Page 36 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 36
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 2 กระบวนการในการรักษาความปลอดภัยข้อมูล
Process and Technology) Concept กล่าวคือ ทําให้ผู้ตรวจสอบระบบสารสนเทศได้
เข้าใจแนวคิดและความตระหนักเรื่องความปลอดภัยข้อมูลของผู้บริหารองค์กร ผู้ดูแล
ระบบสารสนเทศ ตลอดจน ผู้ใช้งานคอมพิวเตอร์ทั่วไปที่อยู่ในตารางการสัมภาษณ์
(Interview Schedule) ซึ่งปกติไม่ควรเกิน 10 คน ซึ่งแต่ละคนไม่ควรสัมภาษณ์เกิน 1
ชั่วโมง และทําให้ผู้ตรวจสอบระบบสารสนเทศได้เห็นว่า องค์กรได้นํา Information
Security Best Practice หรือ Framework มาประยุกต์ใช้ในองค์กรหรือไม่ ซึ่งทาง
องค์กรอาจจะยังไม่ “Comply” ตาม Best Practice ดังกล่าวในบางหัวข้อ ทําให้องค์กร
ได้รับทราบจุดอ่อนของตนเอง เพื่อเป็นแนวทางในการตรวจสอบในขั้นตอนต่อไป
ขั้นตอนที่ 2 Vulnerability Assessment Techniques
ขั้นตอนนี้มุ่งเน้นการตรวจสอบในมุมมองของ T (Technology) ใน PPT
(People, Process and Technology) Concept เป็นการตรวจสอบทางเทคนิคที่ลึกกว่า
การสัมภาษณ์โดยใช้ Best Practices Checklist (ในขั้นตอนที่ 1) ซึ่งจะช่วยให้ผู้
ตรวจสอบระบบสารสนเทศได้เจาะลึกถึงช่องโหว่ (Vulnerability) หรือ จุดอ่อนของ
ระบบสารสนเทศที่สามารถตรวจสอบโดยใช้ Vulnerability Scanner เช่น Nessus
(Opensource Scanner) เพื่อให้ผู้ดูแลระบบสารสนเทศเกิดความตระหนักและเห็นถึง
ปัญหาที่เกิดจากช่องโหว่ของระบบที่ยังไม่ได้รับการแก้ไข โดยควรนําเสนอในรูปแบบของ
watermark
ระดับความเสี่ยงเช่น High Risk, Medium Risk หรือ Low Risk เป็นต้น
ผู้ตรวจสอบสารสนเทศจึงจําเป็ นต้องมีความรู้พื้นฐานด้าน Information
Security ในระดับหนึ่ง และควรมีทักษะในการใช้ Vulnerability Scanner ซึ่งถือเป็น
“Tool” หรือเครื่องมือในการตรวจสอบ ที่ผู้ตรวจสอบฯ จําเป็นต้องมีไว้ใช้งาน การแปล
ผลจาก Vulnerability Scanner และนําเสนอผลในรูปแบบที่เข้าใจง่ายเป็นจุดสําคัญของ
การทํา VA หรือ Vulnerability Assessment เพราะหากแปลผลผิด เช่น ไม่ยึดตาม
มาตรฐาน SANS TOP 20 หรือ OWASP Web Application Security Standard ก็จะ
ทําให้ผิดวัตถุประสงค์ในการอ้างอิงกับมาตรฐานสากล ดังนั้นการแปลผลจาก
Vulnerability Scanner ควรนํามาตรฐานต่างๆ มาช่วยในการนําเสนอในรูปแบบ
28
