ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC)
บทความ » ทำความรู้จักกับคำจำกัดความที่สำคัญเกี่ยวกับการประเมินความเสี่ยง
บทความเรื่อง : ทำความรู้จักกับคำจำกัดความที่สำคัญเกี่ยวกับการประเมินความเสี่ยง
เรียบเรียงโดย : ดร.บรรจง หะรังษี
เรียบเรียงเมื่อ : วันที่ 5 กรกฎาคม 2554

จากบทความเรื่อง “Plan-Do-Check-Act ตามมาตรฐาน ISO/IEC 27001 กับข้อคำถามสำคัญที่ต้องการคำตอบ” นั้น ก่อนที่เราจะเริ่มไขข้อคำถามต่างๆ ผู้เขียนเล็งเห็นว่าเราควรมาทำความคุ้นเคยกับคำจำกัดความที่สำคัญเกี่ยวกับการประเมินความเสี่ยงกันก่อนเพื่อให้เกิดความกระจ่างขึ้นในบทความถัดไป ดังนั้นบทความนี้จึงประกอบด้วยคำจำกัดความที่สำคัญเกี่ยวกับการประเมินความเสี่ยง ดังนี้

ทรัพย์สินสารสนเทศ (Information asset) (เรียกสั้นๆ ว่า ทรัพย์สิน) หมายถึง ทรัพย์สินต่างๆ ขององค์กรซึ่งแบ่งเป็น 5หมวด ได้แก่ หมวดข้อมูล หมวดบุคลากร หมวดฮาร์ดแวร์ หมวดซอฟต์แวร์ และหมวดบริการ
บัญชีทรัพย์สินสารสนเทศ (Asset list/inventory) หมายถึง บันทึกซึ่งแสดงรายการต่างๆ ของทรัพย์สินสารสนเทศขององค์กร บันทึกดังกล่าวควรมีข้อมูลอย่างน้อย ได้แก่ เลขที่ทรัพย์สิน ระดับความสำคัญของทรัพย์สิน (Asset value) ชื่อเจ้าของเจ้าของทรัพย์สินหรือผู้รับผิดชอบ รายละเอียดของทรัพย์สินอื่นๆ ที่เจ้าของทรัพย์สินจำเป็นต้องใช้งาน
ผู้ประเมินความเสี่ยง หมายถึง ผู้เป็นเจ้าของหรือผู้รับผิดชอบทรัพย์สินสารสนเทศหนึ่งในบัญชีฯ
ภัยคุกคาม (Threat) หมายถึง ภัยที่มีผลในทางลบ เช่น สร้างความเสียหายในลักษณะใดลักษณะหนึ่ง ต่อทรัพย์สินสารสนเทศและการดำเนินธุรกิจขององค์กร เช่น ไวรัสซึ่งเป็นภัยชนิดหนึ่ง เมื่อภัยนี้เกิดขึ้นจริง จะทำให้ธุรกิจขององค์กรเกิดการหยุดชะงักได้
จุดอ่อนหรือช่องโหว่ (Vulnerability) หมายถึง สภาพหรือสภาวะที่เป็นข้อบกพร่องหรือไม่สมบูรณ์ และหากถูกใช้ให้เป็นประโยชน์โดยภัยคุกคามก็อาจทำให้ทรัพย์สินสารสนเทศขององค์กรได้รับความเสียหายได้ เช่น จุดอ่อนดังนี้

• ไวรัสใช้ประโยชน์จากการไม่ได้ติดตั้งโปรแกรมป้องกันไวรัสและทำให้ข้อมูลสำคัญขององค์กรเกิดความเสียหาย
• ข้อมูลสำคัญถูกขโมยซึ่งเกิดจากการขาดการรักษาความปลอดภัยทางกายภาพและทำให้องค์กรสูญเสียข้อได้เปรียบด้านการแข่งขัน
• หน้าเว็บไซต์ถูกเปลี่ยนแปลงซึ่งเกิดจากการใช้รหัสผ่านที่สั้นเกินไปและทำให้องค์กรเสียชื่อเสียง

ตัวอย่างเหตุการณ์ความเสี่ยงทั้งสามในข้างต้นสามารถแสดงเป็นสัญลักษณ์ได้ดังนี้
• ความเสี่ยงไวรัส/การไม่ได้ติดตั้งโปรแกรมป้องกันไวรัส
• ความเสี่ยงข้อมูลสำคัญถูกขโมย/การขาดการรักษาความปลอดภัยทางกายภาพ
• ความเสี่ยงหน้าเว็บไซต์ถูกเปลี่ยนแปลง/การใช้รหัสผ่านที่สั้นเกินไป

การประเมินความเสี่ยง (Risk assessment) หมายถึง การกำหนดเหตุการณ์ความเสี่ยง กำหนดโอกาสการเกิดขึ้น กำหนดระดับของผลกระทบหากเหตุการณ์ความเสี่ยงนั้นเกิดขึ้นจริง และกำหนดค่าความเสี่ยง (หรือระดับของความเสี่ยง) ของเหตุการณ์ความเสี่ยงนั้น

เหตุการณ์ความเสี่ยงหนึ่งจะมีความสำคัญต่อองค์กรก็ต่อเมื่อ
• เหตุการณ์ดังกล่าวต้องมีโอกาสเกิดขึ้นในระดับหนึ่ง (หากแทบจะไม่มีโอกาสเกิดขึ้นเลย ให้พิจารณาตัดทิ้งได้) และ
• หากเกิดขึ้นจริง จะทำให้องค์กรได้รับผลกระทบ (ในที่นี้ก็คือความเสียหาย) ในลักษณะใดลักษณะหนึ่ง

ฉะนั้นโดยพื้นฐานการประเมินความเสี่ยงจึงต้องนำปัจจัยอย่างน้อย 2 ปัจจัย กล่าวคือโอกาสของการเกิดขึ้นและผลกระทบ มาใช้ในการประมาณค่าหรือระดับของความเสี่ยงของเหตุการณ์ความเสี่ยงหนึ่ง

การประเมินความเสี่ยงมีจุดประสงค์เพื่อคาดการณ์ว่ามีเหตุการณ์ความเสี่ยงใดบ้างที่เกี่ยวข้องกับทรัพย์สินสารสนเทศหนึ่ง และมีระดับความเสี่ยงมากน้อยเพียงใด

ทั้งนี้เพื่อจะได้จัดลำดับความสำคัญของเหตุการณ์ความเสี่ยงตามที่ได้ประเมินและเตรียมการป้องกันไว้ก่อนอย่างเหมาะสมก่อนที่เหตุการณ์ความเสี่ยงนั้นจะเกิดขึ้นจริงและทำให้องค์กรเกิดความเสียหายได้
ระดับความเสี่ยงที่ยอมรับได้ (Risk appetite หรือ Acceptable level of risk) หมายถึง ค่าความเสี่ยงที่หากการประเมินเหตุการณ์ความเสี่ยงหนึ่งมีค่าน้อยกว่าค่าที่ยอมรับได้นี้ จะถือว่าทรัพย์สินสารสนเทศที่เกี่ยวข้องกับเหตุการณ์ฯ มีความมั่นคงปลอดภัยเพียงพอ
แผนการลดความเสี่ยง (Risk treatment plan) หมายถึง แผนการจัดการกับเหตุการณ์ความเสี่ยงสำหรับกรณีที่ผู้ประเมินความเสี่ยงได้ประเมินเหตุการณ์ความเสี่ยงหนึ่งและพบว่ามีความเสี่ยงที่จำเป็นต้องจัดการกับความเสี่ยงนั้น ผู้ประเมินความเสี่ยงจะต้องนำเสนอแผนการจัดการดังกล่าวต่อหัวหน้างานเพื่อพิจารณาอนุมัติก่อนดำเนินการ แผนการลดความเสี่ยงอย่างน้อยควรมีองค์ประกอบดังนี้

• ความเสี่ยงที่อ้างถึง
• ทรัพย์สินที่มีความเสี่ยงนี้
• ค่าความเสี่ยง
• การควบคุมความเสี่ยงนี้ในปัจจุบัน
• กิจกรรมการดำเนินการ (เพื่อลดความเสี่ยง) และระยะการดำเนินการของแต่ละกิจกรรม
• งบประมาณที่จำเป็น
• ผู้รับผิดชอบ

Best practice หมายถึง สิ่งที่ดีและควรปฏิบัติอยู่เสมอ Best practice ทางด้านไอซีทีบ่อยครั้งจะมีการจัดเก็บหรือรวบรวมไว้ในมาตรฐานหรือเอกสารอ้างอิงที่มีผู้ใช้งานมาเป็นระยะเวลานานและเป็นที่ยอมรับกันโดยทั่วไป เช่น ISO/IEC 27002 ITIL COBIT เป็นต้น

ประเด็นดังต่อไปนี้เป็น Best practice ที่นำมาจาก ISO/IEC 27002
• การจัดทำสัญญาห้ามเปิดเผยข้อมูลสำคัญขององค์กร
• การกำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน
• การกำหนดอย่างชัดเจนว่าใครเป็นเจ้าของทรัพย์สินสารสนเทศ เช่น ใครเป็นเจ้าของ ระบบงาน ใครเป็นเจ้าของข้อมูลในระบบงาน ใครเป็นเจ้าของซอฟต์แวร์ต่างๆ ของระบบงาน เป็นต้น
• การระบุความต้องการด้านความมั่นคงปลอดภัยของระบบงานที่จะทำการพัฒนาขึ้นมา
• การวิเคราะห์และออกแบบระบบโดยคำนึงถึงการตรวจสอบข้อมูลนำเข้า (Input) ให้มีความถูกต้องและเชื่อถือได้
• การรายงานปัญหาการใช้งานและการจัดการภายในระยะเวลาอันสมควร

แผนการควบคุมความเสี่ยง (Risk control plan) หมายถึง Best practice วิธีการ หรือแนวทางปฏิบัติ ซึ่งองค์กรใช้ในการจัดการกับเหตุการณ์ความเสี่ยงหนึ่ง ตัวอย่างเช่น

• ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน/การไม่ได้มีการกำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน
• แผนการควบคุมความเสี่ยงคือ
     - กำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน

เมื่อได้มีการจัดทำแผนการควบคุมความเสี่ยงหนึ่งขึ้นแล้ว ผู้ประเมินความเสี่ยงสามารถใช้แผนดังกล่าวในการจัดการกับความเสี่ยงที่ได้อ้างอิงถึงนั้นในทุกๆ ครั้งที่มีการระบุและประเมินเหตุการณ์ความเสี่ยงนั้น เช่น ในกรณีตัวอย่างข้างต้น ทุกครั้งที่มีการจ้างจัดทำหรือพัฒนาระบบงานใหม่ ผู้ประเมินความเสี่ยงสามารถนำแผนดังกล่าวมาใช้งานได้ในทุกครั้ง กล่าวคือ กำหนดให้มีการจัดทำเกณฑ์การตรวจรับระบบงานอย่างชัดเจนทุกครั้ง

เมื่อได้มีการจัดทำและกำหนดให้ปฏิบัติตามแผนการควบคุมความเสี่ยงหนึ่งแล้ว โดยทั่วไปสามารถกำหนดให้ค่าความเสี่ยงที่ประเมินนั้นมีค่าอยู่ในระดับที่ยอมรับได้ แต่ถึงกระนั้นก็ตามก็ต้องควบคุมให้ปฏิบัติตามแผนฯ อย่างเคร่งครัดด้วย ดังนั้นเมื่อได้มีการประเมินความเสี่ยงหนึ่งและมีแผนการควบคุมความเสี่ยงนั้นแล้ว ก็ยังต้องกำหนดให้จัดทำแผนการลดความเสี่ยงด้วย ตัวอย่างเช่น

• ความเสี่ยงที่อ้างถึง: การเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน/การไม่ได้มีการกำหนดเกณฑ์การตรวจรับระบบงานอย่างชัดเจน
• ทรัพย์สินที่มีความเสี่ยงนี้: ระบบงาน ก
• ค่าความเสี่ยง: อยู่ในระดับที่ยอมรับได้
• การควบคุมความเสี่ยงนี้ในปัจจุบัน: นำแผนการควบคุมความเสี่ยงที่มีอยู่แล้วมาใช้งาน
• กิจกรรมการดำเนินการ (เพื่อลดความเสี่ยง) และระยะการดำเนินการของแต่ละกิจกรรม: <ให้ระบุกิจกรรม ระยะเวลาการดำเนินการ และผู้ที่เกี่ยวข้องสำหรับการจัดทำเกณฑ์การตรวจรับระบบงาน ก>
• งบประมาณที่จำเป็น: ไม่มี (เนื่องจากให้พนักงานนาย ข เป็นผู้ดำเนินการ)
• ผู้รับผิดชอบ: นาย ข

เหตุการณ์ด้านความมั่นคงปลอดภัย (Information security events) หมายถึง เหตุการณ์สี่กรณีดังนี้

กรณีที่ 1 คือ เหตุการณ์ความเสี่ยงที่ได้เกิดขึ้นจริงแล้ว (ซึ่งเป็นเหตุการณ์ที่ได้เกิดขึ้นแล้วและสร้างความเสียหายแก่องค์กรในลักษณะใดลักษณะหนึ่ง)

กรณีที่ 2 คือ เหตุการณ์ความเสี่ยงที่เริ่มมีแนวโน้มในทิศทางที่ไม่เป็นผลดีต่อองค์กร (ซึ่งเป็นเหตุการณ์ที่เริ่มก่อตัวขึ้นหรือมีสัญญาณให้เห็นแล้ว และอาจเริ่มสร้างความเสียหายแก่องค์กรบ้างในระดับหนึ่ง หรือยังไม่ได้สร้างความเสียหายก็ตาม)

กรณีที่ 3 คือ เหตุการณ์ที่เป็นจุดอ่อนหรือสงสัยว่าจะเป็นจุดอ่อน

กรณีที่ 4 คือ เหตุการณ์ที่เป็นการใช้หรือมีความพยายามที่จะละเมิดกฎหมาย ระเบียบ ข้อบังคับ หรือข้อกำหนดอื่นๆ ขององค์กรที่ได้กำหนดไว้ หรือเป็นการละเมิดแล้วก็ตาม

ทั้งสี่กรณีสามารถสร้างความเสียหายให้กับองค์กรได้ในลักษณะใดลักษณะหนึ่ง ซึ่งอาจส่งผลให้
• เกิดการหยุดชะงักต่อกระบวนการทางธุรกิจสำคัญ
• เป็นการละเมิดนโยบาย กฎหมาย ระเบียบ ข้อบังคับ หรือข้อกำหนดอื่นๆ ขององค์กรที่ได้กำหนดไว้
• เกิดภาพลักษณ์ที่ไม่ดีต่อองค์กรหรือทำให้สูญเสียชื่อเสียง ตัวอย่างของเหตุการณ์ความเสี่ยงที่ได้เกิดขึ้นจริงแล้วได้แก่
• การพบการแพร่ระบาดของโปรแกรมไม่ประสงค์ดีในเครือข่ายขององค์กร
• การแจ้งเตือนการบุกรุกระบบโดยระบบป้องกันการบุกรุก
• ระบบเกิดการทำงานที่ผิดพลาดหรือประมวลผลผิดพลาด
• ระบบถูกบุกรุก
• ระบบถูกโจมตีจนไม่สามารถให้บริการได้
• ข้อมูลสำคัญในระบบงานถูกเปลี่ยนแปลงหรือแก้ไข
• หน้าเว็บไซต์ขององค์กรถูกเปลี่ยนแปลง
• การเปิดเผยข้อมูลสำคัญโดยไม่ได้รับอนุญาต
• การใช้ทรัพยากรขององค์กรผิดวัตถุประสงค์ (เช่น การใช้เครือข่ายขององค์กรเพื่อ กระทำการที่ขัดต่อ พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550)
• ระบบ อุปกรณ์ ฮาร์ดแวร์ หรือทรัพย์สินสารสนเทศอื่นๆ ถูกขโมย
• การแอบติดตั้งซอฟต์แวร์เพื่อดักขโมยข้อมูลหรือดักดูข้อมูลในเครือข่ายขององค์กร

ตัวอย่างของเหตุการณ์ความเสี่ยงที่เริ่มมีแนวโน้มในทิศทางที่ไม่เป็นผลดีต่อองค์กรได้แก่

เหตุการณ์ความเสี่ยง เหตุการณ์ความเสี่ยงที่เริ่มมีแนวโน้มในทิศทางที่ไม่เป็นผลดีต่อองค์กร ความเสียหายจากเหตุการณ์ความเสี่ยงที่เริ่มมีแนวโน้มในทิศทางที่ไม่เป็นผลดีต่อองค์กร
- ความเสี่ยงค่าใช้จ่ายในการบำรุงรักษาระบบงานในระยะยาวค่อนข้างสูง - ค่าใช้จ่ายของระบบเริ่มสูงขึ้นตามลำดับเมื่อเวลาผ่านไป - ระบบงานมีค่าใช้จ่ายเพิ่มมากขึ้น
- ความเสี่ยงการเกิดข้อพิพาธ ข้อขัดแย้ง หรือข้อถกเถียงในการตรวจรับระบบงาน - มีข้อถกเถียงเกิดขึ้นเกี่ยวกับระบบงานไม่ตรงตามที่ต้องการ
(เช่น ในระหว่างที่ส่งมอบระบบงานเป็นส่วนๆ)
- ระบบงานยังไม่ตรงกับที่ต้องการ
- ความเสี่ยงระบบงานไม่มีผู้รับผิดชอบชัดเจนเมื่อเกิดปัญหา - ระบบงานแม้กำหนดผู้รับผิดชอบแล้ว แต่เมื่อเกิดปัญหาขึ้น ยังขาดผู้รับผิดชอบในการแก้ปัญหา - การแก้ปัญหาของระบบงานเกิดความล่าช้า
- ความเสี่ยงระบบงานไม่ปลอดภัยเพียงพอ - ระบบงานจำเป็นต้องระบุความต้องการด้านความมั่นคงปลอดภัยเพิ่มเติม - อาจยังไม่เกิดความเสียหายใดๆ

ตัวอย่างของเหตุการณ์ที่เป็นจุดอ่อน ได้แก่
• ประตูของศูนย์คอมพิวเตอร์ไม่สามารถล็อคได้
• ระบบงานมีช่องทางอื่นในการเข้าสู่ระบบได้โดยไม่ผ่านการพิสูจน์ตัวตนตามปกติ
• เจ้าหน้าที่รักษาความปลอดภัยนั่งหลับยาม
• บุคคลภายนอกที่ไม่ได้มีการแลกบัตร
• บุคคลภายนอกไม่ได้ลงชื่อก่อนเข้าศูนย์คอมพิวเตอร์
• พนักงานไม่มีการระบุตัวตนก่อนที่จะเข้าถึงห้องสำนักงาน

เหตุการณ์ชนิดที่ 1 หมายถึงเหตุการณ์กรณีที่ 1 3 และ 4 เหตุการณ์ชนิดนี้จำเป็นต้องได้รับการรายงานจากผู้ใช้งานที่พบเหตุโดยเร็ว เพื่อให้มีการจัดการกับเหตุการณ์เหล่านั้นอย่างเหมาะสม ได้ผล และทันกาล

เหตุการณ์ชนิดที่ 2 หมายถึงเหตุการณ์กรณีที่ 2 ผู้ประเมินความเสี่ยงหรือผู้ที่เกี่ยวข้องต้องหาทางบริหารจัดการความเสี่ยงของเหตุการณ์ชนิดนี้ซึ่งกำลังเริ่มลุกลามหรือบานปลายก่อนที่จะสร้างความเสียหายให้แก่องค์กร


หลังจากที่ผู้อ่านได้ทราบและเข้าใจความหมายของคำต่างๆ ที่เกี่ยวข้องกับการประเมินความเสี่ยงกันแล้ว ในบทความต่อไปเราก็จะเริ่มเข้าสู่รายละเอียดของการประเมินความเสี่ยงพร้อมทั้งไขข้อคำถามกัน


บริษัท ที-เน็ต จำกัด
131 หมู่ 9 ห้องเลขที่ 311 อุทยานวิทยาศาสตร์ประเทศไทย ถนนพหลโยธิน คลองหนึ่ง คลองหลวง ปทุมธานี 12120
โทรศัพท์: 02-564-7886    โทรสาร: 02-564-7854
e-mail: info@tnetsecurity.com

Copyright © 2008-2011 T-NET Co.,Ltd. All rights reserved.