สวนที่ 1 แนวปฏิบัติการควบคุม ... ·...

[1]

สวนท 1 แนวปฏบตการควบคมการเขาออกหองควบคมระบบเครอขาย

(Network System Control Room) 1. วตถประสงค เพอกาหนดมาตรการควบคมและปองกน การรกษาความมนคงปลอดภยทเกยวของกบการเขาใชงาน หรอการเขาถงหองควบคมระบบเครองคอมพวเตอร อปกรณเครอขาย และระบบเทคโนโลยสารสนเทศ มใหบคคลทไมมอานาจหนาทเกยวของในการปฏบตหนาท เขาถง ลวงร แกไข เปลยนแปลง ระบบเทคโนโลยสารสนเทศและการสอสารทสาคญ ซงจะทาใหเกดความเสยหายตอขอมล และระบบขอมลของมหาวทยาลย โดยมการกาหนดกระบวนการควบคมการเขาออกทแตกตางกนของกลมบคคลตาง ๆ ทมความจาเปนตองเขาออกหองควบคมระบบเครอขาย

2. แนวปฏบตการควบคมการเขาออกหองควบคมระบบเครอขาย ขอ 1. ภายในส านกคอมพวเตอรและเครอขาย มการตดตงระบบกลองวงจรปด เพอจดประสงคใน

การเฝาระวงควบคมการรกษาความมนคงปลอดภย จากผทไมไดรบอนญาตรวมทงปองกนความเสยหายอนๆทอาจเกดขนได

ขอ 2. ผทเกยวของ บทบาท และหนาทรบผดชอบ (1) หวหนาฝายพฒนาเครอขาย

- อนมตสทธเขาออกพนทหองควบคมระบบเครอขาย - อนมตกระบวนการควบคมการเขาออกหองควบคมระบบเครอขาย

(2) ผดแลหองควบคมระบบเครอขาย - ตรวจสอบดแลบคคลทขออนญาตเขามาภายในหองควบคมระบบเครอขาย ใหปฏบตตาม

ระเบยบและกฎเกณฑของหองควบคมระบบเครอขายอยางเครงครด

ขอ 3. กระบวนการควบคมการเขาออกหองควบคมระบบเครอขาย (1) ผดแลหองควบคมระบบเครอขายและเจาหนาทมหาวทยาลยมแนวทางปฏบตดงน

1.1) ผดแลหองควบคมระบบเครอขาย ตองทาการกาหนดสทธบคคลในการเขาออกหองควบคมระบบเครอขาย โดยเฉพาะบคลากรภายในทปฏบตหนาททเกยวของ และมการบนทก “ทะเบยนผมสทธเขาออกพนท” เชน เจาหนาทปฏบตงานคอมพวเตอร (Computer Operator) เจาหนาทผดและระบบ (System Administrator) เปนตน

1.2) ตองจดทาระบบเกบบนทกการเขาออกหองควบคมระบบเครอขาย ตามกระบวนการทระบไวในเอกสาร “บนทกการเขาออกหองควบคมระบบเครอขาย”

1.3) กรณเจาหนาททไมมหนาทเกยวของประจา มความจาเปนตองเขาออกหองควบคมระบบเครอขายตองมการควบคมอยางรดกม

(2) จดใหมเจาหนาททาหนาทตรวจสอบประวตการเขาออกพนทหองควบคมระบบเครอขายเปนประจา และใหมการปรบปรงรายการผมสทธเขาออกพนทหองควบคมระบบเครอขาย ปละ 1 ครง เปนอยางนอย

[2]

สวนท 2 แนวปฏบตการควบคมการเขาถงระบบเครอขายไรสาย

(Wireless LAN Access Control) 1. วตถประสงค

เพอกาหนดมาตรฐานการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN) ของมหาวทยาลย โดยการกาหนดสทธของผใชในการเขาถงระบบใหเหมาะสมตามหนาทความรบผดชอบในการปฏบตงาน รวมทงมการทบทวนสทธการเขาถงอยางสมาเสมอ ทงน ผใชระบบตองผานการพสจนตวตนจรงจากระบบ วาไดรบอนญาตจากผดแลระบบ เพอสรางความมนคงปลอดภยของการใชงานระบบเครอขายไรสาย 2. แนวปฏบตการควบคมการเขาถงระบบเครอขายไรสาย

ขอ 1. ผใชทตองการเขาถงระบบเครอขายไรสายของมหาวทยาลย จะตองทาการลงทะเบยนกบผดแลระบบและตองไดรบอนญาตจากผอานวยการ โดยกรอกขอมลลงใน ” แบบฟอรมการขอ Username และ Password”

ขอ 2. ผดแลระบบตองทาการลงทะเบยนกาหนดสทธผใชงานในการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสมาเสมอ

ขอ 3. ผดแลระบบควรทาการเปลยนคา SSID (Service Set Identifier) ทถกกาหนดเปนคาดฟอลต (default) มาจากผผลตทนททนา Access Point มาใชงาน

ขอ 4. ผดแลระบบควรเปลยนคาชอ login และรหสผาน สาหรบการตงคาการทางานของอปกรณ ไรสาย และผดแลระบบควรเลอกใชชอ login และรหสผานทมความคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย

ขอ 5. ผดแลระบบ ตองกาหนดตาแหนงการวางอปกรณ Access Point (AP) ใหเหมาะสม เปนการควบคมไมใหสญญาณของอปกรณรวไหลออกไปนอกบรเวณทใชงาน เพอปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอก หรอบรเวณขอบเขตทควบคมไมได

ขอ 6. ผดแลระบบ ควรจะมการตดตงไฟรวอล (Firewall) ระหวางเครอขายไรสายกบเครอขายภายในของมหาวทยาลย

ขอ 7. ผดแลระบบ ควรใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสมาเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย

สวนท 3 การก าหนดผรบผดชอบ

1. วตถประสงค

[3]

กาหนดความรบผดชอบทชดเจน กรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกมหาวทยาลยหรอผหนงผใด อนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบาย และแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ 2. แนวปฏบตการควบคมการเขาถงระบบเครอขายไรสาย

ระดบนโยบาย ใหอธการบด (ผบรหารสงสดของหนวยงาน, CEO) และ ผอานวยการสานกคอมพวเตอรและเครอขาย

ซงมหนาทดแลรบผดชอบดานสารสนเทศของหนวยงานททาหนาท CIO เปนผรบผดชอบในการสงการตามนโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานสารสนเทศ ผอานวยการสานกคอมพวเตอรและเครอขาย ตดตามและกากบดแล ควบคมตรวจสอบ รวมทงใหขอเสนอแนะแกเจาหนาทระดบปฏบต

ระดบปฏบต ไดแก

ขอ 1. รกษาราชการแทนหวหนาฝายพฒนาเครอขาย รบผดชอบก ากบดแลการปฏบตงานของผปฏบตอยางใกลชด ใหความคดเหน เสนอแนะวธการ และแนวทางแกไขปญหาจากสถานการณความเสยงของระบบเครอขาย วางแผนการปฏบตงาน ตดตามการปฏบตงานตามแผนการบรหารความเสยงและตรวจสอบระบบความมนคงและความปลอดภยของระบบเครอขาย พรอมรายงานผลการด าเนนการ รวมทงรบผดชอบ ดงน

(1) ควบคมการเขา-ออกหอง Server ตามการกาหนดสทธการเขาถง Server (2) กากบดแล ตรวจสอบ บารงรกษาอปกรณ Server และอปกรณเชอมโยง เครอขาย (Network) ของระบบการเชอมโยงเครอขายฐานขอมลทงหมดทใหบรการในมหาวทยาลย

อบลราชธานใหสามารถใชงานไดตามปกตตลอด ๒๔ ชม. (3) กากบดแล การตดตง รอถอน ดแล ตรวจสอบ การเชอมโยงการสอสารผานเครอขายทางระบบ

LAN , Internet , Intranet ทใหบรการในมหาวทยาลยอบลราชธาน (4) แกไขปญหา อปสรรค สถานการณความเสยงและความเสยหายทเกดขนกบระบบเชอมโยง

เครอขายของระบบฐานขอมลสารสนเทศ (5) รายงานผลการปฏบตงาน สถานการณทเกดขนกบระบบเครอขายและระบบฐานขอมลและ

สารสนเทศ ใหแกผบงคบบญชาทราบทกเดอน (6) กบดแล การตดตาม ตรวจสอบ (Monitor) การเขาใชงานและการเขาถงระบบการทางานของ

Server ตามสทธการเขาถงระบบ (7) กากบดแล การปองกนการถกเจาะระบบ และแกไขปญหาการถกเจาะเขาระบบฐานขอมลจาก

บคคลภายนอก (Hacker) โดยไมไดรบอนญาต (8) กากบดแล ตรวจสอบ บารงรกษาอปกรณปองกนการถกเจาะระบบจากบคคลภายนอก (Firewall)

และโปรแกรมปฏบตการทงหมดทตดตงอยใน Server ของระบบฐานขอมลทงหมดทใหบรการในเวบไซตมหาวทยาลยอบลราชธาน ใหสามารถใชงานไดตามปกตตลอด ๒๔ ชม.

(9) กากบดแล ตรวจสอบในการกา หนดแกไขหรอเปลยนแปลงคา Parameter ตาง ๆ ของระบบ (10) อน ๆ ตามทไดรบมอบหมาย

ขอ 2. นาย......................................... นกวชาการคอมพวเตอร รบผดชอบ ดงน (1) ทาการสารองขอมลและเรยกคนขอมล (Backup and Recovery) ตามรอบระยะเวลาทกาหนด

[4]

(2) บรหารจดการสทธการเขาถงของผใชงาน (User Access Management) เพอควบคมการเขาถงระบบสารสนเทศ เพอปองกนการเขาถงจากผซงไมไดรบอนญาต

(3) อน ๆ ตามทไดรบมอบหมาย

ขอ 3. นาย......................................................นกวชาการคอมพวเตอร รบผดชอบ ดงน (1) ประสานการปฏบตงานตามแผนปองกนและแกไขปญหาระบบความมนคงปลอดภยของฐานขอมล

และสารสนเทศจากสถานการณความไมแนนอนและภยพบต (2) รายงานผลการปฏบตงานตามแผนการบรหารความเสยงฯ ใหผบงคบบญชาทราบ (3) อน ๆ ตามทไดรบมอบหมาย

ขอ 4. นาย.............................................นกวชาการคอมพวเตอร รบผดชอบดงน (1) แกไขปญหา อปสรรค จากสถานการณความเสยงและความเสยหายทเกดขนกบระบบฐานขอมล

และสารสนเทศทเกดจากการถกเจาะระบบจากบคคลภายนอก (Hack) และการถกทาลายจากโปรแกรมไวรส (2) กาหนด แกไข หรอเปลยนแปลงคา parameter ตาง ๆ ของระบบเครอขายและอปกรณตาง ๆ ท

เชอมตอกบระบบเครอขาย (3) รายงานสภาพปญหา และสถานการณความเสยหายของระบบฐานขอมลและสารสนเทศทถก

ทาลายจากบคคลภายนอก (Hacker) และจากไวรส (Virus) (4) บารงรกษาอปกรณ Server และอปกรณเชอมโยงเครอขาย (Network) ของระบบการเชอมโยง

เครอขายฐานขอมลทงหมดทใหบรการในมหาวทยาลยอบลราชธาน ใหสามารถใชงานไดตามปกตตลอด ๒๔ ชม. แกไขปญหาขดของของการเชอมโยงเครอขายในมหาวทยาลย

(5) อน ๆ ตามทไดรบมอบหมาย

[5]

สวนท 4 แนวปฏบตการใชงานระบบรกษาความปลอดภยเครอขายคอมพวเตอรไฟลวอลล

(Firewall Policy) 1. วตถประสงค

เหตผลหลกทมการใชไฟรวอลล (Firewall) กเพอใหผใชทอยภายในมหาวทยาลย สามารถใชบรการเครอขายภายในไดเตมทและใชบรการเครอขายภายนอก เชน อนเตอรเนตไดในขณะทไฟรวอลลจะปองกนไมใหผใชภายนอกเขามาใชบรการเครอขายทอยขางใน ไฟรวอลลสามารถควบคมการใชเครอขายไดโดยอนญาตหรอไมอนญาตใหแพกเกตผานไดซงแพกเกตทอนญาตใหผานหรอไมนจะขนอยกบนโยบายการรกษาความปลอดภย (Security Policy) ของเครอขาย ไฟรวอลเปนระบบทบงคบใชนโยบายการรกษาความปลอดภยระหวางเครอขาย โดยหลกการแลวไฟรวอลลจะทางานอย 2 กลไก คอ การอนญาตหรอไมอนญาตใหแพกเกตผาน ถาเครอขายมหาวทยาลยนนมการเชอมตอโดยตรงกบอนเตอรเนตโดยทไมมไฟรวอลล จะเปนการเปดชองโหวใหเครอขายสามารถถกโจมตหรอบกรกไดอยางงายดาย ตวอยางเชน เครอขายมโฮสตหรอเซรฟเวอรเปนรอยๆ เครอง ถาผบกรกเครอขายสามารถบกรกเขาเครองใดเครองหนงได ตอไปนกไมเปนการยากทจะบกรกเขาไปยงเครองอนๆ การตดตงไฟรวอลลจะเปนการปองกนผบกรกไดในระดบหนง

2. แนวปฏบตการใชงานระบบรกษาความปลอดภยเครอขายคอมพวเตอรไฟรวอลล

ผใชงานระบบรกษาความปลอดภยไฟรวอลล (Firewall) ของมหาวทยาลย มหนาทและความรบผดชอบทตองปฏบต ดงน

ขอ 1. ผดแลระบบตองเฝาระวงและบรหารจดการระบบรกษาความปลอดภย (Firewall)

ขอ 2. ผดแลระบบตองจดใหมระบบตรวจสอบตวตนจรง และสทธการเขาใชงานของ ผใชงาน (Identification and Authentication) กอนเขาสระบบงานคอมพวเตอรทรดกมเพยงพอ เชน การก าหนดรหสผาน (Password) ใหยากแกการคาดเดา เปนตน

ขอ 3. ผดแลระบบตองก าหนดคา (Configuration) เพอกลนกรองขอมลทมาทางเวบไซตใหมความปลอดภยตอระบบสารสนเทศและเครอขายคอมพวเตอรของมหาวทยาลย ปองกนผบกรก ไวรส รวมทง malicious code ตางๆ มใหเขาถง (Access Risk) หรอสรางความเสยหาย (Availability Risk) แกขอมลหรอการท างานของระบบคอมพวเตอร

ขอ 4. ผดแลระบบตองก าหนดขนตอนหรอวธปฏบต ในการตรวจสอบการรกษาความปลอดภยระบบเครอขายคอมพวเตอรไฟรวอลล และในกรณทพบวามการใชงานหรอเปลยนแปลงคา Parameter ในลกษณะทผดปกตตองด าเนนการแกไข รวมทงมการรายงานผบงคบบญชาโดยทนท

ขอ 5. การเปดใชบรการ (Service) ตองไดรบอนญาตจากผอ านวยการ ทงน หากบรการทจ าเปนตองใชมความเสยงตอระบบรกษาความปลอดภย ผดแลระบบตองก าหนดมาตรการปองกนเพมเตม

ขอ 6. ผดแลระบบตองเปดใชงานไฟรวอลลตลอดเวลา

[6]

ขอ 7. ผดแลระบบตองออกจากระบบงาน (Log Out) ในชวงเวลาทมไดอยปฏบตงานทหนาเครองคอมพวเตอร

ขอ 8. ผดแลระบบตองก าหนดใหมการควบคมการใชงาน โดยการจดใหมบญชผใชงาน

ขอ 9. ผดแลระบบการใชงานตองบนทกชอผใชงาน (Username) และรหสผาน (Password) เพอเปนการตรวจสอบผใชกอนเขาใชงานระบบ (Authentication) และควบคมบคคลทไมเกยวของมใหเขาถง ลวงร (Access Risk) หรอแกไข เปลยนแปลง (Integrity Risk) ขอมลหรอการท างานของระบบคอมพวเตอรในสวนทมไดมอ านาจหนาทเกยวของ

ขอ 10. ผบงคบบญชาตองก าหนดบคคลรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคา Parameter ตาง ๆ อยางชดเจน

ขอ 11. ผขอใชงานตองยอมรบและปฏบตตามนโยบายดานความปลอดภยอยางเครงครด

ขอ 12. วตถประสงคในการขอใชงานจะตองไมขดตอนโยบาย ประกาศ ระเบยบตางๆ ของมหาวทยาลยและตอกฎหมายทเกยวของ

ขอ 13. ผขอใชงานตองขออนญาตเปนลายลกษณอกษร ตอผอ านวยการ โดยระบขอมลดงน (1) หมายเลข Port ทตองการขอใหเปด (2) หมายเลข IP Address ของปลายทางทตองการตดตอสอสาร (3) วตถประสงค หรอชอแอพพลเคชนทตองการใชงานผาน Port นน ๆ (4) วนทเรมใชและวนทสนสดการขอใช

ขอ 14. ในการขอใชงานหากพบวาการขดตอนโยบาย ประกาศ ระเบยบของมหาวทยาลยหรอกฎหมาย หรออาจท าใหเกดชองโหวดานความปลอดภยตอระบบสารสนเทศ จะไมอนญาตใหใชงาน

ขอ 15. ภายหลงการอนญาตใหใชงานหากพบวามการใชงานทขดตอนโยบายประกาศระเบยบ ของมหาวทยาลย หรอกฎหมาย หรออาจจะท าใหเกดชองโหวดานความปลอดภยตอระบบสารสนเทศ หรอท าใหเกดความเสยหายตอระบบสารสนเทศของมหาวทยาลย จะยกเลกการใหบรการทนท

[7]

สวนท 5 แนวปฏบตการใชงานจดหมายอเลกทรอนกส

(Use of Electronic Mail) 1. วตถประสงค

เพอกาหนดมาตรการการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายของมหาวทยาลย ซงผใชจะตองใหความสาคญและตระหนกถงปญหาทเกดขนจากการใชบรการจดหมายอเลกทรอนกสบนเครอขายอนเทอรเนต ผใชจะตองเขาใจกฎเกณฑตางๆ ทผดแลระบบเครอขายวางไว ไมละเมดสทธหรอกระทาการใดๆ ทจะสรางปญหา หรอไมเคารพกฎเกณฑทวางไว และจะตองปฏบตตามคาแนะนาของผดแลระบบเครอขายนนอยางเครงครด จะทาใหการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายเปนไปอยางปลอดภยและมประสทธภาพ 2. แนวปฏบตการใชงานจดหมายอเลกทรอนกส

ขอ 1. ผดแลระบบตองกาหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของมหาวทยาลย ใหเหมาะสมกบการเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใช รวมทงมการทบทวนสทธการเขาใชงานอยางสมาเสมอ เชน การลาออก เปนตน

ขอ 2. ผดแลระบบตองกาหนดสทธบญชรายชอผใชรายใหมและรหสผาน สาหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสของมหาวทยาลย

ขอ 3. ผใชไมควรตงคาการใชโปรแกรมชวยจารหสผานสวนบคคลอตโนมต (save password) ของระบบจดหมายอเลกทรอนกส

ขอ 4. ผใชควรระมดระวงในการใชจดหมายอเลกทรอนกส เพอไมใหเกดความเสยหายตอมหาวทยาลยหรอละเมดสทธ สรางความราคาญตอผอน หรอผดกฎหมาย หรอละเมดศลธรรมและไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจจากการใชจดหมายอเลกทรอนกสผานระบบเครอขายของมหาวทยาลย

ขอ 5. ผใชไมควรใชทอยจดหมายอเลกทรอนกส (e-mail address) ของผอนเพออาน รบสง ขอความ ยกเวนแตจะไดรบการยนยอมจากเจาของผใชและใหถอวาเจาของจดหมายอเลกทรอนกสเปนผรบผดชอบตอการใชงานตาง ๆ ในจดหมายอเลกทรอนกสของตน

ขอ 6. ผใชควรใชทอยจดหมายอเลกทรอนกสของมหาวทยาลย เพอการทางานของมหาวทยาลยเทานน

ขอ 7. หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ผใชควรทาการ Logout ออกจากระบบทกครง เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส

[8]

ขอ 8. ผใชควรทาการตรวจสอบเอกสารแนบจากจดหมายอเลกทรอนกสกอนทาการเปด เพอทาการตรวจสอบไฟลโดยใชโปรแกรมปองกนไวรส เปนการปองกนในการเปดไฟลทเปน Executable file เชน .exe .com เปนตน

ขอ 9. ผใชไมเปดหรอสงตอจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก

ขอ 10. ผใชไมควรใชขอความทไมสภาพหรอรบสงจดหมายอเลกทรอนกสทไมเหมาะสม ขอมลอนอาจทาใหเสยชอเสยงของมหาวทยาลย ทาใหเกดความแตกแยกระหวางมหาวทยาลยผานทางจดหมายอเลกทรอนกส

ขอ 11. ในกรณทตองการสงขอมลทเปนความลบ ผใชไมควรระบความสาคญของขอมลลงในหวขอจดหมายอเลกทรอนกส

ขอ 12. ผใชควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวน และควรจดเกบแฟมขอมลและจดหมายอเลกทรอนกสของตนใหเหลอจานวนนอยทสด

ขอ 13. ผใชควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบเพอลดปรมาณการใชเนอทระบบจดหมายอเลกทรอนกส

ขอ 14. ผใชควรโอนยายจดหมายอเลกทรอนกสทจะใชอางองภายหลง มายงเครองคอมพวเตอรของตน เพอเปนการปองกนผอนแอบอานจดหมายได ดงนนไมควรจดเกบขอมล หรอจดหมายอเลกทรอนกสทไมไดใชแลวไวในตจดหมายอเลกทรอนกส

ขอ 15. ผใชควรทาการสารองขอมลในจดหมายอเลกทรอนกสอยางสมาเสมอเลอกสารองจดหมายอเลกทรอนกสทมความสาคญมาก โดยอาจทาการสงตอไปยงจดหมายอเลกทรอนกสแอดเดรสอน หรอทาการสารองไวทเมลเซรฟเวอรของมหาวทยาลย

ขอ 16. ผดแลระบบจดหมายอเลกทรอนกส ควรใหความรเกยวกบการรกษาความปลอดภยในจดหมายอเลกทรอนกสแกผใชงานจดหมายอเลกทรอนกสอยางสมาเสมอ การใหความรถอเปนการปองกนเบองตนเพอมใหผใชงานตกเปนเหยอของผไมหวงด และเปนการปองกนไมใหเกดปญหา ในกรณททาผดพลาดแมเพยงครงเดยว อาจสงผลกระทบทาใหระบบไมสามารถทางานได

ขอ 17. ในการใชจดหมายอเลกทรอนกสในการตดตอสอสารนน ผใชควรใหเกยรตกบผรบปลายทางเหมอนการสนทนาดวยวาจา ควรตรวจสอบตวสะกดไวยากรณ อานทวนเนอหากอนสง ใชขอความทกระชบเขาถงประเดนอยางรวดเรว แตขอความตองไมสนเกนจนดแลวหวน และใหตระหนกอยเสมอวาขอความใด ๆ ทสงผานเครอขายอนเทอรเนตนนเปนขอความทสามารถมองเหนและอานไดโดยผอน ดงนนการสงขอความทเปนความลบจะตองใชซอฟตแวรหรอฮารดแวรเพอเขารหสขอมลนนกอนสงออกไป

ขอ 18. ผใชตองไมทาการเปลยนแปลง หรอแกไขขอความจดหมายอเลกทรอนกสตนฉบบทไดรบมาและตองการสงตอไป หากจดหมายอเลกทรอนกสนนถกสงถงผรบเปนการสวนตวตองขออนญาต ผสงกอนทจะสงตอจดหมายอเลกทรอนกสนนไปจดหมายอเลกทรอนกสทมขอมลสวนบคคลควรไดรบการเขารหสอยางปลอดภย (Encryption)

[9]

ขอ 19. ผใชควรใสชอหวขอเรองใน Subject ของจดหมายอเลกทรอนกส เพอแสดงถงเรองของจดหมายอเลกทรอนกสทตองการหารอหรอแจงใหทราบ และควรสงจดหมายอเลกทรอนกสตอบกลบสน ๆ หากไมมเวลาพอเพอใหผสงไดรบทราบวาผรบไดรบจดหมายอเลกทรอนกสนนแลวและจะตอบกลบอยางสมบรณในภายหลง

ขอ 20. ผใชไมควรสงตอจดหมายอเลกทรอนกสลกโซหรอสแปมจดหมายอเลกทรอนกส ซงเปนสงทไมสมควรทาบนเครอขายอนเทอรเนต หากไดรบจดหมายอเลกทรอนกสลกโซหรอสแปมจดหมายอเลกทรอนกส และมขอความขอใหสงตอจดหมายอเลกทรอนกสนนใหตดตอหรอแจงผดแลระบบโดยทนท

ขอ 21. ผใชไมควรสงจดหมายอเลกทรอนกสทเกยวกบการลวงละเมดหรอขมข หรอมเนอหาขอความทขดตอกฎหมายและศลธรรม และใชจดหมายอเลกทรอนกสเปนเครองมอในการกระจายขาวสาร เวนแตเปนการประกาศทเหมาะสม

ขอ 22. ผใชควรพจารณาใช “BCC” (blind carbon copy - สาเนาโดยทผรบไมทราบ) ในการสงจดหมายอเลกทรอนกสถงผรบเปนจานวนมาก เพอไมใหรายชอผรบทงหมดปรากฏในลกษณะทยาวมากเกนไป

ขอ 23. ผใชควรทาตามนโยบายอยางเครงครด และแจงผดแลระบบเมอพบการใชจดหมายอเลกทรอนกสทไมถกตอง

ขอ 24. ผใชจะตองกรอกขอมลในชองขอมลสวนตว (identity) โดยจะตองใชชอผสง (Sender) ทเปนจรง ตามทมบญชรายชออยจรง เพอใหสามารถอางองในกรณทมปญหาเกดขน

ขอ 25. ผ ใชตองไมต งชอผส ง (Sender) หรอขอมล อน ในลกษณะทสอวาเปนผดแลระบบ (administrator) เชน webmaster, host master, administrator, postmaster เปนตนโดยไมไดรบอนญาต

ขอ 26. ผใชตองไมทาการสงจดหมายอเลกทรอนกสในลกษณะของจดหมายลกโซจดหมายชชวนหรออน ๆ อนเปนการกระทาทเขาขาย spam หรอ unsolicited electronic mailอยางเดดขาด

ขอ 27. ผใชบรการมหนาทจะตองรกษาชอผใช และรหสผานเปนความลบ ไมใหรวไหลไปถงบคคลทไมเกยวของ

ขอ 28. จดหมายของผใชบรการ ถอเปนขอมลสวนบคคล ผดแลระบบจดหมายอเลกทรอนกสไมสามารถจะทาการเกบ ก หรอ ดงขอมลสวนตวขนมาได ดงนนผใชบรการจะตองดแลรกษาขอมลดงกลาวอยางระมดระวง โดยเฉพาะการลบจดหมายทไมตองการ รวมทงจะตองดแลรกษาไมใหขนาดของจดหมายทจดเกบเกนกวาจานวนพนททไดรบอนญาต

ขอ 29. ผใชตองมความรบผดชอบ และระมดระวงในการใชบรการตามสมควร ไมใหลวงละเมดบคคลอน รวมถงศลธรรม หรอกฎหมายใด ๆ อนเปนผลใหเกดความไมสงบเรยบรอยในมหาวทยาลยและสงคมถกตอง

[10]

สวนท 6 แนวปฏบตการใชงานอนเตอรเนต

(Internet Policy) 1. วตถประสงค

เพอใหผใชรบทราบกฎเกณฑ แนวทางปฏบตในการใชงานอนเทอรเนตอยางปลอดภย และเปนการปองกนไมใหละเมดพระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร เชน การสงขอมลขอความ คาสง ชดคาสง หรอสงอนใดทอยในระบบคอมพวเตอรแกบคคลอนอนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ทาใหระบบคอมพวเตอรของมหาวทยาลย ถกระงบ ชะลอขดขวางหรอถกรบกวนจนไมสามารถทางานตามปกตได

2. แนวปฏบตในการใชงานอนเทอรเนต

ขอ 1. ผใชงานตองเปนบคลากรของมหาวทยาลย ส าหรบบคคลภายนอกจะตองไดรบอนญาตจากผอ านวยการ หรอผทไดรบมอบหมาย

ขอ 2. ผใชงานตองใชทรพยากรเครอขายอยางมประสทธภาพ เชน ไมดาวนโหลดไฟลทมขนาดใหญหากมความจ าเปนใหปฏบตนอกเวลาท างาน

ขอ 3. ผใชงานตองรบผดชอบตอขอมลของตนเอง ไมวาจะเกบไวในเครองคอมพวเตอรสวนบคคล เครองคอมพวเตอรแมขาย (Server) หรอการสงขอมลผานเครอขายคอมพวเตอร

ขอ 4. ผใชงานตองไมใหผอนใชงานผานรหสผใช (User Account) ของตนโดยเดดขาด หากเกดปญหา เชน การละเมดลขสทธหรอการเกบขอมลทผดกฎหมาย เจาของรหสผใช (User Account) ตองเปนผรบผดชอบ

ขอ 5. ผใชงานตองไมใชงาน เพอการกระท าการดงตอไปน (1) เ พอการกระทาผดกฎหมาย หรอเ พอกอให เกดความเสยหายแกสถาบนชาต ศาสนา

พระมหากษตรย มหาวทยาลย หนวยงานอน และบคคลอน (2) เพอการกระทาทขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน (3) เพอการกระทาทางพาณชย (4) เพอการเปดเผยขอมลทเปนความลบซงไดมาจากการปฏบตงาน (5) เพอกระทาการอนมลกษณะเปนการละเมดทรพยสนทางปญญา (6) เพอใหทราบขอมลขาวสารของบคคลอนโดยไมไดรบอนญาตจากผเปนเจาของ หรอผทมสทธใน

ขอมลดงกลาว (7) เพอการรบหรอสงขอมลซงกอหรออาจกอใหเกดความเสยหายใหแกมหาวทยาลย (8) เพอขดขวางการใชงานเครอขายคอมพวเตอรของมหาวทยาลย หรอของผใชอน หรอเพอให

เครอขายคอมพวเตอรของมหาวทยาลย ไมสามารถใชงานไดตามปกต (9) เพอแสดงความคดเหนสวนบคคลในเรองทเกยวของกบการดาเนนงานของมหาวทยาลยไปยงทอย

ของเวบ (website) ใด ๆ ในลกษณะทกอหรออาจกอใหเกดความเขาใจทคลาดเคลอนไปจากความเปนจรง

[11]

(10) เพอการอนใดทอาจขดตอผลประโยชนหรออาจกอใหเกดความขดแยงหรอความเสยหายของมหาวทยาลย

ขอ 6. ผใชงานตองไมน าเครองมอหรออปกรณอนใดเชอมเขาเครอขายเพอประกอบธรกจสวนบคคล

ขอ 7. ผใชงานตองปฏบตตามนโยบายและแนวทางการใชระบบเครอขายทมหาวทยาลย

[12]

สวนท 7 แนวปฏบตการควบคมการเขาถง

(Access Control Policy)

1. วตถประสงค เพอกาหนดมาตรการควบคม ปองกนมใหบคคลทไมมอานาจหนาทเกยวของในการปฏบตหนาทเขาถง

ลวงร แกไข เปลยนแปลงระบบเทคโนโลยสารสนเทศและการสอสารทสาคญ ซงจะทาใหเกดความเสยหายตอขอมลและระบบขอมลของมหาวทยาลย โดยมการกาหนดกระบวนการควบคมการเขาออกทแตกตางกนของกลมบคคลตาง ๆ ทมความจาเปนตองเขาออกหองสานกคอมพวเตอรและเครอขาย

2. แนวปฏบตในการควบคมการเขาถง

ขอ 1. กระบวนการควบคมการเขาออกหองควบคมระบบ Network (หอง Server) (1) ผดแลระบบ และเจาหนาทมหาวทยาลย มแนวปฏบตดงน

1.1) ผดแลระบบ ควรจดระบบเทคโนโลยสารสนเทศและการสอสารใหเปนสดสวนชดเจน เชน สวนระบบเครอขาย (Network Zone) สวนเครองแมขาย (Server Zone)เปนตน

1.2) ผดแลระบบ ตองทาการกาหนดสทธบคคลในการเขา-ออกหอง Server โดยเฉพาะบคคลทปฏบตหนาทเกยวของภายใน

1.3) กรณเจาหนาททไมมหนาทเกยวของ มความจาเปนตองเขา-ออกหองServer ตองมมาตรการการควบคมอยางรดกม

ขอ 2. กระบวนการหลกในการควบคมการเขาถงระบบ (1) สถานทตงของระบบเทคโนโลยสารสนเทศและการสอสาร มระบบรกษาความปลอดภย

(Security) ควบคมการเขา-ออกทรดกมและอนญาตใหเฉพาะบคคลทไดรบสทธและมความจาเปนผานเขาใชงานไดเทานน

(2) ผดแลระบบกาหนดสทธการเขาถงขอมลและระบบขอมล เหมาะสมกบการเขาใชงานของผใชระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบเทคโนโลยสารสนเทศและการสอสาร ทงนผใชระบบจะตองไดรบอนญาตจากผดแลระบบตามความจาเปนในการใชงาน

(3) ผดแลระบบ หรอผทไดรบมอบหมายเทานน ทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมลและระบบขอมลได

(4) ผดแลระบบ จดใหมการตดตงระบบบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของมหาวทยาลย และตรวจตราการละเมดความปลอดภย ทมตอระบบขอมลสาคญ

(5) ผดแลระบบ ตองจดใหมการบนทกรายละเอยดการเขาถงระบบ การแกไขเปลยนแปลงสทธตางๆ และการผานเขา-ออกสถานทตงของระบบ ของทงผทไดรบอนญาตและไมไดรบอนญาตเพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน

ขอ 3. การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ (1) ผดแลระบบ มหนาทในการตรวจสอบการอนมตและกาหนดสทธในการผานเขาสระบบ ใหแกผใช

[13]

(2) เจาของขอมล และ เจาของระบบ จะอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจาเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจาเปนในการใชงาน จะนาไปสความเสยงในการใชงานเกนอานาจหนาท ดงนนการกาหนดสทธในการเขาถงระบบงานตองกาหนดตามความจาเปนขนตาเทานน

(3) ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตามความจาเปนตอการใชงานระบบเทคโนโลยสารสนเทศ

ขอ 4. การบรหารจดการการเขาถงขอมลของผใช (1) การลงทะเบยนเจาหนาทใหม กาหนดใหมขนตอนปฏบตอยางเปนทางการสาหรบการลงทะเบยน

เจาหนาทใหมเพอใหมสทธตาง ๆ ในการใชงานตามความจาเปนรวมทงขนตอนปฏบตสาหรบการยกเลกสทธการใชงาน เชน เมอเปลยนตาแหนงงานภายในมหาวทยาลย ลดตาแหนง ยายหนวยงาน หรอสนสดการจางงาน เปนตน

(2) การบรหารจดการสทธการใชงานระบบและรหสผาน๕.๒.๑ ผดแลระบบทรบผดชอบระบบงานนน ๆ กาหนดสทธของเจาหนาทในการเขาถงระบบเทคโนโลยสารสนเทศและการสอสารแตละระบบ รวมทงกาหนดสทธแยกตามหนาททรบผดชอบ

2.1) มการกาหนดใหผใชลงนามในเอกสารยอมรบเงอนไข ทจะเกบรกษารหสผานใหเปนความลบเฉพาะตนใน “แบบฟอรมสมครเปนสมาชกระบบเครอขาย LDD Network”

2.2) การกาหนดชอผใชตองเปนหนงเดยวคอไมซากน๕.๓ กาหนดสทธการใชระบบเทคโนโลยสารสนเทศทสาคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (e-Mail) ระบบเครอขายไรสาย(Wireless LAN) ระบบอนเตอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสมาเสมอ

(3) ผใชตองลงนามรบทราบสทธและหนาทเกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรและตองปฏบตตามอยางเครงครด

(4) การบรหารจดการการเขาถงขอมลตามระดบชนความลบ 4.1) ผดแลระบบตองบรหารจดการการเขาถงขอมลตามประเภทชนความลบในการควบคมการ

เขาถงขอมลแตละประเภทชนความลบทงการเขาถงโดยตรงและการเขาถงผานระบบงาน รวมถงการทาลายขอมลแตละประเภทชนความลบ

4.2) ตองกาหนดรายชอผใช (Username) และรหสผาน (Password) เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบของขอมล

4.3) การรบสงขอมลสาคญผานเครอขายสาธารณะควรไดรบการเขารหส (Encryption) ทเปนมาตรฐานสากล

4.4) ควรมการกาหนดใหเปลยนรหสผานตามระยะเวลาทกาหนดของระดบความสาคญของขอมล

(5) การทบทวนสทธการเขาถงของผใช ผดแลระบบทบทวนสทธตามรอบระยะเวลาทกาหนดไว หรอเมอมการเปลยนแปลงใด ๆ เชน เมอเปลยนตาแหนงงานภายในมหาวทยาลยลดตาแหนง ยายหนวยงาน หรอสนสดการจางงาน หมดวาระ เกษยณอายราชการ เปนตน

(6) ควรมมาตรการรกษาความมนคงปลอดภยของขอมลในกรณทนาเครองคอมพวเตอรออกนอกพนทของมหาวทยาลย

[14]

ขอ 5. การบรหารจดการการเขาถงระบบเครอขาย (1) ผดแลระบบ ตองมการออกแบบระบบเครอขายตามกลมของผใช เพอทาใหการควบคม และ

ปองกนการบกรกไดอยางเปนระบบ (2) การเขาสระบบเครอขายภายในของมหาวทยาลย โดยผานทางอนเทอรเนตจะตองไดรบการอนมต

เปนลายลกษณอกษรจากหนวยงานทดแลรบผดชอบดานโครงขายระบบเทคโนโลยสารสนเทศและการสอสารกอนทจะสามารถใชงานไดในทกกรณ

(3) ผดแลระบบ ตองมวธการจากดสทธการใชงานเพอควบคมผใชใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน

(4) ตองกาหนดบคคลทรบผดชอบในการกาหนด แกไข หรอเปลยนแปลงคา parameter ตางๆ ของระบบเครอขายและอปกรณตางๆ ทเชอมตอกบระบบเครอขายอยางชดเจนและควรมการทบทวนการกาหนดคา parameter ตางๆ อยางนอยปละครง นอกจากน การกาหนดแกไขหรอเปลยนแปลงคา parameter ควรแจงบคคลทเกยวของใหรบทราบทกครง

(5) ระบบเครอขายทงหมดของมหาวทยาลยทมการเชอมตอไปยงระบบเครอขายอนๆ ภายนอกมหาวทยาลยควรเชอมตอผานอปกรณปองกนการบกรก หรอโปรแกรมในการทา Packet filtering เชน การใชไฟรวอล (Firewall) หรอฮารดแวรอนๆ

(6) ตองมการตดตงระบบตรวจจบการบกรก (IPS/IDS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของมหาวทยาลยในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย

(7) การเขาสระบบงานเครอขายภายในมหาวทยาลย โดยผานทางอนเทอรเนตจาเปนตองมการ login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง

(8) IP address ภายในของระบบงานเครอขายภายในของมหาวทยาลย จาเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายไดโดยงาย

(9) ตองจดทาแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตางๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ

(10) การตดตงและการเชอมตออปกรณเครอขาย จะตองดาเนนการโดยเจาหนาทสานกคอมพวเตอรและเครอขายเทานน

(11) หามบคคลใดกระทาการเคลอนยายหรอกระทาการใดๆ ตออปกรณของระบบเครอขายโดยพลการ เพราะอาจกอใหเกดความความเสยหายแกระบบเครอขายหลกของมหาวทยาลย

(12) ในกรณท ตรวจสอบพบวาเครอขายสวนใดกอใหเกดความผดปกตของระบบเครอขายหลกของมหาวทยาลย อาจจะหยดใหบรการจากระบบเครอขายกลางโดยไมมการแจงใหทราบลวงหนาจนกวาจะมการแกไขใหทางานไดเปนปกตกอน

(13) หามทาการวางสายเครอขายเพมเตมโดยไมไดรบอนญาต ทงนรวมไปถงการตดตงเครอขายแบบไรสาย (Wireless Network) ดวย

ขอ 6. การบรหารจดการระบบคอมพวเตอรแมขาย (1) ควรกาหนดบคคลทรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการกาหนดแกไข

หรอเปลยนแปลงคาตางๆ ของโปรแกรมระบบ (System Software) อยางชดเจน

[15]

(2) ตองมขนตอนหรอวธปฏบตในการตรวจสอบระบบคอมพวเตอรแมขายและในกรณทพบวามการใชงานหรอเปลยนแปลงคาในลกษณะผดปกต จะตองดาเนนการแกไข รวมทงมการรายงานโดยทนท

(3) ตองเปดใชบรการ (Service) เทาทจาเปนเทานน เชน บรการ ftp, ssh หรอ ping เปนตน (4) ควรดาเนนการตดตงอพเดทระบบซอฟตแวรใหเปนปจจบนเพออดชองโหวตางๆ ของโปรแกรม

ระบบ (System Software) อยางสมาเสมอ เชน web server เปนตน (5) การตดตงและการเชอมตอระบบคอมพวเตอรแมขายจะตองดาเนนการโดยเจาหนาทสานก

คอมพวเตอรและเครอขายเทานน

ขอ 7. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) (1) กาหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตอง

ควบคมโดย วธการยนยนตวตนทมนคงปลอดภย (2) การระบและยนยนตวตนของผ ใช งาน (User Identification and authentication) ตอง

กาหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงานและเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

(3) การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ควรจากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดกาหนดไวหรอทมอยแลว

(4) เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session time-out)

(5) การจากดระยะเวลาการเชอมตอระบบสารสนเทศ (limitation of connection time) ตองจากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากยงขนสาหรบระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความสาคญสง

ขอ 8. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application Information Access Control)

(1) ผดแลระบบ ตองกาหนดการลงทะเบยนบคลากรใหมของมหาวทยาลย ควรกาหนดใหมขนตอนปฏบตอยางเปนทางการเพอใหม สทธตาง ๆ ในการใชงานตามความจาเปนรวมทงขนตอนปฏบตสาหรบการยกเลกสทธการใชงาน เชน การลาออก หรอการเปลยนตาแหนงงานภายในหนวยงาน เปนตน

(2) ผดแลระบบ ตองกาหนดสทธการใชงานระบบเทคโนโลยสารสนเทศทสาคญ เชน ระบบคอมพวเตอรโปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (e-Mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเตอรเนต (Internet) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาท รวมทงตองทบทวนสทธดงกลาวอยางสมาเสมอ

(3) ผดแลระบบ ตองบรหารจดการสทธการใชงานระบบและรหสผานของบคลากร 3.1) กาหนดเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบลาออกหรอ

พนจากตาแหนงหรอยกเลกการใชงาน 3.2) กาหนดชอผใชหรอรหสผใชงานตองไมซากน 3.3) ในกรณมความจาเปนตองใหสทธพเศษกบผใชงานทมสทธสงสดผใชงานนนจะตองไดรบ

ความเหนชอบและอนมตจากผบงคบบญชา โดยมกาหนดระยะเวลาการใชงานและระงบการใชงาน ทนทเมอพนระยะเวลาดงกลาวหรอพนจากตาแหนง และมการกาหนดสทธ

[16]

พเศษทไดรบวาเขาถงระดบใดไดบาง และตองกาหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

(4) การจากดการเขาถงสารสนเทศ (Information access restriction) ตองจากดหรอควบคมการเขาถงใชงานของผใชงานและบคลากรฝายสนบสนนการเขาใชงานในการเขาถงสารสนเทศและฟงกชน (Functions) ตาง ๆ ของโปรแกรมประยกตหรอแอพพลเคชน

(5) ระบบซงไวตอการรบกวน มผลกระทบและมความสาคญสงตอมหาวทยาลย ตองไดรบการแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจากภายนอกมหาวทยาลย (MobileComputing and Teleworking)

(6) การควบคมอปกรณคอมพวเตอรและสอสารเคลอนท ตองกาหนดขอปฏบตและมาตรการทเหมาะสมเพอปกปองสารสนเทศจากความเสยงของการใชอปกรณคอมพวเตอรและสอสาร ๙.๗ การควบคมการปฏบตงานจากภายนอกสานกงาน (Teleworking) กาหนดขอปฏบต แผนงานและขนตอนปฏบตเพอปรบใชสาหรบการปฏบตงานของมหาวทยาลยจากภายนอกสานกงาน

ขอ 9. การควบคมการเขาใชงานระบบจากภายนอก (1) การเขาสระบบจากระยะไกล (Remote access) สระบบเครอขายคอมพวเตอรของมหาวทยาลย

ใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรของมหาวทยาลย การควบคมบคคลทเขาสระบบของมหาวทยาลยจากระยะไกลจงตองมการกาหนดมาตรการการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน

(2) กอนทาการใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจาเปนในการดาเนนงานกบมหาวทยาลย อยางเพยงพอและตองไดรบอนมตจากผมอานาจอยางเปนทางการ

(3) ตองมการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามหาวทยาลยนนตองมการดแลและการจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน

(4) การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของความจาเปนเทานน ไมควรเปดพอรตและโมเดมทใชทงเอาไวโดยไมจาเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดเมอมการรองขอทจาเปนเทานน

ขอ 10. การพสจนตวตนส าหรบผใชทอยภายนอก (1) การเขาสระบบสารสนเทศของมหาวทยาลยนน จะตองมวธการในการตรวจสอบเพอพสจนตวตน

อยางนอย ๑ วธ (2) การเขาสระบบสารสนเทศของมหาวทยาลยจากอนเทอรเนตนน ควรมการตรวจสอบผใชงานดวย (3) การเขาสระบบจากระยะไกล (Remote access) เพอเพมความปลอดภยจะตองมการ ตรวจสอบ

เพอพสจนตวตนของผใชงาน เชน รหสผาน เปนตน

[17]

สวนท 8 การจดเกบขอมลจราจรคอมพวเตอร (log)

1. วตถประสงค

เพอใหขอมลจราจรทางคอมพวเตอร (log) มความถกตองและสามารถระบถงตวบคคลได

2. แนวปฏบตในการจดเกบขอมลการจราจรคอมพวเตอร

ขอ 1. จดเกบขอมลจราจรทางคอมพวเตอร (log) ไวในสอเกบขอมลทสามารถรกษาความครบถวน ถกตอง แทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบตองกาหนดขนตอนความลบในการเขาถง

ขอ 2. หามผดแลระบบแกไขขอมลท เกบรกษาไว ยกเวนผตรวจสอบระบบสารสนเทศของมหาวทยาลย (IT auditor) หรอบคคลทมหาวทยาลยมอบหมาย

ขอ 3. กาหนดใหมการบนทกการทางานของระบบบนทกการปฏบตงานของผใชงาน (application logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชน บนทกการเขา-ออกระบบ บนทกการพยายามเขาสระบบ ฯลฯ เพอประโยชนใชในการตรวจสอบและเกบบนทกไว 90 วน นบตงแตการใชงานสนสดลง

ขอ 4. ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ และจากดสทธการเขาถงบนทกเหลานนใหเฉพาะบคคลทเกยวของเทานน

สวนท 9 แนวปฏบตการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ

(Application and Information Access Control)

1. วตถประสงค

[18]

เพอกาหนดแนวทางควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ ขององคกร โดยการกาหนดสทธของผใชงานระบบใหเหมาะสมตามหนาทความรบผดชอบในการปฏบตงาน รวมทงมการทบทวนสทธการเขาถงอยางสมาเสมอ ทงน ผใชระบบตองผานการอนญาตและกาหนดสทธการเขาใชงานจากผดแลระบบ

2. แนวปฏบตการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ

ขอ 1. ผดแลระบบมหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ ใหแกผใชระบบ

(1) กาหนดเปลยนแปลงและการยกเลกรหสผาน (Password) เมอผใชงานระบบลาออกหรอพนจากตาแหนงหรอยกเลกการใชงาน

(2) กาหนดชอผใชหรอรหสผใชงานตองไมซากน (3) ในกรณมความจาเปนตองใหสทธพเศษกบผใชงานทมสทธสงสดผใชงานนนจะตองไดรบความ

เหนชอบและอนมตจากผบงคบบญชา โดยมกาหนดระยะเวลาการใชงานและระงบการใชงาน ทนทเมอพนระยะเวลาดงกลาวหรอพนจากตาแหนง และมการกาหนดสทธพเศษทไดรบวาเขาถงระดบใดไดบาง และตองกาหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต

ขอ 2. การจ ากดการเขาถงระบบ (Information access restriction) จะอนญาตใหผใชงานและบคลากรฝายสนบสนนเขาสระบบ เฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงาน จะน าไปสความเสยงในการใชงานเกนอ านาจหนาท

ขอ 3. ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมลและระบบงานตามความจ าเปนตอการใชงานระบบเทคโนโลยสารสนเทศ

ขอ 4. ผดแลระบบควรมการทบทวนสทธการเขาใชงานอยางสม าเสมอ

ขอ 5. ระบบซงไวตอการรบกวน มผลกระทบและมความส าคญสงตอองคกร ตองไดรบการแยกออกจากระบบอน ๆ และมการควบคมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมการควบคมอปกรณคอมพวเตอรและสอสารเคลอนทและการปฏบตงานจากภายนอกองคกร (Mobile Computing and Teleworking)

สวนท 10 แนวปฏบตการควบคมการเขาถงระบบปฏบตการ

(Operating System Access Control)

1. วตถประสงค เพอกาหนดแนวทางควบคมการเขาถงระบบปฏบตการ ขององคกร โดยผใชงานตองมการยนยนตวตน

กอนเขาใชงานระบบตลอดจนกาหนดระยะเวลาในการเชอมตอ เพอสรางความปลอดภยในการเขาถงระบบปฏบตการ

2. แนวปฏบตการควบคมการเขาถงระบบปฏบตการ

[19]

ขอ 1. กาหนดขนตอนปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดย วธการยนยนตวตนทมนคงปลอดภย

ขอ 2. การระบและยนยนตวตนของผใชงาน (User Identification and authentication) ตองกาหนดใหผใชงานมขอมลเฉพาะเจาะจงซงสามารถระบตวตนของผใชงานและเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการกลาวอางวาเปนผใชงานทระบถง

ขอ 3. การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ควรจากดและควบคมการใชงานโปรแกรมประเภทอรรถประโยชน เพอปองกนการละเมดหรอหลกเลยงมาตรการความมนคงปลอดภยทไดกาหนดไวหรอทมอยแลว

ขอ 4. เมอมการวางเวนจากการใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session time-out)

ขอ 5. การจากดระยะเวลาการเชอมตอระบบสารสนเทศ (limitation of connection time) ตองจากดระยะเวลาในการเชอมตอเพอใหมความมนคง

สวนท 11 แนวปฏบตการตรวจสอบและประเมนความเสยงดานสารสนเทศ

1. วตถประสงค

เพอใหมมาตรการในการควบคมความเสยงและปองกนเหตการณทอาจมผลตอความมนคงปลอดภยดานสารสนเทศ

2. แนวปฏบตการตรวจสอบและประเมนความเสยงดานสารสนเทศ

ขอ 1. มการตรวจสอบและประเมนความเสยงดานสารสนเทศ (1) ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (Information

security audit assessment) ปละ 1 ครง (2) ตรวจสอบและประเมนความเสยงทดาเนนการโดยหนวยตรวจสอบภายใน เพอใหมหาวทยาลยได

ทราบถงระดบความเสยงและระดบความมนคงปลอดภยดานสารสนเทศ

[20]

ขอ 2. มแนวทางในการตรวจสอบและประเมนความเสยงทตองค านงถงดงน (1) มการทบทวนกระบวนการบรหารจดการความเสยง ปละ 1 ครง (2) มการทบทวนนโยบายและมาตรการในการรกษาความมนคงปลอดภยดานสารสนเทศปละ 1 ครง (3) มการตรวจสอบและประเมนความเสยงและใหจดทารายงานพรอมขอเสนอแนะ (4) มมาตรการในการตรวจประเมนระบบสารสนเทศ ดงน

4.1) ควรกาหนดใหผตรวจสอบสามารถเขาถงขอมลทจาเปนตองตรวจสอบไดแบบอานอยางเดยว 4.2) ในกรณทจาเปนตองเขาถงขอมลในแบบอนๆ ใหสรางสาเนาสาหรบขอมลนน เพอใหผ

ตรวจสอบใชงานรวมทงควรทาลายหรอลบโดยทนททตรวจสอบเสรจหรอจดเกบไวโดยมการปอนกนเปนอยางด

4.3) ควรกาหนดใหมการระบและจดสรรทรพยากรทจาเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย

4.4) ควรกาหนดใหมการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทงบนทกขอมล log แสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทสาคญๆ

4.5) ในกรณทมเครองมอสาหรบการตรวจประเมนระบบสารสนเทศ ควรกาหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และมการจดเกบปองกนเครองมอนน จากการเขาถงโดยไมไดรบอนญาต

(5) มการรายงานผลการประเมนความเสยงดานสารสนเทศปละ 1 ครง ตอคณะกรรมการบรหารสารสนเทศมหาวทยาลยอบลราชธาน และแจงคณะกรรมการบรหารความเสยงของมหาวทยาลยเพอดาเนนการตอไป

(6) มการแสดงผลการตรวจสอบตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศ เปนสวนหนงของการรายงานผลการตดตาม ตรวจสอบและประเมนผลงาน ดานเทคโนโลยสารสนเทศและการสอสาร

[21]

สวนท 12 แนวปฏบตการระบบสารสนเทศและระบบส ารองของสารสนเทศ

1. วตถประสงค

เพอใหระบบสารสนเทศของมหาวทยาลยสามารถใหบรการไดอยางตอเนอง และเพอมาตรฐานในการปฏบตและความรบผดชอบของผดแลระบบ โดยตระหนกถงความสาคญของการรกษาความมนคงปลอดภยเปนสาคญ

2. แนวปฏบตการระบบสารสนเทศและระบบส ารองของสารสนเทศ

ขอ 1. ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอมใชงาน ตามแนวทางตอไปน

(1) มการจดทาบญชระบบสารสนเทศทมความสาคญทงหมดของมหาวทยาลย พรอมทงกาหนดระบบสารสนเทศทจะจดทาระบบสารอง และจดทาระบบแผนเตรยมพรอมกรณฉกเฉน ปละ 1 ครง

(2) กาหนดใหมการสารองขอมลของระบบสารสนเทศแตละระบบและกาหนดความถในการสารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรกาหนดใหมความถในการสารองขอมลมากขน โดยใหมวธการสารองขอมล ดงน 2.1) กาหนดประเภทของขอมลทตองทาการสารองเกบไว และความถในการสารอง 2.2) กาหนดรปแบบสารองขอมลใหเหมาะสมกบขอมลทจะทาการสารอง เชน การสารองขอมล

แบบเตม (full backup) หรอการสารองขอมลแบบสวนตาง (incremental backup) ฯลฯ 2.3) บนทกขอมลทเกยวของกบกจกรรมการสารองขอมล ไดแก ผดาเนนการ วน/เวลา ชอขอมล

ทสารอง สาเรจ/ไมสาเรจ 2.4) ตรวจสอบขอมลทงหมดระบบวามการสารองขอมลไวอยางครบถวน เชน ซอฟตแวรตางๆ ท

เกยวของกบระบบสารสนเทศ ขอมลคอนฟกกเรชน (configuration) ขอมลในฐานขอมล ฯลฯ

[22]

2.5) จดเกบขอมลทสารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบสารองกบมหาวทยาลยควรหางกนเพยงพอ เพอไมใหสงผลกระทบตอขอมลทจดเกบไวนอกสถานทนน ในกรณทเกดภยพบตกบมหาวทยาลย เชน ไฟไหม นาทวม ฯลฯ

2.6) ดาเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทสารองทใชจดเกบขอมลนอกสถานท 2.7) ทดสอบบนทกขอมลสารองอยางสมาเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลได

ตามปกต 2.8) จดทาขนตอนปฏบตสาหรบการกคนขอมลทเสยหายจากขอมลทไดสารองเกบไว 2.9) ตรวจสอบและทดสอบประสทธผลของขนตอนปฏบตในการกคนขอมลอยางสมาเสมอ 2.10) กาหนดใหมการใชงานการเขารหสขอมลกบขอมลทไดสารองเกบไว

ขอ 2. ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจตามแนวทางตอไปน

(1) มการจดทาแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถดาเนนการดวยวธการทางอเลกทรอนกส ดงน 1.1) มการกาหนดหนาทและความรบผดชอบของผทเกยวของทงหมด 1.2) มการประเมนความเสยงสาหรบระบบทมความสาคญเหลานน และกาหนดมาตรการ เพอลด

ความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงทาใหไมสามารถเขามาใชระบบได ฯลฯ

1.3) มการกาหนดขนตอนปฏบตในการกคนระบบสารสนเทศ 1.4) มการกาหนดขนตอนปฏบตในการสารองขอมล และทดสอบกคนขอมลทสารองไว 1.5) มการกาหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขาย

ฮารดแวร ซอฟตแวร ฯลฯ เมอเกดเหตจาเปนทจะตองตดตอ 1.6) มการสรางความตระหนก หรอใหความรแกเจาหนาทผทเกยวขอกบขนตอนการปฏบต หรอ

สงททาเมอเกดเหตเรงดวน (2) มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยาง

เหมาะสมและสอดคลองกบการใชงานตามภารกจ ปละ 1 ครง

ขอ 3. ตองการการก าหนดหนาทและความรบผดชอบของบคลากรซงดแลรบผดชอบระบบสารสนเทศ ระบบส ารอง และการจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส

ขอ 4. ตองมการทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ปละ 1 ครง

ขอ 5. มการทบทวนระบบสารสนเทศ ระบบส ารอง และระบบแผนเตรยมพรอมกรณฉกเฉน ทเพยงพอตอสภาพความเสยงทยอมรบไดของแตละหนวยงานในมหาวทยาลย ปละ 1 ครง