1 / 20

รายงายเรื่อง Security

รายงายเรื่อง Security. จัดทำ โดย นางสาว สุภาวัลย์ ป้องภัย เลขที่ 15 นางสาว ภคิณี สุกทน เลขที่ 16 นางสาว ยุวดี คำ วงษา เลขที่ 33 นางสาว ชมพูนุช ศรีพลน้อย เลขที่ 37. เสนอ อาจารย์ สุรัตน์ สุขมั่น คณะ ศิลป ศาสตร์และวิทยาศาสตร์ มหาวิทยาลัยนครพนม. Security (ความปลอดภัย)

hoyt-solomon
Download Presentation

รายงายเรื่อง Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. รายงายเรื่อง Security

  2. จัดทำโดย นางสาว สุภาวัลย์ ป้องภัย เลขที่ 15 นางสาว ภคิณี สุกทน เลขที่16 นางสาว ยุวดี คำวงษา เลขที่ 33 นางสาว ชมพูนุช ศรีพลน้อย เลขที่37

  3. เสนอ อาจารย์ สุรัตน์ สุขมั่น คณะศิลปศาสตร์และวิทยาศาสตร์ มหาวิทยาลัยนครพนม

  4. Security(ความปลอดภัย) • การควบคุมความมั่นคงของข้อมูล และการวัดประสิทธิผลตามข้อกำหนดของมาตรฐาน ISO 27001 • ดังที่ทราบโดยทั่วกันว่า “ข้อมูล” (Information) ที่มีความถูกต้อง และสามารถใช้ในการติดต่อสื่อสารได้อย่างรวดเร็วนั้น คือหัวใจสำคัญของการดำเนินธุรกิจในปัจจุบัน องค์กรทั้งขนาดใหญ่ และขนาดย่อมต่างก็มีข้อมูลเป็นทรัพย์สินของตนเอง และถือได้ว่าเป็นทรัพย์สินที่มีค่ามากที่สุดสำหรับองค์กร เนื่องจากทรัพย์สินประเภทอื่น เช่น อาคารสถานที่ อุปกรณ์ บุคลากร

  5. โดยทั่วไปสามารถจัดซื้อ จัดหา หรือจัดจ้างใหม่ได้ไม่ยากนัก แต่หากข้อมูลสำคัญ ยกตัวอย่างเช่น สูตรการผลิต รายละเอียดการออกแบบระบบสารสนเทศหลัก ฯลฯ เกิดการสูญหาย หรือถูกล่วงละเมิดความลับ ก็เป็นการยากที่จะกอบกู้ หรือสร้างขึ้นใหม่ในระยะเวลาอันสั้น อย่างไรก็ตาม เป็นที่น่าเสียดายที่องค์กรส่วนใหญ่ในประเทศไทยยังไม่ได้ตระหนักถึงความสำคัญของ

  6. ทรัพย์สินประเภทข้อมูลของตนเองมากนัก ส่งผลให้ขาดการควบคุมความมั่นคงของข้อมูล อันนำไปสู่ความเสี่ยงที่อาจจะทำให้องค์กรไม่สามารถดำเนินธุรกิจได้อีกต่อไป หากเกิดเหตุการณ์ไม่คาดฝันขึ้นกับข้อมูลสำคัญขององค์กร

  7. ความมั่นคงของข้อมูล” (Information Security) หมายถึง การที่ข้อมูลมีองค์ประกอบครบถ้วนทั้ง 3 ด้านดังต่อไปนี้ ความลับ (Confidentiality) ความถูกต้องและสมบูรณ์ครบถ้วน (Integrity) และ ความพร้อมใช้งาน (Availability) ทั้งนี้ เพื่อเป็นการรักษาความมั่นคงของข้อมูล องค์กรจำเป็นต้องกำหนด “วิธีการควบคุม” (Control) ที่เหมาะสมขึ้นมา โดยเป็นวิธีการใดๆ ก็ตามที่มีจุดประสงค์เพื่อการรักษาไว้ซึ่งองค์ประกอบอย่างน้อยด้านใดด้านหนึ่งจากที่กล่าวมาแล้ว ดังนั้น วิธีการควบคุมจึงสามารถเป็นได้ตั้งแต่วิธีการง่ายๆ เช่น การจัดเก็บเอกสารสำคัญในตู้ที่ปิดล็อคเพื่อป้องกันการถูกลักลอบทำสำเนาโดยบุคคลที่ไม่ได้รับอนุญาต ไปจนถึงวิธีการที่สลับซับซ้อน เช่น การออกแบบระบบเครือข่ายเพื่อป้องกันการโจมตีจากผู้ไม่ประสงค์ดี

  8. หากสังเกตจากหัวข้อด้านบนจะพบว่า วิธีการควบคุมความมั่นคงของข้อมูลนั้นไม่ได้จำกัดอยู่แค่วิธีการทางเทคนิคเท่านั้นแต่ยังครอบคลุมไปถึงวิธีการบริหารจัดการด้านอื่นๆ อีกด้วย ยกตัวอย่างเช่น การคัดเลือกบุคลากร (Personnel Security) การควบคุมดูแลความมั่นคงปลอดภัยของอาคารสถานที่ (Physical Security) เป็นต้น

  9. องค์กรแต่ละแห่งต่างก็มีรูปแบบของธุรกิจ วัฒนธรรมองค์กร งบประมาณ รวมถึงปัจจัยสำคัญอื่นๆ ที่แตกต่างกันไป ดังนั้น การกำหนดวิธีการควบคุมความมั่นคงของข้อมูลจึงต้องพิจารณาให้เหมาะสมกับเงื่อนไขขององค์กรนั้นๆ เนื่องจากวิธีการที่ดีสำหรับองค์กรหนึ่งอาจจะไม่เหมาะสมกับองค์กรแห่งอื่นก็เป็นได้ ซึ่งโดยทั่วไปแล้ว องค์กรควรจะคัดเลือกวิธีการควบคุมความมั่นคงของข้อมูลให้สอดคล้องกับผลการประเมินความเสี่ยง (Risk Assessment) และข้อบังคับของกฎหมายที่เกี่ยวข้อง

  10. การควบคุมความมั่นคงของข้อมูลนั้นจำเป็นต้องใช้ทรัพยากรในการดำเนินการ ผู้บริหารขององค์กรย่อมคาดหวังให้วิธีการควบคุมนั้นได้ผลตามวัตถุประสงค์ และคุ้มค่ากับงบประมาณที่ได้ลงทุนไป ยกตัวอย่างเช่น การติดตั้งโปแกรมป้องกันไวรัสต้องสามารถลดอัตราความเสี่ยงที่ข้อมูลสำคัญในเครื่องคอมพิวเตอร์จะถูกโจมตีจากไวรัสต่างๆ โดยมีค่าบำรุงรักษาและค่าลิขสิทธิ์ของโปรแกรมอยู่ภายในงบประมาณที่ได้กำหนดไว้ ฉะนั้น เพื่อให้ทราบว่าวิธีการควบคุมความมั่นคงของข้อมูลต่างๆ ที่องค์กรนำมาใช้นั้นบรรลุตามวัตถุประสงค์ และความคาดหวังหรือไม่ องค์กรจึงต้องมีการนำเครื่องมืออย่างหนึ่งมาใช้ ซึ่งก็คือ “การวัดประสิทธิผลของการควบคุมความมั่นคงของข้อมูล” (Effectiveness Measurement) นั่นเอง

  11.      • รายละเอียดของวิธีการควบคุมความมั่นคงของข้อมูลที่ต้องการวัดประสิทธิผลเป็นการระบุรายละเอียดที่จำเป็นเกี่ยวกับวิธีการควบคุมที่องค์กรต้องการวัดประสิทธิผล เช่น ชื่อวิธีการควบคุม วัตถุประสงค์ และขอบเขตของการวัดผลประสิทธิผล เป็นต้น     • รายละเอียดของวิธีการที่ใช้ในการวัดประสิทธิผล เป็นการระบุรายรายละเอียดที่จำเป็นเกี่ยวกับวิธีการที่องค์กรนำมาใช้ในการวัดประสิทธิผล เช่น แหล่งข้อมูลที่จะนำมาใช้ วิธีการรวบรวมข้อมูล ตารางเวลาที่จะทำการวัดประสิทธิผล ผู้รับผิดชอบ และวิธีการประมวลผลข้อมูล เป็นต้น        • การตั้งเป้าหมาย เป็นการกำหนดระดับของผลการวัด เพื่อใช้เป็นตัวชี้วัดว่าวิธีการควบคุมความมั่นคงของข้อมูลนั้นบรรลุตามวัตถุประสงค์หรือไม่ เช่น การวัดประสิทธิผลของการ

  12. การอนุวัติ CMMI ในอุตสาหกรรมซอฟต์แวร์ • มีคำถามว่า การนำ CMMI ไปใช้นั้นมีประโยชน์อย่างไร และ การอนุวัติ (Implement) จะต้องทำอย่างไรจึงจะประสบความสำเร็จด้วยดี ผมพยายามตอบคำถามนี้ในเนื้อที่สั้นๆ เพื่อให้ผู้ที่สนใจเกิดความเข้าใจ ดังนี้...

  13. Risk Management : The key process for ISO 27001 implementation • กระบวนการในการบริหารจัดการความเสี่ยงเป็น Requirement หนึ่งในการจัดทำระบบ ISMS (Information Security Management Systems) ตามมาตรฐาน ISO 27001 และถือเป็นส่วนสำคัญที่มีผลอย่างมากต่อความสำเร็จและความมีประสิทธิภาพ ของระบบ ISMS

  14. Information Security Policy • สิ่งสำคัญที่สุดในการดำเนินธุรกิจในยุคปัจจุบันคือ ข้อมูลต่างๆ ที่ใช้ประกอบการดำเนินธุรกิจ แต่หลายองค์กร แทบจะไม่ได้ให้ความ สนใจในจุดนี้นัก โดยทั่วไปมักจะให้ความสำคัญกับสิ่งที่จับต้องได้ หรือ ที่มีราคาแพงมากกว่า ทั้งที่ในความเป็นจริงแล้ว สิ่งของเหล่านั้นสามารถหามาทดแทนได้หากเกิดความเสียหายขึ้น แต่หากข้อมูลเสียหายไปโดยที่ไม่มีการสำรองไว้ก็ยากที่จะนำกลับคืนมา หรือ หากทำได้ก็ต้องใช้เวลานานในการที่จะรวบรวมข้อมูลที่เหมือนเดิมกลับมา แน่นอนว่าเราสามารถที่จะซื้อเครื่อง Server เครื่องใหม่ได้ทุกเมื่อ แต่เราไม่สามารถหาซื้อข้อมูลที่เรารวบรวมไว้ภายในเครื่องได้ ดังนั้นเราจึงควรให้ความสำคัญกับการปกป้องข้อมูลมากขึ้น

  15. บริษัทได้ตระหนักถึงความสำคัญของข้อมูลสารสนเทศ โดยให้มีการบริหารจัดการให้ระบบข้อมูลมีลักษณะคงความเป็น C I A  คือ • 1. การรักษาความลับ (Confidentiality) ให้บุคคลผู้มีสิทธิเท่านั้น เข้าถึงเรียกดูข้อมูลได้ ต้องมีการควบคุมการเข้าถึง ข้อมูลเป็นความลับต้องไม่เปิดเผยกับผู้ไม่มีสิทธิ • 2. ความถูกต้องแท้จริง (Integrity) มีเกราะป้องกันความถูกต้องครบถ้วนสมบูรณ์ของข้อมูล และวิธีการประมวลผล ต้องมีการควบคุมความผิดพลาด ไม่ให้ผู้ไม่มีสิทธิมาเปลี่ยนแปลงแก้ไข • 3. ความสามารถพร้อมใช้เสมอ (Availability) ให้บุคคลผู้มีสิทธิเท่านั้นเข้าถึงข้อมูลได้ทุกเมื่อที่ต้องการ ต้องมีการควบคุมไม่ให้ระบบล้มเหลว มีสมรรถภาพทำงานต่อเนื่อง ไม่ให้ผู้ไม่มีสิทธิมาทำให้ระบบหยุดการทำงาน

  16. ความปลอดภัยของข้อมูลสารสนเทศ (Information Security) • บริษัทฯ มีนโยบายให้ความปลอดภัยและการรักษาความลับของข้อมูล โดยบริษัทฯ ใช้ระบบรักษาความปลอดภัยที่มีมาตรฐานสูงทั้งในด้านเทคโนโลยีและกระบวนการเพื่อป้องกันการโจรกรรมข้อมูลที่เป็นความลับ บริษัทฯ ได้กำหนดให้มีระบบความปลอดภัยที่มีประสิทธิภาพ เพื่อให้มั่นใจได้ว่าเว็บไซต์และข้อมูลของบริษัทฯ มีการรักษาความปลอดภัยที่ได้มาตรฐาน รวมถึงการเลือกใช้ Firewall System, Anti-Virus System ที่มีมาตรฐานความปลอดภัยสูง รวมทั้งได้ใช้เทคโนโลยี เข้ารหัสข้อมูลที่ระดับ 128บิท(128Bit Encryption) ซึ่งเป็นการเข้ารหัสข้อมูลระดับสูงสำหรับการทำธุรกรรมผ่านบริการทางอินเทอร์เน็ต นอกจากนี้ บริษัทฯ ยังกำหนดให้ลูกค้าต้องลงทะเบียนก่อนจึงจะสามารถใช้บริการได้

  17. บริษัทฯ ได้มีการเลือกใช้เทคโนโลยีระบบคอมพิวเตอร์ที่มีระบบการรักษาความปลอดภัยในขั้นพื้นฐานที่เป็นมาตรฐานสากลอยู่แล้ว และเสริมด้วยการทำงานด้านอุปกรณ์ความปลอดภัยเฉพาะอีกชั้น และโดยหลักการทั่วไปในการควบคุมและรักษาความปลอดภัยให้กับระบบข้อมูลข่าวสาร ได้แก่การควบคุมส่วนต่าง ๆ ของระบบอย่างรัดกุม วิธีการที่ใช้ในการควบคุมมีดังนี้ • 1.  การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control)  โดยมีระดับวิธีการ 3 วิธีคือ

  18. -การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือการที่โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบฐานข้อมูลภายในระบบเอง • -  การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือการควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่ง และจำแนกแตกต่างจากผู้ใช้คนอื่น ๆ • -  การควบคุมและการออกแบบโปรแกรม (Development Control) คือการควบคุมตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง

  19. 2. การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control)  โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ ที่สามารถควบคุมการเข้าถึง และป้องกันการทำงานผิดพลาด ด้วยอุปกรณ์ภายในตัวเอง • 3. การใช้นโยบายในการควบคุม (Policies) โดยมีการประกาศใช้นโยบาย และการปรับปรุงนโยบายให้มีการทำงานสอดคล้องกับการดำเนินธุรกิจ และสภาพแวดล้อมที่เปลี่ยนแปลง โดยมีผลบังคับใช้ทั้งองค์กร • 4. การป้องกันทางกายภาพ (Physical Control)  การมีมาตรการการเข้าถึงศูนย์คอมพิวเตอร์ และเครื่องคอมพิวเตอร์ที่สำคัญได้เฉพาะเจ้าหน้าที่ที่เกี่ยวข้องเท่านั้น รวมทั้งมีระบบสำรองข้อมูลอย่างสม่ำเสมอ

  20. จบการนำเสนอ

More Related