ตารางท่ี 1 (1-1) ประเภทภัยคุกคามด้านเทคโนโลยีสารสนเทศ ประเภทภยั คุกคาม คาอธบิ าย 8 การฉ้อฉล ภยั คกุ คามท่เี กิดจากการฉอ้ ฉล ฉ้อโกงหรือการหลอกลวงเพือ่ ฉอ้ โกงหรอื ผลประโยชน์ (Fraud) สามารถเกิดได้ในหลายลักษณะ เช่นการ หลอกลวงเพ่ือ ลักลอบใช้งานระบบหรอื ทรพั ยากรทางสารสนเทศทไี่ ม่ได้รับอนุญาตเพื่อ ผลประโยชน์ แสวงหาผลประโยชนข์ องตนเอง หรือการขาย สินค้าหรอื ซอฟตแ์ วร์ที่ละเมิดลิขสิทธิ (Fraud) 9 ภยั คุกคามอน่ื ๆ ภยั คุกคามประเภทอนื่ ๆ นอกเหนือจากที่กาหนดไวข้ า้ งต้น ระบไุ วเ้ พอื่ เปน็ นอกเหนอื จาก ตวั ชว้ี ัดถึงภยั คุกคามประเภทใหม่หรอื ไม่สามารถจัดประเภทได้ตามทีร่ ะบุ ท่กี าหนดไว้ ไวข้ ้างต้น โดยถา้ จานวนภยั คกุ คามอน่ื ๆในข้อนี้มีจานวนมากข้นึ แสดงถึง ข้างต้น ความจาเปน็ ทีจ่ ะต้องปรบั ปรงุ การจดั แบง่ ประเภทภัยคุกคามนีใ้ หม่ (Other)
สถิติภยั คุกคาม https://www.thaicert.or.th/statistics/ สถิติภยั คกุ คามปี 2515/2516 https://www.thaicert.or.th/statistics/statistics2015.html สถติ ภิ ัยคุกคาม https://www.thaicert.or.th/papers/general/2012/pa2012ge001.html ความเปน็ มาของ ThaiCert http://www.dmsc.moph.go.th/itc/userfiles/files/law_lecture%20(2).pdf ThaiCert Presentation EDTA (สพธอ) หลักการและแนวปฏบิ ตั ิในการรักษาความม่ันคงปลอดภยั ทางไซเบอร์ http://php.diw.go.th/inf/wp-content/uploads/2014/10/Threat-information- system1.pdf ภัยคุกคามทางคอมพิวเตอร์
สถติ ิภยั คุกคาม https://www.thaicert.or.th/statistics/ สถติ ิภยั คุกคามปี 2515
สถติ ิภยั คุกคาม https://www.thaicert.or.th/statistics/ สถติ ิภยั คุกคามปี 2516
การประเมนิ ความเสีย่ ง (Risk Assessment) • โอกาสที่ระบบสารสนเทศขององค์กรจะถูกโจมตี - เป็นการพจิ ารณาปจั จยั เส่ยี งท่ีระบบสารสเนทศจะถกู โจมตีว่ามโี อกาสเกิดมากนอ้ ย เพยี งใด • ความเสียหายที่จะกระทบต่อองค์กร - เปน็ การพิจารณาปัจจยั เสี่ยงวา่ หากเกดิ ขน้ึ แล้วจะมผี ลกระทบตอ่ หนว่ ยงานภายในองคก์ ร มากนอ้ ยแคไ่ หน • ความสาคัญของความเสยี่ งท่ีองค์กรเผชิญอยู่ - การลาดับความสาคญั ของแตล่ ะปจั จยั เสีย่ งเพอ่ื พจิ ารณาว่าความเสย่ี งใดควรถกู พิจารณา เป็นลาดับกอ่ นหลัง
โอกาสทีร่ ะบบสารสนเทศขององค์กรจะถูกโจมตี และความเสยี หายท่ีจะกระทบตอ่ องคก์ ร โอกาสท่รี ะบบสารสนเทศขององคก์ รจะถูกโจมตี และความเสียหายท่ีจะกระทบ ต่อองค์กรสามารถพิจารณาได้ 2 ลกั ษณะ ไดแ้ ก่ • วธิ ีการประเมินความเสยี่ งเชิงคณุ ภาพ (Qualitative Approach) ไม่มีการระบคุ า่ ความเสยี หายออกมาเป็นตวั เลข แต่ระบเุ ป็นระดบั ความรุนแรงของความ เสียหาย และระดบั ความเปน็ ไปไดท้ เ่ี หตกุ ารณ์จะเกดิ ข้นึ • วิธกี ารประเมินความเสย่ี งเชิงคณุ ภาพ (Quantitative Approach) ต้องระบคุ า่ ความเสียหายออกมาเปน็ ตวั เลข (โดยเฉพาะตวั เงนิ ) และโอกาสท่ี เหตุการณน์ น้ั จะเกดิ ออกมาในลักษณะความนา่ จะเป็น (possibility) ซ่ึงจะแสดงเป็น ตัวเลขเทา่ น้ัน
โอกาสที่จะเกิดเหตุการณ์ ท่ีเป็นความเสย่ี ง **** ความเสย่ี งในท่ีน้ี หมายถงึ ภยั คุกคาม โอกาสที่จะเกิดความเส่ยี ง ความถี่ท่ีเกิดข้ึน ระดับคะแนน สงู มาก 1 เดอื นตอ่ คร้งั 5 สงู 6 เดือนตอ่ คร้งั 4 ปานกลาง เดือนต่อครั้ง 3 น้อย มากกวา่ 1 ปีต่อครงั้ 2 นอ้ ยมาก มากกวา่ 5 ปีต่อครั้ง 1 โอกาสทจี่ ะเกดิ ความเสย่ี ง เปอร์เซ็นตโ์ อกาสทีจ่ ะเกิดขนึ้ ระดบั คะแนน สูงมาก มากกว่า 80% 5 สูง 4 ปานกลาง 70 – 79% 3 นอ้ ย 60 – 69% 2 นอ้ ยมาก 50 – 59% 1 น้อยกว่า 50%
ผลกระทบตอ่ องคก์ ร ผลกระทบต่อองค์กร (ดา้ นตวั เงนิ ) ระดบั คะแนน สงู มาก 5 สงู ความเสยี หาย 4 ปานกลาง มากกวา่ 10 ลา้ นบาท 3 นอ้ ย มากกว่า 5 แสน – 10 ลา้ นบาท 2 น้อยมาก มากกวา่ 1 แสน – 5 แสนบาท 1 1 หมนื่ – 1 แสนบาท น้อยกวา่ 1 หม่ืนบาท ผลกระทบต่อ ผลกระทบตอ่ องค์กร (ด้านชื่อเสยี ง) ระดบั คะแนน องคก์ ร สูงมาก ความเสียหาย 5 สงู 4 ปานกลาง มีการเผยแพรข่ ่าวท้ังจากสือ่ ภายในและต่างประเทศเป็นวงกว้าง 3 นอ้ ย มกี ารลงขา่ วหนงั สือพมิ พ์ภายในประเทศหลายฉบับมากกวา่ 15 วนั 2 น้อยมาก มกี ารลงขา่ วหนงั สือพิมพ์ภายในประเทศหลายฉบบั 2 - 3 วัน 1 มกี ารลงข่าวหนงั สือพิมพ์ภายในประเทศบางฉบบั 1 วนั ไมม่ กี ารเผยแพร่ข่าว
ผลกระทบต่อองคก์ ร (ดา้ นเวลา) ผลกระทบตอ่ องคก์ ร (ดา้ นเวลา) เป็นการพิจารณาว่า หากเกดิ ภัยคกุ คามแล้ว ทาให้งานสาคัญท่กี าลังดาเนินอย่ตู ้อง ล่าช้าออกไปมาก – นอ้ ย เพียงใด ผลกระทบตอ่ ความเสียหาย ระดบั คะแนน องค์กร สงู มาก ทาใหเ้ กดิ ความล่าของงานสาคัญขององคก์ ร มากกว่า 6 เดือน 5 สูง ทาใหเ้ กดิ ความล่าของงานสาคญั ขององคก์ ร ระหว่าง 4 - 6 เดอื น 4 ปานกลาง ทาใหเ้ กดิ ความลา่ ของงานสาคญั ขององค์กร ระหวา่ ง 3 - 4 เดอื น 3 นอ้ ย ทาให้เกดิ ความลา่ ของงานสาคัญขององค์กร ระหวา่ ง 2 - 3 เดอื น 2 น้อยมาก ทาให้เกดิ ความลา่ ของงานสาคญั ขององคก์ ร น้อยกวา่ 2 เดือน 1 หมายเหตุ ยงั มผี ลกระทบดา้ นอืน่ ๆ อกี มากมาย แล้วแต่องคก์ รจะนยิ ามกนั ออกมา ซง่ึ อาจมี ความแตกตา่ งกนั ในรายละเอียด ตามลักษณะเฉพาะของแต่ละองคก์ ร
การจัดลาดับความเส่ยี ง การจัดลาดับความเสียง ตอ้ งทาขัน้ ตอนทตี่ อ่ เนอื่ งกนั 2 ขนั้ ตอน ดงั นี้ 1. รวมคะแนนโอกาสที่จะเกิดความเสี่ยง และผลกระทบความเสียหายที่เกดิ ข้ึนหลาย ๆ ด้าน ประกอบกนั เพอ่ื จัดลาดับความสาคญั และใช้ในการตดั สินใจวา่ ปัจจยั ความเสี่ยงใดต้องเรง่ จัดการกอ่ น 2. จัดทาแผนภมู ิความเสยี่ งเพอ่ื ให้ CIO และคนในองค์กร เหน็ ภาพรวมวา่ ความเสย่ี งมีการ กระจายตวั อยา่ งไร
แผนภูมคิ วามเสยี่ ง (Risk Map) มาก ความเสยี่ งสูง ความเสยี่ งปานกลาง • ผลกระทบรุนแรงมาก • โอกาสเกิดมาก • ผลกระทบรุนแรงมาก • โอกาสเกดิ น้อย ความเสยี่ งต่า ความเสยี่ งปานกลาง น้อย • ผลกระทบนอ้ ย • ผลกระทบนอ้ ย • โอกาสเกิดนอ้ ย • โอกาสเกดิ มาก นอ้ ย มาก
สถิติภยั คุกคาม https://www.thaicert.or.th/statistics/ สถิติภยั คกุ คามปี 2515/2516 https://www.thaicert.or.th/statistics/statistics2015.html สถติ ภิ ัยคุกคาม https://www.thaicert.or.th/papers/general/2012/pa2012ge001.html ความเปน็ มาของ ThaiCert http://www.dmsc.moph.go.th/itc/userfiles/files/law_lecture%20(2).pdf ThaiCertPresentation EDTA (สพธอ) หลกั การและแนวปฏบิ ตั ิในการรักษาความม่ันคงปลอดภยั ทางไซเบอร์ http://php.diw.go.th/inf/wp-content/uploads/2014/10/Threat-information- system1.pdf ภยั คกุ คามทางคอมพิวเตอร์
Search
