iso/iec 27001/17799 information security management standard · environment security a.8 human...
TRANSCRIPT
![Page 1: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/1.jpg)
1
มาตรฐานความมั่นคงปลอดภัยสารสนเทศ ISO/IEC 27001/17799 Information Security Management Standard
บรรจง หะรังษีThai Computer Emergency Response Team (ThaiCERT)T-NETNational Electronics and Computer Technology Center (NECTEC)
Date: September 11, 2008
![Page 2: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/2.jpg)
2
Presentation topics
Current Cyber ThreatsSecurity Incidents, Analysis and Potential Preventive Solutions ISO/IEC 27001 & ISO/IEC 17799 Standard and Audit Findings
![Page 3: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/3.jpg)
3
Current Cyber Threats
Big problems Today: Spyware, Phishing, SPAM, and Peer-to-Peer Exploit
![Page 4: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/4.jpg)
4
ตัวอยาง: การถูกเปลี่ยนหนาเว็บไซต (Web Defacement)
![Page 5: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/5.jpg)
5
วิธีปองกันที่เปนไปได
เปนปญหาการเปลี่ยนหนาเว็บไซตเฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลงแกไขชองโหวในระบบอยางสม่ําเสมอ
![Page 6: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/6.jpg)
6
ตัวอยาง: อันตรายจากนักเจาะระบบ
![Page 7: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/7.jpg)
7
วิธีปองกันที่เปนไปได
เปนปญหาที่เรียกกันวา identity theft (การสวมรอยโดยใชรหัสผาน)ใชรหัสผานแบบ one-time password สําหรับระบบที่มีความสําคัญ ซึ่งรวมถึงพวก biometricตรวจสอบธุรกรรมที่เกิดขึ้นในแตละวันเพื่อดูความผิดปกติ อาจจะตองมีการตั้งหนวยงาน fraud detectionเตือนใหพนักงานเห็นถึงบทลงโทษหากละเมิดนโยบายความปลอดภัย
![Page 8: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/8.jpg)
8
ตัวอยาง: เว็บไซตผูจัดการถูกแฮก
![Page 9: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/9.jpg)
9
วิธีปองกันที่เปนไปได
เปนปญหาทางเทคนิคที่เรียกกนัวา DNS Attackแกไขชองโหวในระบบ DNS (กรณีนี้ ISP ตองเปนคนแก)เฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลง
![Page 10: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/10.jpg)
10
ตัวอยาง: ไวรัสถลมเว็บไซตผูจัดการ
![Page 11: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/11.jpg)
11
วิธีปองกันที่เปนไปได
เปนปญหาการติดไวรัสจากเว็บไซตติดตั้งโปรแกรมปองกันไวรัสและสปายแวรและปรับปรุงใหทันสมัยอยูเสมอสรางความตระหนักใหผูใชงานระมัดระวังไวรัสที่ติดทางการดาวนโหลด (สิ่งที่ดาวนโหลดมาอาจมีโปรแกรมที่มีไวรัสซึ่งผูใชอาจสั่งรัน)หลีกเลี่ยงการเขาเว็บไซตที่ไมคุนเคยหลีกเลี่ยงการคลิกลิ้งกที่ไดรับทางอีเมล/msn/หรืออื่นๆ เพื่อเขาไปในเว็บไซตตามลิ้งก
![Page 12: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/12.jpg)
12
ตัวอยาง: เว็บไซตกระทรวงยุติธรรมถูกแฮก
![Page 13: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/13.jpg)
13
วิธีปองกันที่เปนไปได
เปนปญหาเว็บไซตถูกแฮ็กเฝาระวังหนาเว็บไซตเพื่อปองกันการเปลี่ยนแปลงแกไขชองโหวในระบบแกไขปญหาทางเทคนิคในการพัฒนาระบบ เชน SQL injection, input data validation เปนตน
![Page 14: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/14.jpg)
14
ตัวอยาง: ขอมูลลบัของ CIA รั่วไหล
![Page 15: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/15.jpg)
15
วิธีปองกันที่เปนไปได
เปนปญหาขอมูลสําคัญรั่วไหลระมัดระวังเรื่องการจัดการกบัขอมูลที่มีความสําคัญ เชน จัดหมวดหมูไวและปองกันตางหากควบคุมการเขาถึงขอมูลสําคัญอาจเกิดจากระบบถูกแฮ็ก ซึ่งทางแกอาจใชวิธีตามที่กลาวมาแลว
![Page 16: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/16.jpg)
16
A-net, O-net……….and NO-NET
![Page 17: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/17.jpg)
17
วิธีปองกันที่เปนไปได
เขาใจวาเปนปญหาเรื่องทรัพยากรระบบไมพอตอการเขาใชงานของผูเขาเว็บไซตประเมินปริมาณหรือจํานวนผูเขาใชระบบจัดหาเครื่องใหบริการเพื่อใหรองรับตามจํานวนผูใชงานที่ประมาณการณไวเตรียมชองทางการเขาถึงบนเครือขาย (bandwidth) ใหมีขนาดเพียงพอตอจํานวนผูใชงานที่ประมาณการณไว
![Page 18: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/18.jpg)
18
ตัวอยาง: ฐานขอมลูบัตรเครดิตของลกูคาสูญหาย
![Page 19: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/19.jpg)
19
วิธีปองกันที่เปนไปได
เปนปญหาขอมูลสวนบุคคลรั่วไหล (เปนการปองกันขอมูลสวนบุคคลจากการสญูหายหรืออาจถูกเขาถึงโดยไมไดรับอนุญาต)กําหนดและปฏิบัตติามนโยบายปองกันขอมูลสวนบุคคลใหความสําคัญกับการจัดการกับสื่อบันทึกขอมูลสําคัญซึ่งรวมถึงการจดัสงสื่อบันทึกขอมูลดวย วิธีการปลอดภัยในการสง การสําเนา การกระจาย การเขาถึง การเซ็นรับสื่อ เปนตน
![Page 20: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/20.jpg)
20
Spoofed e-mails +
Faked websites
Deceive recipients into revealing confidential information such as
• credit card numbers • account usernames and passwords• identification number
Phishing
![Page 21: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/21.jpg)
21
Phishing
Hacker(Fisher= ผูตกปลา)
Spam mail(bait=เหยื่อ)
Fake website(fishhook=ตะขอ)
Customer(fish=ปลา)
![Page 22: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/22.jpg)
22
Sample fake e-mail to Citibank customers
![Page 23: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/23.jpg)
23
Sample fake web site of Citibank
![Page 24: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/24.jpg)
24
![Page 25: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/25.jpg)
25
วิธีปองกันที่เปนไปได
เปนปญหาที่เรียกกันวา Social Engineering สรางความตระหนักใหลูกคาของธนาคารไดเขาใจในปญหาดังกลาวและการปองกันธนาคารประสานงานกับ CERT กรณีที่เว็บไซตปลอมที่ตั้งขึ้นมาอยูในตางประเทศ (CERT ซึ่งรวมถึง ThaiCERT มีเครือขายของการประสานงานกันทั่วโลก) เพื่อขอใหชวยประสานงานนําเว็บไซตปลอมลงเพื่อลดผลกระทบตอลูกคาของธนาคาร
![Page 26: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/26.jpg)
26
Electronic TransactionSecurity Standard (version 1)
Developed from ISO/IEC 17799:2000 Security Standard
![Page 27: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/27.jpg)
27
Electronic TransactionSecurity Standard (version 2)
Developed from ISO/IEC 17799:2005 Security Standard
![Page 28: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/28.jpg)
28
Security Standard (version 2.5)
Developed from ISO/IEC 17799:2005 Security Standard
![Page 29: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/29.jpg)
29
ISO/IEC 27001 -
PDCA Model applied
to ISMS processes
Establish the ISMS
Implement and operate the ISMS
Maintain and improve the ISMS
Monitor and review the ISMS
Development, maintenance
and improvement
cycle
Plan
ActDo
Check
Information security requirements and expectations
Managed information
security
Interested
Parties
Interested
Parties
![Page 30: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/30.jpg)
30
Security Domains in ISO/IEC 27001 & ISO/IEC 17799-2005
A.5 Security PolicyA.5 Security Policy
A.12 Information A.12 Information systems acquisition,systems acquisition,developmentdevelopmentand maintenanceand maintenance
A.10 Communications A.10 Communications and operationsand operationsmanagementmanagement
A.9 Physical and A.9 Physical and environment environment securitysecurity
A.8 Human resourcesA.8 Human resourcessecuritysecurity
A.6 Organization ofA.6 Organization of
informationinformationsecuritysecurity
A.11 Access ControlA.11 Access Control
A.13 Information security A.13 Information security incident managementincident management
A.14 Business continuity A.14 Business continuity managementmanagement
A.7 Asset A.7 Asset managementmanagement
133 Controls
A.11.1.1A.11.1.1
A.11.7.1A.11.7.1
A.11.7.2A.11.7.2
A.15 ComplianceA.15 Compliance
39 Control Objectives
A.11.1A.11.1
A.11.7A.11.7
11 Security Domains (Areas)
![Page 31: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/31.jpg)
31
A.5. Security Policy
A.5.1. Information Security PolicyInformation security policy documentReview of the information security policy
Security Policy
Definition of information security:
……..
Objective:………….
Scope:………….
Goal:……………
Requirements:…….
Approved by:……….
![Page 32: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/32.jpg)
32
Example: Lack of Information security policy and document (A.5)
ผูบริหารระดับสูง
หัวหนาฝาย
พนักงานทั่วไป
นโยบายการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
คํานิยามของการรักษาความปลอดภัยระบบสารสนเทศ (จุดมุงหมาย ขอบเขตและ กลไก
………….………..
นโยบายการรักษาความมั่นคงปลอดภัยระบบสารสนเทศ
คํานิยามของการรักษาความปลอดภัยระบบสารสนเทศ (จุดมุงหมาย ขอบเขตและ กลไก
………….………..
ผลจากการไมมีนโยบายฯ จากผูบริหารขององคกรพนกังานขององคกรไมมี
แนวทางปฏิบัติที่เหมาะสมและอาจทําการละเมิดความปลอดภัยของระบบสารสนเทศในองคกร
ไมมีนโยบายความมั่นคงปลอดภัยจากระดับผูบริหารสูพนักงานระดับลาง
![Page 33: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/33.jpg)
33
A.6. Organizational security
A.6.1. Internal organization A.6.2. External parties
Human Resource
I.T. Marketing
SteeringCommittee
Third party agreement
![Page 34: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/34.jpg)
34
Example: Lack of addressing security in third party agreements (A.6.2.3 )
Unauthorized accessUnauthorized access
Information Theft, etc.Information Theft, etc.
สญัญาไมครอบคลุม พอเพียง
![Page 35: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/35.jpg)
35
A.7. Asset management
A.7.1. Responsibility for assets
Software:
software, application, tools, etc.
Hardware: Computer, communication equipment, etc.
People: IT staff, manager, etc.
Information: Database, File, etc.
Processes
and
services
:
Applications etc.
![Page 36: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/36.jpg)
36
Printer Types
No. of PC connected
Location Responsible Person
Other Details
HP LaserJet 4050 Series
3 5th
Floor John Memory 8 MB, DWS:5.90 I/O Buffering : 100 KB Allocated of 4000 KB Available PS Wait Time-out 300S , Resolution : 1200x1200 dpi
HP LaserJet 1300
3 5th
Floor Kitti Memory 16 MB, Resolution 1200 x 1200 dpi PS Wait Time-out 300S 20 ppm
blackIT Manager Room
HP LaserJet 4200 dtn
34 4th
Floor Mary Model Number : 56057 AMemory 64 MB , 8 MB Flash ROM , Idle Time-out 90 s
HP LaserJet 2200 Series
11 6th
Floor Jennifer Resolution 1200 x 1200 dpi , 19 ppm
(letter) , 18 ppm
(A4)
Supports HP PCL 6 , Memory 16 MB 3rd
Floor
HP Deskjet1220C
5 2nd
Floor Mike 11 ppm
black (600x600 dpi) up to 9.5 ppm
colour(2400x1200 dpi)
HP Designj
et
500
2 1st
Floor Michale Model Number : C7770B, 42 inches , RAM 160 MB Ink Use : Black 2 cc, Cyan 1 cc, Magenta 3 cc , Yellow 2
ccEngine F/W : A.02.06
Printer Inventory
มีชื่อบุคคลที่รับผิดชอบ
![Page 37: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/37.jpg)
37
Top Secret
Secret
Confidential
Restricted
Restricted until
1/12/2005
‘Protectively Marked’
A.7.2 Information classificationClassification guidelinesInformation labelling and handling
A.7. Asset management (Cont.)
![Page 38: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/38.jpg)
38
Example: Lack of Information classification (A.7.2)
สูง
กลาง
ต่ํา
เอกสารลับ
เอกสารลับมาก
เอกสารทั่วไป
เอกสารลับที่สุด
![Page 39: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/39.jpg)
39
A.8. Human resources security
A.8.1. Prior to employment
A.8.2. During employment
A.8.3. Termination or change of employment
![Page 40: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/40.jpg)
40อางอิง www.aoema.org
During Employment (A.8.2) Lack of security awareness training and education
![Page 41: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/41.jpg)
41
Example: Lack of signing NDA (Prior to employment) (A.8.1.3)
A New Face Employee/Contractor
Bank of Non Security
Two days later
สารสนเทศ
ขอมูลลูกคา
![Page 42: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/42.jpg)
42
Example: Lack of removal of access rights (A.8.3.3)
Remove logical access rights
(Access to System or Network)
Remove physical access rights
(Access to the sensitive areas)
Terminated staff
![Page 43: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/43.jpg)
43
A.9. Physical and environmental security
A.9.1.6 Public access, delivery and loading areas
A.9.1 Secure areasA.9.1.1 Physical security perimeter
A.9.1.2 Physical entry controls
A.9.2 Equipment security A.9.2.1 Equipment siting and protection
A.9.2.2 Supporting utilities
A.9.2.4 Equipment maintenance
A.9.2.7 Removal of property
![Page 44: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/44.jpg)
44
Example: Lack of Physical and environmental security (A.9)
Visitor
![Page 45: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/45.jpg)
45
A.10. Communications and operations managementA.10.1 Operational procedures and responsibilities
A.10.1.1 Documented operating procedures
…………
A.10.1.4 Separation of development, test and operational facilities
A.10.6 Network security management
A.10.3
System planning and acceptance
A.10.8
Exchange of information
A.10.7 Media handling
A.10.7.1 Management of removable media
A.10.7.2 Disposal of media
A.10.7.3…….
A.10.5
Back-up
A.10.4
Protection against malicious and mobile code
A.10.9
Electronic
commerce
services
A.10.10 Monitoring
A.10.2 Third party service delivery management
![Page 46: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/46.jpg)
46
Example: Lack of information back-up procedures (A.10.5)
ฐานขอมูล
ฐานขอมูล
Virus ทําลายขอมูล
Worm ทําลายขอมูล
Hacker ทําลายขอมูล
ฟาผาทําใหไฟดับ สามารถใช
ขอมูลที่สํารองไวได
ฐานขอมูล สํารอง
(Backup)
ไมมีขอมูลใช
![Page 47: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/47.jpg)
47
Example: Lack of capacity management (A.10.3.1)
![Page 48: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/48.jpg)
48
Example: Lack of segregation in networks (A.11.4.5)
ผูโจมตีระบบ
ผูโจมตีระบบ
![Page 49: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/49.jpg)
49
Example: Lack of Network routing control (A.10.6.1)
Internet
Remote
Accounting
HR
Marketing
Engineer
HR Management
Server
WebServer
MailServer
Ext DMZ
Int DMZ
DirectoryServer
MonitoringServer
E-CommerceServer
Customers
There should not be route from customer to internal DMZ and internal client zone.
Customer
Internal Client Zone
Internal DMZ
![Page 50: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/50.jpg)
50
Computer
Computer
InformationSystem A
(Operating System)
Database
System B
(Application i.e. Application for personnel
department, sales department, etc.)
Internet
A.11.1 Business requirements for access control
A.11.4 Network access control
A.11.5 Operating system access control
11.5.1 Secure log-on procedures
……..
Tele working
Mobile Computing
A.11.7
Mobile computing and teleworking
A.11. Access Control
A.11.3 User responsibilities
A.11.3.1 Password use
…….
A.11.2 User access management
A.11.6 Application and information access control
11.6.1 Information access restriction
11.6.2 Sensitive system isolation
![Page 51: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/51.jpg)
51
Example: Lack of access control
policy (A.11.1.1)
Authorized Access Only
Data Center
ฐานขอมูล สําคัญ
![Page 52: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/52.jpg)
52
Example: Lack of privilege management (A.11.2.2)
ฐานขอมูลสําคัญ
Salesman
System Engineer
![Page 53: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/53.jpg)
53
A.12. Information systems acquisition, development and maintenance
A.12.1 Security requirements of information systems
A.12.3 Cryptographic controls
A.12.3.1 Policy on the use of cryptographic controls
A.12.3.2 Key management
A.12.2
Correct processing in applications
A.12.2.1 Input data validation
……..
A.12.2.4 Output data validation
i.e.
-
Electronic money transfer
-
Contract
- Proposal
- PaymentA12.5 Security in development and support
processes
A.12.5.1 Change control procedures
…..........
A.12.4 Security of systems files
A.12.4.1 Control of operational software
………
![Page 54: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/54.jpg)
54
Example: Lack of checking input data validation (A.12.2.1)
Buffer Overflow
Input data validation
Most of vulnerabilities cause Buffer Overflow
![Page 55: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/55.jpg)
55
Example: Lack of control of technical vulnerabilities (A.12.6.1)
ระบบที่มีชองโหวอาจถูกโจมตี เชน การขโมยขอมูลลับ
ระบบที่ไดรับการแกไขชองโหวสามารถปองกันการถูกโจมตีได
![Page 56: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/56.jpg)
56
A.13. Information security incident management
A.13.1 Reporting information security events and weaknessesA.13.2 Management of information security incidents and improvements
![Page 57: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/57.jpg)
57
Example: Lack of information security incident management (A.13.2)
Call Center
![Page 58: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/58.jpg)
58
Example: Lack of reporting information security events
(A.13.1)
Attacker
Handlers
Agents
Victim
traffic flood
Denial of Service (DoS)
![Page 59: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/59.jpg)
59
A.14. Business continuity management
A.14.1. Information security aspects of business continuity management
Including information security in the business continuity management processBusiness continuity and risk assessmentDeveloping and implementing continuity plans including information securityBusiness continuity planning frameworkTesting, maintaining and re-assessing business continuity plans
การประเมินผลกระทบ
การกําหนดทางเลือกในการแกปญหา
การทดสอบแผนการปฏิบัติ
การวางแผนสําหรับการปฏิบัติ
การปรับปรุงแผนสรางความตอเนื่อง
![Page 60: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/60.jpg)
60
Example: Business Continuity Management
Fired Original Site Backup Site
Move to backup site
![Page 61: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/61.jpg)
61
Incomplete Business Continuity Plan
Lack of defining critical applicationsLack of defining maximum tolerable downtimesIncomplete backupsLack of awarenessLack of plan rehearsal
![Page 62: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/62.jpg)
62
A.15. Compliance
A.15.1. Compliance with legal requirementsA.15.2. Compliance with security policies
and standards, and technical compliance
A.15.3 Information systems audit considerations
![Page 63: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/63.jpg)
63
Example: Intellectual property rights (IPR) (A.15.1.2)
![Page 64: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/64.jpg)
64
Example: Lack of information systems audit considerations (A.15.3)
![Page 65: ISO/IEC 27001/17799 Information Security Management Standard · environment security A.8 Human resources security A.6 Organization of. information security A.11 Access Control A.13](https://reader033.vdocuments.mx/reader033/viewer/2022041523/5e2ff40839c42f23ab431026/html5/thumbnails/65.jpg)
65
Email: [email protected]://www.thaicert.nectec.or.th