กฎระเบียบการใช้งานเว็บไซท์

-เพื่อเป็นข้อกำหนด เงื่อนไข และจัดการงานสารสนเทศเพื่อองค์กร
-เพื่อช่วยลดความเสี่ยงการใช้งานที่ไม่ปลอดภัย
-เพื่อเป็นมาตรฐานในการจัดการ ดำเนินงานต่างๆ
-เพื่อมีข้อกำหนดที่ชัดเจน เป็นเกณฑ์สำหรับการปฏิบัติขององค์กร

วัตถุประสงค์
-เพื่อยืนยันหรือรับรองที่มา เพื่อความปลอดภัย ป้องกันการเข้าถึงระบบจากผู้ใช้งานอื่น
-เพื่อป้องกันการเปลี่ยนแปลงแก้ไขข้อมูล
-การใช้งานต่างๆ จะถูกเก็บไว้โดยไม่มีการเผยแพร่ออกสู่ภายนอก
-เพื่อป้องกันแหล่งที่มาของข้อมูล และป้องกันการเข้าทำลายระบบ
-เพื่อกำหนดการเข้าใช้งานข้อมูล ของผู้ใช้งานที่ได้รับอนุญาต

องค์ประกอบของนโยบาย
1.วัตถุประสงค์ ต้องมีการกำหนดอย่างชัดเจน เพื่อให้สามารถใช้งานได้อย่างสมบูรณ์
2.ขอบเขต มีการกำหนดการเข้าถึงข้อมูล ของผู้เข้าใช้งาน
3.ความรับผิดชอบ มีการกำหนดหน้าที่ความรับผิดชอบของผู้เกี่ยวข้องอย่างชัดเจน
4.บทลงโทษ การกำหนดบทลงโทษ สำหรับผู้ที่ฝ่าฝืนกฎระเบียบปฏิบัติ

 

ระดับของนโยบาย

  • นโยบายด้านผู้ใช้
  • นโยบายด้านสารสนเทศ
  • นโยบายทั่วไป

          นโยบายด้านผู้ใช้ คือกำหนดว่าผู้ใช้สามารถทำอะไรได้บ้าง เมื่อเข้าใช้งานเครือข่าย หรือข้อมูลขององค์กร  อาจกำหนดนโยบายด้านผู้ใช้  6 ประการ ได้แก่

  • การตั้งรหัสผ่าน  เช่น ตัวเล็ก + ใหญ่ + ตัวเลข + ตัวอักขระพิเศษ และมีการเปลี่ยนแปลงรหัสผ่านอยู่เสมอ
  • การใช้ข้อมูลส่วนตัว  เช่นควรเก็บไว้ที่ใด และส่งผ่านข้อมูลได้อย่างไร
  • การใช้งานอินเทอร์เน็ต เช่น ใช้บริการจากผู้ให้บริการ email เฉพาะที่ได้กำหนดไว้เท่านั้น
  • การใช้งานระบบ เช่นเรื่องการติดตั้งโปรแกรม การเข้าใช้ฐานข้อมูลส่วนตัว
  • การเข้าถึงจากระยะไกล เช่นห้ามใช้ Telnet ให้ใช้เป็น SSH แทน
  • การใช้งานอุปกรณ์  เช่นกำหนดขนาดหรือลักษณะของอุปกรณ์ที่จะใช้ เช่น USB, Computer

นโยบายด้านสารสนเทศ คือ การกำหนดนโยบายของแผนกสารสนเทศ เพื่อใช้บริหารเครือข่ายให้เกิดความปลอดภัย และความมั่นคงสูงสุด อาจพิจารณา 4 ประเด็น

    1. ระบบรักษาความปลอดภัย คือการตรวจหาผู้บุกรุก และยับยั้งการบุกรุกนั้น มี 6 ขั้นตอน
  1.  เตรียมพร้อม คือ การกำหนดนโยบาย ระเบียบการ แนวทาง และวิธีปฏิบัติ
  2. การระบุชี้ชัด คือ การเชื่อมโยงไปยังส่วนต่าง เพื่อหาหลักฐานการบุกรุกให้ชัดเจน
  3. การยับยั้ง  คือ การตัดส่วนที่ถูกโจมตีออกจะระบบเครือข่าย
  4. การกำจัด คือ การกำจัดจุดอ่อนแอที่ถูกโจมตี
  5. การพักฟื้น คือ การปรับปรุงรักษาระบบที่เสียหายให้แข็งแกร่งขึ้น
  6. การสรุปการโจมตี คือ การเก็บข้อมูลการโจมตีไว้เพื่อใช้เป็นแนวทางป้องกัน
  1. การสำรองข้อมูล คือ การกำหนดว่าจะสำรองข้อมูลด้วยอุปกรณ์อะไร ใครรับผิดชอบ เก็บไว้ที่ไหน เก็บไว้นานเท่าใด และใช้โปรแกรมอะไรสำรองข้อมูลนั้น
  2. การทำให้ข้อมูลทันสมัย คือ มีการ update ข้อมูลอยู่เป็นระยะๆ เพราะข้อมูลอาจมีการเปลี่ยนแปลงได้
  3. การใช้ Firewall เพื่อป้องกันการบุกรุกหรือการโจมตีจากภายนอก

          นโยบายทั่วไป คือ นโยบายเกี่ยวกับการดูแลและควบคุมทั่วๆไปที่ช่วยเสริมสร้างมาตรฐานสำหรับการป้องกันแหล่งทรัพยากรของระบบ เช่น การวางแผนต่อเนื่อง การกู้คืนจากสภาวะถูกคุกคาม

สาระการจัดทำนโยบาย ประกอบด้วย

  1. กำหนดนโยบาย  มาตรฐาน  และกระบวนงานสารสนเทศ
  2. กำหนดผู้รับผิดชอบ
  3. จำแนก และจัดระบบสารสนเทศ
  4. บริหารความเสี่ยง
  5. กำหนดกรอบโครงสร้างด้านความมั่นคง
  6. ความมั่นคงด้านบุคลากร
  7. ความมั่นคงทางกายภาพและสิ่งแวดล้อม
  8. การกู้ระบบสารสนเทศจากภัยพิบัติ
  9. การรายงานผล
  10. การคงแบบ คือเรื่องของการปฏิบัติและการลงโทษ
  11. การฝึกอบรม
  12. การตรวจสอบและแก้ไข