รายงายเร��อง Security

จัดทำ าโดย นางสาว ส�ภาวลย� ป้�องภย เลขทำ�� 15

นางสาว ภคิ�ณี� ส�กทำน เลขทำ��16 นางสาว ย�วด� คิ าวงษา เลขทำ�� 33 นางสาว ชมพู"น�ช ศร�พูลน$อย เลข

ทำ��37

เสนอ อาจัารย� ส�รตน� ส�ขม�น

คิณีะศ�ลป้ศาสตร�และว�ทำยาศาสตร�

มหาว�ทำยาลยนคิรพูนม

 Security (คิวามป้ลอดภย) การคิวบคิ�มคิวามม�นคิงของข$อม"ล และการวด

ป้ระส�ทำธิ�ผลตามข$อก าหนดของมาตรฐาน ISO 27001

“ ” ดงทำ��ทำราบโดยทำ�วกนว-า ข$อม"ล(Information) ทำ��ม�คิวามถู"กต$อง และสามารถูใช$ในการต�ดต-อส��อสารได$อย-างรวดเร1ว

น2น คิ�อหวใจัส าคิญของการด าเน�นธิ�รก�จัใน ป้4จัจั�บน องคิ�กรทำ2งขนาดใหญ- และขนาดย-อม

ต-างก1ม�ข$อม"ลเป้5นทำรพูย�ส�นของตนเอง และถู�อได$ว-าเป้5นทำรพูย�ส�นทำ��ม�คิ-ามากทำ��ส�ดส าหรบ

องคิ�กร เน��องจัากทำรพูย�ส�นป้ระเภทำอ��น เช-น อาคิารสถูานทำ�� อ�ป้กรณี� บ�คิลากร

โดยทำ�วไป้สามารถูจัดซื้�2อ จัดหา หร�อจัดจั$างใหม- ได$ไม-ยากนก แต-หากข$อม"ลส าคิญ ยกตวอย-าง

เช-น ส"ตรการผล�ต รายละเอ�ยดการออกแบบ ระบบสารสนเทำศหลก ฯลฯ เก�ดการส"ญหาย

หร�อถู"กล-วงละเม�ดคิวามลบ ก1เป้5นการยากทำ��จัะ กอบก"$ หร�อสร$างข82นใหม-ในระยะเวลาอนส2น

อย-างไรก1ตาม เป้5นทำ��น-าเส�ยดายทำ��องคิ�กรส-วนใหญ-ในป้ระเทำศไทำยยงไม-ได$ตระหนกถู8งคิวามส าคิญของ

ทำรพูย�ส�นป้ระเภทำข$อม"ลของตนเองมากนก ส-ง ผลให$ขาดการคิวบคิ�มคิวามม�นคิงของข$อม"ล

อนน าไป้ส"-คิวามเส��ยงทำ��อาจัจัะทำ าให$องคิ�กรไม- สามารถูด าเน�นธิ�รก�จัได$อ�กต-อไป้ หากเก�ด

เหต�การณี�ไม-คิาดฝั4นข82นกบข$อม"ลส าคิญขององคิ�กร

คิวามม�นคิงของข$อม"ล” (Information Security) หมายถู8ง การทำ��ข$อม"ลม�องคิ�ป้ระกอบ

คิรบถู$วนทำ2ง 3 ด$านดงต-อไป้น�2 คิวามลบ(Confidentiality) คิวามถู"กต$องและสมบ"รณี�

คิรบถู$วน (Integrity) และ คิวามพูร$อมใช$งาน(Availability) ทำ2งน�2 เพู��อเป้5นการรกษาคิวาม

“ม�นคิงของข$อม"ล องคิ�กรจั าเป้5นต$องก าหนด ว�ธิ�การ” คิวบคิ�ม (Control) ทำ��เหมาะสมข82นมา โดยเป้5นว�ธิ� การใดๆ ก1ตามทำ��ม�จั�ดป้ระสงคิ�เพู��อการรกษาไว$ซื้8�งองคิ�

ป้ระกอบอย-างน$อยด$านใดด$านหน8�งจัากทำ��กล-าวมาแล$ว ดงน2น ว�ธิ�การคิวบคิ�มจั8งสามารถูเป้5นได$ต2งแต-ว�ธิ�การ ง-ายๆ เช-น การจัดเก1บเอกสารส าคิญในต"$ทำ��ป้;ดล1อคิ

เพู��อป้�องกนการถู"กลกลอบทำ าส าเนาโดยบ�คิคิลทำ��ไม-ได$ รบอน�ญาต ไป้จันถู8งว�ธิ�การทำ��สลบซื้บซื้$อน เช-น การ

ออกแบบระบบเคิร�อข-ายเพู��อป้�องกนการโจัมต�จัากผ"$ไม-ป้ระสงคิ�ด�

หากสงเกตจัากหวข$อด$านบนจัะพูบว-า ว�ธิ�การคิวบคิ�มคิวามม�นคิงของข$อม"ลน2นไม-ได$จั ากดอย"-แคิ-ว�ธิ�การทำางเทำคิน�คิเทำ-าน2น  แต-ยงคิรอบคิล�ม

ไป้ถู8งว�ธิ�การบร�หารจัดการด$านอ��นๆ อ�กด$วย ยก ตวอย-างเช-น การคิดเล�อกบ�คิลากร

(Personnel Security) การคิวบคิ�มด"แล คิวามม�นคิงป้ลอดภยของอาคิารสถูานทำ��

(Physical Security)   เป้5นต$น

องคิ�กรแต-ละแห-งต-างก1ม�ร"ป้แบบของธิ�รก�จั วฒนธิรรมองคิ�กร งบป้ระมาณี รวมถู8งป้4จัจัย

ส าคิญอ��นๆ ทำ��แตกต-างกนไป้ ดงน2น การก าหนดว�ธิ�การคิวบคิ�มคิวามม�นคิงของข$อม"ลจั8งต$อง

พู�จัารณีาให$เหมาะสมกบเง��อนไขขององคิ�กรน2นๆเน��องจัากว�ธิ�การทำ��ด�ส าหรบองคิ�กรหน8�งอาจัจัะไม-

เหมาะสมกบองคิ�กรแห-งอ��นก1เป้5นได$ ซื้8�งโดยทำ�วไป้ แล$ว องคิ�กรคิวรจัะคิดเล�อกว�ธิ�การคิวบคิ�มคิวาม

ม�นคิงของข$อม"ลให$สอดคิล$องกบผลการป้ระเม�นคิวามเส��ยง (Risk Assessment) และข$อบงคิบของกฎหมายทำ��เก��ยวข$อง

 การคิวบคิ�มคิวามม�นคิงของข$อม"ลน2นจั าเป้5นต$องใช$ ทำรพูยากรในการด าเน�นการ ผ"$บร�หารขององคิ�กรย-อม

คิาดหวงให$ว�ธิ�การคิวบคิ�มน2นได$ผลตามวตถู�ป้ระสงคิ� และคิ�$มคิ-ากบงบป้ระมาณีทำ��ได$ลงทำ�นไป้ ยกตวอย-าง

เช-น การต�ดต2งโป้แกรมป้�องกนไวรสต$องสามารถูลดอตราคิวามเส��ยงทำ��ข$อม"ลส าคิญในเคิร��องคิอมพู�วเตอร�

จัะถู"กโจัมต�จัากไวรสต-างๆ โดยม�คิ-าบ าร�งรกษาและคิ-าล�ขส�ทำธิ�>ของโป้รแกรมอย"-ภายในงบป้ระมาณีทำ��ได$

ก าหนดไว$ ฉะน2น เพู��อให$ทำราบว-าว�ธิ�การคิวบคิ�มคิวาม ม�นคิงของข$อม"ลต-างๆ ทำ��องคิ�กรน ามาใช$น2นบรรล�

ตามวตถู�ป้ระสงคิ� และคิวามคิาดหวงหร�อไม- องคิ�กร “จั8งต$องม�การน าเคิร��องม�ออย-างหน8�งมาใช$ ซื้8�งก1คิ�อ ก

ารวดป้ระส�ทำธิ�ผลของการคิวบคิ�มคิวามม�นคิงของ” ข$อม"ล (Effectiveness Measurement)

น�นเอง

      • รายละเอ�ยดของว�ธิ�การคิวบคิ�มคิวามม�นคิงของ  ข$อม"ลทำ��ต$องการวดป้ระส�ทำธิ�ผล เป้5นการระบ�ราย

ละเอ�ยดทำ��จั าเป้5นเก��ยวกบว�ธิ�การคิวบคิ�มทำ��องคิ�กร ต$องการวดป้ระส�ทำธิ�ผล เช-น ช��อว�ธิ�การคิวบคิ�ม

วตถู�ป้ระสงคิ� และขอบเขตของการวดผลป้ระส�ทำธิ�ผลเป้5นต$น      • รายละเอ�ยดของว�ธิ�การทำ��ใช$ในการวด

ป้ระส�ทำธิ�ผล เป้5นการระบ�รายรายละเอ�ยดทำ��จั าเป้5น เก��ยวกบว�ธิ�การทำ��องคิ�กรน ามาใช$ในการวดป้ระส�ทำธิ�ผล

เช-น แหล-งข$อม"ลทำ��จัะน ามาใช$ ว�ธิ�การรวบรวมข$อม"ล ตารางเวลาทำ��จัะทำ าการวดป้ระส�ทำธิ�ผล ผ"$รบผ�ดชอบ

และว�ธิ�การป้ระมวลผลข$อม"ล เป้5นต$น          • การต2งเป้�าหมาย เป้5นการก าหนดระดบของผล

การวด เพู��อใช$เป้5นตวช�2วดว-าว�ธิ�การคิวบคิ�มคิวาม ม�นคิงของข$อม"ลน2นบรรล�ตามวตถู�ป้ระสงคิ�หร�อไม-

เช-น การวดป้ระส�ทำธิ�ผลของการ

การ อน�วต� CMMI ในอ�ตสาหกรรมซื้อฟต�แวร�

ม�คิ าถูามว-า การน า CMMI ไป้ใช$น2นม�ป้ระโยชน� อย-างไร และ การอน�วต� (Implement) จัะต$องทำ า

อย-างไรจั8งจัะป้ระสบคิวามส าเร1จัด$วยด� ผมพูยายาม ตอบคิ าถูามน�2ในเน�2อทำ��ส2นๆ เพู��อให$ผ"$ทำ��สนใจัเก�ดคิวาม

เข$าใจั ดงน�2...  

 

Risk Management : The key process for ISO 27001 implementation

กระบวนการในการบร�หารจัดการคิวามเส��ยงเป้5นRequirement หน8�งในการจัดทำ าระบบ ISMS (Information Security Management Systems) ตามมาตรฐาน ISO 27001 และถู�อเป้5นส-วนส าคิญทำ��ม�ผลอย-างมากต-อคิวามส าเร1จัและ

คิวามม�ป้ระส�ทำธิ�ภาพู ของระบบ ISMS  

Information Security Policy ส��งส าคิญทำ��ส�ดในการด าเน�นธิ�รก�จัในย�คิป้4จัจั�บนคิ�อ

ข$อม"ลต-างๆ ทำ��ใช$ป้ระกอบการด าเน�นธิ�รก�จั แต-หลาย องคิ�กร แทำบจัะไม-ได$ให$คิวาม สนใจัในจั�ดน�2นก โดย

ทำ�วไป้มกจัะให$คิวามส าคิญกบส��งทำ��จับต$องได$ หร�อ ทำ��ม� ราคิาแพูงมากกว-า ทำ2งทำ��ในคิวามเป้5นจัร�งแล$ว ส��งของ

เหล-าน2นสามารถูหามาทำดแทำนได$หากเก�ดคิวามเส�ย หายข82น แต-หากข$อม"ลเส�ยหายไป้โดยทำ��ไม-ม�การส ารอง

ไว$ก1ยากทำ��จัะน ากลบคิ�นมา หร�อ หากทำ าได$ก1ต$องใช$เวลานานในการทำ��จัะรวบรวมข$อม"ลทำ��เหม�อนเด�มกลบ

มา แน-นอนว-าเราสามารถูทำ��จัะซื้�2อเคิร��อง Server เคิร��องใหม ่-ได$ทำ�กเม��อ แต-เราไม-สามารถูหาซื้�2อข$อม"ลทำ��

เรารวบรวมไว$ภายในเคิร��องได$ ดงน2นเราจั8งคิวรให$คิวามส าคิญกบการป้กป้�องข$อม"ลมากข82น

บร�ษทำได$ตระหนกถู8งคิวามส าคิญของข$อม"ล สารสนเทำศ โดยให$ม�การบร�หารจัดการให$ระบบข$อม"ล

ม�ลกษณีะคิงคิวามเป้5น C I A  คิ�อ1.  การรกษาคิวามลบ (Confidentiality) ให$

บ�คิคิลผ"$ม�ส�ทำธิ�เทำ-าน2น เข$าถู8งเร�ยกด"ข$อม"ลได$ ต$องม� การคิวบคิ�มการเข$าถู8ง ข$อม"ลเป้5นคิวามลบต$องไม-เป้;ด

เผยกบผ"$ไม-ม�ส�ทำธิ�2.  คิวามถู"กต$องแทำ$จัร�ง (Integrity) ม�เกราะ

ป้�องกนคิวามถู"กต$องคิรบถู$วนสมบ"รณี�ของข$อม"ล และว�ธิ�การป้ระมวลผล ต$องม�การคิวบคิ�มคิวามผ�ด

พูลาด ไม-ให$ผ"$ไม-ม�ส�ทำธิ�มาเป้ล��ยนแป้ลงแก$ไข3.  คิวามสามารถูพูร$อมใช$เสมอ (Availability) ให$บ�คิคิลผ"$ม�ส�ทำธิ�เทำ-าน2นเข$าถู8งข$อม"ลได$ทำ�กเม��อทำ��

ต$องการ ต$องม�การคิวบคิ�มไม-ให$ระบบล$มเหลว ม� สมรรถูภาพูทำ างานต-อเน��อง ไม-ให$ผ"$ไม-ม�ส�ทำธิ�มาทำ าให$

ระบบหย�ดการทำ างาน

คิวามป้ลอดภยของข$อม"ลสารสนเทำศ(Information Security)

บร�ษทำฯ ม�นโยบายให$คิวามป้ลอดภยและการรกษา คิวามลบของข$อม"ล โดยบร�ษทำฯ ใช$ระบบรกษาคิวาม

ป้ลอดภยทำ��ม�มาตรฐานส"งทำ2งในด$านเทำคิโนโลย�และกระบวนการเพู��อป้�องกนการโจัรกรรมข$อม"ลทำ��เป้5น

คิวามลบ บร�ษทำฯ ได$ก าหนดให$ม�ระบบคิวามป้ลอดภย ทำ��ม�ป้ระส�ทำธิ�ภาพู เพู��อให$ม�นใจัได$ว-าเว1บไซื้ต�และข$อม"ล

ของบร�ษทำฯ ม�การรกษาคิวามป้ลอดภยทำ��ได$มาตรฐาน รวมถู8งการเล�อกใช$ Firewall System, Anti-

Virus System ทำ��ม�มาตรฐานคิวามป้ลอดภยส"ง รวมทำ2งได$ใช$เทำคิโนโลย� เข$ารหสข$อม"ลทำ��ระดบ 128

บ�ทำ (128 Bit Encryption) ซื้8�งเป้5นการเข$ารหสข$อม"ลระดบส"งส าหรบการทำ าธิ�รกรรมผ-านบร�การทำาง

อ�นเทำอร�เน1ต นอกจัากน�2 บร�ษทำฯ ยงก าหนดให$ล"กคิ$าต$องลงทำะเบ�ยนก-อนจั8งจัะสามารถูใช$บร�การได$

บร�ษทำฯ ได$ม�การเล�อกใช$เทำคิโนโลย�ระบบคิอมพู�วเตอร�ทำ��ม�ระบบการรกษาคิวามป้ลอดภยในข2น

พู�2นฐานทำ��เป้5นมาตรฐานสากลอย"-แล$ว และเสร�มด$วย การทำ างานด$านอ�ป้กรณี�คิวามป้ลอดภยเฉพูาะอ�กช2น

และโดยหลกการทำ�วไป้ในการคิวบคิ�มและรกษาคิวาม ป้ลอดภยให$กบระบบข$อม"ลข-าวสาร ได$แก-การคิวบคิ�ม

ส-วนต-าง ๆ ของระบบอย-างรดก�ม ว�ธิ�การทำ��ใช$ในการคิวบคิ�มม�ดงน�2

1.  การคิวบคิ�มรกษาคิวามป้ลอดภยโดยตว ซื้อฟต�แวร� (Software Control)  

โดยม�ระดบว�ธิ�การ 3 ว�ธิ�คิ�อ

-  การคิวบคิ�มจัากระบบภายในของซื้อฟต�แวร�(Internal Program Control)        คิ�อการทำ��

โป้รแกรมน2นได$ม�การคิวบคิ�มส�ทำธิ�การเข$าถู8ง และส�ทำธิ� ในการใช$ข$อม"ลภายในระบบ ซื้8�งถู"กจัดเก1บไว$ในระบบ

ฐานข$อม"ลภายในระบบเอง-  การคิวบคิ�มคิวามป้ลอดภยโดยระบบป้ฏิ�บต�การ

(Operating System Control) คิ�อการ คิวบคิ�มส�ทำธิ�การเข$าถู8งและการใช$ข$อม"ลในส-วนต-าง ๆ

ภายในระบบคิอมพู�วเตอร�ของผ"$ใช$คินหน8�ง และ จั าแนกแตกต-างจัากผ"$ใช$คินอ��น ๆ

-  การคิวบคิ�มและการออกแบบโป้รแกรม(Development Control) คิ�อการคิวบคิ�ม

ต2งแต-การออกแบบ การทำดสอบก-อนการใช$งานจัร�ง

2. การคิวบคิ�มคิวามป้ลอดภยของระบบโดย ฮาร�ดแวร� (Hardware Control)  

โดยเล�อกใช$เทำคิโนโลย�ทำางด$านฮาร�ดแวร� ทำ��สามารถู คิวบคิ�มการเข$าถู8ง และป้�องกนการทำ างานผ�ดพูลาด

ด$วยอ�ป้กรณี�ภายในตวเอง3. การใช$นโยบายในการคิวบคิ�ม (Policies)

โดยม�การป้ระกาศใช$นโยบาย และการป้รบป้ร�งนโยบายให$ม�การทำ างานสอดคิล$องกบการด าเน�น

ธิ�รก�จั และสภาพูแวดล$อมทำ��เป้ล��ยนแป้ลง โดยม�ผลบงคิบใช$ทำ2งองคิ�กร

4. การป้�องกนทำางกายภาพู (Physical Control) 

การม�มาตรการการเข$าถู8งศ"นย�คิอมพู�วเตอร� และเคิร��องคิอมพู�วเตอร�ทำ��ส าคิญได$เฉพูาะเจั$าหน$าทำ��ทำ��

เก��ยวข$องเทำ-าน2น รวมทำ2งม�ระบบส ารองข$อม"ลอย-างสม �าเสมอ

จับการน าเสนอ