Page 33 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
P. 33

๕.๔.๑  ผูใชงานจะมีชื่อและรหัสผานที่ถูกกำหนดให โดยเจาหนาที่ที่รับผิดชอบงานดานการควบคุม
               Access Control ของกรมพัฒนาที่ดิน

                            ๕.๔.๒  ทุกครั้งที่มีการใชงาน ระบบจะรองขอการพิสูจนตัวตนผานทางการ log-in โดยจะตอง
               ใชชื่อและรหัสผานในการเขามาใชงานในระบบทุกครั้ง
                            ๕.๔.๓  ระบบจะมีการบันทึกการเขามาใชงานของ User ทุกคน เพื่อใชตรวจสอบในกรณีที่มี
               ขอสงสัยหรือเกิดปญหา

                            ๕.๔.๔  ผูดูแลระบบ ตองพิจารณาความสำคัญของระบบที่เขาถึง เพื่อเปดใชงานการยืนยันตัวตน
               โดยหลายปจจัย (Multi Factor Authentication : MFA) เพิ่มเติม
                        ๕.๕ การระบุอุปกรณบนเครือขาย (Equipment Identification in Networks) มีวิธีการที่สามารถ

               ระบุอุปกรณบนเครือขายได และควรใชการระบุอุปกรณบนเครือขายเปนการยืนยัน
                            ๕.๕.๑  อุปกรณเครือขายทุกเครื่องจะมีการตรวจสอบ MAC Address จากนั้นทำการบันทึก
               MAC Address เขากับ IP Address ที่นำมาใชงานและเก็บไวในระบบ
                            ๕.๕.๒  ในการทำงานระบบจะตรวจสอบ IP Address อุปกรณเครือขายที่เชื่อมตอเขามากับ
               ฐานขอมูล MAC Address นี้บันทึกเพื่อยืนยันและตรวจสอบตัวตนของอุปกรณวาเปนอุปกรณเครือขายที่ถูกตอง

               จากนั้นจะทำการบันทึกลง Log File
                        ๕.๖ การปองกันพอรตที่ใชสำหรับตรวจสอบและปรับแตงระบบ (Remote Diagnostic and
               Configuration Port Protection) ตองควบคุมการเขาถึงพอรตที่ใชสำหรับตรวจสอบและปรับแตงระบบ

               ทั้งการเขาถึงทางกายภาพและทางเครือขาย
                            ๕.๖.๑  มีการปองกัน port มีการควบคุมการเขาถึงผานทางเครือขาย โดยระบบพิสูจนตัวตน
               ผาน Radius Server ที่ตองระบุ user และ password ที่มีสิทธิ์เขามาใชงาน
                            ๕.๖.๒  การควบคุมการเขาถึงทางกายภาพ มีการปองกันผานระบบรักษาความปลอดภัย
               หองควบคุมระบบเครือขาย โดยมีการสแกนลายนิ้วมือในการเขาออก พรอมบันทึกประวัติทุกครั้ง

                            ๕.๖.๓  มีการกำหนด Password ในชอง Console ที่ใชเชื่อมตออุปกรณเครือขาย เพื่อพิสูจน
               สิทธิ์การเรียกใชงาน
                            ๕.๖.๔  มีการวางแผน เพื่อตรวจสอบ port ที่ไมไดมีการใชงานอยูเปนประจำ

                        ๕.๗ การแบงแยกเครือขาย (Segregation in Networks) ตองทำการแบงแยกเครือขายตามกลุม
               ของบริการสารสนเทศ กลุมผูใชงาน และกลุมของระบบสารสนเทศ
                            ๕.๗.๑  มีการแบงแยกเครือขาย มีการบริหารผานทาง VLAN management โดยกลุมงานของ
               แตละหนวยงาน จะมีการจัดแบงอยูคนละเครือขาย

                            ๕.๗.๒  มีการนำเอา Access List Control มาควบคุมการใชงานของ IP Address ที่อยูใน
               เครือขายเดียวกัน
                            ๕.๗.๓  มีการจัดทำผังเครือขายขององคกร (เปนเอกสารระดับชั้นความลับของหนวยงาน)
                            ๕.๗.๔  มีการนำ Firewall มาใชเพื่อแบงกั้นเครือขายตามกลุมผูใชงาน

                        ๕.๘ การควบคุมการเชื่อมตอทางเครือขาย (Network Connection Control) ตองควบคุมการเขาถึง
               หรือใชงานเครือขายที่มีการใชรวมกันหรือเชื่อมตอระหวางหนวยงานใหสอดคลองกับขอปฏิบัติการควบคุม
               การเขาถึง






                                        นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
                                                                                                       ๒๔
   28   29   30   31   32   33   34   35   36   37   38