security n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
รายงายเรื่อง Security PowerPoint Presentation
Download Presentation
รายงายเรื่อง Security

Loading in 2 Seconds...

play fullscreen
1 / 20

รายงายเรื่อง Security - PowerPoint PPT Presentation


  • 66 Views
  • Uploaded on

รายงายเรื่อง Security. จัดทำ โดย นางสาว สุภาวัลย์ ป้องภัย เลขที่ 15 นางสาว ภคิณี สุกทน เลขที่ 16 นางสาว ยุวดี คำ วงษา เลขที่ 33 นางสาว ชมพูนุช ศรีพลน้อย เลขที่ 37. เสนอ อาจารย์ สุรัตน์ สุขมั่น คณะ ศิลป ศาสตร์และวิทยาศาสตร์ มหาวิทยาลัยนครพนม. Security (ความปลอดภัย)

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'รายงายเรื่อง Security' - hoyt-solomon


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2

จัดทำโดย

นางสาว สุภาวัลย์ ป้องภัย เลขที่ 15

นางสาว ภคิณี สุกทน เลขที่16

นางสาว ยุวดี คำวงษา เลขที่ 33

นางสาว ชมพูนุช ศรีพลน้อย เลขที่37

slide3

เสนอ

อาจารย์ สุรัตน์ สุขมั่น

คณะศิลปศาสตร์และวิทยาศาสตร์

มหาวิทยาลัยนครพนม

slide4

Security(ความปลอดภัย)

  • การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 27001
  • ดังที่ทราบโดยทั่วกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่อสารได้อย่างรวดเร็วนั้น คือหัวใจสำคัญของการดำเนินธุรกิจในปัจจุบัน องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีข้อมูลเป็นทรัพย์สินของตนเอง และถือได้ว่าเป็นทรัพย์สินที่มีค่ามากที่สุดสำหรับองค์กร เนื่องจากทรัพย์สินประเภทอื่น เช่น อาคารสถานที่ อุปกรณ์ บุคลากร
slide5

โดยทั่วไปสามารถจัดซื้อ จัดหา หรือจัดจ้างใหม่ได้ไม่ยากนัก แต่หากข้อมูลสำคัญ ยกตัวอย่างเช่น สูตรการผลิต รายละเอียดการออกแบบระบบสารสนเทศหลัก ฯลฯ เกิดการสูญหาย หรือถูกล่วงละเมิดความลับ ก็เป็นการยากที่จะกอบกู้ หรือสร้างขึ้นใหม่ในระยะเวลาอันสั้น อย่างไรก็ตาม เป็นที่น่าเสียดายที่องค์กรส่วนใหญ่ในประเทศไทยยังไม่ได้ตระหนักถึงความสำคัญของ

slide6

ทรัพย์สินประเภทข้อมูลของตนเองมากนัก ส่งผลให้ขาดการควบคุมความมั่นคงของข้อมูล อันนำไปสู่ความเสี่ยงที่อาจจะทำให้องค์กรไม่สามารถดำเนินธุรกิจได้อีกต่อไป หากเกิดเหตุการณ์ไม่คาดฝันขึ้นกับข้อมูลสำคัญขององค์กร

slide7

ความมั่นคงของข้อมูล” (Information Security) หมายถึง การที่ข้อมูลมีองค์ประกอบครบถ้วนทั้ง 3 ด้านดังต่อไปนี้ ความลับ (Confidentiality) ความถูกต้องและสมบูรณ์ครบถ้วน (Integrity) และ ความพร้อมใช้งาน (Availability) ทั้งนี้ เพื่อเป็นการรักษาความมั่นคงของข้อมูล องค์กรจำเป็นต้องกำหนด “วิธีการควบคุม” (Control) ที่เหมาะสมขึ้นมา โดยเป็นวิธีการใดๆ ก็ตามที่มีจุดประสงค์เพื่อการรักษาไว้ซึ่งองค์ประกอบอย่างน้อยด้านใดด้านหนึ่งจากที่กล่าวมาแล้ว ดังนั้น วิธีการควบคุมจึงสามารถเป็นได้ตั้งแต่วิธีการง่ายๆ เช่น การจัดเก็บเอกสารสำคัญในตู้ที่ปิดล็อคเพื่อป้องกันการถูกลักลอบทำสำเนาโดยบุคคลที่ไม่ได้รับอนุญาต ไปจนถึงวิธีการที่สลับซับซ้อน เช่น การออกแบบระบบเครือข่ายเพื่อป้องกันการโจมตีจากผู้ไม่ประสงค์ดี

slide8

หากสังเกตจากหัวข้อด้านบนจะพบว่า วิธีการควบคุมความมั่นคงของข้อมูลนั้นไม่ได้จำกัดอยู่แค่วิธีการทางเทคนิคเท่านั้นแต่ยังครอบคลุมไปถึงวิธีการบริหารจัดการด้านอื่นๆ อีกด้วย ยกตัวอย่างเช่น การคัดเลือกบุคลากร (Personnel Security) การควบคุมดูแลความมั่นคงปลอดภัยของอาคารสถานที่ (Physical Security) เป็นต้น

slide9

องค์กรแต่ละแห่งต่างก็มีรูปแบบของธุรกิจ วัฒนธรรมองค์กร งบประมาณ รวมถึงปัจจัยสำคัญอื่นๆ ที่แตกต่างกันไป ดังนั้น การกำหนดวิธีการควบคุมความมั่นคงของข้อมูลจึงต้องพิจารณาให้เหมาะสมกับเงื่อนไขขององค์กรนั้นๆ เนื่องจากวิธีการที่ดีสำหรับองค์กรหนึ่งอาจจะไม่เหมาะสมกับองค์กรแห่งอื่นก็เป็นได้ ซึ่งโดยทั่วไปแล้ว องค์กรควรจะคัดเลือกวิธีการควบคุมความมั่นคงของข้อมูลให้สอดคล้องกับผลการประเมินความเสี่ยง (Risk Assessment) และข้อบังคับของกฎหมายที่เกี่ยวข้อง

slide10

การควบคุมความมั่นคงของข้อมูลนั้นจำเป็นต้องใช้ทรัพยากรในการดำเนินการ ผู้บริหารขององค์กรย่อมคาดหวังให้วิธีการควบคุมนั้นได้ผลตามวัตถุประสงค์ และคุ้มค่ากับงบประมาณที่ได้ลงทุนไป ยกตัวอย่างเช่น การติดตั้งโปแกรมป้องกันไวรัสต้องสามารถลดอัตราความเสี่ยงที่ข้อมูลสำคัญในเครื่องคอมพิวเตอร์จะถูกโจมตีจากไวรัสต่างๆ โดยมีค่าบำรุงรักษาและค่าลิขสิทธิ์ของโปรแกรมอยู่ภายในงบประมาณที่ได้กำหนดไว้ ฉะนั้น เพื่อให้ทราบว่าวิธีการควบคุมความมั่นคงของข้อมูลต่างๆ ที่องค์กรนำมาใช้นั้นบรรลุตามวัตถุประสงค์ และความคาดหวังหรือไม่ องค์กรจึงต้องมีการนำเครื่องมืออย่างหนึ่งมาใช้ ซึ่งก็คือ “การวัดประสิทธิผลของการควบคุมความมั่นคงของข้อมูล” (Effectiveness Measurement) นั่นเอง

slide11

     • รายละเอียดของวิธีการควบคุมความมั่นคงของข้อมูลที่ต้องการวัดประสิทธิผลเป็นการระบุรายละเอียดที่จำเป็นเกี่ยวกับวิธีการควบคุมที่องค์กรต้องการวัดประสิทธิผล เช่น ชื่อวิธีการควบคุม วัตถุประสงค์ และขอบเขตของการวัดผลประสิทธิผล เป็นต้น     • รายละเอียดของวิธีการที่ใช้ในการวัดประสิทธิผล เป็นการระบุรายรายละเอียดที่จำเป็นเกี่ยวกับวิธีการที่องค์กรนำมาใช้ในการวัดประสิทธิผล เช่น แหล่งข้อมูลที่จะนำมาใช้ วิธีการรวบรวมข้อมูล ตารางเวลาที่จะทำการวัดประสิทธิผล ผู้รับผิดชอบ และวิธีการประมวลผลข้อมูล เป็นต้น        • การตั้งเป้าหมาย เป็นการกำหนดระดับของผลการวัด เพื่อใช้เป็นตัวชี้วัดว่าวิธีการควบคุมความมั่นคงของข้อมูลนั้นบรรลุตามวัตถุประสงค์หรือไม่ เช่น การวัดประสิทธิผลของการ

slide12

การอนุวัติ CMMI ในอุตสาหกรรมซอฟต์แวร์

  • มีคำถามว่า การนำ CMMI ไปใช้นั้นมีประโยชน์อย่างไร และ การอนุวัติ (Implement) จะต้องทำอย่างไรจึงจะประสบความสำเร็จด้วยดี ผมพยายามตอบคำถามนี้ในเนื้อที่สั้นๆ เพื่อให้ผู้ที่สนใจเกิดความเข้าใจ ดังนี้...
slide13

Risk Management : The key process for ISO 27001 implementation

  • กระบวนการในการบริหารจัดการความเสี่ยงเป็น Requirement หนึ่งในการจัดทำระบบ ISMS (Information Security Management Systems) ตามมาตรฐาน ISO 27001 และถือเป็นส่วนสำคัญที่มีผลอย่างมากต่อความสำเร็จและความมีประสิทธิภาพ ของระบบ ISMS
slide14

Information Security Policy

  • สิ่งสำคัญที่สุดในการดำเนินธุรกิจในยุคปัจจุบันคือ ข้อมูลต่างๆ ที่ใช้ประกอบการดำเนินธุรกิจ แต่หลายองค์กร แทบจะไม่ได้ให้ความ สนใจในจุดนี้นัก โดยทั่วไปมักจะให้ความสำคัญกับสิ่งที่จับต้องได้ หรือ ที่มีราคาแพงมากกว่า ทั้งที่ในความเป็นจริงแล้ว สิ่งของเหล่านั้นสามารถหามาทดแทนได้หากเกิดความเสียหายขึ้น แต่หากข้อมูลเสียหายไปโดยที่ไม่มีการสำรองไว้ก็ยากที่จะนำกลับคืนมา หรือ หากทำได้ก็ต้องใช้เวลานานในการที่จะรวบรวมข้อมูลที่เหมือนเดิมกลับมา แน่นอนว่าเราสามารถที่จะซื้อเครื่อง Server เครื่องใหม่ได้ทุกเมื่อ แต่เราไม่สามารถหาซื้อข้อมูลที่เรารวบรวมไว้ภายในเครื่องได้ ดังนั้นเราจึงควรให้ความสำคัญกับการปกป้องข้อมูลมากขึ้น
slide15

บริษัทได้ตระหนักถึงความสำคัญของข้อมูลสารสนเทศ โดยให้มีการบริหารจัดการให้ระบบข้อมูลมีลักษณะคงความเป็น C I A  คือ

  • 1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ
  • 2. ความถูกต้องแท้จริง (Integrity) มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข
  • 3. ความสามารถพร้อมใช้เสมอ (Availability) ให้บุคคลผู้มีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธิมาทำให้ระบบหยุดการทำงาน
slide16

ความปลอดภัยของข้อมูลสารสนเทศ (Information Security)

  • บริษัทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริษัทฯ ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสูงทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับ บริษัทฯ ได้กำหนดให้มีระบบความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจได้ว่าเว็บไซต์และข้อมูลของบริษัทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสูง รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128บิท(128Bit Encryption) ซึ่งเป็นการเข้ารหัสข้อมูลระดับสูงสำหรับการทำธุรกรรมผ่านบริการทางอินเทอร์เน็ต นอกจากนี้ บริษัทฯ ยังกำหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริการได้
slide17

บริษัทฯ ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่เป็นมาตรฐานสากลอยู่แล้ว และเสริมด้วยการทำงานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น และโดยหลักการทั่วไปในการควบคุมและรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร ได้แก่การควบคุมส่วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดังนี้

  • 1.  การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control)  โดยมีระดับวิธีการ 3 วิธีคือ
slide18

-การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือการที่โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง

  • -  การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่ง และจำแนกแตกต่างจากผู้ใช้คนอื่น ๆ
  • -  การควบคุมและการออกแบบโปรแกรม (Development Control) คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง
slide19

2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control)  โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ ที่สามารถควบคุมการเข้าถึง และป้องกันการทำงานผิดพลาด ด้วยอุปกรณ์ภายในตัวเอง

  • 3. การใช้นโยบายในการควบคุม (Policies) โดยมีการประกาศใช้นโยบาย และการปรับปรุงนโยบายให้มีการทำงานสอดคล้องกับการดำเนินธุรกิจ และสภาพแวดล้อมที่เปลี่ยนแปลง โดยมีผลบังคับใช้ทั้งองค์กร
  • 4. การป้องกันทางกายภาพ (Physical Control)  การมีมาตรการการเข้าถึงศูนย์คอมพิวเตอร์ และเครื่องคอมพิวเตอร์ที่สำคัญได้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้น รวมทั้งมีระบบสำรองข้อมูลอย่างสม่ำเสมอ