ปริญญาโท วิศวกรรมเว็บและการพัฒนาแอปพลิเคชันบนอุปกรณ์พกพา

หัวข้อสารนิพนธ์ แนวทางการพัฒนาระบบรักษาความปลอดภัยข้อมูลสารสนเทศ โดยใช้กรอบแนวคิดระบบจัดการความปลอดภัยข้อมูลสารสนเทศ โดย ภุมวุฒิ วิทวัสสำราญกุล ปีการศึกษา 2562

สำนักงานศาลยุติธรรมอยู่ระหว่างจัดทำแนวนโยบายการรักษาความปลอดภัยข้อมูลสารสนเทศ โดยอ้างอิงจากมาตรฐาน ISO/IEC 27001 และเพื่อพัฒนาระบบรักษาความปลอดภัยข้อมูลสารสนเทศภายในศูนย์ปฏิบัติการเครือข่ายตามกระบวนการปฏิบัติมาตรฐาน จึงแบ่งกลุ่มอุปกรณ์และระบบตามเกณฑ์คุณสมบัติและการทำงาน พื้นที่การเข้าถึงระบบ งานที่ให้บริการ เป็น 7 ประเภท เลือกตัวแทนของแต่ละประเภทเพื่อศึกษาตามกระบวนการจัดการความปลอดภัยข้อมูลสารสนเทศ และกำหนดแนวทางพัฒนาระบบรักษาความปลอดภัยข้อมูลสารสนเทศของระบบ แต่ละประเภท ผลสรุปดังนี้

  1. ระบบโครงสร้างพื้นฐาน (Infrastructure) ตัวแทนคือ ระบบสำรองไฟฟ้า เน้นการแจ้งเตือน เตรียมความพร้อม และมาตรการตอบสนองกรณีไฟฟ้าดับฉุกเฉิน
  2. ระบบบริหารจัดการเครือข่าย (Network Management) ตัวแทนคือ ระบบรักษาความปลอดภัยบนเครือข่ายภายใน (Firewall) เน้นการกำหนด Policy ที่เหมาะสม การเฝ้าระวัง กำหนดขั้นตอนปฏิบัติกรณีฉุกเฉิน
  3. ระบบงานที่ให้บริการเฉพาะเครือข่ายภายใน (Internal Service) ตัวแทนคือ ระบบสารบัญอิเล็กทรอนิกส์ เน้นให้บริการที่มีเสถียรภาพ ตอบสนองแก้ไขปัญหารวดเร็ว และเข้าถึงได้เฉพาะเครือข่ายภายใน
  4. ระบบงานที่ให้บริการผ่านเครือข่ายภายนอก (External Service) คือ ระบบยื่นและส่งคำคู่ความโดยสื่ออิเล็กทรอนิกส์ (e-Filling) เน้นการตรวจสอบสิทธิ์ ความถูกต้องของข้อมูลและการแก้ไขข้อมูลตามสิทธิ์ที่กำหนด ป้องกันการเข้าถึงและการโจมตีระบบจากผู้ไม่ประสงค์ดีผ่านเครือข่ายภายนอก
  5. ระบบงานบริการจากหน่วยงานพันธมิตร (Third party Service) ตัวแทนคือ ระบบจดหมายอิเล็กทรอนิกส์ (e – Mail) จุดเน้นการรักษาความปลอดภัยบัญชีผู้ใช้ การโจมตีแบบ Phishing และ Social Engineering
  6. ระบบงานที่ให้บริการเฉพาะ (Specific Service) ตัวแทนคือ ระบบสื่อสารทางไกลผ่านจอภาพ (Video Conference) เน้นการบริหารจัดการใช้งาน การกำหนด Policy และการตรวจสอบความปลอดภัยมีลักษณะเฉพาะ กำหนดมาตรการแก้ไขให้ระบบสามารถกลับมาใช้งานได้อย่างรวดเร็ว
  7. เว็บไซต์ (Website) ตัวแทนคือ เว็บไซต์สำนักงานศาลยุติธรรม (www.coj.go.th) จุดเน้นคือ การป้องกันการโจมตีผ่านทาง Browser การตรวจสอบการเปลี่ยนแปลงของหน้าเว็บไซต์
    จากการศึกษาพบว่า การใช้กรอบแนวคิดการจัดการความปลอดภัยข้อมูลสารสนเทศเพื่อพัฒนาแนวทางรักษาความปลอดภัยภายในศูนย์ปฏิบัติการเครือข่าย สามารถกำหนดขั้นตอนปฏิบัติสำหรับอุปกรณ์และระบบที่มีคุณสมบัติ และการทำงานคล้ายคลึงกันได้อย่างมีประสิทธิภาพในระดับหนึ่ง ขึ้นอยู่กับการแบ่งประเภทอุปกรณ์ และระบบที่เหมาะสม โดยระบบแต่ละประเภท จะมีข้อแตกต่างกันที่การให้ความสำคัญหรือมุ่งเน้นในกิจกรรมที่เป็นจุดสำคัญหรือจุดวิกฤติ
    อย่างไรก็ตามภายหลังดำเนินการตามแนวทางรักษาความปลอดภัยข้อมูลสารสนเทศของสินทรัพย์ข้อมูลสารสนเทศแต่ละประเภทแล้ว จำเป็นต้องดำเนินการตรวจสอบแนวทางรักษาความปลอดภัยจำเพาะสำหรับแต่ละอุปกรณ์และระบบ เพื่อให้การรักษาความปลอดภัยครบถ้วน มีประสิทธิภาพ เนื่องจากระบบประเภทเดียวกันจะมีความแตกต่างกันในรายละเอียด
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close