Page 35 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
P. 35

สวนที่ ๖
               การควบคุมการเขาถึงระบบปฏิบัติการ (Operating System Access Control)


               วัตถุประสงค
                        เพื่อปองกันการเขาถึงระบบปฏิบัติการโดยไมไดรับอนุญาต


               แนวปฏิบัติ
                        ๖.๑ การกำหนดขั้นตอนปฏิบัติเพื่อการเขาใชงานที่มั่นคงปลอดภัย การเขาถึงระบบปฏิบัติการ
               จะตองควบคุมโดยวิธีการยืนยันตัวตนที่มั่นคงปลอดภัย ดังนี้

                            ๖.๑.๑  มีการกำหนดรหัสผานในฐานขอมูล BIOS เพื่อระบุสิทธิ์ที่ถูกตองของการเขาใชงาน
                            ๖.๑.๒  มีการกำหนด Username และ Password ที่เครื่องแมขาย Domain Controller
               โดยเจาหนาที่ Admin ที่ดูแลระบบ
                            ๖.๑.๓  ในการเรียกใชงานระบบปฏิบัติการจะมีหนาตางการ Login ซึ่งผูใชงานจะตองระบบ
               User และ Password ในการเขาใชงานทุกครั้ง จากนั้นระบบจะใหสิทธิ์ Permission ตาม Login ที่เขามา

                        ๖.๒ การระบุและยืนยันตัวตนของผูใชงาน (User Identification and Authentication) กำหนดให
               ผูใชงานมีขอมูลเฉพาะเจาะจงซึ่งสามารถระบุตัวตนของผูใชงาน และเลือกใชขั้นตอนทางเทคนิคในการยืนยัน
               ตัวตนที่เหมาะสมเพื่อรองรับการกลาวอางวาเปนผูใชงานที่ระบุถึง

                            ๖.๒.๑  มีการกำหนด Username และ Password ที่เครื่องแมขาย Domain Controller
               โดยเจาหนาที่ Admin ที่ดูแลระบบ
                            ๖.๒.๒  ในการเรียกใชงานระบบปฏิบัติการจะมีหนาตางการ Login ซึ่งผูใชงานจะตองระบบ
               User และ Password ในการเขาใชงานทุกครั้ง จากนั้นระบบจะใหสิทธิ์ Permission ตาม Login ที่เขามา
                        ๖.๓ การบริหารจัดการรหัสผาน (Password  Management  System)

                            ๖.๓.๑  มีการบริหารจัดการรหัสผาน เพื่อระบุและยืนยันการเขาใชงาน โดยใชชื่อ (Username)
               และรหัสผาน (Password) ที่มีการเขารหัสอยางนอย ๑๒๘ bit
                            ๖.๓.๒  การกำหนดคุณลักษณะที่ดีของรหัสผาน ตองตรงตามมาตรฐานการรักษาความปลอดภัย

               ของระบบปฏิบัติการ ที่มีการใชอักขระธรรมดา อักขระพิเศษ และตัวเลข ผสมกัน โดยมีความยาวไมนอยกวา
               ๙ ตัวอักษร
                        ๖.๔ การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) จำกัดและควบคุมการใชงาน
               โปรแกรมประเภทอรรถประโยชน เพื่อปองกันการละเมิดหรือหลีกเลี่ยงมาตรการความมั่นคงปลอดภัย

               ที่ไดกำหนดไวหรือที่มีอยูแลว
                            ๖.๔.๑  ผูดูแลระบบ จัดทำบัญชีรายชื่อโปรแกรมอรรถประโยชนที่อนุญาตใหใชงานไดเทานั้น
                            ๖.๔.๒  ผูใชงานที่ตองการใชงานโปรแกรมยูทิลิตี้ ตองแจงความจำเปนในการขอใช และ
               ทำการขออนุญาตจากผูดูแลระบบ พรอมระบุเหตุผลความตองการใชงาน โดยตองมีการลงนามเห็นชอบจาก

               ผูบังคับบัญชาของผูใชงานอยางเปนลายลักษณอักษร
                            ๖.๔.๓  ผูดูแลระบบ กำหนดสิทธิ์ใหอนุญาตใชงานโปรแกรมอรรถประโยชนเปนรายครั้งไป
               และมีการเก็บบันทึกการเรียกใชงานโปรแกรมอรรถประโยชนทุกครั้ง แมจะเปนการใชงานเพียงชั่วคราว จึงจำเปน
               ตองทำการขออนุมัติการใชงานโปรแกรมยูทิลิตี้ทุกครั้ง




                                        นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
                                                                                                       ๒๖
   30   31   32   33   34   35   36   37   38   39   40