ISO/IEC 27001...

ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม

สารบญ

ความเปนมา 3 ISO/IEC 27001 Requirement & Control 21 Clause & Anex in ISO 27001 26 ขอแตกตางระหวางISO 2000:2005:2013 161 ขอมลอางอง 165

2

3

รจก ISO / IEC 27001 มาตรฐาน ISO / IEC 27001 เปนมาตรฐานสากลส าหรบขอมลหรอการจดการความปลอดภย ไดแสดงวธเพอวางในต าแหนงระบบการจดการความปลอดภยของขอมลการประเมนอยางเปนอสระพรอมรบการรบรอง ชวยใหคณสามารถแกปญหาของ 'ความปลอดภยของขอมลคออะไร? จะชวยใหคณไดอยางมประสทธภาพการรกษาความปลอดภยขอมลทางการเงนและเปนความลบทงหมดเพอลดโอกาสทของมนถกเขาถงอยางผดกฎหมายหรอไมไดรบอนญาต ประโยชนของ ISO 27001 >> ระบความเสยงและการเขาควบคมการจดการเพอลดความเสยง >> น าความยดหยนเขามามบทบาทในการควบคมหรอพฒนาธรกจ >> ลกคาไววางใจจากการทขอมลมความปลอดภย

4

ความเปนมากวาจะมาเปน ISO27001

• ISO ยอจาก International Organization for Standardization

• ISO กอตงตงแตป 1947

• ครงแรกของงานดานความปลอดภยเกดจาก BS 7799 ทก าหนดตงแตป 1993 ของรฐบาลองกฤษ

• สองปหลงจากนน (1995) ไดประกาศเปนมาตรฐานกบหนวยงานซอขาย และอตสาหกรรม

• ซง BS 7799 ไดพฒนาปรบปรงตอเนองมาเรอยจนถงป 2005

• ในเดอนธนวาคม ป 2000 BS7799 ไดถกท าเปนมาตรฐาน ISO 17799

5

กวาจะมาเปน ISO27001 (ตอ)

• ISO/IEC 17799:2000

– Code of Practice for Information Security Management

• BS 7799-2:2002

– Specification for Information Security Management Systems

• ISO/IEC 27000 Series (2005) ประกาศเดอนตลาคม

• ISO/IEC 27001 (2013) ประกาศเดอนกรกฎาคม เวอรชนราง

6

7

DoD Directive 5200.28

GMITS ( ISO/IEC

TR 13335-3, 1998)

TCSEC ( Orange Book )

ITSEC

Common Criteria

ISO/IEC 13335 MICTS

(management of ICT

security)

SSE-CMM

ISO/IEC 18028

(network security)

ISO/IEC 17799

( code of practice)

BS7799

TNI ( Red Book)

1985

1987

1990

1996,

ISO=1999

1996,

ISO=2002

2001/2005

1995,1999

1996-2001

2004-2006

ISO/IEC 27000 series

ISMS (management system)

2005

ISO

US EU 1972

โครงสรางของเอกสาร ISO 27001

8

27000 Fundamentals & Vocabulary

27001:ISMS requirement

27003 Implementation Guidance

27002 Code of Practice for ISM

27004 Metrics & Measurement

27005

Risk Management

27006 Guidelines on ISMS accreditation

Introduction to ISMS Standards

• มาตรฐานภายใต ISO 27000-Series ทงหมด พฒนาขนโดยความรวมมอของ The International Organization for Standardization (ISO) และ The International Electrotechnical

Commission (IEC)

• ชดมาตรฐาน 27000-Series นนไดถกออกแบบมาใหเปน “Good Practices” และ “International Standards” ส าหรบเรองการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ หรอ “Information Security

Management System” (ISMS)

• โดยเปรยบไดกบแนวคดการออกแบบระบบ Quality Assurance ไดแก ISO 9000 Series หรอ ระบบทเกยวกบการพทกษสงแวดลอม ไดแก ISO 14000 Series

9

Introduction to ISMS Standards

ในปจจบนทางหนวยงาน ISO และ IEC ไดออกชดมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศอยางเปนทางการ ดงน

• มาตรฐาน ISO/IEC 27000:2009 ISMS Overview and Vocabulary

• มาตรฐาน ISO/IEC 27001:2005 ISMS Requirements

• มาตรฐาน ISO/IEC 27002:2005 Code of Practice for ISM

• มาตรฐาน ISO/IEC 27003:2010 ISMS Implementation Guideline

• มาตรฐาน ISO/IEC 27004:2009 ISMS Metrics and Measurement

• มาตรฐาน ISO/IEC 27005:2008 Information Security Risk Management

• มาตรฐาน ISO/IEC 27006:2007 Requirements for Certification Body

• มาตรฐาน ISO/IEC 27011:2008 ISM Guidelines for Telecommunications

• มาตรฐาน ISO/IEC 27799:2008 ISM Guidelines for Health informatics

10

Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27000:2009 “ภาพรวมและนยามศพท” “Information technology - Security techniques - Information

security management systems - Overview and vocabulary”

ภาพรวมของ ISO 27000-Series และ ค าศพททควรร • มาตรฐาน ISO/IEC 27001:2005, ISO/IEC 27001:2013 “ขอก าหนดเพอ

ขอรบรอง” “Information technology - Security techniques - Information

security management systems - Requirements”

(มาตรฐาน ISO/IEC 27001 ถกพฒนามาจาก BS7799 Part 2) ขอก าหนดดานความมนคงปลอดภยสารสนเทศทตอง (Shall) ปฏบต เพอสามารถน าไปสการ

ไดรบรองมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ หรอ ISMS โดยหนวยงานทมหนาทตรวจประเมนและออกใบรบรอง เชน BV และ Tuv- Nord

11

Introduction to ISMS Standards

• มาตรฐาน ISO/IEC 27002:2005 “แนวปฏบต” “Information technology — Security techniques — Code of

practice for information security management”

(พฒนามาจาก ISO/IEC 17799:2005 ซงมาจากมาตรฐาน BS7799 Part 1) แนวทางในการจดท ามาตรการรกษาความมนคงปลอดภยสารสนเทศ ใหสอดคลองกบการ

จดท าระบบ ISMS ตามขอก าหนดจากมาตรฐาน ISO/IEC 27001:2005 ซงจะเนนถง “Good Practices” ท ควร (Should) ปฏบต โดยไมไดบงคบเขมงวด

ประเทศตาง ๆ ทวโลกไดน ามาตรฐาน ISO/IEC 27002 ไปปรบเปนมาตรฐานของประเทศตนเอง เวอรชนลาสดของ ISO/IEC 27002 คอ ISO/IEC 27002:2005 (ออกในเดอนกรกฎาคม 2007 ทดแทน ISO/IEC 17799:2005 Part 1)

12

Introduction to ISMS Standards

• มาตรฐาน ISO/IEC 27003:2010 “แนวทางด าเนนการ” “Information technology - Security techniques - Information

security management systems implementation guideline”

มาตรฐานสนบสนนเพอใชเปนแนวทางในการด าเนนการจดท าระบบ ISMS ประกอบดวยแนวทางในการจดท าตามขอก าหนดตามมาตรฐานเพอขอประเมนรบรอง

• มาตรฐาน ISO/IEC 27004:2009 “การวดประสทธผล” “Information technology - Security techniques – Metrics and

Measurement for Information security management systems” มาตรฐานสนบสนนเพอใชเปนแนวทางในการก าหนดเกณฑและการวดผลสมฤทธหรอ

ประสทธผล (Effectiveness) ของมาตรการรกษาความมนคงปลอดภยทใชในระบบ ISMS

13

Introduction to ISMS Standards

• มาตรฐาน ISO/IEC 27005:2008 “การบรหารความเสยง” “Information technology - Security techniques - Information

security risk management”

เปนมาตรฐานใหมดานการบรหารความเสยงส าหรบดานความมนคงปลอดภยสารสนเทศโดยเฉพาะ (Information Security Risk Management) ซงปรบปรงมาจาก ISO/IEC 13335-3 และ ISO/IEC 13335-4 รวมทงอางองมาจากมาตรฐาน “Risk

Management Guide for Information Technology Systems” (NIST SP 800-30) แตจะมมมมองทางดาน Information Security โดยเฉพาะ ซงเหมาะส าหรบเปนแนวทางในการประเมนความเสยง (Risk Assessment) สอดคลองตามขอก าหนดของมาตรฐาน ISO/IEC 27001:2005 และตามแนวปฏบต ISO/IEC 27002:2005

14

Introduction to ISMS Standards

• มาตรฐาน ISO/IEC 27006:2007 “ขอก าหนดการตรวจประเมน” “Information technology - Security techniques - Requirements

for bodies providing audit and certification of information security management systems”

เปนแนวทางในการตรวจประเมนส าหรบ Certification Body (CB) เพอใหอยบนมาตรฐานเดยวกน ผตรวจและผถกตรวจควรศกษาถงมาตรฐาน ISO/IEC 27006:2007 เสยกอนท าการตรวจประเมน เปรยบเสมอนการรโจทยทตองตอบค าถามจากทางผตรวจประเมน ท าใหโอกาสในการผานการตรวจประเมนนนเพมมากขน และลดปญหาในการเตรยมความพรอมในการตรวจประเมนอกดวย

15

Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27011:2008 “แนวปฏบตส าหรบบรษทโทรคมนาคม”

“Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002” (ISMS for Telecom)

มาตรฐานทเปนแนวปฏบตในการบรหารจดการความมนคงปลอดภยสารสนเทศส าหรบกลมองคกรทเกยวกบดาน Telecommunication (เชน บรษทผใหบรการโทรศพท เคลอนท) โดยมการอางองแนวปฏบตมาจากมาตรฐาน ISO/IEC 27002:2005

• มาตรฐาน ISO/FDIS 27799:2008 “แนวปฏบตส าหรบสถานพยาบาล” “Health informatics - Information security management in

health using ISO/IEC 27002” (ISMS for HealthCare) มาตรฐานทเปนแนวปฏบตในการบรหารจดการความมนคงปลอดภยสารสนเทศส าหรบกลม

องคกรดาน HealthCare (เชน โรงพยาบาล) โดยมการอางองแนวปฏบตมาจากมาตรฐาน ISO/IEC 27002:2005 เชนกน

16

Introduction to ISMS Standards ส าหรบมาตรฐานทอยในระหวางการพฒนาและคาดวาจะประกาศใชในเรว ๆ น ไดแก

• มาตรฐาน ISO/IEC 27007 มาตรฐานทเปนแนวทางในการตรวจสอบภายในองคกรและตรวจประเมน ISMS โดยเนนตรวจท

กระบวนการพฒนาระบบบรหารจดการส าหรบ “ISMS” (เพมเตมมาจากมาตรฐาน ISO 19011

ซงถกน ามาใชกบ Management System ทวไปทไมไดเฉพาะเจาะจงวาเปน ISMS)

• มาตรฐาน ISO/IEC 27008 มาตรฐานทเปนแนวทางในการตรวจประเมนมาตรการรกษาความมนคงปลอดภยสารสนเทศ (133

Controls) ขององคกรทจดท าระบบ ISMS น ามาใชไดอยางถกตองและมประสทธผล

• มาตรฐาน ISO/IEC 27014 มาตรฐานทเปนแนวทางในการบรหารและก ากบดแลทดดานความมนคงปลอดภยสารสนเทศส าหรบ

องคกร “Information Security Governance” เปนการขยายขอบเขตและความรบผดชอบของการบรหารจดการความมนคงปลอดภยสารสนเทศ 17

Introduction to ISMS Standards

• มาตรฐานสากลทเกยวกบการรกษาความมนคงปลอดภยสารสนเทศทไดรบความนยมมากทสด และ เปนทรจกทวโลกในเวลาน ไดแก

มาตรฐาน ISO/IEC 27001:2005

มาตรฐาน ISO/IEC 27002:2005 (ชอเดมคอ ISO/IEC 17799:2005)

• มองคกรในหลายประเทศทวโลกกวา 6,500 องคกร ทไดรบการรบรองมาตรฐาน ISO/IEC

27001:2005 จากหนวยงานทมหนาทรบรองระบบการบรหารจดการความมนคงปลอดภยขอมลขององคกร หรอ ทรจกกนในนาม “Certification Body” (CB)

• ดขอมลไดจาก Web Site www.iso27001certificates.com ซงในประเทศไทยมจ านวน 34 องคกรทไดรบการรบรองมาตรฐานดงกลาว (as of July 2010) โดยถาเทยบกบประเทศญป นทมจ านวนองคกรไดรบการรบรองมาตรฐาน ISO/IEC 27001:2005 มากทสดในโลกกวา 3,500 องคกร ซงยงถอวาประเทศไทยของเราเพงจะเรมตนเทานน (อยในอนดบ 17 จากทกประเทศทมองคกรไดรบการระบบ ISMS)

18

History of ISMS Standards

19

มาตรฐานชด 27000: ISMS Family of Standards Relationship

20

Legend

27003ISMS Implementation

Guideline

27004ISMS Metrics and

Measurements

27005Risk Management

Source: modified from “ISMS Family of Standards Relationship”, www.iso.org/iso/

ISMS CertificationISO/IEC 17799:2005

27001ISMS Requirements

27002Code of Practice

27007ISMS Auditing Guidelines

27010ISMS for Inter-Sector

Communications

27008Guidance on Auditing

Information Security Controls

27012ISMS for e-Government

27013Integrated Implementation of

ISO20000 & ISO27001

27014Information Security

Governance

27015Financial & Insurance Sector

ISMS Requirements

27031ICT-Focused Standard on

Business Continuity

27032Guidelines for Cyber

Security

27034Guidelines for

Application Security

27035Security Incident

Management

27036Guideline for Security of

Outsourcing

27037Guideline for Digital

Evident

27799Health Informatics

27033-1IT Network Security

27011Telecommunication

Organizations

27006Certification Body

Requirements

General RequirementsTerminology General Guidelines Sector-Specific Guidelines(mandatory)

Existing Standards

ISO/IEC 27002:2005

ISO/IEC 27006:2007

ISO/IEC 27005:2008

ISO/IEC 27011:2008

Informative

( Guideline )

( Code of Practices )Standards

Normative

( Requirements )

( Specifications )

Standards

Informative

( in Progress )

ISO/IEC 27001:2005

Update: Mar. 2010

27000Overview and

Vocabulary

ISO/FDIS 27799:2008

ISO/IEC 27000:2009

ISO/IEC 27003:2010

ISO/IEC 27004:2009

ISO/IEC 27033-1:2009

Fixed line support

22

8.2 Corrective action

8.1 Continual improvements

8.3 Preventive action

7.2 Review input

7.1 General

7.3 Review output

1.2 Application

1.1 General

0.2 Process Approach

0.1 General

0.3 Compatibility with other Mgt Systems

4.3.2 Control of Documents

4.3.1 General

4.3.3 Control of Records

5.2.2 Training Awareness & Competence

5.2.1 Provision of Resources

5.2 Resource Management

5.1 Management Commitment

ISO/IEC 17799:2005, Information technology –Security techniques – Code of practice

for information security management

P D C A Model

ISMS 11 Domains, 39 Control Objectives, 133 Controls

4.2 Establishing & Managing the ISMS

4.1 General Requirements

4.3 Documentation Requirements

4.2.1 Establish the ISMS

4.2.2 Implement & Operate ISMS

4.2.3 Monitor & Review ISMS

4..2.4 Maintain & Improve ISMS

ISMS Requirements

Clause 0 Introduction

Clause 1 Scope

Clause 2 Normative References

Clause 3 Terms and Definitions

Clause 4 Information Security Mgt System

Clause 5 Management Responsibility

Clause 6 Internal ISMS Audits

Clause 7 Management Review of the ISMS

Clause 8 ISMS Improvements

Annex A Control Objectives and Controls

P D C A Model

ISO/IEC 27001

23

Annex A: ISMS Domains & Control Objectives

A5.1 Information security policy

A.14.1 Info sec aspects of business continuity mgt

A.6.1 Internal organization

A.6.2 External parties

A.7.1 Responsibility for assets

A.7.2 Information classification

A.9.1 Secure areas

A.9.2 Equipment security

A.8.1 Prior to employment

A.8.2 During employment

A.8.3 Termination or change

A.10.1 Operational procedures & responsibilities

A.10.2 Third party service delivery management

A.10.3 System planning and acceptance

A.10.4 Protection against malicious & mobile code

A.10.5 Back-up

A.10.6 Network security management

A.10.7 Media handling

A.10.8 Exchange of information

A.10.9 Electronic commerce services

A.10.10 Monitoring

A.13.1 Reporting info sec events & weaknesses

A.13.2 Mgt of info sec incidents and improvements

A.15.1 Compliance with legal requirements

A.15.2 Compliance with security policies, technical

A.15.3 Info systems audit considerations

A.11.1 Business requirements for access control

A.11.2 User access management

A.11.3 User responsibilities

A.11.4 Network system access control

A.11.5 Operating system access control

A.11.6 Application & information access control

A.11.7 Mobile computing and teleworking

A.12.1 Security requirements of info systems

A.12.2 Correct processing in application

A.12.3 Cryptographic controls

A.12.4 Security of systems filesA.12.5 Security in develop & support processes

A.12.6 Technical vulnerability management

A.5 Information Security Policy

A.6 Organization of Information Security

A.7 Asset Management

A.8 Human Resources Security

A.9 Physical and Environmental Security

A.10 Communications & Operations Management

A.11 Access Control

A.12 Info System Acquisition, Development, MA

A.13 Information Security Incident Management

A.14 Business Continuity Management

A.15 Compliance

ISO/IEC 27001

Information Security Management System (ISMS)

Control

Objectives Controls ISMS Domains: ISO 27002

Code of Practices

ISO 27001

Requirements

- - General, Terms, Specifications Clause 1 - 4 Clause 1 - 8

1 2 1. Security Policy Clause 5 A.5

2 11 2. Organization of Information Security Clause 6 A.6

2 5 3. Asset Management Clause 7 A.7

3 9 4. Human Resource Security Clause 8 A.8

2 13 5. Physical and Environmental Security Clause 9 A.9

10 32 6. Communications and Operations Management Clause 10 A.10

7 25 7. Access Control Clause 11 A.11

6 16 8. Information Systems Acquisition, Development, Maintenance Clause12 A.12

2 5 9. Information Security Incident Management Clause 13 A.13

1 5 10. Business Continuity Management Clause 14 A.14

3 10 11. Compliance Clause 15 A.15

39 133 Total 11 Domains Source: ISO/IEC 27001:2005, ISMS Requirements, Annex A

ISO/IEC 27002:2005 (ISO17799:2005), Code of Practices

24

ISMS Control Domains

25

ISO/IEC 27001 ISMS Requirements, Annex A

ISO/IEC 27002 Code of Practice, Clause 5-15

A.5 Security Policy

A.6 Organization of Information Security

A.7 Asset Management

A.8

Human

Resources Security

A.9

Physical and

Environmental Security

A.10

Communications

and Operations Management

A.12

Information Systems

Acquisition,

Development, and Maintenance

A.11 Access Control

A.13 Information Security Incident Management

A.14 Business Continuity Management

A.15 Compliance

26

Clause 1 in ISO27001

Scope

1.1 General

1.2 Application

Clause 2 in ISO27001 Normative references

27

Clause 3 in ISO27001

Terms and definitions 3.1 Asset

3.2 Availability

3.3 Confidentiality

3.4 Information security

3.5 Information security event 3.6 Information security incident 3.7 Information security management system

3.8 Integrity

28

3.9 Residual risk

3.10 Risk acceptance

3.11 Risk analysis

3.12 Risk assessment

3.13 Risk evaluation

3.14 Risk management

3.15 Risk treatment

3.16 Statement of applicability

29

Clause 4 in ISO27001

Information Security Management System 4.1 General requirements (PDCA)

4.2 Establishing and managing the ISMS

- BIA

- Policies

- Risk Assessment>Risk Treatment

- Implement & Operate

- Maintenance and Report

- Improvement

4.3 Documentation requirements

30

4.3 Documentation requirements

• Documented statements of the ISMS policy (see 4.2.1b) and objectives

• Scope of the ISMS (see 4.2.1a) > BIA

• Procedures and controls in support of the ISMS;

• Risk Assessment & Report

• Risk treatment plan (see 4.2.2b)

31

Clause 5 in ISO27001

Management responsibility

5.1 Management commitment

5.2 Resource management

Clause 6 in ISO27001 Internal ISMS audits

32

Clause 7 in ISO27001

Management review of the ISMS

7.1 General

7.2 Review input

7.3 Review output

33

Clause 8 in ISO27001

ISMS improvement

8.1 Continual improvement

8.2 Corrective action

8.3 Preventive action

34

Annex A in ISO27001

Control objectives and controls

A.5 Security policy

A.6 Organization of information security

A.7 Asset management

A.8 Human resources security

35

A.9 Physical and environmental security

A.10 Communications and operations management

A.11 Access control

A.12 Information systems acquisition, development and maintenance

A.13 Information security incident management

A.14 Business continuity management

A.15 Compliance

36

A.5 Security Policy (1) A.5.1 Information security policy

Objective: to provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.

Management should set a clear policy direction in line with business objectives and demonstrate support for, and commitment to, information security through the issue and maintenance of an information security policy across the organization.

A.5.1.1 Information security policy

A.5.1.2 Review of the information security policy

37

การจดท านโยบายดานความปลอดภย

• General Policy – Acceptable Use Policy > Communication with Users

– Data Security Policy > Privacy, Web Privacy

• Specific Policy – Cryptography Policy

– Virus Policy

– E-mail Policy

– Access Control Policy >> Password

– Intranet/Extranet Policy >> Firewall, IDS/IPS, Wireless, Mobile

– Internet Policy

– System Development Policy

– Physical and Environmental Policy

– Compliance Policy

38

การอบรมสรางความตระหนกดานความปลอดภย

• การอบรม – นโยบายภายในองคกร และกฎหมาย

– อาชญากรรม และภยคกคาม

– แนวโนมเทคโนโลย

• การประกาศผานแผนพมพ – Policies > แนวคด และเปาหมาย

• E-mail, ประกาศในเวบบอรด • สอสารเปนบคคล • จดเปนสมมนา หรอ Roadshow

39

การตรวจสอบภายในระบบบรหารจดการความมนคงปลอดภย

• การตรวจสอบภายในเปนกระบวนการทมความจ าเปนเพอ – ใหเกดความโปรงใส

– เพมประสทธภาพการด าเนนการ

– ใหผบรหารทราบถงผลกระทบในปจจบน

• สงทจ าเปนส าหรบการตรวจสอบภายใน – จรรยาบรรณผตรวจสอบภายใน

– ความสามารถของการด าเนนการ และเครองมอทชวยในการด าเนนการ

– ความเขาใจ ความพรอมของทมงาน

40

การทบทวนระบบบรหารจดการความมนคงปลอดภยโดยผบรหาร

• เมอผตรวจสอบภายในด าเนนการส ารวจตองมการจดท าแผนการด าเนนการแกไข

• ผบรหารจะรบทราบถงระดบความเสยง และสถานะปจจบนขององคกร

• การวางแผนยทธศาสตร และแผนกลยทธเพอแกไขปญหาทไดทราบ และการจดเตรยมงบในการด าเนนการ

41

การด าเนนการเพอบ ารงรกษาหรอปรบปรงระบบบรหารจดการความมนคงปลอดภย

• การด าเนนการตรวจสอบตองด าเนนการอยางตอเนองโดยระยะแรกอาจจะด าเนนการถ แลวด าเนนการตามรอบทระบ

• ตรวจสอบความพรอม – กระบวนการ

– บคลากร

– เทคโนโลย

42

A.6 Organization of information security (2)

A.6.1 Internal organization

Objective: To manage information security within the organization.

Management should approve the information security policy, assign security roles and co-ordinate and review the implementation of security across the organization.

43

Responsibility

• Security Officer รางนโยบาย และระเบยบในการด าเนนการดานนโยบายความมนคงปลอดภยสารสนเทศ

• CSO+ ISM Committee* เขาตรวจสอบดความเหมาะสมของเนอหา และทบทวนการอพเดตสงตางๆทเกดขนหลงจากทมการใชนโยบายไปแลว

• Top Executive ผอนมตนโยบายดานความมนคงปลอดภยสารสนเทศ • Public Relation เปนผจดอบรม สอสารใหพนกงานเขาใจเกยวกบนโยบายดานความ

มนคงปลอดภยสารสนเทศ • All Employees & External Party รบทราบ และปฏบตตามกรอบทองคกรระบไว

• ISM Committee (5-20 คน) อยางนอย

– IT Head, CSO, SO, Legal, PR, Department Heads (or authorized person)

44

A.6.1 Internal Organization A.6.1.1 Management commitment to information security

A.6.1.2 Information security co-ordination

A.6.1.3 Allocation of information security responsibilities

A.6.1.4 Authorization process for information security processing facilities

A.6.1.5 Confidentiality agreements

A.6.1.6 Contact with authorities

A.6.1.7 Contact with special interest groups

A.6.1.8 Independent review of information security

45

A.6 Organization of information security

• ประกอบดวย 2 ขอใหญ 11 ขอยอย – Internal (8)

– External (3)

Security Officer

CEO

CIO

Sys &Net Dev.

CSO

SO

Man Money Material

46

Information security Coordination

ISM Committee

IT Head

Security Officer

Contact list or Organization chart

47

Assign security

CEO

CIO

Sys &Net Dev.

CSO

SO

IT Audit Admin

+Security

+Security +Sec

urity +Security

+Security

+Security All Employees + External Contact

(Acceptable Use Policy) 48

Corrective Action Plan

CEO

CIO

Sys &Net Dev. CSO

IT Audit Admin

ISM Committee

49

NDA

NDA

Signed

Information Owner

End User (Internal & External) 50

Business Contact list

Contact List

Company name Type (Personal, Corp.) Fiscal (Corp) Employees (No) Contact Name Contact number

Contact List

Government

Contact List

Contact List

51

Risk Assessment for External attack

External Risk

Person

Threat

IT Control

ขโมยของ ถายรปภาพ ตดตงโปรแกรมดกฟงขอมล แอบใชเครอขาย ขโมยขอมลในองคกร

ผ เยยมชม ญาตมตร ทปรกษา พนกงานชวคราว พนกงานจดจางชวคราว พนกงานท าความสะอาด

ระบบ Access Control Entry ตงกลองวงจรปด ตดตงระบบเขาพนท บคลากรภายนอกตองอยในพนทควบคม หรอดแลไดจากพนกงาน 52

A.6 Organization of information security (2)

A.6.2 External parties

Objective: To maintain the security of the organization’s information and information processing facilities that are accessed, processed, communicated to, or managed by external parties.

A.6.2.1 Identification of risks related to external parties

A.6.2.2 Addressing security when dealing with customerers

A.6.2.3 Addressing security in third party agreements

53

การระบขอก าหนดส าหรบบคคลภายนอก

• วเคราะหความเสยง • กระบวนการเขาถงระบบทงหมดตองมการควบคมการเขาถง, มการระบชนดการเขาถงทรพยากร เชน

Physical, Logical, Network, Off-site, ประเมนมลคาขอมล และความส าคญตอธรกจ, มการปองกนขอมลจากบคคลภายนอก, มการรบมอตอบคคลทเกยวของตอสารสนเทศองคกร

• กรณทเขาถงขอมลขอมลตองมการตรวจสอบการมอบหมาย และควรดแลอยางรดกม, การก าหนดกรอบควบคมตอการจดจางกลมงานภายนอกในการจดเกบ การด าเนนการ, การสอสาร และการแชรขอมล, ตรวจสอบผลกระทบตอการเขาถงของกลมงานภายนอกทไดรบขอมลทผดพลาด หรอท าใหเขาใจผด,

• ท าการเขยนขนตอนด าเนนงานตอการรบมอปญหาของการท าลาย หรอพจารณากบเทอมการวาจางกรณทเกดเหตผดปกตขน, ฝายกฎหมายเขามามสวนรวมในเงอนไขสญญา ทเกยวของกบกลมงานภายนอก

• มการรบมอตอกลมทเกยวของอนทมผลตอการด าเนนงาน สรปตองมการระบความเสยงของกลมงานภายนอกตางๆ และควรยดหลกการปองกนระบบกอนทจะมการจดท า Control เพอรบมอ

54

การระบขอก าหนดส าหรบบคคลภายนอกทเปนลกคา

• ค าอธบายบรการ และผลตภณฑทลกคาพงไดรบ

• การก าหนดนโยบาย Acceptable Use Policy, Privacy Policy,

Web Privacy Policy

• การสอสาร และสรางความตระหนกตองานดานความปลอดภย

• จดท ารายงานการแจงเตอน

55

การระบขอก าหนดส าหรบผใหบรการภายนอก

• เพอใหเขาใจตรงกนระหวางองคกรกบกลมงานภายนอกควรจะมการระบ นโยบายดานความมนคงปลอดภยสารสนเทศ รวมถงเขยนกระบวนการปองกนทรพยสน ซงระบ HW,SW มการเขยนกรอบควบคมปองกนทาง Physical, ปองกนไวรส หรอโคดมงราย

• เขยนขนตอนปฏบตในการท าใหขอมล หรอทรพยสนเสยหาย และมเงอนไขด าเนนการอยางชดเจน ยดกรอบ CIA และมการใช confidential agreement

• มการฝกอบรม และสรางความตระหนกตอความรบผดชอบ และการโอนถายพนกงานทเหมาะสม

• ก าหนดความรบผดชอบตอระบบ HW/SW ทตองบ ารงรกษา • มการเขยนรายงานอยางเปนระบบ • มการกระบวนการจดการ Change Management • มนโยบาย Access control ทครอบคม การเขาถง การตรวจสอบตวตน สทธ บรการ และ

การยกเลกสทธ

56

การระบขอก าหนดส าหรบผใหบรการภายนอก (ตอ)

• มการจดท ารายงานในการตรวจสอบ แจงเตอนเหตการณผดปกตดานความปลอดภย • มการแบงชนความลบ และการด าเนนตามทระบ • มการระบระดบทยอมรบได และมการตรวจสอบเฝาด รายงาน มการยกเลกสทธกรณท

ด าเนนการไมเหมาะสม • มทมตรวจสอบการด าเนนการวาเปนไปตาม Agreement หรอไม, และมการยกระดบ

ปญหา และการแกปญหา • มการตกลงรวมกนในการด าเนนการตามแผนธรกจตอเนอง • มการก าหนดขอตกลงในการด าเนนการทสอดคลอง และถกตองตอกฎหมาย และการ

ปองกนทรพยสน รวมถงทรพยสนทางปญญา เงอนไขทระบตอหนวยงานภายนอกจะสงผลตอ subcontract ดวย

• มการจดท าขอตกลงใหม เพอใหครอบคลมงานของการวางแผนปญหา และสถานะทรพยสนในปจจบน

57

A.7 Asset management (2)

A.7.1 Responsibility for assets

Objective: To achieve and maintain appropriate protection of organizational assets.

A.7.1.1 Inventory of assets

A.7.1.2 Ownership of assets

A.7.1.3 Acceptable use of assets

A.7.2 Information classification

Objective: To ensure that information receives an appropriate level of protection

A.7.2.1 Classification guidelines

A.7.2.2 Information labeling and handling

58

การจดท าบญชทรพยสน

บญช

Information Owner

50 Clients

2 Server

Core switch Hardware -Server 100000 x2 -Core switch 100000 -Clients 50x25000 Software -License

BIA

Logical -Data Classification

Authorization

Matrix Backup & Restore Site Redundancy

Cost

59

Data Classification

Secret

Confidentiality

Internal Use Only

Public

Encryption Destroy Move/Copy

Encrypt > Store Transfer

Encrypt > Store Transfer

Not Necessary

Not Necessary

Secure

Secure

Not Necessary

Not Necessary

Approved by Owner

Approved by Owner

Approved by Owner

Public

60

Labeling

• Hardcopy

– Stamper or Sticker

• Softcopy

– E-mail > Sensitivity > Encryption

– File > Selected O.S. Encryption file system, Labeling (File Name), Attributes, Software control in Database

61

การควบคมทรพยสนองคกร

• การระบพนทความเสยง – หองคอมพวเตอร

– หนวยงานทด าเนนการในระบบทส าคญ

• ก าหนดนโยบาย และขนตอนปฏบตเพอระบความชดเจนในการด าเนนงาน – ก าหนดผ รบผดชอบในบรเวณ และการตรวจสอบมเดย

– การน ามเดยเขาพนทความเสยงตองถกตรวจสอบ และอนมตทงการน าเขา และออก

– มเดยทน าเขาตองปฏบตตามขนตอนทระบไวเทานน

– กรณทมการน ามเดยเขาไปในสถานทด าเนนการจะตองมการเฝาด หรอบนทกกจกรรมทด าเนนการทกครง

62

A.8 Human resources security (3)

A.8.1 Prior to employment

Objective: To ensure that employees, contractors and third party users understand their responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities.

A.8.1.1 Roles and responsibilities

A.8.1.2 Screening

A.8.1.3 Terms and conditions of employment

63

กอนวาจาง

• Position ชอต าแหนง มทมงานกคน ใครเปนผบงคบบญชา

• Job Description ค าอธบายลกษณะงานโดยหลก

• Job Function ค าอธบายหนาทรบผดชอบในแตละระบบ หรอแอพพลเคชน

• Qualification คณสมบต

JD

Organization Chart

64

การตรวจสอบพนเพ

• ตรวจสอบจากจดหมายรบรอง ประวตการท างาน

• วฒการศกษา

• บคคลหรอบรษททสามารถอางองได

• การผานการอบรม

• ความรบผดชอบ (ระดบดานความปลอดภย) – ตองพจารณากฎหมาย ระเบยบ จรยธรรม

– ชนความลบของทรพยสนสารสนเทศ

– ระดบความเสยงในการเขาถง ประกอบการคดเลอกดวย

65

เทอมในการจดจาง

• ใหพนกงานรบทราบนโยบายดานความมนคงปลอดภยสารสนเทศ รวมถงสทธทมไดในการใชระบบ

• กรณทเปนผ มสวนตอขอมลส าคญในต าแหนงส าคญตองมการเซนการไมเปดเผยความลบ

NDA Security Policy

Acceptable Use Policy

66

A.8 Human resources security (3)

A.8.2 During employment

Objective: To ensure that all employees, contractors and third party users are aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error.

A.8.2.1 Management responsibilities

A.8.2.2 Information security awareness, education and training

A.8.2.3 Disciplinary process

67

ระหวางวาจาง

• ตรวจสอบวาพนกงานปฏบตตามนโยบายทองคกรก าหนดไวหรอไม

• ตรวจสอบวาพนกงานปฏบตตามขนตอนปฏบตทก าหนดไวหรอไม

• จดการอบรมใหกบพนกงานเพอรบทราบเกยวกบงานดานความมนคงปลอดภยสารสนเทศ เชน Security awareness Training หรอมการตดโปสเตอรประชาสมพนธอยเปนระยะ

• การลงโทษ (อยในนโยบายดานความมนคงปลอดภย และกฎระเบยบองคกร)

NDA

Security Policy

Acceptable Use Policy

68

A.8 Human resources security (3)

A.8.3 Termination or change of employment

Objective: To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner.

A.8.3.1 Termination responsibilities

A.8.3.2 Return of assets

A.8.3.3 Removal of access rights

69

การสนสดการวาจาง

• สญญาตองระบตงแตวนรบสมครเขาท างาน

• ก าหนดใหแจงการสนสดวนท างาน

• ทนททพนกงานหมดสญญา หรอสนสดการวาจาง ผบงคบบญชาตองแจงใหกบฝายทรพยากรบคคลรบทราบในวนนน

• ฝายทรพยากรบคคลตองแจงใหกบหนวยดานสารสนเทศทราบภายใน 2-3วนหลงยตการวาจาง เพอใหน ารายชอ User account, e-mail, Internet account เปนตน

• จดคนทรพยสน

70

A.9 Physical and environmental security (2)

A.9.1 Secure areas

Objective: To prevent unauthorized physical access, damage and interference to the organization’s premises and information.

A.9.1.1 Physical security perimeter

A.9.1.2 Physical entry controls

A.9.1.3 Securing offices, rooms and facilities

71

A.9.1.4 Protecting against external and environmental threats

A.9.1.5 Working in secure areas

A.9.1.6 Public access, delivery and loading areas

72

การเขาสศนยคอมพวเตอร

Perimeter Area

Building

Server Room

Operator

Buffer

ระบบตรวจสอบ Access Control Entry I

ระบบตรวจสอบ Access Control Entry II

Log book

Security > Daily > Incidents > Report Officer 73

ความปลอดภยในพนท

• ตองจดพนทควบคม – IT

– Accounting

– Financial – Executive

• ก าหนดมาตรการการควบคมในแตละพนท – ต าแหนงการเขาถงฝายตองอยพนทปลอดภย – การจดหนหนาจอหลกเลยงจากประต และหนาตาง – การจดพารตชนเพอบดบงขอมล และหนาจอ

74

การเลอกสถานท

• หลกหนจากพนทความเสยง – สถานฑตอเมรกา – กระทรวงการคลง – สถาบนการเงน – ตลาดหลกทรพย – กรมสรรพากร, หนวยงานภาครฐทมความเสยง

• การเลอกตวอาคาร – ทนแผนดนไหว – มเสนทางคมนาคมสะดวก – สงจากพนทเสยงภยน าทวม

75

การปองกนอปกรณคอมพวเตอรเสยหาย

• การจดวางและการปองกนอปกรณ (Equipment sitting and protection)

• ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)

• การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling security)

• การบ ารงรกษาอปกรณ (Equipment maintenance) • การปองกนอปกรณทใชงานอยนอกส านกงาน (Security of equipment

off-premises) • การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure disposal

or re-use of equipment) • การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of property)

76

การจดวางและการปองกนอปกรณ (Equipment sitting and protection)

Access Control Entry

Lift floor Cabling Security -Power -LAN Rack Mount -Internal -External -Type & Responsibility 77

การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of property)

• เขยนนโยบายดานการน าทรพยสนออกนอกองคกร

• ก าหนดผ รบผดชอบในการดแลทรพยสน

• เขยนขนตอนปฏบตในการด าเนนการน าทรพยสนออกนอกองคกร

• มการทบทวนลอกทผานมาเพอประเมนความเสยหาย และความเสยงตางๆ

78

A.9 Physical and environmental security (2)

A.9.2 Equipment security

Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s activities.

A.9.2.1 Equipment sitting and protection

A.9.2.2 Supporting utilities

A.9.2.3 Cabling security

A.9.2.4 Equipment maintenance

A.9.2.5 Security of equipment off-premises

A.9.2.6 Secure disposal or re-use of equipment

A.9.2.7 Removal of property

79

ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)

• ระบบกระแสไฟฟา และระบบกระแสไฟฟาส ารอง ตองแยกแหลงจายไฟจากทท างาน, แหลงจายไฟฟาตองมาจากสองแหลงเปนอยางนอย ตองมอปกรณส ารองไฟ และปนไฟอยางเหมาะสม

• ระบบน าประปา หองคอมพวเตอรตองหลกหนจากแนวทางน าด และน าเสย

• ระบบปรบอากาศ & ระบบควบคมอณหภม ควบคมอณหภม และความชน โดยระบบแอรตองออกแบบรองรบการบ ารงรกษาดวย

• ระบบระบายอากาศ ตองมขนาดเลกไมสามารถลอดไดจากบคคล

• ระบบสายสอสารส ารอง ตองมาจากสองแหลง และท ารบรองกบผใหบรการดวย (โทรศพท, ลงคเชอมตอ)

80

การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling security)

• ออกแบบสายสญญาณ และสายไฟใหเหมาะสม

• ระยะทางของสายตองไมเกนมาตรฐานทก าหนด

• สายไฟฟา และสายสอสารตองแยกคนละทอ

• ควรมการท ารางเดนสาย

• กรณทเดนใตฝาตองรอยทอ

• ควรเลอกคณภาพของสายเหมาะสมกบการใชงาน เชนสายในอาคารไมควรเดนออกนอกอาคาร และควรเลอกชนดทเมอตดไฟแลวไมมพษ

81

การบ ารงรกษาอปกรณ (Equipment maintenance)

• ก าหนดผ รบผดชอบทชดเจน

• อปกรณทกชนดตองมการท า PM (Preventive Maintenance)

• ตรวจสอบการด าเนนการวามการด าเนนการไดครบถวนสมบรณหรอไม

82

การปองกนอปกรณทใชงานอยนอกส านกงาน (Security of equipment off-premises)

• คอมพวเตอรทตงอยภายนอก ตองมผดแล กรณทไมมตองมการลอคเครองทง Physical และ Logical

• เขยนนโยบายใหพนกงานรบผดชอบ และชวยเปนหเปนตาในการเฝาดอปกรณของส านกงาน

• อบรมใหพนกงานตระหนกถงภยตางๆทมผลตอขอมล และความสญหายของอปกรณ

83

การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure disposal or re-use of equipment)

• แยกประเภทอปกรณ

• เขยนขนตอนปฏบตในแตละประเภทของอปกรณ

• มการจดท าขนตอนกรณทมการน าเครองออกไปซอม

• มผดแลในการด าเนนการน าขอมลกลบมา หรอน าออกไป

84

A.10 Communications and Operations Management (10)

A.10.1 Operational procedures and responsibilities

Objective: To ensure the correct and secure operation of information processing facilities.

A.10.1.1 Documented operating procedures

A.10.1.2 Change management

A.10.1.3 Segregation of duties

10.1.4 Separation of development, test, and operational facilities

A.10.1.4 Separation of development, test and operational facilities

85

การก าหนดหนาทความรบผดชอบและขนตอนการปฏบตงาน (Operational procedures and responsibilities)

• เขยนขนตอนปฏบตระดบแอพพลเคชน (การดแลประจ า, การส ารอง, การก คน) • ในแตละขนตอนปฏบตก าหนดผ รบผดชอบในการด าเนน • เชน

– Network Equipment

– Virus Protection

– IDS/IPS

– Internet & E-mail

– Firewall

– Mobile Computer

– Backup – Etc.

User Request

Information Owner Least Privileges

Authorized

Matrix

86

System Environment

Development

Testing Production

Developer End User System Admin

Dummy

End User

Production DB

Manual -Training

--User Operation

87

A.10 Communications and Operations Management (10)

A.10.2 Third party delivery management

Objective: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements.

A.10.2.1 Service delivery

A.10.2.2 Monitoring and review of third party services

A.10.2.3 Managing changes to third party services

88

การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party service delivery management)

Agreements

Request SLA

TOR

Proposal

Corporate Vendor

SLA

89

Vendor/3rd Party Evaluation

• Contact List > Level (3rd Party) – Outsource – Consultant – Vendor

• Evaluation – Corporate – Services (Personal: Sales, Supporter)

• Type of Evaluation – Speed, Neat, Polite – Maintenance – Skill – Recovery

90

Managing changes to third party services

Security Policy

Corporate Vendor

Procedures

BCP SLA P.M.

Patches Hot-fix

Suggestion

91

A.10 Communications and Operations Management (10)

A.10.3 System planning and acceptance

Objective: To minimize the risk of systems failures.

A.10.3.1 Capacity management

A.10.3.2 System acceptance

92

การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning and acceptance)

• Capacity Planning User supporting in the futures CPU, RAM, HD, Network, Application

• System Acceptance

– IT, Information Owner, User

– Features & Functions

– Performance

– Security

93

A.10 Communications and Operations Management (10)

A.10.4 Protection against malicious and mobile code

Objective: To protect the integrity of software and information.

A.10.4.1 Controls against malicious code

A.10.4.2 Controls against mobile code

94

การปองกนโปรแกรมทไมประสงคด (Protection against malicious and mobile code)

Malicious Code Mobile Code

Least Privileges AntiVirus (Virus & Worm) AntiSpam AntiSpyware (Trojan & Backdoor) Personal Firewall Automatic Update (patches)

Virus Protection Policy Security Awareness Training 95

A.10 Communications and Operations Management (10)

A.10.5 Back-up

Objective: To maintain the integrity and availability of information and information processing facilities.

A.10.5.1 information back-up

96

การส ารองขอมล (Back-up)

• Information Owner > IT (Backup)

– Severity Data (Prior)

– Frequency (Routine)

• IT

– Recovery System Cold site, Warm site, Hot site

– Backup & Logging (Technology)

– Recovery when disaster is appeared

97

A.10 Communications and Operations Management (10)

A.10.6 Network security management

Objective: To ensure the protection of information in networks and the protection of the supporting infrastructure.

A.10.6.1 Network controls

A.10.6.2 Security of network services

98

การบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขายขององคกร (Network security management)

• Perimeter (Internet)

• Intranet > NAP (Network Access Protection) – VLAN

– Separate Server Farm from Clients – Quarantine Zone (Wireless, External Connection, Notebook)

Internet

Bastion

99

Active Equipment

• Hub & Switch

• Router & Switch layer 3

• Firewall

– General Firewall (All ports)

– Web Application Firewall (80, 443) > Content filtering, Gateway (Convert unsecure > Secure)

• Access Point

• IDS/IPS

100

A.10 Communications and Operations Management (10)

A.10.7 Media handling

Objective: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities.

A.10.7.1 Management of removable media

A.10.7.2 Disposal of media

A.10.7.3 Information handling procedures

A.10.7.4 Security of system documentation

101

การจดการสอทใชในการบนทกขอมล (Media handling)

• นโยบายการใชงานสอจดเกบ เชน CD-ROM, Handy Drive, Notebook, Removable HD, Mobile Phone

• บทลงโทษผละเมดนโยบาย

• เขยนขนตอนปฏบตในการด าเนนการกบอปกรณเหลาน – ขอมลสารสนเทศตองมเจาของซงจะเปนผอนมตในการด าเนนการตางๆ – การไดมาซงขอมล – การจดเกบขอมลทมอย ตองเขารหสทงในเครอง และระหวางการโอนถาย – การยาย หรอส าเนาขอมล – การท าลายขอมลทไมใช – สรางแบบฟอรมในการขออนมตใชงานมเดยตางๆ และระบบควบคม

102

A.10 Communications and Operations Management (10)

A.10.8 Exchange of information

Objective: To maintain the security of information and software exchanged within an organization and with any external entity.

• A.10.8.1 Information exchange policies and procedures

A.10.8.2 Exchange agreements

A.10.8.3 Physical media in transit

• A.10.8.4 Electronic messaging Control

• A.10.8.5 Business information systems

103

A.10.8.1 Information exchange policies and procedures

A.10.8.2 Exchange agreements

A.10.8.3 Physical media in transit

A.10.8.4 Electronic messaging

A.10.8.5 Business information systems

104

การแลกเปลยนสารสนเทศ (Exchange of information)

• นโยบายการด าเนนการแลกเปลยนขอมลสารสนเทศ • ขนตอนปฏบตใหสอดคลองกบนโยบายทระบไว • กรณทจ าเปนตองน ามเดยใหกบหนวยงานภายนอก ถาเปนขอมลส าคญใหด าเนนการ

เซน Non Disclosure Agreement (NDA)

• กรณทขอมลถกน าออกจากมเดยทส าเนาไปตองมกลไก การน าของออกนอกองคกร (Pass Properties)

• การจดสงผานจดหมายอเลกทรอนกสตองมระบบเขารหสขอมลทมระดบความส าคญ เชน SSL + Certificate

• ก าหนดนโยบายควบคมการเชอมตอกบเครอขายภายนอก เชน Internet, Remote Access, Firewall, E-mail

105

A.10 Communications and Operations Management (10)

A.10.9 Electronic commerce services

Objective: To ensure the security of electronic commerce services, and their secure use.

A.10.9.1 Electronic commerce

A.10.9.2 On-line transactions

A.10.9.3 Publicly available information

106

การสรางความมนคงปลอดภยส าหรบบรการพาณชยอเลกทรอนกส (Electronic commerce services)

• E-commerce หมายถงองคกรมการตดตอกบเครอขายสาธารณะ และมการท าธรกรรมบนอนเตอรเนต

• องคกรตองรบมอกบปญหาตางๆ – Sniffing การถกดกฟง

– Phishing จดหมายหลอกใหลกคาเปนเหยอ

– Non-Repudiation > เจาตวปฏเสธการด าเนนการ

– Injection > โคดเขยนไมรองรบการตรวจสอบคาตวแปร

107

องคกรตองมการลงทนปองกนปญหา e-commerce

• Routing > End to End เชน VPN, CA

• Modification > Digital Signature

• Disclosure > Digital Encryption (SSL)

• Non-Repudiation > Log & Disclaimer

• Denial of Service or Bruteforce > Firewall (Web Application firewall), Honey Pot

108

การดแลลอก และการเฝาด

• ก าหนดผ รบผดชอบในการวเคราะหบนทก เชน Security Officer

• ระบบงานทส าคญตองมการก าหนดรอบดลอกถ

• ระบบงานทส าคญควรมการตดตงอปกรณเฝาดตลอดเวลา

• ลอกควรถกจดเกบไวในพนทปลอดภย ขามเครองไดยงด และมการระบเฉพาะผ เกยวของเทานนทเขามาด าเนนการได

• จดเกบนานทสดเทาทเปนไปได

• สรปลอกทบนทก

• ก าหนดเปนขนตอนปฏบตในการจดเกบ และการเขาไปดลอก

109

A.10.10.1 Audit logging

A.10.10.2 Monitoring system use

A.10.10.3 Protection of log information

A.10.10.4 Administrator and operator logs

A.10.10.5 Fault logging

A.10.10.6 Clock synchronization

110

การเฝาระวงทางดานความมนคงปลอดภย (Monitoring)

Log

Log Unlimited Storage (capacity plan of log size)

Law > 3 months

Server Log Equipment log Client log

Synchronize Review log

Physical Entries Access Control Network access System Access 111

A.10 Communications and Operations Management (10)

A.10.10 Monitoring

Objective: To detect unauthorized information processing facilities.

112

A.11 Access control (7)

A.11.1 Business requirement for access control

Objective: To control access to information.

A.11.1.1 Access control policy

113

ขอก าหนดทางธรกจส าหรบการควบคมการเขาถงสารสนเทศ (Business requirements for access control) • จดท านโยบายดานการเขาใชทรพยากรขององคกร เพอปองกนขอมล และการน าทรพยสนขององคกรออก

Access Control

Password Policy Access control Policy Remote Access Control Policy External Policy

114

A.11 Access control (7)

A.11.2 User access management

Objective: To ensure authorized user access and to prevent unauthorized access to information systems.

A.11.2.1 User registration

A.11.2.2 Privilege management

A.11.2.3 User password management

A.11.2.4 Review of user access rights

115

การบรหารจดการการเขาถงของผใช (User access management)

• นโยบายการด าเนนการเกยวกบผใช

• ขนตอนปฏบตในการรองขอ และการยกเลกผใชงาน

User Request

การรองผใช User > Department Head > IT แบบฟอรม User Request การรองขอสทธเพม User > Department Head > IT การยกเลก Department Head > HR > IT

รอบการตรวจสอบรายชอผใช เชนตรวจทกเดอน 116

User Privileges

• นโยบายการบรหารงานเกยวผใช

• ใชกฎ The Least privileges > Increase : request user

privileges

• ไมใหผใชเขาใชโดย Administrator หรอ Supervisor ถามใครใช User account เหลานฝายตรวจสอบตองรายงาน แจงใหผบรหารทราบ

117

A.11 Access control (7)

A.11.3 User responsibilities

Objective: To prevent unauthorized user access, and compromise or theft of information and information processing facilities.

A.11.3.1 Password use

A.11.3.2 Unattended user equipment

A.11.3.3 Clear desk and clear screen policy

118

หนาทความรบผดชอบของผใชงาน (User responsibilities)

• ก าหนดนโยบายรหสผาน

• รหสผานถอเปนทรพยสนขององคกร ผใชตองรบผดชอบรหสผานทไดรบ – ไมบอกรหสผานใหกบผ อน

– ไมจดรหสผานไวบนพนทเปดเผย

• มการก าหนดรอบในการด าเนนการตรวจสอบความเหมาะสมของรหสผาน

119

Password ทด

• มความสลบซบซอนคอประกอบดวย 3 ใน 4 เงอนไขดงนตวเลข ตวอกษรเลก ตวอกษรใหญ อกขระพเศษ

• มความยาวทเหมาะสม

• มรอบด าเนนการปรบเปลยนรหสผานเปนระยะ

• ปองกนการเขาใชระบบถาพมพผดเกนจ านวนครงทระบ (Account Logout)

• อาจจะตองมเทคโนโลยดาน Physical เขามาใชรวมกบรหสผาน – One time password (OTP)

– Access Control (ระบหมายเลข IP หรอชอเครอง)

– Biometric

120

กรณทเครองไมมผดแล

• ด าเนนการลอคหนาจอทกครงทไมอยหนาเครองโดยผใช

• องคกรตองก าหนดควบคมการลอคหนาจอถาไมมกจกรรมใดๆในระยะเวลาทก าหนด

• ระบบทมการลอคหนาจอตองท าการปดเครอง หรอลอกออฟออก

• เครองทตงอยในสถานทสาธารณะตองมการลอคดวยโซลาม

• พนกงานทพบเหนเครองตงอยในทพนทไมเหมาะสมตองแจงใหกบผ เกยวของรบทราบ

121

A.11 Access control (7)

A.11.4 Network access control

Objective: To prevent unauthorized access to networked services.

A.11.4.1 Policy on use of network services

A.11.4.2 User authentication for external connections

A.11.4.3 Equipment identification in networks

A.11.4.4 Remote diagnostic and configuration port protection

A.11.4.5 Segregation in networks

A.11.4.6 Network connection control

A.11.4.7 Network routing control

122

การควบคมการเขาถงเครอขาย (Network access control)

• นโยบายดานการเขาใชระบบเครอขายในองคกร • ในองคกรทมระบบใชงานจากภายนอก

– ตองมระบบควบคมการเขาใชงานอยางรดกม เชนถาใชงานจากภายนอกตองมการ Monitor เฝาดกจกรรมเพมเตม (IDS/IPS)

– มการเขาเฝาดเครอขายระหวางด าเนนการ • องคกรตองมการเตรยมเครองมอตรวจสอบตวตน

– Two factors Authentication (Token+password, Biometric+password, Certificate+Passwod, etc.)

• แบงแยกเครอขาย – อนเตอรเนต

– Server

– Unsecure equipment

• Router – Access Control List (ACL) > IP Address?, Port ? – Control Routing protocol & Routing table

123

Redirect Routing Path

R1

R2

PC

Hacker’s Router

Routing table Metric 1

Internet

Sniffer

Resolve Router Path -Neighbor -Select routing protocol (Authen. Password, Encryption)

124

A.11 Access control (7)

A.11.5 Operating system access control

Objective: To prevent unauthorized access to operating systems.

A.11.5.1 Secure log-on procedures

A.11.5.2 User identification and authentication

A.11.5.3 Password management system

A.11.5.4 Use of system utilities

A.11.5.5 Session time-out

A.11.5.6 Limitation of connection time

125

การควบคมการเขาถงระบบปฏบตการ (Operating system access control)

• นโยบายดานการเขาถงระบบปฏบตการ (Access Control) • ขนตอนปฏบตในการใชงานระบบปฏบตการ • ทกคนตองมการใชชอลอกออน และรหสผานของตนเอง • มการจดท าบนทกลอก • วเคราะหลอกเพอตรวจสอบสงทผดปกต • จดท าการควบคมรหสผาน • มการใชเครองตรวจสอบ Auditing Tool เพอทดสอบชองโหวของระบบปฏบตการ และ

ความเขมแขงของรหสผานทใช • ก าหนดระยะเวลา และการยกเลกการใชเมอถงเวลา (ใชระบบงานส าคญดจาก BIA)

– ผใชทไมใชพนกงานประจ าจะม Expired Date – พนกงานประจ าจะมการก าหนดชวงเวลาในการเขาใช ถาตองการใชนอกเวลาตองด าเนนการรองขอ

เพม

126

A.11 Access control (7)

A.11.6 Application and information access control

Objective: To prevent unauthorized access to information held in application systems.

A.11.6.1 Information access restriction

A.11.6.2 Sensitive system isolation

127

การควบคมการเขาถงแอพพลเคชนและสารสนเทศ (Application

and information access control)

• Information Owner > IT Administration > User

• Authorization Matrix > (Applications) – Read

– Write

– View log

– Full Control

• Production > Separate from Client – VLAN

– Firewall

– Router (Access Control List) – Not connect to internet

128

A.11 Access control (7)

A.11.7 Mobile computing and teleworking

Objective: To ensure information security when using mobile computing and teleworking facilities.

A.11.7.1 Mobile computing and communications

A.11.7.2 Teleworking

129

การควบคมอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอกองคกร (Mobile computing and teleworking)

• จดนโยบายดาน Mobile computing & teleworking

• เขยนขนตอนปฏบต – แยกเครอขาย Mobile Computer จากเครอขายทมอยเดม

– Update Antivirus (Exceed 7 days > Not connect to network) • Version

• Virus Definition

– Meeting Room แยกเครอขายออกเปนพเศษ – กลมผใชจากทางไกลตองเขาใชในเครอขายทองคกรจดเตรยมไวให – เครองทจะเขาใชเครอขายภายในไดตองผานการตรวจสอบอยางรดกม

130

A.12 Information systems acquisition, development and maintenance (6)

A.12.1 Security requirements of information systems

Objective: To ensure that security is an integral part of information systems.

A.12.1.1 Security requirements analysis and specification

131

ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ (Security requirements of information systems)

Business Require

ment

Security Require

ment

Information Owner End User

IT (Consultant)

Specification

Security Office (Consultant)

Password log & History Encryption (Local & Network) Provide Log Management Input & Output validation

132

A.12 Information systems acquisition, development and maintenance (6)

A.12.2 Correct processing in application

Objective: To prevent errors, loss, unauthorized modification or misuse of information in application.

A.12.2.1 Input data validation

A.12.2.2 Control of internal processing

A.12.2.3 Message integrity

A.12.2.4 Output data validation

133

การประมวลผลสารสนเทศในแอพพลเคชน (Correct processing in applications)

Processing Input Output

Input Validation Output Validation

www.owasp.org > Top ten Web application security Denial of Service, XSS, SQL Inject, Input validation, etc.

Control of internal processing Message Integrity

Developer

End User

134

ขนตอนทควรจะมในการปรบเปลยนและยายระบบ

• ไมยอมใหผพฒนาระบบเขามายายระบบใน Production Environment

• ผใชตองเขามามสวนรวมในการด าเนนการยายระบบ • ระหวางการยายจะตองมการควบคมเฉพาะบคคลทเกยวของ • ขอมลทน ามาทดสอบตองไมใชขอมลจรง • เมอระบบยายแลวตองมการตงทมงานเพอตอบสนองตอปญหา และคอนๆลดบทบาทลงเมอระบบท างานไปไดสกระยะหนง

• กรณทมการจดจางทมงานพฒนาจากภายนอกตองมการควบคมการเขาถงขอมลเปนพเศษ โดยเฉพาะตอนทใหเขามาแกปญหาระบบงานหลก

135

A.12 Information systems acquisition, development and maintenance (6)

A.12.3 Cryptographic controls

Objective: To protect the confidentiality, authenticity or integrity of information by cryptographic means.

A.12.3.1 Policy on the use of cryptographic controls

A.12.3.2 Key management

136

มาตรการการเขารหสขอมล (Cryptographic controls)

• นโยบายการเขารหสขอมล

• เขยนขนตอนปฏบต – ตองใชวธการเขารหสทเปนมาตรฐาน (RSA, SHA1, 3DES) โดยเฉพาะรหสผานทใช

• ก าหนดใหผพฒนาโปรแกรมตองเขยน หรอระบความสามารถของแอพพลเคชนผานมาตรฐานทเราตองการ เชน Input validation, Output validation, Message integrity, Control Processes

137

A.12 Information systems acquisition, development and maintenance (6)

A.12.4 Security of system files

Objective: To ensure the security of system files.

A.12.4.1 Control of Operational Software

A.12.4.2 Protection of system test data

A.12.4.3 Access control to program source code

138

การสรางความมนคงปลอดภยใหกบไฟลของระบบทใหบรการ (Security of system files)

• เขยนขนตอนปฏบตในการตดตงไฟลลงเครอง – ไมใหมการตดตงซอฟตแวรทองคกรไมไดก าหนด

– ซอฟตแวรทตดตงตองตดตงจากแหลงทผ รบผดชอบจดเตรยมไวให

– ผไมมสวนเกยวของกบระบบงานดแลไอทหามตดตงโปรแกรมโดยพลการ

• ระบบงานตองตดตงในระบบทดสอบกอนทกครงจนเขาใจด แลวจงน ามาตดตงในระบบใชงานจรง

• ผพฒนาโปรแกรมตองจดเตรยมโคดของโปรแกรม และโคดเหลานตองควบคมผเขาใชดวย (User Permission in source code)

139

A.12 Information systems acquisition, development and maintenance (6)

A.12.5 Security in development and support processes

Objective: To maintain the security of application system software and information.

A.12.5.1 Change control procedures

A.12.5.2 Technical review of applications after operating system changes

A.12.5.3 Restrictions on changes to software packages

A.12.5.4 Information leakage

A.12.5.5 Outsourced software development

140

การสรางความมนคงปลอดภยส าหรบกระบวนการในการพฒนาระบบและกระบวนการสนบสนน (Security in development and support processes)

• มการเขยนขนตอนปฏบตในการปรบเปลยนระบบ

141

ขนตอนระหวางด าเนนการยายระบบ

142

A.12 Information systems acquisition, development and maintenance (6)

A.12.6 Technical Vulnerability Management

Objective: To reduce risks resulting from exploitation of published technical vulnerabilities.

A.12.6.1 Control of technical vulnerabilities

143

การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร (Technical Vulnerability Management)

• เราตองปองกนปญหาของชองโหวระบบงานทพฒนา ทงเจตนา และไมเจตนา – ระบบตองมการตดตงโปรแกรมตรวจสอบวามการสงขอมลนอกเหนอจากคาทบนทกหรอไม

– ระบบงานตองลง Service Pack & Hot-fix ใหมลาสดเทาทเปนไปไดในการลงระบบใหม

– ตองมการส ารองขอมลระบบเดมเพอปองกนความเสยหายจากชองโหวของระบบใหม

– มเครองมอตรวจสอบระบบกอนด าเนนการจรงเพออดชองโหว เนองจากถาปลอยใหระบบด าเนนการไปแลวจะท าการอดไดยาก หรอคอนขางเสยงสง

144

สงทตองค านงถงในการจดจาง

• เงอนไขการด าเนนการ – จดสงเอกสารมาตรฐานตาม Software Engineering – ลขสทธ

– การขอ Source Code

– Compiler Tool ตองใชถกตองตามลขสทธทงหมด และสงมอบใหกบองคกร – กรณทองคกรจะตองมสองไซต ตองระบลวงหนาวาจะใชระบบนทงสองไซต

– กรณทซอซอฟตแวรส าเรจรปตองระบกบผขายวาตองการใชสองไซต ใหเสนอราคาแบบสองไซตลวงหนาโดยทก าหนดใช Active ทไซตหลก

145

A.13 Information security incident management (2)

A.13.1 Reporting information security events and weaknesses

Objective: To ensure information security events and weaknesses associated with information systems are communicated in a manner allowing timely corrective action to be taken.

A.13.1.1 Reporting information security events

A.13.1.2 Reporting security weaknesses

146

Event Management

• Performance Monitor

– System Operator

• Maintenance

– Vendor

– System Administrator

147

Reporting information security events and weaknesses

Collection Help Desk

History

Incident list (Type) Xxxxx Xxxxx xxxxx Incident ID

Date time Event Computer Reporter

SysAdmin DBAdmin NetAdmin

Vendor or Developer or Law

Report

…

148

A.13 Information security incident management (2)

A.13.2 Management of information security incidents and improvements

Objective: To ensure a consistent and effective approach is applied to the management of information security incidents.

A.13.2.1 Responsibilities and procedures

A.13.2.2 Learning from information security incidents

A.13.2.3 Collection of evidence

149

A.14 Business continuity management (1)

A.14.1 Information security aspects of business continuity management Objective: To counteract interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption. A.14.1.1 Including information security in the business

continuity management process A.14.1.2 Business continuity and risk assessment A.14.1.3 Developing and implementing continuity plans

including information security A.14.1.4 Business continuity planning framework A.14.1.5 Testing, maintaining and re-assessing business

continuity plans

150

หวขอพนฐานส าหรบการบรหารความตอเนองในการด าเนนงานขององคกร (Information security aspects of business continuity management)

• กระบวนการในการสรางความตอเนองใหกบธรกจ (Including information security in the business continuity management process)

• การประเมนความเสยงในการสรางความตอเนองใหกบธรกจ (Business continuity and risk assessment)

• การจดท าและใชงานแผนสรางความตอเนองใหกบธรกจ (Developing and implementing continuity plans including information security)

• การก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ (Business continuity planning framework)

• การทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ (Testing, maintaining and re-assessing business continuity plans)

151

Testing

BCP

Readiness

Prevention Response

Recovery

Risk Assessment

BIA

Business - Computer > Manual

People Processes

Processes Technologies

ไซตส ารอง ส ารองระบบ ออกแบบระบบ

การอบรม การเขยนขนตอนปฏบต

การก คน การยายไซต > ไซตส ารอง > ไซตหลก

ตอบสนองตอระบบทเกดขนแลว ออกขาว -เวบไซต -หนงสอพมพ

Incidents

Resolve Problems

Threat > Assets

152

DRC & DRP (Move Site)

• DRC (Disaster Recovery Center)

– Building

– Computer Room & Environment

– Server

– Active Equipment

– BCP Coordinator

• DRP (Disaster Recovery Plan)

– Cold Site/Warm Site/Hot Site

– Designate Person • BCP Coordinator

153

BCP Process

• Call out Tree (Contact System)

• BCP

– Readiness

– Prevention

– Recovery

– Response

• Testing

• Evaluation

154

A.15 Compliance (3)

A.15.1 Compliance with legal requirements

Objective: To avoid breaches of any law, statutory, regulatory or contractual obligations, and of any security requirements.

A.15.1.1 Identification of applicable legislation

A.15.1.2 Intellectual property rights (IPS)

A.15.1.3 Protection of organizational records

A.15.1.4 Data protection and privacy of personal information

A.15.1.5 Prevention of misuse of information processing facilities

A.15.1.6 Regulation of cryptographic controls

155

การปฏบตตามขอก าหนดทางกฎหมาย (Compliance with legal requirements)

Audit Check list

LAW Policies Regulation

Routine (Update & Evaluate)

IPR, Privacy Data, Properties

IT Auditor Confidentiality

Customer Password (Encrypted)

156

A.15 Compliance (3)

A.15.2 Compliance with security policies and standards, and technical compliance

Objective: To ensure compliance of systems with organizational security policies and standards.

A.15.2.1 Compliance with security policies and standards

A.15.2.2 Technical compliance checking

157

การปฏบตตามนโยบาย มาตรฐานความมนคงปลอดภยและขอก าหนดทางเทคนค (Compliance with security policies and standards, and technical compliance)

Audit Check list

Policies

Data, Properties

External Auditor Standard

Internal Auditor Internal Processes

158

การตรวจประเมนระบบสารสนเทศ (Information systems audit considerations)

Audit Check list

Policies

Data, Properties

External Auditor Standard

Internal Auditor

Internal Processes

Executive Summary Detail Audit Checklist (Finding) Scoring > Topic Severity Corrective & Preventive Action Plan

159

A.15 Compliance (3)

A.15.3 Information systems audit considerations

Objective: To maximize the effectiveness of and to minimize interference to/from the information systems audit.

A.15.3.1 Information systems audit controls

A.15.3.2 Protection of information systems audit tools

160

161

ความแตกตางระหวาง ISO17799, ISO27001

162

2000 Edition (10 sections) 2005 Edition (11 sections)

Security Policy Security Policy

Security Organisation Organising Information Security

Asset Classification & Control Asset Management

Personnel Security Human Resources Security

Physical & Environmental Security Physical & Environmental Security

Communications & Operations

Management

Communications & Operations Management

Access Control Access Control

Systems Development & Maintenance Information Systems Acquisition,

Development and Maintenance

Information Security Incident Management

Business Continuity Management Business Continuity Management

Compliance Compliance

ความแตกตางระหวาง ISO 27001:2005 กบ 2013

163

2005 Edition (11 sections) 2013 Edition (14 sections)

Security Policy Information Security policies

Organising Information Security How information security is organised

Security for suppliers and third parties

Asset Management Asset Management

Cryptographic technology

Human Resources Security Human resources Security

Physical & Environmental Security Physical security of the organisation’s sites and

equipment

Communications & Operations

Management

Operational security

Secure communications and data transfer

Access Control Access Control

Information Systems Acquisition,

Development and Maintenance

Secure acquisition, development, and support of

information systems

Information Security Incident

Management

Information Security Incident Management

Business Continuity Management Business continuity/disaster recovery

Compliance Compliance

Changes from the 2005 standard (New control)

• A.6.1.5 Information security in project management • A.12.6.2 Restrictions on software installation • A.14.2.1 Secure development policy • A.14.2.5 Secure system engineering principles • A.14.2.6 Secure development environment • A.14.2.8 System security testing • A.15.1.1 Information security policy for supplier relationships • A.15.1.3 Information and communication technology supply chain • A.16.1.4 Assessment of and decision on information security events • A.16.1.5 Response to information security incidents • A.17.2.1 Availability of information processing facilities

164

165

ขอมลอางอง

- http://www.bsigroup.com/en-TH/ISOIEC-27001-Information-Security/Introduction-to-ISOIEC-27001/

- เอกสารประกอบการฝกอบรมหลกสตร ISO/IEC 27001 (introduction) โดยคณขจร สนอภรมยสราญ วทยากร สวทช.

ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม