Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
เอกสารแนบทายประกาศ
แนวนโยบายและแนวปฏบต ในการรกษาความมนคงปลอดภยดานสารสนเทศ
ของการกฬาแหงประเทศไทย พ.ศ. 2560
๒
สวนท 1 ความหมายและคาจากดความ
1. “กกท.” หมายความวา การกฬาแหงประเทศไทย 2. หนวยงาน หมายความวา ฝาย/สานก/สายงาน/ศนย ทเปนสวนราชการตามโครงสรางของการกฬา แหงประเทศไทย 3. หนวยงานภายนอก หมายความวา องคกร หรอหนวยงานภายนอกทไดรบอนญาตใหมสทธในการ เขาถงและการใชงานขอมลหรอสนทรพยตาง ๆ ของการกฬาแหงประเทศไทย โดยจะไดรบสทธในการ ใชระบบตามอานาจหนาทและตองรบผดชอบในการรกษาความลบขอมล 4. ผบรหารระดบสงสด (Chief Executive Officer : CEO) หมายความวา คณะผบรหารการกฬา แหงประเทศไทย 5. ผบรหารดานเทคโนโลยสารสนเทศระดบสง (Chief Information officer:CIO) หมายความวา รองผวาการ ทมหนาท ดแลรบผดชอบดานเทคโนโลยสารสนเทศ ซงมบทบาทหนาทและความ รบผดชอบในสวนของการกาหนดนโยบายมาตรฐานการควบคมการใชงานระบบเทคโนโลยสารสนเทศ 6. ผบรหาร หมายความวา ผอานวยการฝายสารสนเทศและวชาการกฬา ผอานวยการกองสารสนเทศ
หวหนางานบรการเทคโนโลยสารสนเทศ หวหนางานปฏบตการคอมพวเตอร ทไดรบมอบหมายใหดแลดานไอท
7. ผบงคบบญชา หมายความวา ผมอานาจสงการตามโครงสรางการบรหารขององคกร 8. ผดแลระบบ (System administrator) หมายความวา ผซงไดรบมอบหมายจากผบงคบบญชาให ทาหนาทดแลเซรฟเวอร ระบบสารสนเทศ และระบบเครอขายคอมพวเตอร ใหบรการไดอยางม เสถยรภาพ 9. ผพฒนาระบบ หมายความวา ผซงไดรบมอบหมายใหรบผดชอบในการพฒนาระบบสารสนเทศ 10. เจาหนาท หมายความวา บคลากรทกประเภทของการกฬาแหงประเทศไทย 11. ผใชงาน (user) หมายความวา บคลากรของการกฬาแหงประเทศไทย บคคลหรอหนวยงานภายนอก ทมบญชรายชอทออกโดย ฝายสารสนเทศและวชาการกฬา และ/หรอทไดรบอนญาตใหใชสนทรพย สารสนเทศของการกฬาแหงประเทศไทย 12. การรกษาความมนคงปลอดภย หมายความวา การรกษาความมนคงปลอดภยสาหรบระบบเทคโนโลย สารสนเทศ และการสอสาร 13. มาตรฐาน (Standard) หมายความวา บรรทดฐานทบงคบใชในการปฏบตการจรง เพอใหไดตาม วตถประสงคหรอเปาหมาย 14. วธการปฏบต (Procedure) หมายความวา รายละเอยดทบอกขนตอนเปนขอ ๆ ทตองนามาปฏบต เพอใหไดมาซงมาตรฐานทไดกาหนดไวตามวตถประสงค 15. แนวปฏบต (Guideline) หมายความวา แนวทางทไมไดบงคบใหปฏบตแตแนะนาใหปฏบตตาม เพอใหสามารถบรรลเปาหมายไดงายขน 16. สทธของผใชงาน หมายความวา สทธทวไป สทธจาเพาะ สทธพเศษ และสทธอนใดทเกยวของกบ ระบบสารสนเทศของการกฬาแหงประเทศไทย
๓
17. เจาของขอมล หมายความวา ผไดรบมอบอานาจจากผบงคบบญชาใหรบผดชอบขอมลของระบบงาน โดยเจาของขอมลเปนผรบผดชอบขอมลนน ๆ หรอ ไดรบผลกระทบโดยตรงหากขอมลเหลานนเกด สญหาย 18. สนทรพย หมายความวา ขอมล ระบบขอมล และทรพยสนดานเทคโนโลยสารสนเทศและการสอสาร ของหนวยงาน ไดแก บคลากร ฮารดแวร ซอฟตแวร คอมพวเตอร เซรฟเวอร ระบบสารสนเทศ ระบบ เครอขายอปกรณเครอขาย เลขทอยไอพ โดเมนเนม รวมถงซอฟตแวรทมลขสทธ หรอสงใดกตามทม คณคาตอหนวยงาน 19. หองควบคมระบบ หมายความวา หองทตดตงและจดวางระบบเซรฟเวอร อปกรณเชอมตอ และ อปกรณเครอขายของการกฬาแหงประเทศไทย ภายใตการดแลของฝายสารสนเทศและวชาการกฬา และ/หรอ หนวยงานทใหบรการสารสนเทศ 20. ระบบอนเทอรเนต (Internet) หมายความวา ระบบเครอขายอเลกทรอนกสท เชอมตอระบบ เครอขายคอมพวเตอรตางๆ ของการกฬาแหงประเทศไทยเขากบเครอขายอนเทอรเนต 21. ระบบสารสนเทศ หมายความวา ระบบงานของการกฬาแหงประเทศไทย ทนาเอาเทคโนโลย สารสนเทศ ระบบคอมพวเตอร และระบบเครอขาย มาชวยในการสรางสารสนเทศในองคกร สามารถนามาใชประโยชนในการวางแผน การบรหาร การสนบสนนใหการบรการการพฒนาและ ควบคม การตดตอสอสาร ซงมองคประกอบ เชน ระบบคอมพวเตอร ระบบเครอขาย ระบบปฏบตการ โปรแกรมประยกต ขอมลสารสนเทศ ฯลฯ 22. ระบบเครอขายคอมพวเตอร (Computer Network System) หมายความวา ระบบทเชอมตอ คอมพวเตอร เซรฟเวอร อปกรณเครอขายตาง ๆ ของการกฬาแหงประเทศไทย 23. จดหมายอเลกทรอนกส (e-mail) หมายความวา ระบบทบคคลใชในการรบสงขอความระหวางกน โดยผานเครองคอมพวเตอรและระบบเครอขายทเชอมโยงถงกน ขอมลทสงจะเปนไดทงตวอกษร ภาพถายภาพกราฟกภาพเคลอนไหว ทผสงสามารถสงขาวสารไปยงผรบผานโพรโทคอล ตางๆ เชน SMTP, POP3, IMAP ฯลฯ 24. สอบนทกพกพา (portable media) หมายความวา สออเลกทรอนกสทใชในการบนทกหรอจดเกบ ขอมลเชน CD , DVD , flash drive, external hard disk ฯลฯ 25. ชอผใช (username) หมายความวา ชดของตวอกษรหรอตวเลขทถกกาหนดขนเพอใชในการเขาใช งานระบบคอมพวเตอรและระบบเครอขายทกาหนดสทธการใชงานไว 26. รหสผาน (password) หมายความวา ตวอกษรหรออกขระหรอตวเลข ทใชเปนเครองมอในการ ตรวจสอบยนยนตวบคคลเพอควบคมการเขาถงขอมลและระบบขอมลในการรกษาความมนคง ปลอดภยของขอมลและระบบสารสนเทศ 27. การเขารหสลบ (encryption) หมายความวา การนาขอมลมาเขารหสลบเพอปองกนการลกลอบเขา มาใชขอมล ผทสามารถเปดไฟลขอมลทเขารหสลบไวจะตองมโปรแกรมถอดรหสลบเพอใหขอมล กลบมาใชงานไดตามปกต 28. การเขาถงหรอควบคมการใชงานสารสนเทศ หมายความวา การอนญาต การกาหนดสทธหรอการ มอบอานาจใหผ ใชงาน และหนวยงานภายนอก เขาถงหรอใชงานระบบสารสนเทศ อปกรณ ประมวลผลสารสนเทศ และระบบเครอขาย ทงทางอเลกทรอนกส และทางกายภาพ
๔
29. ความมนคงปลอดภยดานสารสนเทศ หมายความวา การรกษาไวซงความลบ (confidentiality) ความครบถวนถกตอง (integrity) และความพรอมใช (availability) ของสารสนเทศ และระบบ เครอขายรวมทง คณสมบตอน ไดแกความถกตองแทจรง (authenticity) ความรบผด (accountability) การหามปฏเสธ ความรบผด (non-repudiation) และความนาเชอถอ (reliability) 30. เหตการณดานความปลอดภย หมายความวา กรณทระบการเกดเหตการณ สภาพของบรการหรอ เครอขายทแสดงใหเหนความเปนไปไดทจะเกดการฝาฝนนโยบายดานความมงคงปลอดภยหรอ มาตรการปองกนทลมเหลว หรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย 31. สถานการณดานความปลอดภยทไมพงประสงคหรอไมอาจคาดคด หมายความวา สถานการณดาน ความมนคงปลอดภยท ไม พ งประสงคหรอไมอาจคาดคด ซ งอาจทาให ระบบของการกฬา แหงประเทศไทย ถกบกรกโจมตและความมนคงปลอดภยถกคกคาม 32. การพสจนยนยนตวตน (authentication) หมายความวา ขนตอนการรกษาความปลอดภยในการ เขาใชระบบ เปนขนตอนในการพสจนยนยนตวตนของผใชบรการระบบ ทวไปแลวจะเปนการพสจน โดยใชชอผใชและรหสผาน 33. MAC Address (media access control address) หมายความวา หมายเลขเฉพาะทใชอางถง อปกรณทตดตอกบระบบเครอขาย หมายเลขนจะมากบอเทอรเนตการด โดยแตละการดจะมหมายเลข ทไมซากนตวเลขจะอยในรปของ เลขฐาน ๑๖ จานวน ๖ ค ตวเลขเหลานจะมประโยชนไวใชสาหรบ การสงผานขอมลไปยงตนทางและปลายทางไดอยางถกตอง 34. WEP (wired equivalent privacy) หมายความวา ระบบการเขารหสเพอรกษาความปลอดภยของ ขอมลในเครอขายไรสายโดยอาศยชดตวเลขมาใชเขารหสขอมล ดงนนทกเครองในเครอขายทรบสง ขอมลถงกนจงตองรคาชดตวเลขน 35. WPA (Wi-Fi protected access) หมายความวา ระบบการเขารหสเพอรกษาความปลอดภยของ ขอมลในเครอขายไรสายทพฒนาขนมาใหมใหมความปลอดภยมากกวาวธเดมอยาง WEP 36. VPN (virtual private network) หมายความวา เครอขายคอมพวเตอรเสมอนสวนตว โดยในการ รบสงขอมลจรงจะทาโดยการเขารหสเฉพาะแลวรบ - สงผานเครอขายอนเทอรเนต ทาใหบคคลอนไม สามารถอานไดและมองไมเหนขอมลนนไปจนถงปลายทาง 37. แผนผงระบบเครอขาย (network diagram) หมายความวา แผนผงซงแสดงถงการเชอมตอของระบบ เครอขายของการกฬาแหงประเทศไทย 38. คณะกรรมการอานวยการดานดจทล กกท. หมายความวา คณะทางานท กกท. แตงตงมาเพอ ดาเนนการดานความปลอดภยระบบคอมพวเตอรและเครอขาย
๕
สวนท 2 นโยบายการรกษาความมนคงปลอดภยสารสนเทศการกฬาแหงประเทศไทย
หมวดท 1 นโยบายความมนคงปลอดภยขององคกร (Security Policy) 1.1 นโยบายการบรหารจดการความมนคงปลอดภยสารสนเทศ (Information Security Policy)
วตถประสงค เพอกาหนดทศทางและสนบสนนการดาเนนงานดานความมนคงปลอดภยสารสนเทศ โดยใหสอดคลองตามภารกจขององคกร และไมขดตอกฎหมายและระเบยบขอบงคบทเกยวของนโยบาย 1.1.1 เอกสารนโยบายความมนคงปลอดภยสารสนเทศทเปนลายลกษณอกษร (Information Security Policy Document) 1) คณะทางานดานความมนคงปลอดภยสารสนเทศ ตองจดทานโยบายการรกษาความมนคงปลอดภยสารสนเทศ เปนลายลกษณอกษรเพอใหเกดความเชอมนและมความปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและระบบเครอขายสอสารขอมล โดยนโยบายฯ ดงกลาวจะตองไดรบการอนมตจาก ผวาการการกฬาแหงประเทศไทยเพอการนาไปใช 2) คณะทางานดานความมนคงปลอดภยสารสนเทศ ตองจดใหเผยแพร เอกสาร นโยบายระบบบรหารการรกษาความมนคงปลอดภยสารสนเทศ ใหกบผใชงาน หนวยงานภายนอก และผทเกยวของใน ขอบเขตรบทราบ 1.1.2 การทบทวนการบรหารจดการความมนคงปลอดภยสารสนเทศ 1) คณะทางานดานความมนคงปลอดภยสารสนเทศ ตองดาเนนการตรวจสอบ ทบทวน และ ประเมนนโยบายการรกษาความมนคงปลอดภยสารสนเทศตามระยะเวลาทกาหนดไว หรออยางนอย 1 ครงตอป หรอเมอมการเปลยนแปลงทสาคญตอองคกร
๖
หมวดท 2 โครงสรางความมนคงปลอดภยสารสนเทศ (organization of Information Security) ๒.๑ โครงสรางความมนคงปลอดภยสารสนเทศภายในองคกร (Internal organization)
วตถประสงค เพอกาหนดกรอบการบรหารจดการดานความมนคงปลอดภยสาหรบสารสนเทศภายในองคกร นโยบาย 2.1.1 การกาหนดบทบาทและหนาทดานการจดการความมนคงปลอดภยสารสนเทศ (Information security roles and responsibilities) 1) ผบรหารระดบสงสดตองแตงตงกลมหรอคณะทางานดานความมนคงปลอดภยสารสนเทศ และมอบหมายหนาทความรบผดชอบดานความมนคงปลอดภยสารสนเทศ 2.1.2 การแบงแยกหนาทความรบผดชอบ (Segregation of duties) 1) ผบรหารดานไอทตองกาหนดตาแหนงดานความมนคงปลอดภยสารสนเทศและกาหนดความรบผดชอบใหเหมาะสม พรอมทงควบคมการปฏบตงานเพอใหคงไวซงนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยสารสนเทศของการกฬาแหงประเทศไทย 2) ผบรหารดานไอทเปนผรบผดชอบการบรหารจดการ กากบดแล ตดตาม และทบทวนภาพรวมของนโยบายความมนคงปลอดภยดานสารสนเทศของ การกฬาแหงประเทศไทย 3) ผบรหารตองรบผดชอบกากบดแลความมนคงปลอดภยใหเปนไปตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยสารสนเทศของการกฬาแหงประเทศไทย 4) ผใชงาน และหนวยงานภายนอกตองรบผดชอบในการปฏบตตามนโยบายและแนวปฏบตของ การกฬาแหงประเทศไทย ในการรกษาความมนคงปลอดภยสารสนเทศของการกฬาแหงประเทศไทย 2.1.3 การตดตอกบหนวยงานผมอานาจ (Contact with authorities) 1) ตองกาหนดรายชอ และขอมลสาหรบตดตอกบหนวยงานอนๆ เชน สานกงานตารวจแหงชาต โครงการเครอขายสารสนเทศเพอพฒนาการศกษา (UniNet) ศนยประสานงาน การรกษาความมนคงปลอดภยคอมพวเตอรประเทศไทย (ThaiCERT) การไฟฟา เพอใชสาหรบตดตอประสานงานดานความมนคงปลอดภย 2.1.4 การตดตอกบกลมทมความสนใจเปนพเศษเรองเดยวกน (Contact with special interest groups) 1) ตองกาหนดรายชอ และขอมลสาหรบตดตอกลมทมความสนใจเปนพเศษเรองเดยวกน 2.1.5 ความมนคงปลอดภยสารสนเทศกบการบรหารจดการโครงการ (Information security in project management) 1) ตองระบความมนคงปลอดภยสารสนเทศสาหรบโครงการทเกยวของกบสารสนเทศ ๒.๒ การควบคมคอมพวเตอรแบบพกพาและการปฏบตงานจากระยะไกล (Mobile devices and teleworking)
วตถประสงค เพอรกษาความมนคงปลอดภยของขอมลและสนทรพยสารสนเทศจากการใชงานอปกรณคอมพวเตอรแบบพกพา รวมทงการปฏบตงานนอกหนวยงานจากระยะไกล
๗
นโยบาย 2.๒.1 การใชงานอปกรณคอมพวเตอรแบบพกพา (Mobile device policy) 1) ตองกาหนดวธการปองกนขอมลและสนทรพยสารสนเทศทอยในอปกรณคอมพวเตอรแบบพกพาและอปกรณสอสารอนๆ โดยใหเปนไปตามแนวปฏบตการใชงานสารสนเทศใหมนคงปลอดภย 2.๒.2 การปฏบตงานภายนอกหนวยงาน (Teleworking) 1) อนญาตใหปฏบตงานจากภายนอกหนวยงานโดยตองใชงานผานชองทางทจดเตรยมไวให และตองตรวจสอบตวตนกอนการใชงาน โดยใหเปนไปตามแนวปฏบตการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ 2) ตองไมนาขอมลลบขององคกรไวบนอปกรณสวนตว หรอหากมความจาเปนตองใชงาน เมอใชเสรจแลวควรลบทงไป
๘
หมวดท 3 ความมนคงปลอดภยสาหรบทรพยากรบคคล (Human Resource Security) 3.๑ การสรรหาบคลากรกอนการทางาน (Prior to employment)
วตถประสงค เพอคดสรรพนกงานทตรงกบความตองการ และเพอใหพนกงานเขาใจในหนาทและความ รบผดชอบ
นโยบาย 3.๑.1 การตรวจสอบคณสมบตของผสมคร (Screening) 1) ตองตรวจสอบคณสมบตของผสมครงาน โดยตองไมมประวตการบกรก แกไข ทาลาย หรอโจรกรรมขอมลสารสนเทศของหนวยงานใดมากอน 3.๑.2 ขอตกลงและเงอนไขการจางงาน (Terms and conditions of employment) 1) ตองกาหนดหนาทและความรบผดชอบทางดานความมนคงปลอดภยสารสนเทศอยางเปนลายลกษณอกษรสาหรบหนวยงานภายนอกทวาจางมาปฏบตงาน และจะตองสอดคลองกบนโยบายความมนคงปลอดภยสารสนเทศของ การกฬาแหงประเทศไทย 2) ตองจดใหลงนามในสญญาระหวางพนกงานและหนวยงานวาจะไมเปดเผยความลบของหนวยงาน (Non-Disclosure Agreement : NDA) โดยการลงนามนจะเปนสวนหนงของการวาจางพนกงาน นนๆ ทงนตองมผลผกพนทงในขณะททางานและผกพนตอเนองเปนเวลาไมนอยกวา 1 ป ภายหลงจากทสนสดการวาจางแลว 3) เพอใหการบรหารจดการบญชผใช เปนไปอยางถกตองและเปนปจจบนทสด เจาหนาทบคคลทดแลทรพยากรบคคลสวนกลางของการกฬาแหงประเทศไทย ตองแจงให ฝายสารสนเทศและวชาการกฬา ทราบทนทเมอมเหตดงน - การวาจางงาน - การเปลยนแปลงสภาพการวาจางงาน - การลาออกจากงาน หรอการสนสดการเปนผบรหาร พนกงาน และลกจาง หรอการ ถงแกกรรม - การโยกยายหนวยงาน - การพกงาน การลงโทษทางวนย หรอระงบการปฏบตหนาท
3.๒ ระหวางการจางงาน (During employment)
วตถประสงค เพอใหพนกงานและผททาสญญาจางตระหนกและปฏบตตามหนาทความรบผดชอบดานความ มนคงปลอดภยสารสนเทศของตนเอง
นโยบาย 3.2.1 หนาทความรบผดชอบของผบรหาร (Management responsibilities) 1) ตองใหผใชงาน และหนวยงานภายนอกทวาจางมาปฏบตงานรบทราบนโยบายทเกยวของกบการรกษาความมนคงปลอดภยสารสนเทศ 3.2.2 การสรางความตระหนก การใหความร และการฝกอบรมดานความมนคงปลอดภยสารสนเทศ (Information security awareness, education and training)
๙
1) เจาหนาทใหมตองไดรบการอบรมเกยวกบเรองนโยบายการรกษาความมนคงปลอดภย โดยควรเปนสวนหนงของการปฐมนเทศพนกงาน
3.๓ การสนสดหรอการเปลยนการจางงาน (Termination and change of employment)
วตถประสงค เพอใหยกเลกหรอเปลยนแปลงสทธกบเจาหนาท หรอเจาหนาทจากหนวยงานภายนอกท ถกยกเลกหรอเปลยนแปลงการจางงาน เพอรกษาไวซงความมนคงปลอดภยสารสนเทศ
นโยบาย 3.3.1 การสนสดหรอการเปลยนหนาทความรบผดชอบของการจางงาน (Termination or change ofemployment responsibilities) 1) หลงจากเปลยนแปลงหรอยกเลกการจางงาน หรอสนสดโครงการ ตองยกเลกสทธการเขาถงขอมลในระบบสารสนเทศทนท
๑๐
หมวดท 4 การบรหารจดการสนทรพย (Asset Management) 4.๑ หนาทความรบผดชอบตอสนทรพย (Responsibility for Assets)
วตถประสงค เพอใหระบสนทรพยขององคกรและกาหนดหนาทความรบผดชอบในการปองกนสนทรพย อยางเหมาะสม
นโยบาย 4.๑.1 บญชสนทรพย (Inventory of assets) 1) ตองจดทาและเกบทะเบยนสนทรพยสารสนเทศ เพอเปนขอมลสาหรบการนาไปวเคราะหและประเมนความเสยง และบรหารจดการความเสยงไดอยางเหมาะสม 2) ตองตรวจสอบสนทรพยตามระยะเวลาท กาหนด เชน ปละ 1 ครง หรอ เมอมการเปลยนแปลงทสาคญ 4.๑.2 ผถอครองสนทรพย (Ownership of assets) 1) สนทรพยในทะเบยนสนทรพยตองกาหนดผรบผดชอบใหชดเจน 4.๑.3 การใชสนทรพยอยางเหมาะสม (Acceptable use of assets) 1) การอนญาตใหใชสนทรพยสารสนเทศใหเปนไปตามขอกาหนด ดงน a. ขอกาหนดการใชงานเครอขาย b. ขอกาหนดการใชไอพแอดเดรสและชอโดเมนของระบบเครอขายคอมพวเตอร c. ขอกาหนดการใชบรการจดหมายอเลกทรอนกส (e-mail) 4.๑.4 การคนสนทรพย (Return of assets) 1) พนกงานทสนสดการจางงาน หรอสนสดโครงการตองคนสนทรพยสารสนเทศทรบผดชอบทงหมดรวมทงกญแจ บตรประจาตวพนกงาน บตรผานเขาออก คอมพวเตอรและอปกรณตอพวง คมอและอปกรณตาง ๆ
4.๒ การจดชนความลบของสารสนเทศ (Information classification)
วตถประสงค เพอใหสนทรพยสารสนเทศไดรบระดบการปองกนทเหมาะสมโดยสอดคลองกบความสาคญของ สารสนเทศนนทมตอองคกร
นโยบาย 4.2.1 ชนความลบของสารสนเทศ (Classification of information) 1) ตองทาการจดหมวดหมสนทรพย กาหนดระดบความสาคญ และกาหนดชนความลบ เพอปองกนสารสนเทศใหมความปลอดภย โดยใหปฏบตตามระเบยบวาดวยการรกษาความลบของราชการพ.ศ.2544 2) สนทรพยสารสนเทศ ซงทาซามาจากตนฉบบซงมการกาหนดชนความลบไว ใหถอวามชนความลบเดยวกบตนฉบบ 4.2.2 การบงชสารสนเทศ (Labeling of information) 1) ตองจดใหมวธการจดทา และจดการปายชอสนทรพย 4.2.3 การจดการสนทรพย (Handling of assets) 1) ขอมลลบตองไมถกเปดเผยกบผอน เวนแตมความจาเปนในการปฏบตงาน
๑๑
2) ขอมลทเปนขอมลลบตองไมเปดเผยตอบคคลภายนอก ยกเวนในกรณทการเปดเผยนนครอบคลมโดยขอตกลงการไมเปดเผยขอมล 3) หากสงผานขอมลทเปนขอมลลบผานเครอขายตองปองกนขอมลอยางเหมาะสม ไดแก การปกปองดวยรหสผาน หรอ การเขารหสขอมล 4) ขอมลสาคญทเกยวของกบการดาเนนงานขององคกรทงหมด ทงทเกบรกษาอยในเครองคอมพวเตอรของผใชงานหรอเครองคอมพวเตอรแมขายทดแลโดยผใชงาน ตองไดรบการสารองขอมลอยางสมาเสมอ เพอประโยชนในการกคนขอมลเมอมปญหาใด ๆ เกดขน ตวอยางเชน การตดไวรส ฮารดดสกเสย เปนตน
4.๓ การจดการสอบนทกขอมล (Media Handling)
วตถประสงค เพอปองกนการเปดเผยโดยไมไดรบอนญาต การเปลยนแปลง การขนยายการลบ หรอการทาลาย สารสนเทศทจดเกบอยบนสอบนทกขอมล นโยบาย 4.3.1 การบรหารจดการสอบนทกขอมลทถอดแยกได (Management of removable media) 1) สอบนทกขอมล และอปกรณคอมพวเตอรพกพาตาง ๆ (เชน PDA, Thumb- Drive, CD –Rom เปนตน) ทมขอมลลบขององคกรบนทกอย ตองไดรบการดแลรกษาและใชงานอยางระมดระวง 4.3.2 การทาลายสอบนทกขอมล (Disposal of media) 1) ขอมลลบขององคกรทสาเนามาเกบอยบนสอบนทกขอมล หากไมใชงานแลวตองทาลายใหสนซากตามแนวปฏบตการทาลายขอมลหรอกาจดสอบนทกขอมล 4.3.3 การขนยายสอบนทกขอมล (Physical media transfer) 1) หากตองขนยายสอบนทกขอมลจะตองปองกนการเขาถงโดยไมไดรบอนญาต เชน การ ลอกกญแจ การปดผนก การเขารหส เปนตน
๑๒
หมวดท 5 การควบคมการเขาถง (Access Control) 5.๑ ความตองการทางธรกจสาหรบการควบคมการเขาถง (Business requirements of access control)
วตถประสงค เพอจากดการเขาถงสารสนเทศ และอปกรณประมวลผลสารสนเทศเฉพาะผทไดรบอนญาต
นโยบาย 5.๑.1 นโยบายควบคมการเขาถง ( Access control policy) 1) กาหนดนโยบายควบคมการเขาถงเปนการกาหนดมาตรฐานแนวทางปฏบตทมความสอดคลองกบนโยบายในการรกษาความมนคงปลอดภยดานสารสนเทศสาหรบผใชงาน เจาหนาท รวมถงบคคลภายนอกเพอควบคมใหเขาถงเฉพาะผทไดรบอนญาต โดยมมาตรการควบคมการเขาถง ตามแนวปฏบตดงตอไปน 1) แนวปฏบตในการควบคมการเขาถงสารสนเทศ 2) แนวปฏบตการควบคมการเขาถงเครอขายและบรการเครอขาย 3) แนวปฏบตการควบคมการเขาถงระบบเครอขายไรสาย 4) แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 5) แนวปฏบ ตการควบคมการเขาถงโปรแกรมประยกตหรอแอพพล เค ชนและ สารสนเทศ 5.๑.2 การเขาถงเครอขายและบรการเครอขาย (Access to networks and network services) 1) กาหนดการปองกนทางเครอขายใหมความมนคงปลอดภย ตามแนวปฏบตการควบคมการเขาถงเครอขายและบรการเครอขายและแนวปฏบตการควบคมการเขาถงระบบเครอขายไรสาย
5.๒ การบรหารจดการการเขาถงของผใชงาน (User access management)
วตถประสงค เพอปองกนไมใหผทไมมสทธใชงานสามารถเขาถงระบบสารสนเทศได
นโยบาย 5.2.1 การลงทะเบยนและการถอดถอนสทธผใชงาน (User registration and de-registration) 1) การลงทะเบยนผใชงานใหม ตองกาหนดใหมระเบยบปฏบตอยางเปนทางการเพอใหสามารถใชงานระบบสารสนเทศ และระบบเครอขายคอมพวเตอร ในกรณทผใชงานสนสดสถานภาพตองยกเลก ออกจากระบบทนทตาม แนวปฏบตการจดการการเขาถงของผใชงาน 5.2.2 การจดการสทธการเขาถงของผใชงาน (User access Provisioning) 1) ผดแลระบบตองมกระบวนการกาหนดสทธใหครอบคลมผใชงานใหครบทกประเภทและทกบรการ 5.2.3 การบรหารจดการสทธการเขาถงตามระดบสทธ (Management of privileged access right) 1) ผดแลระบบตองกาหนดสทธผใชงานในการเขาถงระบบสารสนเทศแตละระบบ รวมทงกาหนดสทธแยกตามหนาทรบผดชอบดวย โดยใหเปนไปตามแนวปฏบตการจดการ การเขาถงของผใชงาน 5.2.4 การบรหารจดการขอมลความลบสาหรบการพสจนตวตนของผใชงาน (Management of privileged access right)
๑๓
1) การสงมอบขอมลการพสจนตวตนซงเปนขอมลลบ ดงนนตองมกระบวนการปองกนและการปกปด โดยใหเปนไปตามแนวปฏบตการจดการการเขาถงของผใชงาน 5.2.5 การทบทวนสทธการเขาถงของผใชงาน (Review of user access rights) 1) ผดแลระบบตองทบทวนสทธในการเขาถงระบบสารสนเทศตามระยะเวลาทกาหนดไว 5.2.6 การถอดถอนหรอปรบปรงสทธการเขาถง (Removal or adjustment of access rights) 1) เมอเจาหนาทลาออก เปลยนแปลงขอตกลงหรอหรอสญญา ผดแลระบบตองทาการถอดถอนหรอปรบปรงสทธใหถกตอง
5.๓ หนาทความรบผดชอบของผใชงาน (User responsibilities)
วตถประสงค เพอใหผใชงานมความรบผดชอบในการปองกนขอมลการพสจนตวตน
นโยบาย 5.3.1 การใชขอมลการพสจนตวตนซงเปนขอมลลบ (Use of secret authentication information) 1) ผใชงานตองปฏบตตามการควบคมการเขาถงสารสนเทศองคกร การกาหนด การเปลยนแปลงและการยกเลกรหสผาน และการจดการควบคมการใชรหสผานตามแนวปฏบตการใชงานสารสนเทศใหมนคงปลอดภย หวขอ การใชงานรหสผาน 2) รหสผานถอเปนขอมลลบ และเปนหนาทของผใชงานทกคนทตองเกบรกษารหสผานอยางมนคง ปลอดภย 3) ผใชงานตองรบผดชอบตอการกระทาใด ๆ ทกระทาผานบญชผใชงานและรหสผานของตนทงหมด 4) รหสผานตองไดรบการเปลยนเมอเขาใชงานครงแรก และเปลยนอยางสมาเสมอตาม ชวงระยะเวลาทกาหนดไว
5.๔ การควบคมการเขาถงระบบ (System and application access control)
วตถประสงค เพอปองกนการเขาถงระบบสารสนเทศและขอมลบนระบบสารสนเทศโดยไมไดรบอนญาต
นโยบาย 5.4.1 การจากดการเขาถงสารสนเทศ (Information access restriction) 1) ตองควบคมการใชงานสารสนเทศในระบบสารสนเทศ ไดแก กาหนดสทธในการใชงาน ไดแก เขยน อาน ลบ ได เปนตน กาหนดกลมของผใชงาน ทสามารถใชงานได ตรวจสอบวา สารสนเทศทอนญาตใหใชงานนนม เฉพาะขอมลทจาเปนตองใชงาน โดยใหเปนไปตามแนวปฏบตการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ 2) บญชผ ใชงานทมสท ธการเขาถงระบบสารสนเทศในระดบพเศษ เชน Root หรอ Administrator ตองไดรบการพจารณามอบหมายใหแกผใชงานตามความจาเปน และกาหนดระยะเวลาในการ เขาถงอยางเหมาะสมกบการทางานเทานน 3) บคคลภายนอก ตองแสดงความยนยอมปฎบตตามนโยบายและแนวปฏบตในการรกษาความมนคง ปลอดภยดานสารสนเทศของ การกฬาแหงประเทศไทย อยางเครงครด กอนทจะไดรบอนญาตให
๑๔
เขาถงระบบสารสนเทศของ การกฬาแหงประเทศไทย ตามแนวปฏบตการควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ 5.4.2 ขนตอนปฏบตสาหรบการลอกอนเขาระบบทมความมนคงปลอดภย (Secure log-on procedures) 1) การเขาถงระบบปฏบตการจะตองผานการลอกอนเขาระบบทมความมนคงปลอดภยตาม แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 5.4.3 การใชโปรแกรมอรรถประโยชน (Use of privileged utility programs) 1) ตองกาหนดใหควบคมการใชโปรแกรมยทลตสาหรบระบบ เพอปองกนการเขาถงโดยผทไมไดรบอนญาต ไดแก - กอนใชตองทาการพสจนตวตนกอน - ใหทาการแยกโปรแกรมยทลตออกจากโปรแกรมระบบงาน - จากดการใชงานโปรแกรมยทลตใหเฉพาะผทไดรบมอบหมายแลวเทานน - ใหบนทกรายละเอยดการเขาใชงานโปรแกรมยทลต 5.4.4 การควบคมการเขาถงซอรสโคดของโปรแกรม (Access control to program source code) 1) อนญาตเฉพาะผรบผดชอบสามารถเขาถงซอรสโคดของโปรแกรม
๑๕
หมวดท 6 การเขารหสขอมล (Cryptography) 6.๑ มาตรการเขารหสขอมล (Cryptographic controls)
วตถประสงค เพอใหใชการเขารหสขอมลอยางเหมาะสมและไดผล ปองกนความลบ การปลอมแปลง หรอความถกตองของสารสนเทศ
นโยบาย 6.๑.1 นโยบายการใชมาตรการเขารหสขอมล (Policy on the use of cryptographic controls) 1) ตองควบคมรหสขอมลตามขอตกลง และระเบยบทเกยวของ 6.๑.2 การบรหารจดการกญแจ (Key management) 1) ตองจดทาแนวปฏบตการใชงานกญแจ เพอปองกนการเปลยนแปลง ปลอมแปลงขอมล
๑๖
หมวดท 7 ความมนคงปลอดภยทางกายภาพและสภาพแวดลอม (Physical and environmental Security) 7.๑ พนททตองการการรกษาความมนคงปลอดภย (Secure areas)
วตถประสงค เพอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ความเสยหาย และการแทรกแซงการ ทางาน ทมตอสารสนเทศและอปกรณประมวลผลสารสนเทศขององคกร
นโยบาย 7.๑.1 ขอบเขตหรอบรเวณโดยรอบทางกายภาพ (Physical security perimeter) 1) ตองแบงพนทอยางชดเจน และกาหนดระดบการควบคมเพอปองกนการเขาถงสนทรพยสารสนเทศทมความสาคญ 2) ตองจดทาแผนผงแสดงตาแหนงและพนทแตละชนดและประกาศใหผเกยวของทราบ 3) ตองดแลรกษาสภาพแวดลอมของพนทใหเปนไปตาม แนวปฏบตการรกษาความมนคงปลอดภยทางกายภาพหองควบคมระบบ 7.๑.2 การควบคมการเขาออกทางกายภาพ (Physical entry controls) 1) ตองควบคมใหเฉพาะผทมสทธ หรอผทไดรบอนญาตสามารถเขาออกในพนท 2) ตองกาหนดสทธ และชวงเวลาในการผานเขาออกพนท 3) ตองบนทกการผานเขาออกในพนททสาคญ 4) ตองไมเปดประตสานกงานทงไว หรอยนยอมใหบคคลอนตดตามเขาภายในพนทสานกงานโดยเดดขาด เวนแตบคคลอนนนสามารถแสดงบตรประจาตว หรอบตรผมาตดตอได เพอเปนการปองกนการเขาถงพนทสานกงาน และพนทควบคมความมนคงปลอดภยโดยบคคลทไมไดรบอนญาต 7.๑.3 การรกษาความมนคงปลอดภยสาหรบสานกงาน หองทางาน และอปกรณ (Securing office, room and facilities) 1) ตองจดใหมมาตรการในการรกษาความมนคงปลอดภยอนๆ ใหกบสานกงาน หองทางานและเครองมอตางๆ เชน เครองคอมพวเตอรหรอระบบทมความสาคญสงตองไมตงอยในบรเวณทมการผานเขาออกของบคคลเปนจานวนมาก 2) เจาหนาทควรตรวจสอบความมนคงปลอดภยของพนททางานของตนเปนประจาทกวนหลงเลกงาน เพอใหมนใจวาตเซฟ ตเอกสาร ลนชก และอปกรณตางๆ ไดรบการปดลอค อยางเหมาะสม และ กญแจถกเกบรกษาไวอยางปลอดภย 3) ขอมล สอบนทก วสด และอปกรณทจดเกบขอมลลบตองไมถกทงไวโดยลาพงบนโตะทางาน ในหองประชม หรอในตทไมไดลอคกญแจโดยเดดขาด 4) ขอมล สอบนทก วสด และอปกรณทจดเกบขอมลลบตองไมถกทงลงในถงขยะโดยไมไดรบการทาลายอยางเหมาะสม โดยใหเปนไปตามแนวปฏบตการทาลายขอมลหรอกาจดสอบนทกขอมล 5) เจาหนาทตองไมยนยอมใหผใดทาการเคลอนยายเครองคอมพวเตอรหรอสอบนทกขอมลออกจากพนททางานของตนโดยเดดขาด เวนแต บคคลผนนเปนเจาหนาท ทไดรบอนญาตใหดาเนนการและเปนการดาเนนการทมคาสงอยางถกตองของหนวยงานเทานน
๑๗
7.๑.4 การปองกนตอภยคกคามจากภายนอกและสภาพแวดลอม (Protecting against external end environmental threats) 1) ตองมวธปองกนจากการทาลายของธรรมชาตหรอคนทอาจจะเกดขน 7.๑.5 การปฏบตงานในพนททตองการการรกษาความมนคงปลอดภย (Working in secure areas) 1) หากพบสงผดปกต หรอการละเมดความมนคงปลอดภย จะตองแจงใหผบงคบบญชาทราบ 2) ในบรเวณทตองการรกษาความมนคงปลอดภยตองตดประกาศแจงเตอน เชน ”หามเขากอนไดรบอนญาต” 7.๑.6 พนทสาหรบรบสงของสงของ (Delivery and loading areas) 1) ตองแยกจดทรบสงสงของ ออกจากพนททม อปกรณประมวลผลสารสนเทศ และดาเนนการแกะหบหอหรอตรวจสอบใหเสรจสน กอนนาเขาสพนททตองการรกษาความมนคงปลอดภย
7.๒ อปกรณ (Equipment)
วตถประสงค เพอปองกนการสญหาย การเสยหาย การขโมย หรอการเปนอนตรายตอสนทรพยและปองกนการหยดชะงกตอการดาเนนงานขององคกร
นโยบาย 7.2.1 การจดตงและปองกนอปกรณ (Equipment siting and protection) 1) การจดตง หรอการจดวางอปกรณสนทรพยสารสนเทศ อปกรณใดทมความสาคญสงตองจดวางในททเขาถงไดยาก 7.2.2 ระบบและอปกรณสนบสนนการทางาน (Supporting utilities) 1) อปกรณทมความสาคญสงควรตดตงระบบปองกนความลมเหลวของอปกรณ เชน ระบบสารองไฟฟา ระบบปรบอากาศ เปนตน 7.2.3 ความมนคงปลอดภยของการเดนสายสญญาณและสายสอสาร (Cabling security) 1) การเดนสายสญญาณตองแยกทอเพอปองกนสญญาณรบกวน 2) ตองมการทาปายสายสญญาณชดเจน และเมอมการเปลยนแปลงตองมการปรบปรง ปายสายสญญาณใหถกตอง 7.2.4 การบารงรกษาอปกรณ (Equipment maintenance) 1) ตองจดใหมการบารงรกษาอปกรณเพอใหมสภาพพรอมใชงานอยางนอยปละ 1 ครง หรอมากกวาตามระดบความสาคญ 7.2.5 การนาสนทรพยขององคกรออกนอกสานกงาน (Removal of assets) 1) หามนาสนทรพยสารสนเทศออกนอกพนทกอนไดรบอนญาตจากผรบผดชอบ และตองมขนตอนในการตรวจสอบและตดตาม 7.2.6 ความมนคงปลอดภยของอปกรณและสนทรพยทใชงานอยภายนอกสานกงาน (Security of equipment and assets off- premises) 1) สนทรพยท ใชงานอยภายนอกสานกงานตองมการรกษาความมนคงปลอดภยตาม ความเสยง 7.2.7 ความมนคงปลอดภยสาหรบการกาจดหรอทาลายอปกรณ หรอการนาอปกรณไปใชงาน อยางอน (Secure disposal or re-use of equipment)
๑๘
1) ขอมลทเกบอยบนสอบนทกขอมล หากไมมการใชงานแลวตองทาลายใหสนซาก โดยใหเปนไปตามแนวปฏบตการทาลายขอมลหรอกาจดสอบนทกขอมล 7.2.8 อปกรณของผใชงานททงไวโดยไมมผดแล (Unattended user equipment) 1) ตองปองกนใหผไมมสทธเขาถงอปกรณสนทรพยสารสนเทศทไมมผดแล 7.2.9 การควบคมการไมทงสนทรพยสารสนเทศทสาคญไวในทไมปลอดภย (Clear desk and clear screen policy) 1) เจาหนาทตองควบคมเอกสาร ขอมล หรอสอตางๆ ทมขอมลสาคญจดเกบ หรอบนทกอย ไมใหวางทงไวบนโตะทางานหรอในสถานทไมปลอดภยในขณะไมไดนามาใชงาน ตลอดจนการควบคมหนาจอคอมพวเตอร (Desktop) ไมใหมขอมลสาคญปรากฏในขณะไมไดใชงาน โดยใหเปนไปตามแนวปฏบตการใชงานสารสนเทศใหมนคงปลอดภย
๑๙
หมวดท 8 ความมนคงปลอดภยสาหรบการดาเนนงาน (Operations Security) 8.๑ ขนตอนการปฏบตงานและหนาทความรบผดชอบ (Operational Procedures and Responsibilities)
วตถประสงค เพอใหการปฏบตงานกบอปกรณประมวลผลสารสนเทศเปนไปอยางถกตองและมนคงปลอดภย
นโยบาย 8.1.1 ขนตอนการปฏบตงานทเปนลายลกษณอกษร (Documented operating procedures) 1) ตองจดทาคมอหรอขนตอนปฏบตงานทเกยวกบสารสนเทศทสาคญของหนวยงาน เพอปองกนการปฏบตงานดานสารสนเทศทผดพลาด 8.1.2 การบรหารจดการการเปลยนแปลง (Change management) 1) กาหนดใหมการควบคมการเปลยนแปลงสารสนเทศ เชน ตองมการขออนมตจากผบงคบบญชากอนดาเนนการ 2) ตองมการสารองขอมลสารสนเทศกอนการเปลยนแปลงสารสนเทศ 8.1.3 การบรหารจดการขดความสามารถของระบบ (Capacity management) 1) ควรตดตงระบบเพอตรวจสอบตดตามทรพยากรของระบบ เชน CPU Memory Harddisk วาเพยงพอหรอไม และนาขอมลการตรวจสอบตดตามมาวางแผนการเพมหรอลดทรพยากรในอนาคต 8.1.4 การแยกสภาพแวดลอมสาหรบการพฒนา การทดสอบ และการใหบรการออกจากกน (Separation of development, testing and operational environments) 1) ในระบบทมความสาคญสงควรแยกระบบการพฒนา ออกจากระบบการใหบรการจรง เพอปองกนการเปลยนแปลงขอมลโดยไมไดรบอนญาต
8.๒ การปองกนโปรแกรมไมประสงคด (Protection from Malware)
วตถประสงค เพอใหสารสนเทศและอปกรณประมวลผลสารสนเทศไดรบการปองกนจากโปรแกรมไมประสงคด
นโยบาย 8.2.1 มาตรการปองกนโปรแกรมไมประสงคด (Controls against malware) 1) เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพากอนเชอมตออนเทอรเนตผานเวบเบราเซอร (Web browser) ตองตดตงโปรแกรมปองกนไวรสและอดชองโหวของระบบปฏบตการและเวบเบราเซอร 2) ผใชตองปรบปรง Patch และ HotFix อยางสมาเสมอ โดยสามารถดาวนโหลด Patch และ HotFix ตางๆ จากเวบไซตเจาของผลตภณฑเพอแกปญหาชองโหว เปนตน 3) ในการรบสงขอมลคอมพวเตอรผานทางอนเทอรเนตจะตองทดสอบไวรส (Virus Scanning) โดยโปรแกรมปองกนไวรสกอนการรบสงขอมลทกครง 8.๓ การสารองขอมล (Backup)
วตถประสงค เพอปองกนการสญหายของขอมล และใหมนใจวาระบบสารสนเทศอยในสภาพพรอมใชงาน
๒๐
นโยบาย 8.3.1 นโยบายการสารองและกคนขอมล (Information backup and recovery policy) 1) หนวยงานทมเครองคอมพวเตอรแมขายใหบรการใหดาเนนการสารองขอมล ตามแนวปฏบตการสารองและการกคนขอมล 2) ตองสารวจขอมล และจดระดบความสาคญ กาหนดขอมลทตองการสารอง และความถในการสารองขอมล 3) ขอมลทมความสาคญสงตองจดใหมความถการสารองมาก และควรจดใหมการสารองขอมลภายนอกสานกงาน 4) ตองมการควมคมการเขาถงทางกายภาพ ( Physical Access Control) ของสถานททเกบขอมลสารอง สอเกบขอมลตองไดรบการปองกนสอดคลองกบระดบความสาคญของระบบสารสนเทศ 5) ตองทดสอบขอมลทสารองอยางสมาเสมอ 6) ตองทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบสารอง อยางนอยปละ 1 ครง 7) หากตองมการกคนขอมลใหดาเนนการกคนขอมลตาม ตามแนวปฏบตการสารองและการกคนขอมล 8.๔ การบนทกขอมลลอกและการเฝาระวง (Logging and Monitoring)
วตถประสงค เพอใหมการบนทกเหตการณและจดทาหลกฐาน
นโยบาย 8.4.1 การบนทกขอมลลอกแสดงเหตการณ (Event logging) 1) ฝายสารสนเทศและวชาการกฬา ตองจดเกบขอมลบนทกกจกรรมของผใชงาน เพอใชตดตามกรณเกดเหตความมนคงปลอดภย 8.4.2 การปองกนขอมลลอก ( Protection of log information) 1) อปกรณบนทกลอกและขอมลการลอกสามารถเขาถงไดเฉพาะผทไดรบอนญาตเทานน 8.4.3 ขอมลลอกกจกรรมของผดแลระบบและเจาหนาทปฏบตการระบบ (Administrator and operator logs) 1) ตองมการบนทกกจกรรมการดาเนนงานของผดแลระบบ และมการทบทวนอยเสมอ 8.4.4 การตงนาฬกาใหถกตอง (Clock Synchronization) 1) เครองคอมพวเตอรแมขายทกเครองตองตงเวลาใหตรงกนโดยเทยบเวลาจากเซรฟเวอรประสานจงหวะเวลาท ฝายสารสนเทศและวชาการกฬา มไวใหบรการ 8.๕ การควบคมการตดตงซอฟตแวรบนระบบใหบรการ (Control of operational software)
วตถประสงค เพอใหระบบใหบรการมการทางานทถกตอง
นโยบาย 8.5.1 การตดตงซอฟตแวรบนระบบใหบรการ (Installation of software on operational systems) 1) ตองตดตงเฉพาะทซอฟตแวรทจาเปนในการใหบรการ
๒๑
8.๖ การบรหารจดการชองโหวทางเทคนค (Technical Vulnerability Management)
วตถประสงค เพอปองกนการใชประโยชนจากชองโหวทางเทคนค
นโยบาย 8.6.1 การจากดการตดตงซอฟตแวรบนระบบใหบรการ (Restrictions on software installation) 1) ระบบทใหบรการตองทาการ Patch ซอฟตแวรอยางสมาเสมอ 2) ตองทาการลบ User ทไมจาเปนออกจากระบบ เชน Test 3) ตองปด Service ทไมไดใชงาน 4) ซอฟตแวรใดไมไดใชงานตองลบออก 8.6.2 การบรหารจดการชองโหวทางเทคนค (Management of technical vulnerabilities) 1) ตองตดตามขอมลทางดานเทคนคของชองโหวอยางสมาเสมอ 8.๗ สงทตองพจารณาในการตรวจประเมนระบบ (Information Systems Audit Considerations)
วตถประสงค เพอลดผลกระทบของกจกรรมการตรวจประเมนบนระบบทใหบรการสารสนเทศ
นโยบาย
8.7.1 มาตรการการตรวจประเมนระบบ ( Information systems audit controls) 1) ตองวางแผนการตรวจสอบระบบ โดยการตรวจสอบทจะดาเนนการจะตองมผลกระทบตอระบบและกระบวนการดาเนนงานของหนวยงานนอยทสด
๒๒
หมวดท 9 ความมนคงปลอดภยสาหรบการสอสารขอมล (Communications security) 9.๑ การบรหารจดการความมนคงปลอดภยของเครอขาย (Network Security Management)
วตถประสงค เพอใหมการปองกนสารสนเทศในเครอขาย และอปกรณประมวลผลสารสนเทศ
นโยบาย 9.1.1 มาตรการเครอขาย (Network controls) 1) กาหนดนโยบายการควบคมการเขาถงเครอขาย และบรการเครอขายใหมความมนคงปลอดภยโดยใหเปนไปตามแนวปฏบตการควบคมการเขาถงเครอขายและบรการเครอขาย และ แนวปฏบตการ ควบคมการเขาถงระบบเครอขายไรสาย 9.1.2 ความมนคงปลอดภยสาหรบบรการเครอขาย (Security of network services) 1) ผบรหารตองมการกาหนดระดบความตองการสาหรบบรการเครอขาย 9.1.3 การแบงแยกเครอขาย (Segregation in networks) 1) ผดแลระบบตองจดแบงเครอขายระหวางการใชงานภายในและผใชภายนอกทตดตอกบการกฬาแหงประเทศไทย โดยพจารณาจากบรการเครอขาย ระบบสารสนเทศ กลมของผใชงานของทงสองฝาย 9.๒ การถายโอนสารสนเทศ (Information transfer)
วตถประสงค เพอใหมการรกษาความมนคงปลอดภยของสารสนเทศทมการถายโอนภายในองคกรและถายโอน กบหนวยงานภายนอก
นโยบาย
9.2.1 นโยบายและขนตอนปฏบตสาหรบการถายโอนสารสนเทศ (Information transfer policies and procedures) 1) การใชบรการสารสนเทศจากหนวยงานภายนอก ใหเปนไปตามแนวปฏบตการควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ 9.2.2 ขอตกลงสาหรบการถายโอนสารสนเทศ (Agreements on information transfer) 1) การทาขอตกลงตองคานงถงความมนคงปลอดภยสารสนเทศ และผดแลระบบตองควบคมการปฏบตงานนน ๆ ใหมความปลอดภยทง 3 ดาน คอ การรกษาความลบ (Confidentiality) การรกษาความถกตองของขอมล (Integrity) และการรกษาความพรอมทจะใหบรการ (Availability) 9.2.3 ขอตกลงการรกษาความลบหรอการไมเปดเผยความลบ (Confidentiality or non-disclosure agreements) 1) ตองจดใหมการลงนามในสญญาระหวางหนวยงานและหนวยงานภายนอก วาจะไมเปดเผยความลบของหนวยงาน (Non-Disclosure Agreement : NDA)
๒๓
หมวดท 10 การจดหา การพฒนา และการบารงรกษาระบบ (System acquisition, development and maintenance) 10.๑ ความตองการดานความมนคงปลอดภยของระบบ (Security requirements of information systems)
วตถประสงค เพอใหความมนคงปลอดภยสารสนเทศเปนองคประกอบสาคญหนงของระบบตลอดวงจรชวตของ การพฒนาระบบ ซงรวมถงความตองการดานระบบทมการใหบรการผานเครอขายสาธารณะดวย
นโยบาย 10.1.1 การวเคราะหและกาหนดความตองการดานความมนคงปลอดภยสารสนเทศ (Information security requirements analysis and specification) 1) ตองกาหนดความตองการดานความมนคงปลอดภยกอนจะพฒนาขนมาใชงานหรอซอมาใชงาน 10.1.2 ความมนคงปลอดภยของบรการสารสนเทศบนเครอขายสาธารณะ (Securing application services on public networks) 1) สารสนเทศทเกยวของกบบรการสารสนเทศซงมการสงผานเครอขายสาธารณะตองไดรบการปองกนจากการฉอโกง การโตเถยง และการเปดเผยและการเปลยนแปลงสารสนเทศโดยไมไดรบอนญาต 10.1.3 ก าร ป อ ง ก น ธ รก ร รม ข อ งบ ร ก า รส ารส น เท ศ (Protecting application services transactions) 1) สารสนเทศทเกยวของกบธรกรรมของบรการสารสนเทศ ตองไดรบการปองกนจากการรบสงขอมลทไมสมบรณ การสงขอมลผดเสนทาง การเปลยนแปลงขอความโดยไมไดรบอนญาต การเปดเผยขอมลโดยไมไดรบอนญาต การสงขอความซาโดยไมไดรบอนญาต 10.๒ ความมนคงปลอดภยสาหรบกระบวนการพฒนาและสนบสนน (Security indevelopment and support processes)
วตถประสงค เพอใหความมนคงปลอดภยสารสนเทศมการออกแบบและดาเนนการตลอดวงจรชวตของการพฒนาระบบ
นโยบาย 10.2.1 นโยบายการพฒนาระบบใหมความมนคงปลอดภย (Secure development policy) 1) ผพฒนาระบบสารสนเทศตองมกระบวนการเพอควบคมการเปลยนแปลงแกไขซอฟตแวรสาหรบระบบสารสนเทศทใชงานจรง เชน ตองมการอนมตโดยผมอานาจ 10.2.2 ขนตอนปฏ บ ตส าหรบควบคมการเปล ยนแปลงระบบ ( System change control procedures) 1) ผพฒนาระบบสารสนเทศตองจดทาแนวปฏบตการควบคมการเปลยนแปลงระบบสารสนเทศ
๒๔
10.2.3 การทบทวนทางเทคนคตอระบบหลงจากเปลยนแปลงโครงสรางพนฐานของระบบ (Technical review of applications after operating platform changes) 1) เมอระบบปฏบตการมการแกไขหรอเปลยนแปลงซอฟตแวรตางๆ ผ พฒนาระบบสารสนเทศจะตองตรวจสอบและทดสอบวาไมมผลกระทบตอการทางานและความมนคงปลอดภย 10.2.4 การจากดการเปลยนแปลงซอฟตแวรสาเรจรป (Restrictions on changes to software packages) 1) เมอมการใชงานซอฟตแวรสาเรจรปตองมการควบคมการเปลยนแปลงเทาทจาเปน และการเปลยนแปลงทงหมดจะตองถกทดสอบและจดทาเปนเอกสารเพอใหสามารถนามาใชงานไดเมอมการปรบปรงซอฟตแวรในอนาคต 10.2.5 หลกการวศวะกรรมระบบดานความมนคงปลอดภย (Secure system engineering principles) 1) ควรนาหลกการวศวกรรมระบบมาประยกตใชกบงานการพฒนาระบบ เชน (๑) ควรนาระบบงานทสาคญไปอยหลง Firewall (๒) ปดชองโหวของระบบใหเหลอนอยทสด (๓) การออกแบบดานความปลอดภยตองใหงายสาหรบการทาความเขาใจ 10.2.6 สภ าพ แ วด ล อ ม ข อ งก ารพ ฒ น าระบ บ ท ม ค ว าม ม น ค ง (Secure development environment) 1) หากมความจาเปนตองใหหนวยงานภายนอกเขามาพฒนาระบบภายในหนวยงาน ตองกาหนดสภาพแวดลอมทมความมนคงปลอดภย เชน ตดการเชอมตอเครอขายออกสภายนอกเพอปองกนการนาขอมลลบออกสภายนอก 2) มการแบงสทธตามหนาทการทางานอยางชดเจน เชน ผพฒนาระบบ ผดแลฐานขอมล 3) ตองตรวจสอบประวตของหนวยงานภายนอกทมารบจาง 4) หนวยงานภายนอกตองปฏบตตามนโยบายความมนคงปลอดภยของหนวยงาน 10.2.7 การจางหนวยงานภายนอกพฒนาระบบ (Outsourced development) 1) ตองมการประชมตดตาม และบนทกการประชมกจกรรมการพฒนาระบบอยางสมาเสมอ 2) หากพบการละเมดความมนคงปลอดภยตองแจงใหผบงคบบญชาทราบ 10.2.8 การทดสอบดานความมนคงปลอดภยของระบบ (System security testing) 1) การทดสอบดานความมนคงปลอดภยตองทาการทดสอบการใชงานในชวงของการพฒนา หากไมผานการทดสอบตองแกไขใหแลวเสรจกอนการสงมอบ 10.2.9 การทดสอบเพอรบรองระบบ (System acceptance testing) 1) การทางานของฟงกชนทกฟงกชนการทางาน ตองทางานถกตอง และสามารถทางานได 10.๓ ขอมลสาหรบการทดสอบ (Test data)
วตถประสงค เพอใหมการปองกนขอมลทนามาใชในการทดสอบ
นโยบาย 10.3.1 การปองกนขอมลสาหรบการทดสอบ
๒๕
1) ขอมลจรงทจะนาไปใชในการทดสอบระบบจะตองไดรบอนญาตจากผรบผดชอบในการรกษาขอมลและเจาของขอมลนนๆ กอน เมอใชงานเสรจจะตองทาการลบขอมลจรงออกจากระบบทดสอบ ทนท และทาการบนทกไวเปนหลกฐานวา ไดนาขอมลจรงไปใชในการทดสอบอะไรบาง รวมถงวนเวลา และหนวยงานททดสอบ
๒๖
หมวด 11 ความสมพนธกบผใหบรการภายนอก (Supplier relationships) 11.๑ ความมนคงปลอดภยสารสนเทศกบความสมพนธกบผใหบรการภายนอก (Information security in supplier relationship)
วตถประสงค เพอใหมการปองกนสนทรพยขององคกรทมการเขาถงโดยผใหบรการภายนอก
นโยบาย 11.1.1 นโยบายความมนคงปลอดภยสารสนเทศดานความสมพนธกบผ ใหบรการภายนอก (Information security policy for supplier relationships) 1) ตองจดทาขอกาหนดทางดานความมนคงปลอดภยสาหรบสารสนเทศขององคกร เมอมความจาเปนตองใหลกคาหรอผใชบรการเขาถงสารสนเทศหรอสนทรพยสารสนเทศขององคกร 11.1.2 การระบความมนคงปลอดภยในขอตกลงการใหบรการของผใหบรการภายนอก (Addressing security within supplier agreements) 1) ตองระบและบงคบใชขอกาหนดทางดานความมนคงปลอดภยสาหรบสารสนเทศขององคกร เมอมความจาเปนตองใหผใชงานเขาถงสารสนเทศหรอสนทรพยสารสนเทศขององคกร กอนท จะอนญาตใหสามารถเขาถงได 11.1.3 หวงโซการใหบรการเทคโนโลยสารสนเทศและการสอสารโดยผ ใหบรการภายนอก (Information and communication technology supply chain) 1) ขอกาหนดทางดานความมนคงปลอดภยสาหรบสารสนเทศขององคกร ตองสอสารถงหวงโซผใหบรการภายนอกทงหมดทเขาถงสารสนเทศหรอสนทรพยสารสนเทศขององคกร 11.๒ การบรหารจดการการใหบรการโดยผใหบรการภายนอก (Supplier service delivery management)
วตถประสงค เพอใหมการรกษาไวซงระดบความมนคงปลอดภยและระดบการใหบรการตามทตกลงกนไวใน ขอตกลงการใหบรการของผใหบรการภายนอก
นโยบาย 11.2.1 การตดตามและทบทวนบรการของผใหบรการภายนอก (Monitoring and review of supplier services) 1) ในขอตกลงการใหบรการ ตองกาหนดใหมการตดตาม ทบทวน และตรวจประเมนการใหบรการ ภายนอกอยางสมาเสมอ 11.2.2 การบรหารจดการการเปลยนแปลงบรการของผใหบรการภายนอก (Managing changes to supplier services) 1) หากมการเปลยนแปลงขอตกลงการใหบรการสาหรบระบบทสาคญ จะตองจดทาการประเมนความเสยงดานความมนคงปลอดภย
๒๗
หมวด 12 การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management) 12.๑ การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)
วตถประสงค เพอใหมวธการทสอดคลองกนและไดผลสาหรบการบรหารจดการเหตการณความมนคงปลอดภย สารสนเทศ ซงรวมถงการแจงสถานการณความมนคงปลอดภยสารสนเทศและจดออนความมนคงปลอดภยสารสนเทศใหไดรบทราบ
นโยบาย 12.1.1 หนาทความรบผดชอบและขนตอนปฏบต (Responsibilities and procedures) 1) ตองกาหนดหนาทรบผดชอบและขนตอนปฏบตเพอรบมอเหตการณทเกยวของกบความมนคงปลอดภยของหนวยงาน และมความเปนระบบระเบยบทด โดยใหเปนไปตามแนวปฏบตการดาเนนการตอบสนองเหตการณมนคงปลอดภยระบบสารสนเทศ 12.1.2 การรายงานสถานการณความมนคงปลอดภยสารสนเทศ (Reporting information security events) 1) ตองกาหนดชองทางการตดตอเพอรายงานสถานการณความมนคงปลอดภยอยางชดเจน 12.1.3 การรายงานจดออนความมนคงปลอดภยสารสนเทศ (Reporting information security weaknesses) 1) หากผใชงานตรวจพบเหตอนอาจสงผลตอความมนคงปลอดภยของระบบสารสนเทศตองรายงานเหตการณดงกลาวตอผรบผดชอบ 12.1.4 การประเมนและตดสนใจตอสถานการณความมนคงปลอดภยสารสนเทศ (Assessment of and decision on information security events) 1) กอนการรายงานสถานการณดานความมนคงปลอดภยตองตรวจสอบใหชดเจน 12.1.5 การตอบสนองตอเหตการณความมนคงปลอดภยสารสนเทศ (Response to information security incidents) 1) กาหนดใหมการรายงานสถานการณความมนคงปลอดภยสารสนเทศตามระดบความรนแรงของเหตการณ หากสงผลกระทบรนแรงตอผใชงานเปนจานวนมาก ตองประกาศใหทราบโดยรวดเรว 12.1.6 การเรยนรจากเหตการณความมนคงปลอดภยสารสนเทศ (Learning from information security incidents) 1) ตองมการบนทกเหตการณละเมดความมนคงปลอดภย โดยอยางนอยตองพจารณาถงประเภทของเหตการณ ปรมาณทเกดขน และคาใชจายทเกดจากความเสยหาย เพอจะไดเรยนรและเตรยมการ ปองกน 12.1.7 การเกบรวบรวมหลกฐาน (Collection of evidence) 1) ตองรวบรวมและจดเกบหลกฐานตามกฎหรอหลกเกณฑสาหรบอางองในกระบวนการ ทางศาล
๒๘
หมวด 13 การบรหารจดการความมนคงปลอดภยเพอสรางความตอเนองขององคกร (Information security aspects of business continuity management) 13.๑ การบรหารจดการเหตการณความมนคงปลอดภยสารสนเทศ (Information Security Incident Management)
วตถประสงค เพอปองกนการหยดชะงกในการดาเนนงานขององคกรทเปนผลมาจากวกฤตหรอภยพบตหนง
นโยบาย 13.1.1 นโยบายการวางแผนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Planning information security continuity policy) 1) ผดแลระบบตองมการจดทาแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบต ทอาจเกดขนกบระบบสารสนเทศ (IT Contingency Plan) ตามแนวปฏบตการสารองและการกคนขอมล 13.1.2 นโยบายตรวจสอบและประเมนความเสยงดานสารสนเทศ (Risk assessment information policy) 1) ตองดาเนนการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศอยางนอยปละ 1 ครง ตามแนวปฏบตการตรวจสอบและประเมนความเสยงดานสารสนเทศ 13.1.3 การตรวจสอบ การทบทวน และการประเมนความตอเนองดานความมนคงปลอดภยสารสนเทศ (Verify, review and evaluate information security continuity) 1) ตองทบทวนแผนเตรยมความพรอมกรณฉกเฉนความพรอมอยางนอยปละ 1 ครง 13.๒ การเตรยมการอปกรณประมวลผลสารอง (Redundancies)
วตถประสงค เพอจดเตรยมสภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ
นโยบาย 13.2.1 สภาพความพรอมใชของอปกรณประมวลผลสารสนเทศ (Availability of information processing facilities) 1) อปกรณประมวลผลสารสนเทศตองมการเตรยมการสารองไวอยางเพยงพอเพอใหตรงตามความตองการดานสภาพความพรอมใชทกาหนดไว
๒๙
หมวด 14 ความสอดคลอง (Compliance) 14.๑ ความสอดคลองกบความตองการดานกฎหมายและในสญญาจาง (Compliance with legal and contractual requirements)
วตถประสงค เพอหลกเลยงการละเมดขอผกพนในกฎหมาย ระเบยบขอบงคบ หรอสญญาจาง ทเกยวของกบ ความมนคงปลอดภยสารสนเทศ และทเปนความตองการดานความมนคงปลอดภย
นโยบาย 14.1.1 การระบกฎหมายและความตองการในสญญาจางทเกยวของ (Identification of applicable legislation and contractual requirements) 1) จดทาประกาศนโยบาย และแนวปฏบต คมอการใชงานสารสนเทศ พรอมทงเผยแพรทางเวบไซตของ การกฬาแหงประเทศไทย 2) ผดแลระบบตองจดใหมหลกสตรทสอดคลองกบการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศเพอปองกนการเขาถงจากผใชซงไมไดรบอนญาต 3) ตองจดสมมนาเพอเผยแพรแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภย สารสนเทศ และสรางความตระหนกถงความสาคญของการปฏบตใหกบผใชงาน 14.1.2 สทธในสนทรพยทางปญญา (Intellectual property rights) 1) ตองปฏบตตาม ขอกาหนดทระบไวใน ลขสทธการใชงานซอฟตแวรอยางเครงครด รวมทงตองมการควบคมการใชงานซอฟตแวรตามลขสทธทไดรบดวย ไดแก การลงทะเบยนเพอใชงานซอฟตแวร ตองเกบหลกฐานแสดงความเปนเจาของลขสทธ 14.1.3 การปองกนขอมล (Protection of records) 1) หามผใชงานทาซา เผยแพร ขอมลทเปนการละเมดลขสทธ หรอซอฟตแวรทเปนการละเมดลขสทธบนระบบสารสนเทศขององคกร 14.1.4 ความเปนสวนตวและการปองกนขอมลสวนบคคล (Privacy and protection of personal identifiable information) 1) การกฬาแหงประเทศไทย มนโยบายปกปองขอมลสวนบคคลและใหใชจดหมายอเลกทรอนกสเพอสนบสนนภารกจของ การกฬาแหงประเทศไทย โดยไมตรวจดจดหมายอเลกทรอนกสทรบสงตามปกต แต การกฬาแหงประเทศไทย มภาระผกพนตามกฎหมายทตองตดตงระบบบนทกขอมลจราจรและการเฝาระวงเพอคงไวซงบรการทมนคงปลอดภยและมประสทธภาพ การกฬาแหงประเทศไทย สงวนสทธในการใชระบบเฝาระวงเพอตรวจเนอหาจดหมายอเลกทรอนกสทเปนภยตอระบบคอมพวเตอร และกลนกรองหรอระงบการเผยแพรนนโดยอตโนมต ตลอดจนสงวนสทธการเขาถงจดหมายอเลกทรอนกส เพอสบสวน สอบสวน เมอระบบเฝาระวงแจงเตอนถงปญหาดานความมนคงปลอดภยจากการใชจดหมายอเลกทรอนกสใดๆหรอการรองขอจากเจาพนกงานตามพระราชบญญตวาดวยการกระทาผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ 14.1.5 ระเบยบขอ บ งคบส าหรบมาตรการเข ารหสขอม ล (Regulation of cryptographic controls) 1) มาตรการเขารหสขอมลตองมการใชใหสอดคลองกบขอตกลง และระเบยบขอบงคบทงหมดทเกยวของ
๓๐
14.๒ การทบทวนความมนคงปลอดภยสารสนเทศ (Information security reviews)
วตถประสงค เพอใหมการปฏบตดานความมนคงปลอดภยสารสนเทศอยางสอดคลองกบนโยบาย แนวปฏบต ขอกาหนดขององคกร
นโยบาย 14.2.1 การทบทวนอยางอสระดานความมนคงปลอดภยสารสนเทศ (Independent review of information security) 1) นโยบาย แนวปฏบต ขอกาหนด มาตรการตาง ๆ ตองมการทบทวนตามรอบระยะเวลาทกาหนด 14.2.2 ความสอดคลองกบนโยบายและมาตรฐานดานความมนคงปลอดภย (Compliance with security policies and standards) 1) หนวยงานตองคอยตรวจสอบ สอดสอง ขนตอนปฏบตทอยภายใตการดาเนนงานของตนเองโดยเทยบกบนโยบายมาตรฐาน 14.2.3 การทบทวนความสอดคลองทางเทคนค (Technical compliance review) 1) การตงคาการทางานของระบบตองไดรบการทบทวนอยาสมาเสมอ เพอมงไปยงการรกษาความมนคงปลอดภยสารสนเทศ
๓๑
สวนท 3 แนวปฏบต
แนวปฏบตการใชงานสารสนเทศใหมนคงปลอดภย 1. การใชงานรหสผาน ผใชงานตองปฏบตดงน
1.1. ผใชงานตองเปลยนรหสผานทก 6 เดอน หรอเมอระบบแจงเตอนใหเปลยนรหสผาน 1.2. เลอกรหสผานทปลอดภยและรกษารหสนนใหเปนความลบอยตลอดเวลา 1.3. ไมอนญาตใหผอนใชบญชของตน หากเกดปญหาจากการใหใชบญช ไดแก การละเมดลขสทธ หรอการเกบขอมลทผดกฎหมาย เจาของบญชผใชตองเปนผรบผดชอบ เวนแตจะมหลกฐานพสจนไดวาไมได เปนผกระทา 1.4. ไมลกลอบใชรหสผาน หรอแกะรหสผานของผใชอน หรอการกระทาอนใดเพอใหไดมาซงรหสผานของผอน 1.5. รายงานการลวงละเมดความปลอดภยในระบบใหผดแลระบบทราบในทนท
2. การปองกนอปกรณทไมมผดแล ผใชงานตองมวธเพอปองกนไมใหผไมมสทธเขาถงอปกรณสานกงานทไมมผใชดแล เพอปองกนขอมลสาคญสญหาย 2.1. ผดแลระบบมอานาจทจะยตหรอเพกถอนสทธการใชคอมพวเตอรและเครอขายโดยทนท หากตรวจพบผใชทฝาฝนระเบยบหรอกระทาการใดทอาจสรางความเสยหายใหกบระบบ 2.2. เครองคอมพวเตอรสวนบคคลทกเครองตองตดตงระบบ screen saver โดยกาหนดรหสในการเขาใช 2.3. การรกษาความลบของขอมลในเครองคอมพวเตอร หรออปกรณสานกงานจะเปนความรบผดชอบของผใชงานประจาเครองคอมพวเตอร หรออปกรณสานกงานนน
3. ตองไมทงสนทรพยสารสนเทศสาคญไวในททไมปลอดภย โดยตองควบคมไมใหสนทรพยสารสนเทศ ไดแก เอกสาร ส อ บนทกขอมล คอมพวเตอร สารสนเทศ ฯลฯ อยในภาวะเส ยงตอการเขาถ งโดยผ ซ ง ไมมสทธ 3.1. ตองกาหนดใหผใชงานออกจากระบบสารสนเทศเมอวางเวนจากการใชงาน 3.2. เครองคอมพวเตอรสวนบคคลทกเครองตองมรหสผานประจาเครองสาหรบผใชงานและรหสผานของผดแลระบบ 3.3. ผใชงานตองลอคอปกรณทสาคญเมอไมไดใชงานหรอปลอยทงไวโดยไมไดดแลชวคราว 3.4. การปองกนขอมลและสนทรพยดานสารสนเทศทอยในเครองคอมพวเตอรประเภทพกพา ผใชงานตองมวธการปองกนขอมลและสนทรพยดานสารสนเทศทอยในเครองคอมพวเตอรประเภทพกพา, smart mobile device เมอปฏบตงานอยนอกสถานท ไดแก 3.4.1. ตองใสรหสผานปองกนหนาจอทกเครอง 3.4.2. ตองใชกญแจลอคเครองคอมพวเตอรพกพา 3.4.3. ตองเขารหสขอมลทสาคญไว 3.5. ผใชงานอาจนาการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ ไดแก
๓๒
3.5.1. การสารองขอมลทเปนขอมลลบตองเขารหสดวยเทคโนโลย Secured Socket Layer (SSL) ซงเปนเทคโนโลยในการเขาสขอมลผานรหสทระดบ 128 bits (128-bits Encryption) เปนอยางนอยเพอเขารหสขอมลทถกสงผานเครอขายอนเทอรเนตในทกครง 3.5.2. การอนญาตใหเขาถงขอมลลบผานเครอขายตองเขารหสดวยรหสผาน กาหนดวนหมดอายของการเขาถง และระบใหเขาถงไดเฉพาะผมสทธ 3.5.3. ไมอนญาตใหสงผานขอมลลบผานเครอขาย หากตองสงผานเครอขายตองขออนญาตจากผบงคบบญชาทกครง และในกรณทเปนไฟลแนบตองเขารหสดวยรหสผานทกครง 3.5.4. การสาเนาขอมล ชนความลบตองจดบนทกจานวนชดทสาเนา รายละเอยดผดาเนนการทกครง
4. การทาลายสอบนทกขอมลหรอขอมลลบใหเปนไปตามแนวปฏบตในการทาลายขอมลหรอกาจดสอบนทกขอมล
๓๓
แนวปฏบตในการควบคมการเขาถงสารสนเทศ เพอควบคมการเขาถงระบบสารสนเทศ อปกรณประมวลผลสารสนเทศ ใหเขาถงเฉพาะผทไดรบอนญาต และรวมความถงการกาหนดหนาทของผใชงาน การเขาถงเครอขาย การใชงานระบบสารสนเทศ การเฝาดการใชงานระบบสารสนเทศ และอปกรณท เชอมตอเขากบระบบสารสนเทศของการกฬา แหงประเทศไทย เปนตน
1. ผดแลระบบ ตองกาหนดสทธการเขาถงขอมลและระบบขอมลใหเหมาะสมกบการใชงานของผใชงาน และ หนาทความรบผดชอบในการปฏบตงานของผใชงานระบบสารสนเทศ รวมทงมการทบทวนสทธการเขาถงอยางสมาเสมอ ดงน 1.1. กาหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ ทเกยวของกบการอนญาต การกาหนดสทธหรอการมอบอานาจ ดงน 1) กาหนดสทธของผใชงานแตละกลมทเกยวของ ไดแก – สทธอานอยางเดยว – สทธการเพมขอมล – สทธการแกไขขอมล – สทธการลบขอมล – สทธการอนมต/อนญาต – ไมมสทธ 1.2. กาหนดการระงบสทธ มอบอานาจ ใหเปนไปตามแนวปฏบตการจดการการเขาถงของผใชงาน ทไดกาหนดไว 1.3. ผใชงานทตองการเขาใชงานระบบสารสนเทศจะตองขออนญาตเปนลายลกษณอกษร และไดรบการพจารณาจากผดแลระบบทไดรบมอบหมาย 1.4. การแบงประเภทของขอมลและการจดลาดบความสาคญหรอลาดบชนความลบของขอมล ใชแนวทางตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. ๒๕๔๔ ซงระเบยบดงกลาวเปนมาตรการ ทละเอยด รอบคอบ ถอเปนแนวทางทเหมาะสมในการจดการเอกสารอเลกทรอนกส และการรกษาความปลอดภยของเอกสารอเลกทรอนกส โดยไดกาหนดกระบวนการ และกรรมวธตอเอกสารทสาคญไว ดงน 1.4.1. จดแบงประเภทขอมลออกเปน 1.4.1.1. ขอมลทวไปทเปดเผยได 1.4.1.2. ขอมลเฉพาะทตองกาหนดสทธ ไดแก 1) ขอมลสารสนเทศดานการบรหาร ไดแก ขอมลนโยบาย ขอมลยทธศาสตร และคารอง ขอมลบคลากร ขอมลงบประมาณการเงนและบญช เปนตน 2) ขอมลสารสนเทศตามพนธกจ ไดแก ขอมลดานการเรยนการสอน ขอมลดานการวจย และขอมลดานบรการวชาการ เปนตน 1.4.2. จดแบงระดบความสาคญของขอมล ออกเปน ๔ ระดบ 1.4.2.1. ขอมลทมระดบความสาคญมากทสด ไดแก ขอมลผลการเรยนนสต ขอมลงบประมาณการเงนและบญช ขอมลดานการวจย 1.4.2.2. ขอมลทมระดบความสาคญมาก ไดแก ขอมลนโยบาย ขอมลยทธศาสตร ขอมลสวนบคคล ขอมลบคลากร
๓๔
1.4.2.3. ขอมลทมระดบความสาคญปานกลาง 1.4.2.4. ขอมลทมระดบความสาคญนอย หากขอมลทนอกเหนอจากท กาหนด การจดระดบความสาคญของขอมล ใหพจารณาในระดบฐานขอมล ดวยการประเมนมลคาความเสยหายตอหนวยงานหากขอมลมปญหา ไมสมบรณ แนวปฏบตในการพจารณาจดลาดบความสาคญของขอมลมดงน ระดบความสาคญของขอมล การประเมนมลคาความเสยหายหากขอมลมปญหา หรอไมสมบรณ ความสาคญมากทสด มผลกระทบรนแรงตอการดารงอยของหนวยงาน หรอปดหนวยงาน ความสาคญมาก มผลกระทบในระดบทยงไมมนยสาคญตอการดาเนนงานขององคกร ความสาคญปานกลาง มผลกระทบในระดบทมนยสาคญเลกนอย ความสาคญนอย มผลกระทบใดๆ ตอการดาเนนภารกจ 1.4.3. จดแบงลาดบชนความลบของขอมล 1.4.3.1. ขอมลลบทสด หมายถง หากเปดเผยท งหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายอยางรายแรงทสด 1.4.3.2. ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายอยางรายแรง 1.4.3.3. ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหาย 1.4.3.4. ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได 1.4.4. จดแบงระดบชนการเขาถง ดงน 1.4.4.1. เขาถงไดทกกลมผใชงาน ไดแก ขอมลทวไปทเปดเผยได 1.4.4.2. เขาถงไดเฉพาะกลมผใชงานทไดรบสทธ ไดแก ขอมลเฉพาะทตองกาหนดสทธ ขอมลลบ 1.4.4.3. เขาถงไดเฉพาะผมสทธในการบรหารจดการระบบสารสนเทศ ไดแก ขอมลระบบ 1.4.5. กาหนดชองทางในการเขาถงขอมล 1.4.5.1. ผใชงานเขาใชบรการผานทางระบบเครอขายภายใน ไดตลอด 24 ชวโมง 1.4.5.2. ผใชงานเขาใชบรการผานทางระบบเครอขายอนเตอรเนตทอยภายนอก ผานระบบ VPN ไดตลอด 24 ชวโมง 1.4.6. กาหนดเวลาและจานวนระยะเวลาในการเขาถงขอมล 1.4.6.1. ระบบงานบรการสาหรบผใชงานทวไปเขาถงไดตลอดเวลา 1.4.6.2. ระบบงานภายในสาหรบผใชงานสามารถเขาถงระบบตามชวงเวลา ดงน 1) เวลาราชการ (๘.๓๐ – ๑๖.๓๐ น.) 2) นอกเวลาราชการ (นอกชวงเวลา ๘.๓๐ – ๑๖.๓๐ น.) 3) ชวงเวลาวนหยดราชการ (วนหยดราชการ และวนหยดนกขตฤกษ) 4) ชวงเวลาพเศษเปนรายครง โดยระบชวงเวลา ระยะเวลาการเขาถง
๓๕
1.5. มขอกาหนดการใชงานตามภารกจ เพอควบคมการเขาถงสารสนเทศ โดยแบงการจดทาขอปฏบตเปนสองสวน คอ 1.5.1. มการควบคมการเขาถงสารสนเทศ โดยใหกาหนดแนวทางการควบคมการเขาถงระบบสารสนเทศ และสทธทเกยวของกบระบบสารสนเทศ 1.5.2. มการปรบปรงใหสอดคลองกบขอมลกาหนดการใชงานตามภารกจและขอกาหนดดานความมนคงปลอดภย 1.6. ตองจดใหมการบนทกรายละเอยดการเขาถงระบบสารสนเทศและแกไขเปลยนแปลงสทธตาง ๆ เพอเปนหลกฐานในการตรวจสอบ 1.7. ตองจดใหมการบนทกการผานเขา - ออกสถานทตงของระบบสารสนเทศเพอเปนหลกฐานในการตรวจสอบ
๓๖
แนวปฏบตการควบคมการเขาถงเครอขาย เพอควบคมการใชบรการบนระบบเครอขายคอมพวเตอร 1. ผดแลระบบตองออกแบบและแบงแยกระบบเครอขาย ตามกลมของบรการระบบเทคโนโลยสารสนเทศ กลมของผใชงาน และกลมของระบบสารสนเทศ โดยประกอบดวย โซนภายใน (Internal Zone) โซนภายนอก (External Zone) เพอใหการบรหารจดการและควบคมเปนระบบ และปองกนการบกรกไดอยางมประสทธภาพ
2. การพสจนตวตนสาหรบผใชงานทอยภายนอกการกฬาแหงประเทศไทยผดแลระบบตองกาหนดใหพสจนตวตน กอนทจะอนญาตใหผใชทอยภายนอกการกฬาแหงประเทศไทยสามารถเขาใชงานเครอขาย และระบบสารสนเทศของการกฬาแหงประเทศไทย ไดแก 2.1. การแสดงตวตน ดวยชอผใชงาน (Username) 2.2. การพสจนยนยนตวตน ดวยการใชรหสผาน (Password) 2.3. การเขาสระบบสารสนเทศของ การกฬาแหงประเทศไทย จะตองมการตรวจสอบผใชงานอกครง 2.4. การเขาสระบบจากระยะไกล เพอเพมความปลอดภยของการรบสงขอมล ตองมการใชการเขารหสขอมล ไดแก SSL
3. การใชงานเครอขายจากแหลง หรอสถานททไดรบอนญาต ผดแลระบบตองจดทากระบวนการพสจนตวตนในการเชอมตอระหวางเครอขายของการกฬาแหงประเทศไทยและเครอขายภายนอกวามาจากแหลงหรอสถานททไดรบอนญาตเทานน
4. ความมนคงปลอดภยสาหรบการใชบรการเครอขาย ผดแลระบบตองจดทาขอกาหนดหรอขอตกลงสาหรบคณสมบตดานความมนคงปลอดภยของบรการเครอขายแตละประเภททใชงานรวมกนระหวางการกฬา แหงประเทศไทยกบหนวยงานภายนอก
5. การควบคมผใชงานในการใชงานเครอขาย ผดแลระบบตองมวธการจากดสทธการใชงาน เพอควบคมผใชงานใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน ไดแก 5.1. ใช Monitoring Tool เพอตรวจสอบการเชอมตอทางระบบเครอขาย 5.2. มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองแมขาย 5.3. ควบคมไมใหมการเปดใหบรการบนระบบเครอขายโดยไมไดรบอนญาต
6. การจากดเสนทางการเขาถงเครอขายทใชงานรวมกน ผดแลระบบตองกาหนดตารางของการใชเสนทางบน ระบบเครอขาย (Network routing Control) บนอปกรณจดเสนทาง (Router) หรออปกรณกระจายสญญาณ เพอควบคมผใชงานเฉพาะเสนทางทไดรบอนญาตเทานน
7. ผดแลระบบตองกาหนด IP Address ใหกบอปกรณทเชอมตอเครอขายเพอใหสามารถระบถงอปกรณเครอขายไดอยางถกตอง ในกรณทไมสามารถใช IP Address ระบถงอปกรณได กาหนดใหผใชงานตองลงทะเบยน MAC Address อปกรณทเชอมตอกบระบบเครอขาย เพอใหสามารถระบอปกรณเครอขายตวนนไดอยางถกตอง
8. ผดแลระบบจะตองทาการปองกนพอรตทใชสาหรบตรวจสอบและปรบแตงระบบ ทงการเขาถงทางกายภาพ และผานทางเครอขาย ไดแก
๓๗
8.1. ตองตรวจสอบ และปดพอรตทไมมการใชงานอยเสมอ 8.2. ตองควบคมการเขาถงระบบผานอปกรณปองกนการบกรก (firewall) ของระบบเครอขาย 8.3. การขอใชงานพอรตดงกลาวตองไดรบอนญาตจากผอานวยการฝายสารสนเทศและวชาการกฬา หรอผานชองทางทฝายสารสนเทศและวชาการกฬาจดเตรยมไวให 8.4. ตองเกบอปกรณทเชอมตอเครอขายไวในหองทมการควบคมการเขาถง และจะเขาไดเฉพาะผทไดรบอนญาตเทานน หรอลอกกญแจเพอปองกนการเชอมตอโดยไมไดรบอนญาต
9. ผดแลระบบตองกาหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดเพยงบรการทไดรบอนญาตใหเขาถง เทานน
๓๘
แนวปฏบตการควบคมการเขาถงระบบเครอขายไรสาย 1. ผใชงานทตองการเขาถงระบบเครอขายไรสายของหนวยงานโดยใชรหสบญชผใชทออกโดยฝายสารสนเทศและวชาการกฬา
2. ผดแลระบบตองดาเนนการดงตอไปน 2.1. ตองลงทะเบยนกาหนดสทธผใชงานการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความ รบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงทบทวนสทธการเขาถงอยางสมาเสมอทงนระบบจะตองไดรบอนญาตจากผดแลระบบตามความจาเปนในการใชงาน 2.2. ตองควบคมสญญาณของอปกรณกระจายสญญาณ (access point) เพอปองกนไมใหสญญาณของอปกรณรวไหลออกนอกพนทใชงานระบบเครอขายไรสายและปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได 2.3. เปลยนคา SSID ทถกกาหนดเปนคา default มาจากผผลตทนททนาอปกรณกระจายสญญาณ (access point) มาใชงาน 2.4. เปลยนคาชอบญชรายชอและรหสผานในการเขาสระบบสาหรบการตงคาการทางานของอปกรณไรสายและควรจะเลอกใชชอบญชรายชอและรหสผานทคาดเดาไดยากเพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย 2.5. ตองกาหนดคาใชWPA (Wi-Fi protectedaccess) หรอดกวาในการเขารหสขอมลระหวาง Wireless LAN client และอปกรณกระจายสญญาณ (access point) เพอใหยากตอการดกจบและทาใหปลอดภยมากขน 2.6. เลอกใชวธการควบคม ชอผใชและรหสผานของผใชงานทมสทธในการเขาใชงานระบบเครอขายไรสายโดยจะอนญาตเฉพาะชอผใชและรหสผานตามทกาหนดไวเทานนใหเขาใชระบบเครอขายไรสายได อยางถกตอง 2.7. ตดตงอปกรณปองกนการบกรก (firewall) ระหวางเครอขายไรสายกบเครอขายภายในหนวยงาน 2.8. ใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสมาเสมอเพอคอยตรวจสอบและบนทกเหตการณท นาสงสยทเกดขนในระบบเครอขายไรสายและเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกตใหรายงานตอผอานวยการฝายสารสนเทศและวชาการกฬา ทราบโดยทนท
๓๙
แนวปฏบตการจดการการเขาถงของผใชงาน เพอปองกนไมใหผทไมมสทธใชงานสามารถเขาถงระบบสารสนเทศได และควบคมการเขาถงระบบ สารสนเทศ อปกรณประมวลผลสารสนเทศ ใหเขาถงเฉพาะผทไดรบอนญาต
1. กาหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (user registration) ครอบคลมในเรองตอไปน 1.1. จดทาแบบฟอรมลงทะเบยนผใชงานระบบสารสนเทศเพอตรวจสอบสทธ และดาเนนการตามขนตอนการลงทะเบยนผใชงาน 1.2. ตองจดทาเอกสารแสดงถงสทธ และความรบผดชอบของผใชงานซงตองลงนามรบทราบดวย 1.3. ตองบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ 1.4. กาหนดหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศ ไดแก 1) บคลากรของการกฬาแหงประเทศไทย หรอบคคลภายนอกทมบญชรายชอทออกโดยฝายสารสนเทศและวชาการกฬา และ/หรอบคคลภายนอกทไดรบอนญาตใหใชสนทรพยสารสนเทศของการกฬาแหงประเทศไทย 2) ผใชงานตองไดรบอนญาตจากเจาของขอมล และไดรบมอบหมายจากผบงคบบญชา 3) ไดรบการอนมตจากผอานวยการฝายสารสนเทศและวชาการกฬา หรอผดแลระบบทไดรบมอบหมาย 1.5. กาหนดหลกเกณฑในการยกเลกเพกถอนการอนญาตใหเขาถงระบบสารสนเทศ ไดแก 1) การตดออกจากทะเบยน การโยกยายหนวยงาน การระงบการปฏบตงาน หรอเมอสนสด สถานภาพการเปนผใชงาน 2) การใชงานทขดตอขอกาหนดการใชงานเครอขาย
2. การบรหารจดการสทธของผใชงาน (Privileges Management) โดยแสดงรายละเอยดทเกยวกบการควบคมและจากดสทธเพอใหสามารถเขาถง และใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงน รวมถงสทธจาเพาะ สทธพเศษ และสทธอนๆ ทเกยวของกบการเขาถง ดงน 2.1. ตองมอบหมายหรอกาหนดสทธการใชงานใหแกผใชงานทเหมาะสมตอสถานภาพหรอหนาทความรบผดชอบ 2.2. ตองกาหนดระดบสทธในการเขาถงระบบสารสนเทศทเหมาะสมตามหนาทความรบผดชอบ และตามความจาเปนในการใชงาน 2.3. ตองมอบหมายสทธ ตองสอดคลองกบนโยบายควบคมการเขาถง 2.4. ตองบนทกและจดเกบขอมลการมอบหมายสทธใหแกผใชงาน
3. การบรหารจดการรหสผาน 3.1. กาหนดใหรหสผานตองมมากกวาหรอเทากบ 8 ตวอกษร โดยผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวพมพใหญ ตวเลข และสญลกษณเขาดวยกน 3.2. ตองใหผใชงานลงนามเพอเกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ และไมเปดเผยใหผอนทราบ 3.3. กาหนดรหสผานเรมตนใหกบผใชใหยากตอการเดา
๔๐
3.4. สงมอบรหสผานชวคราวใหกบผใชงานดวยวธการทปลอดภย หลกเลยงการใชบคคลอน หรอการสงจดหมายอเลกทรอนกส (E-Mail) ทไมมการปองกนในการสงรหสผาน 3.5. ผใชงานตองเปลยนรหสผานทนทหลงจากไดรบรหสผานชวคราว 3.6. ในกรณมความจาเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตองไดรบความเหนชอบและอนมตจากผบงคบบญชาของหนวยงานเจาของระบบ โดยตองกาหนดระยะเวลาใชงาน และระงบ การใชงานทนทเมอพนระยะเวลาสทธพเศษทไดรบ
4. การทบทวนสทธในการเขาถงระบบของผใชงาน ผดแลระบบตองทบทวนสทธในการเขาถงระบบสารสนเทศ ตามระยะเวลาทกาหนดไว อยางนอยปละ 1 ครง หรอเมอเปลยนแปลงสถานภาพ
5. ตองกาหนดหลกสตร และฝกอบรมเกยวกบการสรางความรความเขาใจถงภยและผลกระทบทเกดขนจากการใชงานระบบสารสนเทศ และความตระหนกเรองความมนคงปลอดภย และกาหนดใหมมาตรการเชงปองกนตามความเหมาะสม
๔๑
แนวปฏบตการควบคมการเขาถงระบบปฏบตการ 1. กาหนดขนตอนการปฏบตเพอการเขาใชงานทมนคงปลอดภยสาหรบระบบทมความความสาคญสงหรอม ความเสยงสง การเขาถงระบบปฏบตการจะตองควบคมโดยแสดงวธยนยนตวสาหรบระบบสารสนเทศ ดงน 1.1. ระบบสามารถยตการเชอมตอจากเครองปลายทางได เมอพบวามการพยายามคาดเดารหสผานจากเครองปลายทาง 1.2. ตองกาหนดระยะเวลาสาหรบการปอนรหสผาน 1.3. จากดเขาถงระบบปฏบตการเฉพาะอนทราเนต
2. การพสจนตวตนสาหรบผใชงาน ผดแลระบบตองกาหนดใหพสจนตวตนสาหรบผใชงานเปนรายบคคลกอนท จะอนญาตใหเขาใชงานระบบสารสนเทศ ไดแก 2.1. ผใชงานตองลงบนทกเขา (Login) โดยใชชอผใช (Username) ของตนเอง และทาการลงบนทกออก (Logout) ทกครงเมอสนสดการใชงานหรอหยดการใชงานชวคราว 2.2. ผใชงานทเปนเจาของบญชผใชบรการ ตองเปนผรบผดชอบในผลตาง ๆ อนเกดจากการใชชอผใช (Username) เวนแตจะพสจนไดวาผลเสยหายนนเกดจากการกระทาของผอน
3. การบรหารจดการรหสผาน ผดแลระบบตองจดใหมระบบหรอวธการในการตรวจสอบคณภาพของรหสผาน และมวธการควบคมดแลใหผใชเปลยนรหสผานตามระยะเวลาทกาหนด ไดแก 3.1. กาหนดใหรหสผานตองมมากกวาหรอเทากบ 8 ตวอกษร โดยผสมกนระหวางตวอกษรทเปนตวพมพปกต ตวพมพใหญ ตวเลข และสญลกษณเขาดวยกน 3.2. ตองใหผใชงานลงนามเพอเกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ และไมเปดเผยใหผอนทราบ 3.3. กาหนดรหสผานเรมตนใหกบผใชใหยากตอการเดา 3.4. สงมอบรหสผานชวคราวใหกบผใชงานดวยวธการทปลอดภย หลกเลยงการใชบคคลอน หรอการสงจดหมายอเลกทรอนกส (E-Mail) ทไมมการปองกนในการสงรหสผาน 3.5. ผใชงานตองเปลยนรหสผานทนทหลงจากไดรบรหสผานชวคราว 3.6. ในกรณมความจาเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตองไดรบความเหนชอบและอนมตจากผบงคบบญชาของหนวยงานเจาของระบบ โดยตองกาหนดระยะเวลาใชงาน และระงบ การใชงานทนทเมอพนระยะเวลาสทธพเศษทไดรบ
4. กระบวนการในการเขาสระบบใหบรการอยางมนคงปลอดภย ผดแลระบบตองกาหนดกระบวนการในการเขาสระบบใหบรการเพอใชงานเครองใหบรการทมความมนคงปลอดภย เชน กาหนดใหระบบใหบรการปฏเสธการใชงาน หากผใชพมพรหสผานผดพลาดเกน 3 ครง เปนตน
5. การพสจนตวตนสาหรบเครองคอมพวเตอร ผดแลระบบตองมวธการพสจนตวตนสาหรบเครองคอมพวเตอร กอนทจะอนญาตใหเขามาใชงานระบบเครอขายคอมพวเตอร
6. การตดเวลาการใชงานเครองคอมพวเตอร ผดแลระบบตองมวธการตดเวลาการใชงานเครองคอมพวเตอรเมอเครองคอมพวเตอร นนไมไดใชงานเปนระยะเวลาหนง เชน กลไกการลอคหนาจอ และตองใชรหสผานในการเขาสระบบ เปนตน
๔๒
7. การควบคมการใชงานโปรแกรมยทลต ผดแลระบบตองกาหนดใหควบคมการใชโปรแกรมยทลตสาหรบระบบเพอปองกนการเขาถงโดยผทไมไดรบอนญาต ไดแก 7.1. กอนใชงานโปรแกรมยทลตตองพสจนตวตนกอน 7.2. จากดการใชงานโปรแกรมยทลตใหเฉพาะผทไดรบมอบหมายแลวเทานน 7.3. ใหแยกโปรแกรมยทลตออกจากโปรแกรมระบบงาน 7.4. ใหบนทกรายละเอยดการเขาใชงานโปรแกรมยทลต 7.5. โปรแกรมยทลตทนามาใชงานตองไมละเมดลขสทธ
8. การตดตงระบบเตอนภยสาหรบระบบทมความสาคญสง ผบรหารตองจดใหตดตงระบบเตอนภยใหกบผใชท ปฏบตงานกบระบบทมความสาคญสง 9. การใชงานระบบเทคโนโลยสารสนเทศตองกาหนดใหตด และหมดเวลาการใชงานหลงจากทไมมกจกรรมการ ใชงานเกน ๓๐ นาท
10. ผดแลระบบตองจากดระยะเวลาในการเชอมตอระบบสารสนเทศ (Limitation of Connection Time) ของผใชงานไปยงเครองปลายทาง เพอใหมความมนคงปลอดภยมากยงขนสาหรบระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความสาคญสง ไดแก ระบบบญชเงนเดอน ระบบฐานขอมลบคคล โดยสามารถเขาใชงานระบบในชวงวนเวลาราชการตงแตเวลา 8.30 – 16.30 น. และวนหยดราชการตงแตเวลา 8.30 - 12.00 น. โดยการเชอมตอ ๑ ครงอนญาตใหใชงานไดไมเกน 2 ชวโมง ในกรณมความจาเปนเรงดวนใหทาการขออนมตจากผบงคบบญชาหรอผทไดรบมอบหมายเพออนมตใหเขาใชงานระบบเปนครงคราว
๔๓
แนวปฏบตการรกษาความมนคงปลอดภยทางกายภาพหองควบคมระบบ ความมนคงทางกายภาพถอเปนสวนสาคญอนหนงของระบบรกษาความปลอดภย ความมนคงทางกายภาพ รวมถงการปองกนสถานทและอปกรณ ใหปลอดภยจากการปลน การโจรกรรม อบตภยทางธรรมชาตเชนแผนดนไหว นาทวมเปนตน การปองกนอบตเหตอนกอใหเกดความเสยหายเนองจากกระแสไฟฟาลดวงจรอณหภม หรอความชน ในหองควบคมทสงเกนขดจากด หรอการกระทาโดยประมาท เชน การทานาหกรด โดนเครองคอมพวเตอร เซรฟเวอร ดงนนจงมความจาเปนในการปองกนอาคารและอปกรณโดยกาหนดเปนนโยบายเพอถอปฏบต ในเรองการสรางหองควบคมระบบคอมพวเตอรและเครอขายรวมถงมาตรการในการใชหองควบคมระบบคอมพวเตอรและเครอขาย
1. จาแนกและกาหนดพนทหองควบคมระบบ เพอจดประสงคในการเฝาระวงควบคมการรกษาความมนคงปลอดภย จากผทไมไดรบอนญาตรวมทงปองกนความเสยหายอนๆ ทอาจเกดขนได โดยจดแบงพนท ดงน 1.1. หองควบคมระบบแบงเปนสองพนท ไดแก พนทควบคม (Control Area) และพนทจากดการเขาถง (Restricted Area) 1.2. พนทควบคมเปนพนททจดไวสาหรบการเยยมชมหรอสงเกตการณระบบ สวนพนทจากดการเขาถงเปนหองทมเซรฟเวอร ระบบเครอขายคอมพวเตอรตดตงอย
2. การเขาไปในพนทควบคม 2.1. ไมอนญาตใหบคคลใดเขาไปในพนทควบคม ยกเวนเจาหนาทหองควบคมระบบ ผบรหารหนวยงานหรอบคคลทผบรหารหนวยงานนาเขาเยยมชม 2.2. ไมอนญาตใหนาอาหารหรอเครองดมเขาไปในเขตพนทควบคม 2.3. ไมอนญาตใหนาวตถไวไฟ วตถอนตราย และวตถตดไฟงาย เชน เศษกระดาษ เศษถงพลาสตก เปนตน เขาไปในเขตพนทควบคมเวนแตรบความเหนชอบจากผดแลระบบทไดรบมอบหมาย 2.4. ในกรณทมความจาเปนเรงดวนหรอเหตการณฉกเฉนอนอาจเปนผลทาใหเกดความเสยหายตอสนทรพยของหนวยงานจะอนญาตใหเขาไปในพนทควบคมไดโดยไดรบความเหนชอบจากผดแลระบบทไดรบมอบหมาย 2.5. บคคลอนทมความจาเปนในการปฏบตงานหรอการเขาเยยมชมในพนทควบคมตองไดรบอนญาตจากผดแลระบบทไดรบมอบหมายและตองมเจาหนาทอยดวยตลอดเวลา
3. การเขาไปในพนทจากดการเขาถง 3.1. ไมอนญาตใหบคคลใดเขาไปในพนทจากดการเขาถง ยกเวนเจาหนาทหองควบคมระบบหรอในกรณทบคคลอนทมความจาเปนเขาไปปฏบตงานตองไดรบอนญาตจากผดแลระบบทไดรบมอบหมาย และตองมผดแลระบบทไดรบมอบหมายอยางนอย 1 คนเขาไปรวมปฏบตงานและประสานงานดวยทกครง และใหบนทกกจกรรมการปฏบตงานทกครง 3.2. ไมอนญาตใหบคคลทมอายตากวา 15 ป เขาไปในพนทจากดการเขาถง 3.3. ไมอนญาตใหนาอาหารหรอเครองดมเขาไปในพนทจากดการเขาถง 3.4. ไมอนญาตใหนาวตถไวไฟ วตถอนตราย และวตถตดไฟงาย เชน เศษกระดาษ เศษถงพลาสตก เปนตน เขาไปในเขตพนทจากดการเขาถงเวนแตรบความเหนชอบจากผดแลระบบทไดรบมอบหมาย 3.5. ไมอนญาตใหเขาเยยมชมในพนทจากดการเขาถง
๔๔
3.6. ในกรณทมความจาเปนเรงดวนหรอเหตการณฉกเฉนอนอาจเปนผลทาใหเกดความเสยหายตอสนทรพยจะอนญาตใหเขาไปในพนทจากดการเขาถงไดโดยไดรบความเหนชอบจากผดแลระบบทไดรบมอบหมาย
4. ดานกายภาพของหองควบคมระบบ 4.1. แยกอปกรณทมความสาคญมากออกจากอปกรณทใชงานทวไป โดยกาหนดลาดบความสาคญของอปกรณแตละชนดไวเชน router, switch, server, UPS เปนตน 4.2. ม rack ในการจดเกบอปกรณตางๆ ทเหมาะสมเพอสะดวกในการบารงรกษา 4.3. ตาแหนงของการวางอปกรณตางๆ ไมควรวางใกลประต หนาตางเพอปองกนอบตเหตทอาจเกดขน ไมควรวางอปกรณใหเครองปรบอากาศเปาถกโดยตรงเพอหลกเลยงความชน 4.4. การจดวางสาย cable network สายไฟฟาควรตดปายชอสายตนทางปลายทาง และเกบสายให เรยบรอยเพอปองการการเดนสะดด 4.5. ตดประกาศบนทกการบารงรกษา ชอและหมายเลขโทรศพทของผดแลรบผดชอบอปกรณแตละชนด 4.6. มระบบรกษาความปลอดภยในหองเชน กลอง CCTV ระบบการเขาออกหองโดยระบบ fingerprint scan หรอ RFID เปนตน 4.7. มระบบสงเกตการณอณหภมภายใน rack ระบบแจงเตอนและปองกนอคคภย 4.8. มระบบสารองไฟฟาเพอปองกนไฟฟาดบ เชน ตดตงระบบเครองกาเนดไฟฟาอตโนมต และระบบ สารองไฟฟาอตโนมต เปนตน 4.9. มระบบปองกนกระแสไฟฟาจากฟาผา 4.10. ระบบปรบอากาศแบบควบคมอณหภม (50-80°F) และความชน (20- 80%) 4.11. ตดตงฉนวนกนไฟไหม ทฝาเพดานและกาแพง
5. การบารงรกษาหองควบคมระบบและระบบเครอขาย 5.1. กรณตดตงเซรฟเวอรหรออปกรณตางๆ ใหแกะหบหอและประกอบใหแลวเสรจจากภายนอกพนทควบคมและพนทจากดการเขาถงกอนนาไปตดตงเวนแตรบความเหนชอบจากผดแลระบบทไดรบมอบหมาย 5.2. กรณทจาเปนตองทางานกอสราง แกไข และตดตง ในพนทควบคมและพนทจากดการเขาถงตองมอปกรณควบคม ฝน ความรอน เพอปองกนความเสยหาย โดยผานความเหนชอบจากผดแลระบบทไดรบมอบหมายกอนการปฏบตงาน 5.3. ตรวจสอบความพรอมของระบบรกษาความปลอดภยทก 3 เดอน 5.4. รางขนตอนแผนการดาเนนงานเมอเกดกรณฉกเฉน เชน ไฟฟาลดวงจร ไฟไหม แผนดนไหว นาทวมหรอมผบกรก เปนตน 5.5. ซอมการปฏบตงานตามแผนการดาเนนงานเมอเกดกรณฉกเฉน ทก 6 เดอน 5.6. มตารางการเขาบารงรกษาอปกรณชดเจน
๔๕
แนวปฏบตการควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ การใชบรการดานไอซทจากหนวยงานภายนอก บางครงหนวยงานภายนอกอาจเขาถงระบบสารสนเทศ แกไข เปลยนแปลง และประมวลผลระบบงานโดยไมไดรบอนญาต ดงนน จงตองกาหนดแนวทางในการปฏบตงานของหนวยงานภายนอกเพอความมนคง ปลอดภย ของระบบสารสนเทศของการกฬา แหงประเทศไทย โดยนโยบายและแนวปฏบตนตองตรวจสอบ และประเมนตามระยะเวลา 1 ครงตอป
1. หนวยงานภายนอก ท ตองการสทธในการเขาใชงานระบบสารสนเทศและการสอสารของการกฬา แหงประเทศไทย จะตองทาเรองขออนญาตเปนลายลกษณอกษรเพอขออนมตจากผบรหารของหนวยงาน
2. จดทาเอกสารแบบฟอรมสาหรบหนวยงานภายนอก โดยตองมรายละเอยดในการเขาระบบสารสนเทศ อยางนอย ดงน 2.1. เหตผลในการขอใชงาน 2.2. ระยะเวลาในการใชงาน 2.3. การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย 2.4. การตรวจสอบ Mac Address ของอปกรณทเชอมตอ 2.5. การกาหนดการปองกนในเรองการเปดเผยขอมล
3. หนวยงานภายนอกททางานใหกบการกฬาแหงประเทศไทยทกหนวยงาน จาเปนตองลงนามในสญญาการ ไมเปดเผยขอมลของการกฬาแหงประเทศไทย โดยสญญาตองทาใหเสรจกอนใหสทธในการเขาสระบบสารสนเทศ
4. ผใหบรการจากหนวยงานภายนอก ตองจดทาคมอการปฏบตงาน และเอกสารทเกยวของรวมทงปรบปรงให ทนสมย และหากมการปรบเปลยนจะตองแกไขใหถกตอง เพอใชควบคมและตรวจสอบการใหบรการของผใหบรการวาเปนไปตามขอกาหนด
5. เจาของโครงการซงรบผดชอบตอโครงการทมการเขาถงขอมลโดยหนวยงานภายนอก ตองกาหนดการเขาใช งานเฉพาะบคคลทจาเปนเทานน และใหหนวยงานภายนอกลงนามในสญญาไมเปดเผยขอมล และผดแลระบบตองควบคมการปฏบตงานนนๆ ใหมความปลอดภยทง 3 ดาน คอ การรกษาความลบ (Confidentiality) การรกษาความถกตองของขอมล (Integrity) และการรกษาความพรอมทจะใหบรการ (Availability)
6. การกฬาแหงประเทศไทยมสทธในการตรวจสอบตามสญญาการใชบรการดานไอซทเพอใหมนใจวาสามารถ ควบคมการใชงานอยางทวถงตามขอกาหนด 7. ในการจางเหมาพฒนา บารงรกษาระบบผดแลระบบตองกาหนดการเขาถงระบบสารสนเทศสาหรบผปฏบตงานจากภายนอก ไดแก 7.1. ตองจดใหมการควบคมการใชงาน ไดแก กาหนดสทธในการใชงานเฉพาะทจาเปนขนตา ตรวจสอบวาระบบสารสนเทศทอนญาตใหใชงานนนมเฉพาะขอมลทจาเปนตองใชงาน 7.2. ตองมวธการพสจนตวตนสาหรบผใชงานภายนอก กอนทจะอนญาตใหเขามาใชงานระบบสารสนเทศ ไดแก การกาหนดชอผใช และรหสผาน สาหรบเขาใชงานระบบสารสนเทศ 7.3. ตองบนทกกจกรรมการใชงานขอมลเกบเปน Log File
๔๖
7.4. ในระบบทมความสาคญสงไมอนญาตใหทดสอบบนระบบจรง (Production) แตตองทดสอบบนระบบทดสอบ (Test) ใหเสรจสนกอนจงจะนามาตดตงบนระบบจรง และกอนการตดตงระบบจรงตองไดรบอนญาตจากผบรหารกอน
๔๗
แนวปฏบตการสารองและการกคนขอมล 1. การสารองขอมล หนวยงานทมเครองคอมพวเตอรแมขายใหบรการใหดาเนนการคดเลอกและจดทาระบบ สารองขอมล ดงน 1.1. ผดและระบบมหนาท 1.1.1. ตองสารวจเครองคอมพวเตอรทอยในความดแล และจดระดบความสาคญของขอมล 1.1.2. สารวจขอมล และ จดระดบความสาคญในการสารองขอมล ดงน ระดบ ความหมาย คาอธบายความหมายเพมเตม
0 ไมมผลกระทบ ไมมผลกระทบใดๆ ตอการดาเนนภารกจ 1 กระทบเลกนอย มผลกระทบในระดบท ยงไมมนยสาคญตอการดาเนนงาน
องคกร 2 กระทบคอนขางนอย มผลกระทบในระดบทมนยสาคญเลกนอย 3 กระทบคอนขางรนแรง มผลกระทบอยางมนยสาคญตอการดาเนนภารกจ 4 กระทบรนแรง มผลกระทบรนแรงตอความสามารถในการดาเนนงานตอไปได 5 ปดหนวยงาน มผลกระทบรนแรงตอการดารงอยขององคกร
1.1.3. ตองจดใหมความถในการสารองใหพอเพยง ในระบบทมความสาคญสง เครองทมความสาคญสงควรเพมความถการสารองใหมากขน ดงน ท รายการ ขอมลทตองสารอง ความถในการสารองขอมล 1 Mail
servers คา configure กอนและหลงการเปลยนแปลง
ขอมลในเมลบอกซ Full 1 ครงตอเดอน และนาสอบนทกขอมลนนไปไวนอกสถานท
2 Web servers
คา configure กอนและหลงการเปลยนแปลง
ขอมลเผยแพรบนเวบไซต Full 1 ครงตอเดอน และนาสอบนทกขอมลนนไปไวนอกสถานท
3 Database คา configure กอนและหลงการเปลยนแปลง ขอมลในฐานขอมลของระบบทสาคญ
Full 2 ครงตอสปดาห และนาสอบนทกขอมลนนไปไวนอกสถานท
4 Firewall คา configure กอนและหลงการเปลยนแปลง
ขอมล Rule ของ Firewall Full 1 ครงตอเดอน และนาสอบนทกขอมลนนไปไวนอกสถานท
5 Server อนๆ คา configure กอนและหลงการเปลยนแปลง เชน...
ขอมลบนเซรฟเวอรอนๆ Full 1 ครงตอเดอน และนาสอบนทกขอมลนนไปไวนอกสถานท
๔๘
1.1.4. ตองจดทาผงหรอขนตอนการสารองขอมล 1.1.5. ตองทดสอบขอมลทสารองไวอยางสมาเสมอ 1.1.6. ตองจดทาบนทกการสารองขอมล และตรวจสอบวาการสารองขอมลสาเรจหรอไม แกไข และรายงานตอผบงคบบญชา 1.1.7. ตองจดใหมการสารองขอมลภายนอกสานกงานในระบบทมความสาคญระดบสง 1.1.8. ตองจดใหมการเขารหสขอมลทมระดบความสาคญสง (Encrypted backup) โดยการใชเทคโนโลยการเขารหสทเหมาะสม เพอปองกนมใหขอมลสารองเหลานนถกเปดเผย 1.1.9. ตองดาเนนการแกไขปญหาและสรปผลการแกไขปญหาและรายงานตอผบงคบบญชา หรอ ในกรณทพบปญหาในการสารองขอมลจนเปนเหตไมสามารถดาเนนการอยางสมบรณได 1.1.10. เปนผกาหนดชนด เชน Full หรอ Incremental และชวงเวลาการสารองขอมลตามความเหมาะสม พรอมทงกาหนดสอทใชเกบขอมล 1.1.11. ตองทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบสารอง อยางนอยปละ 1 ครง
2. การกคนขอมล ในกรณทพบปญหาทอาจสรางความเสยหายตอระบบคอมพวเตอรจนเปนเหตทาใหตองดาเนนการกคนระบบ ผดแลระบบมหนาทดาเนนการแกไข รายงานผลการแกไขพรอมทงบนทกและรายงานสรปผลการปฏบตงาน ตอผบงคบบญชา ดงน 2.1. ใหใชขอมลทนสมยทสด (Latest Update) ทไดสารองไวหรอตามความเหมาะสมเพอกคนระบบ 2.2. หากความเสยหายทเกดขนกบระบบคอมพวเตอร หรอระบบเครอขายกระทบตอการใหบรการหรอการใชงานของผใชระบบ ใหแจงผใชงานทราบทนท พรอมทงรายงาน ความคบหนาการกคนระบบเปนระยะจนกวาจะดาเนนการเสรจสนอยางสมบรณ
๔๙
2.3. สาเหตและวธการกคน
สาเหต วธการ กรณท 1 เกดความเสยหายขนกบโปรแกรมตนฉบบ (Source code)
ด า เน น ก าร ต ด ต งโป รแกรม ตน ฉ บ บ (Source code) ทมการใชงานอย ณ ปจจบน หรอลาสด
กรณท 2 เกดความเสยหายขนกบฐานขอมล (Database)
ดาเนนการกคนฐานขอมลท เกบไวลาสด เพอให ใชงานไดตอเนองโดยทขอมลสญหายนอยทสด
กรณท 3 เกดความเสยหายขนกบระบบ ปฏบตการ (OS) โดยทฮารดแวรยงคงทางานปกต
ดาเนนการตดตงระบบปฏบตการใหมและตดตง ระบบงานจากโปรแกรมตนฉบบทมการใชงานอย ณ ป จจ บน หรอล าสด รวมถ ง กคนขอมลจาก ฐานขอมลทเกบไวลาสด
กรณท 4 เกดความเสยหายขนกบฮารดแวร ใ ห บ ร ษ ท ผ ด แ ล แ ก ไข เ บ อ ง ต น ใ ห ฮ า ร ด แ ว ร สามารถทางานไดตามปกต และหากเกดความ เสยหายกบระบบปฏบ ตการและระบบงาน ให บรษทหรอผ ไดรบมอบหมายดาเนนการตด ตงระบบปฏบ ตการและระบบงานนนใหม โดยใช โปรแกรมตนฉบบ ทมการใชงานอย ณ ปจจบน หรอลาสด และกคนขอมลจากฐานขอมลท เกบไว ลาสด
3. การจดทาแผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบต ทอาจเกดขนกบระบบสารสนเทศ (IT Contingency Plan) หนวยงานทรบผดชอบระบบสารสนเทศมหนาท 3.1. ตองจดทาแผนความพรอมกรณฉกเฉน โดยแผนความพรอมกรณฉกเฉนตองไดรบการเหนชอบจากผบรหารประกอบดวย 3.1.1. การกาหนดชนดของภยพบต 3.1.2. ประเมนความเสยงทมผลทาใหระบบทมระดบความสาคญสง ตดขดหรอไมสามารถใชงานได 3.1.3. กาหนดขนตอนรบมอภยพบต 3.2. ตองทดสอบสภาพพรอมใชงานของระบบสารสนเทศ ระบบสารอง และระบบแผนเตรยมความพรอมกรณฉกเฉนอยางสมาเสมออยางนอยปละ 1 ครง 3.3. ทบทวนแผนเตรยมความพรอมกรณฉกเฉนความพรอมอยางนอยปละ 1 ครง
๕๐
แนวปฏบตการดาเนนการตอบสนองเหตการณมนคงปลอดภยระบบสารสนเทศ หากเกดเหตการณดานความมนคงปลอดภย จาเปนตองตอบสนองตอเหตการณอยางทนทวงท ดงนนจงตองมแนวปฏบตเมอเกดเหตการณทมผลตอความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ
1. ระบบไฟรวอลล 1.1. ดาเนนการตรวจสอบกฎ (Rule) ของระบบปองกนการบกรก อยางนอยเดอนละครง 1.2. ดาเนนการตรวจสอบบนทกของไฟลลอก (Log File) และรายงานของไฟลวอลล สงท ตองตรวจสอบมดงตอไปน 1.2.1. กลมขอมล (Packet) ทไฟลวอลลไดปดกน 1.2.2. ลกษณะของกลมขอมล (Packet) ทถกปดกน 1.2.3. หมายเลขไอพ ของเครอขายใดทถกปดกน เปนจานวนมาก 1.3. หากตรวจสอบพบการโจมต หรอเหตการณละเมดความมนคงปลอดภยระบบสารสนเทศใหแจง ผบงคบบญชาเพอตดสนใจดาเนนการแกไขปญหา หากไมสามารถแกปญหาไดใหรายงานตอผอานวยการ ฝายสารสนเทศและวชาการกฬา 1.4. กรณทตรวจพบเหตละเมดความมนคงปลอดภยทมผลกระทบคอนขางรนแรง ทอาจสงผลตอเครอขายโดยรวม ใหระงบการเชอมตอเครอขาย และใหแกไขเครองนนทนท
2. เครองคอมพวเตอรแมขาย 2.1. ตองตรวจสอบความปลอดภยเครองคอมพวเตอรแมขายกอนเปดใหบรการ โดยอยางนอยตอง ดาเนนการดงตอไปน 2.1.1. ตดตงไฟลวอลลทเครองคอมพวเตอรแมขายทใหบรการ เปดเฉพาะ port ทใชงาน 2.1.2. ปด Service ทไมไดใชงาน 2.1.3. ตดตง NTP เพอเทยบเวลาใหถกตอง 2.1.4. จากดการเขาถงจาก root หรอ Administrator โดยตรง 2.2. หนวยงานทใหบรการระบบคอมพวเตอรตองสารวจเครองคอมพวเตอรทอยในความดแล และกาหนดผดแลรบผดชอบหลก และผรบผดชอบสารอง 2.3. หนวยงานทใหบรการระบบคอมพวเตอรตองตรวจสอบความมนคงปลอดภย ตองจดบนทก ตรวจสอบแกไข และรายงาน เหตการณทเกยวกบความมนคงปลอดภยตอผบงคบบญชา 2.4. ตองตรวจสอบ แกไข และรายงานชองโหวของเครองคอมพวเตอรแมขายตอผบงคบบญชา 2.5. กรณทตรวจพบเหตละเมดความมนคงปลอดภยทมผลกระทบคอนขางรนแรง ตองดาเนนการแจงไปยงผรบผดชอบหนวยงาน หรอผมอานาจทไดรบมอบหมาย ระงบการเชอมตอเครอขาย และใหแกไขเครองนนทนท
3. ภยคกคามทางอนเทอรเนต ภยคกคามทางอนเทอรเนต ประกอบดวย ไวรส หนอนอนเทอรเนต โทรจนรวมถงสปายแวร 3.1. การกฬาแหงประเทศไทยตองดาเนนการจดหาซอฟตแวรเพอปองกน 3.2. หนวยงานทมเครองคอมพวเตอรแมขายทเชอมตออนเทอรเนต ตองดาเนนการตดตงโปรแกรมปองกนภยคกคามทางอนเทอรเนต และตองตงให Update อยางนอยสปดาหละครง
๕๑
3.3. ดาเนนการตรวจสอบบนทกของไฟลลอก (Log File) และรายงานของอปกรณสงทตองตรวจสอบ มดงตอไปน 3.3.1. การคกคามทางอนเทอรเนตใดทมเปนจานวนมาก 3.3.2. ถกสงมาจากทใด และถกสงไปยงทใด 3.4. ตองศกษาหาวธแกไขเครองคอมพวเตอรทมภยคกคามทางอนเทอรเนต โดยเฉพาะทตรวจพบวามการกระจายภายในเครอขายการกฬาแหงประเทศไทย 3.5. กรณทตรวจพบเหตละเมดความมนคงปลอดภยทมผลกระทบคอนขางรนแรง ทอาจสงผลตอเครอขายโดยรวม ใหระงบการเชอมตอเครอขาย และใหแกไขเครองนนทนทระดบความรนแรงของเหตการณ ระดบ ความหมาย คาอธบายความหมายเพมเตม 0 ไมมผลกระทบ ไมมผลกระทบใด ๆ ตอการดาเนนภารกจ 1 กระทบเลกนอย มผลกระทบในระดบทยงไมมนยสาคญตอการดาเนนงานขององคกร 2 กระทบคอนขางนอย มผลกระทบในระดบทมนยสาคญเลกนอย 3 กระทบคอนขางรนแรง มผลกระทบอยางมนยสาคญตอการดาเนนภารกจ 4 กระทบรนแรง มผลกระทบรนแรงตอความสามารถในการดาเนนงานตอไปได 5 ปดหนวยงาน มผลกระทบรนแรงตอการดารงอยขององคกร
๕๒
แนวปฏบตการตรวจสอบและประเมนความเสยงดานสารสนเทศ 1. ระบความเสยงและผลกระทบของความเสยงใหสอดคลองตามแผนบรหารความเสยงของหนวยงานเพอการ ตรวจสอบและประเมนความเสยงนน ดงตอไปน 1.1. ความเสยงทเกดจากการลกลอบเขาทางระบบปฏบตการเพอยดครองเครองคอมพวเตอรแมขายผานระบบอนเทอรเนต (Internet) 1.2. ความเสยงทเกดจากการลกลอบเขาเชอมโยงกบระบบเครอขายไรสายโดยไมไดรบอนญาต 1.3. ความเสยงทเกดจากเครองมอดานเทคโนโลยสารสนเทศ หรอระบบเครอขายเกดการขดของระหวางการใชงาน 1.4. ความเสยงทเกดจากการลกลอบใชรหสผาน (Password) ของผอนโดยไมไดรบอนญาต
2. การตรวจสอบและประเมนความเสยงใหคานงถงองคประกอบดงตอไปน 2.1. ความรนแรงของผลกระทบทเกดจากความเสยงทระบ 2.2. ภยคกคามหรอสงทอาจกอใหเกดเหตการณทระบรวมถงความเปนไปไดทจะเกดขน 2.3. จดออนหรอชองโหวทอาจถกใชในการกอใหเกดเหตการณทระบ
3. ดาเนนการตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ ปละ 1 ครง
4. ตรวจสอบและประเมนความเสยงทดาเนนการโดยผตรวจสอบภายในของสานกตรวจสอบภายใน
5. กาหนดวธการในการประเมนความเสยงและความรนแรงของผลกระทบทเกดจากความเสยงนน
6. มาตรการในการตรวจประเมนระบบสารสนเทศ อยางนอย ดงน 6.1. ควรกาหนดใหผตรวจสอบสามารถเขาถงขอมลทจาเปนตองตรวจสอบไดแบบอานไดอยางเดยว 6.2. ในกรณทจาเปนตองเขาถงขอมลในแบบอนๆ ใหสรางสาเนาสาหรบขอมลนน สาหรบใหผตรวจสอบใชงาน และควรทาลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวแหลงจดเกบขอมลอนทม ขอกาหนดการเขาถงขอมล 6.3. กาหนดใหระบและจดสรรทรพยากรทจาเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย 6.4. กาหนดใหเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทง บนทกขอมลลอก แสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทสาคญๆ 6.5. ในกรณทมเครองมอสาหรบการตรวจประเมนระบบสารสนเทศ ควรกาหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และจดเกบปองกนเครองมอนนจากการเขาถงโดยไมไดรบอนญาตโดยมการปองกนเปนอยางด 7. ในกรณระบบคอมพวเตอรหรอขอมลสารสนเทศเกดความเสยหาย หรออนตรายใด ๆ แกองคกรหรอผหนง ผใดอนเนองมาจากความบกพรอง ละเลย หรอฝาฝนการปฏบตตามแนวนโยบายและแนวปฏบตในการรกษา ความมนคงปลอดภยดานสารสนเทศ “ผบรหารระดบสงสด” เปนผรบผดชอบตอความเสยง ความเสยหายหรออนตรายทเกดขนโดยตรง รวมถงในกรณทมการรองเรยน และฟองรองภายใตกฎหมายพระราชบญญตวาดวยการกระทาความผดเกยวกบคอมพวเตอร พ.ศ. 2550
8. ตองสรางความรความเขาใจใหกบผใชงาน เพอใหเกดความตระหนกความเขาใจถงภยและผลกระทบทเกด
๕๓
จากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงกาหนดใหมมาตรการเชงปองกนทเหมาะสม
9. รายงานผลการตรวจสอบและประเมนความเสยงดานสารสนเทศปละ 1 ครง เสนอตอคณะกรรมการอานวยการดานดจทล และแจงคณะกรรมการบรหารความเสยงของการกฬาแหงประเทศไทยเพอดาเนนการตอไป
๕๔
แนวปฏบตการทาลายขอมลหรอกาจดสอบนทกขอมล ๑. เมอตองทาลายขอมลอเลกทรอนกส ผรบผดชอบขอมลอเลกทรอนกสตองเปนผทาลายขอมล
๒. กาหนดวธการทาลายขอมลอเลกทรอนกสบนสอบนทกขอมล ดงน หรอใชมาตรฐาน DoD 5220.22 M ของกระทรวงกลาโหมสหรฐอเมรกา
ประเภทสอ บนทกขอมล
วธการทาลายใช ใหมได
วธทาลาย ระยะเวลา ทาลาย
กระดาษ - - ใชการหนดวยเครองหนทาลายเอกสาร เกบรกษาไว อยางนอย ๑ ปหรอตามท กฏหมาย กาหนด
Flash Drive ใชวธการ Format
- ทาลายขอมลบน Flash Drive ตาม มาตรฐาน DoD 5220.22 M ของ กระทรวงกลาโหมสหรฐอเมรกา ซงเปน มาตรฐานการทาลายขอมลโดยการเขยนทบ ขอมลเดมหลายรอบ - ใชวธการทบหรอบดใหเสยหาย
เกบรกษาไว อยางนอย ๑ ปหรอตามท กฏหมาย กาหนด
แผน CD/DVD ใชวธการ Format
- ใชการหน ตด เผา ใหสนสภาพการใชงาน เกบรกษาไว อยางนอย ๑ ปหรอตามท กฏหมาย กาหนด
เทป - - ใชวธการทบหรอบดใหเสยหาย หรอเผา ทาลาย
เกบรกษาไว อยางนอย ๑ ปหรอตามท กฏหมาย กาหนด
ฮารดดสก ใชวธการ Format
- ทาลายขอมลบน Flash Drive ตาม มาตรฐาน DoD 5220.22-M ของ กระทรวงกลาโหมสหรฐอเมรกา ซงเปน มาตรฐานการทาลายขอมลโดยการเขยนทบ ขอมลเดมหลายรอบ - ใชวธการทบหรอบดใหเสยหาย
เกบรกษาไว อยางนอย ๑ ปหรอตามท กฏหมาย กาหนด
๕๕
แนวปฏบตการควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ เพอกาหนดมาตรการควบคมบคคลทไมไดอนญาตเขาถงระบบสารสนเทศและปองกนการบกรกผาน ระบบเครอขายจากผบกรก จากโปรแกรมชดคาสงไมพงประสงค
1. การจากดการเขาถงระบบสารสนเทศ 1.1. ตองจดใหมการควบคมการใชงาน ไดแก กาหนดสทธในการใชงาน เชน เขยน อาน ลบได กาหนดกลมของผใชทสามารถใชงานได ตรวจสอบวาระบบสารสนเทศทอนญาตใหใชงานนนมเฉพาะขอมลท จาเปนตองใชงาน 1.2. ตองมวธการพสจนตวตนสาหรบผใชงาน กอนทจะอนญาตใหเขามาใชงานโปรแกรมประยกตหรอ แอพพลเคชนและสารสนเทศ โดยใชชอผใช (Username) และรหสผาน (Password) 1.3. ตองตดเวลาการใชงานระบบสารสนเทศ เมอผใชงานไมไดใชงานเกน 3๐ นาท 1.4. การแยกระบบสารสนเทศทมความสาคญหรอมความเสยงสงไวอกบรเวณหนง ไดแก 1.4.1. การจดทาบญชรายชอแยกประเภทโดยแบงระหวางระบบทเชอมตออนเทอรเนตกบระบบอนทราเนตภายในทใชงานใน การกฬาแหงประเทศไทย 1.4.2. ระบบซงไวตอการรบกวน มผลกระทบและมความสาคญสงตอองคกร ไดแก ระบบสารสนเทศทางการบญช (ERP) ระบบฐานขอมลกลางของ การกฬาแหงประเทศไทย ตองไดรบการแยกออกจากระบบงานอน ๆ ขององคกร 1.4.3. ระบบซงไวตอการรบกวน ตองควบคมสภาพแวดลอมของตนเองโดยเฉพาะ โดยมหอง ปฏบตงานแยกเปนสดสวน และกาหนดสทธใหเฉพาะผทมสทธใชระบบเทานนเขาไปปฏบตงานในหองควบคมดงกลาว 1.4.4. การเขาถงระบบสารสนเทศทมความสาคญสง อนญาตใหทาผานชองทางทกาหนดให ตามขอ ๒ ของแนวปฏบตน 1.5. บนทกขอมลการใชงานไวเปน Log File
2. การควบคมอปกรณสอสารประเภทพกพาและการปฏบตงานจากภายนอก การกฬาแหงประเทศไทย 2.1. การปองกนขอมลและสนทรพยสารสนเทศทอยในอปกรณสอสารประเภทพกพา ผใชงานตองมวธปองกนขอมลและสนทรพยดานสารสนเทศในอปกรณสอสารประเภทพกพาเมอปฏบตงานนอกสถานท ไดแก 2.1.1. ตองใสรหสผานปองกนหนาจอทกเครอง 2.1.2. ตองใชกญแจลอคเครองคอมพวเตอรพกพา 2.1.3. ตองเขารหสขอมลทสาคญไว 2.2. การเขาสระบบระยะไกล (Remote Access) สระบบเครอขายของ การกฬาแหงประเทศไทย ตองพสจนตวตนกอนเขาใชงาน 2.2.1. การแสดงตวตน ดวยชอผใชงาน (Username) 2.2.2. การพสจนยนยนตวตน ดวยการใชรหสผาน (Password) 2.2.3. การเขาสระบบสารสนเทศของ การกฬาแหงประเทศไทย จะตองตรวจสอบผใชงานอกครง
๕๖
2.2.4. การเขาสระบบจากระยะไกลตองใชการเขารหสขอมล ไดแก SSL เพอเพมความปลอดภยของการรบสงขอมล 2.3. การอนญาตใหผใชเขาสระบบจากระยะไกลตองอยบนพนฐานความจาเปนเทานน และไมเปดพอรตทงไวโดยไมจาเปน ชองทางดงกลาวตองตดการเชอมตอเมอไมไดใชงานแลว กาหนดการเชอมตอเขาสระบบไมเกน ๒ ชวโมง 2.4. การปฏบตงานนอก การกฬาแหงประเทศไทย ผใชงานตองปฏบตตามแนวปฏบตนอยางเครงครด
๕๗
ขอกาหนดการใชงานเครอขาย 1. สทธการใชเครอขาย 1.1. สทธการใชเครอขายเปนสทธพเศษเฉพาะ (privilege) ทการกฬาแหงประเทศไทย มอบใหบคคลหรอหนวยงานทไดรบสทธไมสามารถโอนสทธใหแกบคคลอนหรอหนวยงานอนได 1.2. ผใชตองเคารพในสทธสวนบคคลและไมละเมดความเปนสวนตวของผใชรายอน 1.3. ผใชตองใชระบบเครอขายคอมพวเตอรตามมารยาทและจรรยาบรรณของการใชเครอขายตามท การกฬาแหงประเทศไทยกาหนดและตามวถสากล
2. การใชงานทไมอนญาตใหปฏบต 2.1. การใชระบบเครอขายคอมพวเตอรเพอกระทาสงทผดกฎหมาย 2.2. การเขาใชระบบเครอขายคอมพวเตอรดวยบญชของผอนทงทไดรบอนญาตและไมไดรบอนญาตจากเจาของบญช 2.3. การเขาถงขอมลของผอนเพอคดลอก แกไข ลบ หรอเพมเตม โดยไมไดรบอนญาต 2.4. การเผยแพรขอมลของผใชหรอของหนวยงานโดยไมไดรบอนญาต 2.5. การใชงานทเปนสาเหตใหระบบคอมพวเตอรและระบบเครอขายคอมพวเตอรเสยหายหรอมผลตอประสทธภาพการทางานของระบบ 2.6. การพยายามทาลายหรอทาลายระบบรกษาความปลอดภยของระบบเครอขายคอมพวเตอร 2.7. การใชหรอเผยแพรซอฟตแวรโดยไมไดรบอนญาตจากเจาของลขสทธ 2.8. การลกลอบดกจบขอมลในระบบเครอขายคอมพวเตอร 2.9. การปลอมแปลงเปนบคคลอนเพอสรางความเขาใจผดใหแกระบบคอมพวเตอรและผใชอน 2.10. การใชทรพยากรและระบบเครอขายคอมพวเตอรเพอสรางความเสยหายแกระบบคอมพวเตอรหรอเครอขายอน 2.11. การเผยแพรและ/หรอการเขาถงสอลามกอนาจาร 2.12. การใชทรพยากรและระบบเครอขายคอมพวเตอรเพอเปดใหบรการใด ๆ โดยไมไดรบอนญาต 2.13. การใชทรพยากรและระบบเครอขายคอมพวเตอรเพอประกอบธรกจ 2.14. การนาไอพแอดเดรสของการกฬาแหงประเทศไทยไปจดทะเบยนชอโดเมนอนนอกเหนอจาก ชอโดเมน sat.or.th โดยไมไดรบอนญาต 2.15. การใชระบบเครอขายคอมพวเตอร อนใดทขดตอนโยบายและระเบยบของการกฬา แหงประเทศไทย
3. การฝาฝนระเบยบและการพจารณาโทษ 3.1. การกฬาแหงประเทศไทย จะไมรบผดชอบตอผลของการกระทาทเกดขนจากผใชและ/หรอบญชผใช 3.2. ผใชทฝาฝนระเบยบการใชงานระบบเครอขายคอมพวเตอรจะถกพจารณาระงบและ/หรอยกเลกบญชผใช 3.3. ฝายสารสนเทศและวชาการกฬาจะแจงหนวยงานตนสงกดเพอพจารณาโทษแกผใชทฝาฝนระเบยบ ขอกาหนดการใชไอพแอดเดรสและชอโดเมนของระบบเครอขายคอมพวเตอร
๕๘
1. การจดสรรไอพแอดเดรส ๑.๑ ไอพแอดเดรส 192.168.0.0/16,122.93.0/24 ของระบบเครอขายคอมพวเตอรเปนสนทรพยของการกฬาแหงประเทศไทย โดยการกฬาแหงประเทศไทย มอบอานาจใหฝายสารสนเทศและวชาการกฬาทาหนาทบรหารจดการ ๑.๒ ใหฝายสารสนเทศและวชาการกฬา ทาหนาทจดสรรไอพแอดเดรสใหกบหนวยงานตามทรองขอเพอใหใชงานไดอยางเพยงพอและมประสทธภาพ โดยฝายสารสนเทศและวชาการกฬา สามารถปรบเปลยนไอพแอดเดรสทไดจดสรรใหกบหนวยงานจากหมายเลขเดมเปนหมายเลขใหมไดตามหลกวชาการ เพอใหสามารถบรหารและจดการไดอยางมประสทธภาพ
2. การจดการชอโดเมน ๒.๑ การกฬาแหงประเทศไทย ไดขนทะเบยนชอโดเมนของการกฬาแหงประเทศไทยภายใตชอ “sat.or.th” โดยฝายสารสนเทศและวชาการกฬารบภาระชาระคาธรรมเนยม การขนทะเบยนและคาบารงรกษาชอโดเมน ๒.๒ ใหฝายสารสนเทศและวชาการกฬา ทาหนาทใหบรการจดทะเบยนชอโดเมนประจาหนวยงาน และชอเครองภายใตชอโดเมนของการกฬาแหงประเทศไทย ๒.๓ หนวยงานมสทธในการใชชอโดเมน “sat.or.th” โดยยนเรองขออนมตตอผอานวยการฝายสารสนเทศและวชาการกฬา คาขออนมตจะตองลงนามรบรองโดยผวาการการกฬาแหงประเทศไทยหรอรองผวาการฝายสงเสรมกฬากได ๒.๔ โครงการพเศษหรอโครงการใดๆ ทไดรบอนมตจากการกฬาแหงประเทศไทย สามารถขอจดชอโดเมนประจาโครงการได โดยหากเปนโครงการระดบหนวยงานใหจดทะเบยนภายใตชอโดเมนยอยประจาหนวยงานนน หรอในกรณทเปนโครงการระดบการกฬาแหงประเทศไทยจะสามารถยนขอจดชอโดเมนภายใตชอโดเมนของการกฬาแหงประเทศไทยได
๕๙
ขอกาหนดการใชบรการจดหมายอเลกทรอนกส (e-mail) จดหมายอเลกทรอนกส (e-mail) เปนบรการทการกฬาแหงประเทศไทยจดใหมเพมสนบสนนการตดตอประสานงานตลอดจนการบรหารจดการตามภารกจของหนวยงาน ผใชจดหมายอเลกทรอนกสของ การกฬาแหงประเทศไทยภายใตชอโดเมน (Domain) ทจดทะเบยนโดยการกฬาแหงประเทศไทย มหนาทพงปฏบตในการใชจดหมายอเลกทรอนกส โดยไมขดกบนโยบายการใชคอมพวเตอรของการกฬาแหงประเทศไทย
1. ขอตกลงและเงอนไขการใชบรการจดหมายอเลกทรอนกสของ กกท. 1.1 หนวยงาน/บคคลผใชบรการจดหมายอเลกทรอนกสของ กกท. จะตองใชจดหมายอเลกทรอนกสของ กกท. เพอผลประโยชนของทางราชการ 1.2 หามใชระบบจดหมายอเลกทรอนกสของ กกท. เพอการประกอบธรกจหรอแสวงหาผลประโยชนสวนตน 1.3 หามใชบรการนไปในการเผยแพร อางอง พาดพง ดหมน หรอกระทาการใดๆ ทกอใหเกดความเสยหายตอสถาบน ชาต ศาสนา และพระมหากษตรย 1.4 หามใชระบบจดหมายอเลกทรอนกสขององคกรในการประกอบอาชญากรรมทางคอมพวเตอรหรอการกระทาการใดๆ ซงผดกฎหมาย คาสง ระเบยบ ขอบงคบ และมาตรการรกษาความปลอดภย ขอมล ความลบของทางราชการ 1.5 หามใชจดหมายอเลกทรอนกสขององคกร เพอการเผยแพรขอมลขาวสารหรอภาพ เสยง ขอความ ทไมเหมาะสม หรอสรางความเสอมเสยใหกบผอน 1.6 หามใชทอยจดหมายอเลกทรอนกส (e-mail address) ไปแสดงขอคดเหนสวนตวทสงผลกระทบในทางลบหรอสรางความเสอมเสยหรอเสยหายตอบคคลหรอ กกท. 1.7 หามกระทาการปลอมแปลงทอยทเปนบคคลอน (Impersanation) 1.8 หามกระทาการทสรางปญหาการใชทรพยากรของระบบ เชน (1) การสรางจดหมายลกโซ (Chain mail) (2) การสงจดหมายจานวนมาก (Spam mail) (3) การสงจดหมายตอเนอง (Letter bomb) (4) การสงจดหมายเพอการแพรกระจายไวรสคอมพวเตอร 1.9 หามผใชบรการกระทาการใดๆ ทอาจจะนามาซงความเสอมเสย หรอกอใหเกดความเสยหายแกระบบเครองแมขายจดหมายอเลกทรอนกสของ กกท. 1.10 ผใชตองรกษารหสผาน (Password) สวนบคคลหรอหนวยงานของจดหมายอเลกทรอนกสไวเปนความลบ 1.11 การสงขอมลขาวสารอนเปนความลบของทางราชการใหกบบคคลหรอหนวยงานทไมเกยวของกบราชการของ กกท. 1.12 การสงขอมลขาวสารทเปนความลบของทางราชการใหกบบคคลหรอหนวยงานนอก กกท. จะตองเขารหสขอมลขาวสารนนตามวธปฏบตและมาตรการรกษาความปลอดภยขอมลขาวสารตามท กกท. กาหนด 1.13 ทอยจดหมายอเลกทรอนกส (E-mail address) และรหสผาน (Password) ของหนวยงานหรอบคคลจะตองเกบรกษาไวเปนความลบ หากสงสยวารวไหลจะตองดาเนนการเปลยนรหสผานทนท โดยรหสผานจะตองกาหนดใหยากแกการคาดเดา (Strong Password)
๖๐
1.14 ผใชบรการจดหมายอเลกทรอนกสของ กกท. หรอผรบผดชอบทอยจดหมายอเลกทรอนกสจะตองศกษาคมอการใชงาน ระเบยบปฏบต คาแนะนา และขอตกลงเงอนไขใหเขาใจเพอใชงานจดหมายอเลกทรอนกสของ กกท. ไดอยางถกตอง 1.15 กรณไดรบการรองเรยน รองขอ หรอพบเหตอนไมชอบดวยกฎหมาย ขอสงวนสทธทจะทาการยกเลก หรอระงบบรการแกสมาชกนนๆ เปนการชวคราวหรอเพอทาการสอบสวน และตรวจสอบหาสาเหตของมลเหตนนๆ 1.16 การกระทาใดๆ ทเกยวกบการเผยแพร ทงในรปแบบอเมล และ/หรอโฮมเพจของผใชบรการ ใหถอเปนการกระทาทอยภายใตความรบผดชอบของผใชบรการ ฝายสารสนเทศและวชาการกฬาไมมสวนเกยวของใดๆ