นางสาวชุติมา โพธิ์ป้อม นางสาวรุ่งนภา นาคเพ่งพิศ 7. การควบคุมการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ นางสาวชุติมา โพธิ์ป้อม นางสาวรุ่งนภา นาคเพ่งพิศ

มาตรฐาน ISO 27001:2013 Annex A

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.1จัดให้มีนโยบายควบคุมการเข้าถึง โดยจัดทําเป็นเอกสาร และมีการติดตามทบทวนให้นโยบายดังกล่าว สอดคล้องกับข้อกําหนดหรือความต้องการด้านการดําเนินงานหรือการให้บริการ และด้านการรักษาความมั่นคง ปลอดภัยระบบสารสนเทศ 7.1มีข้อบังคับให้ผู้ใช้งานปฏิบัติตามขั้นตอนเพื่อการเลือกใช้รหัสผ่านอย่างมั่นคงปลอดภัยตามที่หน่วยงาน กําหนด A.9.1.1นโยบายการควบคุมการเข้าถึง A.9.3.1การใช้งานข้อมูลลับสำหรับการพิสูจน์ตัวตน -ผู้ใช้งานจะต้องถูกกำหนดให้ปฏิบัติตามวิธีการใช้งานรหัสผ่านขององค์กร -นโยบายการใช้งานเครือข่ายคอมพิวเตอร์อย่างปลอดภัย พ.ศ. 2554 - 0626 WI 012 งานให้บริการสมัครสมาชิกเครือข่ายกรมฯ - ทบทวนนโยบาย ฯ 7.2 จัดให้มีการลงทะเบียนบัญชีผู้ใช้งานระบบสารสนเทศ และยกเลิกบัญชีผู้ใช้อย่างเป็นทางการ เพื่อควบคุมการให้สิทธิและการยกเลิกสิทธิในการเข้าใช้งานระบบสารสนเทศใด ๆ ของหน่วยงาน 7.8ให้จัดทําหรือจัดให้มีระบบการบริหารจัดการรหัสผ่านที่สามารถทํางานแบบเชิงโต้ตอบกับผู้ใช้งาน (Interactive) และสามารถรองรับการใช้งานรหัสผ่านที่มีความมั่นคงปลอดภัย A.9.4.3 ระบบบริหารจัดการรหัสผ่าน -ระบบที่ใช้สำหรับการบริหารจัดการรหัสผ่านจะต้องมีลักษณะการทำงานแบบตอบสนองกับผู้ใช้ (Interactive) และต้องมั่นใจว่ารหัสผ่านนั้นได้คุณภาพ ระบบบริหารจัดการสมาชิกเครือข่าย ให้ user สามารถกำหนดรหัสผ่านด้วยตนเองได้ หลังจาก login ครั้งแรกต้องสามารถเปลี่ยนรหัสได้ และเป็นไปตามข้อกำหนด

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.3 การกําหนดสิทธิในการเข้าถึงระดับสูง ให้ทําอย่างจํากัดและอยู่ภายใต้การควบคุม 7.2 ผู้ใช้งานสามารถเข้าถึงเฉพาะบริการทางเครือข่ายคอมพิวเตอร์ที่ตนเองได้รับอนุญาตให้ใช้ได้เท่านั้น A.9.2.3การบริหารจัดการสิทธิการเข้าถึง -การใช้งานและการจัดสรรซึ่งเอกสิทธิการเข้าถึงจะต้องถูกจำกัดและควบคุม เช่น Admin ,root มีการจัดการบริหารสิทธิ Admin แต่ไม่มีเป็นรายลักษณ์อักษร ? 7.4 ผู้ใช้งานต้องดูแลป้องกันอุปกรณ์สารสนเทศใดที่อยู่ภายใต้ความดูแลรับผิดชอบ ในระหว่างที่ไม่มีการใช้งาน A.11.2.8 การป้องกันอุปกรณ์ที่ไม่มีผู้ดูแล -ผู้ใช้งานจะต้องมั่นใจว่าอุปกรณ์เมื่อไม่ได้ใช้งานแม้เพียงชั่วคราวจะได้รับการป้องกันอย่างเหมาะสม -แนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ฯ กระทรวงสาธารณสุข ควรบรรจุไว้ในแนวปฏิบัติในการใช้งานคอมพิวเตอร์อย่างปลอดภัย/แนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ฯ กรมวิทยาศาสตร์การแพทย์

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.5จํากัดการเข้าถึงเครือข่ายคอมพิวเตอร์ของหน่วยงานที่สามารถเข้าถึงได้จากภายนอก โดยให้สอดคล้อง กับนโยบายควบคุมการเข้าถึง และข้อกําหนดการใช้งานแอพพลิเคชั่นเพื่อการดําเนินงาน 7.3ให้มีการกําหนดวิธีการตรวจสอบตัวตนที่เหมาะสมเพื่อควบคุมการเข้าถึงระบบสารสนเทศของ หน่วยงานจากระยะไกล A.9.1.1นโยบายการควบคุมการเข้าถึง A.9.1.2 การเข้าถึงเครือข่ายและการให้บริการทางเครือข่าย แนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ ของกระทรวงสาธารณสุข ส่วนที่ ๗. การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ กำหนดเป็น นโยบาย หรือแนวปฏิบัติ 7.4มีการควบคุมการเข้าถึงช่องทางการดูแลระบบสารสนเทศทั้งทางกายภาพและการเชื่อมต่อผ่านคอมพิวเตอร์สําหรับระบบสารสนเทศที่สามารถเข้าถึงจากระยะไกลได้เช่น Remote diagnostic หรือ Configuration facility ของอุปกรณ์เครือข่ายคอมพิวเตอร์ ส่วนที่ ๙ การปฏิบัติงานจากภายนอกส านักงาน (Teleworking) นำมาปรับใช้เป็นของกรมฯ

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.5 มีการจัดกลุ่มตามประเภทของข้อมูลสารสนเทศที่ให้บริการ ระบบสารสนเทศ กลุ่มผู้ใช้งานโดยมีการ แบ่งแยกบนเครือข่ายคอมพิวเตอร์อย่างเป็นสัดส่วน A.13.1.3 การแบ่งแยกเครือข่าย -กลุ่มระบบบริการสนับสนุนเครือข่ายสารสนเทศ กลุ่มผู้ใช้งานและกลุ่มระบบสารสนเทศ จะต้องถูกแยกเครือข่ายออกจากกัน มีการแบ่งโซนเครื่องคอมพิวเตอร์แม่ข่าย กับ เครื่องลูกข่าย VLAN (วิธีการตรวจสอบ สัมภาษณ์คณะทำงานฯ เกี่ยวกับการบริหารจัดการและการควบคุมเครือข่าย เพื่อให้มั่นใจว่ามีการป้องกันอย่างเหมาะสม เช่น มีการแบ่งแยกโซน ตามประเภทการใช้งาน และมีการแบ่งแยก VLAN ตามกลุ่มผู้ใช้งาน สำหรับอุปกรณ์เครือข่ายที่สำคัญ เป็นต้น) 7.6 กําหนดให้มีการควบคุมเส้นทางการไหลของข้อมูลสารสนเทศในระบบเครือข่ายคอมพิวเตอร์เพื่อไม่ให้ ขัดแย้งกับนโยบายควบคุมการเข้าถึงของแอพพลิเคชั่น มีการแบ่งโซนเครื่องคอมพิวเตอร์แม่ข่าย กับ เครื่องลูกข่าย มีการสร้างเส้นทางในการติดต่อระหว่างเครื่องแม่ข่ายกับลูกข่าย นโยบายควบคุมการเข้าถึงของแอพพลิเคชั่น

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.6 ให้ผู้ใช้งานทุกคนมีบัญชีผู้ใช้งานเป็นของตนเอง และให้ระบบสารสนเทศมีเทคนิคการตรวจสอบตัวตน ที่เพียงพอ เพื่อให้สามารถระบุตัวตนของผู้เข้าใช้งานระบบสารสนเทศได้ A.9.3หน้าที่ความรับผิดชอบของผู้ใช้งาน A.10 การเข้ารหัสข้อมูล มีกำหนดไว้ใน แนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ฯ กระทรวงฯ ส่วนที่ 3 การกำหนดหน้าที่ความรับผิดชอบของผู้ใช้งาน (User Responsibilities) ทบทวน แนวปฏิบัติฯ กรมวิทยาศาสตร์การแพทย์

การควบคุมการเข้ารหัสข้อมูล A.10 การเข้ารหัสข้อมูล A.10.1 การควบคุมการเข้ารหัสข้อมูล วัตถุประสงค์ : เพื่อให้มีการเข้ารหัสข้อมูลอย่างเหมาะสมและมีประสิทธิผลในการป้องกันความลับ การปลอมแปลงปละความถูกต้องของสารสนเทศ A.10.1.1 นโยบายการใช้มาตรการเข้ารหัส นโยบายซึ่งใช้สำหรับควบคุมการเข้ารหัสเพื่อป้องกันข้อมูลสารสนเทศ จะต้องได้รับการพัฒนาและนำมาประยุกต์ใช้งาน วิธีการตรวจสอบ สอบทานนโยบายและแนวทางปฏิบัติความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าได้มีการกำหนดนโยบายสำหรับควบคุมการเข้ารหัสเพื่อป้องกันข้อมูลสารสนเทศ และมีการนำมาพัฒนาและประยุกต์ใช้อย่างเหมาะสม เช่น มีการกำหนดอัลกอริทึมในการเข้ารหัสที่เป็นมาตรฐานสากล มีการกำหนดให้มีรอบการทบทวนอัลกอริทึมและความยาวของกุญแจที่เข้ารหัสอย่างน้อยปีละครั้ง เป็นต้น   A.10.1.2 การบริหารจัดการกุญแจเข้ารหัสข้อมูล นโยบายการใช้งาน การป้องกันและอายุของกุญแจรหัสลับจะต้องได้รับการพัฒนาและนำมาใช้งาน วิธีการตรวจสอบ สอบทานนโยบายและแนวทางปฏิบัติความมั่นคงปลอดภัยสารสนเทศ เพื่อให้มั่นใจว่าได้มีการกำหนดนโยบายการใช้งาน การป้องกัน และอายุของกุญแจรหัสลับอย่างเหมาะสม   

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.7ให้ยุติหรือปิดหน้าจอการใช้งานระบบสารสนเทศโดยอัตโนมัติ หากไม่มีการใช้งานเกินระยะเวลาสูงสุด ที่กําหนดไว้ A.11.2.8 การป้องกันอุปกรณ์ที่ไม่มีผู้ดูแล -ผู้ใช้งานจะต้องมั่นใจว่าอุปกรณ์เมื่อไม่ได้ใช้งานแม้เพียงชั่วคราวจะได้รับการป้องกันอย่างเหมาะสม A.11.2.9นโยบายโต๊ะทำงานปลอดเอกสารสำคัญและนโยบายการป้องกันหน้าจอคอมพิวเตอร์ แนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ ของกระทรวงสาธารณสุข ส่วนที่ ๖ การควบคุมการเข้าถึงระบบปฏิบัติการ (Operating System Access Control) นำมาปรับใช้เป็นของกรมฯ 7.8 จํากัดการเข้าถึงข้อมูลสารสนเทศและฟังก์ชั่นต่าง ๆ ในแอพพลิเคชั่นของผู้ใช้งานและผู้ดูแลระบบ สารสนเทศ โดยให้สอดคล้องกับนโยบายการเข้าถึงที่ได้กําหนดไว้ A.9.4 การควบคุมเข้าถึงระบบและแอพพลิเคชั่น ส่วนที่ ๗. การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคชั่นและสารสนเทศ

มาตรฐานระดับพื้นฐาน VS ระดับกลาง VS ISO 27001 สิ่งที่เรามี สิ่งที่ต้องทำเพิ่ม 7.9 กําหนดนโยบายและแนวทางการจัดการด้านความมั่นคงปลอดภัย เพื่อลดความเสี่ยงในการใช้งาน อุปกรณ์สารสนเทศหรืออุปกรณ์การสื่อสารที่เคลื่อนย้ายได้ A.6.2.1 นโยบายสำหรับอุปกรณ์สื่อสารประเภทพกพา แนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ ของกระทรวงสาธารณสุข ส่วนที่ 15 การใช้งานเครื่องคอมพิวเตอร์แบบพกพา หน้า 27 นำมาปรับใช้เป็นของกรมฯ 7.7 กําหนดขั้นตอนการ Log-on เพื่อควบคุมการเข้าถึงระบบปฏิบัติการคอมพิวเตอร์ A.9.4.2 การเข้าถึงระบบอย่างมั่นคงปลอดภัย - ในส่วนที่กำหนดโดยนโยบายการควบคุมการเข้าถึงระบบและแอพพลิเคชั่นจะต้องถูกควบคุมได้รับการควบคุมโดยขั้นตอนปฏิบัติการล็อกออนที่มั่นคงปลอดภัย ส่วนที่ ๖ การควบคุมการเข้าถึงระบบปฏิบัติการ (Operating System Access Control)

A.9.4.5 การควบคุมการเข้าถึงซอร์สโค้ดของโปรแกรม การเข้าถึงรหัสโปรแกรมจะต้องถูกจำกัดสิทธิ วิธีการตรวจสอบ 1.สัมภาษณ์ผู้ที่เกี่ยวข้อง เกี่ยวกับการเข้าถึงรหัสโปรแกรม เพื่อให้มั่นใจว่ามีการจำกัดสิทธิการเข้าถึงอย่างเหมาะสม 2. สุ่มตรวจสอบโปรแกรมที่มีความสำคัญ เพื่อให้มั่นใจว่าผู้ที่ไม่มีสิทธิไม่สามารถเข้าถึงซอร์สโค้ดได้  

จบแล้วค่ะ งงไหมค่ะ