การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย.

งานนำเสนอเรื่อง: "การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย."— ใบสำเนางานนำเสนอ:

1 การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ข้อที่ ๘

2 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับพื้นฐาน
๘.๑ ในการจัดทําข้อกําหนดขั้นต่ําของระบบสารสนเทศใหม่ หรือการปรับปรุงระบบสารสนเทศเดิม ให้มี การระบุข้อกําหนดด้านการควบคุมความมั่นคงปลอดภัยด้านสารสนเทศไว้ด้วย ๘.๒ ให้ดูแล ควบคุม ติดตามตรวจสอบการทํางานในการจ้างช่วงพัฒนาซอฟต์แวร์

3 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง (๖ ข้อ )
๘.๑ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ ที่จะรับเข้าสู่แอพพลิเคชั่นก่อนเสมอ เพื่อให้มั่นใจได้ว่า ข้อมูลมีความถูกต้องและมีรูปแบบเหมาะสม ๘.๒ ให้มีการตรวจสอบ (Validate) ข้อมูลใด ๆ อันเป็นผลจากการประมวลผลของแอพพลิเคชั่น เพื่อให้ มั่นใจได้ว่า ข้อมูลที่ได้จากการประมวลผลถูกต้องเหมาะสม

4 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง (๖ ข้อ )
๘.๓ จัดให้มีแนวทางการบริหารจัดการกุญแจ (Key) เพื่อรองรับการใช้งานเทคนิคที่เกี่ยวข้องกับการ เข้ารหัสลับของหน่วยงาน ๘.๔ ให้เลือกชุดข้อมูลสารสนเทศที่จะนําไปใช้เพื่อการทดสอบในระบบสารสนเทศอย่างระมัดระวัง รวมทั้ง มี แนวทางควบคุมและป้องกันข้อมูลรั่วไหล

5 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับกลาง (๖ ข้อ )
๘.๕ ให้มีการจํากัดการเข้าถึงซอร์สโค้ด (Source code) ของโปรแกรม ๘.๖ หากมีการเปลี่ยนแปลงใด ๆ ในระบบปฏิบัติการคอมพิวเตอร์ ให้มีการตรวจสอบทบทวนการทํางาน ของโปรแกรมที่มีความสําคัญ และทดสอบการใช้งานเพื่อให้มั่นใจว่าผลของการเปลี่ยนแปลงดังกล่าว จะไม่ ส่งผล กระทบใด ๆ ต่อความมั่นคงปลอดภัยของระบบสารสนเทศและการให้บริการของหน่วยงาน

6 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (๘ ข้อ )
การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด ให้ปฏิบัติ ตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยใน ระดับพื้นฐานและ ระดับกลาง และต้องปฏิบัติเพิ่มเติม ระดับพื้นฐาน ๒ ข้อ + ระดับกลาง ๖ ข้อ + ระดับเคร่งครัด ๘ ข้อ รวมเป็น ๑๖ ข้อ

7 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (๘ ข้อ )
๖.๑ ให้มีการตรวจสอบ (Validate) การทํางานของแอพพลิเคชั่นเพื่อตรวจหาข้อผิดพลาดของข้อมูลที่ อาจ เกิดจากการทํางานหรือการประมวลผลที่ผิดพลาด ๖.๒ ให้มีข้อกําหนดขั้นต่ําสําหรับการรักษาความถูกต้องแท้จริง (Authenticity) และความถูกต้อง ครบถ้วน (Integrity) ของข้อมูลในแอพพลิเคชั่น รวมทั้งมีการระบุและปฏิบัติตามวิธีการป้องกันที่ เหมาะสม ๖.๓ จัดให้มีนโยบายในการใช้งานเทคนิคที่เกี่ยวข้องกับการเข้ารหัสลับ

8 มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (๘ ข้อ )
๖.๔ กําหนดให้มีขั้นตอนการปฏิบัติงานเพื่อควบคุมการติดตั้งซอฟต์แวร์บนระบบสารสนเทศที่ให้บริการ ๖.๕ ให้มีการควบคุมการเปลี่ยนแปลงต่าง ๆ ในการพัฒนาระบบสารสนเทศ โดยมีขั้นตอนการควบคุมที่ เป็น ทางการ ๖.๗ ให้จํากัดการเปลี่ยนแปลงใด ๆ ต่อซอฟต์แวร์ที่ใช้งาน (Software package) โดยให้ เปลี่ยนแปลง เฉพาะเท่าที่จําเป็น และควบคุมทุก ๆ การเปลี่ยนแปลงอย่างเข้มงวด ๖.๘ มีมาตรการป้องกันเพื่อลดโอกาสที่เกิดการรั่วไหลของข้อมูลสารสนเทศ

9 มาตรฐาน ISO/IEC 27001 : 2013 ข้อที่ 10
มาตรฐาน ISO/IEC : ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance) ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ ข้อ 8 การจัดหาหรือจัดให้มีการพัฒนา และการบํารุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบสารสนเทศ

10 มาตรฐาน ISO/IEC : 2013 ข้อกำหนดหลักที่ต้องปฏิบัติตามในการ ขอการรับรองตามมาตรฐาน ISO/IEC : 2013 ข้อที่ 10 การจัดหา การพัฒนา และการ บำรุงรักษาระบบ (System acquisition, development and maintenance) ประเด็นสำคัญ: ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Manangement System, ISMS)

11 ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance)
10.1 ความต้องการด้านความมั่นคง ปลอดภัยของระบบ (Security requirements of information systems) วัตถุประสงค์ : เพื่อให้ความมั่นคงปลอดภัยสารสนเทศเป็นองค์ประกอบสำคัญหนึ่งของระบบตลอดวงจรชีวิตของการพัฒนาระบบ ซึ่งรวมถึงความต้องการด้านระบบที่มีการให้บริการผ่านเครือข่ายสาธารณะด้วย

12 ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance)
10.2 ความมั่นคงปลอดภัยสำหรับ กระบวนการพัฒนาและสนับสนุน (Security in development and support processes) วัตถุประสงค์ : เพื่อให้ความมั่นคงปลอดภัยสารสนเทศมีการออกแบบและดำเนินการตลอดวงจรชีวิตของการพัฒนาระบบ

13 10.3 ข้อมูลสำหรับการทดสอบ(Test Data)
ข้อที่ 10. การจัดหา การพัฒนา และการบำรุงรักษาระบบ (System acquisition,development and maintenance) 10.3 ข้อมูลสำหรับการทดสอบ(Test Data) วัตถุประสงค์ : เพื่อให้มีการป้องกันข้อมูลที่นำมาใช้ในการทดสอบ

14 10.1 ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security requirements of information systems)
การวิเคราะห์และการกำหนด ความต้องการด้านความมั่นคงปลอดภัย สารสนเทศ (information security requirements analysis and specification) ต้องมีการรวมเข้ากับความต้องการสำหรับ ระบบใหม่หรือการปรับปรุงระบบที่มีอยู่แล้ว

15 10.1 ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security requirements of information systems)
ความมั่นคงปลอดภัยของบริการ สารสนเทศบนเครือข่ายสาธารณะ (Security application services on public networks) ต้องได้รับการป้องกันจากการฉ้อโกง การ โต้เถียง และการเปิดเผยและการ เปลี่ยนแปลงสารสนเทศโดยไม่ได้รับอนุญาต

16 10.1 ความต้องการด้านความมั่นคงปลอดภัยของระบบ (Security requirements of information systems)
การป้องกันธุรกรรมของบริการ สารสนเทศ (Protecting application services transactions) ต้องได้รับการป้องกันจากการรับส่งข้อมูลที่ ไม่สมบูรณ์ การส่งข้อมูลผิดเส้นทาง การ เปิดเผยข้อมูลและการเปลี่ยนแปลงข้อความ การส่งข้อมูลซ้ำโดยไม่ได้รับอนุญาต

17 10.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) นโยบายการพัฒนาระบบให้มีความมั่นคง ปลอดภัย (Security development policy) ขั้นตอนปฏิบัติสำหรับควบคุมการ เปลี่ยนแปลงระบบ (System Change control procedures) การทบทวนทางเทคนิคต่อระบบ หลังการ เปลี่ยนแปลงโครงสร้างพื้นฐานระบบ (Technical review of applications after operating platform changes ต้องได้รับการกำหนด ควบคุมการปฏิบัติ ตาม ทดสอบและทบทวน ตามที่กำหนด เพื่อให้มั่นใจว่ามีความมั่นคงปลอดภัยต่อ ระบบและองค์การ

18 10.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) การจำกัดการเปลี่ยนแปลงซอฟต์แวร์สำเร็จรูป (Restrictions on changes to software packages) หลักการวิศวกรรมระบบด้านความมั่นคง ปลอดภัย (Secure system engineering principles) สภาพแวดล้อมการพัฒนาระบบที่มีความ มั่นคงปลอดภัย (Secure development environment) ต้องได้รับการกำหนดเป็นลายลักษณ์อักษรและ ควบคุมการปฏิบัติอย่างรัดกุม จำกัดการ เปลี่ยนแปลงเท่าที่จำเป็น ปรับปรุงอย่างต่อเนื่อง เพื่อให้มั่นใจว่ามีความมั่นคงปลอดภัยต่อระบบ และองค์การ

19 10.2 ความมั่นคงปลอดภัยสำหรับกระบวนการพัฒนาและสนับสนุน (Security in development and support processes) การจ้างหน่วยงานภายนอกพัฒนาระบบ (Outsourced development) การทดสอบด้านความมั่นคงปลอดภัยของ ระบบ (System secure testing) การทดสอบเพื่อรองรับระบบ(System acceptance testing) ต้องมีการกำกับดูแล เฝ้าระวัง และติดตามกิจกรรม การพัฒนาระบบอย่างต่อเนื่อง มีการทดสอบ คุณสมบัติของระบบในระหว่างที่ระบบอยู่ในช่วง พัฒนา ต้องมีแผนการทดสอบและเกณฑ์ที่เกี่ยวข้อง เพื่อรับรองระบบทั้งที่ปรับปรุงและพัฒนาใหม่ เพื่อให้ มั่นใจว่ามีความมั่นคงปลอดภัยต่อระบบและองค์การ

20 10.3 ข้อมูลสำหรับการทดสอบ(Test Data)
การป้องกันข้อมูลสำหรับการ ทดสอบ (Protection of test data) วัตถุประสงค์ : เพื่อให้มีการป้องกันข้อมูลที่นำมาใช้ในการทดสอบ ต้องมีการคัดเลือกอย่างระมัดระวัง มีการป้องกันและควบคุมการนำมาใช้งาน