การประเมินความเสี่ยงของความต้องการด้านความมั่นคงของระบบสารสนเทศทางการธนาคารโดยอิงแบบรูปการโจมตี

Title	การประเมินความเสี่ยงของความต้องการด้านความมั่นคงของระบบสารสนเทศทางการธนาคารโดยอิงแบบรูปการโจมตี
Author	กฤษดา รองรัตน์
Imprint	2559
Connect to	http://cuir.car.chula.ac.th/handle/123456789/55596
Descript	-

SUMMARY

การประเมินความเสี่ยงด้านความมั่นคงถือเป็นกระบวนการที่สำคัญสำหรับการดำเนินงานของระบบสารสนเทศใด ๆ รวมถึงระบบในภาคการธนาคาร เมื่อธนาคารเริ่มต้นหรือดำเนินการโครงการระบบสารสนเทศ วิศวกรด้านความมั่นคงหรือนักวิเคราะห์ทางธุรกิจในโครงการจะดำเนินการตรวจสอบความสมเหตุสมผลของข้อกำหนดความต้องการด้านความมั่นคง ว่าเป็นไปตามข้อกำหนดด้านความมั่นคงของภาคการธนาคารหรือไม่ ก่อนที่จะมีการตรวจสอบโดยผู้ตรวจสอบ งานวิจัยนำเสนอวิธีการประเมินความเสี่ยงเบื้องต้นเพื่อช่วยทีมงานของโครงการในการตรวจสอบข้อกำหนดความต้องการด้านความมั่นคง โดยอาศัยการวิเคราะห์ความคล้ายคลึงกันของข้อความเพื่อระบุว่าข้อบังคับด้านความมั่นคงข้อใดที่ขาดหายไปจากความต้องการด้านความมั่นคงของธนาคารและมีการเสนอแบบจำลองความเสี่ยงเชิงปริมาณเพื่อกำหนดระดับความเสี่ยงที่เกี่ยวข้องกับข้อบังคับที่ขาดหายไปจากข้อกำหนดความต้องการ ระดับความเสี่ยงขึ้นอยู่กับระดับอันตรายใดๆ ที่อาจเกิดขึ้นจากการโจมตีระบบสารสนเทศเมื่อข้อบังคับด้านความมั่นคงที่ขาดหายไปนั้นไม่ได้รับการพัฒนาในระบบสารสนเทศ จากกรณีศึกษาในภาคการธนาคารในประเทศไทย ผู้วิจัยได้ประยุกต์ใช้วิธีที่เสนอในการประเมินความต้องการด้านความมั่นคงของธนาคารพาณิชย์ไทยกับแนวปฏิบัติที่ดีด้านเทคโนโลยีสารสนเทศของธนาคารแห่งประเทศไทย ผู้วิจัยประเมินประสิทธิภาพของการตรวจสอบการปฏิบัติตามข้อบังคับด้านความมั่นคงโดยใช้การวิเคราะห์ค่าเอฟ-เมเชอร์ และค่าความแม่น รวมทั้งตรวจสอบความสมเหตุสมผลของการประเมินความเสี่ยงโดยวิธีที่เสนอโดยใช้สหสัมพันธ์กับการประเมินความเสี่ยงโดยผู้เชี่ยวชาญด้านความมั่นคง จากผลการประเมินสรุปได้ว่า การตรวจสอบการปฏิบัติตามข้อบังคับด้านความมั่นคงมีประสิทธิภาพสูงมาก และผลการประเมินระดับความเสี่ยงจากข้อบังคับด้านความมั่นคงที่ขาดหายไป มีสหสัมพันธ์ในเชิงบวกกับผลการประเมินโดยผู้เชี่ยวชาญ
Security risk assessment is an important process for the implementation of any information systems including those in the banking sector. When a bank initiates or implements an information system project, requirements engineers or business analysts in the project conduct an initial validation of system security requirements to check if they comply with banking security regulations before an audit takes place. This research presents an initial risk assessment method to assist the project team in validating security requirements of a banking information system. Text similarity analysis is used to identify which security regulations are missing from the security requirements of the bank, and a quantitative risk index model is also proposed to determine the level of risk associated with the regulations missing from the requirements. The risk level is based on the harm any potential attacks can do to the information system if the missing regulations are not implemented. Using a case study of banking in Thailand, we apply the method to assess security requirements of Thai commercial banks against the IT Best Practices of the Bank of Thailand. We evaluate the performance of security compliance checking in terms of F-measure and accuracy, and validity of risk assessment in terms of correlation with security expert judgment. The evaluation results show that the performance of security compliance checking is very high and the level of risk resulting from the missing regulations has positive correlation with security expert judgment