iso/iec 27001...
DESCRIPTION
ÂTRANSCRIPT
ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม
สารบญ
ความเปนมา 3 ISO/IEC 27001 Requirement & Control 21 Clause & Anex in ISO 27001 26 ขอแตกตางระหวางISO 2000:2005:2013 161 ขอมลอางอง 165
2
3
รจก ISO / IEC 27001 มาตรฐาน ISO / IEC 27001 เปนมาตรฐานสากลส าหรบขอมลหรอการจดการความปลอดภย ไดแสดงวธเพอวางในต าแหนงระบบการจดการความปลอดภยของขอมลการประเมนอยางเปนอสระพรอมรบการรบรอง ชวยใหคณสามารถแกปญหาของ 'ความปลอดภยของขอมลคออะไร? จะชวยใหคณไดอยางมประสทธภาพการรกษาความปลอดภยขอมลทางการเงนและเปนความลบทงหมดเพอลดโอกาสทของมนถกเขาถงอยางผดกฎหมายหรอไมไดรบอนญาต ประโยชนของ ISO 27001 >> ระบความเสยงและการเขาควบคมการจดการเพอลดความเสยง >> น าความยดหยนเขามามบทบาทในการควบคมหรอพฒนาธรกจ >> ลกคาไววางใจจากการทขอมลมความปลอดภย
4
ความเปนมากวาจะมาเปน ISO27001
• ISO ยอจาก International Organization for Standardization
• ISO กอตงตงแตป 1947
• ครงแรกของงานดานความปลอดภยเกดจาก BS 7799 ทก าหนดตงแตป 1993 ของรฐบาลองกฤษ
• สองปหลงจากนน (1995) ไดประกาศเปนมาตรฐานกบหนวยงานซอขาย และอตสาหกรรม
• ซง BS 7799 ไดพฒนาปรบปรงตอเนองมาเรอยจนถงป 2005
• ในเดอนธนวาคม ป 2000 BS7799 ไดถกท าเปนมาตรฐาน ISO 17799
5
กวาจะมาเปน ISO27001 (ตอ)
• ISO/IEC 17799:2000
– Code of Practice for Information Security Management
• BS 7799-2:2002
– Specification for Information Security Management Systems
• ISO/IEC 27000 Series (2005) ประกาศเดอนตลาคม
• ISO/IEC 27001 (2013) ประกาศเดอนกรกฎาคม เวอรชนราง
6
7
DoD Directive 5200.28
GMITS ( ISO/IEC
TR 13335-3, 1998)
TCSEC ( Orange Book )
ITSEC
Common Criteria
ISO/IEC 13335 MICTS
(management of ICT
security)
SSE-CMM
ISO/IEC 18028
(network security)
ISO/IEC 17799
( code of practice)
BS7799
TNI ( Red Book)
1985
1987
1990
1996,
ISO=1999
1996,
ISO=2002
2001/2005
1995,1999
1996-2001
2004-2006
ISO/IEC 27000 series
ISMS (management system)
2005
ISO
US EU 1972
โครงสรางของเอกสาร ISO 27001
8
27000 Fundamentals & Vocabulary
27001:ISMS requirement
27003 Implementation Guidance
27002 Code of Practice for ISM
27004 Metrics & Measurement
27005
Risk Management
27006 Guidelines on ISMS accreditation
Introduction to ISMS Standards
• มาตรฐานภายใต ISO 27000-Series ทงหมด พฒนาขนโดยความรวมมอของ The International Organization for Standardization (ISO) และ The International Electrotechnical
Commission (IEC)
• ชดมาตรฐาน 27000-Series นนไดถกออกแบบมาใหเปน “Good Practices” และ “International Standards” ส าหรบเรองการบรหารจดการระบบความมนคงปลอดภยสารสนเทศ หรอ “Information Security
Management System” (ISMS)
• โดยเปรยบไดกบแนวคดการออกแบบระบบ Quality Assurance ไดแก ISO 9000 Series หรอ ระบบทเกยวกบการพทกษสงแวดลอม ไดแก ISO 14000 Series
9
Introduction to ISMS Standards
ในปจจบนทางหนวยงาน ISO และ IEC ไดออกชดมาตรฐานการบรหารจดการความมนคงปลอดภยสารสนเทศอยางเปนทางการ ดงน
• มาตรฐาน ISO/IEC 27000:2009 ISMS Overview and Vocabulary
• มาตรฐาน ISO/IEC 27001:2005 ISMS Requirements
• มาตรฐาน ISO/IEC 27002:2005 Code of Practice for ISM
• มาตรฐาน ISO/IEC 27003:2010 ISMS Implementation Guideline
• มาตรฐาน ISO/IEC 27004:2009 ISMS Metrics and Measurement
• มาตรฐาน ISO/IEC 27005:2008 Information Security Risk Management
• มาตรฐาน ISO/IEC 27006:2007 Requirements for Certification Body
• มาตรฐาน ISO/IEC 27011:2008 ISM Guidelines for Telecommunications
• มาตรฐาน ISO/IEC 27799:2008 ISM Guidelines for Health informatics
10
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27000:2009 “ภาพรวมและนยามศพท” “Information technology - Security techniques - Information
security management systems - Overview and vocabulary”
ภาพรวมของ ISO 27000-Series และ ค าศพททควรร • มาตรฐาน ISO/IEC 27001:2005, ISO/IEC 27001:2013 “ขอก าหนดเพอ
ขอรบรอง” “Information technology - Security techniques - Information
security management systems - Requirements”
(มาตรฐาน ISO/IEC 27001 ถกพฒนามาจาก BS7799 Part 2) ขอก าหนดดานความมนคงปลอดภยสารสนเทศทตอง (Shall) ปฏบต เพอสามารถน าไปสการ
ไดรบรองมาตรฐานระบบบรหารจดการความมนคงปลอดภยสารสนเทศ หรอ ISMS โดยหนวยงานทมหนาทตรวจประเมนและออกใบรบรอง เชน BV และ Tuv- Nord
11
Introduction to ISMS Standards
• มาตรฐาน ISO/IEC 27002:2005 “แนวปฏบต” “Information technology — Security techniques — Code of
practice for information security management”
(พฒนามาจาก ISO/IEC 17799:2005 ซงมาจากมาตรฐาน BS7799 Part 1) แนวทางในการจดท ามาตรการรกษาความมนคงปลอดภยสารสนเทศ ใหสอดคลองกบการ
จดท าระบบ ISMS ตามขอก าหนดจากมาตรฐาน ISO/IEC 27001:2005 ซงจะเนนถง “Good Practices” ท ควร (Should) ปฏบต โดยไมไดบงคบเขมงวด
ประเทศตาง ๆ ทวโลกไดน ามาตรฐาน ISO/IEC 27002 ไปปรบเปนมาตรฐานของประเทศตนเอง เวอรชนลาสดของ ISO/IEC 27002 คอ ISO/IEC 27002:2005 (ออกในเดอนกรกฎาคม 2007 ทดแทน ISO/IEC 17799:2005 Part 1)
12
Introduction to ISMS Standards
• มาตรฐาน ISO/IEC 27003:2010 “แนวทางด าเนนการ” “Information technology - Security techniques - Information
security management systems implementation guideline”
มาตรฐานสนบสนนเพอใชเปนแนวทางในการด าเนนการจดท าระบบ ISMS ประกอบดวยแนวทางในการจดท าตามขอก าหนดตามมาตรฐานเพอขอประเมนรบรอง
• มาตรฐาน ISO/IEC 27004:2009 “การวดประสทธผล” “Information technology - Security techniques – Metrics and
Measurement for Information security management systems” มาตรฐานสนบสนนเพอใชเปนแนวทางในการก าหนดเกณฑและการวดผลสมฤทธหรอ
ประสทธผล (Effectiveness) ของมาตรการรกษาความมนคงปลอดภยทใชในระบบ ISMS
13
Introduction to ISMS Standards
• มาตรฐาน ISO/IEC 27005:2008 “การบรหารความเสยง” “Information technology - Security techniques - Information
security risk management”
เปนมาตรฐานใหมดานการบรหารความเสยงส าหรบดานความมนคงปลอดภยสารสนเทศโดยเฉพาะ (Information Security Risk Management) ซงปรบปรงมาจาก ISO/IEC 13335-3 และ ISO/IEC 13335-4 รวมทงอางองมาจากมาตรฐาน “Risk
Management Guide for Information Technology Systems” (NIST SP 800-30) แตจะมมมมองทางดาน Information Security โดยเฉพาะ ซงเหมาะส าหรบเปนแนวทางในการประเมนความเสยง (Risk Assessment) สอดคลองตามขอก าหนดของมาตรฐาน ISO/IEC 27001:2005 และตามแนวปฏบต ISO/IEC 27002:2005
14
Introduction to ISMS Standards
• มาตรฐาน ISO/IEC 27006:2007 “ขอก าหนดการตรวจประเมน” “Information technology - Security techniques - Requirements
for bodies providing audit and certification of information security management systems”
เปนแนวทางในการตรวจประเมนส าหรบ Certification Body (CB) เพอใหอยบนมาตรฐานเดยวกน ผตรวจและผถกตรวจควรศกษาถงมาตรฐาน ISO/IEC 27006:2007 เสยกอนท าการตรวจประเมน เปรยบเสมอนการรโจทยทตองตอบค าถามจากทางผตรวจประเมน ท าใหโอกาสในการผานการตรวจประเมนนนเพมมากขน และลดปญหาในการเตรยมความพรอมในการตรวจประเมนอกดวย
15
Introduction to ISMS Standards • มาตรฐาน ISO/IEC 27011:2008 “แนวปฏบตส าหรบบรษทโทรคมนาคม”
“Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002” (ISMS for Telecom)
มาตรฐานทเปนแนวปฏบตในการบรหารจดการความมนคงปลอดภยสารสนเทศส าหรบกลมองคกรทเกยวกบดาน Telecommunication (เชน บรษทผใหบรการโทรศพท เคลอนท) โดยมการอางองแนวปฏบตมาจากมาตรฐาน ISO/IEC 27002:2005
• มาตรฐาน ISO/FDIS 27799:2008 “แนวปฏบตส าหรบสถานพยาบาล” “Health informatics - Information security management in
health using ISO/IEC 27002” (ISMS for HealthCare) มาตรฐานทเปนแนวปฏบตในการบรหารจดการความมนคงปลอดภยสารสนเทศส าหรบกลม
องคกรดาน HealthCare (เชน โรงพยาบาล) โดยมการอางองแนวปฏบตมาจากมาตรฐาน ISO/IEC 27002:2005 เชนกน
16
Introduction to ISMS Standards ส าหรบมาตรฐานทอยในระหวางการพฒนาและคาดวาจะประกาศใชในเรว ๆ น ไดแก
• มาตรฐาน ISO/IEC 27007 มาตรฐานทเปนแนวทางในการตรวจสอบภายในองคกรและตรวจประเมน ISMS โดยเนนตรวจท
กระบวนการพฒนาระบบบรหารจดการส าหรบ “ISMS” (เพมเตมมาจากมาตรฐาน ISO 19011
ซงถกน ามาใชกบ Management System ทวไปทไมไดเฉพาะเจาะจงวาเปน ISMS)
• มาตรฐาน ISO/IEC 27008 มาตรฐานทเปนแนวทางในการตรวจประเมนมาตรการรกษาความมนคงปลอดภยสารสนเทศ (133
Controls) ขององคกรทจดท าระบบ ISMS น ามาใชไดอยางถกตองและมประสทธผล
• มาตรฐาน ISO/IEC 27014 มาตรฐานทเปนแนวทางในการบรหารและก ากบดแลทดดานความมนคงปลอดภยสารสนเทศส าหรบ
องคกร “Information Security Governance” เปนการขยายขอบเขตและความรบผดชอบของการบรหารจดการความมนคงปลอดภยสารสนเทศ 17
Introduction to ISMS Standards
• มาตรฐานสากลทเกยวกบการรกษาความมนคงปลอดภยสารสนเทศทไดรบความนยมมากทสด และ เปนทรจกทวโลกในเวลาน ไดแก
มาตรฐาน ISO/IEC 27001:2005
มาตรฐาน ISO/IEC 27002:2005 (ชอเดมคอ ISO/IEC 17799:2005)
• มองคกรในหลายประเทศทวโลกกวา 6,500 องคกร ทไดรบการรบรองมาตรฐาน ISO/IEC
27001:2005 จากหนวยงานทมหนาทรบรองระบบการบรหารจดการความมนคงปลอดภยขอมลขององคกร หรอ ทรจกกนในนาม “Certification Body” (CB)
• ดขอมลไดจาก Web Site www.iso27001certificates.com ซงในประเทศไทยมจ านวน 34 องคกรทไดรบการรบรองมาตรฐานดงกลาว (as of July 2010) โดยถาเทยบกบประเทศญป นทมจ านวนองคกรไดรบการรบรองมาตรฐาน ISO/IEC 27001:2005 มากทสดในโลกกวา 3,500 องคกร ซงยงถอวาประเทศไทยของเราเพงจะเรมตนเทานน (อยในอนดบ 17 จากทกประเทศทมองคกรไดรบการระบบ ISMS)
18
History of ISMS Standards
19
มาตรฐานชด 27000: ISMS Family of Standards Relationship
20
Legend
27003ISMS Implementation
Guideline
27004ISMS Metrics and
Measurements
27005Risk Management
Source: modified from “ISMS Family of Standards Relationship”, www.iso.org/iso/
ISMS CertificationISO/IEC 17799:2005
27001ISMS Requirements
27002Code of Practice
27007ISMS Auditing Guidelines
27010ISMS for Inter-Sector
Communications
27008Guidance on Auditing
Information Security Controls
27012ISMS for e-Government
27013Integrated Implementation of
ISO20000 & ISO27001
27014Information Security
Governance
27015Financial & Insurance Sector
ISMS Requirements
27031ICT-Focused Standard on
Business Continuity
27032Guidelines for Cyber
Security
27034Guidelines for
Application Security
27035Security Incident
Management
27036Guideline for Security of
Outsourcing
27037Guideline for Digital
Evident
27799Health Informatics
27033-1IT Network Security
27011Telecommunication
Organizations
27006Certification Body
Requirements
General RequirementsTerminology General Guidelines Sector-Specific Guidelines(mandatory)
Existing Standards
ISO/IEC 27002:2005
ISO/IEC 27006:2007
ISO/IEC 27005:2008
ISO/IEC 27011:2008
Informative
( Guideline )
( Code of Practices )Standards
Normative
( Requirements )
( Specifications )
Standards
Informative
( in Progress )
ISO/IEC 27001:2005
Update: Mar. 2010
27000Overview and
Vocabulary
ISO/FDIS 27799:2008
ISO/IEC 27000:2009
ISO/IEC 27003:2010
ISO/IEC 27004:2009
ISO/IEC 27033-1:2009
Fixed line support
22
8.2 Corrective action
8.1 Continual improvements
8.3 Preventive action
7.2 Review input
7.1 General
7.3 Review output
1.2 Application
1.1 General
0.2 Process Approach
0.1 General
0.3 Compatibility with other Mgt Systems
4.3.2 Control of Documents
4.3.1 General
4.3.3 Control of Records
5.2.2 Training Awareness & Competence
5.2.1 Provision of Resources
5.2 Resource Management
5.1 Management Commitment
ISO/IEC 17799:2005, Information technology –Security techniques – Code of practice
for information security management
P D C A Model
ISMS 11 Domains, 39 Control Objectives, 133 Controls
4.2 Establishing & Managing the ISMS
4.1 General Requirements
4.3 Documentation Requirements
4.2.1 Establish the ISMS
4.2.2 Implement & Operate ISMS
4.2.3 Monitor & Review ISMS
4..2.4 Maintain & Improve ISMS
ISMS Requirements
Clause 0 Introduction
Clause 1 Scope
Clause 2 Normative References
Clause 3 Terms and Definitions
Clause 4 Information Security Mgt System
Clause 5 Management Responsibility
Clause 6 Internal ISMS Audits
Clause 7 Management Review of the ISMS
Clause 8 ISMS Improvements
Annex A Control Objectives and Controls
P D C A Model
ISO/IEC 27001
23
Annex A: ISMS Domains & Control Objectives
A5.1 Information security policy
A.14.1 Info sec aspects of business continuity mgt
A.6.1 Internal organization
A.6.2 External parties
A.7.1 Responsibility for assets
A.7.2 Information classification
A.9.1 Secure areas
A.9.2 Equipment security
A.8.1 Prior to employment
A.8.2 During employment
A.8.3 Termination or change
A.10.1 Operational procedures & responsibilities
A.10.2 Third party service delivery management
A.10.3 System planning and acceptance
A.10.4 Protection against malicious & mobile code
A.10.5 Back-up
A.10.6 Network security management
A.10.7 Media handling
A.10.8 Exchange of information
A.10.9 Electronic commerce services
A.10.10 Monitoring
A.13.1 Reporting info sec events & weaknesses
A.13.2 Mgt of info sec incidents and improvements
A.15.1 Compliance with legal requirements
A.15.2 Compliance with security policies, technical
A.15.3 Info systems audit considerations
A.11.1 Business requirements for access control
A.11.2 User access management
A.11.3 User responsibilities
A.11.4 Network system access control
A.11.5 Operating system access control
A.11.6 Application & information access control
A.11.7 Mobile computing and teleworking
A.12.1 Security requirements of info systems
A.12.2 Correct processing in application
A.12.3 Cryptographic controls
A.12.4 Security of systems filesA.12.5 Security in develop & support processes
A.12.6 Technical vulnerability management
A.5 Information Security Policy
A.6 Organization of Information Security
A.7 Asset Management
A.8 Human Resources Security
A.9 Physical and Environmental Security
A.10 Communications & Operations Management
A.11 Access Control
A.12 Info System Acquisition, Development, MA
A.13 Information Security Incident Management
A.14 Business Continuity Management
A.15 Compliance
ISO/IEC 27001
Information Security Management System (ISMS)
Control
Objectives Controls ISMS Domains: ISO 27002
Code of Practices
ISO 27001
Requirements
- - General, Terms, Specifications Clause 1 - 4 Clause 1 - 8
1 2 1. Security Policy Clause 5 A.5
2 11 2. Organization of Information Security Clause 6 A.6
2 5 3. Asset Management Clause 7 A.7
3 9 4. Human Resource Security Clause 8 A.8
2 13 5. Physical and Environmental Security Clause 9 A.9
10 32 6. Communications and Operations Management Clause 10 A.10
7 25 7. Access Control Clause 11 A.11
6 16 8. Information Systems Acquisition, Development, Maintenance Clause12 A.12
2 5 9. Information Security Incident Management Clause 13 A.13
1 5 10. Business Continuity Management Clause 14 A.14
3 10 11. Compliance Clause 15 A.15
39 133 Total 11 Domains Source: ISO/IEC 27001:2005, ISMS Requirements, Annex A
ISO/IEC 27002:2005 (ISO17799:2005), Code of Practices
24
ISMS Control Domains
25
ISO/IEC 27001 ISMS Requirements, Annex A
ISO/IEC 27002 Code of Practice, Clause 5-15
A.5 Security Policy
A.6 Organization of Information Security
A.7 Asset Management
A.8
Human
Resources Security
A.9
Physical and
Environmental Security
A.10
Communications
and Operations Management
A.12
Information Systems
Acquisition,
Development, and Maintenance
A.11 Access Control
A.13 Information Security Incident Management
A.14 Business Continuity Management
A.15 Compliance
26
Clause 1 in ISO27001
Scope
1.1 General
1.2 Application
Clause 2 in ISO27001 Normative references
27
Clause 3 in ISO27001
Terms and definitions 3.1 Asset
3.2 Availability
3.3 Confidentiality
3.4 Information security
3.5 Information security event 3.6 Information security incident 3.7 Information security management system
3.8 Integrity
28
3.9 Residual risk
3.10 Risk acceptance
3.11 Risk analysis
3.12 Risk assessment
3.13 Risk evaluation
3.14 Risk management
3.15 Risk treatment
3.16 Statement of applicability
29
Clause 4 in ISO27001
Information Security Management System 4.1 General requirements (PDCA)
4.2 Establishing and managing the ISMS
- BIA
- Policies
- Risk Assessment>Risk Treatment
- Implement & Operate
- Maintenance and Report
- Improvement
4.3 Documentation requirements
30
4.3 Documentation requirements
• Documented statements of the ISMS policy (see 4.2.1b) and objectives
• Scope of the ISMS (see 4.2.1a) > BIA
• Procedures and controls in support of the ISMS;
• Risk Assessment & Report
• Risk treatment plan (see 4.2.2b)
31
Clause 5 in ISO27001
Management responsibility
5.1 Management commitment
5.2 Resource management
Clause 6 in ISO27001 Internal ISMS audits
32
Clause 7 in ISO27001
Management review of the ISMS
7.1 General
7.2 Review input
7.3 Review output
33
Clause 8 in ISO27001
ISMS improvement
8.1 Continual improvement
8.2 Corrective action
8.3 Preventive action
34
Annex A in ISO27001
Control objectives and controls
A.5 Security policy
A.6 Organization of information security
A.7 Asset management
A.8 Human resources security
35
A.9 Physical and environmental security
A.10 Communications and operations management
A.11 Access control
A.12 Information systems acquisition, development and maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance
36
A.5 Security Policy (1) A.5.1 Information security policy
Objective: to provide management direction and support for information security in accordance with business requirements and relevant laws and regulations.
Management should set a clear policy direction in line with business objectives and demonstrate support for, and commitment to, information security through the issue and maintenance of an information security policy across the organization.
A.5.1.1 Information security policy
A.5.1.2 Review of the information security policy
37
การจดท านโยบายดานความปลอดภย
• General Policy – Acceptable Use Policy > Communication with Users
– Data Security Policy > Privacy, Web Privacy
• Specific Policy – Cryptography Policy
– Virus Policy
– E-mail Policy
– Access Control Policy >> Password
– Intranet/Extranet Policy >> Firewall, IDS/IPS, Wireless, Mobile
– Internet Policy
– System Development Policy
– Physical and Environmental Policy
– Compliance Policy
38
การอบรมสรางความตระหนกดานความปลอดภย
• การอบรม – นโยบายภายในองคกร และกฎหมาย
– อาชญากรรม และภยคกคาม
– แนวโนมเทคโนโลย
• การประกาศผานแผนพมพ – Policies > แนวคด และเปาหมาย
• E-mail, ประกาศในเวบบอรด • สอสารเปนบคคล • จดเปนสมมนา หรอ Roadshow
39
การตรวจสอบภายในระบบบรหารจดการความมนคงปลอดภย
• การตรวจสอบภายในเปนกระบวนการทมความจ าเปนเพอ – ใหเกดความโปรงใส
– เพมประสทธภาพการด าเนนการ
– ใหผบรหารทราบถงผลกระทบในปจจบน
• สงทจ าเปนส าหรบการตรวจสอบภายใน – จรรยาบรรณผตรวจสอบภายใน
– ความสามารถของการด าเนนการ และเครองมอทชวยในการด าเนนการ
– ความเขาใจ ความพรอมของทมงาน
40
การทบทวนระบบบรหารจดการความมนคงปลอดภยโดยผบรหาร
• เมอผตรวจสอบภายในด าเนนการส ารวจตองมการจดท าแผนการด าเนนการแกไข
• ผบรหารจะรบทราบถงระดบความเสยง และสถานะปจจบนขององคกร
• การวางแผนยทธศาสตร และแผนกลยทธเพอแกไขปญหาทไดทราบ และการจดเตรยมงบในการด าเนนการ
41
การด าเนนการเพอบ ารงรกษาหรอปรบปรงระบบบรหารจดการความมนคงปลอดภย
• การด าเนนการตรวจสอบตองด าเนนการอยางตอเนองโดยระยะแรกอาจจะด าเนนการถ แลวด าเนนการตามรอบทระบ
• ตรวจสอบความพรอม – กระบวนการ
– บคลากร
– เทคโนโลย
42
A.6 Organization of information security (2)
A.6.1 Internal organization
Objective: To manage information security within the organization.
Management should approve the information security policy, assign security roles and co-ordinate and review the implementation of security across the organization.
43
Responsibility
• Security Officer รางนโยบาย และระเบยบในการด าเนนการดานนโยบายความมนคงปลอดภยสารสนเทศ
• CSO+ ISM Committee* เขาตรวจสอบดความเหมาะสมของเนอหา และทบทวนการอพเดตสงตางๆทเกดขนหลงจากทมการใชนโยบายไปแลว
• Top Executive ผอนมตนโยบายดานความมนคงปลอดภยสารสนเทศ • Public Relation เปนผจดอบรม สอสารใหพนกงานเขาใจเกยวกบนโยบายดานความ
มนคงปลอดภยสารสนเทศ • All Employees & External Party รบทราบ และปฏบตตามกรอบทองคกรระบไว
• ISM Committee (5-20 คน) อยางนอย
– IT Head, CSO, SO, Legal, PR, Department Heads (or authorized person)
44
A.6.1 Internal Organization A.6.1.1 Management commitment to information security
A.6.1.2 Information security co-ordination
A.6.1.3 Allocation of information security responsibilities
A.6.1.4 Authorization process for information security processing facilities
A.6.1.5 Confidentiality agreements
A.6.1.6 Contact with authorities
A.6.1.7 Contact with special interest groups
A.6.1.8 Independent review of information security
45
A.6 Organization of information security
• ประกอบดวย 2 ขอใหญ 11 ขอยอย – Internal (8)
– External (3)
Security Officer
CEO
CIO
Sys &Net Dev.
CSO
SO
Man Money Material
46
Information security Coordination
ISM Committee
IT Head
Security Officer
Contact list or Organization chart
47
Assign security
CEO
CIO
Sys &Net Dev.
CSO
SO
IT Audit Admin
+Security
+Security +Sec
urity +Security
+Security
+Security All Employees + External Contact
(Acceptable Use Policy) 48
Corrective Action Plan
CEO
CIO
Sys &Net Dev. CSO
IT Audit Admin
ISM Committee
49
NDA
NDA
Signed
Information Owner
End User (Internal & External) 50
Business Contact list
Contact List
Company name Type (Personal, Corp.) Fiscal (Corp) Employees (No) Contact Name Contact number
Contact List
Government
Contact List
Contact List
51
Risk Assessment for External attack
External Risk
Person
Threat
IT Control
ขโมยของ ถายรปภาพ ตดตงโปรแกรมดกฟงขอมล แอบใชเครอขาย ขโมยขอมลในองคกร
ผ เยยมชม ญาตมตร ทปรกษา พนกงานชวคราว พนกงานจดจางชวคราว พนกงานท าความสะอาด
ระบบ Access Control Entry ตงกลองวงจรปด ตดตงระบบเขาพนท บคลากรภายนอกตองอยในพนทควบคม หรอดแลไดจากพนกงาน 52
A.6 Organization of information security (2)
A.6.2 External parties
Objective: To maintain the security of the organization’s information and information processing facilities that are accessed, processed, communicated to, or managed by external parties.
A.6.2.1 Identification of risks related to external parties
A.6.2.2 Addressing security when dealing with customerers
A.6.2.3 Addressing security in third party agreements
53
การระบขอก าหนดส าหรบบคคลภายนอก
• วเคราะหความเสยง • กระบวนการเขาถงระบบทงหมดตองมการควบคมการเขาถง, มการระบชนดการเขาถงทรพยากร เชน
Physical, Logical, Network, Off-site, ประเมนมลคาขอมล และความส าคญตอธรกจ, มการปองกนขอมลจากบคคลภายนอก, มการรบมอตอบคคลทเกยวของตอสารสนเทศองคกร
• กรณทเขาถงขอมลขอมลตองมการตรวจสอบการมอบหมาย และควรดแลอยางรดกม, การก าหนดกรอบควบคมตอการจดจางกลมงานภายนอกในการจดเกบ การด าเนนการ, การสอสาร และการแชรขอมล, ตรวจสอบผลกระทบตอการเขาถงของกลมงานภายนอกทไดรบขอมลทผดพลาด หรอท าใหเขาใจผด,
• ท าการเขยนขนตอนด าเนนงานตอการรบมอปญหาของการท าลาย หรอพจารณากบเทอมการวาจางกรณทเกดเหตผดปกตขน, ฝายกฎหมายเขามามสวนรวมในเงอนไขสญญา ทเกยวของกบกลมงานภายนอก
• มการรบมอตอกลมทเกยวของอนทมผลตอการด าเนนงาน สรปตองมการระบความเสยงของกลมงานภายนอกตางๆ และควรยดหลกการปองกนระบบกอนทจะมการจดท า Control เพอรบมอ
54
การระบขอก าหนดส าหรบบคคลภายนอกทเปนลกคา
• ค าอธบายบรการ และผลตภณฑทลกคาพงไดรบ
• การก าหนดนโยบาย Acceptable Use Policy, Privacy Policy,
Web Privacy Policy
• การสอสาร และสรางความตระหนกตองานดานความปลอดภย
• จดท ารายงานการแจงเตอน
55
การระบขอก าหนดส าหรบผใหบรการภายนอก
• เพอใหเขาใจตรงกนระหวางองคกรกบกลมงานภายนอกควรจะมการระบ นโยบายดานความมนคงปลอดภยสารสนเทศ รวมถงเขยนกระบวนการปองกนทรพยสน ซงระบ HW,SW มการเขยนกรอบควบคมปองกนทาง Physical, ปองกนไวรส หรอโคดมงราย
• เขยนขนตอนปฏบตในการท าใหขอมล หรอทรพยสนเสยหาย และมเงอนไขด าเนนการอยางชดเจน ยดกรอบ CIA และมการใช confidential agreement
• มการฝกอบรม และสรางความตระหนกตอความรบผดชอบ และการโอนถายพนกงานทเหมาะสม
• ก าหนดความรบผดชอบตอระบบ HW/SW ทตองบ ารงรกษา • มการเขยนรายงานอยางเปนระบบ • มการกระบวนการจดการ Change Management • มนโยบาย Access control ทครอบคม การเขาถง การตรวจสอบตวตน สทธ บรการ และ
การยกเลกสทธ
56
การระบขอก าหนดส าหรบผใหบรการภายนอก (ตอ)
• มการจดท ารายงานในการตรวจสอบ แจงเตอนเหตการณผดปกตดานความปลอดภย • มการแบงชนความลบ และการด าเนนตามทระบ • มการระบระดบทยอมรบได และมการตรวจสอบเฝาด รายงาน มการยกเลกสทธกรณท
ด าเนนการไมเหมาะสม • มทมตรวจสอบการด าเนนการวาเปนไปตาม Agreement หรอไม, และมการยกระดบ
ปญหา และการแกปญหา • มการตกลงรวมกนในการด าเนนการตามแผนธรกจตอเนอง • มการก าหนดขอตกลงในการด าเนนการทสอดคลอง และถกตองตอกฎหมาย และการ
ปองกนทรพยสน รวมถงทรพยสนทางปญญา เงอนไขทระบตอหนวยงานภายนอกจะสงผลตอ subcontract ดวย
• มการจดท าขอตกลงใหม เพอใหครอบคลมงานของการวางแผนปญหา และสถานะทรพยสนในปจจบน
57
A.7 Asset management (2)
A.7.1 Responsibility for assets
Objective: To achieve and maintain appropriate protection of organizational assets.
A.7.1.1 Inventory of assets
A.7.1.2 Ownership of assets
A.7.1.3 Acceptable use of assets
A.7.2 Information classification
Objective: To ensure that information receives an appropriate level of protection
A.7.2.1 Classification guidelines
A.7.2.2 Information labeling and handling
58
การจดท าบญชทรพยสน
บญช
Information Owner
50 Clients
2 Server
Core switch Hardware -Server 100000 x2 -Core switch 100000 -Clients 50x25000 Software -License
BIA
Logical -Data Classification
Authorization
Matrix Backup & Restore Site Redundancy
Cost
59
Data Classification
Secret
Confidentiality
Internal Use Only
Public
Encryption Destroy Move/Copy
Encrypt > Store Transfer
Encrypt > Store Transfer
Not Necessary
Not Necessary
Secure
Secure
Not Necessary
Not Necessary
Approved by Owner
Approved by Owner
Approved by Owner
Public
60
Labeling
• Hardcopy
– Stamper or Sticker
• Softcopy
– E-mail > Sensitivity > Encryption
– File > Selected O.S. Encryption file system, Labeling (File Name), Attributes, Software control in Database
61
การควบคมทรพยสนองคกร
• การระบพนทความเสยง – หองคอมพวเตอร
– หนวยงานทด าเนนการในระบบทส าคญ
• ก าหนดนโยบาย และขนตอนปฏบตเพอระบความชดเจนในการด าเนนงาน – ก าหนดผ รบผดชอบในบรเวณ และการตรวจสอบมเดย
– การน ามเดยเขาพนทความเสยงตองถกตรวจสอบ และอนมตทงการน าเขา และออก
– มเดยทน าเขาตองปฏบตตามขนตอนทระบไวเทานน
– กรณทมการน ามเดยเขาไปในสถานทด าเนนการจะตองมการเฝาด หรอบนทกกจกรรมทด าเนนการทกครง
62
A.8 Human resources security (3)
A.8.1 Prior to employment
Objective: To ensure that employees, contractors and third party users understand their responsibilities, and are suitable for the roles they are considered for, and to reduce the risk of theft, fraud or misuse of facilities.
A.8.1.1 Roles and responsibilities
A.8.1.2 Screening
A.8.1.3 Terms and conditions of employment
63
กอนวาจาง
• Position ชอต าแหนง มทมงานกคน ใครเปนผบงคบบญชา
• Job Description ค าอธบายลกษณะงานโดยหลก
• Job Function ค าอธบายหนาทรบผดชอบในแตละระบบ หรอแอพพลเคชน
• Qualification คณสมบต
JD
Organization Chart
64
การตรวจสอบพนเพ
• ตรวจสอบจากจดหมายรบรอง ประวตการท างาน
• วฒการศกษา
• บคคลหรอบรษททสามารถอางองได
• การผานการอบรม
• ความรบผดชอบ (ระดบดานความปลอดภย) – ตองพจารณากฎหมาย ระเบยบ จรยธรรม
– ชนความลบของทรพยสนสารสนเทศ
– ระดบความเสยงในการเขาถง ประกอบการคดเลอกดวย
65
เทอมในการจดจาง
• ใหพนกงานรบทราบนโยบายดานความมนคงปลอดภยสารสนเทศ รวมถงสทธทมไดในการใชระบบ
• กรณทเปนผ มสวนตอขอมลส าคญในต าแหนงส าคญตองมการเซนการไมเปดเผยความลบ
NDA Security Policy
Acceptable Use Policy
66
A.8 Human resources security (3)
A.8.2 During employment
Objective: To ensure that all employees, contractors and third party users are aware of information security threats and concerns, their responsibilities and liabilities, and are equipped to support organizational security policy in the course of their normal work, and to reduce the risk of human error.
A.8.2.1 Management responsibilities
A.8.2.2 Information security awareness, education and training
A.8.2.3 Disciplinary process
67
ระหวางวาจาง
• ตรวจสอบวาพนกงานปฏบตตามนโยบายทองคกรก าหนดไวหรอไม
• ตรวจสอบวาพนกงานปฏบตตามขนตอนปฏบตทก าหนดไวหรอไม
• จดการอบรมใหกบพนกงานเพอรบทราบเกยวกบงานดานความมนคงปลอดภยสารสนเทศ เชน Security awareness Training หรอมการตดโปสเตอรประชาสมพนธอยเปนระยะ
• การลงโทษ (อยในนโยบายดานความมนคงปลอดภย และกฎระเบยบองคกร)
NDA
Security Policy
Acceptable Use Policy
68
A.8 Human resources security (3)
A.8.3 Termination or change of employment
Objective: To ensure that employees, contractors and third party users exit an organization or change employment in an orderly manner.
A.8.3.1 Termination responsibilities
A.8.3.2 Return of assets
A.8.3.3 Removal of access rights
69
การสนสดการวาจาง
• สญญาตองระบตงแตวนรบสมครเขาท างาน
• ก าหนดใหแจงการสนสดวนท างาน
• ทนททพนกงานหมดสญญา หรอสนสดการวาจาง ผบงคบบญชาตองแจงใหกบฝายทรพยากรบคคลรบทราบในวนนน
• ฝายทรพยากรบคคลตองแจงใหกบหนวยดานสารสนเทศทราบภายใน 2-3วนหลงยตการวาจาง เพอใหน ารายชอ User account, e-mail, Internet account เปนตน
• จดคนทรพยสน
70
A.9 Physical and environmental security (2)
A.9.1 Secure areas
Objective: To prevent unauthorized physical access, damage and interference to the organization’s premises and information.
A.9.1.1 Physical security perimeter
A.9.1.2 Physical entry controls
A.9.1.3 Securing offices, rooms and facilities
71
A.9.1.4 Protecting against external and environmental threats
A.9.1.5 Working in secure areas
A.9.1.6 Public access, delivery and loading areas
72
การเขาสศนยคอมพวเตอร
Perimeter Area
Building
Server Room
Operator
Buffer
ระบบตรวจสอบ Access Control Entry I
ระบบตรวจสอบ Access Control Entry II
Log book
Security > Daily > Incidents > Report Officer 73
ความปลอดภยในพนท
• ตองจดพนทควบคม – IT
– Accounting
– Financial – Executive
• ก าหนดมาตรการการควบคมในแตละพนท – ต าแหนงการเขาถงฝายตองอยพนทปลอดภย – การจดหนหนาจอหลกเลยงจากประต และหนาตาง – การจดพารตชนเพอบดบงขอมล และหนาจอ
74
การเลอกสถานท
• หลกหนจากพนทความเสยง – สถานฑตอเมรกา – กระทรวงการคลง – สถาบนการเงน – ตลาดหลกทรพย – กรมสรรพากร, หนวยงานภาครฐทมความเสยง
• การเลอกตวอาคาร – ทนแผนดนไหว – มเสนทางคมนาคมสะดวก – สงจากพนทเสยงภยน าทวม
75
การปองกนอปกรณคอมพวเตอรเสยหาย
• การจดวางและการปองกนอปกรณ (Equipment sitting and protection)
• ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)
• การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling security)
• การบ ารงรกษาอปกรณ (Equipment maintenance) • การปองกนอปกรณทใชงานอยนอกส านกงาน (Security of equipment
off-premises) • การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure disposal
or re-use of equipment) • การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of property)
76
การจดวางและการปองกนอปกรณ (Equipment sitting and protection)
Access Control Entry
Lift floor Cabling Security -Power -LAN Rack Mount -Internal -External -Type & Responsibility 77
การน าทรพยสนขององคกรออกนอกส านกงาน (Removal of property)
• เขยนนโยบายดานการน าทรพยสนออกนอกองคกร
• ก าหนดผ รบผดชอบในการดแลทรพยสน
• เขยนขนตอนปฏบตในการด าเนนการน าทรพยสนออกนอกองคกร
• มการทบทวนลอกทผานมาเพอประเมนความเสยหาย และความเสยงตางๆ
78
A.9 Physical and environmental security (2)
A.9.2 Equipment security
Objective: To prevent loss, damage, theft or compromise of assets and interruption to the organization’s activities.
A.9.2.1 Equipment sitting and protection
A.9.2.2 Supporting utilities
A.9.2.3 Cabling security
A.9.2.4 Equipment maintenance
A.9.2.5 Security of equipment off-premises
A.9.2.6 Secure disposal or re-use of equipment
A.9.2.7 Removal of property
79
ระบบและอปกรณสนบสนนการท างาน (Supporting utilities)
• ระบบกระแสไฟฟา และระบบกระแสไฟฟาส ารอง ตองแยกแหลงจายไฟจากทท างาน, แหลงจายไฟฟาตองมาจากสองแหลงเปนอยางนอย ตองมอปกรณส ารองไฟ และปนไฟอยางเหมาะสม
• ระบบน าประปา หองคอมพวเตอรตองหลกหนจากแนวทางน าด และน าเสย
• ระบบปรบอากาศ & ระบบควบคมอณหภม ควบคมอณหภม และความชน โดยระบบแอรตองออกแบบรองรบการบ ารงรกษาดวย
• ระบบระบายอากาศ ตองมขนาดเลกไมสามารถลอดไดจากบคคล
• ระบบสายสอสารส ารอง ตองมาจากสองแหลง และท ารบรองกบผใหบรการดวย (โทรศพท, ลงคเชอมตอ)
80
การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (Cabling security)
• ออกแบบสายสญญาณ และสายไฟใหเหมาะสม
• ระยะทางของสายตองไมเกนมาตรฐานทก าหนด
• สายไฟฟา และสายสอสารตองแยกคนละทอ
• ควรมการท ารางเดนสาย
• กรณทเดนใตฝาตองรอยทอ
• ควรเลอกคณภาพของสายเหมาะสมกบการใชงาน เชนสายในอาคารไมควรเดนออกนอกอาคาร และควรเลอกชนดทเมอตดไฟแลวไมมพษ
81
การบ ารงรกษาอปกรณ (Equipment maintenance)
• ก าหนดผ รบผดชอบทชดเจน
• อปกรณทกชนดตองมการท า PM (Preventive Maintenance)
• ตรวจสอบการด าเนนการวามการด าเนนการไดครบถวนสมบรณหรอไม
82
การปองกนอปกรณทใชงานอยนอกส านกงาน (Security of equipment off-premises)
• คอมพวเตอรทตงอยภายนอก ตองมผดแล กรณทไมมตองมการลอคเครองทง Physical และ Logical
• เขยนนโยบายใหพนกงานรบผดชอบ และชวยเปนหเปนตาในการเฝาดอปกรณของส านกงาน
• อบรมใหพนกงานตระหนกถงภยตางๆทมผลตอขอมล และความสญหายของอปกรณ
83
การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (Secure disposal or re-use of equipment)
• แยกประเภทอปกรณ
• เขยนขนตอนปฏบตในแตละประเภทของอปกรณ
• มการจดท าขนตอนกรณทมการน าเครองออกไปซอม
• มผดแลในการด าเนนการน าขอมลกลบมา หรอน าออกไป
84
A.10 Communications and Operations Management (10)
A.10.1 Operational procedures and responsibilities
Objective: To ensure the correct and secure operation of information processing facilities.
A.10.1.1 Documented operating procedures
A.10.1.2 Change management
A.10.1.3 Segregation of duties
10.1.4 Separation of development, test, and operational facilities
A.10.1.4 Separation of development, test and operational facilities
85
การก าหนดหนาทความรบผดชอบและขนตอนการปฏบตงาน (Operational procedures and responsibilities)
• เขยนขนตอนปฏบตระดบแอพพลเคชน (การดแลประจ า, การส ารอง, การก คน) • ในแตละขนตอนปฏบตก าหนดผ รบผดชอบในการด าเนน • เชน
– Network Equipment
– Virus Protection
– IDS/IPS
– Internet & E-mail
– Firewall
– Mobile Computer
– Backup – Etc.
User Request
Information Owner Least Privileges
Authorized
Matrix
86
System Environment
Development
Testing Production
Developer End User System Admin
Dummy
End User
Production DB
Manual -Training
--User Operation
87
A.10 Communications and Operations Management (10)
A.10.2 Third party delivery management
Objective: To implement and maintain the appropriate level of information security and service delivery in line with third party service delivery agreements.
A.10.2.1 Service delivery
A.10.2.2 Monitoring and review of third party services
A.10.2.3 Managing changes to third party services
88
การบรหารจดการการใหบรการของหนวยงานภายนอก (Third party service delivery management)
Agreements
Request SLA
TOR
Proposal
Corporate Vendor
SLA
89
Vendor/3rd Party Evaluation
• Contact List > Level (3rd Party) – Outsource – Consultant – Vendor
• Evaluation – Corporate – Services (Personal: Sales, Supporter)
• Type of Evaluation – Speed, Neat, Polite – Maintenance – Skill – Recovery
90
Managing changes to third party services
Security Policy
Corporate Vendor
Procedures
BCP SLA P.M.
Patches Hot-fix
Suggestion
91
A.10 Communications and Operations Management (10)
A.10.3 System planning and acceptance
Objective: To minimize the risk of systems failures.
A.10.3.1 Capacity management
A.10.3.2 System acceptance
92
การวางแผนและการตรวจรบทรพยากรสารสนเทศ (System planning and acceptance)
• Capacity Planning User supporting in the futures CPU, RAM, HD, Network, Application
• System Acceptance
– IT, Information Owner, User
– Features & Functions
– Performance
– Security
93
A.10 Communications and Operations Management (10)
A.10.4 Protection against malicious and mobile code
Objective: To protect the integrity of software and information.
A.10.4.1 Controls against malicious code
A.10.4.2 Controls against mobile code
94
การปองกนโปรแกรมทไมประสงคด (Protection against malicious and mobile code)
Malicious Code Mobile Code
Least Privileges AntiVirus (Virus & Worm) AntiSpam AntiSpyware (Trojan & Backdoor) Personal Firewall Automatic Update (patches)
Virus Protection Policy Security Awareness Training 95
A.10 Communications and Operations Management (10)
A.10.5 Back-up
Objective: To maintain the integrity and availability of information and information processing facilities.
A.10.5.1 information back-up
96
การส ารองขอมล (Back-up)
• Information Owner > IT (Backup)
– Severity Data (Prior)
– Frequency (Routine)
• IT
– Recovery System Cold site, Warm site, Hot site
– Backup & Logging (Technology)
– Recovery when disaster is appeared
97
A.10 Communications and Operations Management (10)
A.10.6 Network security management
Objective: To ensure the protection of information in networks and the protection of the supporting infrastructure.
A.10.6.1 Network controls
A.10.6.2 Security of network services
98
การบรหารจดการทางดานความมนคงปลอดภยส าหรบเครอขายขององคกร (Network security management)
• Perimeter (Internet)
• Intranet > NAP (Network Access Protection) – VLAN
– Separate Server Farm from Clients – Quarantine Zone (Wireless, External Connection, Notebook)
Internet
Bastion
99
Active Equipment
• Hub & Switch
• Router & Switch layer 3
• Firewall
– General Firewall (All ports)
– Web Application Firewall (80, 443) > Content filtering, Gateway (Convert unsecure > Secure)
• Access Point
• IDS/IPS
100
A.10 Communications and Operations Management (10)
A.10.7 Media handling
Objective: To prevent unauthorized disclosure, modification, removal or destruction of assets, and interruption to business activities.
A.10.7.1 Management of removable media
A.10.7.2 Disposal of media
A.10.7.3 Information handling procedures
A.10.7.4 Security of system documentation
101
การจดการสอทใชในการบนทกขอมล (Media handling)
• นโยบายการใชงานสอจดเกบ เชน CD-ROM, Handy Drive, Notebook, Removable HD, Mobile Phone
• บทลงโทษผละเมดนโยบาย
• เขยนขนตอนปฏบตในการด าเนนการกบอปกรณเหลาน – ขอมลสารสนเทศตองมเจาของซงจะเปนผอนมตในการด าเนนการตางๆ – การไดมาซงขอมล – การจดเกบขอมลทมอย ตองเขารหสทงในเครอง และระหวางการโอนถาย – การยาย หรอส าเนาขอมล – การท าลายขอมลทไมใช – สรางแบบฟอรมในการขออนมตใชงานมเดยตางๆ และระบบควบคม
102
A.10 Communications and Operations Management (10)
A.10.8 Exchange of information
Objective: To maintain the security of information and software exchanged within an organization and with any external entity.
• A.10.8.1 Information exchange policies and procedures
A.10.8.2 Exchange agreements
A.10.8.3 Physical media in transit
• A.10.8.4 Electronic messaging Control
• A.10.8.5 Business information systems
103
A.10.8.1 Information exchange policies and procedures
A.10.8.2 Exchange agreements
A.10.8.3 Physical media in transit
A.10.8.4 Electronic messaging
A.10.8.5 Business information systems
104
การแลกเปลยนสารสนเทศ (Exchange of information)
• นโยบายการด าเนนการแลกเปลยนขอมลสารสนเทศ • ขนตอนปฏบตใหสอดคลองกบนโยบายทระบไว • กรณทจ าเปนตองน ามเดยใหกบหนวยงานภายนอก ถาเปนขอมลส าคญใหด าเนนการ
เซน Non Disclosure Agreement (NDA)
• กรณทขอมลถกน าออกจากมเดยทส าเนาไปตองมกลไก การน าของออกนอกองคกร (Pass Properties)
• การจดสงผานจดหมายอเลกทรอนกสตองมระบบเขารหสขอมลทมระดบความส าคญ เชน SSL + Certificate
• ก าหนดนโยบายควบคมการเชอมตอกบเครอขายภายนอก เชน Internet, Remote Access, Firewall, E-mail
105
A.10 Communications and Operations Management (10)
A.10.9 Electronic commerce services
Objective: To ensure the security of electronic commerce services, and their secure use.
A.10.9.1 Electronic commerce
A.10.9.2 On-line transactions
A.10.9.3 Publicly available information
106
การสรางความมนคงปลอดภยส าหรบบรการพาณชยอเลกทรอนกส (Electronic commerce services)
• E-commerce หมายถงองคกรมการตดตอกบเครอขายสาธารณะ และมการท าธรกรรมบนอนเตอรเนต
• องคกรตองรบมอกบปญหาตางๆ – Sniffing การถกดกฟง
– Phishing จดหมายหลอกใหลกคาเปนเหยอ
– Non-Repudiation > เจาตวปฏเสธการด าเนนการ
– Injection > โคดเขยนไมรองรบการตรวจสอบคาตวแปร
107
องคกรตองมการลงทนปองกนปญหา e-commerce
• Routing > End to End เชน VPN, CA
• Modification > Digital Signature
• Disclosure > Digital Encryption (SSL)
• Non-Repudiation > Log & Disclaimer
• Denial of Service or Bruteforce > Firewall (Web Application firewall), Honey Pot
108
การดแลลอก และการเฝาด
• ก าหนดผ รบผดชอบในการวเคราะหบนทก เชน Security Officer
• ระบบงานทส าคญตองมการก าหนดรอบดลอกถ
• ระบบงานทส าคญควรมการตดตงอปกรณเฝาดตลอดเวลา
• ลอกควรถกจดเกบไวในพนทปลอดภย ขามเครองไดยงด และมการระบเฉพาะผ เกยวของเทานนทเขามาด าเนนการได
• จดเกบนานทสดเทาทเปนไปได
• สรปลอกทบนทก
• ก าหนดเปนขนตอนปฏบตในการจดเกบ และการเขาไปดลอก
109
A.10.10.1 Audit logging
A.10.10.2 Monitoring system use
A.10.10.3 Protection of log information
A.10.10.4 Administrator and operator logs
A.10.10.5 Fault logging
A.10.10.6 Clock synchronization
110
การเฝาระวงทางดานความมนคงปลอดภย (Monitoring)
Log
Log Unlimited Storage (capacity plan of log size)
Law > 3 months
Server Log Equipment log Client log
Synchronize Review log
Physical Entries Access Control Network access System Access 111
A.10 Communications and Operations Management (10)
A.10.10 Monitoring
Objective: To detect unauthorized information processing facilities.
112
A.11 Access control (7)
A.11.1 Business requirement for access control
Objective: To control access to information.
A.11.1.1 Access control policy
113
ขอก าหนดทางธรกจส าหรบการควบคมการเขาถงสารสนเทศ (Business requirements for access control) • จดท านโยบายดานการเขาใชทรพยากรขององคกร เพอปองกนขอมล และการน าทรพยสนขององคกรออก
Access Control
Password Policy Access control Policy Remote Access Control Policy External Policy
114
A.11 Access control (7)
A.11.2 User access management
Objective: To ensure authorized user access and to prevent unauthorized access to information systems.
A.11.2.1 User registration
A.11.2.2 Privilege management
A.11.2.3 User password management
A.11.2.4 Review of user access rights
115
การบรหารจดการการเขาถงของผใช (User access management)
• นโยบายการด าเนนการเกยวกบผใช
• ขนตอนปฏบตในการรองขอ และการยกเลกผใชงาน
User Request
การรองผใช User > Department Head > IT แบบฟอรม User Request การรองขอสทธเพม User > Department Head > IT การยกเลก Department Head > HR > IT
รอบการตรวจสอบรายชอผใช เชนตรวจทกเดอน 116
User Privileges
• นโยบายการบรหารงานเกยวผใช
• ใชกฎ The Least privileges > Increase : request user
privileges
• ไมใหผใชเขาใชโดย Administrator หรอ Supervisor ถามใครใช User account เหลานฝายตรวจสอบตองรายงาน แจงใหผบรหารทราบ
117
A.11 Access control (7)
A.11.3 User responsibilities
Objective: To prevent unauthorized user access, and compromise or theft of information and information processing facilities.
A.11.3.1 Password use
A.11.3.2 Unattended user equipment
A.11.3.3 Clear desk and clear screen policy
118
หนาทความรบผดชอบของผใชงาน (User responsibilities)
• ก าหนดนโยบายรหสผาน
• รหสผานถอเปนทรพยสนขององคกร ผใชตองรบผดชอบรหสผานทไดรบ – ไมบอกรหสผานใหกบผ อน
– ไมจดรหสผานไวบนพนทเปดเผย
• มการก าหนดรอบในการด าเนนการตรวจสอบความเหมาะสมของรหสผาน
119
Password ทด
• มความสลบซบซอนคอประกอบดวย 3 ใน 4 เงอนไขดงนตวเลข ตวอกษรเลก ตวอกษรใหญ อกขระพเศษ
• มความยาวทเหมาะสม
• มรอบด าเนนการปรบเปลยนรหสผานเปนระยะ
• ปองกนการเขาใชระบบถาพมพผดเกนจ านวนครงทระบ (Account Logout)
• อาจจะตองมเทคโนโลยดาน Physical เขามาใชรวมกบรหสผาน – One time password (OTP)
– Access Control (ระบหมายเลข IP หรอชอเครอง)
– Biometric
120
กรณทเครองไมมผดแล
• ด าเนนการลอคหนาจอทกครงทไมอยหนาเครองโดยผใช
• องคกรตองก าหนดควบคมการลอคหนาจอถาไมมกจกรรมใดๆในระยะเวลาทก าหนด
• ระบบทมการลอคหนาจอตองท าการปดเครอง หรอลอกออฟออก
• เครองทตงอยในสถานทสาธารณะตองมการลอคดวยโซลาม
• พนกงานทพบเหนเครองตงอยในทพนทไมเหมาะสมตองแจงใหกบผ เกยวของรบทราบ
121
A.11 Access control (7)
A.11.4 Network access control
Objective: To prevent unauthorized access to networked services.
A.11.4.1 Policy on use of network services
A.11.4.2 User authentication for external connections
A.11.4.3 Equipment identification in networks
A.11.4.4 Remote diagnostic and configuration port protection
A.11.4.5 Segregation in networks
A.11.4.6 Network connection control
A.11.4.7 Network routing control
122
การควบคมการเขาถงเครอขาย (Network access control)
• นโยบายดานการเขาใชระบบเครอขายในองคกร • ในองคกรทมระบบใชงานจากภายนอก
– ตองมระบบควบคมการเขาใชงานอยางรดกม เชนถาใชงานจากภายนอกตองมการ Monitor เฝาดกจกรรมเพมเตม (IDS/IPS)
– มการเขาเฝาดเครอขายระหวางด าเนนการ • องคกรตองมการเตรยมเครองมอตรวจสอบตวตน
– Two factors Authentication (Token+password, Biometric+password, Certificate+Passwod, etc.)
• แบงแยกเครอขาย – อนเตอรเนต
– Server
– Unsecure equipment
• Router – Access Control List (ACL) > IP Address?, Port ? – Control Routing protocol & Routing table
123
Redirect Routing Path
R1
R2
PC
Hacker’s Router
Routing table Metric 1
Internet
Sniffer
Resolve Router Path -Neighbor -Select routing protocol (Authen. Password, Encryption)
124
A.11 Access control (7)
A.11.5 Operating system access control
Objective: To prevent unauthorized access to operating systems.
A.11.5.1 Secure log-on procedures
A.11.5.2 User identification and authentication
A.11.5.3 Password management system
A.11.5.4 Use of system utilities
A.11.5.5 Session time-out
A.11.5.6 Limitation of connection time
125
การควบคมการเขาถงระบบปฏบตการ (Operating system access control)
• นโยบายดานการเขาถงระบบปฏบตการ (Access Control) • ขนตอนปฏบตในการใชงานระบบปฏบตการ • ทกคนตองมการใชชอลอกออน และรหสผานของตนเอง • มการจดท าบนทกลอก • วเคราะหลอกเพอตรวจสอบสงทผดปกต • จดท าการควบคมรหสผาน • มการใชเครองตรวจสอบ Auditing Tool เพอทดสอบชองโหวของระบบปฏบตการ และ
ความเขมแขงของรหสผานทใช • ก าหนดระยะเวลา และการยกเลกการใชเมอถงเวลา (ใชระบบงานส าคญดจาก BIA)
– ผใชทไมใชพนกงานประจ าจะม Expired Date – พนกงานประจ าจะมการก าหนดชวงเวลาในการเขาใช ถาตองการใชนอกเวลาตองด าเนนการรองขอ
เพม
126
A.11 Access control (7)
A.11.6 Application and information access control
Objective: To prevent unauthorized access to information held in application systems.
A.11.6.1 Information access restriction
A.11.6.2 Sensitive system isolation
127
การควบคมการเขาถงแอพพลเคชนและสารสนเทศ (Application
and information access control)
• Information Owner > IT Administration > User
• Authorization Matrix > (Applications) – Read
– Write
– View log
– Full Control
• Production > Separate from Client – VLAN
– Firewall
– Router (Access Control List) – Not connect to internet
128
A.11 Access control (7)
A.11.7 Mobile computing and teleworking
Objective: To ensure information security when using mobile computing and teleworking facilities.
A.11.7.1 Mobile computing and communications
A.11.7.2 Teleworking
129
การควบคมอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอกองคกร (Mobile computing and teleworking)
• จดนโยบายดาน Mobile computing & teleworking
• เขยนขนตอนปฏบต – แยกเครอขาย Mobile Computer จากเครอขายทมอยเดม
– Update Antivirus (Exceed 7 days > Not connect to network) • Version
• Virus Definition
– Meeting Room แยกเครอขายออกเปนพเศษ – กลมผใชจากทางไกลตองเขาใชในเครอขายทองคกรจดเตรยมไวให – เครองทจะเขาใชเครอขายภายในไดตองผานการตรวจสอบอยางรดกม
130
A.12 Information systems acquisition, development and maintenance (6)
A.12.1 Security requirements of information systems
Objective: To ensure that security is an integral part of information systems.
A.12.1.1 Security requirements analysis and specification
131
ขอก าหนดดานความมนคงปลอดภยส าหรบระบบสารสนเทศ (Security requirements of information systems)
Business Require
ment
Security Require
ment
Information Owner End User
IT (Consultant)
Specification
Security Office (Consultant)
Password log & History Encryption (Local & Network) Provide Log Management Input & Output validation
132
A.12 Information systems acquisition, development and maintenance (6)
A.12.2 Correct processing in application
Objective: To prevent errors, loss, unauthorized modification or misuse of information in application.
A.12.2.1 Input data validation
A.12.2.2 Control of internal processing
A.12.2.3 Message integrity
A.12.2.4 Output data validation
133
การประมวลผลสารสนเทศในแอพพลเคชน (Correct processing in applications)
Processing Input Output
Input Validation Output Validation
www.owasp.org > Top ten Web application security Denial of Service, XSS, SQL Inject, Input validation, etc.
Control of internal processing Message Integrity
Developer
End User
134
ขนตอนทควรจะมในการปรบเปลยนและยายระบบ
• ไมยอมใหผพฒนาระบบเขามายายระบบใน Production Environment
• ผใชตองเขามามสวนรวมในการด าเนนการยายระบบ • ระหวางการยายจะตองมการควบคมเฉพาะบคคลทเกยวของ • ขอมลทน ามาทดสอบตองไมใชขอมลจรง • เมอระบบยายแลวตองมการตงทมงานเพอตอบสนองตอปญหา และคอนๆลดบทบาทลงเมอระบบท างานไปไดสกระยะหนง
• กรณทมการจดจางทมงานพฒนาจากภายนอกตองมการควบคมการเขาถงขอมลเปนพเศษ โดยเฉพาะตอนทใหเขามาแกปญหาระบบงานหลก
135
A.12 Information systems acquisition, development and maintenance (6)
A.12.3 Cryptographic controls
Objective: To protect the confidentiality, authenticity or integrity of information by cryptographic means.
A.12.3.1 Policy on the use of cryptographic controls
A.12.3.2 Key management
136
มาตรการการเขารหสขอมล (Cryptographic controls)
• นโยบายการเขารหสขอมล
• เขยนขนตอนปฏบต – ตองใชวธการเขารหสทเปนมาตรฐาน (RSA, SHA1, 3DES) โดยเฉพาะรหสผานทใช
• ก าหนดใหผพฒนาโปรแกรมตองเขยน หรอระบความสามารถของแอพพลเคชนผานมาตรฐานทเราตองการ เชน Input validation, Output validation, Message integrity, Control Processes
137
A.12 Information systems acquisition, development and maintenance (6)
A.12.4 Security of system files
Objective: To ensure the security of system files.
A.12.4.1 Control of Operational Software
A.12.4.2 Protection of system test data
A.12.4.3 Access control to program source code
138
การสรางความมนคงปลอดภยใหกบไฟลของระบบทใหบรการ (Security of system files)
• เขยนขนตอนปฏบตในการตดตงไฟลลงเครอง – ไมใหมการตดตงซอฟตแวรทองคกรไมไดก าหนด
– ซอฟตแวรทตดตงตองตดตงจากแหลงทผ รบผดชอบจดเตรยมไวให
– ผไมมสวนเกยวของกบระบบงานดแลไอทหามตดตงโปรแกรมโดยพลการ
• ระบบงานตองตดตงในระบบทดสอบกอนทกครงจนเขาใจด แลวจงน ามาตดตงในระบบใชงานจรง
• ผพฒนาโปรแกรมตองจดเตรยมโคดของโปรแกรม และโคดเหลานตองควบคมผเขาใชดวย (User Permission in source code)
139
A.12 Information systems acquisition, development and maintenance (6)
A.12.5 Security in development and support processes
Objective: To maintain the security of application system software and information.
A.12.5.1 Change control procedures
A.12.5.2 Technical review of applications after operating system changes
A.12.5.3 Restrictions on changes to software packages
A.12.5.4 Information leakage
A.12.5.5 Outsourced software development
140
การสรางความมนคงปลอดภยส าหรบกระบวนการในการพฒนาระบบและกระบวนการสนบสนน (Security in development and support processes)
• มการเขยนขนตอนปฏบตในการปรบเปลยนระบบ
141
ขนตอนระหวางด าเนนการยายระบบ
142
A.12 Information systems acquisition, development and maintenance (6)
A.12.6 Technical Vulnerability Management
Objective: To reduce risks resulting from exploitation of published technical vulnerabilities.
A.12.6.1 Control of technical vulnerabilities
143
การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร (Technical Vulnerability Management)
• เราตองปองกนปญหาของชองโหวระบบงานทพฒนา ทงเจตนา และไมเจตนา – ระบบตองมการตดตงโปรแกรมตรวจสอบวามการสงขอมลนอกเหนอจากคาทบนทกหรอไม
– ระบบงานตองลง Service Pack & Hot-fix ใหมลาสดเทาทเปนไปไดในการลงระบบใหม
– ตองมการส ารองขอมลระบบเดมเพอปองกนความเสยหายจากชองโหวของระบบใหม
– มเครองมอตรวจสอบระบบกอนด าเนนการจรงเพออดชองโหว เนองจากถาปลอยใหระบบด าเนนการไปแลวจะท าการอดไดยาก หรอคอนขางเสยงสง
144
สงทตองค านงถงในการจดจาง
• เงอนไขการด าเนนการ – จดสงเอกสารมาตรฐานตาม Software Engineering – ลขสทธ
– การขอ Source Code
– Compiler Tool ตองใชถกตองตามลขสทธทงหมด และสงมอบใหกบองคกร – กรณทองคกรจะตองมสองไซต ตองระบลวงหนาวาจะใชระบบนทงสองไซต
– กรณทซอซอฟตแวรส าเรจรปตองระบกบผขายวาตองการใชสองไซต ใหเสนอราคาแบบสองไซตลวงหนาโดยทก าหนดใช Active ทไซตหลก
145
A.13 Information security incident management (2)
A.13.1 Reporting information security events and weaknesses
Objective: To ensure information security events and weaknesses associated with information systems are communicated in a manner allowing timely corrective action to be taken.
A.13.1.1 Reporting information security events
A.13.1.2 Reporting security weaknesses
146
Event Management
• Performance Monitor
– System Operator
• Maintenance
– Vendor
– System Administrator
147
Reporting information security events and weaknesses
Collection Help Desk
History
Incident list (Type) Xxxxx Xxxxx xxxxx Incident ID
Date time Event Computer Reporter
SysAdmin DBAdmin NetAdmin
Vendor or Developer or Law
Report
…
148
A.13 Information security incident management (2)
A.13.2 Management of information security incidents and improvements
Objective: To ensure a consistent and effective approach is applied to the management of information security incidents.
A.13.2.1 Responsibilities and procedures
A.13.2.2 Learning from information security incidents
A.13.2.3 Collection of evidence
149
A.14 Business continuity management (1)
A.14.1 Information security aspects of business continuity management Objective: To counteract interruptions to business activities and to protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption. A.14.1.1 Including information security in the business
continuity management process A.14.1.2 Business continuity and risk assessment A.14.1.3 Developing and implementing continuity plans
including information security A.14.1.4 Business continuity planning framework A.14.1.5 Testing, maintaining and re-assessing business
continuity plans
150
หวขอพนฐานส าหรบการบรหารความตอเนองในการด าเนนงานขององคกร (Information security aspects of business continuity management)
• กระบวนการในการสรางความตอเนองใหกบธรกจ (Including information security in the business continuity management process)
• การประเมนความเสยงในการสรางความตอเนองใหกบธรกจ (Business continuity and risk assessment)
• การจดท าและใชงานแผนสรางความตอเนองใหกบธรกจ (Developing and implementing continuity plans including information security)
• การก าหนดกรอบส าหรบการวางแผนเพอสรางความตอเนองใหกบธรกจ (Business continuity planning framework)
• การทดสอบและการปรบปรงแผนสรางความตอเนองใหกบธรกจ (Testing, maintaining and re-assessing business continuity plans)
151
Testing
BCP
Readiness
Prevention Response
Recovery
Risk Assessment
BIA
Business - Computer > Manual
People Processes
Processes Technologies
ไซตส ารอง ส ารองระบบ ออกแบบระบบ
การอบรม การเขยนขนตอนปฏบต
การก คน การยายไซต > ไซตส ารอง > ไซตหลก
ตอบสนองตอระบบทเกดขนแลว ออกขาว -เวบไซต -หนงสอพมพ
Incidents
Resolve Problems
Threat > Assets
152
DRC & DRP (Move Site)
• DRC (Disaster Recovery Center)
– Building
– Computer Room & Environment
– Server
– Active Equipment
– BCP Coordinator
• DRP (Disaster Recovery Plan)
– Cold Site/Warm Site/Hot Site
– Designate Person • BCP Coordinator
153
BCP Process
• Call out Tree (Contact System)
• BCP
– Readiness
– Prevention
– Recovery
– Response
• Testing
• Evaluation
154
A.15 Compliance (3)
A.15.1 Compliance with legal requirements
Objective: To avoid breaches of any law, statutory, regulatory or contractual obligations, and of any security requirements.
A.15.1.1 Identification of applicable legislation
A.15.1.2 Intellectual property rights (IPS)
A.15.1.3 Protection of organizational records
A.15.1.4 Data protection and privacy of personal information
A.15.1.5 Prevention of misuse of information processing facilities
A.15.1.6 Regulation of cryptographic controls
155
การปฏบตตามขอก าหนดทางกฎหมาย (Compliance with legal requirements)
Audit Check list
LAW Policies Regulation
Routine (Update & Evaluate)
IPR, Privacy Data, Properties
IT Auditor Confidentiality
Customer Password (Encrypted)
156
A.15 Compliance (3)
A.15.2 Compliance with security policies and standards, and technical compliance
Objective: To ensure compliance of systems with organizational security policies and standards.
A.15.2.1 Compliance with security policies and standards
A.15.2.2 Technical compliance checking
157
การปฏบตตามนโยบาย มาตรฐานความมนคงปลอดภยและขอก าหนดทางเทคนค (Compliance with security policies and standards, and technical compliance)
Audit Check list
Policies
Data, Properties
External Auditor Standard
Internal Auditor Internal Processes
158
การตรวจประเมนระบบสารสนเทศ (Information systems audit considerations)
Audit Check list
Policies
Data, Properties
External Auditor Standard
Internal Auditor
Internal Processes
Executive Summary Detail Audit Checklist (Finding) Scoring > Topic Severity Corrective & Preventive Action Plan
159
A.15 Compliance (3)
A.15.3 Information systems audit considerations
Objective: To maximize the effectiveness of and to minimize interference to/from the information systems audit.
A.15.3.1 Information systems audit controls
A.15.3.2 Protection of information systems audit tools
160
161
ความแตกตางระหวาง ISO17799, ISO27001
162
2000 Edition (10 sections) 2005 Edition (11 sections)
Security Policy Security Policy
Security Organisation Organising Information Security
Asset Classification & Control Asset Management
Personnel Security Human Resources Security
Physical & Environmental Security Physical & Environmental Security
Communications & Operations
Management
Communications & Operations Management
Access Control Access Control
Systems Development & Maintenance Information Systems Acquisition,
Development and Maintenance
Information Security Incident Management
Business Continuity Management Business Continuity Management
Compliance Compliance
ความแตกตางระหวาง ISO 27001:2005 กบ 2013
163
2005 Edition (11 sections) 2013 Edition (14 sections)
Security Policy Information Security policies
Organising Information Security How information security is organised
Security for suppliers and third parties
Asset Management Asset Management
Cryptographic technology
Human Resources Security Human resources Security
Physical & Environmental Security Physical security of the organisation’s sites and
equipment
Communications & Operations
Management
Operational security
Secure communications and data transfer
Access Control Access Control
Information Systems Acquisition,
Development and Maintenance
Secure acquisition, development, and support of
information systems
Information Security Incident
Management
Information Security Incident Management
Business Continuity Management Business continuity/disaster recovery
Compliance Compliance
Changes from the 2005 standard (New control)
• A.6.1.5 Information security in project management • A.12.6.2 Restrictions on software installation • A.14.2.1 Secure development policy • A.14.2.5 Secure system engineering principles • A.14.2.6 Secure development environment • A.14.2.8 System security testing • A.15.1.1 Information security policy for supplier relationships • A.15.1.3 Information and communication technology supply chain • A.16.1.4 Assessment of and decision on information security events • A.16.1.5 Response to information security incidents • A.17.2.1 Availability of information processing facilities
164
165
ขอมลอางอง
- http://www.bsigroup.com/en-TH/ISOIEC-27001-Information-Security/Introduction-to-ISOIEC-27001/
- เอกสารประกอบการฝกอบรมหลกสตร ISO/IEC 27001 (introduction) โดยคณขจร สนอภรมยสราญ วทยากร สวทช.
ศนยเทคโนโลยสารสนเทศและการสอสาร ส านกงานปลดกระทรวงยตธรรม