อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com บทที่ 2 : มาตรฐานการรักษาความปลอดภัยข้อมูล สธ412 ความมั่นคงของระบบสารสนเทศ อาจารย์อภิพงศ์ ปิงยศ apipong.ping@gmail.com

Outline มาตรฐาน BS 7799 อุปสรรคของงานด้านความมั่งคงของ สารสนเทศ BS 7799-1 หรือ ISO/IEC 17799 BS 7799-2 หรือ ISO 27001 BS 7799-3 อุปสรรคของงานด้านความมั่งคงของ สารสนเทศ

มาตรฐาน BS 7799 เป็นแม่แบบของมาตรฐานการรักษาความ ปลอดภัยที่ได้รับความนิยมมากที่สุด เป็นมาตรฐานที่มีลิขสิทธิ์ องค์กรใด ต้องการใบรับรองมาตรฐานจะต้องจ่ายค่า ดำเนินการทั้งหมด ในประเทศไทยมีบริษัทตัวแทนที่ทำหน้าที่ รับรองมาตรฐานนี้อยู่ ** ปกติจะใช้การจ้างบริษัท Outsource เป็นที่ปรึกษา และช่วยดำเนินการบางส่วน

มาตรฐาน BS 7799 [ต่อ] มีจุดมุ่งหมายเพื่อพัฒนามาตรฐานความ ปลอดภัยในองค์กร และระเบียบปฏิบัติที่ มีประสิทธิภาพ เพื่อสร้างความ น่าเชื่อถือให้กับองค์กร

มาตรฐาน BS 7799 [ต่อ] ประกอบไปด้วย 2 ส่วนหลัก คือ BS7799-1 หรือ ISO/IEC 17799 BS7799-2 หรือ ISO 27001 (Important!) และแนวทางปฏิบัติเพิ่มเติมอีก 1 ส่วน คือ BS7799-3

มาตรฐาน BS7799-1 หรือ ISO/IEC 17799 Security Policy Organizing Information Security Asset Management Human Resources Security Physical & Environmental Security Communication & Operations Management Access Control

มาตรฐาน BS7799-1 หรือ ISO/IEC 17799 [ต่อ] Information Systems Acquisition, Development and Maintenance Information Security Incident Management Business Continuity Management Compliance

มาตรฐาน BS7799-2 หรือ ISO 27001 เป็นแนวทางในการสร้าง บริหาร ดูแล และปรับปรุง ระบบบริหารการรักษาความ ปลอดภัยข้อมูล (The Information Security Management System : ISMS) เป็นมาตรฐานที่องค์กรส่วนใหญ่ จะต้องทำให้ได้ตามมาตรฐานนี้ เพื่อ ความน่าเชื่อถือและการผ่านเกณฑ์ มาตรฐานที่หน่วยงานรัฐบาลกำหนด ปัจจุบันใช้มาตรฐาน 2013

ความสำคัญของ ISO 27001 ตั้งแต่ปี 2559 เป็นต้นมา รัฐบาลเริ่ม ออกประกาศให้องค์กรที่มีการทำธุรกรรม ทางอิเล็กทรอนิกส์ จำเป็นต้องได้รับการ รับรอง มาตรฐาน ISO 27001 หรือ มาตรฐานอื่นที่เกี่ยวข้อง เพื่อภาพลักษณ์และความน่าเชื่อถือ เช่น การออกประกาศให้บริษัทประกันมี การรับรองมาตรฐาน รวมถึงสถาบันทาง การเงินภายในประเทศ หรือรัฐวิสาหกิจ

ที่มา http://www.mwa.co.th/ewt_news.php?nid=25593&filename=index

มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ] PDCA รายละเอียดเพิ่มเติม http://www.iso.org/iso/iso27001

มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ] PLAN 1. กำหนดขอบเขต ISMS 2. กำหนดนโยบาย ISMS 3. กำหนดวิธีประเมินความเสี่ยง 4. ระบุความเสี่ยง 5. ประเมินความเสี่ยง 6. วิเคราะห์วิธีแก้ปัญหาความเสี่ยง 7. กำหนดมาตรการควบคุม 8. เตรียมแถลงแนวทางการประยุกต์ใช้

มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ] DO 9. กำหนดแผนกำจัดความเสี่ยง 10. ปฏิบัติตามแผนลดความเสี่ยง 11. ติดตั้งระบบควบคุม 12. ฝึกอบรมพนักงานเพื่อสร้างความตื่นตัว 13. บริหารการปฏิบัติการ 14. บริหารทรัพยากร 15. กำหนดขั้นตอนการตรวจจับ และตอบโต้

มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ] CHECK 16. ปฏิบัติตามขั้นตอนการเฝ้าระวัง 17. ตรวจสอบว่า ISMS มีประสิทธิภาพเพียงพอหรือไม่ 18. ตรวจสอบว่าความเสี่ยงอยู่ในระดับที่ยอมรับได้หรือไม่ 19. ตรวจสอบ ISMS ภายใน 20. ตรวจสอบการบริหารงานปกติของ ISMS 21. บันทึกการปฏิบัติและเหตุการณ์ที่กระทบต่อ ISMS

มาตรฐาน BS7799-2 หรือ ISO 27001 [ต่อ] ACT 22. ปรับปรุงส่วนที่มีปัญหา 23. แก้ปัญหาที่เกิด และป้องกันไม่ให้เกิดขึ้นอีก 24. ประยุกต์ใช้บทเรียนที่ได้รับ 25. เผยแพร่บทเรียนที่ได้รับ ให้แก่ผู้เกี่ยวข้อง 26. ทำให้แน่ใจว่าการปรับปรุงระบบบรรลุวัตถุประสงค์

มาตรฐาน BS7799-3 เป็นแนวทางในการบริหารความเสี่ยง ของการรักษาความปลอดภัยข้อมูล และ เป็นแนวทางในการทำมาตรฐาน BS7799-2 มาตรฐานนี้ต้องทำควบคู่ไปกับมาตรฐาน BS7799-1 และ BS7799-2 เพื่อให้ แน่ใจว่าได้ทำกระบวนการรักษาความ ปลอดภัยอย่างต่อเนื่อง

มาตรฐาน BS7799-3 [ต่อ] ความเสี่ยงเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร การประเมินความเสี่ยง วิธีปฏิบัติเพื่อลดความเสี่ยงและการบริหารการตัดสินใจ การดำเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง

อุปสรรคของงานด้านความมั่งคงของสารสนเทศ “ความมั่นคงปลอดภัย” คือ “ความไม่สะดวก” ความซับซ้อนของคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ ผู้ใช้ไม่ระแวดระวัง การพัฒนาซอฟต์แวร์โดยคำนึงถึงความปลอดภัยในภายหลัง

อุปสรรคของงานด้านความมั่งคงของสารสนเทศ [ต่อ] แนวโน้มเทคโนโลยีสารสนเทศคือ “การแบ่งปัน” ไม่ใช่ “การป้องกัน” มีการเข้าถึงข้อมูลได้จากทุกสถานที่ ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟต์แวร์และฮาร์ดแวร์เพียงอย่างเดียว มิจฉาชีพมักมีความชำนาญ ฝ่ายบริหารมักไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

LET’S CROSS THE PROBLEM