Post on 28-May-2020
Information Security Policy
ทำไมตองมมาตรฐาน
o องคกรใชไอทเพมมากขน ตองพงพาคนไอทมากขน
o เกดเหตการณการกอความเสยหายโดยใชไอซททมตอ
บคคลและองคกรมากขนo ความเสยงและความสญเสยทมาจากไอซทมมากขน
The Bull’s-Eye Model
ทำไมตองมมาตรฐาน
1. Policies: ขนตอนแรกของการปองกน
2. Networks: เรมตนทระบบเครอขาย
3. Systems: ถดมากเปนสวนของเครองคอมพวเตอรและระบบ4. Applications: แอปพลเคชนทใชงานขององคกร
นโยบายสการปฏบต
มาตรฐานทเกยวของ
o สทธขอมลสวนบคคล (Information rights):เปนเรองเกยวกบสทธบคคลหรอองคกรทมตอสารสนเทศทเกยวของกบตนเอง
o ทรพยสนทางปญญา (Property rights):เปนเรองสทธปกปองทรพยสนทางปญญาในรปของดจตอล
o ความรบผดชอบความเสยหาย(Accountability):ความรบผดชอบตอกรณความเสยหายหรอสญเสยตอคนทเกยวกบการการเกบหรอใชสารสนเทศหรอทรพยสนทางปญญา
o คณภาพระบบทนำเสนอ(System quality): มาตรฐานของขอมลหรอระบบในดานการปกปองสทธสวนบคคลและความปลอดภยของสงคมทผดำเนนการตองกระทำ
o คณภาพชวต (Quality of life)คณคาทไดรบจากสงคมสารสนเทศและสงคมฐานความร
หลกในการปฏบต
o ใชหลกปฏบตศล (Moral)o ใชหลกปฏบตทางกฎระเบยบทางสงคม (Social contract)o ใชหลกปฏบตในเรองการแบงปนความสขo ใชหลกกฎหมาย (IT Law)
มาตรฐานสากล
o ISO/IEC 1779:2005Information technology – Security techniques – Code of
practice for information security management
o ISO/IEC 27001:2005Information technology – Security techniques – Informat
ion security management systems -- Requirements
มาตรฐานสากล
Information System Security Management ISO/IEC 27001
o ISMS provides a framework to establish, implement, operate, monitor, review, maintain and improve the information
security within an organization
o Implement effective information security that really meets business requirements
Information System Security Management ISO/IEC 27001
oManage risks to suit the business activityoManage incident handling activities
oBuild a security culture
oConform to the requirements of the Standard
Information System Security Management ISO/IEC 27001
A.5: Information security policies A.6: How information security is organized A.7: Human resources security - controls that are applied
before, during, or after employment. A.8: Asset management A.9: Access controls and managing user access A.10: Cryptographic technology A.11: Physical security of the organisation's sites and
equipment A.12: Operational security
Information System Security Management ISO/IEC 27001
A.13: Secure communications and data transfer A.14: Secure acquisition, development, and
support of information systems A.15: Security for suppliers and third parties A.16: Incident management A.17: Business continuity/disaster recovery (to the extent
that it affects information security) A.18: Compliance - with internal requirements, such as
policies, and with external requirements, such as laws.
จดมงหมาย
Information System Security Management ISO/IEC 27001
o Policies High level statements that provide guidance to workers
who must make present and future decision o Standards
Requirement statements that provide specific technical specifications o Guidelines
Optional but recommended specifications
Information System Security Management ISO/IEC 27001
Element of Policies
o Set the tone of Managemento Establish roles and responsibilityo Define asset classificationso Provide direction for decisionso Establish the scope of authorityo Provide a basis for guidelines and procedures o Establish roles and responsibilitieso Describe appropriate use of assetso Establish relationships to legal requirements
การกำหนดนโยบาย
การบรหารความเสยง (Risk Management)
o ตามกลไกของ ISO/IEC 27001 ประกอบดวย 2 สวน คอ
1. การประเมนความเสยง (Risk Assessment)
2. การรกษาความเสยง (Risk Treatment)
การประเมนความเสยง (Risk Assessment)
o ประเมนระดบของความเสยงทงหมดทมตอขอมลและทรพยสนตางๆ ขององคกร
o ความเสยงทเกนระดบทยอมรบได ตองนำไปดำเนนการควบคมและแกไข
o ผลการประเมนแสดงไดทงในรป Quantitative เชน จำนวนเงน หรอในรป
Qualitative เชน ความเสยหายตอชอเสยง โอกาสทางธรกจ เหลานแสดงผล
เปน มาก ปานกลาง นอย เปนตน
o ระดบของความเสยง พจารณาจาก ความนาจะเปน (Probability) และ ความ
รนแรง (Severity)
การบรหารความเสยง
o ทางเลอกในการควบคมและแกไขความเสยง ม 4 ทาง
§ การลดความเสยง (Risk Reduction) : หาวธควบคมแกไขความเสยงใหลดลงมาอยใน
ระดบทยอมรบได
§ การยอมรบความเสยง (Risk Acceptance) : ใชในกรณทพบวาการควบคมแกไขความเสยง ไมเหมาะสม ไมสามารถทำไดในทางปฏบต หรอไมคมคา
§ การหลกเลยงความเสยง (Risk Avoidance) : โดยการยกเลกกระบวนการทำงาน หรอ
ทรพยสนทกอใหเกดความเสยง มกใชวธนเมอใชวธอนแลวไมคม
§ การโอนยายความเสยง (Risk Transfer) : โอนใหผอนรบผดชอบแทน เชน บรษท
ประกนภย
มาตรการควบคมและแกไขความเสยง
แบงออกเปน 3 ประเภท
1. มาตรการควบคมทางดานกายภาพ
2. มาตรการควบคมทางดานเทคนค
3. มาตรการควบคมทางดานธรการ
มาตรการควบคมดานกายภาพ
เปนการจดใหมสภาพแวดลอมทางกายภาพทเหมาะสม เชน
o จดใหมระบบควบคมการเขา-ออกสถานททสำคญ (Access Control)
o การจดแบงพนทสำคญ เชน แยก Data Center ออกจากพนท
ปฏบตงานปกต
o การจดระเบยบสาย Cable ตางๆ ใหเรยบรอย
มาตรการควบคมทางดานเทคนค
เปนการใช Software หรอ Hardware มาชวยควบคมดแลความปลอดภย เชน
o การเขารหสขอมล (Encryption)
o การใช Antivirus Software
o การใช Firewall ควบคม Traffic ของเครอขาย
o การใชระบบตรวจจบและปองกนการบกรก (IDS, IPS)
มาตรการควบคมทางดานธรการ
o การจดใหม นโยบาย ระเบยบ วธการปฏบตงาน
o มการฝกอบรมทเหมาะสมกบบคลากรทเกยวของ รวมถงบคคลภายนอกทรวมงาน
Information System Security Process
o ควรใชวธการเชงรกเพอบรหารความเสยง
o การใชวธเชงรบอาจเกดความเสยหายมากกวา เนองจากไมไดเตรยมการลวงหนา ไมทราบถง
สงทอาจจะเกดขน
o ประกอบดวย 5 ขนตอน คอ
§ การประเมนความเสยง (Risk Assessment)
§ กำหนดนโยบาย (Policy)
§ การตดตงระบบปองกน (Implementation)
§ การฝกอบรม (Training)
§ การตรวจสอบ (Audit)
Information System Security Process
การประเมนความเสยงขององคกร
o แบงออกเปน 3 ระดบ
§ การวเคราะหความเสยงในระดบระบบ (System-Level Vulnerability Assessment)
§ การวเคราะหความเสยงในระดบเครอขาย (Network-Level Risk Assessment)
§ การวเคราะหความเสยงในระดบองคกร (Organization-Wide Risk Assessment)
การประเมนความเสยงขององคกร
• การวเคราะหความเสยงในระดบระบบ (System-Level Vulnerability Assessment) : ประเมนหาจดออนของคอมพวเตอรแตละเครองในองคกร และ
ตรวจสอบวาระบบสามารถแกไขใหเปนไปตามนโยบายความปลอดภยไดหรอไม
• การวเคราะหความเสยงในระดบเครอขาย (Network-Level Risk Assessm
ent) : ประเมนความเสยงของระบบคอมพวเตอรและเครอขายขององคกร
รวมถงระบบการจดการขอมลขององคกร
• การวเคราะหความเสยงในระดบองคกร (Organization-Wide Risk Assessment) : ประเมนความเสยงของทงองคกรเพอระบถงภยตางๆ ทงในมมของ
การปฏบต และการจดการขอมล
การประเมนความเสยงขององคกร
o เกบรวบรวมขอมลจาก พนกงาน เอกสาร และสงตางๆ ทเกดขนจรง
o ใชวธ วเคราะหจากเอกสาร สมภาษณ สำรวจ
o สงทควรตรวจสอบ ไดแก
§ การสำรวจเครอขาย
§ การรกษาความปลอดภยทางดานกายภาพ
§ นโยบายและระเบยบปฏบต
§ คำเตอนและขอควรระวง
§ การตนตว
การประเมนความเสยงขององคกร
o สงทควรตรวจสอบ (ตอ) ไดแก
§ พนกงาน
§ ปรมาณงาน
§ ขวญและกำลงใจ
§ การปฏบตตามนโยบายและระเบยบปฏบต
§ ธรกจ
การสำรวจเครอขาย
o ตรวจดผงระบบเครอขายเพอเกบรวบรวมขอมล
§ ประเภทและจำนวนของระบบตางๆ ทใชในเครอขาย
§ ระบบปฏบตการทใช
§ Topology
§ Link ทเชอมตออนเทอรเนต
§ การใชงานและการใหบรการอนเทอรเนต
§ Etc.
การสำรวจเครอขาย
o สำรวจกลไกการรกษาความปลอดภยระบบเครอขาย
§ การควบคมการเขาถง กฎของ Firewall
§ ระบบการพสจนตวตนในการ Remote Access
§ การเขารหสขอมล
§ การปองกน Virus
§ Etc.
การรกษาความปลอดภยทางดานการภาพ
o ตรวจสอบระบบควบคมการเขาออก พจารณา
§ ประเภทของระบบปองกน
§ ใครเปนผทสามารถเปดประตได
§ นอกจาก Data Center แลวยงมจดใดทมความสำคญอก
o การรกษาความปลอดภยทางดานกายภาพยงรวมถง
§ ระบบไฟฟา หลก / สำรอง
§ ระบบควบคมสภาวะแวดลอม
§ ระบบปองกนอคคภย
นโยบายและระเบยบปฏบต
o รวบรวมขอมล เชน
§ นโยบายการรกษาความปลอดภย
§ แผนฟนฟหลงเกดภยอนตราย
§ นโยบายการสำรองขอมล
§ คมอการปฏบตงาน
§ ผงองคกร
o พจารณาความสมเหตผล ความเหมาะสม ความสมบรณ และความทนสมย
การปฏบตตามนโยบายและระเบยบปฏบต
ประเมนสงทเกดขนจรง เปรยบเทยบกบนโยบายการรกษาความ
ปลอดภยทไดวางไว
§ ปฏบตตามหรอไม ?
§ ปฏบตไดหรอไม ?
§ เพราะอะไร ?
การปฏบตตามนโยบายและระเบยบปฏบต
o กำหนดขนเพอใชในการกคนระบบเมอเกดภยอนตราย
o องคประกอบหลก คอ การ Backup ระบบ และแผนกคนระบบ
(Recovery Plan)
o พจารณา วธการสำรองขอมล ขนตอน อปกรณ ชวงเวลา ปญหาทเกด
o พจารณา Recovery Plan ขนตอน ผรบผดชอบ การทดสอบและผลการ
ทดสอบ
นโยบาย (Policy)
ควรมนโยบายเกยวกบ
• นโยบายขอมล (Information Policy) : กำหนดวาขอมลใดมความสำคญ ซงตองระบถง
การจดเกบ การถายโอน การทำลาย
• นโยบายการรกษาความปลอดภย (Security Policy) : กำหนดเทคนควธการปองกนทางดานคอมพวเตอร
• นโยบายการใชงาน (Usage Policy) : กำหนดการใชงานอยางถกตองและเหมาะสมสำหรบ
ผใชแตละกลม
• นโยบายการสำรอง (Backup Policy) : กำหนดความจำเปนในการสำรองระบบ
คอมพวเตอร
นโยบาย
• ระเบยบปฏบตเกยวกบการบรหารจดการบญชผใช (Account Management Procedure) : กำหนดขนตอนการ เพม ลบ แกไข บญชผใช
• ระเบยบปฏบตเมอเกดเหตการณ (Incident Handling Procedure) :กำหนดจดมงหมายและขนตอนเกยวกบการจดการเหตการณตางๆ ทเกดขนกบ
ขอมล
• แผนฟนฟหลงภยรายแรง (Disaster Recovery Plan) : กำหนดแผนฟนฟ
หรอแผนกคน หลงจากเกดภยอนตราย
นโยบาย
o ควรมการจดลำดบความสำคญของนโยบาย ตามระดบของความเสยง
o นโยบายทควรกำหนดกอน คอ นโยบายขอมล เพอแสดงใหเหนถงความสำคญของขอมลในองคกร
o อาจพฒนานโยบายหลาย ๆ อนพรอมกนได หากใชบคลากรคนละกลม
o อาจเรมพฒนาจากนโยบายเลก ๆ กอน
o กรณทมนโยบายอยแลวจะใชวธการปรบปรงนโยบายทมอยเดม
การออกแบบและตดตง (Implementation)
o ระบบรายงานการรกษาความปลอดภยo ระบบพสจนทราบตวตน
o การรกษาความปลอดภยในการใชงานอนเทอรเนต
o ระบบตรวจจบและปองกนการบกรกo การเขารหสขอมล
o การรกษาความปลอดภยดานกายภาพ
o คณะทำงาน
ระบบรายงานการรกษาความปลอดภย
o เปนกลไกชวยใหผดแลระบบทราบถงการปฏบตตามนโยบายของพนกงาน และตดตามสถานภาพเกยวกบจดออน โดย
§ เฝาระวงการใชงานระบบ เชน Monitor การใชงานอนเทอรเนต เกบ Log การทำงานท
ฝาฝน
§ สแกนชองโหวของระบบ โดยใชเครองมอเพอจดทำรายงานเพอหาทางแกไข ตรวจสอบเปนประจำทกระบบ รวมถงตดตามขอมลขาวสารจากแหลงตางๆ
§ การปฏบตตามนโยบาย อาจใชเครองมอแบบอตโนมตทมแพรหลาย หรออาจใชแบบ Manual โดยดจาก Log
ระบบพสจนทราบตวตน
o ใชตรวจสอบเพอเขาใชงาน
o ตรวจสอบการเขาสถานทตองหาม
o อาจใช รหสผาน Smart Card หรอ Biometrics
การรกษาความปลอดภยในการใชอนเทอรเนต
o โดยปกตใช Firewall รวมกบ Virtual Private Network (VPN)
o ตองมการวางตำแหนงทถกตองของอปกรณ Firewall และอาจมการรบกวนการ
ทำงานของผใชทวไป
o VPN ชวยปองกนความลบของขอมลดวยการเขารหส
ระบบตรวจจบและปองกนการบกรก
o Intrusion Detection System (IDS) ชวยตรวจจบการบกรกเครอขาย
o ตรวจสอบการพยายามเขาบรเวณตองหาม หรอเขามาโดยผดปกต
การเขารหสขอมล
o ใชปกปองความลบ มสงทตองพจาณา คอ
§ Algorithms
การเลอกใชอนใดขนกบวตถประสงคในการใชงาน นอกจากนน ควรเลอก
อนทผานการทดสอบและเปนทยอมรบในเรองประสทธภาพ
§ การบรหารคย (Key Management)
การเขารหสแบบ Point-to-Point โดยปกตจะใชวธ Private Key Encryption และจะตองมการอพเดตคยเปนประจำ สวน Public Key Encryption จะ
มความยงยากในการแจกจาย Public Key และ Digital Certificate
การรกษาความปลอดภยดานกายภาพ
o Close-Circuit Television (CCTV)
o กญแจ อปกรณแทนกญแจ เชน Key Card, Biometrics
o ระเบยบปฏบต เชน ตดบตรประจำตว
o อปกรณสำรองไฟo ระบบควบคมเพลงไหม
o ระบบควบคมอณหภม
การฝกอบรม (Training)
o เปนการแจงขอมลทจำเปนแกบคลากรขององคกร
o อาจใชวธ ประชม ประชาสมพนธผานสอ เชน วารสาร ประกาศ e-mail
o บคลากรทตองไดรบการฝกอบรม ไดแก พนกงาน ผดแลระบบ Developer
ผบรหาร ฝายรกษาความปลอดภย
การตรวจสอบ (Audit)
o เปนการตรวจสอบวามการฝาฝนนโยบายและระเบยบปฏบตหรอไม โดยตรวจสอบ
§ การตรวจสอบการปฏบตตามนโยบาย
§ การประเมนโครงการใหม
§ การตรวจสอบการเจาะระบบ (Penetration Test)
การตรวจสอบการปฏบตตามนโยบาย
o Policy Adherence Audit ทำเพอตรวจสอบวาองคกรมระดบความปลอดภยตามทคาดหวงหรอไม
o อาจใชผตรวจสอบภายในหรอจากภายนอก
o ตรวจสอบทกสวนไมเฉพาะแตระบบคอมพวเตอร
o ตรวจสอบปละครง
การตรวจสอบการเจาะระบบ
o เพอตรวจสอบหาจดออนหรอชองโหว
o มกทดสอบกบระบบทความเสยงสง
o ควรมการวางแผนอยางละเอยดรอบคอบ และแจงลวงหนากอนทดสอบ
o ทดสอบทงในเชง กายภาพ ระบบ และ Social Engineering