ขั้นตอนการปฏิบัติการ ... 9.1/9.1...เพ...

สานกคอมพวเตอร มหาวทยาลยสโขทยธรรมาธราชเอกสารลบ: สาหรบใชภายใน สานกคอมพวเตอร เทานน เวอรชน: 1.0 วนท: 30 กรกฎาคม 2553

ขนตอนการปฎบตการกระบวนการจดการความมนคงปลอดภยของขอมลและงานบรการเทคโนโลยสารสนเทศ

(Information Security Management Procedure)

ข นตอนการปฏบตการ กระบวนการจดการความม นคงปลอดภยของขอมล

และงานบรการเทคโนโลยสารสนเทศ (Information Security Management

Procedure)

โดย ดร.ครรชต มาลยวงศ

โครงสรางของทมงาน, บทบาทและหนาทของกระบวนการจดการบรการเทคโนโลยสารสนเทศ ฉบบน เปนสวนหนงของโครงการจดจางทปรกษา เพอนานโยบายความมนคงปลอดภยและมาตรฐานการจดการดาน ICT ไปสการปฏบต

© 2010 Dr.Kanchit Malaivongs. All rights reserved. หนา 1 จาก 24

สานกคอมพวเตอร มหาวทยาลยสโขทยธรรมาธราช



เอกสารลบ: สาหรบใชภายใน สานกคอมพวเตอร เทานน เวอรชน: 1.0 วนท: 30 กรกฎาคม 2553


รายละเอยดของเอกสาร

โครงการ: การนานโยบายความมนคงปลอดภยและมาตรฐานการจดการดาน ICT ไปสการปฏบต

รหสเอกสาร: STOU-PC-04

ผจดการโครงการ: นายศาศวต มาลยวงศ เวอรช น: 1.0

ชวงของโครงการ: เดอนกรกฎาคม 2553 – กมภาพนธ 2554 ช นความลบ: เอกสารลบ

จดทาโดย: นายสมบรณ นลฟงขจร วนทจดทา: 30/07/53

ทบทวนโดย: นายศาศวต มาลยวงศ ดร.ครรชต มาลยวงศ วนททบทวน: 30/08/54

รายการแจกจายเอกสาร

ถง วนท ตดตอ

ผอานวยการสานกคอมพวเตอร มหาวทยาลยสโขทยธรรมาธราช 30 กนยายน 2553

รศ. ดร.สฤษดพงษ ลมปษเฐยร E-mail: [email protected] โทร : 02-504-7401

ประวตการปรบปรงแกไขเอกสาร

เวอรช น วนท รายละเอยด ผจดทา

0.1 22/07/53 Initial Draft สมบรณ

1.0 9/02/54 Release version สมบรณ

mailto:[email protected]






สารบญ หนา 1. วตถประสงค ....................................................................................................................... 4 2. ขอบขาย ............................................................................................................................. 5 3. คาจากดความ ..................................................................................................................... 6 4. ข นตอนการปฏบตการกระบวนการจดการความม นคงปลอดภยของขอมลและงานบรการเทคโนโลยสารสนเทศ ............................................................................................................................. 7






1. วตถประสงค

• เพอบรหารจดการความมนคงปลอดภยของขอมลในทกกจกรรมทเกยวของกบการใหบรการ

เทคโนโลยสารสนเทศอยางมประสทธภาพ และสอดคลองกบการดาเนนงานของ มสธ.

• เพอบรหารจดการความเสยงทเกยวของกบความมนคงปลอดภยของขอมลอยางเหมาะสม

• เพอกาหนดกระบวนการพนฐานในการรายงานและการรบมอตอเหตละเมดความมนคงปลอดภยทอาจเกดขน

• เพอใหการรายงานและการรบมอเหตละเมดความมนคงปลอดภย เปนไปอยางรวดเรว ถกตอง และเปนระบบ เพอลดผลกระทบจากเหตละเมดความมนคงปลอดภยใหเหลอนอยทสด

• เพอปองกนไมใหเกดเหตละเมดความมนคงปลอดภยซา

• เหตละเมดความมนคงปลอดภยท มสธ. จะรบผดชอบดแลใหแกผใชบรการ ไดแก

o เครองคอมพวเตอรตดไวรส, โทรจน หรอสปายแวร

o ผใชงานนา User ID ของผใชงานคนอน ไปใชโดยไมไดรบอนญาต

o การดกจบขอมลบนระบบเครอขายโดยไมไดรบอนญาต

o การเขาถงขอมล แกไข ลบ ทาลายขอมล หรอทาใหขอมลเสยหายโดยไมไดรบอนญาต

o การถกโจมต (Hack)

o การตดตงหรอใชงานอปกรณประเภท โมเดม (modem) หรออปกรณสอสารขอมลอนใด เชน wireless, GPRS หรอ EDGE เปนตน เพอเชอมตอเขาสระบบเครอขายภายใน หรอเชอมตอออกสระบบเครอขายภายนอก โดยไมไดรบอนญาต

o การขดขวางการใชงานเครอขายคอมพวเตอรของ มสธ. หรอเพอใหเครอขายคอมพวเตอรของ มสธ.ไมสามารถใชงานไดตามปกต

o ถกขโมยขอมลสาคญของผใชออกไปจากระบบงาน โดยผทไมมสทธใชขอมลนน

o ขอมลสารองเสยหาย หรอไมสามารถใชการได

o Hardware ถกขโมย

o ภยธรรมชาต

• เพอกาหนดสทธในการเขาถงขอมล ระบบสารสนเทศ บรการสารสนเทศ หรอพนทควบคม (Secure Area) ใหแกผทไดรบอนญาต

• เพอสรางกระบวนการในการทบทวนสทธ (Access Rights Review) ใหมความถกตอง และปองกนการเขาถงโดยผไมไดรบอนญาต

• เพอสรางกฎเกณฑพนฐานใหแกกระบวนการ User Account Management Procedure ในการพจารณาอนมตการรองขอสทธ

• เพอปกปองขอมลทสาคญตอการใหบรการและการดาเนนงานของ มสธ. อยางเหมาะสม โดย

o ขอมลสามารถเขาถงไดเฉพาะผทมสทธ

o ขอมลมความถกตองและครบถวน

o ขอมลมพรอมเมอตองการใชงาน






2. ขอบขาย

กระบวนการนครอบคลมถง:

• การบรหารจดการความมนคงปลอดภยของขอมลสาหรบบรการเทคโนโลยสารสนเทศของ มสธ.

• ทรพยสนทงหมดของ มสธ. ทใชสนบสนนการใหบรการเทคโนโลยสารสนเทศ ไดแก ขอมล อปกรณฮารดแวร ซอฟตแวร บคลากร และบรการสนบสนนทเกยวของ

• การบรหารจดการเหตละเมดความมนคงปลอดภย (Security Incident) ของ มสธ.

• เหตละเมดความมนคงปลอดภยทงหมดทตรวจพบ หรอ ไดรบรายงาน ทเกยวของกบ บรการเทคโนโลยสารสนเทศของ มสธ.

• ทมรบมอเหตละเมดความมนคงปลอดภยของ มสธ. หรอทม Information Security Management และทมงานสนบสนนทเกยวของ

• สทธในการเขาถงขอมล ระบบสารสนเทศ บรการสารสนเทศ หรอพนทควบคมทเกยวของกบบรการเทคโนโลยสารสนเทศของ มสธ.

• บคคลทงหมดทมสวนเกยวของกบกระบวนการจดการบรการเทคโนโลยสารสนเทศ ของ มสธ. ซงไดแก ผบรหาร ขาราชการ พนกงานมหาวทยาลย ลกจางประจา ลกจางชวคราว บคคลภายนอกทถกวาจางโดย มสธ. บรษทคคา บรษทหรอบคคลทเปนคสญญา และ ผใหบรการ






3. คาจากดความ

• มสธ. หมายถง มหาวทยาลยสโขทยธรรมาธราช • ผบรหารระดบสง หมายถง ผมอานาจสงการตามโครงสรางการบรหารของ มสธ. • ผอานวยการสานกคอมพวเตอร หมายถง ผบรหารระดบสงของสานกคอมพวเตอร มสธ. • สานกคอมพวเตอร หมายถง หนวยงานทมหนาทรบผดชอบงานทางดานเทคโนโลยสารสนเทศของ

มสธ. • ระบบสารสนเทศ หมายถง ระบบงานทถกออกแบบขนมาเพอเกบรวบรวมขอมล จดการขอมลเพอ

นาไปใชประโยชนในการปฏบตงาน การตดสนใจของ มสธ. โดยการใชเทคโนโลยสารสนเทศอนไดแก ระบบเครองคอมพวเตอร ระบบเครอขายคอมพวเตอร รวมทงระบบอน ๆ ทเกยวของ

• ขอมล หมายถง สงทส อความหมายใหรเรองราว ขอเทจจรง ขอมล หรอสงใด ๆ ไมวาการสอความหมายนนจะทาไดโดยสภาพของสงนนเอง หรอโดยผานวธการใด ๆ และไมวาจะไดจดทาไวใน รปแบบของเอกสาร รายงาน หนงสอ การบนทกภาพหรอเสยง การบนทกโดยเครองคอมพวเตอร หรอวธอนใดททาใหส งทบนทกไวปรากฏได และใหหมายความรวมถง ขอมลอเลกทรอนกสตามกฎหมายวาดวยธรกรรมอเลกทรอนกส

• ระบบขอมล หมายถง กระบวนการประมวลผลขอมลทเกบรวบรวมดวยเครองมออเลกทรอนกส เครองคอมพวเตอร

• ทรพยสน หมายถง ขอมล ระบบขอมล และทรพยสนดานเทคโนโลยสารสนเทศและการสอสารของหนวยงาน เชน อปกรณระบบเครอขาย ซอฟทแวรทมลขสทธ เปนตน

• พนกงาน หมายถง ขาราชการ พนกงานมหาวทยาลย และลกจางทกประเภทของ มสธ. รวมถงบคคลอนท มสธ. มอบหมายใหปฏบตงานตามสญญาหรอขอตกลง

• บคคลภายนอก หมายถง พนกงานอนๆทไมใชพนกงานของ มสธ. เชน บรษทคคา ทปรกษา หนวยงานและองคกรอนๆ เปนตน

• ITSM หมายถง IT Service Management หรอการบรหารจดการงานบรการดานเทคโนโลยสารสนเทศ ซงประกอบดวยกระบวนการตางๆ ททางานสมพนธกน อาท กระบวนการบรหารจดการเหตอบต (Incident Management Process), กระบวนการบรหารจดการการเปลยนแปลง (Change Management), กระบวนการบรหารจดการระดบการใหบรการ (Service Level Management Process) เปนตน

• Incident หมายถง เหตการณทเกดขนแลว ทาใหผใชบรการไมสามารถใชงานบรการเทคโนโลยสารสนเทศ (IT Service) ไดตามทตกลงกนไวใน Service Level Agreement (SLA)

• Configuration Item (CI) หมายถง รายละเอยดของอปกรณ/องคประกอบแตละรายการ ในระบบเทคโนโลยสารสนเทศ ทงทเปนฮารดแวร ซอฟตแวร อปกรณตอพวง

• Configuration Management Database (CMDB) หมายถง ฐานขอมลทใชในการบนทกขอมลของ CI และความสมพนธระหวาง CI

• Knowledge Base หมายถง ฐานขอมลองคความร สาหรบใชแกไขปญหาการใหบรการเทคโนโลยสารสนเทศ






4. ข นตอนการปฏบตการกระบวนการจดการความม นคงปลอดภยของขอมลและงานบรการเทคโนโลยสารสนเทศ

ความหมาย

กระบวนการ Information Security Management หรอการบรหารจดการความมนคงปลอดภยของขอมลทเกยวของกบการใหบรการเทคโนโลยสารสนเทศของ มสธ. เปนกระบวนการในการกาหนดนโยบายและขนตอนการปฏบตงานเพอปกปองขอมลและอปกรณตางๆ ทใชในการจดเกบ สง หรอประมวลผลขอมลใหมความมนคงปลอดภย โดยมาตรการตางๆ ทดาเนนการจะอางองจากผลการประเมนความเสยง (Risk Assessment) และความตองการดาเนนงานของ มสธ.

การรกษาความมนคงปลอดภยของขอมล คอการรกษาไวซ ง C, I, A ของขอมล ซงไดแก

• C หรอ Confidentiality คอการรกษาความลบของขอมล ผทมสทธเทานนทสามารถเขาถงขอมลได

• I หรอ Integrity คอการรกษาความถกตองและครบถวนสมบรณของขอมล ขอมลตองไมสญหายหรอถกแกไขเปลยนแปลงโดยผไมไดรบอนญาต

• A หรอ Availability คอความพรอมใชงานของขอมล ขอมลตองมพรอมใหใชงานและสามารถเขาถงไดโดยผมสทธเมอตองการใชงาน

กระบวนการ Information Security Management ยงครอบคลมถงการรบมอและจดการกบ เหตละเมดความมนคงปลอดภย (Security Incident) ตางๆ ทเกดขนใน มสธ. ดวย อาท

• เครองคอมพวเตอรตดไวรส, โทรจน หรอสปายแวร

• ผใชงานนา User ID ของผใชงานคนอน ไปใชโดยไมไดรบอนญาต

• การดกจบขอมลบนระบบเครอขายโดยไมไดรบอนญาต

• การเขาถงขอมล แกไข ลบ ทาลายขอมล หรอทาใหขอมลเสยหายโดยไมไดรบอนญาต

• การถกโจมต (Hack)

• การตดตงหรอใชงานอปกรณประเภท โมเดม (modem) หรออปกรณสอสารขอมลอนใด เชน wireless, GPRS หรอ EDGE เปนตน เพอเชอมตอเขาสระบบเครอขายภายใน หรอเชอมตอออกสระบบเครอขายภายนอก โดยไมไดรบอนญาต

• การขดขวางการใชงานเครอขายคอมพวเตอรของ มสธ. หรอเพอใหเครอขายคอมพวเตอรของ มสธ.ไมสามารถใชงานไดตามปกต

• ถกขโมยขอมลสาคญของผใชออกไปจากระบบงาน โดยผทไมมสทธใชขอมลนน

ประโยชน กระบวนการ Information Security Management มประโยชนตอ มสธ. ดงตอไปน

• มสธ. มการประเมนและรบทราบถงความเสยงตางๆ ทมตอการใหบรการเทคโนโลยสารสนเทศของ มสธ. และสามารถจดการความเสยงทอาจเกดขนอยางเหมาะสม ปองกนปญหาทอาจเกดขนได

• มสธ. มกระบวนการในการรบมอและจดการ Security Incident ทาใหจดการเหตไดรวดเรว สามารถลดผลกระทบทอาจเกดขนจาก Security Incident ใหนอยทสด






• สภาพแวดลอมของการใหบรการทมการจดการดานความมนคงปลอดภยของขอมลทด จะสามารถลดความเสยงในการดาเนนกจกรรมตางๆ และสรางความเชอมนใหแกผใชบรการ

ผเกยวของ ผทเกยวของกบกระบวนการ Information Security Management ไดแก

• Security Manager

• Security Administrator






บทบาทและหนาทของทม Information Security Management

บทบาท หนาท

Security Manager &

Security Administrator

• พฒนา, ดแลรกษา และรบผดชอบกระบวนการ Information Security Management ทงหมด

• จดทานโยบายความมนคงปลอดภยของขอมล (Information Security Policy) และเอกสารสนบสนนตางๆ รวมถงประสานงานใหมการอนมต ประกาศใช และสนบสนนโดยผบรหาร ของ มสธ.

• ดแลใหมการบงคบใชและปฏบตตามนโยบายและเอกสารสนบสนนอยางเหมาะสม

• ดาเนนการประเมนความเสยง และหาวธในการบรหารจดการความเสยงทม

• ออกแบบและจดหามาตรการควบคมตางๆ (Control)

• สนบสนนและประสานงานใหมการทา Security Audit ตามรอบเวลาอยางเหมาะสม

• เฝาตดตามและบรหารจดการเหตละเมดความมนคงปลอดภย (Security Incident) ใหมการดาเนนการรบมอและจดการเหตอยางเหมาะสม และปองกนมใหเกดเหตซา

• ประสานงานกบ Process Owner อนๆ เพอใหมการบรหารจดการดาน Information Security ทมประสทธภาพ สอดคลองกบนโยบายทกาหนด โดยเฉพาะการบรหารจดการ Security Incident รวมกบทมงาน Incident Management และ Problem Management

• เขารวมเปนสวนหนงของ Change Advisory Board (CAB) เพอทบทวนและประเมนผลกระทบของ Change ทมผลกระทบดาน Security ตามความเหมาะสม

• สรางความตระหนกถงความสาคญของการรกษาความมนคงปลอดภยของขอมลแกผใชงาน

• จดใหมการทดสอบระบบตามความเหมาะสม (Vulnerability Assessment or Penetration Testing)

• ดแลใหบรการเทคโนโลยสารสนเทศของ มสธ. มการรกษาความมนคงปลอดภยของขอมลตรงตามทระบไวใน SLA และ/หรอ กฎหมาย กฏระเบยบตางๆ ทเกยวของ

• ดแลการเขาถงระบบ และกจกรรมตางๆ ทเกยวของกบการใหบรการโดยบคคลภายนอก เชน Partner, Supplier ให เหมาะสมกบหนาทความรบผดชอบทเกยวของเทานน และอยภายใตการควบคมของสญญา

• จดทารายงานผลการทางานของ Information Security Management เสนอตอฝายบรหาร และผใชงานทเกยวของ




Process Map

02 Security Incident Management Procedure

03 Access Management Procedure

01 Risk Management Procedure

01 Risk Management Procedure

เงอนไขในการเขาสกระบวนการ มดงตอไปน

เมอถงรอบเวลาการประเมนความเสยง •

เมอมการเปลยนแปลงทสาคญตอการบรการ (Service) หรอทรพยสนทสาคญ (Key Asset) ทอาจสงผลถงความเสยง

•

เมอมบรการใหม (New Service) •

เงอนไขในการออกจากกระบวนการ มดงตอไปน

เมอดาเนนการแกไขหรอควบคมความเสยงเสรจสน และผลความเสยง (Risk Level) ทงหมดอยในระดบ “Low” ซงเปนระดบความเสยงทยอมรบได

•

เมอผบรหารพจารณาและลงนามยอมรบความเสยงในเอกสาร Risk Acceptance Document •

การบรหารจดการความเสยง (Risk Management) ถอเปนสวนหนงของกระบวนการ Information Security Management ของมาตรฐาน ISO 20000:2005 มงเนนทการบรหารจดการความเสยงดานการรกษาความมนคงปลอดภยของขอมล (Information Security Risk Management) และอาจพจารณาความเสยงแยกตามบรการ (Service) ของ มสธ. โดยขนตอนปฏบตสาหรบการบรหารจดการความเสยง มดงรป





คาอธบาย

1. Identify Key Asset of Service Service Owner และทมงาน Information Security Management รวมกนพจารณาและระบทรพยสนทสาคญ (Key Asset) ของบรการ (Service) ทจะทาการประเมนความเสยง หรอทมการเปลยนแปลงเกดขน

2. Identify Possible Threat to Asset

Service Owner, ทมงาน Information Security Management และผดแลทรพยสน รวมกนพจารณาและระบภยคกคาม (Threat) ทสามารถเกดขนไดกบ Asset ทกาลงพจารณา โดยอางองขอมลจาก Threat Catalog และ/หรอ แหลงขอมลอนๆ เชน Incident ทเคยพบ, เวบไซตดาน Security เปนตน

3. Identify Vulnerability & Existing Control

Service Owner, ทมงาน Information Security Management และผดแลทรพยสน รวมกนพจารณาวามจดออน (Vulnerability) ใดบางทอาจถกภยคกคามเขากอใหเกดความเสยหายตอ Asset ทกาลงพจารณาได และปจจบน มสธ. ม Control ใดอยบางทชวยปองกนไมใหภยคกคามสามารถสรางความเสยหายตอ Asset ได โดยอางองขอมลจาก Vulnerability Catalog และ/หรอ แหลงขอมลอนๆ เชน Incident ทเคยพบ, เวบไซตดาน Security เปนตน

4. Assess Impact

Service Owner, ทมงาน Information Security Management และผดแลทรพยสน รวมกนประเมนระดบผลกระทบ (Impact) ของแตละภยคกคามและจดออนทระบในขนตอนกอนหนา ตารางอางอง Impact Level

5 May completely damage the asset or cause extended outage of the key services, causing major problems to customers and the organization, requires significant resources and time to recover

4 May cause considerable damage to asset or resulting in service outage and loss of customers or business confidence, requires high amount or resources and time to recover

3 Will result in some tangible harm to asset or service, requires some expenditure or resources to repairor recover

2 Minor effect to asset or service, requires minimal effort to repair or recover

1 Almost no impact to asset or service, can be dealt with by routine operations

5. Assess Likelihood Service Owner, ทมงาน Information Security Management และผดแลทรพยสน รวมกนประเมนระดบความนาจะเปน (Likelihood) ทภยคกคามจะสามารถเขากอใหเกดความเสยหายตอ Asset ผานจดออน (Vulnerability) ทมอย โดยใหพจารณาจาก 2 ปจจยหลก ดงน

แนวโนมการเกดขนของภยคกคาม (Threat) พจารณาจากแรงจงใจหรอคาทางสถตทมการบนทกไว เชน Asset ทมราคาสงและเคลอนยายงายนาจะมแนวโนมถกขโมยได มากกวา Asset ทวไป หรอ Threat ประเภทภยธรรมชาตตางๆ นาจะมแนวโนมการเกดตาเมอดจากสถตทเคยเกดขน

•

ความยากงายทจะถกกระทา พจารณาจาก Vulnerability ทม และ Control ทมในปจจบน หากม Vulnerability มาก และไมม Control คาความนาจะเปนท Threat จะเขากระทาความเสยหายกบ Asset กจะสงกวาในกรณทม Control ควบคมอย

•





ตารางอางอง Likelihood Level

5 Almost Certain Could occur every week or more frequently

4 Likely Fairly probable, perhaps several times a year

3 Possible Infrequently, perhaps once a year

2 Unlikely Unlikely, perhaps once every 1 to 6 years

1 Rare Highly unlikely to occur, if ever

6. Calculate Risk Level Service Owner คานวณคาความเสยง (Risk Level) โดยอางองวธการคานวณและตารางดงน

Low Medium High Extreme

1 - 4 5 - 9 10 - 16 20 - 25

Risk Scale

Risk = x Likelihood

7. Require Treatment?

Service Owner พจารณาจากผลความเสยงวาจาเปนตองหาวธในการแกไขและควบคมความเสยงหรอไม โดยคาความเสยง (Risk Level) ท มสธ. สามารถยอมรบไดโดยไมจาเปนตองแกไขความเสยง คอ ระดบ “Low” เทานน โดย

ถาคาความเสยงสงกวา Low ใหปฏบตตามขนตอนท 8 Determine Risk Treatment Plan

7.1.

ถาคาความเสยงเทากบ Low ถอวาจบกระบวนการ 7.2.

8. Determine Risk Treatment Solution Service Owner, ทมงาน Information Security Management และผดแลทรพยสน รวมกนพจารณาหาวธการทเหมาะสมสาหรบแกไขและควบคมความเสยง (Treatment) โดยมประเดนทควรพจารณา ดงน

รายละเอยดของวธการทเลอกใช ความยากงายในการดาเนนการ ความเหมาะสม และความเขากนไดกบสภาพปจจบนของ มสธ.

•

ทรพยากรทตองใชทงในแงของ งบประมาณ, บคลากร และเวลา ฯลฯ • กฎหมาย ระเบยบ นโยบาย หรอขอตกลงทเกยวของ • ประสทธภาพในการแกไขและควบคมความเสยง •

9. Possible & Valuable Treatment?

Service Owner และทมงาน Information Security Management รวมกนพจารณาความเปนไปได และความคมคาของวธการแกไขควบคมความเสยง (Treatment) และนาเสนอเขาขอความเหนชอบจากผบรหารตามความเหมาะสม

ถาวธการแกไขควบคมความเสยงมความเปนไปไดและคมคาตอการดาเนนการ ใหปฏบต ตามขนตอนท 10 Summarize Risk Treatment Plan

9.1.

ถาไมสามารถหาวธการแกไขควบคมความเสยงได หรอไมคมคาตอการดาเนนการ ให ปฏบตตามขนตอนท 13 Accept Risk

9.2.

10. Summarize Risk Treatment Plan

Service Owner และทมงาน Information Security Management รวมกนสรปและจดทาแผนแกไขความเสยง (Risk Treatment Plan, RTP) เพอนาเขาขอความสนบสนนและอนมตโดยผบรหาร โดยขอมลทตองระบในแผนแกไขความเสยงคอ

วธการแกไขควบคมความเสยง •







• ผรบผดชอบ • ทรพยากรทตองใช เชน บคลากร, งบประมาณ • กาหนดการ

11. Approve Risk Treatment Plan

ผบรหารพจารณาอนมต แผนแกไขความเสยง และใหความสนบสนน ทรพยากรตางๆ ในการดาเนนการตามแผนแกไขความเสยง

12. Perform Risk Treatment Activity

Service Owner, ทมงาน Information Security Management และผดแลทรพยสน ประสานงานกนเพอดาเนนการตามวธการทระบไวในแผนแกไขความเสยง โดยใชทรพยากรตามทกาหนดไวในแผน และดาเนนการใหแลวเสรจภายในระยะเวลาทกาหนดไว พรอมทงรายงานความคบหนาและปญหาทพบในการดาเนนการใหผบรหารทราบเปนระยะ

13. Accept Risk

Service Owner และทมงาน Information Security Management รวมกนสรปรายการของความเสยงทจาเปนตองยอมรบ, ขอจากด และเหตผลททาใหไมสามารถดาเนนการแกไขและควบคมความเสยงนนๆ ได โดยใหบนทกขอมลลงใน Risk Acceptance Document เพอเสนอผบรหารพจารณาและลงนามยอมรบความเสยง






02 Security Incident Management Procedure

เงอนไขในการเขาสกระบวนการ มดงตอไปน

• เมอผใชบรการพบเหตละเมดความมนคงปลอดภยและรายงานเหตตอ Service Desk

• เมอบคคลภายนอกพบเหตละเมดความมนคงปลอดภยและรายงานตอเจาหนาทของ มสธ.

• เมอระบบรกษาความมนคงปลอดภยสารสนเทศตรวจพบเหตละเมดความมนคงปลอดภย

เงอนไขในการออกจากกระบวนการ มดงตอไปน

• เมอเหตละเมดความมนคงปลอดภยไดรบการแกไข บนทกขอมลอยางครบถวน และมการจดประชมเพอทบทวนเหตทเกดขน พรอมทงจดทาแผนการปรบปรงบรการ (Service Improvement Plan) ตามความเหมาะสม

ความหมายของเหตละเมดความมนคงปลอดภย (Security Incident Definition) เหตละเมดความมนคงปลอดภย (Information Security Incident หรอ Security Incident) หมายถง เหตการณใดๆ ทสงผลกระทบหรอเปนภยคกคามตอบรการสารสนเทศและความมนคงปลอดภยของ มสธ. ซงเหตนนอาจเกดขนโดยตงใจ (Deliberate) โดยอบตเหต (Accidental) หรอโดยความประมาทเลนเลอของพนกงาน (Human Error) และมไดหลายรปแบบ ทงเหตละเมดความมนคงในเชงกายภาพ (Physical Incident) เชงเทคนค (Technical Incident) และเชงกระบวนการ (Procedural Incident) ตวอยางเหตละเมดความมนคงปลอดภย ไดแก:

• เครองคอมพวเตอร หรอระบบสารสนเทศตดไวรส หรอถกโจมตโดยโปรแกรมมงราย

• การรบกวนและทาใหระบบสารสนเทศไมสามารถใหบรการได (Denial of services)

• การรวบรวมขอมล (Probe/Scan) ของระบบสารสนเทศโดยไมไดรบอนญาต

• การพยายามเขาถงหรอเจาะระบบสารสนเทศหรอขอมลโดยไมไดรบอนญาต

• การเขาถง แกไข เปลยนแปลง ดกรบ สงออก หรอลบทาลายระบบสารสนเทศหรอขอมลโดยไมไดรบอนญาต

• การลอบเขาพนทของศนยบรการเทคโนโลยสารสนเทศ (Data Center) โดยไมไดรบอนญาต

• การโจรกรรมขอมลหรอทรพยสนสารสนเทศ

• การฝาฝน ละเมด หรอไมปฏบตตามนโยบายดานความมนคงปลอดภยของ มสธ. ตลอดจนเอกสารสนบสนนทเกยวของ

ประเภทของเหตละเมดความมนคงปลอดภย (Security Incident Category) จากความหมายและตวอยางเหตละเมดความมนคงปลอดภยขางตน มสธ. ไดกาหนดประเภทของเหตละเมดความมนคงปลอดภยเปนกลมใหญ ๆ ดงน:

• ไวรสและโปรแกรมมงราย (Malicious code attack)

• การรบกวนและทาใหระบบสารสนเทศไมสามารถใหบรการได (Denial of services)

• การรวบรวมขอมล หรอพยายามเขาถงระบบสารสนเทศโดยไมไดรบอนญาต (Network scan / probe)






• การเขาถงระบบสารสนเทศ ขอมล หรอพนทควบคมโดยไมไดรบอนญาต (Unauthorized access)

• การโจรกรรมขอมลหรอทรพยสนสารสนเทศ (Theft)

• การฝาฝน ละเมด หรอไมปฏบตตามนโยบายดานความมนคงปลอดภยของ มสธ. ตลอดจนเอกสารสนบสนนทเกยวของ (Policy violation)

ขนตอนปฏบตสาหรบการบรหารจดการเหตละเมดความมนคงปลอดภย มดงรป





Information Security Management

Sec

urity

Man

agem

ent

Ser

vice

Des

kO

ther

Tea

ms

Out

put

Man

agem

ent

/ Cus

tom

er

Rev: 1.0 Date: 30-Jul-10

1. Escalate to Security

ManagementTrigger

Information Security Incident Management Procedure

Identified Security Incident

Service Improvement Plan

2. Obtain Further Information & Assess Impact

3. Escalate to Management (if needed)

4. Containment, Eradication &

Recovery

5. Follow-up & Lesson Learn

CMDB

Action Log

End6. Close Security Incident

CMDB






คาอธบาย

การเตรยมความพรอมและรายงานเหตละเมดความมนคงปลอดภย

เพอใหการรบมอเหตละเมดความมนคงปลอดภยมประสทธภาพ และลดผลกระทบทอาจเกดขน มสธ. ตองเตรยมความพรอมโดย

• แตงตงทมรบมอเหตละเมดความมนคงปลอดภย (Incident Response Team หรอ IRT) พรอมทงกาหนดหนาทและความรบผดชอบ เพอใหสามารถรบมอตอเหตละเมดความมนคงปลอดภยไดอยางเหมาะสม

• จดใหมระบบหรอกระบวนการในการตรวจจบเหตละเมดความมนคงปลอดภยในแตละประเภท

• จดทาเอกสารขนตอนปฏบตงานทเหมาะสมสาหรบรบมอตอเหตละเมดความมนคงปลอดภยในแตละประเภท เชน ขนตอนปฏบตงานสาหรบกรณระบบสารสนเทศถกโจมตจากภายนอก มสธ. (Hacked)

• สรางความตระหนกใหแกผใชบรการ พนกงาน รวมถงบคคลภายนอกในการรายงานเหตละเมดความมนคงปลอดภย โดยตองระบจดรบรายงานใหชดเจน

o ผใชบรการหรอพนกงาน รายงานตอ Service Desk

o บคคลภายนอกรายงานตอเจาหนาทของ มสธ. ทตนพบเหนหรอตดตอดวย

การรบมอเหตละเมดความมนคงปลอดภย

1. Escalate to Security Management เมอ Service Desk ไดรบรายงานและยนยนความถกตองของเหตละเมดความมนคงปลอดภย ให แจงขอมลตอไปยงทม Information Security Management เพอดาเนนการตอไป

2. Obtain Further Information and Assess Impact

ทม Information Security Management รวบรวมขอมลเพมเตมทจาเปนจากผแจงเหต และ/หรอระบบสารสนเทศทเกยวของ ทาการวเคราะหขอมลทไดรบ และระดบความรนแรงของเหตละเมดความมนคงปลอดภย (Severity Level)

ระดบความรนแรงของเหตละเมดความมนคงปลอดภยม 5 ระดบดงน:

Extreme (5)

เหตละเมดความมนคงปลอดภยสงผลกระทบตอชวตมนษย หรอกอใหเกดความสญเสยอยางใหญหลวงในทางการเงน (Financial loss) ชอเสยง (Reputation) ขดตอกฎหมาย หรอทาใหสญเสยโอกาสทางธรกจหรอลกคาอยางถาวร (Loss of sales or customers)

High (4)

เหตละเมดความมนคงปลอดภยสงผลกระทบตอความลบ (Confidentiality) ความถกตองและสมบรณครบถวน (Integrity) หรอความพรอมใชงาน (Availability) ของขอมลหรอระบบสารสนเทศ และกอใหเกดความสญเสยในทางการเงน (Financial loss) หรอความเชอมนของลกคา (Customer confidence)

Medium (3)

เหตละเมดความมนคงปลอดภยสงผลกระทบตอความพรอมใชงาน (Availability) ของขอมลหรอระบบสารสนเทศภายใน มสธ. และทาให ผใชงานภายใน มสธ. ไมสามารถใชงานขอมลหรอระบบสารสนเทศได

Low (2)

เหตละเมดความมนคงปลอดภยสงผลกระทบเลกนอยตอความลบ (Confidentiality) ความถกตองและสมบรณครบถวน (Integrity) หรอความพรอมใชงาน (Availability) ของขอมลหรอระบบสารสนเทศภายใน มสธ. แตไมกอใหเกดความสญเสยใด ๆ

Insignificant (1)

เหตละเมดความมนคงปลอดภยไมกอใหเกดความเสยงหรอผลกระทบตอ มสธ.






3. Escalate to Management กรณทจาเปน ใหแจงใหผบรหารทราบ เพอตดสนใจหรอสงการตอไป โดย เหตละเมดความม นคงปลอดภยทมระดบความรนแรง 4 และ 5 ตองไดรบการแจงเหตไปยงผบรหารระดบสงของ มสธ. ภายใน 30 นาท

4. Containment, Eradication and Recovery

ทม Information Security Management ดาเนนการควบคมและระงบเหต หรอสงเรองตอให ทม IRT เปนผดาเนนการ โดยสามารถขอความชวยเหลอจากทมงานอนๆ ภายใน มสธ. ไดตามความเหมาะสม (สาหรบการขอความชวยเหลอจากผเชยวชาญภายนอก หรอเจาหนาทของรฐ ตองไดรบการอนมตจากผบรหารกอนดาเนนการ) 7.1. ดาเนนการควบคมเหต เพอใหเหตละเมดความปลอดภยทเกดขนนน สงผลกระทบตอ

มสธ. นอยทสด และปองกนไมใหมการลกลามหรอขยายวงไปยงจดอน ๆ (Containment)

7.2. คนหาสาเหตของเหตละเมดความมนคงปลอดภย แลวดาเนนการแกไขเพอกาจดเหต (Eradication)

7.3. เมอกาจดเหตไดแลว ตองมการกขอมลหรอระบบสารสนเทศใหกลบคนสสภาวะปกต ในขนตอนน ตองมการตรวจสอบอยางถถวน เพอใหมนใจวาระบบสารสนเทศทเกยวของจะไดรบการปกปองอยางเหมาะสม เพอปองกนการเกดเหตซา รวมถงตองมการเฝาระวงเหตอยางใกลชด (Recovery)

การดาเนนงานทงหมดในขนตอนน ตองไดรบการบนทกไวเปนหลกฐาน (บนทกขอมลลงใน Action Log)

5. Follow-up and Lesson Learn

ทม Information Security Management เชญผทเกยวของเขารวมประชมเพอทบทวนเหตทเกดขนแลวนาขอมลทไดไปรายงานตอผบรหาร และนาไปปรบปรงแกไขกระบวนการหรอระบบรกษาความมนคงปลอดภยดานเทคนคของ มสธ. รวมถงปรบปรงจดอน ๆ ทอาจมความเสยงจากเหตละเมดความมนคงปลอดภยในลกษณะเดยวกน นอกจากนน หากตองการคนหาผกระทาความผดและดาเนนคดตามกฎหมาย ใหพจารณาตดตอขอความชวยเหลอไปยงผเชยวชาญจากภายนอก หรอเจาหนาทของรฐเพอดาเนนการเกบหลกฐานอเลกทรอนกสตามกฎหมาย (การตดตอไปยงหนวยงานภายนอก ตองไดรบการอนมตจากผบรหารระดบสงกอนดาเนนการ) การดาเนนการเพอปรบปรงกระบวนการหรอระบบรกษาความมนคงปลอดภยดานเทคนคตองถกจดทาเปนแผนการปรบปรงบรการ (Service Improvement Plan)

6. Close Security Incident

Service Desk ทาการปดสถานะของ Security Incident เปนอนจบกระบวนการ




03 Access Management Procedure

การจดทา Access Matrix ตองมการจดทา Access Matrix ขนเพอระบขอมลดงตอไปน

• System/Service/Location – ไดแก ระบบสารสนเทศ บรการสารสนเทศ หรอพนทควบคม ทตองไดรบการควบคมการเขาถง

• Object – ไดแก ขอมล Table เมน หรอองคประกอบอนๆ ภายใต System/Service/Location ทตองไดรบการควบคมการเขาถง

• Subject – ไดแก ผใชบรการ (Individual) กลมผใชบรการ (Group/Department) หรอบทบาท (Role) ทตองการเขาถง

• Access Rights (หรอ Privileges) – ไดแกสทธท มสธ. กาหนดให Subject สามารถเขาถงหรอดาเนนการเกยวกบ Object ได

• Authorizer – ไดแกผมอานาจในการอนมตสทธ Access Matrix ทจดทาขน ตองไดรบการอนมตโดยผบรหาร และตองไดรบการทบทวนความถกตองเหมาะสม/ปรบปรงใหเปนปจจบน อยางนอยปละ 1 ครง หรอเมอมความเปลยนแปลงทสาคญเกดขน เชน มการจดซอ-จดหาระบบสารสนเทศใหม หรอมการเพมฟงกชนในระบบเดม เปนตน ตวอยาง Access Matrix Access Matrix for Internal File Server

Authorizer: Mr. A & Mr B Version: 1.0 Last updated: 25-Mar-10 Subj / Obj Announcement

Folder Central Share Dept A Folder Dept B Folder Management

Folder IT Folder

Management Read, Write Read, Write Read Read Read, Write No Access Administrator Read, Write Read, Write No Access No Access No Access Read, Write Dept A User Read Read, Write Read, Write No Access No Access No Access Dept B User Read Read, Write No Access Read, Write No Access No Access IT User Read Read, Write No Access No Access No Access Read, Write

: Access Matrix for Service Desk System

Authorizer: Mr. C & Mr D Version: 1.1 Last updated: 25-Mar-10 Subj / Obj Ticket

Management Screen

Escalation Rules

Knowledge Base

Report Function

Open/Track Ticket via Web

Form

Admin Function

Management Read Read Read Execute No Access No Access Administrator Read Read Read, Write Execute Read, Write Execute Service Desk Manager Read, Write Read, Write Read, Write Execute Read No Access

Service Desk Agent Read, Write Read Read, Write Execute Read No Access

Other ITSM Teams Read Read Read, Write No Access No Access No Access

Customer No Access No Access Read No Access Read, Write No Access:

Access Matrix for Secure Areas

Authorizer: Mr. E Version: 2.0 Last updated: 27-Mar-10 Subj / Obj Data Center Store Room (DHS) Electrical Room Management Yes Yes No Data Center / Security Team Yes No Yes

Release Team No Yes No Other Users No No No

:





Access Matrix for Back Office Systems

Authorizer: Mr. G Version: 1.0 Last updated: 25-Mar-10 Subj / Obj Email Internet Intranet (doc repository) Management Yes, unlimited Yes, no filter Read Email Admin Yes, 20 MB Yes, with filter No Access Network Admin Yes, 20 MB Yes, no filter No Access Doc Ctrl Yes, 20 MB Yes, with filter Read, Write Other Users Yes, 20 MB Yes, with filter Read

: การใชงาน Access Matrix Access Matrix ทไดรบการอนมตจากผบรหารแลว ตองถกจดสงไปยงทมทเกยวของ (เชน Service Desk, Incident Management, System Administrator) ทมหนาทในการรบคารองขอสทธจากผใชงาน โดยหากคารองขอสทธเปนไปตามเกณฑทระบใน Access Matrix สามารถดาเนนการไดทนท แตในกรณทคารองไมเปนไปตามเกณฑ ตองขออนมตจาก Authorizer ทเกยวของกอนดาเนนการ การทบทวนสทธตามรอบระยะเวลา (Periodic Review)

ตองกาหนดรอบระยะเวลาทเหมาะสมในการทบทวนสทธ (Review Strategy) ในการเขาถงระบบสารสนเทศ บรการสารสนเทศ หรอพนทควบคมทเกยวของกบบรการ (Service) ทงหมดของ มสธ.

1.

ตวอยางการกาหนด Review Strategy

Access Rights Review Strategy Review Period

Q1 Q2 Q3 Q4 Access to Internal File Server Access to Service Desk System Access to Secure Areas Access to Back Office Systems Non-Standard Access or Privilege ID (


เชน Administrator/Root Account)

สาหรบทกๆ Review Period ทครบกาหนดทม Information Security Management และ/หรอผดแลระบบตองทบทวนขอมลผใชงานและสทธในระบบสารสนเทศทเกยวของ เทยบกบเอกสารตางๆ ดงตอไปน

2.

• Access Matrix ใบคารองขอใชสทธ • รายชอบคลากร ขาราชการ พนกงาน (Current Staff List หรอ Resign/Change Job List) ทไดรบจากหนวยงานทเกยวของ

•

รายชอผใชบรการ ทไดรบจากฝายทเกยวของ (เชน จากหนวยงานของผใชบรการ) •

ทงนทม Information Security Management และ/หรอผดแลระบบ สามารถรองขอให Authorizer หรอ หวหนาหนวยงานทเกยวของ รวมทาการทบทวนความถกตองของสทธในระบบทตนรบผดชอบ ได

ทม Information Security Management และ/หรอผดแลระบบ ทาการแกไขสทธในระบบทไมถกตอง พรอมทงบนทกผลการดาเนนการลงใน Access Rights Review Form

3.

กรณทจาเปนทม Information Security Management และ/หรอผดแลระบบ รวมกบ Authorizer ทาการปรบปรง Access Matrix ใหมความถกตองเหมาะสมมากยงขน พรอมทงนาสงใหผบรหารอนมต

4.






การถอดถอนสทธ ตองมการกาหนดหนวยงานททาหนาทในการสงขอมล สาหรบกรณทผใชบรการไมมความจาเปนตองใชสทธในระบบ หรอตองมการเปลยนแปลงสทธ (เชน ลาออก เปลยนตาแหนงงาน หรอยกเลกการใชบรการ) ใหแกทม Information Security Management และ/หรอผดแลระบบ

1. เมอมผใชงานลาออก เปลยนตาแหนงงาน หรอยกเลกการใชบรการ หนวยงานทเกยวของ (เชน ฝายทรพยากรบคคล หรอหนวยงานของลกคา) ตองสงรายชอพนกงาน (Resign/Change Job List) ใหแกทม Information Security Management และ/หรอผดแลระบบ

2. ทม Information Security Management และ/หรอผดแลระบบทาการทบทวนและปรบปรงสทธในระบบใหถกตอง ภายใน 3 วนทาการสาหรบสทธทวไป และทนทสาหรบสทธในระดบ Privilege หรอสทธแบบ Non-Standard






ความสมพนธกบกระบวนการอนๆ (Relation with Other Processes)

Service Desk

• กระบวนการ Information Security Management ตองประสานงานกบ Service Desk เพอสอสารให Service Desk สามารถรบแจง Incident และจาแนกไดวาเหตแบบใดเปนเหตทเปน Security Incident

Incident Management

• กระบวนการ Information Security Management ตองรบทราบขอมลเกยวกบ Security Incident จากกระบวนการ Incident Management และดาเนนการรบมอและจดการ Security Incident

Problem Management

• กระบวนการ Information Security Management ตองประสานงานกบกระบวนการ Problem Management เพอหาสาเหตและวธในการแกไข Security Incident และปองกนมใหเกดเหตซา

Service Level Management

• กระบวนการ Information Security Management ตองชวยในการพจารณากาหนด Security Requirements และ Responsibilities ทเกยวของในเอกสาร SLA

Change Management

• กระบวนการ Information Security Management ตองชวยในการวเคราะหและประเมนผลกระทบดาน Security ทอาจเกดขนจากการดาเนนการเปลยนแปลงใดๆ (Change)

Configuration Management

• กระบวนการ Configuration Management สนบสนนขอมล CMDB ใหแกกระบวนการ Information Security Management เพอใชในการวเคราะหผลกระทบและประเดนตางๆ ดาน Security

[จบ]

ขั้นตอนการปฏิบัติการ ... 9.1/9.1...เพ...

Documents

Transcript of ขั้นตอนการปฏิบัติการ ... 9.1/9.1...เพ...