ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สานักงานปลัดกระทรวงยุติธรรม
สารบัญ
ความเป็ นมา
3
ISO/IEC 27001 Requirement & Control
21
Clause & Anex in ISO 27001
26
ข้ อแตกต่างระหว่างISO 2000:2005:2013
161
ข้ อมูลอ้ างอิง
165
2
3
รู้ จัก ISO / IEC 27001 มาตรฐาน ISO / IEC 27001 เป็ นมาตรฐานสากลสาหรับข้ อมูลหรื อ การจัดการความปลอดภัย ได้ แสดงวิธีเพื่อวางในตาแหน่งระบบการจัดการความ ปลอดภัยของข้ อมูลการประเมินอย่างเป็ นอิสระพร้ อมรับการรับรอง ช่วยให้ คณ ุ สามารถแก้ ปัญหาของ 'ความปลอดภัยของข้ อมูลคืออะไร? จะช่วยให้ คณ ุ ได้ อย่างมีประสิทธิภาพการรักษาความปลอดภัยข้ อมูลทางการเงินและเป็ น ความลับทังหมดเพื ้ ่อลดโอกาสที่ของมันถูกเข้ าถึงอย่างผิดกฎหมายหรื อไม่ได้ รับ อนุญาต ประโยชน์ ของ ISO 27001 >> ระบุความเสี่ยงและการเข้ าควบคุมการจัดการเพื่อลดความเสี่ยง >> นาความยืดหยุน่ เข้ ามามีบทบาทในการควบคุมหรื อพัฒนาธุรกิจ >> ลูกค้ าไว้ วางใจจากการที่ข้อมูลมีความปลอดภัย 4
ความเป็ นมากว่าจะมาเป็ น ISO27001 • ISO ย่อจาก International Organization for Standardization • ISO ก่อตังตั ้ งแต่ ้ ปี 1947 • ครัง้ แรกของงานด้ านความปลอดภัยเกิดจาก BS 7799 ที่กาหนดตังแต่ ้ ปี 1993 ของรัฐบาลอังกฤษ • สองปี หลังจากนัน้ (1995) ได้ ประกาศเป็ นมาตรฐานกับหน่วยงานซื ้อขาย และ อุตสาหกรรม • ซึง่ BS 7799 ได้ พฒ ั นาปรับปรุงต่อเนื่องมาเรื่ อยจนถึงปี 2005 • ในเดือนธันวาคม ปี 2000 BS7799 ได้ ถกู ทาเป็ นมาตรฐาน ISO 17799 5
กว่าจะมาเป็ น ISO27001 (ต่อ) • ISO/IEC 17799:2000 – Code of Practice for Information Security Management
• BS 7799-2:2002 – Specification for Information Security Management Systems
• ISO/IEC 27000 Series (2005) ประกาศเดือนตุลาคม • ISO/IEC 27001 (2013) ประกาศเดือนกรกฎาคม เวอร์ ชนั ร่าง 6
US
EU
1972
ISO
DoD Directive 5200.28
1985
TCSEC ( Orange Book ) 1987
TNI ( Red Book) 1990 ITSEC
1996-2001 GMITS ( ISO/IEC TR 13335-3, 1998)
1996, ISO=2002 SSE-CMM
1996, ISO=1999
1995,1999 BS7799
Common Criteria
2004-2006 ISO/IEC 13335 MICTS
management of
(
security) ISO/IEC 18028 (network security)
ICT 2005
2001/2005 ISO/IEC 17799 ( code of practice)
ISO/IEC 27000 series ISMS (management system)
7
โครงสร้างของเอกสาร ISO 27001 27000 Fundamentals & Vocabulary 27001:ISMS requirement 27005 Risk Management
27002 Code of Practice for ISM
27003 Implementation Guidance 27004 Metrics & Measurement
27006 Guidelines on ISMS accreditation 8
Introduction to ISMS Standards •
มาตรฐานภายใต้ ISO 27000-Series ทังหมด ้ พัฒนาขึ ้นโดยความร่ วมมือของ The International Organization for Standardization (ISO) และ The International Electrotechnical Commission (IEC)
•
ชุดมาตรฐาน 27000-Series นันได้ ้ ถกู ออกแบบมาให้ เป็ น “Good Practices” และ “International Standards” สาหรับเรื่ องการบริหารจัดการระบบความมัน่ คงปลอดภัยสารสนเทศ หรื อ “Information Security Management System” (ISMS) โดยเปรี ยบได้ กบั แนวคิดการออกแบบระบบ Quality Assurance ได้ แก่ ISO 9000 Series หรื อ ระบบที่เกี่ยวกับ การพิทกั ษ์ สิ่งแวดล้ อม ได้ แก่ ISO 14000 Series
•
9
Introduction to ISMS Standards ในปั จจุบนั ทางหน่วยงาน ISO และ IEC ได้ ออกชุดมาตรฐานการบริหารจัดการความมัน่ คงปลอดภัยสารสนเทศอย่างเป็ น ทางการ ดังนี ้ • • • • • • • • •
มาตรฐาน ISO/IEC 27000:2009 ISMS Overview and Vocabulary มาตรฐาน ISO/IEC 27001:2005 ISMS Requirements มาตรฐาน ISO/IEC 27002:2005 Code of Practice for ISM มาตรฐาน ISO/IEC 27003:2010 ISMS Implementation Guideline มาตรฐาน ISO/IEC 27004:2009 ISMS Metrics and Measurement มาตรฐาน ISO/IEC 27005:2008 Information Security Risk Management มาตรฐาน ISO/IEC 27006:2007 Requirements for Certification Body มาตรฐาน ISO/IEC 27011:2008 ISM Guidelines for Telecommunications มาตรฐาน ISO/IEC 27799:2008 ISM Guidelines for Health informatics
10
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27000:2009 “ภาพรวมและนิยามศัพท์ ” “Information technology - Security techniques - Information security management systems - Overview and vocabulary” ภาพรวมของ ISO 27000-Series และ คาศัพท์ที่ควรรู้
• มาตรฐาน ISO/IEC 27001:2005, ISO/IEC 27001:2013 “ข้ อกาหนดเพื่อ ขอรับรอง” “Information technology - Security techniques - Information security management systems - Requirements” (มาตรฐาน ISO/IEC 27001 ถูกพัฒนามาจาก BS7799 Part 2) ข้ อกาหนดด้ านความมัน่ คงปลอดภัยสารสนเทศที่ต้อง (Shall) ปฏิบตั ิ เพื่อสามารถนาไปสูก่ าร ได้ รับรองมาตรฐานระบบบริ หารจัดการความมัน่ คงปลอดภัยสารสนเทศ หรื อ ISMS โดย หน่วยงานที่มีหน้ าที่ตรวจประเมินและออกใบรับรอง เช่น BV และ Tuv- Nord 11
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27002:2005 “แนวปฏิบัต”ิ “Information technology — Security techniques — Code of practice for information security management” (พัฒนามาจาก ISO/IEC 17799:2005 ซึง่ มาจากมาตรฐาน BS7799 Part 1) แนวทางในการจัดทามาตรการรักษาความมัน่ คงปลอดภัยสารสนเทศ ให้ สอดคล้ องกับการ จัดทาระบบ ISMS ตามข้ อกาหนดจากมาตรฐาน ISO/IEC 27001:2005 ซึง่ จะเน้ นถึง “Good Practices” ที่ ควร (Should) ปฏิบตั ิ โดยไม่ได้ บงั คับเข้ มงวด ประเทศต่าง ๆ ทัว่ โลกได้ นามาตรฐาน ISO/IEC 27002 ไปปรับเป็ นมาตรฐานของประเทศ ตนเอง เวอร์ ชนั่ ล่าสุดของ ISO/IEC 27002 คือ ISO/IEC 27002:2005 (ออกใน เดือนกรกฎาคม 2007 ทดแทน ISO/IEC 17799:2005 Part 1)
12
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27003:2010 “แนวทางดาเนินการ” “Information technology - Security techniques - Information security management systems implementation guideline” มาตรฐานสนับสนุนเพื่อใช้ เป็ นแนวทางในการดาเนินการจัดทาระบบ ISMS ประกอบด้ วย แนวทางในการจัดทาตามข้ อกาหนดตามมาตรฐานเพื่อขอประเมินรับรอง • มาตรฐาน ISO/IEC 27004:2009 “การวัดประสิทธิผล” “Information technology - Security techniques – Metrics and Measurement for Information security management systems” มาตรฐานสนับสนุนเพื่อใช้ เป็ นแนวทางในการกาหนดเกณฑ์และการวัดผลสัมฤทธิ์หรื อ ประสิทธิผล (Effectiveness) ของมาตรการรักษาความมัน่ คงปลอดภัยที่ใช้ ในระบบ ISMS 13
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27005:2008 “การบริหารความเสี่ยง” “Information technology - Security techniques - Information security risk management” เป็ นมาตรฐานใหม่ด้านการบริ หารความเสี่ยงสาหรับด้ านความมัน่ คงปลอดภัยสารสนเทศโดยเฉพาะ (Information Security Risk Management) ซึง่ ปรับปรุงมาจาก ISO/IEC 13335-3 และ ISO/IEC 13335-4 รวมทังอ้ ้ างอิงมาจากมาตรฐาน “Risk Management Guide for Information Technology Systems” (NIST SP 800-30) แต่จะมีมมุ มองทางด้ าน Information Security โดยเฉพาะ ซึง่ เหมาะสาหรับเป็ น แนวทางในการประเมินความเสี่ยง (Risk Assessment) สอดคล้ องตามข้ อกาหนดของมาตรฐาน ISO/IEC 27001:2005 และตามแนวปฏิบตั ิ ISO/IEC 27002:2005
14
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27006:2007 “ข้ อกาหนดการตรวจประเมิน” “Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems” เป็ นแนวทางในการตรวจประเมินสาหรับ Certification Body (CB) เพื่อให้ อยู่บน มาตรฐานเดียวกัน ผู้ตรวจและผู้ถกู ตรวจควรศึกษาถึงมาตรฐาน ISO/IEC 27006:2007 เสียก่อนทาการตรวจประเมิน เปรี ยบเสมือนการรู้โจทย์ที่ต้องตอบคาถามจากทางผู้ตรวจ ประเมิน ทาให้ โอกาสในการผ่านการตรวจประเมินนันเพิ ้ ่มมากขึ ้น และลดปั ญหาในการเตรี ยม ความพร้ อมในการตรวจประเมินอีกด้ วย
15
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27011:2008 “แนวปฏิบัตสิ าหรับบริษัทโทรคมนาคม” “Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002” (ISMS for Telecom) มาตรฐานที่เป็ นแนวปฏิบตั ิในการบริ หารจัดการความมัน่ คงปลอดภัยสารสนเทศสาหรับกลุม่ องค์กรที่เกี่ยวกับด้ าน Telecommunication (เช่น บริ ษัทผู้ให้ บริ การโทรศัพท์ เคลื่อนที่) โดยมีการอ้ างอิงแนวปฏิบตั ิมาจากมาตรฐาน ISO/IEC 27002:2005 • มาตรฐาน ISO/FDIS 27799:2008 “แนวปฏิบตั สิ าหรับสถานพยาบาล” “Health informatics - Information security management in health using ISO/IEC 27002” (ISMS for HealthCare) มาตรฐานที่เป็ นแนวปฏิบตั ิในการบริ หารจัดการความมัน่ คงปลอดภัยสารสนเทศสาหรับกลุม่ องค์กรด้ าน HealthCare (เช่น โรงพยาบาล) โดยมีการอ้ างอิงแนวปฏิบตั ิมาจากมาตรฐาน ISO/IEC 27002:2005 เช่นกัน 16
Introduction to ISMS Standards สาหรับมาตรฐานที่อยู่ในระหว่างการพัฒนาและคาดว่าจะประกาศใช้ ในเร็ว ๆ นี ้ ได้ แก่
• มาตรฐาน ISO/IEC 27007 มาตรฐานที่เป็ นแนวทางในการตรวจสอบภายในองค์กรและตรวจประเมิน ISMS โดยเน้ นตรวจที่ กระบวนการพัฒนาระบบบริ หารจัดการสาหรับ “ISMS” (เพิ่มเติมมาจากมาตรฐาน ISO 19011 ซึง่ ถูกนามาใช้ กบั Management System ทัว่ ไปที่ไม่ได้ เฉพาะเจาะจงว่าเป็ น ISMS) • มาตรฐาน ISO/IEC 27008 มาตรฐานที่เป็ นแนวทางในการตรวจประเมินมาตรการรักษาความมัน่ คงปลอดภัยสารสนเทศ (133 Controls) ขององค์กรที่จดั ทาระบบ ISMS นามาใช้ ได้ อย่างถูกต้ องและมีประสิทธิผล
• มาตรฐาน ISO/IEC 27014 มาตรฐานที่เป็ นแนวทางในการบริ หารและกากับดูแลที่ดีด้านความมัน่ คงปลอดภัยสารสนเทศสาหรับ องค์กร “Information Security Governance” เป็ นการขยายขอบเขตและความ รับผิดชอบของการบริ หารจัดการความมัน่ คงปลอดภัยสารสนเทศ 17
Introduction to ISMS Standards • มาตรฐานสากลที่เกี่ยวกับการรักษาความมัน่ คงปลอดภัยสารสนเทศที่ได้ รับความนิยมมากที่สดุ และ เป็ น ที่ร้ ูจกั ทัว่ โลกในเวลานี ้ ได้ แก่
มาตรฐาน ISO/IEC 27001:2005
มาตรฐาน ISO/IEC 27002:2005 (ชื่อเดิมคือ ISO/IEC 17799:2005)
• มีองค์กรในหลายประเทศทัว่ โลกกว่า 6,500 องค์กร ที่ได้ รับการรับรองมาตรฐาน ISO/IEC 27001:2005 จากหน่วยงานที่มีหน้ าที่รับรองระบบการบริ หารจัดการความมัน่ คงปลอดภัยข้ อมูล ขององค์กร หรื อ ที่ร้ ูจกั กันในนาม “Certification Body” (CB) • ดูข้อมูลได้ จาก Web Site www.iso27001certificates.com ซึง่ ในประเทศไทยมี จานวน 34 องค์กรที่ได้ รับการรับรองมาตรฐานดังกล่าว (as of July 2010) โดยถ้ าเทียบกับ ประเทศญี่ปนที ุ่ ่มีจานวนองค์กรได้ รับการรับรองมาตรฐาน ISO/IEC 27001:2005 มากที่สดุ ใน โลกกว่า 3,500 องค์กร ซึง่ ยังถือว่าประเทศไทยของเราเพิ่งจะเริ่ มต้ นเท่านัน้ (อยู่ในอันดับ 17 จากทุก 18 ประเทศที่มีองค์กรได้ รับการระบบ ISMS)
History of ISMS Standards
19
มาตรฐานชุด 27000: ISMS Family of Standards Relationship Terminology
General Requirements
General Guidelines
Sector-Specific Guidelines
(mandatory)
ISMS Certification
27000 Overview and Vocabulary
ISO/IEC 17799:2005
27001
27002
ISMS Requirements
Code of Practice
27003 27006 Certification Body Requirements
ISO/IEC 27006:2007 ISO/IEC 27005:2008
ISO/IEC 27011:2008 ISO/FDIS 27799:2008 ISO/IEC 27000:2009
ISO/IEC 27033-1:2009
Normative ( Requirements ) ( Specifications ) Standards Informative ( Guideline )
( Code of Practices ) Standards
Informative ( in Progress )
ISO/IEC 27004:2009 ISO/IEC 27003:2010
27011
27032
Telecommunication Organizations
Guidelines for Cyber Security
27012
27033-1
ISMS for e-Government
IT Network Security
Fixed line support
27013 Integrated Implementation of ISO20000 & ISO27001
Legend
ISO/IEC 27001:2005 ISO/IEC 27002:2005
27004
27031 ICT-Focused Standard on Business Continuity
ISMS Metrics and Measurements
Existing Standards Update: Mar. 2010
ISMS Implementation Guideline
27010 ISMS for Inter-Sector Communications
27005 Risk Management
27014
27035
Information Security Governance
Security Incident Management
27007 ISMS Auditing Guidelines
27034 Guidelines for Application Security
27015 Financial & Insurance Sector ISMS Requirements
27008 Guidance on Auditing Information Security Controls
Source: modified from “ISMS Family of Standards Relationship”, www.iso.org/iso/
27799 Health Informatics
27036 Guideline for Security of Outsourcing
27037 Guideline for Digital Evident
20
ISO/IEC 27001
ISMS Requirements 0.1 General
Clause 0 Introduction Clause 1 Scope Clause 2 Normative References
0.2 Process Approach
P D C A Model
0.3 Compatibility with other Mgt Systems 1.1 General 1.2 Application 4.2.1 Establish the ISMS
ISO/IEC 17799:2005, Information technology – Security techniques – Code of practice for information security management
4.2.2 Implement & Operate ISMS 4.2.3 Monitor & Review ISMS 4..2.4 Maintain & Improve ISMS
Clause 3 Terms and Definitions 4.1 General Requirements
Clause 4 Information Security Mgt System Clause 5 Management Responsibility
4.2 Establishing & Managing the ISMS
4.3.1 General
4.3 Documentation Requirements
4.3.2 Control of Documents
4.3.3 Control of Records
5.1 Management Commitment 5.2 Resource Management
5.2.1 Provision of Resources
Clause 6 Internal ISMS Audits
5.2.2 Training Awareness & Competence 7.1 General
Clause 7 Management Review of the ISMS Clause 8 ISMS Improvements
7.2 Review input 7.3 Review output 8.1 Continual improvements 8.2 Corrective action 8.3 Preventive action
Annex A Control Objectives and Controls
ISMS 11 Domains, 39 Control Objectives, 133 Controls
22
ISO/IEC 27001 A.5
Annex A: ISMS Domains & Control Objectives
Information Security Policy
A5.1 Information security policy
A.6
Organization of Information Security
A.6.1 Internal organization A.6.2 External parties
A.7
Asset Management
A.7.1 Responsibility for assets A.7.2 Information classification
A.8
Human Resources Security
A.8.1 Prior to employment A.8.2 During employment A.8.3 Termination or change
A.9
Physical and Environmental Security
A.9.1 Secure areas A.9.2 Equipment security
A.10.1 Operational procedures & responsibilities A.10.2 Third party service delivery management A.10.3 System planning and acceptance A.10.4 Protection against malicious & mobile code A.10.5 Back-up A.10.6 Network security management A.10.7 Media handling A.10.8 Exchange of information A.10.9 Electronic commerce services A.10.10 Monitoring
A.10 Communications & Operations Management A.11 Access Control
A.12 Info System Acquisition, Development, MA
A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7
Business requirements for access control User access management User responsibilities Network system access control Operating system access control Application & information access control Mobile computing and teleworking
A.13 Information Security Incident Management
A.13.1 Reporting info sec events & weaknesses A.13.2 Mgt of info sec incidents and improvements
A.12.1 A.12.2 A.12.3 A.12.4 A.12.5
Security requirements of info systems Correct processing in application Cryptographic controls Security of systems files Security in develop & support processes
A.14 Business Continuity Management
A.14.1 Info sec aspects of business continuity mgt
A.12.6 Technical vulnerability management
A.15 Compliance
A.15.1 Compliance with legal requirements A.15.2 Compliance with security policies, technical A.15.3 Info systems audit considerations
23
Information Security Management System (ISMS) ISO 27002
ISO 27001
Code of Practices
Requirements
ISMS Domains: ď‚Ą General, Terms, Specifications
Control Objectives
Controls
-
-
Clause 1 - 4
Clause 1 - 8
Clause 5
A.5
1. Security Policy
1
2
Clause 6
A.6
2. Organization of Information Security
2
11
Clause 7
A.7
3. Asset Management
2
5
Clause 8
A.8
4. Human Resource Security
3
9
Clause 9
A.9
5. Physical and Environmental Security
2
13
Clause 10
A.10
6. Communications and Operations Management
10
32
Clause 11
A.11
7. Access Control
7
25
Clause12
A.12
8. Information Systems Acquisition, Development, Maintenance
6
16
Clause 13
A.13
9. Information Security Incident Management
2
5
Clause 14
A.14
10. Business Continuity Management
1
5
Clause 15
A.15
11. Compliance
3
10
39
133
Source: ISO/IEC 27001:2005, ISMS Requirements, Annex A ISO/IEC 27002:2005 (ISO17799:2005), Code of Practices
Total 11 Domains
24
ISMS Control Domains ď ˝ ISO/IEC 27001 ISMS Requirements, Annex A ď ˝ ISO/IEC 27002 Code of Practice, Clause 5-15
A.5 Security Policy A.6 Organization of Information Security A.7 Asset Management A.8 Human Resources Security
A.9 Physical and Environmental Security
A.10 Communications and Operations Management
A.12 Information Systems Acquisition, Development, and Maintenance
A.11 Access Control
A.13 Information Security Incident Management A.14 Business Continuity Management A.15 Compliance 25
26
Clause 1 in ISO27001 Scope 1.1 General 1.2 Application
Clause 2 in ISO27001 Normative references
27
Clause 3 in ISO27001 Terms and definitions 3.1 Asset 3.2 Availability 3.3 Confidentiality 3.4 Information security 3.5 Information security event 3.6 Information security incident 3.7 Information security management system 3.8 Integrity 28
3.9 Residual risk 3.10 Risk acceptance 3.11 Risk analysis 3.12 Risk assessment 3.13 Risk evaluation 3.14 Risk management 3.15 Risk treatment 3.16 Statement of applicability
29
Clause 4 in ISO27001 Information Security Management System 4.1 General requirements (PDCA) 4.2 Establishing and managing the ISMS - BIA - Policies - Risk Assessment>Risk Treatment - Implement & Operate - Maintenance and Report - Improvement 4.3 Documentation requirements 30
4.3 Documentation requirements
• Documented statements of the ISMS policy (see 4.2.1b) and objectives • Scope of the ISMS (see 4.2.1a) > BIA • Procedures and controls in support of the ISMS; • Risk Assessment & Report • Risk treatment plan (see 4.2.2b)
31
Clause 5 in ISO27001 Management responsibility 5.1 Management commitment 5.2 Resource management
Clause 6 in ISO27001 Internal ISMS audits
32
Clause 7 in ISO27001 Management review of the ISMS 7.1 General 7.2 Review input 7.3 Review output
33
Clause 8 in ISO27001 ISMS improvement 8.1 Continual improvement 8.2 Corrective action 8.3 Preventive action
34
Annex A in ISO27001 Control objectives and controls A.5 Security policy A.6 Organization of information security A.7 Asset management A.8 Human resources security
35
A.9 Physical and environmental security A.10 Communications and operations management A.11 Access control A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance
36
A.5 Security Policy (1) A.5.1 Information security policy Objective: to provide management direction and support for information security in accordance with business requirements and relevant laws and regulations. Management should set a clear policy direction in line with business objectives and demonstrate support for, and commitment to, information security through the issue and maintenance of an information security policy across the organization. A.5.1.1 A.5.1.2
Information security policy Review of the information security policy
37
การจัดทานโยบายด้านความปลอดภัย • General Policy – Acceptable Use Policy > Communication with Users – Data Security Policy > Privacy, Web Privacy
• Specific Policy – – – – – – – – –
Cryptography Policy Virus Policy E-mail Policy Access Control Policy >> Password Intranet/Extranet Policy >> Firewall, IDS/IPS, Wireless, Mobile Internet Policy System Development Policy Physical and Environmental Policy Compliance Policy 38
การอบรมสร้างความตระหนักด้านความปลอดภัย • การอบรม – นโยบายภายในองค์กร และกฎหมาย – อาชญากรรม และภัยคุกคาม – แนวโน้ มเทคโนโลยี
• การประกาศผ่านแผ่นพิมพ์ – Policies > แนวคิด และเป้าหมาย
• E-mail, ประกาศในเว็บบอร์ ด • สื่อสารเป็ นบุคคล • จัดเป็ นสัมมนา หรื อ Roadshow 39
การตรวจสอบภายในระบบบริ หารจัดการความมัน่ คงปลอดภัย • การตรวจสอบภายในเป็ นกระบวนการที่มีความจาเป็ นเพื่อ – ให้ เกิดความโปร่งใส – เพิ่มประสิทธิ์ภาพการดาเนินการ – ให้ ผ้ บู ริหารทราบถึงผลกระทบในปั จจุบนั
• สิง่ ที่จาเป็ นสาหรับการตรวจสอบภายใน – จรรยาบรรณผู้ตรวจสอบภายใน – ความสามารถของการดาเนินการ และเครื่ องมือที่ช่วยในการดาเนินการ – ความเข้ าใจ ความพร้ อมของทีมงาน
40
การทบทวนระบบบริ หารจัดการความมัน่ คงปลอดภัยโดยผูบ้ ริ หาร • เมื่อผู้ตรวจสอบภายในดาเนินการสารวจต้ องมีการจัดทาแผนการดาเนินการ แก้ ไข • ผู้บริหารจะรับทราบถึงระดับความเสี่ยง และสถานะปั จจุบนั ขององค์กร • การวางแผนยุทธศาสตร์ และแผนกลยุทธิ์เพื่อแก้ ไขปั ญหาที่ได้ ทราบ และการ จัดเตรี ยมงบในการดาเนินการ
41
การดาเนินการเพื่อบารุ งรักษาหรื อปรับปรุ งระบบบริ หารจัดการ ความมัน่ คงปลอดภัย • การดาเนินการตรวจสอบต้ องดาเนินการอย่างต่อเนื่องโดยระยะแรกอาจจะ ดาเนินการถี่ แล้ วดาเนินการตามรอบที่ระบุ • ตรวจสอบความพร้ อม – กระบวนการ – บุคลากร – เทคโนโลยี
42
A.6 Organization of information security (2) A.6.1 Internal organization Objective: To manage information security within the organization. Management should approve the information security policy, assign security roles and co-ordinate and review the implementation of security across the organization.
43
Responsibility • Security Officer ร่างนโยบาย และระเบียบในการดาเนินการด้ านนโยบายความมัน่ คง ปลอดภัยสารสนเทศ • CSO+ ISM Committee* เข้ าตรวจสอบดูความเหมาะสมของเนื ้อหา และทบทวนการ อัพเดตสิ่งต่างๆที่เกิดขึ ้นหลังจากที่มีการใช้ นโยบายไปแล้ ว • Top Executive ผู้อนุมตั ินโยบายด้ านความมัน่ คงปลอดภัยสารสนเทศ • Public Relation เป็ นผู้จดั อบรม สือ่ สารให้ พนักงานเข้ าใจเกี่ยวกับนโยบายด้ านความ มัน่ คงปลอดภัยสารสนเทศ • All Employees & External Party รับทราบ และปฏิบตั ิตามกรอบที่องค์กรระบุไว้ • ISM Committee (5-20 คน) อย่างน้ อย – IT Head, CSO, SO, Legal, PR, Department Heads (or authorized person) 44
A.6.1 Internal Organization A.6.1.1 A.6.1.2 A.6.1.3 A.6.1.4 A.6.1.5 A.6.1.6 A.6.1.7 A.6.1.8
Management commitment to information security Information security co-ordination Allocation of information security responsibilities Authorization process for information security processing facilities Confidentiality agreements Contact with authorities Contact with special interest groups Independent review of information security
45
A.6 Organization of information security • ประกอบด้ วย 2 ข้ อใหญ่ 11 ข้ อย่อย – Internal (8) – External (3)
CEO
CIO
Security Officer
Sys &Net
Man Money Material
CSO
Dev.
SO 46
Information security Coordination IT Head
ISM Committee
Security Officer Contact list or Organization chart 47
Assign security +Sec urity CEO
CIO +Sec
CSO
urity Sys &Net
Dev.
SO
IT Audit
+Sec urity
+Sec urity
All Employees + External Contact (Acceptable Use Policy)
Admin
+Sec urity
+Sec urity 48
Corrective Action Plan ISM Committee
CEO
CIO
CSO
Dev.
IT Audit
Admin
Sys &Net
49
Information Owner
NDA
NDA
Signed
End User (Internal & External)
50
Business Contact list Contact List Contact List Contact List
Company name Type (Personal, Corp.) Fiscal (Corp) Employees (No) Contact Name Contact number
Government Contact List
51
Risk Assessment for External attack ผู้เยี่ยมชม ญาติมิตร ที่ปรึกษา Person พนักงานชัว่ คราว พนักงานจัดจ้ างชัว่ คราว พนักงานทาความสะอาด ขโมยของ Threat ถ่ายรูปภาพ ติดตังโปรแกรมดั ้ กฟั งข้ อมูล แอบใช้ เครื อข่าย ขโมยข้ อมูลในองค์กร
External Risk
IT Control
ระบบ Access Control Entry ตังกล้ ้ องวงจรปิ ด ติดตังระบบเข้ ้ าพื ้นที่ บุคลากรภายนอกต้ องอยูใ่ นพื ้นที่ควบคุม 52 หรื อดูแลได้ จากพนักงาน
A.6 Organization of information security (2) A.6.2 External parties Objective: To maintain the security of the organization’s information and information processing facilities that are accessed, processed, communicated to, or managed by external parties. A.6.2.1 Identification of risks related to external parties A.6.2.2 Addressing security when dealing with customerers A.6.2.3 Addressing security in third party agreements
53
การระบุขอ้ กาหนดสาหรับบุคคลภายนอก • วิเคราะห์ความเสี่ยง • กระบวนการเข้ าถึงระบบทั ้งหมดต้ องมีการควบคุมการเข้ าถึง, มีการระบุชนิดการเข้ าถึงทรัพยากร เช่น Physical, Logical, Network, Off-site, ประเมินมูลค่าข้ อมูล และความสาคัญต่อธุรกิจ, มีการป้องกันข้ อมูลจากบุคคลภายนอก, มีการรับมือต่อบุคคลที่เกี่ยวข้ องต่อสารสนเทศองค์กร • กรณีที่เข้ าถึงข้ อมูลข้ อมูลต้ องมีการตรวจสอบการมอบหมาย และควรดูแลอย่างรัดกุม, การกาหนด กรอบควบคุมต่อการจัดจ้ างกลุม่ งานภายนอกในการจัดเก็บ การดาเนินการ, การสื่อสาร และการแชร์ ข้ อมูล, ตรวจสอบผลกระทบต่อการเข้ าถึงของกลุม่ งานภายนอกที่ได้ รับข้ อมูลที่ผิดพลาด หรื อทาให้ เข้ าใจผิด, • ทาการเขียนขันตอนด ้ าเนินงานต่อการรับมือปั ญหาของการทาลาย หรื อพิจารณากับเทอมการว่าจ้ าง กรณีที่เกิดเหตุผิดปกติขึ ้น, ฝ่ ายกฎหมายเข้ ามามีสว่ นร่วมในเงื่อนไขสัญญา ที่เกี่ยวข้ องกับกลุม่ งาน ภายนอก • มีการรับมือต่อกลุม่ ที่เกี่ยวข้ องอื่นที่มีผลต่อการดาเนินงาน สรุปต้ องมีการระบุความเสี่ยงของกลุม่ งาน ภายนอกต่างๆ และควรยึดหลักการป้องกันระบบก่อนที่จะมีการจัดทา Control เพื่อรับมือ 54
การระบุขอ้ กาหนดสาหรับบุคคลภายนอกที่เป็ นลูกค้า • คาอธิบายบริการ และผลิตภัณฑ์ที่ลกู ค้ าพึงได้ รับ • การกาหนดนโยบาย Acceptable Use Policy, Privacy Policy, Web Privacy Policy • การสื่อสาร และสร้ างความตระหนักต่องานด้ านความปลอดภัย • จัดทารายงานการแจ้ งเตือน
55
การระบุขอ้ กาหนดสาหรับผูใ้ ห้บริ การภายนอก • เพื่อให้ เข้ าใจตรงกันระหว่างองค์กรกับกลุม่ งานภายนอกควรจะมีการระบุ นโยบายด้ านความ มัน่ คงปลอดภัยสารสนเทศ รวมถึงเขียนกระบวนการป้องกันทรัพย์สนิ ซึง่ ระบุ HW,SW มีการ เขียนกรอบควบคุมป้องกันทาง Physical, ป้องกันไวรัส หรื อโค้ ดมุง่ ร้ าย • เขียนขันตอนปฏิ ้ บตั ิในการทาให้ ข้อมูล หรื อทรัพย์สนิ เสียหาย และมีเงื่อนไขดาเนินการอย่าง ชัดเจน ยึดกรอบ CIA และมีการใช้ confidential agreement • มีการฝึ กอบรม และสร้ างความตระหนักต่อความรับผิดชอบ และการโอนถ่ายพนักงานที่ เหมาะสม • กาหนดความรับผิดชอบต่อระบบ HW/SW ที่ต้องบารุงรักษา • มีการเขียนรายงานอย่างเป็ นระบบ • มีการกระบวนการจัดการ Change Management • มีนโยบาย Access control ที่ครอบคุม การเข้ าถึง การตรวจสอบตัวตน สิทธิ์ บริ การ และ การยกเลิกสิทธิ์ 56
การระบุขอ้ กาหนดสาหรับผูใ้ ห้บริ การภายนอก (ต่อ) • มีการจัดทารายงานในการตรวจสอบ แจ้ งเตือนเหตุการณ์ผิดปกติด้านความปลอดภัย • มีการแบ่งชั ้นความลับ และการดาเนินตามที่ระบุ • มีการระบุระดับที่ยอมรับได้ และมีการตรวจสอบเฝ้าดู รายงาน มีการยกเลิกสิทธิ์กรณีที่ ดาเนินการไม่เหมาะสม • มีทีมตรวจสอบการดาเนินการว่าเป็ นไปตาม Agreement หรื อไม่, และมีการยกระดับ ปั ญหา และการแก้ ปัญหา • มีการตกลงร่วมกันในการดาเนินการตามแผนธุรกิจต่อเนื่อง • มีการกาหนดข้ อตกลงในการดาเนินการที่สอดคล้ อง และถูกต้ องต่อกฎหมาย และการ ป้องกันทรัพย์สิน รวมถึงทรัพย์สินทางปั ญญา เงื่อนไขที่ระบุตอ่ หน่วยงานภายนอกจะส่งผล ต่อ subcontract ด้ วย • มีการจัดทาข้ อตกลงใหม่ เพื่อให้ ครอบคลุมงานของการวางแผนปั ญหา และสถานะทรัพย์สนิ ในปั จจุบนั 57
A.7 Asset management (2) A.7.1 Responsibility for assets Objective: To achieve and maintain appropriate protection of organizational assets. A.7.1.1 Inventory of assets A.7.1.2 Ownership of assets A.7.1.3 Acceptable use of assets A.7.2 Information classification Objective: To ensure that information receives an appropriate level of protection A.7.2.1 Classification guidelines A.7.2.2 Information labeling and handling
58
บัญชี
การจัดทาบัญชีทรัพย์สิน Backup & Restore Site Redundancy
2 Server
Cost Core switch 50 Clients
Authoriz ation Matrix
Information Owner
Hardware -Server 100000 x2 -Core switch 100000 BIA -Clients 50x25000 Software Logical -Data Classification -License 59
Data Classification Encryption
Destroy
Move/Cop y
Secret
Encrypt > Store Transfer
Secure
Approved by Owner
Confiden tiality
Encrypt > Store Transfer
Secure
Approved by Owner
Internal Use Only
Not Necessary
Not Necessary
Approved by Owner
Public
Not Necessary
Not Necessary
Public
60
Labeling • Hardcopy – Stamper or Sticker
• Softcopy – E-mail > Sensitivity > Encryption – File > Selected O.S. Encryption file system, Labeling (File Name), Attributes, Software control in Database
61
การควบคุมทรัพย์สินองค์กร • การระบุพื ้นที่ความเสี่ยง – ห้ องคอมพิวเตอร์ – หน่วยงานที่ดาเนินการในระบบที่สาคัญ
• กาหนดนโยบาย และขันตอนปฏิ ้ บตั ิเพื่อระบุความชัดเจนในการดาเนินงาน – กาหนดผู้รับผิดชอบในบริเวณ และการตรวจสอบมีเดีย – การนามีเดียเข้ าพื ้นที่ความเสี่ยงต้ องถูกตรวจสอบ และอนุมตั ิทงการน ั้ าเข้ า และออก – มีเดียที่นาเข้ าต้ องปฏิบตั ิตามขันตอนที ้ ่ระบุไว้ เท่านัน้ – กรณีที่มีการนามีเดียเข้ าไปในสถานที่ดาเนินการจะต้ องมีการเฝ้าดู หรื อบันทึกกิจกรรมที่ ดาเนินการทุกครัง้ 62
A.8 Human resources security (3) A.8.1 Prior to employment Objective: To ensure that employees, contractors and third party users understand their responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities.
A.8.1.1 A.8.1.2 A.8.1.3
Roles and responsibilities Screening Terms and conditions of employment
63
Organization Chart
JD
ก่อนว่าจ้าง • Position ชื่อตาแหน่ง มีทีมงานกี่คน ใครเป็ น ผู้บงั คับบัญชา • Job Description คาอธิบายลักษณะงาน โดยหลัก • Job Function คาอธิบายหน้ าที่รับผิดชอบ ในแต่ละระบบ หรื อแอพพลิเคชัน่ • Qualification คุณสมบัติ
64
การตรวจสอบพื้นเพ • • • • •
ตรวจสอบจากจดหมายรับรอง ประวัติการทางาน วุฒกิ ารศึกษา บุคคลหรื อบริ ษัทที่สามารถอ้ างอิงได้ การผ่านการอบรม ความรับผิดชอบ (ระดับด้ านความปลอดภัย) – ต้ องพิจารณากฎหมาย ระเบียบ จริ ยธรรม – ชันความลั ้ บของทรัพย์สินสารสนเทศ – ระดับความเสี่ยงในการเข้ าถึง ประกอบการคัดเลือกด้ วย 65
เทอมในการจัดจ้าง • ให้ พนักงานรับทราบนโยบายด้ านความมัน่ คงปลอดภัยสารสนเทศ รวมถึงสิทธิ์ที่ มีได้ ในการใช้ ระบบ • กรณีที่เป็ นผู้มีสว่ นต่อข้ อมูลสาคัญในตาแหน่งสาคัญต้ องมีการเซ็นการไม่ เปิ ดเผยความลับ Security Policy
Accepta ble Use Policy
NDA
66
A.8 Human resources security (3) A.8.2 During employment Objective: To ensure that all employees, contractors and third party users are aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error.
A.8.2.1 A.8.2.2 A.8.2.3
Management responsibilities Information security awareness, education and training Disciplinary process
67
ระหว่างว่าจ้าง • ตรวจสอบว่าพนักงานปฏิบตั ติ ามนโยบายที่องค์กร กาหนดไว้ หรื อไม่ • ตรวจสอบว่าพนักงานปฏิบตั ติ ามขันตอนปฏิ ้ บตั ทิ ี่ กาหนดไว้ หรื อไม่ • จัดการอบรมให้ กบั พนักงานเพื่อรับทราบเกี่ยวกับงาน ด้ านความมัน่ คงปลอดภัยสารสนเทศ เช่น Security awareness Training หรื อมีการติดโปสเตอร์ ประชาสัมพันธ์อยูเ่ ป็ นระยะ • การลงโทษ (อยูใ่ นนโยบายด้ านความมัน่ คงปลอดภัย และกฎระเบียบองค์กร)
Security Policy
Accepta ble Use Policy
NDA
68
A.8 Human resources security (3) A.8.3 Termination or change of employment Objective: To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner. A.8.3.1 A.8.3.2 A.8.3.3
Termination responsibilities Return of assets Removal of access rights
69
การสิ้ นสุ ดการว่าจ้าง • สัญญาต้ องระบุตงแต่ ั ้ วนั รับสมัครเข้ าทางาน • กาหนดให้ แจ้ งการสิ ้นสุดวันทางาน • ทันทีที่พนักงานหมดสัญญา หรื อสิ ้นสุดการว่าจ้ าง ผู้บงั คับบัญชาต้ องแจ้ งให้ กบั ฝ่ ายทรัพยากรบุคคลรับทราบในวันนัน้ • ฝ่ ายทรัพยากรบุคคลต้ องแจ้ งให้ กบั หน่วยด้ านสารสนเทศทราบภายใน 2-3วัน หลังยุติการว่าจ้ าง เพื่อให้ นารายชื่อ User account, e-mail, Internet account เป็ นต้ น • จัดคืนทรัพย์สนิ 70
A.9 Physical and environmental security (2) A.9.1 Secure areas Objective: To prevent unauthorized physical access, damage and interference to the organization’s premises and information. A.9.1.1 A.9.1.2 A.9.1.3
Physical security perimeter Physical entry controls Securing offices, rooms and facilities
71
A.9.1.4 A.9.1.5 A.9.1.6
Protecting against external and environmental threats Working in secure areas Public access, delivery and loading areas
72
การเข้าสู่ศนู ย์คอมพิวเตอร์ Perimeter Area ระบบตรวจสอบ Access Control Entry I
Building Ope rator
Buff er
Log book
Server Room
ระบบตรวจสอบ Access Control Entry II
Security > Daily > Incidents > Report 73 Officer
ความปลอดภัยในพื้นที่ • ต้ องจัดพื ้นที่ควบคุม – IT – Accounting – Financial – Executive
• กาหนดมาตรการการควบคุมในแต่ละพื ้นที่ – ตาแหน่งการเข้ าถึงฝ่ ายต้ องอยู่พื ้นที่ปลอดภัย – การจัดหันหน้ าจอหลีกเลี่ยงจากประตู และหน้ าต่าง – การจัดพาร์ ติชนั่ เพื่อบดบังข้ อมูล และหน้ าจอ 74
การเลือกสถานที่ • หลีกหนีจากพื ้นที่ความเสี่ยง – – – – –
สถานฑูตอเมริ กา กระทรวงการคลัง สถาบันการเงิน ตลาดหลักทรัพย์ กรมสรรพากร, หน่วยงานภาครัฐที่มีความเสี่ยง
• การเลือกตัวอาคาร – ทนแผ่นดินไหว – มีเส้ นทางคมนาคมสะดวก – สูงจากพื ้นที่เสีย่ งภัยน ้าท่วม 75
การป้ องกันอุปกรณ์คอมพิวเตอร์เสี ยหาย • การจัดวางและการป้องกันอุปกรณ์ (Equipment sitting and protection) • ระบบและอุปกรณ์สนับสนุนการทางาน (Supporting utilities) • การเดินสายไฟ สายสื่อสาร และสายเคเบิ ้ลอื่นๆ (Cabling security) • การบารุงรักษาอุปกรณ์ (Equipment maintenance) • การป้องกันอุปกรณ์ที่ใช้ งานอยูน่ อกสานักงาน (Security of equipment off-premises) • การกาจัดอุปกรณ์หรื อการนาอุปกรณ์กลับมาใช้ งานอีกครัง้ (Secure disposal or re-use of equipment) • การนาทรัพย์สินขององค์กรออกนอกสานักงาน (Removal of property) 76
การจัดวางและการป้ องกันอุปกรณ์ (Equipment sitting and protection)
Access Control Entry Lift floor Cabling Security -Power -LAN Rack Mount -Internal -External -Type & Responsibility
77
การนาทรัพย์สินขององค์กรออกนอกสานักงาน (Removal of property) • • • •
เขียนนโยบายด้ านการนาทรัพย์สนิ ออกนอกองค์กร กาหนดผู้รับผิดชอบในการดูแลทรัพย์สนิ เขียนขันตอนปฏิ ้ บตั ิในการดาเนินการนาทรัพย์สนิ ออกนอกองค์กร มีการทบทวนล็อกที่ผา่ นมาเพื่อประเมินความเสียหาย และความเสี่ยงต่างๆ
78
A.9 Physical and environmental security (2) A.9.2 Equipment security Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s activities. A.9.2.1 Equipment sitting and protection A.9.2.2 Supporting utilities A.9.2.3 Cabling security
A.9.2.4 Equipment maintenance A.9.2.5 Security of equipment off-premises A.9.2.6 Secure disposal or re-use of equipment A.9.2.7 Removal of property
79
ระบบและอุปกรณ์สนับสนุนการทางาน (Supporting utilities) • ระบบกระแสไฟฟ้ า และระบบกระแสไฟฟ้าสารอง ต้ องแยกแหล่งจ่ายไฟจากที่ทางาน, แหล่งจ่ายไฟฟ้าต้ องมาจากสองแหล่งเป็ นอย่างน้ อย ต้ องมีอปุ กรณ์สารองไฟ และปั่ นไฟอย่างเหมาะสม • ระบบน ้าประปา ห้ องคอมพิวเตอร์ ต้องหลีกหนีจากแนวทางน ้าดี และน ้าเสีย • ระบบปรับอากาศ & ระบบควบคุมอุณหภูมิ ควบคุมอุณหภูมิ และความชื ้น โดยระบบแอร์ ต้องออกแบบรองรับการบารุงรักษาด้ วย • ระบบระบายอากาศ ต้ องมีขนาดเล็กไม่สามารถลอดได้ จากบุคคล • ระบบสายสือ่ สารสารอง ต้ องมาจากสองแหล่ง และทารับรองกับผู้ให้ บริ การด้ วย (โทรศัพท์, ลิงค์เชื่อมต่อ) 80
การเดินสายไฟ สายสื่ อสาร และสายเคเบิ้ลอื่นๆ (Cabling security) • • • • • •
ออกแบบสายสัญญาณ และสายไฟให้ เหมาะสม ระยะทางของสายต้ องไม่เกินมาตรฐานที่กาหนด สายไฟฟ้า และสายสื่อสารต้ องแยกคนละท่อ ควรมีการทารางเดินสาย กรณีที่เดินใต้ ฝาต้ องร้ อยท่อ ควรเลือกคุณภาพของสายเหมาะสมกับการใช้ งาน เช่นสายในอาคารไม่ควรเดินออกนอกอาคาร และควรเลือกชนิดที่เมื่อติดไฟแล้ ว ไม่มีพิษ 81
การบารุ งรักษาอุปกรณ์ (Equipment maintenance) • กาหนดผู้รับผิดชอบที่ชดั เจน • อุปกรณ์ทกุ ชนิดต้ องมีการทา PM (Preventive Maintenance) • ตรวจสอบการดาเนินการว่ามีการดาเนินการได้ ครบถ้ วนสมบูรณ์หรื อไม่
82
การป้ องกันอุปกรณ์ที่ใช้งานอยูน่ อกสานักงาน (Security of equipment off-premises) • คอมพิวเตอร์ ที่ตงอยู ั ้ ภ่ ายนอก ต้ องมีผ้ ดู แู ล กรณีที่ไม่มีต้องมีการล็อคเครื่ องทัง้ Physical และ Logical • เขียนนโยบายให้ พนักงานรับผิดชอบ และช่วยเป็ นหูเป็ นตาในการเฝ้าดูอปุ กรณ์ ของสานักงาน • อบรมให้ พนักงานตระหนักถึงภัยต่างๆที่มีผลต่อข้ อมูล และความสูญหายของ อุปกรณ์
83
การกาจัดอุปกรณ์หรื อการนาอุปกรณ์กลับมาใช้งานอีกครั้ง (Secure disposal or re-use of equipment) • • • •
แยกประเภทอุปกรณ์ เขียนขันตอนปฏิ ้ บตั ิในแต่ละประเภทของอุปกรณ์ มีการจัดทาขันตอนกรณี ้ ที่มีการนาเครื่ องออกไปซ่อม มีผ้ ดู แู ลในการดาเนินการนาข้ อมูลกลับมา หรื อนาออกไป
84
A.10 Communications and Operations Management (10) A.10.1 Operational procedures and responsibilities Objective: To ensure the correct and secure operation of information processing facilities. A.10.1.1 Documented operating procedures A.10.1.2 Change management A.10.1.3 Segregation of duties 10.1.4 Separation of development, test, and operational facilities A.10.1.4 Separation of development, test and operational facilities
85
การกาหนดหน้าที่ความรับผิดชอบและขั้นตอนการปฏิบตั ิงาน (Operational procedures and responsibilities) • เขียนขันตอนปฏิ ้ บตั ิระดับแอพพลิเคชัน่ (การดูแลประจา, การสารอง, การกู้คืน) • ในแต่ละขันตอนปฏิ ้ บตั ิกาหนดผู้รับผิดชอบในการดาเนิน • เช่น – – – – – – – –
Network Equipment Virus Protection IDS/IPS Internet & E-mail Firewall Mobile Computer Backup Etc.
User Request
Authoriz ed Matrix
Information Owner Least Privileges 86
System Environment Dummy
Develop ment
Testing
Production DB
Producti on
Manual -Training --User Operation
Developer
End User
System Admin End User 87
A.10 Communications and Operations Management (10) A.10.2 Third party delivery management Objective: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements. A.10.2.1 Service delivery A.10.2.2 Monitoring and review of third party services A.10.2.3 Managing changes to third party services
88
การบริ หารจัดการการให้บริ การของหน่วยงานภายนอก (Third party service delivery management)
Agreements Proposal Request SLA
SLA
TOR
Corporate
Vendor
89
Vendor/3rd Party Evaluation • Contact List > Level (3rd Party) – Outsource – Consultant – Vendor
• Evaluation – Corporate – Services (Personal: Sales, Supporter)
• Type of Evaluation – – – –
Speed, Neat, Polite Maintenance Skill Recovery
90
Managing changes to third party services
Security Policy
Corporate
Procedure s
BCP
SLA
P.M.
Vendor Patches Hot-fix
Suggesti on 91
A.10 Communications and Operations Management (10) A.10.3 System planning and acceptance Objective: To minimize the risk of systems failures. A.10.3.1 Capacity management A.10.3.2 System acceptance
92
การวางแผนและการตรวจรับทรัพยากรสารสนเทศ (System planning and acceptance) • Capacity Planning User supporting in the futures CPU, RAM, HD, Network, Application • System Acceptance – IT, Information Owner, User – Features & Functions – Performance – Security 93
A.10 Communications and Operations Management (10) A.10.4 Protection against malicious and mobile code Objective: To protect the integrity of software and information. A.10.4.1 Controls against malicious code A.10.4.2 Controls against mobile code
94
การป้ องกันโปรแกรมที่ไม่ประสงค์ดี (Protection against malicious and mobile code)
Malicious Code
Mobile Code
Least Privileges AntiVirus (Virus & Worm) AntiSpam AntiSpyware (Trojan & Backdoor) Virus Protection Policy Personal Firewall 95 Security Awareness Training Automatic Update (patches)
A.10 Communications and Operations Management (10) A.10.5 Back-up Objective: To maintain the integrity and availability of information and information processing facilities. A.10.5.1 information back-up
96
การสารองข้อมูล (Back-up) • Information Owner > IT (Backup) – Severity Data (Prior) – Frequency (Routine)
• IT – Recovery System Cold site, Warm site, Hot site – Backup & Logging (Technology) – Recovery when disaster is appeared
97
A.10 Communications and Operations Management (10) A.10.6 Network security management Objective: To ensure the protection of information in networks and the protection of the supporting infrastructure. A.10.6.1 Network controls A.10.6.2 Security of network services
98
การบริ หารจัดการทางด้านความมัน่ คงปลอดภัยสาหรับเครื อข่าย ขององค์กร (Network security management) • Perimeter (Internet)
Bastion Intern et
• Intranet > NAP (Network Access Protection) – VLAN – Separate Server Farm from Clients – Quarantine Zone (Wireless, External Connection, Notebook) 99
Active Equipment • Hub & Switch • Router & Switch layer 3 • Firewall – General Firewall (All ports) – Web Application Firewall (80, 443) > Content filtering, Gateway (Convert unsecure > Secure)
• Access Point • IDS/IPS 100
A.10 Communications and Operations Management (10) A.10.7 Media handling Objective: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities. A.10.7.1 A.10.7.2 A.10.7.3 A.10.7.4
Management of removable media Disposal of media Information handling procedures Security of system documentation
101
การจัดการสื่ อที่ใช้ในการบันทึกข้อมูล (Media handling) • นโยบายการใช้ งานสื่อจัดเก็บ เช่น CD-ROM, Handy Drive, Notebook, Removable HD, Mobile Phone • บทลงโทษผู้ละเมิดนโยบาย • เขียนขันตอนปฏิ ้ บตั ิในการดาเนินการกับอุปกรณ์เหล่านี ้ – – – – – –
ข้ อมูลสารสนเทศต้ องมีเจ้ าของซึง่ จะเป็ นผู้อนุมตั ิในการดาเนินการต่างๆ การได้ มาซึง่ ข้ อมูล การจัดเก็บข้ อมูลที่มีอยู่ ต้ องเข้ ารหัสทังในเครื ้ ่ อง และระหว่างการโอนถ่าย การย้ าย หรื อสาเนาข้ อมูล การทาลายข้ อมูลที่ไม่ใช้ สร้ างแบบฟอร์ มในการข้ ออนุมตั ิใช้ งานมีเดียต่างๆ และระบบควบคุม 102
A.10 Communications and Operations Management (10) A.10.8 Exchange of information Objective: To maintain the security of information and software exchanged within an organization and with any external entity. • A.10.8.1 A.10.8.2 A.10.8.3 • A.10.8.4 • A.10.8.5
Information exchange policies and procedures Exchange agreements Physical media in transit Electronic messaging Control Business information systems
103
A.10.8.1 A.10.8.2 A.10.8.3 A.10.8.4 A.10.8.5
Information exchange policies and procedures Exchange agreements Physical media in transit Electronic messaging Business information systems
104
การแลกเปลี่ยนสารสนเทศ (Exchange of information) • นโยบายการดาเนินการแลกเปลี่ยนข้ อมูลสารสนเทศ • ขันตอนปฏิ ้ บตั ใิ ห้ สอดคล้ องกับนโยบายที่ระบุไว้ • กรณีที่จาเป็ นต้ องนามีเดียให้ กบั หน่วยงานภายนอก ถ้ าเป็ นข้ อมูลสาคัญให้ ดาเนินการ เซ็น Non Disclosure Agreement (NDA) • กรณีที่ข้อมูลถูกนาออกจากมีเดียที่สาเนาไปต้ องมีกลไก การนาของออกนอกองค์กร (Pass Properties) • การจัดส่งผ่านจดหมายอิเล็กทรอนิกส์ต้องมีระบบเข้ ารหัสข้ อมูลที่มีระดับความสาคัญ เช่น SSL + Certificate • กาหนดนโยบายควบคุมการเชื่อมต่อกับเครื อข่ายภายนอก เช่น Internet, Remote Access, Firewall, E-mail 105
A.10 Communications and Operations Management (10) A.10.9 Electronic commerce services Objective: To ensure the security of electronic commerce services, and their secure use. A.10.9.1 Electronic commerce A.10.9.2 On-line transactions A.10.9.3 Publicly available information
106
การสร้างความมัน่ คงปลอดภัยสาหรับบริ การพาณิ ชย์อิเล็กทรอนิกส์ (Electronic commerce services) • E-commerce หมายถึงองค์กรมีการติดต่อกับเครื อข่ายสาธารณะ และมี การทาธุรกรรมบนอินเตอร์ เน็ต • องค์กรต้ องรับมือกับปั ญหาต่างๆ – Sniffing การถูกดักฟั ง – Phishing จดหมายหลอกให้ ลกู ค้ าเป็ นเหยื่อ – Non-Repudiation > เจ้ าตัวปฏิเสธการดาเนินการ – Injection > โค้ ดเขียนไม่รองรับการตรวจสอบค่าตัวแปร
107
องค์กรต้องมีการลงทุนป้ องกันปัญหา e-commerce • Routing > End to End เช่น VPN, CA • • • •
Modification > Digital Signature Disclosure > Digital Encryption (SSL) Non-Repudiation > Log & Disclaimer Denial of Service or Bruteforce > Firewall (Web Application firewall), Honey Pot
108
การดูแลล็อก และการเฝ้ าดู • • • •
กาหนดผู้รับผิดชอบในการวิเคราะห์บนั ทึก เช่น Security Officer ระบบงานที่สาคัญต้ องมีการกาหนดรอบดูลอ็ กถี่ ระบบงานที่สาคัญควรมีการติดตังอุ ้ ปกรณ์เฝ้าดูตลอดเวลา ล็อกควรถูกจัดเก็บไว้ ในพื ้นที่ปลอดภัย ข้ ามเครื่ องได้ ยิ่งดี และมีการระบุเฉพาะ ผู้เกี่ยวข้ องเท่านันที ้ ่เข้ ามาดาเนินการได้ • จัดเก็บนานที่สดุ เท่าที่เป็ นไปได้ • สรุปล็อกที่บนั ทึก • กาหนดเป็ นขันตอนปฏิ ้ บตั ิในการจัดเก็บ และการเข้ าไปดูลอ็ ก 109
A.10.10.1 Audit logging A.10.10.2 Monitoring system use A.10.10.3 Protection of log information A.10.10.4 Administrator and operator logs A.10.10.5 Fault logging A.10.10.6 Clock synchronization
110
การเฝ้ าระวังทางด้านความมัน่ คงปลอดภัย (Monitoring) Log
Log
Review log
Unlimited Storage (capacity plan of log size) Law > 3 months Synchronize
Physical Entries Access Control Network access Server Log Equipment log Client111log System Access
A.10 Communications and Operations Management (10) A.10.10 Monitoring Objective: To detect unauthorized information processing facilities.
112
A.11 Access control (7) A.11.1 Business requirement for access control Objective: To control access to information. A.11.1.1
Access control policy
113
ข้อกาหนดทางธุรกิจสาหรับการควบคุมการเข้าถึงสารสนเทศ (Business requirements for access control) • จัดทานโยบายด้ านการเข้ าใช้ ทรัพยากรขององค์กร เพื่อป้องกันข้ อมูล และการนา ทรัพย์สนิ ขององค์กรออก
Access Control
Password Policy Access control Policy Remote Access Control Policy External Policy
114
A.11 Access control (7) A.11.2 User access management Objective: To ensure authorized user access and to prevent unauthorized access to information systems. A.11.2.1 A.11.2.2 A.11.2.3 A.11.2.4
User registration Privilege management User password management Review of user access rights
115
การบริ หารจัดการการเข้าถึงของผูใ้ ช้ (User access management) • นโยบายการดาเนินการเกี่ยวกับผู้ใช้ • ขันตอนปฏิ ้ บตั ใิ นการร้ องขอ และการยกเลิกผู้ใช้ งาน
User Request
การร้ องผู้ใช้ User > Department Head > IT แบบฟอร์ ม User Request การร้ องขอสิทธิ์เพิ่ม User > Department Head > IT
รอบการตรวจสอบรายชื่อผู้ใช้ เช่นตรวจทุกเดือน
การยกเลิก Department Head > HR > IT
116
User Privileges • นโยบายการบริหารงานเกี่ยวผู้ใช้ • ใช้ กฎ The Least privileges > Increase : request user privileges • ไม่ให้ ผ้ ใู ช้ เข้ าใช้ โดย Administrator หรื อ Supervisor ถ้ ามีใครใช้ User account เหล่านี ้ฝ่ ายตรวจสอบต้ องรายงาน แจ้ งให้ ผ้ บู ริหารทราบ
117
A.11 Access control (7) A.11.3 User responsibilities Objective: To prevent unauthorized user access, and compromise or theft of information and information processing facilities. A.11.3.1 A.11.3.2 A.11.3.3
Password use Unattended user equipment Clear desk and clear screen policy
118
หน้าที่ความรับผิดชอบของผูใ้ ช้งาน (User responsibilities) • กาหนดนโยบายรหัสผ่าน • รหัสผ่านถือเป็ นทรัพย์สนิ ขององค์กร ผู้ใช้ ต้องรับผิดชอบรหัสผ่านที่ได้ รับ – ไม่บอกรหัสผ่านให้ กบั ผู้อื่น – ไม่จดรหัสผ่านไว้ บนพื ้นที่เปิ ดเผย
• มีการกาหนดรอบในการดาเนินการตรวจสอบความเหมาะสมของรหัสผ่าน
119
Password ที่ดี • มีความสลับซับซ้ อนคือประกอบด้ วย 3 ใน 4 เงื่อนไขดังนี ้ตัวเลข ตัวอักษรเล็ก ตัวอักษรใหญ่ อักขระพิเศษ • มีความยาวที่เหมาะสม • มีรอบดาเนินการปรับเปลี่ยนรหัสผ่านเป็ นระยะ • ป้องกันการเข้ าใช้ ระบบถ้ าพิมพ์ผิดเกินจานวนครัง้ ที่ระบุ (Account Logout) • อาจจะต้ องมีเทคโนโลยีด้าน Physical เข้ ามาใช้ ร่วมกับรหัสผ่าน – One time password (OTP) – Access Control (ระบุหมายเลข IP หรื อชื่อเครื่ อง) – Biometric 120
กรณี ที่เครื่ องไม่มีผดู้ ูแล • ดาเนินการล็อคหน้ าจอทุกครัง้ ที่ไม่อยูห่ น้ าเครื่ องโดยผู้ใช้ • องค์กรต้ องกาหนดควบคุมการล็อคหน้ าจอถ้ าไม่มีกิจกรรมใดๆในระยะเวลาที่ กาหนด • ระบบที่มีการล็อคหน้ าจอต้ องทาการปิ ดเครื่ อง หรื อล็อกออฟออก • เครื่ องที่ตงอยู ั ้ ใ่ นสถานที่สาธารณะต้ องมีการล็อคด้ วยโซ่ลา่ ม • พนักงานที่พบเห็นเครื่ องตังอยู ้ ใ่ นที่พื ้นที่ไม่เหมาะสมต้ องแจ้ งให้ กบั ผู้เกี่ยวข้ อง รับทราบ
121
A.11 Access control (7) A.11.4 Network access control Objective: To prevent unauthorized access to networked services. A.11.4.1 Policy on use of network services A.11.4.2 User authentication for external connections A.11.4.3 Equipment identification in networks A.11.4.4 Remote diagnostic and configuration port protection A.11.4.5 Segregation in networks A.11.4.6 Network connection control A.11.4.7 Network routing control
122
การควบคุมการเข้าถึงเครื อข่าย (Network access control) • นโยบายด้ านการเข้ าใช้ ระบบเครื อข่ายในองค์กร • ในองค์กรที่มีระบบใช้ งานจากภายนอก – ต้ องมีระบบควบคุมการเข้ าใช้ งานอย่างรัดกุม เช่นถ้ าใช้ งานจากภายนอกต้ องมีการ Monitor เฝ้าดูกิจกรรมเพิ่มเติม (IDS/IPS) – มีการเข้ าเฝ้าดูเครื อข่ายระหว่างดาเนินการ
• องค์กรต้ องมีการเตรียมเครื่ องมือตรวจสอบตัวตน – Two factors Authentication (Token+password, Biometric+password, Certificate+Passwod, etc.)
• แบ่งแยกเครื อข่าย – อินเตอร์ เน็ต – Server – Unsecure equipment
• Router – Access Control List (ACL) > IP Address?, Port ? – Control Routing protocol & Routing table
123
Redirect Routing Path Resolve Router Path -Neighbor -Select routing protocol (Authen. Password, Encryption) Inter R2 net R1
Hacker’s Router
PC
Routing table Metric 1
Sniffer 124
A.11 Access control (7) A.11.5 Operating system access control Objective: To prevent unauthorized access to operating systems. A.11.5.1 Secure log-on procedures A.11.5.2 User identification and authentication A.11.5.3 Password management system A.11.5.4 Use of system utilities A.11.5.5 Session time-out A.11.5.6 Limitation of connection time
125
การควบคุมการเข้าถึงระบบปฏิบตั ิการ (Operating system access control) • • • • • • •
นโยบายด้ านการเข้ าถึงระบบปฏิบตั ิการ (Access Control) ขันตอนปฏิ ้ บตั ิในการใช้ งานระบบปฏิบตั ิการ ทุกคนต้ องมีการใช้ ชื่อล็อกออน และรหัสผ่านของตนเอง มีการจัดทาบันทึกล็อก วิเคราะห์ลอ็ กเพื่อตรวจสอบสิง่ ที่ผิดปกติ จัดทาการควบคุมรหัสผ่าน มีการใช้ เครื่ องตรวจสอบ Auditing Tool เพื่อทดสอบช่องโหว่ของระบบปฏิบตั กิ าร และ ความเข้ มแข็งของรหัสผ่านที่ใช้ • กาหนดระยะเวลา และการยกเลิกการใช้ เมื่อถึงเวลา (ใช้ ระบบงานสาคัญดูจาก BIA) – ผู้ใช้ ที่ไม่ใช่พนักงานประจาจะมี Expired Date – พนักงานประจาจะมีการกาหนดช่วงเวลาในการเข้ าใช้ ถ้ าต้ องการใช้ นอกเวลาต้ องดาเนินการร้ องขอ เพิ่ม 126
A.11 Access control (7) A.11.6 Application and information access control Objective: To prevent unauthorized access to information held in application systems. A.11.6.1 A.11.6.2
Information access restriction Sensitive system isolation
127
การควบคุมการเข้าถึงแอพพลิเคชันและสารสนเทศ (Application and information access control) • Information Owner > IT Administration > User • Authorization Matrix > (Applications) – – – –
Read Write View log Full Control
• Production > Separate from Client – – – –
VLAN Firewall Router (Access Control List) Not connect to internet 128
A.11 Access control (7) A.11.7 Mobile computing and teleworking Objective: To ensure information security when using mobile computing and teleworking facilities. A.11.7.1 A.11.7.2
Mobile computing and communications Teleworking
129
การควบคุมอุปกรณ์สื่อสารประเภทพกพาและการปฏิบตั ิงานจาก ภายนอกองค์กร (Mobile computing and teleworking) • จัดนโยบายด้ าน Mobile computing & teleworking • เขียนขันตอนปฏิ ้ บตั ิ – แยกเครื อข่าย Mobile Computer จากเครื อข่ายที่มีอยูเ่ ดิม – Update Antivirus (Exceed 7 days > Not connect to network) • Version • Virus Definition
– Meeting Room แยกเครื อข่ายออกเป็ นพิเศษ – กลุม่ ผู้ใช้ จากทางไกลต้ องเข้ าใช้ ในเครื อข่ายที่องค์กรจัดเตรี ยมไว้ ให้ – เครื่ องที่จะเข้ าใช้ เครื อข่ายภายในได้ ต้องผ่านการตรวจสอบอย่างรัดกุม 130
A.12 Information systems acquisition, development and maintenance (6) A.12.1 Security requirements of information systems Objective: To ensure that security is an integral part of information systems. A.12.1.1
Security requirements analysis and specification
131
ข้อกาหนดด้านความมัน่ คงปลอดภัยสาหรับระบบสารสนเทศ (Security requirements of information systems) Information Owner Business End User Require ment
Security Require ment
Password log & History Encryption (Local & Network) Provide Log Management Input & Output validation
IT (Consultant) Specifica tion
Security Office (Consultant) 132
A.12 Information systems acquisition, development and maintenance (6) A.12.2 Correct processing in application Objective: To prevent errors, loss, unauthorized modification or misuse of information in application. A.12.2.1 A.12.2.2 A.12.2.3 A.12.2.4
Input data validation Control of internal processing Message integrity Output data validation
133
การประมวลผลสารสนเทศในแอพพลิเคชัน (Correct processing in applications) Input
Processing
Input Validation
Output
Output Validation
Control of internal processing Message Integrity
Developer End User
www.owasp.org > Top ten Web application security Denial of Service, XSS, SQL Inject, Input validation, etc. 134
ขั้นตอนที่ควรจะมีในการปรับเปลี่ยนและย้ายระบบ • ไม่ยอมให้ ผ้ พู ฒ ั นาระบบเข้ ามาย้ ายระบบใน Production Environment • ผู้ใช้ ต้องเข้ ามามีสว่ นร่วมในการดาเนินการย้ ายระบบ • ระหว่างการย้ ายจะต้ องมีการควบคุมเฉพาะบุคคลที่เกี่ยวข้ อง • ข้ อมูลที่นามาทดสอบต้ องไม่ใช่ข้อมูลจริง • เมื่อระบบย้ ายแล้ วต้ องมีการตังที ้ มงานเพื่อตอบสนองต่อปั ญหา และค่อนๆลด บทบาทลงเมื่อระบบทางานไปได้ สกั ระยะหนึง่ • กรณีที่มีการจัดจ้ างทีมงานพัฒนาจากภายนอกต้ องมีการควบคุมการเข้ าถึง ข้ อมูลเป็ นพิเศษ โดยเฉพาะตอนที่ให้ เข้ ามาแก้ ปัญหาระบบงานหลัก 135
A.12 Information systems acquisition, development and maintenance (6) A.12.3 Cryptographic controls Objective: To protect the confidentiality, authenticity or integrity of information by cryptographic means. A.12.3.1 A.12.3.2
Policy on the use of cryptographic controls Key management
136
มาตรการการเข้ารหัสข้อมูล (Cryptographic controls) • นโยบายการเข้ ารหัสข้ อมูล • เขียนขันตอนปฏิ ้ บตั ิ – ต้ องใช้ วิธีการเข้ ารหัสที่เป็ นมาตรฐาน (RSA, SHA1, 3DES) โดยเฉพาะรหัสผ่าน ที่ใช้
• กาหนดให้ ผ้ พู ฒ ั นาโปรแกรมต้ องเขียน หรื อระบุความสามารถของแอพพลิเคชัน่ ผ่านมาตรฐานที่เราต้ องการ เช่น Input validation, Output validation, Message integrity, Control Processes
137
A.12 Information systems acquisition, development and maintenance (6) A.12.4 Security of system files Objective: To ensure the security of system files. A.12.4.1 A.12.4.2 A.12.4.3
Control of Operational Software Protection of system test data Access control to program source code
138
การสร้างความมัน่ คงปลอดภัยให้กบั ไฟล์ของระบบที่ให้บริ การ (Security of system files) • เขียนขันตอนปฏิ ้ บตั ิในการติดตังไฟล์ ้ ลงเครื่ อง – ไม่ให้ มีการติดตังซอฟต์ ้ แวร์ ที่องค์กรไม่ได้ กาหนด – ซอฟต์แวร์ ที่ติดตังต้ ้ องติดตังจากแหล่ ้ งที่ผ้ รู ับผิดชอบจัดเตรี ยมไว้ ให้ – ผู้ไม่มีสว่ นเกี่ยวข้ องกับระบบงานดูแลไอทีห้ามติดตังโปรแกรมโดยพลการ ้
• ระบบงานต้ องติดตังในระบบทดสอบก่ ้ อนทุกครัง้ จนเข้ าใจดี แล้ วจึงนามาติดตัง้ ในระบบใช้ งานจริง • ผู้พฒ ั นาโปรแกรมต้ องจัดเตรี ยมโค้ ดของโปรแกรม และโค้ ดเหล่านี ้ต้ องควบคุมผู้ เข้ าใช้ ด้วย (User Permission in source code) 139
A.12 Information systems acquisition, development and maintenance (6) A.12.5 Security in development and support processes Objective: To maintain the security of application system software and information. A.12.5.1 Change control procedures A.12.5.2 Technical review of applications after operating system changes A.12.5.3 Restrictions on changes to software packages A.12.5.4 Information leakage A.12.5.5 Outsourced software development
140
การสร้างความมัน่ คงปลอดภัยสาหรับกระบวนการในการพัฒนาระบบและ กระบวนการสนับสนุน (Security in development and support processes) • มีการเขียนขันตอนปฏิ ้ บตั ิในการปรับเปลีย่ นระบบ
141
ขั้นตอนระหว่างดาเนินการย้ายระบบ
142
A.12 Information systems acquisition, development and maintenance (6) A.12.6 Technical Vulnerability Management Objective: To reduce risks resulting from exploitation of published technical vulnerabilities. A.12.6.1
Control of technical vulnerabilities
143
การบริ หารจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ (Technical Vulnerability Management) • เราต้ องป้องกันปั ญหาของช่องโหว่ระบบงานที่พฒ ั นา ทังเจตนา ้ และไม่เจตนา – ระบบต้ องมีการติดตังโปรแกรมตรวจสอบว่ ้ ามีการส่งข้ อมูลนอกเหนือจากค่าที่บนั ทึก หรื อไม่ – ระบบงานต้ องลง Service Pack & Hot-fix ใหม่ลา่ สุดเท่าที่เป็ นไปได้ ในการลง ระบบใหม่ – ต้ องมีการสารองข้ อมูลระบบเดิมเพื่อป้องกันความเสียหายจากช่องโหว่ของระบบใหม่ – มีเครื่ องมือตรวจสอบระบบก่อนดาเนินการจริงเพื่ออุดช่องโหว่ เนื่องจากถ้ าปล่อยให้ ระบบดาเนินการไปแล้ วจะทาการอุดได้ ยาก หรื อค่อนข้ างเสี่ยงสูง
144
สิ่ งที่ตอ้ งคานึงถึงในการจัดจ้าง • เงื่อนไขการดาเนินการ – จัดส่งเอกสารมาตรฐานตาม Software Engineering – ลิขสิทธิ์ – การขอ Source Code – Compiler Tool ต้ องใช้ ถกู ต้ องตามลิขสิทธิ์ทงหมด ั้ และส่งมอบให้ กบั องค์กร – กรณีที่องค์กรจะต้ องมีสองไซต์ ต้ องระบุลว่ งหน้ าว่าจะใช้ ระบบนี ้ทังสองไซต์ ้ – กรณีที่ซื ้อซอฟต์แวร์ สาเร็จรูปต้ องระบุกบั ผู้ขายว่าต้ องการใช้ สองไซต์ ให้ เสนอราคาแบบ สองไซต์ลว่ งหน้ าโดยที่กาหนดใช้ Active ที่ไซต์หลัก
145
A.13 Information security incident management (2) A.13.1 Reporting information security events and weaknesses Objective: To ensure information security events and weaknesses associated with information systems are communicated in a manner allowing timely corrective action to be taken. A.13.1.1 Reporting information security events A.13.1.2 Reporting security weaknesses
146
Event Management • Performance Monitor – System Operator
• Maintenance – Vendor – System Administrator
147
Reporting information security events and weaknesses Hist ory Incident list (Type) Xxxxx Xxxxx xxxxx Help Desk
Vendor or Developer or Law ‌ SysAdmin DBAdmin NetAdmin Incident ID Collect Date time Rep ion Event ort Computer Reporter 148
A.13 Information security incident management (2) A.13.2 Management of information security incidents and improvements Objective: To ensure a consistent and effective approach is applied to the management of information security incidents. A.13.2.1 A.13.2.2 A.13.2.3
Responsibilities and procedures Learning from information security incidents Collection of evidence
149
A.14 Business continuity management (1) A.14.1 Information security aspects of business continuity management Objective: To counteract interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption. A.14.1.1 Including information security in the business continuity management process A.14.1.2 Business continuity and risk assessment A.14.1.3 Developing and implementing continuity plans including information security A.14.1.4 Business continuity planning framework A.14.1.5 Testing, maintaining and re-assessing business continuity plans
150
หัวข้อพื้นฐานสาหรับการบริ หารความต่อเนื่องในการดาเนินงานขององค์กร (Information security aspects of business continuity management)
• กระบวนการในการสร้ างความต่อเนื่องให้ กบั ธุรกิจ (Including information security in the business continuity management process) • การประเมินความเสี่ยงในการสร้ างความต่อเนื่องให้ กบั ธุรกิจ (Business continuity and risk assessment) • การจัดทาและใช้ งานแผนสร้ างความต่อเนื่องให้ กบั ธุรกิจ (Developing and implementing continuity plans including information security) • การกาหนดกรอบสาหรับการวางแผนเพื่อสร้ างความต่อเนื่องให้ กบั ธุรกิจ (Business continuity planning framework) • การทดสอบและการปรับปรุงแผนสร้ างความต่อเนื่องให้ กบั ธุรกิจ (Testing, maintaining and re-assessing business continuity plans) 151
BIA
BCP
People Processes
Business - Computer > Manual การอบรม Risk Assessment การเขียนขันตอนปฏิ ้ บตั ิ Readiness Threat > Assets ไซต์สารอง ตอบสนองต่อระบบที่เกิดขึ ้นแล้ ว Response ออกข่าว -เว็บไซต์ -หนังสือพิมพ์ Incidents Resolve Problems
Testing
Prevention
สารองระบบ ออกแบบระบบ
Processes Technologies Recovery
การกู้คืน การย้ ายไซต์ > ไซต์สารอง > ไซต์หลัก 152
DRC & DRP (Move Site) • DRC (Disaster Recovery Center) – Building – Computer Room & Environment – Server – Active Equipment – BCP Coordinator
• DRP (Disaster Recovery Plan) – Cold Site/Warm Site/Hot Site – Designate Person • BCP Coordinator
153
BCP Process • Call out Tree (Contact System) • BCP – Readiness – Prevention – Recovery – Response
• Testing • Evaluation 154
A.15 Compliance (3) A.15.1 Compliance with legal requirements Objective: To avoid breaches of any law, statutory, regulatory or contractual obligations, and of any security requirements. A.15.1.1 Identification of applicable legislation A.15.1.2 Intellectual property rights (IPS) A.15.1.3 Protection of organizational records A.15.1.4 Data protection and privacy of personal information A.15.1.5 Prevention of misuse of information processing facilities A.15.1.6 Regulation of cryptographic controls
155
การปฏิบตั ิตามข้อกาหนดทางกฎหมาย (Compliance with legal requirements) LAW
IPR, Privacy
Regulation
Data, Properties Confidentiality
Policies
Customer Password (Encrypted) IT Auditor
Audit Routine (Update & Evaluate) Check list
156
A.15 Compliance (3) A.15.2 Compliance with security policies and standards, and technical compliance Objective: To ensure compliance of systems with organizational security policies and standards. A.15.2.1 A.15.2.2
Compliance with security policies and standards Technical compliance checking
157
การปฏิบตั ิตามนโยบาย มาตรฐานความมัน่ คงปลอดภัยและข้อกาหนดทางเทคนิค (Compliance with security policies and standards, and technical compliance)
Policies
Data, Properties Audit Check list
Standard
External Auditor
Internal Auditor
Internal Processes 158
การตรวจประเมินระบบสารสนเทศ (Information systems audit considerations) Policies
Data, Properties Audit Check list
Standard Internal Processes
Executive Summary Detail Audit Checklist (Finding) Scoring > Topic Severity Corrective & Preventive Action Plan
External Auditor
Internal Auditor
159
A.15 Compliance (3) A.15.3 Information systems audit considerations Objective: To maximize the effectiveness of and to minimize interference to/from the information systems audit. A.15.3.1 A.15.3.2
Information systems audit controls Protection of information systems audit tools
160
161
ความแตกต่างระหว่าง ISO17799, ISO27001 2000 Edition (10 sections)
2005 Edition (11 sections)
Security Policy
Security Policy
Security Organisation
Organising Information Security
Asset Classification & Control
Asset Management
Personnel Security
Human Resources Security
Physical & Environmental Security
Physical & Environmental Security
Communications & Operations Management
Communications & Operations Management
Access Control
Access Control
Systems Development & Maintenance
Information Systems Acquisition, Development and Maintenance
Information Security Incident Management Business Continuity Management
Business Continuity Management
Compliance
Compliance
162
ความแตกต่างระหว่าง ISO 27001:2005 กับ 2013 2005 Edition (11 sections)
2013 Edition (14 sections)
Security Policy
Information Security policies
Organising Information Security
How information security is organised Security for suppliers and third parties
Asset Management
Asset Management Cryptographic technology
Human Resources Security
Human resources Security
Physical & Environmental Security
Physical security of the organisation’s sites and equipment
Communications & Operations Management
Operational security Secure communications and data transfer
Access Control
Access Control
Information Systems Acquisition, Development and Maintenance
Secure acquisition, development, and support of information systems
Information Security Incident Management
Information Security Incident Management
Business Continuity Management
Business continuity/disaster recovery
Compliance
Compliance
163
Changes from the 2005 standard (New control) • • • • • • • • • • •
A.6.1.5 Information security in project management A.12.6.2 Restrictions on software installation A.14.2.1 Secure development policy A.14.2.5 Secure system engineering principles A.14.2.6 Secure development environment A.14.2.8 System security testing A.15.1.1 Information security policy for supplier relationships A.15.1.3 Information and communication technology supply chain A.16.1.4 Assessment of and decision on information security events A.16.1.5 Response to information security incidents A.17.2.1 Availability of information processing facilities
164
ข้ อมูลอ้ างอิง - เอกสารประกอบการฝึ กอบรมหลักสูตร ISO/IEC 27001 (introduction) โดยคุณขจร สินอภิรมย์สราญ วิทยากร สวทช. - http://www.bsigroup.com/en-TH/ISOIEC-27001Information-Security/Introduction-to-ISOIEC-27001/
165
ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร สานักงานปลัดกระทรวงยุติธรรม