1 / 25

บทที่ 7-1

บทที่ 7-1. :Security Policy and Organizational Security. Outline. นโยบาย (Policy) คืออะไร นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คืออะไร ข้อแนะนำในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศ ประเภทของนโยบายความมั่นคงปลอดภัยของสารสนเทศ

draco
Download Presentation

บทที่ 7-1

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. บทที่ 7-1 :Security Policy and Organizational Security PanidaPanichkul

  2. Outline • นโยบาย (Policy) คืออะไร • นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คืออะไร • ข้อแนะนำในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศ • ประเภทของนโยบายความมั่นคงปลอดภัยของสารสนเทศ • นโยบายความมั่นคงปลอดภัยของสารสนเทศระดับองค์กร • นโยบายความมั่นคงปลอดภัยเฉพาะเรื่อง • นโยบายความมั่นคงปลอดภัยเฉพาะระบบ Panida Panichkul

  3. 7-1.1 นโยบาย (Policy) คืออะไร • Policy คือ การกำหนดนโยบาย เป็นการเขียนกฎเกณฑ์ ระเบียบ และข้อบังคับในการปฏิบัติตนของพนักงานในองค์กร ซึ่งจะรวมถึงการปฏิบัติตนเพื่อรักษาความมั่นคงปลอดภัยของสารสนเทศขององค์กรด้วย • นโยบาย (Policy) คือ แผนงานหรือกลุ่มของข้อปฏิบัติที่องค์กรใช้เป็นตัวกลางในการถ่ายทอดคำสั่งจากผู้บริหารระดับสูง ไปยังบุคลากรในระดับตัดสินใจ ระดับปฏิบัติการ รวมถึงบุคลากรในหน้าที่อื่นๆ ที่ต้องปฏิบัติตามนโยบาย • นโยบายเป็นเสมือนกฎหมายที่บังคับใช้ในองค์กร เนื่องจากนโยบายได้ระบุข้อปฏิบัติที่ถูกและผิดไว้ภายใต้กรอบวัฒนธรรมขององค์กรนั้นๆ รวมทั้งยังได้มีการกำหนดบทลงโทษสำหรับผู้ที่มีความประพฤติขัดต่อนโยบายด้วย Panida Panichkul 3

  4. จากนโยบายจะนำไปสู่การกำหนด “มาตรฐาน (Standard)” ซึ่งจะแสดงถึงรายละเอียดการในการปฏิบัติงานที่สอดคล้องกับนโยบาย และจากมาตรฐานจะนำไปสู่การกำหนด “วิธีการปฏิบัติ (Practice)”, “ลำดับขั้นตอน (Procedure)” และ “แนวทาง (Guideline)” Panida Panichkul 4

  5. 7-1.2 นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy) คืออะไร • นโยบายความมั่นคงปลอดภัยของสารสนเทศ (Information Security Policy)คือ กฎข้อบังคับที่ใช้ในการป้องกัน สารสนเทศขององค์กร • นั่นคือ หากต้องการจัดตั้งโครงการใดๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัยของสารสนเทศขององค์กร จะต้องเริ่มต้นจากการนำนโยบาย (Policy) ความมั่นคงปลอดภัยของสารสนเทศ มาตรฐาน (Standard) และวิธีการปฏิบัติ (Practice) ตาม มาตรฐานมาทบทวน หรือใช้เป็นบรรทัดฐานในการวางแผน ออกแบบ และกำหนดขั้นตอนการดำเนินโครงการ หากปราศจากนโยบายแล้ว ทีมงานจะไม่สามารถจัดตั้งโครงการที่ตอบสนองความต้องการด้านความมั่นคงปลอดภัยของสารสนเทศขององค์กรได้อย่างแท้จริง Panida Panichkul 5

  6. 2-1.3 ข้อแนะนำในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศ • ไม่ขัดต่อข้อกฎหมาย • สามารถใช้ในชั้นศาลได้หากจำเป็น • ต้องได้รับการสนับสนุนและการบริหารจัดการที่ดี • ต้องมีส่วนช่วยให้องค์กรประสบความสำเร็จ • ฝ่ายบริหารจะต้องมั่นใจว่ามีการกำหนดข้อปฏิบัติแก่บุคลากรในการใช้งานระบบสารสนเทศได้อย่างเหมาะสม • ควรให้ผู้ใช้ระบบสารสนเทศมีส่วนร่วมในขั้นตอนกำหนดนโยบาย • นโยบายความมั่นคงปลอดภัยของสารสนเทศ จะต้องตอบสนองความต้องการขององค์กรได้อย่างแท้จริง Panida Panichkul 6

  7. 7-1.4 ประเภทของนโยบายความมั่นคงปลอดภัยของสารสนเทศ • NIST ได้ระบุไว้ในเอกสารเผยแพร่ฉบับพิเศษ 800-14 ว่าในการกำหนดนโยบายความมั่นคงปลอดภัยของสารสนเทศที่ครบถ้วนสมบูรณ์นั้น ทีมงานจะต้องกำหนดนโยบายทั้งหมด 3 ชนิด ดังนี้ • นโยบายความมั่นคงปลอดภัยของสารสนเทศระดับองค์กร (Enterprise Information Security Policy) • นโยบายความมั่นคงปลอดภัยเฉพาะเรื่อง (Issue-specific Security Policy) • นโยบายความมั่นคงปลอดภัยเฉพาะระบบ (System-specific Security Policy) Panida Panichkul 7

  8. 7-1.5 นโยบายความมั่นคงปลอดภัยของสารสนเทศระดับองค์กร (Enterprise Information Security Policy: EISP) • คือ การกำหนดทิศทางและขอบเขตเชิงกลยุทธ์เพื่อความมั่นคงปลอดภัยขององค์กร [E. Whitman and J. Mattord, 2008] • นโยบายชนิดนี้ยังถูกเรียกชื่อแตกต่างกันออกไปอีกหลายชื่อ ได้แก่ • General Security Policy • IT Security Policy • High-level Information Security Policy • Information Security Policy • นโยบายฯ ระดับองค์กร เป็นการกำหนดความรับผิดชอบของงานความ มั่นคงปลอดภัยทุกด้าน เป็นการกำหนดทิศทางงานด้านความมั่นคงปลอดภัยของสารสนเทศสำหรับองค์กรในภาพรวม หรือในระดับที่ครอบคลุมทั้งองค์กร ไม่ได้เป็นการระบุความมั่นคงปลอดภัยเฉพาะด้าน Panida Panichkul 8

  9. คุณลักษณะของ EISP • เป็นนโยบายที่สนับสนุนและตอบสนองต่อภารกิจและวิสัยทัศน์ขององค์กรโดยตรง • สามารถนำมาใช้ในกระบวนการทางกฎหมายได้ • ผู้ที่ทำหน้าที่กำหนดนโยบายชนิดนี้ จึงเป็นผู้บริหารระดับสูงหรือระดับอาวุโส • เอกสารนโยบายชนิดนี้จะไม่มีการปรับปรุงแก้ไขบ่อยครั้ง • การปรับปรุงแก้ไขจะเกิดขึ้นก็ต่อเมื่อมีการเปลี่ยนวิสัยทัศน์หรือกลยุทธ์ขององค์กร Panida Panichkul 9

  10. องค์ประกอบของ EISP • ประกาศวัตถุประสงค์ อธิบายว่า “นโยบายที่กำหนดขึ้น มีไว้เพื่ออะไร” • องค์ประกอบความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ ในส่วนนี้ให้กำหนดองค์ประกอบของการรักษา ความมั่นคงปลอดภัยของสารสนเทศขั้นพื้นฐานและอื่นๆ ตามที่ต้องการ เช่น การป้องกันสารสนเทศให้เป็นความลับ (Confidentiality) มีความถูกต้องสมบูรณ์ (Integrity) และพร้อมใช้ (Availability) แม้ว่าจะอยู่ในขณะ ประมวลผล การเคลื่อนย้าย หรือการจัดเก็บ จะกระทำผ่านนโยบาย การให้ความรู้และฝึกอบรม ตลอดจนเทคโนโลยีต่างๆ เป็นต้น ในเนื้อหาส่วนนี้ ทีมงานสามารถระบุนิยามของแต่ละองค์ประกอบได้ Panida Panichkul 10

  11. ความจำเป็นที่ต้องมีความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ เขียนรายละเอียดแสดงให้เห็นถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศภายในองค์กร โดยต้องแสดงให้เห็นถึงข้อผูกพันทางกฎหมายและจริยธรรมด้วย • บทบาทและความรับผิดชอบด้านความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ แสดงโครงสร้างองค์กรที่กำหนดขึ้นเพื่อสนับสนุนงานด้านความมั่นคงปลอดภัยของสารสนเทศภายในองค์กร • อ้างอิงมาตรฐานและแนวทางอื่นๆ แสดงรายชื่อมาตรฐาน กฎหมาย หรือนโยบายอื่นๆ ที่ใช้เป็นแนวทางในการจัดทำนโยบายฉบับนี้ Panida Panichkul 11

  12. ตัวอย่าง EISP Panida Panichkul 12

  13. Panida Panichkul 13

  14. Panida Panichkul 14

  15. Panida Panichkul 15

  16. Panida Panichkul 16

  17. 7-1.6 นโยบายความมั่นคงปลอดภัยเฉพาะเรื่อง (Issue-specific Security Policy: ISSP) • คือ การกำหนดทิศทางและขอบเขตเชิงกลยุทธ์เพื่อความมั่นคงปลอดภัยขององค์กร [E. Whitman and J. Mattord, 2008] • นโยบายความมั่นคงปลอดภัยเฉพาะเรื่อง จะมีการอธิบายรายละเอียดที่แคบลง คืออธิบายเฉพาะเรื่องจำแนกตามประเภทของเทคโนโลยี และที่สำคัญอธิบายเป็นลำดับขั้นตอนมากขึ้น จึงสามารถนำไปใช้เป็นมาตรฐานในการใช้งานเทคโนโลยีหรือระบบต่างๆ ได้ง่ายกว่านโยบายชนิด EISP • คุณลักษณะของ ISSP • ระบุรายละเอียดเป็นเรื่องๆ จำแนกตามเทคโนโลยีแต่ละชนิด • ต้องมีการปรับปรุงข้อมูลในนโยบายตามการเปลี่ยนแปลงของเทคโนโลยีอยู่เสมอ • มีการอธิบายสถานะขององค์กรที่เป็นอยู่ในแต่ละเรื่อง Panida Panichkul 17

  18. สำหรับหัวข้อเรื่องเทคโนโลยีต่างๆ ในนโยบายความมั่นคงปลอดภัยเฉพาะเรื่อง ยกตัวอย่างดังนี้ • การใช้งานอีเมล์ • การใช้อินเทอร์เน็ตและบริการ World Wide Web • การตอบสนองต่อเหตุการณ์ไม่คาดคิด • การวางแผนฟื้นฟูจากความเสียหายและ/หรือการวางแผนดำเนินธุรกิจอย่างต่อเนื่องในเหตุการณ์คับขัน • การตั้งค่าระบบคอมพิวเตอร์ในขั้นต้น เพื่อการป้องกันเวิร์มและไวรัส • การป้องกันระบบจากแฮคเกอร์ และการทดสอบระบบควบคุมความมั่นคงปลอดภัยขององค์กร • การใช้คอมพิวเตอร์ของบริษัทที่บ้านของพนักงาน Panida Panichkul 18

  19. การใช้งานอีเมล์ • การใช้อุปกรณ์ส่วนตัวของพนักงานเชื่อมต่อเข้ากับระบบเครือข่ายขององค์กร • การใช้เทคโนโลยีโทรคมนาคมชนิดต่างๆ (เช่น เครื่องแฟกซ์โมเด็ม หรือโทรศัพท์) • การใช้เครื่องถ่ายเอกสาร Panida Panichkul 19

  20. องค์ประกอบของ ISSP • วัตถุประสงค์ (Statement of Purpose) • ขอบเขตและการนำนโยบายไปใช้งาน • นิยามของเทคโนโลยีชนิดต่างๆ • ความรับผิดชอบ • การใช้งานที่ได้รับอนุญาต (Authorized Uses) • การเข้าถึง • การใช้งานอย่างเป็นธรรมและรับผิดชอบ • การปกป้องความเป็นส่วนตัว Panida Panichkul 20

  21. การใช้งานที่ไม่ได้รับอนุญาต (Prohibited Uses) • นำไปใช้ในทางที่ผิด • ใช้ก่ออาชญากรรม • ใช้สร้างความรำคาญหรือก่อกวน • ละเมิดทรัพย์สินทางปัญญา • ตามข้อห้ามอื่นๆ • การจัดการระบบ (Systems Management) • การจัดการเอกสารที่จัดเก็บไว้ • การติดตามอีเมล์ • การป้องกันไวรัสคอมพิวเตอร์ • ความมั่นคงปลอดภัยทางกายภาพ • การเข้ารหัส Panida Panichkul 21

  22. การละเมิดนโยบาย (Violations of Policy) • ขั้นตอนการจัดทำรายงานการละเมิดนโยบาย • บทลงโทษสำหรับการละเมิด • การทบทวนนโยบายและการแก้ไข (Policy Review and Modification) • ตารางการทบทวนนโยบาย • ขั้นตอนการแก้ไขนโยบาย • ความรับผิดชอบ (Limitations of Liability) • ความรับผิดชอบ • การแสดงความไม่รับผิดชอบ Panida Panichkul 22

  23. 7-1.6 นโยบายความมั่นคงปลอดภัยทศเฉพาะระบบ (System-specific Security Policy: SysSP) • นโยบายความมั่นคงปลอดภัยของสารสนเทศเฉพาะระบบ (System-specific Security Policy: SysSP)คือ การกำหนดมาตรฐานและวิธีปฏิบัติ ที่จะนำไปใช้ในการกำหนดค่าคุณสมบัติหรือการบำรุงรักษาระบบ [E. Whitman and J. Mattord, 2008] • เช่น การกำหนดค่าคุณสมบัติของ Firewall ในเอกสารจะต้องมีประโยคที่แสดงให้เห็นถึงเจตนาหรือความตั้งใจในการ จัดทำนโยบาย แนวทางในการเลือก กำหนดค่า และวิธีการใช้ระบบ Firewall แก่วิศวกรที่รับผิดชอบ นอกจากนี้ ยังต้องแสดงให้เห็นถึงตารางควบคุมการเข้าถึง (Access Control List: ACL) ที่ระบุระดับของการเข้าถึงระบบของผู้ใช้แต่ละคน เป็นต้น นอกจากนี้ สิ่งหนึ่งที่ทีมงานควรคำนึงถึง คือ กรอบของการจัดทำนโยบายทั้งหมด ที่จะต้องมั่นใจว่านโยบาย SysSPจะไม่ขัดต่อนโยบาย ISSP และ EISP Panida Panichkul 23

  24. เนื้อหาในนโยบาย SysSP อาจแบ่งออกเป็น 2 กลุ่ม คือ แนวทางด้านบริหาร (Managerial Guidance) และข้อกำหนดทางเทคนิค (Technical Specification) หรือจะรวมเนื้อหาทั้ง 2 กลุ่มเข้าด้วยกันก็ได้ Panida Panichkul 24

  25. Reference • พนิดา พานิชกุล, ความมั่นคงปลอดภัยของสารสนเทศ (Information Security), สำนักพิมพ์ เคทีพี, 2553. Panida Panichkul

More Related