การรกษาความมนคงปลอดภยสารสนเทศ

กรณศกษา ศนยการแพทยสมเดจพระเทพรตนราชสดาฯ

สยามบรมราชกมาร

Information Security Case Study for

HRH Princess Maha Chakri Sirindhorn Medical Center

เฉลม สวรรณะ

Chalerm Suwunna

สารนพนธฉบบนเปนสวนหนงของการศกษา

ตามหลกสตรวทยาศาสตรมหาบณฑต

สาขาวชาวศวกรรมเครอขาย บณฑตวทยาลย

มหาวทยาลยเทคโนโลยมหานคร

ปการศกษา 2554

I

หวขอสารนพนธ การรกษาความมนคงปลอดภยสารสนเทศ กรณศกษา

ศนยการแพทยสมเดจพระเทพรตนราชสดาฯ

สยามบรมราชกมาร

นกศกษา นายเฉลม สวรรณะ

รหสนกศกษา 5317660058

ปรญญา วทยาศาสตรมหาบณฑต

ภาควชา วศวกรรมเครอขาย

พ. ศ. 2554

อาจารยผควบคมสารนพนธ ดร.บรรจง หะรงษ

บทคดยอ

ปจจบนมการนาเทคโนโลยสารสนเทศ เขามาใชงานเพอเพมประสทธภาพการทางาน

เพมความรวดเรว ความถกตองแมนยาของขอมลตางๆ รวมถงความรวดเรวในการใหบรการ

การแลกเปลยนขอมล แตในการใชเทคโนโลยสารสนเทศนนมกพบปญหาตางๆ หลายดาน

ไมวาจะดานความมนคงปลอดภยของระบบ การถกโจมตระบบเครอขายขององคกร การใช

เทคโนโลยสารสนเทศไปในทางทผด การนาเอาเทคโนโลยไปใชเพอหาประโยชนสวนบคคล ทา

ใหองคกรไดร บความเสยหาย ดงนน การกาหนดนโยบายดานความมนคงปลอดภยทาง

เทคโนโลยสารสนเทศในองคกรจงมความสาคญอยางยง

สารนพนธน เปนการจดทานโยบายและดาเนนการจดการความเสยงใหกบระบบ เพอให

ระบบมเสถยรภาพดานความมนคงปลอดภย และมกรอบนโยบายดานความมนคงปลอดภย

เพอทจะนาไปใชไดในอนาคต โดยอางองตามมาตรฐานสากล ISO/IEC 27001 ซงเปนวธการ

ปองกนความเสยงเทคโนโลยสารสนเทศทองคกรสวนใหญนยมใช

II

กตตกรรมประกาศ

ผจดทาขอขอบพระคณทานอาจารย ดร.บรรจง หะรงษ และคณาจารยบณฑตศกษา

สาขาวชาวศวกรรมเครอขาย ทไดกรณาใหคาแนะนา ตรวจสอบ แกไข ปรบปรงขอบกพรอง

ในการจดทาสารนพนธนจนสาเรจไดอยางสมบรณ

ขอขอบพระคณ โรงพยาบาลศนยการแพทยสมเดจพระเทพรตนราชสดาฯ สยามบรม

ราชกมาร คณะแพทยศาสตร มหาวทยาลยศรนครนทรวโรฒ ทใหความอนเคราะหเปนองคกร

กรณศกษา ในการจดทาสารนพนธน

คณประโยชนทเกดจากสารนพนธฉบบน ผจดทาขอมอบแดครอาจารยทกทาน ดวย

ความเคารพยง

เฉลม สวรรณะ

16 ต.ค. 2554

III

สารบญ

หนา

บทคดยอภาษาไทย I

กตตกรรมประกาศ II

สารบญ III

สารบญตาราง VI

สารบญรป VII

บทท 1 บทนา

1.1 ความเปนมาและมลเหตจงใจในการเสนอโครงงาน 1

1.2 วตถประสงคของโครงงาน 1

1.3 ขอบเขตของโครงงาน 2

1.4 ประโยชนทคาดวาจะไดรบ 3

1.5 ระยะเวลาในการดาเนนงาน 4

บทท 2 ความรพนฐาน 2.1 ระบบมาตรฐานดานความปลอดภยของขอมลทนามาประยกตใชงาน 5

2.1.1 รายละเอยดของแตละหวขอในมาตรฐาน ISO 27001 6

2.1.2 มาตรฐาน ITIL (IT Infrastructure Library) 15

2.2 องคประกอบพนฐานดานความปลอดภยของขอมล 17

2.2.1 Confidentiality (ความลบของขอมล) 17

2.2.2 Integrity (ความคงสภาพของขอมล) 17

2.2.3 Availability (ความพรอมใชงานของขอมล) 18

2.2.4 Authentication (การพสจนทราบตวตนทแทจรง) 18

2.2.5 Authorization (การอนญาตใหเขาใชงานและลาดบสทธในการเขาถง) 18

2.2.6 Non-repudiation (การไมสามารถปฏเสธความรบผดชอบ) 18

2.3 การบรหารและประเมนความเสยงของระบบคอมพวเตอรและระบบเครอขาย 19

2.3.1 การประเมนความเสยง (Risk Assessment) 19

2.3.2 การควบคมและแกไขความเสยง (Risk Treatment) 20

2.3.3 การวเคราะหความเสยงและการประเมนความเสยง 20

2.3.4 การประเมนคาความเสยง (Risk Evaluation) 22

2.3.5 ขนตอนการประเมนความเสยงของระบบคอมพวเตอรและเครอขาย 22

2.4 บทสรป 23

IV

สารบญ (ตอ)

หนา

บทท 3 วธการนาเสนอ (Methodology) 3.1 กาหนดโครงสรางและองคประกอบในการจดทาโครงงาน 24

3.1.1 ศกษาความรทเกยวของกบการจดทาโครงการ 24

3.2 ตรวจสอบชองโหว วเคราะหความเสยงและประเมนความเสยง 24

3.2.1 การวเคราะหความเสยง (Risk Analysis) 24

3.2.2 การประมาณความเสยง (Risk Estimation) 25

3.2.3 การประเมนคาความเสยง (risk evaluation) 27

3.3 จดทานโยบายรกษาความมนคงปลอดภยสารสนเทศ 28

3.4 ปรบปรงโครงสรางระบบเครอขายใหมใหตรงกบนโยบายสารสนเทศ 28

ทม นคงปลอดภย

3.5 ปดชองโหวและเพมความแขงแกรงของระบบ 28

3.6 ตรวจสอบระบบหลงปดชองโหวและเพมความแขงแกรง 28

3.7 สรปผลการดาเนนงาน 28

บทท 4 การทดลองและผลการทดลอง 4.1 ระบบเครอขายของโรงพยาบาลศนยการแพทยสมเดจพระเทพรตนราชสดาฯ 29

สยามบรมราชกมาร มหาวทยาลยศรนครนทรวโรฒ

4.2 ผลการประเมนความเสยงกอนดาเนนโครงการ 30

4.2.1 ผลการตรวจสอบและประเมนความเสยงของระบบกอนดาเนนโครงการ 30

4.3 รางนโยบายรกษาความมนคงปลอดภยสารสนเทศ 61

4.4 ปรบปรงระบบเครอขายและทาการปดชองโหว 65

4.4.1 ทาการปรบปรงระบบเครอขายใหม 66

4.4.2 ทาการทดสอบเจาะระบบ 72

4.4.3 ทาการปดชองโหวของระบบ (Hardening) 76

4.5 ตรวจสอบระบบหลงปดชองโหวและเพมความแขงแกรง 77

4.6 ประเมนความเสยงหลงดาเนนโครงการ 79

4.7 สรปผลการดาเนนงาน 81

บทท 5 สรปผลโครงงาน

5.1 สรปผลการดาเนนโครงการ 82

5.2 ขอเสนอแนะ 83

V

สารบญ (ตอ)

หนา

เอกสารอางอง 84

ภาคผนวก

ภาคผนวก ก เอกสารประกอบการสอบราคาซออปกรณเครอขาย ก-1

ภาคผนวก ข เอกสารประกอบการขอตดตงสายสอสารสารองสาหรบ ข-1

การใชงานอนเตอรเนต

ภาคผนวก ค เอกสารการสารวจและการตดตงอปกรณกระจายสญญาณ ค-1

ไรสาย

ภาคผนวก ง การปรบปรงระบบไฟฟาสารอง ง-1

ภาคผนวก จ เอกสารรบรองการตดตงระบบสารองขอมลสารสนเทศ จ-1

โรงพยาบาล

ภาคผนวก ฉ หนงสอแตงตงคณะกรรมการสารสนเทศ ฉ-1

ภาคผนวก ช เอกสารการขออนญาตตรวจสอบระบบความมนคงปลอดภย ช-1

ของระบบสารสนเทศ

VI

สารบญตาราง

ตารางท หนา

2.1 ตารางคานวณความเสยง 20

3.1 ระดบโอกาสในการเกดความเสยง 25

3.2 ระดบความรนแรงของผลกระทบความเสยง 26

3.3 ระดบความรนแรงของผลกระทบความเสยง 27

3.4 ระดบการประเมนความเสยง 27

4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ 31

4.2 ตารางสรปผลการประเมนความเสยงกอนเรมโครงการ 53

4.3 ผลการตรวจสอบและประเมนความเสยงทดาเนนการแกไข 55

4.4 ตารางประเมนความเสยงหลงดาเนนโครงงาน 79

VII

สารบญรป

รปท หนา

2.1 11 โดเมนหลกของ ISMS (Information Security Management System) 5

2.2 แสดงสวนประกอบของ ITIL 15

4.1 ปญหาสายเชอมสญญาณภายในองครกษ ผลกระทบ 203.9 ชม. 58

4.2 ปญหาสายเชอมสญญาณระหวางประสานมตรกบองครกษ ผลกระทบ105.13 ชม. 59

4.3 ปญหาสายเชอมสญญาณภายในประสานมตร ผลกระทบ 15.30 ชม. 59

4.4 ปญหาสายเชอมสญญาณระหวางประสานมตรกบ uninet ผลกระทบ 40 ชม. 60

4.5 ผงระบบเครอขายเดม 66

4.6 ผงระบบเครอขายทปรบปรงใหม 66

4.7 แสดงปรมาณการใชงานเครอขายอนเตอรเนตหลงดาเนนโครงการ 67

4.8 แสดงเครองลกขายทเชอมตอมายงเซอรฟเวอรสแกนไวรส 68

4.9 แสดงสถานะผลการสแกนเครองลกขาย 69

4.10 แสดงลาดบเครองลกขายทตรวจพบไวรส 69

4.11 แสดงไวรสทตรวจจบไดสงสด 70

4.12 แสดงสถานะอปกรณเปนสเขยวเมออปกรณใชงานปกต 70

4.13 แสดงสถานะเปนสแดงเมออปกรณไมสามารถใหบรการได 71

4.14 แสดงสถานะแพคเกตของอปกรณ 71

4.15 แสดงแมกแอดเดรสของเครองเปาหมายยงเปนคาเดม 78

4.16 แสดงการรโมทเขาใชงานโดยใช SSH 78

4.17 แผนภมแสดงการเปรยบเทยบระดบความเสยงกอนและหลงดาเนนโครงการ 81

5.1 แผนภมแสดงการเปรยบเทยบระดบความเสยงกอนและหลงดาเนนโครงการ 82

บทท 1

บทนา

1.1 ความเปนมาและมลเหตจงใจในการเสนอโครงงาน

จากผลของการพฒนาประเทศและความกาวหนาทางเทคโนโลยทมมากขนในปจจบน

ทาใหมการนาเอาเทคโนโลย โดยเฉพาะเทคโนโลยสารสนเทศ เขามาใชงานเพอเพม

ประสทธภาพการทางาน เพมความรวดเรว ความถกตองแมนยาของขอมลตางๆ รวมถงความ

รวดเรวในการใหบรการ การแลกเปลยนขอมล ซงไมวาจะเปนองคกรขนาดเลกหรอขนาดใหญ

ยอมมความจาเปนในการใชระบบเทคโนโลยสารสนเทศในการดาเนนกจการตางๆ ดวยกน

ทงสน แตในการใชเทคโนโลยสารสนเทศนนมกพบปญหาตางๆ หลายดาน ไมวาจะดานความ

มนคงปลอดภยของระบบ การถกโจมตระบบเครอขายขององคกร การใชเทคโนโลยสารสนเทศ

ไปในทางทผด การนาเอาเทคโนโลยไปใชเพอหาประโยชนสวนบคคล ทาใหองคกรไดรบความ

เสยหาย ดงนน การกาหนดนโยบายดานความมนคงปลอดภยทางเทคโนโลยสารสนเทศใน

องคกรจงมความสาคญอยางยง

โรงพยาบาลศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ สยามบรมการกมาร เปน

โรงพยาบาลในสงกดคณะแพทยศาสตร มหาวทยาลยศรนครนทรวโรฒ เปนโรงพยาบาลขนาด

500 เตยง ใหบรการรกษาผปวย และเปนสถาบนในการจดการเรยนการสอนของคณะ

แพทยศาสตร และนสตคณะอนๆ ในสายวทยาศาสตรสขภาพทเกยวของ ซงไดนาเอาระบบ

เทคโนโลยสารสนเทศมาใชงานดวย ซงในปจจบนระบบยงไมมเสถยรภาพดานความปลอดภย

ของระบบ และยงไมมการทานโยบายดานความปลอดภยทเปนลายลกษณอกษร ดวยเหตน

ผจดทาเหนวาควรมการจดทานโยบายและดาเนนการจดการความเสยงใหกบระบบสารสนเทศ

เพอใหระบบมเสถยรภาพดานความมนคงปลอดภย และมกรอบนโยบายดานความมนคง

ปลอดภย เพอทจะนาไปใชไดในอนาคต

1.2 วตถประสงคของโครงงาน

1. เพอจดทาเสนอรางนโยบายการรกษาความปลอดภยทางเทคโนโลยสารสนเทศใหกบ

องคกร

2. เพอเปนการลดและปองกนความเสยงของระบบเทคโนโลยสารสนเทศทอาจ

กอใหเกดผลกระทบกบการดาเนนงานในองคกร

3. เพอเปนแนวทางในการจดการกบความเสยงทจะเกดขนตอองคกร ใหมความมนคง

ปลอดภยมากขน

4. เพอเปนแนวทางในการปฏบตงานของผมสวนเกยวของกบเทคโนโลยสารสนเทศ

2

1.3 ขอบเขตของโครงงาน

เพอใหโครงงาน ไดบรรลตามวตถประสงค ผจดทาจงไดกาหนดของเขตของโครงงานไว

ดงน

1. ศกษา รวบรวม ความตองการขององคกร ในดานการรกษาความมนคงปลอดภยของ

ระบบเครอขาย

โครงงาน 1

2. ประเมนความเสยงของระบบเทคโนโลยสารสนเทศทใชอยปจจบน กบมาตรฐาน

และขอกาหนดดานความมนคงปลอดภยตามมาตรฐาน ISO 27001 ทมหวขอสาคญ 11 หวขอ

(Domain) ดงนคอ

A 5 นโยบายความมนคงปลอดภย( Security policy )

A.6 โครงสรางทางดานความมนคงปลอดภยสาหรบองคกร(Organization of

information security)

A 7 การบรหารจดการทรพยสนขององคกร (Asset management)

A.8 ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)

A.9 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม (Physical and

environmental security)

A10 การบรหารจดการดานการสอสารและการดาเ นนงานของเครอขาย

สารสนเทศขององคกร (Communications and Operations Management)

3

A11 การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control)

A12 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ (Information

Systems Acquisition, Development and Maintenance)

A.13 การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภย ขององคกร

(Information security incident management)

A14 การบรหารความตอเนองในการดาเนนงาน (Business Continuity

Management)

A15 การปฏบตตามขอกาหนด (Compliance)

1. มการจดทาเสนอรางนโยบายรกษาความปลอดภยเทคโนโลยสารสนเทศ ตาม

มาตรฐาน ISO/IEC 27001

โครงงาน 2

2. เสนอแนวทางแกไขเพอลดความเสยง และกระบวนการดาเนนงาน ในหวขอททาง

ผทาโครงงานและผบรหารไดเลอกเพอดาเนนการแกไขกอน

3. มการทา Hardening เพอเพมความแขงแกรงใหกบระบบเครอขาย

1.4 ประโยชนทคาดวาจะไดรบ

1. ทาใหองคกรไดตระหนกถงความเสยงทมโอกาสจะเกดขนจากรายงานฉบบน

2. ทาใหลดและปองกนความเสยงทอาจกอใหเกดผลกระทบในการดาเนนงานในองคกร

3. ทาใหองคกรมแนวทางจดการกบความเสยงทจะเกดขน และมความมนคงปลอดภย

มากขน

4. สรางความนาเชอถอและภาพลกษณแกองคกร

4

1.5 ระยะเวลาในการดาเนนงาน

ตารางท 1.1 ระยะเวลาในการดาเนนงาน

การดาเนนงาน พ.ค. ม.ย. ก.ค ส.ค. ก.ย. ต.ค. พ.ย. ธ.ค. ม.ค. ก.พ. ม.ค.

1. คนควาและรวบรวมขอมล

- ศกษาขอมลระบบตางๆ

- ศกษาเกยวกบมาตรฐาน

ISO/IEC 27001

- ศกษาและรวบรวมขอมล

ตางๆขององคกร

กรณศกษา

2. ประเมนความเสยงและ

ระดบความเสยง (Risk

Assessment and Risk

Analysis)

3. จดทานโยบาย

4. ทา Risk Treatment

(ควบคม แกไข ความเสยง)

- Hardening ทาระบบให

แขงแกรงขน และเขยน

ขอเสนอแนะ

5. สรปและจดทารายงาน

บทท 2

ความรพนฐาน

ในบทน จะกลาวถง พนฐานความรตางๆ ทเกยวของกบสารนพนธ ประกอบดวยหวขอ

ตางๆ ดงน

2.1 ระบบมาตรฐานดานความปลอดภยของขอมลทนามาประยกตใชงาน

2.2 องคประกอบพนฐานดานความปลอดภยของขอมล

2.3 การบรหารและประเมนความเสยงของระบบคอมพวเตอรและระบบเครอขาย

2.4 บทสรป

2.1 ระบบมาตรฐานดานความปลอดภยของขอมลทนามาประยกตใชงาน

มาตรฐานความปลอดภยของขอมลทเลอกใช คอ มาตรฐาน ISO/IEC 27001 เปน

มาตรฐานการจดการขอมลทมไวเพอใหธรกจดาเนนไปอยางตอเนอง ซงขอกาหนดตางๆ หวขอ

สาคญในมาตรฐาน ISO/IEC27001 ประกอบดวย 11 โดเมนหลก ไดแก

1. นโยบายความมนคงขององคกร (Security Policy)

2. โครงสรางความมนคงปลอดภยในองคกร (Organization of Information Security)

3. การจดหมวดหมและการควบคมทรพยสนขององคกร (Asset Management)

4. มาตรฐานของบคลากรเพอสรางความมนคงปลอดภยใหกบองคกร (Human

Resources Security)

5. ความมนคงทางดานกายภาพและสงแวดลอมขององคกร (Physical and

Environmental Security)

6. การบรหารจดการดานการสอสารและการดาเนนงานของระบบสารสนเทศของ

องคกร (Communications and Operations Management)

7. การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control)

8. การพฒนาและดแลระบบสารสนเทศ (Information Systems Acquisition,

Development and Maintenance)

9. การบรหารจดการเหตการณละเมดความมนคงปลอดภย (Information Security

Incident Management)

10. การบรหารความตอเนองในการดาเนนงานขององคกร (Business Continuity

Management)

11. การปฏบตตามขอกาหนดทางดานกฎหมายและบทลงโทษของการละเมนนโยบาย

(Compliance)

6

รปท 2.1 11 โดเมนหลกของ ISMS (Information Security Management System)

2.1.1 รายละเอยดของแตละหวขอในมาตรฐาน ISO 27001

1. นโยบายความมนคงขององคกร

วตถประสงคเพอกาหนดทศทางและใหการสนบสนนการดาเนนการดานความ

มนคงปลอดภยสาหรบสารสนเทศขององคกร เพอใหเปนไปตามหรอสอดคลองกบขอกาหนด

ทางธรกจ และระเบยบปฏบตทเกยวของ

- เอกสารนโยบายเทคโนโลยสารสนเทศขององคกรอยางเปนลายลกษณอกษร

เอกสารนโยบายตองไดรบการอนมตจากผบรหารขององคกรกอนนาไปใชงาน และตองเผยแพร

ใหพนกงานและหนวยงานภายนอกทงหมดทเกยวของไดรบทราบ

- การทบทวนนโยบายเทคโนโลยสารสนเทศ ผบรหารองคกรตองดาเนนการ

ทบทวนนโยบายเทคโนโลยสารสนเทศตามระยะเวลาทกาหนดไวหรอเมอมการเปลยนแปลงท

สาคญ

2. โครงสรางความมนคงปลอดภยในองคกร

เปนการบรหารจดการความปลอดภยขอมลภายในองคกร โดยมหลกการดงน

- มการกาหนดโครงสราง, บทบาทหนาทความรบผดชอบของผเกยวของ เพอ

ควบคมการดาเนนงานใหเปนไปตามขนตอนทถกตองและมประสทธภาพ

- มการกาหนดมาตรการในการรกษาความปลอดภยของขอมลและอปกรณ

ประมวลผลตางๆ จากบคคลภายนอก เพราะจะกอใหเกดความเสยง/ความเสยหายตอองคกรได

หากไมมแนวทางการควบคมทรดกม

- กรณทมการวาจางหนวยงานอนใหดาเนนงานทางดานการประมวลผลขอมล

จะตองระบมาตรการในการควบคมไวในสญญาอยางชดเจน

7

- การดาเนนงานทางดานความปลอดภยขอมลของแตละองคกร ควรมการ

วาจางทปรกษาเพอใหความร คาแนะนาและชวยในการตดสนใจเพอหาแนวทางทด และ

เหมาะสมกบองคกรมากทสด

3. การจดหมวดหมและการควบคมทรพยสนขององคกร

ชวยในการกาหนดระดบการปองกนความเสยหายทอาจเกดขนโดยแบงการ

จาแนกประเภทของสนทรพยภายในองคกร ไดดงน

- สนทรพยสารสนเทศ ไดแก ขอมลตางๆ ทถกจดเกบไวในฐานขอมล เอกสาร

คมอใชงาน สอการเรยนการสอน ขนตอนการปฏบตงาน และแผนงาน

- สนทรพยซอฟตแวร ไดแก ซอฟตแวรประยกต ซอฟตแวรระบบ เครองมอ

ตางๆ ทใชในการพฒนาระบบ

- สนทรพยทจบตองได ไดแก อปกรณคอมพวเตอร อปกรณสอสาร อปกรณ

จดเกบขอมล

4. มาตรฐานของบคลากรเพอสรางความมนคงปลอดภยใหกบองคกร

เปนการกาหนดมาตรการเพอลดความเสยงอนเกดจากความผดพลาดของมนษย

โดยมหลกการดงน

- เรมตงแตขนตอนของการวาจางจะตองมการกาหนดบทบาทหนาทความ

รบผดชอบทางดานความปลอดภยไวในสญญาอยางชดเจน และตดตามผลการปฏบตงานเปน

รายบคคล

- กาหนดขอตกลงรวมกนวาขอมลของแตละฝายถอเปนความลบ หามมใหนา

ขอมลของอกฝายไปเผยแพรใหแกบคคลอน ซงขอตกลงดงกลาวจะตองสอดคลองกนกบสญญา

การวาจาง

- อบรมใหพนกงานทราบและตระหนกถงความสาคญของการรกษาความ

ปลอดภยขอมล เพอเปนแนวทางในการปฏบตงานทสนบสนนนโยบายความปลอดภยของ

องคกร

- รายงานผลกรณทเกดเหตการณตางๆ อนสงผลกระทบตอความปลอดภยของ

องคกรใหแกผบรหารไดรบทราบโดยดวน เพอพจารณาหาแนวทางแกไข

5. ความมนคงทางดานกายภาพและสงแวดลอมขององคกร

เพอปองกนการเขาถงจากบคคลภายนอกทไมไดรบอนญาต รวมไปถงปองกน

ความเสยหายและการแทรกแซงขอมลตางๆ โดยมหลกการดงน

- กาหนดพนทการรกษาความปลอดภยทชดเจน โดยผทถกอนญาตเทานนท

สามารถเขาได

- มสญญาณเตอนภยกรณเกดเหตฉกเฉน เชน มเสยงเตอนกรณเกดไฟไหม

- จดเกบเครองมอและอปกรณทใชในการประมวลผลขอมลทางธรกจไวใน

บรเวณทมความปลอดภย และมการควบคมทด

8

- ควบคมดแลความปลอดภยของอปกรณ เพอลดความเสยงจากการเขาถง

ขอมลโดยไมไดรบอนญาต และปองกนความเสยหายทอาจเกดขน เชน การจดการเกยวกบ

ระบบสารองไฟเพอรองรบเหตฉกเฉนกรณทไฟฟาดบ, การบารงรกษาอปกรณใหอยในสภาพด

เหมาะตอการใชงาน และมความถกตอง

6. การบรหารจดการดานการสอสารและการดาเนนงานของระบบ

สารสนเทศขององคกร

เปนการกาหนดแนวทางในการปฏบตงานและเพมความปลอดภยของอปกรณ

ประมวลผลขอมล เพอลดความผดพลาดของระบบ ไดแก

6.1 การกาหนดบทบาทหนาทและความรบผดชอบในการปฏบตงานดงน

- จดทาเอกสารเกยวกบวธการปฏบตงานทถกกาหนดขนเปนนโยบาย

ทางดานการ รกษาความปลอดภยโดยระบขนตอนทชดเจน

- ควบคมการเปลยนแปลงเกยวกบการปฏบตงาน ซงหากควบคมไมดพอก

จะกอใหเกดความลมเหลวของระบบได การควบคมทดจะตองคานงถง ขนตอนการดาเนนงาน

การทเปลยนแปลงไปจะสงผลใหการปฏบตงานเปนไปในทศทางใด

- การจดการกบเหตการณทเกดขน จะตองเรมจากการวเคราะหและเพอหา

สาเหตของปญหา วางแผนและกาหนดแนวทางแกไขเพอปองกนไมใหเกดเหตการณนขนอกใน

อนาคต ทายสดจะตองมการรายงานผลใหกบผทเกยวของไดรบทราบเพอตระหนกถงปญหาท

เกดขน

- การแบงภาระหนาทความรบผดชอบ เพอตดตามผลการดาเนนงาน

ทางดานความปลอดภยขององคกร ซงจะชวยลดความเสยงทเกดจากการทางานทไมถกตอง

6.2 การวางแผนระบบและการยอมรบระบบงานเพอเปนการลดความเสยงทเกด

จากความลมเหลวของระบบใหนอยทสด เพราะการวางแผนและการเตรยมการทดจะชวยสราง

ความมนใจเกยวกบความเพยงพอของความจ (Capacity) และทรพยากร โดยมหลกการดงน

- วางแผนเกยวกบความจของระบบ โดยจะตองคานงถงความตองการใน

อนาคต เพอใหสามารถรองรบการประมวลผลและการจดเกบขอมล

- การยอมรบระบบงาน ในกรณทองคกรพฒนาระบบขนมาใหมนน กอนอน

ระบบนนจะตองผานการทดสอบเพอพสจนวาสามารถรองรบการทางาน และตอบสนองความ

ตองการได โดยจะตองกาหนดหลกเกณฑในการพจารณาไวอยางชดเจน ซงไดแก การคานง

ทางดานประสทธภาพ (Performance) และความจของเครองคอมพวเตอร การกระบบกรณเกด

ปญหาหรอเกดขอผดพลาด การเตรยมการและการทดสอบขนตอนการทางานตามมาตรฐานท

กาหนดไว และทายสดจะตองมการอบรมเกยวกบการใชงานระบบใหมใหแกผทเกยวของ

6.3 การรกษาความถกตองของซอฟตแวร (Software) และขอมลควรมมาตรการ

ในการตรวจจบและหลกเลยงขอผดพลาดเพอปองกนซอฟตแวร ทจะกอใหเกดความเสยหายตอ

ระบบ โดยอยบนพนฐานของความปลอดภย การเขาถงระบบอยางถกตองและการจดการทด

9

โดยมหลกการดงน

- กาหนดนโยบายทสอดคลองกบซอฟตแวร (Software licenses) และ

ขอหามในการใชงาน

- กาหนดนโยบายตอการบรหารความเสยงทเกดจากการไดรบขอมลผาน

เนตเวรค

- ตดตงและอพเดท (Update) โปรแกรมแอนตไวรส (Anti Virus)

- มการสารองขอมล (Back up) ขอมลและโปรแกรมไว เพอสามารถกคน

กรณทถกไวรส (Virus) ควรมการสารองขอมลขอมลทางธรกจและโปรแกรมการใชงานเปน

ประจา ซงจะชวยสรางความมนใจไดวาขอมลทสาคญเหลานนจะถกกคนไดกรณ ทระบบม

ปญหา

6.4 การจดการทางดานเครอขาย เพอสรางความมนใจเกยวกบความถกตองของ

ขอมลในระบบเครอขายโดยมการควบคมทด และปองกนการเขาถงจากบคคลภายนอกทไมได

รบอนญาต

6.5 การจดการเกยวกบความปลอดภยและการควบคมสอตางๆ เพอปองกน

ความเสยหายเกยวกบสนทรพยและการดาเนนงานทางธรกจ วธการปฏบตงานทเหมาะสมควร

คานงถงการปองกนเอกสาร อปกรณจดเกบขอมล (เทป, ดสก) ขอมลนาเขา – ขอมลผลลพธ

และการเขาถงขอมลของบคคลภายนอกทไมไดรบอนญาต การจดการเกยวกบอปกรณจดเกบ

ขอมล อาทเชน เทป, ดสก, และรายงาน มการควบคมดงน

- หากขอมลทถกจดเกบบนสอตางๆ ไมมการดงมาใชงานอกตอไป ควร

ลบทง

- ควรเกบรกษาสอตางๆ ทเกบขอมลไวในสถานททปลอดภย

6.6 การแลกเปลยนขอมลและซอฟตแวร ควรมการกาหนดแนวทางเพอปองกน

ความเสยหาย, การเปลยนแปลง และการใชงานทผดวธของขอมลทมการแลกเปลยนระหวาง

องคกร ซงจะตองมการควบคมทดและตองสอดคลองตามทกฎหมายกาหนด โดยมหลกการดงน

- ขอตกลงเกยวกบการแลกเปลยนซอฟตแวร และขอมลควรพจารณาถง

ภาระหนาทในการจดการควบคมและแจงใหรบทราบเกยวกบการสงผานขอมล มาตรฐานทาง

เทคนคในการสงขอมล การรบผดชอบกรณทขอมลเกดการสญหาย

- ความปลอดภยของสอทใชสงขอมล วธการสงทนาเชอถอ มความถกตอง

มการจดเกบทดเพอปองกนการถกทาลาย มการควบคมเปนพเศษ อาท เชน การใชตเกบ การ

สงดวยมอ การแบงสงขอมลตามเสนทางตางๆ การใชลายมอชอดจทล และการเขารหสขอมล

- ความปลอดภยของพาณชยอเลกทรอนกส ซงเกยวของกบการ

แลกเปลยนขอมลอเลกทรอนกส (Electronic Data Interchange: EDI) อเมลลและการทาการ

ดาเนนการผานเครอขายสาธารณะ เชน อนเทอรเนต จะตองพจารณาถงความถกตอง เพอสราง

ความเชอมนใหแกลกคา การอนญาต การใหสทธ เชน ผใดมสทธในการกาหนดราคาของ

10

สนคาขอมลเกยวกบราคา วธการชาระเงน การสงสนคา การรบใบเสรจ ตองมความถกตอง

นาเชอถอ

- ความมนคงปลอดภยของอเมลล เนองจากอเมลลถกนามาใชในการ

สอสารทางธรกจกนอยางแพรหลาย ดงนนจงมความจาเปนอยางยงในการควบคมเพอลดความ

เสยงทเกดจากการ สอสารดวยวธน โดยการกาหนดนโยบายการใชอเมลลขนภายในองคกร เชน

การกาจดไวรสทตดมา, การปกปองไฟล-ขอมลทแนบมากบอเมลลการใหคาแนะนาวาเมอไหรไม

สมควรทจะใชอเมล ใชเทคนคการเขารหส-ถอดรหสเพอเพมความปลอดภย และความถกตอง

- ความมนคงปลอดภยของระบบสานกงานอเลกทรอนกส ควรมการ

กาหนดนโยบายในการควบคมธรกจและความเสยงทสมพนธกนกบระบบ สานกงาน

อเลกทรอนกส เพอเพมโอกาสและความรวดเรวในการแบงปนขอมลทางธรกจ โดยการนา

คอมพวเตอร การสอสารไรสาย อเมล วอยสเมลล (Voice-mail) มลตมเดย (Multimedia) และ

อปกรณอานวยความสะดวกตางๆ มาใช

- การแลกเปลยนขอมลในรปแบบอนๆ จะตองมการกาหนดขนตอนวธและ

การควบคมขอมลทถกสงผานมาตามอปกรณ สอสารตางๆ ถาหากอปกรณดงกลาวไมสามารถ

ทางานได

7. การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control)

แตละองคกรควรมการกาหนดนโยบาย บทบาท กระบวนการจดการ และมการ

ควบคมการเขาถงของขอมลอยางชดเจน โดยมาตรฐาน BS7799 ไดมการแบงการควบคมการ

เขาถงของขอมลออกเปน 2 ประเภท คอ

- การควบคมการเขาถงขอมลจากในองคกร เชน การใชอเมลล การเขาส

โปรแกรมตางๆ ทางคอมพวเตอรขององคกร

- การควบคมการเขาถงขอมลจากภายนอกองคกรโดยผาน ระบบเครอขายตาง

ๆ เชน การใชอนเทอรเนตเพอเขามาดงขอมลตางๆ ภายในองคกร

- การปองกนผทไมมอานาจเขาถงขอมลนน องคกรควรมกฎระเบยบทมความ

ครอบคลมทกขนตอนของกระบวนการเขาถงขอมลของผใช โดยเรมตงแตการลงทะเบยนผใช

ตลอดจนถงกระบวนการยกเลกสทธแกผใชทไมมการเขาถงขอมลและบรการเปนเวลานาน การ

ลงทะเบยนแกผใชนนควรมการเกบรายละเอยดทสาคญตางๆ เพอใหมความสะดวกในการ

ตรวจสอบการเขาถงขอมลของผใชไดในภายหลง หรอสามารถใชเปนหลกฐานได โดย

รายละเอยดทควรจะมการจดเกบไดแก

รหสของผใช – โดยรหสของผใชในแตคนนนไมควรซากน เชนการใชรหส

ประจาตวของพนกงาน

สทธของผใช – โดยมการเกบวาผใชแตละคนสามารถเขามาทาอะไรกบ

ระบบไดบาง เชน สามารถเขามาดไดเพยงอยางเดยว หรอ

สามารถแกไขขอมลได

11

ระดบการเขาถงของขอมล – เนองจากพนกงานบางคนสามารถเขาถงขอมล

ไดแคบางระดบเทานน ดงนนจงตองมการระบถงระดบการ

เขาถงของขอมล เพราะขอมลขององคกรแตละประเภทนนม

ความสาคญทแตกตางกน เชน ขอมลทางแผนกบญชนน

บคคลโดยทวไปกจะไมไดรบอนญาตใหเขาถงขอมลทาง

บญชขององคกรได เพราะขอมลทางการเงนของบรษทโดย

สวนใหญนนถอวาเปนความลบ

องคกรควรมการจดตงหนวยงานหรอบคลากรทมอานาจหนาทในการตรวจสอบ

การใชขอมลตางๆ ภายในองคกร โดยกระบวนการตรวจสอบนนควรมการตรวจสอบอยาง

สมาเสมอวามรหสผใชทซาซอนกนหรอไม ทาการลบสทธในการเขาถงขอมลหากมบคคลใดใน

องคกรลาออก ทาการปรบปรงสทธในการเขาถงขอมลอยางเหมาะสมหากมพนกงานภายใน

องคกร มการเปลยนแปลงงานทไดรบผดชอบ และนอกจากนการลงทะเบยนผใชนน ผใชจะตอง

มการเซนรบรองลงไปในระเบยบการเพอใหผใชไดเขาใจถง เงอนไขในการเขาถงขอมล ควรม

ลอกไฟล เพราะลอกไฟล สามารถใชเปนหลกฐานในเรองความปลอดภยของขอมลได ดงนนจงม

ความจาเปนทจะตองมการเกบลอกไฟล ทสาคญไปยงอกระบบหนง และนอกจากนควรมการ

ปรบนาฬกาของแตละเครองคอมพวเตอรใหตรวจกนเพอ ใหเกดความมนใจในเรองความแมนยา

ของลอกไฟล และงายตอการตรวจสอบ

7.1 กระบวนการจดการในเรองรหสผานเพอเขาถงขอมลนนควรไดรบการควบคม

และจดการอยางเหมาะสม เพราะรหสผานถกใชเปนเครองมอในการตรวจสอบวาบคคลใดไดทา

การเขาถง ขอมลตางๆภายในองคกร ดงนน องคกรควรมการความร ความเขาใจ และมการ

สรางจตสานกในเรองการเกบรกษารหสผาน ความสาคญของรหสผาน โดยผใชควรมการเซน

รบรองเพอเปนการแสดงการรบทราบวารหสผานของแตละ คนควรเกบเปนความลบ สาหรบ

รหสผานบางประเภททมการใชเปนแบบกลมนน กควรจะมแคกลมของตนเองเทานนทรรหสผาน

ระบบควรมความยดหยนทจะใหผใชสามารถทาการปรบเปลยนรหสผานของตนเองได โดยใน

ครงแรกทผใชไดรบรหสผานนนจะเปนรหสผานแบบชวคราว ซงผใชจะตองแกไขเปนรหสผาน

ถาวรโดยทนทเมอมการเขาสระบบใน ครงแรก การเกบรหสผานนนไมควรเกบไวในระบบ

คอมพวเตอรทไมไดมการปองกน อยางเหมาะสม เนองจากระบบคอมพวเตอรบางระบบผใช

สามารถเขาสระบบไดโดยงายเพราะไม ตองใชรหสผานเปนตน การตรวจสอบสทธในการเขาถง

ขอมลและการบรการตางๆ ทองคกรไดจดไวใหนน ควรไดรบการตรวจสอบอยเปนระยะ เชน

ควรมการตรวจสอบสทธในการเขาถงขอมลทกๆ 3 เดอน

7.2 การสรางจตสานก ความรบผดชอบในการใชงานและการบารงรกษารหสผาน

นน องคกรควรใหคาแนะนาในการบารงรกษาและการเกบรหสผานแกผใช เชน ผใชควร

หลกเลยงการเขยนรหสผานลงบนกระดาษยกเวนจะไดรบการรกษาความ ปลอดภยเปนอยางด

ผใชควรมการเปลยนแปลงรหสผานอยสมาเสมอ เชน อาจมการเปลยนแปลงรหสผานทกๆ

12

3 เดอน หรออาจจะพจารณาจากความถในการเขาสระบบ เพราะถาผใชเขาสระบบเปนประจา

ควรมการเปลยนแปลงรหสผานถข น ซงอาจจะนอยกวา 3 เดอนเปนตน ควรเลอกใชรหสผานท

เหมาะสม เชนควรมความยาวอยางนอย 6 ตวอกษร และ งายตอการจดจา อยาใชรหสผานท

งายตอการคาดเดา เชน การนาชอหรอเบอรโทรศพทมาใชเปนรหสผาน พนกงานควรเปลยน

รหสผานชวคราวโดยทนทเมอมการ ลอกออน เขาสระบบเปนครงแรก ไมควรใชวธการลอกออน

โดยอตโนมต เพราะจะทาใหบคคลอนทมาแอบใชเครองคอมพวเตอรสามารถเขาถงขอมลได

โดยงาย ไมควรใหผอนลวงรรหสผานของแตละคน ผใชควรมการเอาใจใสตออปกรณทตนเองใช

อยตลอดเวลา เชน เมอจบการทางานควร ลอกออฟ ออกจากระบบโดยทนท ยกเวนจะไดรบการ

ปองกนอยางเหมาะสมเนองจากมการตดตงรหสผานในโปรแกรมสกรนเซฟ (screen saver)

เปนตน

7.3 กระบวนการปองกนการเขาถงขอมลโดยผานระบบเครอขายนนควรไดรบ

การควบ คมการเขาสระบบ เครอขายทงภายในและภายนอกองคกรทเหมาะสม มกลไกในการ

มอบอานาจสาหรบผใชและอปกรณ และสามารถควบคมการเขาสการบรการขอมลได การ

เชอมตอกบระบบเครอขายทไมมความปลอดภยจะสงผลโดยรวมตอองคกร เชนการแพรระบาด

ของไวรสคอมพวเตอร ซงในปจจบนปญหาไวรสคอมพวเตอรเปนปญหาสาคญททกๆองคกร

ประสบปญหาอยเพราะไวรสบางประเภททาใหขอมลภายในองคกรไดรบความเสยหาย และใน

บางครงอาจทาใหระบบเครอขายภายในองคกรไมสามารถใชงานได เปนตน ดงนนผทเขาถง

ขอมลโดยผานระบบเครอขายไดนนควรเปนผทไดรบ อานาจหนาทเทานน ทจะสามารถเขาส

ระบบเครอขายได ซงการควบคมการเขาสระบบเครอขายเปนเรองทสาคญของแตละองคกร และ

มกจะมความเสยงสงหากผใชเขาสระบบโดยผานระบบเครอขายเมออยภายนอกบรษท ดงนน

นโยบายควรครอบคลมถงกระบวนการปองกนการเขาถงขอมลโดยผานระบบเครอขายและ การ

บรการของระบบเครอขายทอนญาตใหสามารถเขาถงได กระบวนการมอบอานาจนนจะตองม

การระบวาบคคลใดจะเปนผทไดรบอนญาตใน การเขาสระบบเครอขาย และการบรการตางๆบน

ระบบเครอขาย มกระบวนการในการควบคม และ ระเบยบในการปองกนการเชอมตอเครอขาย

และการบรการบนระบบเครอขาย เสนทางการเชอมตอจากคอมพวเตอรของผใช จนถงการ

บรการของระบบคอมพวเตอร ตองไดรบการควบคม โดยเฉพาะอยางยงกรณทผใชทาการ

เชอมตอเขาสระบบเครอขายจากภาย นอกองคกร ควรไดรบการควบคมเชนกน เพอลดความ

เสยงทอาจเกดขนได และปองกนผใชทไมไดรบอนญาตไมสามารถเขาสระบบเครอขายได ซง

กระบวนการควบคมนนจะขนกบวธการในการเขาสระบบเครอขาย เพราะการเขาสระบบ

เครอขายสามารถทาไดหลายวธเชน จากโทรศพททวไป หรอจาก Dedicated lines เปนตน และ

ควรมการควบคมการสอสารระหวางตนทางและปลายทางโดยผานความมนคงปลอดภย ดาน

เกทเวย (Security Gateway) เชน ไฟรวอลล ซงเปนระบบหนงหรอหลายระบบรวมกนทสราง

หรอบงคบใหมเสนแบง เขตระหวางสองเครอขายขนไป เปนเกทเวย ทจากดการเขาถงใน

เครอขายตางๆ ใหเปนไปตามนโยบายการรกษาความปลอดภยของเครอขายนนๆ โดย

13

ไฟรวอลลทใชกนโดยทวไปมเปนเครองคอมพวเตอรทราคาไมสงมากนก และไมมขอมลทสาคญ

อยจะมเพยงโมเดมหรอพอรตตางๆทเชอมตอกบ เครอขายภายนอก และมอกหนงพอรตทใชใน

การตอกลบมายงเครอขายภายใน

สาหรบการเชอมตอจากภายนอกบรษทควรจะมกลไกในการปองกนอยาง

เหมาะสม เชน การใช เขารหสลบ ซงเกยวเนองกบหลกการ ตวกลางและวธการในการทาให

ขอความธรรมดาไมสามารถถกอานได และแปลงขอความทถกเขารหสลบกลบเปนขอความ

ธรรมดา) และการเลอกใชฮารดแวรและซอฟตแวรทเหมาะสม เพอชวยเพมความแขงแกรงใน

การปองกนระบบเครอขาย ควรเลอกอปกรณฮารดแวรและซอฟตแวรทมคณภาพ โดยรบการ

รบรองจากมาตรฐานสากลหรอไดรบการยอมรบอยางกวางขวางในวงการคอมพวเตอร

7.4 การควบคมการเขาถงขอมลในระดบของระบบปฏบตการ สามารถนามาใชใน

การจากดการเขาใชทรพยากรคอมพวเตอร โดยระบบปฏบตการนนควรทจะมความสามารถทจะ

ระบและพสจนไดถง เครองคอมพวเตอรเครองใดททาการเขาถงขอมลอย เครองคอมพวเตอรนน

ถกตดตงไวทใด มการเกบบนทกวาการเขาสระบบนนสาเรจหรอลมเหลว มการกาหนด

ระยะเวลาในการเชอมตอของเครองคอมพวเตอรแตละเครองเนอง จากในบางครงผใชอาจลมท

จะลอกออฟ ออกจากระบบ ทาใหเปนการเปดโอกาสใหผทไมมสทธสามารถเขาถงขอมลได

7.5 การลอกออนจากเครองคอมพวเตอรนนควรปฏบตตามระเบยบของการ

ลอกออน ซงเปนการปองกนในเบองตน เพอไมใหผใชทไมมสทธนนสามารถเขาถงขอมลได โดย

ถาการเขาสระบบนนไมควรแสดงโปรแกรมประยกตหรอระบบตางๆ ทางคอมพวเตอร จนกวา

การลอกออน (log-on) จะเสรจสมบรณ ควรมการแสดงขอความเพอแจงใหผใชทราบวา การ

เขาถงขอมลจะทาไดเฉพาะผใชทไดรบสทธ ไมควรแสดงขอความชวยเหลอในระหวางทผใชทา

การลอกออน เพราะจะทาใหผทไมมสทธสามารถเขาสระบบได ควรมการจากดจานวนในกรณท

ผใชใสรหสผานผด เชน ถาใสรหสผด 3 ครงใน 1 วน รหสผานนนจะถกลอคโดยทนท

7.6 การเชอมตอดวยอปกรณสอสารประเภทไรสาย นนนโยบายควรไดรบการ

แกไขเพอใหเหมาะสมกบความเสยงตางๆทอาจเกด ขนไดจากการเชอมตอดวยอปกรณสอสาร

ไรสายประเภทตางๆ เชน นโยบายควรมการอางถงความจาเปนในการปองกนระดบกายภาพ ม

การใชกระบวนการ Cryptographic กระบวนการสารองขอมล และการปองกนไวรสคอมพวเตอร

โดยนโยบายควรมการอางถงกฎระเบยบ และขอแนะนาในการเชอมตอดวยอปกรณไรสายตางๆ

7.7 การรกษาความปลอดภยของขอมลนนเปนสงทมความสาคญมาก ดงนนควร

ไดรบความเหนชอบกอนทจะพฒนาระบบสารสนเทศขนมา โดยการวเคราะหความตองการใน

เรองความปลอดภยของระบบนน ควรไดรบการพจารณาในระบบทเกดขนใหม หรอการขยาย

ระบบจากระบบเดมทมอยเพอปองกนความสญหาย การเปลยนแปลง หรอการใชงานทผดพลาด

ของผใช ดงนนจงตองมการควบคม และตรวจสอบอยางเหมาะสม เชน ขอมลทผใชงานใสลงไป

ในระบบควรไดรบการตรวจสอบเพอใหเกดความมนใจ ไดวาขอมลนนเปนขอมลทถกตองและ

เหมาะสม มการสมตรวจจากเอกสารทไดรบการใสเขาไปในระบบ กาหนดความรบผดชอบแก

14

ผใชทกคนทเกยวของกบการใสขอมลลงไปในระบบ มการตรวจสอบเพอใหเกดความมนใจวา

โปรแกรมไดทางานในเวลาทเหมาะสม เชนโปรแกรมจะไมสามารถทางานไดหากผใชยงไม

ลอกออน (log-on) เขาสระบบ มการตรวจสอบการใชงานตางๆ โดยผทไมมสทธจะไมสามารถ

ทาการเปลยนแปลงขอมลได ซงอาจมการใชฮารดแวรหรอซอฟตแวรในการรองรบความเปน

ตวตนทแทจรงของผใช ควรมการตรวจสอบผลลพธของขอมลทไดจากโปรแกรมเพอใหเกด

ความมนใจได วาการทางานของระบบนนไดจดเกบขอมลไดอยางถกตองและเหมาะสม ม

นโยบายในการใช Cryptographic Technique เพอใหเกดความมนใจวาขอมลทเปนความลบนน

ไดรบการปองกนอยางเหมาะสม โดยการใช Cryptographic Technique นนเปนสงทจาเปน

เพอใหไดรบประโยชนสงสด และลดความเสยงตางๆ

8. การพฒนาและดแลระบบสารสนเทศ

โดยไดกลาวถงบทบาทของหวหนางานสารสนเทศ ผพฒนาระบบ และผเปน

เจาของระบบในดานตางๆ ดงตอไปน

- ขอกาหนดดานความมนคงปลอดภยสาหรบระบบสารสนเทศ เพอใหการจดหา

และพฒนาระบบสารสนเทศไดพจารณาถงประเดนทางดานความมน คงปลอดภยเปน

องคประกอบพนฐานทสาคญ

- การประมวลผลสารสนเทศในโปรแกรมประยกต (Application) เพอปองกน

ความผดพลาดในสารสนเทศ การสญหายของสารสนเทศ การเปลยนแปลงสารสนเทศโดยไมได

รบอนญาต หรอการใชงานสารสนเทศผดวตถประสงค

- มาตรการ การเขารหสขอมล เพอรกษาความลบของขอมล ยนยนตวตนของผ

สงขอมล หรอรกษาความถกตองสมบรณของขอมลโดยใชวธการทางการเขารหสขอมล

- การสรางความมนคงปลอดภยใหกบไฟลของระบบทใหบรการ

- การสรางความมนคงปลอดภยสาหรบกระบวนการในการพฒนาระบบและการ

สนบสนน เพอรกษาความมนคงปลอดภยสาหรบซอฟตแวรและสารสนเทศของระบบ

- การบรหารจดการชองโหวในฮารดแวรและซอฟตแวร เพอลดความเสยงจาก

การโจมตโดยอาศยชองโหวทางเทคนคทมการเผยแพรหรอตพมพในสถานทตางๆ

9. การบรหารจดการเหตการณละเมดความมนคงปลอดภย

โดยไดกลาวถงบทบาทของหวหนางานสารสนเทศ หวหนางานนตกร ผดแลระบบ

และพนกงานในดานตางๆ ดงตอไปน

- การรายงานเหตการณและจดออนทเกยวของกบความมนคงปลอดภย เพอให

เหตการณและจดออนทเกยวของกบความมนคงปลอดภยของระบบ สารสนเทศขององคกรไดรบ

การดาเนนการทถกตองในชวงระยะเวลาทเหมาะสม

- การบรหารจดการและการปรบปรงแกไขตอเหตการณทเกยวของกบความ

มนคง ปลอดภย เพอใหมวธการทสอดคลองและไดผลในการบรหารจดการเหตการณทเกยว

ของกบความมนคงปลอดภยสาหรบสารสนเทศขององคกร

15

10. การบรหารความตอเนองในการดาเนนงานของ

โดยไดกลาวถงบทบาทของผบรหารสารสนเทศ และหวหนางานสารสนเทศ ท

เกยวกบหวขอพนฐานสาหรบการบรหารความตอเนองในการดาเนนงานของ องคกร เพอ

ปองกนการตดขดหรอการหยดชะงกของกจกรรม ตางๆ ทางธรกจเพอปองกนกระบวนการทาง

ธรกจทสาคญอนเปนผลมาจากการลมเหลว หรอหายนะทมตอระบบสารสนเทศ และเพอให

สามารถกระบบกลบคนมาไดภายในระยะเวลาทเหมาะสม

11. การปฏบตตามขอกาหนดทางดานกฎหมายและบทลงโทษของการ

ละเมดนโยบาย

การตรวจสอบในเรองนโยบายทางดานความปลอดภยเปนสงสาคญอกประเดน

หนง ทตองพจารณา โดยจะตองหมนตรวจสอบนโยบายทางดานความปลอดภยของขอมลใน

ระบบอยเสมอ เพอใหเกดความมนใจในเรองนโยบาย และมาตรฐานของความปลอดภย

ผจดการหรอผทรบผดชอบแตละสวนตองมนใจไดวาระเบยบในเรองความปลอดภยนนไดปฏบต

อยางถกตองในพนททตนรบผดชอบอย โดยนโยบายและมาตรฐานทางดานความปลอดภยของ

ขอมลตองระบถงระบบสารสนเทศ ผจดหาระบบ ผเปนเจาของสารสนเทศและสนทรพย

สารสนเทศ ผใช และการจดการ โดยเจาของระบบสารสนเทศตองเปนผททาการตรวจสอบวาม

นโยบาย หรอมาตรฐานทางดานความปลอดภยในระบบนนเหมาะสมหรอไมเพยงใด นอกจากน

ตองมการตรวจสอบและควบคมทงทางดานซอฟตแวรและฮารดแวรดวย เพอใหเกดการนาไปใช

อยางถกตองและเหมาะสม

2.1.2 มาตรฐาน ITIL (IT Infrastructure Library)

รปท 2.2 แสดงสวนประกอบของ ITIL

16

มาตรฐาน ITIL นน เปนมาตรฐานดานความปลอดภยจากประเทศองกฤษมวตถประสงค

ในการสราง Best Practices สาหรบกระบวนการของ IT Service Delivery และ Support แต

ไมไดเปนการกาหนด Framework ของการควบคมในแนวกวาง ITIL นนจะมงไปทางการเสนอ

วธการในการปฏบต แตมขอบเขตงานเพยงแค IT service Management และมความลกใน

รายละเอยดของกระบวนการทางาน ซงมวตถประสงคทจะใหทางฝายระบบสารสนเทศ และ

Service Management เปนผนาไปใช ซงไดจดแบงกระบวนการเทคโนโลยสารสนเทศ ดงน

1. Security Management เปนการบรหาร IT โดยการสรางขอกาหนดตรวจสอบผล

และควบคมรกษาความปลอดภยของระบบดานขอมล และบรการขององคกรเมอมผเกยวของ

เขาสระบบเทคโนโลยสารสนเทศ

2. Change Management คอ การบรหารการเปลยนแปลงเพอกอใหเกดความเชอมน

ใน IT ขององคกร ซงมการใชวธการปฏบตและกระบวนการทมมาตรฐาน เพอทจะจดการกบการ

เปลยนแปลงของสภาพแวดลอมของระบบบน Production เพอทจะลดผลกระทบจากปญหา

เนองจากการเปลยนแปลงเพอพฒนาคณภาพของบรการ

3. Release Management เปนการบรหารกระบวนการนาระบบออกใหผใชสามารถใช

ระบบงานตางๆ ได โดยเรมตนจากการวางแผนเพอนาระบบออกใช เตรยมเอกสารของระบบ

เผยแพร และการจดอบรมใหแกลกคา เพอใหเกดความมนใจในระบบเทคโนโลยสารสนเทศท

พฒนาขน

4. Incident Management หรอเรยกวา Help Desk หรอ Service Desk เปน

กระบวนการแกไขระบบใหสามารถกลบมาใชงานไดปกต ซงจะแกไขกตอเมอมการแจงปญหา

จากลกคา หรอผใชงาน โดย IT จะตองจดการแกไขปญหาทเกดขนดงกลาวใหเสรจสนเรวทสด

เพอใหกระทบกบผเกยวของนอยทสด

5. Problem Management เปนบรหาร IT โดยการคดเชงรก (Proactive) เพอลดปญหา

ของระบบทเกดจากการแจงของผใชงาน มงเนนการวเคราะหไปทตนเหตของปญหา รวมถง

การควบคมความผดพลาดทอาจเกดขนในอนาคต ซงมกจะเปนการดาเนนการระยะยาว

6. Service-Level Management คอการบรหารการใหบรการระบบเทคโนโลย

สารสนเทศอยางเหมาะสม และเปนไปตามความตองการของลกคา หรอผทเกยวของในระบบ

ดานตางๆ โดย IT สามารถใหคามนในการดาเนนงานเพอการบรการทมศกยภาพแกลกคาได

7. Availability Management เปนการบรหารระบบเทคโนโลยสารสนเทศ เพอแสดง

รอยละความถกตองของขอมลจากระบบตางๆ ทองคกรบรการแกลกคา โดยเจาหนาท

เทคโนโลยสารสนเทศมหนาทในการกาหนดลกษณะการใชงาน ตรวจสอบการเขาสระบบของ

ลกคาและควบคมการบรการใหเกดประสทธภาพสงสดแกลกคา Configuration Management

เปนกระบวนการของการวางแผนเพอรองรบการบรหารการเปลยนแปลง ซงจะเปนการกาหนด

ควบคม และตรวจสอบความถกตองของ Configuration Item หรอ CI ใหมความทนสมยและ

ถกตองอยเสมอ

17

ประโยชนของ ITIL

ITIL จดวาเปนการรวบรวมเอาความรทมอยแลวในการบรหารจดการ ซงไดถกนาไปใช

แลวในวงการอตสาหกรรมตางๆทจาเปนตองใช IT ในชวงเวลาหลายสบปทผานมา ITIL จงถก

เรยกวาเปน Best Practice ของการบรหารจดการ IT ซงในเวลาตอมาไดมการกลาวถง ITIL ใน

แงทเปน IT Service Management Framework กนอยางแพรหลาย และไดกลายเปน de facto

standard ไปในปจจบน ประโยชนจากการนาความร ITIL มาใชนนคอ ประโยชนทเกดขนจาก

การทสามารถปรบปรงกระบวนการใหดขน มประสทธภาพมากขนนนเอง ซงไดแก

1) การใชทรพยากรทมอยไดคมคามากขน

2) สรางเสรมความสามารถในการแขงขนกบคแขงในตลาด

3) ชวยลดงานซาซอนหรองานทไมจาเปนลงได

4) ชวยทาใหงานแตละโปรเจคทดาเนนไปไดตามทวางแผนไว

5) ปรบปรงความสามารถในการใหบรการ IT แกลกคาใหดขน

6) สามารถหาตนทนของการใหบรการทมคณภาพตามทกาหนดได

7) สามารถใหบรการทมคณภาพแกลกคาไดตามทสญญาไว เปนตน

ประโยชนตางๆ เหลานทเกดขนในแตละองคกร สามารถนามาคานวณเพอหามลคา

ความคมคาได และโดยเหตท ITIL นนครอบคลม 10 กระบวนการ กบอก 1 ฟงกชน

2.2 องคประกอบพนฐานดานความปลอดภยของขอมล

องคประกอบพนฐานความปลอดภยของขอมลหลกๆ มอย 3 อยาง ซงใชตวยอ CIA มา

จากคาวา Confidentiality Integrity Availability และยงมองคประกอบอนๆ เพมเตม คอ

Authentication Authorization และ Non-repudiation (หรออาจเรยกรวมไดวา CIAAAN)

2.2.1 Confidentiality (ความลบของขอมล)

การรกษาความลบของขอมล หมายถง การปกปองขอมล หมายถง การปกปองโดยม

เงอนไขวาขอมลนนใครมสทธทจะลวงร เขาถง ใชงานได และการทาใหขอมลสามารถเขาถงหรอ

เปดเผยไดเฉพาะผทไดรบอนญาตเทานน อาทเชน ขอมลอเมลในเมลลบอกซ (Mail Box) ของ

ผใช ผทมสทธเขาถงเมลลบอกซและเปดอานจดหมายไดจะตองเปนเจาของเมลลบอกชนน

เพยงคนเดยวเทานนทสามารถเขาถงและเปดอานจดหมายได

2.2.2 Integrity (ความคงสภาพของขอมล)

การรกษาความคงสภาพของขอมลหมายถง การปกปองเพอใหขอมลไมถกแกไข

เปลยนแปลง หรอถกทาลาย ถาเราสามารถรกษาสภาพของขอมลได จะทาใหขอมลเหลานนเกด

ความนาเชอถอ อาทเชน Bob สงไฟลถง Alice ไฟลนนจะตองไมถกแกไขหรอเปลยนแปลงโดย

บคคลอนในระหวางทางทสงมา

18

การรกษาความคงสภาพของขอมลนนสามารถทาไดหลายวธ เชนการ checksum

ตวอยางเชน การตรวจสอบไฟลทดาวนโหลดมาจากเวบไซตวาตรงกบตนฉบบหรอไม โดยเรา

สามารถทาไดโดยตรวจสอบจากคา checksum โดยใช MD5 เปนตน

2.2.3 Availability (ความพรอมใชงานของขอมล)

ความพรอมในการใชงานของขอมล หมายถง ขอมลจะตองมสภาพพรอมใชงานอย

ตลอดเวลา อาทเชน เมลเซรฟเวอรถกโจมตจนไมสามารถเขาไปขอรบบรการจากเมล

เซรฟเวอรนนได ตองรอจนกวาผดแลระบบจะแกไขเพอใหระบบสามารถกลบมาใหบรการได

เหมอนเดม แตถาหากระบบเมลนออกแบบใหมระบบสารอง (Mail Backup) ทสามารถทางาน

แทนเมลเซรฟเวอรตวหลกไดทนท ผใชกจะสามารถใชบรการระบบสารองนไดทนท

2.2.4 Authentication (การพสจนทราบตวตนทแทจรง)

เนองจากการระบตวบคคลนนจะตองใชกระบวนการพสจนตวจรงเพอใหทราบวาบคคล

ผนนเปนตวจรงหรอไม อาทเชน การลอกอนเขาสระบบลงทะเบยนวชาของนกศกษา สมาชก

(นกศกษา)จะตองใชยสเซอรเนม และ พาสเวรด เพอเปนการพสจนทราบวาเปนผใชคนนนจรงๆ

และการพสจนทราบตวตนกมอยหลากหลายวธ อาทเชน

-สงทคณร เชน การใชยสเซอรเนม และ พาสเวรด

-สงทคณม เชน การใชบตรประจาตว

-สงทคณเปน เชน การสแกนลายนวมอ, เสยงพด

อาจมการผสมผสานการใชงานไดมากกวาหนงอยางเพอใหการพสจนทราบตวตนม

ประสทธภาพมากขน เชน การกดเงนจากต ATM ทจะตองใช “สงทคณม” คอ บตร ATM และ

ตองใช “สงทคณร” นนคอตองทราบรหสผาน หรอ การใชบรการโอนเงนผานอนเทอรเนต เพอ

การโอนเงน คณจะตองใช “สงทคณร” คอ ยสเซอรเนม และ พาสเวรด เพอเขาใชงานเวบไซต

และตองใช “สงทคณม” คอ โทรศพทมอถอ เพอใชรบ OPT (One Time Password) เพอนามา

กรอกในเวบไซตเพอยนยนการทารายการ

2.2.5 Authorization (การอนญาตใหเขาใชงานและลาดบสทธในการเขาถง)

หลงจากไดมการพสจนตวตนแลว ระบบจะทาการอนญาตใหผใชคนนนๆเขาใชงานตาม

สทธของผใชงานคนนนๆ ซงการใหสทธสามารถแบงไดเปนหลายระดบ อาทเชน ผใชระดบสง

เชน Administrator สามารถเปลยนแปลง/แกไขขอมลไดทงหมด ผใชงานทเปนสมาชกไปอาจจะ

แกไขขอมลไดบางสวน หรอ ผใชระดบ Guest สามารถอานขอมลไดอยางเดยว เปนตน

2.2.6 Non-repudiation (การไมสามารถปฏเสธความรบผดชอบ)

คอการปฏเสธไมไดถงความรบผดชอบ เชน ปฏเสธไมไดวาขอความนถกสงโดย

ผใชงานคนน อาทเชน สมาชกในเวบบอรดทมการโพสต (Post) ขอความวารายผอนลงไปใน

ระบบเวบบอรด จะตองมการบนทกและแสดงชอผใชซงจะไดจากการพสจนตวตน พรอมกบ

ขอความทโพสตเพอใชยนยนวาขอความดงกลาวถกโพสตโดยผใชผนนไมสามารถปฏเสธความ

รบผดชอบได

19

2.3 การบรหารและประเมนความเสยงของระบบคอมพวเตอรและระบบเครอขาย

2.3.1 การประเมนความเสยง (Risk Assessment)

ความเสยง (Risk) หมายถง ความเสยงรปแบบตางๆ ทอาจกอใหเกดผลเสยหายตอ

ขอมลสาคญและระบบ / อปกรณตางๆ ทสนบสนนการทางานใหกบขอมลสาคญนอย โดยขน

ตอนนจะเปนขนของการประเมนระดบความเสยง (Risk Level) ทมท งหมดตอขอมลและ

ทรพยสนตางๆ ขององคกร เพอนาความเสยงทเกนระดบทองคกรสามารถยอมรบไดไป

ดาเนนการควบคมและแกไขความเสยงในขนตอนตอไป ระดบของความเสยงนนจะพจารณา

จาก 2 ปจจย คอ

- ความนาจะเปน (Probability) โดยปกตจะคานวณคาโดยพจารณาจากการวเคราะหภย

คกคาม (Threat) รวมกบ จดออน (Vulnerability)

- ความรนแรง (Severity) ความเสยหายทอาจเกดขน ซงโดยปกตจะคานวณคาโดยการ

พจาณาจาก ระดบความสาคญของขอมลหรอทรพยสนนนๆ ทมตอองคกร

หลงจากทไดประเมนความเสยงเราจะตองมการบรหารจดการความเสยงทม เชน การ

ปดชองโหว หรอจดออน การตดตงระบบรกษาความปลอดภย การฝกอบรมพนกงานและ

เจาหนาทรกษาความปลอดภยและการตรวจสอบเพอหาชองโหวใหมๆทอาจจะเกดขนการปด

ชองโหวของระบบเปนการลดจานวนจดออนใหเหลอนอยทสดเทาทจะเปนไปไดเชน หากม

จดออนอย 10 จด การปดชองโหวอาจจะทาใหจดออนถกกาจดออกไปจนเหลอจดออนเพยง

2 – 3 จด เปนตน การปดชองโหวของระบบสารสนเทศและระบบเครอขายสามารถทาไดโดยใช

วธการทหลากหลาย บางอยางเปนสงทจาเปนตองทา และบางอยางเปนเพยงทางเลอก ตอไปน

เปนตวอยางของการปดชองโหวทสาคญๆของระบบ

การปดชองโหวของเครองแมขาย ทาไดโดยปดบรการ (พอรต) ทไมจาเปน ทาการ

อพเดทแพตช ตดตงแอนตไวรส ปองกนโดยใชไฟรวอลลและ ไอดเอส/ไอพเอส (IDS/IPS) ใช

รหสทซบซอน ลบผใชทไมจาเปนออกจากระบบ ตงคาเพอรมชชน (permission) ของไฟลให

รดกมหมนตรวจสอบโปรแกรมทแปลกปลอมอยางสมาเสมอ ไมรโมตเขามายงเครองแมขายดวย

โปรโตคอลทไมไดเขารหส และจากดไอพแอดเดรสและบญชผใชของผทจะรโมตเขามายงเครอง

แมขาย

การปดชองโหวของระบบแลน (LAN) ปองกนการโจมตดวยแมนอนเดอะมสเดล (Man

in the middle: MITM) โดยใชสวตซทสามารถตงคาแมกฟลเตอร (MAC Filter) และไอพ

ฟลเตอร (IP Filter) บนพอรตได หรอปองกนโดยใช Static ARP ควรมการ Authentication ดวย

ยสเซอรเนม และพาสเวรด กอนอนญาตใหเชอมตอกบเนตเวรค มการปองกน Rogue DHCP

และการปลอมไอพแอดเดรสและแมกแอดเดรส ตดตงแพตช แอนตไวรสและไฟรวอลล

ปดชองโหวของไวเลสแลน (Wireless LAN) ควรมการเขารหสดวยดบเบลยพเอ (WPA)

เลอกใชคยทมความซบซอนและความยาว และควรมการตรวจสอบสทธกอนใชงานเครอขายโดย

ใชแอกเซสพอยท ยสเซอรเนมและพาสเวรด ควรตดตงแอกเซสพอยทไวในจดทปลอดภย

20

จดการชองโหวดานนโยบายสาหรบผใชงาน ควรมการบงคบใชรหสผานทมความ

ซบซอนและมความยาว เปลยนรหสผานใหมทกเดอน ไมใชรหสผานเดยวกนกบทกระบบ ไมนา

ซอฟตแวรทมความเสยงมาใชในระบบเครอขาย กาจดเวลาในการเขาออกททางาน และไม

เปดเผยขอมลแกผทไมนาไวใจ สาหรบผดแลระบบหรอทมงานควรมมาตรการควบคมการเขา

ออกหองเซรฟเวอร ปรบปรงคา/กฎไฟรวอลล (Firewall Policy) ใหรดกม และควรมระบบ

Backup ขอมล

2.3.2 การควบคมและแกไขความเสยง (Risk Treatment)

ทางเลอกในการควบคมและแกไขความเสยงทไดแนะนาไวในมาตรฐาน ISO 27001 นน

มอย 4 ทางเลอก คอ

1. การลดความเสยง (Risk Reduction) คอการพจารณาหาวธในการควบคมและแกไข

ความเสยงใหลดลงมาอยในระดบทองคกรสามารถยอมรบได

2. การยอมรบความเสยง (Risk Acceptance) คอ การทองคกรพจารณาแลวพบวาการ

ดาเนนการแกไขและความคมความเสยงนนไมเหมาะสม, ไมสามารถกระทาไดในทางปฏบต

หรอ ไมคมคา เชน คาใชจายในการดาเนนการแกไขมมลคา สงกวามลคาของขอมล ทงนขนอย

กบดลยพนจของผบรหาร

3. การหลกเลยงความเสยง (Risk Avoidance) คอ การหลกเลยงความเสยงโดยยกเลก

กระบวนการทางานหรอทรพยสนทกอใหเกดความเสยงขน ซงมกจะกระทาเมอการแกไขความ

เสยงดวยวธการอนนน ไมคมกบผลประโยชนทได จากการทางานดวยกระบวนการหรอ

ทรพยสนนนๆ

4. การโอนความเสยง (Risk Transfer) คอ การพจารณาถายโอนความเสยงไปใหผอน

รบผดชอบแทน เชน การซอประกนภย เปนตน

2.3.3 การวเคราะหความเสยงและการประเมนความเสยง

การประเมนความเสยงโดยสวนมากจะทาการประเมนและใหคาตางๆในเชงปรมาณ

เนองจากผลกระทบตางๆทอาจจะเกดขนตอขอมลและทรพยสนของทางองคกรนน อาจจะ

กอใหเกดความเสยหายในดานของตวเงนทสามารถวดไดในเชงปรมาณ สวนการประเมนแบบ

คณภาพ เชน ชอเสยงและภาพลกษณขององคกรนน ประเมนคาเปนตวเงนไดลาบาก หรอไม

สามารถประเมนคาได ดงนน โครงงานนจงเลอกวธการประเมนเชงปรมาณ

โดยการประเมนเชงปรมาณนนมข นตอนดงน

Single Loss Expectancy (SLE) การพจารณาการสญเสย

SLE = asset value x exposure factor

Asset value คอ มลคาทรพยสน

Exposure factor คอ รอยละของมลคาทรพยสนทเสยไปในกรณเกดภยคกคาม

Annual Loss Expectancy มลคาทรพยสนทเสยตอป

21

ALE = SLE x ARO

SLE คอ มลคาการสญเสยกคร งภายใน 1 ป

ARO คอ โอกาสทจะเกดปละกคร ง

Risk Calculation การประเมนความเสยงกอนการดาเนนโครงการ

Risk Value = Likelihood x Impact

Likelihood คอ โอกาสทจะเกด

Impact คอ ผลกระทบ

ตารางท 2.1 ตารางคานวณความเสยง

Likelihood Very

Low

Low Middle High Very High

Impact

Very Low 1 2 3 4 5

Low 2 4 6 8 10

Middle 3 6 9 12 15

High 4 8 12 16 20

Very High 5 10 15 20 25

- เกณฑทใชในการประเมนโอกาสการเกดความเสยง

โอกาสการเกดความเสยง (Likelihood) ระดบคะแนน

โอกาสเกดนอยทสด = 1

โอกาสเกดนอย = 2

โอกาสเกดปานกลาง = 3

โอกาสเกดมาก = 4

โอกาสเกดมากทสด = 5

- เกณฑทใชในการประเมนระดบของผลกระทบ

ผลกระทบของความเสยหาย (Impact) ระดบคะแนน

ผลกระทบนอยทสด = 1

ผลกระทบนอย = 2

ผลกระทบปานกลาง = 3

ผลกระทบมาก = 4

ผลกระทบมากทสด = 5

โดยการคดคาของระดบความเสยงจะคดไดดงน

Risk Value = Likelihood * Impact

โดย Likelihood = โอกาสทจะเกดขน

Impact = ผลกระทบ

22

2.3.4 การประเมนคาความเสยง (Risk Evaluation)

เมอไดความเสยง โดยมรายละเอยดและการประมาณความเสยงแลวจงนามาประเมน

คาความเสยงโดยการเปรยบเทยบกบหลกเกณฑความเสยงทยอมรบไดจากตารางแสดงระดบ

ความเสยง นจะแบงผลการวเคราะหระดบความเสยงไดดงน

ระดบคะแนนความเสยง

1 – 8 ตา

9 – 16 กลาง

17 – 25 สง

ระดบความเสยง (Risk Level) จากเมตรกซระดบความเสยงมการกาหนดสเกลของ

ความเสยง จากเมตรกซตวอยางกาหนดใหระดบความเสยงสงมคาตงแต 17–25 ระดบความ

เสยงปานกลางมคาตงแต 9-16 และระดบความเสยงตามคาตากวา 8 ในแตละระดบความเสยงม

คาอธบาย และสงทตองปฏบตดงน

ระดบความเสยงสง หมายถง จาเปนตองไดรบการแกไขอยางเรงดวน ระบบทดาเนน

อยอาจจะยงคงปฏบตงานตามปกตแตจะตองนาแผนการแกไขมาใชทนททเปนไปได

ระดบความเสยงปานกลาง หมายถง ควรมการแกไขและแผนการควบคมควรไดรบการ

ปรบปรงแลวนามาใชความเสยงเปนฟงกชนของโอกาสทจะเกดเหตการณใดๆ ซงกอใหเกดภย

คกคามในระบบทมความออนแอในการปกปอง กบความรนแรงของผลกระทบทจะเกดขนจาก

ภยคกคามนน

ระดบความเสยงตา หมายถง ระบบควรไดรบการตรวจสอบเพอใหแนใจวาแผนการ

ควบคมทมอยจะสามารถแกไขปญหาและรบมอกบความเสยงได

2.3.5 ขนตอนการประเมนความเสยงของระบบคอมพวเตอรและเครอขาย

1. ศกษาโครงสรางและความซบซอนของระบบเครอขาย และศกษาองคประกอบตางๆ

ทเกยวของ

2. กาหนดขอบเขตของการประเมนความเสยงวาจะประเมนเฉพาะบางสวนของ

เครอขายหรอทงหมดจะประเมนแบบแบลคบอก (Black Box) หรอไวทบอก (White Box)

3. วางแผนระยะเวลาและกาหนดตารางเวลาวาจะทาอะไรตอนไหน

4. วเคราะหผลกระทบทอาจจะเกดขนเมอสงสแกนในชวงเวลาทระบบกาลงใหบรการอย

5. วางแผนเกยวกบเรองดาวนไทม (Downtime) รวมทงวธทจะทาใหระบบสามารถ

กลบคนมาทางานไดเชนเดมภายในเวลาอนรวดเรว

6. ประมาณการเกยวกบกระบวนการสแกน ซงขนอยกบความซบซอนของเนตเวรค

เปาหมายและโฮสต

7. กาหนดนโยบายการสแกนสาหรบแตละเปาหมาย ระดบความละเอยดของการสแกน

โดยระบวาจะสแกนอะไรบาง เชน สแกนเพอหาขอมลเบองตน สแกนพอรต วเคราะหรหสผาน

จาลองการโจมต และอนๆ

23

8. สแกนเนตเวรคและโฮสตเปาหมายทไดวางแผนเอาไว

9. นาผลลพธจากการสแกนมาจดหมวดหมและวเคราะหชองโหว เชน คาคอนฟก

กเรชนทผดพลาด คณภาพของรหสผาน ใชคาคอนฟกดฟอลต เวอรชนของซอฟตแวร และ

แพตช

10. สงรายงานผลการประเมนความเสยง และแนะนาแนวทางในการปองกน

2.4 บทสรป

ปจจบน ระบบคอมพวเตอรและเครอขายเขามามบทบาทกบชวตประจาวนของเรามาก

ขน ในการใชงานตางๆ ไมวาจะเปนการใชงานเครอขายภายในองคกร การใชงานระบบ

ฐานขอมลผานทางเครองแมขายโดยตรงหรอผานทางอนเทอรเนต การเขาถงระบบสารสนเทศ

องคกรผานทางอนทราเนต และการเขาถงทรพยากรจากภายนอกผานทางอนเทอรเนต เมอ

ขอมลทสาคญเหลานมการสงผานไปมาบนระบบเครอขายแลว สงสาคญทจะตองคานงถงคอ

ความมนคงปลอดภย ไมวาจะเปนความมนคงปลอดภยของขอมลหรอมนคงความปลอดภยของ

ตวระบบเอง โดยเฉพาะโรงพยาบาลความมนคงปลอดภยของขอมลผปวยถอวามความสาคญยง

ทางผดแลระบบเครอขายของโรงพยาบาลศนยการแพทยสมเดจพระเทพรตราชสดาฯ

สยามบรมราชกมาร ไดตระหนกถงปญหาเหลาน จงศกษาคนหาและหาทางแกปญหาและพฒนา

ความมนคงปลอดภยกบเครอขายของทางโรงพยาบาล

บทท 3

วธการนาเสนอ (Methodology)

วธการและขนตอนการจดทาระบบความปลอดภยสารสนเทศตามโครงการครงน ม

รายละเอยดดงน

3.1 กาหนดโครงสรางและองคประกอบ ในการจดทาโครงงาน

3.2 ตรวจสอบชองโหว วเคราะหความเสยงและประเมนความเสยง

3.3 จดทานโยบายรกษาความมนคงปลอดภยสารสนเทศ

3.4 ปรบปรงโครงสรางระบบเครอขายใหมใหตรงกบนโยบายสารสนเทศทม นคง

ปลอดภย

3.5 ปดชองโหวและเพมความแขงแกรงของระบบ

3.6 ตรวจสอบระบบหลงปดชองโหวและเพมความแขงแกรง

3.7 สรปผลการดาเนนงาน

3.1 กาหนดโครงสรางและองคประกอบในการจดทาโครงงาน

3.1.1 ศกษาความรทเกยวของกบการจดทาโครงการ

3.1.1.1 ศกษามาตรฐานทางดานระบบรกษามนความปลอดภย มาตรฐาน ITIL

ศกษามาตรฐานทางดานระบบรกษาความปลอดภย ISO27001 และมาตรฐาน ITIL เพอนามา

ประยกตเปนตนแบบในการรางนโยบายทางดานเทคโนโลยสารสนเทศขององคกร

3.1.1.2 ศกษาโครงสรางระบบเครอขายสารสนเทศ ศกษาโครงสรางระบบ

เครอขายสารสนเทศเดมของโรงพยาบาลทมอย และขนตอนการทางาน เพอนามาประเมนชอง

โหวและความเสยงดานความมนคงปลอดภย

3.1.1.3 ศกษาความรดานความมนคงปลอดภยระบบเครอขายสารสนเทศศกษา

ความรดานความมนคงปลอดภยและชองโหวใหมๆทเกดขนเพอใหรเทาทนกบชองโหวหรอ

เครองมอใหมๆ ทจะสรางความเสยหายใหกบระบบเครอขายสารสนเทศ

3.2 ตรวจสอบชองโหว วเคราะหความเสยงและประเมนความเสยง

3.2.1 การวเคราะหความเสยง (Risk Analysis) ประกอบดวย

- การชระบความเสยง (Risk Identification) เปนการชใหเหนถงปญหาซงอาจ

พจารณาจากเหตการณหรอสงทเคยเกดขนมาแลวในอดตกบองคกรนน ๆ หรอ องคกรอน หรอ

อาจเปนสงทยงไมเคยเกดขนมากอนกได ซงรวมทงจดออนและภยคกคามทมตอองคกร

- ลกษณะของความเสยง (Description of Risk) เมอชระบความเสยงไดแลว พง

บรรยายรายละเอยดของความเสยงนน

25

3.2.2 การประมาณความเสยง (Risk Estimation) เปนขนตอนในการประเมนปญหา

ความเสยงในแงของโอกาสทจะเกดเหตการณวามมากนอยเพยงใด และมผลกระทบรนแรงสราง

ความเสยหายมากนอยเพยงใด

เกณฑทใชในการประเมนระดบโอกาสการเกด (likelihood) แบงเปน 5 ระดบ ดงนคอ

ตารางท 3.1 ระดบโอกาสในการเกดความเสยง

โอกาสทจะเกดความเสยหาย ( Likelihood )

ประเดนในการ

พจารณา

ระดบคะแนน

นอยมาก = 1 นอย = 2 ปานกลาง = 3 สง = 4 สงมาก = 5

- ระเบยบและคมอปฏบต มและมการ

ปฏบตตาม

อยาง

เครงครด

มและม

การ

ปฏบต

ตามบาง

ไมมแตมการ

ปฏบตไปตาม

หนาท

มแตไม

ถอ

ปฏบต

ไมมและ

ไมถอ

ปฏบต

- การควบคม ตดตาม

และตรวจสอบของ

ผบงคบบญชา

1-2 สปดาห 1 เดอน 3 เดอน 6 เดอน มากกวา

หรอเทากบ

1 ป

- การอบรม/สอนงาน/

ทบทวนการปฏบตงาน

ทกเดอน ทก 3

เดอน

ทก 6 เดอน ทก 1 ป มากกวา

1 ป

- ความถในการเกด ปละ1ครง

หรอไมเกด

เลย

6 เดอน/1

ครง

3 เดอน/1ครง เดอนละ

1ครง

เดอนละ 2

ครง

26

เกณฑทใชในการประเมนระดบของผลกระทบ (Impact) แบงเปน 5 ระดบ ดงน

ตารางท 3.2 ระดบความรนแรงของผลกระทบความเสยง

ความรนแรงของผลกระทบ ( Impact )

ประเดนในการ

พจารณา

ระดบคะแนน

นอยมาก = 1 นอย = 2 ปานกลาง = 3 สง = 4 สงมาก = 5

- ผรบบรการไดรบ

ความเสยหาย

หรอไดรบ

ผลกระทบ

กระทบ

ผรบบรการ

บางราย

กระทบ

ผรบบรการ

บางแผนก

กระทบ

ผรบบรการและ

ผปวยบางชน

กระทบ

ผรบบรการ

และผปวย

สวนใหญ

กระทบ

ผเกยวของทง

องคกร

- มลคาความ

เสยหาย

< 5 หมนบาท 5 หมน – 1

แสนบาท

1 - 5 แสนบาท 5 แสน – 1

ลานบาท

> 1 ลานบาท

- ระดบความ

เสยหาย

เสยหายแต

ไมมผลกระทบ

ตอระบบ

ระบบ

บางสวน

เสยหายใช

งานไมได

ชวคราว

ระบบบางสวน

เสยหายใชงาน

ไมไดเปน

เวลานาน

ระบบ

ทงหมด

เสยหายใช

งานไมได

ชวคราว

ระบบทงหมด

เสยหายใช

งานไมไดอก

หรอสญหาย

- ระดบความ

ปลอดภยขอมล

ขอมลท

เปดเผยไม

กระทบตอ

องคกร

ขอมลท

เปดเผย

กระทบตอ

องคกร

เลกนอย

ขอมลท

เปดเผย

กระทบกบ

องคกรปาน

กลาง

ขอมลท

เปดเผย

กระทบ

รายแรงกบ

องคกรและ

ผปวย

ขอมลทเปดเผย

เปนผลเสยหาย

กบองคกร และ

ผปวยอาจทาให

มการฟองรอง

ได

- อนตรายตอชวต เดอนรอน บาดเจบ

เลกนอย

บาดเจบตอง

รกษาแพทย

บาดเจบ

สาหส

อนตรายถง

ชวต

- ผลกระทบตอ

ภาพลกษณ

นอยมาก นอย ปานกลาง สง สงมาก

โดยการคดคาของระดบความเสยงจะคดไดดงน

ระดบความเสยง = ระดบโอกาสทเกด × ระดบของผลกระทบ

27

3.2.3 การประเมนคาความเสยง (risk evaluation)

เมอไดความเสยง โดยมรายละเอยด และการประมาณความเสยงแลว จงนามา

ประเมนคาความเสยงโดยการเปรยบเทยบกบหลกเกณฑความเสยงทยอมรบได จะแบงผลการ

วเคราะหระดบความเสยงไดดงน

ตารางท 3.3 ระดบความรนแรงของผลกระทบความเสยง

Risk Assessment Matrix

โอกาสทจะเกดความเสยหาย ( Likelihood )

ตามาก/

นอยมาก ตา/นอย ปานกลาง สง/บอย

สงมาก/

บอยมาก

1 2 3 4 5

ควา

มรน

แรงข

อง

ผลกร

ะทบ

( Im

pact

)

นอยมาก 1 1 2 3 4 5

นอย 2 2 4 6 8 10

ปานกลาง 3 3 6 9 12 15

สง 4 4 8 12 16 20

สงมาก 5 5 10 15 20 25

จากตารางท 3.3 แสดงระดบความเสยงน สามารถแบงผลการวเคราะหระดบความเสยง

ไดดงน

ตารางท 3.4 ระดบการประเมนความเสยง

ระดบการประเมนความเสยง

ระดบคะแนน

ความเสยง

ระดบความ

เสยง

คาอธบาย

1 - 8 ตา (Low) เปนระดบความเสยงทองคกรสามารถยอมรบไดไมตองมการ

ควบคมเพมเตม แตการตดตามตรวจสอบยงคงตองทาเพอให

แนใจวาการควบคมยงคงมอย

9 – 16 กลาง

(Medium)

เปนระดบความเสยงทองคกรพอสามารถยอมรบไดแตจะตองใช

ความพยายามทจะลดความเสยง แตคาใชจายของการปองกน

ควรจะมการพจารณาอยางรอบครอบ และมการจากดงบประมาณ

และตองมมาตรการในการลดความเสยงภายในเวลาทกาหนด

17 - 25 สง (High) เปนระดบทองคกรไมสามารถยอมรบได ตองลดความเสยง

กอนทจะเรมทางานได ตองจดสรรทรพยากร และมาตรการให

เพยงพอเพอลดความเสยงนน เมอความเสยงเกยวของกบงาน

ทกาลงทาอย จะตองทาการแกไขอยางเรงดวน

28

3.3 จดทานโยบายรกษาความมนคงปลอดภยสารสนเทศ

เปนการรางนโยบาย เพอใหสอดคลองกบการปฏบตในการรกษาความมนคงปลอดภย

สารสนเทศ

3.4 ปรบปรงโครงสรางระบบเครอขายใหมใหตรงกบนโยบายสารสนเทศทมนคง

ปลอดภย

เปนขนตอนการศกษาถงโครงสรางของระบบเครอขายเดมวามจดออนอะไรบาง รวมถง

ความเสยง โดยออกแบบและปรบปรงระบบใหสอดคลองกบนโยบายรกษาความปลอดภย

เทคโนโลยสารสนเทศและขนตอนปฏบตข นพนฐาน โดยนาผลการประเมนจดออนชองโหวของ

ระบบ เพอใชในการอางองเพอออกแบบและปรบปรงโครงสรางระบบเครอขายสารสนเทศ เพอ

ปดชองโหวของระบบทใชงานอยในปจจบนโดยอางองจากอปกรณเดมหรอเพมอปกรณใหมถาม

ความจาเปนในการเพมความมนคงปลอดภย

3.5 การปดชองโหวและเพมความแขงแกรงของระบบ

เปนการปดชองโหวทไดตรวจพบและทาการปรบระบบเครอขายใหมความแขงแกรงมาก

ขนโดยการปรบเปลยน หรอปรบแตงคาคอนฟกของอปกรณใหมใหมความปลอดภยมากขน

3.6 ตรวจสอบระบบหลงทาการปดชองโหวและเพมความแขงแกรง

เปนการตรวจสอบเพอหาชองโหวอกครงหลงการเพมความแขงแกรงของระบบ

(hardening) เพอใหเปนการมนใจวาการทาในขนตอนทผานมานน สามารถปดชองโหวทมอยใน

ระบบและเพมความแขงแกรงของระบบได

3.7 สรปผลการดาเนนงาน

จากการศกษาและวางแผนการดาเนนงาน ทาใหเราทราบถงขนตอนในการทจะนาเอา

องคความรมาประยกตใช ในการจดทาโครงการนเพอใหบรรลตามวตถประสงคทเราตองการ

เชน เรองนโยบายรกษาความมนคงปลอดภยของเทคโนโลยสนเทศ ทาใหเราทราบถงวธการ

นาเอามาตรฐาน ISO27001 มาประยกตใชเพอจาทานโยบาย เพอเปนมาตรฐานนาไปใชกบ

องคกรเพอใหเกดความมนคงปลอดภย เรองการประเมนความเสยงเพอใหองคกรไดรบทราบถง

ความเสยงทประสบอย เพอจะไดหาวธปองกน

บทท 4

การทดลองและผลการทดลอง

วธการทดลอง

วธการทดลองของโครงงานนจะประกอบไปดวยขนตอนตางๆทสามารถแบงเปนการ

ดาเนนงานได ดงตอไปน

1. ระบบเครอขายขององคกร

2. ผลการประเมนความเสยงกอนดาเนนโครงการ

3. รางนโยบายรกษาความมนคงปลอดภยสารสนเทศ

4. ปรบปรงระบบเครอขายและทาการปดชองโหว

5. ตรวจสอบระบบหลงปดชองโหวและเพมความแขงแกรง

6. ประเมนความเสยงหลงดาเนนโครงการ

7. สรปผลการดาเนนงาน

4.1 ระบบเครอขายของโรงพยาบาลศนยการแพทยสมเดจพระเทพรตนราชสดา ฯ

สยามบรมราชกมาร มหาวทยาลยศรนครนทรวโรฒ

รายละเอยดอปกรณและคาอธบายการใชระบบเครอขายมดงน

- อปกรณสวตช (Switch) ยหอ HP (H3C) รน S5800 เปนอปกรณหลกทใชในการ

กระจายสญญาณในอาคารโรงพยาบาลศนยการแพทยฯ

- อปกรณไฟรวอลล (Firewall) ยหอ Fortigate รน 310B ใชในการตรวจจบการบกรก

จากภายนอกเครอขายและการกาหนดนโยบายในดานการอนญาตหรอไมอนญาต การเขาหรอ

ออกตางเครอขาย และยงใชในการพสจนตวตนทแทจรง ในการใชงานอนเทอรเนต ตลอดจนใช

กาหนดนโยบายดานการเขาถงบรการตางๆ และการบรหารจดการควบคมปรมาณการไหลของ

ขอมล (QOS) ในการใชงานอนเทอรเนต

- อปกรณ Fortianalyzer ใชในการเกบขอมลการจราจรบนเครอขายตาม พ.ร.บ.วาดวย

การกระทาความผดทางคอมพวเตอร พ.ศ.2550

- อปกรณสวตช (Switch) ยหอ 3Com รน 4210G 4500 4226T 4228G ใชกระจาย

สญญาณในแตละชนของอาคาร และใชในการทา VLAN (Virtual LAN)

- อปกรณแอคเซส พอยท (Access Point) ยหอ 3Com รน 7760 ใชในการกระจาย

สญญาณแบบไรสาย (Wireless) ภายในอาคาร

- ระบบปรบอากาศในหองดาตาเซนเตอร (data center) จานวน 2 ชด ขนาด 38000

BTU อณหภมภายในหองท 22 องศาเซลเซยส โดยสลบกนทางาน

30

- ระบบไฟฟาสารองในหองดาตาเซนเตอร ขนาด 5 KVA จานวน 2 ชด พรอมแบตเตอร

ภายนอก สามารถสารองไฟฟาใหแกระบบ ณ ปจจบนประมาณ 50 นาท และสามารถเพม

แบตเตอรไดอกในอนาคต แตปจจบน มระบบไฟฉกเฉนของโรงพยาบาล ทพรอมทางานไดใน

20 วนาท เมอไฟดบ

- ระบบควบคมการเปด-ปดประตหองเปนชนด สแกนลายนวมอ(finger scan) ท

สามารถเกบประวตในการเขาออกใชงานหอง โดยอนญาตเฉพาะเจาหนาท IT เทานน

- คอมพวเตอร SERVER สาหรบใหบรการระบบสารสนเทศของโรงพยาบาล และ

ใหบรการขอมลตางๆ รวม 12 เครอง

4.2 ผลการประเมนความเสยงกอนดาเนนโครงการ

4.2.1 ผลการตรวจสอบและประเมนความเสยงของระบบกอนดาเนนโครงการ

ในการประเมนความเสยง จะพจารณาจาก ระดบโอกาสทเกด (likelihood) และระดบ

ของผลกระทบ (Impact) โดย

ระดบความเสยง(Risk Value)

= ระดบโอกาสทเกด (likelihood) × ระดบของผลกระทบ (Impact)

ซงเกณฑพจารณา ไดดาเนนการไวในบทท 3

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ

1. นโยบายความมนคงปลอดภย (Security policy)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

1.1 จดทานโยบายความปลอดภยสาหรบ

สารสนเทศขององคกรอยางเปนลาย

ลกษณอกษร

ไมมการจดทานโยบายความปลอดภย

สาหรบสารสนเทศขององคกรอยางเปน

ลายลกษณอกษรแตมการแนะนาการใช

สารสนเทศใหปลอดภยโดยเจาหนาท

สารสนเทศ

4 3 12

กลาง

ทาใหขาดแนวทางในการปฏบต เพอให

เกดความปลอดภยทถกตอง

1.2 การบรหารจดการความมนคงปลอดภย

ไมสามารถทาไดอยางมประสทธภาพ

และประสทธผล ซงอาจสงผลใหเกด

เหตการณดานความมนคงปลอดภย

หลายๆ อยาง

เนองจากยงไมมนโยบายความปลอดภย

สาหรบสารสนเทศขององคกร ทาใหขาด

แนวทางปฏบตทตรงกนในการสราง

ความปลอดภยสารสนเทศ

5 3 15

กลาง

ขาดแนวทางปฏบตในการรกษาความ

ปลอดภย

31

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

2. โครงสรางทางดานความมนคงปลอดภยสาหรบองคกร (Organization of information security)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

2.1 ร ะบบสารสน เทศไมมค ว ามมน ค ง

ปลอดภย

ผบรหารยงขาดความรความเขาใจดาน

ความมนคงปลอดภยของสารสนเทศ

4 4 16

กลาง

ขาดการใหการสนบสนนตอการจดการ

ทางดานความมนคงปลอดภยของสารสนเทศ

2.2 ไมสามารถผลกดนนโยบายดานความ

มนคงปลอดภยของสารสนเทศใหมผล

และสาเรจอยางเปนรปธรรม

ยงไมมการกาหนดตวแทนจากหนวยงาน

ตางๆมาประสานงานดานความมนคง

ปลอดภยของสารสนเทศ

4 4 16

กลาง

ขาดการกาหนดใหมตวแทน พนกงานจาก

ฝายตางๆ เพอประสานงานในการสรางความ

มนคงปลอดภยของสารสนเทศ

2.3 ขอมลสาคญรวไหลหรอถกเปดเผยโดย

ไมไดรบอนญาต

ไมมน โยบาย เร อ งการรกษาขอมล

ความลบ ทชดเจน

5 3 15

กลาง

หากเปนขอมลคนไข อาจเกดการฟองรองได

2.4 การเขาถงระบบและขอมลสาคญโดย

ไมไดรบอนญาต

มการควบคมการเขาถงระบบและขอมล

สาคญในระบบสารสนเทศขององคกร

5 2 10

กลาง

อาจมการพยามยามจะเขาถงขอมลสาคญ

โดยไมไดรบอนญาต

2.5 ร ะบบสารสน เทศไมมค ว ามมน ค ง

ปลอดภยเนองจากขาดผรบผดชอบและ

ดแลทเพยงพอ

ในแผนก IT ไมมผรบผดชอบความมนคง

ปลอดภยทชดเจน มเพยงแตเจาหนาท

คนเดยวเทานนททาหนาทดแลระบบ

เครอขาย

4 4 16

กลาง

ขาดการกาหนดหนาทผรบผดชอบทางความ

มนคงปลอดภยอยางชดเจน อาจทาใหไม

ทราบวาตองทาอยางไรหากเกดปญหาขน

32

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

3. การบรหารจดการทรพยสนขององคกร (Asset Management)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

3.1 การไมสามารถบรหารจดการความเสยง

ดานทรพยสนตางๆ ได

รายการทรพยสนและสารสนเทศของ

องคกรไดถกรวบรวมไวโดยแผนกพสด

ตามรายการหมวดครภณฑ

5 1 5

ตา

3.2 การปฏเสธความรบผดชอบเมอเกดการ

สญหายของทรพยสน/ขาดการดแลอยาง

เหมาะสม

มการแยกหมวดหมตามหมายเลข

ครภณฑ โดยเปนไปตามระเบยบพสด

ของทางราชการ และระบหนวยงานท

รบผดชอบชดเจน

3 3 9

กลาง

งานเทคโนโลยสารสนเทศไมไดจดทา อาจ

ยากแกการปรบปรงขอมล เมอมการ

ปรบเปลยนอปกรณ

3.3 องคกรไดมการจดหมวดหมทรพยสนฯ

ตามระดบความสาคญหรอคณคาของ

ทรพยสนนนทมตอองคกรหรอไม

ไมมการจดทาการจดหมวดหมทรพยสน

ฯ ตามระดบความสาคญและคณคาของ

ทรพยสน

3 3 9

กลาง

อาจทาใหไมทราบระดบความสาคญหรอ

คณคาของทรพยสนนน

3.4 การจดหมวดหมนนไดแสดงใหเหนถง

ผรบผดชอบหรอผเปนเจาของทรพยสน

สารสนเทศนน

ไ ม ม ก า ร จ ด ห ม ว ด ห ม แ ต ม แ ส ด ง

ผรบผดชอบหรอผเปนเจาของทรพยสน

สารสนเทศ แยกเปนหนวยงาน

3 2 6

ตา

33

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

4. ความมนคงปลอดภยทเกยวของกบบคลากร (Human resources security)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

4.1 มการกาหนดหนาทความรบผดชอบ

ทางดานความมนคงปลอดภยทางดาน

สารสนเทศในคณสมบตของบคคลากรท

ตองการสรรหา

ไมไดกาหนดหนาทความรบผดชอบ

ท า ง ด า น ค ว า ม ม น ค ง ป ล อ ด ภย ใ น

คณสมบตของบคคลากรทตองการสรรหา

3 4 12

กลาง

อาจทาใหไดเจาหนาททางดานความมนคง

ปลอดภยสารสนเทศทไมมคณสมบตตามท

ตองการ

4.2 คณสมบตการจางงานไดกาหนดหนาท

ความรบผดชอบทเกยวของกบความ

มนคงปลอดภย

คณสมบตการจางงานไมไดกาหนดหนาท

ความรบผดชอบทเกยวของกบความ

มนคงปลอดภย

3 4 12

กลาง

ไมทราบหนาทความรบผดชอบทเกยวของ

กบความมนคงปลอดภย

4.3 มการลงนามในขอตกลงระหวางพนกงาน

และองคกรเพอเปนการปองกนขอมล

ความลบขององคกร

มการลงนามในขอตกลงสญญาจางให

ปฏบตตามกฎ ระเบยบและประกาศตางๆ

ของมหาวทยาลย

4 1 4

ตา

4.4 สญญากาหนดบทลงโทษตอพนกงาน

หากฝาฝนหรอละเมดขอกาหนดทระบไว

สญญา ไม ไ ดก า หนดบทลง โทษ ต อ

พ น ก ง า น ห า ก ฝ า ฝ น ห ร อ ล ะ เ ม ด

ขอกาหนดทระบไว

3 4 12

กลาง

อาจทาใหพนกงานไมทราบขอกาหนด

บทลงโทษ

34

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

4.5 มการยกเลกสทธในการเขาถงทรพยากร

สารสนเทศตางๆ เมอถกเลกจาง

ไมมการกาหนด ระยะเวลาการยกเลก

สทธเอาไวอยางชดเจน

5 3 15

กลาง

ขาดความตระหนกดานการรกษาความ

มนคงปลอดภย

4.6 มการสอสารใหพนกงานทราบถงบทบาท

ของตนเองเมอตองเปลยนงานหรอเมอ

ลาออก

ไมมสอสารใหพนกงานทราบถงบทบาท

ของตนเองเมอตองเปลยนงานหรอเมอ

ลาออก

4 3 12

กลาง

พนกงานอาจไมทราบถงบทบาทหนาทของ

ตนเอง

4.7 กอนการลาออก หนวยงานพสดหรอ

บคคล หรอหนวยตางๆ ทเกยวของ ได

แจง ใหผล าออกไดทราบถงการคน

ทรพยสนขององคกรทงหมด

มการแจงใหผลาออกไดทราบถงการคน

ทรพยสนขององคกรทงหมด และมการ

เซนรบทราบจากผบงคบบญชา และ

หนวยงานตางๆเปนชนๆ

2 1 2

ตา

4.8 มกาหนดการในการทบทวนสทธการ

เขาถงสารสนเทศของพนกงานอยาง

สมาเสมอ

ขาดการตดตามเรองการถอดถอนสทธ

ของพนกงานทลาออก หรอยายแผนก

อยางสมาเสมอ

4 4 16

กลาง

อาจทาใหพนกงานทลดออกหรอยายแผนก

สามารถใชสทธทไมไดยกเลก

35

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

5. การสรางความมนคงปลอดภยทากกายภาพและสงแวดลอม (Physical and environmental security)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

5.1 การปองกนไมใหบคคลภายนอกสามารถ

ลอดผานเขามาทางเขา ออกของพนทม

ความสาคญ

มการกาหนดพนทหามบคคลภายนอกเขา

โดยไมไดร บอนญาต โดยพนททสาคญ

มากจะมการตดตงเครองสแกนลายนวมอ

เพอตรวจสอบการเขาออก

5 1 5

ตา

5.2 มการกาหนดกฎเกณฑหรอขอกาหนด

ตางๆ ทผทมาเยอนตองปฏบตตามใน

ระหวางทอย ในพนทหรอบรเวณทม

ความสาคญ

ไมมการกาหนดกฎเกณฑหรอขอกาหนด

ต า ง ๆ ท ผ ท ม า เ ย อ น ใ น บ ร เ ว ณ ท ม

ความสาคญ แตในสวนหองพกผปวย ม

การระบเวลาเยยมและขอควรปฏบตเอาไว

4 4 16

กลาง

ผมาเยอนอาจทาใหระบบไมสามารถ

ทางานไดอาจโดยไมตงใจ

5.3 มมาตรการพสจนตวตน เชน การใชบตร

รด การใชลายนวมอ เพอควบคมการเขา-

ออกในพนทหรอบรเวณทมความสาคญ

มมาตรการพสจนตวตน โดยใชลายนวมอ

เพอควบคมการเขา -ออกในพนทหรอ

บรเวณทมความสาคญ

5 1 5

ตา

36

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

5.4 มการจดใหมการทบทวน หรอยกเลก

สทธการเขาถงพนทหรอบรเวณทม

ความสาคญอยางสมาเสมอ

ยงไมมการกาหนดการทบทวนหรอ

ยกเลกสทธการเขาถงพนทบรเวณทม

ความสาคญอยางสมาเสมอ

5 3 15

กลาง

บคคลทถกยกเลกสทธแตยงสามารถเขาถง

ระบบไดอาจสรางความเสยหายตอระบบได

5.5 บรเวณทมความสาคญ มการบงชวาเปน

สถานททมความสาคญ

ไมมการระบหรอบงชวาเปนสถานททม

ความสาคญชดเจน

3 2 6

ตา

5.6 มาตรการปองกนไฟไหม เชน ดวาม

อปกรณดบเพลงตดตงอยตามชนตางๆ

หรอในสานกงานอยางครอบคลมเพยงพอ

มการตดตงตฉดนาดบเพลงและอปกรณ

ปองกนไฟไหม อยางครอบคลมใน

บรเวณทสาคญ

5 1 5

ตา

5.7 การจดเกบอปกรณหรอระบบสารองไวใน

สถานททมความปลอดภยและหางจาก

สถานทหลกอยางเพยงพอ

มการจดเกบระบบสารองขอมลไวในท

ปลอดภย แตไมไดสารองไวหางจาก

สถานทหลก

5 2 10

กลาง

อาจทาใหขอมลทสารองไวเสยหายไป

พรอมกบขอมลหลก

5.8 มมาตรการควบคมการปฏบตงานของ

ผใหบรการภายนอก ในพนทหรอบรเวณ

ทมความสาคญ

มการตดตามและควบคมการปฏบตงาน

ของผใหบรการภายนอก ในพนทหรอ

บรเวณทมความสาคญ

5 2 10

กลาง

ผปฏบตงานภายนอกอาจทาใหระบบไม

สามารถทางานได อาจโดยไมตงใจ

37

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

5.9 จดเกบสายสญญาณสอสารใหอย ใน

สภาพทเปนระเบยบเรยบรอย

มการจดเกบเกบสายสญญาณสอสารให

อยในสภาพทเปนระเบยบเรยบรอย แต

ยงไมครบทกหนวยงาน

3 2 6

ตา

อาจทาใหการปฏบตงานผดพลาดไดอน

เ ก ด จ า ก ค ว า ม ไ ม เ ร ย บ ร อ ย ข อ ง

สายสญญาณ

5.10 มก า ร จด พ น ท ห ร อ บ ร เ ว ณส ง มอ บ

ผลตภณฑไวในบรเวณตางหาก เพอ

ปองกนการเขาถงทางกายภาพในพนท

ตางๆ ภายในองคกร

ยงไมมการจดพนทหรอบรเวณสงมอบไว

ในบรเวณตางหาก เพอปองกนการ

เขาถงทางกายภาพ

4 2 8

ตา

ผปฏบตงานภายนอกอาจทาใหระบบไม

สามารถทางานได โดยไมไดตงใจ

5.11 มการจดวางอปกรณสาคญไวในสถานทม

ความปลอดภยเพยงพอ

มการจดวางอปกรณสาคญไวในสถานท

มความปลอดภย

5 1 5

ตา

5.12 การจดวางจอคอมพวเตอรในตาแหนงท

เหมาะสมเพอหลกเลยงการมองเหน

ขอมลสาคญในระบบโดยบคคลภายนอก

มการจดวางจอคอมพวเตอรในตาแหนง

ทเหมาะสมเพอหลกเลยงการมองเหน

ขอมลสาคญ

5 1 5

ตา

อาจทาใหขอมลทสาคญรวไหลได

38

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

5.13 มการจดทาแผนฉกเฉนสาหรบระบบ

กระแสไฟฟาเกดการลมเหลวหรอดบ

ไมมการจดทาแผนฉกเฉนแตระบบ

ไฟฟาสารองของอาคารจะทางานภายใน

20 วนาท แตจะสารองไฟเฉพาะทสาคญ

ยงไมครอบคลมทงอาคาร

5 5 25

สง

ระบบเครอขายไมสามารถทางานได และ

อาจทาใหเกดขอผดพลาดในการใหบรการ

ผปวย

5.14 มระบบแจงเตอน เพอแจงเตอนกรณท

ระบบสนบสนนการทางานภายในหอง

เครองทางานผดปกตหรอหยดการทางาน

ไมมระบบแจงเตอน แตมการ monitor

อปกรณเครอขายหลกบางรายการ

เพอใหทราบเมออปกรณภายในหอง

เครองทางานผดปกตหรอหยดทางาน

4 4 16

กลาง

ทาใหทราบและแกไขปญหาไดชา ไม

ทนทวงท

5.15 มระบบสายสอสารสารองซงเชอมตอไปยง

ผใหบรการเครอขายและ /หรอ ผใหบรการ

โทรคมนาคม เพอใชเปนเสนทางสารอง

ยงไมมระบบสายสอสารสารอง ซงเชอม

ตอไปยงผใหบรการเครอขาย

4 5 20

สง

หากระบบสายสอสารหลกมปญหาทาให

ร ะบ บง าน ไม ส า ม า รถ เ ช อ ม ต อ เพ อ

ตดตอสอสารได

5.16 มการเดนสายสญญาณสอสารและสาย

ไฟฟาแยกออกจากกนเพอปองกนการ

รบกวนสญญาณกน

มการแยกเดนสายสญญาณสอสารและ

สายไฟฟาแยกออกจากกน

3 1 3

ตา

39

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

5.17 มการรอยสายสญญาณตางๆ ลงไปในทอ

เพอปองกนการแอบดกจบสญญาณ หรอ

การตดสายสญญาณ

มการรอยสายสญญาณตางๆ ลงไปใน

ทอ เพยงบางสวน เฉพาะทบรษท

ภายนอกตดตงเทานน

3 2 6

ตา

อาจทาใหระบบไมทางานหากเกดการตด

สายสญญาณ

5.18 มการจดทาปายชอสาหรบสายสญญาณ

สอสารเพอปองกนการตดตอสญญาณผด

เสน

ยง ไม มก า ร จดท า ป ายช อ ส าห รบ

สายสญญาณสอสาร

3 3 9

กลาง

อาจทาใหเกดความสบสน ทาใหระบบม

ปญหาได

5.19 มการลอคหองทมสายสญญาณสอสาร

ต า ง ๆ เ พ อ ป อ ง กน ก า ร เ ข า ถ ง โ ด ย

บคคลภายนอก

มการลอคหองทมสายสญญาณสอสาร

ตางๆ เพ อ ปองกนการเขาถง โดย

บคคลภายนอก

4 1 4

ตา

40

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

5.20 มการกาหนดการบารงรกษาอปกรณอยาง

สมาเสมอ

ยงไมมการกาหนดการบารงรกษา

อปกรณ อยาง เ ปนทางการ มการ

บารงรกษาบางเปนครงคราว

4 2 8

ตา

อาจทาใหอปกรณทางานผดพลาด จาก

อปกรณชารด

5.21 มก า รก า หน ดผ มอ า น า จอ น มต ก า ร

เคล อนยายหรอ นา อปกรณออกนอก

สานกงาน

ไมมการกาหนดผมอานาจอนมตการนา

อปกรณออกนอกสานกงาน แ ตม

เอกสารอนญาตนาของออกททาขนโดย

หนวยงานนน โดยใหพนกงานรกษา

ความปลอดภยเปนผตรวจสอบ

4 3 12

กลาง

อาจทาอปกรณสญหายได

41

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

6. การบรหารจดการดานการสอสารและการดาเนนงานของเครอขายสารสนเทศขององคกร (Communications and operations management)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

6.1 มการทา Job Description ของพนกงาน

แตละตาแหนง

มการทาJob Description ของพนกงาน

ทกคน เพ อใหทราบขอบเขตความ

รบผดชอบงานของแตละคน

2 2 4

ตา

6.2 การแยกระบบสาหรบการพฒนา การ

ทดสอบ และการใหบรการออกจากกน

มการแยกระบบสาหรบการพฒนาออก

จากการใหบรการจรง เฉพาะในสวนของ

ระบบสารสนเทศโรงพยาบาลและ web

server เทานน

3 3 9

กลาง

อาจสญเสยความถกตองของขอมล

6.3 มการ เ ฝ าระวงและตดตามขดความ

สามารถของ server และอปกรณเครอขาย

อยางสมาเสมอ

มการเฝาระวงและตดตามขดความ

สามารถของอปกรณเครอขาย เฉพาะ

ไฟลวอลลและ core switch เทานน

4 4 16

กลาง

อาจทาใหระบบงานททางานอยทางานได

ไมเตมประสทธภาพ หากไมไดร บการ

แกไขทนท

6.4 มโปรแกรมปองกนไวรสแตไมสามารถ

ปองกนไวรสได

ไมมโปรแกรมปองกนไวรสแบบ Client

server ทสามารถบรหารจดการจาก

ศนยกลางได

4 5 20

สง

โดนไวรสโจมตไดทาใหระบบไมสามารถ

ทางานได

42

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

6.5 Server และ อปกรณ เครอข ายมการ

กาหนดแผนการสารองขอมลการสารอง

ขอมลอยางถกวธ

ขอมลสารสนเทศโรงพยาบาลจะทาการ

สารองขอมลทกวน แตไมไดนาออกมา

เกบไวทอนอยางปลอดภย และไมมระบบ

สารองขอมลทเปนอตโนมต

5 4 20

สง

หากเซอรฟเวอรหลก เกดชารดหรอ

ใหบรการไม ได จะท า ใหการบรการ

หยดชะงกและตองใชเวลานานในการกคน

ระบบ

6.6 ชองโหวของระบบปฏบตการทาใหเกด

ความเสยหายตอระบบ

ไมมการตรวจสอบชองโหวของระบบ

ปฏบตการ

4 3 12

กลาง

อาจทาใหระบบถกโจมตจากชองโหวทมอย

ได

6.7 การใชงานทรพยากรในระบบสารสนเทศ

ผดวตถประสงค

ไมมการควบคมการใชงานทรพยากร

สารสนเทศ

3 4 12

กลาง

อาจทาใหสญเสยทรพยากรสารสนเทศโดย

ไมจาเปน

6.8 ระบบ network และ server ไมสามารถ

ใหบรการได

ไมมการกาหนดระดบการใหบรการ

(Service Level Agreement : SLA) วา

ระบบยอมรบ Downtime ไดเปนระยะ

เวลาเทาไร แตตองพยามยามใหนอยทสด

5 2 10

กลาง

อาจทาใหระบบเสยหายบอย โดยไมมการ

แกไข

43

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

6.9 ไมสามารถวเคราะหเหตการณทเกดขน

ในระบบไดอยางทนทและมประสทธภาพ

ไมมระบบทสามารถวเคราะหเหตการณ

ทเกดขนในระบบ มเพยงระบบ monitor

เครอขายเทานน

4 4 16

กลาง

อาจทาใหแกไขปญหาไดชาและไมตรงจด

6.10 ระบบใหบรการอาจเสยหายเนองจากไมม

การควบคมการ เปลยนแปลงระบบ

ใหบรการ

ไมมการบนทกการเปลยนแปลงของ

ระบบใหบรการและหนงสอขอการ

เปลยนแปลง

3 3 9

กลาง

อาจทาระบบเสยหายจากการเปลยนแปลง

6.11 อปกรณแอกเซส สวตช (Access Switch)

มก า ร ต ด ต ง ร ะ บ บ ค ว า ม ป ล อ ด ภย

(Security)

ไมมการตดตงระบบความปลอดภย ใน

เรองของการปองกน การโจมตโดยใช

เทคนค ARP Poisoning และ DHCP

Spoofing และอปกรณสวตชบางสวน

เปนแบบธรรมดาไมมฟงกชนการปองกน

4 4 16

กลาง

ทาใหเกดความเสยงและนาไปสการบกรก

และโจมตเครอขายแบบแมนอนเดอะมด

เดล (Man in the Middle : MITM) ได

6.12 เครอขายไรสาย (Wireless) ไมมการ

กาหนดระบบความปลอดภยและการ

พสจนตวตนในการเขาใชงาน

การใชงานเครอขายไรสาย ไมไดมการ

พสจนตวตนในการเขาใชงาน มการ

พสจนตวตนกอนการใช อนเตอรเนต

เทานน

4 4 16

กลาง

เปนชองทางใหผบกรกเขามาใชเครอขาย

ไดงาย

44

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

7. การควบคมการเขาถง (Access control)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

7.1 มการกาหนดนโยบายการตงรหสผานให

มความปลอดภย

ไมมนโยบายการตงรหสผานเพอใหเกด

ความปลอดภย

4 3 12

กลาง

รหสผานทไมปลอดภยอาจทาใหสญเสย

ขอมลทสาคญได

7.2 การเขาถงระบบโดยไมไดรบอนญาต โดย

รหสผานของผใชงานถกเปดเผยหรอถก

เขาโดยไมไดรบอนญาต

มการกาหนดสทธในการเขาถงระบบ

Admin เขาถงระบบไดทงหมด แต

เจาหนาท IT สามารถเขาถงระบบและ

อปกรณได แตแกไขไมได

4 1 4

ตา

การเขาถงขอมลโดยไมไดรบอนญาตอาจ

ทาใหเกดการสญเสยขอมล

7.3 มการกาหนดใหตองพสจนตนกอนจะเขา

ระบบเครอขาย

ไมมนโยบายในการควบคม พสจนตน

กอนจะเขาระบบเครอขาย มการพสจน

ตนในการใชอนเตอรเนตเทานน

5 3 15

กลาง

บคคลภายนอกอาจเขามาใชเครอขายได

7.4 พนกงานทเขามาใหมยงไมม Username

ในการเขาระบบ

มเอกสารในการรองขอ User name และ

สทธตางๆของระบบสารสนเทศ

4 2 8

ตา

7.5 การสวมรอยปลอมเปนผใชงานทลอกอน

และใชระบบงานคางไว

มการกาหนดให Logoff เมอไมมการใช

งานเฉพาะอนเตอรเนตเทานน

3 3 9

กลาง

การเขาถงขอมลโดยไมไดรบอนญาต อาจ

ทาใหเกดการสญเสยขอมล

45

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

7.6 การเขาถงขอมลโดยไมไดรบอนญาตผาน

ทาง Network share

มการกาหนด Password ในการShare

ผานระบบ Network บางสวน

2 3 6

ตา

อาจทาใหสญเสยขอมลทสาคญท Share

ไว หากไมไดตงรหสผาน

7.7 การเขาถงระบบเครอขายและระบบ

เซรฟเวอรโดยไมไดรบอนญาตผานพอรต

ทไมมมาตรการปองกน

ไมมการตรวจสอบพอรตตางๆของระบบ

เครอขายและระบบเซรฟเวอรทไมไดรบ

อนญาต

4 3 12

กลาง

อาจเปนชองทางใหผไมประสงคดสามารถ

เขามาถงระบบงานได

7.8 ระบบสารสนเทศภายในองคกรถกเขาถง

โดยไม ได ร บอ นญาตจากภายนอก

สานกงาน

ไมมการตรวจสอบระบบสารสนเทศทถก

เ ข า ถ ง โ ดย ไ ม ไ ด ร บ อ น ญ า ต จ า ก

ภายนอกสานกงาน

4 3 12

กลาง

อาจเปนชองทางใหผไมประสงคดสามารถ

เขามาถงระบบงานจากภายนอกได

7.9 การ เขาถงแอปพล เคชน และขอมล

สารสนเทศโดยไมไดรบอนญาต

มการตรวจสอบและมการพสจนตนกอน

เขาแอปพลเคชนและขอมลสารสนเทศ

โรงพยาบาล

3 2 6

ตา

ควรใหมการตรวจสอบระบบอนๆ ดวย

7.10 มการกาหนดใหผใชงานใชวธการเทคนค

ทมความปลอดภย

มการใช ssl vpn ในการใชงานจาก

ภายนอก

4 1 4

ตา

หากใชงานจากทสาธารณะตองระวงในการ

ใชรหสผาน และผอนมาใหตอโดยใชรหสท

คางไวได

46

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

8. การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ (Information systems acquisition, development and maintenance)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

8.1 การจดหาและการพฒนาระบบสารสนเทศ

ทไมมประสทธภาพทาใหองคกรไดมาซง

ระบบทไมมความมนคงปลอดภย

การจดหาและการพฒนาสารสนเทศ ม

การแตงตงคณะกรรมการตรวจสอบ

คณสมบตและคณะกรรมการตรวจรบซง

เปนไปตามระเบยบราชการ

3 3 9

กลาง

ไมสามารถระบอปกรณหรอสารสนเทศท

ตองการแบบจาเพาะเจาะจงได

8.2 ขอมลรวไหลจากการนาขอมลออกจาก

องคกรผานทางระบบของแอปพลเคชน

ระบบมการกาหนดสทธในการนาขอมล

ออกจากแอปพลเคชน โดยประมวลผล

ตามสทธของผใชทเขามาใชงานระบบ

แอปพลเคชนอยในขณะนน

5 1 5

ตา

8.3 ขอมลสาคญถกเขาถงจากผไมได

รบอนญาต

จะมการควบคมการเขาถงและมการตง

รหสผานเฉพาะทอนญาต

4 2 8

ตา

อาจทาใหระบบไมสามารถทางานได หรอ

สญเสยขอมลในระบบ

47

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

8.4 การใชซอฟทแวรละเมดลขสทธและ

ซอฟทแวรทดาวนโหลดมามไวรสทาให

ระบบเสยหาย

ไมมนโยบายหามผใชตดตงซอฟทแวร

เอง และไมคอยมการตรวจสอบเรอง

การตดต งซอฟทแวร โดยไม ได ร บ

อนญาต

4 4 16

กลาง

อาจทาใหโปรแกรม ทางานผดพลาด

หรอไมสามารถใชงานได

8.5 ระบบเสยหาย และ แกไขกลบคนไดลาชา

อนเนองมาจากการเปลยนแปลงทไมม

การควบคมทด

ไมมข นตอนปฏบตสาหรบควบคมการ

เปลยนแปลงหรอการแกไขระบบ ทงท

เปน Hardware และ Software ทเปน

ขอกาหนดอยางชดเจน

5 3 15

กลาง

หากไมไดทดสอบกอน อาจทาใหระบบ

เสยหายได

8.6 ผไมประสงคดอาศยชองโหวของระบบ

ปฏบตการโจมตระบบใหเสยหาย

ไมมนโยบายควบคมชองโหวทางเทคนค

แตปดชองโหวทเกดขน

5 3 15

กลาง

เปนชองทางเขาถงขอมลโดยไมไดร บ

อนญาต

48

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

9. การบรหารจดการเหตการณทเกยวของกบความมนคงปลอดภยขององคกร (Information security incident management)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

9.1 มการรายงานเหตการณทเกยวของกบ

ความมนคงปลอดภย

ไมมการจดเกบรายงานเหตการณท

เกยวของกบความมนคงปลอดภย

3 5 15

กลาง

อาจทาใหระบบเสยหายโดยไมทราบถง

ปญหาทเกดขนกบระบบ

9.2 กาหนดขนตอนปฏบตในการรบมอกบ

ปญหาตางๆ รวมทงหนาทความ

รบผดชอบของผทเกยวของ

ไมมการเขยนขนปฏบตในการรบมอกบ

ป ญ หา ต า ง ๆ แ ต ม ผ ร บ ผ ด ช อ บ ท

เกยวของเปนคนแกไขปญหา

4 4 16

กลาง

อาจทาใหแกไขปญหาผดพลาดเนองจาก

ไมมข นปฏบตในการรบมอ ทถกตอง

9.3 เหตการณดานความมนคงปลอดภยหรอ

เหตฉกเฉนไมไดร บการจดการภายใน

ระยะ เวลาท เหมาะสมซ งท า ให เกด

เหตการณลกลามหรอบานปลาย

มขนตอนปฏบตสาหรบการรายงาน

อบตการณตางๆ แตไมไดจาเพาะเจาะจง

เฉพาะดานความมนคงปลอดภย

4 4 16

กลาง

อาจทาใหระบบเสยหายเกดการลกลาม

หรอบานปลายหากแกไขลาชา

9.4 ระบบเสยหายกบเกดเหตการณเดมๆท

เกดขนในดานการละเมดความมนคง

ปลอดภย

ไมมการบนทกเหตการณละเมดความ

มนคงปลอดภย

4 4 16

กลาง

อาจมผพยายามบกรกโดยไมบนทกการ

ละเมดความมนคงปลอดภย

49

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

9.5 มขนตอนปฏบตทเหมาะสมในการจดการ

กบปญหาซอฟตแวรไมประสงคดหรอ

ระบบถกโจมต

มการปองกนซอฟตแวรไมประ สงคด

ห ร อ ร ะ บ บ ถ ก โ จ ม ต โ ด ย อ ป ก ร ณ

Firewall

4 2 8

ตา

ระบบอาจถกโจมตหรอระบบอาจเสยหาย

ได

9.6 มนโยบายทางดานความมนคงปลอดภย

เพอกาหนดใหเจาหนาทปฏบตตาม

ขนตอนปฏบตในการจดการกบปญหาท

เกดขนโดยเครงครด

ไมมน โยบายทางดานความมนคง

ปลอดภยแตมการจดการปญหาทเกดขน

โดยผดแลระบบและเจาหนาทสารสนเทศ

4 3 12

กลาง

ไมมกรอบการปฏบตทชดเจน

50

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

10. การบรหารความตอเนองในการดาเนนงานขององคกร (Business continuity management)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

10.1 การขาดความชดเจนในกระบวนการสราง

ความตอเนองใหกบกระบวนการทาง

ธรกจสาคญและระบบงานสนบสนน

ไมมนโยบาย และขนตอนการปฏบตงาน

เพอสรางความตอเนองตอระบบงาน

สาคญ

4 3 12

กลาง

อาจทาใหระบบงานเสยหาย ไมมความ

ตอเนองตอระบบงานสาคญ

10.2 กร ะบวนการทา ง ธ ร กจ ส า คญแล ะ

ระบบงานสนบสนนไมไดรบการกคนตาม

ระยะเวลาทเหมาะสม

ไมมการกาหนดระดบความสาคญเปน

ลายลกษณอกษร แตพงทราบวาระบบ

สารสนเทศโรงพยาบาลสาคญทสด

5 3 15

กลาง

อาจทาใหระบบงานสาคญไมไดร บการ

แกไขทนท หรอลาชา

10.3 บคลากรไดรบอนตรายถงชวต/ทรพยสน

และระบบขององคกรเกดการเสยหายหรอ

สญเสย

มการจดทาแผนการปองกนอคคภยและ

การรบมอกบเหตฉกเฉน

5 1 5

ตา

10.4 การไมสามารถใชแผนฯ ไดอยางม

ประสทธภาพและประสทธผล เนองจาก

ยงไมไดแกไขจดออนตางๆ ในแผนโดย

ผานกระบวนการทดสอบแผนอยาง

สมาเสมอ

มการฝกซอม หากเกดอคคภยอยาง

ตอเนอง

5 2 10

กลาง

บคลากรทเขามาใหมอาจไมทราบและไม

สามารถฝกซอมตามแผนได

51

ตารางท 4.1 การประเมนความเสยงและการวเคราะหกอนทาโครงการ (ตอ)

11. การปฏบตตามขอกาหนด (Compliance)

ขอ ประเดนความเสยง สถานะปจจบน

ผลกร

ะทบ

โอกา

ส

ระด

บค

วาม

เสยง

ปจจยเสยง

11.1 การละเมดสทธและทรพยสนทางปญญา

ของผอน

ไมมการปองกนการใชซอฟแวรละเมด

สทธหรอทรพยสนทางปญญา

5 3 15

กลาง

อาจมบคคลอนใชซอฟทแวรละเมดลขสทธ

อาจทาใหเกดผลเสยตอองคกร

11.2 การละเมดกฎหมาย ระเบยบ ขอบงคบ

ขอกาหนดในสญญา และขอกาหนดอนๆ

ทองคกรตองปฏบตตาม

ไมมน โยบาย แ ตมการปฏบตตาม

ขอก าหนดท เกยวของกบกฎหมาย

ระเบยบ ขอบงคบ ทองคกรตองปฏบต

ตาม

5 3 15

กลาง

อาจท า ใหล ะ เมดกฎหมาย ร ะ เบยบ

ขอบงคบขององคกร

11.3 ขอมลเอกสารทสาคญสญหายหรอรวไหล มการเกบเอกสารสาคญตามระเบยบ

ร า ช ก า ร แ ล ะ เ ก บ ไ ว ใ น ต เ ก บ ต า ม

หนวยงานทรบผดชอบ

5 1 5

ตา

11.4 การใชงานระบบผดวตถประสงค มขนตอนการขออนมตเพอใชระบบงาน

ขององคกรผานแบบฟอรมขอดาเนนการ

4 3 12

กลาง

ขาดการตดตามการใชงาน อาจทาใหใช

งานระบบผดวตถประสงค

52

53

ตารางท 4.2 ตารางสรปผลการประเมนความเสยงกอนเรมโครงการ

Domain สง กลาง ตา

A.5 นโยบายความมนคงปลอดภย (Security policy) 2

A.6 โครงสรางทางดานความมนคงปลอดภยสาหรบองคกร

(Organization of information security)

5

A7. การบรหารจดการทรพยสนขององคกร (Asset management) 2 2

A.8 ความมนคงปลอดภยทเกยวของกบบคลากร (Human

resources security)

6 2

A.9 การสรางความมนคงปลอดภยทางกายภาพและสงแวดลอม

(Physical and environmental security)

2 7 12

A.10 การบรหารจดการดานการสอสารและการดาเนนงานของ

เครอขายสารสนเทศขององคกร (Communications and

operations management)

2 9 1

A11. การควบคมการเขาถง (Access control) 5 5

A.12 การจดหา การพฒนา และการบารงรกษาระบบสารสนเทศ

(Information systems acquisition, development and

maintenance)

4 2

A.13 การบรหารจดการเหตการณทเกยวของกบความมนคง

ปลอดภย ขององคกร (Information security incident

management)

5 1

A.14 การบรหารความตอเนองในการดาเนนงานขององคกร (Business

continuity)

3 1

A.15 การปฏบตตามขอกาหนด (Compliance) 3 1

รวม 4 51 27

จากประเดนความเสยงทไดวเคราะหไวทงหมด ผจดทาโครงงานและคณะผบรหารไดลง

ความเหนใหดาเนนการแกไขความเสยงทมความเสยงระดบปานกลางถงสง ซงจาเปนตองไดรบ

การแกไขและเปนภาระงานทผทาโครงงานรบผดชอบโดยตรงและสามารถดาเนนการไดทนท

ดงน

54

1. ยงไมมการจดทานโยบายความปลอดภยสาหรบสารสนเทศขององคกร อยางเปน

ลายลกษณอกษร

ความเสยงทพบ

2. ยงไมมการจดตงคณะกรรมการดาเนนงานสารสนเทศ เพอประสานงานดานความ

มนคงปลอดภยสารสนเทศ

3. ระบบไฟฟาสารองของตอปกรณเครอขายนอกหองดาตาเซนเตอร(data center) ม

ไมครบทกตและสารองไฟไดไมเพยงพอเมอเกดไฟฟาดบเปนเวลานาน

4. ไมมระบบสายสอสารสารองสาหรบการใชงานอนเทอรเ นตทมแบนดวดท

(Bandwidth) เพยงพอ

5. ไมมการเฝาระวงและตดตามขดความสามารถของ เซอรฟเวอรและอปกรณเครอขาย

6. ปญหาความเสยงจากการคกคามของไวรส

7. เซอรฟเวอรของระบบสารสนเทศโรงพยาบาล (Hospital information system) ทไมม

ระบบสารองขอมล (Backup) ทเปนอตโนมต

8. อปกรณแอกเซสสวตช (Access Switch) ยงไมมการตดตงระบบความปลอดภย

(Security)

9. เครอขายไรสาย (Wireless) ไมมการกาหนดระบบความปลอดภยและการพสจน

ตวตนในการเขาใชงาน

จากการตรวจสอบและการประเมนความเสยงกอนดาเนนโครงงาน ททางผจดทาและ

ผบรหารเหนควรใหดาเนนการแกไขกอนนน ทางผจดทาโครงงานจงไดสรปผลการตรวจสอบ

และประเมนความเสยงของระบบเทคโนโลยสารสนเทศของโรงพยาบาลศนยการแพทย

สมเดจพระเทพรตนราชสดาฯ สยามบรมราชกมาร พรอมขอเสนอแนะและผลกระทบ ดงน

สรปผลการตรวจสอบและประเมนความเสยงของระบบเทคโนโลยสารสนเทศทดาเนนการแกไขกอน

ตารางท 4.3 ผลการตรวจสอบและประเมนความเสยงทดาเนนการแกไข

ประเดนท ประเดนความเสยงทพบ ระดบความเสยง สาเหตและผลกระทบ ขอเสนอแนะ

1 ยงไมมการจดทานโยบายความปลอดภย

สาหรบสารสนเทศขององคกร อยางเปนลาย

ลกษณอกษร

12 (กลาง) ทาใหขาดแนวทางในการปฏบต เพอให

เกดความปลอดภยทถกตอง

จดท าน โยบายความปลอดภย

สาหรบสารสนเทศ อยางเปนลาย

ลกษณอกษร

2 ยงไมมการจดตงคณะกรรมการดาเนนงาน

สารสนเทศ เพอประสานงานดานความมนคง

ปลอดภยสารสนเทศ

16 (กลาง)

ทา ใหขาดการประสานงานในการ

ดาเนนการ ดานความมนคงปลอดภย

ของสารสนเทศ

แตงตงกรรมการดาเนนงานดาน

สารสนเทศ

3 ระบบไฟฟาสารองของตอปกรณเครอขาย ม

ไมครบทกตและสารองไดไมเพยงพอเมอเกด

ไฟฟาดบเปนเวลานาน

25 (สง) เมอไฟฟาดบเปนเวลานานเกนกวา 40

นาท จะทาใหอปกรณเครอขายทเกบใน

ตอปกรณเครอขายบรเวณชนตางๆ ไม

สามารถใชงานได ทาใหบางหนวยงาน

ไมสามารถใชงานระบบเครอขายได

เพมอปกรณสารองไฟฟา (UPS) ให

ครบทกตและตดตงระบบไฟฟาทมา

จ า ก เ ค ร อ ง ก า เ น ด ไ ฟ ฟ า ข อ ง

โรงพยาบาล

4 ไมมระบบสายสอสารสารองสาหรบการใช

งานอนเทอรเนตทมแบนดวดท (Bandwidth)

เพยงพอ

20 (สง) เมอลงคหลกไมสามารถใชงานได ทาให

การบรการตรวจสอบสทธผปวยเกด

ความลาชา และการใชงานสาหรบสง

ขอมลภาพทางการแพทยไมสามารถใช

งานได

ทาการเพมแบนดวดท (Bandwidth)

ของระบบลงคสารองใหสงขน ให

สามารถรองรบการใชงานทงหมดได

55

ตารางท 4.3 ผลการตรวจสอบและประเมนความเสยงทดาเนนการแกไข (ตอ)

ประเดนท ประเดนความเสยงทพบ ระดบความเสยง สาเหตและผลกระทบ ขอเสนอแนะ

5 ไมมการเฝาระวงและตดตามขดความ

สามารถของเซอรฟเวอรและ อปกรณ

เครอขาย

16 (กลาง) อาจทาใหระบบงานททางานอย เกดการ

หยดชะงก โดยไมทราบลวงหนา ขาด

แนวทางในการวางแผนปรบปรงเพม

ประสทธภาพของระบบ

ควรมซอฟทแวรทคอยตรวจสอบการ

ท า ง าน ขดคว ามสามา รถของ

เซอรฟเวอรและอปกรณเครอขาย

6 ปญหาความเสยงจากการคกคามของไวรส 20 (สง) เนองจากผใชงานมการใชแอนตไวรส

ตางยหอกน ทาใหประสทธภาพในการ

ปองกนตางกนไป อกทงผใชงานยงไมม

ความรในเรองระบบแอนตไวรสอยาง

ถกตอง

ดาเนนการซอแอนตไวรสและตดตง

เปนยหอเดยวกน และใหมระบบ

ควบคมตรวจสอบจากสวนกลางใน

การบรหารจดการ

7 เซอรฟเวอรของระบบสารสนเทศโรงพยาบาล

(Hospital information system) ไมมระบบ

สารองขอมล (Backup) ทเปนอตโนมต

20 (สง) หากเซอรฟเวอรของระบบสารสนเทศ

โรงพยาบาลไมสามารถใหบรการได จะ

ทาให การใหบรการผปวยทกระบบไม

สามารถดาเนนการได การกระบบหรอ

น าขอม ลท ส า ร อ ง ไวม า ใช ง านไม

สามารถทาไดในทนท ทกสวนตองรอ

จ น ก ว า ร ะ บ บ ร ะ บ บ ส า ร ส น เ ท ศ

โรงพยาบาล จะกลบมาใชงานได

ดาเนนการจดใหมระบบสารองขอมล

ทเปนอตโนมตและใหม เซอรฟเวอร

สารองทสามารถทางานไดทนทท

เ ซ อ ร ฟ เ ว อ ร ห ล ก ไ ม ส า ม า ร ถ

ใหบรการได

56

ตารางท 4.3 ผลการตรวจสอบและประเมนความเสยงทดาเนนการแกไข (ตอ)

ประเดนท ประเดนความเสยงทพบ ระดบความเสยง สาเหตและผลกระทบ ขอเสนอแนะ

8 อปกรณแอกเซสสวตช (Access Switch) ยง

ไมมการตดตงระบบความปลอดภย

(Security)

16 (กลาง) ไมมการตดตงระบบความปลอดภย ใน

เรองของการปองกน การโจมตโดยใช

เทคนค ARP Poisoning และ DHCP

Spoofing และอปกรณสวตชบางสวน

เปนแบบธรรมดา ไมมฟงกชนการ

ปองกน ทาใหเกดความเสยงและ

นาไปสการ บกรกและโจมตเครอขาย

แบบแมนอนเดอะมดเดล (Man in the

Middle : MITM) ได

ทาการปรบเปลยนอปกรณสวตช

บางสวนและตดตงดานความมนคง

ปลอดภย ในการปองกนการโจมต

โดยใชเทคนค ARP Poisoning และ

DHCP Spoofing

9 เครอขายไรสาย (Wireless) ไมมการกาหนด

ระบบความปลอดภยและการ พสจนตวตนใน

การเขาใชงาน

16 (กลาง) เครองผใชงานเครอขายไรสายทไมไดม

การพสจนตวตนกอนการใชงานจะทา

ใหมความเสยงทผ บ กรกสามารถ

เชอมตอเขามาในเครอขายได

ทาการควบคมการใชงานเครอขาย

โดยตองมการพสจนตวตนกอนการ

ใชงาน และแยกกลมผใชตามการใช

งานของแตละคน

สวนความเสยงดานอนๆ ทยงไมไดรบการแกไขในขณะน ทางผทาโครงงานและทางผบรหารจะดาเนนการในปงบประมาณตอไป

57

58

คาอธบายทมาในการวเคราะหโอกาสทจะเกดและตวเลขผลกระทบ ทนามาใชในการ

ประเมนความเสยง

1. ระบบไฟฟาสารอง ของตอปกรณเครอขาย มไมครบทกตและสารองไฟไดไมเพยงพอ

เมอเกดไฟฟาดบเปนเวลานาน

ตวเลขประเมนผลกระทบ คดจากจานวนหนวยงานทกระทบ เมอเกดไฟฟาดบและ

ไมสามารถใชงานได

ตวเลขประเมนโอกาสทจะเกด คดจากสถตจานวนครงทเคยเกดไฟฟาดบ ไม

สามารถใชงานระบบเครอขายได

2. ไมมระบบสายสอสารสารองสาหรบการใชงานอนเทอรเ นตทมแบนดวดท

(Bandwidth) เพยงพอ

ตวเลขประเมนผลกระทบ คดจากระยะเวลาทไมสามารถใชระบบได และกระทบตอ

การใหบรการในรอบ 1 ป นบรวมแบนดวดททไมเพยงพอทาใหการใชงานลาชา และกระทบกบ

จานวนผใชงาน

ตวเลขประเมนโอกาสทจะเกด คดจากจานวนครงทไมสามารถใชงานไดในรอบ 1 ป

ทผานมา

รปท 4.1 ปญหาสายเชอมสญญาณภายในองครกษ ผลกระทบ 203.9 ชม.

59

รปท 4.2 ปญหาสายเชอมสญญาณระหวางประสานมตรกบองครกษ ผลกระทบ105.13 ชม.

รปท 4.3 ปญหาสายเชอมสญญาณภายในประสานมตร ผลกระทบ 15.30 ชม.

60

รปท 4.4 ปญหาสายเชอมสญญาณระหวางประสานมตรกบ uninet ผลกระทบ 40 ชม.

3. ปญหาความเสยงจากการคกคามของไวรส

ตวเลขประเมนผลกระทบ คดจากความเสยหายของขอมลหรอทรพยสน และเวลา

ตวเลขประเมนโอกาสทจะเกด คดจากจานวนครงทมการแจงปญหาไวรส

4. เซรฟเวอรของระบบสารสนเทศโรงพยาบาล (Hospital information system) ทไมม

ระบบสารองขอมล (Backup) ทเปนอตโนมต

ตวเลขประเมนผลกระทบ คดจากหากระบบไมสามารถใชงานได จะกระทบตอ

ภาพลกษณ ชอเสยง การใหบรการผปวย รวมถงระยะเวลาทจะสามารถทาใหระบบกลบมา

ใชไดใหม

ตวเลขประเมนโอกาสทจะเกด คดจากเหตการณทเคยเกดในอดตทผานมา

ระยะเวลาของอปกรณทใชงานมาแลว

5. อปกรณแอกเซสสวตช (Access Switch) ยงไมมการตดตงระบบความปลอดภย

(Security)

ตวเลขประเมนผลกระทบ คดจากหากเกดการดกจบขอมลสาคญไดจะเกดปญหาใน

เรองใดบาง เชน ภาพลกษณ ชอเสยง ความลบผปวย และระบบอาจไมสามารถใชงานได สงผล

ถงการใหบรการทผดพลาด ลาชา ซงสงผลเสยอยางสง

ตวเลขประเมนโอกาสทจะเกด พจารณาจากจานวนคณสมบตอปกรณทไมรองรบตอ

การตดตงระบบความปลอดภย

61

6. เครอขายไรสาย (Wireless) ไมมการกาหนดระบบความปลอดภยและการพสจน

ตวตนในการเขาใชงาน

ตวเลขประเมนผลกระทบ คดจากหากเกดการดกจบขอมลทสาคญไดจะเกดปญหา

ในเรองใดบาง เชน ภาพลกษณ ชอเสยง ความลบผปวย และระบบอาจไมสามารถใชงานได

สงผลถงการใหบรการทผดพลาด ลาชา ซงสงผลเสยอยางสง

ตวเลขประเมนโอกาสทจะเกด ประเมนจากความยากงายในการเชอมตอเครอขาย

4.3 รางนโยบายรกษาความมนคงปลอดภยสารสนเทศ

การรกษาความมนคงปลอดภยระบบสารสนเทศโรงพยาบาลศนยการแพทย

สมเดจพระเทพรตนราชสดา ฯ สยามบรมราชกมาร คณะแพทยศาสตร มหาวทยาลย

ศรนครนทรวโรฒ เปนการจดทาขนเพอกาหนดแนวทางไวเปนกรอบ เพอยกระดบมาตรฐาน

การรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ โดยอางองจากกรอบมาตรฐานสากล

ISO/IEC 27001 แบงออกเปน 2 กลม คอ

1. กลมผใชงานระบบสารสนเทศและเครอขาย

2. ผดแลระบบสารสนเทศและเครอขาย

1. กลมผใชงานสารสนเทศและเครอขาย

1.1 นโยบายความมนคงปลอดภยระบบสารสนเทศ

ขอ 1 ผใชงานมหนาทในการปองกน ดแล รกษารหสผใชงาน (Username)

และรหสผาน (Password) ของตนเอง หามใชรวมกบผอน รวมทงหามทาการเผยแพร แจกจาย

ทาใหผอนลวงรรหสผาน (Password)

ขอ 2 ผใชงานตองตงรหสผานประกอบดวยตวอกษรปนตวเลขหรอตวอกษร

พเศษไมนอยกวา 8 ตวอกษร

ขอ 3 ผใชงานตองทาการพสจนตวตนทกครงกอนทจะใชงานระบบเครอขาย

หรอระบบสารสนเทศของทางโรงพยาบาลศนยการแพทยสมเดจพระเทพฯ เพอเชอมตอกบ

เครอขายอนเตอรเนต

ขอ 4 ผใชงานตองรบผดชอบตอการกระทาใดๆ ทเกดจากบญชของผใชงาน

ไมวาการกระทานนจะเกดจากผใชงานหรอไมกตาม

ขอ 5 ผใชงานตองไมเขาไปในหองคอมพวเตอรแมขายเวนแตไดรบอนญาต

จากผดแลระบบ

ขอ 6 หามผใชงานกระทาการใดๆ เพอการดกขอมล ไมวาจะเปนขอความ

ภาพ เสยง หรอสงอนใดในเครอขายระบบสารสนเทศของทางโรงพยาบาล

ขอ 7 หามผใชงานกระทาการใดๆ อนมลกษณะเปนการลกลอบใชยสเซอร

เนมและพาสเวรดของผอน

62

ขอ 8 หามผใชงานตดตงอปกรณหรอคอมพวเตอรทกประเภทเพอแทรกแซง

เขาถงระบบสารสนเทศของโรงพยาบาล โดยไมไดรบอนญาตจากผมอานาจ

ขอ 9 เมอผใชงานพบวาเครองคอมพวเตอรตดไวรส ผใชงานตองไมเชอมตอ

เครองคอมพวเตอรเขาสเครอขาย และ ตองแจงแกผดแลระบบ

ขอ 10 หามผใชงานทาการเผยแพรไวรสคอมพวเตอร มลแวร หรอโปรแกรม

อนตรายใดๆ ทอาจกอใหเกดความเสยหายมาสท งตวทรพยสนของทางโรงพยาบาล

1.2 นโยบายความมนคงปลอดภยของเครอขายและเครองคอมพวเตอรแมขาย

ขอ 1 หามใชทรพยากร เครองคอมพวเตอรแมขาย รวมถงอปกรณอนใดของ

ทางโรงพยาบาล เพอการเผยแพร ขอมล ขอความ รปภาพ หรอสงอนใด ทมลกษณะขดตอ

ศลธรรม ความมนคงของประเทศ กฎหมาย

ขอ 2 หามมใหผใชงานนาอปกรณ เครองคอมพวเตอร หรอสงอนใดมาตอ

พวงกบระบบเครอขายอนจะสงผลกระทบ หรอ เสยหายตอระบบเครอขาย

1.3 นโยบายความมนคงปลอดภยของการสารองขอมล

ขอ 1 ผใชงานควรสารองขอมลประจาเครองตนเองไวสาหรบกรณเกดปญหา

กบเครองคอมพวเตอร

ขอ 2 หามมใหผใชงานทาการคดลอกหรอสารองขอมลทเปนความลบของทาง

โรงพยาบาลเพอนาไปเผยแพร

1.4 นโยบายความมนคงปลอดภยของเครอขายไรสาย

ขอ 1 ผใชงานระบบตองทาการลงทะเบยนกบทางงานเทคโนโลยสารสนเทศ

กอนเทานนจงจะสามารถใชงานเครอขายไรสายได

ขอ 2 หามมใหผใชงานใชอปกรณกระจายสญญาณ มาทาการปลอยสญญาณ

ในพนทของทางโรงพยาบาล ยกเวนแตจะไดรบการอนญาตและตดตงจากงานเทคโนโลย

สารสนเทศเทานน

1.5 นโยบายความมนคงปลอดภยของอนเทอรเนต

ขอ 1 ไมใชระบบอนเทอรเนตของทางโรงพยาบาล เพอหาประโยชนในเชง

พาณชยเปนการสวนบคคล และทาการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอ

ศลธรรม เวบไซตทมเนอหาอนอาจกระทบกระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา

พระมหากษตรย

ขอ 2 การใชงานอนเทอรเนตตองทาการพสจนตวตนและตองมการบนทก

ขอมล

ขอ 3 การใชงานกระดานสนทนาอเลกทรอนกส ไมเปดเผยขอมลทสาคญและ

เปนความลบของหนวยงานหรอโรงพยาบาล ไมเสนอความคดเหน หรอใชขอความทย วย ให

ราย ทจะทาใหเกดความเสอมเสยตอชอเสยงของโรงพยาบาล หรอ บคคลอน

63

ขอ 4 การสงขอมลทเปนความลบ ไมควรระบความสาคญของขอมลลงใน

หวขอจดหมายอเลกทรอนกส

ขอ 5 หามเปดเผยขอมลสาคญท เ ปนความลบเกยวกบงานของทาง

โรงพยาบาล ทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต

1.6 นโยบายการบรหารจดการการเขาถงระบบสารสนเทศ

ขอ 1 สทธในการเขาถงหรอใชงานระบบเครอขายหรอสารสนเทศ เปนสทธ

ของผบรหาร อาจารย แพทย บคลากร เจาหนาท นกศกษาปจจบน ของคณะแพทยศาสตร

มหาวทยาลยศรนครนทรวโรฒ หรอบคคลอนทไดรบอนญาตจากผบรหารหรอผมอานาจเทานน

ขอ 2 การรบสงขอมลสาคญผานระบบเครอขายสาธารณะ เขาหรอออกระบบ

เครอขายหรอระบบสารสนเทศควรไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล เชน

SSL VPN เปนตน

ขอ 3 บคคลทหมดสภาพในการมสทธใชงานระบบเครอขายจะไมสามารถใช

งาน ยสเซอรเนมและพาสเวรดไดอกตอไป ยกเวนไดรบอนญาตจากผมอานาจ

1.7 การฝาฝนและการลงโทษ

ขอ 1 ผใชทฝาฝนประกาศจะถกระงบ และ/หรอถกยกเลกบญชผใช

ขอ 2 ใหดาเนนการพจารณาโทษทางวนยแกผฝาฝน

ขอ 3 หากการกระทาอนฝาฝนเปนความผดตามกฎหมาย ใหโรงพยาบาล

ดาเนนคดทงทางอาญาและทางแพงกบผกระทาผดอกทางหนงดวย

ขอ 4 ทางโรงพยาบาล สามารถเขาไปตรวจสอบดขอมลในเครองคอมพวเตอร

ในกรณทสงสยวาจะทาการฝาฝนประกาศ

2. กลมผดแลระบบสารสนเทศและเครอขาย

2.1 นโยบายความมนคงปลอดภยระบบสารสนเทศ

ขอ 1 ผดแลระบบ มสทธทจะระงบหรอบลอกการใชงานของเครอง

คอมพวเตอรลกขายทมพฤตกรรมการใชงานทผดนโยบาย หรอเกดจากการทางานของ

โปรแกรมทมความเสยงตอความปลอดภย จนกวาจะไดรบการแกไข

ขอ 2 หามมใหผดแลระบบทาการบอกหรอเปดเปดเผยขอมลทเปนความลบ

ทงขอมลของอปกรณ เครองแมขาย รหสผาน และขอมลอนๆ อนจะสงเกดผลเสยหายตอ

อปกรณ เครองแมขาย หรอระบบเครอขาย ตอผใชงานทวไป

ขอ 3 ผดแลระบบตองพสจนตวตนการใชงานระบบเครอขายและสารสนเทศ

เชนเดยวกบผใชงานทวไป

ขอ 4 ผดแลระบบตองทาการเขยนเปนบนทกเมอทาการตงคา แกไข กบ

อปกรณหรอเครองแมขายทกครงทมการเปลยนแปลง

64

2.2 นโยบายความมนคงปลอดภยของเครอขายและเครองคอมพวเตอรแมขาย

ขอ 1 ใหผดแลระบบกาหนดคาการใหบรการของเครองแมขาย จะตอง

กาหนดคาอนญาตเฉพาะพอรตการเชอมตอทจาเปนตอการใหบรการเทานน

ขอ 2 การเขาถงตวอปกรณ เครองแมขาย และหองดาตาเซนเตอรตองม

มาตรฐานรกษาความปลอดภยและพสจนตวตน

ขอ 3 หามใชทรพยากร เครองแมขาย รวมถงอปกรณอนใดของโรงพยาบาล

เพอการเผยแพร ขอมล ขอความ รปภาพ หรอสงอนใด ทมลกษณะขดตอศลธรรม กฎหมาย

ความมนคงของประเทศ

ขอ 4 จดทาแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยด

เกยวกบขอบเขตของระบบเครอขายภายในและเครอขายภายนอก และอปกรณตางๆ พรอมทง

ปรบปรงใหเปนปจจบนอยเสมอ

ขอ 5 จดสารองไฟลระบบปฏบตบนอปกรณเครอขายอยางสมาเสมอ

ขอ 6 ผดแลระบบมหนาทตองตรวจสอบและรายงานผลถงขอผดพลาดของ

อปกรณเครอขาย ตลอดจนเครองแมขาย และจดทารายงาน

2.3 นโยบายความมนคงปลอดภยของการสารองขอมล

ขอ 1 มขนตอนการปฏบตการจดทาสารองขอมลและการกคนขอมลอยาง

ถกตอง ทงระบบซอฟตแวร และขอมลในระบบสารสนเทศ โดยขนตอนปฏบตแยกตามระบบ

สารสนเทศแตละระบบ

ขอ 2 จดเกบขอมลทสารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบ

ขอมลนนใหสามารถแสดงถงระบบซอฟตแวร วนท เวลาทสารองขอมลและผรบผดชอบในการ

สารองขอมลไวอยางชดเจน ขอมลทสารองควรจดเกบไวในสถานทเกบขอมลสารองซงตดตงอย

ทสถานทอน และตองมการทดสอบสอเกบขอมลสารองอยางสมาเสมอ

2.4 นโยบายความมนคงปลอดภยของเครอขายไรสาย

ขอ 1 ผดแลระบบ (System Administrator) ตองควบคมสญญาณของอปกรณ

กระจายสญญาณ (Access Point) ใหร วไหลออกนอกพนทใชงานระบบเครอขายไรสายนอยทสด

ขอ 2 ผดแลระบบควรเลอกใชวธการควบคม MAC Address (Media Access

Control Address) และยสเซอรเนมและพาสเวรดของผใชบรการทมสทธในการเขาใชงานระบบ

เครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC address ตามทกาหนดไวเทานนใหเขา

ใชระบบเครอขายไรสายไดอยางถกตอง

ขอ 3 ผดแลระบบตองควบคมดแลไมใหบคคลหรอหนวยงานภายนอกทไมได

รบอนญาต ใชงานระบบเครอขายไรสายในการเขาสระบบเครอขายภายในและฐานขอมลภายใน

ตางๆ ของทางโรงพยาบาล โดยไมไดรบอนญาต

65

2.5 นโยบายความมนคงปลอดภยของอนเทอรเนต

ขอ 1 ไมใชระบบอนเทอรเนตของทางโรงพยาบาล เพอหาประโยชนในเชง

พาณชยเปนการสวนบคคล และทาการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอ

ศลธรรม เวบไซตทมเนอหาอนอาจกระทบกระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา

พระมหากษตรย

ขอ 2 การใชงานอนเทอรเนตตองทาการพสจนตวตนและตองมการบนทก

ขอมลเชนเดยวกบผใชงานทวไป

ขอ 3 การใชงานกระดานสนทนาอเลกทรอนกส ไมเปดเผยขอมลทสาคญและ

เปนความลบของหนวยงาน ไมเสนอความคดเหน หรอใชขอความทย วย ใหราย ทจะทาใหเกด

ความเสอมเสยตอชอเสยงของตอสถาบน หรอ บคคลอน

2.6 นโยบายการบรหารจดการการเขาถงระบบสารสนเทศ

ขอ 1 กาหนดใหมข นตอนปฏบตอยางเปนทางการเพอใหมสทธตางๆ ในการ

ใชงานระบบเครอขายและสารสนเทศของทางโรงพยาบาล เชน การรบบคลากรใหมการลาออก

หรอการเปลยนตาแหนงงาน

ขอ 2 การรบสงขอมลสาคญผานระบบเครอขายสาธารณะเขาหรอออกระบบ

เครอขายหรอระบบสารสนเทศควรไดรบการเขารหสทเปนมาตรฐานสากล เชน SSL VPN

เปนตน

2.7 การฝาฝนและการลงโทษ

ขอ 1 ใหดาเนนการพจารณาโทษทางวนยแกผฝาฝน

ขอ 2 หากการกระทาอนฝาฝนเปนความผดตามกฎหมาย ใหโรงพยาบาล

ดาเนนคดทงทางอาญาและทางแพงกบผกระทาผดอกทางหนงดวย

ขอ 3 ทางโรงพยาบาล สามารถเขาไปตรวจสอบดขอมลในเครองคอมพวเตอร

ในกรณทสงสยวาจะทาการฝาฝนประกาศ

4.4 ปรบปรงระบบเครอขายและทาการปดชองโหว

จากการตรวจสอบและประเมนความเสยงทผานมา ซงปรากฏวามชองโหวของระบบ

เครอขายซงผจ ดทาจงไดทาการปรบปรงระบบเครอขายและทาการปดชองโหว โดยม

รายละเอยด ดงนคอ

66

4.4.1 ทาการปรบปรงระบบเครอขายใหม

รปท 4.5 ผงระบบเครอขายเดม

รปท 4.6 ผงระบบเครอขายทปรบปรงใหม

67

4.4.1.1 เปลยนอปกรณสวตช

โดยทาการเปลยนอปกรณสวตชทไมสามารถรองรบการปรบแตงใหเกด

ความปลอดภยได อกทงเปลยนอปกรณสวตชทมสภาพเกาและใชงานมาเปนระยะเวลานาน เปน

อปกรณชดใหมทสามารถปองกนการโจมตตางๆ ใหระบบเกดความปลอดภยได (ดรายละเอยด

เพมเตมในภาคผนวก ก)

4.4.1.2 เพมชองทางระบบเครอขายในการใชงานอนเทอรเนต

ทาการเพมชองทางระบบเครอขายในการใชงานอนเทอรเนตใหดขน

โดยการเชาชองสญญาณจากบรษท cattelecom เพอใหบรการอนเตอรเนตแบบ cat onnet

ขนาดแบนดวดท ดาวนโหลด 100 Mbps และ อพโหลด 10 Mbps เพอใหมแบนดวดทเพยงพอ

ตอการใชงาน (ดรายละเอยดเพมเตมในภาคผนวก ข)

รปท 4.7 แสดงปรมาณการใชงานเครอขายอนเตอรเนตหลงดาเนนโครงการ

4.4.1.3 เปลยนอปกรณกระจายสญญาณไรสาย

ทาการขออนมตเปลยนอปกรณกระจายสญญาณแบบเดมทใชงานมา

นานแลวเปนอปกรณกระจายสญญาณแบบใหมทมประสทธภาพดกวาเดม และมอปกรณควบคม

การทางาน ( Controller) ซงสามารถกาหนดระบบความปลอดภยและการพสจนตวตนในการ

เขาใชงานได แตในการปรบปรงตามรายการน ยงอยระหวางดาเนนการเนองจากยงดาเนนการ

68

จดซอไมแลวเสรจ แตเมอไดรบการตดตงเสรจสมบรณแลวจะสามารถกาหนดระบบความ

ปลอดภยไดเนองจากไดกาหนดคณลกษณะเฉพาะของอปกรณใหสามารถกาหนดระบบความ

ปลอดภยไวแลว (ดรายละเอยดเพมเตมในภาคผนวก ค)

4.4.1.4 ปรบปรงระบบไฟฟาสารอง

ดาเนนการตดตงอปกรณสารองไฟฟา (UPS) ประจาตเกบอปกรณ

เครอขายใหครบทกตประสานงานกบงานซอมบารงในการปรบระบบไฟสารองของอาคารให

ตเกบอปกรณเครอขาย สามารถใชไฟสารองของอาคารไดทกตเมอเกดไฟฟาดบ ซงจะทาให

ระบบเครอขายทงระบบสามารถใชงานไดอยางตอเนอง (ดรายละเอยดเพมเตมในภาคผนวก ง)

4.4.1.5 จดใหมระบบสารองขอมลทเปนอตโนมต

ดาเ นนการจดใหมระบบสารองขอมลท เ ปนอตโนมตและใหม

เซอรฟเวอรสารองทสามารถทางานไดทนททเซอรฟเวอรหลกไมสามารถใหบรการได โดยการ

ประสานงานกบบรษท อเอมอาร ซอฟท จากด ซงเปนบรษททพฒนาระบบสารสนเทศ

โรงพยาบาลททางโรงพยาบาลใชงานอย ใหทาการปรบปรงระบบสารสนเทศโรงพยาบาลใหม

ระบบสารองขอมลทเปนอตโนมต โดยทางโรงพยาบาลไดเพมคอมพวเตอรเซอรฟเวอรทม

คณสมบตเดยวกบคอมพวเตอรเซอรฟเวอรสารสนเทศโรงพยาบาล (HIS) แลวใหบรษทเปน

ผดาเนนการตดตง ซงปจจบนเซอรฟเวอรทใหบรการนสามารถใชแทนเซอรฟเวอรหลกไดทนท

แตตองมการรนสครปบางอยางอกเลกนอย (ดรายละเอยดเพมเตมในภาคผนวก จ)

4.4.1.6 ตดตงโปรแกรมสแกนไวรส

โดยทาการตดตงโปรแกรมแอนตไวรสทมระบบควบคมตรวจสอบจาก

สวนกลางในการบรหารจดการ เพอใหทราบถงปญหา จานวนไวรสในระบบ และสามารถบรหาร

จดการได

รปท 4.8 แสดงเครองลกขายทเชอมตอมายงเซอรฟเวอรสแกนไวรส

69

รปท 4.9 แสดงสถานะผลการสแกนเครองลกขาย

รปท 4.10 แสดงลาดบเครองลกขายทตรวจพบไวรส

70

รปท 4.11 แสดงไวรสทตรวจจบไดสงสด

4.4.1.7 ตดตงโปรแกรมสาหรบตรวจสอบระบบเครอขาย (monitor) เพอเฝาระวง

ตดตามขดความสามารถของระบบเครอขาย ทสามารถแสดงสถานะของอปกรณ ปรมาณขอมล

ทผานโดยสามารถตรวจสอบไดเปนรายพอรต โดยไดตดตงโปรแกรมทชอ SNMPc Network

manager ดงรป

รปท 4.12 แสดงสถานะอปกรณเปนสเขยวเมออปกรณใชงานปกต

71

รปท 4.13 แสดงสถานะเปนสแดงเมออปกรณไมสามารถใหบรการได

รปท 4.14 แสดงสถานะแพคเกตของอปกรณ

72

4.4.2 ทาการทดสอบเจาะระบบ

ทดสอบการปองกนการโจมตแบบ ARP Poisoning ในการทดสอบการปองกน

การโจมตกาหนดใหโปรแกรม Cain & Abel เปนโปรแกรมทใชในการทดสอบโครงงาน โดย

คณสมบตของโปรแกรมจะทาหนาทเปน ARP Poisoning สาหรบขนตอนการคอนฟกโปรแกรม

Cain & Abel จาเปนจะตองทาการทดสอบการทางานของโปรแกรม Cain & Abel กอนทาการ

คอนฟก ARP Security ทอปกรณสวตซ HP โดยอปกรณทใช คอ HP A5120-24G EI Switch

Software version 5.20 Release 2208P01 และ Switch 4210G 24 port Software version

5.20 Release 2202P18 มขนตอนดงตอไปน

1. ทาการเปดโปรแกรม จากนนเลอกทไอคอน Interface ดงรป ใหทาการ

Enable Interface โดยทาการเลอก Interface ทใชเชอมตอเขากบเนตเวรค เพอใชในการ

Sniffer Packet

2. เลอก Interface ทตองการใชเปน Sniffer Mode ดงรป

73

3. ทาการเลอก สแกนเนตเวรคของเปาหมาย และเลอกชนดของ ARP ดงรป

4. รอจนกวาโปรแกรมจะสแกนเนตเวรคเสรจสน หลงจากนน ไปท Tab ของ

ARP ในโปรแกรมดงรปเพอเลอกเปาหมายในการโจมต

74

5. หลงจากทเลอกเปาหมายการโจมตในขอท 4 แลว สงใหเรมตนการทางานของ

โปรแกรม Cain & Abel ใหทาการโจมตดงรปดานลาง

75

6. กลบไปดผลการโจมตเครองเปาหมายหมายเลข IP Address :

192.168.118.12 จะเหนวาสามารถโจมตไดสาเรจ พบวา ARP Table ของเครองเปาหมาย ม

แมกแอดเดรสทระบเกตเวย (Gateway) ดงน IP Address: 192.168.118.254 มแมกแอดเดรส

88-ae-1d-32-77-d0 ซงเปนแมกแอดเดรส (Mac Address) ของเครองโจมต (Attacker) ดงรป

ทเครองเปาหมาย IP Address: 192.168.118.12 ทดสอบการใชงาน โดยการ

เปดเวบตรวจสอบการใชเงนสวสดการของบคลากร โดยมวตถประสงคเพอทดสอบการดกจบ

Username และ Password ของเครองลกขาย โดยใช Login: 70388 password: 70388 และ

เปดเวบ ฮอตเมลล โดยใช Login: j_gank@hotmail.com password: john0892450844

76

7. จากนนกลบไปทโปรแกรม Cain & Abel จะเหนไดวา มการทา Session

เชอมตอ กบปลายทาง และสามารถดกจบ Username และ password ของเครองเปาหมายได

ดงรป

4.4.3 ทาการปดชองโหวของระบบ (Hardening)

1. Login ท Console Port ทาง Command Line

ขนตอนการ Configuration ARP Protection

- Port GigabitEthernet 1/0/24 เปน trunk port

รายละเอยด

- Client A (Attacker) เชอมตอกบ Port GigabitEthernet 1/0/1 ของ switch

HP A5120

- Client B เชอมตอกบ Port GigabitEthernet 1/0/2 ของ switch HP A5120

1. ทาการ enable คอนฟกพอรท ทเชอมตอกบ DHCP และเปน port trunk

ของอปกรณใหเปน Port Trust ตาม Command ดงน

คาอธบาย

<HP> system-view

[HP] dhcp-snooping

[HP] interface GigabitEthernet 1/0/24

[HP- GigabitEthernet 1/0/24] dhcp-snooping trust

[HP- GigabitEthernet 1/0/24] arp detection trust

[HP- GigabitEthernet 1/0/24] quit

77

2. เปดการใชงานฟงกชน ARP Attack

[HP] vlan 1

[HP-vlan1] arp detection enable

3. ฟงกชน Rate Limit ไมไดทาการคอนฟกเนองจากใชคาตาม Default

กาหนดการรโมทไปยงอปกรณใหเปน ssh

Login ท Console Port ทาง Command Line

[HP]user-interface vty 0 4

[HP-ui-vty0-4]authentication-mode scheme

[HP-ui-vty0-4]quit

[HP]ssh server enable

[HP]local-user admin

[HP-luser-admin]password cipher switch111

[HP-luser-admin]service-type ssh telnet terminal

[HP-luser-admin]authorization-attribute level 3

[HP-luser-admin]quit

[HP] public-key local create rsa

4.5 ตรวจสอบระบบหลงปดชองโหวและเพมความแขงแกรง

หลงจากทดาเนนการคอนฟกอปกรณสวตซแลว ใหทาการบนทกคาการคอนฟก เปน

การเสรจสนการคอนฟกของอปกรณสวตซเพอเปดฟงกชนการใชงาน ARP Security หลงจากท

ไดมการคอนฟกอปกรณสวตซ แลวทาการโจมตเครองเปาหมายอกครงปรากฏวา เครองททา

หนาทโจมต (Attacker) ไมสามารถเปลยนคาแมกแอดเดรส (mac address) ของเครอง

เปาหมายได

78

รปท 4.15 แสดงแมกแอดเดรสของเครองเปาหมายยงเปนคาเดม

รปท 4.16 แสดงการรโมทเขาใชงานโดยใช SSH

4.6 ประเมนความเสยงหลงดาเนนโครงการ

หลงดาเนนโครงการและแกไขประเดนความเสยงทตรวจพบแลวนน ผจดทาไดทาการประเมนความเสยงอกครง พบวาความเสยงมระดบลดลงดงตารางท

แสดง

ตารางท 4.4 ตารางประเมนความเสยงหลงดาเนนโครงงาน

ประเดนท ประเดนความเสยงทพบ กอนดาเนนโครงการ หลงดาเนนโครงการ สถานะปจจบน

1 ยงไมมการจดทานโยบายความปลอดภย

สาหรบสารสนเทศขององคกร อยางเปนลาย

ลกษณอกษร

12 (กลาง) 8 (ตา) มการจดท านโยบายความปลอดภยส าหรบ

สารสนเทศ อยางเปนลายลกษณอกษร

2 ยงไมมการจดตงคณะกรรมการดาเนนงาน

สารสนเทศ เพอประสานงานดานความมนคง

ปลอดภยสารสนเทศ

16 (กลาง) 8 (ตา) มการจดตงคณะกรรมการดาเนนงานสารสนเทศ

เพ อประสานงานดานความมนคงปลอดภย

สารสนเทศ (ดรายละเอยดเพมเตมในภาคผนวก ฉ)

3 ระบบไฟฟาสารองของตอปกรณเครอขาย

สารองไฟไดเพยง 40 นาท ซงไมเพยงพอ

หากไฟฟาดบเปนเวลานาน

25 (สง) 5 (ตา) มการจดใหมอปกรณสารองไฟฟา (UPS) ประจาต

อปกรณเครอขาย และจดใหมไฟฟาสารองของ

อาคาร กรณไฟฟาดบ

4 ไมมระบบสายสอสารสารองสาหรบการใช

งานอนเทอรเนตทมแบนดวดท (Bandwidth)

เพยงพอ

20 (สง) 8 (ตา) มแบนดวดทเพยงพอตอการใชงาน ซงมปรมาณ

การใชงานประมาณ 50 %

79

ตารางท 4.4 ตารางประเมนความเสยงหลงดาเนนโครงงาน (ตอ)

ประเดนท ประเดนความเสยงทพบ กอนดาเนนโครงการ หลงดาเนนโครงการ สถานะปจจบน

5 ไมมการ เ ฝ า ระวงและตดตามขดความ

สามารถของเซอรฟเวอรและอปกรณเครอขาย

16 (กลาง) 8 (ตา) มซอฟทแวรเฝาระวงตดตามขดความสามารถของ

เซอรฟเวอรและอปกรณเครอขาย

6 ปญหาความเสยงจากการคกคามของไวรส 20 (สง) 12 (กลาง) มการตดตงโปรแกรมสแกนไวรสทสามารถ ควบคม

และจดการผานศนยกลางได

7 เซอรฟเวอรของระบบสารสนเทศโรงพยาบาล

(Hospital information system) ไมมระบบ

สารองขอมล (Backup) ทเปนอตโนมต

20 (สง) 10 (กลาง) จดใหมคอมพวเตอรเซอรฟเวอรทเปนระบบสารอง

ขอมล ทสามารถทางานแทนระบบจรงไดหากระบบ

จรงชารด

8 อปกรณแอกเซสสวตช (Access Switch) ยง

ไมมการตดตงระบบความปลอดภย (Security)

16 (กลาง) 8 (ตา) มการปรบเปลยนอปกรณสวตช เปนรนใหมทม

ความสามารถในการตดตงระบบความปลอดภยได

9 เครอขายไรสาย (Wireless) ไมมการกาหนด

ระบบความปลอดภยและการพสจนตวตนใน

การเขาใชงาน

16 (กลาง) 16 (กลาง) มแนวทางในการเปลยนเปนอปกรณรนใหมทม

อปกรณควบคมการทางาน และสามารถกาหนด

ความปลอดภยในการใชงานได

80

81

0

5

10

15

20

25

30

1 2 3 4 5 6 7 8 9

กอนดาเนนโครงการ

หลงดาเนนโครงการ

4.7 สรปผลการดาเนนงาน

จากผลของการประเมนความเสยง และดาเนนการแกไขเพอลดความเสยงตามหวขอ

ทองคกรใหความสาคญกอนนน ผลการแกไขทาใหประเดนความเสยงในหลายหวขอไดรบการ

แกไขใหมความเสยงลดลงอยในระดบกลางและตา ดงรป

รปท 4.17 แผนภมแสดงการเปรยบเทยบระดบความเสยงกอนและหลงดาเนนโครงการ

คาความเสยง

ประเดนความเสยง

0

5

10

15

20

25

30

1 2 3 4 5 6 7 8 9

กอนดาเนนโครงการ

หลงดาเนนโครงการ

บทท 5

สรปผลโครงงาน

5.1 สรปผลการดาเนนโครงการ

จากทองคกรไดสรางและปรบปรงความปลอดภยระบบเครอขายโดยการประเมนความ

เสยงของระบบเทคโนโลยสารสนเทศทใชอยปจจบน กบมาตรฐานและขอกาหนดดานความ

มนคงปลอดภยตามมาตรฐาน ISO 27001 เพอใหทราบวาโรงพยาบาลมความเสยงอยางไร อย

ในระดบใด เพอจะไดหาวธปองกนและลดความเสยงทอาจเกดขนหรอทาใหความเสยงนนเหลอ

นอยทสด

จากการทไดประเมนความเสยงไปแลว ทงนมการนาเสนอความเสยงเพอใหองคกร

สามารถเลอกควบคมความเสยง โดยมการรางนโยบายการรกษาความมนคงปลอดภยของระบบ

เทคโนโลยสารสนเทศ ซงองคกรจะไดนานโยบายทรางไปประกาศใชงาน

จากผลของการประเมนความเสยง และดาเนนการแกไขเพอลดความเสยงตามหวขอท

องคกรใหความสาคญกอนนน ผลการแกไขทาใหประเดนความเสยงในหลายหวขอไดรบการ

แกไขใหมความเสยงลดลงอยในระดบกลางและตา

รปท 5.1 แผนภมแสดงการเปรยบเทยบระดบความเสยงกอนและหลงดาเนนโครงการ

คาความเสยง

ประเดนความเสยง

83

สวน ในหวขออนๆ ทยงไมไดรบการแกไขในเวลาน องคกรจะไดทาการทบทวนและ

ดาเนนการแกไข เพอปองกนและลดความเสยงทอาจเกดขนกบระบบเทคโนโลยสารสนเทศของ

โรงพยาบาล ในปงบประมาณถดไป

5.2 ขอเสนอแนะ

ทางผจดทา มงหวงทจะจดทาโครงการนตอไป ในสวนของหวขออนๆ ทยงไมไดจดทา

ในขณะน ในปงบประมาณตอๆไป เพอใหระบบสารสนเทศของโรงพยาบาลมความมนคง

ปลอดภย นาเชอถอ และใหบรการผปวยไดอยางรวดเรวและมประสทธภาพ และเปน

องคประกอบหนงในการขอรบรองมาตรฐานโรงพยาบาลในโอกาสตอไป

เอกสารอางอง

[1] มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน

2.5) ประจาป 2550 : ศนยเทคโนโลยอเลกทรอนกสและคอมพวเตอรแหงชาต

[2] International Standard ISO/IEC 27001 First edition 2005-10-15

[3] คมอการรกษาความมนคงปลอดภยICT กระทรวงเทคโนโลยสารสนเทศและการสอสาร 8

กมภาพนธ 2550

[4] สพพต เทยมเมธ. “การพฒนาความมนคงปลอดภยและพนฐานนโยบายสารสนเทศ

มหาวทยาลยศรปทม วทยาเขต”, สารนพนธปรญญาวทยาศาสตรมหาบณฑต, ภาควชา

วศวกรรมเครอขาย, มหาวทยาลยเทคโนโลยมหานคร, ปการศกษา 2553.

[5] อาทตย จงไทย. “การจดทานโยบายรกษาความมนคงปลอดภยเทคโนโลยสารสนเทศ

ตนแบบ กรณศกษา บรษท เวรล สทดด เซนเตอร จากด”, สารนพนธปรญญาวทยาศาสตร

มหาบณฑต, ภาควชาวศวกรรมเครอขาย, มหาวทยาลยเทคโนโลยมหานคร, ปการศกษา

2553.

ภาคผนวก

ภาคผนวก ก

เอกสารประกอบการสอบราคาซออปกรณเครอขาย

ก – 2

ก – 3

ก – 4

ก – 5

ก – 6

ก – 7

ก – 8

ภาคผนวก ข

เอกสารประกอบการขอตดตงสายสอสารสารองสาหรบการใชงานอนเตอรเนต

ข – 2

ข – 3

ข – 4

ภาคผนวก ค

เอกสารการสารวจและการตดตงอปกรณกระจายสญญาณไรสาย

ค – 2

ค – 3

ค – 4

ค – 5

ค – 6

ค – 7

ค – 8

ค – 9

ค – 10

ค – 11

ค – 12

ค – 13

ค – 14

คณสมบตทางเทคนคอปกรณกระจายสญญาณแบบไรสาย (Access Point)

1. เปนอปกรณเพอเชอมโยงกบระบบเครอขายไรสาย ตามมาตรฐาน IEEE802.11a,

IEEE802.11b, IEEE802.11g,และ IEEE802.11n

2. เปนอปกรณทสามารถทางานกบเครองลกขาย (client) ในในยานความถ 2.4GHz และ

5.0GHz ในขณะเวลาเดยวกนได

3. มพอรตแบบ RJ-45 ทรองรบ 10/100/1000 Mbps ไมนอยกวากวา 1 พอรตและสนบสนน

คณสมบต PoE (Power Over Ethernet )

4. มพอรตแบบ RJ-45 ทรองรบ 10/100 Mbps ไมนอยกวา 2 พอรต ทสนบสนนคณสมบต

Auto Sensing และ Auto MDX

5. สนบสนนการเขารหสขอมลแบบ WEP, WPA-PSK, WPA-TKIP, WPA2 AES เปนอยาง

นอย

6. สนบสนนการกระจายสญญาณไรสายได 16 SSID (8 SSID per Radio) เปนอยางนอย

7. สนบสนนการทางานตามมาตรฐาน 802.1Q (VLAN)

8. สามารถควบคมการใชงานขอมลแบบ Rate Limiting ได

9. มเสาอากาศแบบทศทางภายในตวอปกรณโดยมขนาด 4dBi เปนอยางนอย

10. สามารถจดการคณลกษณะอปกรณผานทาง Web User Interface, CLI, ได

11. สามารถอพเดทเฟรมแวรไดโดย FTP หรอ TFTP เปนอยางนอย

12. อปกรณทเสนอตองสามารถทางานไดเปนอยางดกบตวควบคม(Controller)และเปน

เครองหมายการคาเดยวกน

13. เพอประโยชนในการบรการหลงการขายและสนบสนนทางดานเทคนค ผเสนอราคาตอง

ไดรบการแตงตงจากสาขาของผผลต หรอ ตวแทนจาหนายในประเทศไทยทไดรบการแตงตงให

เสนอราคาในครงน

14. หากอปกรณไมสามารถใชงานไดตามปกต ทางผเสนอจะตองจดหาอปกรณทดแทนหรอ

เปลยนแปลงเพอใหสามารถใชงานได โดยผเสนอราคาจะตองเสนอราคาสาหรบการบารงรกษา

อปกรณเพอใหเปนไปตามขอตกลงดงกลาว เปนระยะเวลาไมนอยกวา 1 ป

ค – 15

1. สามารถควบคมอปกรณกระจายสญญาณ (Access Point) ไดไมนอยกวา 100 เครอง

และสามารถอพเกรดเพมเตมภายหลงไดไมนอยกวา 500 เครองโดยไมตองเปลยนแปลงอปกรณ

คณสมบตทางเทคนคอปกรณควบคม (Controller)

2. มพอรตแบบ RJ-45 ความเรว 10/100/1000 Mbps ไมนอยกวา 2 พอรต ทสนบสนน

คณสมบต Auto Sensing และ Auto MDX

3. สนบสนนการเขารหสแบบ WEP, WPA-TKIP, WPA2 – AES, Dynamic PSK เปนอยาง

นอย

4. สนบสนนการทา Authentication ดวยโปรโตคอล 802.1x, Local Database และแบบ

External AAA server ไดและสามารถอานฐานขอมลรายชอผใชจาก Active Directory, LDAP และ

RADIUS ไดเปนอยางนอย

5. ม Captive portal ในตวทสามารถทา Authentication ดวย Web page ได

6. รองรบการสราง User Account หรอรายชอผใชแบบ Guest ทสามารถกาหนดระยะเวลา

การใชได

7. สามารถกาหนดใหม Client Isolation สาหรบผใชทเชอมตอกบระบบภายใต SSID

เดยวกนได

8. รองรบการกาหนด VLAN แบบ 802.1Q ใหกบ BSSID และรองรบ BSSID ไดอยางนอย

32 BSSID

9. รองรบการทางานแบบ DHCP Server

10. สามารถทางานตามมาตรฐาน IEEE802.11e

11. สามารถจดการปรมาณขอมลในลกษณะ Rate Limiting ได

12. สามารถปรบเปลยนชองสญญาณและกาลงสงของอปกรณกระจายสญญาณไดโดย

อตโนมต

13. สามารถแสดงรปภาพแผนผงของพนทใชงานและตาแหนงของอปกรณกระจายสญญาณ

ได

14. สามารถแสดงขอมลของอปกรณกระจายสญญาณรวมถงขอมลผใชงานทอยนระบบได

15. สามารถแสดงขอมลอปกรณกระจายสญญาณอนๆ (Rogue AP) ในบรเวณใกลเคยงได

16. สามารถจดการเชอมตอระหวางอปกรณกระจายสญญาณดวยคลนวทย (Mesh

Topology) ในการสงเฟรมขอมลผานโครงขาย Mesh จะตองไมมการเปลยนแปลง MAC Address

ของเฟรมขอมล

17. สามารถจดการคณลกษณะของอปกรณผานทาง Web Browser, CLI ไดเปนอยางนอย

18. อปกรณตวควบคม (Controller) ทเสนอตองเปนเครองหมายการคาเดยวกบตวกระจาย

สญญาณ (Access Point )

ค – 16

19. หากอปกรณมขอบกพรองหรอใชงานไมได ทางผเสนอจะตองจดหาอปกรณทดแทน

เปนระยะเวลาไมนอยกวา 1 ป

20. เพอประโยชนในการบรการหลงการขายและสนบสนนทางดานเทคนค ผเสนอราคาตอง

ไดรบการแตงตงจากสาขาของผผลต หรอ ตวแทนจาหนายในประเทศไทยทไดรบการแตงตงให

เสนอราคาในครงน

ภาคผนวก ง

การปรบปรงระบบไฟฟาสารอง

ง – 2

ง – 3

ภาคผนวก จ

เอกสารรบรองการตดตงระบบสารองขอมลสารสนเทศโรงพยาบาล

จ – 2

ภาคผนวก ฉ

หนงสอแตงตงคณะกรรมการสารสนเทศ

ฉ – 2

ฉ – 3

ฉ – 4

ฉ – 5

ภาคผนวก ช

เอกสารการขออนญาตตรวจสอบระบบความมนคงปลอดภยของระบบสารสนเทศ

ช – 2