8-20 การ​บริหาร​ความม​ ั่นคง​ปลอดภัย​สารสนเทศ

เรือ่ ง​ที่ 8.2.2
การ​ประเมนิ ค​ วามม​ ่ันคง​ปลอดภัยข​ องร​ ะบบฐ​ าน​ขอ้ มูล

       การส​ รา้ งค​ วามม​ ัน่ คงป​ ลอดภยั ใ​หก​้ บั ร​ ะบบฐ​ านข​ อ้ มลู เ​ริม่ ข​ ึน้ พ​ รอ้ ม ๆ กบั ก​ ารพ​ ฒั นาร​ ะบบส​ ารสนเทศท​ ใี​่ ชร​้ ะบบ​
ฐานข​ ้อมูลน​ ั้น ผู้​ที่ไ​ด้​รับห​ น้าที่ใ​ห้ด​ ูแลค​ วามม​ ั่นคง​ปลอดภัยอ​ าจเ​ป็นผ​ ู้ด​ ูแล​ระบบ​ฐาน​ข้อมูล หรือ​ผู้​เชี่ยวชาญ​ด้านค​ วาม​
มั่นคงป​ ลอดภัย หน้าทีห่​ ลัก ๆ คือก​ ารบ​ ริหารค​ วามเ​สี่ยงด​ ้านก​ ารร​ ักษาค​ วามม​ ั่นคงป​ ลอดภัยข​ องฐ​ านข​ ้อมูล โดยก​ ารแ​ บ่ง​
ผู้ใ​ช้ง​ าน​ที่เ​กี่ยวข้อง​ตามท​ ี่​กำ�หนดไ​ว้ใ​นค​ วามต​ ้องการ​ของ​ระบบ​งาน​ประยุกต์​ซึ่ง​มีค​ วาม​แตก​ต่างก​ ันไ​ป​ตาม​ลักษณะง​ าน​
เช่น ใน​งาน​ทาง​ทหาร กระบวนการ​และ​ความ​รับ​ผิด​ชอบ​จะ​ถูก​แบ่ง​มอบ​ตาม​ลำ�ดับ​ชั้น และ​มี​โอกาส​ที่​จะ​เปลี่ยนแปลง​
น้อย ในข​ ณะ​ที่​ระบบง​ าน​ที่​เกี่ยวข้องก​ ับภ​ าค​ธุรกิจก​ าร​ธนาคารอ​ าจม​ ี​การจ​ ำ�กัดก​ ระบวนการแ​ ละค​ วามร​ ับ​ผิดช​ อบ​ไว้​กับ​
กลุ่ม​ของเ​จ้า​หน้าที่เ​ฉพาะ เป็นต้น

       การ​ประเมิน​ความ​มั่นคง​ปลอดภัย​ของ​ระบบ​ฐาน​ข้อมูล​เป็น​กิจกรรม​หนึ่ง​ซึ่ง​ทำ�ให้​มั่นใจ​ได้​ว่า​ระบบ​ฐาน​ข้อมูล​
มี​ความ​มั่นคง​ปลอดภัย​ตาม​ที่​กำ�หนด​ไว้​ใน​นโยบาย​การ​รักษา​ความ​มั่นคง​ปลอด​ภัยฯ ของ​องค์กร ดัง​นั้น​การ​ประเมิน​
ความม​ ั่นคงป​ ลอดภัยจ​ ะไ​ม่มีป​ ระโยชน์อ​ ันใ​ดเ​ลยห​ ากอ​ งค์กรน​ ั้นไ​ม่มีน​ โยบายก​ ารร​ ักษาค​ วามม​ ั่นคงป​ ลอดภัยข​ องร​ ะบบ​
ฐานข​ อ้ มลู นโยบายก​ ารร​ กั ษาค​ วามม​ นั่ คงค​ อื แบบจ​ �ำ ลองเ​ชงิ ค​ วามค​ ดิ ใ​หเ​้ หมาะ​ ส​ มส​ �ำ หรบั ก​ ารร​ กั ษาค​ วามม​ ัน่ คงป​ ลอดภ​ ยั ฯ
กำ�หนด​ความ​สำ�คัญข​ อง​ทรัพยากร​ในร​ ะบบ​ฐานข​ ้อมูล และก​ ำ�หนดต​ ัว​ชี้​วัด​ที่​เหมาะ​สม​สำ�หรับก​ ารป​ ระเมินค​ วามเ​สี่ยง

       ผู้​บริหาร​องค์กร และ​ผู้​บริหาร​สารสนเทศ​ใน​องค์กร​จะ​ร่วม​กัน​กำ�หนด​นโยบาย​การ​ใช้​งาน​ระบบ​สารสนเทศ
นโยบายท​ ี่เ​กี่ยวข้องก​ ับค​ วามม​ ั่นคงป​ ลอดภัยข​ องร​ ะบบส​ ารสนเทศ ซึ่งก​ ำ�หนดแ​ นวทางก​ ารเ​ข้าถ​ ึงแ​ ละส​ ิทธิ์ใ​นก​ ารจ​ ัดการ​
ข้อมูล หรือ​สารสนเทศ​ที่​ถูก​จัด​เก็บ​ใน​ระบบ​ฐาน​ข้อมูล และ​จะ​ต้อง​ครอบคลุม​ถึง​แนวทาง​ใน​การ​บริหาร​จัดการ​ระบบ​
ฐานข​ ้อมูล ทั้งนี้ก​ ารก​ ำ�หนดน​ โยบายด​ ังก​ ล่าวม​ ักจ​ ะก​ ระทำ�​ควบคู่ไ​ปก​ ับก​ ารพ​ ัฒนาร​ ะบบภ​ ายห​ ลังจ​ ากท​ ี่ผ​ ู้อ​ อกแบบร​ ะบบ​
ออกแบบ​ฐาน​ข้อมูล​เรียบร้อย​แล้ว

       นอกจากน​ ี้น​ โยบายก​ ารร​ ักษาค​ วามม​ ั่นคงป​ ลอดภัยย​ ังก​ ำ�หนดม​ าตรการอ​ ื่น ๆ ที่เ​กี่ยวข้อง เช่น การก​ ำ�หนดใ​ห้ม​ ​ี
การส​ ำ�รอง​ข้อมูลใ​น​ทุก ๆ วันห​ ลังเ​วลาเ​ลิกง​ าน หรือ​เป็นไ​ป​ตาม​ที่ก​ ำ�หนดไ​ว้ใ​นม​ าตรฐาน​อื่น ๆ ที่​องค์กรต​ ้องป​ ฏิบัติต​ าม​
เช่น Health Insurance Portability and Accountablility Act of 1996 (HIPAA) ใน​กรณี​ที่​องค์กรน​ ั้นเ​ป็นอ​ งค์กร​
ที่​ให้​บริการ​เกี่ยว​กับ​สุขภาพ ​เช่น ระบบ​บริหาร​จัดการ​ฐาน​ข้อมูล​ผู้​ป่วย​ใน​โรง​พยาบาล เป็นต้น จะ​เห็น​ว่าการ​พัฒนา​
นโยบาย​การร​ ักษา​ความ​มั่นคงป​ ลอดภัย​ฐานข​ ้อมูล​จะต​ ้อง​กำ�หนด

       -	 มาตรการก​ ารเ​ข้าถ​ ึงข​ ้อมูล​ให้​กับ​ผู้​ใช้ง​ าน​ที่ไ​ด้​รับ​สิทธิ์​อย่างช​ ัดเจน
       -	 มาตรการก​ าร​ตรวจส​ อบแ​ ละ​สอบ​ทานก​ ารเ​ข้า​ใช้ง​ านร​ ะบบ​จัดการ​ฐาน​ข้อมูล
       มาตรการก​ ารเ​ข้าถ​ ึงข​ ้อมูลท​ ีก่​ ำ�หนดใ​ช้ก​ ับผ​ ูใ้​ช้ง​ านจ​ ะถ​ ูกใ​ช้ใ​นก​ ารป​ ระเมินค​ วามม​ ั่นคงป​ ลอดภัยข​ องฐ​ านข​ ้อมูล​
โดย​ใช้​เป็นห​ ลัก​ใน​การ​ตรวจ​สอบ ชื่อ​ผู้​ใช้ง​ าน สิทธิ์ท​ ี่ไ​ด้ร​ ับ เมื่อต​ ้องการ​ประเมิน​ความม​ ั่นคงป​ ลอดภัย​ของร​ ะบบ​ข้อมูล​
ดังก​ ล่าวจ​ ะ​ถูกใ​ช้​เป็นห​ ลักเ​กณฑ์​เบื้องต​ ้น​ในก​ ารพ​ ิจารณา​ความม​ ​มั่นคงป​ ลอดภัย เช่น จะต​ ้อง​ไม่มี​รายช​ ื่อผ​ ู้ใ​ช้ง​ าน​หรือ​
ระบบ​งาน​ที่ถ​ ูก​ยกเลิกไ​ม่​ให้เ​ข้า​ถึงฐ​ านข​ ้อมูลใ​น​ระบบจ​ ัดการ​ฐานข​ ้อมูล และก​ ารต​ รวจ​สอบส​ ิทธิ์​หรือม​ าตรการต​ ่าง ๆ ที่​
ไม่ส​ อดคล้องก​ ับน​ โยบาย​การร​ ักษา​ความม​ ั่นคง​ปลอดภัย​ของร​ ะบบ เป็นต้น