นโยบายด้านความปลอดภัยทางไอที(IT Security Policy)

ความหมาย

• เป็นกฏเกณฑ์ นโยบาย และการจัดการสารสนเทศสำหรับองค์กร
• เป็นนโยบายช่วยลดความเสี่ยง
• นโยบายต้องมีความชัดเจน เพื่อการยอมรับและปฏิบัติตามทั่วทั้งองค์กร
• ทำหน้าที่เป็นเสมือนกับรากฐานในการดำเนินงาน การวางกฏเกณฑ์ และวิธีปฏิบัติ

วัตถุประสงค์ 

• การป้องกันแหล่งทรัพยากร เพื่อป้องการการโจมตีระบบ และการใช้งานที่ไม่ได้รับอนุญาต
• การรับรองหรือแสดงที่มาที่ไว้ใจได้  เพื่อป้องกันความเสี่ยงต่อการปลอมตัวในการเข้าถึงระบบ
• การอนุญาต เพื่อให้ผู้ใช้งานที่ได้รับอนุญาต สามารถเข้าถึงตามที่ได้กำหนดไว้เท่านั้น
• การทำให้สมบูรณ์ เพื่อป้องกันการแก้ไขเปลี่ยนแปลงข้อมูลที่ไม่ได้รับอนุญาต
• การเก็บเป็นความลับ เพื่อให้ข้อมูลนั้นเป็นความลับ

องค์ประกอบของนโยบาย

1. วัตถุประสงค์ ต้องมีการกำหนดวัตถุประสงค์ให้ชัดเจน เพื่อให้เกิดความพร้อมใช้งาน การเก็บความลับและบูรณภาพของข้อมูลสารสนเทศในองค์กร
2. ขอบเขต มีการกำหนดที่ชัดเจนว่านโยบายมีผลบังคับใช้กับทรัพยากรในด้านใดบ้าง
3. ความรับผิดชอบ กำหนดให้ชัดเจน ว่า ใครมีความรับผิดชอบในส่วนใด ในภารกิจใด
4. การคงแบบ คือเรื่องของการปฏิบัติตามกฏระเบียบ และการลงโทษเมื่อฝ่าฝืนนโยบาย

ระดับของนโยบาย

• นโยบายด้านผู้ใช้
• นโยบายด้านสารสนเทศ
• นโยบายทั่วไป

          นโยบายด้านผู้ใช้ คือกำหนดว่าผู้ใช้สามารถทำอะไรได้บ้าง เมื่อเข้าใช้งานเครือข่าย หรือข้อมูลขององค์กร  อาจกำหนดนโยบายด้านผู้ใช้  6 ประการ ได้แก่

• การตั้งรหัสผ่าน  เช่น ตัวเล็ก + ใหญ่ + ตัวเลข + ตัวอักขระพิเศษ และมีการเปลี่ยนแปลงรหัสผ่านอยู่เสมอ
• การใช้ข้อมูลส่วนตัว  เช่นควรเก็บไว้ที่ใด และส่งผ่านข้อมูลได้อย่างไร
• การใช้งานอินเทอร์เน็ต เช่น ใช้บริการจากผู้ให้บริการ email เฉพาะที่ได้กำหนดไว้เท่านั้น
• การใช้งานระบบ เช่นเรื่องการติดตั้งโปรแกรม การเข้าใช้ฐานข้อมูลส่วนตัว
• การเข้าถึงจากระยะไกล เช่นห้ามใช้ Telnet ให้ใช้เป็น SSH แทน
• การใช้งานอุปกรณ์  เช่นกำหนดขนาดหรือลักษณะของอุปกรณ์ที่จะใช้ เช่น USB, Computer

นโยบายด้านสารสนเทศ คือ การกำหนดนโยบายของแผนกสารสนเทศ เพื่อใช้บริหารเครือข่ายให้เกิดความปลอดภัย และความมั่นคงสูงสุด อาจพิจารณา 4 ประเด็น

1. ระบบรักษาความปลอดภัย คือการตรวจหาผู้บุกรุก และยับยั้งการบุกรุกนั้น มี 6 ขั้นตอน
   
   

   1.  เตรียมพร้อม คือ การกำหนดนโยบาย ระเบียบการ แนวทาง และวิธีปฏิบัติ
   2. การระบุชี้ชัด คือ การเชื่อมโยงไปยังส่วนต่าง เพื่อหาหลักฐานการบุกรุกให้ชัดเจน
   3. การยับยั้ง  คือ การตัดส่วนที่ถูกโจมตีออกจะระบบเครือข่าย
   4. การกำจัด คือ การกำจัดจุดอ่อนแอที่ถูกโจมตี
   5. การพักฟื้น คือ การปรับปรุงรักษาระบบที่เสียหายให้แข็งแกร่งขึ้น
   6. การสรุปการโจมตี คือ การเก็บข้อมูลการโจมตีไว้เพื่อใช้เป็นแนวทางป้องกัน
               
2. การสำรองข้อมูล คือ การกำหนดว่าจะสำรองข้อมูลด้วยอุปกรณ์อะไร ใครรับผิดชอบ เก็บไว้ที่ไหน เก็บไว้นานเท่าใด และใช้โปรแกรมอะไรสำรองข้อมูลนั้น
3. การทำให้ข้อมูลทันสมัย คือ มีการ update ข้อมูลอยู่เป็นระยะๆ เพราะข้อมูลอาจมีการเปลี่ยนแปลงได้
4. การใช้ Firewall เพื่อป้องกันการบุกรุกหรือการโจมตีจากภายนอก

          นโยบายทั่วไป คือ นโยบายเกี่ยวกับการดูแลและควบคุมทั่วๆไปที่ช่วยเสริมสร้างมาตรฐานสำหรับการป้องกันแหล่งทรัพยากรของระบบ เช่น การวางแผนต่อเนื่อง การกู้คืนจากสภาวะถูกคุกคาม

สาระการจัดทำนโยบาย ประกอบด้วย

1. กำหนดนโยบาย  มาตรฐาน  และกระบวนงานสารสนเทศ
2. กำหนดผู้รับผิดชอบ
3. จำแนก และจัดระบบสารสนเทศ
4. บริหารความเสี่ยง
5. กำหนดกรอบโครงสร้างด้านความมั่นคง 
6. ความมั่นคงด้านบุคลากร 
7. ความมั่นคงทางกายภาพและสิ่งแวดล้อม
8. การกู้ระบบสารสนเทศจากภัยพิบัติ
9. การรายงานผล
10. การคงแบบ คือเรื่องของการปฏิบัติและการลงโทษ
11. การฝึกอบรม
12. การตรวจสอบและแก้ไข