IT Security Audit (วิชา ITM 640)


Information Technology Security Audit



การทำ IT Security Audit นั้นต้องปฏิบัติตามระเบียบและหลักเกณฑ์ ของ GLBA, NCUA, FFIEC, HIPAA ฯลฯ โดยต้องมีองค์กรอิสระเพื่อดำเนินการตรวจสอบด้านระบบรักษาความปลอดภัยของข้อมูล IT Security Audit จะเปรียบเทียบกับองค์กรในปัจจุบันด้านการควบคุมความปลอดภัยที่มาตรฐานกำหนดโดย FFIEC หรือ Best Practices based ตามมาตรฐานสากล เช่น ISO 27,001, COBIT 4 เป็นต้น กระบวนการมีขั้นตอนในการรวบรวมและตรวจสอบข้อมูลและผลกระทบต่อประสิทธิภาพการปฏิบัติงานของโปรแกรมรักษาความปลอดภัยและเพื่อช่วยระบุสาเหตุ Additionally, the examination process includes the ability to archive support data used to support audit conclusions with clear audit trails. นอกจากนี้กระบวนการตรวจสอบจะรวมความสามารถในการสนับสนุนการเก็บข้อมูลที่ใช้ในการสนับสนุนข้อสรุปการตรวจสอบกับสถานการณ์ต่างที่ชัดเจน
โดยการตรวจสอบความปลอดภัยหลักๆ มีดังต่อไปนี้
1. ควบคุมตรวจสอบและการเข้าใช้
2. การรักษาความปลอดภัยเครือข่าย
3. ความปลอดภัยของ Host
4. ความปลอดภัยของอุปกรณ์
5. ความปลอดภัยทางกายภาพ
6. การรักษาความปลอดภัยส่วนบุคคล
7. ความปลอดภัยของ Security
8. การได้มาและการพัฒนา Software
9. Business Continuity - Security
10. การเข้ารหัส
11. การรักษาความปลอดภัยของข้อมูล
12. Security Monitoring

- ความต่อเนื่องของ กระบวนการ IT Security Audit
เนื่องจากองค์กรมีการพัฒนาตลอดเวลา IT Security Audit ควรกระทำการอย่างต่อเนื่อง แต่การใช้บุคคลภายนอกมาดำเนินการตรวจสอบสิ่งที่จำเป็น อาจทำให้สิ้นเปลืองงบประมาณ โดยองค์กรอาจหันมาใช้บุคลากรของตนเองเพื่อให้ตรวจสอบระบบความปลอดภัยของ IT ได้


10 วิธีการในการทำ IT Security Audit ภายในองค์กร ดังนี้
1. ขั้นตอนแรกในการดำเนินการตรวจสอบ คือ การสร้างรายการหลักของสินทรัพย์ที่องค์กรของคุณมีเพื่อใช้ในการตัดสินใจในภายหลัง สิ่งที่ต้องการป้องกันตลอดไปในการตรวจสอบ การแสดงรายการของสินทรัพย์ที่สัมผัสได้ (คอมพิวเตอร์ , เซิฟเวอร์ , ไฟล์) จะง่ายกว่าสินทรัพย์ที่สัมผัสไม่ได้ เพื่อให้มั่นใจได้ว่า สินทรัพย์ที่สัมผัสไม่ได้ขององค์กร จะได้รับการพิจาณานั้น ควรต้องมี
- การสร้าง security perimeter ในการตรวจสอบ
security perimeter คือ ขอบเขตของความคิดและขอบเขตทางกายภาพภายในที่การตรวจสอบความปลอดภัยสามารถโฟกัสได้
2. สร้างรายชื่อภัยคุกคาม รวบรวมรายชื่อของภัยคุกคามทั้งหมดในปัจจุบันที่องค์กรเผชิญอยู่ เช่น
- รหัสผ่านของคอมพิวเตอร์และรหัสผ่านของเครือข่าย มีบันทึกของคนทั้งหมดที่มีรหัสผ่าน
- สินทรัพย์ทางกายภาพ เช่น คอมพิวเตอร์หรือแล็บท็อป สามารถเคลื่อนย้ายโดยพนักงานขององค์กรหรือแขกขององค์กร
- บันทึกเกี่ยวกับสินทรัพย์ทางกายภาพ เช่น สินทรัพย์นั้นมีอยู่หรือไม่ , มีการสำรองไว้หรือไม่
- การสำรองข้อมูล เช่น มีการสำรองข้อมูลหรือไม่ แบ็คอัพที่ไหน ใครแบ็คอัพข้อมูล
- มี logging การเข้าถึงข้อมูล เช่น สถานที่ เวลา ใคร และ ข้อมูลอะไร ที่มีการเข้าถึง
- การเข้าถึงข้อมูลของลูกค้า เช่น ข้อมูลบัตรเครดิต ใครได้เข้าใช้ วิธีที่เข้าถึงข้อมูลสามารถทำได้จากภายนอกองค์กรหรือไม่
- การเข้าถึงรายชื่อ client การเข้าใช้งานทางเว็บไซค์ไม่สามารถเข้าถึงฐานข้อมูลของ client และสามารถแฮ็กข้อมูลได้หรือไม่
- การโทรทางไกล มีการจำกัดการโทรหรือไม่จำกัดหรือไม่
- อีเมล์ มีตัวกรองอีเมล์ขยะหรือไม่ โดยพนักงานต้องศึกษาเกี่ยวกับ spam เมล์ และ phishing เมล์ องค์กรมีนโยบายในการส่งอีเมล์ภายในต้องไม่มีลิงค์ต่างๆอยู่ในนั้น
3. ตรวจสอบประวัติภัยคุกคามของคุณ
- โดยตรวจสอบบันทึกขององค์กร และ สอบถามพนักงาน ถึงภัยคุกคามที่ผ่านมา
- ตรวจสอบแนวโน้มของความปลอดภัย โดยดูจาก internet หรือวารสาร ต่างๆ ว่ามีภัยคุกคามไหนบ้างที่ส่งผลกระทบต่อองค์กรของคุณ
- แบ่งปันข้อมูลภัยคุกคามต่างๆกับบริษัทอื่น
4. การจัดลำดับความสำคัญของสินทรัพย์และจุดอ่อน ในขั้นตอนนี้คุณจะจัดลำดับความสำคัญสินทรัพย์และจุดอ่อนของคุณ เพื่อให้คุณสามารถจัดสรรทรัพยากรของบริษัทได้ตามลำดับ
- การคำนวณความน่าจะเป็น ค้นหาข้อมูลเว็บไซค์ที่จะแฮ็กข้อมูลของท่าน
- ทำการวิจัยภัยคุกคามที่ได้รวบรวมไว้และประมาณความน่าจะเป็นที่จะเกิดขึ้น
- การคำนวณความเสี่ยง คำนวณความเสี่ยงที่อาจเกิดขึ้นจากหลายๆทาง เช่น คำนวณความเสียหายที่เกิดขึ้นเป็นมูลค่า จาก สินทรัพย์ หรือ จำนวนเวลาการทำงานที่เสียไป หากเกิดภัยคุกคามขึ้น
5. การใช้ Network Access Controls (NAC)
- Network Access Controls สามารถตรวจสอบความปลอดภัยของผู้ใช้ที่เข้าสู่เครือข่าย เพื่อป้องกันการขโมยข้อมูล โดยมี ACL (Access Control List) ที่แสดงรายละเอียดของสิทธิของผู้ใช้ต่างๆในการเข้าถึงข้อมูล NAC อาจรวมขั้นตอนต่างๆ เช่น encryption, digital signatures, ACLs, verifying IP addresses, user names, checking cookies for web pages
6. การใช้การป้องกันการบุกรุก
- เมื่อ Network Access Control เจอภัยคุกคามจากผู้ใช้ที่ไม่ได้รับอนุญาติก็จะทำการติดตั้งรหัสผ่านในการเข้าถึงข้อมูล Intrustion Prevention System (IPS) จะป้องกันการโจมตีที่เป็นอันตรายเพิ่มเติมจากแฮกเกอร์
- IPS เป็น ไฟร์วอลล์ รุ่นที่สอง ไม่เหมือน รุ่นแรกที่มีแต่การกรอง content based ส่วนในรุ่นที่ 2 นี้จะเพิ่มการกรอง Rate-based เข้าไปด้วย
- Content-based ไฟร์วอลล์นี้จะทำการตรวจสอบแบบลึกในแพ็คเก็จต่างๆ เพื่อดูว่าแพ็คเก็จนั้นมีความเสี่ยงหรือไม่
- Rate-based ไฟร์วอลล์นี้มีการวิเคราะห์ขั้นสูงของ เว็บ หรือ รูปแบบการจราจรบนเครือข่าย หรือตรวจสอบ - application content ตรวจสอบเหตุการณ์ที่ผิดปรกติในแต่ละ case
7. การใช้ Identity & Access Management (IAM)
- เพื่อใช้ควบคุมการเข้าถึงสินทรัพย์ของแต่ละผู้ใช้ และกำหนดสิทธิ์ผู้ใช้แต่ละคนในการเข้าถึงข้อมูลต่างๆ
8. สร้างการสำรองข้อมูล
- การเก็บแบบ Onsite storage เช่น การถอดฮาร์ดดิสก์หรือเทปสำรองข้อมูลเก็บไว้ในวัสดุที่ทนไฟหรือ secured-access room
- การเก็บแบบ Offsite เป็นการเก็บไว้ในสื่อที่สามารถถอดได้หรือเก็บไว้บน VPN (Virtual Private Network) ผ่านทาง Internet
- การกำหนดคีย์ RFID-enabled โดยใช้ smart pass cards , VPN passwords, safe combinations เป็นต้น ในการเข้าถึงแหล่งข้อมูลที่ได้สำรองไว้
- การจัดตารางเวลาในการสำรองข้อมูลให้เหมาะสม
9. Email Protection & Filtering
- การเข้ารหัสอีเมลที่ทำการส่งออก
- Steganography เป็นเทคนิคในการซ่อนข้อมูลในการเปิด เช่น ใน digital image
- ไม่เปิดไฟล์แนบที่ติดมากับอีเมล์ หากไม่มั่นใจว่าไฟล์นั้นเป็นไฟล์ที่ต้องการ
- ไม่เปิด Spam email หรือ อีเมล์ ที่ไม่มั่นใจว่าจะเป็นอีเมล์ที่ต้องการ
10. ป้องกัน Intrusions Physical
เช่น การโมยทรัพย์สินขององค์กร อาจเป็น โน๊ตบุ๊ค หรือ อื่นๆ เป็นต้น ที่มีข้อมูลที่สำคัญๆอยู่
- ติดตั้งระบบตรวจสอบและป้องกันผู้บุกรุก
- เข้ารหัสระบบไฟล์ในฮาร์ดดิสก์
- ใช้บริการป้องกันการขโมย smartphones และ PDAs หากโทรศัพท์ถูกขโมยจะไม่สามารถใช้ได้หากไม่มี authorization code ข้อมูลในโทรศัพท์สามารถกู้คืนได้จาก server

นี่คือ 10 ขั้นตอนในการสร้าง IT Security Audit ด้วยตัวคุณเอง จะช่วยให้คุณตระหนักถึงภัยคุกคามที่อาจเกิดขึ้นในบริษัทของคุณ และ เป็นการเริ่มต้นที่จะวางแผนการรองรับภัยคุกคามนั้น ภัยคุกคามมีการเปลี่ยนแปลงอยู่เสมอ ให้คุณทำการประเมินภัยคุกคามที่เกิดขึ้นใหม่ๆนั้น เพื่อจะได้วางแผนการรองรับได้

ตัวอย่าง
โปรแกรม IT Security Audit ของ ThreeShield Information Security





คุณลักษณะ ของ Windows Security Analysis
1. ตรวจสอบสิทธิ์การเข้าถึงแฟ้มข้อมูล
- boot.ini
- autoexec.bat
2. System Information
- รุ่นของ Windows
- โดเมน
- ชื่อ DNS
- ชื่อผู้ใช้
- ชื่อคอมพิวเตอร์ / ชื่อโฮสต์
- บริษัทผู้ผลิตและรุ่น
- เซิร์ฟเวอร์ชื่อโดเมน
- โดเมน DHCP
- IP address
- เกตเวย์เริ่มต้น
3. บริการที่เป็นประโยชน์
- Windows Time
- SMS Agent
- Compaq/HP Insight Manager
- HTTP SSL (encrypted web pages)
4. การตั้งค่า Local and Domain Account
- การจำกัดรหัสผ่านเฉพาะ Local
- การจำกัดรหัสผ่าน Domain-based
- การปฏิบัติตามนโยบายรหัสผ่าน ของ NIST SP 800-63
- รหัสผ่านต้องการความซับซ้อน
- เข้ารหัสของรหัสผ่าน
- อายุของรหัสผ่าน
5. ข้อมูลเครือข่าย
- NetBIOS shares
- สถิติการสื่อสาร
- สถานะการแสดงผลของ Server
- จำนวนสูงสุดของผู้ใช้
- จำนวนสูงสุดของการเปิดไฟล์ต่อครั้ง
- เวลาที่ไม่มีการทำงาน
- เวลาปัจจุบันของเซิร์ฟเวอร์
6. Security Hardening
- การกดคีย์ Ctrl+Alt+Delete ควรต้องมีการ log-in
- แสดงรายชื่อล่าสุดของผู้ใช้ที่เข้าระบบ
- legal notice ควรจะปรากฏก่อนเข้าสู่ระบบ
- ผู้ใช้จะต้อง log-in ก่อนที่จะสามารถปิดระบบคอมพิวเตอร์
- การเข้าถึงของผู้ใช้จะเป็นแบบ Anonymous
- ความปลอดภัยของ Recovery Console
- ล้าง page file ณ เวลาปิดระบบ
- ป้องกันไม่ให้ผู้ใช้ระยะไกลติดตั้งไดรเวอร์เครื่องพิมพ์
- งดใช้แผ่นดิสเก็ต หรือ งดใช้แผ่น CD-ROM
- NTFS media (รวมไดรเวอร์แบบ hot-swappable)
7. การเข้าสู่ระบบและการตรวจสอบ
- เข้าถึงวัตถุระบบอย่างทั่วถึง
- สำรองข้อมูลและเรียกคืน
- Administrative activities
- Logons
- บริการ Directory
- Process tracking (ต้องมีกลไกเพื่อล้างล็อก)
- Account changes
- Security rule (policy) changes
- system events
8. Server Access
- เข้า Registry จากคอมพิวเตอร์ระยะไกล
- เปลี่ยนชื่อบัญชีของ Guest
- เปลี่ยนชื่อบัญชีของผู้ดูแลระบบ
- Guest account disabled
- Administrator account disabled
9. Automatic updates
- มีการดาวน์โหลดอัพเดทอัตโนมัติและติดตั้ง
- มีการอัพเดทเซิฟเวอร์อัตโนมัติ
10. การจัดการ Patch
- Java ® Runtime Environment version 1.4.2 and 1.3.1
- Computer Associates CAM version 1.11
11. กรอง TCP/IP
- กรอง Global TCP/IP
- กรอง TCP/IP โดยใช้ network card
- จำกัดการใช้ TCP and UDP ports จาก IP address
- จำกัดการใช้ Protocols จาก IP address
12. Default directories ที่ควรลบ
- Adminscripts
- IISsamples
- InetSRV
- default .dll and .asp files
- InetAdmins
- IISAdmin
- IADMpwd
13. Network activity
- ทุกกิจกรรมที่มีการเชื่อมต่อต้องมาจาก Port ที่น่าเชื่อถือ
- services listening สำหรับกิจกรรมต้องมาจาก Port ที่น่าเชื่อถือ
14. Event Logs
- ตรวจสอบ retention and purging
- แสดงขนาดของ log file
15. Trojans, Backdoors, and Worms
- Back Orifice
- Back Orifice 2000
- Beast
- Citrix ICA
- Donald Dick
- Masters Paradise
- Netmeting Remote Desktop
- Netbus
- pcAnywhere
- Reachout
- Remotely Anywhere
- Remote
- Timbuktu
- VNC
16. Active Directory
- ผู้ใช้รหัสผ่านที่ไม่หมดอายุ
- ผู้ใช้ที่มีบัญชีที่ไม่ต้องใช้รหัสผ่าน
- ผู้ใช้ที่มีบัญชีที่ไม่หมดอายุและไม่ต้องใช้รหัสผ่าน
- ผู้ใช้ที่ยังไม่ได้เข้าสู่ระบบมากกว่า 1 ปี หรือ การพยายามใช้ Bad password


ตัวอย่าง
การบริการ IT Security Audit ของ THAICERT

-IT Risk Assessment and Management Service
สารสนเทศ เป็นทรัพยากรที่มีคุณค่าสูงสุดขององค์กร การบริหารจัดการสารสนเทศจึงมีความจำเป็นโดยพื้นฐานเพื่อสร้างความมั่นคง ปลอดภัยและความต่อเนื่องในการดำเนินงาน ก่อให้เกิดข้อได้เปรียบทางด้านการแข่งขัน สร้างความเชื่อมั่นต่อหน่วยงานภายนอกที่เกี่ยวข้อง รวมทั้งรักษาภาพพจน์และชื่อเสียงที่ดีขององค์กร
โดยทั่วไปองค์กรมีความจำเป็นที่จะต้องสร้างความมั่นคงปลอดภัยให้กับสารสนเทศขององค์กรทั้งในแง่ของความลับ ความถูกต้อง และความพร้อมใช้งานของสารสนเทศ ดังนั้นองค์กรจึงมีความจำเป็นต้องประเมินความเสี่ยงที่อาจเกิดขึ้นต่อสารสนเทศที่ใช้งาน และกำหนดแนวทางในการบริหารจัดการความเสี่ยงเหล่านั้นเพื่อให้องค์กรสามารถดำเนินงานต่อไปได้อย่างต่อเนื่องและมีประสิทธิภาพ
การประเมินความเสี่ยง คือการศึกษา วิเคราะห์ และประเมินว่าทรัพย์สินสารสนเทศขององค์กรมีความเสี่ยงต่อการเกิดความเสียหาย มากน้อยเพียงใด โดยพิจารณาจากระดับความสำคัญของทรัพย์สิน ภัยคุกคามที่อาจเกิดขึ้นต่อทรัพย์สิน และจุดอ่อนของทรัพย์สินเหล่านั้น ซึ่งผลลัพธ์จากการประเมินจะทำให้ทราบระดับความเสี่ยงต่อทรัพย์สินแต่ละอย่าง ทั้งที่ที่ยอมรับได้และยอมรับไม่ได้โดยจะต้องผ่านการอนุมัติจากผู้บริหารของ องค์กร จากนั้นก็สามารถบริหารจัดการกับความเสี่ยงโดยกำหนดมาตรการอันเหมาะสมในการ แก้ไขจุดอ่อน และป้องกันภัยคุกคามโดยอ้างอิงตามมาตรฐานความปลอดภัยสากล ISO17799 / BS7799
THAICERT มีบริการด้านการแนะนำวิธีการและการทำสัมมนาเชิงปฏิบัติการเพื่อให้ตัวแทนขององค์กรได้ฝึกปฏิบัติและเรียนรู้วิธีการบริหารจัดการความเสี่ยงที่มีต่อ สารสนเทศโดยอาศัยเทคนิคการบริหารจัดการความเสี่ยงอ้างอิงตามข้อกำหนดใน มาตรฐาน ISO17799 / BS7799 รวมทั้งสามารถวางแผนเพื่อบริหารความเสี่ยงที่มีต่อสารสนเทศขององค์กรต่อไป โดยผู้ให้บริการเป็นผู้เชี่ยวชาญที่ได้รับประกาศนียบัตรการผ่านการฝึกอบรมหลักสูตร Information Security Management System (ISMS) Auditor/Lead Auditor ซึ่งอ้างอิงมาตรฐานความปลอดภัยสากล ISO17799 / BS7799


ISO17799 / BS7799

-บริการ Security Auditing
การรักษาความมั่นคงปลอดภัยของระบบเครือข่ายทั้งที่ใช้งานภายในองค์กรและให้บริการแก่ลูกค้าหรือผู้ใช้บริการมีความจำเป็นและสำคัญต่อองค์กร ดังนั้นองค์กรจึงควรจัดหาหน่วยงานที่มีความเชี่ยวชาญและมีประสบการณ์สูงทางด้านการรักษาความปลอดภัยเครือข่ายคอมพิวเตอร์ เพื่อทำการศึกษาและวิเคราะห์ระบบความปลอดภัยของระบบเครือข่ายที่เกี่ยวข้องทั้งหมดขององค์กร ประเมินระดับความปลอดภัย ค้นหาจุดอ่อนที่สำคัญ พร้อมทั้งเสนอแนะมาตรการในการแก้ไขปัญหาที่พบตามความเหมาะสม ได้แก่
1. Penetration Test ระบบของท่านเคยโดน Hack หรือไม่? ท่านมั่นใจได้แค่ไหนว่าระบบของท่านจะป้องกัน Hacker ได้ 100 เปอร์เซ็นต์?
บริการนี้เป็นการให้บริการทดสอบบุกรุกระบบเพื่อตรวจสอบว่าระบบมีจุดอ่อนหรือช่องโหว่ทางด้านใดบ้าง เป็นการจําลองสถานการณ์หากมีการถูกเจาะระบบโดยแฮกเกอร์ การให้บริการทดสอบการบุกรุกระบบนี้จะดําเนินการจากภายนอกหรือภายในระบบเครือข่ายขององค์กร การทดสอบจากทั้งสองแบบนั้น ผู้เชี่ยวชาญจะทราบข้อมูลเพียงเบื้องต้นเกี่ยวกับระบบขององค์กรเท่านั้น ซึ่งจะเสมือนเป็นการบุกรุกจาก Hacker ตัวจริง
ทั้งนี้เมื่อการทดสอบการบุกรุกระบบเสร็จสิ้นลง ผู้เชี่ยวชาญจะระบุจุดอ่อนของระบบที่พบและนําเสนอวิธีการ แก้ไขเป็นการเฉพาะสําหรับระบบนั้นๆ
2. Vulnerability Scanning องค์กรส่วนใหญ่ไม่สามารถทราบได้ว่าระบบเครือข่ายคอมพิวเตอร์ หรือเซิร์ฟเวอร์ในองค์กรมีช่องโหว่ที่เป็นช่องทางให้แฮกเกอร์ หรือผู้บุกรุกเข้ามาจู่โจมระบบได้หรือไม่ การเฝ้าระวัง และตรวจสอบค้นหาช่องโหว่อย่างสม่ำเสมอถือเป็นวิธีการที่สำคัญเพื่อขจัดปัญหาดังกล่าวข้างต้น เพราะผู้ดูแลระบบสามารถแก้ไขและซ่อมแซมช่องโหว่ได้ทันก่อนจะเกิดการบุกรุกจากแฮกเกอร์ โดยมีบริการผ่านเว็บ (Web Service) นั่นคือบริการ Web-Based Vulnerability Scanner ซึ่งใช้ในการค้นหาและทดสอบช่องโหว่ของเครื่องเซิร์ฟเวอร์และระบบเครือข่าย ผลการตรวจสอบจะอยู่ในรูปแบบของรายงาน พร้อมคำแนะนำจากผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยซึ่งสามารถนำไปประยุกต์ใช้ หรือแก้ไขได้ตรงจุดของช่องโหว่ได้ทันที
3. Information Security Assessment (ISA) ทีมงานจะดำเนินการศึกษา วิเคราะห์และเสนอแนวทางในการปรับปรุงระดับความมั่นคงปลอดภัยของระบบเครือข่ายขององค์กรเพื่อเพิ่มประสิทธิภาพและประสิทธิผลในการดำเนินงานหรือปฏิบัติหน้าที่ของพนักงานภายในองค์กร รักษาทรัพย์สินสารสนเทศขององค์กรให้ปลอดภัยจากภัยคุกคามที่อาจเกิดขึ้น ระบบสามารถให้บริการทั้งภายในและภายนอกอย่างต่อเนื่องหรือมีการหยุดชะงักของระบบน้อยที่สุด และสร้างความเชื่อมั่นต่อลูกค้าหรือผู้ใช้บริการซึ่งใช้ระบบเครือข่ายขององค์กร

-บริการวางแผนสร้างความปลอดภัยให้แก่สารสนเทศขององค์กร ( IT Security Plan Development Service )
องค์กรที่ใช้ระบบสารสนเทศในการดำเนินงานหลายองค์กรประสบปัญหาภัยคุกคามและเกิดผล กระทบต่อองค์กรทั้งในแง่ของการสูญเสียชื่อเสียงและทรัพย์สินอันมีค่า ทั้งนี้เนื่องมาจากองค์กรไม่ได้ตระหนักถึงความสำคัญของการรักษาความปลอดภัยของสารสนเทศรวมถึงไม่มีการวางแผนที่ดีในการป้องกันและรักษาทรัพย์สิน สารสนเทศขององค์กรให้มีความปลอดภัยและสามารถใช้งานได้อย่างมีประสิทธิภาพ เพื่อให้องค์กรดำเนินงานได้อย่างต่อเนื่องและมีประสิทธิภาพ ดังนั้นจึงได้มีบริการนี้ขึ้น โดยทีมงานจะศึกษาและวิเคราะห์สถานภาพของระบบสารสนเทศปัจจุบันขององค์กรและเสนอแนะแผนการสร้างความปลอดภัยให้กับสารสนเทศขององค์กร เพื่อให้องค์กรนำแนวทางดังกล่าวไปใช้ปกป้องทรัพย์สินสารสนเทศขององค์กรให้ปลอดภัยและสามารถใช้งานได้อย่างมีประสิทธิภาพมากขึ้น


ตัวอย่าง
บริการ IT Security Audit ของ สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ

บริการ IT Security Audit เป็นส่วนประกอบของ บริการ Information Security Management คือ บริการดูแลและบริหารจัดการเครือข่ายและระบบ แบบปลอดภัย ซึ่ง บริการ IT Security Audit เป็นบริการตรวจสอบและแก้ไขปัญหาระบบความมั่งคงปลอดภัยสารสนเทศภาครัฐ ในส่วนของการวางแผนด้านการรักษาความปลอดภัยของข้อมูล และขั้นตอนการนำแผนที่วางไว้มาปฏิบัติ ซึ่งประกอบไปด้วยบริการ ต่างๆ ดังนี้
- Penetration Test เป็นการทดสอบการเจาะระบบจากภายนอก เพื่อหาจุดอ่อนของระบบที่อาจจะมีการบุกรุกได้ ทั้งในระดับ Network และ Application
- Risk Assessment เป็นการประเมินและการจัดการความเสี่ยงของระบบสารสนเทศสำหรับเครื่องให้บริการของหน่วยงาน ตลอดจนสภาวะแวดล้อมที่เหมาะสมต่างๆ
- Vulnerability Scan เป็นการตรวจสอบและประเมินช่องโหว่ของระบบที่มีอยู่ โดยทำการตรวจสอบอย่างละเอียดเป็นราย IP
- Risk Treatment/Mitigation เป็นการดำเนินการเพื่อลดความเสี่ยงของระบบสารสนเทศ โดยอยู่ในรูปของการกำหนดและการวางนโยบายด้านความปลอดภัยของระบบซึ่งอิงตามมาตรฐาน ISO/IEC 27001/2005
- Hardening เป็นการดำเนินการทางเทคนิคเพื่อปิดช่องโหว่ต่างๆ ให้กับระบบแบบลงลึกในรายละเอียด เช่น การ upgrade patch, การติดตั้งซอฟแวร์ เป็นต้น
- Re-Vulnerability Scan ซึ่งเป็นการตรวจสอบและประเมินช่องโหว่ของระบบที่มีอยู่อีกครั้ง หลังจากทำ Hardening เพื่อให้เกิดความมั่นใจในความปลอดภัยของระบบสารสนเทศ รวมทั้งตรวจหาช่องโหว่ที่อาจเหลืออยู่เพื่อดำเนินการลดช่องโหว่ดังกล่าวต่อไป


ตัวอย่าง
IT Security Audit Procedure ของ ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข
การดำเนินการตรวจสอบเหตุการณ์ความมั่นคงปลอดภัยทางระบบสารสนเทศสำหรับองค์กรนั้น เพื่อให้สามารถรองรับเหตุการณ์ด้านความมั่นคงปลอดภัยภายในองค์กร เพื่อให้ทราบถึงรูปแบบการดำเนินการที่เป็นรูปธรรม การกำหนดเงื่อนไขหรือนโยบายการดำเนินงานของบุคลากรและอุปกรณ์ที่ใช้ภายในหน่วยงาน และแนวทางการปฏิบัติตอบสนองเหตุการณ์ความมั่นคงปลอดภัยทางระบบสารสนเทศแยกตามบทบาทหน้าที่หรือตามอุปกรณ์ เพื่อให้ทีมงานหรือบุคลากรภายในหน่วยงานสามารถนำไปปฏิบัติได้ กล่าวถึงแนวทางการสำรองข้อมูลและการปรับปรุงข้อมูลให้ทันสมัย รวมถึงการบริหารจัดการบันทึกการเปลี่ยนแปลงของกระบวนการดำเนินงานและเป็นขั้นตอนที่สำคัญที่สุดเพื่อให้แน่ใจว่ากระบวนการดังกล่าวยังสามารถปฏิบัติได้อย่างมีประสิทธิภาพ
ในองค์กรหรือหน่วยงานใดๆนั้นจะเกิดความมั่นคงสารสนเทศได้ก็ต่อเมื่อระบบฯนั้น มี
1. สภาพพร้อมใช้งาน (availability) เพราะสารสนเทศมีให้ใช้และสามารถใช้ได้ยามต้องการ โดยที่ระบบฯสามารถรับมือต่อการโจมตีและถ้ามีการโจมตีก็สามารถกู้คืนได้
2. การเก็บรักษาความลับ (confidentiality) เพราะข้อมูลและสารสนเทศในระบบฯ นั้นมีการใช้งานเฉพาะในบรรดาผู้ที่เกี่ยวข้องและผู้มีสิทธิรับรู้ในข้อมูลเท่านั้น
3. บูรณภาพ (integrity) เพราะการลงบันทึกและการเปลี่ยนแปลงแก้ไขข้อมูล การกระทำโดยผู้ได้รับอนุญาตเท่านั้น
แนวทางปฏิบัติการตรวจสอบระบบสารสนเทศ
- การตรวจสอบระบบประจำวัน
1. เครื่องให้บริการ (Server) สำหรับระบบที่มีช่วงเวลาให้บริการ ให้สำรวจ Drive ที่ใช้ Boot ระบบได้ ไม่ให้มีแผ่นดิสก์ หรือ CD ใด ๆ ค้างอยู่ ก่อนเปิดระบบ และให้เปิดอุปกรณ์ที่ต้องใช้กระแสไฟฟ้าเป็นปริมาณมากก่อน เช่น เครื่องปรับอุณหภูมิ รวมทั้งอุปกรณ์รายล้อมอื่นๆ
1.1 ในการเริ่มต้นทำงานแต่ละวัน (เมื่อระบบเริ่มทำงานแล้ว) ให้ตรวจสอบโปรแกรมรักษาความปลอดภัยที่ติดตั้ง ดังนี้
- Audit Log File / รายงานจากโปรแกรม Firewall / รายงานจากโปรแกรม Anti Virus /รายงานจากโปรแกรมตรวจสอบการบุกรุกเครือข่าย (Intrusion Detection Network System) ตรวจดูการใช้งานระบบที่ผ่านมา เพื่อหาการลับลอบเข้าระบบนอกเวลา หรือ พฤติกรรมน่าสงสัย เช่น ใส่รหัสผ่าน ผิดมากเกินไป มีการใช้งานระบบโดยใช้สิทธิของผู้ใช้ที่ไม่ได้มาทำงาน มีการส่งข้อมูลออกไปนอกระบบที่ไม่ได้อนุญาต
- Security Assessment Tools ตรวจหาช่องโหว่ของระบบ เพื่อแก้ไขจุดอ่อนของระบบและ Update ข้อมูลของโปรแกรมตรวจสอบ ถ้าพบว่าไม่ทันสมัย แล้วตรวจระบบอีกครั้ง
- ตรวจสอบข่าวสาร รปภ.ระบบ แจ้งเตือนภัย การประกาศข้อบกพร่องของระบบปฏิบัติการ หรือซอฟต์แวร์ใช้งานประเภทต่าง ๆ รวมทั้งเว็บที่เกี่ยวข้องกับกลุ่ม แฮกเกอร์ เพื่อให้สามารถปรับการป้องกันได้ทันที จากแหล่งข้อมูลต่อไปนี้
- ThaiCERT
- ผู้ผลิตโปรแกรมป้องกันไวรัส
1.2 ระหว่างช่วงเวลาทำงาน ให้หมั่นตรวจสอบความปลอดภัยของระบบ ดังนี้
- จุดอ่อนของระบบ ตรวจสอบจาก Security Assessment Tools เมื่อพบให้แก้ไขทันที หรือไม่ควรเกิน 1 วัน - การ Scan port โดยเฉพาะ Server ที่มีการเชื่อมต่อกับอินเตอร์เน็ต
- การพยายามเข้าระบบโดยไม่ถูกต้อง ตรวจสอบจาก Audit Log File
1.3 ก่อนปิดระบบ หรือก่อนเลิกปฏิบัติงาน ให้ตรวจสอบระบบ ดังนี้
- ตรวจสอบการสำรองข้อมูลสำคัญภายใน Server (ถ้ามี)
- ตรวจสอบผู้ใช้งานว่าได้ออกจากระบบอย่างถูกต้องหมดแล้ว
- ตรวจสอบผู้ใช้งานให้มีการสำรองข้อมูลที่ต้องการก่อนปิดระบบ 10 นาที
1.4 การดำเนินการเมื่อตรวจพบการละเมิด และข้อบกพร่องที่ต้องแก้ไข
- หากพบว่ามีการบุกรุกจากภายในระบบ ให้ตรวจสอบแหล่งกระทำผิด และตัดออกจากเครือข่าย หาผู้ละเมิด แจ้งเตือนให้ผู้รับผิดชอบระบบอื่น ๆ ที่ได้รับผลกระทบทราบ ตรวจสอบความเสียหายของระบบที่ถูกละเมิด ปรับแก้ไข รายงานผู้บังคับบัญชา ลงโทษทางวินัย (ถ้าหาผู้ละเมิดได้) ในความผิดไม่ร้ายแรงลงโทษทางกฎหมาย กรณีเกิดความเสียหายร้ายแรงแก่ทางราชการ
- หากพบว่ามีการบุกรุกจากภายนอกระบบ ประสานหน่วยเกี่ยวข้องหาแหล่งกระทำผิดแจ้งเตือนให้ผู้รับผิดชอบระบบอื่น ๆ ที่ได้รับผลกระทบทราบ ตรวจสอบความเสียหายของระบบที่ถูกละเมิด แก้ไขจุดอ่อนที่เป็นสาเหตุ รายงานผู้บังคับบัญชา ลงโทษทางกฎหมายผู้ละเมิด (ถ้ามี)
- หากพบการแพร่กระจายไวรัสคอมพิวเตอร์กำลังดำเนินอยู่ ตรวจสอบและแยกแหล่งแพร่ไวรัสออกจากเครือข่าย โดยถอดสาย LAN ออก ตรวจสอบระบบที่ถูกทำลายแก้ไขข้อบกพร่องที่เป็นสาเหตุ เช่น ปรับข้อมูลการตรวจสอบไวรัสให้ทันสมัย แก้ไขจุดอ่อนของระบบปฏิบัติการ
- กรณีหน่วยไม่สามารถแก้ไขสถานการณ์ได้เอง ให้ขอรับการสนับสนุนที่ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานปลัดกระทรวงสาธารณสุข
2. เครื่องลูกข่าย ให้ตรวจสอบดังนี้
- โปรแกรมป้องกันไวรัสที่ติดตั้ง ได้รับการปรับข้อมูลให้ทันสมัยแล้ว ทุกเครื่อง
- รหัสผ่านของผู้ใช้ทุกคนมีความแข็งแกร่ง
- ระบบปฏิบัติการได้รับการปรับข้อแก้ไขทั้งหมดแล้ว ทุกเครื่อง
- การตั้งค่าของโปรแกรมรักษาความปลอดภัยเช่น Firewall Anti Virus มีความเหมาะสม
- มีการสำรองข้อมูลที่ใช้งานแล้วอย่างครบถ้วน หลังปฏิบัติงานเรียบร้อยแล้ว


สรุป
Information Technology Security Audit เป็นสิ่งจำเป็นสำหรับองค์กรที่ต้องการรักษาความปลอดภัยของข้อมูล เนื่องจากในบางองค์กรข้อมูลบางอย่างเป็นสิ่งสำคัญ หากต้องถูกขโมยไป หรือเสียหายนั้น ย่อมก่อให้เกิดความเสียหายในตัวมูลค่าที่สามารถวัดเป็นตัวเงินได้อาจมากหรือน้อยขึ้นอยู่กับข้อมูลนั้นๆ
การทำ Information Technology Security Audit ต้องอาศัยบุคคลที่มีความเชี่ยวชาญมากในการทำ เพื่อลดหรือกำจัด สิ่งที่จะทำให้เกิดความเสียหายต่อข้อมูล ซึ่งในปัจจุบันมีหลายบริษัทที่มีบริการทางด้านนี้ หรืออาจจะใช้บุคคลากรในองค์กรก็ได้ ดังนั้นในองค์กรใดที่ยังไม่มี การทำ Information Technology Security Audit ควรเริ่มให้มีโดยเร็ว เพื่อลดผลเสียหายทีจะเกิดขึ้นต่อไปในอนาคต

แหล่งข้อมูล
- 10 Steps to Creating Your Own IT Security Audit, itsecurity
- T Security Audit Software, ThreeShield Information Security
- IT Security Audit Procedure, สำนักงานปลัดกระทรวงสาธารณสุข
- IT Security Audit Services, ThaiCERT