Page 40 - การบริหารความมั่นคงปลอดภัยสารสนเทศ
P. 40
8-30 การบ ริหารค วามมั่นคงป ลอดภัยส ารสนเทศ
2) การจ ัดล ำ�ดับค วามเร่งด ่วน เมื่อต รวจพ บข ้อบ กพร่องแ ละช ่องโหว่ท ี่ม ีอ ยู่ในร ะบบจ ัดการฐ านข ้อมูล ผู้ด ูแ ล
ระบบฯ จะต้องจัดลำ�ดับความเร่งด่วนในการแก้ไขปัญหาให้เป็นไปตามที่กำ�หนดในนโยบายการรักษาความมั่นคง
ปลอดภัย
3) การแก้ไขข้อบกพร่อง ผู้ดูแลระบบฯ ดำ�เนินการแก้ไขข้อบกพร่อง หรือปรับปรุงระบบจัดการฐานข้อมูล
ตลอดจนการป รับปรุงมาตรการควบคุมก ารเข้าถึงระบบฐานข ้อมูล เป็นต้น
4) การป รับตั้งค่าร ะบบ ในกิจกรรมนี้ผ ู้ด ูแลระบบฯ จะด ำ�เนินการทดสอบและป รับปรุงก ารต ั้งค ่าที่เกี่ยวข้อง
กับก ารร ักษาค วามม ั่นคงป ลอดภัย รวมไปถ ึงก ารบ ันทึกว ิธกี ารแ ก้ไขป ัญหาต ่าง ๆ เป็นล ายล ักษณอ์ ักษร อย่างส มํ่าเสมอ
5) การเฝ้าตรวจการท ำ�งาน ผู้ด ูแลร ะบบฯ เฝ้าต รวจ วิเคราะห์ล ็อกต ่าง ๆ ของระบบบ ริการฐ านข ้อมูล เพื่อ
วิเคราะห์สิ่งผิดปกติ หรือก ารละเมิดมาตรการร ักษาความม ั่นคงป ลอดภัยร ะบบฐ านข ้อมูล
จากแ นวทางก ารบ ริหารช ่องโหว่ข องร ะบบจ ัดการฐ านข ้อมูลด ังก ล่าวจ ะถ ูกส ร้างเป็นม าตรการต รวจส อบค วาม
มั่นคงปลอดภัยด ังแสดงในต ารางที่ 8.4
ตารางท ี่ 8.4 แสดงแบบฟอรม์ ม าตรการต รวจส อบความม ั่นคงป ลอดภัยของระบบจดั การฐานข ้อมลู
หวั ขอ้ ผลการตรวจสอบ หมายเหตุ
มี ไม่มี
1. ระบบจัดการฐานขอ้ มูล และระบบไฟล์
1.1 ข้อมูลที่เป็นความลับถูกเข้ารหัสหรือไม่ 3
1.2 รีเลชันที่จัดเก็บข้อมูลที่เป็นความลับถูกเข้ารหัสหรือไม่ 3
1.3 รีเลชันที่จัดเก็บข้อมูลที่เป็นความลับ ถูกปรับแต่งให้มีการจัดเก็บล็อกอย่าง
เพียงพอหรือไม่ 3
1.4 จัดให้มีการจัดเก็บล็อกเมื่อผู้ใช้งานเข้าถึงข้อมูลที่เป็นความลับหรือไม่ 3
1.5 มีการจัดทำ�เอกสาร data model หรือไม่ 3
1.6 มีการจัดทำ� data dictionary หรือไม่ 3
1.7 มีการมอบหมายหน้าที่ให้ดำ�เนินการสำ�รองข้อมูลหรือไม่ 3
ฯลฯ
3
2. การจัดการโปรแกรมประยุกต์
2.1 มีการจัดเก็บล็อกเมื่อมีการส่ง SQL เสตทเมนต์เพื่อเข้าถึงข้อมูลที่มีความลับ 3
หรือไม่ 3
2.2 มีการจัดเก็บล็อกเมื่อมีการเข้าถึงจากนักพัฒนาระบบหรือไม่ 3
2.3 มีการจัดการระบบพิสูจน์ตัวจริงอย่างเหมาะสมหรือไม่
2.4 การรับส่งข้อมูลรหัสผ่านระหว่างระบบจัดการฐานข้อมูลกับโปรแกรมประยุกต์
ได้รับการเข้ารหัส หรือไม่
ฯลฯ
3. การจดั การโครงสร้างพื้นฐานอ่นื ๆ
