Information Security Policy

ทำไมตองมมาตรฐาน

o องคกรใชไอทเพมมากขน ตองพงพาคนไอทมากขน

o เกดเหตการณการกอความเสยหายโดยใชไอซททมตอ

บคคลและองคกรมากขนo ความเสยงและความสญเสยทมาจากไอซทมมากขน

The Bull’s-Eye Model

ทำไมตองมมาตรฐาน

1. Policies: ขนตอนแรกของการปองกน

2. Networks: เรมตนทระบบเครอขาย

3. Systems: ถดมากเปนสวนของเครองคอมพวเตอรและระบบ4. Applications: แอปพลเคชนทใชงานขององคกร

นโยบายสการปฏบต

มาตรฐานทเกยวของ

o สทธขอมลสวนบคคล (Information rights):เปนเรองเกยวกบสทธบคคลหรอองคกรทมตอสารสนเทศทเกยวของกบตนเอง

o ทรพยสนทางปญญา (Property rights):เปนเรองสทธปกปองทรพยสนทางปญญาในรปของดจตอล

o ความรบผดชอบความเสยหาย(Accountability):ความรบผดชอบตอกรณความเสยหายหรอสญเสยตอคนทเกยวกบการการเกบหรอใชสารสนเทศหรอทรพยสนทางปญญา

o คณภาพระบบทนำเสนอ(System quality): มาตรฐานของขอมลหรอระบบในดานการปกปองสทธสวนบคคลและความปลอดภยของสงคมทผดำเนนการตองกระทำ

o คณภาพชวต (Quality of life)คณคาทไดรบจากสงคมสารสนเทศและสงคมฐานความร

หลกในการปฏบต

o ใชหลกปฏบตศล (Moral)o ใชหลกปฏบตทางกฎระเบยบทางสงคม (Social contract)o ใชหลกปฏบตในเรองการแบงปนความสขo ใชหลกกฎหมาย (IT Law)

มาตรฐานสากล

o ISO/IEC 1779:2005Information technology – Security techniques – Code of

practice for information security management

o ISO/IEC 27001:2005Information technology – Security techniques – Informat

ion security management systems -- Requirements

มาตรฐานสากล

Information System Security Management ISO/IEC 27001

o ISMS provides a framework to establish, implement, operate, monitor, review, maintain and improve the information

security within an organization

o Implement effective information security that really meets business requirements

Information System Security Management ISO/IEC 27001

oManage risks to suit the business activityoManage incident handling activities

oBuild a security culture

oConform to the requirements of the Standard

Information System Security Management ISO/IEC 27001

A.5: Information security policies A.6: How information security is organized A.7: Human resources security - controls that are applied

before, during, or after employment. A.8: Asset management A.9: Access controls and managing user access A.10: Cryptographic technology A.11: Physical security of the organisation's sites and

equipment A.12: Operational security

Information System Security Management ISO/IEC 27001

A.13: Secure communications and data transfer A.14: Secure acquisition, development, and

support of information systems A.15: Security for suppliers and third parties A.16: Incident management A.17: Business continuity/disaster recovery (to the extent

that it affects information security) A.18: Compliance - with internal requirements, such as

policies, and with external requirements, such as laws.

จดมงหมาย

Information System Security Management ISO/IEC 27001

o Policies High level statements that provide guidance to workers

who must make present and future decision o Standards

Requirement statements that provide specific technical specifications o Guidelines

Optional but recommended specifications

Information System Security Management ISO/IEC 27001

Element of Policies

o Set the tone of Managemento Establish roles and responsibilityo Define asset classificationso Provide direction for decisionso Establish the scope of authorityo Provide a basis for guidelines and procedures o Establish roles and responsibilitieso Describe appropriate use of assetso Establish relationships to legal requirements

การกำหนดนโยบาย

การบรหารความเสยง (Risk Management)

o ตามกลไกของ ISO/IEC 27001 ประกอบดวย 2 สวน คอ

1. การประเมนความเสยง (Risk Assessment)

2. การรกษาความเสยง (Risk Treatment)

การประเมนความเสยง (Risk Assessment)

o ประเมนระดบของความเสยงทงหมดทมตอขอมลและทรพยสนตางๆ ขององคกร

o ความเสยงทเกนระดบทยอมรบได ตองนำไปดำเนนการควบคมและแกไข

o ผลการประเมนแสดงไดทงในรป Quantitative เชน จำนวนเงน หรอในรป

Qualitative เชน ความเสยหายตอชอเสยง โอกาสทางธรกจ เหลานแสดงผล

เปน มาก ปานกลาง นอย เปนตน

o ระดบของความเสยง พจารณาจาก ความนาจะเปน (Probability) และ ความ

รนแรง (Severity)

การบรหารความเสยง

o ทางเลอกในการควบคมและแกไขความเสยง ม 4 ทาง

§ การลดความเสยง (Risk Reduction) : หาวธควบคมแกไขความเสยงใหลดลงมาอยใน

ระดบทยอมรบได

§ การยอมรบความเสยง (Risk Acceptance) : ใชในกรณทพบวาการควบคมแกไขความเสยง ไมเหมาะสม ไมสามารถทำไดในทางปฏบต หรอไมคมคา

§ การหลกเลยงความเสยง (Risk Avoidance) : โดยการยกเลกกระบวนการทำงาน หรอ

ทรพยสนทกอใหเกดความเสยง มกใชวธนเมอใชวธอนแลวไมคม

§ การโอนยายความเสยง (Risk Transfer) : โอนใหผอนรบผดชอบแทน เชน บรษท

ประกนภย

มาตรการควบคมและแกไขความเสยง

แบงออกเปน 3 ประเภท

1. มาตรการควบคมทางดานกายภาพ

2. มาตรการควบคมทางดานเทคนค

3. มาตรการควบคมทางดานธรการ

มาตรการควบคมดานกายภาพ

เปนการจดใหมสภาพแวดลอมทางกายภาพทเหมาะสม เชน

o จดใหมระบบควบคมการเขา-ออกสถานททสำคญ (Access Control)

o การจดแบงพนทสำคญ เชน แยก Data Center ออกจากพนท

ปฏบตงานปกต

o การจดระเบยบสาย Cable ตางๆ ใหเรยบรอย

มาตรการควบคมทางดานเทคนค

เปนการใช Software หรอ Hardware มาชวยควบคมดแลความปลอดภย เชน

o การเขารหสขอมล (Encryption)

o การใช Antivirus Software

o การใช Firewall ควบคม Traffic ของเครอขาย

o การใชระบบตรวจจบและปองกนการบกรก (IDS, IPS)

มาตรการควบคมทางดานธรการ

o การจดใหม นโยบาย ระเบยบ วธการปฏบตงาน

o มการฝกอบรมทเหมาะสมกบบคลากรทเกยวของ รวมถงบคคลภายนอกทรวมงาน

Information System Security Process

o ควรใชวธการเชงรกเพอบรหารความเสยง

o การใชวธเชงรบอาจเกดความเสยหายมากกวา เนองจากไมไดเตรยมการลวงหนา ไมทราบถง

สงทอาจจะเกดขน

o ประกอบดวย 5 ขนตอน คอ

§ การประเมนความเสยง (Risk Assessment)

§ กำหนดนโยบาย (Policy)

§ การตดตงระบบปองกน (Implementation)

§ การฝกอบรม (Training)

§ การตรวจสอบ (Audit)

Information System Security Process

การประเมนความเสยงขององคกร

o แบงออกเปน 3 ระดบ

§ การวเคราะหความเสยงในระดบระบบ (System-Level Vulnerability Assessment)

§ การวเคราะหความเสยงในระดบเครอขาย (Network-Level Risk Assessment)

§ การวเคราะหความเสยงในระดบองคกร (Organization-Wide Risk Assessment)

การประเมนความเสยงขององคกร

• การวเคราะหความเสยงในระดบระบบ (System-Level Vulnerability Assessment) : ประเมนหาจดออนของคอมพวเตอรแตละเครองในองคกร และ

ตรวจสอบวาระบบสามารถแกไขใหเปนไปตามนโยบายความปลอดภยไดหรอไม

• การวเคราะหความเสยงในระดบเครอขาย (Network-Level Risk Assessm

ent) : ประเมนความเสยงของระบบคอมพวเตอรและเครอขายขององคกร

รวมถงระบบการจดการขอมลขององคกร

• การวเคราะหความเสยงในระดบองคกร (Organization-Wide Risk Assessment) : ประเมนความเสยงของทงองคกรเพอระบถงภยตางๆ ทงในมมของ

การปฏบต และการจดการขอมล

การประเมนความเสยงขององคกร

o เกบรวบรวมขอมลจาก พนกงาน เอกสาร และสงตางๆ ทเกดขนจรง

o ใชวธ วเคราะหจากเอกสาร สมภาษณ สำรวจ

o สงทควรตรวจสอบ ไดแก

§ การสำรวจเครอขาย

§ การรกษาความปลอดภยทางดานกายภาพ

§ นโยบายและระเบยบปฏบต

§ คำเตอนและขอควรระวง

§ การตนตว

การประเมนความเสยงขององคกร

o สงทควรตรวจสอบ (ตอ) ไดแก

§ พนกงาน

§ ปรมาณงาน

§ ขวญและกำลงใจ

§ การปฏบตตามนโยบายและระเบยบปฏบต

§ ธรกจ

การสำรวจเครอขาย

o ตรวจดผงระบบเครอขายเพอเกบรวบรวมขอมล

§ ประเภทและจำนวนของระบบตางๆ ทใชในเครอขาย

§ ระบบปฏบตการทใช

§ Topology

§ Link ทเชอมตออนเทอรเนต

§ การใชงานและการใหบรการอนเทอรเนต

§ Etc.

การสำรวจเครอขาย

o สำรวจกลไกการรกษาความปลอดภยระบบเครอขาย

§ การควบคมการเขาถง กฎของ Firewall

§ ระบบการพสจนตวตนในการ Remote Access

§ การเขารหสขอมล

§ การปองกน Virus

§ Etc.

การรกษาความปลอดภยทางดานการภาพ

o ตรวจสอบระบบควบคมการเขาออก พจารณา

§ ประเภทของระบบปองกน

§ ใครเปนผทสามารถเปดประตได

§ นอกจาก Data Center แลวยงมจดใดทมความสำคญอก

o การรกษาความปลอดภยทางดานกายภาพยงรวมถง

§ ระบบไฟฟา หลก / สำรอง

§ ระบบควบคมสภาวะแวดลอม

§ ระบบปองกนอคคภย

นโยบายและระเบยบปฏบต

o รวบรวมขอมล เชน

§ นโยบายการรกษาความปลอดภย

§ แผนฟนฟหลงเกดภยอนตราย

§ นโยบายการสำรองขอมล

§ คมอการปฏบตงาน

§ ผงองคกร

o พจารณาความสมเหตผล ความเหมาะสม ความสมบรณ และความทนสมย

การปฏบตตามนโยบายและระเบยบปฏบต

ประเมนสงทเกดขนจรง เปรยบเทยบกบนโยบายการรกษาความ

ปลอดภยทไดวางไว

§ ปฏบตตามหรอไม ?

§ ปฏบตไดหรอไม ?

§ เพราะอะไร ?

การปฏบตตามนโยบายและระเบยบปฏบต

o กำหนดขนเพอใชในการกคนระบบเมอเกดภยอนตราย

o องคประกอบหลก คอ การ Backup ระบบ และแผนกคนระบบ

(Recovery Plan)

o พจารณา วธการสำรองขอมล ขนตอน อปกรณ ชวงเวลา ปญหาทเกด

o พจารณา Recovery Plan ขนตอน ผรบผดชอบ การทดสอบและผลการ

ทดสอบ

นโยบาย (Policy)

ควรมนโยบายเกยวกบ

• นโยบายขอมล (Information Policy) : กำหนดวาขอมลใดมความสำคญ ซงตองระบถง

การจดเกบ การถายโอน การทำลาย

• นโยบายการรกษาความปลอดภย (Security Policy) : กำหนดเทคนควธการปองกนทางดานคอมพวเตอร

• นโยบายการใชงาน (Usage Policy) : กำหนดการใชงานอยางถกตองและเหมาะสมสำหรบ

ผใชแตละกลม

• นโยบายการสำรอง (Backup Policy) : กำหนดความจำเปนในการสำรองระบบ

คอมพวเตอร

นโยบาย

• ระเบยบปฏบตเกยวกบการบรหารจดการบญชผใช (Account Management Procedure) : กำหนดขนตอนการ เพม ลบ แกไข บญชผใช

• ระเบยบปฏบตเมอเกดเหตการณ (Incident Handling Procedure) :กำหนดจดมงหมายและขนตอนเกยวกบการจดการเหตการณตางๆ ทเกดขนกบ

ขอมล

• แผนฟนฟหลงภยรายแรง (Disaster Recovery Plan) : กำหนดแผนฟนฟ

หรอแผนกคน หลงจากเกดภยอนตราย

นโยบาย

o ควรมการจดลำดบความสำคญของนโยบาย ตามระดบของความเสยง

o นโยบายทควรกำหนดกอน คอ นโยบายขอมล เพอแสดงใหเหนถงความสำคญของขอมลในองคกร

o อาจพฒนานโยบายหลาย ๆ อนพรอมกนได หากใชบคลากรคนละกลม

o อาจเรมพฒนาจากนโยบายเลก ๆ กอน

o กรณทมนโยบายอยแลวจะใชวธการปรบปรงนโยบายทมอยเดม

การออกแบบและตดตง (Implementation)

o ระบบรายงานการรกษาความปลอดภยo ระบบพสจนทราบตวตน

o การรกษาความปลอดภยในการใชงานอนเทอรเนต

o ระบบตรวจจบและปองกนการบกรกo การเขารหสขอมล

o การรกษาความปลอดภยดานกายภาพ

o คณะทำงาน

ระบบรายงานการรกษาความปลอดภย

o เปนกลไกชวยใหผดแลระบบทราบถงการปฏบตตามนโยบายของพนกงาน และตดตามสถานภาพเกยวกบจดออน โดย

§ เฝาระวงการใชงานระบบ เชน Monitor การใชงานอนเทอรเนต เกบ Log การทำงานท

ฝาฝน

§ สแกนชองโหวของระบบ โดยใชเครองมอเพอจดทำรายงานเพอหาทางแกไข ตรวจสอบเปนประจำทกระบบ รวมถงตดตามขอมลขาวสารจากแหลงตางๆ

§ การปฏบตตามนโยบาย อาจใชเครองมอแบบอตโนมตทมแพรหลาย หรออาจใชแบบ Manual โดยดจาก Log

ระบบพสจนทราบตวตน

o ใชตรวจสอบเพอเขาใชงาน

o ตรวจสอบการเขาสถานทตองหาม

o อาจใช รหสผาน Smart Card หรอ Biometrics

การรกษาความปลอดภยในการใชอนเทอรเนต

o โดยปกตใช Firewall รวมกบ Virtual Private Network (VPN)

o ตองมการวางตำแหนงทถกตองของอปกรณ Firewall และอาจมการรบกวนการ

ทำงานของผใชทวไป

o VPN ชวยปองกนความลบของขอมลดวยการเขารหส

ระบบตรวจจบและปองกนการบกรก

o Intrusion Detection System (IDS) ชวยตรวจจบการบกรกเครอขาย

o ตรวจสอบการพยายามเขาบรเวณตองหาม หรอเขามาโดยผดปกต

การเขารหสขอมล

o ใชปกปองความลบ มสงทตองพจาณา คอ

§ Algorithms

การเลอกใชอนใดขนกบวตถประสงคในการใชงาน นอกจากนน ควรเลอก

อนทผานการทดสอบและเปนทยอมรบในเรองประสทธภาพ

§ การบรหารคย (Key Management)

การเขารหสแบบ Point-to-Point โดยปกตจะใชวธ Private Key Encryption และจะตองมการอพเดตคยเปนประจำ สวน Public Key Encryption จะ

มความยงยากในการแจกจาย Public Key และ Digital Certificate

การรกษาความปลอดภยดานกายภาพ

o Close-Circuit Television (CCTV)

o กญแจ อปกรณแทนกญแจ เชน Key Card, Biometrics

o ระเบยบปฏบต เชน ตดบตรประจำตว

o อปกรณสำรองไฟo ระบบควบคมเพลงไหม

o ระบบควบคมอณหภม

การฝกอบรม (Training)

o เปนการแจงขอมลทจำเปนแกบคลากรขององคกร

o อาจใชวธ ประชม ประชาสมพนธผานสอ เชน วารสาร ประกาศ e-mail

o บคลากรทตองไดรบการฝกอบรม ไดแก พนกงาน ผดแลระบบ Developer

ผบรหาร ฝายรกษาความปลอดภย

การตรวจสอบ (Audit)

o เปนการตรวจสอบวามการฝาฝนนโยบายและระเบยบปฏบตหรอไม โดยตรวจสอบ

§ การตรวจสอบการปฏบตตามนโยบาย

§ การประเมนโครงการใหม

§ การตรวจสอบการเจาะระบบ (Penetration Test)

การตรวจสอบการปฏบตตามนโยบาย

o Policy Adherence Audit ทำเพอตรวจสอบวาองคกรมระดบความปลอดภยตามทคาดหวงหรอไม

o อาจใชผตรวจสอบภายในหรอจากภายนอก

o ตรวจสอบทกสวนไมเฉพาะแตระบบคอมพวเตอร

o ตรวจสอบปละครง

การตรวจสอบการเจาะระบบ

o เพอตรวจสอบหาจดออนหรอชองโหว

o มกทดสอบกบระบบทความเสยงสง

o ควรมการวางแผนอยางละเอยดรอบคอบ และแจงลวงหนากอนทดสอบ

o ทดสอบทงในเชง กายภาพ ระบบ และ Social Engineering