Addressing IT Risk [Lecture at MIS Mahidol]
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Addressing IT Risk [Lecture at MIS Mahidol]

on

  • 1,131 views

 

Statistics

Views

Total Views
1,131
Views on SlideShare
1,131
Embed Views
0

Actions

Likes
0
Downloads
26
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Addressing IT Risk [Lecture at MIS Mahidol] Presentation Transcript

  • 1. 1Addressing the RISK aspects for making business decision Master degree of “Management Information System”, Mahidol University April, 1, 2012 Surachai Chatchalermpun Sub-Committee of TISA IRCA:ISO27001, CISA, CISSP, CSSLP, SSCP, CEH, ECSAAsia-Pacific Information Security Leadership Achievement Award ©2011, All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 2. 2 Speaker Profile Speaker profile ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 3. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 4. 4 Speaker Profile Speaker profile ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 5. 5 Speaker Profile Speaker profile ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 6. Speaker Profile Speaker profile ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 7. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 8. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 9. TISA Volunteer ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 10. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 11. Main Objectives1. เพื่อให้เข้าใจและตระหนักในความเสี่ ยงของ IT ที่อาจส่ งผลกระทบต่อ Business2. เรี ยนรู ้วิธีการลดความเสี่ ยงให้ไปสู่ระดับที่ยอมรับได้ และเป็ นไปตาม International standard , Best practice, Good practice3. เพื่อให้สามารถนาความรู ้ ประยุกต์ใช้หรื อนาไปแบ่งปัน ถ่ายทอดผูอื่น ้ ได้อย่างมีประสิ ทธิภาพ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 12. Contents1. What is GRC?2. GRC Related Standard & Best Practices on Business & IT Alignment3. Performance VS Conformance4. What does the Gartner trend?5. What is the ISF Threat Horizon?6. What is Computer Crime (Hacking Demo)?7. What is the Thailand Computer Crime Act?8. What is the ISO27001:ISMS?9. Enterprise Information Security Architecture (EISA)10. Mapping Maturity Model to EISA ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 13. What is GRC?Source : http://www.grc-resource.com ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 14. Integrated GRC : A Holistic Approachhttp://www.isaca.org/Journal/Past-Issues/2009/Volume-5/Pages/JOnline-Compliance-Management-andnbsp-andnbsp-A-Holistic-Approach.aspx ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 15. Performance VS Conformancehttps://www.acisonline.net/acis-news/360-Degree-IT-Management/images/p3.jpg ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 16. http://itgthailand.files.wordpress.com/2012/03/business-drivers.jpg ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 17. http://i.i.com.com/cnwk.1d/i/bto/20091020/gartner_10_trends.png ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 18. http://www.slideshare.net/softwarepark/technology-trends-2012 ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 19. http://i.techrepublic.com.com/blogs/gartner-2012-top-10-tech.jpg ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 20. http://www.apeconmyth.com/wp-content/uploads/2012/02/GartnerHypeCycleEmergTech2011s.gif ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 21. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 22. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 23. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 24. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 25. http://www.isaca.org.uk/northern/Docs/ISF%20TH_2013%20for%20ISACA_Nov2011.pdf ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 26. คุณเคย . . . หรือไม่1. เขียน password ติดไว้ที่โต๊ะทางาน2. ตั้ง password ง่ายๆ กลัวลืม3. บอก password ของตนกับผูอื่น ้4. ให้ผอื่นยืมใช้เครื่ องคอมพิวเตอร์และ ู้ Login ด้วย account ของท่าน5. เปิ ดดูขอมูลของผูอื่นโดยไม่ได้รับอนุญาต ้ ้6. ไม่ Lock หน้าจอคอมฯ เมื่อไม่อยูที่โต๊ะ ่7. ส่ งต่อข้อมูลที่ไม่ได้มีการพิสูจน์ยนยันข้อเท็จจริ ง ื8. ส่ งต่อภาพหรื อคลิปลามก9. เปิ ดไฟล์แนบใน e-mail จากคนไม่รู้จก ั10. ทา USB Thumb drive หล่นหายหรื อให้ผอื่นยืม ู้ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 27. การเปลียนแปลงรู ปแบบการกระทาความผิด ่ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 28. STRONG PASSWORD รู้ไหม? มีใครแอบเดา Password ง่ายๆของ คุณอยู่?” Facts: • User ส่วนใหญ่มกตัง Password ตามคาใน Dictionary ั ้ • User ส่วนใหญ่มกตัง Password ด้วยอักษรตัวเล็กทังหมด ั ้ ้ • User ส่วนใหญ่มกไม่ค่อยเปลียน Password ั ่ • Password เหล่านี้ มักตกเป็ นเหยือรายแรกๆของผูไม่หวังดีเสมอ ่ ้ ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 29. STRONG PASSWORDPassword Attacks• Dictionary Attack (Use words in Dictionary) o Ant, cat, dog, frog, … , zoo• Brute Force Attack (Use all possibilities) o 0001, 0002, 0003, …., 9999Protections• ไม่ใช้ Password ที่คาดเดาได้ง่าย เช่น คาที่มีใน Dictionary• ใช้การผสมอักขระที่ซบซ้อน เช่น L0v3@1sts1ghT (Love at first sight) ั• เปลี่ยน Password อย่างสมาเสมอเมื่อถึงเวลาที่เหมาะสม เช่น ทุกๆ 90 วัน ่ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 30. Security Awareness >> Show Case Password Attack ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 31. การตั้ง Password ทีดควรประกอบด้ วย ่ ี• Lowercase Alphabet หรื ออักษรภาษาอังกฤษตัวเล็ก เช่ น a b c d• Uppercase Alphabet หรื ออักษรภาษาอังกฤษตัวใหญ่ เช่ น A B C D• Numeric หรื อ ตัวเลข 3 ใน 4 แบบ เช่ น 1 2 3 4• Special Character หรื อ อักขระพิเศษ เช่ น ! @ # $ % ^ & * ( ) _ +
  • 32. เทคนิคการตั้ง Password (ตั้ งให้ยากแต่จาให้ง่าย)1. Pass phrase อักษรเดิม อักษรแทน เนือเพลงโปรด,ประโยคเด็ด ้ A 4 หรื อ @ YouWillNeverWalkAlone1945 E 32. Replacement Y0uW1llNeverWalkAl0ne1945 I 1 หรื อ ! O 03. กด Shift ค ้างไว ้ YouWillNeverWalkAlone19$% S $ And &4. ดูแป้ นไทย for 4 (four) รักนะเด็กโง่จวบๆ-> iydotgfHdF’j0U;[q ๊ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 33. VDO Security Awareness อย่าลืม Log out นะ มิเช่นนั้น จะเป็ นเช่นนี้… ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 34. Security Awareness >> Show Case Key Logger ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 35. VDO Security Awareness ่ ทายซิ วา เกิดอะไรขึ้น !!! บนหน้าจอคอมฯ ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 36. Security Awareness >> Show Case Can you trust this file? Click or Not ? ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 37. Trojan Horse ่ ิ่ ่ความอันตรายทีแฝงเข ้ามากับสงทีเหมือนจะไม่มอะไร ี ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 38. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 39. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 40. “มือถือยิงทันสมัย ยิงมีภัย ตามติดตัว…” ่ ่ ©2011, All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 41. ใครลงAntivirusทีมอถือบ้ าง…? ่ ื
  • 42. ระวังถูกล้ วงความลับและดักฟั งโทรศัพท์ มือถือด้ วย Spy Phone ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 43. ภัยคุกคามต่อความเป็ นส่วนตัว !!!โดยทีคุณไม่ ร้ ูตัว… ่• Can read SMS…• Can read & send e-mail…• Can see Call logs• Can see & stolen your data in Phone or SD Card• Can record & download your voice …• Can see your WebCam…• Can know Location where you are… ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 44. How to survive• Raise security awareness• Always lock your mobile’s screen with PinCode• Install mobile’s antivirus• Don’t use free Wi-fi, if you not sure it is can trust• Always check your list of Application• Change default password of web server ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 45. Trusted Components เข้ าสู่ บริการทีน่าเชื่อถือและไว้ ใจได้ ่ เชื่อมต่ อผ่านระบบที่น่าเชื่อถือและไว้ ใจได้ เครื่องทีจะใช้ ต้องได้ รับการดูแลและรู้ ทมา ่ ี่ผู้ใช้ งานต้ องมีความรู้ เท่ าทันและระแวดระวังอยู่เสมอ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 46. ทีมาของกฎหมาย พ.ร.บ.ว่ าด้ วยการกระทาความผิดเกียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ่ ่ • ลักษณะความผิดในรู ปแบบ electronic ไม่สามารถใช้กฎหมายที่มีอยู่ เดิมเอาผิดได้ เช่น การลักทรัพย์ • การติดตามหาตัวผูกระทาผิดมาลงโทษทาได้ยาก เนื่องจากไม่มีการทาบันทึก ้ ประวัติการใช้งานระบบอย่างมีมาตรฐาน • การใช้งานอิเล็กทรอนิ กส์มีแนวโน้มสู งมากขึ้น และการกระทาความผิดก็มี แนวโน้มมากขึ้นและซับซ้อนขึ้นเช่นกัน ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 47. ปัจจัยทีทาให้ ต้องมีการบัญญัติกฎหมาย (พ.ร.บ. คอมฯ 2550) ่ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 48. พ.ร.บ.ว่ าด้ วยการกระทาความผิดเกียวกับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ่ • ประกาศเมื่อวันที่ 18 มิถุนายน 2550 • เริ่มมีผลบังคับใช้ 18 กรกฎาคม 2550 • เจตนารมณ์ – กำหนดฐำนควำมผิ ดและบทลงโทษ – กาหนดอานาจหน้ าที่ของพนักงาน เจ้ าหน้ าที่ – กาหนดหน้ าที่ของผู้ให้ บริการ • กฎหมายที่เกี่ยวข้ อง – ประมวลกฎหมายอาญา – หลักการใช้ กฎหมายอาญา, เจตนา, ผู้ใช้ , ผู้สนับสนุน, เหตุยกเว้ นความรั บผิด, เหตุยกเว้ นโทษ, เหตุบรรเทาโทษ – ประมวลกฎหมายวิธีพจารณาความอาญา – การสอบสวน & การดาเนินคดี ิ ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 49. ลักษณะทั่วไปของกฎหมายอาญากฎหมายอาญา คือ • กฎหมายที่กาหนดฐานความผิดและบทลงโทษ• โดยบุคคลจะรับโทษทางอาญาได้กต่อเมื่อมีกฎหมายในขณะกระทาความผิด ็ กาหนดว่าการกระทานั้นเป็ นความผิด และมีบทลงโทษไว้• มีลกษณะเป็ นกฎระเบียบมุ่งเน้นให้ทุกคนอยูร่วมกันอย่าง มีความสุ ข มุ่งเน้น เพื่อ ั ่ ความสงบสุ ขทางสังคม เพื่อความเรี ยบร้อยในบ้านเมือง เช่น ความผิดฐานฆ่าผูอื่น , ้ ทาร้ายร่ างกาย, ลักทรัพย์, ชิงทรัพย์ฉอโกง, บุกรุ ก, ความผิดเกี่ยวกับการปลอม ้ แปลง เป็ นต้น ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 50. คานิยามที่สาคัญ• “ระบบคอมพิวเตอร์ ” หมายความว่า อุปกรณ์หรื อชุดอุปกรณ์ของคอมพิวเตอร์ ที่เชื่อม การทางานเข้าด้วยกัน โดยได้มีการกาหนดคาสั่ง ชุดคาสั่ง หรื อสิ่ งอื่นใด และแนวทาง ปฏิบติงานให้อุปกรณ์หรื อชุดอุปกรณ์ทาหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ ั• “ข้ อมูลคอมพิวเตอร์ ” หมายความว่า ข้อมูล ข้อความ คาสั่ง ชุดคาสั่ง หรื อสิ่ งอื่นใด ่ บรรดาที่อยูในระบบคอมพิวเตอร์ ในสภาพที่ระบบคอมพิวเตอร์ อาจประมวลผลได้• “ข้ อมูลจราจรทางคอมพิวเตอร์ ” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่ อสารของ ระบบคอมพิวเตอร์ ซึ่ งแสดงถึงแหล่งกาเนิ ด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริ มาณ ระยะเวลา ชนิดของบริ การ หรื ออื่น ๆ ที่เกี่ยวข้องกับการติดต่อสื่ อสารของ ระบบคอมพิวเตอร์ น้ น ั ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 51. ลักษณะของ “ผู้ ให้ บริการ” และ “ผู้ ใช้ บริการ” ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 52. ลักษณะของ “ผู้ ให้ บริการ” และ “ผู้ ใช้ บริการ” ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 53. ม.๕ การเข ้าถึงระบบคอมฯพระราชบ ัญญ ัติวาด้วยการกระทาความผิด ่ ม.๖ การล่วงรู ้มาตรการการ เกียวก ับคอมพิวเตอร์ พ.ศ. ๒๕๕๐ ่ ป้ องกันการเข ้าถึง ม. ๓ คานิยาม §3 Definitions ม.๗ การเข ้าถึงข ้อมูลคอมฯ ม.๘ การดักรับข ้อมูลคอมฯ ม.๙ การรบกวนข ้อมูลคอมฯ ม.๑๐ การรบกวนระบบคอม หมวด1 Computer-Related Offences. Part ๑ ความผิดเกียวก ับคอมพิวเตอร์ ่ ม.๑๒ บทหนักของม.๙/๑๐ ม.๑๓ การจาหน่าย/เผยแพร่ กระทาต่อคอมพิวเตอร์ Computer Crime ั่ ชุดคาสงเพือใชกระทา ่ ้ ความผิด ้ ใชคอมพิวเตอร์กระทาความผิด Computer-Related ม.๑๑ สแปมเมล์ Crime ม.๑๔ การปลอมแปลง ม.๑๗ การกระทาความผิดนอกราชอาณาจักร ข ้อมูลคอมฯ/เผยแพร่ §17 Offences done outside the Kingdom รับโทษในราชอาณาจักร เนือหาอันไม่เหมาะสม ้ shall be punished in the Kingdom ม.๑๕ ความรับผิดของผู ้ ให ้บริการ หมวด ๒ พน ักงานเจ้าหน้าที่ ม.๑๖ การเผยแพร่ภาพจาก Part 2 Competent Officials การตัดต่อ/ดัดแปลง พน ักงานเจ้าหน้าที่ Competent Officials ผูให้บริการ ้ Service Providers
  • 54. ฐานความผิดและบทลงโทษของ พ.ร.บ. คอมพิวเตอร์ 2550 ฐานความผิด โทษจาคุก โทษปร ับมาตรา ๕ เข ้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาทมาตรา ๖ ล่วงรู ้มาตรการป้ องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาทมาตรา ๗ เข ้าถึงข ้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาทมาตรา ๘ การดักข ้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาทมาตรา ๙ การรบกวนข ้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาทมาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาทมาตรา ๑๑ สแปมเมล์ ไม่ม ี ไม่เกิน ๑๐๐,๐๐๐ บาทมาตรา ๑๒ การกระทาต่อความมั่นคง ี(๑) ก่อความเสยหายแก่ข ้อมูลคอมพิวเตอร์ ไม่เกิน ๑๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท(๒) กระทบต่อความมนคงปลอดภ ัยของประเทศ/ ่ั ๓ ปี ถึง ๑๕ ปี ๖๐,๐๐๐-๓๐๐,๐๐๐ บาทเศรษฐกิจ ๑๐ ปี ถึง ๒๐ ปี ไม่ม ีวรรคท้าย เปนเหตุให้ผอนถึงแก่ชวต ็ ู ้ ื่ ี ิ ุ ั่มาตรา ๑๓ การจาหน่าย/เผยแพร่ชดคาสง ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาทมาตรา ๑๔ การเผยแพร่เนือหาอันไม่เหมาะสม ้ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาทมาตรา ๑๕ ความรับผิดของ Tel Co, ISP,อืนๆ Internet ่ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาทAccess)มาตรา ๑๖ การตัดต่อภาพผู ้อืน ถ ้าสุจริต ไม่มความผิด ่ ี ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท
  • 55. การใช้ งานระบบคอมพิวเตอร์ ที่เกียวข้ องกับ พ.ร.บ. คอมพิวเตอร์ ่ เพื่อให้เป็ นไปตาม พ.ร.บ. ว่าด้วยการกระทาความผิดคอมพิวเตอร์ 2550 ดังนัน บริษท ้ ัจำเปนต้อง จัดการเก็บข้อมูลจราจร (Log) ตาม พ.ร.บ. คอมพิวเตอร์ 2550 ซึ่งเก็บไว้อย่าง ็น้อย 90 วัน หรืออาจจัดทาห้อง SOC (Security Operation Center) ซึ่งทาหน้าที่Monitor การใช้งาน Internet โดยในการใช้งาน Internet พนักงานจะต้องระบุตวตนโดยใช้ Username ัpassword ของตนเองผ่านทาง Proxy Server ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 56. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 57. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 58. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 59. ตัวอย่าง : นโยบายความมันคงปลอดภัยสารสนเทศ ่ เรื่องการใช้ Password  พนักงานต้องใช้ Password ของตนหรื อปฏิบติงานในระบบข้อมูลตาม ั สิ ทธิ ที่ได้รับเท่านั้น  หากได้รับ Password ในครั้งแรกจาก ปตท. ต้องเปลี่ยนใหม่ทนทีให้ ั เป็ นความลับเฉพาะตัว ในกรณี ที่ถกเปิ ดเผย ต้องเปลี่ยนใหม่ทนที ู ั  ต้องเปลี่ยนทุกๆ 90 วัน  ต้องตั้งให้ยาวตั้งแต่ 8 ตัวขึ้นไป  ต้องประกอบด้วย ตัวอักษร ตัวเลข หรื อสัญลักษณ์อื่นใดที่ยากต่อการคาดเดา ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 60. ISO27001 ISO27002Present “What to do?” Present “How to do?” 61 ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 61. 62โครงสร้างของมาตรฐานสามารถแบ่งได้ดงนี้ ัข้ อกาหนดของมาตรฐาน ISO/IEC 27001 • 0 – Introduction • 4 – ISMS • Annex A – ข้อคิดก่อนการสร้างระบบ วิธีการบริ หารความเสี่ ยง สิ่ งที่ตองปฏิบติเป็ นประจา • 1 – Scope • 5 – Management (33) Control • 2 – normative responsibility objectives and reference ั • 6 Internal ISMS (139) controls • 3 - Terms and audit ้ definitions • 7 – Management review of the ISMS • 8 – ISMS improvement ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 62. http://www.iso27001security.com/html/27002.html ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 63. หลักการในการตรวจสอบระบบสารสนเทศ Risk VS Control • ต้องมีการประเมินความเสี่ ยง (Risk Assessment) ขององค์กรเสี ยก่อน ซึ่งมีข้ นตอนสาคัญที่ตองปฏิบติ เช่น ั ้ ั ▫ การระบุปัจจัยที่มีผลทาให้เกิดความเสี่ ยง (Risk Identification  Risk = Vulnerability x Threat) ▫ การระบุความเสี่ ยงที่มีโอกาสเกิดขึ้น (Risk estimation) ▫ การวิเคราะห์ความเสี่ ยง (Risk Analysis) ▫ การบริ หารจัดการกับความเสี่ ยง (Risk Management) • การตรวจสอบระบบสารสนเทศต้องพิจารณาเรื่ องของการควบคุม (Control) ว่าได้มีการจัดการอย่างถูกต้องหรื อไม่ การ ตรวจสอบการควบคุมแบ่งออกเป็ น 3 ประเภทใหญ่ๆ คือ 1. การควบคุมแบบป้ องกันล่วงหน้า (Preventive Control) 2. การควบคุมแบบค้นหาประวัติเหตุการณ์ที่เกิดขึ้น (Detective Control) 3. การควบคุมแบบแก้ไขปัญหาจากเหตุการณ์ที่เกิดขึ้น (Corrective Control) ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 64. 65Overview of ISO/IEC 27005 ISRM(Information Security Risk Management) In Planning phase (1) Establishing the context (2) Risk assessment (3) Developing risk treatment plan (4) Risk acceptance In Doing phase (1) Implementation of risk treatment plan In Checking phase (1) Continual monitoring and reviewing of risks In Acting phase (1) Maintain and improve the information Security Risk Management Process ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 65. What is ISMS? Information Security Management System Information Security + Management System Information Security > IT Security Information = (e) + (not e) Management System requires (P)eople, (P)rocess & (T)echnology ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 66. PPT : People-Process-Technology Best people cannot domuch without proper tools Firewall with competenceand appropriate process people managing it can People reveal its true power Good Firewall+ Competence People+ Review and Change Management Process Firewall alone doesn’t do any can then yield the good without knowledgeable highest effectiveness people managing it Process TechnologyManaging ICT can only reach highest effectiveness when these three ingredients are working in harmony. 67
  • 67. 68 Key Principle 3 Pillars of ICT 3 Pillars of Information Security Disclosure People ConfidentialityProcess Technology Integrity Availability Alteration Destruction
  • 68. Who is adopting ISO27001? ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 69. Reason for adopting the standard ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 70. Main Challenges to ISO27001 ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 71. P-D-C-A Model ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 72. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 73. EISA Maturity Level Definitionhttp://upload.wikimedia.org/wikipedia/commons/thumb/e/ec/Characteristics_of_Capability_Maturity_Model.svg/600px-Characteristics_of_Capability_Maturity_Model.svg.png ©2011 All rights reserved For education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 74. 77 Contact me หากมีข้อสงสัยหรื อคาถามเพิ่มเติมติดต่ อได้ ที่ : Email: surachai.won[at]gmail[dot]com ติดตามผลงานได้ ที่: Slideshare: www.slideshare.net/chatsec YouTube: www.youtube.com/user/WonJuJub Blogspot: www.wonjujub.blogspot.com/ Facebook Fanpage: https://www.facebook.com/surachai.chatchalermpun ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 75. ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.
  • 76. Qu35t!0n & Answer ©2011 All rights reservedFor education purpose only. Shall not copy, reproduce, publish it in any part of this document before getting the owner permission.