1. บทบาทของ TISA กับการยกระดับมาตรฐาน รอม หิรัญพฤกษ์
บุคคลากรด้าน Information Security 22/3/2554

2. ไซเบอร์ สเปซ (cyber space)
ไซเบอร์สเปซหมายรวมถึงทุกรูปแบบของกิจกรรมการเชื่อมโยงเครือข่ายดิจิทล
ั
ซึ่งรวมถึงเนื้ อหาและการทางานทุกอย่างที่เกิดขึนผ่านเครือข่ายดิจิทล
้ ั
• เทคโนโลยีสารสนเทศและอินเทอร์เน็ตถูกประยุกต์ใช้อย่างแพร่หลายในภาครัฐ
และเอกชน และมีผลกระทบต่อชีวตประจาวันของประชาชนทัวไป ปญหาที่
ิ ่ ั
ั
เกิดขึนตามมาได้แก่ปญหาการก่ออาชญากรรม (Cyber Crime, e-crime) โดยใช้
้
อินเทอร์เน็ตเป็ นเครืองมือ การฉ้อโกง การก่อการร้าย ไปถึงสงครามไซเบอร์ ซึง
่ ่
ใช้คอมพิวเตอร์และเครือข่ายเป็ นเครืองมือ (Cyber war) ซึงรวมถึงการทา
่ ่
สงครามข่าวสาร (information war) ซึงมีประเด็นการป้องกันและตอบโต้ท่ี
่
เรียกว่า Information Operation (IO)

3. 2011 Outlook: (ISC)²
• Cybercrime and Espionage
• Software Security
• Mobile Security
• The Business Face of Security
• Security as a Profession
• Evolution of Security Technology
• Cloud Computing
• Data Loss Prevention & Rights Management
• Social Media
• Regulatory and Political
3

4. TISA : Thailand Information Security Association
TISA web site : http://www.tisa.or.th
4

5. 5
Information Security TRIAD
Availability
Information
Security
Integrity Confidentiality
14/10/54
5

6. Today’s Key Concerns
Cyber Threats Considerations
• Increasing Social Network Attacks  Ethical and Strategic Issues in
Organization
Issues
 Social Networking Policies
• Identity theft
 Lifestyles
• Privacy issue in Social Networking
• Security issue in Social Networking  User Awareness
• Ethical issue
Impacts
• Individuals
• Corporate
• Social
People is the “KEY”
Social Networking Security Conference
6
2010

7. Social Media Landscape
Social Networking Security
7
Conference 2010

8. IT Security Roles
1. Chief Information Officer
2. Digital Forensics Professional
3. Information Security Officer
4. IT Security Compliance Officer
5. IT Security Engineer
6. IT Security Professional
7. IT Systems Operations and Maintenance
Professional
8. Physical Security Professional
9. Privacy Professional
10.Procurement Professional
8

9. กฎหมายทีเกียวข้อง
่ ่
• พรบ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์
พ.ศ. 2544 และ พ.ศ. 2551
– พระราชกฤษฎีกากาหนดหลักเกณฑ์และวิธการในการทาธุรกรรมทาง
ี
อิเล็คทรอนิกส์ภาครัฐ พ.ศ. 2549 (มาตรา 35)
– พรฎ. กาหนดวิธการแบบ (มันคง) ปลอดภัยในการประกอบธุรกรรม
ี ่
อิเล็กทรอนิกส์ (มาตรา 25) ซึงเป็ นข้อแนะนาของสานักงาน
่
คณะกรรมการนโยบายรัฐวิสาหกิจ และบริษทไทยเรทติง แอนด์ อินฟอร์
ั ้
เมชันเซอร์วส จากัด (ทริส)
่ ิ
• พรบ. ว่าด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
– ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสือสาร เรือง หลักเกณฑ์
่ ่
การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผูให้บริการ พ.ศ. 2550
้

10. The Competent Officials : knowledge and qualification
Computer Forensic
Information Technology
Graduations/Experiences Computer Science
Information Security
Laws
Competent Official
Appointment by ICT Minister
after taking examination
Information Security Training
Qualifications Computer/Network Forencis
Training
Moral/Ethics Course
Law Enforcement Course
10

11. The 2010 State of Cybersecurity from the
Federal CISO’s Perspective — An (ISC)2 Report
11

12. Most Hacked Organizations
2007 Incidents by sector of attacked organization
12

13. Business Motivations For Hacking
Source from Breach Security 2007 Incidents by attack outcome
13

14. Leading IT and InfoSec Professional
Certification Institutes

15. CISSPs in Asia- South Korea: Highest in Asia
As of: 30/SEPT/07
China (400)
Macao (8)
Korea, South (2,003)
Thailand (91) Japan (883)
Hong Kong (1,311)
Indonesia (44)
Singapore (9)47 Philippines (112)
India (909)
Taiwan (238)
Sri Lanka (35) Malaysia (177)

16. DoD 8570.01-M
Information Assurance Workforce Improvement Program
December 19, 2005

17. DoD 8570.01-M
Information Assurance Workforce Improvement Program
May 15, 2008

18. Recent Standards/Guidelines
Topic Business ICT
Governance GRC, COSO (ERM)CG CobiT4.1 (ITG)
ISO 38500:2008 (ITG)
ISO 27014 (ISG)
ISO 27001:2005 (ISMS)
Risk BS31100:2008 (RM) BS7799-3:2006 (ISRM)
ISO13335-3,4:1998
ISO31000:2008 (RM) ISO27005:2008 (ISRM)
NIST SP800-30:2002 (ITRM)
Continuity FEMA141:1993 (EM) PAS 77:2006 (ITSCM)
Crisis PAS 56:2003 (BCI:BCMGPG) BS 25777:2008 (ICTCM)
BS 25999:2006 (BCM) ISO 24762:2008 (ICT DR)
ISO/PAS 22399:2007 (Societal security) NIST SP800-34:2002 (ITSC:DRP)
Others PAS 99:2006 (Integrated Management) ITILv3
ISO 20000 (ITSMS)

19. Relationship of Risk Managements

20. BCM
ISO 27002
Control 14.1
Information Continuity
management
ISO 27005
Risk Assessment
ISO 24762
ICT DR Services
Vendor Risk
Mgmt Mitigation Logical
DR site Access
Power Asset Control
Supply Mgmt Physical
Telecom Access
Fire Control
DR plan
Protection

21. Governance, Risk & Compliance - GRC
Source: A New Strategy for Success Through Integrated Governance, Risk and Compliance Management PWC white paper
Stakeholder Expectations
Governance
Key linkage Setting objectives, tone, policies, risk appetite
Objectives & and accountabilities. Monitoring performance.
Risk Appetite
Enterprise Risk Management
Key linkage Identifying and assessing risks that may affect the ability to
Risk Response achieve objectives and determining risk response strategies
& Control and control activities.
Activities
Compliance
Operating in accordance with objectives and ensuring
adherence with laws and regulations, internal policies and
procedures, and stakeholder commitments.
21
Laws Policies Procedures Processes/system People Tools &Technologies

22. GRC related best practices and compliance
SOX CobiT 4.1 GLBA HIPAA
ITSM ITAF/GTAG ISO/IEC 27001
Corporate Governance PCI DSS
IT Governance BS25999 (BCM)
ITIL & ISO/IEC 20000 ISO/IEC 27006
Basel II COSO (ERM) CCA/ETA
(C) Copyright 2007-2009, ACIS Professional Center Company Limited

23. Difference among IA, IT Audit, Infosec Audit and
System Security Audit
Internal
IT Audit InfoSec Audit System Security Audit
Audit
Audit scope Enterprise IT IS Security System specific
NIST(SPP800-53A,SP800-
Audit
COSO CobiT ISO27001 115),
Framework
NSA:IAM, OSSTMM
ITG, IT/Biz Security System security,
Audit objective CG
Alignment Governance hardening
Professional NSA:IAM,OPST, OPSA,
CIA CISA CISSP, IRCA:ISMS
Cert. CEH, SSCP, CSSLP
etc.

24. Information Technology (IT) Security
Essential Body of Knowledge (EBK)
A Competency and Functional Framework
for IT Security Workforce Development
September 2008
United States Department of Homeland Security

25. EBK Development Process
Refer to 53 Critical Work Function (CWF) from DoD IASS

26. Key Divisions
• 4 functional perspectives Functional Perspectives
• 14 competency areas 1. Manage
• 10 roles 2. Design
3. Implement
4. Evaluate

27. IT Security Roles
1. Chief Information Officer
2. Digital Forensics Professional
3. Information Security Officer
4. IT Security Compliance Officer
5. IT Security Engineer
6. IT Security Professional
7. IT Systems Operations and Maintenance
Professional
8. Physical Security Professional
9. Privacy Professional
10.Procurement Professional

28. Competency Areas (MDIE in each)
1. Data Security 8. Personnel Security
2. Digital Forensics 9. Physical and
3. Enterprise Continuity Environmental Security
4. Incident Management 10. Procurement
5. IT Security Training and 11. Regulatory and Standards
Awareness Compliance
6. IT System Operations and 12. Security Risk Management
Maintenance
13. Strategic Security
7. Network and Management
Telecommunication
Security 14. System and Application
Security

30. TISA EBK Analysis
IT Security Roles
Executive Functional Corollary
IT Security EBK:
A Competency and
IT Security Compliance Officer
Physical Security Professional
Digital Forensics Professional
Functional Framework
Information Security Officer
IT Systems Operations and
Procurement Professional
Maintenance Professional
Chief Information Officer
IT Security Professional
IT Security Engineer
Privacy Professional
Functional Perspectives
M - Manage
D - Design
I - Implement
E - Evaluate
M 11 12 0 1 2 1 0 1 3 1
D 2 7 1 3 4 6 4 2 6 1
I 0 1 2 5 8 3 4 4 4 1
E 3 10 14 3 5 7 2 3 5 1
Total Competency Units 16 30 17 12 19 17 10 10 18 4
Managerial Professional
Level Level
Entry Level

31. Your Competency Scorecard

32. Enterprise Infosec Competency Profile
* Organization assess Infosec competency
Enterprise requirement against EBK
Capability * Assess current competency within the
enterprise
* Identify competency gap  training
requirement, recruitment
EBK
Infosec training provider maps Training
training courses to EBK Provider

33. TISA Roadmap
2012
TISA Exam Thailand InfoSec
First Launch
2011
Local InfoSec Professional Council
TISET#1
Q1 Certification
TISA Level I,II,III
TISET Pilot Test 2010 (preparation for taking
Q4 Increase number of International InfoSec
InfoSec professional Certification)
across industries in
Thailand and Asia
2009 Pacific
TISA EBK
Assessment Exam
(Pilot Test)
Social Networking Security
33
Conference 2010

34. TISET Certification Roadmap
TISA IT Security – Essential Body of Knowledge (EBK) Test
Internal Audit, IT/GRC Technical / IT Practitioner
EXPERT IT Audit, InfoSec Audit Management
ADVANCE
International Certified IT & Information Security Professional
Good Step to take …
CISSP, SSCP, CISA, CISM, CSSLP, SANS GIAC
FOUNDATION (Localized)
on IT & Information Security TISA TISET Certification
Competencies Test
TISA TISET Exam
Social Networking Security
34
Conference 2010

35. Thank You

36. CyberCrime, CyberTerror,
CyberEspionage, and CyberWar
• What happened to Estonia was the first instance of cyber-warfare
against a specific government. Russia was suspected as the
instigator of the digital assault, a charge the Russian government
denied, but there was no reliable evidence to prove this.
• DDoS attacks had happened before, seemingly triggered by political
or other events. The latest such incident involved a DDoS attack on
US servers from what appeared to be Korean computers after a
South Korean contestant to the 2002 Winter Games in Salt Lake City
was disqualified.
• The cyber-attack against Estonia could have been orchestrated by
private individuals sympathetic to the Russian government or ethnic
Russian citizens in Estonia, although the obviously large financial
resource made available for the May 9-10 DDoS attacks places this
in some doubt.

37. องค์กรด้าน Cybersecurity ในประเทศใกล้เคียง
• สิงค์โปร์
– National Infocomm Security Committee (NISC) ทาหน้าทีกาหนดนโยบายและ
่
ยุทธศาสตร์ระดับชาติ โดย Infocomm Development Authority (IDA) ทาหน้าทีเป็ น
่
เลขาธิการคณะกรรมการชุดนี้
– Singapore Infocomm Technology Security Authority (SITSA) ขึน เพือ
้ ่
ั
ดาเนินการด้านปฏิบตการในแก้ไขปญหาด้าน Cybersecurity ของประเทศสิงคโปร์
ั ิ
• มาเลเซีย
– Cyber Security Malaysia เป็ นหน่วยงานทีมความเชียวชาญด้าน Cybersecurity
่ ี ่
ภายใต้ Ministry of Science, Technology and Innovation (MOSTI)
http://www.cybersecurity.my
• ออสเตรเลีย
– Cyber Security Policy and Coordination (CSPC) Committee ทางานด้านการกา
หรดนโยบายและแผนยุทธศาสตร์ระดับชาติ

39. Cyberwar History
1982: logic bomb in computer control systems cause the explosion of Soviet pipeline
1999: AF/91 caused Iraqi anti-aircraft guns malfunction
1999: USA has been attacked from computers and computer networks situated in China and Russia.
2006: Israel alleges that cyber-warfare was part of the conflict, where the Israel Defense Force (IDF) estimates several countries in the Middle
East used Russian hackers and scientists
2007: McAfee, Inc. alleged that China was actively involved in "cyberwar." China was accused of cyber-attacks on India, Germany, and the
United States
2007, April: Estonia came under cyber attack from Russia targeting ministries, banks, and media
2007, Sept.: Israel carried out an airstrike on Syria using a computer program designed to interfere with the computers of integrated air
defense systems
2007: US suffered "an espionage Pearl Harbor" in which an "unknown foreign power...broke into all of the high tech agencies, all of the
military agencies, and downloaded terabytes of information."
2007: Kyrgyz Central Election Commission was defaced during its election. The message left on the website read "This site has been hacked
by Dream of Estonian organization". During the election campaigns and riots preceding the election, there were cases of Denial-of-
service attacks against the Kyrgyz ISPs.
2008: Russian, South Ossetian, Georgian and Azerbaijani sites were attacked by hackers during the 2008 South Ossetia War.
2008: U.S. military facility in the Middle East. The Pentagon released a document, which reflected that a "malicious code" on a USB flash
drive spread undetected on Pentagon systems.
2009, March: a cyber spy network, GhostNet, using servers mainly based in China has tapped into classified documents from government and
private organizations in 103 countries
2009, July: a series of coordinated cyber attacks against major government, news media, and financial websites in South Korea and the United
States. From North Korea and UK
2009, Dec.: through January 2010, a cyber attack, dubbed Operation Aurora, was launched from China against Google and over 20 other
companies.
2010, May: Indian Cyber Army defacing Pakistani websites. In return 1000+ Indian websites were defaced by PakHaxors, TeaMp0isoN,
UrduHack & ZCompany Hacking Crew, among those were the Indian CID website
2010, Sept: Iran was attacked by the Stuxnet worm. The worm is said to be the most advanced piece of malware ever discovered and
significantly increases the profile of cyberwarfare.
2010, Oct.: Government Communications Headquarters (GCHQ), said Britain faces a “real and credible” threat from cyber attacks by hostile
states and criminals and government systems are targeted 1,000 times each month
2010, Nov.: Indian Cyber Army hacked the websites belonging to the Pakistan Army and ministries, as a revenge of the Mumbai terrorist
attack
2010, Dec.: Pakistan Cyber Army hacked the website of India's top investigating agency, the Central Bureau of Investigation (CBI).

40. การสร้ างความมันคงด้ านไซเบอร์ ในระดับชาติ
่
National Cybersecurity
• กาหนดนโยบายความั่นคงด้ านไซเบอร์ เป็ นส่ วนหนึ่งของนโยบาย
ความมั่นคงแห่ งชาติ จาเป็ นต้ องสร้ างยุทธศาสตร์ ด้านนีเ้ ป็ นหลัก
อย่ างหนึ่งในการปองกันประเทศ
้
• สร้ างความร่ วมมือภาครัฐและภาคเอกชน
• ปองกันการเกิดอาชญากรรมไซเบอร์ หรือทาให้ ลดจานวนลง
้
• สร้ างหน่ วยงานรับผิดชอบเหตุการณ์ ด้านความมั่นคงไซเบอร์
โดยตรง
• สร้ างวัฒนธรรมเกี่ยวกับความมั่นคงด้ านไซเบอร์

41. ข้อเสนอในการเตรียมการรับมือปัญหา
ด้าน cyber security
1 .จัดตั้งโครงการร่ วมมือข้ ามหน่ วยงานระหว่ างกระทรวง โดยมีงบประมาณ
สาหรั บ
• สร้ างระบบงานสารสนเทศที่ปลอดภัย, มั่นคง, และสามารถทางานได้ ต่อเนื่อง
แม้ เมื่อเกิดปั ญหาขึน
้
• นโยบาย, งานวิจัย, กฎหมาย,ข้ อบังคับต่ างๆที่จาเป็ น
• ความตระหนักถึงภัยและการปรั บวัฒนธรรมการทางานและการใช้ งาน
อินเทอร์ เน็ต
• ทักษะและการศึกษาที่จะทาให้ ร้ ู เท่ าทันโลกไซเบอร์
• การสร้ างขีดความสามารถที่สูงขึนของบุคลากร และการพัฒนางานวิจัยที่
้
เกี่ยวข้ องทางเทคนิค
• การร่ วมมือกับนานาประเทศในการแก้ ปัญหานี ้

42. ข้อเสนอ … (ต่อ)
2. ทางานอย่างใกล้ชิดกับกลุ่มต่างๆ 4. จัดตังศูนย์ปฏิบติการความันคง
้ ั ่
ทังทีเ่ ป็ นภาครัฐ ภาคเอกชน
้ ด้านไซเบอร์ (Cyber Security
อุตสาหกรรม กลุ่มสิทธิต่างๆ, Operations Centre - CSOC)
องค์กรสาธารณะ, และพันธมิตร
นานาชาติ • เผ้าดูสถานการณ์ในโลกไซเบอร์ที่อาจ
มีผลกระทบกับประเทศไทย และ
ประสานงานการโต้ตอบที่เหมาะสม
3. จัดตังสานักงานความมันคงด้าน
้ ่
ไซเบอร์ (Office of Cyber • สร้างความเข้าใจในประเด็นที่เกี่ยวข้อง
Security - OCS) ให้เป็ น กับการถูกโจมตีทางไซเบอร์ เพื่อทาให้
หน่ วยงานหลักในการกาหนด ผูเกี่ยวข้องต่างๆทราบว่าจะต้อง
้
แนวทางการดาเนินงานด้าน เตรียมตัวอย่างไร และจะต้องทาอะไร
ความมันคงปลอดภัยในภาครรัฐ
่ เมื่อถูกโจมตี
ทังหมด
้ • ให้คาแนะนาและข้อมูลข่าวสารที่
เกี่ยวกับความเสี่ยงต่อภาคธุรกิจและ
ประชาชนทัวไป ่