Developing Security Policy Under ISO 27001:2005 …...การพัฒนานโยบายด้านความมั่นคงปลอดภัย ภายใต้มาตรฐาน

การพฒนานโยบายดานความมนคงปลอดภย ภายใตมาตรฐาน ISO 27001:2005 กรณศกษาส าหรบ สถาบนวจยแหงหนง

Developing Security Policy Under ISO 27001:2005 Standard Case Study for Research Institute

ประกจ อนทรกษ

สารนพนธนเปนสวนหนงของการศกษา หลกสตรวทยาศาสตรมหาบณฑต สาขาวชาเทคโนโลยสารสนเทศ

คณะวทยาการและเทคโนโลยสารสนเทศ มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2556

I

หวขอ การพฒนานโยบายดานความมนคงปลอดภย ภายใตมาตรฐาน ISO 27001:2005 กรณศกษา สถาบนวจย แหงหนง ชอนกศกษา ประกจ อนทรกษ

รหสนกศกษา 5517680005

หลกสตร วทยาศาสตรมหาบณฑต สาขาเทคโนโลยสารสนเทศ ปการศกษา 2556

อาจารยทปรกษา รศ.ดร.ฤกษชย ฟประทปศร

บทคดยอ

โครงงานการพฒนานโยบายดานความมนคงปลอดภยสารสนเทศภายใตมาตรฐาน ISO/IEC 27001:2005 กรณศกษาส าหรบ สถาบนวจย แหงหนง จดท าขนโดยมวตถประสงคเพอจดท ารางนโยบายดานความมนคงปลอดภยของระบบสารสนเทศ เพอใชเปนแนวทางในการปฏบตงาน รวมถงการวเคราะห และการประเมนความเสยงใหกบองคกร เพอใหองคกรไดทราบถงระดบของความเสยงทองคกรมอย เพอจดท าแผนการบรหารจดการความเสยงลดระดบความเสยงทองคกรสามารถยอมรบได เพอใหลดผลกระทบหรอโอกาสทจะเกดขนกบองคกร ท าใหองคกรสามารถด าเนนกจกรรมทางดานสารสนเทศไดอยางตอเนอง และมประสทธภาพ

II

กตตกรรมประกาศ

โครงงานนพฒนาส าเรจลลวงได เนองจากการสนบสนนและใหค าปรกษาเกยวกบแนวทางในการศกษาคนควา จากทานอาจารย รศ.ดร.ฤกษชย ฟประทปศร ทปรกษาโครงงาน และทานอาจารย ดร.บรรจง หะรงษ ทางผจดท าโครงงานตองขอขอบพระคณทานอาจารยทงสองทานเปนอยางสงทไดกรณาสละเวลาอนมคาในการใหค าแนะน าปรกษาอนประโยชนตอการท าโครงงานนมาโดยตลอด และคณาจารยทกทานของภาควชาเทคโนโลยสารสนเทศ จากมหาวทยาลยเทคโนโลยมหานคร ทไดใหความรความเขาใจในดานความมนคงปลอดภยสารสนเทศ อนเปนประโยชนตอการคนควาศกษาในการท าโครงงานนจนส าเรจ ขอบพระคณ คณพอ และคณแมทใหการสนบสนนดานการศกษา และเพอนๆ ทคอยใหค าปรกษาและเปนก าลงใจเสมอมา

โครงงานนจะส าเรจไมไดหากไมไดรบการสนบสนนจากองคกรของผจดท าโครงงาน หวหนาฝายระบบจดการคอมพวเตอรและเครอขาย ทไดใหความส าคญในเรองความมนคงปลอดภยของระบบสารสนเทศ รวมถง บคลากร และเจาหนาทของ ฝายระบบจดการคอมพวเตอรและเครอขายทไดใหขอมลและค าปรกษาในการจดท าโครงงานน ผจดท าโครงงาน ตองขอขอบพระคณทกทานเปนอยางสงมา ณ โอกาสน

ประกจ อนทรกษ

มนาคม 2557

III

สารบญ

หนา

บทคดยอ………………………………………………………………………………………. I กตตกรรมประกาศ…………………………………………………………………………….. II สารบญ…………………………………………………………………………………………. III สารบญ (ตอ)…………………………………………………………………………… ……… IV สารบญตาราง………………………………………………………………………………….. V สารบญรปภาพ………………………………………………………………………………… VI บทท 1 บทน า………………………………………………………………………………….. 1 1.1 ปญหาและแรงจงใจ..............................…….…………………………………... 1 1.2 แนวทางการแกไขปญหา....……………………………………………………... 2 1.3 วตถประสงคของโครงงาน………………………………………………………. 2 1.4 ขอบเขตของโครงงาน......……………………………………………………….. 2 1.5 ประโยชนทคาดวาจะไดรบ............................................................................. 3 1.6 แผนการด าเนนงานด าเนนโครงงาน.…………...………………………………. 4 บทท 2 พนฐานและทฤษฎทเกยวของ………………………………………………………... 6 2.1 ความมนคงปลอดภยสารสนเทศ………………………………………………… 6 2.2 องคประกอบของความมนคงปลอดภยสารสนเทศ……………………………... 6 2.3 ภยคกคาม และชองโหว…………………………………………………………. 7 2.4 มาตรฐานการจดการความมนคงปลอดภยสารสนเทศ…………………………. 9 2.5 กระบวนการ PDCA……………………………………………………………… 9 2.6 การบรหารจดการความเสยงสารสนเทศ………………………………………… 12 บทท 3 การด าเนนงาน…...……………………………………………………………………. 14 3.1 ขนตอนในการด าเนนงาน…………………...…………………………………… 14 บทท 4 ผลการด าเนนงาน…………………………………………………………................. 23 4.1 บทน า……………………………………...……………………………………... 23 4.2 ผลการประเมนความเสยงระบบสารสนเทศกอนการบรหารจดการความเสยง… 23

IV

สารบญ (ตอ)

หนา

4.3 แนวทางการบรหารจดการความเสยง............................................................. 53 4.4 ผลการประเมนความเสยงระบบสารสนเทศหลงการบรหารจดการความเสยง… 82 4.5 นโยบายดานความมนคงปลอดภยระบบสารสนเทศ…………….……………… 111 4.6 เอกาสารมาตรการตามมาตรฐาน ISO 27001 (SOA)………………………….. 115 บทท 5 สรปผลโครงงาน…………………………………………………………………......... 182 5.1 สรปผลการประเมนความเสยงกอนการบรหารจดการความเสยง………………. 182 5.2 สรปผลการประเมนความเสยงหลงการบรหารจดการความเสยง……… ………. 182 5.3 สรปการด าเนนงานในการจดการความเสยง……………………………………. 183 5.4 ขอเสนอแนะ………………………………………………………………………. 184 เอกสารอางอง………………………………………………………………… ……………….. 185

V

สารบญตาราง

หนา

1.1 แผนการด าเนนโครงงาน 1………………....………………………………………… 4 1.2 แผนการด าเนนโครงงาน 2……….…………………………………………………... 5 3.1 แสดงทรพยสนภายในศนยขอมล..........................………………………………….. 16 3.2 เกณฑการประเมนระดบโอกาสทจะเกดความเสยง.………….……………………… 18 3.3 เกณฑการประเมนคาผลกระทบดานการปฏบตการ................................................ 18 3.4 เกณฑการประเมนคาผลกระทบดานกฎหมายและระเบยบขอบงคบขององคกร…… 19 3.5 เกณฑการประเมนคาผลกระทบดานภาพพจนชอเสยงขององคกร.......................... 19 3.6 ระดบของคาความเสยง…………………………….………………………………… 20 4.1 ผลการประเมนความเสยงกอนการบรหารจดการความเสยง……………………….. 24 4.2 สรปผลความเสยงกอนการบรหารจดการความเสยง……….……………………….. 52 4.3 สรปแนวทางจดการความเสยง และผลการบรหารจดการความเสยง………………. 53 4.4 ผลการประเมนความเสยงหลงการบรหารจดการความเสยง…………….…. ……… 82 4.5 สรปผลความเสยงหลงการบรหารจดการความเสยง………………………………… 110 4.6 เอกสารมาตรการตามมาตรฐาน ISO 27001 (SOA)………………………………... 115

VI

สารบญรป

หนา

2.1 องคประกอบของความมนคงปลอดภยสารสนเทศ………………………………………. 7

2.2 วงจรบรหารจดการความมนคงปลอดภยตามกระบวนการ PDCA……………………… 9

3.1 ขนตอนการด าเนนงานโครงงาน…………………………………………………………... 14

1

บทท 1

บทน ำ

1.1 ปญหำและแรงจงใจ

ปจจบนระบบเทคโนโลยสารสนเทศนนไดเขามามบทบาทส าคญในการชวยด าเนน

กจกรรมตางๆ ขององคกร ความกาวหนาของระบบเทคโนโลยสารสนเทศในปจจบนนนมเพม

มากขน แตองคกรสวนใหญมกจะไมไดใหความส าคญในการรกษาความมนคงปลอดภยของ

ระบบเทคโนโลยสารสนเทศ จงมความเสยงทระบบเทคโนโลยสารสนเทศจะถกโจมตจากภย

คกคามในรปแบบตางๆ มากมาย อกทงยงมแนวโนมเพมขนเรอยๆ สงผลใหมความจ าเปนท

จะตองเพมความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศขององคกร เพอปองกนความ

เสยหายทจะเกดขนของระบบเทคโนโลยสารสนเทศ และมนใจไดวาระบบเทคโนโลยสารสนเทศ

ไดรบการคมครองใหมความมนคงปลอดภย

1.2 แนวทำงแกไขปญหำ

องคกรของผจดท าโครงงานเปนสถาบนทด าเนนงานดานงานวจยขนพนฐานดาน

วทยาศาสตร และเทคโนโลยเพอปรบปรงคณภาพชวต และเปนศนยกลางสาหรบการศกษา และ

พฒนาบคลากรใหมศกยภาพสงในดานวทยาศาสตรและเทคโนโลย อกทงยงเปนศนยกลางใน

การรวบรวมนกวทยาศาสตรทงในประเทศ และตางประเทศเพอสงเสรมการแลกเปลยนขอมล

หารอ และแกไขปญหาทเกดขนใหม ดานวทยาศาสตร โดยไดรบการสนบงบประมาณจากทาง

ภาครฐ และไดมการน าเอาระบบเทคโนโลยสารสนเทศเขามาสนบสนนเพอเพมประสทธภาพใน

การท างานของบคคลากร และเจาหนาท ซงปจจบนยงไมมนโยบายดานความมนคงปลอดภย

และแนวทางปฏบตทดในการบรหารจดการดานความมนคงปลอดภยของระบบเทคโนโลย

สารสนเทศ ซงอาจจะกอใหเกดความเสยงทจะท าใหระบบเทคโนโลยสารสนเทศไมสามารถ

ใหบรการได หรอมความผดพลาดในการใหบรการ สงผลใหการด าเนนกจกรรมทางดานระบบ

เทคโนโลยสารสนเทศไมสามารถด าเนนไดอยางตอเนอง และไมมประสทธภาพ รวมถงไมม

ความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ จงจ าเปนอยางยงทจะตองมนโยบายความ

มนคงปลอดภยเทคโนโลยสารสนเทศ และแนวทางปฏบตทดในการบรหารจดระบบเทคโนโลย

สารสนเทศ และเพอใหสอดคลองกบมาตรฐานสากลภายใตมาตรฐานดานความมนคงปลอดภย

สารสนเทศ ISO/IEC 27001:2005

2

1.3 วตถประสงคของโครงงำน

1.3.1 เพอปรบปรงระบบเทคโนโลยสารเสนทศขององคกรใหสอดคลองกบ

มาตรฐานสากล ISO/IEC 27001:2005

1.3.2 เพอระบความเสยงรวมถงการวเคราะห ประเมนความเสยง และภยคกคามท

กอใหเกดความเสยง รวมถงเพอใหทราบถงผลกระทบ ความรนแรงของผลกระทบทจะ

เกดกบระบบเทคโนโลยสารสนเทศ

1.3.3 เพอหาวธการจดการความเสยงทมของระบบเทคโนโลยสารสนเทศ และการ

บรรเทาความเสยงของระบบสารสนเทศใหมระบบความเสยงทผบรหารองคกรสามารถ

ยอมรบความเสยงนนได

1.3.4 เพอสรางนโยบายรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ โดยอางองตามมาตรฐาน ดานความมนคงปลอดภยสารสนเทศ ISO/IEC 27001:2005 เสนอใหกบผบรหารองคกรในการใชเปนแนวทางในการปฏบตงานทดของผดแลระบบและผทใชระบบเทคโนโลยสารสนเทศภายในองคกร

1.3.5 เพอพฒนาระบบสารสนเทศขององคกรใหมความมนคงปลอดภย รวมทงสราง

ความนาเชอถอ และความพรอมใชงานเสมอในการใหบรการแกบคลากร และเจาหนาท

ขององคกรทใชงานระบบเทคโนโลยสารสนเทศ

1.4 ขอบเขตของโครงงำน

1.4.1 ขอบเขตของโครงงาน 1

1.4.1.1 ศกษาคนควา และรวบรวมขอมลในการรกษาความมนคงปลอดภย

ระบบสารสนเทศของมาตรฐานสากล ISO/IEC 27001:2005 และก าหนด

ขอบเขตในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ

1.4.1.2 ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยของระบบ

เทคโนโลยสารสนเทศขององคกร

1.4.1.3 ก าหนดวธการประเมนความเสยง และท าการวเคราะห ประเมนความ

เสยงระบบเทคโนโลยสารสนเทศขององคกร

3

1.4.1.4 หาแนวทางในการจดการความเสยง เพอลดความเสยงของระบบเทคโนโลยสารสนเทศขององคกร

1.4.2 ขอบเขตของโครงงาน 2

1.4.2.1 ด าเนนการจดการความเสยงตามแนวทางในการจดการความเสยง

1.4.2.2 วเคราะห และประเมนความเสยงหลงการจดการความเสยง 1.4.2.3 จดท านโยบายดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ 1.4.2.4 จดท าเอกสารรายการควบคม Statement of Applicability (SOA)

1.5 ประโยชนทคำดวำจะไดรบ

1.5.1 มนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศเพอ

ใชเปนแนวทางในการปฏบตตาม

1.5.2 ท าใหสามารถทราบถงความเสยงทจะกอใหเกดผลกระทบขนกบระบบเทคโนโลย

สารสนเทศขององคกร

1.5.3 สามารถลดและปองกนความเสยงทจะเกดขน ทจะสงผลกระทบกบการด าเนนงาน

ขององคกร ท าใหระบบสารสนเทศขององคกรมความมนคงปลอดภยมากขน

1.5.4ท าใหมการบรหารจดการระบบเทคโนโลยสารสนเทศเปนมาตรฐานสากลในการควบคมดแล รกษา และการพฒนาระบบเทคโนโลยสารสนเทศ

1.5.5 ท าใหระบบเทคโนโลยสารสนเทศขององคกรมความนาเชอถอ และสรางภาพลกษณทดใหกบองคกร

4

1.6 แผนกำรด ำเนนงำนโครงงำน

1.6.1 แผนการด าเนนโครงงาน 1

ตารางท 1.1 แผนการด าเนนโครงงาน 1

การด าเนนงาน

มถนายน กรกฎาคม สงหาคม กนยายน ตลาคม

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1.ศกษาคนควารวบรวมขอมลการรกษาความมนคงปลอดภยสารสนเทศมาตรฐาน ISO/IEC27001:2005

2. ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศขององคกร

3. ก าหนดวธการประเมนความเสยง และท าการวเคราะห ประเมนความเสยงระบบเทคโนโลยสารสนเทศขององคกร

4. หาแนวทางในการบรหารจดการความเสยง เพอลดความเสยงของระบบเทคโนโลยสารสนเทศขององคกร

5

1.6.2 แผนการด าเนนโครงงาน 2

ตารางท 1.2 แผนการด าเนนโครงงาน 2


พฤศจกายน ธนวาคม มกราคม กมภาพนธ มนาคม

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

1. ด าเนนการบรหารจดการความเสยงตามแนวทางในการจดการความเสยง

2.ประเมนความเสยงหลงการบรหารจดการความเสยง

3. จดท านโยบายดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ

4. จดท าเอกสารรายการควบคม Statement of Applicability (SOA)

5. สรป และจดท ารายงานโครงงาน

6

บทท 2

พนฐานและทฤษฏทเกยวของ

2.1 ความมนคงปลอดภยสารสนเทศ (Information Security)

สารสนเทศถอเปนทรพยสนทมคาตอองคกรไมแพทรพยสนประเภทอนซงเปนองคประกอบทส าคญในการด าเนนกจการขององคกร ทกองคกรทใชสารสนเทศยอมมขอมลสารสนเทศทเกบสะสมไว เปนองคความร ขอมลในการบรการ ขอมลลกคา และอนๆ สารสนเทศเหลานเปนสงทองคกรสงสมมาจากการด าเนนกจการ การลงมอปฏบตจรง การแสวงหามา หากสารสนเทศเหลานสญหายอาจไมสามารถมาทดแทนไดเหมอนกบทรพยสนอนๆ องคกรจงตองมระบบการดและปกปองสารสนเทศใหมความมนคงปลอดภย เพอปองกนการลวงละเมดหรอการบกรก ขโมยขอมล การท าใหเกดความเสยหายตอระบบสารสนเทศ องคการจงควรใหความส าคญตอการปองกนสารสนเทศใหมความมนคงปลอดภย

2.2 องคประกอบของความมนคงปลอดภยสารสนเทศ [1]

ความมนคงปลอดภยของสารสนเทศมองคประกอบ 3 ประการ ไดแก

การรกษาความลบ (Confidentiality)

ความถกตองสมบรณ (Integrity)

ความพรอมใชงาน (Availability)

7

รปท 2.1 แสดงองคประกอบของความมนคงปลอดภยสารสนเทศ [1]

2.2.1 การรกษาความลบ (Confidentiality) หมายถงการท ไมเปดเผยขอมลโดยไมไดรบอนญาต ผใชงานเขาถงขอมลไดตามสทธทก าหนด (Authorization) การไมรกษาความลบ เชนการเขาถงขอมลโดยไมไดรบอนญาต หรอการทระบบไมสามารถทจะตรวจสอบไดวามใครเขาถงขอมลหรอระบบไปแลวบาง

2.2.2 ความถกตองสมบรณ (Integrity) ความมนคงของสารสนเทศ คอความถกตองและความครบถวน โดยความสมบรณซงม 2 องคประกอบคอ ความสมบรณของขอมล (Data Integrity) และความสมบรณของระบบ (System Integrity) ความสมบรณของขอมลหมายถง ระบบสารสนเทศ และโปรแกรมการใชงานไมมการเปลยนแปลโดยไมไดรบอนญาต ความสมบรณของระบบ หมายถงการทระบบไมมการเปลยนแปลงใดๆ โดยไมไดรบอนญาต สวนเหตทท าใหไมมความคงสภาพ เชน การเขาถงเครอขายไดโดยไมไดรบอนญาต, การแกไขเปลยนแปลงหรอลบขอมลโดยไมสามารถตรวจสอบไดวาผใดกระท าการ

2.2.3 ความพรอมใชงาน (Availability) หมายถงระบบเทคโนโลยสารสนเทศนน อยในสภาพพรอมทใหบรการอยเสมอตลอดเวลา ถงแมระบบจะมชวงการหยดใหบรการตามก าหนดการ (Planned Downtime) กสามารถยอมรบได เชน การหยดใหบรการเพอปรบปรงรกษาระบบ แตไมนบการหยดใหบรการโดยไมมการวางแผนลวงหนา (Unplanned Downtime) ซงเปนผลมาจากผดพลาดขององคประกอบตางๆ ในระบบ เชน การทระบบเครอขายหยดการท างานเพราะการคบคงในระบบเครอขาย ระบบเครองแมขายไมท างานเพราะฮารดแวร หรอซอฟตแวรท างานผดปกต หรออาจจะโดนโปรแกรมทไมพงประสงคโจมตกเปนได

8

2.3 ภยคกคาม และชองโหว (Threat and vulnerability)

2.3.1 ภยคกคาม (Threat) ภยคกคาม คอ วตถ สงของ ตวบคคล หรอสงอนใดทเปนตวแทนของสรางความเสยหายตอทรพยสนขององคกร ไมวาจะเปนในเรอของขอมล กระบวนการท างาน หรอระบบเทคโนโลยสารสนเทศตางๆ ขององคกร ซงภยคกคามนนอาจจะเกดขนจากการเจตนา หรอไมไดเจตนา เชน ภยคกคามจากธรรมชาต หรออาจจะรวมถงผใชงานเองภายในองคกรกเปนได แตไมวาจะเปนแบบใด แหลงทมาของภยคกคามทกอยางจะตองมการระบขอมลและจดหมวดหมเอาไวดวย เชน ภยคกคามทเกดจากผทไมไดรบอนญาต ภยคกคามจากความเสยหายดานกายภาพ เปนตน

2.3.2 ชองโหว เปนชองทางทดทใชในการโจมต ซงอาจมอยในระบบคอมพวเตอร และเครอขาย โดยทผไมประสงคดสามารถใชประโยชนจากจดออนเหลานเปนชองทางในการโจมตได ซงชองโหวตางๆ นนมระดบความยากงายตอการโจมตตางกน ซงผไมประสงคดอาจจะตองใชความช านาญมากขนในการโจมตจดออนทมระดบความยากตอโจมตสง หรออาจตองใชทรพยากรจ านวนมากในการโจมตผานชองทางนน ทงนหากชองโหวนนๆ มผลตอขอมลทไมส าคญมากนก กถอวาเปนจดออนทมอนตรายระดบต าได เชนกน

ชองโหว อาจไมไดอยในระบบคอมพวเตอรหรอเครอขายเทานน แตยงรวมถงดานทเปนทางกายภาพอนๆ ดวย เชน สถานท โครงสรางองคกร บคลากร และขอมลหรอทรพยสนอนๆ ทไมไดอยในรปแบบอเลกทรอนกส กเปนได

2.4 มาตรฐานการจดการความมนคงปลอดภยของสารสนเทศ [1]

ISO/IEC 27001:2005 มาตรฐานระบบการจดการความมนคงปลอดภยของสารสนเทศ ไดพฒนามาจากมาตรฐาน BS7799 British standard ประกาศใชในป ค.ศ. 1995 ตอมาไดมการทบทวนมาตรฐานโดยเปดรบความคดเหนจากผทสนใจ จากนกวชากร และไดปรบปรงมาเปนมาตรฐาน BS7799 Part 1 (Code of practice for information security management) และไดเพมมาตรฐาน BS7799 Part 2 (Specification for information security management system : ISMS) ซงไดมองคกรตางๆในหลายประเทศน ามาตรฐาน BS7799 Part 1 และ BS7799 Part 2 ไปประยกตใชกนอยางแพรหลาย จนมาถงป ค.ศ. 2000 มการปรบปรงมาตรฐาน BS7799 Part1 มาเปน ISO/IEC 17799 : 2000 และในป ค.ศ. 2005 ไดมการพฒนามาตรฐาน BS7799 Part 2 มาเปน ISO/IEC 27001 : 2005 และไดปรบปรงมาตรฐาน ISO/IEC 1779 : 2000 ใหมและเปลยนเวอรชนเปน ISO/IEC 17799 : 2005 และภายหลงไดเปลยนชอเปน ISO/IEC 27002

9

มาตรฐาน ISO/IEC 27001:2005 เปนมาตรฐานทมงเนนในการบรหารจดการความมนคงปลอดภยใหระบบสารสนเทศ Information Security Management System (ISMS) เปนมาตรฐานทปกปองทรพยสนสารสนเทศ เปนระบบบรหารจดการทมพนฐานจากการประเมนความเสยง และใชเปนมาตรฐานอางองเพอเปนแนวทางปฏบตทด ในการเสรมสรางความมนคงปลอดภยใหกบระบบเทคโนโลยสารสนเทศขององคกร และทส าคญยงเปนระบบทมความยดหยนสง เนองจากขอก าหนดของมาตรฐานนนไมไดเจาะจงเทคโนโลยทจะท ามาประยกตใช โดยทองคกรสามารถเลอกใชเทคโนโลยไดตามความเหมาะสม เพอใหองคกรไดบรรลวตถประสงคทไดก าหนดไว มาตรฐาน ISO/IEC 27001 ไดใชแนวทางในการบรหารใหเกดความมนคงปลอดภย ผานกระบวนการ PDCA (Plan Do Check Act )

2.5 กระบวนการ PDCA (Plan, Do, Check, Act)

ขอก าหนดหลกในมาตรฐาน ISO/IEC 27001:2005 ประกอบไปดวยวงจรบรหารจดการความมนคงปลอดภยตามกระบวนการ PDCA (Plan, Do, Check, Act ) และใชแนวทางการประเมนความเสยงมาประกอบการพจารณาหาวธการหรอมาตรการเพอปองกน และลดความเสยง รวมถงการรกษาทรพยสนสารสนเทศทมคาขององคกรใหมความมนคงปลอดภย

รปท 2.2 แสดงวงจรบรหารจดการความมนคงปลอดภยตามกระบวนการ PDCA [3]

10

การวางแผน Plan (Establish the ISMS)

การก าหนดขอบเขต และนโยบายดานความมนคงปลอดภยเทคโนโลยสารสนเทศ การจดท านโยบายความมนคงปลอดภยทมวตถประสงค เปาหมาย และด าเนนการบรหารจดการกบความเสยง เพอใหระบความเสยงทองคกรมอย และด าเนนการพจารณาจดการความเสยงนน รวมถงระบความเสยงทมอย ใหอยระดบองคกรสามารถทจะยอมรบได

การปฏบตและด าเนนการ DO (Implement and operate the ISMS)

ลงมอปฏบตและด าเนนการตามนโยบายดานความมนคงปลอดภยเทคโนโลยสารสนเทศ และด าเนนการการจดการความเสยงตามแนวทางทไดวางแผนไว รวมถงการสรางความส าคญในการปฏบตตามแนวทางจดการความเสยง เพอใหการด าเนนการจดการความเสยงนนด าเนนเปนไปอยางมประสทธภาพ

เฝาระวงและทบทวน Check (Monitor and review the ISMS)

การเฝาระวงแนวทางบรหารจดการความเสยง และการประเมนถงประสทธภาพในการจดการความเสยงเพอใหทราบถงขอมลทเปนประโยชนในการน าไปปรบปรงคณภาพของการด าเนนการ และการประเมนความเสยงซ า การตรวจสอบกระบวนการตามระยะเวลาทเหมาะสม โดยใหสอดคลองกบการเปลยนแปลงทส าคญของระบบเทคโนโลยสารสนเทศขององคกร หรอการเปลยนแปลงองคกร

การปรบปรงแกไข Act (Maintain and improve the ISMS)

เปนการปรบปรงและพฒนาระบบบรหารจดการความมนคงปลอดภยสารสนเทศใหมการพฒนาทดข นอยางตอเนอง ตอไป

การจดท าระบบ ISMS (Establish ISMS) ของเอกสาร ISO/IEC 27001:2005 ในขอ 4.2.1 มขอก าหนดตามขนตอนดงน

a) ก าหนด scope และ ขอบเขตการจดท าระบบ ISMS b) ก าหนด ISMS Policy c) ก าหนด รปแบบการประเมนความเสยง d) ก าหนดความเสยง จากทรพยสนในขอบเขตทจดท าระบบ ISMS e) วเคราะห และ ประเมนความเสยง f) ก าหนดและประเมน วธการเพอลดความเสยง

11

g) เลอกรายการควบคม เพอมาจดการความเสยง หรอลดความเสยง h) ยอมรบความเสยงทเหลออยโดยผบรหาร i) ไดรบความเหนชอบจากผบรหารใหประยกตใชระบบ j) จดท าเอกสาร Statement of Applicable (SOA)

มาตรฐาน ISO/IEC 27001:2005 ในสวนของ (Annex A) ไดก าหนดขอก าหนด รายการควบคมการบรหารจดการดานความมนคงปลอดภยสารสนเทศ โดยแบงเปนหวขอหลกทเกยวของกบระบบการบรหารจดการดานความมนคงปลอดภยสารสนเทศ และแนวทางในการปฏบต โดยหวขอทส าคญหรอ 11 โดเมน (Domain) หลก ในมาตรฐาน ISO/IEC 27001:2005 มดงน [2]

1) A.5 นโยบายความมนคงปลอดภย (Security policy)

2) A.6 โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of

information security)

3) A7 การบรหารจดการทรพยสนขององคกร (Asset management)

4) A.8 ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)

5) A9. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and

environmental security)

6) A10. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศของ

องคกร (Communications and operations management)

7) A.11 การควบคมการเขาถง (Access control)

8) A.12 การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information systems

acquisition, development and maintenance)

9) A.13 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

(Information security incident management)

10) A.14 การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity

management)

11) A.15 การปฏบตตามขอก าหนด (Compliance)

12

2.6 การบรหารจดการความเสยงสารสนเทศ [4]

องคกรสวนใหญจะไมคอยไดใหความส าคญหรออาจจะไมไดมความเขาใจในการบรหารจดการความเสยง เมอเกดเหตการณทท าใหเกดความเสยหายตอองคกร จงจะหนมาใหความส าคญในการหาแนวทางการปองกน ซงการน ามาตรการในการบรหารจดการความเสยงมาใช จะชวยลดความเสยหายทจะเกดขน และเพอเตรยมการปองกนกอนทเหตการณทจะกอใหเกดความเสยหายนนเกดขน

ความเสยง (Risk)

ความเสยง หมายถง ความเปนไปไดในการเกดเหตการณใดๆ ทอาจจะเกดขน รวมถงผลกระทบทเกดตามมาเมอเหตการณนนเกดขนจรง เชน ความเสยงดานภยคกคามทสามารถโจมตระบบเทคโนโลยสารสนเทศผานทางชองโหวหรอขอบกพรองของระบบ แลวสามารถท าใหเกดความเสยหายตอระบบเทคโนโลยสารสนเทศขององคกรได จากเหตการณทสงผลกระทางดานความมนคงปลอดภยเทคโนโลยสารสนเทศนนอาจจะเกดขนภายใตสถานการณทไมแนนอนหรออาจมมลคาเปนตวเงนหรอไมกได หรออาจเปนผลกระทบทางบวกดวยกได โดยวดจากผลกระทบ (Impact) ทไดรบ และโอกาสทจะเกด (Likelihood) ของเหตการณ

การประเมนความเสยง (Risk Assessment)

การประเมนความเสยงจ าเปนทจะตองเขาใจจดออน (Vulnerability) และภยคกคาม (Threat) ขององคกรกอน เมอรวมจดออน และภยคกคามเขาดวยกนกจะกลายเปนความเสยง ดงนนถาองคไมมจดออนหรอไมมภยคกคามกจะไมมความเสยง การประเมนความเสยงเปนแนวทางหนงในการหาจดออนและภยคกคามรวมถงขอบกพรองขององคกร เพอใหทราบถงระดบความเสยงทอาจจะเกดขนกบความมนคงปลอดภยเทคโนโลยสารสนเทศขององคกร โดยสวนหนงจะตองอาศยความรวมมอจากทกฝายในการด าเนนการ เพอใหผลการประเมนความเสยงนนเปนไปอยางมประสทธภาพ ประเมนความเสยงคอกระบวนการะบความเสยง การวเคราะหความเสยง และจดล าดบความเสยง โดยการประเมนจากโอกาสทจะเกด (Likelihood) และผลกระทบ (Impact) เมอท าการประเมนแลว ท าใหทราบระดบของความเสยงนน

การบรหารความเสยง (Risk Management)

การบรหารความเสยง หมายถง กระบวนการส าหรบใชในการบรหารจดการ ใหมโอกาส ทจะเกดเหตการณความเสยงนนลดลง รวมถงผลกระทบของความเสยหายจากเหตการณความเสยงลดลงอยในระดบทองคกรสามารถยอมรบได โดยการจดการความเสยง สามารถแบงไดเปน 4 แนวทางหลก คอการยอมรบ การลด/ควบคม การยกเลก และการโอนยายหรอแบงความเสยง

13

การควบคม แกไขความเสยง (Risk Treatment)

การควบคมและแกไขความเสยง อาจจะแบงไดเปน 4 แนวทางหลก ดงน

1) การลดความเสยง (Risk Reduction) คอ การพจารณาหาวธในการควบคม หรอแกไขความเสยงใหลดลงมาอยในระดบทองคกรสามารถยอมรบได ซงสามารถใชรายการควบคมของมาตรฐาน ISO/IEC 27001 ในการควบคมหรอลดความเสยง

2) การยอมรบความเสยง (Risk Acceptance) คอ การทองคกรพจารณาแลวพบวา การด าเนนการแกไข ควบคมความเสยง นน ไมเหมาะสม ไมสามารถกระท าไดในทางปฏบต หรอ ไมคมคา เชน คาใชจายในการด าเนนการแกไขหรอควบคมนน มมลคา สงกวามลคาของขอมล และทรพยสนทจะท าการปกปอง ทงน ขนอยกบดลยพนจของผบรหารองคกร

3) การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยการยกเลกกระบวนการท างาน หรอทรพยสน ทกอใหเกดความเสยงขน ซงมกจะกระท าเมอการแกไขความเสยงดวยวธการอนนน ไมคมกบผลประโยชนทได

4) การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหผอนรบผดชอบแทน เชน การใหหนวยงานภายนอกด าเนนการ หรอ การซอประกนภย เปนตน

14

บทท 3


3.1 ขนตอนในการด าเนนงาน

วธการด าเนนงาน เพอใหทราบถงวธการ และขนตอนการด าเนนงานของ

โครงงาน โดยผจดท าโครงงานไดน าเอามาตรฐาน ISO/IEC 27001:2005 Information

security management System โดยระบถงแนวทางในการปฏบตทควรด าเนนการ

เพอใหไดมาซงความมนคงปลอดภยของสารสนเทศ โดยน ามาประยกตใชในเรองของ

การประเมนความเสยง หลกการควบคมความปลอดภย และวธการจดการความเสยง

โดยวธการ และขนตอนการด าเนนงานของโครงงานมรายละเอยด ดงน

รปท 3.1 แสดงขนตอนการด าเนนงานโครงงาน

ศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร

ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยสารสนเทศ

การประเมนความเสยงเทคโนโลยสารสนเทศตามขอบเขตทก าหนด

สรปผลการประเมนความเสยงและก าหนดแนวทางในการบรหารจดการความเสยง

ประเมนความเสยงหลงการบรหารจดการความเสยง

15

3.2 ศกษาองคกรและระบบสารสนเทศขององคกร

ศกษาองคกร และระบบเทคโนโลยสารสนเทศขององคกร โดยผจดท าโครงงานไดศกษาขอมลพนฐานขององคกร เปาหมายขององคกร เพอทจะก าหนดขอบเขตในด าเนนการดานความมนคงปลอดภยสารสนเทศ และการจดท านโยบายการรกษาความมนคงปลอดภยสารสนเทศใหมความเหมาะสมกบลกษณะขององคกร

องคกรของผจดท าโครงงานเปนสถาบนทดาเนนงานดานงานวจยขนพนฐานดานวทยาศาสตร และเทคโนโลยเพอปรบปรงคณภาพชวตของประชากรในประเทศ ซงเปนองคกรทไมแสวงหาผลก าไร มการน าเอาระบบเทคโนโลยสารสนเทศเขามาสนบสนนเพอเพมประสทธภาพในการท างานของบคคลากร และเจาหนาท ปจจบนพบวามการใหความส าคญของการรกษาความมนคงปลอดภยของเทคโนโลยสารสนเทศเพมมากขน แตยงไมมนโยบายดานความมนคงปลอดภยดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ทเปนลายลกอกษร ดงนนผจดท าโครงงานจงไดเสนอการเขยนนโยบายดายความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศอยางสน เพอใหเขาใจงาย และมการน าเอานโยบายไปพฒนาตอเพอใหสอดคลองกบการปฏบต โดยจะท านโยบายหลงจากการประเมนความเสยงแลว

3.3 ก าหนดขอบเขตในการด าเนนการดานความมนคงปลอดภยสารสนเทศ

การก าหนดขอบเขตในการดแลดานความมนคงปลอดภยในการใชงานเทคโนโลยสารสนเทศ โดยผจดท าโครงงานไดก าหนดขอบเขตในการดและเฉพาะศนยขอมล (Data Center) ขององคการผจดท าโครงการ ซงเปนศนยขอมล (Data Center) ทใหบรการดานเทคโนโลยสารสนเทศทงหมดขององคกร ดงนนในการก าหนดนโยบายดานความมนคงปลอดภยสารสนเทศ จะมผลบงคบใชกบบคลากร และเจาหนาท ทจะตองใชงานระบบเทคโนโลยสารสนเทศขององคกร โดยมทรพยสนภายในศนยขอมล (Data Center) ขององคกร แบงตามประเภทของทรพยสน 5 ประเภท ดงตอไปน

16

ตารางท 3.1 ตารางแสดงทรพยสนภายในศนยขอมล (Data Center)

ล าดบ ประเภททรพยสน รายการทรพยสน

1 Hardware Router 2 Firewall 3 Core Switch 1 4 Core Switch 2 5 DMZ Switch 1 6 DMZ Switch 2 7 Wireless LAN Controller 8 Wireless LAN Switch 9 Proxy 10 Virtualization Server 1 11 Virtualization Server 2 12 Virtualization Server 3 13 Mail Server 14 Mail Gateway 15 Storage 16 DNS Server 17 UPS 15 KVA 18 Air Conditioning 19 Fire Protection 20 Software Windows Server 2008 R2 SP1 21 Windows Server 2012 R2 22 Linux CentOS 6 23 Linux Ubuntu 12.04 24 ESET Nod32 Antivirus 25 Software Web Server 26 Software Mail Server 27 Virtual Machine ระบบ DHCP 28 Virtual Machine ระบบ LDAP 29 Virtual Machine ระบบ NTP 30 Virtual Machine ระบบใบแจงเงนเดอน

17

3.4 การประเมนความเสยงเทคโนโลยสารสนเทศ

การประเมนความเสยงผจดท าโครงงานไดเกบขอมลจากเหตการณทเคยเกดขนในอดต และการสมภาษณหวหนางานสารสนเทศ รวมถงผปฏบตงานทเกยวของ เพอท าการก าหนดปจจยเสยงทจะท าใหเกดภยคกคาม และท าใหเกดผลกระทบโดยพจารณาผลกระทบทท าใหเกดความเสยหายทระบไดดงน

ท าใหสญเสยความลบของทรพยสน

ท าใหสญเสยความครบถวนถกตองของทรพยสน

ท าใหสญเสยความพรอมใชของทรพยสน

ท าใหเกดผลกระทบดานการปฏบตการขององคกร

ท าใหเกดผลกระทบดานกฎหมาย และระเบยบขอบงคบขององคกร

ท าใหเกดผลกระทบดานภาพพจนชอเสยงขององคกร

การระบความเสยงโดยการระบทรพยสน (Assets Identification) สารสนเทศในศนยขอมล (Data Center) ออกเปน 5 ประเภท ไดแก ฮารดแวร (Hardware) ซอฟตแวร (Software) สารสนเทศ(Information) พนกงาน (Human) และบรการ (Service)

ล าดบ ประเภททรพยสน รายการทรพยสน

31 Virtual Machine ระบบเวบไซตองคกร 32 Virtual Machine ระบบเวบไซตอนทราเนต 33 Virtual Machine ระบบจองเครองมอวทยาศาสตร 34 Virtual Machine ระบบ VPN 35 Information ขอมลระบบอเมล 36 ขอมลเวบไซตองคกร 37 ขอมลเวบไซตอนทราเนต 38 เอกสารของฝายระบบคอมพวเตอรและเครอขาย 39 Human เจาหนาทดแลระบบ 40 ผใชงานทวไป 41 Service ผใหบรการ Internet

18

การก าหนดเกณฑในการประเมนความเสยง ไดแก ระดบของโอกาสทจะเกด

(Likelihood) ระดบของผลกระทบ (Impact) และและระดบของความเสยง (Degree of Risk) โดย

หวหนาสารสนเทศ และเจาหนาททเกยวของไดรวมกนก าหนดก าหนดเกณฑในการประเมน

ความเสยงขององคกร และไดรบการเหนชอบจากผบรหารสารสนเทศแลว

เกณฑทใชในการประเมนโอกาสทจะเกด แบงเปน 5 ระดบ ดงน

ตารางท 3.2 เกณฑการประเมนระดบโอกาสทจะเกดความเสยง

เกณฑทใชในการประเมนความรนแรงของผลกระทบ โดยแบงความรนแรงของ

ผลกระทบเปน 5 ระดบ ไดแก สงมาก (5) สง (4) ปานกลาง (3) นอย (2) และนอยทสด (1) โดย

การยดผลกระทบหลก 3 ดาน ตามบรบทและความเหมาะสมขององคกร ไดแก ดานการ

ปฏบตการขององคกร ดานกฎหมายและระเบยบขอบงคบขององคกร และดานภาพพจนชอเสยง

ขององคกร

ตารางท 3.3 เกณฑการประเมนคาผลกระทบดานการปฏบตการ (O)

ระดบ ค าอธบาย

สงมาก (5) มโอกาสเกดขนเปนประจ า เชน เกดขนทกวน เปนตน สง (4) มโอกาสเกดขนสงหรอบอย เชน เกดขนทกสปดาห เปนตน ปานกลาง (3) มโอกาสเกดขนบางครง เชน เกดขนทกเดอน เปนตน นอย (2) มโอกาสเกดขนนอย เชน เกดขนทกป เปนตน นอยทสด (1) ไมเคยเกดขนหรอแทบไมมโอกาสเกดขน


สงมาก (5) กระทบตอการปฏบตงานทวทงองคกร สง (4) กระทบตอการปฏบตงานทงส านกงาน ปานกลาง (3) กระทบตอการปฏบตงานทง ฝาย หรอ หองปฏบตการ นอย (2) กระทบตอการปฏบตงานของผใชงานรายบคคล นอยทสด (1) ไมกระทบตอการปฏบตงาน

19

ตารางท 3.4 เกณฑการประเมนคาผลกระทบดานกฎหมายและระเบยบขอบงคบขององคกร (L)

ตารางท 3.5 เกณฑการประเมนคาผลกระทบดานภาพพจนชอเสยงขององคกร (R)

ก าหนดระดบคาความเสยง การค านวณคาความเสยงโดยการน าเอา ระดบโอกาสทจะ

เกดคนกบระดบผลกระทบ ระดบความเสยง (Risk Value) = ระดบโอกาสทเกด (likelihood) ×

ระดบของผลกระทบ (Impact) โดยมการก าหนดเกณฑของคาความเสยงเปนระดบทแตกตางกน

ไว 3 ระดบ ดงน

ระดบความเสยง 1 – 8 ต า (Low)

ระดบความเสยง 9 – 15 กลาง (Medium)

ระดบความเสยง 16 – 25 สง (High)


สงมาก (5) ขดตอกฎหมาย พระราชบญญตทเกยวของ สง (4) ขดตอระเบยบ ขององคกร ปานกลาง (3) ขดตอระเบยบ ของส านกงาน นอย (2) ขดตอระเบยบ ของฝาย หรอ หองปฏบตการ นอยทสด (1) ไมกระทบตอกฎหมาย ระเบยบ และขอบงคบทเกยวของ


สงมาก (5) กระทบชอเสยงขององคกรอยางรนแรง ท าใหเกดการตอตานรนแรงจากสารธารณะ เชน การประทวง

สง (4) กระทบชอเสยงขององคกรอยางมาก ท าใหเกดความไมพอใจอยางมากจากสารธารณะ เชน การแสดงความคดเหนคดคานผานทางสอตางๆ

ปานกลาง (3) กระทบชอเสยงขององคกรปานกลาง ท าใหเกดความไมพอใจจากสารธารณะ และพนกงานเจาหนาท เชนการเขยนวจารณ

นอย (2) กระทบชอเสยงขององคกรนอย นอยทสด (1) กระทบชอเสยงขององคกรนอยมาก หรอ ไมกระทบ

20

ตารางท 3.6 ตารางระดบของคาความเสยง

เมอไดคาระดบคาของความเสยงแลว น ามาจดล าดบระดบความเสยงเพอใชในการจดการความ

เสยง ความเสยงทมเกณฑสงสดจะตองด าเนนการจดการความเสยงนนกอน

3.5 สรปผลการประเมนความเสยงและก าหนดแนวทางในการจดการความเสยง

การก าหนดแนวทางจดการความเสยง โดยน าเอาผลสรปทไดจากการประเมนความ

เสยงน ามาหาแนวทางในการจดการความเสยงตามหลกการควบคมความมนคงปลอดภยของ

สารสนเทศตามมาตรฐาน ISO/IEC 27001:2005 ในสวนของ Annex A เพอใหความเสยงลดลง

โดยทจะด าเนนการจดการความเสยงตามความเหมาะสมขององคกร และความคมคาในการ

จดการความเสยงนน

สงมาก (5)

5 10 15 20 25

สง (4)

4 8 12 16 20

ปานกลาง (3)

3 6 9 12 15

นอย (2)

2 4 6 8 10

นอยมาก (1)

1 2 3 4 5

ผลกระทบ / โอกาสทจะเกด

นอยมาก (1)

นอย (2)

ปานกลาง (3)

สง (4)

สงมาก (5)

21

3.6 รายการควบคมความมนคงปลอดภยสารสนเทศ (Control Checklist) ของ

ISO/IEC27001:2005

รายการควบคมความมนคงปลอดภยสารสนเทศ (Control Checklist) ของ

ISO/IEC27001:2005 มทงหมด 11 หวขอทส าคญ โดยเรมตงแต A.5 ถง A.15 ดงน

1) A.5 นโยบายความมนคงปลอดภย (Security policy)

2) A.6 โครงสรางทางดานความมนคงปลอดภยส าหรบองคกร (Organization of

information security)

3) A7 การบรหารจดการทรพยสนขององคกร (Asset management)

4) A.8 ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)

5) A9. การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and

environmental security)

6) A10. การบรหารจดการดานการสอสารและการด าเนนงานของเครอขายสารสนเทศ

ขององคกร (Communications and operations management)

7) A.11 การควบคมการเขาถง (Access control)

8) A.12 การจดหา การพฒนา และการบ ารงรกษาระบบสารสนเทศ (Information

systems acquisition, development and maintenance)

9) A.13 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร

(Information security incident management)

10) A.14 การบรหารความตอเนองในการด าเนนงานขององคกร (Business continuity

management)

11) A.15 การปฏบตตามขอก าหนด (Compliance)

22

3.7 การประเมนความเสยงหลงการจดการความเสยง

การประเมนความเสยงหลงการจดการความเสยง เพอตรวจสอบผลการจดการความ

เสยงทไดด าเนนการปฏบตตามแนวทางจดการความเสยงและหลกการควบคมความมนคง

ปลอดภยของสารสนเทศแลว ความเสยงของระบบเทคโนโลยสารสนเทศขององคกรมระดบของ

ความเสยงลดลงมาหรอมการบรหารจดการทด และความเสยงลดลงตามทองคการยอมรบได

หรอไม และถาองคกรยงไมสามารถยอมรบความเสยงนนได จะตองมการทบทวนแนวทางการ

จดการความเสยงนนอกครง และหาวธการจดการความเสยงใหเหมาะสม เพอใหการจดการ

ความเสยงไดผลมากทสด

3.8 สรปทายบท

จากขนตอนการด าเนนการทไดกลาวมาขนตนนน ท าใหทราบถงวธการและขนตอนใน

การด าเนนงานตามแผนงาน และวตถประสงค เพอท าใหเกดแนวทางการปฏบตทดเพอกอให

เกดความมนคงปลอดภยของสารสนเทศขององคกร ซงผลการด าเนนงานจะไดน าเสนอในบท

ตอไป

23

บทท 4

ผลการด าเนนงาน

4.1 บทน า

ผจดท าโครงงานจะน าเสนอผลการด าเนนการ ตามแผนการด าเนนการโครงงานรวมถง

ขนตอนการด าเนนงานทไดก าหนดไวในบทท 3 โดยไดก าหนดขอบเขตในการรกษาความมนคง

ปลอดภยสารสนเทศของศนยขอมล (Data Center) ขององคกร

4.2 ผลการประเมนความเสยงระบบสารสนเทศกอนการบรหารจดการความเสยง

การประเมนความเสยงเทคโนโลยสารสนเทศผจดท าโครงงานไดเกบขอมลจาก

เหตการณทเคยเกดขนในอดต และการสมภาษณหวหนางานสารสนเทศ รวมถงผปฏบตงานท

เกยวของและจะน าหลกการและวธการด าเนนการทไดกลาวไวในบทท 3 และการจดล าดบคา

ความเสยงตามเกณฑทไดก าหนดไวดงตารางท 3.6 ในบทท 3

24

1. ฮารดแวร (Hardware) ตารางท 4.1 ผลการประเมนความเสยงกอนการบรหารจดการความเสยง

ล าดบ รายการ ตรวจสอบ

ความเสยง ผลกระทบ

โอกาส คาความเสยง

รายการควบคม O L R

1 Router อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก

4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4

อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4

อปกรณไมสามารถใหบรการไดเนองจากอปกรณไมมประสทธภาพเพยงพอตอการใชงาน

4

1

2

2

8

10.3.1 Capacity Management

อปกรณไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน

4 1 2 2 8 A 9.2.2 Support Utilities

อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาตเนองใชโปรโตคอลทไมปลอดภยในการเขาถงระบบของอปกรณ

4 1 2 2 8 A.11.5.1 Secure log-on procedures

อปกรณถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ

4 1 2 2 8 A.11.5.5 Session time-out

2 Firewall อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


25





2

Firewall อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8








3 Core Switch 1 และ Core Switch 2

อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก



26







4

1

2

2

8








4 DMZ Switch 1 และ DMZ Switch 2



อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต



4

1

2

2

8


27












5 Wireless LAN Switch





4

1

2

2

8




28










6

Wireless LAN Controller





4

1

2

2

8






29





6 Wireless LAN Controller



7

Proxy อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




4

1

2

2

8








30





8 Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3

เครองแมขายเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4

เครองแมขายไมสามารถใหบรการไดเนองจากเครองแมขายไมมประสทธภาพเพยงพอตอการใชงาน

4

1

2

2

8


เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน


9 Mail Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8


31





9 Mail Server เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน


10

Mail Gateway อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




4

1

2

2

8








32





11 Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




4

1

2

2

8








12 DNS Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


33





12 DNS Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8




13 UPS 15 KVA อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 3 12 A.9.1.2 Physical entry control

14 Air Conditioning อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


อปกรณไมสามารถท างานไดหรอท างานผดพลาดไมสามารถควบคมอณหภมไดเนองจากขาดการซอมบ ารง

4 2 2 4 16 A.9.2.4 Equipment Maintenance

34





15 Fire Protection System



อปกรณไมท างานขณะเกดเหตเพลงไหม 5 5 3 1 5 A.9.2.4 Equipment Maintenance

35

2. ซอฟตแวร (Software) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง





1 Windows Sever 2008 R2 SP1

การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ

4

5

3

1

5

A.8.2.2 Information Security Awareness

ระบบปฏบตการมท างานผดพลาดจากไวรส โทรจน มลแวร เนองจากไมมการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด

4

1

2

3

12

A.10.4.1 Control against malicious code

ระบบปฏบตการมชองโหวในการโจมตเนองจากไมมการอพเดท path security

4

1

2

3

12


ระบบปฏบตการถกสวมสทธเขาใชงานเนองจากไมมการก าหนดการหมดเวลาทไมไดใชงานอปกรณ


ระบบถกเจาะหรอถกโจมตเนองจากขาดการปองกนพอรตทใชส าหรบตรวจสอบและปรบแตง

4 2 2 3 12 A.11.4.4 Remote diagnostic and configuration port protection

36





2 Windows Sever 2012 R2


4

5

3

1

5



4

1

2

3

12



4

1

2

3

12






37





3 Linux CentOS 6 การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ

1

1

1

1

1



4

1

2

2

8



4

1

2

3

12






38





4 Linux Ubuntu 12.04


1

1

1

1

1



4

1

2

2

8



4

1

2

3

12






39





5 NOD32 Antivirus


4

5

3

1

5


ซอฟตแวรไมสามารถปองกนโปรแกรมไมประสงคดเนองจากไมมการอพเดทให signature เปนปจจบน

4

1

1

1

4


6 Software Web Server


1

1

1

1

1


ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเกรดเวอรชนของซอฟตแวร

4

1

2

3

12


ซอฟตแวรท างานผดพลาดเนองจากไมมคมอขนตอนวธการใชงานซอฟตแวร

4

1

2

2

8

A.10.1.1 Documented Operating Procedures

40





7 Software Mail Server


1

1

1

1

1



4

1

2

2

8


ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเดทเวอรชนของซอฟตแวร

4

1

2

2

8







4

1

2

2

8


41





8 Virtual Machine ระบบ DHCP


4

1

2

3

12



4

1

2

3

12







4

1

2

2

8


42





9 Virtual Machine ระบบ LDAP


4

1

2

2

8



4

1

2

3

12







4

1

2

2

8


43





10 Virtual Machine ระบบ NTP


4

1

2

2

8



4

1

2

3

12







4

1

2

2

8


44





11 Virtual Machine ระบบใบแจงเงนเดอน


4

1

2

3

12



4

1

2

3

12







4

1

2

2

8


45





12 Virtual Machine ระบบเวบไซตองคกร


4

1

2

2

8



4

1

2

3

12







4

1

2

2

8


46





13 Virtual Machine ระบบเวบไซตอนทราเนต


4

1

2

2

8



4

1

2

3

12







4

1

2

2

8


47





14 Virtual Machine ระบบจองเครองมอวทยาศาสตร


4

1

2

2

8



4

1

2

3

12







4

1

2

2

8


48





15 Virtual Machine ระบบ VPN


4

1

2

3

12



4

1

2

3

12







4

1

2

2

8


49

3. ขอมลสารสนเทศ (Information) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง





1 ขอมลระบบอเมล การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน

3 5 3 4 20 A.11.3.1 Password Use

ขอมลอเมลถกน าไปเผยแพรหรอถกเปดเผยเนองจากผใชงานโดนหลอกลวง

3 5 3 3 15 A.8.2.2 Information Security Training

2 ขอมลเวบไซตองคกร

ขอมลเวบไซตถกแกไขโดยไมไดรบอนญาต 3 1 3 1 3 A.11.1.1 Access Control policy

3 ขอมลเวบไซตอนทราเนต


4 ขอมลระบบเงนเดอน

การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน

3 5 3 3 15 A.11.3.1 Password Use

50





5 ขอมลบนทกการใชงานอนเทอรเนต

ขอมลการใชงานอนเทอรเนตจาก Proxy สญหายเนองจากไมมการส ารองขอมล

3 5 3 3 15 A.10.5.1 Information Backup

6 เอกสารของฝายระบบคอมพวเตอรและเครอขาย

เอกสารส าคญถกโจรกรรมเนองจากไมมทจดเกบทมดชด

4 2 2 3 12 A.7.2.1 Classification guidelines

51

4. บคคล (Human) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง





1 เจาหนาทดแลระบบ

ผดแลระบบขาดความรทกษะเฉพาะดานกบเทคโนโลยใหมๆ ท าใหการรกษาความมนคงปลอดภยของระบบสารสนเทศท างานไดอยางไมเตมประสทธภาพ


ไมสามารถเขาปฏบตงานในเวลางานไดจนท าใหระบบหยดชะงก

3 1 1 3 9 A.8.2.1 Management Responsibilities

2 ผใชงานสารสนเทศ

การเขาใชงานระบบสารสนเทศมความลอแหลมไมตระหนกถงความปลอดภยและผลกระทบทเกดขนกบระบบสารสนเทศ

3 5 3 3 15 A.8.2.2 Information security awareness, education and training

52

5. ผใหบรการ (Service) ผลการประเมนความเสยงกอนการบรหารจดการความเสยง

ตารางสรปจ านวนความเสยงทพบ

ตารางท 4.2 ตารางสรปผลความเสยงกอนการบรหารจดการความเสยง





1 ผใหบรการอนเทอรเนต

ผใหบรการอนเทอรเนตไมสามารถบรการไดท าใหองคกรไมสามารถด าเนนกจกรรมทตองใชระบบอนเทอรเนต

4 1 2 3 12 A.10.2.2 Monitoring and review of third party services

ระดบความเสยงทพบ ระดบสง ระดบกลาง ระดบต า ผลรวม จ านวน 2 65 87 154

53

4.3 แนวทางการบรหารจดการความเสยง เมอไดผลสรปในการประเมนความเสยงแลว จะด าเนนการจดการความเสยงทมระดบความเสยงสง และระดบความเสยงระดบกลางโดยจะน าเอาหลกการควบคมมาปรบใชในการท าแนวทางจดการความเสยง และการบรหารจดการความเสยง ดงผลการด าเนนการดงตารางตอไปน

ตารางท 4.3 สรปแนวทางจดการความเสยง และผลการบรหารจดการความเสยง

ล าดบ ประเภท รายการ ตรวจสอบ

ประเดนความเสยง ระดบความเสยง

รายการควบคม

แนวทางจดการ ความเสยง

ผลลพธ

1 Hardware Air Conditioning

อปกรณไมสามารถท างานไดหรอท างานผดพลาดเนองจากขาดการซอมบ ารงอาจจะท าใหอณหภมหองรอน และท าใหอปกรณใน Data Center เสยหาย

สง

A.9.2.4 Equipment Maintenance

ก าหนดระยะเวลาบ ารงรกษาอปกรณอยางสม าเสมอ

มการก าหนดระยะเวลาในการเขามาซอมบ ารงรกษาอปกรณทกๆ 1 เดอน

2 Information ขอมลระบบอเมล

การเขาถงขอมลอเมลโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน

สง

A.11.3.1 Password Use

ควรมการก าหนดนโยบายในการตงรหสผาน และการเปลยนรหสผาน

มการจดท านโยบายในการตงรหสผานอยางนอย 8 ตวอกษรผสมอกขระพเศษ และใหมการเปลยนรหสผานทกๆ 60 วน

54





ผลลพธ

3 Hardware Router อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก

กลาง A.9.1.2 Physical entry control, A.9.1.4 Protecting against external and environmental threats

ควรใหมการควบคมการเขา-ออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมล

มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และส าหรบบคคลหรอหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน

4 Hardware Router อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




55





ผลลพธ

5 Hardware Core Switch1 และ Core Switch 2





6 Hardware Core Switch1 และ Core Switch 2





56





ผลลพธ

7 Hardware DMZ Switch 1 และ DMZ Switch 2





8 Hardware DMZ Switch 1 และ DMZ Switch 2





57





ผลลพธ

9 Hardware Wireless LAN Switch





10 Hardware Wireless LAN Switch




มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหอง ส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน

58





ผลลพธ

11 Hardware Wireless LAN Controller





12 Hardware Wireless LAN Controller




มการลอคประตหองเขาออกหองศนยขอมล และมเอกสารบนทกเวลา-เขาออกหองศนยขอมลรวมทงเหตผลในการเขาหองส าหรบผดแลระบบ และหนวยงานภายนอกจะตองไดรบการอนมตจากหวหนาสารสนเทศกอน

59





ผลลพธ

13 Hardware Proxy อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




14 Hardware Proxy อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




60





ผลลพธ

15 Hardware Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3

เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




16 Hardware Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3

เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต




61





ผลลพธ

17 Hardware Mail Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




18 Hardware Mail Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต




62





ผลลพธ

19 Hardware Mail Gateway อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




20 Hardware Mail Gateway อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




63





ผลลพธ

21 Hardware Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




22 Hardware Storage อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




64





ผลลพธ

23 Hardware Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




24 Hardware Storage อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




65





ผลลพธ

25 Hardware DNS Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




26 Hardware DNS Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต




66





ผลลพธ

27 Hardware UPS 15 KVA อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




28 Hardware UPS 15 KVA อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต




67





ผลลพธ

29 Hardware Air Conditioning





30 Hardware Fire Protection System





68





ผลลพธ

31 Software Windows Server 2008 R2 SP1


กลาง A.10.4.1 Control against malicious code

การปองกนโดยการตดตง antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล antivirus ใหทนสมยเสมอ

มการตดตงซอฟตแวร Antivirus ทรองระบบปฏบตการ Windows Server 2008 R2 SP1




การปองกนโดยการอพเดท path ของระบบปฏบตการทมาแกไขเรองความปลอดภย

มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอนเสมอ

69





ผลลพธ



กลาง A.11.4.4 Remote diagnostic and configuration port protection

ปดพอรตทใชตรวจสอบและปรบแตงทไมไดใชงาน

มการด าเนนการปองกนพอรตโดยปดพอรตทไมจ าเปน และไมไดใชงาน

34 Software Windows Sever 2012 R2



การปองกนโดยการตดตง Antivirus แบบถกลขสทธและท าการตงการอพเดทฐานขอมล Antivirus ใหทนสมยเสมอ

มการตดตงซอฟตแวร Antivirus ทรองระบบปฏบตการ Windows Server 2008 R2 SP1

70





ผลลพธ











71





ผลลพธ

37 Software Linux CentOS 6





38 Software Linux CentOS 6





72





ผลลพธ

39 Software Linux Ubuntu 12.04










73





ผลลพธ

41 Software Software Web Server



อพเกรดเวอรชนของซอฟตแวรเพอปองหองชองโหว

มการอพเกรดเวอรชนของซอฟตแวร Web Server






43 Software Software Mail Server





74





ผลลพธ

44 Software Virtual Machine ระบบ DHCP




มการตดตงซอฟตแวร Antivirus




การปองกนโดยการอพเดท path ขอระบบปฏบตการ







75





ผลลพธ

47 Software Virtual Machine ระบบ LDAP





48 Software Virtual Machine ระบบ LDAP





49 Software Virtual Machine ระบบ NTP





76





ผลลพธ

50 Software Virtual Machine ระบบ NTP





51 Software Virtual Machine ระบบใบแจงเงนเดอน





52 Software Virtual Machine ระบบใบแจงเงนเดอน




มการอพเดท path ของระบบปฏบตการทม ความส าคญ และกอนการอพเดทจะมการทดสอบกอน

77





ผลลพธ

53 Software Virtual Machine ระบบเวบไซตองคกร





54 Software Virtual Machine ระบบเวบไซตองคกร





55 Software Virtual Machine ระบบเวบไซตอนทราเนต





78





ผลลพธ

56 Software Virtual Machine ระบบเวบไซตอนทราเนต





57 Software Virtual Machine ระบบจองเครองมอวทยาศาสตร





58 Software Virtual Machine ระบบจองเครองมอวทยาศาสตร





79





ผลลพธ

59 Software Virtual Machine ระบบ VPN















80





ผลลพธ

62 Information ขอมลระบบเงนเดอน


กลาง A.11.3.1 Password Use

มการก าหนดนโยบายในการตงรหสผาน และการเปลยนรหสผาน มการสรางรหสผานทเปนคาเรมตนใหมความยากในการเดา

มการจดท านโยบายในการตงรหสผานอยางนอย 8 ตวอกษรผสมอกขระพเศษ และใหมการเปลยนรหสผานทกๆ 3 เดอน และมการใชซอฟตแวรในการสรางรหสผานใหผใชงาน

63 Information เอกสารของฝายระบบคอมพวเตอรและเครอขาย


กลาง A.7.2.1 Classification guidelines

มการจดเกบเอกสารอยางเปนหมวดหมตามระดบชนความลบเพอหาวธปองกนอยางเหมาะสม

มการจดหาตเอกสารทสามารถปดลอคเพอใชเกบเอกสารและจดหมวดหมของเอกสาร

81





ผลลพธ

64 Human ผใชงานสารสนเทศ


กลาง A.8.2.2 Information security awareness, education and training

มการสรางความตะหนกใหความรและอบรมดานความมนคงปลอดภย

มการวางแผนโครงการจดฝกอบรมเรองการใชงานสารสนเทศใหมความปลอดภย

65 Service ผใหบรการอนเทอรเนต


กลาง A.10.2.2 Monitoring and review of third party services

มการตรวจสอบการใหบรการหนวยงานภายนอกอยางสม าเสมอ

การตรวจสอบการใหบรการในอดตทผานมาผบรหารสารสนเทศยอมรบความเสยง

82

4.4 ผลการประเมนความเสยงระบบ สารสนเทศหลงการบรหารจดการความเสยง

1. ฮารดแวร (Hardware) ตารางท 4.4 ผลการประเมนความเสยงหลงการบรหารจดการความเสยง





1 Router อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก

4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4

อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8








2 Firewall อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


83





2

Firewall อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8












84







4

1

2

2

8














4

1

2

2

8


85

















4

1

2

2

8




86










6

Wireless LAN Controller





4

1

2

2

8






87





6 Wireless LAN Controller



7

Proxy อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




4

1

2

2

8








88





8 Virtualization Server 1 Virtualization Server 2 และ Virtualization Server 3

เครองแมขายเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8




9 Mail Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8


89





9 Mail Server เครองแมขายไมสามารถท างานไดเนองจากไฟฟาดบเปนเวลานาน


10

Mail Gateway อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




4

1

2

2

8








90





11 Storage อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก




4

1

2

2

8








11 DNS Server เครองแมขายถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


91





12 DNS Server เครองแมขายถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control, A.9.1.4


4

1

2

2

8




13 UPS 15 KVA อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


อปกรณถกแกไขคาอปกรณโดยไมไดรบอนญาต 4 2 2 2 (3) 8 A.9.1.2 Physical entry control

14 Air Conditioning อปกรณถกเขาถงจากผไมไดรบอนญาตเนองจากไมมระบบควบคมการเขา – ออก


อปกรณไมสามารถท างานไดหรอท างานผดพลาดไมสามารถควบคมอณหภมไดเนองจากขาดการซอมบ ารง

4 2 2 3 (4) 12 A.9.2.4 Equipment Maintenance

92





15 Fire Protection System



อปกรณไมท างานขณะเกดเหตเพลงไหม 5 5 3 1 5 A.9.2.4 Equipment Maintenance

93

2. ซอฟตแวร (Software) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง





1 Windows Sever 2008 R2 SP1


4

5

3

1

5



4

1

2

2 (3)

8



4

1

2

2 (3)

8





4 2 2 2 (3) 8 A.11.4.4 Remote diagnostic and configuration port protection

94





2 Windows Sever 2012 R2


4

5

3

1

5



4

1

2

2 (3)

8



4

1

2

2 (3)

8






95





3 Linux CentOS 6 การถกฟองรองตามกฎหมายลขสทธการใชซอฟตแวรทละเมดลขสทธ

1

1

1

1

1



4

1

2

2

8



4

1

2

2 (3)

8






96





4 Linux Ubuntu 12.04


1

1

1

1

1



4

1

2

2

8



4

1

2

2 (3)

8






97





5 NOD32 Antivirus


4

5

3

1

5


ซอฟตแวรไมสามารถปองกนโปรแกรมไมประสงคดเนองจากไมมการอพเดทให signature เปนปจจบน

4

1

1

1

4


6 Software Web Server


1

1

1

1

1



4

1

2

2 (3)

8



4

1

2

2

8


98





7 Software Mail Server


1

1

1

1

1



4

1

2

2

8


ซอฟตแวรมชองโหวในการโจมตเนองจากไมมการอพเดทเวอรชนของซอฟตแวร

4

1

2

2

8







4

1

2

2

8


99





8 Virtual Machine ระบบ DHCP


4

1

2

2 (3)

8



4

1

2

2 (3)

8







4

1

2

2

8


100





9 Virtual Machine ระบบ LDAP


4

1

2

2

8



4

1

2

2 (3)

8







4

1

2

2

8


101





10 Virtual Machine ระบบ NTP


4

1

2

2

8



4

1

2

2 (3)

8







4

1

2

2

8


102





11 Virtual Machine ระบบใบแจงเงนเดอน


4

1

2

2 (3)

8



4

1

2

2 (3)

8







4

1

2

2

8


103





12 Virtual Machine ระบบเวบไซตองคกร


4

1

2

2

8



4

1

2

2 (3)

8







4

1

2

2

8


104





13 Virtual Machine ระบบเวบไซตอนทราเนต


4

1

2

2

8



4

1

2

2 (3)

8







4

1

2

2

8


105





14 Virtual Machine ระบบจองเครองมอวทยาศาสตร


4

1

2

2

8



4

1

2

2 (3)

8







4

1

2

2

8


106





15 Virtual Machine ระบบ VPN


4

1

2

2 (3)

8



4

1

2

2 (3)

8







4

1

2

2

8


107

3. ขอมลสารสนเทศ (Information) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง





1 ขอมลระบบอเมล การเขาถงโดยไมไดรบอนญาตเนองจากผใชงานไมเปลยนรหสผานทเปนคาเรมตน

3 5 3 3 (4) 15 A.11.3.1 Password Use

ขอมลอเมลถกน าไปเผยแพรหรอถกเปดเผยเนองจากผใชงานโดนหลอกลวง

3 5 3 2 (3) 10 A.8.2.2 Information Security Training

2 ขอมลเวบไซตองคกร


3 ขอมลเวบไซตอนทราเนต


4 ขอมลระบบเงนเดอน


3 5 3 2 (3) 10 A.11.3.1 Password Use

108





5 ขอมลบนทกการใชงานอนเทอรเนต

ขอมลการใชงานอนเทอรเนตจาก Proxy สญหายเนองจากไมมการส ารองขอมล

3 5 3 2 (3) 10 A.10.5.1 Information Backup

6 เอกสารของฝายระบบคอมพวเตอรและเครอขาย


4 2 2 2 (3) 8 A.7.2.1 Classification guidelines

109

4. บคคล (Human) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง





1 เจาหนาทดแลระบบ

ผดแลระบบขาดความรทกษะเฉพาะดานกบเทคโนโลยใหมๆ ท าใหการรกษาความมนคงปลอดภยของระบบสารสนเทศท างานไดอยางไมเตมประสทธภาพ


ไมสามารถเขาปฏบตงานในเวลางานไดจนท าใหระบบหยดชะงก

3 1 1 3 9 A.8.2.1 Management Responsibilities

2 ผใชงานสารสนเทศ


3 5 3 2 (3) 10 A.8.2.2 Information security awareness, education and training

110

5. ผใหบรการ (Service) ผลการประเมนความเสยงหลงการบรหารจดการความเสยง

ตารางสรปจ านวนความเสยงทพบ

ตารางท 4.5 ตารางสรปผลความเสยงหลงการบรหารจดการความเสยง





1 ผใหบรการอนเทอรเนต


4 1 2 3 (3) 12 A.10.2.2 Monitoring and review of third party services


111

4.5 นโยบายดานความมนคงปลอดภยระบบสารสนเทศ (Acceptable Use Policy)

การรกษาความมนคงปลอดภยของระบบสารสนเทศ สถาบนวจย เพอใชเปนมาตรการในการรกษาความมนคงปลอดภยของระบบสารสนเทศของสถาบนวจย และเพอเปนแนวทางในการปฏบตของผใชงานระบบสารสนเทศของสถาบนวจย

นโยบายความมนคงปลอดภยของอนเทอรเนต (Internet Security Policy)

1. ในการลงทะเบยนบญชผใชบรการอนเทอรเนต (Internet) ตองท าการกรอกขอมลค าขอเขาใชบรการอนเทอรเนต (Internet) ของหนวยงานโดยยนค าขอกบเจาหนาท ส านกเทคโนโลยสารสนเทศ สถาบนวจย

2. เมอไดรบรหสผาน (Password) ครงแรกในการเขาระบบอนเทอรเนต (Internet) และเมอมการเขาสระบบในครงแรกนน ควรเปลยนรหสผาน (Password) โดยทนท การตงรหสผานควรมความยาวอยางนอย 8 ตวอกษร ซงควรตองมตวเลข ตวอกษร และตวอกษรพเศษ ประกอบอยดวย

3. ไมใชระบบอนเทอรเนต (Internet) ของหนวยงาน เพอหาประโยชนในเชงพาณชยเปนการสวนบคคล และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาอนอาจกระทบกระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคมหรอละเมดสทธของผอน หรอขอมลทอาจกอใหเกดความเสยหายใหกบหนวยงาน

4. หามเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของหนวยงานทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต (Internet)

5. ใหระมดระวงการดาวนโหลด (Download) โปรแกรมใชงานจากระบบอนเทอรเนต (Internet) การดาวน โหลดการอพเดท (Update) โปรแกรมตางๆ ตองเปนไปโดยไมละเมดลขสทธ

6. ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเปดเผยขอมลทส าคญและเปนความลบของหนวยงาน

7. ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเสนอความคดเหน หรอใชขอความทย วยใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงของหนวยงาน การท าลายความสมพนธกบบคลากรของหนวยงานอนๆ

112

8. หลงจากใชงานระบบอนเทอรเนต (Internet) เสรจแลว ใหปดเวบเบราเซอร และใหลงบนทกออกจากระบบ (Log Out) ทนท เพอปองกนการเขาใชงานโดยบคคลอนๆ

9. ผทถกตรวจสอบวาพยายามกระท าการอนใดทเปนการละเมดนโยบายของ สถาบนวจย การพยายามเขาถงระบบโดยมชอบ การโจมตระบบ หรอมพฤตกรรมเสยงตอการท างานของระบบสารสนเทศ จะถกระงบการใชเครอขายทนท หากการกระท าดงกลาวเปนการกระท าความผดทสอดคลองกบ พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ.๒๕๕๐ หรอเปนการกระท าทสงผลใหเกดความเสยหายตอขอมล และทรพยากรระบบของสถาบนวจยจะตองถกด าเนนคดตามขนตอนของกฎหมาย

นโยบายความมนคงปลอดภยของอเมล (E-mail Policy)

1. ในการลงทะเบยนบญชผใชบรการจดหมายอเลกทรอนกส (e-mail) ตองท าการกรอกขอมลค าขอเขาใชบรการจดหมายอเลกทรอนกส (e-mail) ของหนวยงานโดยยนค าขอกบเจาหนาท ส านกเทคโนโลยสารสนเทศ สถาบนวจย

2. เมอไดรบรหสผาน (Password) ครงแรกในการเขาระบบจดหมายอเลกทรอนกส (e-mail) และเมอมการเขาสระบบในครงแรกนน ควรเปลยนรหสผาน (Password) โดยทนท การตงรหสผานควรมความยาวอยางนอย 8 ตวอกษร ซงควรตองมตวเลข ตวอกษร และตวอกษรพเศษ ประกอบอยดวย

3. ไมควรบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร 4. ควรเปลยนรหสผาน (Password) ทกๆ 60 วน 5. ไมควรใชทอยจดหมายอเลกทรอนกส (e-mail address) ของผอนเพออานหรอรบ

หรอสงขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผใชบรการและใหถอวาเจาของจดหมายอเลกทรอนกส (e-mail) เปนผรบผดชอบตอการใชงานในจดหมายอเลกทรอนกส (e-mail) ของตน

6. หลงจากการใชงานระบบจดหมายอเลกทรอนกส (e-mail) เสรจสนควรลงบนทกออก (Logout) ทกครง

7. การสงขอมลทเปนความลบ ไมควรระบความส าคญของขอมลลงในหวขอจดหมายอเลกทรอนกส (e-mail)

113

นโยบายความมนคงปลอดภยของการควบคมการเขาถงระบบ (Access control Policy)

1. เจาหนาท บคลากร ของสถาบนวจย หรอบคคลจากหนวยงานภายนอกทตองการสทธในการเขาใชงานระบบสารสนเทศจะตองไดรบการอนมตจากผบงคบบญชาของหนวยงานทผใชงานสงกด

2. ผดแลระบบ ตองก าหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการเขาใชงานของผใชงานระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ

3. ผดแลระบบควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบสารสนเทศของหนวยงาน และตรวจตราการละเมดความปลอดภย ทมตอระบบขอมล

4. ผดแลระบบ ตองก าหนดการลงทะเบยนบคลากรใหมของสถาบนวจย และขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน การลาออก หรอการเปลยนต าแหนงงานภายในหนวยงาน เปนตน

5. ผดแลระบบ ตองด าเนนการเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบลาออก หรอพนจากต าแหนง หรอยกเลกการใชงาน

6. ก าหนดใหผใชบรการตอบยนยนการไดรบรหสผาน (Password) 7. ก าหนดใหผใชงานไมบนทกหรอเกบรหสผาน (Password) ไวในระบบคอมพวเตอร

ในรปแบบทไมไดปองกนการเขาถง 8. การรบสงขอมลส าคญผานระบบเครอขายสาธารณะ ควรไดรบการเขารหส

(Encryption) ทเปนมาตรฐานสากล เชน SSL VPN, PPTP VPN

นโยบายการบรหารจดการทรพยสน (Assets Management)

1. เจาหนาท บคลากร ของสถาบนวจย ตองไมเขาไปในหองศนยขอมล (Data Center) สถาบนวจย ทเปนเขตหวงหามโดยเดดขาด เวนแตไดรบอนญาตจากผดแลระบบ

2. บคคล หรอหนวยงานภายนอกทตองการเขาหองศนยขอมล (Data Center) ไดไดรบการอนมตจากหวหนาส านกเทคโนโลยสารสนเทศ

3. ผดแลระบบตองอยภายในหองศนยขอมล (Data Center) เมอมบคคลภายนอกเขามายงหองศนยขอมล (Data Center)

4. ผดแลระบบตองจดใหมการบนทกรายละเอยดผานเขา-ออกหองศนยขอมล (Data Center) ของทงผทไดรบอนญาตและไมไดรบอนญาตเพอเปนหลกฐานในการตรวจสอบ

114

5. ตองไมน าอปกรณหรอชนสวนใดออกจากหองหองศนยขอมล (Data Center) เวนแตจะไดรบอนญาตจากผดแลระบบ

นโยบายดานความมนคงปลอดภยของเครอขายและเครองคอมพวเตอรแมขาย

1. ส านกเทคโนโลยสารสนเทศ สถาบนวจย ก าหนดมาตรการควบคมการเขา-ออกหองควบคมเครองคอมพวเตอรแมขาย (Server)

2. ผใชบรการทจะน าเครองคอมพวเตอรและอปกรณมาเชอมตอกบเครองคอมพวเตอรและระบบเครอขายตองไดรบอนญาตจากหวหนาส านกเทคโนโลยสารสนเทศ และตองปฏบตตามนโยบายนโดยเครงครด

3. การขออนญาตใชงานพนทเครองแมขาย (Server) หรอเครองแมขายเสมอน (Virtual Machine) จะตองท าหนงสอขออนญาตตอหวหนาส านกเทคโนโลยสารสนเทศ และจะตองไมตดตงโปรแกรมใดๆ ทสงผลกระทบตอระบบและผใชบรการอนๆ

4. หามผใดกระท าการเคลอนยาย ตดตงเพมเตมหรอท าการใด ๆ ตออปกรณสวนกลาง ไดแกอปกรณจดเสนทาง (Router) อปกรณกระจายสญญาณขอมล (Switch) อปกรณทเชอมตอกบระบบเครอขายหลก โดยไมไดรบอนญาตจากผดแลระบบ (System Administrator)

5. ผดแลระบบ (System Administrator) จะตองมการตรวจสอบชองโหวของระบบเครองแมขาย (Server) และระบบเครอขาย อยางสม าเสมอ

6. ผดและระบบ (System Administrator) จะตองมการก าหนดพอรตใหบรการส าหรบเครองแมขาย (Server) เทาทจ าเปนทจะตองใชงานเทานน

นโยบายดานการปฏบตตามกฎหายและขอบงคบ (Law and Compliance)

1. กฎหมายใดๆ ทไดประกาศใชในประเทศไทยรวมทงกฎระเบยบขอบงคบ ของสถาบนวจย ถอเปนสงส าคญทผใชงานตองตระหนกและปฏบตตามอยางเครงครด และไมกระท าความผดนนดงนน หากผใชงานกระท าผดตามกฎหมายดงกลาว ถอวาความผดนนเปนความผดสวนบคคลซงผใชงานจะตองรบผดชอบตอความผดทเกดขนเอง

115

4.6 เอกสารมาตรการตามมาตรฐาน ISO 27001 (Statement Of Applicability) ตารางท 4.6 เอกสารเอกสารมาตรการตามมาตรฐาน ISO 27001 (Statement Of Applicability)

หวขอ รำยกำรควบคม มำตรกำรปจจบน เหตผลทเลอกใชมำตรกำร หมำยเหต

A.5.1.1 เอกสารนโยบายความ มนคงปลอดภยทเปน ลายลกษณอกษร (Information security policy document)

มาตรการทมอย จ าเปนตองใชมาตรการ ไมจ าเปนตองใชมาตรการ

กฎหมาย/ขอบงคบของรฐ/ระเบยบขององคกร ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง

มการจดท านโยบายดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ทเปนลายลกษณอกษร

A.5.1.2 การทบทวนนโยบาย ความมนคงปลอดภย (Review of the information security policy)



มการทบทวนนโยบายดานความมนคงปลอดภยในทกๆ ปเพอใหเขากบสถานการณปจจบน

116


A.6.1.1 การใหความส าคญของผบรหารและการก าหนดใหมการบรหารจดการทางดานความมนคงปลอดภย (Management commitment to information security)



ผบรหารเรมมการใหความส าคญในสนบสนนในการรกษาความมนคงปลอดภยของระบบสนเทศมากขน

A.6.1.2 การประสานงานความมนคงปลอดภยภายในองคกร (Information security coordination)



มการก าหนดหนาทความรบผดชอบเพอประสานงาน และการรวมมอกนในการรกษาความมนคงปลอดภยของระบบสารสนเทศ

117


A.6.1.3 การก าหนดหนาทความรบผดชอบทางดานความมนคงปลอดภย (Allocation of information security responsibilities)



องคกรมการก าหนดหนาทความรบผดชอบในการรกษาความมนคงปลอดภยของระบบสารสนเทศโดยแบงหนาทรบผดชอบออกเปนสวนระบบงานทพนกงานรบผดชอบอย

A.6.1.4 กระบวนการในการอนมตการใชงานอปกรณประมวลผลสารสนเทศ (Authorization process for information processing facilities)



ยงไมมการจดท ากระเอกสารในการขออนมตการใชงานอปกรณสารสนเทศ เพอใหควบคมสทธในการเขาถงระบบอปกรณสารสนเทศ

118


A.6.1.5

สญญาการไมเปดเผยความลบขององคกร (Confidentiality agreements)



มการจดท าขนตอนปฏบตการ จดการดานพนกงานใหม และใชบรการหนวยงานภายนอก เพอก าหนดใหลงนามสญญาการไมเปดเผยขอมลลบ

A.6.1.6

การมรายชอและขอมลส าหรบการตดตอกบหนวยงานอน (Contact with authorities)



มการจดท ารายชอและขอมลส าหรบการตดตอกบหนวยงานภายนอกทจ าเปน เชน ผใหบรการภายนอกทใชบรการดานตางๆ, ฝายอาคารสถานท หรอสถานต ารวจในทองท เปนตน

119


A.6.1.7

การมรายชอและขอมล ส าหรบการตดตอกบ กลมทมความสนใจเปน พเศษในเรองเดยวกน (Contact with special interest groups)



มการจดท ารายชอและขอมลส าหรบการตดตอกบหนวยงาน หรอกลมงานทางดานการรกษาความมนคงปลอดภยสารสนเทศ เชน ศนยประสานงานการรกษาความปลอดภยประเทศไทย (ThaiCERT)

A.6.1.8 การทบทวนดานความมนคงปลอดภยส าหรบสารสนเทศโดยผตรวจสอบอสระ (Independent review of information security)



มการทบทวนดานความมนคงปลอดภยจากภายในองคกรเทานน ยงไมมผตรวจสอบอสระ

120


A.6.2.1

การประเมนความเสยงของการเขาถงสารสนเทศโดยหนวยงานภายนอก (Identification of risks related to external parties)



ยงไมมการประเมนความเสยงของการเขาถงสารสนเทศจากหนวยงานภายนอก

A.6.2.2 การระบขอก าหนดส าหรบผใชบรการทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security when dealing with customers)



มการแจงใหผใชบรการไดรบทราบถง นโยบายและขนตอนปฏบตดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ

121


A.6.2.3 การระบและจดท าขอก าหนดส าหรบหนวยงานภายนอกทเกยวของกบความมนคงปลอดภยส าหรบสารสนเทศขององคกร (Addressing security in third party agreements)



มเอกสารสญญาขอตกลงทเกยวของกบความมนคงปลอดภยในการใชบรการหนวยงานภายนอก

A.7.1.1 การจดท าบญชทรพยสนสารสนเทศ (Inventory of assets)



มการจดท าบญชทรพยสนสารสนเทศขององคกร เอกสารครภณฑ

122


A.7.1.2 การระบผเปนเจาของทรพยสน (Ownership of assets)


กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง

มการระบผรบผดชอบในทรพยสนสารสนเทศ

A.7.1.3 การใชงานทรพยสนทเหมาะสม (Acceptable use of assets)



ยงไมมเอกสารการใชงานทรพยสน แตผใชงานจะไดรบค าแนะน าในการใชงาน จะด าเนนการจดท าในปถดไป

123


A.7.2.1 การจดแนวทางในการแบงล าดบชนขอมล (Classification guidelines)



ยงไมมการจดล าดบชนขอมลความลบ

A.7.2.2 การจดท าปายชอ และการจดการทรพยสนสารสนเทศ (Information Labelling and handling)



มการตดปายชอทะเบยนทรพยสน (ครภณฑ) ลงบนทรพยสนสารสนเทศ

124


A.8.1.1 การก าหนดหนาทความรบผดชอบ (Roles and responsibilities)



มการก าหนดบทบาทหนาทอยในสวนของ Job description

A.8.1.2 การตรวจสอบคณสมบตของผสมคร (Screening)



มการตรวจสอบคณสมบตของผสมครตามขนตอนปฏบตการจดการดานบคลากร และมการตรวจสอบประวตของพนกงาน ของฝายบคคลากร

125


A.8.1.3 การก าหนดเงอนไขการจางงาน (Terms and conditions of employment)



มการก าหนดเงอนไขการจางงาน ส าหรบผทองคกรจะท าการวาจางกอนการจางงาน ขนตอนปฏบตการจดการดานพนกงาน ของฝายบคคลากร

A.8.2.1 หนาทในการบรหารจดการทางดานความมนคงปลอดภย (Management responsibilities)



เรมมการใหพนกงานดแล และใหความส าคญกบความมนคงปลอดภยสารสนเทศทพนกงานดแลอย

126


A.8.2.2 การสรางความตระหนก การใหความร และการอบรมดานความมนคงปลอดภยใหแกเจาหนาท (Information security awareness, education and training)



มการจดท าแผนการอบรมประจ าปทงในสวนของการสรางความตระหนก การใหความรและการอบรมดานความมนคงปลอดภย ส าหรบพนกงานทใชสารสนเทศในองคกร

A.8.2.3 กระบวนการทางวนยเพอลงโทษ (Disciplinary process)



องคกรมมาตรการตกเตอนและลงโทษทางวนย

127


A.8.3.1 การสนสดหรอการเปลยนการจางงาน (Termination responsibilities)



มเอกสารแบบฟอรมในการลาออกของพนกงาน ของฝายบคคลากร

A.8.3.2 การคนทรพยสนขององคกร (Return of assets)



มเอกสารแบบฟอรมในการ ยม / คน ทรพยสนสารสนเทศ

128


A.8.3.3 การถอดถอนสทธในการเขาถง (Removal of access rights)



มการถอดถอนสทธ หรอเปลยนแปลงสทธในระบบตางๆ ของพนกงานทลาออก

A.9.1.1 การจดท าบรเวณลอมรอบ (Physical security perimeter)



มการจดพนทส าหรบจดเกบอปกรณสารสนเทศ มบรเวณลอมรอบ มการ ลอคประตหองศนยขอมล

129


A.9.1.2 การควบคมการเขา-ออก (Physical entry controls)



มการควบคมการเขา-ออกของหองศนยขอมล มบนทกวนเวลาเขาออกหอง เหตผลทเขาหองของผดแลระบบและหนวยงานภายนอกทเขาใชงานหองศนยขอมลตองไดรบการอนมตจากหวหนาสารสนเทศกอน

A.9.1.3 การรกษาความมนคงปลอดภยส าหรบองคกรฯ หองท างาน และทรพยสนอน ๆ (Securing offices, rooms and facilities)



หองท างานของฝายการจดการระบบคอมพวเตอรและเครอขาย มการควบคมการเขา-ออกหองท างาน

130


A.9.1.4 การปองกนภยคกคามจากภายนอกและสงแวดลอม (Protecting against external and environmental threats)



มระบบปองกนเพลงไหม และมพนทในการจดเกบระบบสารสนเทศทเหมาะสม

A.9.1.5 การปฏบตงานในพนททตองรกษาความมนคงปลอดภย (Working in secure areas)



ยงไมมข นตอนปฏบตการรกษาความมนคงปลอดภยทางกายภาพ และยงไมมเอกสารขออนมตในการเขาใชพนททตองรกษาความมนคงปลอดภย

131


A.9.1.6 การจดบรเวณส าหรบการเขาถงหรอการสงมอบผลตภณฑโดยบคคลภายนอก (Public access, delivery and loading areas)



มการจดพนทเฉพาะส าหรบการสงมอบผลตภณฑหรออปกรณตาง ๆ โดยบคคลภายนอก รวมทงมการจดพนทเฉพาะส าหรบการตดตอหรอการหารอกบบคคลภายนอก

A.9.2.1 การจดวางและการปองกนอปกรณ (Equipment siting and Protection)



มอปกรณทตดตงในตทไดรบการจดเกบในหองศนยขอมลมสภาวะแวดลอมทเหมาะสม และเรมมการควบคมการเขา-ออก

132


A.9.2.2 ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)



มระบบกรองกระแสไฟฟา และระบบส ารองไฟฟา รวมถงเครองปนไฟฟา

A.9.2.3 การเดนสายไฟ สายสอสาร และสายเคเบลอน ๆ (Cabling security)



มการเดนสายสญญาณไฟฟา และสายสญญาณสอสารแยกออกจากน

133


A.9.2.4 การบ ารงรกษาอปกรณ (Equipment maintenance)



มการบ ารงรกษาระบบและอปกรณส าคญตาง ๆ อยางสม าเสมอ เพอใหสามารถใชงานไดอยางตอเนอง และอยในสภาพทมความสมบรณตอการใชงาน

A.9.2.5 การปองกนอปกรณทใชงานอยภายนอกองคกร (Security of equipment off premises)



ไมมการน าอปกรณในหองศนยขอมลออกจากนอกองคกร

134


A.9.2.6 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure disposal or re-use of equipment)



มการก าจดอปกรณทเกบขอมลส าคญ แตยงไมมข นตอนทเปนลายลกอกษร

A.9.2.7 การน าทรพยสนขององคกรออกนอกองคกร (Removal of property)



ไมมการน าทรพยสนในหองศนยขอมลออกจากนอกองคกร

135


A.10.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures)

มาตรการทมอย จ าเปนตองใชมาตรการ จ าเปนตองใชมาตรการ


เรมมการจดท าขนตอนการปฏบตงานของระบบตางๆ ทเปนเอกสารคมอแลวเชนการท าคมอการเพมผใชในระบบ LDAP คมอการใชงานระบบเครอขายเสมอนเปนตน

A.10.1.2 การควบคมการเปลยนแปลง ปรบปรง หรอแกไขระบบ หรออปกรณประมวลผลสารสนเทศ (Change management)



ยงไมมการขออนมตการเปลยนแปลงตามขนตอนปฏบตการควบคมการเปลยนแปลง

136


A.10.1.3 การแบงหนาทความรบผดชอบ (Segregation of duties)



มการแบงหนาทความรบผดชอบของเจาหนาทออกจากกน เชนหนาทดานเครอขาย หนาทดานระบบ หนาทดานระบบอเมล และสามารถท างานทดแทนกนได

A.10.1.4 การแยกระบบส าหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, test and operational facilities)



มการแยกระบบส าหรบการทดสอบออกจากระบบใหบรการจรง ทงนเพอลดความเสยงของระบบ เชน การทดสอบบนระบบเสมอน

137


A.10.2.1 การใหบรการโดยหนวยงานภายนอก (Service delivery)



มการจดท าขอก าหนดหรอขอตกลงส าหรบการใหบรการกบหนวยงานผใหบรการภายนอก เชน การท าสญญาและรายงานการปฏบตงาน

A.10.2.2 การตรวจสอบการใหบรการโดยหนวยงานภายนอก (Monitoring and review of third party services)



มการทบทวนการใหบรการของผใหบรการหนวยงานภายนอกอยางสม าเสมอ และใหมเอกสารรายงานตางๆ จากผใหบรการหนวยงานภายนอก เชน การเขาซอมบ ารงรกษาอปกรณจากหนวยงานภายนอก จะตองมรายงานปฏบตงานทกครง

138


A.10.2.3 การบรหารจดการการเปลยนแปลงในการใหบรการ (Managing changes to third party services)



จดใหมการประเมนและปรบปรงขอก าหนดหรอขอตกลงส าหรบการใหบรการโดยหนวยงานภายนอก โดยดจากการปฏบตงาน เวลาในการปรบปรงแกไขเพม ของระบบ เปนตน

A.10.3.1 การบรหารจดการทรพยากรของระบบ (Capacity management)



ยงไมมการวางแผนในการขยายทรพยากรสารนสนเทศ แตยงคงตรวจสอบอยางสม าเสมอ

139


A.10.3.2 การตรวจรบระบบ (System acceptance)



มกระบวนการในการตรวจรบระบบทเปนลายลกอกษร เอกสารตรวจรบ และมคณะกรรมการตรวจรบ

A.10.4.1 การปองกนโปรแกรมทไมประสงคด (Controls against malicious code)



มการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด

140


A.10.4.2 การปองกนโปรแกรมไมประสงคดชนดเคลอนท (Controls against mobile code)



มการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด

A.10.5.1 การส ารองขอมล (Information back-up)



มการส ารองขอมล แตยงขาดขนตอนวธปฏบตทเปนคมอปฏบต

141


A.10.6.1 มาตรการทางเครอขาย (Network security management)



เรมมวธการปฏบตการจดการความมนคงปลอดภยบนเครอขาย เชน การแบงเครอขายส าหรบผดแลระบบ กบผใชงานทวไป การใชโปรโตคอลทปลอดภยในการเขาถงอปกรณเครอขาย เปนตน

A10.6.2 ความมนคงปลอดภยส าหรบบรการเครอขาย (Security of network services)



มไฟลวอรในการปองกนระบบเครอขายและการตรวจสอบการถกโจมตในระดบหนง

142


A.10.7.1 บรหารจดการสอบนทกขอมลทสามารถเคลอนยายได (Management of removable media)



ยงไมมการบรหารจดการสอบนทกขอมลทสามารถเคลอนยายได เชน การเขารหสลบขอมลบนสอบนทกขอมลทเคลอนยายได

A.10.7.2 การก าจดสอบนทกขอมล (Disposal of media)



มแนวทางในการก าจดสอบนทกขอมลเพอปองกนขอมลรวไหล แตยงไมมเปนเอกสารขนตอนวธปฏบต

143


A.10.7.3 ขนตอนปฏบตส าหรบการจดการสารสนเทศ (Information handling procedures)



มขนตอนปฏบตเพอบรหารจดการการเขาถงขอมลเพอปองกนไมใหผไมมสทธเขาถง เชน ผใชงานจะตองไดรบการอนมตจากหวหนากอนจะใชงานระบบสารสนเทศได

A.10.7.4 สรางความมนคงปลอดภยส าหรบเอกสารระบบ (Security of system documentation)



มการจดหาทจดเกบเอกสารไวในทปลอดภยโดยมตเอกสารทสามารถปด ลอคได

144


A.10.8.1 นโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศ (Information exchange and procedures)



ยงไมมนโยบายและขนตอนปฏบตส าหรบการแลกเปลยนสารสนเทศทเปนลายลกอกษร

A.10.8.2 ขอตกลงในการแลกเปลยนสารสนเทศ (Exchange agreements)



ปจจบนองคกรยงไมการแลกเปลยนสารสนเทศจากหนวยงานภายนอก

145


A.10.8.3 การสงสอบนทกขอมลออกไปนอกองคกร (Physical media in transit)



ไมมการน าเอาสอบนทกขอมลออกจากหองศนยขอมล

A.10.8.4 การสงขอความทางอเลกทรอนกส (Electronic messaging)



ไมมการเขารหสลบในการรบสงขอความทางอเลกทรอนกส แตมการใชงานโปรโตคอล SSL บนระบบเวบเมล

146


A.10.8.5 ระบบสารสนเทศทางธรกจทเชอมโยงกน (Business information systems)



องคกรไมมการใหบรการเชงธรกจ

A.10.9.1 การพาณชยอเลกทรอนกส (Electronic commerce)



องคกรไมมการใหบรการพาณชยอเลกทรอนกส

147


A.10.9.2 การท าธรกรรมออนไลน (On-line transactions)



องคกรไมมการท าธรกรรมออนไลน

A.10.9.3 สารสนเทศทมการเผยแพรออกสสาธารณะ (Publicly available information)



มกระบวนการในการควบคมขอมลทประกาศลงบนเวบไซตขององคกร เชน จะตองมบนทกขอความจากหนวย และจะตองไดรบอนมตจากหวหนาสารสนเทศ

148


A.10.10.1 การบนทกเหตการณทเกยวของกบการใชงานสารสนเทศ (Audit logging)



เรมมข นตอนปฏบตการตรวจสอบการวเคราะหและการจดการกบขอมลลอกของระบบ เชน การตดตงเครองแมขายระบบ Syslog และมการท ารายงานการใชงานอนเทอรเนต

A.10.10.2 การตรวจสอบการใชงานระบบ (Monitoring system use)



มการตรวจสอบการใชงานระบบเฉพาะระบบเครอขายเทานน ระบบงานยงไมมการตรวจสอบ แตไดเรมหาเครองมอในการตรวจสอบระบบแมขายตางๆ แลว เชน การตดตงโปรแกรม Zabbix ในการตรวจสอบบรการในเครองแมขาย

149


A.10.10.3 การปองกนขอมลบนทกเหตการณ (Protection of log information)



เรมมการตดตงเครองแมขายระบบ Syslog แลว เพอใหระบบตางๆ น าบนทกเหตการณมาไวในระบบ Syslog ตรงกลาง เพอปองกนการแกไขเปลยนแปลงเหตการณ

A.10.10.4 บนทกกจกรรมการด าเนนงานของเจาหนาททเกยวของกบระบบ (Administrator and operator logs)



มการเกบบนทกเหตการณการเขาใชงานระบบของเจาหนาทผดแลระบบ

150


A.10.10.5 การบนทกเหตการณขอผดพลาด (Fault logging)



มการเปดใชงานการบนทกเหตการณขอผดพลาดของระบบ

A.10.10.6 การตงเวลาของเครองคอมพวเตอรใหตรงกน (Clock synchronization)



มการตดตงเครองแมขายระบบ NTP เพอใหระบบและเครองผใชงานมาเทยบเวลา

151


A.11.1.1 นโยบายการควบคมการเขาถงระบบ (Access control policy)



จดใหมการควบคมการเขาถงระบบตามหนาทความรบผดชอบของผใชงานระบบ

A.11.2.1 การลงทะเบยนพนกงาน (User registration)



มขนตอนปฏบตการบรหารจดการบญชผใชงานโดยผใชงานตองไดรบการอนมตจากหวหนาฝายของผใชงานกอน

152


A.11.2.2 การบรหารจดการสทธ (Privilege management)



มการบรหารจดการสทธในการใชงานระบบงานตางๆ เชนนกวจยจะไดสทธ ในการจองเครองมอวทยาศาสตร พนกงานทไมใชนกวจยจะไมไดสทธในการใชงาน

A.11.2.3 การใชงานระบบการบรหารจดการรหสผานส าหรบผใชงาน (User password management)



เรมมระบบบรหารจดการรหสผานการสรางรหสผานแบบสมและเดายากดวยโปรแกรม เชน ใชโปรแกรม KeePass ในการสรางรหสผานทเดายาก

153


A.11.2.4 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights)



เรมมการทบทวนสทธของผใชงาน 1 ครงตอสปดาห เชน การทบทวนสทธ ผใชงานอนเทอรเนตแบบมก าหนดระยะเวลาในการใชงาน

A.11.3.1 การใชงานรหสผาน (Password use)



มตงรหสผานตามนโยบายความมนคงปลอดภยสารสนเทศ และเรมตงรหสผานใหมความปลอดภย

154


A.11.3.2 การปองกนอปกรณทไมมพนกงานดแล (Unattended user equipment)



การปองกนตองเปนภาระของผใชงานตองปฏบตเองดวยการลอคหนาจอ ถาเปนเครองแมขายจะมเวลาลอคหนาอตโนมต

A.11.3.3 นโยบายควบคมการไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย (Clear desk and clear screen policy)



องคการไมมนโยบายนโยบายควบคมการไมทงทรพยสนสารสนเทศส าคญไวในททไมปลอดภย ยอมรบความเสยงเนองจากมความเปนไดยากทจะน าทรพยสนออกจากหองศนยขอมล

155


A.11.4.1 นโยบายการใชงานบรการเครอขาย (Policy on use of network services)



เรมมการจดท านโยบายการใชงานบรการเครอขาย

A.11.4.2 การพสจนตวตนส าหรบผใชทอยภายนอกองคกร (User authentication for external connections)



มการพสจนตวตนส าหรบผใชทอยภายนอกองคกรดวยระบบ VPN แบบ PPTP

156


A.11.4.3 การพสจนตวตนอปกรณบนเครอขาย (Equipment identification networks)



มการพสจนตวตนอปกรณบนเครอขาย กอนเขาใชงานอปกรณเครอขายเสมอ

A.11.4.4 การปองกนพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ (Remote diagnostic and configuration port protection)



เรมมการปองกนพอรตทใชพอรตทใชส าหรบตรวจสอบและปรบแตงระบบ เชน การปดพอรตดวย Iptables ของระบบปฏบตการ Linux การปดพอรตดวย Advance Firewall ของระบบปฏบตการ Windows เปนตน

157

หวขอ รายการควบคม มาตรการปจจบน เหตผลทเลอกใชมาตรการ หมายเหต

A.11.4.5 การแบงแยกเครอขาย (Segregation in networks)


กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา

แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง

มการแบงแยกเครอขายระหวางเครอขายผใชงานและเครอขายของระบบตางๆ โดยการแบง VLAN เปนอาคาร ส านก ฝาย และแยกเครอขายส าหรบผดแลระบบในการเขาบรหารจดการอปกรณเครอขาย

A.11.4.6 การควบคมการเชอมตอทางเครอขาย (Network connection control)

มาตรการทมอย จ าเปนตองใช

มาตรการ ไมจ าเปนตองใชมาตรการ

กฎหมาย/ขอบงคบของรฐ/ระเบยบของบรษท ขอบงคบของสญญา

แนวทางปฏบตทด / เปนมาตรฐานสากล ผลการประเมนความเสยง

ยงไมมการการควบคมการเชอมตอทางเครอขายของอปกรณตางๆ

158


A.11.4.7 การควบคมการก าหนดเสนทางบนเครอขาย (Network routing control)



มการก าหนดเสนทางบนเครอขายดวยอปกรณเครอขาย โดยการท า Static Route

A.11.5.1 ขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภย (Secure log-on procedures)



มขนตอนขนตอนปฏบตในการเขาถงระบบอยางมนคงปลอดภยดวยโปรโตคอล SSH และ SSL

159


A.11.5.2 การระบและพสจนตวตนของผใชงาน (User identification and authentication)



มการระบและพสจนตวตนของผใชงาน กอนเขาใชงานระบบเครอขาย โดยผใชงานตองท าการ Authentication กบ Proxy

A.11.5.3 ระบบบรหารจดการรหสผาน (Password management system)



เรมมการใชโปรแกรมในการสรางรหสผานตามนโยบายการตงรหสผานทมความปลอดภย และการเปลยนรหสผานทกๆ 60 วน เชนการใชโปรแกรม KeePass ในการสรางรหสผาน

160


A.11.5.4 การใชงานโปรแกรมประเภทยทลต (Use of system utilities)



ยงไมมการควบคมการใชงานโปรแกรมยทลต เนองจากองคกรยงไมมระบบควบเครองคอมพวเตอรของผใชงาน

A.11.5.5 การหมดเวลาการใชงานระบบสารสนเทศ (Session time-out)



มการตงคาการหมดเวลาการใชงานระบบสารสนเทศ เมอไมมการใชงานเกน 30 นาท โดยตงเวลาดวย Proxy

161


A.11.5.6 การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Limitation of connection time)



มการก าหนดระยะเวลาในการเชอมตอสารสนเทศไวท 16 ชม. หลงจากนนตองท าการ Login เขาระบบใหม โดยอปกรณ Proxy

A.11.6.1 การจ ากดการเขาถงสารสนเทศ (Information access restriction)



มการควบคมการเขาถงระบบงานของเจาหนาท และมการสรางและก าหนดสทธการเขาถงเฉพาะตามหนาททรบผดชอบเทานน

162


A.11.6.2 การแยกระบบสารสนเทศทม ความส าคญสง (Sensitive system isolation)



องคกรมการแยกระบบสารสนเทศทม ความส าคญสงไว

A.11.7.1 การปองกนอปกรณสอสารประเภทพกพา (Mobile computing and communications)

มาตรการทมอย จ าเปนตองใชมาตรการ

ไมจ าเปนตองใชมาตรการ


ไมมการปองกนอปกรณสอสารเนองจากไมมการใชงานอปกรณสอสารในหองศนยขอมล

163


A.11.7.2 การปฏบตงานจากภายนอกส านกงาน (Teleworking policy)



การปฏบตงานจากภายนอกส านกงาน จะตองใชระบบ VPN เชอมตอเขามายงองคกร

A.12.1.1 การวเคราะหและการระบขอก าหนดทางดานความมนคงปลอดภย (Security requirements analysis and specification)



องคกรมกระบวนการในการตรวจสอบและทดสอบประเมนซอฟตแวรทจะน าเขามาใชงาน โดยใชทดสอบกบระบบเสมอน

164


A.12.2.1 การตรวจสอบขอมลน าเขา (Input data validation)



มการตรวจสอบขอมลน าเขา เชนการก าหนดความยาวหรอรปแบบในการน าเขาขอมล

A.12.2.2 การตรวจสอบขอมลทอยในระหวางการประมวลผล (Control of internal processing)



ยงไมมการตรวจสอบขอมลทอยในระหวางการประมวลผล จะมเฉพาะตอนทดสอบระบบกอนใชงานจรงเทานน

165


A.12.2.3 การตรวจสอบความถกตองของขอความ (Message integrity)



ยงไมมการตรวจสอบความถกตองของขอความอยางสม าเสมอจะมเฉพาะตอนทดสอบระบบกอนใชงานจรงเทานน

A.12.2.4 การตรวจสอบขอมลน าออก (Output data validation)



ยงไมมการตรวจสอบขอมลน าออก อยางสม าเสมอจะมเฉพาะตอนทดสอบระบบกอนใชงานจรงเทานน

166


A.12.3.1 นโยบายการใชงานการเขารหสขอมล (Policy on the use of cryptographic controls)



ยงไมมนโยบายการใชงานการเขารหสขอมล

A.12.3.2 การบรหารจดการกญแจเขารหสขอมล (Key management)



ยงไมมการใชงานการเขารหสขอมลดวยกญแจอเลกทรอนกส

167


A.12.4.1 การควบคมการตดตงซอฟตแวรลงไปยงระบบทใหบรการ (Control of operational software)



มเฉพาะผทดและระบบเทานนทสามารถตดตงซอฟตแวรลงไปยงระบบได

A.12.4.2 การปองกนขอมลทใชส าหรบการทดสอบ (Protection of system test data)



ไมมการน าขอมลจรงมาทดสอบ

168


A.12.4.3 การควบคมการเขาถง ซอรสโคดส าหรบระบบ (Access control to program source code)



การเขาถงซอรสโคดส าหรบระบบตองไดรบอนญาตจากผดแลระบบกอน เสมอ

A.12.5.1 ขนตอนปฏบตส าหรบควบคมการเปลยนแปลงหรอแกไขระบบ (Change control procedures)



ยงไมมเอกสารขนตอนปฏบตส าหรบควบคมการเปลยนแปลงหรอแกไขระบบ

169


A.12.5.2 การตรวจสอบการท างานของแอพพลเคชนภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after operating system changes)



มการตรวจสอบการท างานแอพพลเคชนภายหลงจากทเปลยนแปลงระบบปฏบตการ เชนหลงจากการอพเดทระบบปฏบตการ แตยงไมมเอกสารรายในการเปลยนแปลง

A.12.5.3 การจ ากดการเปลยนแปลงแกไขตอซอฟตแวรทมาจากผผลต (Restrictions on changes to software)



ไมมการน าซอฟตแวรทมาจากผผลต มาแกไขเพอใชงาน

170


A.12.5.4 การปองกนการรวไหลของสารสนเทศ (Information leakage)



มการใชโปรโตคอลในการสอสารทปลอดภยในการรบสงขอมลสารสนเทศ เชนระบบใบแจงเงนเดอน และระบบเวบเมล มการใชโปรโตคอล SSL ในการสอสาร

A.12.5.5 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (Outsourced software development)



ไมมการใชซอฟตแวรทพฒนาจากหนวยงานภายนอก

171


A.12.6.1 มาตรการควบคมชองโหวทางเทคนค (Control of technical vulnerabilities)



ยงไมมมาตรการในการควบคมชองโหวทางเทคนคทเปนเอกสารคมอปฏบต แตเรมม การใชเครองมอสแกนหาชองโหว ของระบบตางๆ

A.13.1.1 การรายงานเหตการณทเกยวของกบความมนคงปลอดภย (Reporting information security events)



มรายงานเหตการณทเกยวกบความมนคงปลอดภยโดยมการตรวจสอบการโจมตของผดแลระบบภายใน และรายงานโจมตจากหนวยงานภายนอกทใหบรการอนเทอรเนต (ISP)

172


A.13.1.2 การรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร (Reporting security weakness)



ยงไมมการรายงานจดออนทเกยวของกบความมนคงปลอดภยขององคกร

A.13.2.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and procedures)



ยงไมมกระบวนการขนตอนในการปฏบตในการรองรบเหตการณดานความมนคงปลอดภย

173


A.13.2.2 การเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย (Learning from information security incidents)



มการเรยนรการเรยนรจากเหตการณทเกยวของกบความมนคงปลอดภย โดยมการจดท ารายงาน และวธแกไขปญหา และการปองกน จากเหตการณดานความมนคงปลอดภยทเคยเกดขน

A.13.2.3 การเกบรวบรวมหลกฐาน (Collection of evidence)



มการเกบบนทกกจกรรมของผใชงาน และจดท ารายงานใหผบรหารสารสนเทศ

174


A.14.1.1 กระบวนการในการสรางความตอเนองใหกบธรกจ (Including information security in the business continuity management process)



ยงไมมนโยบายในการสรางความตอเนองในการใชงานระบบสารสนเทศ แตเรมมการวางแผนในการท าระบบ DR Site

A.14.1.2 การประเมนความเสยงในการสรางความตอเนองใหกบธรกจ (Business continuity and risk assessment)



ยงไมมนโยบายในการสรางความตอเนองในการใชระบบงานสารสนเทศ

175


A.14.1.3 การจดท าและใชงานแผนสรางความตอเนองใหกบธรกจ (Developing and implementing continuity plans including information security)



ยงไมมนโยบายในการสรางความตอเนองในการใชงานระบบสารสนเทศ

A.14.1.4 การก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ (Business continuity planning framework)




176


A.14.1.5 การทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ (Testing, maintaining and re-assessing business continuity plans)




A.15.1.1 การระบขอก าหนดตาง ๆ ทม ผลทางกฎหมาย (Identification of applicable legislation)



มการระบกฎหมาย ระเบยบ ขอบงคบ ขอก าหนดในสญญาตางๆทองคกรตองปฏบตตามและใหพนกงานทกคนปฏบตตามดวย

177


A.15.1.2 การปองกนสทธและทรพยสนทางปญญา (Intellectual property rights (IPR)



มการจดซอซอฟตแวรลขสทธทถกตอง จากตวแทนจ าหนายของซอฟตแวรนน

A.15.1.3 การปองกนขอมลส าคญทเกยวของกบบรษท (Protection of organizational records)



มการจดเกบขอมลตามระยะเวลาทกฎหมาย ระเบยบขอบงคบ ทองคกรตองปฏบตตามไดระบไว เชน พรบ.วาดวยกรทาธรกรรมทางอเลกทรอนกส, พระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร เปนตน

178


A.15.1.4 การปองกนขอมลสวนบคคล (Data protection and privacy of personal information)



ไมมการเกบขอมลสวนบคคลไวในระบบทหองศนยขอมล

A.15.1.5 การปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค (Prevention of misuse of information processing facilities)



ยงไมมนโยบายในการปองกนการใชงานอปกรณประมวลผลสารสนเทศผดวตถประสงค

179


A.15.1.6 การใชงานมาตรการการเขารหสขอมลตามขอก าหนด (Regulation of cryptographic Controls)



ยงไมมการใชงานมาตรการการเขารหสขอมลตามขอก าหนด

A.15.2.1 การปฏบตตามนโยบายและมาตรฐานความมนคงปลอดภย (Compliance with security policies and standards)



เรมมกระบวนการตรวจสอบในการปฏบตตามนโยบายและมาตรฐานความมนคงปลอดภย

180


A.15.2.2 การตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกร



ยงไมมการตรวจสอบปฏบตตามมาตรฐานทางเทคนคขององคกรทเปนเอกสาร มแตการปฏบตของผดแลระบบเทานน

A.15.3.1 มาตรการการตรวจประเมนระบบสารสนเทศ



ยงไมมมาตรการการตรวจประเมนระบบสารสนเทศ

181


A.15.3.2 การปองกนเครองมอสาหรบตรวจประเมนสารสนเทศ



องคกรเรมการตดโปรแกรมเครองมอในการตรวจสอบชองโหวของระบบเครอขายและระบบงานตางๆ เชน การตดตงโปรแกรม Nessus และโปรแกรม Nmap เปนตน

182

บทท 5

สรปผลโครงงาน

โครงงานเปนการจดท าพฒนานโยบายดานความปลอดภยของสารสนเทศภายใตมาตรฐาน ISO/IEC 27001:2005 โดยท าการวเคราะหปญหาของระบบสารสนเทศทเกดขนภายในองคกร และมการด าเนนการประเมนความเสยงของระบบสารสนเทศเพอใหทราบถงความเสยงตางๆ ทจะเกดขนกบองคกร เพอทจะน ามาซงการบรหารจดการความเสยงเพอปองกนความเสยงทอาจจะเกดขนกบองคกรหรอลดความเสยงเหลานนใหลดนอยลง

5.1 สรปผลการประเมนความเสยงกอนการบรหารจดการความเสยง

เมอมการประเมนความเสยงสารสนเทศขององคกรกอนการบรหารจดการความเสยงนนพบวาองคกรมความเสยงทมระดบสงทจะตองด าเนนการบรหารจดการความเสยงนนกอนตามแผนการจดการบรหารความเสยง โดยไดพบความเสยงขององคกรในระดบตางๆ ดงน

5.2 สรปผลการประเมนความเสยงหลงการบรหารจดการความเสยง

หลงจากองคกรไดมการบรหารจดการความเสยงแลวพบวาความเสยงในระดบสงไดมการบรหารจดการความเสยงใหมระดบความเสยงลดลง และความเสยงหลายๆความเสยงไดลดลงอยระดบต า ซงสรปผลของระดบความเสยงหลงจากการบรหารจดการความเสยงได ดงน



183

5.3 สรปการด าเนนงานในการจดการความเสยง

1. Hardware ไดมการจดใหมการปองกนการเขาถง Hardware ในหอง Data Center ในเบองตนนนไดมการลอคประตเขา-ออกของหอง Data Center และเมอมความประสงคในการเขาขอใชหอง Data Center ของบคคลหรอหนวยงานภายนอกตองไดรบการอนมตจากหวหนาสารสนเทศกอน รวมถงไดวางแผนในการจดท าระบบ Access Control ของหอง Data Center ดวยระบบสแกนลายนวมอ และมการจดสภาพแวดลอมภายในหอง Data Center โดยมการจดการกบสายสญญาณตางๆ ใหมความเปนระเบยบเรยบรอยมากขนมการตดปายชอกบสายสญญาณตางๆ รวมถงมการตอสญญาในการบ ารงรกษาอปกรณตางๆ แบบปตอป

2. Software มจดซอและการตดตงโปรแกรมปองกนโปรแกรมทไมประสงคด มการยกเลกพอรตทไมไดใชงาน และมการตดตงเครองแมขาย WSUS เพอใชอพเดท Patch Security รวมถงตดตงเครองมอในการตรวจสอบชองโหว การอพเกรดเวอรชนเพออดชองโหวของ Software และมการจดท าคมอปฏบตงานตางๆ เพมขน มตดตงเครองแมขายส าหรบเกบบนทกลอกไวตรงกลาง มการทบทวนตรวจสอบบญชผใชงานของระบบตางๆ ประจ าทกๆ 1 สปดาห

3. Information มการเขยนนโยบายในการตงรหสผานใหคาดเดาไดยาก และใหมการเปลยนรหสผานทกๆ 60 วน มการเกบบนทกเหตการณการใชงานอนเทอรเนต Log ออกมาเกบไวทกๆ 30 วนและจดเปนรายงานใหกบผบรหารสารสนเทศ และมใหจดหาทจดเกบเอกสารของฝายใหมความปลอดภยมากขน

4. Human มการใหเจาหนาดแลระบบทไดรบความรดานเทคโนโลยสารสนเทศใหมๆ จากการออกไปฝกอบรมภายนอก และการเขารวมงานสมมนาดานทางเทคโนโลยสารสนเทศ ส าหรบผใชงานสารสนเทศไดจดใหมการอบรมใหความรการใชงานระบบสารสนเทศขององคกรใหมความปลอดภย และการสรางความตระหนกในการใชเทคโนโลยสารสนเทศภายในองคกรใหมความปลอดภย

5. Service ผใหบรการอนเทอรเนต ไดมการทบทวนการใหบรการของผใหบรการอยางสม าเสมอ รวมถงไดมพดคยถงการวางแผนการจดหาลงคอนเทอรเนตส ารองอกดวย แตขนตอนยงอยในการประเมนความเหมาะสมและความคมคา

จากการประเมนความเสยงเทคโนโลยสารสนเทศขององคกรนน ท าใหทราบถงความเสยงตางๆ ทองคกรมอย หลงจากการด าเนนการจดการความเสยงพบวาความเสยงทมระดบสง ไดลดลงหรอในระดบปานกลาง ซงเปนระดบทองคและผบรหารสารสนเทศนนสามารถยอมรบไดในระดบหนง แตยงคงตองมควบคมและการปรบปรงใหดยงขน

184

5.4 ขอเสนอแนะ

โครงงานนยงคงตองด าเนนการตอในหวขออนๆ ทยงไมไดด าเนนการภายในปน โดยมแผนการในด าเนนงานในปถดไป แตดวยปจจบนเทคโนโลยสารนสนเทศไดมการพฒนาไปอยางรวดเรว ดงนนจงจ าเปนทจะตองทบทวนนโยบายดานความมนคงปลอดภยเทคโนโลยสารสนเทศ การตรวจสอบภยคกคาม และชองโหว อยางสม าเสมอ เพอใหมความพรอมในการรบมอกบความเสยงใหมๆ ทเกดขน ในปจจบน

185

เอกสารอางอง

[1] ISO 27001 Introduction to Information Security Management System ระบบการจดการความมนคงปลอดภยของสารสนเทศ

[2] ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต, มาตรฐานการรกษาความมนคง

ปลอดภย ในการประกอบธรกรรมทางอเลกทรอนกส ( เวอรชน 2.5 ), 2550

[3] International Standard ISO/IEC 27001 First edition 2005-10-15

[4] ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย ภายใตศนยเทคโนโลย

อเลกทรอนกสและคอมพวเตอรแหงชาต,รางแนวทางปฏบตสาหรบการรกษาความมนคง

ปลอดภยสารสนเทศ 2552

Documents

Developing Security Policy Under ISO 27001:2005 …...การพัฒนานโยบายด้านความมั่นคงปลอดภัย ภายใต้มาตรฐาน