ความ​มั่นคง​ปลอดภัยข​ องร​ ะบบฐ​ าน​ข้อมูล 8-21

       มาตรการก​ ารต​ รวจส​ อบแ​ ละส​ อบท​ านก​ ารเ​ขา้ ใ​ชง​้ านร​ ะบบจ​ ดั การฐ​ านข​ อ้ มลู จะท​ �ำ ใหม​้ ัน่ ใจไ​ดว​้ า่ เ​มือ่ ใ​ชง​้ านร​ ะบบ​
ฐาน​ข้อมูล​ไป​แล้ว​การ​ใช้​งาน​จะ​เป็น​ไป​ตาม​ที่​กำ�หนด​ไว้​ใน​นโยบาย​การ​รักษา​ความ​มั่นคง​ปลอดภัย โดย​การ​วิ​เคราะห์​
ออดิท​ ล็อ​ ก (audit log)1 ของร​ ะบบจ​ ัดการฐ​ านข​ ้อมูล การป​ ฏิบัติต​ ามม​ าตรการต​ รวจส​ อบแ​ ละส​ อบท​ านจ​ ะท​ ำ�ให้ม​ ั่นใจไ​ด​้
ว่า ข้อมูลท​ ี่ถ​ ูกจ​ ัดเ​ก็บใ​นร​ ะบบจ​ ัดการฐ​ านข​ ้อมูลจ​ ะถ​ ูกเ​ข้าถ​ ึงอ​ ย่างเ​หมาะส​ ม ยกต​ ัวอย่างก​ ารอ​ นุญาตใ​ห้ผ​ ู้ใ​ช้ง​ านส​ ามารถ
​เข้า​ถึง​กลุ่ม​รีเล​ชัน​ที่​จัด​เก็บ​ข้อมูล​ที่​มี​ความ​ละเอียด​อ่อน​สูง เช่น ข้อมูล​การ​วินิจฉัย​โรค​ของ​ผู้​ป่วย​ใน​ฐาน​ข้อมูล​ระบบ​
บริหาร​จัดการ​โรง​พยาบาล ซึ่ง​อนุญาต​ให้​เข้า​ถึง​ได้​จาก​แพทย์​เจ้าของ​ไข้​เท่านั้น จะ​เห็น​ว่า​ข้อมูล​นี้​จะ​ต้อง​ไม่​สามารถ​
เข้า​ถึง​ได้​จาก​บุคคล​อื่น ๆ ไม่​ว่าจ​ ะเ​ป็น​ผู้​ดูแล​ระบบ​ฐาน​ข้อมูล การ​ตรวจ​สอบ​ อ​อดิท​ ล็​อก​จะ​ทำ�ให้​ทราบ​ว่า​มี​การล​ ะเมิด​
นโยบายน​ ี้ห​ รือไ​ม่

       แนวทาง​การ​กำ�หนด​นโยบาย​การ​รักษา​ความ​มั่นคง​ปลอดภัย​ของ​ข้อมูล และ​ระบบ​จัดการ​ฐาน​ข้อมูล​จะ​ต้อง​
จำ�แนกร​ ายล​ ะเอียด ผูใ้​ชง้​ าน สิทธิใ์​นก​ ารเ​ข้าถ​ ึงข​ ้อมูลต​ ่าง ๆ อย่างช​ ัดเจน เพื่อท​ ีจ่​ ะไ​ดก้​ ำ�หนดม​ าตรการค​ วบคุมก​ ารเ​ข้าถ​ ึง​
ข้อมูล​นั้น ๆ ได้​อย่าง​เหมาะ​สม​และ​มี​ประสิทธิภาพ ขั้น​ตอน​การ​กำ�หนด​นโยบาย​การ​รักษา​ความ​มั่นคง​ปลอดภัย
ฐ​ านข​ ้อมูล​มีด​ ัง​ต่อ​ไปน​ ี้

1. 	การก​ ำ�หนด​ข้อมูล​ท​สี่ ำ�คญั

       เป็น​ขั้น​ตอน​ที่​ผู้​มี​ส่วน​รับ​ผิด​ชอบ​จะ​ต้อง​ร่วม​กัน​กำ�หนด​ข้อมูล​ต่าง ๆ ที่​ต้องการ​รักษา​ความ​มั่นคง​ปลอดภัย
เช่น การ​กำ�หนด​ประเภท​ของข​ ้อมูลม​ ีช​ ั้นค​ วาม​ลับ การจ​ ำ�แนกข​ ้อมูลท​ ี่ถ​ ูกบ​ ริหารจ​ ัดการโ​ดย​ระบบจ​ ัดการ​ฐานข​ ้อมูล และ​
ข้อมูล​ที่​ไม่​ได้​ถูก​บริหาร​จัดการ​โดย​ระบบ​จัดการ​ฐาน​ข้อมูล​เนื่องจาก​ข้อมูล​ทั้ง​สอง​ลักษณะ​ย่อม​มี​วิธี​การ​ใน​การ​รักษา​
ความ​มั่นคงป​ ลอดภัยท​ ี่​ต่าง​กัน เช่น ข้อมูลท​ ี่ไ​ม่ไ​ด้ถ​ ูก​บริหารจ​ ัดการ​โดย​ระบบ​จัดการ​ฐานข​ ้อมูล​จะ​ต้อง​มีก​ ารก​ ำ�หนดใ​ห้​
มีก​ าร​เข้า​รหัสล​ ับ หรือข​ ้อมูล​ที่​ถูก​บริหาร​จัดการ​โดย​ระบบฐ​ านข​ ้อมูล​จะ​ถูก​ควบคุมก​ าร​เข้า​ถึง​หรือ​เข้า​รหัสล​ ับโ​ดยร​ ะบบ​
จัดการ​ฐาน​ข้อมูล เป็นต้น

2. 	การ​จดั การค​ วามเ​ส่ียง

       มี​วัตถุประสงค์​เพื่อ​กำ�หนด​ความ​เสี่ยง​ที่​อาจ​ทำ�ให้​ข้อมูล หรือ​ระบบ​ฐาน​ข้อมูล​ไม่​มั่นคง​ปลอดภัย เพื่อ​จะ​ได้​
กำ�หนด​มาตรการ​ควบคุม​ที่​เหมาะ​สม ใน​ขั้น​ตอน​นี้​ผู้รับ​ผิด​ชอบ​จะ​ต้อง​กำ�หนด​ภัย​คุกคาม​ต่าง ๆ รวม​ไป​ถึง​มาตรการ​
จัดการ​ต่อภ​ ัย​คุกคาม​เหล่าน​ ั้น

3. 	ก�ำ หนดผ​ ใ​ู้ ชง้​ านแ​ ละส​ ิทธ์ใิ​นก​ ารเ​ขา้ ถ​ งึ ฐ​ าน​ขอ้ มูล

       โดย​กำ�หนด​บัญชี​ผู้​ใช้​และ​สิทธิ์​ใน​การ​เข้า​ถึง​รีเล​ชัน คอลัมน์ต่าง ๆ และกำ�หนด​บัญชี​ผู้​ดูแล​ระบบ​ฐาน​ข้อมูล
และ​การใ​ห้​สิทธิ์​ใน​การบ​ ริหาร​จัดการ​ผู้ใ​ช้ง​ าน​ระบบ​ฐาน​ข้อมูล เป็นต้น

4. 	ตรวจ​สอบก​ าร​จดั การ​บญั ชีผ​ ใู้​ช​ง้ านก​ ับ​รา่ ง​นโยบายฯ

       เพื่อ​ทำ�ให้​มั่นใจ​ได้​ว่า​บัญชี​ผู้​ใช้​งาน​และ​สิทธิ์​ต่าง ๆ มี​ความ​สอดคล้อง​กัน​กับ​นโยบาย​การ​รักษา​ความ​มั่นคง​
ปลอดภัย

         1 ออดิท​ ล็อ​ ก (audit log) หมาย​ถึงล​ ็อกไ​ฟล์ต​ ่าง ๆ ที่​เกี่ยวข้อง​กับก​ ารว​ ิเคราะห์​ความม​ ั่นคง​ปลอดภัย​ของร​ ะบบ โดย​จะต​ ้องจ​ ัดเ​ก็บข​ ้อมูล​
ที่ร​ ะบุไ​ด้ว​ ่า ใคร ทำ�​อะไร ที่ไหน เมื่อไร ในก​ รณีข​ องร​ ะบบจ​ ัดการฐ​ านข​ ้อม​ ูลอ​ อดิท​ ลอ็​ กท​ ี่ส​ ำ�คัญ เช่น ล็อกก​ ารพ​ ิสูจนต์​ ัวจ​ ริงต​ ่อร​ ะบบจ​ ัดการฐ​ านข​ ้อมูล
ล็อกท​ ี่​เกี่ยวข้องก​ ับ​การเ​พิ่มห​ รือแ​ ก้ไขบ​ ัญชี​ผู้​ใช้ เป็นต้น