ณ ฐว ฒ ว ศยท กษ ณ Nattawut Visayataksin

Transcription

1 การพ ฒนานโยบายด านความปลอดภ ยภายใต มาตรฐาน ISO27001 และการ บร หารความเส ยง มหาว ทยาล ยกร งเทพ Developing Security Policy Under standard ISO27001 and Risk management for Bangkok University ณ ฐว ฒ ว ศยท กษ ณ Nattawut Visayataksin สารน พนธ ฉบ บน เป นสวนหน งของการศ กษา ตามหล กส ตรว ทยาศาสตร มหาบ ณฑ ต สาขาว ชาว ศวกรรมเคร อขาย บ ณฑ ตว ทยาล ย มหาว ทยาล ยเทคโนโลย มหานคร ป การศ กษา 2554

2 ห วข อโครงงาน การพ ฒนานโยบายด านความม นคงปลอดภ ยภายใต มาตรฐาน ISO27001 และการบร หารความเส ยง มหาว ทยาล ยกร งเทพ น กศ กษา นายณ ฐว ฒ ว ศยท กษ ณ รห สน กศ กษา ปร ญญา ว ทยาศาสตรมหาบ ณฑ ต สาขาว ชา ว ศวกรรมเคร อขาย พ. ศ อาจารย ผ ควบค มโครงงาน ดร.บรรจง หะร งษ บทค ดยอ โครงงานการพ ฒนานโยบายด านความม นคงปลอดภ ยภายใต มาตรฐาน ISO27001 และ การบร หารความเส ยง มหาว ทยาล ยกร งเทพ เทคโนโลย สารสนเทศ ม ความสาค ญในการสงเสร ม การดาเน นงานขององค กร ด งน นองค กรควร คาน งถ งความเส ยง ท อาจจะเก ดข นจากเทคโนโลย สารสนเทศหร อความเส ยงท อาจกอให เก ด ผลกระทบก บองค กรไมมากก น อยซ ง มาจากการขาด ความตระหน กถ ง ความม นคงปลอดภ ยของ ระบบ เทคโนโลย สารสนเทศ และเคร อขาย คอมพ วเตอ ร ด งน นจ งจ ดทาโครงงานน ข น เพ อลดความเส ยงและสร างมาตรฐานสากลให ก บ องค กรให ได ร บความนาเช อถ อมากย งข น I

3 Project Title Developing Security Policy Under standard ISO27001 and Risk management for Bangkok University Student Nattawut Visayataksin Student ID Degree Master of Science Program Network Engineering Year 2011 Thesis Advisors Dr.Banchong Harangsri ABSTRACT In this paper, Bangkok University s Advanced Security Policy under ISO27001 and Risk Management is proposed. Because the Information Technology is important to encourage organization operating, the organ ought to consider on the information technology risk due to varied direct and indirect effects may be generated without any awareness of the information technology system and computer network security. Thereupon, this project is created to reduce even risk, produce international standard as well as built up the organization s reliability. II

4 ก ตต กรรมประกาศ ผ จ ดทาขอขอบพระค ณทานอาจารย ดร.บรรจง หะร งส อาจารย ท ปร กษา ซ งเส ยสละ เวลาอ นม คาในการให คาปร กษาเก ยวก บโครงงานน และรวมถ งคณาจารย ภาคว ชาว ศวกรรม เคร อขายท กทานท ได อบรมส งสอนว ชาความร แกผ จ ดทามาโดยตลอดและท สาค ญโครงงานน จะ ดาเน นไปไมได ถ าไมม มหาว ทยาล ยกร งเทพท ได ให โอกาสผ จ ดทาได สน บสน นให จ ดทาโครงงาน น ค ณคาและประโยชน ท เป น ผลจากโครงงานน ผ จ ดทาโครงงานขอมอบแดอาจารย ท ก ทาน ด วยความเคารพย ง ณ ฐว ฒ ว ศยท กษ ณ III

5 สารบ ญ บทค ดยอภาษาไทย I บทค ดยอภาษาอ งกฤษ II ก ตต กรรมประกาศ III สารบ ญ IV สารบ ญ (ตอ) V สารบ ญตาราง VI สารบ ญร ป VIl สารบ ญร ป (ตอ) VIll สารบ ญร ป (ตอ) IX สารบ ญร ป (ตอ) X บทท 1 บทน า ความเป นมาและม ลเหต จ งใจในการเสนอโครงงาน ว ตถ ประสงค ของโครงงาน ขอบเขตของโครงงาน ประโยชน ท คาดวาจะได ร บ ระยะเวลาในการดาเน นงาน 3 บทท 2 ความร พ นฐาน มาตรฐาน ISO/IEC ค ออะไร!? Risk Management (การบร หารจ ดการความเส ยง) Risk Treatment (การควบค ม / แก ไขความเส ยง) 10 บทท 3 การดาเน นงาน การออกแบบข นตอน 16 บทท 4 ผลการดาเน นงาน ข อม ลเบ องต น ศ นย คอมพ วเตอร มหาว ทยาล ยกร งเทพ ผลการสารวจ: ความเส ยงป จจ บ น การแก ไขลดความเส ยงขององค กร การประเม ณความเส ยงและว เคราะห หล งทาโครงการ 129 บทท 5 สร ปผลโครงงาน 5.1 สร ปผลการดาเน นงานโครงงาน อ ปสรรคในการดาเน นโครงงาน 195 หน า IV

6 เอกสารอ างอ ง 32 ภาคผนวก ภาคผนวก ก นโยบายความม นคงปลอดภ ยระบบเทคโนโลย สารสนเทศขององค กร V

7 สารบ ญตาราง หน า ตารางท 1.1 ระยะเวลาในการดาเน นงาน 2 ตารางท 2.1 คานวณความเส ยง 11 ตารางท 4.1 บ คลากรแตละแผนกสามารถจาแนกตามค ณว ฒ 19 ตารางท 4.2 ช อผ บร หารหนวยงาน 19 ตารางท 4.3 เกณฑ ท ใช ในการประเม นระด บโอกาสในการเก ดความเส ยง 24 ตารางท 4.4 เกณฑ ท ใช ในการประเม นระด บของผลกระทบ(Impact) 25 ตารางท 4.5 ระด บความร นแรงของผลกระทบความเส ยงแผนผ งประเม นความเส ยง 25 ตารางท 4.6 ระด บการประเม ณความเส ยง 26 ตารางท 4.7 การประเม ณความเส ยงและว เคราะห กอนทาโครงการ 27 ตารางท 4.8 สร ปผลการประเม ณความเส ยงกอนเร มโครงการ 77 ตารางท 4.9 รายการเปล ยนอ ปกรณ Switch แทน Hub 89 ตารางท 4.10 Access Point Location 108 ตารางท 4.11 เล อกโดเมนในการกาหนดนโยบายกอน 129 ตารางท 4.12 การประเม ณความเส ยงและว เคราะห หล งทาโครงการ 131 ตารางท 4.13 สร ปผลการประเม ณความเส ยงหล งดาเน นโครงการ 180 VI

8 สารบ ญร ป หน า ร ปท 1.1 ISO Family 5 ร ปท 2.1 CIA 12 ร ปท 2.3 PDCA 14 ร ปท 4.1 แผนผ งโครงสร างองค กร 20 ร ปท 4.2 Network Diagram 22 ร ปท 4.3 ลงนามนโยบาย 22 ร ปท 4.5 Domain A5 81 ร ปท 4.6 Domain A6 81 ร ปท 4.7 Domain A7 82 ร ปท 4.8 Domain A8 82 ร ปท 4.9 Domain A9 83 ร ปท 4.10 Domain A10 83 ร ปท 4.11 Domain A11 84 ร ปท 4.12 Domain A12 84 ร ปท 4.13 Domain A13 85 ร ปท 4.13 Domain A14 85 ร ปท 4.14 Domain A15 86 ร ปท 4.15 รวมความเส ยงกอนดาเน นโครงงาน 86 ร ปท 4.16 Change HUB to Switch 89 ร ปท 4.17 Link aggregation 91 ร ปท 4.18 show etherchannel summary 91 ร ปท 4.19 show run port-channel 92 ร ปท 4.20 Etherchannel Building 2 92 ร ปท 4.21 Etherchannel Surat Building 92 ร ปท 4.22 Test Cross Vlan 93 ร ปท 4.23 Show ip eigrp neighbors 93 ร ปท 4.24 Show ip eigrp neighbors 2 94 ร ปท 4.25 Show Run CAT 94 ร ปท 4.26 Show Run Gi 9/12 94 VII

9 ร ปท 4.27 Show ip int br 94 ร ปท 4.28 Configure Vlan ร ปท 4.29 sh ip int br gi 1/0/4 95 ร ปท 4.30 sh ip arp 95 ร ปท 4.31 Test ping 95 ร ปท 4.32 internet Diagram 96 ร ปท 4.33 Old Firewall 97 ร ปท 4.34 Old Firewall 2 97 ร ปท 4.35 New Firewall 98 ร ปท 4.36 Old Management 98 ร ปท 4.37 New Firewall Diagram 99 ร ปท 4.38 join with active directory 99 ร ปท 4.39 Log New Firewall 100 ร ปท 4.40 Smart View Tracker 100 ร ปท 4.41 SSH generate key 101 ร ปท 4.42 configure username 101 ร ปท 4.43 Putty Login 101 ร ปท 4.44 Test Login Surat 102 ร ปท 4.45 Old IOS 102 ร ปท 4.46 SSH for Wireless 103 ร ปท 4.47 show ntp status 103 ร ปท 4.48 show ntp associations 103 ร ปท 4.49 Old Switch C ร ปท 4.50 New Switch ร ปท 4.51 No Access Control 105 ร ปท 4.52 ต ดต ง Access Control 105 ร ปท 4.53 ต ดต ง Access Control หน าห องสาน กงาน 106 ร ปท 4.54 ต ดต ง Access Control หน าห องเก บอ ปกรณ ห องสงมอบอ ปกรณ 106 ร ปท 4.55 สารวจแนวเด นสายส ญญาณ 107 ร ปท 4.56 Rack ยกส ง 109 ร ปท 4.57 New Outlet 109 ร ปท 4.58 Kaspersky License 111 ร ปท 4.59 Kaspersky Adminstration Kit ร ปท 4.60 Kaspersky Adminstration Kit VIII

10 ร ปท 4.61 Kaspersky License Re Check 113 ร ปท 4.62 Kaspersky Anvirus Client ร ปท 4.63 Kaspersky Anvirus Report 114 ร ปท 4.64 SonlarWinds TFTP Server 114 ร ปท 4.65 NTP Server Old 115 ร ปท 4.66 NTP Server RAM Problem 116 ร ปท 4.67 NTP Server Boot 116 ร ปท 4.68 LinuxSIS ร ปท 4.69 CentOS ร ปท 4.70 Sync NTP Server 118 ร ปท 4.71 DNS Server 119 ร ปท 4.72 DNS Server Test 120 ร ปท 4.73 File Server Permission 121 ร ปท 4.74 Security Folder 121 ร ปท 4.75 Security Print 122 ร ปท 4.76 Security Center Folder 122 ร ปท 4.77 IT Callcenter 123 ร ปท 4.78 ด านหน าของ SAN 125 ร ปท 4.79 ด านหล งของ SAN 125 ร ปท 4.80 แสดงตาแหนงการป ดสว ตช ท ง 2 จ ด 126 ร ปท 4.81 แสดงตาแหนงการป ดสว ตช ท ง 2 จ ด ด านหน า 126 ร ปท 4.82 แสดงตาแหนงการป ดสว ตช ท ง 2 จ ด ด านหล ง 127 ร ปท 4.83 จ ดป ดของ Core switch 127 ร ปท 4.84 ว ธ ป ด Core switch 128 ร ปท 4.85 Monitor Network 128 ร ปท 4.86 Label สายส ญญาณเคร อขาย 129 ร ปท 4.87 บ นท กระบบเคร อขาย 130 ร ปท 4.88 สร ปบ นท กระบบเคร อขาย 130 ร ปท 4.88 หล งดาเน นโครงงาน A5 180 ร ปท 4.89 หล งดาเน นโครงงาน A6 181 ร ปท 4.90 หล งดาเน นโครงงาน A6 181 ร ปท 4.91 หล งดาเน นโครงงาน A8 182 ร ปท 4.92 หล งดาเน นโครงงาน A9 182 ร ปท 4.93 หล งดาเน นโครงงาน A IX

11 ร ปท 4.94 หล งดาเน นโครงงาน A ร ปท 4.95 หล งดาเน นโครงงาน A ร ปท 4.96 หล งดาเน นโครงงาน A ร ปท 4.97 หล งดาเน นโครงงาน A ร ปท 4.98 หล งดาเน นโครงงาน A ร ปท 4.99 เปร ยบเท ยบความเส ยง A5 186 ร ปท เปร ยบเท ยบความเส ยง A6 186 ร ปท เปร ยบเท ยบความเส ยง A7 187 ร ปท เปร ยบเท ยบความเส ยง A8 187 ร ปท เปร ยบเท ยบความเส ยง A9 188 ร ปท เปร ยบเท ยบความเส ยง A ร ปท เปร ยบเท ยบความเส ยง A ร ปท เปร ยบเท ยบความเส ยง A ร ปท เปร ยบเท ยบความเส ยง A ร ปท เปร ยบเท ยบความเส ยง A ร ปท เปร ยบเท ยบความเส ยง A ร ปท 5.1 แผนกลย ทธ ของมหาล ยว ทยาล ยเสร มสร างความเป นสากลและมาตรฐานสากล 193 ร ปท 5.2 พ นธก จของศ นย คอมพ วเตอร ให เป นมาตรฐานสากล 194 ร ปท 5.3 กลย ทธ หนวยงาน น ามาตรฐานด านระบบไอท มาปร บใช ในกระบวนการทางาน 195 X

12 1 บทท 1 บทน า 1.1 ความเป นมาและม ลเหต จ งใจในการเสนอโครงงาน ระบบเทคโนโลย สารสนเทศในป จจ บ น ม ความเส ยงท จะถ กการโจมตต และภ ยค กคามในร ปแบบ ตางๆ มากมาย โดยแนวโน มก เพ มมากข นเร อยๆ ด งน นองค กรตางๆ จ งม ความจาเป นท จะต องเพ มความ ม นคงปลอดภ ยให ก บระบบเทคโนโลย สารสนเทศขององค กร เพ อป องก นความเส ยหายท จะเก ดข นก บธ รก จ ขององค กรและม ข ดความสามารถในการแขงข นในด านเทคโนโลย สารสนเทศมากย งข น โดยองค กรท จะจ ดทาโครงงานน เป นสถาบ นศ กษาขนาดใหญซ งมาจานวนผ ใช งานระบบเทคโนโลย สารสนเทศจานวนมากในแ ตละว น แตย งไมม การจ ดทานโยบายการร กษาความม นคงปลอดภ ยของระบบ เทคโนโลย สารสนเทศและกระบวนการท เป นร ปธรรมท ช ดเจน ซ งต วผ จ ดทาโครงงานซ งเป นผ ด แลระบบ ต องการพ ฒนากระบวนการและดาเน นการจ ดทานโยบายการร กษาความม นคงปลอดภ ยระบบเทคโนโลย สารสนเทศให เป น ข นตอนสาหร บปฏ บ ต เพ อใช ภายในองค การข น เพ อให องค กรม ความม นคงปลอดภ ยของ ระบบเทคโนโลย สารสนเทศสเถ ยรภาพมากย งข น 1.2 ว ตถ ประสงค ของโครงงาน 1.เพ อร เร มรางนโยบายการร กษาความม นคงความปลอดภ ยเทคโนโลย สารสนเทศข นโดยอ างอ งตาม มาตรฐาน ISO27000 เพ อเป นบรรท ดฐานและแนวทางปฏ บ ต ให ก บการทางานของผ ด แลระบบและผ เก ยวข อง 2.เพ อเป นการลดและป องก นภ ยค กคามท ม โอกาสท จะเก ดข นก บระบบเทคโนโลย สารสนเทศของ องค กรท งภายในและภายนอก เพ อให องค กรสามารถดาเน นงานตอไปได อยางม ประส ทธ ภาพ 3.เพ อปร บปร งให ระบบเทคโนโลย สารสนเทศขององค กรม สเถ ยรภาพ ความนาเช อถ อและพร อมใน การให บร การจากผ ใช งานระบบเทคโนโลย สารสนเทศขององค กรมากย งข น 1.3 ขอบเขตของโครงงาน 1.ร เร มจ ดทานโยบายการร กษาความม นคงปลอดภ ยของระบบเทคโนโลย สารสนเทศโดนเน นท ระบบ เคร อขายเป นหล กสาหร บเป นแนวทางในการใช งานภายในองค กรข น โดยเป นต นแบบของนโยบายร กษา ความม นคงปลอดภ ยของระบบเทคโนโลย สารสนเทศขององค กรเพ อองค กรสามารถน าไปพ ฒนาและตอยอด ตอไป 2.ตรวจสอบระบบเทคโนโลย สารสนเทศโดนเน นท ระบบเคร อขายเป นหล ก ค นหาจ ดเส ยงท จะทาให เก ดภ ยค กคามหร อความเส ยงตางๆ ทารายงานสร ปผลโดยทาการว เคราะห ข อม ล ของระบบเทคโนโลย สารสนเทศขององค กรเพ อ น าไปพ ฒนาตอยอดในการ จ ดทากระบวนการ ทางานภายในศ นย คอมพ วเตอร มหาว ทยาล ยกร งเทพตอไป 1.4 ประโยชน ท คาดวาจะได ร บ 1.ทาให ได กรอบหร อโครง ของการบร หารระบบเทคโนโลย สารสนเทศขององค กร และเป นกรอบด าน เทคน คของการควบค มด แล บาร งร กษาและพ ฒนาระบบเทคโนโลย สารสนเทศขององค กร 2.ทาให ระบบเทคโนโลย สารสนเทศขององค กรม ความนาเช อถ อมากย งข น ม ความม นคงปลอดภ ย มากย งข น

13 2 3.ลดและป องก นความเส ยงท อาจจะกอให เ ก ดผลกระทบในการดาเน นงานขององค กร ม การเตร ยม ความพร อม ม แนวทางในการจ ดการก บป ญหาท อาจจะเก ดข น 4.ม การตระหน กถ ง PDCA มากข น ศ นย คอมพ วเตอร ให ความสาค ญก บกระบวนการทางานท เป น ระบบระเบ ยบมากข น 1.5 ระยะเวลาในการดาเน นงาน ตารางท 1.1 ระยะเวลาในการดาเน นงาน การดาเน นงาน พ.ค. ม.ย. ก.ค. ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค. 1. ศ กษาค นคว าและรวบรวม ข อม ล - ศ กษาค นคว ามาตรฐาน ISO/IEC ศ กษารวบรวมข อม ลองค กร กรณ ศ กษา -เข ารวมประช ม ขออน ม ต ดาเน นการก บทางผ บร หาร 2. ว เคราะห และประเม น ความเส ยง - น า Checklist มาทาการ ตรวจสอบ - จ ดทานโยบายร กษาความ ปลอดภ ย 3. แก ไขความเส ยง - จ ดต งเคร องแมขาย - ปร บปร งระบบเคร อขาย 4. จ ดทานโยบายร กษาความ ปลอดภ ยต นแบบ 5. ทดสอบระบบ - ตรวจสอบผลการทดลอง เก บผลการทดสอบ น ามา ประเม นผล 6. สร ปและจ ดทารายงาน

14 3 บทท 2 ความร พ นฐาน (Backgrounds) มาตรฐาน ISO/IEC ค ออะไร!? ISO/IEC 27001:2005 (Information Security Management System: ISMS) เป นมาตรฐานท ม ความสาค ญเพ อให ธ รก จดาเน นไปอยางตอเน อง ซ งข อกาหนดตางๆ กาหนดข นโดยองค กรท ม ช อเส ยงและม ความนาเช อถ อระหวางประเทศ ค อ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) เป นมาตรฐานการจ ดการข อม ลท สาค ญเพ อให ธ รก จ ดาเน นไปอยางตอเน อง มาตรฐานน เป นมาตรฐานสากลท ม งเน นด านการร กษาความม นคงปลอดภ ยให ก บ ระบบสารสนเทศขององค กร และใช เป นมาตรฐานอ างอ งเพ อเป นแนวทาง ในการเสร มสร างความม นคง ปลอดภ ยให ก บระบบสารสนเทศขององค กรอยางแพรหลาย โดยแบงเน อหาออกเป น 11 ห วข อใหญๆ (Domain) ซ งแตละห วข อประกอบด วยว ตถ ประสงค จานวนแตกตางก น รวมแล วจานวน 39 ว ตถ ประสงค (Control objectives) และภายใต ว ตถ ประสงค แตละข อประกอ บด วยมาตรการในการร กษาความม นคง ปลอดภ ยแตกตางก นรวมแล ว 133 ข อ ซ งสามารถน าไปประย กต ใช เพ อร กษาความม นคงให ก บระบบ สารสนเทศขององค กร การประย กต ใช ISMS จะชวยให ก จกรรมทางระบบเทคโนโลย สารสนเทศ ดาเน นการ ได อยางตอเน องไมสะด ด สามารถใช ได ก บท กกล มอ ตสาหกรรมและท กกล มธ รก จ หล กการของการออกแบบ โครงสร างระบบ ISO/IEC27001:2005 จะใช อ างอ ง ร ปแบบ PDCA Model (Plan Do Check Action) ซ งเป น โครงสร างเด ยวก บ ระบบการบร หารท เป นสากลท ใช ก นท วโลก เชน ระบบการจ ดการค ณภาพ (ISO 9001:2000) ระบบการจ ดการ ส งแวดล อม (ISO14001:2004) ระบบการจ ดการค ณภาพสาหร บอ ตสาหกรรม รถยนต (ISO/TS ระบบการจ ดการจ ดการค ณภาพสาหร บอตสาหกรรมอาหาร (ISO 21001) เป นต น ซ งองค ท ม การประย กต ระบบการจ ดการตางๆน แล ว จะสามารถตอยอดระบบ ISO/IEC27001:2005 ได เร ว และงายข น แตสาหร บองค กรท ย งไมม ระบบการจ ดการใดๆ ก ใชวาจะประย กต ใช ยากเพราะ ระบบ ม การเข ยน ท เข าใจงายและแบงหมวดให งายตอความเข าใจตาม PDCA อย แล วเพ ยงแตต องทาความเข าใจก บระบบให มากข น

15 4 กอนท จะมาเป นมาตรฐานสากลน มาตรฐาน ISO/IEC ได ปร บปร งมาจากมาตรฐานเด มท ช อ วา BS และ ISO 17799:2000 ตามลาด บ มาตรฐานน จะประกอบด วยเลขหมายในตระก ล อ ก หลายเลขลาด บ ร ปท 1.1 ISO Family ความร เก ยวก บ ISO27000 Family IS Fundamentals and Vocabulary ม ว ตถ ประสงค เพ อแสดง ศ พท และน ยาม (Vocabulary and Definitions) ท ใช ในมาตรฐาน น นค อ ศ พท บ ญญ ต (Terminology) ท งหลายท ใช ในมาตรฐานการจ ดการด านความม นคงปลอดภ ยสารสนเทศ (Information Security Management Standards- ISMS) ISO ISMS Requirements ISO กาหนดมาตรฐานท จาเป นของ ISMS ได แก ค ณล กษณะเฉพาะ (Specification) ซ งองค กร ท งหลายจะต องขอร บ "ใบร บรอง" (Certificate) จากหนวยงานภายนอก วาได ม "การปฏ บ ต ตามข อกาหนด (Compliance)" เหลาน แล ว อยางเป นทางการ

16 5 ISO Code of Practice ISO จะเป นช อเร ยกใหมของ ISO ซ งเด มเร ยกวา "BS 7799 Part 1" เป นมาตรฐานแสดง หล กปฏ บ ต สาหร บ ISM (Code of practice for Information Security Management) ท อธ บายว ตถ ประสงค ของระเบ ยบว ธ การควบค มด าน IS ท งหลายอยางละเอ ยด และแสดงรายการว ธ ปฏ บ ต ท ด ท ส ด ของการ ควบค มความม นคงปลอดภ ย (Best-practice security controls) ISO ISMS Implementation Guidelines ISO จะเป นแนวทางประย กต ใช มาตรฐาน (Implementation guide) ISO ISM Measurements ISO จะเป นมาตรฐานการว ด ISM เพ อท จะชวยว ดประส ทธ ภาพหร อประเม นผลท เก ดจากการน า ISMS ไปใช ISO ISMS Risk Management ISO เป นมาตรฐาน "การบร หารจ ดการความเส ยงด าน IS (Information Security Risk Management)" ซ งจะมาแทนท มาตรฐานเด ม ได แก "BS 7799 Part 3" ISO ISMS Accreditation Guidelines ISO จะเป นแนวทางปฏ บ ต สาหร บกระบวนการ ออกใบร บรอง (Certification process) หร อการ ลงทะเบ ยน (Registration process).ให ก บหนวยงานท เก ยวข อง (ISMS certification/registration bodies) มาตรฐาน ISO/IEC27001 น ป จจ บ นได ร บความน ยมอยางแพรหลาย เน องจากประกอบด วยวงจร Plan-Do- Check-Act และใช แนวทางการประเม นความเส ยงมาประกอบการพ จารณาหาว ธ การหร อมาตรการเพ อ ป องก น ลดความเส ยง และร กษาทร พย ส นสารสนเทศท ม คาขององค กรให ม ความม นคงปลอดภ ยในระด บท เหมาะสม

17 6 ห วข อสาค ญหร อ 11 โดเมนหล กในมาตรฐานม ด งน 1. นโยบายความม นคงปลอดภ ยขององค กร (Security policy) 2. โครงสร างความม นคงปลอดภ ยภายในองค กร (Organization of information security) 3. การจ ดหมวดหม และควบค มทร พย ส นขององค กร (Asset management) 4. มาตรฐานของบ คลากรเพ อสร างความปลอดภ ยให ก บองค กร (Human resources security) 5. ความปลอดภ ยทางด านกายภาพและส งแวดล อมขององค กร (Physical and environmental security) 6. การบร หารจ ดการด านการส อสารและการดาเน นงานของเคร อขายสารสนเทศขององค กร (Communications and operations management) 7. การควบค มการเข าถ งระบบสารสนเทศขององค กร (Access control) 8. การพ ฒนาด แลระบบสารสนเทศ (Information systems acquisition, development and maintenance) 9. การบร หารจ ดการเหต การณ ละเม ดความม นคงปลอดภ ย (Information security incident management) 10. การบร หารความตอเน องในการดาเน นงานขององค กร (Business continuity management) 11. การปฏ บ ต ตามข อกาหนดทางด านกฎหมายและบทลงโทษของการละเม ดนโยบาย (Compliance) Risk Management (การบร หารจ ดการความเส ยง) กระบวนการในการบร หารจ ดการความเส ยง จะประกอบด วย 2 สวนหล กๆ ค อ 1.Risk Assessment (การประเม นความเส ยง) 2.Risk Treatment (การควบค ม / แก ไขความเส ยง) Risk Management vs. ISO กระบวนการในการบร หารจ ดการความเส ยงเป น Requirement หน งในการจ ดทาระบบ ISMS (Information Security Management Systems) ตามมาตรฐาน ISO และถ อเป นสวนสาค ญท ม ผล อยางมากตอความสาเร จและความม ประส ทธ ภาพ ของระบบ ISMS โดยต วมาตรฐาน ISO น น เป ด กว างและม ได ม การระบ ถ งว ธ การท จะต องใช ในการจ ดการความเส ยง แตอยางใด ซ งว ธ การหร อ Approach ใน การบร หารจ ดการความเส ยงของแตละองค กรอาจม ความแตกตางก นไปได หลากหลายว ธ ข นก บล กษณะการ ดาเน นธ รก จ, ขนาดขององค กร, นโยบายของผ บร หาร เป นต น โดยในบทคว ามน จะกลาวถ งหล กการและ แนวความค ด ของการบร หารจ ดการความเส ยงอยางกว างๆ โดยม ได อ างอ งถ งว ธ การของตาราใดโดยเฉพาะ ความเส ยง (Risk) หมายถ ง เหต การณ ท ม โอกาสเก ดข นได และทาให เก ดความเส ยหายตอทร พย ส น สารสนเทศขององค กร เชน ไวร สทาให ข อม ลเส ยหา ย ข อม ลสาค ญถ กขโมยซ งอาจทาให องค กรส ญเส ยข อ ได เปร ยบด านการแขงข น หน าเว บไซต ถ กเปล ยนแปลงแก ไขซ งอาจทาให องค กรเส ยช อเส ยง การประเม นความเส ยง (Risk assessment) หมายถ ง การกาหนดเหต การณ ความเส ยงท ม โอกาศ เก ดข นได กาหนดระด บของผลกระทบหากเหต การณ ความเส ยงน นเก ดข นจร ง และกาหนดคาความเส ยงของ เหต การณ ความเส ยงน น การประเม นความเส ยงม จ ดประสงค เพ อคาดการณ วาม เหต การณ ความเส ยงใดบ างท

18 7 เก ยวข องก บทร พย ส นสารสนเทศหน ง และม ระด บความเส ยงมากน อยเพ ยงใด ท งน เพ อจะได เตร ยมก ป องก นไว กอนกอนท เหต การณ ความเส ยงน นจะเก ดข นจร งและทาให องค กรเก ดความเส ยหาย าร ระด บความเส ยงท ยอมร บได (Risk appetite หร อ Acceptable level of risk) หมายถ ง คาความเส ยง ท หากการประเม นเหต การณ ความเส ยงหน งม คาน อยกวาคาท ยอมร บได น จะถ อวาทร พย ส นสารสนเทศท เก ยวข องก บเหต การณ ฯ ม ความม นคงปลอดภ ยเพ ยงพอ (และผ ประเม นความเส ยงไมจาเป นต องน าเสนอ แผนการลดความเส ยงใดๆ เพ มเต ม) แผนการลดความเส ยง (Risk treatment plan) หมายถ ง แผนการจ ดการก บเหต การณ ความเส ยงสาหร บกรณ ท ผ ประเม นความเส ยงได ประเม นเหต การณ ความเส ยงหน งและพบวาม ความเส ยงเก นกวาระด บความเส ยงท ยอมร บได ผ ประเม นความเส ยงจะต องน าเสนอแผนการจ ดการด งกลาวตอห วหน างานเพ อพ จารณาอน ม ต กอน ดาเน นการ ใน Risk Assessment (การประเม นความเส ยง) ความเส ยง (Risk) ท กลาวถ งในท น จะหมายถ ง ความเส ยงร ปแบบตางๆ ท อาจกอให เก ดผลเส ยหาย ตอข อม ลสาค ญและระบบ / อ ปกรณ ตางๆ ท สน บสน นการทางานให ก บข อม ลสาค ญน อย โดยข นตอนน จะเป น ข นของการประเม นระด บของความเส ยง (Risk Level) ท ม ท งหมดตอข อม ลและทร พย ส นตางๆ ขององค กร เพ อน าความเส ยงท เก นระด บท องค กรสามารถยอมร บได ไปดาเน นการควบค มและแก ไขความเส ยงในข นตอน ตอไป ระด บของความเส ยง (Risk Level) โดยปกต ระด บของความเส ยงจะพ จารณาจาก 2 ป จจ ย ค อ 1.ความนาจะเป น (Probability) ในการท จะเก ดภ ยค กคามใดๆ ข น และกอให เก ดความเส ยหายตอ ข อม ลและทร พย ส น ขององค กร ซ งโดยปกต จะคานวณคาโดยพ จารณาจากการว เคราะห ภ ยค กคาม / จ ดออน ( Threat / Vulnerability Assessment) ท ม ตอข อม ลและทร พย ส นขององค กร รวมก บการพ จารณาถ งว ธ การ ควบค ม / แก ไขความเส ยง ท ม อย ในป จจ บ น (Existing Control) 2.ความร นแรง (Severity) ของความเส ยหายท อาจเก ดข น ซ งโดยปกต จะคานวณคาโดยการ พ จารณาจาก ระด บความสาค ญ ของข อม ลหร อทร พย ส นน นๆ ท ม ตอองค กร Quantitative vs. Qualitative การประเม นความเส ยงโดยสวนมาก จะทาการประเม นและให คาตางๆ ในเช ง Qualitative เน องจาก ผลกระทบตางๆ ท อาจเก ดข นตอข อม ลและทร พย ส นขององค กรน น นอกจากอาจจะกอให เก ดความเส ยหายใน ด านของต วเง น (ท สามารถว ดได ในเช ง Quantitative) แล ว ย งม ความเส ยหายบางอยาง เชน ช อเส ยงและ ภาพล กษณ ขององค กร, การเส ยโอกาสในเช งธ รก จ ซ งอาจจะประเม นคาเป นต วเง นได ลาบาก หร อไมสามารถ

19 8 ประเม นคาได ด งน นจ งน ยมใช การประเม นคาแบบ Qualitative เป น High, Medium และ Low ( 3 ระด บ) หร ออาจใช ถ ง 5 ระด บ หร อ 7 ระด บ ตามความเหมาะสมของแตละองค กร Threat ( ภ ยค กคาม) โดยปกต เม อพ ดถ งภ ยค กคาม จะหมายถ ง ป จจ ยจาก ภายนอก ท อาจเข ามาทาร ายหร อกอให เก ด ความเส ยหายตอข อม ลและทร พย ส น ขององค กร ภ ยค กคามน อาจแบงได เป นหลายประเภท ยกต วอยางเชน 1.ภ ยค กคามจากคน (ภายในองค กร) เชน การฉ อโกง, การทางานผ ดพลาด 2.ภ ยค กคามจากคน (ภายนอกองค กร) เชน การ Hack, Social Engineering ( เชน การหลอกถามข อม ล ), การกอว นาศกรรม, การโจรกรรม 3.ภ ยธรรมชาต เชน น าทวม, แผนด นไหว 4.ภ ยค กคามจากสภาพแวดล อมท ไมเหมาะสม เชน น าร ว, ฝ นละออง, สารเคม Vulnerability ( จ ดออน) การพ จารณาถ ง จ ดออน หร อ Vulnerability น น จะพ จารณาจากป จจ ย ภายใน ขององค กร หร อจ ดออนของต ว ข อม ลและทร พย ส น น นๆ โดยปกต Threat และ Vulnerability จะต องถ กพ จารณาควบค ก นไป เพราะถ าม ภ ย ค กคามจากป จจ ยภายนอกอย จร ง แตต วข อม ล, ทร พย ส น และระบบของเราไมม จ ดออน ภ ยค กคามน นๆ ก ไม สามารถทาอ นตรายหร อกอให เก ดความเส ยหายได เชน ถ าภ ยค กคามค อพน กงานท ถ กเล กจ างหร อลาออกไป แล วอาจใช User Account ของตนท เคยม อย มา Login เข าเพ อขโมยข อม ลหร อ กระทาการใดๆ ท ไมประสงค ด ตอระบบคอมพ วเตอร ขององค กร จ ดออนในท น ก ค อ การท องค กรไมลบหร อเพ กถอนส ทธ ของบ คคล ท ถ ก เล กจ างหร อลาออกจากองค กรไปแล วโดยท นท ด งน นถ าองค กรม กระบวนการในการเพ กถอนส ทธ การเข า ระบบท นท ท พน กงาน ลาออก ภ ยค กคามน ก ไมสามารถทาอ นตรายตอระบบและข อม ลขององค กรได การค นหาเพ อระบ ถ ง จ ดออน หร อ Vulnerability ของระบบภายในองค กรน น ในบางท อาจต องใช ว ธ ทาง เทคน คเข ามาชวย เพ อค นหา จ ดออนในเช ง Logical ของระบบ เชน การทา Vulnerability Assessment ให ก บระบบ IT ขององค กร การว เคราะห และประเม นความเส ยงของระบบ การว เคราะห (Analyze) และ ตรวจสอบ (Audit) ระบบ ถ อเป นการประเม นความเส ยง (Risk Assessment) ให ก บระบบ เพ อด วาระบบของเราม ความแข งแกรงตอการโจมต ของผ ไมประสงค ด ไวร ส หร อ ความเหมาะสมสภาพแวดล อมเพ ยงใด การว เคราะห และประเม นความเส ยงเป นข นตอนแรกท ต องปฏ บ ต ท ง จะรวมถ งการว เคราะห ตรวจหาชองโหวในระบบ ท เร ยกวา Vulnerability Assessment และการทดสอบเจาะ ระบบเพ อน าเอาข อม ลสาค ญ เชน ย สเซอร เนม พาสเว ร ด ออกมาจากระบบโดยการทดลองแฮก (Ethical Hacking) เสม อนวาม แฮกเกอร เข ามาเจาะระบบซ ง เร ยกวา Penetration Testing Vulnerability Assessment ค อ การว เคราะห ตรวจหาชองโหวในระบบ โดยใช Security Tools ตางๆ ในการ Scan เพ อตรวจหาชองโหวของระบบ Vulnerability Scanner ท ใช ในการประเม นความเส ยง เชน Nessus, Super Scan เป นต น Penetration Testing ค อ การทดสอบเจาะระบบเพ อน าเอาข อม ลท สาค ญ เชน Username และ password ออกมา การทา Penetration Testing น นจะรวมไปถ งการทดสอบความแข งแกรงของระบบโดยการ

20 9 จาลองการโจมต แบบ DoS เพ อให ระบบใช งานไมได ซ ง การทา Penetration Testing จะแบงเป น 2 ประเภท ค อ Black-box และ White-box Black-Box Penetration Testing ค อการเจาะระบบ โดยท ผ เจาะระบบไมได ร บข อม ลจากผ วาจ าง นอกจากเป าหมายท เป นเว บไซต หร อไอพ แอดเดรส เทาน น โดยต องพยามเจาะเข ามาจากอ นเทอร เน ตโดยใช ความสามารถของผ เจาะระบบเอง ม ข อด ค อ สามารถประเม นความแข งแกรงของระบบเราได จากภายนอก เสม อนการเจาะของแฮก เกอร ท เข ามาทางอ นเทอร เน ตโดยตรง แตม ข อเส ยค อ การเจาะระบบจากภายนอกน นอาจไมสามารถเจาะเข าระบบได เพราะข อม ลไมเพ ยงพอ หร อ ความสามารถของผ เจาะระบบม ไมมากพอท จะเข าส ระบบได White-Box Penetration Testing ค อ การเจาะระบบท ผ เจาะต องเข ามาท ออฟฟ ศและออนไลน เข าส ระบบแลนหร ออ นทราเน ตขององค กรน น เร ยกวาเป นการเจาะจากข างใน เพ อประเม นความเส ยงภายใน องค กร เชน อาจม ผ ใช คอมพ วเตอ ร บางคนต ดไวร ส และไวร สสามารถแพรกระจายในแลน เราก สามารถ ประเม นความเส ยหายได ข อด ค อ เราสามารถประเม นความเส ยงได ใกล เค ยงก บสถานะการณ จร งมากกวา Black-Box Penetration Testing เพราะผ เจาะระบบจะม ข อม ลภายในมากกวา ข อเส ยค อ การเจาะจากข างใน ไมสาม ารถประเม นการเจาะระบบของ Hacker ท เจาะเข ามาทาง อ นเทอร เน ตได Risk Treatment (การควบค ม / แก ไขความเส ยง) ทางเล อกในการควบค มและแก ไขความเส ยงท ได แนะน าไว ในมาตรฐาน ISO น นม อย 4 ทาง ค อ 1. การลดความเส ยง (Risk Reduction) ค อ การพ จารณาหาว ธ ในการควบค ม / แก ไขความเส ยงให ลดลงมาอย ในระด บ ท องค กรสามารถยอมร บได ซ งในมาตรฐาน ISO ก ม ว ธ การในการแก ไข / ควบค มความเส ยงท ได แนะน า ไว ท งหมด 133 Controls ให สามารถเล อกใช ได 2. การยอมร บความเส ยง ( Risk Acceptance) ค อ การท องค กรพ จารณาแล วพบวา การดาเน นการ แก ไข / ควบค มความเส ยง น น ไมเหมาะสม, ไมสามารถกระทาได ในทางปฏ บ ต หร อ ไมค มคา เชน คาใช จายในการดาเน นการแก ไข / ควบค ม ม ม ลคา ส งกวาม ลคาของข อม ลและทร พย ส นท จะทาการ ปกป อง ท งน ข นอย ก บด ลยพ น จของผ บร หาร 3. การหล กเล ยงความเส ยง (Risk Avoidance) ค อ การหล กเล ยงความเส ยงโดยยกเล กกระบวนการ ทางาน หร อทร พย ส น ท กอให เก ดความเส ยงข น ซ งม กจะกระทาเม อการแก ไขความเส ยงด วยว ธ การ อ นน น ไมค มก บผลประโยชน ท ได จากการทางานด วยกระบวนการหร อทร พย ส นน นๆ 4. การโอนความเส ยง (Risk Transfer) ค อ การพ จารณาถายโอนความเส ยงไปให ผ อ นร บผ ดชอบแทน เชน การซ อประก นภ ย เป นต น

21 10 การประเม นความเส ยงโดยสวนมากจะทาการประเม นและให คาตางๆในเช งปร มาณ เน องจาก ผลกระทบตางๆท อาจจะเก ดข นตอข อม ลแล ะทร พย ส นของทางองค กรน น อาจจะกอให เก ดความเส ยหายใน ด านของต วเง นท สามารถว ดได ในเช งปร มาณ สวนการประเม นแบบค ณภาพ เชน ช อเส ยงและภาพล กษณ ของ องค กรน น ประเม นคาเป นต วเง นได ลาบาก หร อไมสามารถประเม นคาได ด งน น โครงงานน จ งเล อกว ธ การ ประเม นเช งปร มาณ โดยการประเม นเช งปร มาณน นม ข นตอนด งน Single Loss Expectancy (SLE) การพ จารณาการส ญเส ย SLE = asset value x exposure factor Asset value ค อม ลคาทร พย ส น Exposure factor ค อเปอร เซ นต ของม ลคาทร พย ส นท เส ยไปในกรณ เก ดภ ยค กคาม Annual Loss Expectancy ม ลคาทร พย ส นท เส ยตอป ALE = SLE x ARO SLE ค อม ลคาการส ญเส ยก คร งภายใน 1 ป ARO ค อโอกาสท จะเก ดป ละก คร ง Control ท สามารถเล อกใช เพ อการแก ไข / ควบค มความเส ยง อาจแบงออกเป น 3 ประเภท ด งน Physical Control ค อ การจ ดให ม สภาพแวดล อมทางกายภายท เหมาะสม เชน 1. การจ ดให ม Access Control ควบค มการเข า - ออก 2. การจ ดแบงพ นท สาค ญ เชน Data Center ออกจากพ นท ปฏ บ ต งานปกต 3. การจ ดเก บสายเคเบ ลตางๆ ให เร ยบร อย Technical Control ค อ การใช ซอฟต แวร หร ออ ปกรณ ฮาร ดแวร มาชวยควบค มและจ ดการด าน Security เชน 1. Encryption 2. Anit-virus 3. Firewall 4. Intrusion Detection System (IDS) Administrative Control ค อ การจ ดให ม นโยบาย, ระเบ ยบ, ว ธ การปฏ บ ต งาน (Procedure), การฝ ก อบรม ท เหมาะสมสาหร บบ คลากรท งหมดท เก ยวข องก บการดาเน นงานขององค กร รวมถ ง Third Party และ Outsource ด วย

22 11 ป ญหาและอ ปสรรค ป ญหาและอ ปสรรคท สาค ญท ม กพบเจอในการบร หารจ ดการความเส ยงก ค อ ป ญหาในการประเม นความเส ยง ( Risk Assessment) เน องจากการประเม นความเส ยงเป นข นตอนท สาค ญมาก การประเ ม นความเส ยงท ไม ครบถ วนและไมครอบคล ม จะทาให กระบวนการ ในการบร หารจ ดการความเส ยงเก ดชองโหวข น และชองโหว น อาจกอให เก ดความเส ยหายและกระทบตอการดาเน นธ รก จขององค กรได ด งน น การประเม นความเส ยงให ถ กต องอาจต องอาศ ยคาแนะน าและความชวยเหล อจากผ เช ยวชาญ อ กหน งป ญหาท สาค ญของการประเม นความเส ยงก ค อ ทร พยากรท จะต องใช ในการประเม นความเส ยงให แก ข อม ลและทร พย ส นตางๆ ท มากมายขององค กร ให ถ กต องและครบถ วน จะต องใช ทร พยากรบ คคลและ งบประมาณในการดาเน นการคอนข างมาก ซ งในองค กรโดยปกต ทร พยากรบ คคลด าน IT ม กม งานประจาท มากและไมม เวลาเพ ยงพอในการดาเน นการ Confidentiality Integrity Availability ( CIA ) ท กองค กรได ให ความสาค ญเป นอยางมากก บระบบเทคโนโลย สารสนเทศ ซ งน นเป นส งจาเป น สาหร บพ นฐานการดาเน นธ รก จของท กองค กรในป จจ บ น ซ งบ คลากรท ม ความชานาญด าน Information Security น นกาล งเป นท ต องการของตลาดแรงงานในป จจ บ น Confidentiality หมายถ ง การร กษาความล บ ของข อม ลของเรา โดยใช เทคโนโลย ตางๆเข ามาชวย เชน VPN (Virtual Private Network), SSL (Secure Socket Layer) เพ อป องก นร กษาความล บของข อม ลท สาค ญให ปลอดภ ย Integrity หมายถ ง ความแท จร งของข อม ลเพ อให แนใจวาข อม ลท ถ กต องของเราไมถ กแก ไขโดยผ ท ไมได ร บอน ญาต หร อไมถ กเปล ยนแปลงโดยแฮกเกอร แครกเกอร หร อผ บ กร ก ต วอยางเชน ข อทางทางด าน การศ กษาเชน เกรดเฉล ยถ กแก ไข เป นต น Availability หมายถ ง สภาพพร อมใช งานอย เสมอ ไมใชวาเม อเก ดป ญหาแล ว ไมม ระบบสารองไว ใช งานหร อกวาจะก ระบบได ก ก นเวลานาน ทาให เก ดซ งเป นต นเหต ทาให การดาเน นงานต ดข ด ด งน นจ งควรม แผนการป องก นให ระบบม สภาพพร อมใช งานอย เสมอ ร ปท 2.1 CIA

23 12 ห วใจหล กของกระบวนการระบบบร หารจ ดการด านความม นคงปลอดภ ยตามมาตรฐาน ซ งประกอบด วย 4 ข นตอนหล ก กลาวค อ ISO/IEC การวางแผน (Plan) การดาเน นการตามแผน (Do) การเฝ าระว งและต ดตามการดาเน นการตามแผน (Check) การดาเน นการเพ มเต มตามท เห นสมควร (Act) แม ในข อกาหนดหล กของมาตรฐาน ISO/IEC ซ งค อข อ Establish the ISMS (เท ยบเทาก บ Plan) Implement and operate the ISMS (เท ยบเทาก บ Do) Monitor and review the ISMS (เท ยบเทาก บ Check) Maintain and Improve the ISMS (เท ยบเทาก บ Act) ร ปท 2.2 PDCA ตามลาด บจะม รายละเอ ยดปล กยอยอย มากมาย แตเม อพ จารณาแล วห วใจหล กของท ง 4 ข อน นค อ 1. การประเม นความเส ยงและการจ ดทาแผนการลดความเส ยง (หร อก ค อข นตอนการวางแผน Plan) 2. การ ดาเน นการตามแผนการลดความเส ยง (หร อก ค อข นตอนการดาเน นการตามแผน Do) 3. การเฝ าระว งและต ดตามการดาเน นการตามแผน (หร อก ค อข นตอนการเฝ าระว งและต ดตามการดาเน นการ ตามแผน Check) 4. การดาเน นการเพ มเต มตามท เห นสมควร (หร อก ค อข นตอนการดาเน นการเพ มเต มตามท เห นสมควร Act)

24 13 การวางแผน (Plan) ข นตอนท หน งค อการวางแผนหร อ Plan ซ งเป นการประเม นความเส ยงท ม ตอทร พย ส นสารสนเทศ ซ งสวนใหญจะหมายถ งทร พย ส นสารสนเทศใหมท กาล งน าเข ามาส การใช งาน ท จะต องม การประเม นความ เส ยงเพ อเตร ยมการป องก นกอนเร มต นใช งานทร พย ส นใหมเหลาน น เชน กรณ ม โครงการจ ดทาระบบงาน E- mail ท ต องดาเน นการให แล วเสร จในป งบประมาณน ทร พย ส นสารสนเทศใหมของโครงการน อาจประกอบด วย Software ของระบบงาน Hardware ของระบบงาน เม อได ระบ ความเส ยงท เก ยวข องก บระบบงาน แล ว จากน นจ งทาการวางแผนเพ อจ ดการก บ ความเส ยงข นตอนการวางแผนการลดความเส ยง การดาเน นการตามแผน (Do) ข นตอนถ ดไปค อการดาเน นการตามแผน หร อ Do ท ได กาหนดไว ท งหมด การเฝ าระว งและต ดตามการดาเน นการตามแผน (Check) ข นตอนการต ดตามการดาเน นการตามแผน หร อ Check ค อการต ดตามเพ อด วาการพ ฒนา ระบบงาน ทาตามแผนครบท งหมดและได ผลล พธ ท ถ กต องหร อไม เชน ระบบงานต องทางานได ครบถ วนตามข อกาหนดด านความม นคงปลอดภ ยท กาหนดไว ระบบงานต องสามารถบ นท กก จกรรมสาค ญ ตางๆ สาหร บการเข าถ งหร อการใช ระบบงานซ ง ประกอบด วย - การล อกอ นเข าใช งานระบบ - การออกจากระบบ การดาเน นการเพ มเต มตามท เห นสมควร (Act) หากเม อ Check ในท กรายการแล วและพบป ญหาท ต องทาการแก ไข ให ดาเน นการเพ มเต มตามท เห นสมควร (Act) เชน กรณ พบวาระบบงานย งไมรองร บป ญหาการบ กร กระบบ SQL Injection ให ดาเน นการ แก ไข (Take action) เพ อให ระบบสามารถจ ดการก บป ญหาน ได การเฝ าระว งและต ดตามการดาเน นการตาม แผนและการดาเน นการเพ มเต มตามท เห นสมควร ถ าย งม ความเส ยงใหมหร อเพ มเต มอย ด งน นจ งต องวางแผนการลดความเส ยงเพ มเต ม หร อ Take action (ซ งก ค อการดาเน นการเพ มเต มตามท เห นสมควรน นเอง) โดยสร ปวงจรช ว ต Plan Do Check Act น จ งกอเก ดน บต งแตเร มม ทร พย ส นสารสนเทศใหมท กาล ง ถ กน าเข ามาใช งานก บองค กร จากน นแม วาจะม กา รต ดต งและใช งานทร พย ส นเหลาน นไปแล วก ตาม ก ย งคง ต อง Check และ Act อยางตอเน อง (กลาวค อ ประเม นความเส ยงเพ มเต มตามความจาเป น ) จวบจนกระท ง ทร พย ส นเหลาน นจะส นส ดอาย ข ยหร อหมดอาย การใช งานน นเอง จ งย ต การประเม นความเส ยงสาหร บ ทร พย ส นเหลาน น

25 14 อยางไรก ตามหลายคร งเม อทร พย ส นสารสนเทศหน งหมดอาย ข ยการใช งาน เชน กรณ เทคโนโลย สารสนเทศระบบงาน หน งจะม อาย ข ยการใช งานระหวาง 3-7 ป ทร พย ส นสารสนเทศเด ยวก นแตเป น ของใหม เชน ระบบงาน ซ งเป นเทคโนโลย สารสนเทศใหมก จะถ กน ามาเปล ยนทดแทนแทนเทคโนโลย ของระบบเด ม แตถ งกระน นก ตามทร พย ส นใหมน นก ต องเข าส วงจรช ว ต Plan Do Check Act อ กคร ง เชนเด ยวก บการประเม นความเส ยงในข างต น ด งน นจ งเห นได วาวงจรช ว ตด งกลาวจ งม การไหลอยางตอเน อง และไมม ท ส นส ด Port Scanning ร ปท 2.3 PDCA Cycle การสแกนพอร ตเป นกระบวนการในการต ดตอไปท พอร ต (Port) TCP หร อ UDP ของเคร อง เป าหมาย ม จ ดประสงค เพ อตรวจสอบวา ม บร การใดบ างบนระบบท รอร บการเช อมตอ หร ออย ในสถานะท ให บร การบ าง เคร องม อ Port scanning ท น ยมใช ในป จจ บ นม ด งน 1. SuperScan โปรแกรมสแกนพอร ตแบบฟร แวร (Freeware) ท น ยมใช ในป จจ บ น เน องจากต วของโปรแกรมเองม ฟ เจอร ให เล อกใช มากมายไมวาจะเป นการกาหนดพอร ตท ต องการจะใ ห แสดง หร อแสดงเฉพาะ Well-know Port ก สามารถเล อกได เป นต น 2. Netstat โปรแกรมท ต ดมาก บระบบปฏ บ ต การท ง Windows และ Linux ม ร ปแบบคาส ง การใช งานท เหม อนก นท งสองระบบปฏ บ ต การ 3. Nmap (Network Mapping) เป นโปรแกรม Open source ท ใช สแกนเคร อข ายและ ตรวจสอบความปลอดภ ยซ ง Nmap ถ กพ ฒนาให สามารถทาการสแกนเคร อขายขนาดใหญได อยางรวดเร ว

26 15 โดยการสแกน IP address เพ อท จะรายงาน port, application, OS หร อ Firewall ในป จจ บ น Nmap ม ให ใช งานท งแบบผาน Console และแบบ Graphic GUI และร นได บนระบบปฏ บ ต ก ารท กประเภท หากผ ใช งานไม ถน ดและจาร ปแบบคาส งไมได ก ม ให เล อกใช งานแบบ Graphic GUI ซ งไมจาเป นต องจาคาส งตาง ก ค อ nmap Front-End (nmapfe) จ ดประสงค หล กการของ Port scanning 1. ค นหาเซอร ว สท ทางานบนโปรโตคอล TCP หร อ UDP วาม เซอร ว สใดบ างทางานอย เชน http ท พอร ต 80 เป นต น 2. ค นหาประเภทของระบบปฏ บ ต การท อย บนเคร องเป าหมาย 3. ค นหาวาม แอพพล เคช นใดบ างท ทางานบนเคร องเป าหมาย เชน web server TCP/IP Port Numbers Port Numbers จะเป น Unsigned Numbers แบบ 16 บ ต จะม พอร ตได ท งหมด ports ( ) โดย แบงประเภทของพอร ตได ด งน 1. Well Known Ports (0-1023) 2. Registered Ports ( ) 3. Dynamic and/or Private Ports ( ) 4. Well Known Ports (0-1023) จะเป นพอร ตสาหร บ applications ตางๆ เชน ต วอยาง Well Known Ports ด งน TCP 20 and 21 (File Transfer Protocol, FTP) TCP 22 (Secure Shell, SSH) TCP 23 (Telnet) TCP 25 (Simple Mail Transfer Protocol, SMTP) TCP and UDP 53 (Domain Name System, DNS) UDP 69 (Trivial File Transfer Protocol, tftp) TCP 79 (finger) TCP 80 (Hypertext Transfer Protocol, HTTP) TCP 110 (Post Office Protocol v3, POP3) TCP 119 (Network News Protocol, NNTP) UDP 161 and 162 (Simple Network Management Protocol, SNMP) UDP 443 (Secure Sockets Layer over HTTP, https)

27 16 บทท 3 ว ธ การน าเสนอ 3.1 ว ธ การน าเสนอโครงงาน การออกแบบข นตอน ม รายละเอ ยดด งน จ ดเตร ยมความพร อม ว เคราะห ความเส ยงและประเม นความเส ยง ทาการตรวจสอบโครงสร างพ นฐานของระบบเคร อขายตาม Checklist พ ฒนานโยบายความม นคงปลอดภ ย ลดความเส ยง จ ดทารายงานสร ป ศ กษาโครงสร างพ นฐานของเด ม ศ กษาระบบเทคโนโลย สารสนเทศและเคร อขายคอมพ วเตอร ของเด ม ข นตอนการทางาน ศ กษามาตรฐานทางด านระบบร กษาความปลอดภ ย ISO27001 ขออน ม ต จ ดทาโครงงาน ว เคราะห ความเส ยงและประเม นความเส ยง ข นตอนน เป นการด ป ญหาความเส ยงในแงของโอกาสท จะเก ดเหต (Incident) หร อเหต การณ (Event) วาม มาก น อยเพ ยงไร และผลกระทบ (Impact) ท ต ดตามมาวาม ความร นแรงเส ยหายมากน อยเพ ยงใด โดยใช เกณฑ ใน การประเม นด งน เกณฑ ท ใช ในการประเม นระด บโอกาสการเก ดแบงเป น 5 ระด บค อ 1 = โอกาสเก ดน อยท ส ด 2 = โอกาสเก ดน อย 3 = โอกาสเก ดปานกลาง 4 = โอกาสเก ดมาก 5 = โอกาสเก ดมากท ส ด เกณฑ ท ใช ในการประเม นระด บของผลกระทบแบงเป น 5 ระด บค อ 1 = น อยท ส ด 2 = น อย 3 = ปานกลาง 4 = มาก 5 = มากท ส ด โดยการค ดคาของระด บความเส ยงจะค ดได ด งน ระด บความเส ยง(Risk Value)= ระด บโอกาสท เก ด (likelihood) ระด บของผลกระทบ (Impact)

28 17 การประเม นคาความเส ยง (risk evaluation) เม อได ความเส ยง โดยม รายละเอ ยด และการประมาณความเส ยง แล ว จ งน ามาประเม นคาความเส ยงโดยการเปร ยบเท ยบก บหล กเกณฑ ความเส ยงท ยอมร บได จากตารางแสดงระด บความเส ยง น จะแบงผลการว เคราะห ระด บความเส ยงได ด งน ระด บความเส ยง 1 8 (Low) ระด บความเส ยง 9 16 กลาง (Medium) ระด บความเส ยง ส ง (High) ทาการตรวจสอบโครงสร างพ นฐานของระบบเคร อขายตาม Checklist น า Checklist ตามมาตรฐานมา ตรวจสอบระบบเคร อขายและเคร องแมขายภายในองค กร พ ฒนานโยบายความม นคงปลอดภ ย รางนโยบายต นแบบสาหร บเป นกรอบโดยน าข อม ล ความร จากท ได ประเม นมาประกอบให เหมาะสมก บองค กร ป ดชองโหวของระบบน าผลประเม นจากการตรวจสอบชองโหวมาทาการป ดชองโหวตามความเส ยงและ ประโยชน ท ได ร บลาด บแรกๆ กอน โดยเล อกทากอนจากชองโหวท ร นแรงเรงดวนและม ผลกระทบส ง จ ดทารายงานสร ปผล

29 18 ว ตถ ประสงค บทท 4 ผลการทดลอง o เพ อตรวจสอบถ งสถานะความเส ยงป จจ บ น ทางด านระบบเทคโนโลย สารสนเทศและ เคร อขายของ ขององค กร เพ อท จะปร บปร งระบบเทคโนโลย สารสนเทศและเคร อขาย คอมพ วเตอร ป จจ บ นให ม ความเส ยงลดลง o ผล กด นให ม การจ ดทานโยบายร กษาความม นคงปลอดภ ยเทคโนโ ลย สารสนเทศ เพ อให องค กรม ความเป นมาตรฐานสากล o ประเม นผลความเส ยงหล งจากม การทาการปร บปร งระบบเทคโนโลย สารสนเทศและ เคร อขายคอมพ วเตอร 4.1 หล กการและเหต ผล ป จจ บ นระบบคอมพ วเตอร ถ กน าไปประย กต ใช ก บการทางานประจาว นจนแทบจะไมสามารถแยก ออกจากก นได จนเ ร ยกได วาระบบคอมพ วเตอร เป นอ ปกรณ สาน กงานช นหน งซ งหากขาดไปจะไมสามารถ ทางานได เลยท เด ยว ระบบการทางานของมหาว ทยาล ยกร งเทพก ไมใชข อยกเว น ท กว นน ระบบคอมพ วเตอร ได เข าไปอย รวมก บระบบการเร ยนการสอน ระบบการลงทะเบ ยน ระบบงาน Office ระบบการส งการงานตางๆ ภายในมหาว ทยาล ย และระบบการต ดตอส อสารตางๆ อ กมากมาย ลองพ จารณาด วา หากระบบคอมพ วเตอร เหลาน ไมสามารถให บร การได อ นเน องมาจากสาเหต ใดสาเหต หน ง จะสงผลกระทบตอท กภาคสวนภายในมหาว ทยาล ย ท งแกน กศ กษาตลอดจนคณาจารย เจ าหน าท ภายใน มหาว ทยาล ยเอง ด งน นจ งจาเป นท จะต องม แผนการท ช ดเจนในการท จะทาให ระบบม ความม เสถ ยรภาพส งและ ก ระบบกล บค นมาหากเก ดเหต การณ ท ทาให ระบบงานสาค ญไมสามารถใช งานได 1. สร างความตระหน กให ก บบ คลากรในศ นย คอมพ วเตอร ได ทราบถ งความเส ยงท จะม ผลทาให การ ดาเน นงานของศ นย คอมพ วเตอร ไมเป นไปตามเป าหมาย 2. ลดความเส ยงท จะทาให ศ นย คอมพ วเตอร ไมสามารถให บร การแกหนวยงานตางๆ ภายใน มหาว ทยาล ย จนไมสามารถดาเน นก จกรรมการเร ยนการสอน การปฏ บ ต งานประจาว นของคณาจารย เจ าหน าท ตามปกต 3. ให ผ ท ม ความร บผ ด ชอบในการปฏ บ ต งาน ได ร บทราบข นตอน ว ธ การท ช ดเจน ในกรณ ท ต องก ระบบ กล บค น ข อม ลเบ องต น ศ นย คอมพ วเตอร มหาว ทยาล ยกร งเทพ ศ นย คอมพ วเตอร ม บ คลากรรวมท งส น 72 คน โดยแยกเป นอาจารย รวม 50 คน และเจ าหน าท รวม 22 คน ม แผนกต งอย ท ว ทยาเขตกล วยน าไท ค อ แผนกว เคราะห และออกแบบระบบ แผนกพ ฒนาระบบ แผนกเคร อขายสารสนเทศกล วยน าไท และแผนกบร การและบาร งร กษาระบบกล วยน าไท รวมอาจารย 43 คน และเจ าหน าท 10 คน แผนกท ต งอย ท ว ทยาเขตร งส ต ค อ แผนกบร การและบาร งร กษาระบบร งส ตและแผนก เคร อขายสารสน เทศร งส ต รวมอาจารย 7 คน และเจ าหน าท 12 คน ม อาจารย ท ได ร บท นศ กษาตอระด บ ปร ญญาเอกภายในประเทศจานวน 2 คน

30 19 รายช อแผนก ตารางท 4.1 บ คลากรแตละแผนกสามารถจาแนกตามค ณว ฒ ม ด งน อาจารย ตาแหนง เจ าหน าท เอก โท ตร ปวส. ปวช. รวม ศ นย คอมพ วเตอร แผนกว เคราะห และออกแบบระบบ แผนกพ ฒนาระบบ แผนกเคร อขายสารสนเทศกล วยน าไท แผนกเคร อขายสารสนเทศร งส ต แผนกบร การและบาร งร กษาระบบกล วยน าไท แผนกบร การและบาร งร กษาระบบร งส ต จานวนรวม ตารางท 4.2 ช อผ บร หารหนวยงาน ม ด งน ผ อานวยการศ นย คอมพ วเตอร (ผอ.ศคพ.) ดร.ธนกร หว งพ พ ฒน วงศ ผ ชวยผ อานวยการศ นย คอมพ วเตอร (ผช.ผคพ.) อ.นพดล ชาต ร งสรรค ห วหน าแผนกว เคราะห และออกแบบระบบ(หน.วอร.) ห วหน าแผนกพ ฒนาระบบ (หน.พร.) ห วหน าแผนกเคร อขายสารสนเทศกล วยน าไท (หน.คสก.) ห วหน าแผนกเคร อขายสารสนเทศร งส ต (หน.คสร.) ห วหน าแผนกบร การและบาร งร กษาระบบกล วยน าไท (หน.บรก.) อ.ณ ฐพงศ ตร ส วรรณ อ.เอกราพล เอมสมบ ต อ.ณ ฐกร เฉยศ ร อ.อด ลย ย มงาม อ.พรช ย เสมแจ ง ห วหน าแผนกบร การและบาร งร กษาระบบร งส ต (หน.บรร.) อ.ว กร ปร ชญพฤทธ

31 20 โครงสร างการบร หารของหนวยงาน ศ นย คอมพ วเตอร เป นหนวยงานหน งซ งส งก ดสายเทคโนโลย สารสนเทศ ภายในหนวยงานม ผ อานวยการ ศ นย คอมพ วเตอร เป นห วหน าหนวยงาน ม ผ ชวยผ อานวยการ 1 คน เจ าหน าท ประจาแผนก 1 คนและแบง หนวยงานเป น 6 แผนก แตละแผนกม ห วหน าแผนกเป นผ บร หารเบ องต น ร ปท 4.1 แผนผ งโครงสร างองค กร ปร ชญา / ปณ ธาน ว ส ยท ศน พ นธก จ ปร ชญา สงเสร มการใช เทคโนโลย สารสนเทศเพ อเก ดประโยชน ส งส ดแกมหาว ทยาล ย ปณ ธาน เพ อพ ฒนามหาว ทยาล ยให เจร ญก าวหน า โดยประย กต ใช เทคโนโลย สารสนเทศและการส อสารใน 3 แนวทางค อ การสงเสร มด านการศ กษาและการว จ ย การบร หารจ ดการ และการให บร การ ว ส ยท ศน ศ นย คอมพ วเตอร ม งม นท จะพ ฒนาและประย กต ระบบเทคโนโลย สารสนเทศและการส อสารเพ อสน บสน น งานด านว ชาการและการเร ยนการสอน การบร หารจ ดการและการทางานของหนวยงานภายในมหาว ทยาล ย รวมถ งการให บร การระบบสารสนเทศและการส อสารแกน กศ กษา บ คลากร และหนวยงานภายในมหาว ทยาล ย ให สามารถใช งานได อยางม ประส ทธ ภาพส งส ด

32 21 พ นธก จ 1. พ ฒนาและประย กต ระบบเทคโนโลย สารสนเทศและการส อสารเพ อสน บสน นงานด านว ชาการและการ เร ยนการสอน 2. สงเสร มและสน บสน นการน าเทคโนโลย สารสนเทศมาประย กต ในการบร หารจ ดการและการทางานของ หนวยงานภายในมหาว ทยาล ย 3. ให บร การระบบสารสนเทศและการส อสารแกน กศ กษา บ คลากร และหนวยงานภายในมหาว ทยาล ย 4. ให การสน บสน นระบบเทคโนโลย สารสนเทศแกหนวยงานและมหาว ทยาล ยเพ อม งส เป าหมายการเป น มหาว ทยาล ยสร างสรรค นอกจากน ย งม เคร องคอมพ วเตอร เพ อให บร การท งหมด 5,939 เคร อง แบงเป น เคร องคอมพ วเตอร สาหร บหนวยงาน 1,795 เคร อง เคร องคอมพ วเตอร สาหร บน กศ กษา 4,144 เคร อง ท ต ง ว ทยาเขตกล วยน าไท อาคาร ดร.เจร ญ ค นธวงศ ช น 7 แผนกบร การและบาร งร กษาระบบกล วยน าไท แผนกเคร อขายสารสนเทศกล วยน าไท แผนกว เคราะห และออกแบบระบบ แผนกพ ฒนาระบบ ว ทยาเขตร งส ต อาคาร 9 ช น 5 แผนกบร การและบาร งร กษาระบบร งส ต แผนกเคร อขายสารสนเทศร งส ต

33 22 ร ปท 4.2 Network Diagram ผ จ ดทาโครงงานได ทาการขออน ม ต การดาเน นงานจากผ บร หารศ นย คอมพ วเตอร และผ บ งค บบ ญชา ของหนวยงาน ร ปท 4.3 ลงนามนโยบาย

34 23

35 24 ตารางท 4.3 เกณฑ ท ใช ในการประเม นระด บโอกาสในการเก ดความเส ยง ห วข อ - ระเบ ยบข อบ งค บในการ ปฏ บ ต งาน - การควบค ม ต ดตาม ตรวจสอบ - ความถ ในการเก ด โอกาสท จะเก ดความเส ยหาย Likelihood น อยมาก 1 น อย 2 ม และม การ ม และม ปฎ บ ต ตามอยาง การ เครงคร ด ปฎ บ ต ระด บ ปานกลาง 3 ไมม แตม การ ปฎ บ ต ไปตาม หน าท ส ง 4 ส งมาก 5 ม แตไม ถ อปฎ บ ต 1-2 ส ปดาห 1 เด อน 3 เด อน 6 เด อน ป ละ 1คร ง หร อไมเก ดเลย 6 เด อน 1 คร ง 3 เด อน 1คร ง 1 เด อน 1 คร ง ไมม และไม ถ อปฎ บ ต มากกวาหร อ เทาก บ 1 ป ส ปดาห ละ 1 คร ง

36 ผลกระทบ ( Impact ) 25 ตารางท 4.4 เกณฑ ท ใช ในการประเม นระด บของผลกระทบ(Impact) ความร นแรงของผลกระทบ Impact ห วข อ น อยมาก 1 น อย 2 - ม ลคาความเส ยหาย น อยกวา 1 น อยกวา 5 หม นบาท หม นบาท -ผ ใช งานได ผลกระทบ กระทบผ ใช งาน กระทบ บางราย 1-3 คน ผ ใช งานบาง แผนก 3-10 คน - ระด บความเส ยหาย ระบบสามารถ ใช งานได ตามปกต หร อ ระบบสารอง ทดแทนได บางสวน ระบบ เส ยหายใช งานไมได ช วคราว ระยะเวลา ส น ระด บคะแนน ปานกลาง 3 ส ง 4 น อยกวา 1 แสน น อยกวา 5 บาท แสน กระทบผ ใช งาน กระทบ บางฝาย ผ ใช งาน คน สวนใหญ 50 บางสวนระบบ เส ยหายใช งาน ไมได ระยะ เวลานาน คนข นไป ระบบ ท งหมด เส ยหายไม สามารถใช งานได ช วคราว ระยะเวลา ส น ส งมาก 5 มากกวา 5 แสน กระทบ ผ ใช งานท ง องค กร ระบบ เส ยหาย ท งหมด ไม สามารถใช งานได ระยะ เวลานาน - อ นตรายตอช ว ต เด อนร อน บาดเจ บ บาดเจ บต อง บาดเจ บ อ นตรายถ ง เล กน อย ร กษาแพทย สาห ส ช ว ต - ผลกระทบตอภาพล กษณ น อยมาก น อย ปานกลาง ส ง ส งมาก Risk Value = Likelihood x Impact Likelihood ค อโอกาสท จะเก ด Impact ค อผลกระทบ ตารางท 4.5 ระด บความร นแรงของผลกระทบความเส ยงแผนผ งประเม นความเส ยง โอกาสท จะเก ดความเส ยหาย ( Likelihood ) Risk Value = Likelihood x Impact มาก/ น อยมาก /น อย ปานกลาง ส ง/บอย ส งมาก/ บอยมาก ส งมาก ส ง ปานกลาง /น อย น อยมาก

37 26 ตารางท 4.6 ระด บการประเม ณความเส ยง ระด บการประเม ณความเส ยง ระด บคะแนนความเส ยง ระด บความเส ยง หมายเหต 1-8 ตา เป นระด บความเส ยงท องค กรสามารถยอมร บได 9 16 กลาง เป นระด บความเส ยงท องค กรต องม การมาตรการ ควบค มความเส ยงและดาเน นการปร บปร งภายหล ง ส ง เป นระด บความเส ยงท องค กรต องม การปร บปร งอยาง เรงดวน

38 ผลกระทบ โอกาส ระด บความเส ยง 27 ผลการตรวจสอบและประเม นความเส ยงของระบบกอนดาเน นโครงการ ตารางท 4.7 การประเม ณความเส ยงและว เคราะห กอนทาโครงการ 1. นโยบายความม นคงปลอดภ ย (Security policy) 1.1 นโยบายความม นคงปลอดภ ยสาหร บสารสนเทศ (Security Policy) ม จ ดประสงค เพ อเพ อกาหนดท ศทางและให การสน บสน นการดาเน นการด านความม นคงปลอดภ ยสาหร บสารสนเทศขององค กร เพ อให เป นไปตามหร อ สอดคล องก บข อกาหนดทางธ รก จ กฏหมาย และระเบ ยบปฏ บ ต ท เก ยวข อง ข อ ประเด นความเส ยง ข อแนะน า สถานะป จจ บ น เอกสารนโยบายความม นคงปลอดภ ยท เป น ลายล กษณ อ กษร (Information security policy document) การทบทวนนโยบายความม นคงปลอดภ ย (Rewiew of the information security policy) (ผ จ ดทาโครงงาน) ต องจ ดทานโยบาย ความม นคงปลอดภ ยสาหร บสารสนเทศ ขององค กรอยางเป นลายล กษณ อ กษร เอกสารนโยบายต องได ร บการอน ม ต จาก ผ บร หารขององค กรกอนน าไปใช งานและ ต องเผยแพรให พน กงานและหนวยงาน ภายนอกท งหมดท เก ยวข องได ร บทราบ (ห วหน าแผนก) ต องดาเน นการทบทวน นโยบายความม นคงปลอดภ ยตาม ระยะเวลาท กาหนดไว หร อเม อม การ เปล ยนแปลงท สาค ญตอองค กร ส ง ส ง ไมม เอกสารเป นลายล กษณ อ กษร ไมม การทบทวนเน องจากย งไมม นโบ บายความ นคงปลอดภ ย

39 ผลกระทบ โอกาส ระด บความเส ยง โครงสร างทางด านความม นคงปลอดภ ยสาหร บองค กร (Organization of information security) 2.1 โครงสร างทางด านความม นคงปลอดภ ยภายในองค กร (Internal organization) ม จ ดประสงค เพ อบร หารและจ ดการความม นคงปลอดภ ยสาหร บสารสนเทศขององค กร ข อ ประเด นความเส ยง ข อแนะน า สถานะป จจ บ น การให ความสาค ญของผ บร หารและการ กาหนดให ม การบร หารจ ดการทางด านความ ม นคงปลอดภ ย (Management commitment to information secutiry) การประสานงานความม นคงปลอดภ ย ภายในองค กร (Information security coordination (ผอ.ศคพ ผช.ผคพ) ต องให ความสาค ญ และให การสน บสน นตอการบร หารจ ดการ ทางด านความม นคงปลอดภ ย โดยม การ กาหนดท ศทางท ช ดเจน การกาหนดคาม น ส ญญาท ช ดเจนและการปฏ บ ต ท สอดคล อง การมอบหมายงานท เหมาะสมตอบ คลากร และการเล งเห นถ งความสาค ญของหน าท และความร บผ ดชอบในการสร างความ ม นคงปลอดภ ยให ก บสารสนเทศ (ห วหน าแผนก) ต องกาหนดให ม ต วแทน พน กงานจากแผนกตางๆ ภายในองค กร เพ อประสานงานหร อรวมม อก นในการ สร างความม นคงปลอดภ ยให ก บ สารสนเทศขององค กร โดยท ต วแทน เหลาน นจะม บทบาทและล กษณะงานท กลาง ผ อานวยการ และผ ชวยผ อานวยการ ศ นย คอมพ วเตอร ย งให ความสาค ญเป น อยางมาก แตทางบ คลากรสวนใหญย งไม ทราบและตระหน กถ งเร องน ย งไมม การกาหนดต วแทนจากแผนก ตางๆ ให รวมม อก นสร างความม นคง ปลอดภ ย

40 การกาหนดหน าท ความร บผ ดชอบทางด าน ความม นคงปลอดภ ย (Allocation of information security responsibilities) กระบวนการในการอน ม ต การใช งานอ ปกรณ ประมวลผลสารสนเทศ (Authorization process for information processing facilities) การลงนามม ให เป ดเผยความล บขององค กร (Confidentiality agreements) การม รายช อและข อม ลสาหร บการต ดตอก บ หนวยงานอ น (Contact with authorities) การม รายช อและข อม ลสาหร บการต ดตอก บ กล มท ม ความสนใจเป นพ เศษในเร อง เด ยวก น (Contact with special interest groups) ร บผ ดชอบท แตกตางก น (ห วหน าแผนก) ต องกาหนดหน าท ความ ร บผ ดชอบของพน กงานในการดาเน นงาน ทางด านความม นคงปลอดภ ยสาหร บ สารสนเทศขององค กรไว อยางช ดเจน (หน.คสร หน.คสก.) ต องกาหนด กระบวนการในการอน ม ต การใช งาน อ ปกรณ ประมวลผลสารสนเทศและบ งค บ ให ม การใช งากระบวนการน (ฝายบ คลากร) ต องจ ดให ม การลงนามใน ข อตกลงระหวางพน กงานก บองค กรวาจะ ไมเป ดเผยความล บขององค กร (ผ ด แลระบบ) ต องม รายช อและข อม ล สาหร บต ดตอก บหนวยงานอ นๆ เชน ผ ให บร การอ นเทอร เน ต (Internet Service Provider) เพ อใช สาหร บการต ดตอประสานงานทางด านความม นคงปลอดภ ยในกรณ ท ม ความ จาเป น (ผ ด และระบบ) ต องม รายช อและข อม ล สาหร บการต ดตอก บกล มตางๆ ท ม ความ สนใจเป นพ เศษในเร องเด ยวก น กล มท ความสนใจด านความม นคงปลอดภ ย ม การกาหนดไว บางสวน ม กระบวนการบ งค บ ม อย ในเอกสารการจ างงาน ม รายช อและข อม ลเบอร โทร ต ดตอก บ หนวยงานภายนอก เชน ISP True และ ISP CAT ม การสม คร account และใช งานอย ก บ สมาคมผ ด แลระบบแหงประเทศไทย

41 ผลกระทบ โอกาส ระด บความ เส ยง การทบทวนด านความม นคงปลอดภ ย สาหร บสารสนเทศโดยผ ตรวจสอบอ สระ (Independent review of information security) สารสนเทศ หร อสมาคมตางๆ (ผอ.ศคพ ผช.ผคพ ต องกาหนดให ม การ ตรวจสอบการบร หารจ ดการ การ ดาเน นงาน และการปฏ บ ต ท เก ยวข องก บ ความม นคงปลอดภ ยสาหร บสารสนเทศ โดยผ ตรวจสอบอ สระตามรอบระยะเวลาท กาหนดไว หร อเม อม การเปล ยนแปลงท ม ความสาค ญมากตอองค กร ย งไมม การกาหนด 2.2 โครงสร างทางด านความม นคงปลอดภ ยท เก ยวข องก บล กค าหร อหนวยงานภายนอก (External parties) ม จ ดประสงค เพ อบร หารจ ดการความม นคงปลอดภ ยสาหร บสารสนเทศและอ ปกรณ ประมวลผลสารสนเทศขององค กรท ถ กเข าถ ง ถ กประมวลผล หร อถ กใช ในการต ดตอส อสารก บล กค าหร อหนวยงานภายนอก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การประเม นความเส ยงของการเข าถ ง สารสนเทศโดยหนวยงานภายนอก (Identification of risks relaed to external parties) (หน.คสร หน.คสก ต องกาหนดให ม การ ประเม นความเส ยงอ นเก ดจากการเข าถ ง สารสนเทศ หร ออ ปกรณ ท ใช ในการ ประมวลผลสารสนเทศโดยหนวยงาน ภายนอก และกาหนดมาตรการรองร บหร อ แก ไขท เหมาะสมกอนท จะอน ญาตให สามารถเข าถ งได กลาง ย งไมม การดาเน นงานในสวนน

42 การระบ ข อกาหนดสาหร บล กค าหร อ ผ ใช บร การท เก ยวข องก บความม นคง ปลอดภ ยสาหร บสารสนเทศขององค กร (Addressing security when dealing with customers) การระบ และจ ดทาข อกาหนดสาหร บ หนวยงานภายนอกท เก ยวข องก บความ ม นคงปลอดภ ยสาหร บสารสนเทศของ องค กร (Addressing security in third party agreements) (ห วหน าแผนก) ต องระบ ข อกาหนด ทางด านความม นคงปลอดภ ยสาหร บ สารสนเทศขององค กร เม อม ความ จาเป นต องให ล กค าหร อผ ใช บร การเข าถ ง สารสนเทศหร อทร พย ส นขององค กร (ห วหน าแผนก) ต องระบ และจ ดทา ข อกาหนดหร อข อตกลงท เก ยวข องก บ ความม นคงปลอดภ ยสาหร บสารสนเทศ ระหวางองค กรและหนวยงานภายนอกเม อ ม ความจาเป นต องให หนวยงานน นเข าถ ง สารสนเทศหร ออ ปกรณ ประมวลผล สารสนเทศของค กร กอนท จะอน ญาตให สามารถเข าถ งได กลาง กลาง ม การกาหนดในกระบวนการทางานปกต แตย งไมม เป นลายล กษณ อ กษร ม การกาหนดในกระบวนการทางานปกต แตย งไมม เป นลายล กษณ อ กษร

43 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการทร พย ส นขององค กร (Asset management) 3.1 หน าท ร บผ ดชอบตอทร พย ส นขององค กร (Responsibility for assets) ม จ ดประสงค เพ อป องก นทร พย ส นขององค กรจากความเส ยหายท อาจเก ดข นได ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจ ดทาบ ญช ทร พย ส น (Inventory of assets) การระบ ผ เป นเจ าของทร พย ส น (Ownership of assets) (Supply Admin) ต องจ ดทาและปร บปร ง แก ไขบ ญช ทร พย ส นท ม ความสาค ญตอ องค กรให ถ กต องอย เสมอ (Supply Admin) ต องจ ดให ม การระบ ผ เป น เจ าของสารสนเทศและทร พย ส นท เก ยวข องไว ในบ ญช ทร พย ส น แตละหนวยงานม การทาในบางสวนบาง งาน ข นอย หน าท ร บผ ดชอบ ย งไมม การ กาหนดให ทาเป นลายล กษณ อ กษร แตละหนวยงานม การทาในบางสวนบาง งาน ข นอย หน าท ร บผ ดชอบ ย งไมม การ กาหนดให ทาเป นลายล กษณ อ กษร การใช งานทร พย ส นท เหมาะสม ( Acceptable use of assets) (Supply Admin) จะต องจ ดทากฏ ระเบ ยบ หร อหล กเกณฑ อยางเป นลายล กษณ อ กษร สาหร บการใช งานสารสนเทศและทร พย ส น ท เก ยวข องก บการประมวลผลสารสนเทศ อยางเหมาะสม เพ อป องก นความเส ยหาย ตอทร พย ส นเหลาน น เชน อ นเก ดจากการ ขาดความระม ดระว ง การขาดการด แล และ เอาใจใสเป นต น กลาง ย งไมม การกาหนด ซ งอาจส ญเส ย ทร พย ส นได

44 การจ ดหมวดหม ทร พย ส นสารสนเทศ ( Classification guidelines) การจ ดทาป ายช อ และการจ ดการทร พย ส น สารสนเทศ (Information labeling and handling) (Supply Admin) จะต องจ ดให ม กระบวนการในการจ ดหมวดหม ของ ทร พย ส นสารสนเทศตามระด บช นความล บ ค ณคา ข อกาหนดทางกฏหมายและระด บ ความสาค ญท ม ตอองค กร ท งน เพ อจะได หา ว ธ การในการป องก นได อยางเหมาะสม (Supply Admin) จะต องจ ดให ม ข นตอน ปฏ บ ต ในการจ ดทาป ายช อและการจ ดการ ทร พย ส นสารสนเทศตามท ได จ ดหมวดหม ไว แล ว กลาง ส ง ย งไมม การจ ดหมวดหม ย งไมม การจ ดทาป ายช อ

45 ผลกระทบ โอกาส ระด บความ เส ยง ความม นคงปลอดภ ยท เก ยวข องก บบ คลากร (Human resources security) 4.1 การสร างความม นคงปลอดภ ยกอนการจ างงาน (Prior to employment) ม จ ดประสงค เพ อให พน กงาน ผ ท องค กรทาส ญญาวาจ าง (เชน เพ อการบาร งร กษาอ ปกรณ ตางๆ ขององค กร) และหนวยงานภายนอก เข าใจถ งบทบาท และหน าท ความ ร บผ ดชอบของตน และเพ อลดความเส ยงอ นเก ดจากการขโมย การฉ อโกง และการใช อ ปกรณ ผ ดว ตถ ประสงค ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การกาหนดหน าท ความร บผ ดชอบด านความ ม นคงปลอดภ ย (Roles and responsibilities) การตรวจสอบค ณสมบ ต ของผ สม คร ( Screening) (ห วหน าแผนก) ต องกาหนดหน าท และ ความร บผ ดชอบทางด านความม นคง ปลอดภ ยสาหร บสารสนเทศอยางเป นลาย ล กษณ อ กษรสาหร บพน กงานผ ท องค กรทา ส ญญาวาจ าง และ/หร อหนวยงานภายนอก ท องค กรต องการวาจ างมาปฏ บ ต งานให องค กร และจะต องสอดคล องก บนโยบาย ความม นคงปลอดภ ยสาหร บสารสนเทศ ขององค กร (ฝายบ คคลกรและหนวยงานภายในท ต องการวาจ าง) ต องทาการตรวจสอบ ค ณสมบ ต ของผ สม คร (ท งกรณ การจ างงาน เป นพน กงาน การวาจ างในล กษณะของ ส ญญา และการวาจ างหนวยงานภายนอก) โดยละเอ ยด เชน ตรวจสอบจากจดหมาย ม การกาหนดในส ญญาจ าง ม การตรวจสอบ

46 การกาหนดเง อนไขการจ างงาน ( Terms and confitions of employment) ร บรอง ประว ต การทางาน ว ฒ การศ กษา บ คคล หร อบร ษ ทท สามารถอ างอ งได (ฝายบ คลากร) ต องกาหนดเง อนไขการจ าง งาน (ท งกรณ การจ างงานเป นพน กงาน การวาจ างในล กษณะของส ญญาและการ วาจ างหนวนงานภายนอก) ซ งรวมถ ง หน าท ความร บผ ดชอบทางด านความม นคง ปลอดภ ยสาหร บสารสนเทศและบ คลากรท จะได ร บการวาจ างด งกลาวจะต องเห นชอบ และลงนามในเง อนไขการจ างงานน นด วย กลาง อาจทาให ไมทราบผ ร บผ ดชอบหร อผ เป น เจ าของทร พย ส นสารสนเทศ

47 ผลกระทบ โอกาส ระด บความ เส ยง การสร างความม นคงปลอดภ ยในระหวางการจ างงาน (During employment) ม จ ดประสงค เพ อให พน กงาน ผ ท องค กรทาส ญญาวาจ าง และหนวยงานภายนอกได ตระหน กถ งภ ยค กคามและป ญหาท เก ยวข องก บความม นคงปลอดภ ย หน าท ความ ร บผ ดชอบซ งรวมถ งหน าท ความร บผ ดชอบท ผ กพ นทางกฏหมาย และได เร ยนร และทาความเข าใจเก ยวก บนโยบายความ นคงปลอดภ ยขององค กร รวมท งเพ อลดความ เส ยงอ นเก ดจากความผ ดพลาดในการปฏ บ ต หน าท ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น หน าท ในการบร หารจ ดการทางด านความ ม นคงปลอดภ ย (Management responsibilities) การสร างความตระหน ก การให ความร และ การอบรมด านความม นคงปลอดภ ยให แก พน กงาน (Information security awareness, education, and training) ต องกาหนดให บ คลากรท ได ร บการวาจ าง ตามส ญญาการจ างงานและผ ท มาปฏ บ ต หน าท จากหนวยงานภายนอกปฏ บ ต ตาม มาตรการการร กษาความม นคงปลอดภ ย ตามนโยบายและข นตอนปฏ บ ต ทางด าน ความม นคงปลอดภ ยขององค กร (ฝายบ คลากร) ต องกาหนดให พน กงานท ได ร บการวาจ างตามส ญญาการจ างงาน และผ ท มาปฏ บ ต หน าท จากหนวยงาน ภายนอกได ร บการอบรมเพ อสร างความ ตระหน กและเสร มสร งความร ทางด าน ความม นคงปลอดภ ยอยางสม าเสมอ การ อบรมควรครอบคล มถ งนโยบายและ ข นตอนปฏ บ ต สาหร บการร กษาความ ม นคงปลอดภ ยขององค กรตามล กษณะ กลาง กลาง ย งไมม นโยบาย ทาให บ คลกรย งไม ตระหน กถ งป ญหา ย งไมตระหน กถ งป ญหา ไมทราบหน าท ความร บผ ดชอบท เก ยว ข องก บความ ม นคงปลอดภ ย

48 ผลกระทบ โอกาส ระด บความ เส ยง กระบวนการทางว น ยเพ อลงโทษ (Disciplinary process) งานท พน กงานต องร บผ ดชอบด วย (ผ บร หารองค กร) ต องจ ดให ม กระบวนการ ทางว น ยเพ อลงโทษพน กงงานท ฝาฝ นหร อ ละเม ดนโยบาย หร อระเบ ยบปฏ บ ต ทางด านความม นคงปลอดภ ยขององค กร ส ง ย งไมม ว น ยการลงโทษท ร นแรงเพ ยงพอ 4.2 การส นส ดหร อการเปล ยนการจ างงาน (Termination or change of employment) ม จ ดประสงค เพ อให พน กงาน ผ ท องค กรทาส ญญาวาจ าง และหนวยงานภายนอกได ทราบถ งหน าท ความร บผ ดชอบและบทบาทของตน เม อส นส ดการจ างงาน หร อม การเปล ยนการจ างงาน ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การส นส ดหร อการเปล ยนการจ างงาน (Termination responsibilities) การค นทร พย ส นขององค กร (Return of assets) (ฝายบ คลากร) ต องกาหนดหน าท ความ ร บผ ดชอบสาหร บผ ท องค กรเล กการจ าง งานหร อองค กรเปล ยนล กษณะการจ างงาน และกาหนดให ปฏ บ ต ตามหน าท ด งกลาว (ฝายบ คลากร ฝายจ ดหารบร หารทร พส ส น) ต องกาหนดให ผ ท องค กรส นส ดการ จ างงานหร อเปล ยนล กษณะการจ างงานค น ทร พย ส นขององค กรท อย ในความ ครอบครองของตน ม หน าท กาหนดไว ช ดเจน ต องค นก ญแจโต ะเก บของสวนต ว ค น อ ปกรณ และทร พย ส นขององค กร

49 ผลกระทบ โอกาส ระด บความ เส ยง การถอดถอนส ทธ ในการเข าถ ง (Removal of access rights) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง ทาการถอดถอนส ทธ ในการเข าถ ง สารสนเทศและทร พย ส นสารสนเทศของผ ท องค กรส นส ดการจ างงานหร อเปล ยน ล กษณะการจ างงาน ส ง ย งไมม การทบทวนถอดถอนส ทธ อยาง เป นร ปธรรม ทาเทาท จาได 5. การสร างความม นคงปลอดภ ยทากกายภาพและส งแวดล อม (Physical and environmental security) 5.1 บร เวณท ต องม การร กษาความม นคงปลอดภ ย (Secure areas) ม จ ดประสงค เพ อป องก นการเข าถ งการกายภาพโดยไมได ร บอน ญาต การกอให เก ดความเส ยหาย และการกอกวนหร อแทรกแซงตอทร พย ส นสารสนเทศของ องค กร ข อ ประเด นความเส ยง สถานะป จจ บ น สถานะป จจ บ น การจ ดทาบร เวณล อมรอบ (Physical security perimeter) การควบค มการเข า-ออก (Physical entry controls) (ห วหน าแผนก ฝายอาคารสถานท ) ต องม การจ ดสรรพ นท ก นบร เวณ จ ดทาผน งหร อ กาแพงล อมรอบ จ ดทาประต ทางเข า-ออก (ห วหน าแผนก ฝายอาคารสถานท ) ต องจ ด ให ม การควบค มการเข า-ออกในบร เวณหร อ พ นท ท ต องการร กษาความปลอดภ ย และ อน ญาต ให ผานเข า-ออกได เฉพาะผ ท ได ร บ อน ญาต แล วเทาน น ส ง ส ง ม การก น จ ดทาผน ง ด แล ว ยกเว น บางสวนท เป นกระจก สามารถมองเห น ทร พย ส นท ม คาได เชนห องเก บของ บางแหงย งไมม การป องก นท ด เชน สาน กงาน ศ นย คอมพ วเตอร ห องเก บ ของ ห องประช ม

50 การร กษาความม นคงปลอดภ ยสาหร บ สาน กงาน ห องทางาน และทร พย ส นอ นๆ (Securing offices, rooms and facilities) การป องก นภ ยค กคามจากภายนอกและ ส งแวดล อม (Protecting against external and environmental threats) การปฏ บ ต งานในพ นท ท ต องร กษาความ ม นคงปลอดภ ย (Working in secure areas) การจ ดบร เวณสาหร บการเข าถ ง หร อการสง มอบผล ตภ ณฑ โดยบ คคลภายนอก (Public access, delivery, and loading areas) (ห วหน าแผนก ฝายอาคารสถานท ) ต องจ ด ให ม การสร างความม นคงปลอดภ ยทาง กายภาพตอสาน กงานห องทางานและ ทร พย ส นอ นๆ (ห วหน าแผนก ฝายอาคารสถานท ) ต องจ ด ให ม การป องก นตอภ ยค กคามตางๆ ได แก ไฟไหม น าทวม หร อหายนะอ นๆ ท งท เก ด จากมน ษย และธรรมชาต (ฝายอาคารสถานท ) ต องจ ดให ม การ ป องก นทางกายภาพและแนวทางสาหร บ การปฏ บ ต งาน ในพ นท ท ต องร กษาความ ม นคงปลอดภ ย (ห วหน าแผนก) ต องจ ดบร เวณสาหร บการ เข าถ งหร อการสงมอบผล ตภ ณฑ โดย บ คคลภายนอก เพ อป องก นการเข าถ ง ทร พย ส นสารสนเทศของค กรโดยไมได ร บ อน ญาต และถ าเป นไปได ควรจ ดเป น บร เวณแยกออกมาตางหาก ส ง กลาง บางแหงย งไมม การป องก นท ด เชน สาน กงาน ศ นย คอมพ วเตอร ห องเก บ ของ ห องประช ม ม การป องก นท ด ในระด บหน ง แตย งม เหต การ ข ดข องบางคร ง เชน ระบบปร บ อากาศท ห องควบค มระบบ ระบบไฟฟ า ตามอาคารตางๆ การทางานในสถานท สาค ญ ม การ ควบค มการเข าออก ม คนด แลอย ตลอด ม การต ดตามการปฏ บ ต งานของ บ คคลภายนอก ม ห องสงของแยกก บห องสาน กงาน ทางานตะหาก

51 ผลกระทบ โอกาส ระด บความ เส ยง ความม นคงปลอดภ ยของอ ปกรณ (Equipment security) ม จ ประสงค เพ อป องก นการส ญหายการเก ดความเส ยหาย การถ กขโมย หร อการถ กเป ดเผยโดยไมได ร บอน ญาต ของทร พย ส นขององค กร และการทาให ก จกรรมการดาเน นงานตาง ๆ ขององค กรเก ดการต ดข ดหร อหย ดชะง ก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจ ดวางและการป องก นอ ปกรณ (Equipment siting and protection) ระบบและอ ปกรณ สน บสน นการทางาน (Supporting utilities) การเด นสายไฟ สายส อสาร และสายเคบ ล อ นๆ (Cabling security) (บ คลากร)ต องจ ดวางและป องก นอ ปกรณ ของสาน กงานเพ อลดความเส ยงจากภ ย ค กคามทางด านส งแวดล อมและอ นตราย ตางๆ รวมท งความเส ยงในการเข าถ ง อ ปกรณ โดยไมได ร บอน ญาต (ห วหน าแผนก) ต องกาหนดให ม กลไกการ ป องก นการล มเหลวของระบบและอ ปกรณ สน บสน นตางๆ ได แก ระบบกระแสไฟฟ า ระบบควบค มอ ณหภ ม ระบบกระแสไฟฟ า สารอง เป นต น (หน.คสร หน.คสก) ต องกาหนดให การเด น สายไฟฟ า สายส อสาร และสายเบ ลอ นๆ ได ร บการป องก นจากการเข าถ งโดยไมได ร บอน ญาต การทาให เก ดอ ปสรรคตอ สายส ญญาณ หร อการทาให สายส ญญาณ เหลาน นเส ยหาย กลาง ม การจ ดวางอ ปกรณ เป นส ดสวนด ม การป องก นท ด ในระด บหน ง แตย งม เหต การ ข ดข องบางคร ง เชน ระบบปร บ อากาศท ห องควบค มระบบ ระบบไฟฟ า ตามอาคารตางๆ ม การกาหนด การป องก นท ด อย แล ว

52 การบาร งร กษาอ ปกรณ (Equipment maintenance) (ห วหน าแผนก) ต องกาหนดให ม การ บาร งร กษาอ ปกรณ ตางๆ อยางสม าเสมอ เพ อให อ ปกรณ ทางานได อยางตอเน องและ อย ในสภาพท ม ความสมบ ณณ ตอการใช งาน ม การบาร งร กษาอ ปกรณ อย ตลอด ม การ จ างบร ษ ทข างนอกเข ามาทาการ บาร งร กษาอ ปกรณ การป องก นอ ปกรณ ท ใช งานอย นอก สาน กงาน (Security of equipment offpremises) การกาจ ดอ ปกรณ หร อการน าอ ปกรณ กล บมา ใช งานอ กคร ง (Secure disposal or re-use of equipment) การน าทร พย ส นขององค กรออกนอก สาน กงาน (Removal of property) (ห วหน าแผนก) ต องกาหนดให ม การ ป องก นอ ปกรณ ตางๆ ท ใช งานอย นอก สาน กงานเพ อไมให เก ดความเส ยหายตอ อ ปกรณ เหลาน น การป องก นให พ จารณา จากความเส ยงตาง ๆ ท ม อย อ ปกรณ เหลาน น (บ คลการ) ต องตรวจสอบอ ปกรณ ท ม ส อ บ นท กข อม ลเพ อด วาข อม ลสาค ญและ ซอฟต แวร ล ขส ทธ ท เก บอย ในส อบ นท ก ด งกลาวได ถ กลบท ง หร อถ กบ นท กท น กอนท จะท งอ ปกรณ ด งกลาวไป ท งน เพ อ เป นการป องก นข อม ลด งกลาวหากม การน า อ ปกรณ กล บมาใช งานอ กคร ง (ห วหน าแผนก) ต องไมอน ญาตการน า ทร พย ส นขององค กร ออกนอกองค กร เว นเส ยแตจะได ร บอน ญาตแล วเทาน น ส ง กลาง ม การป องก นอย ด เชน การ Lock ต อ ปกรณ ตางๆ ย งไมม การตรวจสอบส อบ นท กข อม ล ม การน าอ ปกรณ ของสาน กงาน ไปใช ภายนอกสาน กงาน

53 ผลกระทบ โอกาส ระด บความ เส ยง 42 6.การบร หารจ ดการด านการส อสารและการดาเน นงานของเคร อขายสารสนเทศขององค กร (Communications and operations management) 6.1 การกาหนดหน าท ความร บผ ดชอบและข นตอนการปฏ บ ต งาน (Operational procedures and responsibilities) ม จ ดประสงค เพ อให การดาเน นงานท เก ยวข องก บอ ปกรณ ประมวลผลสารสนเทศเป นไปอยางถ กต องและปลอดภ ย ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น ข นตอนการปฏ บ ต งานท เป นลายล กษณ อ กษร (Documented operating procedures) การควบค มการเปล ยนแปลง ปร บปร ง หร อ แก ไขระบบหร ออ ปกรณ ประมวลผล สารสนเทศ ( Change management) การแบงหน าท ความร บผ ดชอบ (Segregation of duties) การแยกระบบสาหร บการพ ฒนา การ ทดสอบ และการให บร การออกจากก น (Separation of development, test, and (ห วหน าแผนก) ต องจ ดทาค ม อข นตอนการ ปฏ บ ต งาน ปร บปร งตามระยะเวลาอ น สมควร และแจกจายให ก บผ ท เก ยวข อง (ห วหน าแผนก) ต องกาหนดให ม การ ควบค มการเปล ยนแปลง ปร บปร งหร อ แก ไขระบบหร ออ ปกรณ ประมวลผล สารสนเทศ (ห วหน าแผนก) ต องกาหนดให ม การแบง หน าท ความร บผ ดชอบเพ อลดโอกาสใน การเปล ยนแปลงหร อแก ไขโดยไมได ร บ อน ญาต หร อใช ผ ดว ตถ ประสงค ตอ ทร พย ส นทสารสนเทศขององค กร (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง จ ดให ม การแยกระบบสาหร บการพ ฒนา การทดสอบ และการให บร การจร งออกจาก กลาง กลาง ม การจ ดทาค ม อ ข นตอนปฏ บ ต งานใน บางสวน แตย งไมม การทบทวนปร บปร ง ตามระยะเวลา ย งไมม การควบค ม ใช งานไว เน อเช อใจ ก นในการแก ไขระบบ ม การแบงหน าท ร บผ ดชอบช ดเจน ม การกาหนดให แบงแยก แตไมได ปฏ บ ต ตาม เน องจากความไมสะดวกในการ ทางาน

54 ผลกระทบ โอกาส ระด บความ เส ยง 43 operational facilities) ก น เพ อลดความเส ยงในการเข าถ งหร อ เปล ยนแปลงแก ไขตอระบบสาหร บการ ให บร การจร งโดยไมได ร บอน ญาต 6.2 การบร หารจ ดการการให บร การของหนวยงานภายนอก (Third pary service delivery management) ม จ ดประสงค เพ อจ ดทาและร กษาระด บความม นคงปลอดภ ยของการปฏ บ ต หน าท โดยหนวยงานภายนอกให เป นไปตามข อตกลงท จ ดทาไว ระหวางองค กรก บหนวยงานภายนอก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การให บร การโดยหนวยงานภายนอก (Service delivery) การตรวจสอบการให บร การโดยหนวยงาน ภายนอก (Monitoring and review of third party services) (ห วหน าแผนก) ต องกาหนดให ผ ให บร การ จากภายนอกปฏ บ ต ตามข อกาหนดหร อ ข อตกลงท จ ดทาข นระหวางองค กรและผ ให บร การ ข อตกลงควรกลาวถ งมาตรการ การร กษาความม นคงปลอดภ ย ล กษณะ ของการให บร การและระด บของการ ให บร การ (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง ตรวจสอบการให บร การโดยหนวยงาน ภายนอกอยางสม าเสมอ เชน การด จาก การให บร การ การศ กษาจากรายงานและ ข อม ลตางๆ ท กาหนดให บ นท กไว เป นต น ม การกาหนดไว ในส ญญาจ ดซ อจ ดจ าง ม การตรวจสอบแตย งไมม การบ นท กผล การตรวจสอบ

55 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการเปล ยนแปลงในการ ให บร การ (Managing changes to third party services) (ห วหน าแผนก) ต องกาหนดให ทาการ ปร บปร งเง อนไขการให บร การของ หนวยงานภายนอกเม อม การเปล ยนแปลง ท สาค ญตอระบบหร อกระบวนการท เก ยวข องก บงานให บร การของหนวยงาน ภายนอก เชน การเปล ยนเทคโนโลย ใหม การใช ผล ตภ ณฑ ใหม เป นต น ม การปร บปร งเง อนไขอย ตลอด 6.3 การวางแผนและการตรวจร บทร พยากรสารสนเทศ (System planning and acceptance) ม จ ดประสงค เพ อลดความเส ยงจากความล มเหลวของระบบ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การวางแผนความต องการทร พยากร สารสนเทศ (Capacity management) (ห วหน าแผนก ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องม การวางแผนเพ อกาหนด ความต องการทร พยากรสารสนเทศ เพ มเต มในอนาคตเพ อให ระบบม ประส ทธ ภาพท เหมาะสมและเพ ยงพอตอ การใช งาน การตรวจจ บระบบ (System acceptance) (ห วหน าแผนก ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องจ ดให ม เกณฑ ในการตรวจ ร บระบบสารสนเทศใหม ท ปร บปร ง ม การวางแผนท ด อย แล ว ม การตรวจร บตรวจสอบท เป นระบบด อย แล ว หากไมตรงตามต องการจะไมตรวจ ร บระบบน นๆ

56 ผลกระทบ โอกาส ระด บความ เส ยง 45 เพ มเต ม หร อท เป นร นใหม รวมท งต อง ดาเน นการทอดสอบกอนท จะร บระบบน น มาใช งาน 6.4 การป องก นโปรแกรมท ไมประสงค ด (Protection against malicious and mobile code) ม จ ดประสงค เพ อร กษาซอฟต แวร และสารสนเทศให ปลอดภ ยจากากรถ กทาลายโดยซอฟต แวร ท ไมประสงค ด ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การป องก นโปรแกรมท ไมประสงค ด (Controls against malicious code) การป องก นโปรแกรมชน ดเคล อนท (Controls against mobile code) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย)ต องม มาตรตการสาหร บการตรวจจ บ การ ป องก น และการก กล บค นเพ อป องก น ทร พย ส นสารสนเทศจากโปรแกรมท ไม ประสงค ด รวมท งต องม การสร างความ ตระหน กท เก ยวข องให ก บผ ใช งานด วย (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต องม มาตรการเพ อควบค มการใช งานโปรแกรม ชน ดเคล อนท ส ง โปรแกรมท ป องก นซอฟแวร ไมประสงค ด ย งไมท นสม ยเพ ยงพอ ค อ Antivirus Server ม การป องก นด วยระบบควบค มสวนกลาง

57 ผลกระทบ โอกาส ระด บความ เส ยง การสารองข อม ล (Back-up) ม จ ดประสงค เพ อร กษาความถ กต องสมบ รณ และความพร อมใช ของสารสนเทศและอ ปกรณ ประมวลผลสารสนเทศ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การสารองข อม ล (Information back-up) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จ ดให ม การสารองและทดสอบข อม ลท สารองเก บไว อยางสม าเสมอ และให เป นไป ตามนโยบายการสารองข อม ลขององค กร ม การจ ดทาการสารองข อม ลและทดสอบ อย เสมอ

58 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการทางด านความม นคงปลอดภ ยสาหร บเคร อขายขององค กร (Network security management) ม จ ดประสงค เพ อป องก นสารสนเทศบนเคร อคายและโครงสร างพ นฐานท สน บสน นการทางานของเคร อขาย ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น มาตรการทางเคร อขาย (Network Controls) (ผ ด แลระบบเคร อขาย) ต องบร หารและ จ ดการเคร อขาย กาหนดมาตรการเพ อ ป องก นภ ยค กคามตาง ๆ ทางเคร อขาย และด แลร กษาความม นคงปลอดภ ยสาหร บ ระบบและแอปพล เคช นท ใช งานเคร อขาย รวมท งสารสนเทศตางๆ ท สงผานทาง เคร อขาย ความม นคงปลอดภ ยสาหร บบร การเคร อขาย (หน.คสร หน.คสก) ต องกาหนดค ณสมบ ต (Security of network services) ทางด านความม นคงปลอดภ ยระด บการ ให บร การ และข อกาหนดในการบร หาร จ ดการสาหร บบร การเคร อขายท งหมดท องค กรใช บร การอย และต องกาหนดไว ใน ข อตกลงในการให บร การเคร อขายโดยท บร การเคร อขายเหลาน อาจจะเป นบร การ เคร อขายภายในองค กรเองหร อบร การท ได ร บจากหนวยงายภายนอก ม การป องก นโดยการเป ดให ใช ระบบ เคร อขายในสวนท จาเป นเทาน น ม การ ป ดชองโหวตางๆ เพ อป องก นการโจมต ม การกาหนดไว ด วยวาจา และอย ใน กระบวนการทางานของผ ด แลระรบ ผ ด แลระบบเคร อขาย

59 ผลกระทบ โอกาส ระด บความ เส ยง การจ ดการส อท ใช ในการบ นท กข อม ล (Media handling) ม จ ดประสงค เพ อป องก นการเป ดเผย การเปล ยนแปลงแก ไข การลบหร อทาลายทร พย ส นสารสนเทศโดยไมได ร บอน ญาต และการต ดข ดหร อหย ดชะง กทางธ รก จ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การบร หารจ ดการส อบ นท กข อม ลท สามารถ เคล อนย ายได (Management of removeable media) (ห วหน าแผนก) ต องกาหนดข นตอนปฏ บ ต สาหร บบร หารจ ดการส อบ นท กข อม ลท สามารถเคล อนย ายได กลาง ย งไมม การกาหนด ช ดเจน การกาจ ดส อบ นท กข อม ล (Disposal of media) (ห วหน าแผนก) ต องกาหนดข นตอนปฏ บ ต สาหร บการทาลายส อบ นท กข อม ลท ไมม ความจาเป นต องใช งานอ กตอไปแล ว การ ทาลายต องเป นไปอยางม นคงและ ปลอดภ ย กลาง ย งไมม การกาหนดในการทาลายส อ บ นท กข อม ล ข นตอนปฏ บ ต สาหร บการจ ดการสารสนเทศ (Information handling procedures) (ห วหน าแผนก) ต องกาหนดข นตอนปฏ บ ต สาหร บการจ ดการและการจ ดเก บ สารสนเทศ เพ อป องก นการเข าถ งโดย ไมได ร บอน ญาต หร อการใช งานผ ด ว ตถ ประสงค กลาง ม การกาหนดข นตอนด วยวาจา และอย ใน กระบวนการทางานของผ เก ยวข องอย แล ว

60 ผลกระทบ โอกาส ระด บความ เส ยง การสร างความม นคงปลอดภ ยสาหร บ เอกสารระบบ (Security of system documentation) (ห วหน าแผนก) ต องกาหนดมาตรการ ป องก นเอกสารระบบจากการเข าถ งโดย ไมได ร บอน ญาต กลาง ม การกาหนดข นตอนด วยวาจา และอย ใน กระบวนการทางานของผ เก ยวข องอย แล ว 6.8 การแลกเปล ยนสารสนเทศ (Exchange of information) ม จ ดประสงค เพ อร กษาความม นคงปลอดภ ยของสารสนเทศและซอฟต แวร ท ม การแลกเปล ยนก นภายในองค กร และท ม การแลกเปล ยนก บหนวยงานภายนอก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น นโยบายและข นตอนปฏ บ ต สาหร บการ แลกเปล ยนสารสนเทศ (Information exchange policies and procedures) ข อตกลงในการแลกเปล ยนสารสนเทศ (Exchange agreements) (ห วหน าแผนก) ต องกาหนดนโยบาย ข นตอนปฏ บ ต และมาตรการรองร บเพ อ ป องก นป ญหาของการแลกเปล ยน สารสนเทศระหวางองค กร ( เชน องค กร และหนวยงานภายนอก) โดยผานทางชอง ทางการส อสารท กชน ด (ห วหน าแผนก) ต องจ ดทาข อตกลงในการ แลกเปล ยนสารสนเทศและซอฟต แวร ระหวางองค กรอยางเป นลายล กษณ อ กษร ม การกาหนดข นตอนด วยวาจา และอย ใน กระบวนการทางานของผ เก ยวข องอย แล ว เชน การใช งาน VPN อย ในกระบวนการทางานของผ เก ยวข อง อย แล ว

61 การสงส อบ นท กข อม ลออกไปนอกองค กร (Physical media in transit) การสงข อความทางอ เล กทรอน กส (Electronic messaging) ระบบสารสนเทศทางธ รก นท เช อมโยงก น (Business information systems) (บ คลากร) ต องป องก นส อบ นท กข อม ลจาก การเข าถ งโดยไมได ร บอน ญาตการใช งาน ผ ดว ตถ ประสงค และการทาให ข อม ลเก ด ความเส ยหายในระหวางท สงข อม ลน น ออกไปนอกองค กร (ผ ด แลระบบ) ต องกาหนดมาตรการในการ ป องก นสารสนเทศท การสงผานทาง ข อความอ เล กทรอน กส (ห วหน าแผนก) ต องกาหนดนโยบายและ ข นตอนปฏ บ ต เพ อป องก นสารสนเทศท เก ยวข องก บระบบสารสนเทศทางธ รก จท เช อมโยงก น ควบค มและป องก นลาบาก เน องจากส อ บ นท กข อม ล ม หลายชน ด อย ในกระบวนการทางานของผ ด แลระบบ อย ในกระบวนการทางานของผ เก ยวข อง อย แล ว

62 ผลกระทบ โอกาส ระด บความ เส ยง การสร างความม นคงปลอดภ ยสาหร บบร การพาณ ชย อ เล กทรอน กส (Electronic commerce service) ม จ ดประสงค เพ อสร างความม นคงปลอดภ ยสาหร บบร การพาณ ชย อ เล กทรอน กส และในการใช งาน ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การพาณ ชย อ เล กทรอน กส (Electronic commerce) การทาธ รกรรมออนไลน (On-line transactions) สารสนเทศท ม การเผยแพรออกส สาธารณะ (Publicly available information) (ห วหน าแผนก) ต องกาหนดมาตรการ สาหร บการป องก นสารสนเทศของระบบ พาณ ชย อ เล กทรอน กส ท ม การสงผานทาง เคร อขายสาธารณะจากการฉ อโกง การ เป ดเผย และการเปล ยนแปลงแก ไขโดย ไมได ร บอน ญาต (ห วหน าแผนก) ต องกาหนดมาตรการ สาหร บการป องก นสารสนเทศท ร บ-สง ท เก ยข องก บการทาธ รกรรมอนนไลน ท งน เพ อป องก นไมให เก ดความไมสมบ รณ ของ สารสนเทศท ร บ-สง สารสนเทศถ กสงไปผ ด เส นทางบนเคร อขายการเปล ยนแปลง สารสนเทศโดยไมได ร บอน ญาต (ห วหน าแผนก) ต องกาหนดให ม การ ป องก นความถ กต องและความสมบ รณ ของ สารสนเทศท ม การเผยแพรออกส สาธารณะ องค กรม การป องก นท ด อย แล ว องค กรม การป องก นท ด อย แล ว ม การตรวจสอบด วยผ บร หาร กอนท จะให เผยแพรออกส สาธารณะ

63 ผลกระทบ โอกาส ระด บความ เส ยง การเฝ าระว งทางด านความม นคงปลอดภ ย (Monitoring) ม จ ดประสงค เพ อตรวจจ บก จกรรมการประมวลผลสารสนเทศท ไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การบ นท กเหต การ ท เก ยวข องก บการใช งาน สารสนเทศ (Audit logging) การตรวจสอบการใช งานระบบ (Monitoring system use) การป องก นข อม ลบ นท กเหต การณ (Protection of log information) (ห วหน าแผนก ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องกาหนดให ทาการบ นท ก ก จกรรมการใช งานของผ ใช การปฏ เสธ การให บร การของระบบ และเหตการณ ตางๆ ท เก ยวข องก บความม นคงปลอดภ ย อยางสม าเสมอตามระยะเวลาท กาหนดไว (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ม ข นตอนปฏ บ ต เพ อตรวจสอบ การใช งานทร พย ส นสารสนเทศอยาง สม าเสมอ อาท เพ อด วาม ส งผ ดปกต เก ดข นหร อไม (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ม มาตรการป องก นข อม ลบ นท ก ก จกรรมหร อเหต การณ ตาง ๆ ท เก ยวข อง ก บการใช งานสารสนเทศ เพ อป องก นการ เปล ยนแปลงหร อการแก ไขโดยไมได ร บ อน ญาต ส ง ย งม การบ นท กท ไมด พอ ย งไมสามารถ ระบ ต วตน เหต การณ ตางๆ ได ครบถ วน ม การตรวจสอบการใช งานระบบอย อยาง สม าเสมออย แล ว ม การป องก นท ด อย แล ว

64 บ นท กก จกรรมการดาเน นงานของเจ าหน าท ท เก ยวข องก บระบบ (Administrator and operator logs) การบ นท กเหต การณ ข อผ ดพลาด (Fault logging) การต งเวลาของเคร องคอมพ วเตอร ให ตรงก น ( Clock synchronization) (ห วหน าแผนก) ต องกาหนดให ม การบ นท ก กรรมการดาเน นงานของผ ด แลระบบหร อ เจ าหน าท ท เก ยวข องก บระบบอ นๆ (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ม การบ นท กเหต การณ ข อผ ดพลาดตาง ๆ ท เก ยวข องก บการใช งานสารสนเทศ ว เคราะห ข อผ ดพลาด เหลาน น และดาเน นการแก ไขตามสมควร (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต องต ง เวลาของเคร องคอมพ วเตอร ท กเคร องใน สาน กงานให ตรงก นโดยอ างอ งจากแหลง เวลาท ถ กต องเพ อชวยในการตรวจสอบ ชวงเวลาหากเคร องคอมพ วเตอร ของ องค กรถ กบ กร ก กลาง กลาง ม การบ นท กอย ตลอดเป นรายเด อน ม ข อกาหนดด วยวาจาให บ นท ก แตผ ด และระบบ ผ ด แลระบบเคร อขาย อาจะ ไมได ทาการบ นท ก เน องจากไมม กระบวนการตรวจสอบ ม การต งเวลาในสวนสาค ญครบถ วนแตย ง ขาดสวนยอยบางระบบบางอ ปกรณ

65 ผลกระทบ โอกาส ระด บความ เส ยง 54 7.การควบค มการเข าถ ง (Access Control) 7.1 ข อกาหนดทางธ รก นสาหร บการควบค มการเข าถ งสารสนเทศ (Business requirements for access control) ม จ ดประสงค เพ อควบค มการเข าถ งสารสนเทศ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น นโยบายการควบค มการเข าถ งระบบ (Access control policy) (ผ บร หารองค กร) ต องกาหนดให ม การ จ ดทานโยบายควบค มการเข าถ งอยางเป น ลายล กษณ อ กษร และปร บปร งตาม ระยะเวลาท กาหนดไว การจ ดทานโยบายน จะพ จารณาจากความต องการทางธ รก จ และทางด านความม นคงปลอดภ ยในการ เข าถ งทร พย ส นสารสนเทศ กลาง เร มม การประกาศบ งค บใช ด วยวาจา แต ย งขาดลายล กษณ อ กษร

66 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการการเข าถ งของผ ใช (User access management) ม จ ดประสงค เพ อควบค มการเข าถ งระบบสารสนเทศเฉพาะผ ท ได ร บอน ญาตแล วและป องก นการเข าถ งโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การลงทะเบ ยนผ ใช งาน (User registration) (ห วหน าแผนก) ต องกาหนดให ม ข นตอน ปฏ บ ต อยางเป นทางการสาหร บการ ลงทะเบ ยนผ ใช งานใหม เพ อให ม ส ทธ ตางๆ ในการใช งานตามความจาเป น รวมท งข นตอนปฏ บ ต สาหร บการยกเล ก ส ทธ การงาน เชน เม อลาออกไปหร อ เปล ยนตาแหนงงานภายในองค กร เป นต น การบร หาจ ดการส ทธ การใช งานระบบ (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง (Privilege management) จ ดให ม การควบค มและจาก ดส ทธ การใช การบร หารจ ดการรห สผานสาหร บผ ใช งาน (User password management) งานระบบตามความจาเป นในการใช งาน (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ม กระบวนการบร หารจ ดการรห สผาน สาหร บผ ใช งานอยางเป นทางการ เพ อ ควบค มการจ ดสรรรห สผานให แกผ ใช งาน อยางม ความม นคงปลอดภ ย กลาง เข าถ งข อม ลโดยไมได ร บอน ญาตส ญเส ย ข อม ล ม กระบวนการจ ดการควบค มส ทธ อย ตาม ภาระหน าท ประจาว นของผ ด แลระบบ ผ ด แลระบบเคร อขาย ม กระบวนการจ ดการควบค มส ทธ อย ตาม ภาระหน าท ประจาว นของผ ด แลระบบ ผ ด แลระบบเคร อขาย

67 ผลกระทบ โอกาส ระด บความ เส ยง การทบทวนส ทธ การเข าถ งของผ ใช งาน (Review of user access rights) (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ม กระบวนการทบทวนส ทธ การเข าถ ง ของผ ใช งานระบบอยางเป นทางการตาม ระยะเวลาท กาหนดไว ส ง ย งไมม กาหนดให ทบทวนส ทธ ผ ด แล ระบบ และผ ด แลระบบ จ ดการทาก นเอง ตามเทาท จาได ไมม กาหนดระยะเวลาท แนนอนในการทา 1.2 หน าท ความร บผ ดชอบของผ ใช งาน (User responsibilities) ม จ ดประสงค เพ อป องก นการเข าถ งโดยไมได ร บอน ญาต การเป ดเผยหร อการขโมยสารสนเทศและอ ปกรณ ประมวลผลสารสนเทศ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การใช งานรห สผาน (Password use) (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง กาหนดว ธ ปฏ บ ต ท ด สาหร บผ ใช งานในการ เล อกและใช งานรห สผาน การป องก นอ ปกรณ ท ไมม พน กงานด แล (บ คลากร) ต องม ว ธ เพ อป องก นไมให ผ ไมม (Unattended user equipment) ส ทธ สามารถเข าถ งอ ปกรณ สาน กงานท ไม ม ผ ด แล ม การกาหนดรห สผานประกาศให ทราบ อย แล ว อ ปกรณ สาน กงานสวนใหญแทบท งหมด จะม ผ ด แลอย หมดแล ว

68 ผลกระทบ โอกาส ระด บความ เส ยง นโยบายควบค มการไมท งทร พย ส น สารสนเทศสาค ญไว ในท ท ไมปลอดภ ย (ห วหน าแผนก) ต องจ ดทานโยบายเพ อ ควบค มไมให ม การปลอยให ทร พย ส น สารสนเทศท สาค ญ เชน เอกสาร ส อบ นท ก ข อม ล อย ในสถานท ท ไมปลอดภ ย เชน สามารถเข าถ งได ทางกายภาพ อย ใน บร เวณท เป นท สาธารณะหร อพบเห นได งาย เป นต น กลาง ย งไมม นโยบายควบค ม 7.4การควบค มการเข าถ งเคร อขาย (Network access control) ม จ ดประสงค เพ อป องก นการเข าถ งบร การทางเคร อขายโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง สถานะป จจ บ น ป จจ ยเส ยง นโยบายการใช งานบร การเคร อขาย (Policy on use of network services) การพ ส จน ต วตนสาหร บผ ใช ท อย ภายนอก องค กร (User authentication for external connections) (ผ บร หารสารสนเทศ) ต องจ ดทานโยบาย การใช งานเคร อขายซ งจะต องครอบคล มถ ง การระบ วาบร การใดท อน ญาตให ผ ใช งาน สามารถใช ได บร การใดไมสามารถใช งาน ได (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต องม การป องก นไมอน ญาตให บ คคลภายนอกเข าใช ระบบโดยไมได ร บ อน ญาต ส ง ย งไมม นโยบายควบค ม ม การป องก นท ด อย แล ว ซ ง บ คคลภายนอกไมสามารถเข าใช งานกอน ได ร บอน ญาตได

69 การพ ส จน ต วตนอ ปกรณ บนเคร อขาย (Equipment identification in networks) การป องก นพอร ตท ใช สาหร บตรวจสอบและ ปร บแตงระบบ (Remote diagnostic and configuration port protection การแบงแยกเคร อขาย (Segregation in networks) การควบค มการเช อมตอทางเคร อขาย ( Network connection control ) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให อ ปกรณ บนเคร อขายสามารถ ระบ และพ ส จน ต วตนเพ อบงบอกวาการ เช อมตอน นมาจากอ ปกรณ หร อสถานท ท ได ร บอน ญาตแล ว (ผ ด และระบบ ผ) ต องมาตรการป องก น การเข าถ งพอร ตท ใช สาหร บตรวจสอบและ ปร บแตงระบบ มาตรการต องครอบคล มท ง การป องก นทางกายภาพและการป องก น การเข าถ งโดยผานทางเคร อขาย (ผ ด แลระบบเคร อขาย) ต องทาการ แบงแยกเคร อขายตามกล มของบร การ สารสนเทศท ใช งาน เชน การแบง Vlan การแบง Zone internal / External อยาง ช ดเจน (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จาก ดผ ใช งานในการเช อมตอทางเคร อขาย ระหวางองค กรการเช อมตอต องเป นไปตาม นโยบายควบค มการเข าถ งและข อกาหนดท แอปพล เคช นท ใช งานทางธ รก จได ระบ ไว กลาง กลาง ม การกาหนดไว บางสวน เชนอ ปกร Switch ม การป องก นโดยการป ดพอร ตไว ท ก พอร ตและเป ดเฉพาะพอร ตท จาเป นตอ การใช งานเทาน น ม การแบง Vlan แตย งไมม การแบงแยก Zone Internal / External อยางช ดเจน ย งไมม นโยบายควบค ม

70 ผลกระทบ โอกาส ระด บความ เส ยง การควบค มการกาหนดเส นทางบนเคร อขาย ( Network Routing control ) (ผ ด แลระเบบเคร อขาย) ต องกาหนด เส นทางบนเคร อขายเพ อควบค มการ เช อมตอทางเคร อขายและการไหลเว ยน ของสารสนเทศบนเคร อขายให เป นไปตาม นโยบายควบค มการเข าถ ง ม การควบค มการเช อมตอและการ ไหลเว ยนอย แล วในกระบวนการทางาน 7.3 การควบค มการเข าถ งระบบปฏ บ ต การ (Operating system access control) ม จ ดประสงค เพ อป องก นการเข าถ งระบบปฏ บ ต การโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น ข นตอนปฏ บ ต ในการเข าถ งระบบอยางม นคง ปลอดภ ย (Secure log-on procedures) การระบ และพ ส จน ต วตนของผ ใช งาน (User identification and authentication) (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ม ข นตอนปฏ บ ต ท ม ความม นคง ปลอดภ ยสาหร บการเข าถ งหร อการเข าใช งานระบบปฏ บ ต การ (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ผ ใช งานม ข อม ลสาหร บระบ ต วตนใน การเข าใช งานระบบท ไมซ าซ อนก น และ ต องจ ดให ม กระบวนการพ ส จน ต วตนกอน เข าใช งานระบบตามข อม ลระบ ต วตนท ได ร บ ส ง ม ความปลอดภ ยในบางสวน ย งขาดความ ปลอดภ ยในอ ปกรณ ระบบเคร อขาย เชน Switch ควรจะใช SSH ในการเข าถ งระบบ ซ งป จจ บ นใช Telnet ม การระบ และพ ส นจ ต วตนท ด แล ว

71 ระบบบร หารจ ดการรห สผาน (Password management system) การใช งานโปรแกรมประเภทย ท ล ต (Use of system utilities) การหมดเวลาการใช งานระบบสารสนเทศ (Session time-out) การจาก ดระยะเวลาการเช อมตอระบบ สารสนเทศ (Limitation of connection time) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จ ดทาหร อจ ดให ม ระบบบร หารจ ดการ รห สผานท ม การควบค มการกาหนด รห สผานท ม ค ณภาพ (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จาก ดและควบค มการใช งานโปรแกรม ประเภทย ท ล ต เพ อป องก นการละเม ดหร อ หล กเล ยงมาตรการความม นคงปลอดภ ยท ได กาหนดไว หร อม อย แล ว (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ระบบต ดการใช งานผ ใช เม อผ ใช ไมได ใช งานระบบมาเป นระยะเวลาหน ง ตามท กาหนดไว (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จาก ดระยะเวลาในการเช อมตอระบบ สารสนเทศท ม ความสาค ญส ง ระบบจ ดการรห สผานท ใช อย เป นระบบ Active Directory ซ งม ความนาเช อถ อและค ณภาพด ม การควบค มโปรแกรมประเภทย ท ล ต อย แล ว ซ งการใช งานโปรแกรมใดๆ ต อง ได ร บการอน ญาตในการต ดต งจากศ นย คอมพ วเตอร กอน ม การกาหนดไว ด วยกระบวนการทางาน อย แล ว ระบบม การจาก ดจานวนการเช อมตอไว อย แล ว เชน ระบบ Firewall สามารถเข าถ งได ท ละ 1 user เทาน น

72 ผลกระทบ โอกาส ระด บความ เส ยง การควบค มการเข าถ งแอปพล เคช นและสารสนเทศ (Application and information access control) ม จ ดประสงค เพ อป องก นการเข าถ งสารสนเทศของแอปพล เคช นโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจาก ดการเข าถ งสารสนเทศ (Information access restriction) การแยกระบบสารสนเทศท ม ความสาค ญส ง (Sensitive system isolation) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย)ต อง จาก ดการเข าถ งสารสนเทศและฟ งก ช น ตางๆ ของแอปพล เคช นตามนโยบาย ควบค มการเข าถ งสารสนเทศท ได กาหนด ไว การเข าถ งจะต องแยกตามประเภทของ ผ ใช งาน (ห วหน าแผนก) ต องแยกระบบสารสนเทศ ท ม ความสาค ญส งไว ในบร เวณท แยก ตางหากออกมาสาหร บระบบน โดยเฉพาะ ม การจาก ดไว ตามส ทธ ท ได ร บการ อน ญาต เข าถ ง ม การแยกระบบสารสนเทศท สาค ญส ง แยกไว ในกระบวนการทางานอย แล ว

73 ผลกระทบ โอกาส ระด บความ เส ยง การควบค มอ ปกร ส อสารประเภทพกพาและการปฏ บ ต งานจากภายนอกองค กร (Mobile computing and teleworking) ม จ ดประสงค เพ อสร างความม นคงปลอดภ ยสาหร บอ ปกรณ ส อสารประเภทพกพาและการปฏ บ ต จากภายนอกองค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การป องก นอ ปกรณ ส อสารประเภทพกพา (Mobile computing and communications) การปฏ บ ต งานจากภายนอกสาน กงาน (Teleworking) (ห วหน าแผนก) ต องกาหนดนโยบายเพ อ ควบค มหร อป องก นอ ปกรณ ส อสารชน ด พกพา (เชน notebook, laptop, โทรศ พท ม อถ อ) และต องกาหนดมาตรการ ป องก นโดยพ จารณาจากความเส ยงท ม ตอ อ ปกรณ เหลาน (ผอ.ศคพ. ผช.ผคพ.) ต องกาหนดนโยบาย แผนงาน และข นตอนปฏ บ ต สาหร บ บ คลากรท จาเป นต องปฏ บ ต งานของ องค กรจากภายนอกสาน กงาน กลาง ย งไมม นโยบายป องก น แตม กระบวนการ ทางานท ป องก นอย แล ว ม การกาหนดไว ด วยวาจา เชนต องใช VPN ในการเข ามาปฏ บ ต งานจากายนอกสาน ก งาน

74 ผลกระทบ โอกาส ระด บความ เส ยง 63 8.การจ ดหา การพ ฒนาและการบาร งร กษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 8.1 ข อกาหนดด านความม นคงปลอดภ ยสาหร บระบบสารสนเทศ (Security requirements of information systems) ม จ ดประสงค เพ อให การจ ดหาและการพ ฒนาระบบสารสนเทศได พ จารณาถ งประเด นทางด านความม นคงปลอดภ ยเป นองค ประกอบพ นฐานท สาค ญ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การว เคราะห และการระบ ข อกาหนดทางด าน ความม นคงปลอดภ ย (Security requirements analysis and specification) (ผ พ ฒนาระบบ และผ เป นเจ าของระบบ) ต องว เคราะห และระบ ข อกาหนดทางด าน ความม นคงปลอดภ ยสาหร บระบบ สารสนเทศใหม หร อระบบท ปร บปร งจาก ระบบท ม อย แล ว ม อย ในกระบวนการทางานอย แล ว

75 ผลกระทบ โอกาส ระด บความ เส ยง การประมวลผลสารสนเทศในแอปพล เคช น (Correct processing in applications) ม จ ดประสงค เพ อป องก นความผ ดพลาดในสารสนเทศ การส ญหายของสารสนเทศ การเปล ยนแปลงสารสนเทศโดยไมได ร บอน ญาต หร อการใช งานสารสนเทศผ ด ว ตถ ประสงค ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การตรวจสอบข อม ลน าเข า (Input data validation) การตรวจสอบข อม ลท อย ในระหวางการ ประมวลผล (Control of internal processing) (ผ พ ฒนาระบบ) ต องกาหนดกลไกสาหร บ ตรวจสอบข อม ลน าเข าของแอปพล เคช นวา ข อม ลน นม ความถ กต องและเหมาะสม กอนท จะน าไปประมวลผลตอไป (ผ พ ฒนาระบบ) ต องกาหนกลไกสาหร บ การตรวจสอบวาข อม ลท อย ในระหวางการ ประมวลผลเก ดความผ ดพลาดข นหร ไม เชน อาจม สาเหต จากความผ ดพลาดในการ ประมวลผล การกระทาโดยเจตนาของผ ท เก ยวข อง เป นต น ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

76 ผลกระทบ โอกาส ระด บความ เส ยง การตรวจสอบความถ กต องของข อความ (Message integrity) การตรวจสอบข อม ลน าออก (Output data validation) (ผ พ ฒนาระบบ) ต องระบ ข อกาหนดสาหร บ การตรวจสอบความถ กต องของข อความ สาหร บแอปพล เคช น (เพ อให สามารถ ตรวจสอบได วาเป นข อความต นฉบ บท ถ กต อง) รวยท งกาหนดมาตรการรองร บ เพ อป องก นการเปล ยนแปลงหร อแก ไข ข อความน นโดยไมได ร บอน ญาต (ผ พ ฒนาระบบ) ต องกาหนดกลไกสาหร บ การตรวจสอบข อม ลน าออกจากแอปพล เค ช นเพ อเป นการทบทวนวาการประมวลผล ของสารสนเทศท เก ยวข องเป นไปอยาง ถ กต องและเหมาะสม ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว 8.3 มาตรการการเข ารห สข อม ล (Cryptographic controls) ม จ ดประสงค เพ อร กษาความล บของข อม ล ย นย นต วตนของผ สงข อม ล หร อร กษาความถ กต องสมบ รณ ของข อม ลโดยใช ว ธ การ การเข ารห สข อม ล ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น นโยบายการใช งานการเข ารห สข อม ล (Policy on the use of cryptographic controls) (ห วหน าแผนก) ต องกาหนดให ม นโยบาย ควบค มการใช งานการเข ารห สข อม ล และ ให ม ผลบ งค บใช งานภายในองค กร ม อย ในกระบวนการทางานอย แล ว

77 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการก ญแจเข ารห สข อม ล (Key management) (ห วหน าแผนก) ต องกาหนดให ม การ บร หารจ ดการสารห บก ญแจท ใช ในการเข า หร อถอดรห สข อม ล โดยก ญแจเหลาน จะใช งานรวมก บเทคน คการเข ารห สข อม ลท กาหนดเป นมาตรฐานขององค กร ม อย ในกระบวนการทางานอย แล ว 8.4 การสร างความม นคงปลอดภ ยให ก บไฟล ของระบบท ให บร การ (Security of system files) ม จ ดประสงค เพ อสร างความม นคงปลอดภ ยให ก บไฟล ตางๆ ของระบบท ให บร การ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การควบค มการต ดต งซอฟต แวร ลงไปย ง ระบบท ให บร การ (Control of operational software) (ห วหน าแผนก) ต องจ ดให ม ข นตอนปฏ บ ต เพ อควบค มการต ดต งซอฟต แวร ตาง ๆ ลง ไปย งระบบท ให บร การ ท งน เพ อลดความ เส ยงท จะทาให ระบบให บร การน นเก ด ความเส ยหายทางานผ ดปกต หร อไม สามารถใช งานได ม อย ในกระบวนการทางานอย แล ว

78 การป องก นข อม ลท ใช สาหร บการทดสอบ (Protection of system test data) การควบค มการเข าถ งซอร สโค ดสาหร บ ระบบ (Access control to program source code) (ผ พ ฒนาระบบ) ต องหล กเล ยงการใช ข อม ล จร งท ใช งานอย บนระบบให บร การสาหร บ ทาการทดสอบระบบ หากม ความ จาเป นต องใช ต องกาหนดให ม การป องก น และควบค มการใช งาน เชน ควรลบท ง บางสวนของข อม ลท เป นความล บ ข อม ล สวนต ว หร อข อม ลสาค ญ (ผ พ ฒนาระบบ ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องจาก ดการเข าถ งซอร สโค ด สาหร บระบบท ให บร การ ท งน เพ อป องก น การเปล ยนแปลงท อาจเก ดข นโดยไมได ร บ อน ญาต หร อโดยไมได เจตนา ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

79 ผลกระทบ โอกาส ระด บความ เส ยง การสร างความม งคงปลอดภ ยสาหร บกระบวนการในการพ ฒนาระบบและกระบวนการสน บสน น (Security in development and support processes) ม จ ดประสงค เพ อร กษาความม นคงปลอดภ ยสาหร บซอฟต แวร และสารสนเทศของระบบ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น ข นตอนปฏ บ ต (ห วหน าแผนก) ต องกาหนดให ม การจ ดทา นโยบายควบค มการเข าถ งอยางเป นลาย ล กษณ อ กษร และปร บปร งตามระยะเวลาท กาหนดไว การจ ดทานโยบายน จะพ จารณา จากคามต องการทางฑ รก จและทางด าน ความม นคงปลอดภ ยในการเข าถ ง ทร พย ส นสารสนเทศ การตรวจสอบการทางานของแอปพล เคช น (ผ พ ฒนาระบบ ผ ด และระบบ ผ ด แลระบบ ภายหล งจากท เปล ยนแปลงระบบปฏ บ ต การ เคร อขาย ) ต องทาการตรวจสอบทาง (Technical review of applications afrer เทคน คภายหล งจากท เปล ยนแปลง operating system changes) ระบบปฏ บ ต การเพ อด วาแอปพล เคช นท ทางานอย บนระบบปฏ บ ต การน น ทางาน ผ ดปกต ไมสามารถใช งานได หร อม ป ญหา ทางด านความม นคงปลอดภ ยเก ดข น หร อไม ส ง ย งไมม นโยบาย ม อย ในกระบวนการทางานอย แล ว

80 การจาก ดการเปล ยนแปลงแก ไขตอ ซอฟต แวร ท มาจากผ ผล ต (Restrictions on changes to software packages) การป องก นการร วไหลของสารสนเทศ (Information leakage) การบร หารจ ดการชองโหวในฮาร ดแวร และ ซอฟต แวร (Technical Vulnerability Management) (ห วหน าแผนก) ต องหล กเล ยงการ เปล ยนแปลงแก ไขตอซอฟต แวร ท มาจาก ผ ผล ต หากจาเป นต องแก ไข ต องแก ไข ตามความจาเป นเทาน น และต องม การ ควบค มการแก ไขน นอยางเข มงวดด วย (ห วหน าแผนก) ต องกาหนดมาตรการเพ อ ป องก นการร วไหลของสารสนเทศของ องค กร หร อลดโอกาสท จะทาให สารสนเทศ เก ดการร วไหลออกไป (ห วหน าแผนก) ต องกาหนดมาตรการเพ อ ควบค มและตรวจสอบการพ ฒนา ซอฟต แวร โดยหนวยงานภายนอก ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

81 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการชองโหวในฮาร ดแวร และซอปต แวร (Technical Vulnerability Management) ม จ ดประสงค เพ อลดความเส ยงจากการโจมต โดยอาศ ยชองโหวทางเทคน คท ม การเผยแพรหร อต พ มพ ในสถานท ตางๆ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น มาตรการควบค มชองโหวทางเทคน ค (Control of technical vulnerabilities) (ห วหน าแผนก) ต องกาหนดให ม การ ต ดตามข อม ลขาวสารท เก ยวข องก บชอง โหวในระบบตาง ๆ ท ใช งาน ประเม นความ เส ยงของชองโหวเหลาน น รวมท ง กาหนด มาตรการรองร บเพ อลดความเส ยงด งกลาว ม อย ในกระบวนการทางานอย แล ว

82 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการเหต การณ ท เก ยวข องก บความม นคงปลอดภ ยขององค กร (Information security incident management) 9.1 การรายงานเหต การณ และจ ดออนท เก ยวข องก บความม นคงปลอดภ ยตอระบบสารสนเทศขององค กรได ร บการดาเน นการท ถ กต องในชวงระยะเวลาท เหมาะสม ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การรายงานเหต การณ ท เก ยวข องก บความ ม นคงปลอดภ ย (Reporting information security events) การรายงานจ ดออนท เก ยวข องก บความม นคง ปลอดภ ยขององค กร (Reporting secutiry weaknesses) (พน กงาน หร อผ ท องค กรวาจ างตามส ญญา การจ างงาน หร อพน กงานของหนวยงาน ภายนอกท ปฏ บ ต งานอย ภายในองค กร) ต องรายงานเหต การณ ท เก ยวข องก บความ ม นคงปลอดภ ยขององค กร โดยผานชอง ทางการรายงานท กาหนดไว และจะต อง ดาเน นการอยางรวดเร วท ส ดเทาท จะทาได (พน กงาน หร อผ ท องค กรวาจ างตามส ญญา การจ างงาน หร อพน กงานของหนวยงาน ภายนอกท ปฏ บ ต งานอย ภายในองค กร) ต องบ นท กและรายงานจ ดออนท เก ยวข อง ก บความม นคงปลอดภ ยขององค กรท ส งเกตพบหร อเก ดความสงส ยในระบบหร อ บร การท ใช งานอย กลาง กลาง องกรค ย งไมม ในสวนน องกรค ย งไมม ในสวนน

83 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการและการปร บปร งแก ไขตอเหต การณ ท เก ยวข องก บความม นคงปลอดภ ย (Management of information security incidents and improvements) ม จ ดประสงค เพ อให ม ว ธ การท สอดคล องและได ผลในการบร หารจ ดการเหต การ ท เก ยวข องก บความม นคงปลอดภ ยสาหร บสารสนเทศขององค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น หน าท ความร บผ ดชอบและข นตอนปฏ บ ต (Ressponsibilities and procedures) การเร ยนร จากเหต การ ท เก ยวข องก บความ ม นคงปลอดภ ย (Learning from security incidents) (ห วหน าแผนก) ต องกาหนดหน าท ความ ร บผ ดชอบและข นตอนปฏ บ ต เพ อร บม อก บ เหต การ ท เก ยวข องก บความม นคง ปลอดภ ยขององค กร และข นตอนด งกลาว ต องม ความรวดเร ว ได ผล และม ความเป น ระบบระเบ ยบท ด (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง บ นท กเหต การ ละเม ดความม นคงปลอดภ ย โดยอยางน อยจะต องพ จารณาถ งประเภท ของเหต การณ ปร มาณท เก ดข น และ คาใช จายเก ดข นจากความเส ยหาย เพ อจะ ได เร ยนร จากเหต การณ ท เก ดข นแล ว และ เตร ยมการป องก นท จาเป นลวงหน า กลาง ม อย ในกระบวนการทางานอรวจสอบย แล ว ผ ด และระบบ ผ ด แลระบบเคร อขาย ย ง ขาดการบ นท กในสวนน และย งไม สามารถท จะตรวจสอบผ ระเม ดความ ม นคงปลอดภ ยได อยางช ดเจน

84 ผลกระทบ โอกาส ระด บความ เส ยง การเก บรวบรวมหล กฐาน (Collection of evidence) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง รวบรวมและจ ดเก บหล กฐานตามกฏหร อ หล กเกณฑ สาหร บการเก บหล กฐานอ างอ ง ในกระบวนการทางศาลท เก ยวข อง เม อ พบวาเหต การณ ท เก ดข นน นม ความ เก ยวข องก บการดาเน นการทางกฏหมาย หร ออาญา กลาง ม อย ในกระบวนการทางานอย แล วแต หล กฐานย งไมสามารถระบ ได ช ดเจน เชน เร องเวลา และเร องระบ ต วตน 10. การบร หารความตอเน องในการดาเน นงานขององค กร (Business continuity management) 10.1 ห วข อพ นฐานสาหร บการบร หารความตอเน องในการดาเน นงานขององค กร (Information security aspects of business continuity management) ม จ ดประสงค เพ อป องก นการต ดข ดหร อการหย ดชะง กของก จกรรมตางๆ ทางธ รก จ เพ อป องก นกระบวนการทางธ รก จท สาค ญอ นเป นผลมาจากการล มเหลวหร อ หายนะท ม ตอระบบสารสนเทศ และเพ อให สามารถก ระบบกล บค นมาได ภายในระยะเวลาอ นเหมาะสม ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น กระบวนการในการสร างความตอเน องให ก บ ธ รก จ (Including information security in the business continuity management process) (ห วหน าแผนก) ต องกาหนดให ม กระบวนการในการสร างความตอเน อง ให ก บธ รก จ การบร หารจ ดการและการ ปร บปร งกระบวนการด งกลาวอยาง สม าเสมอ กระบวนการน จะต องระบ ข อกาหนดท เก ยวข องก บความม นคง ปลอดภ ยท จาเป นสาหร บการสร างความ กลาง ย งไมม การกาหนดกระบวนการสร าง ความตอเน องให ก บธ รก จ ม เพ ยงการ บอกกลาวก นด วยวาจาเทาน น

85 การประเม นความเส ยงในการสร างความ ตอเน องให ก บธ รก จ (Business continuity and risk assessment) การจ ดทาและใช งานแผนสร างความตอเน อง ให ก บธ รก จ (Developing and implementing continuity plans including information security) การกาหนดกรอบสาหร บการวางแผนเพ อ สร างความตอเน องให ก บธ รก จ (Business continuity planning framework) ตอเน องให ก บธ รก จ (ห วหน าแผนก) ต องระบ เหต การณ ท สามารถทาให ธ รก จขององค กรเก ดการ ต ดข ดหร อหย ดชะง ก โอกาสท จะเก ดข น ผลกระทบท เป นไปได รวมท งผลท เก ดข น ตอความม นคงปลอดภ ยสาหร บสารสนเทศ ขององค กร (ห วหน าแผนก) ต องจ ดทาและใช งานแผน สร างความตอเน องให ก บธ รก จและการ ดาเน นงานตางๆ ให สามารถดาเน นตอไป ได ในระด บและชวงเวลาท กาหนดไว ภายหล งจากท ม เหต การณ ท ทาให ธ รก จ เก ดการต ดข ด หย ดชะง ก หร อล มเหลว (ห วหน าแผนก) ต องกาหนดกรอบสาหร บ การวางแผนเพ อสร างความตอเน องให ก บ ธ รก จ เพ อให แผนงานท เก ยวข องท งหมดม ความสอดคล องก น ครอบคล มข อกาหนด ทางด านความม นคงปลอดภ ยท กาหนดไว และจ ดลาด บความสาค ญของงานตางๆ ท ต องดาเน นการ กลาง ม การระบ ด วยการพ ดค ยก นด วยวาจา เทาน น การประเม นความเส ยงย งใช เกณฑ ความร ส กเข ามาพ จารณาเทาน น ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

86 ผลกระทบ โอกาส ระด บความ เส ยง การทดสอบและการปร บปร งแผนสร างความ ตอเน องให ก บธ รก จ (Testing, maintaining and re-assessing business continuity plans) (ห วหน าแผนก) ต องกาหนดให ม การ ทดสอบและปร บปร งแผนสร างความ ตอเน องให ก บธ รก จอยางสม าเสมอ เพ อให แผนม ความท นสม ยและได ผลเป นอยางด กลาง ม การการปร บปร งแผนแตไมได กาหนด ระยะเวลาในการทบทวนปร บปร งแผน รวมท งย งไมได ม การกาหนดให ทดสอบ อยางเป นทางการ 11. การปฏ บ ต ตามข อกาหนด (Compliance) 11.1 การปฏ บ ต ตามข อกาหนดทางกฎหมาย (Compliance with legal requirements) ม จ ดประสงค เพ อหล กเล ยงการละเม ดข อกาหนดทางกฎหมาย ระเบ ยบปฏ บ ต ข อกาหนดในส ญญา และข อกาหนดทางด านความม นคงปลอดภ ยอ นๆ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การระบ ข อกาหนดตางๆ ท ม ผลทาง กฎหมาย (Identification of applicable legislation) (ห วหน าแผนกน ต การ) ต องระบ ข อกาหนด ทางด านกฎหมาย ทางด านระเบ ยบปฏ บ ต และท ปรากฎในส ญญา (ระหวางองค กร และบ คคลหร อหนวยงานภายนอกอ น) ท เก ยวข องก บการดาเน นงานหร อธ รก จของ องค กร ต องบ นท กข อกาหนดด งกลาวไว เป นลายล กษณ อ กษร และปร บปร ง ข อกาหนดเหลาน นให ท นสม ยอย เสมอ ม อย ในกระบวนการทางานอย แล ว

87 การป องก นส ทธ และทร พย ส นทางป ญญา (Intellectual property rights (IRP)) การป องก นข อม ลสาค ญท เก ยวข องก บ องค กร (Protection of organizational records) การป องก นข อม ลสวนต ว (Data protection and privacy of personal information) การป องก นการใช งานอ ปกรณ ประมวลผล สารสนเทศผ ดว ตถ ประสงค (Prevention of misuse of information processing (ห วหน าแผนกน ต การ) ต องกาหนด ข นตอนปฏ บ ต เพ อป องก นการละเม ดส ทธ หร อทร พย ส นทางป ญญา ข นตอนปฏ บ ต ด งกลาวต องกาหนดหร อควบค มให ปฏ บ ต ตามข อกาหนดทางด านกฎหมาย ทางด าน ระเบ ยบปฏ บ ต และท ปรากฎในส ญญา (ระหวางองค กร และบ คคลหร อหนวยงาน ภายนอกอ น) รวมท งข อกาหนดในการใช งานผล ตภ ณฑ ซอฟต แวร จากผ ขายด วย (ห วหน าแผนก) ต องกาหนดให ม การ ป องก นข อม ลท เก ยวข องก บข อกาหนดทาง กฎหมายและระเบ ยบปฏ บ ต ข อกาหนดท ปรากฎในส ญญา และข อกาหนดทางธ รก จ จากการส ญหาย การถ กทาลายให เส ยหาย และการปลอมแปลง (ผ บร หารองค กร) ต องกาหนดให ม การ ป องก นข อม ลสวนต วตามท ระบ หร อ กาหนดไว ในกฎหมาย ระเบ ยบปฏ บ ต และ ข อส ญญาท เก ยวข อง (ห วหน าแผนก) ต องป องก นไมให ผ ใช งาน ใช อ ปกรณ ประมวลผลสารสนเทศของ องค กรผ ดว ตถ ประสงค หร อโดยไมได ร บ ส ง ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว ย งไมม การกาหนดหร อนโยบายควบค มท ช ดเจน ม อย ในกระบวนการทางานอย แล ว

88 ผลกระทบ โอกาส ระด บความ เส ยง 77 facilities) อน ญาต การใช งานมาตรการการเข ารห สข อม ลตาม ข อกาหนด (Regulation of cryptographic controls) (ห วหน าแผนก) ต องกาหนดให ใช มาตรการ การเข ารห สข อม ลโดยให ย ดถ อตาม หร อ ต องสอดคล องก บข อตกลง กฎหมาย และ ระเบ ยบปฏ บ ต ท เก ยวข อง ม อย ในกระบวนการทางานอย แล ว 11.2 การปฏ บ ต ตามนโยบาย มาตรฐานความม นคงปลอดภ ยและข อกาหนดทางเทคน ค (Compliance with security policies and standards, and technical compliance) ม จ ดประสงค เพ อให ระบบเป นไปตามนโยบายและมาตรฐานความม นคงปลอดภ ยขององค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การปฏ บ ต ตามนโยบาย และมาตรฐานความ ม นคงปลอดภ ย (Compliance with security policies and standards) (ผอ.ผคพ. ผช.ผคพ.) ต องกาหนดให ผ บ งค บบ ญชาคอยกาก บ ด แล และควบค ม การปฏ บ ต งานของผ ท อย ใต การบ งค บ บ ญชาของตน ให ปฏ บ ต ตามข นตอนปฏ บ ต ทางด านความม นคงปลอดภ ยตามหน าท ความร บผ ดชอบของตน ท งน เพ อให การ ปฏ บ ต เป นไปตามนโยบายและมาตรฐาน ม การกาหนดไว แล วด วยวาจา

89 ผลกระทบ โอกาส ระด บความ เส ยง การตรวจสอบการปฏ บ ต ตามมาตรฐานทาง เทคน คขององค กร (Technical compliance checking) ความม นคงปลอดภ ยขององค กร (ห วหน า) ต องกาหนดให ม การตรวจสอบ ระบบสารสนเทศอยางสม าเสมอ เพ อ ควบค มให เป นไปตามมาตรฐานความ ม นคงปลอดภ ยทางเทคน คขององค กร ม อย ในกระบวนการทางานอย แล ว 11.3 การตรวจประเม นระบบสารสนเทศ (Information systems audit considerations) ม จ ดประสงค เพ อให การตรวจประเม นระบบสารสนเทศได ประส ทธ ภาพส งส ดและม การแทรกแซงหร อทาให หย ดชะง กตอกระบวนการทางธ รก จน อยท ส ด ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น มาตรการการตรวจประเม นระบบสารสนเทศ (Information systems audit controls) (ห วหน าแผนก) ต องระบ ข อกาหนดและ ก จกรรมท เก ยวข องก บการตรวจประเม น ระบบสารสนเทศขององค กร เพ อให ม ผลกระทบน อยท ส ดตอกระบวนการทาง ธ รก จ เชน การหย ดชะง กของกระบวนการทางธ รก จ ในระหวางท ทาการตรวจประเม น ม อย ในกระบวนการทางานอย แล ว

90 การป องก นเคร องม อสาหร บการตรวจ ประเม นระบบสารสนเทศ (Protection of information systems audit tools) (ห วหน าแผนก) ต องกาหนดให ม การจาก ด การเข าถ งเคร องม อสาหร บการตรวจ ประเม นระบบสารสนเทศ (เชน ซอฟต แวร ท ใช ในการตรวจประเม น) เพ อป องก นการ ใช งานผ ดว ตถ ประสงค หร อการเป ดเผย ข อม ลการตรวจประเม นโดยไมได ร บ อน ญาต ม อย ในกระบวนการทางานอย แล ว

91 80 ตารางท 4.8 สร ปผลการประเม ณความเส ยงกอนเร มโครงการ Domain ตา กลาง ส ง 1. A.5 นโยบายความม นคงปลอดภ ย (Security policy) A.6 โครงสร างทางด านความม นคงปลอดภ ยสาหร บองค กร(Organization of information security) A7.การบร หารจ ดการทร พย ส นขององค กร (Asset management) A.8 ความม นคงปลอดภ ยท เก ยวของก บบ คลากร (Human resources security) 5. A.9 การสร างความม นคงปลอดภ ยทางกายภาพและส งแวดล อม (Physical and environmental security) 6. A.10 การบร หารจ ดการด านการส อสารและการดาเน นงานของเคร อขาย สารสนเทศขององค กร (Communications and operations management) A11. การควบค มการเข าถ ง (Access control) A.12 การจ ดหา การพ ฒนา และการบาร งร กษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) A.13 การบร หารจ ดการเหต การณ ท เก ยวข องก บความม นคงปลอดภ ย ของ องค กร (Information security incident management) 10.A.14 การบร หารความตอเน องในการดาเน นงานขององค กร (Business continuity) A.15 การปฏ บ ต ตามข อกาหนด (Compliance) รวม

92 81 ร ปท 4.4 Domain A5 ร ปท 4.5 Domain A6

93 82 ร ปท 4.6 Domain A7 ร ปท 4.7 Domain A8

94 83 ร ปท 4.8 Domain A9 ร ปท 4.9 Domain A10

95 84 ร ปท 4.10 Domain A11 ร ปท 4.11 Domain A12

96 85 ร ปท 4.12 Domain A13 ร ปท 4.13 Domain A14

97 86 ร ปท 4.14 Domain A15 ร ปท 4.15 รวมความเส ยงกอนดาเน นโครงงาน

98 การดาเน นงานแก ไขลดความเส ยงขององค กร จาการว เคราะห จากตารางความเส ยงแบงออกเป น 4 ห วข อ ด งน ด านนโยบายความม นคงปลอดภ ย ด านระบบเคร อขาย ด านเคร องแมขาย ด านกระบวนการ การแก ไขความเส ยง ด านนโบบายความม นคงปลอดภ ย ป ญหาหล ก : ไมม นโยบายร กษาความปลอดภ ยเทคโนโลย สารสนเทศ ชวยลดความเส ยง : Domain A5, A6 ข อ 1.1.1, 1.1.2, ผ จ ดทาโครงงานได สม ครเข ารวมคณะทางานเพ อให องค กรม ความเป นมาตรฐานสากล โดย 1.ม การจ ดต งคณะกรรมการด านการน ามาตรฐานด านเทคโนโลย สารสนเทศมาใช ในกา รปฏ บ ต งานของศ นย คอมพ วเตอร 2.ดาเน นการศ กษามาตรฐานการน ามาตรฐานด านเทคโนโลย สารสนเทศมาใช ในการปฏ บ ต งานของศ นย คอมพ วเตอร 3.จ ดทานโยบายแมบทสาหร บประกาศบ งค บใช ภายในมหาว ทยาล ย ประธานโครงการ หน.วอร. ล กษณะโครงการ ศ กษาการน ามาตรฐานด านเทคโนโลย สารสนเทศมาใช ในการปฏ บ ต งานของศ นย คอมพ วเตอร ด งน ศ กษามาตรฐาน CMMI for Services ศ กษามาตรฐาน ITIL ด านมาตรฐาน ISO การด แลร กษาตามมาตรฐาน ISO 9126 Stability Analyzability Changeability Testability

99 88 รายช อคณะทางานท ได ถ กจ ดต งข นสาหร บมาตรฐาน ISO ท จ ดต งข นโดยม ต วแทนของแตละ แผนกทางานของศ นย คอมพ วเตอร 1. ค ณณ ฐว ฒ ว ศยท กษ ณ (คสร.) 2. ค ณสราว ธ ราษฎร น ยม (วอร.) 3. ค ณพ ส ษฐ อธ ป ญญาก ล (วอร.) 4. ค ณประพ ร กาญจโนภาศ (พร.) 5. ค ณสล ตตา นกข นทอง (พร.) 6. ค ณพ นพ ฒน เบ าภาระ (บรร.) สม ครเข ารวมคณะทางานกรรมการบร หารความเส ยง โดย 1. ม ส ทธ และหน าท ในทาการประเม นความเส ยงในสวนของระบบเคร อขายและอ นๆ ได 2. ม ส ทธ ในการว เคราะห แก ไขและทาการลดความเส ยงได ประธานโครงการ หน.คสก. ล กษณะโครงการ จ ดทาแผนบร หารคว ามเส ยงของศ นย คอมพ วเตอร รวมถ งเอกสารอ ๆ ท เก ยวข องเชน มาตรการ ร กษาความปลอดภ ยระบบ IT และแผนการก ภ ยระบบ IT (Disaster Recovery Plan) รวมถ ง มาตรการต ดตามและประเม นผลของแผนตางๆ รายช อคณะทางาน ค ณเกษมาน นท นพจร ญศร ค ณน ฐธว ช จาปาเง น ค ณฉ ตรช ย สาเหล ค ณชนว ร พ พ ฒน ก ล ค ณอภ ร กษ แสงล มส วรรณ ค ณณ ฐว ฒ ว ศยท กษ ณ ค ณพงศ เทพ ส ขส ทธ ค ณอน ว ฒน เอกส พรรณพ มล ค ณค ร เม องช ค ณประส ทธ คาสดใสก ล ผ จ ดทาโครงงานได จ ดทานโยบายต นแบบเร ยบร อยแล วโดยได ม การปร บปร ง 2 version ซ งจะแสดง อย ใน ภาคผนวก ก

100 การแก ไขความเส ยง ด านระบบเคร อขาย ปร บปร งสภาพความพร อมใช และประส ทธ ภาพของของระบบเคร อขาย ปร บปร งความปลอดภ ยของระบบเคร อขาย - เปล ยนอ ปกร เคร อขาย Switch แทน HUB ว ตถ ประสงค เพ อลดการชนก นของข อม ล และ ลดขนาดของ Broadcast Domain ชวยลดความเส ยง : Domain A6,A7,A10 ข อ 7.4.5, , , ร ปท 4.16 Change HUB to Switch ตารางท 4.9 รายการเปล ยนอ ปกรณ Switch แทน Hub Device IP Address Building Floor Room Uplink Remark SS II Hub SS II Hub ห องพ ก อาจารย ห องพ ก อาจารย Uplink 100Base-FX Uplink 100Base-FX SS II Switch 3300TX ห องเร ยน Uplink 100Base-FX OK SS II Switch 3300TX ห องเร ยน Uplink 100Base-FX OK SS II Switch 3300TX ห องพ ก อาจารย Uplink 100Base-FX OK OK OK

101 90 SS II Hub * 5 Lab 952 Uplink 100Base-TX OK SS II Hub * 5 Lab 952 Uplink 100Base-TX OK SS II Hub * 5 Lab 952 Uplink 100Base-TX OK SS II Hub * 5 Lab 954 Uplink 100Base-TX OK SS II Hub * 5 Lab 954 Uplink 100Base-TX OK SS II Hub คล งพ สด 1 - Uplink 1000Base-FX Fail SS II Hub ก จการน กศ กษา - - Uplink 100Base-TX OK SS II Hub ก จการน กศ กษา - - Uplink 100Base-TX OK SS II Switch 3300FX ก จการน กศ กษา - - Uplink 100Base-FX OK SS II Hub อาคาร Uplink 100Base-FX Fail SS II Hub เทคโนโลย การศ กษา 1 - Uplink 1000Base-FX OK SS II Hub Lab 942 Uplink 1000Base-FX OK SS II Hub Lab 942 Uplink 1000Base-FX OK SS II Hub Lab 948 Uplink 1000Base-FX OK SS II Hub Lab 948 Uplink 1000Base-FX OK SS II Hub Uplink 100Base-TX OK SS II Hub Lab 441 Uplink 100Base-FX OK SS II Hub Lab 441 Uplink 100Base-FX OK SS II Hub Lab 442 Uplink 100Base-FX OK SS II Hub Lab 442 Uplink 100Base-FX OK SS II Switch 3300TX Uplink 100Base-FX Fail หมายเหต : Fail ค อย งเหล อ HUB อย อ กบางสวนท ย งไมได เปล ยน รอเปล ยนภายในป 2555 น เน องจาก จาเป นต องน าอ ปกรณ Switch ท เหล อไปใช สาหร บฟ นฟ อ ทกภ ยกอน

102 91 - ทา Link aggregation หร อ Etherchannel ว ตถ ประสงค เพ อเพ มสภาพความพร อมใช โดย การน าเอา Interface มากกวา 2 อ น มารวมก นเพ อให ได bandwidth ของ network ท ส งข น และย งชวยเพ ม Availability ให ก บ network และทาการแก ไข Route โดย ท ของเด ม Default Route ท อาคารน เทศศาสตร จะว งไปท อาคารหอสม ดส ร ตน โอสถาน เคราะห ( เส นส แดง ) ทาแก ไข Default Route ให ไปทาง Hop ท ส นกวา ( เส นส เข ยว ) ชวยลดความเส ยง : Domain A6, A7, A10 ข อ , , ร ปท 4.17 Link aggregation ร ปท 4.18 show etherchannel summary Configure Core switch ท อาคารน เทศศาสตร ให Up link ท เช อมตอก บ Core Switch ท อาคารหอสม ดส ร ตน โอสถาน เคราะห และ อาคาร 9 เป น Ether Channel

103 92 ร ปท 4.19 show run port-channel Configure Ether Channel ท Core Switch อาคาร 2 ร ปท 4.20 Etherchannel Building 2 ร ปท 4.21 Etherchannel Surat Building Configure Ether Channel ท Core Switch อาคารหอสม ดส ร ตน โอสถาน เคราะห

104 93 - ทดสอบ Cross Vlan โดยทาการ Configure ให ว ทยาเขตกล วยน าไท และ ว ทยาเขตร งส ต ใช Subnet เด ยวก น ว ตถ ประสงค ค อ เพ อทดสอบหากม ภาวะฉ กเฉ นในบางกรณ ท จาเป นต องใช งาน Subnet เด ยวก น พร อมก น ในอนาคต เชน Subnet ของ Database Server หร อ Applicaton Server บางระบบ จาเป นต อง กาหนด ip address ท เคร อง Client กรณ ท เก ดอ ทภ ยน าทวม Network ของเคร อง Server ไมต องแก ไขใดๆ เน องจาก เป น subnet เด ยวก น ( เคร อง Server ม การ Backup Cross Site ก นอย แล ว เพราะเป น Virtual Machine สามารถทากาน restore ได รวดเร ว ) ชวยลดความเส ยง : Domain A6, A10 ข อ , , ร ปท 4.22 Test Cross Vlan ร ปท 4.23 Show ip eigrp neighbors

105 94 ของเด มจะเห นวาม eigrp neighbors อย ร ปท 4.24 Show ip eigrp neighbors 2 ทาการปลด link ออกแล ว จาก port 1/0/4 และทาการย ายสายส ญญาณ มาใช แทน port ท configure Cross Vlan ร ปท 4.25 Show Run CAT คา Configure Link ท เช อมก นระหวางว ทยาเขต ม ของ True และ CAT โดยในท น ใช Link CAT ทดสอบ ร ปท 4.26 Show Run Gi 9/12 Configure Core Switch ว ทยาเขตกล วยน าไท ร ปท 4.27 Show ip int br สร าง interface vlan 999 บน Core Switch ว ทยาเขตกล วยน าไท

106 95 ร ปท 4.28 Configure Vlan 999 Configure Core Switch ตางๆ ให ครบถ วนตาม Diagram ด านบน ร ปท 4.29 sh ip int br gi 1/0/4 แสดงคา Interface วา Port 1/0/7, 1/0/8 up และ Port เด ม 1/0/4 down ตรวจสอบคาตางๆ ร ปท 4.30 sh ip arp ทาการ Ping เพ อทดสอบการใช งาน ร ปท 4.31 Test ping

107 96 - ปร บปร งระบบ Firewall ใหม ว ตถ ประสงค ค อ 1. เพ อทดแทนของเด มท เส อมสภาพ 2. เพ มข ดความสามารถในการบร หารจ ดการ 2.1. ระบบ Firewall เด มต ว ไมม ต ว Management ซ งทางว ทยาเขตร งส ต ต องใช เคร องของว ทยา เขตกล วยน าไทในการบร หารจ ดการต ว Firewall ซ งไมสะดวกกรณ Link ระหวางว ทยาเขต Down 2.2 ความจ ในการเก บ Log มากข นได ถ ง 90 ว น และต ว Log เพ ม Field User Name, Computer Name 2.3 ม ฟ เจอร ใหมๆ เชน QoS Application Control เป นต น โดยท Firewall ใหมเป นร น Checkpoint UTM-1 เป นแบบ Box Appliances แทนของเด มค อแบบ Open Server ล กษณะค อการน า Linux OS ร น Secure Plantform มาต ดต งบนเคร องแมขาย โดยท ว ทยาเขต ร งส ตม Public IP address 2 Class C ค อ /24, /24 แตในป จจ บ นใช อย แค 1 Class C จ งน าอ ก 1 Class C ท เหล อ มาใช เป น DMZ Zone ชวยลดความเส ยง : Domain A6, A9 ข อ , Firewall ระบบเด ม ร ปท 4.32 internet Diagram

108 97 ร ปท 4.33 Old Firewall Hardware ระบบ Firewall เด มเป น DELL PowerEdge 2850 จำนวน 3 เคร อง ร ปท 4.34 Old Firewall 2 ทาการถอด Firewall ระบบเกา ออกเน องจากหมดสภาพการใช งาน

109 98 ร ปท 4.35 New Firewall น า Firewall ระบบใหมมาต ดต ง ใช เป น Check Point ร น UTM-1 ร ปท 4.36 Old Management ระบบ Firewall เด ม ใช ต ว Management ต วเด ยวก น Control ท งสองว ทยาเขต ยากตอการบร หารจ ดการ

110 99 Firewall ระบบใหม ร ปท 4.37 New Firewall Diagram ร ปท 4.38 join with active directory ทาการ configure firewall ให ต ดตอก บ Active Directory เพ อไว ใช ประโยชน ในการ Authentication

111 100 ร ปท 4.39 Log New Firewall Log ไฟล สามารถด ได วา User Name, Computer Name ใดใช งาน เพ มข นมา ร ปท 4.40 Smart View Tracker แตกตางจากของเด มท ด ได แคพ นฐาน ค อไมม User name, Computer Name

112 101 - ปร บปร ง Configure ให เป ด Server SSH ท กาเข าถ งต วอ ปกรณ ชวยลดความเส ยง : Domain A7 ร ปท 4.41 SSH generate key ร ปท 4.42 configure username Core Switch Cisco 6500 ท อาคาร 9 และ หอสม ดส ร ตน โอสถาน เคราะห และกล มอาคาร BU Land Mark ทดสอบเข าด วยโปรแกรม putty ร ปท 4.43 Putty Login

113 102 ร ปท 4.44 Test Login Surat ทดสอบ login ท Core Switch หอสม ดส ร ตน โอสถาน เคราะห ร ปท 4.45 Old IOS สวน Core Switch บางต วท ทางองค ซ อมา IOS บาง Version ท ราคาถ ก จะไมสามารถ Configure SSH ได ในป การศ กษา 2555 จะทาการจ ดหา IOS ใหม เน องจากต องม การซ อ หร อ Download IOS และม ระยะเวลา Downtime ในการ Upgrade อ ปกรณ

114 103 ร ปท 4.46 SSH for Wireless เป ด SSH Access บน Access Point แทน Telnet Access -ปร บปร ง Configure ของอ ปกรณ เคร อขายตางๆ ให synchornize เวลาตรงก นท กต ว ร ปท 4.47 show ntp status ร ปท 4.48 show ntp associations Configre ให ปร บปร งเวลาจาก NTP Server โดยต วอ ปกรณ เคร อขายจะได คาเป น stratum 3

115 104 -ปร บปร ง Core Switch ท อาคาร 5 ห อง 520 ให ม ความเร วเพ มข น ว ตถ ประสงค เพ อเพ มความเร วของ Uplink จาก 100 Mbps. เป น 1 Gbps. และเปล ยนอ ปกรณ Core Switch เน องจากใกล เส อมสภาพ ชวยลดความเส ยง : Domain A6, A10 ร ปท 4.49 Old Switch C3550 ของเด มเป น Cisco Switch ร น 3550 ต ว uplink เป น พอร ต MTRJ ความเร ว 100 Mbps. ร ปท 4.50 New Switch 3750 ของใหมเป น Cisco Switch ร น 3750 up link เป นพอร ต LC ความเร ว 1 Gbps.

116 105 - ปร บปร งความม นคงปลอดภ ยด านกายภาพและส งแวดล อม ว ตถ ประสงค เพ อป องก นความปลอดภ ยของระบบสารสนเทศและทร พย ส นขององค กร ชวยลดความเส ยง : Domain A5 ข อ 5.1.1, 5.1.2, 5.1.3, ร ปท 4.51 No Access Control หน าทางเข าสาน กงาน ศ นย คอมพ วเตอร อาคาร 9 ช น 5 ร ปท 4.52 ต ดต ง Access Control

117 106 ต ดต ง Access Control เพ อควบค มการเข า ออกสถานท ร ปท 4.53 ต ดต ง Access Control หน าห องสาน กงาน ต ดต ง Access Control ป องก นหน าห องสาน กงาน ซ งเป นทางผานไปห อง Data Center ร ปท 4.54 ต ดต ง Access Control หน าห องเก บอ ปกรณ ห องสงมอบอ ปกรณ

118 107 ต ดต ง Access Control ควบค มการเข าออกห องเก บของ ห องสงมอบอ ปกรณ ร ปท 4.55 สารวจแนวเด นสายส ญญาณ สารวจและดาเน นการป ดฝาทอท ม การเป ดท งหร อป ดไมสน ท ป องก นสายส ญญาณเคร อขาย หร อไมม ฝาป ด ทาการป ด ให เร ยบร อย เพ อ

119 108 - ปร บปร งระบบเคร อขายไร สาย จาก g เป น n ว ตถ ประสงค เพ อทาให ประส ทธ ภาพของระบบเคร อขายไร สาย ม ความเร วมากข น และม ส ญญาณคลอบคล ม พ นท มากข น ดาเน นการต ดต งเคร อขายไร สายเป นแบบ n โดยปร บปร งจากของเด มซ งเป น g จานวน 15 จ ดเคร อขาย โดยจะทาการต ดต งเป นร น Cisco Aironet Wireless Access Point 3500E ชวยลดความเส ยง Domain A6, A10 สถานท ต ดต งว ทยาเขตร งส ต Item Building Floor Location 1. อาคาร 9 ช น 1 ห อง Robotics Lab 2. อาคาร 8 ช น 1 ห องวาดร ป 3. โรงอาหาร 1 ช น 1 บร เวณ 108 Shop 4. โรงอาหาร 1 ช น 1 ด านขวาม อโรงอาหาร 1 5. โรงอาหาร 2 ช น 1 ด านขวาม อโรงอาหาร 2 6. โรงอาหาร 3 ช น 1 ฝ งห องน า 7. สวนอาหารร มธาร ช น 1 ด านข างอาคารคล งพ สด 8. อาคาร 14 ช น 1 บร เวณ Cafeteria 9. อาคาร 11 ช น 1 ด านข างอาคาร อาคาร 10 ช น 1 ด านธนาคารทหารไทย 11. อาคาร 10 ช น 1 ด านธนาคารทหารไทย 12. อาคาร 10 ช น 2 ทางข นอาคารฝ งซ ายม อ 13. อาคาร 10 ช น 3 ทางข นอาคารฝ งขวาม อ 14. อาคาร 4 ช น 1 ทางข นอาคารฝ งซ ายม อ 15. อาคาร 13 ช น 1 หน าห องควบค มระบบอาคาร ตารางท 4.10 Access Point Location - ปร บปร งสถานท ต ดต งอ ปกรณ เคร อขายให ปลอดภ ยจากอ ทกภ ยปร บ Spec สายส ญญาณเคร อขาย ว ตถ ประสงค เพ อป องก นอ ทกภ ยท อาจจะเก ดข นได ในอนาคต ปร บปร ง Spec งานเด นสายส ญญาณเคร อขาย TP จาก CAT 5e เป น CAT 6 เพ อเพ มประส ทธ ภาพของสายส ญญาณ ชวยลดความเส ยง : Domain A6, A10 อ ปกรณ ท คาดวาจะเส ยหายหากเก ดอ ทกภ ยโดยประมาณ 1. Network switching 8 เคร อง รวม บาท 1.1. อาคาร 1 Cisco Switch เคร อง ม ลคา บาท 1.2. อาคาร 2 Cisco ports 2 เคร อง ม ลคา บาท 1.3. อาคาร 7 Cisco ports 2 เคร อง ม ลค า บาท 1.4. ศ นย เทคโนโลย การศ กษา Cisco เคร อง ม ลคา บาท 1.5. ฝายภ ม ท ศน Cisco ports 1 เคร อง ม ลคา บาท 1.6. สนามเทนน ส Cisco ports 1 เคร อง ม ลคา บาท 2. เคร องร ดบ ตร 6 ช ด ม ลคา ช ดละ 22,000 บาท 3. ช ดควบค มการทางานของเคร องร ดบ ตร 6 ช ด ม ลคา 108,000 บาท

120 4. สายส ญญาณ UTP 690 จ ด จ ดละ 3,000 บาท อาคาร จานวน ม ลคา รวม อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 11 ห อง อาคาร 12 ห อง อาคาร 12 ห อง อาคาร 12 ห อง อาคาร 13 ห องควบคมระบบ อาคาร 13 ห องประช มปองท พย อาคารฝายภ ม ท ศน อาคารสาน กพ มพ ฯ อาคารหอสม ดส ร ตน ฯ อาคาร 9 ช น อาคารเทคโนโลย การศ กษา อาคารคล งพ สด อาคาร 7 ช น อาคาร 10 ช น อาคาร 1 ช น อาคาร 2 ช น อาคาร 3 ช น อาคาร 4 ช น อาคาร 5 ช น อาคาร 14 ช น B รวม 569 จ ด บาท 109

121 110 ร ปท 4.56 Rack ยกส ง ต ดต งต Rack และอ ปกรณ เคร อขายข นท ส ง ร ปท 4.57 New Outlet งานเด นสายส ญญาณเคร อขายท ซอมแซมสวนท เส ยไปทาการเด นเป น CAT 6 แทนของเด ม CAT 5e

122 การแก ไขความเส ยง ด านเคร องแมขาย - ต ดต งเคร องแมขาย Antivirus Server ว ตถ ประสงค เพ อปร บปร งความปลอดภ ยของเคร องคอมพ วเตอร ในระบบเคร อขายให ด ย งข นกวาของเด ม โดยป ญหาของระบบเด มค อต วเคร องแมขาย Anti Virus เป น Version เกา เน องจากต ดป ญหา เร อง งบประมาณในการซ อ License ของ Kaspersky Anvirus โดยทางมหาว ทยาล ยได ซ อไว จานวน 1000 License แตจานวนเคร องม จานวนมากกวา ทางผ จ ดทาโครงงานจ งได ต ดต งเคร อง Antivirus Server เพ มและปร บปร ง Version ใหม ชวยลดความเส ยง : Domain A6, A9 ข อ 6.4.1, License สามารถใช ได 1000 Client ร ปท 4.58 Kaspersky License

123 112 ร ปท 4.59 Kaspersky Adminstration Kit 6.0 เคร อง Antivirus Server เป น Version รองร บต ว Antivirus ท ลงให ก บ Client Version เกาความสามารถในการป องก นน อย แตม ข อด ค อสามาถต ดต ง Client ไมจาก ดจานวน ด งร ปจะเห นวาใช ไป 2376 Computers ร ปท 4.60 Kaspersky Adminstration Kit 8.0 ทาการต ดต ง Antivirus Version ใหม ข นมาอ ก 1 เคร องไว ใช สาหร บเคร องท ต องการความปลอดภ ยส งกวา

124 113 ร ปท 4.61 Kaspersky License Re Check Server น ม การน บจานวนการต ดต ง ร ปท 4.62 Kaspersky Anvirus Client หน า Interface ของต ว Antivirus Version ใหมม ความสามารถในการป องก นส งกวา

125 114 ร ปท 4.63 Kaspersky Anvirus Report ความสามารถอ นๆ ในการบร หารจ ดการระบบ ว เคราะห ด แลระบบเคร อขาย ท ด กวา ม ระบบ Report ท สวยงาม และม ประโยชน ในการ - ต ดต งเคร องแมขาย TFTP Server จ ดประสงค เพ อน าไว เก บ Back up configure และ Restore configure ของอ ปกรณ เคร อขาย ได สะดวก ย งข น ร ปท 4.64 SonlarWinds TFTP Server ทาการต ดต ง Software SolarWinds TFTP Server ลงบนเคร อง File Server ทาการจ ดหมวดหม ของ Folder แยกตามสถานท ของอ ปกรณ

126 115 - ต ดต งเคร องแมขาย NTP Server ว ตถ ประสงค เน องจากเคร อง NTP Server เคร องเด มเป นเคร องเกาท เร มเส อมสภา พ จ งทาการย าย ปร บเปล ยนเป น Virtual Machine ข นบน VMware โดยท ของเด มเป น OS Linux SIS เปล ยนเป น CentOS 5.4 ชวยลดความเส ยง : Domain A6 ข อ ร ปท 4.65 NTP Server Old เคร องแมขายม ป ญหาบอยคร งทาให ต องม เวลา Downtime

127 116 ไฟสถานะ RAM Slot ท 1 ม ป ญหา ร ปท 4.66 NTP Server RAM Problem ทาการซอมแซม และ Boot ระบบข นมาใหม ร ปท 4.67 NTP Server Boot

128 117 ร ปท 4.68 LinuxSIS OS Linux SIS ร ปท 4.69 CentOS 5.4 ต ดต ง CentOS 5.4 แทน

129 118 ร ปท 4.70 Sync NTP Server ทาการ Configure ให พร อมใช งาน

130 119 - ต ดต งเคร องแมขาย Secondary DNS Server จ ดประสงค เพ อ Fault Tolerance เน องจากทางมหาว ทยาล ยม Primary DNS Server เพ ยงแคเคร อง 1 เคร อง กรณ ถ าเก ดเหต การณ เคร องแมขายม ป ญหา ระบบ Network ม ป ญหา เคร อง Secondary DNS Server ย งทางานแทนได ทาให สามารถให บร การก บ Client ท ขอ Query เข ามาใน Domain bu.ac.th ได ชวยลดความเส ยง : Domain A6, A10 ร ปท 4.71 DNS Server ต ดต ง DNS Server ด วย Windows 2008 R2 ทาเป นแ บบ Secondery Name Server รอร บคา Zone Tranfer มาจากต ว Primary DNS Server

131 120 ร ปท 4.72 DNS Server Test ทดสอบใช ADSL จากภายนอก แก ไขคา dns และทดสอบการใช งาน สามารถใช งานได ถ กต อง - ทบทวนแก ไขส ทธ บนระบบตางๆ ว ตถ ประสงค เพ อป องก นความถ กต องข องข อม ล ความปลอดภ ยของข อม ล โดยผ ท ม ส ทธ ในการ เข าถ งไฟล น นๆ ตามความเหมาะสมโดยได ทบทวนส ทธ บนระบบ File Server ท ม ท งหมดในว ทยาเขตร งส ต ทบทวนส ทธ ในการเข าถ งบร การบางระบบ เชน -การน าเอาช อของผ ท ย ายหนวยงานหร อลาออกไปแล วออกจากระบบ -การป องก นไฟล และโฟลเดอร สวนต วไมให ผ อ นสามารถเข าถ งไฟล ได -การทบทวนส ทธ ของเคร อง Print ป องก นไมให น กศ กษาหร อบ คคลอ นท ไมเก ยวข องก บหนอยงาน Print ผานมาได ชวยลดความเส ยง : Domain A4, A7 ข อ 4.3.3, , 7.1.2, 7.2.4

132 121 ร ปท 4.73 File Server Permission Folder สวนต ว ร ปท 4.74 Security Folder ทาการทบทวนส ทธ

133 122 ทบทวนส ทธ การ Print ร ปท 4.75 Security Print ร ปท 4.76 Security Center Folder ทบทวนส ทธ ใน Folder สวนกลาง

134 123 ร ปท 4.77 IT Callcenter ทบทวนส ทธ บนระบบอ นๆ เชน ระบบ IT Call Center ม รายช อเจ าหน าท ท ทาการย ายแผนกไปแล วย งม รายช ออย บนระบบ

135 การแก ไขความเส ยง ด านกระบวนการ - ปร บปร งกระบวนการเป ดป ดระบบระบบเคร อขายและเคร องแมขาย ว ตถ ประสงค เพ ดลดความเส ยงกรณ ท จาเป นต องป ดระบบอยางเรงดวน หากผ ด แลระบบ และผ ด แลระบบ ไม สามารถดาเน นการได จ งได จ ดทาค ม อการเป ดป ดระบบข นเพ อให บ คคลท ได ร บมอบหมายสามารถเป ดป ด ระบบแทนได ในเบ องต น ชวยลดความเส ยง : Domain A6 อ ปกรณ ท จาเป นต องเป ด/ป ดม ด งน 1. การป ดระบบ VMware Infrastructure ระบบ VMware Infrastructure ท ว ทยาเขต ร งส ต ม Virtual Center จ านวน 1 และ ESX จ านวน 6 เคร อง ซ งม รายละเอ ยดด งตอไปน Virtual Center ลาด บท ช อเคร อง เคร องแมขายร น ท ต ง (ต RACK) 1 vcent-r DELL2950 A3 ESX ลาด บท ช อเคร อง เคร องแมขายร น ท ต ง (ต RACK) 1 VM001-R SUNFire X4450 A5 2 VM002-R SUNFire X4250 A5 3 VM003-R SUNFire X4250 A4 4 VM004-R DELL 2950 A3 5 VM005-R HP DL380 G6 A4 6 VM006-R HP DL380 G6 A4 2. การป ด Storage Area Network (SAN) จ านวน 1 เคร อง 3. การป ดระบบเคร อขาย 3.2 การป ด Firewall จ านวน 2 เคร อง Firewall ลาด บท ช อเคร อง เคร องแมขายร น ท ต ง (ต RACK) 1 FW1-UTM-1 Checkpoint A3 2 FW2-UTM-1 Checkpoint A3 3 FW-Smart-1 Checkpoint A3 3.1 การป ด Core Switch จ านวน 4 เคร อง Switch ลาด บท ช อเคร อง สว ตช ร น ท ต ง (ต RACK) 1 C6500RB9F5 Catalyst 6500 อาคาร 9 ช น 5 2 C6500RBSURAT Catalyst 6500 หอสม ดส ร ตน ช น 5 3 C6509RB15F4 Catalyst 6500 อาคาร 15 ช น 4 4 C4507RB11F1 Catalyst 4507 อาคาร 11 ช น 1

136 125 ต วอยาง บางสวนใน การป ดระบบ Storage Area Network (SAN) 1. หล งจากท ผ ด แลระบบ ผ ด แลระบบเคร อขายทาการป ดเคร องแมขายตางๆ เร ยบร อยแล ว ให รอประมาณ 5 นาท เพ อให ระบบได ทาการเข ยนข อม ลลงด สก ให สมบ รณ กอน 2. ระบบ SAN ต งอย ท ต Rack A6 ให ทาการป ดสว ตช SPS ท ง 2 จ ด ระบบจะทาการป ดต วเองโดยใช เวลา ประมาณ 2 นาท ด งร ปท 3. ร ปท 4.78 ด านหน าของ SAN

137 126 ร ปท 4.79 ด านหล งของ SAN 3. ทาการป ดสว ตช SAN Switch ท ง 2 จ ด. ร ปท 4.80 แสดงตาแหนงการป ดสว ตช ท ง 2 จ ด 4. ป ดสว ตช ท ง 2 จ ด ร ปท 4.81 แสดงตาแหนงการป ดสว ตช ท ง 2 จ ด ด านหน า

138 127 ต วอยางการป ดระบบ Network อ ปกรณ : C6509RB15F4 สถานท ต ง : อาคาร 15 ช น 4 (BU Landmark) ก ญแจต Rack : ทาการป ดสว ตช ท ง 2 จ ด ด งร ปท 1. ร ปท 4.82 แสดงตาแหนงการป ดสว ตช ท ง 2 จ ด ด านหล ง ร ปท 4.83 จ ดป ดของ Core switch

139 128 ร ปท 4.84 ว ธ ป ด Core switch โดยค ม อว ธ การเป ดป ดระบบท งหมดจะถ กเก บอย ใน File Server ท ม การจาก ดส ทธ ให ผ ท ได ร บมอบหมาย เข าถ งได เทาน น - ปร บปร งให ม การ Monitor อ ปกรณ เคร อขาย ให งายข น ว ตถ ประสงค เพ อให ทางเจ าหน าท ทานอ นสามารถชวยก นด แลอ ปกรณ เคร อขายได ซ งเบ องต นจะได สามารถ แก ป ญหาได รวดเร วย งข นในกรณ ท ผ ด แลระบบเคร อขายไมอย ชวยลดความเส ยง : Domain A6 ร ปท 4.85 Monitor Network

140 129 น าจอ Monitor Samsung 32 น ว มาต ง Monitor ไว หน าทางเข าออกเพ อเวลาเด นผานจะได ด สะดวกข นและใน กรณ ผ ด แลระบบไมอย ทางเจ าหน าท ท วไปสามารถตรวจสอบด เบ องต นได วาอ ปกรณ ไหนม ป ญหา down time อย - ปร บปร งให ม การต ด Label ของอ ปกรณ เคร อขายและสายส ญญาณและม การบ นท กลงไฟล ว ตถ ประสงค เพ อจะได ทราบการเช อมตอของแตละสายส ญญาณ ทาให งายตอการค นหาและชวยจดจาในกรณ ต องม การปร บเปล ยนอยางเรงดวน ชวยลดความเส ยง : Domain A3 ข อ 3.1.3, ร ปท 4.86 Label สายส ญญาณเคร อขาย ทาการต ด Label แตละสายส ญญาณ เคร อขายให ครบถ วน ด งร ป ค อทาการต ดสาย Fiber Optic ท เป น Up link ระหวางต กตางๆ เพราะจานวนสายส ญญาณคอนข างเยอะและแนน ทาให ตรวจสอบสายส ญญาณได ลาบากกรณ เก ดระบบข ดข องอาจจะเป นท สายส ญญาณชาร ด จะทาให การตรวจสอบรวดเร วและงายย งข น

141 130 - ปร บปร งให ม การบ นท กเหต การณ ของระบบเคร อขายเม อม ป ญหา ว ตถ ประสงค เพ อ ชวยบ นท กจดจาสาเหต ของป ญหาและแนวทางว ธ การแก ไขป ญหา ซ งสามารถน าไปใช วางแผนป องก นในอนาคตหร อสามารถชวยให แก ไขป ญหาได รวดเร วย งข น ชวยลดความเส ยง : Domain A9 ข อ 9.1.1, 9.2.2, ร ปท 4.87 บ นท กระบบเคร อขาย ทาการบ นท กเม อระบบเคร อขายม ป ญหาเน องจากเด มม web service ไว ชวยบ นท กแตผ ด แลระบบไมม การ บ นท กต งแต ป 2553

142 131 ร ปท 4.88 สร ปบ นท กระบบเคร อขาย สร ปรายงานท เร มทาการบ นท กต งแตเด อนก นยายน สร ปนโยบายท ผ ทาโครงงานได เล อกจ ดทารางนโยบายควบค มกอน ว ตถ ประสงค เพ อใช ในการกาหนดนโยบายด านความปลอดภ ยของระบบสารสนเทศภายในองค กร ประกอบด วย 11 โดเมน (Domain), 133 มาตราการ ซ ง ตารางท 4.11 เล อกโดเมนในการกาหนดนโยบายกอน Domain ทากอน ทาหล ง 1. A.5 นโยบายความม นคงปลอดภ ย (Security policy) / 2. A.6 โครงสร างทางด านความม นคงปลอดภ ยสาหร บองค กร(Organization of information security) / 3. A7.การบร หารจ ดการทร พย ส นขององค กร (Asset management) / 4. A.8 ความม นคงปลอดภ ยท เก ยวของก บบ คลากร (Human resources security) / 5. A.9 การสร างความม นคงปลอดภ ยทางกายภาพและส งแวดล อม (Physical and environmental security) 6. A.10 การบร หารจ ดการด านการส อสารและการดาเน นงานของเคร อข ายสารสนเทศ ขององค กร (Communications and operations management) 7. A11. การควบค มการเข าถ ง (Access control) / 8. A.12 การจ ดหา การพ ฒนา และการบาร งร กษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) / / /

143 A.13 การบร หารจ ดการเหต การณ ท เก ยวของก บความม นคงปลอดภ ย ขององค กร (Information security incident management) / A.14 การบร หารความตอเน องในการดาเน นงานขององค กร (Business continuity) / A.15 การปฏ บ ต ตามขอกาหนด (Compliance) / หมายเหต องค กรได เล อกจ ดทา 4 โดเมนในป การศ กษา 2554 สวนโดเมนท ไมได เล อกจ ดทาน น เน องจาก บางโดเมนม สวนท เก ยวข องก บบ คคลภายนอก และนอกจากน ย งเก ยวข องก บหลายหนวยงาน ท ต อง ดาเน นงานแลกเปล ยนข อม ลรวมก น ทางผ จ ดทาโครงงานจ งขอดาเน นการในท ละสวนไปกอน แตคาดวาจะทา ตอเน องให เร ยบร อยภายในป การศ กษา 2555 เน องจาก ณ ตอนน ได เป นสวนหน งในแผนกลย ทธ ของป 2555 แล ว สวนโดเมนท ผ จ ดทาโครงงาน ได ทากอนเน องจากม ความสาค ญตอความม นคงปลอดภ ยระบบเทคโนโลย สารสนเทศเป นการเรงดวน และได ร บอน ม ต ให ทาได

144 ผลกระทบ โอกาส ระด บความเส ยง ผลการตรวจสอบและประเม นความเส ยงของระบบหล งดาเน นโครงการ ตารางท 4.12 การประเม ณความเส ยงและว เคราะห หล งทาโครงการ 6. นโยบายความม นคงปลอดภ ย (Security policy) 6.1 นโยบายความม นคงปลอดภ ยสาหร บสารสนเทศ (Security Policy) ม จ ดประสงค เพ อเพ อกาหนดท ศทางและให การสน บสน นการดาเน นการด านความม นคงปลอดภ ยสาหร บสารสนเทศขององค กร เพ อให เป นไปตามหร อ สอดคล องก บข อกาหนดทางธ รก จ กฏหมาย และระเบ ยบปฏ บ ต ท เก ยวข อง ข อ ประเด นความเส ยง ข อแนะน า สถานะป จจ บ น เอกสารนโยบายความม นคงปลอดภ ยท เป น ลายล กษณ อ กษร (Information security policy document) การทบทวนนโยบายความม นคงปลอดภ ย (Rewiew of the information security policy) (ผ จ ดทาโครงงาน) ต องจ ดทานโยบาย ความม นคงปลอดภ ยสาหร บสารสนเทศ ขององค กรอยางเป นลายล กษณ อ กษร เอกสารนโยบายต องได ร บการอน ม ต จาก ผ บร หารขององค กรกอนน าไปใช งานและ ต องเผยแพรให พน กงานและหนวยงาน ภายนอกท งหมดท เก ยวข องได ร บทราบ (ห วหน าแผนก) ต องดาเน นการทบทวน นโยบายความม นคงปลอดภ ยตาม ระยะเวลาท กาหนดไว หร อเม อม การ เปล ยนแปลงท สาค ญตอองค กร ผ บร หารได เห นความสาค ญ และม นโยบายต นแบบแล ว ม การทบทวนปร บปร งนโยบายให ด ข น จานวน 1 คร งหล งจากท ม นโยบาย ต นแบบ

145 ผลกระทบ โอกาส ระด บความเส ยง โครงสร างทางด านความม นคงปลอดภ ยสาหร บองค กร (Organization of information security) 7.1 โครงสร างทางด านความม นคงปลอดภ ยภายในองค กร (Internal organization) ม จ ดประสงค เพ อบร หารและจ ดการความม นคงปลอดภ ยสาหร บสารสนเทศขององค กร ข อ ประเด นความเส ยง ข อแนะน า สถานะป จจ บ น การให ความสาค ญของผ บร หารและการ กาหนดให ม การบร หารจ ดการทางด านความ ม นคงปลอดภ ย (Management commitment to information secutiry) การประสานงานความม นคงปลอดภ ย ภายในองค กร (Information security coordination (ผอ.ศคพ ผช.ผคพ) ต องให ความสาค ญ และให การสน บสน นตอการบร หารจ ดการ ทางด านความม นคงปลอดภ ย โดยม การ กาหนดท ศทางท ช ดเจน การกาหนดคาม น ส ญญาท ช ดเจนและการปฏ บ ต ท สอดคล อง การมอบหมายงานท เหมาะสมตอบ คลากร และการเล งเห นถ งความสาค ญของหน าท และความร บผ ดชอบในการสร างความ ม นคงปลอดภ ยให ก บสารสนเทศ (ห วหน าแผนก) ต องกาหนดให ม ต วแทน พน กงานจากแผนกตางๆ ภายในองค กร เพ อประสานงานหร อรวมม อก นในการ สร างความม นคงปลอดภ ยให ก บ สารสนเทศขององค กร โดยท ต วแทน เหลาน นจะม บทบาทและล กษณะงานท ผ อานวยการ และผ ชวยผ อานวยการ ศ นย คอมพ วเตอร ให ความสาค ญเป น อยางมาก ม การกาหนดต วแทน โดยการจ ดต ง คณะทางานข นมาจากต วแทนของแตละ แผนก ม ความเป นร ปธรรมมากข น

146 การกาหนดหน าท ความร บผ ดชอบทางด าน ความม นคงปลอดภ ย (Allocation of information security responsibilities) กระบวนการในการอน ม ต การใช งานอ ปกรณ ประมวลผลสารสนเทศ (Authorization process for information processing facilities) การลงนามม ให เป ดเผยความล บขององค กร (Confidentiality agreements) การม รายช อและข อม ลสาหร บการต ดตอก บ หนวยงานอ น (Contact with authorities) การม รายช อและข อม ลสาหร บการต ดตอก บ กล มท ม ความสนใจเป นพ เศษในเร อง เด ยวก น (Contact with special interest groups) ร บผ ดชอบท แตกตางก น (ห วหน าแผนก) ต องกาหนดหน าท ความ ร บผ ดชอบของพน กงานในการดาเน นงาน ทางด านความม นคงปลอดภ ยสาหร บ สารสนเทศขององค กรไว อยางช ดเจน (หน.คสร หน.คสก.) ต องกาหนด กระบวนการในการอน ม ต การใช งาน อ ปกรณ ประมวลผลสารสนเทศและบ งค บ ให ม การใช งากระบวนการน (ฝายบ คลากร) ต องจ ดให ม การลงนามใน ข อตกลงระหวางพน กงานก บองค กรวาจะ ไมเป ดเผยความล บขององค กร (ผ ด แลระบบ) ต องม รายช อและข อม ล สาหร บต ดตอก บหนวยงานอ นๆ เชน ผ ให บร การอ นเทอร เน ต (Internet Service Provider) เพ อใช สาหร บการต ดตอประสานงานทางด านความม นคงปลอดภ ยในกรณ ท ม ความ จาเป น (ผ ด และระบบ) ต องม รายช อและข อม ล สาหร บการต ดตอก บกล มตางๆ ท ม ความ สนใจเป นพ เศษในเร องเด ยวก น กล มท ความสนใจด านความม นคงปลอดภ ย ม การกาหนดไว บางสวน ม กระบวนการบ งค บ ม อย ในเอกสารการจ างงาน ม รายช อและข อม ลเบอร โทร ต ดตอก บ หนวยงานภายนอก เชน ISP True และ ISP CAT ม การสม คร account และใช งานอย ก บ สมาคมผ ด แลระบบแหงประเทศไทย

147 ผลกระทบ โอกาส ระด บความ เส ยง การทบทวนด านความม นคงปลอดภ ย สาหร บสารสนเทศโดยผ ตรวจสอบอ สระ (Independent review of information security) สารสนเทศ หร อสมาคมตางๆ (ผอ.ศคพ ผช.ผคพ ต องกาหนดให ม การ ตรวจสอบการบร หารจ ดการ การ ดาเน นงาน และการปฏ บ ต ท เก ยวข องก บ ความม นคงปลอดภ ยสาหร บสารสนเทศ โดยผ ตรวจสอบอ สระตามรอบระยะเวลาท กาหนดไว หร อเม อม การเปล ยนแปลงท ม ความสาค ญมากตอองค กร ย งไมม การกาหนด 7.2 โครงสร างทางด านความม นคงปลอดภ ยท เก ยวข องก บล กค าหร อหนวยงานภายนอก (External parties) ม จ ดประสงค เพ อบร หารจ ดการความม นคงปลอดภ ยสาหร บสารสนเทศและอ ปกรณ ประมวลผลสารสนเทศขององค กรท ถ กเข าถ ง ถ กประมวลผล หร อถ กใช ในการต ดตอส อสารก บล กค าหร อหนวยงานภายนอก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การประเม นความเส ยงของการเข าถ ง สารสนเทศโดยหนวยงานภายนอก (Identification of risks relaed to external parties) (หน.คสร หน.คสก ต องกาหนดให ม การ ประเม นความเส ยงอ นเก ดจากการเข าถ ง สารสนเทศ หร ออ ปกรณ ท ใช ในการ ประมวลผลสารสนเทศโดยหนวยงาน ภายนอก และกาหนดมาตรการรองร บหร อ แก ไขท เหมาะสมกอนท จะอน ญาตให สามารถเข าถ งได กลาง ย งไมม การดาเน นงานในสวนน

148 การระบ ข อกาหนดสาหร บล กค าหร อ ผ ใช บร การท เก ยวข องก บความม นคง ปลอดภ ยสาหร บสารสนเทศขององค กร (Addressing security when dealing with customers) การระบ และจ ดทาข อกาหนดสาหร บ หนวยงานภายนอกท เก ยวข องก บความ ม นคงปลอดภ ยสาหร บสารสนเทศของ องค กร (Addressing security in third party agreements) (ห วหน าแผนก) ต องระบ ข อกาหนด ทางด านความม นคงปลอดภ ยสาหร บ สารสนเทศขององค กร เม อม ความ จาเป นต องให ล กค าหร อผ ใช บร การเข าถ ง สารสนเทศหร อทร พย ส นขององค กร (ห วหน าแผนก) ต องระบ และจ ดทา ข อกาหนดหร อข อตกลงท เก ยวข องก บ ความม นคงปลอดภ ยสาหร บสารสนเทศ ระหวางองค กรและหนวยงานภายนอกเม อ ม ความจาเป นต องให หนวยงานน นเข าถ ง สารสนเทศหร ออ ปกรณ ประมวลผล สารสนเทศของค กร กอนท จะอน ญาตให สามารถเข าถ งได ม กาหนดไว ในนโยบาย ม กาหนดไว ในนโยบาย

149 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการทร พย ส นขององค กร (Asset management) 8.1 หน าท ร บผ ดชอบตอทร พย ส นขององค กร (Responsibility for assets) ม จ ดประสงค เพ อป องก นทร พย ส นขององค กรจากความเส ยหายท อาจเก ดข นได ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจ ดทาบ ญช ทร พย ส น (Inventory of assets) การระบ ผ เป นเจ าของทร พย ส น (Ownership of assets) (Supply Admin) ต องจ ดทาและปร บปร ง แก ไขบ ญช ทร พย ส นท ม ความสาค ญตอ องค กรให ถ กต องอย เสมอ (Supply Admin) ต องจ ดให ม การระบ ผ เป น เจ าของสารสนเทศและทร พย ส นท เก ยวข องไว ในบ ญช ทร พย ส น แตละหนวยงานม การทาในบางสวนบาง งาน ข นอย หน าท ร บผ ดชอบ ย งไมม การ กาหนดให ทาเป นลายล กษณ อ กษร แตละหนวยงานม การทาในบางสวนบาง งาน ข นอย หน าท ร บผ ดชอบ ย งไมม การ กาหนดให ทาเป นลายล กษณ อ กษร การใช งานทร พย ส นท เหมาะสม ( Acceptable use of assets) (Supply Admin) จะต องจ ดทากฏ ระเบ ยบ หร อหล กเกณฑ อยางเป นลายล กษณ อ กษร สาหร บการใช งานสารสนเทศและทร พย ส น ท เก ยวข องก บการประมวลผลสารสนเทศ อยางเหมาะสม เพ อป องก นความเส ยหาย ตอทร พย ส นเหลาน น เชน อ นเก ดจากการ ขาดความระม ดระว ง การขาดการด แล และ เอาใจใสเป นต น ม กาหนดอย ในนโยบาย

150 การจ ดหมวดหม ทร พย ส นสารสนเทศ ( Classification guidelines) การจ ดทาป ายช อ และการจ ดการทร พย ส น สารสนเทศ (Information labeling and handling) (Supply Admin) จะต องจ ดให ม กระบวนการในการจ ดหมวดหม ของ ทร พย ส นสารสนเทศตามระด บช นความล บ ค ณคา ข อกาหนดทางกฏหมายและระด บ ความสาค ญท ม ตอองค กร ท งน เพ อจะได หา ว ธ การในการป องก นได อยางเหมาะสม (Supply Admin) จะต องจ ดให ม ข นตอน ปฏ บ ต ในการจ ดทาป ายช อและการจ ดการ ทร พย ส นสารสนเทศตามท ได จ ดหมวดหม ไว แล ว กลาง ย งไมม การจ ดหมวดหม ของทร พย ส น สารสนเทศ ม การจ ดทาป ายให ก บอ ปกรณ เคร อขาย แล ว เข าไปในการทางานของผ ด แลระบบ เคร อขาย

151 ผลกระทบ โอกาส ระด บความ เส ยง ความม นคงปลอดภ ยท เก ยวข องก บบ คลากร (Human resources security) 4.1 การสร างความม นคงปลอดภ ยกอนการจ างงาน (Prior to employment) ม จ ดประสงค เพ อให พน กงาน ผ ท องค กรทาส ญญาวาจ าง (เชน เพ อการบาร งร กษาอ ปกรณ ตางๆ ขององค กร) และหนวยงานภายนอก เข าใจถ งบทบาท และหน าท ความ ร บผ ดชอบของตน และเพ อลดความเส ยงอ นเก ดจากการขโมย การฉ อโกง และการใช อ ปกรณ ผ ดว ตถ ประสงค ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การกาหนดหน าท ความร บผ ดชอบด านความ ม นคงปลอดภ ย (Roles and responsibilities) การตรวจสอบค ณสมบ ต ของผ สม คร ( Screening) (ห วหน าแผนก) ต องกาหนดหน าท และ ความร บผ ดชอบทางด านความม นคง ปลอดภ ยสาหร บสารสนเทศอยางเป นลาย ล กษณ อ กษรสาหร บพน กงานผ ท องค กรทา ส ญญาวาจ าง และ/หร อหนวยงานภายนอก ท องค กรต องการวาจ างมาปฏ บ ต งานให องค กร และจะต องสอดคล องก บนโยบาย ความม นคงปลอดภ ยสาหร บสารสนเทศ ขององค กร (ฝายบ คคลกรและหนวยงานภายในท ต องการวาจ าง) ต องทาการตรวจสอบ ค ณสมบ ต ของผ สม คร (ท งกรณ การจ างงาน เป นพน กงาน การวาจ างในล กษณะของ ส ญญา และการวาจ างหนวยงานภายนอก) โดยละเอ ยด เชน ตรวจสอบจากจดหมาย ม การกาหนดในส ญญาจ าง ม การตรวจสอบ

152 การกาหนดเง อนไขการจ างงาน ( Terms and confitions of employment) ร บรอง ประว ต การทางาน ว ฒ การศ กษา บ คคล หร อบร ษ ทท สามารถอ างอ งได (ฝายบ คลากร) ต องกาหนดเง อนไขการจ าง งาน (ท งกรณ การจ างงานเป นพน กงาน การวาจ างในล กษณะของส ญญาและการ วาจ างหนวนงานภายนอก) ซ งรวมถ ง หน าท ความร บผ ดชอบทางด านความม นคง ปลอดภ ยสาหร บสารสนเทศและบ คลากรท จะได ร บการวาจ างด งกลาวจะต องเห นชอบ และลงนามในเง อนไขการจ างงานน นด วย ม การกาหนดเง อนไขการจ างงาน

153 ผลกระทบ โอกาส ระด บความ เส ยง การสร างความม นคงปลอดภ ยในระหวางการจ างงาน (During employment) ม จ ดประสงค เพ อให พน กงาน ผ ท องค กรทาส ญญาวาจ าง และหนวยงานภายนอกได ตระหน กถ งภ ยค กคามและป ญหาท เก ยวข องก บความม นคงปลอดภ ย หน าท ความ ร บผ ดชอบซ งรวมถ งหน าท ความร บผ ดชอบท ผ กพ นทางกฏหมาย และได เร ยนร และทาความเข าใจเก ยวก บนโยบายความ นคงปลอดภ ยขององค กร รวมท งเพ อลดความ เส ยงอ นเก ดจากความผ ดพลาดในการปฏ บ ต หน าท ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น หน าท ในการบร หารจ ดการทางด านความ ม นคงปลอดภ ย (Management responsibilities) การสร างความตระหน ก การให ความร และ การอบรมด านความม นคงปลอดภ ยให แก พน กงาน (Information security awareness, education, and training) (ห วหน าแผนก) ต องกาหนดให บ คลากรท ได ร บการวาจ างตามส ญญาการจ างงาน และผ ท มาปฏ บ ต หน าท จากหนวยงาน ภายนอกปฏ บ ต ตามมาตรการการร กษา ความม นคงปลอดภ ย ตามนโยบายและ ข นตอนปฏ บ ต ทางด านความม นคง ปลอดภ ยขององค กร (ฝายบ คลากร) ต องกาหนดให พน กงานท ได ร บการวาจ างตามส ญญาการจ างงาน และผ ท มาปฏ บ ต หน าท จากหนวยงาน ภายนอกได ร บการอบรมเพ อสร างความ ตระหน กและเสร มสร างความร ทางด าน ความม นคงปลอดภ ยอยางสม าเสมอ การ อบรมควรครอบคล มถ งนโยบายและ ข นตอนปฏ บ ต สาหร บการร กษาความ กลาง ม นโยบายควบค ม ตระหน กมากข นในระด บหน ง เน องจากม การบ งค บใช ในบางเร อง แตย งขาดเร อง การอบรมให เข าใจ

154 ผลกระทบ โอกาส ระด บความ เส ยง กระบวนการทางว น ยเพ อลงโทษ (Disciplinary process) ม นคงปลอดภ ยขององค กรตามล กษณะ งานท พน กงานต องร บผ ดชอบด วย (ผ บร หารองค กร) ต องจ ดให ม กระบวนการ ทางว น ยเพ อลงโทษพน กงงานท ฝาฝ นหร อ ละเม ดนโยบาย หร อระเบ ยบปฏ บ ต ทางด านความม นคงปลอดภ ยขององค กร จะม การพ จารณาบทลงโทษในนโยบาย ฉบ บปร บปร งภายหน า 4.3 การส นส ดหร อการเปล ยนการจ างงาน (Termination or change of employment) ม จ ดประสงค เพ อให พน กงาน ผ ท องค กรทาส ญญาวาจ าง และหนวยงานภายนอกได ทราบถ งหน าท ความร บผ ดชอบและบทบาทของตน เม อส นส ดการจ างงาน หร อม การเปล ยนการจ างงาน ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การส นส ดหร อการเปล ยนการจ างงาน (Termination responsibilities) การค นทร พย ส นขององค กร (Return of assets) (ฝายบ คลากร) ต องกาหนดหน าท ความ ร บผ ดชอบสาหร บผ ท องค กรเล กการจ าง งานหร อองค กรเปล ยนล กษณะการจ างงาน และกาหนดให ปฏ บ ต ตามหน าท ด งกลาว (ฝายบ คลากร ฝายจ ดหารบร หารทร พส ส น) ต องกาหนดให ผ ท องค กรส นส ดการ จ างงานหร อเปล ยนล กษณะการจ างงานค น ทร พย ส นขององค กรท อย ในความ ม หน าท กาหนดไว ช ดเจน ต องค นก ญแจโต ะเก บของสวนต ว ค น อ ปกรณ และทร พย ส นขององค กร

155 ผลกระทบ โอกาส ระด บความ เส ยง การถอดถอนส ทธ ในการเข าถ ง (Removal of access rights) ครอบครองของตน (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง ทาการถอดถอนส ทธ ในการเข าถ ง สารสนเทศและทร พย ส นสารสนเทศของผ ท องค กรส นส ดการจ างงานหร อเปล ยน ล กษณะการจ างงาน ม การกาหนดทบทวนส ทธ บนระบบ โดย จะม รอบกาหนดท กๆ 1 ป ในตอนน 10. การสร างความม นคงปลอดภ ยทากกายภาพและส งแวดล อม (Physical and environmental security) 10.1 บร เวณท ต องม การร กษาความม นคงปลอดภ ย (Secure areas) ม จ ดประสงค เพ อป องก นการเข าถ งการกายภาพโดยไมได ร บอน ญาต การกอให เก ดความเส ยหาย และการกอกวนหร อแทรกแซงตอทร พย ส นสารสนเทศของ องค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจ ดทาบร เวณล อมรอบ (Physical security perimeter) การควบค มการเข า-ออก (Physical entry controls) (ห วหน าแผนก ฝายอาคารสถานท ) ต องม การจ ดสรรพ นท ก นบร เวณ จ ดทาผน งหร อ กาแพงล อมรอบ จ ดทาประต ทางเข า-ออก (ห วหน าแผนก ฝายอาคารสถานท ) ต องจ ด ให ม การควบค มการเข า-ออกในบร เวณหร อ พ นท ท ต องการร กษาความปลอดภ ย และ อน ญาต ให ผานเข า-ออกได เฉพาะผ ท ได ร บ ม การก น จ ดทาผน ง ด แล ว ยกเว น บางสวนท เป นกระจก สามารถมองเห น ทร พย ส นท ม คาได เชนห องเก บของ ม การต ดต งอ ปกรณ access control เพ อ ตรวจสอบผ ม ส ทธ เข าออกบร เวณสาค ญ เชน สาน กงาน และ ห องเก บอ ปกรณ

156 การร กษาความม นคงปลอดภ ยสาหร บ สาน กงาน ห องทางาน และทร พย ส นอ นๆ (Securing offices, rooms and facilities) การป องก นภ ยค กคามจากภายนอกและ ส งแวดล อม (Protecting against external and environmental threats) การปฏ บ ต งานในพ นท ท ต องร กษาความ ม นคงปลอดภ ย (Working in secure areas) การจ ดบร เวณสาหร บการเข าถ ง หร อการสง มอบผล ตภ ณฑ โดยบ คคลภายนอก (Public access, delivery, and loading areas) อน ญาต แล วเทาน น (ห วหน าแผนก ฝายอาคารสถานท ) ต องจ ด ให ม การสร างความม นคงปลอดภ ยทาง กายภาพตอสาน กงานห องทางานและ ทร พย ส นอ นๆ (ห วหน าแผนก ฝายอาคารสถานท ) ต องจ ด ให ม การป องก นตอภ ยค กคามตางๆ ได แก ไฟไหม น าทวม หร อหายนะอ นๆ ท งท เก ด จากมน ษย และธรรมชาต (ฝายอาคารสถานท ) ต องจ ดให ม การ ป องก นทางกายภาพและแนวทางสาหร บ การปฏ บ ต งาน ในพ นท ท ต องร กษาความ ม นคงปลอดภ ย (ห วหน าแผนก) ต องจ ดบร เวณสาหร บการ เข าถ งหร อการสงมอบผล ตภ ณฑ โดย บ คคลภายนอก เพ อป องก นการเข าถ ง ทร พย ส นสารสนเทศของค กรโดยไมได ร บ อน ญาต และถ าเป นไปได ควรจ ดเป น บร เวณแยกออกมาตางหาก กลาง ม การต ดต งอ ปกรณ access control เพ อ ป องก นความปลอดภ ยของทร พย ส น การป องก นทางด านอ ทกภ ย ย งม ความ เส ยง ม การปร บปร งการป องก น เชน ย าย ย ายทร พย ส นข นท ส งไว ลวงหน า แตย งไม เพ ยงพอก บหายนะท เก ดข น เน องจาก ระด บน าอาจจาส งกวาท ประเม นไว ใน ป 54 การทางานในสถานท สาค ญ ม การ ควบค มการเข าออก ม คนด แลอย ตลอด ม การต ดตามการปฏ บ ต งานของ บ คคลภายนอก ม ห องสงของแยกก บห องสาน กงาน ทางานตะหาก

157 ผลกระทบ โอกาส ระด บความ เส ยง ความม นคงปลอดภ ยของอ ปกรณ (Equipment security) ม จ ประสงค เพ อป องก นการส ญหายการเก ดความเส ยหาย การถ กขโมย หร อการถ กเป ดเผยโดยไมได ร บอน ญาต ของทร พย ส นขององค กร และการทาให ก จกรรมการดาเน นงานตาง ๆ ขององค กรเก ดการต ดข ดหร อหย ดชะง ก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจ ดวางและการป องก นอ ปกรณ (Equipment siting and protection) ระบบและอ ปกรณ สน บสน นการทางาน (Supporting utilities) การเด นสายไฟ สายส อสาร และสายเคบ ล อ นๆ (Cabling security) (บ คลากร)ต องจ ดวางและป องก นอ ปกรณ ของสาน กงานเพ อลดความเส ยงจากภ ย ค กคามทางด านส งแวดล อมและอ นตราย ตางๆ รวมท งความเส ยงในการเข าถ ง อ ปกรณ โดยไมได ร บอน ญาต (ห วหน าแผนก) ต องกาหนดให ม กลไกการ ป องก นการล มเหลวของระบบและอ ปกรณ สน บสน นตางๆ ได แก ระบบกระแสไฟฟ า ระบบควบค มอ ณหภ ม ระบบกระแสไฟฟ า สารอง เป นต น (หน.คสร หน.คสก) ต องกาหนดให การเด น สายไฟฟ า สายส อสาร และสายเบ ลอ นๆ ได ร บการป องก นจากการเข าถ งโดยไมได ม การจ ดวางอ ปกรณ เป นส ดสวนด ม การพ ดค ยในระด บผ บร หารเพ อกาช บ ให ม การตรวจสอบสถานะ ทดสอบ อ ปกรณ ให พร อมใช งาน ม การกาหนด การป องก นท ด อย แล ว

158 การบาร งร กษาอ ปกรณ (Equipment maintenance) ร บอน ญาต การทาให เก ดอ ปสรรคตอ สายส ญญาณ หร อการทาให สายส ญญาณ เหลาน นเส ยหาย (ห วหน าแผนก) ต องกาหนดให ม การ บาร งร กษาอ ปกรณ ตางๆ อยางสม าเสมอ เพ อให อ ปกรณ ทางานได อยางตอเน องและ อย ในสภาพท ม ความสมบ ณณ ตอการใช งาน ม การบาร งร กษาอ ปกรณ อย ตลอด ม การ จ างบร ษ ทข างนอกเข ามาทาการ บาร งร กษาอ ปกรณ การป องก นอ ปกรณ ท ใช งานอย นอก สาน กงาน (Security of equipment offpremises) (ห วหน าแผนก) ต องกาหนดให ม การ ป องก นอ ปกรณ ตางๆ ท ใช งานอย นอก ม การป องก นอย ด เชน การ Lock ต อ ปกรณ ตางๆ สาน กงานเพ อไมให เก ดความเส ยหายตอ อ ปกรณ เหลาน น การป องก นให พ จารณา จากความเส ยงตาง ๆ ท ม อย อ ปกรณ เหลาน น การกาจ ดอ ปกรณ หร อการน าอ ปกรณ กล บมา ใช งานอ กคร ง (Secure disposal or re-use (บ คลการ) ต องตรวจสอบอ ปกรณ ท ม ส อ บ นท กข อม ลเพ อด วาข อม ลสาค ญและ ม การตรวจสอบส อบ นท กข อม ลท น าออก จากห อง Data center โดยผ ด แลระบบ of equipment) ซอฟต แวร ล ขส ทธ ท เก บอย ในส อบ นท ก ด งกลาวได ถ กลบท ง หร อถ กบ นท กท น กอนท จะท งอ ปกรณ ด งกลาวไป ท งน เพ อ เป นการป องก นข อม ลด งกลาวหากม การน า อ ปกรณ กล บมาใช งานอ กคร ง การน าทร พย ส นขององค กรออกนอก (ห วหน าแผนก) ต องไมอน ญาตการน า ไมอน ญาต ให น าทร พย ส นมหาล ยไปใช

159 ผลกระทบ โอกาส ระด บความ เส ยง 144 สาน กงาน (Removal of property) ทร พย ส นขององค กร ออกนอกองค กร เว นเส ยแตจะได ร บอน ญาตแล วเทาน น สวนต วนอกเหน อภาระงาน เชน Notebook ห ามน ากล บไปใช ท บ าน 6.การบร หารจ ดการด านการส อสารและการดาเน นงานของเคร อขายสารสนเทศขององค กร (Communications and operations management) 6.1 การกาหนดหน าท ความร บผ ดชอบและข นตอนการปฏ บ ต งาน (Operational procedures and responsibilities) ม จ ดประสงค เพ อให การดาเน นงานท เก ยวข องก บอ ปกรณ ประมวลผลสารสนเทศเป นไปอยางถ กต องและปลอดภ ย ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น ข นตอนการปฏ บ ต งานท เป นลายล กษณ อ กษร (Documented operating procedures) การควบค มการเปล ยนแปลง ปร บปร ง หร อ แก ไขระบบหร ออ ปกรณ ประมวลผล สารสนเทศ ( Change management) การแบงหน าท ความร บผ ดชอบ (Segregation of duties) (ห วหน าแผนก) ต องจ ดทาค ม อข นตอนการ ปฏ บ ต งาน ปร บปร งตามระยะเวลาอ น สมควร และแจกจายให ก บผ ท เก ยวข อง (ห วหน าแผนก) ต องกาหนดให ม การ ควบค มการเปล ยนแปลง ปร บปร งหร อ แก ไขระบบหร ออ ปกรณ ประมวลผล สารสนเทศ (ห วหน าแผนก) ต องกาหนดให ม การแบง หน าท ความร บผ ดชอบเพ อลดโอกาสใน การเปล ยนแปลงหร อแก ไขโดยไมได ร บ อน ญาต หร อใช ผ ดว ตถ ประสงค ตอ ทร พย ส นทสารสนเทศขององค กร ม การจ ดทาค ม อ ข นตอนปฏ บ ต งานใน บางสวน แตย งไมม การทบทวนปร บปร ง ตามระยะเวลา ม การกาหนดให บ นท กส งท ปร บปร งและ update ไฟล ปร บปร ง ม การแบงหน าท ร บผ ดชอบช ดเจน

160 ผลกระทบ โอกาส ระด บความ เส ยง การแยกระบบสาหร บการพ ฒนา การ ทดสอบ และการให บร การออกจากก น (Separation of development, test, and operational facilities) (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง จ ดให ม การแยกระบบสาหร บการพ ฒนา การทดสอบ และการให บร การจร งออกจาก ก น เพ อลดความเส ยงในการเข าถ งหร อ เปล ยนแปลงแก ไขตอระบบสาหร บการ ให บร การจร งโดยไมได ร บอน ญาต กลาง ม การกาหนดให แบงแยก แตไมได ปฏ บ ต ตาม เน องจากความไมสะดวกในการ ทางาน 6.2 การบร หารจ ดการการให บร การของหนวยงานภายนอก (Third pary service delivery management) ม จ ดประสงค เพ อจ ดทาและร กษาระด บความม นคงปลอดภ ยของการปฏ บ ต หน าท โดยหนวยงานภายนอกให เป นไปตามข อตกลงท จ ดทาไว ระหวางองค กรก บหนวยงานภายนอก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การให บร การโดยหนวยงานภายนอก (Service delivery) การตรวจสอบการให บร การโดยหนวยงาน ภายนอก (Monitoring and review of third party services) (ห วหน าแผนก) ต องกาหนดให ผ ให บร การ จากภายนอกปฏ บ ต ตามข อกาหนดหร อ ข อตกลงท จ ดทาข นระหวางองค กรและผ ให บร การ ข อตกลงควรกลาวถ งมาตรการ การร กษาความม นคงปลอดภ ย ล กษณะ ของการให บร การและระด บของการ ให บร การ (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง ตรวจสอบการให บร การโดยหนวยงาน ภายนอกอยางสม าเสมอ เชน การด จาก ม การกาหนดไว ในส ญญาจ ดซ อจ ดจ าง ม การตรวจสอบแตย งไมม การบ นท กผล การตรวจสอบ

161 ผลกระทบ โอกาส ระด บความ เส ยง 146 การให บร การ การศ กษาจากรายงานและ ข อม ลตางๆ ท กาหนดให บ นท กไว เป นต น การบร หารจ ดการเปล ยนแปลงในการ ให บร การ (Managing changes to third party services) (ห วหน าแผนก) ต องกาหนดให ทาการ ปร บปร งเง อนไขการให บร การของ หนวยงานภายนอกเม อม การเปล ยนแปลง ท สาค ญตอระบบหร อกระบวนการท เก ยวข องก บงานให บร การของหนวยงาน ภายนอก เชน การเปล ยนเทคโนโลย ใหม การใช ผล ตภ ณฑ ใหม เป นต น ม การปร บปร งเง อนไขอย ตลอด 6.3 การวางแผนและการตรวจร บทร พยากรสารสนเทศ (System planning and acceptance) ม จ ดประสงค เพ อลดความเส ยงจากความล มเหลวของระบบ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การวางแผนความต องการทร พยากร สารสนเทศ (Capacity management) (ห วหน าแผนก ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องม การวางแผนเพ อกาหนด ความต องการทร พยากรสารสนเทศ เพ มเต มในอนาคตเพ อให ระบบม ประส ทธ ภาพท เหมาะสมและเพ ยงพอตอ การใช งาน ม การวางแผนท ด อย แล ว

162 ผลกระทบ โอกาส ระด บความ เส ยง การตรวจจ บระบบ (System acceptance) (ห วหน าแผนก ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องจ ดให ม เกณฑ ในการตรวจ ร บระบบสารสนเทศใหม ท ปร บปร ง เพ มเต ม หร อท เป นร นใหม รวมท งต อง ดาเน นการทอดสอบกอนท จะร บระบบน น มาใช งาน ม การตรวจร บตรวจสอบท เป นระบบด อย แล ว หากไมตรงตามต องการจะไมตรวจ ร บระบบน นๆ 6.4 การป องก นโปรแกรมท ไมประสงค ด (Protection against malicious and mobile code) ม จ ดประสงค เพ อร กษาซอฟต แวร และสารสนเทศให ปลอดภ ยจากากรถ กทาลายโดยซอฟต แวร ท ไมประสงค ด ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การป องก นโปรแกรมท ไมประสงค ด (Controls against malicious code) การป องก นโปรแกรมชน ดเคล อนท (Controls against mobile code) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย)ต องม มาตรตการสาหร บการตรวจจ บ การ ป องก น และการก กล บค นเพ อป องก น ทร พย ส นสารสนเทศจากโปรแกรมท ไม ประสงค ด รวมท งต องม การสร างความ ตระหน กท เก ยวข องให ก บผ ใช งานด วย (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต องม มาตรการเพ อควบค มการใช งานโปรแกรม ชน ดเคล อนท ม การป องก นท ด แตย งขาดการสร าง ความตระหน กให ก บผ ใช งาน ม การป องก นด วยระบบควบค มสวนกลาง

163 ผลกระทบ ผลกระทบ โอกาส โอกาส ระด บความ เส ยง ระด บความ เส ยง การสารองข อม ล (Back-up) ม จ ดประสงค เพ อร กษาความถ กต องสมบ รณ และความพร อมใช ของสารสนเทศและอ ปกรณ ประมวลผลสารสนเทศ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การสารองข อม ล (Information back-up) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จ ดให ม การสารองและทดสอบข อม ลท สารองเก บไว อยางสม าเสมอ และให เป นไป ตามนโยบายการสารองข อม ลขององค กร ม การจ ดทาการสารองข อม ลและทดสอบ อย เสมอ 6.6 การบร หารจ ดการทางด านความม นคงปลอดภ ยสาหร บเคร อขายขององค กร (Network security management) ม จ ดประสงค เพ อป องก นสารสนเทศบนเคร อคายและโครงสร างพ นฐานท สน บสน นการทางานของเคร อขาย ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น มาตรการทางเคร อขาย (Network Controls) (ผ ด แลระบบเคร อขาย) ต องบร หารและ จ ดการเคร อขาย กาหนดมาตรการเพ อ ม การป องก นโดยการเป ดให ใช ระบบ เคร อขายในสวนท จาเป นเทาน น ม การ

164 ผลกระทบ โอกาส ระด บความ เส ยง ความม นคงปลอดภ ยสาหร บบร การเคร อขาย (Security of network services) ป องก นภ ยค กคามตาง ๆ ทางเคร อขาย และด แลร กษาความม นคงปลอดภ ยสาหร บ ระบบและแอปพล เคช นท ใช งานเคร อขาย รวมท งสารสนเทศตางๆ ท สงผานทาง เคร อขาย (หน.คสร หน.คสก) ต องกาหนดค ณสมบ ต ทางด านความม นคงปลอดภ ยระด บการ ให บร การ และข อกาหนดในการบร หาร จ ดการสาหร บบร การเคร อขายท งหมดท องค กรใช บร การอย และต องกาหนดไว ใน ข อตกลงในการให บร การเคร อขายโดยท บร การเคร อขายเหลาน อาจจะเป นบร การ เคร อขายภายในองค กรเองหร อบร การท ได ร บจากหนวยงายภายนอก ป ดชองโหวตางๆ เพ อป องก นการโจมต ม การกาหนดไว ด วยวาจา และอย ใน กระบวนการทางานของผ ด แลระรบ ผ ด แลระบบเคร อขาย 6.7 การจ ดการส อท ใช ในการบ นท กข อม ล (Media handling) ม จ ดประสงค เพ อป องก นการเป ดเผย การเปล ยนแปลงแก ไข การลบหร อทาลายทร พย ส นสารสนเทศโดยไมได ร บอน ญาต และการต ดข ดหร อหย ดชะง กทางธ รก จ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การบร หารจ ดการส อบ นท กข อม ลท สามารถ (ห วหน าแผนก) ต องกาหนดข นตอนปฏ บ ต ย งไมม การกาหนด ช ดเจน

165 150 เคล อนย ายได (Management of removeable media) การกาจ ดส อบ นท กข อม ล (Disposal of media) สาหร บบร หารจ ดการส อบ นท กข อม ลท สามารถเคล อนย ายได (ห วหน าแผนก) ต องกาหนดข นตอนปฏ บ ต สาหร บการทาลายส อบ นท กข อม ลท ไมม ความจาเป นต องใช งานอ กตอไปแล ว การ ทาลายต องเป นไปอยางม นคงและ ปลอดภ ย กลาง ม นโยบายกาหนดในการจ ดการทาลายส อ บ นท กข อม ล ข นตอนปฏ บ ต สาหร บการจ ดการสารสนเทศ (Information handling procedures) การสร างความม นคงปลอดภ ยสาหร บ เอกสารระบบ (Security of system documentation) (ห วหน าแผนก) ต องกาหนดข นตอนปฏ บ ต สาหร บการจ ดการและการจ ดเก บ สารสนเทศ เพ อป องก นการเข าถ งโดย ไมได ร บอน ญาต หร อการใช งานผ ด ว ตถ ประสงค (ห วหน าแผนก) ต องกาหนดมาตรการ ป องก นเอกสารระบบจากการเข าถ งโดย ไมได ร บอน ญาต ม นโยบายกาหนดในและม การทบทวน ส ทธ ในการเข าถ ง ม นโยบายกาหนด และม การทบทวนส ทธ ในการเข าถ งเอกสารสาค ญๆ

166 ผลกระทบ โอกาส ระด บความ เส ยง การแลกเปล ยนสารสนเทศ (Exchange of information) ม จ ดประสงค เพ อร กษาความม นคงปลอดภ ยของสารสนเทศและซอฟต แวร ท ม การแลกเปล ยนก นภายในองค กร และท ม การแลกเปล ยนก บหนวยงานภายนอก ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น นโยบายและข นตอนปฏ บ ต สาหร บการ แลกเปล ยนสารสนเทศ (Information exchange policies and procedures) (ห วหน าแผนก) ต องกาหนดนโยบาย ข นตอนปฏ บ ต และมาตรการรองร บเพ อ ป องก นป ญหาของการแลกเปล ยน สารสนเทศระหวางองค กร ( เชน องค กร และหนวยงานภายนอก) โดยผานทางชอง ทางการส อสารท กชน ด ม การกาหนดข นตอนด วยวาจา และอย ใน กระบวนการทางานของผ เก ยวข องอย แล ว เชน การใช งาน VPN ข อตกลงในการแลกเปล ยนสารสนเทศ (ห วหน าแผนก) ต องจ ดทาข อตกลงในการ อย ในกระบวนการทางานของผ เก ยวข อง (Exchange agreements) แลกเปล ยนสารสนเทศและซอฟต แวร อย แล ว ระหวางองค กรอยางเป นลายล กษณ อ กษร การสงส อบ นท กข อม ลออกไปนอกองค กร (บ คลากร) ต องป องก นส อบ นท กข อม ลจาก ควบค มและป องก นลาบาก เน องจากส อ (Physical media in transit) การเข าถ งโดยไมได ร บอน ญาตการใช งาน บ นท กข อม ล ม หลายชน ด ผ ดว ตถ ประสงค และการทาให ข อม ลเก ด ความเส ยหายในระหวางท สงข อม ลน น ออกไปนอกองค กร การสงข อความทางอ เล กทรอน กส (ผ ด แลระบบ) ต องกาหนดมาตรการในการ อย ในกระบวนการทางานของผ ด แลระบบ

167 ผลกระทบ โอกาส ระด บความ เส ยง 152 (Electronic messaging) ระบบสารสนเทศทางธ รก นท เช อมโยงก น (Business information systems) ป องก นสารสนเทศท การสงผานทาง ข อความอ เล กทรอน กส (ห วหน าแผนก) ต องกาหนดนโยบายและ ข นตอนปฏ บ ต เพ อป องก นสารสนเทศท เก ยวข องก บระบบสารสนเทศทางธ รก จท เช อมโยงก น อย ในกระบวนการทางานของผ เก ยวข อง อย แล ว 6.9 การสร างความม นคงปลอดภ ยสาหร บบร การพาณ ชย อ เล กทรอน กส (Electronic commerce service) ม จ ดประสงค เพ อสร างความม นคงปลอดภ ยสาหร บบร การพาณ ชย อ เล กทรอน กส และในการใช งาน ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การพาณ ชย อ เล กทรอน กส (Electronic commerce) การทาธ รกรรมออนไลน (On-line transactions) (ห วหน าแผนก) ต องกาหนดมาตรการ สาหร บการป องก นสารสนเทศของระบบ พาณ ชย อ เล กทรอน กส ท ม การสงผานทาง เคร อขายสาธารณะจากการฉ อโกง การ เป ดเผย และการเปล ยนแปลงแก ไขโดย ไมได ร บอน ญาต (ห วหน าแผนก) ต องกาหนดมาตรการ สาหร บการป องก นสารสนเทศท ร บ-สง ท เก ยข องก บการทาธ รกรรมอนนไลน ท งน องค กรม การป องก นท ด อย แล ว องค กรม การป องก นท ด อย แล ว

168 ผลกระทบ โอกาส ระด บความ เส ยง สารสนเทศท ม การเผยแพรออกส สาธารณะ (Publicly available information) เพ อป องก นไมให เก ดความไมสมบ รณ ของ สารสนเทศท ร บ-สง สารสนเทศถ กสงไปผ ด เส นทางบนเคร อขายการเปล ยนแปลง สารสนเทศโดยไมได ร บอน ญาต (ห วหน าแผนก) ต องกาหนดให ม การ ป องก นความถ กต องและความสมบ รณ ของ สารสนเทศท ม การเผยแพรออกส สาธารณะ ม การตรวจสอบด วยผ บร หาร กอนท จะให เผยแพรออกส สาธารณะ 6.10 การเฝ าระว งทางด านความม นคงปลอดภ ย (Monitoring) ม จ ดประสงค เพ อตรวจจ บก จกรรมการประมวลผลสารสนเทศท ไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การบ นท กเหต การ ท เก ยวข องก บการใช งาน สารสนเทศ (Audit logging) การตรวจสอบการใช งานระบบ (Monitoring system use) (ห วหน าแผนก ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องกาหนดให ทาการบ นท ก ก จกรรมการใช งานของผ ใช การปฏ เสธ การให บร การของระบบ และเหตการณ ตางๆ ท เก ยวข องก บความม นคงปลอดภ ย อยางสม าเสมอตามระยะเวลาท กาหนดไว (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ม ข นตอนปฏ บ ต เพ อตรวจสอบ การใช งานทร พย ส นสารสนเทศอยาง กลาง ม การปร บปร งระบบจ ดเก บ log ท ด ข น สามารถระบ ต วตนท เข าออก internet ได แตย งขาดการจ ดเก บในสวนของ intranet ม การตรวจสอบการใช งานระบบอย อยาง สม าเสมออย แล ว

169 การป องก นข อม ลบ นท กเหต การณ (Protection of log information) บ นท กก จกรรมการดาเน นงานของเจ าหน าท ท เก ยวข องก บระบบ (Administrator and operator logs) การบ นท กเหต การณ ข อผ ดพลาด (Fault logging) การต งเวลาของเคร องคอมพ วเตอร ให ตรงก น ( Clock synchronization) สม าเสมอ อาท เพ อด วาม ส งผ ดปกต เก ดข นหร อไม (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ม มาตรการป องก นข อม ลบ นท ก ก จกรรมหร อเหต การณ ตาง ๆ ท เก ยวข อง ก บการใช งานสารสนเทศ เพ อป องก นการ เปล ยนแปลงหร อการแก ไขโดยไมได ร บ อน ญาต (ห วหน าแผนก) ต องกาหนดให ม การบ นท ก กรรมการดาเน นงานของผ ด แลระบบหร อ เจ าหน าท ท เก ยวข องก บระบบอ นๆ (ผ ด และระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ม การบ นท กเหต การณ ข อผ ดพลาดตาง ๆ ท เก ยวข องก บการใช งานสารสนเทศ ว เคราะห ข อผ ดพลาด เหลาน น และดาเน นการแก ไขตามสมควร (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต องต ง เวลาของเคร องคอมพ วเตอร ท กเคร องใน สาน กงานให ตรงก นโดยอ างอ งจากแหลง เวลาท ถ กต องเพ อชวยในการตรวจสอบ ชวงเวลาหากเคร องคอมพ วเตอร ของ องค กรถ กบ กร ก ม การป องก นท ด อย แล ว ม การบ นท กอย ตลอดเป นรายเด อน ม การบ นท กอย ผลการดาเน นงาน ม การทบทวนการต งเวลาให ครบท ก อ ปกรณ ท งอ ปกรณ เคร อขายและเคร อง คอมพ วเตอร

170 ผลกระทบ โอกาส ระด บความ เส ยง การควบค มการเข าถ ง (Access Control) 7.1 ข อกาหนดทางธ รก นสาหร บการควบค มการเข าถ งสารสนเทศ (Business requirements for access control) ม จ ดประสงค เพ อควบค มการเข าถ งสารสนเทศ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น นโยบายการควบค มการเข าถ งระบบ (Access control policy) (ผ บร หารองค กร) ต องกาหนดให ม การ จ ดทานโยบายควบค มการเข าถ งอยางเป น ลายล กษณ อ กษร และปร บปร งตาม ระยะเวลาท กาหนดไว การจ ดทานโยบายน จะพ จารณาจากความต องการทางธ รก จ และทางด านความม นคงปลอดภ ยในการ เข าถ งทร พย ส นสารสนเทศ ม นโยบายควบค มการเข าถ ง

171 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการการเข าถ งของผ ใช (User access management) ม จ ดประสงค เพ อควบค มการเข าถ งระบบสารสนเทศเฉพาะผ ท ได ร บอน ญาตแล วและป องก นการเข าถ งโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การลงทะเบ ยนผ ใช งาน (User registration) (ห วหน าแผนก) ต องกาหนดให ม ข นตอน ปฏ บ ต อยางเป นทางการสาหร บการ ลงทะเบ ยนผ ใช งานใหม เพ อให ม ส ทธ ตางๆ ในการใช งานตามความจาเป น รวมท งข นตอนปฏ บ ต สาหร บการยกเล ก ส ทธ การงาน เชน เม อลาออกไปหร อ เปล ยนตาแหนงงานภายในองค กร เป นต น การบร หาจ ดการส ทธ การใช งานระบบ (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง (Privilege management) จ ดให ม การควบค มและจาก ดส ทธ การใช การบร หารจ ดการรห สผานสาหร บผ ใช งาน (User password management) งานระบบตามความจาเป นในการใช งาน (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ม กระบวนการบร หารจ ดการรห สผาน สาหร บผ ใช งานอยางเป นทางการ เพ อ ควบค มการจ ดสรรรห สผานให แกผ ใช งาน อยางม ความม นคงปลอดภ ย ม การแก ไขทบทวนส ทธ การเข าถ ง ม กระบวนการจ ดการควบค มส ทธ อย ตาม ภาระหน าท ประจาว นของผ ด แลระบบ ผ ด แลระบบเคร อขาย ม กระบวนการจ ดการควบค มส ทธ อย ตาม ภาระหน าท ประจาว นของผ ด แลระบบ ผ ด แลระบบเคร อขาย

172 ผลกระทบ โอกาส ระด บความ เส ยง การทบทวนส ทธ การเข าถ งของผ ใช งาน (Review of user access rights) (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ม กระบวนการทบทวนส ทธ การเข าถ ง ของผ ใช งานระบบอยางเป นทางการตาม ระยะเวลาท กาหนดไว ม การกาหนดให ทบทวนส ทธ ตางๆ ท งหมดอยางน อยป ละ 1 คร ง 1.3 หน าท ความร บผ ดชอบของผ ใช งาน (User responsibilities) ม จ ดประสงค เพ อป องก นการเข าถ งโดยไมได ร บอน ญาต การเป ดเผยหร อการขโมยสารสนเทศและอ ปกรณ ประมวลผลสารสนเทศ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การใช งานรห สผาน (Password use) (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง กาหนดว ธ ปฏ บ ต ท ด สาหร บผ ใช งานในการ เล อกและใช งานรห สผาน การป องก นอ ปกรณ ท ไมม พน กงานด แล (บ คลากร) ต องม ว ธ เพ อป องก นไมให ผ ไมม (Unattended user equipment) ส ทธ สามารถเข าถ งอ ปกรณ สาน กงานท ไม ม ผ ด แล นโยบายควบค มการไมท งทร พย ส น (ห วหน าแผนก) ต องจ ดทานโยบายเพ อ สารสนเทศสาค ญไว ในท ท ไมปลอดภ ย ควบค มไมให ม การปลอยให ทร พย ส น สารสนเทศท สาค ญ เชน เอกสาร ส อบ นท ก ข อม ล อย ในสถานท ท ไมปลอดภ ย เชน สามารถเข าถ งได ทางกายภาพ อย ใน ม การกาหนดรห สผานประกาศให ทราบ อย แล ว อ ปกรณ สาน กงานสวนใหญแทบท งหมด จะม ผ ด แลอย หมดแล ว ม นโยบายควบค ม ม การป องก นการ เข าถ งทางกายภาพด วยระบบ Access Control

173 ผลกระทบ โอกาส ระด บความ เส ยง 158 บร เวณท เป นท สาธารณะหร อพบเห นได งาย เป นต น 7.4การควบค มการเข าถ งเคร อขาย (Network access control) ม จ ดประสงค เพ อป องก นการเข าถ งบร การทางเคร อขายโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง สถานะป จจ บ น ป จจ ยเส ยง นโยบายการใช งานบร การเคร อขาย (Policy on use of network services) การพ ส จน ต วตนสาหร บผ ใช ท อย ภายนอก องค กร (User authentication for external connections) การพ ส จน ต วตนอ ปกรณ บนเคร อขาย (Equipment identification in networks) (ผ บร หารสารสนเทศ) ต องจ ดทานโยบาย การใช งานเคร อขายซ งจะต องครอบคล มถ ง การระบ วาบร การใดท อน ญาตให ผ ใช งาน สามารถใช ได บร การใดไมสามารถใช งาน ได (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต องม การป องก นไมอน ญาตให บ คคลภายนอกเข าใช ระบบโดยไมได ร บ อน ญาต (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให อ ปกรณ บนเคร อขายสามารถ ระบ และพ ส จน ต วตนเพ อบงบอกวาการ เช อมตอน นมาจากอ ปกรณ หร อสถานท ท ได ร บอน ญาตแล ว ม นโยบายควบค ม ม การป องก นท ด อย แล ว ซ ง บ คคลภายนอกไมสามารถเข าใช งานกอน ได ร บอน ญาตได ม การกาหนดไว บางสวน เชนอ ปกร Switch

174 การป องก นพอร ตท ใช สาหร บตรวจสอบและ ปร บแตงระบบ (Remote diagnostic and configuration port protection การแบงแยกเคร อขาย (Segregation in networks) การควบค มการเช อมตอทางเคร อขาย ( Network connection control ) การควบค มการกาหนดเส นทางบนเคร อขาย ( Network Routing control ) (ผ ด และระบบ ผ ด และระบบเคร อขาย) ต อง มาตรการป องก นการเข าถ งพอร ตท ใช สาหร บตรวจสอบและปร บแตงระบบ มาตรการต องครอบคล มท งการป องก นทาง กายภาพและการป องก นการเข าถ งโดย ผานทางเคร อขาย (ผ ด แลระบบเคร อขาย) ต องทาการ แบงแยกเคร อขายตามกล มของบร การ สารสนเทศท ใช งาน เชน การแบง Vlan การแบง Zone internal / External อยาง ช ดเจน (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จาก ดผ ใช งานในการเช อมตอทางเคร อขาย ระหวางองค กรการเช อมตอต องเป นไปตาม นโยบายควบค มการเข าถ งและข อกาหนดท แอปพล เคช นท ใช งานทางธ รก จได ระบ ไว (ผ ด แลระเบบเคร อขาย) ต องกาหนด เส นทางบนเคร อขายเพ อควบค มการ เช อมตอทางเคร อขายและการไหลเว ยน ของสารสนเทศบนเคร อขายให เป นไปตาม นโยบายควบค มการเข าถ ง ม การป องก นโดยการป ดพอร ตไว ท ก พอร ตและเป ดเฉพาะพอร ตท จาเป นตอ การใช งานเทาน น ม การแบง Zone Internal / External / DMZ Zone แล ว เร มม นโยบายควบค มแตย งไมได ระบ ข อ กาหนดให ช ดเจน ม การกาหนดเส นทางโดยผ ด แลระบบให เป นไปตามนโยบายควบค มการเข าถ ง

175 ผลกระทบ โอกาส ระด บความ เส ยง การควบค มการเข าถ งระบบปฏ บ ต การ (Operating system access control) ม จ ดประสงค เพ อป องก นการเข าถ งระบบปฏ บ ต การโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น ข นตอนปฏ บ ต ในการเข าถ งระบบอยางม นคง ปลอดภ ย (Secure log-on procedures) การระบ และพ ส จน ต วตนของผ ใช งาน (User identification and authentication) ระบบบร หารจ ดการรห สผาน (Password management system) การใช งานโปรแกรมประเภทย ท ล ต (Use of system utilities) (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ม ข นตอนปฏ บ ต ท ม ความม นคง ปลอดภ ยสาหร บการเข าถ งหร อการเข าใช งานระบบปฏ บ ต การ (ผ ด แลระบบ ผ ด และระบบเคร อขาย) ต อง จ ดให ผ ใช งานม ข อม ลสาหร บระบ ต วตนใน การเข าใช งานระบบท ไมซ าซ อนก น และ ต องจ ดให ม กระบวนการพ ส จน ต วตนกอน เข าใช งานระบบตามข อม ลระบ ต วตนท ได ร บ (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จ ดทาหร อจ ดให ม ระบบบร หารจ ดการ รห สผานท ม การควบค มการกาหนด รห สผานท ม ค ณภาพ (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จาก ดและควบค มการใช งานโปรแกรม ประเภทย ท ล ต เพ อป องก นการละเม ดหร อ ม การเข าถ งปลอดภ ยมากข น ม การแก ไข ให เข าถ งอ ปกร CoreSwitch ของแตละ อาคาร จาเป นต องใช SSH ม การระบ และพ ส นจ ต วตนท ด แล ว ระบบจ ดการรห สผานท ใช อย เป นระบบ Active Directory ซ งม ความนาเช อถ อและค ณภาพด ม การควบค มโปรแกรมประเภทย ท ล ต อย แล ว ซ งการใช งานโปรแกรมใดๆ ต อง ได ร บการอน ญาตในการต ดต งจากศ นย

176 ผลกระทบ โอกาส ระด บความ เส ยง การหมดเวลาการใช งานระบบสารสนเทศ (Session time-out) การจาก ดระยะเวลาการเช อมตอระบบ สารสนเทศ (Limitation of connection time) หล กเล ยงมาตรการความม นคงปลอดภ ยท ได กาหนดไว หร อม อย แล ว (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง กาหนดให ระบบต ดการใช งานผ ใช เม อผ ใช ไมได ใช งานระบบมาเป นระยะเวลาหน ง ตามท กาหนดไว (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง จาก ดระยะเวลาในการเช อมตอระบบ สารสนเทศท ม ความสาค ญส ง คอมพ วเตอร กอน ม การกาหนดไว ด วยกระบวนการทางาน อย แล ว ระบบม การจาก ดจานวนการเช อมตอไว อย แล ว เชน ระบบ Firewall สามารถเข าถ งได ท ละ 1 user เทาน น 7.6การควบค มการเข าถ งแอปพล เคช นและสารสนเทศ (Application and information access control) ม จ ดประสงค เพ อป องก นการเข าถ งสารสนเทศของแอปพล เคช นโดยไมได ร บอน ญาต ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การจาก ดการเข าถ งสารสนเทศ (Information access restriction) (ผ ด แลระบบ ผ ด แลระบบเคร อขาย)ต อง จาก ดการเข าถ งสารสนเทศและฟ งก ช น ม การจาก ดไว ตามส ทธ ท ได ร บการ อน ญาต เข าถ ง

177 ผลกระทบ โอกาส ระด บความ เส ยง การแยกระบบสารสนเทศท ม ความสาค ญส ง (Sensitive system isolation) ตางๆ ของแอปพล เคช นตามนโยบาย ควบค มการเข าถ งสารสนเทศท ได กาหนด ไว การเข าถ งจะต องแยกตามประเภทของ ผ ใช งาน (ห วหน าแผนก) ต องแยกระบบสารสนเทศ ท ม ความสาค ญส งไว ในบร เวณท แยก ตางหากออกมาสาหร บระบบน โดยเฉพาะ ม การแยกระบบสารสนเทศท สาค ญส ง แยกไว ในกระบวนการทางานอย แล ว 7.7การควบค มอ ปกร ส อสารประเภทพกพาและการปฏ บ ต งานจากภายนอกองค กร (Mobile computing and teleworking) ม จ ดประสงค เพ อสร างความม นคงปลอดภ ยสาหร บอ ปกรณ ส อสารประเภทพกพาและการปฏ บ ต จากภายนอกองค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การป องก นอ ปกรณ ส อสารประเภทพกพา (Mobile computing and communications) (ห วหน าแผนก) ต องกาหนดนโยบายเพ อ ควบค มหร อป องก นอ ปกรณ ส อสารชน ด อ ปกรณ ส อสารท กชน ดจะต องม การ Authentication กอนการเข าใช งาน หร อ

178 ผลกระทบ โอกาส ระด บความ เส ยง การปฏ บ ต งานจากภายนอกสาน กงาน (Teleworking) พกพา (เชน notebook, laptop, โทรศ พท ม อถ อ) และต องกาหนดมาตรการ ป องก นโดยพ จารณาจากความเส ยงท ม ตอ อ ปกรณ เหลาน (ผอ.ศคพ. ผช.ผคพ.) ต องกาหนดนโยบาย แผนงาน และข นตอนปฏ บ ต สาหร บ บ คลากรท จาเป นต องปฏ บ ต งานของ องค กรจากภายนอกสาน กงาน ม การลงทะเบ ยน Mac Address ถ งจะม ส ทธ เข าใช งาน ม การกาหนดไว ด วยวาจา เชนต องใช VPN ในการเข ามาปฏ บ ต งานจากายนอกสาน ก งาน 8.การจ ดหา การพ ฒนาและการบาร งร กษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) 8.1 ข อกาหนดด านความม นคงปลอดภ ยสาหร บระบบสารสนเทศ (Security requirements of information systems) ม จ ดประสงค เพ อให การจ ดหาและการพ ฒนาระบบสารสนเทศได พ จารณาถ งประเด นทางด านความม นคงปลอดภ ยเป นองค ประกอบพ นฐานท สาค ญ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การว เคราะห และการระบ ข อกาหนดทางด าน (ผ พ ฒนาระบบ และผ เป นเจ าของระบบ) ม อย ในกระบวนการทางานอย แล ว

179 ผลกระทบ โอกาส ระด บความ เส ยง 164 ความม นคงปลอดภ ย (Security requirements analysis and specification) ต องว เคราะห และระบ ข อกาหนดทางด าน ความม นคงปลอดภ ยสาหร บระบบ สารสนเทศใหม หร อระบบท ปร บปร งจาก ระบบท ม อย แล ว 8.2 การประมวลผลสารสนเทศในแอปพล เคช น (Correct processing in applications) ม จ ดประสงค เพ อป องก นความผ ดพลาดในสารสนเทศ การส ญหายของสารสนเทศ การเปล ยนแปลงสารสนเทศโดยไมได ร บอน ญาต หร อการใช งานสารสนเทศผ ด ว ตถ ประสงค ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การตรวจสอบข อม ลน าเข า (Input data validation) (ผ พ ฒนาระบบ) ต องกาหนดกลไกสาหร บ ตรวจสอบข อม ลน าเข าของแอปพล เคช นวา ข อม ลน นม ความถ กต องและเหมาะสม กอนท จะน าไปประมวลผลตอไป ม อย ในกระบวนการทางานอย แล ว

180 การตรวจสอบข อม ลท อย ในระหวางการ ประมวลผล (Control of internal processing) การตรวจสอบความถ กต องของข อความ (Message integrity) การตรวจสอบข อม ลน าออก (Output data validation) (ผ พ ฒนาระบบ) ต องกาหนกลไกสาหร บ การตรวจสอบวาข อม ลท อย ในระหวางการ ประมวลผลเก ดความผ ดพลาดข นหร ไม เชน อาจม สาเหต จากความผ ดพลาดในการ ประมวลผล การกระทาโดยเจตนาของผ ท เก ยวข อง เป นต น (ผ พ ฒนาระบบ) ต องระบ ข อกาหนดสาหร บ การตรวจสอบความถ กต องของข อความ สาหร บแอปพล เคช น (เพ อให สามารถ ตรวจสอบได วาเป นข อความต นฉบ บท ถ กต อง) รวมท งกาหนดมาตรการรองร บ เพ อป องก นการเปล ยนแปลงหร อแก ไข ข อความน นโดยไมได ร บอน ญาต (ผ พ ฒนาระบบ) ต องกาหนดกลไกสาหร บ การตรวจสอบข อม ลน าออกจากแอปพล เค ช นเพ อเป นการทบทวนวาการประมวลผล ของสารสนเทศท เก ยวข องเป นไปอยาง ถ กต องและเหมาะสม ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

181 ผลกระทบ โอกาส ระด บความ เส ยง มาตรการการเข ารห สข อม ล (Cryptographic controls) ม จ ดประสงค เพ อร กษาความล บของข อม ล ย นย นต วตนของผ สงข อม ล หร อร กษาความถ กต องสมบ รณ ของข อม ลโดยใช ว ธ การ การเข ารห สข อม ล ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น นโยบายการใช งานการเข ารห สข อม ล (Policy on the use of cryptographic controls) การบร หารจ ดการก ญแจเข ารห สข อม ล (Key management) (ห วหน าแผนก) ต องกาหนดให ม นโยบาย ควบค มการใช งานการเข ารห สข อม ล และ ให ม ผลบ งค บใช งานภายในองค กร (ห วหน าแผนก) ต องกาหนดให ม การ บร หารจ ดการสารห บก ญแจท ใช ในการเข า หร อถอดรห สข อม ล โดยก ญแจเหลาน จะใช งานรวมก บเทคน คการเข ารห สข อม ลท กาหนดเป นมาตรฐานขององค กร ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว 8.4 การสร างความม นคงปลอดภ ยให ก บไฟล ของระบบท ให บร การ (Security of system files) ม จ ดประสงค เพ อสร างความม นคงปลอดภ ยให ก บไฟล ตางๆ ของระบบท ให บร การ

182 ผลกระทบ โอกาส ระด บความ เส ยง 167 ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การควบค มการต ดต งซอฟต แวร ลงไปย ง ระบบท ให บร การ (Control of operational software) การป องก นข อม ลท ใช สาหร บการทดสอบ (Protection of system test data) การควบค มการเข าถ งซอร สโค ดสาหร บ ระบบ (Access control to program source code) (ห วหน าแผนก) ต องจ ดให ม ข นตอนปฏ บ ต เพ อควบค มการต ดต งซอฟต แวร ตาง ๆ ลง ไปย งระบบท ให บร การ ท งน เพ อลดความ เส ยงท จะทาให ระบบให บร การน นเก ด ความเส ยหายทางานผ ดปกต หร อไม สามารถใช งานได (ผ พ ฒนาระบบ) ต องหล กเล ยงการใช ข อม ล จร งท ใช งานอย บนระบบให บร การสาหร บ ทาการทดสอบระบบ หากม ความ จาเป นต องใช ต องกาหนดให ม การป องก น และควบค มการใช งาน เชน ควรลบท ง บางสวนของข อม ลท เป นความล บ ข อม ล สวนต ว หร อข อม ลสาค ญ (ผ พ ฒนาระบบ ผ ด แลระบบ ผ ด แลระบบ เคร อขาย) ต องจาก ดการเข าถ งซอร สโค ด สาหร บระบบท ให บร การ ท งน เพ อป องก น การเปล ยนแปลงท อาจเก ดข นโดยไมได ร บ อน ญาต หร อโดยไมได เจตนา ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

183 ผลกระทบ โอกาส ระด บความ เส ยง การสร างความม งคงปลอดภ ยสาหร บกระบวนการในการพ ฒนาระบบและกระบวนการสน บสน น (Security in development and support processes) ม จ ดประสงค เพ อร กษาความม นคงปลอดภ ยสาหร บซอฟต แวร และสารสนเทศของระบบ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น ข นตอนปฏ บ ต (ห วหน าแผนก) ต องกาหนดให ม การจ ดทา นโยบายควบค มการเข าถ งอยางเป นลาย ล กษณ อ กษร และปร บปร งตามระยะเวลาท กาหนดไว การจ ดทานโยบายน จะพ จารณา จากความต องการทางธ รก จและทางด าน ความม นคงปลอดภ ยในการเข าถ ง ทร พย ส นสารสนเทศ ม นโยบายควบค มกาเข าถ ง การตรวจสอบการทางานของแอปพล เคช น ภายหล งจากท เปล ยนแปลงระบบปฏ บ ต การ (Technical review of applications afrer operating system changes) (ผ พ ฒนาระบบ ผ ด และระบบ ผ ด แลระบบ เคร อขาย ) ต องทาการตรวจสอบทาง เทคน คภายหล งจากท เปล ยนแปลง ระบบปฏ บ ต การเพ อด วาแอปพล เคช นท ม อย ในกระบวนการทางานอย แล ว

184 การจาก ดการเปล ยนแปลงแก ไขตอ ซอฟต แวร ท มาจากผ ผล ต (Restrictions on changes to software packages) การป องก นการร วไหลของสารสนเทศ (Information leakage) การบร หารจ ดการชองโหวในฮาร ดแวร และ ซอฟต แวร (Technical Vulnerability Management) ทางานอย บนระบบปฏ บ ต การน น ทางาน ผ ดปกต ไมสามารถใช งานได หร อม ป ญหา ทางด านความม นคงปลอดภ ยเก ดข น หร อไม (ห วหน าแผนก) ต องหล กเล ยงการ เปล ยนแปลงแก ไขตอซอฟต แวร ท มาจาก ผ ผล ต หากจาเป นต องแก ไข ต องแก ไข ตามความจาเป นเทาน น และต องม การ ควบค มการแก ไขน นอยางเข มงวดด วย (ห วหน าแผนก) ต องกาหนดมาตรการเพ อ ป องก นการร วไหลของสารสนเทศของ องค กร หร อลดโอกาสท จะทาให สารสนเทศ เก ดการร วไหลออกไป (ห วหน าแผนก) ต องกาหนดมาตรการเพ อ ควบค มและตรวจสอบการพ ฒนา ซอฟต แวร โดยหนวยงานภายนอก ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว

185 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการชองโหวในฮาร ดแวร และซอปต แวร (Technical Vulnerability Management) ม จ ดประสงค เพ อลดความเส ยงจากการโจมต โดยอาศ ยชองโหวทางเทคน คท ม การเผยแพรหร อต พ มพ ในสถานท ตางๆ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น มาตรการควบค มชองโหวทางเทคน ค (Control of technical vulnerabilities) (ห วหน าแผนก) ต องกาหนดให ม การ ต ดตามข อม ลขาวสารท เก ยวข องก บชอง โหวในระบบตาง ๆ ท ใช งาน ประเม นความ เส ยงของชองโหวเหลาน น รวมท ง กาหนด มาตรการรองร บเพ อลดความเส ยงด งกลาว ม อย ในกระบวนการทางานอย แล ว

186 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการเหต การณ ท เก ยวข องก บความม นคงปลอดภ ยขององค กร (Information security incident management) 9.1 การรายงานเหต การณ และจ ดออนท เก ยวข องก บความม นคงปลอดภ ยตอระบบสารสนเทศขององค กรได ร บการดาเน นการท ถ กต องในชวงระยะเวลาท เหมาะสม ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การรายงานเหต การณ ท เก ยวข องก บความ ม นคงปลอดภ ย (Reporting information security events) การรายงานจ ดออนท เก ยวข องก บความม นคง ปลอดภ ยขององค กร (Reporting secutiry weaknesses) (พน กงาน หร อผ ท องค กรวาจ างตามส ญญา การจ างงาน หร อพน กงานของหนวยงาน ภายนอกท ปฏ บ ต งานอย ภายในองค กร) ต องรายงานเหต การณ ท เก ยวข องก บความ ม นคงปลอดภ ยขององค กร โดยผานชอง ทางการรายงานท กาหนดไว และจะต อง ดาเน นการอยางรวดเร วท ส ดเทาท จะทาได (พน กงาน หร อผ ท องค กรวาจ างตามส ญญา การจ างงาน หร อพน กงานของหนวยงาน ภายนอกท ปฏ บ ต งานอย ภายในองค กร) ต องบ นท กและรายงานจ ดออนท เก ยวข อง ก บความม นคงปลอดภ ยขององค กรท ส งเกตพบหร อเก ดความสงส ยในระบบหร อ บร การท ใช งานอย กลาง ม การรายงานเหต การณ จาก Log ตางๆ เชน Antivirus, Firewall, IPS หากพบ เหต การ ฉ กเฉ นจะทาการแจ งห วหน า แผนกท นท องกรค ย งไมม ในสวนน

187 ผลกระทบ โอกาส ระด บความ เส ยง การบร หารจ ดการและการปร บปร งแก ไขตอเหต การณ ท เก ยวข องก บความม นคงปลอดภ ย (Management of information security incidents and improvements) ม จ ดประสงค เพ อให ม ว ธ การท สอดคล องและได ผลในการบร หารจ ดการเหต การ ท เก ยวข องก บความม นคงปลอดภ ยสาหร บสารสนเทศขององค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น หน าท ความร บผ ดชอบและข นตอนปฏ บ ต (Ressponsibilities and procedures) การเร ยนร จากเหต การ ท เก ยวข องก บความ ม นคงปลอดภ ย (Learning from security incidents) (ห วหน าแผนก) ต องกาหนดหน าท ความ ร บผ ดชอบและข นตอนปฏ บ ต เพ อร บม อก บ เหต การ ท เก ยวข องก บความม นคง ปลอดภ ยขององค กร และข นตอนด งกลาว ต องม ความรวดเร ว ได ผล และม ความเป น ระบบระเบ ยบท ด (ผ ด แลระบบ ผ ด แลระบบเคร อขาย) ต อง บ นท กเหต การ ละเม ดความม นคงปลอดภ ย โดยอยางน อยจะต องพ จารณาถ งประเภท ของเหต การณ ปร มาณท เก ดข น และ คาใช จายเก ดข นจากความเส ยหาย เพ อจะ ได เร ยนร จากเหต การณ ท เก ดข นแล ว และ เตร ยมการป องก นท จาเป นลวงหน า ม อย ในกระบวนการทางานอย แล ว ม การบ นท กเหต การณ หร อ Log เพ มเต มในสวนของ Firewall ม การ ปร บปร งกระบวนการทางานให บ นท ก เหต การณ และสาเหต ของป ญหา และ น าเอาป ญหาท เก ดข นมาพ ดค ยก นในท ประช มเพ อป องก นลวงหน า

188 ผลกระทบ โอกาส ระด บความ เส ยง การเก บรวบรวมหล กฐาน (Collection of evidence) (ผ ด แลระบบ ผ ด แลระบเคร อขาย ห วหน าง แผนกน ต การ) ต องรวบรวมและจ ดเก บ หล กฐานตามกฏหร อหล กเกณฑ สาหร บ การเก บหล กฐานอ างอ งในกระบวนการทาง ศาลท เก ยวข อง เม อพบวาเหต การณ ท เก ดข นน นม ความเก ยวข องก บการ ดาเน นการทางกฏหมายหร ออาญา ม การเก บรวมรวบหล กฐานจาก Log บนอ ปกรณ ตางๆ อยางครบถ วน 10. การบร หารความตอเน องในการดาเน นงานขององค กร (Business continuity management) 10.1 ห วข อพ นฐานสาหร บการบร หารความตอเน องในการดาเน นงานขององค กร (Information security aspects of business continuity management) ม จ ดประสงค เพ อป องก นการต ดข ดหร อการหย ดชะง กของก จกรรมตางๆ ทางธ รก จ เพ อป องก นกระบวนการทางธ รก จท สาค ญอ นเป นผลมาจากการล มเหลวหร อ หายนะท ม ตอระบบสารสนเทศ และเพ อให สามารถก ระบบกล บค นมาได ภายในระยะเวลาอ นเหมาะสม ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น กระบวนการในการสร างความตอเน องให ก บ ธ รก จ (Including information security in the business continuity management process) (ห วหน าแผนก) ต องกาหนดให ม กระบวนการในการสร างความตอเน อง ให ก บธ รก จ การบร หารจ ดการและการ ปร บปร งกระบวนการด งกลาวอยาง สม าเสมอ กระบวนการน จะต องระบ ข อกาหนดท เก ยวข องก บความม นคง ปลอดภ ยท จาเป นสาหร บการสร างความ ม การกาหนดให ผ ด และระบบ และผ ด และ ระบบเคร อขายทาการปร บปร งกระบวก การทางานให สร างความตอเน องให ก บ ธ รก จขององค กร

189 การประเม นความเส ยงในการสร างความ ตอเน องให ก บธ รก จ (Business continuity and risk assessment) การจ ดทาและใช งานแผนสร างความตอเน อง ให ก บธ รก จ (Developing and implementing continuity plans including information security) การกาหนดกรอบสาหร บการวางแผนเพ อ สร างความตอเน องให ก บธ รก จ (Business continuity planning framework) การทดสอบและการปร บปร งแผนสร างความ ตอเน องให ก บธ รก จ (Testing, maintaining and re-assessing business continuity ตอเน องให ก บธ รก จ (ห วหน าแผนก) ต องระบ เหต การณ ท สามารถทาให ธ รก จขององค กรเก ดการ ต ดข ดหร อหย ดชะง ก โอกาสท จะเก ดข น ผลกระทบท เป นไปได รวมท งผลท เก ดข น ตอความม นคงปลอดภ ยสาหร บสารสนเทศ ขององค กร (ห วหน าแผนก) ต องจ ดทาและใช งานแผน สร างความตอเน องให ก บธ รก จและการ ดาเน นงานตางๆ ให สามารถดาเน นตอไป ได ในระด บและชวงเวลาท กาหนดไว ภายหล งจากท ม เหต การณ ท ทาให ธ รก จ เก ดการต ดข ด หย ดชะง ก หร อล มเหลว (ห วหน าแผนก) ต องกาหนดกรอบสาหร บ การวางแผนเพ อสร างความตอเน องให ก บ ธ รก จ เพ อให แผนงานท เก ยวข องท งหมดม ความสอดคล องก น ครอบคล มข อกาหนด ทางด านความม นคงปลอดภ ยท กาหนดไว และจ ดลาด บความสาค ญของงานตางๆ ท ต องดาเน นการ (ห วหน าแผนก) ต องกาหนดให ม การ ทดสอบและปร บปร งแผนสร างความ ตอเน องให ก บธ รก จอยางสม าเสมอ เพ อให ม การระบ ความเส ยงของแตละภาระก จท อาจจะเก ดข นได รวมท งผลกระทบของ ความเส ยง ม การกาหนดให ผ ท ร บผ ดชอบดาเน นการ เตร ยมความพร อมร บม อในกรณ เก ด เหต การต ดข ด หร อหย ดชะง ก ม อย ในกระบวนการทางานอย แล ว ม การกาหนดให ทบทวนแผนท กๆ หน ง ป

190 ผลกระทบ โอกาส ระด บความ เส ยง 175 plans) แผนม ความท นสม ยและได ผลเป นอยางด ตารางท 4.5 การประเม ณความเส ยงและว เคราะห กอนทาโครงการ (ตอ) 11. การปฏ บ ต ตามข อกาหนด (Compliance) 11.1 การปฏ บ ต ตามข อกาหนดทางกฎหมาย (Compliance with legal requirements) ม จ ดประสงค เพ อหล กเล ยงการละเม ดข อกาหนดทางกฎหมาย ระเบ ยบปฏ บ ต ข อกาหนดในส ญญา และข อกาหนดทางด านความม นคงปลอดภ ยอ นๆ ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การระบ ข อกาหนดตางๆ ท ม ผลทาง กฎหมาย (Identification of applicable legislation) (ห วหน าแผนกน ต การ) ต องระบ ข อกาหนด ทางด านกฎหมาย ทางด านระเบ ยบปฏ บ ต และท ปรากฎในส ญญา (ระหวางองค กร และบ คคลหร อหนวยงานภายนอกอ น) ท เก ยวข องก บการดาเน นงานหร อธ รก จของ องค กร ต องบ นท กข อกาหนดด งกลาวไว เป นลายล กษณ อ กษร และปร บปร ง ข อกาหนดเหลาน นให ท นสม ยอย เสมอ รวมท งกาหนดแนวทางการปฏ บ ต เพ อให สอดคล องก บข อกาหนดด งกลาว ม อย ในกระบวนการทางานอย แล ว

191 การป องก นส ทธ และทร พย ส นทางป ญญา (Intellectual property rights (IRP)) การป องก นข อม ลสาค ญท เก ยวข องก บ องค กร (Protection of organizational records) การป องก นข อม ลสวนต ว (Data protection and privacy of personal information) การป องก นการใช งานอ ปกรณ ประมวลผล สารสนเทศผ ดว ตถ ประสงค (Prevention of misuse of information processing facilities) (ห วหน าแผนกน ต การ) ต องกาหนด ข นตอนปฏ บ ต เพ อป องก นการละเม ดส ทธ หร อทร พย ส นทางป ญญา ข นตอนปฏ บ ต ด งกลาวต องกาหนดหร อควบค มให ปฏ บ ต ตามข อกาหนดทางด านกฎหมาย ทางด าน ระเบ ยบปฏ บ ต และท ปรากฎในส ญญา (ระหวางองค กร และบ คคลหร อหนวยงาน ภายนอกอ น) รวมท งข อกาหนดในการใช งานผล ตภ ณฑ ซอฟต แวร จากผ ขายด วย (ห วหน าแผนก) ต องกาหนดให ม การ ป องก นข อม ลท เก ยวข องก บข อกาหนดทาง กฎหมายและระเบ ยบปฏ บ ต ข อกาหนดท ปรากฎในส ญญา และข อกาหนดทางธ รก จ จากการส ญหาย การถ กทาลายให เส ยหาย และการปลอมแปลง (ผ บร หารองค กร) ต องกาหนดให ม การ ป องก นข อม ลสวนต วตามท ระบ หร อ กาหนดไว ในกฎหมาย ระเบ ยบปฏ บ ต และ ข อส ญญาท เก ยวข อง (ห วหน าแผนก) ต องป องก นไมให ผ ใช งาน ใช อ ปกรณ ประมวลผลสารสนเทศของ องค กรผ ดว ตถ ประสงค หร อโดยไมได ร บ อน ญาต ม อย ในกระบวนการทางานอย แล ว ม อย ในกระบวนการทางานอย แล ว ม นโยบายควบค ม ม อย ในกระบวนการทางานอย แล ว

192 ผลกระทบ โอกาส ระด บความ เส ยง การใช งานมาตรการการเข ารห สข อม ลตาม ข อกาหนด (Regulation of cryptographic controls) (ห วหน าแผนก) ต องกาหนดให ใช มาตรการ การเข ารห สข อม ลโดยให ย ดถ อตาม หร อ ต องสอดคล องก บข อตกลง กฎหมาย และ ระเบ ยบปฏ บ ต ท เก ยวข อง ม อย ในกระบวนการทางานอย แล ว 11.2 การปฏ บ ต ตามนโยบาย มาตรฐานความม นคงปลอดภ ยและข อกาหนดทางเทคน ค (Compliance with security policies and standards, and technical compliance) ม จ ดประสงค เพ อให ระบบเป นไปตามนโยบายและมาตรฐานความม นคงปลอดภ ยขององค กร ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น การปฏ บ ต ตามนโยบาย และมาตรฐานความ ม นคงปลอดภ ย (Compliance with security policies and standards) (ผอ.ผคพ. ผช.ผคพ.) ต องกาหนดให ผ บ งค บบ ญชาคอยกาก บ ด แล และควบค ม การปฏ บ ต งานของผ ท อย ใต การบ งค บ บ ญชาของตน ให ปฏ บ ต ตามข นตอนปฏ บ ต ม การกาหนดไว แล วด วยวาจา

193 ผลกระทบ โอกาส ระด บความ เส ยง 178 ทางด านความม นคงปลอดภ ยตามหน าท ความร บผ ดชอบของตน ท งน เพ อให การ ปฏ บ ต เป นไปตามนโยบายและมาตรฐาน ความม นคงปลอดภ ยขององค กร การตรวจสอบการปฏ บ ต ตามมาตรฐานทาง เทคน คขององค กร (Technical compliance checking) (ห วหน า) ต องกาหนดให ม การตรวจสอบ ระบบสารสนเทศอยางสม าเสมอ เพ อ ควบค มให เป นไปตามมาตรฐานความ ม นคงปลอดภ ยทางเทคน คขององค กร ม อย ในกระบวนการทางานอย แล ว 11.3 การตรวจประเม นระบบสารสนเทศ (Information systems audit considerations) ม จ ดประสงค เพ อให การตรวจประเม นระบบสารสนเทศได ประส ทธ ภาพส งส ดและม การแทรกแซงหร อทาให หย ดชะง กตอกระบวนการทางธ รก จน อยท ส ด ข อ ประเด นความเส ยง ข อเสนอแนะ สถานะป จจ บ น มาตรการการตรวจประเม นระบบสารสนเทศ (Information systems audit controls) (ห วหน าแผนก) ต องระบ ข อกาหนดและ ก จกรรมท เก ยวข องก บการตรวจประเม น ระบบสารสนเทศขององค กร เพ อให ม ผลกระทบน อยท ส ดตอกระบวนการทาง ธ รก จ เชน การหย ดชะง กของกระบวนการทางธ รก จ ม อย ในกระบวนการทางานอย แล ว

194 การป องก นเคร องม อสาหร บการตรวจ ประเม นระบบสารสนเทศ (Protection of information systems audit tools) ในระหวางท ทาการตรวจประเม น (ห วหน าแผนก) ต องกาหนดให ม การจาก ด การเข าถ งเคร องม อสาหร บการตรวจ ประเม นระบบสารสนเทศ (เชน ซอฟต แวร ท ใช ในการตรวจประเม น) เพ อป องก นการ ใช งานผ ดว ตถ ประสงค หร อการเป ดเผย ข อม ลการตรวจประเม นโดยไมได ร บ อน ญาต ม อย ในกระบวนการทางานอย แล ว

195 180 ตารางท 4.13 สร ปผลการประเม ณความเส ยงหล งดาเน นโครงการ Domain ตา กลาง ส ง 1. A.5 นโยบายความม นคงปลอดภ ย (Security policy) A.6 โครงสร างทางด านความม นคงปลอดภ ยสาหร บองค กร(Organization of information security) A7.การบร หารจ ดการทร พย ส นขององค กร (Asset management) A.8 ความม นคงปลอดภ ยท เก ยวของก บบ คลากร (Human resources security) 5. A.9 การสร างความม นคงปลอดภ ยทางกายภาพและส งแวดล อม (Physical and environmental security) 6. A.10 การบร หารจ ดการด านการส อสารและการดาเน นงานของเคร อขาย สารสนเทศขององค กร (Communications and operations management) A11. การควบค มการเข าถ ง (Access control) A.12 การจ ดหา การพ ฒนา และการบาร งร กษาระบบสารสนเทศ (Information systems acquisition, development and maintenance) A.13 การบร หารจ ดการเหต การณ ท เก ยวข องก บความม นคงปลอดภ ย ของ องค กร (Information security incident management) 10. A.14 การบร หารความตอเน องในการดาเน นงานขององค กร (Business continuity) A.15 การปฏ บ ต ตามข อกาหนด (Compliance) รวม ร ปท 4.87 หล งดาเน นโครงงาน A5

196 181 ร ปท 4.88 หล งดาเน นโครงงาน A6 ร ปท 4.89 หล งดาเน นโครงงาน A7

197 182 ร ปท 4.90 หล งดาเน นโครงงาน A8 ร ปท 4.91 หล งดาเน นโครงงาน A9

198 183 ร ปท 4.92 หล งดาเน นโครงงาน A10 ร ปท 4.93 หล งดาเน นโครงงาน A11

199 184 ร ปท 4.94 หล งดาเน นโครงงาน A12 ร ปท 4.95 หล งดาเน นโครงงาน A13

200 185 ร ปท 4.96 หล งดาเน นโครงงาน A14 ร ปท 4.97 หล งดาเน นโครงงาน A15

201 186 การเปร ยบเท ยบคาความเส ยงระหวางกอนดาเน นโครงงานและหล งดาเน นโครงงาน ร ปท 4.98 เปร ยบเท ยบความเส ยง A5 ร ปท 4.99 เปร ยบเท ยบความเส ยง A6

202 187 ร ปท เปร ยบเท ยบความเส ยง A7 ร ปท เปร ยบเท ยบความเส ยง A8

203 188 ร ปท เปร ยบเท ยบความเส ยง A9 ร ปท เปร ยบเท ยบความเส ยง A10

204 189 ร ปท เปร ยบเท ยบความเส ยง A11 ร ปท เปร ยบเท ยบความเส ยง A12

205 190 ร ปท เปร ยบเท ยบความเส ยง A13 ร ปท เปร ยบเท ยบความเส ยง A14

206 191 ร ปท เปร ยบเท ยบความเส ยง A15 น ากระบวนการจ ดทาระบบบร หารจ ดการความม นคงปลอดภ ย ตามร ปแบบ P-D-C-A องค กรม การ ลงม อปฏ บ ต ดาเน นการ เฝ าระว ง ทบทวน บาร งร กษาและปร บปร งระบบบร หารจ ดการ ความม นคงปลอดภ ยตามท ได กาหนดไว เป นลายล กษณ อ กษร ภายในกรอบก จกรรมการดาเน นการทางธ รก จ ตางๆ รวมท งความเส ยงท เก ยวข องแนวทางท ใช น จะใช กระบวนการ Plan-Do-Check-Act หร อ P-D-C-A ซ งทางศ นย คอมพ วเตอร จะเน นเป นระบบ input > process > output ซ งในสวนของ process จะน า กระบวนการ PDCA มาใช ม การบ นท กข อม ลผลการดาเน นงาน การต ดตามตางๆ ลงบนเว บ น ามาตรฐานด านระบบไอท มาปร บใช ในกระบวนการทางาน