e0b8a3e0b8b2e0b8a2e0b887e0b8b2e0b8a2e0b8ade0b8b2e0b888e0b8b2e0b8a3e0b8a2e0b98ce0b8aae0b8b8e0b8a3e0b8b1e0b895e0b899e0b98c by r9bf18j

VIEWS: 0 PAGES: 20

									           รายงายเรื่อง

             Security

            จัดทาโดย

นางสาว สุ ภาวัลย์ ป้ องภัย เลขที่ 15

  นางสาว ภคิณี สุ กทน เลขที่14

 นางสาว ยุวดี คาวงษา เลขที่ 33

นางสาว ชมพูนุช ศรีพลน้ อย เลขที่

สาขาคอมพิวเตอร์ ศึกษา ห้ องที่1

               เสนอ

                             ่
      อาจารย์ สุ รัตน์ สุ ขมัน

คณะศิลปศาสตร์ และวิทยาศาสตร์

      มหาวิทยาลัยนครพนม
                                        คานา

รายงานฉบับนีเ้ ป็ นส่ วนหนึ่งของวิชา ระบบปฏิบัติการคอมพิวเตอร์ โดยมีจุดประสงค์
   ่                                     ้ ้         ่
เพือการศึกษาความรู้ Security ซึ่งรายงานนีมเี นือหาเกียวกับ Security ผู้จัดทาได้ เลือก
                       ้                                     ่
              หัวข้ อนีในการทารายงาน เนื่องมาจากเป็ นเรื่องทีน่าสนใจ
                               ้
   ผู้จัดทาหวังว่ ารายงานฉบับนีจะให้ ความรู้ และเป็ นประโยชน์ แก่ผู้อ่านทุก ๆ ท่ าน




                                                                    จัดทาโดย

                                                              นางสาว สุ ภาวัลย์ ป้ องภัย

                                                               นางสาว ภคิณี สุ กทน

                                                              นางสาว ชมพูนุช ศรีพลน้ อย

                                                             นางสาว ยุวดี คาวงษา
                                                                               Security


การควบคุมความมันคงของข้อมูล และการวัดประสิ ทธิผลตามข้อกาหนดของมาตรฐาน ISO 27001
               ่

ดังที่ทราบโดยทัวกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่ อสารได้อย่างรวด
                ่
                                                                                 ่
องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีขอมูลเป็ นทรัพย์สินของตนเอง และถือได้วาเป็ นทรัพย์สินที่มีค่ามากท
                                               ้
อาคารสถานที่ อุปกรณ์ บุคลากร โดยทัวไปสามารถจัดซื้อ จัดหา หรื อจัดจ้างใหม่ได้ไม่ยากนัก แต่หากข้อมูลสาค
                                         ่
รายละเอียดการออกแบบระบบสารสนเทศหลัก ฯลฯ เกิดการสู ญหาย หรื อถูกล่วงละเมิดความลับ ก็เป็ นการยากท
อย่างไรก็ตาม เป็ นที่น่าเสี ยดายที่องค์กรส่ วนใหญ่ในประเทศไทยยังไม่ได้ตระหนักถึงความสาคัญของทรัพย์สินป
ส่ งผลให้ขาดการควบคุมความมันคงของข้อมูล อันนาไปสู่ ความเสี่ ยงที่อาจจะทาให้องค์กรไม่สามารถดาเนินธุรก
                                 ่
หากเกิดเหตุการณ์ไม่คาดฝันขึ้นกับข้อมูลสาคัญขององค์กร

                                                               ้
“ความมันคงของข้อมูล” (Information Security) หมายถึง การที่ขอมูลมีองค์ประกอบครบถ้วนทั้ง 3 ด้านดังต่อไป
        ่
ความถูกต้องและสมบูรณ์ครบถ้วน (Integrity) และ ความพร้อมใช้งาน (Availability) ทั้งนี้ เพื่อเป็ นการรักษาควา
“วิธีการควบคุม” (Control) ที่เหมาะสมขึ้นมา โดยเป็ นวิธีการใดๆ ก็ตามที่มีจุดประสงค์เพื่อการรักษาไว้ซ่ ึงองค์ปร
                                 ั ิ                                            ้
วิธีการควบคุมจึงสามารถเป็ นได้ต้ งแต่วธีการง่ายๆ เช่น การจัดเก็บเอกสารสาคัญในตูที่ปิดล็อคเพื่อป้ องกันการถูก
                                                                                        ้
ไปจนถึงวิธีการที่สลับซับซ้อน เช่น การออกแบบระบบเครื อข่ายเพื่อป้ องกันการโจมตีจากผูไม่ประสงค์ดี

มาตรฐาน ISO/IEC 27002:2005 Code of Practice for Information Security Management ได้นาเสนอแนวทาง แ
(Domain) ดังนี้


    1. Security Policy
    2. Organization of Information Security
    3. Asset Management
    4. Human Resources Security
    5. Physical and Environmental Security
    6. Communications and Operations Management
    7. Access Control
    8. Information Systems Acquisition, Development and Maintenance
    9. Information Security Incident Management
    10. Business Continuity Management
    11. Compliance


หากสังเกตจากหัวข้อด้านบนจะพบว่า
                                                 ่ ิ                            ั
วิธีการควบคุมความมันคงของข้อมูลนั้นไม่ได้จากัดอยูแค่วธีการทางเทคนิคเท่านั้น แต่ยงครอบคลุมไปถึงวิธีการ
                   ่
การคัดเลือกบุคลากร (Personnel Security) การควบคุมดูแลความมันคงปลอดภัยของอาคารสถานที่ (Physical Se
                                                            ่

องค์กรแต่ละแห่งต่างก็มีรูปแบบของธุรกิจ วัฒนธรรมองค์กร งบประมาณ รวมถึงปัจจัยสาคัญอื่นๆ ที่แตกต่างกัน
การกาหนดวิธีการควบคุมความมันคงของข้อมูลจึงต้องพิจารณาให้เหมาะสมกับเงื่อนไขขององค์กรนั้นๆ
                                 ่
เนื่องจากวิธีการที่ดีสาหรับองค์กรหนึ่งอาจจะไม่เหมาะสมกับองค์กรแห่งอื่นก็เป็ นได้ ซึ่งโดยทัวไปแล้ว
                                                                                          ่
องค์กรควรจะคัดเลือกวิธีการควบคุมความมันคงของข้อมูลให้สอดคล้องกับผลการประเมินความเสี่ ยง (Risk Ass
                                          ่

                                                                         ้
 การควบคุมความมันคงของข้อมูลนั้นจาเป็ นต้องใช้ทรัพยากรในการดาเนินการ ผูบริ หารขององค์กรย่อมคาดหว
                     ่
       ้
และคุมค่ากับงบประมาณที่ได้ลงทุนไป ยกตัวอย่างเช่น
                                                             ้
การติดตั้งโปแกรมป้ องกันไวรัสต้องสามารถลดอัตราความเสี่ ยงที่ขอมูลสาคัญในเครื่ องคอมพิวเตอร์จะถูกโจมตีจ
                                                ่
โดยมีค่าบารุ งรักษาและค่าลิขสิ ทธิ์ของโปรแกรมอยูภายในงบประมาณที่ได้กาหนดไว้ ฉะนั้น เพื่อให้ทราบว่าวิธีก
                   ั
ที่องค์กรนามาใช้น้ นบรรลุตามวัตถุประสงค์ และความคาดหวังหรื อไม่ องค์กรจึงต้องมีการนาเครื่ องมืออย่างหน่
“การวัดประสิ ทธิผลของการควบคุมความมันคงของข้อมูล” (Effectiveness Measurement) นันเอง
                                         ่                                         ่

 การวัดมีจุดประสงค์เพื่อให้ได้ผลที่มีความถูกต้องแม่นยา และสามารถนามาใช้ในการเปรี ยบเทียบได้ ดังนั้น
การวัดที่ดีจึงต้องมีการอ้างอิงกับมาตรฐานอย่างหนึ่งอย่างใดเสมอ ยกตัวอย่างเช่น การวัดความยาวโดยอ้างอิงมาต
และเครื่ องมือสาหรับการวัดที่เหมาะสมมาใช้งานอีกด้วย เช่น
                                 ้
การใช้ไม้บรรทัดวัดความยาวที่ตองการความแม่นยาในระดับเซนติเมตร หรื อใช้เวอร์เนียวัดความยาวเมื่อต้องกา
การวัดประสิ ทธิผลของวิธีการควบคุมความมันคงของข้อมูลก็อาศัยหลักการดังกล่าวข้างต้น และได้รับการบรรจ
                                            ่
27001:2005 Information technology -- Security techniques -- Information security management systems – Req



                                                                  ้
องค์กรจาเป็ นต้องกาหนดตัววัด (Metric) สาหรับแต่ละวิธีการควบคุมที่ตองการวัดประสิ ทธิผล เพื่อให้การวัดปร
                          ่                                 ้
และได้ผลลัพธ์ที่ตรงกันไม่วาการวัดนั้นได้รับการดาเนินการโดยผูใดก็ตาม โดยตัววัดจะต้องประกอบไปด้วย 3 ส

                                                             ้
      • รายละเอียดของวิธีการควบคุมความมันคงของข้อมูลที่ตองการวัดประสิ ทธิผล เป็ นการระบุรายละเอียดที่จ
                                           ่
เช่น ชื่อวิธีการควบคุม วัตถุประสงค์ และขอบเขตของการวัดผลประสิ ทธิผล เป็ นต้น
    • รายละเอียดของวิธีการที่ใช้ในการวัดประสิ ทธิ ผล เป็ นการระบุรายรายละเอียดที่จาเป็ นเกี่ยวกับวิธีการที่องค์ก
                                                                                      ้
แหล่งข้อมูลที่จะนามาใช้ วิธีการรวบรวมข้อมูล ตารางเวลาที่จะทาการวัดประสิ ทธิผล ผูรับผิดชอบ และวิธีการปร
                                                                           ั
      • การตั้งเป้ าหมาย เป็ นการกาหนดระดับของผลการวัด เพื่อใช้เป็ นตัวชี้วดว่าวิธีการควบคุมความมันคงของข
                                                                                                     ่
การวัดประสิ ทธิผลของการฝึ กอบรมด้วยการทดสอบความรู ้ความเข้าใจของพนักงาน หากได้คะแนนเฉลี่ยมากกว
การฝึ กอบรมนั้นบรรลุตามวัตถุประสงค์ หรื อ การวัดด้วยจานวนชัวโมงของการฝึ กอบรมด้านความมันคงของข้อ
                                                               ่                                   ่
และปี ที่สองกาหนดเป็ น 15 ชัวโมง/คน/ปี หากผลการวัดเป็ นไปตามเป้ าหมายนี้ ถือว่าการวางแผนและการจัดฝึ กอ
                                ่

การกาหนดตัววัดประสิ ทธิผลของการควบคุมความมันคงของข้อมูลนั้น ต้องได้รับการพิจารณาอย่างรอบคอบโด
                                                ่
         ั
เพื่อให้ตววัดนั้นสามารถสะท้อนให้เห็นประสิ ทธิผลของวิธีการควบคุมความมันของข้อมูลได้อย่างแท้จริ ง โดยต
                                                                         ่
และไม่กาหนดเป้ าหมายสู ง หรื อต่าจนเกินไป ฯลฯ อันเป็ นปั ญหาที่พบบ่อยครั้งในการกาหนดรายละเอียดของตัว

การวัดประสิ ทธิผลของการควบคุมความมันคงของข้อมูลมีประโยชน์หลายประการ
                                        ่
                                                                                   ้
เช่นการแสดงให้เห็นถึงประสิ ทธิผลของวิธีการควบคุมความมันคงของข้อมูลว่าเป็ นไปตามที่ตองการหรื อไม่
                                                         ่
การแสดงให้เห็นถึงแนวโน้มการพัฒนาของวิธีการควบคุมความมันคงของข้อมูลว่าดีข้ ึนหรื อด้อยลงเมื่อเปรี ยบเท
                                                           ่
      ้
ซึ่งผูบริ หารสามารถนามาใช้เป็ นข้อมูลประกอบการตัดสิ นใจในการจัดสรรงบประมาณ และทรัพยากรสนับสนุน
                              ่
ผลการวัดยังสามารถยืนยันได้วา องค์กรมีการควบคุมความมันคงของข้อมูลในระดับที่ดี และมีการวัดประสิ ทธิผ
                                                       ่




   ISO 20000: มาตรฐานงานบริ การด้าน IT สาหรับองค์กรในโลกยุคดิจิตอล [ Part III ]

   หลังจากที่ได้ทาความรู ้จกกับกระบวนการในกลุ่ม Service Delivery ไปในบทความตอนที่แล้ว ในบทความตอ
                           ั
                    ั                                                   ่
   ซึ่งเมื่อนามาปฏิบติอย่างครบถ้วนแล้ว การให้บริ การด้าน IT ขององค์กรก็ยอมจะมีประสิ ทธิภาพ และสร้างคว
   ซึ่งสอดคล้องตามวัตถุประสงค์ของมาตรฐาน ISO 20000 นันเอง  ่
  ISO 20000: มาตรฐานงานบริ การด้าน IT สาหรับองค์กรในโลกยุคดิจิตอล [ Part II ]

                       ่
  บทความในตอนที่ผานมาได้อธิบายถึงรายละเอียดเบื้องต้นของมาตรฐานสากล ISO 20000 ซึ่งเป็ นมาตรฐานเก
  ซึ่งกระบวนการพื้นฐานนั้นสามารถแบ่งออกได้เป็ น 5 กลุ่มดังที่ได้กล่าวไปแล้ว ในบทความตอนนี้จะเป็ นการ
  ได้แก่ กลุ่ม Service Delivery Processes


  ISO 20000: มาตรฐานงานบริ การด้าน IT สาหรับองค์กรในโลกยุคดิจิตอล [ Part I ]

  องค์กรที่ประสบความสาเร็จในโลกยุคดิจิตอลนี้ ทุกแห่งต่างก็มีระบบเทคโนโลยีสารสนเทศ (IT System) ที่ม
                                                                                   ่
  ซึ่งถือเป็ นปัจจัยสาคัญที่ไม่มีผใดสามารถปฏิเสธได้ ดังนั้น คาถามที่มกจะได้ยนกันอยูบ่อยๆ ก็คือ การให้บริ ก
                                  ู้                                 ั      ิ
  ขององค์กรเหล่านั้นได้รับการบริ หารจัดการอย่างไร


          ั
  แนวปฏิบติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่ อสาร เรื่ อง หลักเกณฑ์การเก็บ
  2550 (ตอนจบ)

  กรณี ที่องค์กรมีขนาดเล็กมาก เช่น มีเครื่ อง PC ไม่กี่เครื่ อง ต่ออินเทอร์เน็ตแบบ ADSL และมีผใช้งาน Share ก
                                                                                              ู้
  Share กันด้วย ควรจะดาเนินการอย่างไร


          ั
  แนวปฏิบติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่ อสาร เรื่ อง หลักเกณฑ์การเก็บ
  2550 (ตอนที่ 2)

                                                                                          ้
  นอกจากส่ วนเนื้อหาของประกาศฯ เรื่ อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผูให้บริ กา
  ฉบับนี้ยงมีส่วนของภาคผนวกแนบท้ายที่มีความสาคัญอีกด้วย
          ั




       ั
แนวปฏิบติและการตีความ : ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่ อสาร เรื่ อง
                                                   ้
หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผูให้บริ การ พ.ศ. 2550 (ตอนที่ 1)

           ั
เอกสารนี้จดทาขึ้นเพื่อเผยแพร่ และให้ความรู ้แก่องค์กรต่างๆ
     ้
ที่ตองจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกาหนดของกฎหมาย
เพื่อให้การจัดเก็บนั้นทาได้อย่างถูกต้องครบถ้วน ประหยัดค่าใช้จ่าย และมีประสิ ทธิภาพ
เนื้อหาของเอกสารนี้มีรากฐานมาจากการตีความกฎหมายและการทางานจริ งของที่ปรึ กษาของเอ
ซีอินโฟเทค กรณี ที่เกิดข้อโต้แย้งหรื อความไม่แน่ใจ องค์กรควรยึดถือข้อกฎหมายเป็ นหลัก


Overview of ISO 27001 and ISO 27002: The International Standards for Information Security
Management [ Part III ]

ในบทความตอนสุ ดท้ายนี้มีเนื้อหากล่าวถึงการออกใบรับรอง
ทั้งในแง่การรับรองความมีมาตรฐานขององค์กร และในแง่การรับรองความรู ้
ความสามารถของบุคคล รวมถึง แนวโน้มการประยุกต์ใช้มาตรฐาน ISO 27001
ทั้งในประเทศไทย และทัวโลก
                      ่


Overview of ISO 27001 and ISO 27002: The International Standards for Information Security
Management [ Part II ]

จากบทความในตอนที่แล้ว ซึ่งได้กล่าวถึงประวัติความเป็ นมาของ ISO 27001 และ ISO 27002
นั้น ในบทความตอนนี้จะเป็ นการกล่าวถึงเนื้อหาของมาตรฐาน โดยมีรายละเอียด ดังนี้...


Overview of ISO 27001 and ISO 27002: The International Standards for Information Security
Management [ Part I ]

ISO 27001 และ ISO 27002 คือ มาตรฐานสากลด้านการบริ หารความมันคงของข้อมูล
                                                              ่
                                                                      ้
ซึ่งเน้นความสาคัญที่ “ระบบการบริ หารจัดการ” (Management System) โดยมีขอกาหนดต่างๆ
                ั
ที่องค์กรพึงปฏิบติในการรักษาความมันคงของข้อมูล
                                   ่
การควบคุมความมันคงของข้อมูล และการวัดประสิ ทธิผลตามข้อกาหนดของมาตรฐาน ISO
               ่
27001

ดังที่ทราบโดยทัวกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง
                ่
และสามารถใช้ในการติดต่อสื่ อสารได้อย่างรวดเร็ วนั้น
                                            ั
คือหัวใจสาคัญของการดาเนินธุรกิจในปัจจุบน องค์กรทั้งขนาดใหญ่
                      ้
และขนาดย่อมต่างก็มีขอมูลเป็ นทรัพย์สินของตนเอง
           ่
และถือได้วาเป็ นทรัพย์สินที่มีค่ามากที่สุดสาหรับองค์กร ดังนั้น
จึงต้องมีการกาหนดวิธีการการควบคุมความมันคงของข้อมูล
                                              ่
และมีการวัดประสิ ทธิผลของวิธีการเหล่านั้นด้วย
                                 ั
                          การอนุวติ CMMI ในอุตสาหกรรมซอฟต์แวร์

                                                        ั
                          มีคาถามว่า การนา CMMI ไปใช้น้ นมีประโยชน์อย่างไร และ
                                    ั
                          การอนุวติ (Implement)
                          จะต้องทาอย่างไรจึงจะประสบความสาเร็จด้วยดี
                          ผมพยายามตอบคาถามนี้ในเนื้อที่ส้ ันๆ
         ู้
เพื่อให้ผที่สนใจเกิดความเข้าใจ ดังนี้...


Risk Management : The key process for ISO 27001 implementation

กระบวนการในการบริ หารจัดการความเสี่ ยงเป็ น Requirement หนึ่งในการจัดทาระบบ
ISMS (Information Security Management Systems) ตามมาตรฐาน ISO 27001
และถือเป็ นส่ วนสาคัญที่มีผลอย่างมากต่อความสาเร็ จและความมีประสิ ทธิภาพ
ของระบบ ISMS


Information Security Policy

                                             ั
สิ่ งสาคัญที่สุดในการดาเนินธุรกิจในยุคปั จจุบนคือ ข้อมูลต่างๆ
                                                                           ั
ที่ใช้ประกอบการดาเนินธุ รกิจ แต่หลายองค์กร แทบจะไม่ได้ให้ความ สนใจในจุดนี้นก
                                       ั
โดยทัวไปมักจะให้ความสาคัญกับสิ่ งที่จบต้องได้ หรื อ ที่มีราคาแพงมากกว่า
        ่
ทั้งที่ในความเป็ นจริ งแล้ว
สิ่ งของเหล่านั้นสามารถหามาทดแทนได้หากเกิดความเสี ยหายขึ้น
                                                   ็
แต่หากข้อมูลเสี ยหายไปโดยที่ไม่มีการสารองไว้กยากที่จะนากลับคืนมา หรื อ
             ็ ้
หากทาได้กตองใช้เวลานานในการที่จะรวบรวมข้อมูลที่เหมือนเดิมกลับมา
แน่นอนว่าเราสามารถที่จะซื้อเครื่ อง Server เครื่ องใหม ่่ได้ทุกเมื่อ
แต่เราไม่สามารถหาซื้อข้อมูลที่เรารวบรวมไว้ภายในเครื่ องได้
ดังนั้นเราจึงควรให้ความสาคัญกับการปกป้ องข้อมูลมากขึ้น
                        การจัดการความปลอดภัยของข้อมูล

                                                             ้
            ข้อมูลสารสนเทศ เป็ นสิ นทรัพย์สาคัญทางธุรกิจ ที่ตองดูแลบารุ งรักษา
                         ั     ั
และป้ องกันอย่างดี ปัจจุบนบริ ษทฯ ได้กาหนดความปลอดภัยระบบข้อมูลสารสนเทศ
โดยการนาเทคโนโลยีความปลอดภัยที่สาคัญมาใช้ในองค์กร เพื่อช่วยในการทางาน
และลดความเสี่ ยงด้านความปลอดภัย ในระดับที่เหมาะสม
และเกิดประสิ ทธิภาพต่อการทางานสู งสุ ด

                 ั
            บริ ษทได้ตระหนักถึงความสาคัญของข้อมูลสารสนเทศ
                                        ั
โดยให้มีการบริ หารจัดการให้ระบบข้อมูลมีลกษณะคงความเป็ น C I A คือ

                                                               ้
                1. การรักษาความลับ (Confidentiality) ให้บุคคลผูมีสิทธิเท่านั้น
                ้
เข้าถึงเรี ยกดูขอมูลได้ ต้องมีการควบคุมการเข้าถึง
                                      ้
ข้อมูลเป็ นความลับต้องไม่เปิ ดเผยกับผูไม่มีสิทธิ

              2. ความถูกต้องแท้จริ ง (Integrity)
มีเกราะป้ องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล
                                         ู้
ต้องมีการควบคุมความผิดพลาด ไม่ให้ผไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข

             3. ความสามารถพร้อมใช้เสมอ (Availability)
          ้                                          ้
ให้บุคคลผูมีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ตองการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว
                                      ู้
มีสมรรถภาพทางานต่อเนื่อง ไม่ให้ผไม่มีสิทธิมาทาให้ระบบหยุดการทางาน
            ความปลอดภัยของข้อมูลสารสนเทศ (Information Security)

      ั
บริ ษทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริ ษทฯ       ั
ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสู งทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้ องกัน
การโจรกรรมข้อมูลที่เป็ นความลับ บริ ษทฯ ั
ได้กาหนดให้มีระบบความปลอดภัยที่มีประสิ ทธิภาพ
          ั่      ่                          ั
เพื่อให้มนใจได้วาเว็บไซต์และข้อมูลของบริ ษทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน
รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสู ง
รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128 บิท (128 Bit Encryption)
ซึ่งเป็ นการเข้ารหัสข้อมูลระดับสู งสาหรับการทาธุรกรรมผ่านบริ การทางอินเทอร์เน็ต นอกจากนี้
        ั
บริ ษทฯ ยังกาหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริ การได้

                  ั
             บริ ษทฯ
ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่
                      ่
เป็ นมาตรฐานสากลอยูแล้ว และเสริ มด้วยการทางานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น
                                                              ั
และโดยหลักการทัวไปในการควบคุมและรักษาความปลอดภัยให้กบระบบข้อมูลข่าวสาร
                    ่
                                                                         ั
ได้แก่การควบคุมส่ วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดงนี้

            1. การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control)
โดยมีระดับวิธีการ 3 วิธีคือ

            - การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control)
คือการที่ โปรแกรมนั้นได้มีการควบคุมสิ ทธิการเข้าถึง
                  ้
และสิ ทธิในการใช้ขอมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง

                                                    ั
           - การควบคุมความปลอดภัยโดยระบบปฏิบติการ (Operating System Control)
                                      ้
คือการควบคุมสิ ทธิการเข้าถึงและการใช้ขอมูลในส่ วนต่าง ๆ
                              ้                         ้
ภายในระบบคอมพิวเตอร์ของผูใช้คนหนึ่ง และจาแนกแตกต่างจากผูใช้คนอื่น ๆ
           - การควบคุมและการออกแบบโปรแกรม (Development Control)
คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริ ง

             2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control)
โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ ที่สามารถควบคุมการเข้าถึง
และป้ องกันการทางานผิดพลาด ด้วยอุปกรณ์ภายในตัวเอง

           3. การใช้นโยบายในการควบคุม (Policies)
โดยมีการประกาศใช้นโยบาย
และการปรับปรุ งนโยบายให้มีการทางานสอดคล้องกับการดาเนินธุ รกิจ
                                                ั
และสภาพแวดล้อมที่เปลี่ยนแปลง โดยมีผลบังคับใช้ท้ งองค์กร

             4. การป้ องกันทางกายภาพ (Physical Control)
การมีมาตรการการเข้าถึงศูนย์คอมพิวเตอร์
และเครื่ องคอมพิวเตอร์ที่สาคัญได้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้น
รวมทั้งมีระบบสารองข้อมูลอย่างสม่าเสมอ

              มาตรการและอุปกรณ์ที่ใช้ในนโยบายระบบ

ความปลอดภัย

การจัดการด้านความปลอดภัยของระบบเครื อข่าย Counter Service
จะประกอบด้วยองค์ประกอบ 3 ส่ วนดังนี้

1. โครงสร้างพื้นฐานด้านความปลอดภัย

                                    ั
   a. การติดตั้งระบบ Firewall บริ ษทฯ ได้ติดตั้ง Firewall
                                          ้
      ซึ่งเป็ นเทคโนโลยีที่ทาการป้ องกันผูบุกรุ กเข้า-ออกระบบ และกาหนดโซนการให้บริ การ
      การเข้าถึงข้อมูล ที่เหมาะสม
      - กาหนดขอบเขต และโซนการทางานที่เหมาะสม
                                                      ้
      - กาหนดบริ การ และการเข้าถึงระบบสาหรับผูที่ได้รับอนุญาตเท่านั้น
   b. การติดตั้งระบบ Anti-Virus เพื่อทาการป้ องกัน
      และกาจัดไวรัสที่มีการอัพเดตข้อมูลอย่างสม่าเสมอ
                                ั                       ั่            ั
   c. การติดตั้งระบบ SSL บริ ษทฯ เลือกใช้ SSL เวอร์ชนล่าสุ ด ซึ่งบริ ษท
      และธนาคารชั้นนาส่ วนใหญ่เลือกใช้
      เนื่องจากมีประสิ ทธิภาพในการรักษาความปลอดภัยขั้นสู ง หน้าที่ของ SSL คือ
              ้
      สลับที่ขอมูลและแปลงเป็ นรหัสตัวเลขทั้งหมด
                                                                   ิ่
      ยิงความละเอียดในการเข้ารหัสมีมากเท่าไร ความปลอดภัยก็ยงสู งขึ้นเท่านั้น
        ่
      ระดับความละเอียดของการเข้ารหัสมีหน่วยเป็ น บิท โดยเว็บไซท์บริ ษทฯ ั
                                                                 ั
      ได้ใช้การเข้ารหัสระดับ 128 บิท ซึ่งถือว่าเป็ นระดับที่บริ ษท
      และธนาคารชั้นนาของโลกใช้อยู่
                           ั
   d. การติดตั้งระบบปฏิบติการที่มีระดับความปลอดภัยที่ระดับ C2 โดยการติดตั้ง
      และเปิ ดใช้เฉพาะบริ การที่เหมาะสม และจาเป็ นเท่านั้น
   e. การติดตั้งระบบ Web Server และการกาหนดค่าพารามิเตอร์ที่เหมาะสม



2. การตั้งค่าและใช้งานอย่างเหมาะสม (Hardening)

   a.   Hardening
   b.   Patch Management
   c.   Authentication
   d.   Backup
             3. การตรวจสอบ (Audit)
  การตรวจสอบการใช้งานทัวไป
                       ่

ทิศทาง "Information Security" ในอนาคต
2009-03-15 18:43:15

         ั
ในปัจจุบน เรื่ องความมันคงปลอดภัยข้อมูลหรื อ "Information Security"
                       ่
กลายเป็ นเรื่ องสาคัญสาหรับการบริ หารจัดการระบบสารสนเทศที่ดีและมีประสิ ทธิภาพ
ระบบสารสนเทศที่มีเสถียรภาพสู งควรสามารถป้ องกันการโจมตีจากแฮกเกอร์ หรื อ
มัลแวร์ต่างๆ ได้เป็ นอย่างดี วัตถุประสงค์หลักขององค์กรก็คือ การรักษา "CIA" (ย่อมาจาก
                                                 ั
Confidentiality, Integrity และ Availability) ให้กบระบบสารสนเทศขององค์กร ได้แก่
การรักษาความลับของข้อมูล (Confidentiality) , การรักษาความถูกต้องของข้อมูล (Integrity)
และ การทาให้ระบบมีความมันคงและมีเสถียรภาพในการให้บริ การอย่างต่อเนื่อง (Availability)
                               ่
อีกทั้งยังต้อง "ผ่าน" หรื อ "Comply" กฎระเบียบข้อบังคับจาก Regulator และ กฎหมายต่างๆ
                                                   ่
ที่ทยอยออกมาอย่างต่อเนื่อง เช่น พระราชบัญญัติวาด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ.
                                 ่
๒๕๔๔ และ พระราชบัญญัติวาด้วยการกระทาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐
                  ั                                                     ่
รวมทั้งการปฏิบติตาม International Standard และ Best Practices ต่างๆ ไม่วาจะเป็ น ISO/IEC
27001, ISO/IEC 20000, BS25999, CobiT version 4.1, COSO และ ITIL version 3 เป็ นต้น

ในอนาคต "Professional Certification" จะกลายเป็ นมาตรฐานบังคับ (Mandatory) ไม่ใช่
                           ็
"Option" ที่จะมีหรื อไม่มีกได้ ดังนั้น คนไอทีทุกคนควรมี Professional Certification
ติดตัวอย่างน้อยก็เป็ นใบเบิกทางในการทางาน และเป็ นการพัฒนาตนเอง
                                ั
ตลอดจนสร้างความเชื่อถือให้กบหัวหน้า , เพื่อนร่ วมงาน , ลูกค้า และคู่คาขององค์กร อีกด้วย
                                                                      ้

สาหรับทิศทางในอนาคตของวงการความปลอดภัยข้อมูลในอีกไม่เกิน 5 ปี ข้างหน้านั้น
ขอทานายไว้ล่วงหน้าว่า คุณสมบัติ และ ข้อกาหนดทั้ง Hardware, Software และ Peopleware
ที่เกี่ยวกับเรื่ อง "Information Security" นั้น จะถูกบรรจุไว้ในผลิตภัณฑ์ และ
ถูกรวมเข้ากับบริ การของ Service Provider ไปโดยปริ ยาย เพราะลูกค้าจะมองว่า "Information
Security" ก็คือ "Basic Infrastructure" หรื อ โครงสร้างพื้นฐาน เช่น
เมื่อซื้อรถยนต์มาก็ควรมีระบบเบรค "ABS" และ ระบบ "AIRBAG" ติดมากับรถยนต์
                   ้
โดยลูกค้าไม่ตองจ่ายเพิ่ม โดยลูกค้าในอนาคตจะไม่อยากจ่ายเพิ่มในเรื่ อง "Information Security"
                                   ่
ที่ลูกค้าเองมองว่าควรจะพึงมีอยูแล้วในการให้บริ การของ Service Provider
                                                 ั                           ั
ในอนาคตเราอาจจะเห็นการรวมกันของบริ ษทเทคโนโลยีสื่อสารคมนาคมกับบริ ษทผูเ้ ชี่ยวชาญ
ด้านความปลอดภัยข้อมูลอีกหลายราย

                                               ้
ในอนาคต เราอาจไม่ได้เห็นการ "ขาย" อุปกรณ์ดานความปลอดภัยข้อมูล Hardware และ
             ั
Software ให้กบองค์กรดังเช่นทุกวันนี้ แต่จะเป็ นการใช้บริ การจาก IT Outsourcing และ IT
                                           ั
Security Outsourcing มากขึ้น หรื อเห็นบริ ษท MSSP (Managed Security Service Provider)
                      ั            ้
ควบรวมกิจการกับบริ ษทยักษ์ใหญ่ดาน Telecom เช่น British Telecom (BT) เข้าซื้อกิจการ
MSSP ของ Counterpane ซึ่งเป็ น MSSP ชื่อดังในยุโรป เป็ นต้น

                                                   ั
ในอนาคตการขายอุปกรณ์ความปลอดภัยตรงๆ ให้กบลูกค้าองค์กรนั้นจะไม่ง่ายเหมือนสมัยก่อน
                 ั
เพราะในปัจจุบนและอนาคต ลูกค้าต้องการในรู ปแบบของ "Total Solution" หรื อ "Turn-key
Project" ที่รวมเอา "Information Security Feature" เข้าเป็ นส่ วนหนึ่งของโครงการ
และองค์กรจะนิยม "Outsource" งานด้าน IT และ Information Security
ออกไปยังผูเ้ ชี่ยวชาญภายนอกมากขึ้น ดั้นนั้น ITIL Best Practice และ ISO/IEC 20000 Standard
จะได้รับความนิยมเพิ่มมากขึ้น

The Information Technology Infrastructure (ITIL) เป็ นวิธีการที่จะช่วยปรับปรุ งองค์กรที่ติดตั้ง
IT เป็ นตัวขับเคลื่อนการทางาน จุดประสงค์เพื่อปรับ IT ให้สามารถเข้ากับธุรกิจ
ช่วยควบคุมต้นทุนค่าใช้จ่าย เพิ่มประสิ ทธิภาพในการใช้งาน IT รวมทั้งสามารถใช้ทรัพยากร IT
        ่                      ั
ที่มีอยูได้อย่างมีคุณภาพ การวิจยในต่างประเทศได้พบว่ามีการนาเอาระบบ ITIL
                                           ่
มาใช้ในองค์มากขึ้น ตลอดระยะเวลา 2-3 ปี ที่ผานมา การศึกษาในปี 2006 พบว่ากว่า 30%
ขององค์กรมีการนาเอา ITIL เข้ามาปรับใช้งาน และในปี 2008 พบว่าจานวนขององค์กรที่นาเอา
ITIL ไปปรับใช้งาน ได้เพิ่มขึ้นสู งถึง 80%

ความแตกต่างของ ITIL จาก ระบบมาตรฐานอื่น ๆ

           ·     Project Management (www.pmi.org)

           ·     COBIT (www.isaca.org)

           ·     Balanced Scorecards (www.balancedscorecard.org)

           ·     Six Sigma (www.isixsigma.com)
          ·     ISO-9000 (www.iso.org)

          ·     TQM / Deming (www.deming.org)

          ·     Capability Maturity Model (www.sei.cmu.edu)

มาตรฐานต่างๆเหล่านี้
                                                              ่
ได้ให้แนวทางที่สามารถทาให้เกิดการปรับปรุ งระบบการทางานที่มีอยูได้เป็ นอย่างดี อย่างไรก็ดี
                             ้
ระเบียบวิธีการเหล่านี้ ได้มีขอจากัด และให้แนวทางที่เป็ นกระบวนการ
เกี่ยวกับการทางานทางด้าน IT น้อยมาก แต่ ITIL
ได้เป็ นโครงร่ างของกระบวนการทางานที่ทาให้การทางาน หรื อให้บริ การของ IT
ระหว่างหน่วยงานกับหน่วยงานทางธุรกิจ
รวมทั้งสร้างความสัมพันธ์ระหว่างมาตรฐานต่างๆที่ได้มาแล้ว กับหน่วยงาน IT
ให้มีประสิ ทธิภาพมากยิงขึ้นไปอีก
                      ่
                          ั ้
ซึ่งจะสร้างความพึงพอใจให้กบผูใช้บริ การทั้งในและนอกองค์กร เช่นลูกค้า




ความแตกต่างระหว่าง ITIL กับ IEC/ISO 20000

ISO 20000 เป็ นมาตรฐาน ที่ได้ถูกพัฒนาขึ้นบนพื้นฐานจาก ITIL เช่นเดียวกันกับ BS 15000
(ซึ่ งเป็ นมาตรฐานก่อนหน้า ISO 20000) ประกอบด้วยชุดของกฏกติกาที่ใช้บริ หารจัดการ IT
                                         ั
โดยมีกระบวนการทางาน รวมทั้งของข่ายการปฏิบติงานขั้นพื้นฐาน แบบเดียวกับ ITIL
                      ั
ความแตกต่างที่เห็นได้ชดเจนคือ ระดับของรายละเอียดและจุดประสงค์การทางาน ITIL
                                             ั
ได้ถูกพัฒนาให้เป็ นชุดของระบบการทางานเชิงปฏิบติ ที่เรี ยกว่า Best Practice Guidance
               ั
ซึ่งเน้นการปฏิบติงานเพื่อให้บรรลุความสาเร็จในการบริ หารจัดการกับ IT Services ขณะที่
ISO/IEC 20000 เน้นการรวบรวมวิธีการต่างๆขึ้นเป็ นมาตรฐานการจัดการ IT ด้วยเหตุน้ ี
จึงมีการนิยามความต้องการต่างๆเพื่อบริ หารจัดการ IT Services อย่างชัดเจน
                                   ่
ซึ่งแต่เดิมความต้องการเหล่านี้มีอยูใน ITIL เรี ยบร้อยแล้ว แต่ ISO 20000
                                           ้
เพิ่มรายละเอียดความต้องการ มากไปจากเดิมที่ตองการใน ITIL

ITIL Service Management Practices (‘ITIL v3’)

เดือน ธันวาคม ปี 2005 OGC (Office of Government Commerce) ได้เผยแพร่ ITIL
           ั
ใหม่ที่ได้พฒนาต่อยอดมาจาก ITIL v.2 ซึ่งเป็ น Version ก่อนหน้านี้ เรี ยกว่า ITIL v.3
มีชื่อเรี ยกเต็มว่า Information Technology Infrastructure v3 ภายใต้ V.3
นี้ได้กาหนดมาตรฐานหลักออกเป็ น 5 มาตรฐาน ข้อแตกต่างระหว่าง v2 กับ v3
ได้แก่การเปลี่ยนแปลงโครงสร้างการทางานที่แต่เดิม
           ิ                                               ั
เน้นวงจรชีวตของกระบวนการและปรับแต่งให้ IT สามารถเข้ากันได้กบธุรกิจ
                              ิ
ไปเป็ นการบริ หารจัดการวงจรชีวตของกระบวนการบริ การที่แผนก IT
          ั
สามารถให้กบหน่วยธุรกิจ หรื อพูดง่ายๆคือ
                                 ั
มีการบริ หารการให้บริ การเชิงปฏิบติที่มีประสิ ทธิภาพมากยิงขึ้น โดยเน้นคาว่า “Best Practice”
                                                         ่
                         ั
หรื อวิธีการทางานเชิงปฏิบติที่ดีที่สุด
โครงสร้างของ ITIL v3

ITIL v3 ประกอบขึ้นด้วยข้อมูลอันเป็ นแกนหลัก 5 ประการได้แก่
   Service
    Strategy            เน้นที่วิธีการพิสูจน์ทราบถึงโอกาสในการพัฒนาระบบการให้บริ การแ
                                                           ้
    ก่ตลาดธุรกิจ เพื่อให้สอดคล้องต่อความต้องการของผูใช้บริ การ IT ในองค์กร
    และลูกค้าที่เข้ารับบริ การนอกองค์กร
    จุดประสงค์เพื่อให้เกิดผลลัพธ์ของวิธีการบริ การที่ดีที่สุด
    รวมทั้งการออกแบบวิธีการนาเอาระบบให้บริ การที่มีประสิ ทธิภาพไปใช้
    ตลอดจนการดูแลรักษา และการปรับปรุ งแก้ไขกระบวนการบริ การที่ต่อเนื่อง
    กุญแจหลักของ Service Strategy ได้แก่ Service Portfolio Management และ Financial
    Management
   Service Design เน้นการออกแบบกิจกรรมที่จะเกิดขึ้นในการะบวนการให้บริ การ
    รวมทั้งการพัฒนากลยุทธ์และวิธีการบริ หารจัดการระบบบริ การ โดยมีกญแจหลักอยูที่
                                                                           ุ             ่
    Availability Management หรื อความพร้อมที่จะให้บริ การ Capacity Management หรื อ
    ขีดความสามารถในการให้บริ การอย่างรวดเร็วและมีประสิ ทธิภาพ รวมทั้ง Continuity
    Management หรื อความสามารถในการให้บริ การที่ต่อเนื่อง และ Security Management
    หรื อการบริ หารระบบรักษาความปลอดภัย
   Service Transition           เน้นที่การดาเนินการเพื่อให้ได้ผลลัพธ์ของการบริ การที่ดีที่สุด
    รวมทั้งการสรรค์สร้างวิธีการบริ การใหม่ๆขึ้น
                                                 ่
    ตลอดจนการปรับปรุ งวิธีการบริ การที่มีอยูแล้ว โดยมีขอมูลบางส่ วนคาบเกี่ยวกับ Service
                                                             ้
    Transition และ Service Operation กุญแจสาคัญของ Service Transition ได้แก่ Change
    Management Configuration Management Release Management และ Service
    Knowledge Management
   Service
    Operation                                                           ั
                       เน้นหนักไปทางด้านกิจกรรมที่จาเป็ นต่อการปฏิบติงานเพื่อให้บรรลุผ
    ลสาเร็จในการดูแลรักษาหน้าที่การทางานหรื อบริ การ
    ที่เป็ นไปตามข้อตกลงว่าด้วยพันธะสัญญาบริ การ (Service Level Agreement)
    ที่มีต่อลูกค้า กุญแจหลักของ Service Operation ได้แก่ Incident Management Problem
    Management และ Request Fulfillment รวมทั้ง Event Management
   Continual Service
    Improvement             เน้นที่ขีดความสามารถที่จะทาให้เกิดขีดความสามารถในการปรั
                                       ่                           ุ         ่
    บปรุ งการให้บริ การที่มีคุณภาพอยูแล้ว ให้มีความต่อเนื่อง โดยมีกญแจหลักอยูที่ Service
    Reporting Service Measurement



                                     อ้างอิง

                   http://th.wikipedia.org/wiki/

								
To top