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • c) การเปลี่ยนแปลงความต้องการและความคาดหวังของผู้มีส่วนได้ส่วนเสียที่เกี่ยวข้องกับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ;
  • d) ผลตอบกลับจากประสิทธิภาพของความมั่นคงปลอดภัยสารสนเทศ รวมถึงแนวโน้ม;
         1) ความไม่สอดคล้อง และการดำเนินการแก้ไข;
         2) ผลลัพธ์ของการเฝ้าติดตามและวัดผล;
         3) ผลลัพธ์จากการตรวจประเมิน;
         4) ความสำเร็จของวัตถุประสงค์ความมั่นคงปลอดภัยสารสนเทศ;
  • e) ผลตอบกลับจากผู้มีส่วนได้ส่วนเสีย;
  • f) ผลลัพธ์จากการประเมินความเสี่ยง และสถานะของแผนการจัดการความเสี่ยง;
  • g) โอกาสสำหรับการปรับปรุงพัฒนาอย่างต่อเนื่อง


9.3.3 ผลการทบทวนของฝ่ายบริหาร

ผลลัพธ์การทบทวนของฝ่ายบริหาร ต้องรวมถึง การตัดสินใจที่เกี่ยวกับการปรับปรุงพัฒนาอย่างต่อเนื่อง และความจำเป็นใด ๆ เพื่อการเปลี่ยนแปลงต่อระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

เอกสารสารสนเทศจะต้องจัดทำเพื่อเป็นหลักฐานแสดงผลลัพธ์การทบทวนของฝ่ายบริหาร



 --- 


International Organization for Standardization. (2022). Information security, cybersecurity, and privacy protection – Information security management systems – Requirements (ISO/IEC 27001:2022). https://www.iso.org/standard/82875.html