นโยบายและแนวทางปฏิบัติในการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Policy and Guidelines)

2022-09-29 13:02:42

เพื่อให้ผู้ใช้งานและบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และได้รับทราบถึงหน้าที่ความรับผิดชอบและแนวทางปฏิบัติในการควบคุมความเสี่ยง

ต่าง ๆ ได้อย่างมีประสิทธิภาพ ทางบริษัทจึงได้จัดทำ นโยบายและแนวทางปฏิบัติฉบับนี้ โดยหากผู้ใช้งานและบุคคลที่เกี่ยวข้องสามารถปฏิบัติได้ตามนโยบายและแนวทางปฏิบัติฉบับนี้ บริษัทจะถือว่าผู้ใช้งานและบุคคลที่เกี่ยวข้องได้รับทราบและปฏิบัติตามนโยบายและแนวทางปฏิบัติฉบับนี้แล้ว

ทั้งนี้ สาระสำคัญของนโยบายและแนวทางปฏิบัติฉบับนี้ ประกอบด้วย

นโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Policy)
การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (Access Control)
การควบคุมการเข้ารหัสข้อมูล (Cryptographic Control)
การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (Physical and Environmental Control)
การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (Operations Security)
การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ(Information Security Incident Management)
การควบคุมกระบวนการทำงานให้เป็นไปตามข้อกำหนด (Compliance)

โดยนโยบายและแนวทางปฏิบัติฉบับนี้ถูกจัดทำขึ้นตามข้อกำหนดของ PDPA Checklist เรื่อง แผนและมาตรการที่ต้องจัดทำโดยบริษัทบุคคลที่สาม (Third Party) เพื่อให้เป็นไปตามระเบียบของฝ่ายสารสนเทศ (IT) กองทุนเพื่อความเสมอภาคทางการศึกษา (กสศ.) ในการรักษามาตรฐานของการใช้งานระบบเทคโนโลยีสารสนเทศเพื่อประโยชน์ของ กสศ.

จัดทำโดยบริษัท ซีคฟอร์ซ จำกัด

โครงการแพลตฟอร์มเพื่อการมีงานทำ (Luihub)

1.นโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Policy)

วัตถุประสงค์

เพื่อให้ผู้ใช้งานและบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสำคัญของการรักษาความมั่นคงปลอดภัย

ของระบบสารสนเทศ และได้รับทราบถึงหน้าที่ความรับผิดชอบและแนวทางปฏิบัติในการควบคุมความเสี่ยงต่าง ๆ

แนวทางปฏิบัติ

จัดให้มีการทบทวนหรือปรับปรุงนโยบายดังกล่าวอย่างน้อยปีละ 1ครั้งและเมื่อมีการเปลี่ยนแปลงของสภาพแวดล้อมต่าง ๆ ที่มีนัยสำคัญ เช่น สภาพธุรกิจกฎเกณฑ์ กฎหมาย และเทคโนโลยี เป็นต้น โดยต้องให้เข้าถึงได้ง่าย เพื่อให้บุคลากรที่เกี่ยวข้องทราบและถือปฏิบัติเป็นไปตามที่นโยบายกำหนด

จัดให้มีการป้องกันภัยคุกคามต่อระบบสารสนเทศ เพื่อให้มั่นใจว่าระบบสารสนเทศได้รับการป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี (protection from malware) โดยการจัดให้มีกระบวนการป้องกัน และตรวจสอบการใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาต ภายในบริษัท พร้อมทั้งกำหนดผู้มีหน้าที่รับผิดชอบให้รายงานและแก้ไขปัญหากรณีพบภัยคุกคาม

บริษัทต้องจัดให้มีการสร้างความตระหนักรู้ (awareness education) เกี่ยวกับการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศแก่พนักงานและผู้ให้บริการภายนอกที่ปฏิบัติงานภายในองค์กรอย่างสม่ำเสมอ โดยเนื้อหาต้องสอดคล้องกับนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและหน้าที่ความรับผิดชอบของบุคลากร

บริษัทต้องจัดทำและเก็บทะเบียนทรัพย์สินสารสนเทศ เช่น อุปกรณ์คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบและอุปกรณ์เครือข่ายคอมพิวเตอร์ และข้อมูลสารสนเทศ เป็นต้น รวมทั้งตรวจสอบและทบทวนรายการทรัพย์สินอย่างสม่ำเสมอ เพื่อให้เกิดความถูกต้องเป็นปัจจุบัน โดยต้องดำเนินการดังกล่าวอย่างน้อยปีละ 1ครั้งและเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญ

จัดให้มีการทบทวนความปลอดภัยและความมั่นคงของข้อมูลโดยการอบรมบุคคลากรที่เกี่ยวข้อง เพื่อการป้องกันการรั่วไหลของข้อมูลสารสนเทศในกรณีใช้เทคโนโลยี virtual desktop หรือการเชื่อมต่อระยะไกล (remote access)

ต้องกำหนดมาตรฐานความปลอดภัยด้านเครือข่าย เช่น การเข้ารหัสข้อมูลที่รับส่งผ่านระบบเครือข่ายคอมพิวเตอร์ การป้องกันการโจมตีในลักษณะ DDoS (distributed denial of service) หรือ การป้องกันการบุกรุกจากโปรแกรมไม่ประสงค์ดีการป้องกันภัยคุกคามในรูปแบบใหม่ (advanced persistent threat)

2. การควบคุมการเข้าถึงข้อมูลและระบบสารสนเทศ (Access Control)

วัตถุประสงค์

เพื่อควบคุมการเข้าถึงข้อมูล และให้มีการควบคุมสิทธิการใช้งานระบบสารสนเทศอย่างเหมาะสมและป้องกันไม่ให้ผู้ที่ไม่มีสิทธิใช้งานสามารถเข้าถึงระบบสารสนเทศและแอพพลิเคชั่นโดยไม่ได้รับอนุญาต

แนวทางปฏิบัติ

จัดให้มีการลงทะเบียนบัญชีผู้ใช้งานระบบ (user registration) เพื่อควบคุมการให้สิทธิในการเข้าถึง

ในการกำหนดสิทธิการเข้าถึงระดับสูง (admin access rights) บริษัทต้องจัดสรรอย่างจำกัดและอยู่ภายใต้การควบคุมอย่างเคร่งครัด

บริษัทต้องจัดให้มีขั้นตอนการบริหารจัดการเรื่องการกำหนดรหัสผ่าน (user password management) อย่างเหมาะสม

บริษัทต้องจัดให้มีการติดตามทบทวนระดับสิทธิการเข้าถึงอย่างสม่ำเสมอ และยกเลิกสิทธิการเข้าถึงโดยทันที เมื่อบุคคลที่ได้รับสิทธิลาออก เลิกสัญญาว่าจ้าง หรือเปลี่ยนแปลงหน้าที่ปฏิบัติงาน

บริษัท ต้องควบคุมการเข้าถึงข้อมูลสารสนเทศและฟังก์ชั่นต่าง ๆ ในแอพพลิเคชั่นของผู้ใช้งานและผู้ดูแลระบบสารสนเทศ โดยให้สอดคล้องกับสิทธิที่ได้รับและนโยบายควบคุมการเข้าถึงที่ได้กำหนดไว้

บริษัทต้องควบคุมการเข้าใช้งาน (log-on) ระบบสารสนเทศและแอพพลิเคชั่นด้วยวิธีการแบบปลอดภัย เช่น มีการป้องกันการเข้าใช้งานโดยวิธีเดาสุ่ม (brute force) แจ้งเตือนกรณีที่มีความพยายาม เข้าใช้งานอย่างไม่เหมาะสม (breach of log-on control)

บริษัทต้องจัดให้มีระบบการบริหารจัดการรหัสผ่านที่มีความมั่นคงปลอดภัย โดยขั้นต่ำต้องมีกระบวนการดังนี้
1. กำหนดให้ผู้ใช้งานแต่ละรายต้องรับผิดชอบ (accountable) บัญชีผู้ใช้งาน (user ID) และรหัสผ่าน (password) ของตนเอง
2. ให้ผู้ใช้งานสามารถตั้งค่าหรือเปลี่ยนแปลงรหัสผ่านได้ด้วยตนเอง และระบบต้องมีขั้นตอนให้ยืนยันความถูกต้อง
3. บังคับให้ผู้ใช้งานกำหนดรหัสผ่านห้ามมีจำนวนต่ำกว่า 8 อักขระ
4. รหัสผ่านต้องมีตัวอักษร และ ตัวอักษรตัวใหญ่ (Capital Letter) และ อักขระพิเศษ
5. ระหว่างที่ผู้ใช้งานใส่รหัสผ่าน ระบบต้องไม่แสดงให้เห็นค่ารหัสผ่านบนหน้าจอ
6. ต้องมีระบบการเข้ารหัส (encryption) ข้อมูลรหัสผ่าน
7. กำหนดจำนวนครั้งที่ยอมให้ผู้ใช้งานใส่รหัสผ่านผิด

3. การควบคุมการเข้ารหัสข้อมูล (Cryptographic Control)

วัตถุประสงค์

เพื่อให้การใช้งานระบบการเข้ารหัสข้อมูลมีความเหมาะสม มีประสิทธิภาพ และสามารถป้องกันการเข้าถึง

หรือเปลี่ยนแปลงแก้ไขข้อมูลที่เป็นความลับหรือมีความสำคัญ

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีนโยบายควบคุมการใช้งานระบบการเข้ารหัสข้อมูล ที่คำนึงถึงชนิด และขั้นตอนวิธีการเข้ารหัสข้อมูล (algorithm) ที่สอดคล้องเหมาะสมกับระดับความเสี่ยงที่อาจเกิดขึ้นกับข้อมูลที่เป็นความลับหรือมีความสำคัญ รวมทั้งกำหนดผู้รับผิดชอบในการดำเนินนโยบายและบริหารจัดการกุญแจเพื่อการเข้ารหัสข้อมูล (key management)

บริษัทต้องจัดให้มีนโยบายการบริหารกุญแจเพื่อการเข้ารหัสข้อมูล ตลอดช่วงเวลาการใช้งาน (key management whole life cycle) โดยกำหนดแนวปฏิบัติเพื่อการคัดเลือกวิธีการเข้ารหัส การกำหนดความยาวของรหัส การใช้งานและการยกเลิกการใช้งานกุญแจเพื่อการเข้ารหัส กระบวนการบริหารจัดการกุญแจเพื่อการเข้ารหัส รวมทั้งติดตามให้มีการปฏิบัติให้เป็นไปตามนโยบายและแนวทางปฏิบัติดังกล่าวอย่างสม่ำเสมอ

4. การสร้างความมั่นคงปลอดภัยด้านกายภาพและสภาพแวดล้อม (Physical and Environmental Control)

วัตถุประสงค์

เพื่อป้องกันมิให้บุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้องเข้าถึงพื้นที่หวงห้าม เช่น ศูนย์คอมพิวเตอร์ (data center) ศูนย์สำรอง (backup site) และพื้นที่ที่ตั้งอุปกรณ์ระบบเครือข่ายคอมพิวเตอร์ ได้แก่ floor swith หรือ router ซึ่งอาจก่อให้เกิดความเสียหายต่ออุปกรณ์สารสนเทศหรือมีผลกระทบต่อข้อมูลที่เป็นความลับหรือมีความสำคัญ

แนวทางปฏิบัติ

บริษัทต้องประเมินความเสี่ยงและกำหนดระดับความสำคัญของทรัพย์สินสารสนเทศให้ สอดคล้องกับนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ พร้อมทั้งกำหนดพื้นที่การจัดวางทรัพย์สินสารสนเทศดังกล่าวที่มีความสำคัญให้เป็นพื้นที่หวงห้าม (physical security perimeter)

บริษัทต้องออกแบบพื้นที่หวงห้ามโดยคำนึงถึงความมั่นคงปลอดภัยจากภัยธรรมชาติและภัยคุกคามจากมนุษย์และให้มีความมิดชิด รวมทั้งป้องกันมิให้มีการเปิดเผยข้อมูลและรายละเอียดของพื้นที่หวงห้ามต่อสาธารณะ
บริษัทต้องกำหนดสิทธิการเข้าออกพื้นที่หวงห้ามให้เฉพาะบุคคลที่มีหน้าที่เกี่ยวข้องภายใต้หลักความจำเป็นในการรู้ข้อมูล (need-to-know basis) รวมทั้งต้องจัดให้มีระบบการควบคุมการเข้าออกอย่างรัดกุม และทบทวนสิทธิดังกล่าวอย่างสม่ำเสมอ

บริษัทต้องจัดให้มีการรักษาความมั่นคงปลอดภัยให้กับศูนย์คอมพิวเตอร์เช่น มีระบบกล้องวงจรปิด อุปกรณ์เตือนไฟไหม้ ถังดับเพลิงหรือระบบดับเพลิงแบบอัตโนมัติ ระบบไฟฟ้าสำรอง(uninterrupted power supply) และระบบควบคุมอุณหภูมิและความชื้นที่เหมาะสม เป็นต้น พร้อมทั้งมีการบำรุงรักษาอย่างสม่ำเสมอ

บริษัทต้องจัดเก็บอุปกรณ์คอมพิวเตอร์ที่สำคัญ เช่น เครื่องแม่ข่าย อุปกรณ์เครือข่าย เป็นต้นไว้ในพื้นที่หวงห้ามอย่างมั่นคงปลอดภัย

บริษัทต้องจัดให้มีการป้องกันอุปกรณ์สารสนเทศที่อาจหยุดชะงักจากการทำงานผิดพลาดของระบบโครงสร้างพื้นฐาน เช่น ระบบไฟฟ้า ระบบโทรคมนาคม ระบบประปา ระบบระบายอากาศและระบบปรับอากาศ เป็นต้น

บริษัทต้องจัดให้มีการควบคุมป้องกันอุปกรณ์สารสนเทศระหว่างที่ไม่มีผู้ใช้งาน (unattended user equipment) ให้มีความปลอดภัยรวมทั้งต้องกำหนดการควบคุมเอกสาร ข้อมูล หรือสื่อบันทึกข้อมูลต่าง ๆ เช่น thumbdrive และ external harddisk ที่มีข้อมูลสารสนเทศที่จัดเก็บหรือบันทึกอยู่ไม่ให้วางทิ้งไว้บน โต๊ะทำงานหรือสถานที่ไม่ปลอดภัยในขณะที่ไม่ได้ใช้งาน (clear desk)

บริษัทต้องจัดให้มีการควบคุมหน้าจอ คอมพิวเตอร์ไม่ให้มีข้อมูลสำคัญปรากฏในขณะที่ไม่ได้ใช้งาน (clear screen) เช่น การตัดออกจากระบบ (session time out) และการล็อคหน้าจอ (lock screen) อัตโนมัติเป็นต้น

หากบริษัทใช้บริการศูนย์คอมพิวเตอร์ (data center) ศูนย์สำรอง (backup site) และพื้นที่ที่ตั้งอุปกรณ์ระบบเครือข่ายคอมพิวเตอร์ ในลักษณะของบุคคลที่สาม (Outsource) ทางบริษัทจะต้องทำการตรวจสอบผู้ให้บริการดังกล่าวในด้านมาตรฐานความปลอดภัยต่างๆ ตามนโยบายและแนวทางปฏิบัติฉบับนี้เพื่อป้องกันไม่ให้เกิดความเสียหายกับการดำเนินงานต่างๆ ได้ โดยผู้ให้บริการจะต้องผ่านมาตรฐานต่างๆ และเป็นที่ยอมรับในระดับประเทศ

5. การรักษาความมั่นคงปลอดภัยในการปฏิบัติงานที่เกี่ยวข้องกับระบบสารสนเทศ (Operations Security)

5.1 หน้าที่ความรับผิดชอบและขั้นตอนการปฏิบัติงาน (operationalprocedures and responsibilities)

วัตถุประสงค์

เพื่อให้มั่นใจว่าการปฏิบัติงานด้านระบบสารสนเทศเป็นไปอย่างถูกต้องและมั่นคงปลอดภัย

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีการควบคุมการปฏิบัติงานอย่างเคร่งครัด โดยเฉพาะในกรณีที่มีการเปลี่ยนแปลงโครงสร้างองค์กร ขั้นตอนการปฏิบัติงาน หรือการทำงานของระบบงานต่าง ๆ ซึ่งอาจกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ

บริษัทต้องจัดให้มีการสื่อสารให้บุคคลที่เกี่ยวข้องได้รับทราบนโยบายและแนวทางปฏิบัติเพื่อให้สามารถปฏิบัติงานได้อย่างถูกต้องและมั่นคงปลอดภัย

บริษัทต้องจัดให้มีกระบวนการถอยกลับสู่สภาพเดิม (fall-back) ของระบบงาน หากเกิดข้อผิดพลาดระหว่างการเปลี่ยนแปลง

บริษัทต้องติดตามประสิทธิภาพการทำงานของระบบงานและอุปกรณ์สารสนเทศที่สำคัญให้ทำงานได้อย่างต่อเนื่องและมีประสิทธิภาพ

บริษัทต้องแบ่งแยกส่วนคอมพิวเตอร์ที่มีไว้สำหรับการพัฒนาระบบงาน (develop environment)และใช้งานจริง (production environment) ออกจากกัน และควบคุมให้มีการเข้าถึงเฉพาะผู้ที่เกี่ยวข้อง

5.2 การป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี (protection from malware)

วัตถุประสงค์

เพื่อให้มั่นใจว่าระบบสารสนเทศได้รับการป้องกันภัยคุกคามจากโปรแกรมไม่ประสงค์ดี

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีการป้องกันและตรวจสอบโปรแกรมไม่ประสงค์ดี รวมทั้งแก้ไขเพื่อให้ระบบกลับมาใช้งานได้ตามปกติ (recovery) โดยขั้นต่ำต้องกำหนดมาตรการ ดังนี้

กำหนดนโยบายห้ามใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาต

มีกระบวนการป้องกัน และตรวจสอบการใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาต และการใช้งานเว็บไซต์ที่อาจมีโปรแกรมไม่ประสงค์ดี

ติดตั้งซอฟต์แวร์ตรวจสอบโปรแกรมไม่ประสงค์ดี และปรับปรุงให้เป็นปัจจุบันอย่างสม่ำเสมอพร้อมทั้งกำหนดผู้มีหน้าที่รับผิดชอบให้รายงานและแก้ไขปัญหากรณีพบภัยคุกคาม

ตรวจสอบซอฟต์แวร์ระบบงานที่มีความสำคัญอย่างสม่ำเสมอ หากพบการติดตั้งหรือเปลี่ยนแปลงที่ไม่ได้รับอนุญาต ต้องมีการตรวจสอบ

จัดให้มีการติดตามและกลั่นกรองข่าวสารเกี่ยวกับภัยคุกคาม เพื่อให้ทราบข้อเท็จจริง รวมทั้งแจ้งให้ผู้ที่เกี่ยวข้องได้ตระหนักถึงภัยคุกคามดังกล่าว

5.3 การสำรองข้อมูล (backup)

วัตถุประสงค์

เพื่อป้องกันการสูญหายของข้อมูล

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีมีนโยบายสำรองข้อมูลสำคัญทางธุรกิจ รวมถึงระบบปฏิบัติการ (operating system) แอพพลิเคชั่นระบบงานคอมพิวเตอร์ (application system)และชุดคำสั่งที่ใช้ทำงานให้ครบถ้วนให้สามารถพร้อมใช้งานได้อย่างต่อเนื่อง

กำหนดเป้าหมายในการกู้คืนข้อมูลเช่น กำหนดประเภทของข้อมูล และชุดข้อมูลล่าสุดที่จะกู้คืนได้(recovery point objective : RPO)

จัดให้มีการทดสอบข้อมูลสำรองและกระบวนการกู้คืนข้อมูลอย่างน้อยปีละ 1 ครั้ง เพื่อให้มั่นใจได้ว่าข้อมูลรวมทั้งโปรแกรมระบบต่าง ๆ ที่ได้สำรองไว้ มีความถูกต้องครบถ้วนและสามารถใช้งานได้ภายในระยะเวลาที่กำหนด

5.4 การบันทึก จัดเก็บหลักฐานและติดตาม (logging and monitoring)

วัตถุประสงค์

เพื่อบันทึกและจัดเก็บหลักฐานการใช้งานเกี่ยวกับระบบสารสนเทศอย่างครบถ้วนและเพียงพอสำหรับ

การตรวจสอบการล่วงรู้ข้อมูลภายในระหว่างหน่วยงานและบุคลากร การสอบทานการใช้งานข้อมูลและ

ระบบสารสนเทศตามหน้าที่ที่ผู้ปฏิบัติงานได้รับมอบหมาย การตรวจสอบการเข้าใช้งานระบบสารสนเทศ

โดยบุคคลที่ไม่มีอำนาจหน้าที่เกี่ยวข้อง การตรวจสอบและป้องกันการใช้งานระบบสารสนเทศที่มี

ความผิดปกติหรือไม่เป็นไปตามที่กฎหมายหรือหลักเกณฑ์ของทางการ

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีการบันทึกและจัดเก็บหลักฐาน (logs) ของระบบงานที่มีความสำคัญประเภทต่าง ๆ ดังต่อไปนี้
1. หลักฐานการเข้าถึงพื้นที่หวงห้าม (physical access log) โดยขั้นต่ำต้องมีรายละเอียดเกี่ยวกับบุคคลที่เข้าถึง ความพยายามในการเข้าถึง (ถ้ามี) และวันเวลาที่ผ่านเข้าออก โดยจัดเก็บเป็นระยะเวลาไม่น้อยกว่า 6 เดือน
2. หลักฐานการเข้าถึงระบบปฏิบัติการ ฐานข้อมูล ระบบเครือข่ายคอมพิวเตอร์ (authentication log) โดยขั้นต่ำต้องมีรายละเอียดเกี่ยวกับบัญชีผู้ใช้งาน วันเวลาที่เข้าใช้งาน และความพยายามในการเข้าใช้งาน โดยจัดเก็บเป็นระยะเวลาไม่น้อยกว่า 6 เดือน

หลักฐานการเข้าถึงและใช้งานระบบสารสนเทศ (application log) โดยขั้นต่ำต้องมีรายละเอียดเกี่ยวกับ บัญชีผู้ใช้งาน หมายเลขประจำเครื่องที่ใช้งาน (client IP address) (ถ้ามี) วันเวลาที่มีการใช้งาน โดยจัดเก็บเป็นระยะเวลาไม่น้อยกว่า 1 ปี

ข้อมูลการติดต่อสนทนาผ่านช่องทางอิเล็กทรอนิกส์ (electronic messaging) โดยให้จัดเก็บเป็นระยะเวลาไม่น้อยกว่า 6 เดือน เช่น จัดเก็บข้อความ ในจดหมายอิเล็กทรอนิกส์ (email archive) เป็นต้น

บริษัทต้องจัดให้มีการป้องกันข้อมูลและระบบการบันทึกและจัดเก็บหลักฐานการใช้งานเกี่ยวกับระบบสารสนเทศจากการถูกเปลี่ยนแปลงแก้ไข ทำความเสียหาย หรือเข้าถึงโดยไม่ได้รับอนุญาตและมีการตรวจสอบอย่างสม่ำเสมอ

บริษัทต้องกำหนดระบบเวลาของอุปกรณ์และระบบสารสนเทศที่มีความสำคัญ ให้ตรงกับเวลาอ้างอิงสากล (stratum 0) โดยผิดพลาดไม่เกิน 100 มิลลิวินาที

บริษัทต้องจัดให้มีการติดตามและวิเคราะห์หลักฐานที่ถูกจัดเก็บสำหรับการใช้งานระบบสารสนเทศที่มีความสำคัญ โดยให้สอดคล้องกับการประเมินความเสี่ยงขององค์กรและเป็นไปตามที่กำหนดไว้ในนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

5.5 การบริหารจัดการช่องโหว่ทางเทคนิค (technical vulnerability management)

วัตถุประสงค์

เพื่อป้องกันภัยคุกคามจากช่องโหว่ทางเทคนิค

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีการติดตามข้อมูลข่าวสารเกี่ยวกับช่องโหว่ทางเทคนิคที่อาจเป็นความเสี่ยงต่อระบบสารสนเทศของบริษัทอย่างทันต่อเหตุการณ์ รวมทั้งต้องจัดให้มีการตรวจสอบหาช่องโหว่ดังกล่าวและมีมาตรการดำเนินการเพื่อปิดช่องโหว่หรือกำหนดแผนรองรับกรณีที่ระบบถูกบุกรุกผ่านช่องโหว่ดังกล่าว โดยขั้นต่ำต้องกำหนดแนวทางดำเนินการดังนี้

กำหนดผู้มีหน้าที่รับผิดชอบในการจัดการเกี่ยวกับช่องโหว่ทางเทคนิคโดยครอบคลุมถึงการประเมินความเสี่ยงของทรัพย์สินสารสนเทศที่เกี่ยวข้องซึ่งอาจได้รับผลกระทบจากช่องโหว่ดังกล่าวโดยเฉพาะทรัพย์สินสารสนเทศที่มีความเสี่ยงสูงการดำเนินการเพื่อปิดช่องโหว่(patching) และการประสานงานกับบุคคลที่เกี่ยวข้อง

มีการประเมินความเสี่ยงของโปรแกรมเพื่อปิดช่องโหว่ (patches) โดยก่อนการติดตั้งโปรแกรมต้องมีการทดสอบและประเมินผลกระทบที่อาจเกิดจากการติดตั้งโปรแกรมดังกล่าว

มีการทดสอบการบุกรุกระบบ (penetration test) กับระบบงานที่มีความสำคัญทุกระบบเมื่อมีการเปลี่ยนแปลงอย่างมีนัยสำคัญ

กระบวนการจัดการช่องโหว่ด้านเทคนิคต้องสอดคล้องกับกระบวนการจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ(incident management) เพื่อเตรียมความพร้อมรองรับกรณีที่ระบบถูกบุกรุกผ่านช่องโหว่ ทั้งนี้ ให้รวมถึงกรณีที่ตรวจพบช่องโหว่แต่ยังไม่สามารถหาวิธีปิดช่องโหว่ได้

มีการบันทึกและจัดเก็บหลักฐานเพื่อการตรวจสอบในการดำเนินการต่าง ๆ ที่เกี่ยวข้องกับการจัดการช่องโหว่ทางเทคนิค

6.การบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Incident Management)

วัตถุประสงค์

เพื่อให้เหตุการณ์และจุดอ่อนที่เกี่ยวข้องกับความมั่นคงปลอดภัยของระบบสารสนเทศได้รับการดำเนินการ

อย่างถูกต้อง มีประสิทธิภาพ ในช่วงระยะเวลาที่เหมาะสม

แนวทางปฏิบัติ

บริษัทต้องจัดให้มีขั้นตอนและกระบวนการบริหารจัดการเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ รวมทั้งกำหนดผู้มีหน้าที่รับผิดชอบซึ่งมีความรู้ความสามารถและประสบการณ์ โดยขั้นต่ำต้องมีการกำหนดขั้นตอนและกระบวนการดังต่อไปนี้
1. ประเมินเหตุการณ์หรือจุดอ่อนของมาตรการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศและพิจารณาว่าควรจัดเป็นเหตุการณ์และมีระดับความรุนแรงที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยของระบบสารสนเทศ

จัดให้มีบุคคลหรือหน่วยงานเพื่อทำหน้าที่รับแจ้งเหตุการณ์ (point of contact)และรายงานเหตุการณ์ต่อคณะผู้บริหารหรือผู้เกี่ยวข้องให้ทราบและดำเนินการต่อไป (escalation)

ดำเนินการเพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างมีประสิทธิภาพ เพื่อทำให้เหตุการณ์คลี่คลายหรือกลับสู่ภาวะปกติอย่างรวดเร็ว

รวบรวมและจัดเก็บหลักฐานทันทีที่เกิดเหตุการณ์ที่ส่งผลกระทบต่อระบบสารสนเทศที่มีความสำคัญอย่างมีนัยสำคัญ เช่น ก่อให้เกิดความเสียหายกับข้อมูลโดยคำนึงถึงประเด็นสำคัญต่าง ๆ เช่น มีกระบวนการการจัดเก็บอย่างมั่นคงปลอดภัย การกำหนดหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องการคัดเลือกบุคคลที่มีความรู้ความสามารถหรือมีประสบการณ์ด้านการรวบรวมและจัดเก็บหลักฐาน เพื่อวิเคราะห์ตรวจสอบและจัดทำเอกสารสรุปนำเสนอต่อบุคคลที่มีหน้าที่รับผิดชอบ เป็นต้น ทั้งนี้การรวบรวม จัดเก็บ และนำเสนอหลักฐานต้องสอดคล้องกับหลักเกณฑ์ของกฎหมายที่ใช้บังคับ

บันทึกและจัดเก็บหลักฐานการบริหารจัดการทุกขั้นตอน

รายงานให้ผู้ที่เกี่ยวข้องรับทราบถึงสถานการณ์และผลการบริหารจัดการ

วิเคราะห์ภายหลังเหตุการณ์ยุติแล้ว เพื่อระบุถึงสาเหตุของเหตุการณ์และเพื่อใช้ประโยชน์จากผลการวิเคราะห์ในการเตรียมความพร้อมรองรับเหตุการณ์ที่อาจเกิดขึ้นได้อีกในอนาคต

บริษัทต้องจัดให้มีการรายงานสถานการณ์ที่เกิดขึ้นอย่างรวดเร็วและทันต่อเหตุการณ์ ผ่านบุคคลที่ทำหน้าที่รับแจ้งเหตุการณ์ (point of contact) โดยให้ดำเนินการดังนี้
1. ร่างเนื้อหารายงานโดยประกอบไปด้วย วันเวลา เหตุการณ์ ผลกระทบที่คาดว่าจะเกิดขึ้น การดำเนินการแก้ไข ผลการแก้ไข ระยะเวลาในการแก้ไข สาเหตุที่เกิดปัญหา และแนวทางการป้องกันในอนาคต

รายงานผู้เกี่ยวข้องเมื่อทราบเหตุการณ์ที่อาจส่งผลกระทบต่อความมั่นคงปลอดภัยเช่น

พบช่องโหว่ในการควบคุมความมั่นคงปลอดภัย (ineffective security control)
เกิดเหตุการณ์ที่อาจส่งผลกระทบต่อการรักษาความลับ (confidentiality)
ความถูกต้องครบถ้วน (integrity) และสภาพพร้อมใช้งาน (availability) ของระบบสารสนเทศ
ข้อผิดพลาดจากการปฏิบัติงาน(human errors)
การบุกรุกด้านกายภาพ (breaches of physical security arrangements)
การปฏิบัติงานที่ไม่เป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (non-compliances with policies)
การเปลี่ยนแปลงระบบปฏิบัติการหรือชุดคำสั่งที่ควบคุมระบบงานโดยไม่ได้รับอนุญาต (uncontrolled system changes)
การทำงานผิดพลาดของโปรแกรมและอุปกรณ์คอมพิวเตอร์ (malfunctions of software or hardware)
และการเข้าถึงโดยไม่ได้รับอนุญาต (access violations)

จัดให้มีการรายงานความคืบหน้าในการบริหารจัดการสถานการณ์และผลการบริหารจัดการเป็นระยะ และเมื่อเหตุการณ์ยุติแล้ว

7.นโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Policy)

วัตถุประสงค์

เพื่อป้องกันการละเมิดกฎหมาย หลักเกณฑ์ของทางการ และข้อกำหนดตามสัญญาต่าง ๆ ที่เกี่ยวข้องกับ

การรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ

CONTACT US

89, 91 Ban Kluai Nuea Alley, Khlong Tan Nuea, Watthana, Bangkok 10110

Tel. :
081-116-2399 (แนน)
085-1838984 (นุ้ก)

E-mail :
nan@myworkforce.io
nook@myworkforce.io