tisa pro-talk_1-2554-dr. rom_personnel standards
DESCRIPTION
TRANSCRIPT
บทบาทของ TISA กบการยกระดบมาตรฐานบคคลากรดาน Information Security
รอม หรญพฤกษ 22/3/2554
ไซเบอรสเปซ (cyber space)
ไซเบอรสเปซหมายรวมถงทกรปแบบของกจกรรมการเชอมโยงเครอขายดจทล ซงรวมถงเนอหาและการท างานทกอยางทเกดขนผานเครอขายดจทล
• เทคโนโลยสารสนเทศและอนเทอรเนตถกประยกตใชอยางแพรหลายในภาครฐและเอกชน และมผลกระทบตอชวตประจ าวนของประชาชนทวไป ปญหาทเกดขนตามมาไดแกปญหาการกออาชญากรรม (Cyber Crime, e-crime) โดยใชอนเทอรเนตเปนเครองมอ การฉอโกง การกอการราย ไปถงสงครามไซเบอร ซงใชคอมพวเตอรและเครอขายเปนเครองมอ (Cyber war) ซงรวมถงการท าสงครามขาวสาร (information war) ซงมประเดนการปองกนและตอบโตทเรยกวา Information Operation (IO)
2011 Outlook: (ISC)²
• Cybercrime and Espionage
• Software Security
• Mobile Security
• The Business Face of Security
• Security as a Profession
• Evolution of Security Technology
• Cloud Computing
• Data Loss Prevention & Rights Management
• Social Media
• Regulatory and Political
3
4
TISA : Thailand Information Security Association
TISA web site : http://www.tisa.or.th
5
14/10/54
5
Information Security TRIAD
Availability
Confidentiality Integrity
Information
Security
Today’s Key Concerns Cyber Threats
• Increasing Social Network Attacks
Issues
• Identity theft
• Privacy issue in Social Networking
• Security issue in Social Networking
• Ethical issue
Impacts
• Individuals
• Corporate
• Social
Social Networking Security Conference 2010
6
Considerations
Ethical and Strategic Issues in
Organization
Social Networking Policies
Lifestyles
User Awareness
People is the “KEY”
Social Media Landscape
7 Social Networking Security
Conference 2010
8
IT Security Roles 1. Chief Information Officer 2. Digital Forensics Professional 3. Information Security Officer 4. IT Security Compliance Officer 5. IT Security Engineer 6. IT Security Professional 7. IT Systems Operations and Maintenance
Professional 8. Physical Security Professional 9. Privacy Professional 10.Procurement Professional
กฎหมายทเกยวของ
• พรบ. วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544 และ พ.ศ. 2551
– พระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลคทรอนกสภาครฐ พ.ศ. 2549 (มาตรา 35)
– พรฎ. ก าหนดวธการแบบ (มนคง) ปลอดภยในการประกอบธรกรรมอเลกทรอนกส (มาตรา 25) ซงเปนขอแนะน าของส านกงานคณะกรรมการนโยบายรฐวสาหกจ และบรษทไทยเรทตง แอนด อนฟอรเมชนเซอรวส จ ากด (ทรส)
• พรบ. วาดวยการกระท าผดเกยวกบคอมพวเตอร พ.ศ. 2550 – ประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรอง หลกเกณฑ
การเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550
10
The Competent Officials : knowledge and qualification
Qualifications
Appointment by ICT Minister after taking examination
Law Enforcement Course
Moral/Ethics Course
Computer/Network Forencis Training
Information Security Training
Computer Forensic
Graduations/Experiences
Information Technology
Computer Science
Information Security
Laws
Competent Official
The 2010 State of Cybersecurity from the Federal CISO’s Perspective — An (ISC)2 Report
11
12
2007 Incidents by sector of attacked organization
Most Hacked Organizations
13
2007 Incidents by attack outcome
Business Motivations For Hacking
Source from Breach Security
Leading IT and InfoSec Professional Certification Institutes
CISSPs in Asia- South Korea: Highest in Asia
As of: 30/SEPT/07
China (400)
Hong Kong (1,311)
India (909)
Indonesia (44)
Japan (883)
Korea, South (2,003)
Macao (8)
Malaysia (177)
Philippines (112) Singapore (9)47
Sri Lanka (35)
Taiwan (238)
Thailand (91)
DoD 8570.01-M Information Assurance Workforce Improvement Program
December 19, 2005
DoD 8570.01-M Information Assurance Workforce Improvement Program
May 15, 2008
Recent Standards/Guidelines Topic Business ICT Governance GRC, COSO (ERM)CG
CobiT4.1 (ITG) ISO 38500:2008 (ITG) ISO 27014 (ISG) ISO 27001:2005 (ISMS)
Risk BS31100:2008 (RM) ISO31000:2008 (RM)
BS7799-3:2006 (ISRM) ISO13335-3,4:1998 ISO27005:2008 (ISRM) NIST SP800-30:2002 (ITRM)
Continuity Crisis
FEMA141:1993 (EM) PAS 56:2003 (BCI:BCMGPG) BS 25999:2006 (BCM) ISO/PAS 22399:2007 (Societal security)
PAS 77:2006 (ITSCM) BS 25777:2008 (ICTCM) ISO 24762:2008 (ICT DR) NIST SP800-34:2002 (ITSC:DRP)
Others PAS 99:2006 (Integrated Management) ITILv3 ISO 20000 (ITSMS)
Relationship of Risk Managements
BCM ISO 27002
Control 14.1 Information Continuity
management
ISO 24762 ICT DR Services
Telecom
Power
Supply
DR site
Asset
Mgmt
Fire
Protection
Vendor
Mgmt Logical
Access
Control
DR plan
Physical
Access
Control
Risk
Mitigation
ISO 27005 Risk Assessment
21
Governance, Risk & Compliance - GRC
Governance
Enterprise Risk Management
Compliance
Stakeholder Expectations
Setting objectives, tone, policies, risk appetite and accountabilities. Monitoring performance.
Identifying and assessing risks that may affect the ability to achieve objectives and determining risk response strategies and control activities.
Operating in accordance with objectives and ensuring adherence with laws and regulations, internal policies and procedures, and stakeholder commitments.
Key linkage Objectives & Risk Appetite
Key linkage Risk Response & Control Activities
Policies Procedures Processes/system People Tools &Technologies
Source: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management PWC white paper
Laws
GRC related best practices and compliance
(C) Copyright 2007-2009, ACIS Professional Center Company Limited
Corporate Governance
IT Governance
ITIL & ISO/IEC 20000 COSO (ERM)
BS25999 (BCM)
HIPAA
ISO/IEC 27001
ISO/IEC 27006
ITSM
SOX
Basel II
PCI DSS
GLBA CobiT 4.1
CCA/ETA
ITAF/GTAG
Difference among IA, IT Audit, Infosec Audit and System Security Audit
Internal Audit
IT Audit InfoSec Audit System Security Audit
Audit scope Enterprise IT IS Security System specific
Audit Framework
COSO CobiT ISO27001 NIST(SPP800-53A,SP800-
115), NSA:IAM, OSSTMM
Audit objective CG ITG, IT/Biz Alignment
Security Governance
System security, hardening
Professional Cert.
CIA CISA CISSP, IRCA:ISMS NSA:IAM,OPST, OPSA,
CEH, SSCP, CSSLP
etc.
Information Technology (IT) Security
Essential Body of Knowledge (EBK)
A Competency and Functional Framework
for IT Security Workforce Development
September 2008
United States Department of Homeland Security
EBK Development Process
Refer to 53 Critical Work Function (CWF) from DoD IASS
Key Divisions
• 4 functional perspectives
• 14 competency areas
• 10 roles
Functional Perspectives
1. Manage
2. Design
3. Implement
4. Evaluate
IT Security Roles
1. Chief Information Officer
2. Digital Forensics Professional
3. Information Security Officer
4. IT Security Compliance Officer
5. IT Security Engineer
6. IT Security Professional
7. IT Systems Operations and Maintenance Professional
8. Physical Security Professional
9. Privacy Professional
10.Procurement Professional
Competency Areas (MDIE in each)
1. Data Security 2. Digital Forensics 3. Enterprise Continuity 4. Incident Management 5. IT Security Training and
Awareness 6. IT System Operations and
Maintenance 7. Network and
Telecommunication Security
8. Personnel Security
9. Physical and Environmental Security
10. Procurement
11. Regulatory and Standards Compliance
12. Security Risk Management 13. Strategic Security
Management 14. System and Application
Security
IT Security Roles
Executive Functional Corollary
IT Security EBK: A Competency and Functional Framework
Functional Perspectives M - Manage D - Design I - Implement E - Evaluate
Chie
f In
form
ation O
ffic
er
Info
rmation S
ecu
rity
Off
icer
IT S
ecu
rity
Com
plia
nce
Off
icer
Dig
ital Fore
nsi
cs P
rofe
ssio
nal
IT S
yst
em
s O
pera
tions
and
Main
tenance
Pro
fess
ional
IT S
ecu
rity
Pro
fess
ional
IT S
ecu
rity
Engin
eer
Physi
cal Secu
rity
Pro
fess
ional
Priva
cy P
rofe
ssio
nal
Pro
cure
ment
Pro
fess
ional
M 11 12 0 1 2 1 0 1 3 1
D 2 7 1 3 4 6 4 2 6 1
I 0 1 2 5 8 3 4 4 4 1
E 3 10 14 3 5 7 2 3 5 1
Total Competency Units 16 30 17 12 19 17 10 10 18 4
TISA EBK Analysis
Entry Level Professional Level
Managerial Level
Your Competency Scorecard
Enterprise Infosec Competency Profile
* Organization assess Infosec competency requirement against EBK
* Assess current competency within the enterprise
* Identify competency gap training requirement, recruitment
Infosec training provider maps training courses to EBK
EBK
Enterprise Capability
Training Provider
TISA Roadmap
33 Social Networking Security
Conference 2010
2009 TISA EBK Assessment Exam (Pilot Test)
2011 Local InfoSec Certification TISA Level I,II,III (preparation for taking International InfoSec Certification)
2010 Increase number of InfoSec professional across industries in Thailand and Asia Pacific
2012 Thailand InfoSec Professional Council
TISET Pilot Test
TISA Exam First Launch
TISET#1 Q1
Q4
34 Social Networking Security
Conference 2010
TISET Certification Roadmap
TISA TISET Exam
FOUNDATION (Localized) on IT & Information Security Competencies Test
TISA TISET Certification
International Certified IT & Information Security Professional
IT/GRC Management
Internal Audit, IT Audit, InfoSec Audit
Technical / IT Practitioner
ADVANCE
EXPERT
Good Step to take … CISSP, SSCP, CISA, CISM, CSSLP, SANS GIAC
TISA IT Security – Essential Body of Knowledge (EBK) Test
Thank You
CyberCrime, CyberTerror, CyberEspionage, and CyberWar
• What happened to Estonia was the first instance of cyber-warfare against a specific government. Russia was suspected as the instigator of the digital assault, a charge the Russian government denied, but there was no reliable evidence to prove this.
• DDoS attacks had happened before, seemingly triggered by political or other events. The latest such incident involved a DDoS attack on US servers from what appeared to be Korean computers after a South Korean contestant to the 2002 Winter Games in Salt Lake City was disqualified.
• The cyber-attack against Estonia could have been orchestrated by private individuals sympathetic to the Russian government or ethnic Russian citizens in Estonia, although the obviously large financial resource made available for the May 9-10 DDoS attacks places this in some doubt.
องคกรดาน Cybersecurity ในประเทศใกลเคยง
• สงคโปร – National Infocomm Security Committee (NISC) ท าหนาทก าหนดนโยบายและ
ยทธศาสตรระดบชาต โดย Infocomm Development Authority (IDA) ท าหนาทเปนเลขาธการคณะกรรมการชดน
– Singapore Infocomm Technology Security Authority (SITSA) ขน เพอด าเนนการดานปฏบตการในแกไขปญหาดาน Cybersecurity ของประเทศสงคโปร
• มาเลเซย – Cyber Security Malaysia เปนหนวยงานทมความเชยวชาญดาน Cybersecurity
ภายใต Ministry of Science, Technology and Innovation (MOSTI) http://www.cybersecurity.my
• ออสเตรเลย – Cyber Security Policy and Coordination (CSPC) Committee ท างานดานการก า
หรดนโยบายและแผนยทธศาสตรระดบชาต
Cyberwar History 1982: logic bomb in computer control systems cause the explosion of Soviet pipeline
1999: AF/91 caused Iraqi anti-aircraft guns malfunction
1999: USA has been attacked from computers and computer networks situated in China and Russia.
2006: Israel alleges that cyber-warfare was part of the conflict, where the Israel Defense Force (IDF) estimates several countries in the Middle East used Russian hackers and scientists
2007: McAfee, Inc. alleged that China was actively involved in "cyberwar." China was accused of cyber-attacks on India, Germany, and the United States
2007, April: Estonia came under cyber attack from Russia targeting ministries, banks, and media
2007, Sept.: Israel carried out an airstrike on Syria using a computer program designed to interfere with the computers of integrated air defense systems
2007: US suffered "an espionage Pearl Harbor" in which an "unknown foreign power...broke into all of the high tech agencies, all of the military agencies, and downloaded terabytes of information."
2007: Kyrgyz Central Election Commission was defaced during its election. The message left on the website read "This site has been hacked by Dream of Estonian organization". During the election campaigns and riots preceding the election, there were cases of Denial-of-service attacks against the Kyrgyz ISPs.
2008: Russian, South Ossetian, Georgian and Azerbaijani sites were attacked by hackers during the 2008 South Ossetia War.
2008: U.S. military facility in the Middle East. The Pentagon released a document, which reflected that a "malicious code" on a USB flash drive spread undetected on Pentagon systems.
2009, March: a cyber spy network, GhostNet, using servers mainly based in China has tapped into classified documents from government and private organizations in 103 countries
2009, July: a series of coordinated cyber attacks against major government, news media, and financial websites in South Korea and the United States. From North Korea and UK
2009, Dec.: through January 2010, a cyber attack, dubbed Operation Aurora, was launched from China against Google and over 20 other companies.
2010, May: Indian Cyber Army defacing Pakistani websites. In return 1000+ Indian websites were defaced by PakHaxors, TeaMp0isoN, UrduHack & ZCompany Hacking Crew, among those were the Indian CID website
2010, Sept: Iran was attacked by the Stuxnet worm. The worm is said to be the most advanced piece of malware ever discovered and significantly increases the profile of cyberwarfare.
2010, Oct.: Government Communications Headquarters (GCHQ), said Britain faces a “real and credible” threat from cyber attacks by hostile states and criminals and government systems are targeted 1,000 times each month
2010, Nov.: Indian Cyber Army hacked the websites belonging to the Pakistan Army and ministries, as a revenge of the Mumbai terrorist attack
2010, Dec.: Pakistan Cyber Army hacked the website of India's top investigating agency, the Central Bureau of Investigation (CBI).
การสรางความมนคงดานไซเบอรในระดบชาต National Cybersecurity
• ก าหนดนโยบายความนคงดานไซเบอรเปนสวนหนงของนโยบายความมนคงแหงชาต จ าเปนตองสรางยทธศาสตรดานนเปนหลกอยางหนงในการปองกนประเทศ
• สรางความรวมมอภาครฐและภาคเอกชน
• ปองกนการเกดอาชญากรรมไซเบอรหรอท าใหลดจ านวนลง
• สรางหนวยงานรบผดชอบเหตการณดานความมนคงไซเบอรโดยตรง
• สรางวฒนธรรมเกยวกบความมนคงดานไซเบอร
ขอเสนอในการเตรยมการรบมอปญหา ดาน cyber security
1 .จดตงโครงการรวมมอขามหนวยงานระหวางกระทรวง โดยมงบประมาณส าหรบ
• สรางระบบงานสารสนเทศทปลอดภย, มนคง, และสามารถท างานไดตอเนองแมเมอเกดปญหาขน
• นโยบาย, งานวจย, กฎหมาย,ขอบงคบตางๆทจ าเปน • ความตระหนกถงภยและการปรบวฒนธรรมการท างานและการใชงาน
อนเทอรเนต • ทกษะและการศกษาทจะท าใหรเทาทนโลกไซเบอร • การสรางขดความสามารถทสงขนของบคลากร และการพฒนางานวจยท
เกยวของทางเทคนค • การรวมมอกบนานาประเทศในการแกปญหาน
ขอเสนอ … (ตอ) 2. ท างานอยางใกลชดกบกลมตางๆ
ทงทเปนภาครฐ ภาคเอกชน อตสาหกรรม กลมสทธตางๆ, องคกรสาธารณะ, และพนธมตรนานาชาต
3. จดตงส านกงานความมนคงดาน
ไซเบอร (Office of Cyber Security - OCS) ใหเปนหนวยงานหลกในการก าหนดแนวทางการด าเนนงานดานความมนคงปลอดภยในภาครรฐทงหมด
4. จดตงศนยปฏบตการความนคงดานไซเบอร (Cyber Security Operations Centre - CSOC)
• เผาดสถานการณในโลกไซเบอรทอาจมผลกระทบกบประเทศไทย และประสานงานการโตตอบทเหมาะสม
• สรางความเขาใจในประเดนทเกยวของกบการถกโจมตทางไซเบอร เพอท าใหผเกยวของตางๆทราบวาจะตองเตรยมตวอยางไร และจะตองท าอะไรเมอถกโจมต
• ใหค าแนะน าและขอมลขาวสารทเกยวกบความเสยงตอภาคธรกจและประชาชนทวไป