Embed Size (px)
Citation preview
เอกสารแนบทายประกาศ เรอง แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของสถาบน วาดวยค านยาม
๑. สถาบน หมายถง สถาบนเทคโนโลยพระจอมเกลาเจาคณทหารลาดกระบง ๒. ส านก หมายถง ส านกบรการคอมพวเตอร ๓. ส านกบรการคอมพวเตอร หมายถง หนวยงานของสถาบน ทใหบรการดานเทคโนโลยสารสนเทศและ
การสอสารกลางตางๆ ของสถาบน ใหค าปรกษา พฒนา ปรบปรง บ ารงรกษาระบบ คอมพวเตอร ระบบชดค าสง ชดค าสงโปรแกรม และเครอขายภายในสถาบน
๔. ผบรหาร หมายถง ผทอธการบดมอบหมายใหดแลรบผดชอบงานดานเทคโนโลยสารสนเทศกลางดานตางๆ ของสถาบน
๕. ความมนคงปลอดภยดานสารสนเทศ หมายถง การธ ารงไวซงความลบ ความถกตอง ครบถวน และสภาพพรอมใชงาน ของระบบเทคโนโลยสารสนเทศ เปนไปตาม ตามมาตรา ๕ และมาตรา ๗ แหงพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. ๒๕๔๙ ซงก าหนดใหหนวยงานของรฐจดท าประกาศนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศเพอใหการด าเนนการใดๆ ดวยวธการทางเลกทรอนกสกบหนวยงานของรฐหรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได
๖. ผใชงาน หมายถง บคลากร นกศกษา ของสถาบน หรอผทไดรบอนญาตใหใชเครองคอมพวเตอรและระบบเครอขาย ระบบสารสนเทศกลางของสถาบน
๗. ผดแลระบบ (System Administrator) หมายถง ผทไดรบมอบหมายจากผบรหาร ใหมหนารบผดชอบในการดแลรกษาหรอจดการระบบคอมพวเตอร ระบบเครอขาย ระบบสารสนเทศ ไมวาสวนใดสวนหนง ของสถาบน
๘. สทธของผใชงาน หมายถง สทธทวไป สทธจ าเพาะ สทธพเศษ และสทธอนใดทเกยวของกบระบบสารสนเทศของสถาบน
๙. สนทรพย หมายถง ทรพยสนหรอสงใดกตามทงทมตวตน และไมมตวตนอนมมลคาหรอคณคาส าหรบสถาบน ไดแก ขอมล ระบบขอมล และสนทรพยดานเทคโนโลยสารสนเทศและการสอสาร เชน อปกรณระบบเครอขาย ซอฟตแวรทมลขสทธ เปนตน
๑๐. การเขาถงหรอควบคมการใชงานสารสนเทศ หมายถง การอนญาต การก าหนดสทธหรอมอบอ านาจใหผใชงาน เขาถงหรอใชงานระบบสารสนเทศ โดยทเจาของขอมลอนญาตใหใชงานระบบสารสนเทศนนได
๑๑. เจาของขอมล หมายถง ผทไดรบมอบอ านาจจากผบรหารใหรบผดชอบขอมลของระบบงาน โดยเจาของขอมลเปนผรบผดชอบขอมลนนๆ หรอไดรบผลกระทบโดยตรงหากขอมลเหลานนเกดสญหาย
๒
๑๒. หนวยงานภายนอก หมายถง องคกรหรอหนวยงานภายนอกทสถาบนอนญาตใหมสทธในการเขาถงและใชงานขอมลหรอทรพยสนตาง ๆ ของสถาบน โดยจะไดรบสทธในการใชงานตามอ านาจหนาทและตองรบผดชอบในการรกษาความลบของขอมล
๑๓. ขอมลคอมพวเตอร หมายถง ขอมล ขอความ ค าสง ชดค าสง หรอสงอนใดทอยในระบบคอมพวเตอร ในสภาพทระบบคอมพวเตอร อาจประมวลผลได และใหหมายความรวมถงขอมลอเลกทรอนกส ตามกฎหมายวาดวยธรกรรมทางอเลกทรอนกส
๑๔. สารสนเทศ หมายถง ขอเทจจรงทไดจากขอมล นามาผานการประมวลผลการจดระเบยบใหขอมล ซงอาจอยในรปของตวเลข ขอความ หรอภาพกราฟกใหเปนระบบทผใชสามารถเขาใจไดงายและสามารถน าไปใชประโยชนในการบรหาร การวางแผน การตดสนใจ และอน ๆ
๑๕. ระบบคอมพวเตอร หมายถง อปกรณ หรอ ชดอปกรณของคอมพวเตอรทเชอมการทางานเขาดวยกน โดยไดมการก าหนดค าสง ชดค าสง หรอสงอนใด และแนวทางปฏบตงานใหอปกรณ หรอชดอปกรณ ท าหนาทประมวลผลขอมลโดยอตโนมต
๑๖. ระบบเทคโนโลยสารสนเทศ หมายถง ระบบสารสนเทศกลางของสถาบน เปนระบบงานของสถาบน ทน าเอาเทคโนโลยสารสนเทศ ระบบคอมพวเตอรและระบบเครอขายมาชวยในการสรางสารสนเทศ ทสถาบนสามารถนามาใชประโยชนในการวางแผน การบรหาร การสนบสนนใหการบรการการพฒนาและควบคมการตดตอสอสารซงมองคประกอบ เชน ระบบคอมพวเตอร ระบบเครอขาย ระบบปฏบตการ โปรแกรมประยกต ขอมลสารสนเทศ ฯลฯ
๑๗. ระบบเครอขาย หมายถง ระบบทสามารถใชในการตดตอสอสารหรอการสงขอมลและสารสนเทศ ระหวางระบบเทคโนโลยสารสนเทศตาง ๆ ของสถาบนได เชน ระบบแลน (LAN) ระบบอนทราเนต (Intranet) และระบบอนเทอรเนต (Internet)
๑๘. ระบบแลน (LAN) ระบบอนทราเนต (Intranet) หมายถง เครอขายอเลกทรอนกส ทเชอมตอระบบคอมพวเตอรตางๆ ภายในหนวยงาน เขาดวยกน เปนเครอขายทมจดประสงค เพอการตดตอสอสารแลกเปลยนขอมลและสารสนเทศภายในหนวยงาน
๑๙. ระบบอนเทอรเนต (Internet) หมายถง ระบบเครอขายอเลกทรอนกส ทเชอมตอระบบเครอขายคอมพวเตอรตาง ๆ ของหนวยงานเขากบเครอขายอนเทอรเนตสากล
๒๐. จดหมายอเลกทรอนกส (e-Mail) หมายถง ระบบทบคคลใชในการรบสงขอความระหวางกน โดยผานเครอง คอมพวเตอรและเครอขายทเชอมโยงถงกน ขอมลทสงจะเปนไดทงตวอกษร ภาพถาย ภาพกราฟก ภาพเคลอนไหว ผสงสามารถสงขาวสารไปยงผรบคนเดยวหรอ หลายคนกได ผานโพรโทคอล ตางๆ เชน SMTP, POP๓, IMAP ฯลฯ
๒๑. สอบนทกพกพา (Portable Media) หมายถง สออเลกทรอนกสทใชในการบนทกหรอจดเกบขอมล เชน CD, DVD, Flash Drive, External Hard Disk, SD Card ฯลฯ
๒๒. ชอผใช (Username) หมายถง ชดของตวอกษรหรอตวเลขทถกก าหนดขนเพอใชในการเขาใชในระบบคอมพวเตอรและระบบเครอขายทมการก าหนดสทธการใชงานไว
๓
๒๓. รหสผาน (Password) หมายถง ชดของตวอกษร หรออกขระ หรอตวเลข ทถกก าหนดขนเพอใชในเขาใชงานระบบคอมพวเตอรและ ระบบเครอขายทมการก าหนดสทธการใชงานไว
๒๔. การเขารหสลบ (Encryption) หมายถง การน าขอมลมาเขารหสลบเพอปองกนการลกลอบเขามาใชขอมลผทสามารถเปดไฟลขอมลทเขารหสลบไวจะตองมโปรแกรมถอดรหสลบเพอใหขอมลกลบมาใชงานไดตามปกต
๒๕. อปกรณจดเสนทาง (Router) หมายถง อปกรณทใชในระบบเครอขายคอมพวเตอรทท าหนาทจดเสนทางและคนหาเสนทางเพอสงขอมลตอไปยงระบบเครอขายอน
๒๖. การพสจนยนยนตวตน (Authentication) หมายถง ขนตอนการรกษาความปลอดภยในการเขาใชระบบ เปนขนตอนในการพสจนตวตนของผใชบรการระบบ ทวไปแลวจะเปนการพสจนโดยใชชอผใชและรหสผาน
๒๗. SSID (Service Set Identifier) หมายถง ชอระบเครอขายไรสาย ๒๘. WPA (Wi-Fi Protected Access) หมายถง ระบบการเขารหสเพอรกษาความปลอดภยของขอมลใน
เครอขายไรสายพฒนาขนมาใหม มความปลอดภยมากกวาวธเดมอยาง WEP ๒๙. MAC Address (Media Access Control Address) หมายถง หมายเลขเฉพาะทใชอางองถง
อปกรณทตดตอกบระบบเครอขาย หมายเลขนจะมากบอเทอรเนตการด โดยแตละการดจะมหมายเลขทไมซ ากน ตวเลขจะอยในรปของเลขฐาน ๑๖ จ านวน ๖ ค ตวเลขเหลานจะมประโยชน ไวใชส าหรบการสงผานขอมลไปยงตนทางและปลายทางไดอยางถกตอง
๓๐. VPN (Virtual Private Network) หมายถง เครอขายคอมพวเตอรเสมอนสวนตว โดยในการรบสงขอมลจรงจะท าโดยการเขารหสเฉพาะ แลวรบ-สงผานเครอขายอนเทอรเนต ท าใหบคคลอนไมสามารถอานไดและมองไมเหนขอมลนนไปจนถงปลายทาง
๓๑. แผนผงระบบเครอขาย (Network Diagram) หมายถง แผนผงซงแสดงถงการเชอมตอของระบบเครอขายของสถาบน
๓๒. มาตรฐาน (Standard) หมายถง บรรทดฐานทบงคบใชในการปฏบตการจรง เพอใหไดตามวตถประสงค หรอเปาหมาย
๓๓. วธการปฏบต (Procedure) หมายถง รายละเอยดทบอกขนตอนเปนขอ ๆ ทตองนามาปฏบตเพอใหไดมาซงมาตรฐานทไดก าหนดไวตามวตถประสงค
๓๔. แนวทางปฏบต (Guideline) หมายถง แนวทางทไมไดบงคบใหปฏบต แตแนะน าใหปฏบตตาม เพอใหสามารถบรรลเปาหมายไดงายขน
๓๕. ชดค าสงไมพงประสงค หมายถง ชดค าสงทมผลท าใหคอมพวเตอร หรอระบบคอมพวเตอร หรอชดค าสงอนเกดความเสยหายถกแกไข เปลยนแปลง หรอเพมเตม ขดของ หรอปฏบตงานไมตรงตามค าสงทก าหนดไว
๔
๓๖. สถานการณความเสยง หมายถง ความเสยงทอาจเปนอนตราย (Disaster) ตอระบบเครอขายคอมพวเตอรซงเปนองคประกอบหลก ในระบบเทคโนโลยสารสนเทศของสถาบน สามารถแยกเปนภย ตาง ๆ ได ๔ ประเภท ไดแก
- ภยทเกดจากเจาหนาทหรอบคลากรของหนวยงาน (Human Error)
- ภยทเกดจาก Software
- ภยจากไฟไหม หรอระบบไฟฟา
- ภยจากน าทวม ๓๗. สถานการณความไมแนนอนและภยพบต หมายถง บคลากรของหนวยงาน สถานการณ หรอเหตการณ
ทงเจตนาและไมเจตนา อนเปนเหตให ขอมลขาวสารในระบบเทคโนโลยสารสนเทศถกเปดเผย หรอเปลยนแปลงท าลาย ปฏเสธการทางานหรอการกระท าอน ๆ
๓๘. เหตการณดานความปลอดภย หมายถง กรณทระบการเกดเหตการณ สภาพของการบรการ หรอเครอขายทแสดงใหเหนความเปนไปไดทจะเกดการฝาฝนนโยบายดานความมนคงปลอดภยหรอมาตรการปองกนทลมเหลวหรอเหตการณอนไมอาจรไดวาอาจเกยวของกบความมนคงปลอดภย
๕
เอกสารแนบทายประกาศ นโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
สถาบนเทคโนโลยพระจอมเกลาเจาคณทหารลาดกระบง
ส านกบรการคอมพวเตอร สถาบนเทคโนโลยพระจอมเกลาเจาคณทหารลาดกระบง พ.ศ. 2559
๖
สารบญ หนา ค าน า 8 นโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ สถาบนเทคโนโลยพระจอมเกลา เจาคณทหารลาดกระบง
9
1. วตถประสงคและขอบเขต 9 2. องคประกอบของนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ 10 สวนท 1 นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ 10 แนวทางปฏบต 1. การควบคมการเขาถงและใชงานสารสนเทศ (Access Control) 11 แนวทางปฏบต 2. การบรหารจดการการเขาถงของผใชงาน (User Access Management) 13 แนวทางปฏบต 3. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) 15 แนวทางปฏบต 4. การควบคมการเขาถงเครอขาย (Network Access Control) 18 แนวทางปฏบต 5. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) 20 แนวทางปฏบต 6. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application and Information Access control)
22
แนวทางปฏบต 7. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) 23 แนวทางปฏบต 8. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and Environmental Security)
24
แนวทางปฏบต 9. การเขาถงเครองคอมพวเตอรแมขาย 26 แนวทางปฏบต 10. การควบคมการเขาออกหองควบคมระบบเครอขาย (Network System Control Room) 28 แนวทางปฏบต 11. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา 30 แนวทางปฏบต 12. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ 32 แนวทางปฏบต 13. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (Use of Electronic Mail) 32 แนวทางปฏบต 14. การใชงานระบบอนเทอรเนต (Use of the Internet) 33 แนวทางปฏบต 15. การใชงานเครอขายสงคมออนไลน (Social Network) 35 แนวทางปฏบต 16. การจดเกบขอมลจราจรคอมพวเตอร (Log) 35 สวนท 2 นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ 35 แนวทางปฏบต 1. การส ารองขอมลและระบบคอมพวเตอร 36 แนวทางปฏบต 2. การกคนระบบ 38 แนวทางปฏบต 3. การควบคมการเขาถงระบบสารสนเทศและระบบเครอขายสถาบน (Access Control) 38 แนวทางปฏบต 4. การบรหารจดการการเขาถงระบบเครอขาย 40 แนวทางปฏบต 5. การบรหารจดการระบบคอมพวเตอรแมขาย 41 แนวทางปฏบต 6. การบรหารจดการการบนทกและตรวจสอบ 41 แนวทางปฏบต 7. การควบคมการเขาใชงานระบบจากภายนอก 42 แนวทางปฏบต 8. การพสจนตวตนส าหรบผใชทอยภายนอก 42 แนวทางปฏบต 9. การควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ (Third Party Access Control) 42
๗
แนวทางปฏบต 10. ขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ 44 สวนท 3 แผนเตรยมความพรอมกรณฉกเฉน 47 แนวทางปฏบต 1. แผนรบสถานการณฉกเฉนจากภยพบตระบบเทคโนโลยสารสนเทศสถาบน (Contingency Plan) 48 แนวทางปฏบต 2. แผนด าเนนการเพอใหระบบใชงานไดอยางตอเนอง (Continuity of Operation Plan) 49 แนวทางปฏบต 3. แผนการส ารองขอมลและกคนขอมล (Backup and Recovery Procedure) 51 สวนท 4 นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ 51 1. การประเมนผลกระทบ 52 2. การตรวจสอบและประเมนความเสยงดานสารสนเทศ 53 การประเมนสถานการณความเสยง 54 1. ภยทเกดจากเจาหนาทหรอบคลากรของหนวยงาน (Human Error) 54 แนวทางปฏบตเพอเตรยมรบสถานการณภยจากเจาหนาทหรอบคลากรของหนวยงาน 55 2. ภยทเกดจาก Software 55 แนวทางปฏบตเพอเตรยมรบสถานการณภยจาก Software 55 3. ภยจากไฟไหมหรอระบบไฟฟา 55 แนวทางปฏบตเพอเตรยมรบสถานการณภยจากไฟไหมหรอระบบไฟฟาขดของ 55 4. ภยจากน าทวม (อทกภย) 56 แนวทางปฏบตเพอเตรยมรบสถานการณภยจากน าทวม (อทกภย) 56 5. ความเสยงจากอปกรณโครงสรางพนฐานทเกาช ารดลาสมย 56 แนวทางปฏบต การจดเตรยมอปกรณทจ าเปน 56 สวนท 5 นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร 57 แนวทางปฏบตนโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร 57
๘
ค าน า การรกษาความมนคงปลอดภยดานสารสนเทศ เปนสงส าคญทตองปฏบตอยางตอเนอง และจ าเปน อยางยง ทตองไดรบความรวมมอจากทกฝาย นอกจากนนยงตองมการตรวจสอบอยางสม าเสมอ เพอปรบปรงใหสอดคลองกบการพฒนาของเทคโนโลยทเปลยนแปลงไปอยางรวดเรว เพอใหการบรการระบบสารสนเทศของสถาบนฯ เปนไปอยางเหมาะสม มประสทธภาพ มความมนคงปลอดภย รวมทงปองกนปญหาทอาจจะเกดขนจากการใชงานระบบสารสนเทศในลกษณะทไมถกตอง ซงอาจสงผลใหมการถกคกคามจากภยตางๆ นโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศสถาบนฯ พ.ศ. 2559 ทไดจดท าขน นบเปนประโยชนตอความมนคงปลอดภยดานสารสนเทศ ท าใหเกดความรวมมอปฏบตตามนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศไดอยางสอดคลอง และเหมาะสม
ส านกบรการคอมพวเตอร สถาบนเทคโนโลยพระจอมเกลาเจาคณทหารลาดกระบง
2559
๙
นโยบายและแนวปฏบตการรกษาความมนคงปลอดภยดานเทคโนโลยสารสนเทศ สถาบนเทคโนโลยพระจอมเกลาเจาคณทหารลาดกระบง 1. วตถประสงคและขอบเขต เพอใหระบบเทคโนโลยสารสนเทศของสถาบน ฯ เปนไปอยางเหมาะสม มประสทธภาพมความมนคงปลอดภยและสามารถด าเนนงานไดอยางตอเนอง รวมทงปองกนปญหาทอาจจะเกดขนจากการใชงานระบบเทคโนโลยสารสนเทศในลกษณะทไมถกตองและการถกคกคามจากภยตางๆ สถาบนฯ จงเหนสมควรก าหนดนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ ตามพระราชกฤษฎกาก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549 ในมาตรา 5 “หนวยงานของรฐตองจดท าแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอใหการด าเนนการใดๆ ดวยวธการทางอเลกทรอนกสกบหนวยงานของรฐ หรอโดยหนวยงานของรฐมความมนคงปลอดภยและเชอถอได” และตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553 ก าหนดใหหนวยงานของรฐตองจดใหมนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงาน เปน ลายลกษณอกษรนน โดยก าหนดใหมมาตรฐาน (Standard) แนวปฏบต (Guideline) ขนตอนปฏบต (Procedure) ใหครอบคลมดานการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและปองกน ภยคกคามตางๆ ใหมวตถประสงค ดงตอไปน
1.1 เพอใหเกดความเชอมน และมความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสาร หรอเครอขายคอมพวเตอรของสถาบนท าใหการด าเนนงานเปนไปไดอยางมประสทธภาพและประสทธผล
1.2 เพอก าหนดขอบเขตของการบรหารจดการความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสารของสถาบน อางองตามมาตรฐาน ISO/IEC27001 และมการปรบปรงอยางตอเนอง
1.3 เพอเผยแพรนโยบายและแนวปฏบตนใหกบบคลากรทกระดบและนกศกษาในสถาบนไดรบทราบ และถอปฏบตตามอยางเครงครด
1.4 เพอก าหนดมาตรฐาน แนวทางปฏบตและวธปฏบต ใหผบรหาร บคลากร เจาหนาทผดแลระบบ และบคคลภายนอกทปฏบตงานรวมกบสถาบนตระหนกถงความส าคญ ของการรกษาความมนคงปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบนในการด าเนนงานและถอปฏบตตามอยางเครงครด
1.5 เพอใหมการด าเนนการตรวจสอบและประเมนความเสยงในการรกษาความมนคงปลอดภยของขอมลและระบบเทคโนโลยสารสนเทศอยางสม าเสมอ
1.6 เพอสงเสรมใหบคลากรและนกศกษาของสถาบนมความร ความเขาใจในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศและการสอสาร
๑๐
2. องคประกอบของนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ประกอบดวย องคประกอบส าคญ 5 สวน คอ
สวนท 1 นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ สวนท 2 นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ สวนท 3 แผนเตรยมความพรอมกรณฉกเฉน สวนท 4 นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ สวนท 5 นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร
องคประกอบของนโยบายการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและการสอสารของสถาบนแตละสวนทกลาวขางตน จะประกอบดวย วตถประสงค รายละเอยดของมาตรฐาน (Standard) แนวทางปฏบต (Guideline) และขนตอนวธการปฏบต (Procedure) ในการรกษาความมนคงปลอดภยระบบเทคโนโลยสารสนเทศของสถาบน เพอใหสถาบนมมาตรการในการรกษาความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและการสอสาร อยในระดบทปลอดภย ชวยลดความเสยหายตอการด าเนนงาน ทรพยสน บคลากร ของสถาบน ท าใหสามารถด าเนนงานไดอยางมนคงปลอดภย นโยบายการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบนน จดเปนมาตรฐานดานความปลอดภยในการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบนซงขาราชการ เจาหนาท บคลากร และนกศกษาของสถาบนและหนวยงานภายนอกจะตองปฏบตตามอยางเครงครด
สวนท 1 นโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ เพอใหบรการเทคโนโลยสารสนเทศแกผใชงานอยางทวถง โดยผใชงานสามารถเขาถงและใชงานระบบสารสนเทศไดอยางสะดวกและรวดเรว รวมทงมการใหความคมครองขอมลทไมพงเปดเผย โดยมมาตรการควบคมและปองกนตามความเหมาะสม เพอใหเกดการรกษาความมนคงปลอดภยทเกยวของกบการเขาใชงาน หรอการเขาถงหองควบคมระบบคอมพวเตอร อปกรณเครอขาย และระบบเทคโนโลยสารสนเทศ โดยพจารณาตามความส าคญของอปกรณ ระบบเทคโนโลยสารสนเทศ ขอมล ซงเปนทรพยสนทมคา และอาจจ าเปนตองรกษาความลบ โดยมาตรการนจะมผลบงคบใชกบผใชซงมสวนเกยวของกบการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบน วตถประสงค
1. เพอใหมแนวทางปฏบตในการรกษาความมนคงปลอดภย ส าหรบการควบคมการเขาถงและการใชงานระบบสารสนเทศของสถาบน
2. เพอใหผรบผดชอบและผมสวนเกยวของ ไดแก ผบรหาร ผใชงาน ผดแลระบบ และบคคลภายนอก ทปฏบตงานใหกบสถาบน ไดรบรเขาใจและสามารถปฏบตตามแนวทางทก าหนดโดยเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ผรบผดชอบ
1. ส านกบรการคอมพวเตอร ผบรหารเทคโนโลยสารสนเทศระดบสง 2. ผดแลระบบทไดรบมอบหมาย
๑๑
อางองมาตรฐาน มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส แนวทางปฏบตตามนโยบายควบคมการเขาถงและการใชงานระบบสารสนเทศ ประกอบดวย
1. การควบคมการเขาถงและใชงานสารสนเทศ (Access Control) 2. การบรหารจดการการเขาถงของผใชงาน (User Access Management) 3. การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) 4. การควบคมการเขาถงเครอขาย (Network Access Control) 5. การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) 6. การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ 7. การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control 8. การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม 9. การเขาถงเครองคอมพวเตอรแมขาย 10. การควบคมการเขาออกหองควบคมระบบเครอขาย (Network System Control Room) 11. การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา 12. การบรหารจดการการเขาถงขอมลตามระดบชนความลบ 13. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (Use of Electronic Mail) 14. การใชงานระบบอนเทอรเนต (Use of the Internet) 15. การใชงานเครอขายสงคมออนไลน (Social Network) 16. การจดเกบขอมลจราจรคอมพวเตอร (Log)
แนวทางปฏบต 1 การควบคมการเขาถงและใชงานสารสนเทศ (Access Control)
1.1 จดท าบญชทรพยสนหรอทะเบยนทรพยสน การจ าแนกกลมทรพยากรของระบบหรอการท างาน โดยใหก าหนดกลมผใชงานและสทธของกลม ผใชงาน
1.2 ก าหนดเกณฑในการอนญาตใหเขาถงการใชงานสารสนเทศ การอนญาตการก าหนดสทธ หรอการมอบอ านาจดงน (1) ก าหนดสทธของผใชงานแตละกลมทเกยวของ เชน
- อานอยางเดยว - สรางขอมล - ปอนขอมล - แกไข - อนมต - ไมมสทธ
๑๒
(2) ก าหนดเกณฑการระงบสทธ มอบอ านาจ ใหเปนไปตามการบรหารจดการการเขาถงของผใชงาน (User Access Management) ทก าหนดไว (3) ผใชงานทตองการเขาใชระบบสารสนเทศของสถาบนฯ จะตองไดรบการพจารณาอนญาตจากผอ านวยการส านกฯ หรอผทไดรบมอบหมาย
1.3 ขนตอนปฏบตเพอการจดเกบขอมล การแบงประเภทของขอมลและการจดล าดบความส าคญหรอล าดบชนความลบของขอมล ใชแนวทางตามระเบยบวาดวยการรกษาความลบของทางราชการ พ.ศ. 2544 ซงระเบยบดงกลาวเปนมาตรการทละเอยด รอบคอบ ถอวาเปนแนวทางทเหมาะสมในการจดการเอกสารอเลกทรอนกส และในการรกษาความปลอดภยของเอกสารอเลกทรอนกส โดยไดก าหนดกระบวนการและกรรมวธตอเอกสารทส าคญไว ดงน (1) จดแบงประเภทของขอมล ออกเปน - ขอมลสารสนเทศดานการบรหาร เชน ขอมลนโยบาย ขอมลยทธศาสตรและค ารบรอง ขอมลบคลากร ขอมลงบประมาณการเงนและบญช ฯลฯ - ขอมลสารสนเทศตามพนธกจ เชน ขอมลดานการเรยนการสอน ขอมลดานการวจย และขอมลดานบรการวชาการ เปนตน (2) จดแบงระดบความส าคญของขอมล ออกเปน 4 ระดบ คอ - ขอมลทมระดบความส าคญมากทสด - ขอมลทมระดบความส าคญมาก - ขอมลทมระดบความส าคญปานกลาง - ขอมลทมระดบความส าคญนอย (3) จดแบงล าดบชนความลบของขอมล - ขอมลลบทสด หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยงหายอยางรายแรงทสด - ขอมลลบมาก หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายอยางรายแรง - ขอมลลบ หมายถง หากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหาย - ขอมลทวไป หมายถง ขอมลทสามารถเปดเผยหรอเผยแพรทวไปได (4) จดแบงระดบชนการเขาถง - ระดบชนส าหรบผบรหาร - ระดบชนส าหรบผใชงานทวไป - ระดบชนส าหรบผดแลระบบหรอผทไดรบมอบหมาย (5) ผดแลระบบ ตองจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบสารสนเทศของหนวยงาน และตรวจตราการละเมนความปลอดภยทมตอระบบสารสนเทศ (6) ผดแลระบบ ตองจดใหมการบนทกรายละเอยดการเขาถงระบบสารสนเทศและการแกไขเปลยนแปลงสทธตางๆ เพอเปนหลกฐานในการตรวจสอบ
๑๓
(7) ผดแลระบบ ตองจดใหมการบนทกการผานเขา-ออกสถานทตงของระบบสารสนเทศเพอเปนหลกฐานในการตรวจสอบ (8) การก าหนดเวลาทไดเขาถงระบบสารสนเทศ ดงน - ระบบงานบรการ e-Service (Front Office) ส าหรบผใชงานภายนอกสามารถเขาถงไดตลอดเวลา - ระบบงานภายใน (Back Office) ส าหรบผใชงานภายในตามทหนวยงานก าหนด (9) การก าหนดจ านวนชองทางทสามารถเขาถง
1.4 มขอก าหนดการใชงานตามภารกจ เพอควบคมการเขาถงสารสนเทศ (Mission Requirements for Access Control) โดยแบงการจดท าขอปฏบตเปน 2 สวน คอ (1) มการควบคมการเขาถงสารสนเทศ โดยใหก าหนดแนวทางการควบคมการเขาถงระบบสารสนเทศและสทธทเกยวของกบระบบสารสนเทศ (2) มการปรบปรงใหสอดคลองกบขอมลก าหนดการใชงานตามภารกจ และขอก าหนดดานความมนคงปลอดภย
แนวทางปฏบต 2 การบรหารจดการการเขาถงของผใชงาน (User Access Management) เพอก าหนดเปนมาตรการการเขาถงระบบเทคโนโลยสารสนเทศของผใชงาน มใหบคคลทไมมหนาท ทเกยวของในการท างานเขาถงระบบเทคโนโลยสารสนเทศและเครอขายภายใน โดยไมไดรบอนญาต รวมทงจ ากดสทธในการใชงานระบบเทคโนโลยสารสนเทศ เพอใหสามารถตรวจสอบตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบน โดยก าหนดแนวปฏบตในการควบคมการเขาถงระบบสารสนเทศเฉพาะผทไดรบอนญาต และผานการฝกอบรมหลกสตรการสรางความตระหนกเรอง ความมนคงปลอดภยสารสนเทศ เพอปองกนการเขาถงจากผซงไมไดรบอนญาต ดงน
2.1 การสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (1) มการก าหนดหลกสตรการฝกอบรมเกยวกบการสรางความตระหนกเรองความมนคงปลอดภยสารสนเทศ (2) ฝกอบรมใหความรความเขาใจกบผใชงาน เพอใหเกดความตระหนก ความเขาใจถงภยและผลกระทบ ทเกดจากการใชงานระบบสารสนเทศโดยไมระมดระวงหรอรเทาไมถงการณ รวมถงก าหนดใหมมาตรการ เชงปองกนตามความเหมาะสม
2.2 มการก าหนดขนตอนปฏบตในการลงทะเบยนผใชงาน (User Registration) ครอบคลมในเรองตอไปน (1) จดท าแบบฟอรมขอใชงานระบบสารสนเทศ และผใชงานกรอกขอมลลงในแบบฟอรม เพอตรวจสอบสทธและด าเนนการตามขนตอนการลงทะเบยนผใชงาน (2) มการระบชอบญชผใชงานแยกกนเปนรายบคคล ไมซ าซอนกน (3) จ ากดการใชงานบญชผใชงานแบบกลมภายใตบญชรายชอเดยวกน และอนญาตใหใชเทาทจ าเปน (4) มการตรวจสอบและมอบหมายสทธในการเขาถงทเหมาะสมตอหนาทความรบผดชอบ
๑๔
(5) มการตรวจสอบบญชผใชงาน โดยไมมการลงทะเบยนผใชงานมากอน (6) ก าหนดใหมการจดท าและแจกเอกสารหรอสงทแสดงเปนลายลกษณอกษรใหแกผใชงาน เพอแสดงถงสทธและหนาทความรบผดชอบของผใชงาน ในการเขาถงระบบเทคโนโลยสารสนเทศ รวมทงก าหนดใหผใชงานท าการลงนามในเอกสารดงกลาวหลงจากทไดท าความเขาใจแลว (7) มการท าบนทกและจดเกบขอมลการขออนมตเขาใชระบบสารสนเทศ (8) มหลกเกณฑในการอนญาตใหเขาถงระบบสารสนเทศและไดรบการพจารณาอนญาต จากผอ านวยการส านกฯ (9) มหลกเกณฑในการยกเลก เพกถอน การอนญาต ใหเขาถงระบบสารสนเทศและการตดออกจากทะเบยนของผใชงาน เมอมการ เชน ลาออก เปลยนต าแหนง โอนยาย สนสดการจาง ฯลฯ (10) การลงทะเบยนผใชงาน ผดแลระบบ ตองท าการตรวจสอบหรอทบทวนบญชผใชงานทงหมด เพอปองกนการเขาถงระบบเทคโนโลยสารสนเทศโดยไมไดรบอนญาต
2.3 มการบรหารจดการสทธของผใชงาน (User Management) โดยแสดงรายละเอยดทเกยวกบการควบคมและจ ากดสทธ เพอใหสามารถเขาถงและใชงานระบบสารสนเทศแตละชนดตามความเหมาะสม ทงนรวมถงสทธจ าเพาะ สทธพเศษ และสทธอน ๆ ทเกยวของกบการเขาถง ดงน
(1) มการแสดงกระบวนการในการมอบหมายหรอก าหนดสทธการใชงานใหแกผใชงาน (2) ผดแลระบบ ตองก าหนดสทธการใชระบบเทคโนโลยสารสนเทศ โดยใหสทธเฉพาะการปฏบตงานใน
หนาทและตองทบทวนสทธดงกลาวอยางสม าเสมอ (3) ผดแลระบบ ตองก าหนดระดบสทธในการเขาถงทเหมาะสมส าหรบระบบเทคโนโลยสารสนเทศตามหนาท
รบผดชอบ และตามความจ าเปนในการใชงาน (4) ผดแลระบบ ตองมอบหมายสทธใหมความสอดคลองกบนโยบายควบคมการเขาถง (5) ผดแลระบบ ตองจดเกบเอกสารการมอบหมายสทธใหแกผใชงาน (6) กรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด โดยมการก าหนดระยะเวลาการใชงานและ
ระงบการใชงานทนท เมอพนระยะเวลาดงกลาว หรอพนจากต าแหนง และมการก าหนดสทธพเศษทไดรบวาเขาถงไดระดบใดบาง และตองก าหนดใหรหสผใชงานตางจากรหสผใชงานตามปกต
2.4 มการบรหารจดการรหสผานสาหรบผใชงาน (User Password Management) โดยจดท ากระบวนการบรหารจดการรหสผานส าหรบผใชงานอยางรดกม ดงน
(1) มขนตอนปฏบตส าหรบการตงเปลยนรหสผานทมความมนคงปลอดภย (2) ก าหนดใหมการใชงานบญชผใชงานและรหสผานแยกเปนรายบคคล เพอใหสามารถตดตามการใชงาน
และก าหนดเปนความรบผดขอบของแตละคนได (3) การตงรหสผานชวคราว ตองย ากตอการเด า และตองมความแตกตางกน และอนญาตใหผใชงานเลอก
หรอเปลยนรหสผานไดดวยตนเอง และมขนตอนปฏบตเพอยนยนรหสผานใหม
๑๕
(4) สงมอบรหสผานชวคราว ใหกบผใชงานดวยวธการทปลอดภย โดยหลกเลยงการใชบคคลอนหรอการสงจดหมายอเลกทรอนกส ในการจดสงรหสผาน และผใชงานควรท าการลอกอนเขาใชงานระบบงานครงแรกและท าการเปลยนรหสผานทนทหลงจากไดรบรหสผานชวคราว
(5) ตองมการลงนามเพอปองกนการเปดเผยขอมลรหสผานของตน (6) การเปลยนรหสผานตองตรวจสอบบญชชอผใชงานและรหสผานปจจบนใหถกตองกอนทจะอนญาตให
เปลยนรหสใหม (7) ในกรณมความจ าเปนตองใหสทธพเศษกบผใชงานทมสทธสงสด ผใชงานนนจะตองไดรบความเหนชอบ
และอนมตจากผบงคบบญชาของหนวยงานเจาของระบบ โดยมการก าหนดระยะเวลาใชงานและระงบการใชงานทนท เมอพนระยะเวลาสทธพเศษทไดรบวาเขาไดถงระดบใดไดบาง และตองก าหนดใหรหสผใชงาน ตางจากรหสผใชงานตามปกต
(8) ตองไมแสดงขอมลรหสผานของผใชงานบนหนาจอในระหวางทผใชงานนนก าลงใสขอมลลอกอน เชน ใหแสดงเปนเครองหมายดอกจน (*) บนหนาจอ เปนตน
2.5 การทบทวนสทธการเขาถงผใชงาน (Review of User Access Rights) ตองมกระบวนการทบทวนสทธการเขาถงของผใชงานระบบสารสนเทศและปรบปรงบญชผใชงาน ปละ 1 ครง หรอเมอมการเปลยนแปลง เชน มการลาออก เปลยนต าแหนง โอนยาย สนสดการจาง ฯลฯ ดงน
(1) ผดแลระบบด าเนนการทบทวนสทธการเขาถงของผใชงาน 1 ครง / ป เปนอยางนอย (2) ผดแลระบบทบทวนสทธส าหรบผทมสทธในระดบสง เชน สทธในระดบผดแลระบบดวยความถ
ทมากกวาผใชงานทวไป (3) ผดแลระบบทบทวนสทธตามรอบระยะเวลาทก าหนดไว หรอเมอมการเปลยนแปลงใดๆ เชน การ
เลอนต าแหนง ลดต าแหนง ยายหนวยงาน หรอสนสดการจางงาน (4) ผดแลระบบ ตองก าหนดใหมการบนทกการเปลยนแปลงตอบญชผใชงานทมสทธในระดบสง เพอใชใน
การทบทวนในภายหลง
2.6 การเพกถอนสทธการเขาถงของผใชงาน (1) ผดแลระบบด าเนนการเพกถอนสทธผใชงานทพนสภาพการเปนนกศกษาและบคลากร ของสถาบนฯ
ยกเวนกรณเกษยณอายราชการ (2) ผดแลระบบตองก าหนดใหมการถอดถอนสทธการเขาถงระบบเทคโนโลยสารสนเทศโดยทนท เมอ
ผใชงานนนท าการลาออกหรอเปลยนต าแหนงงาน
แนวทางปฏบต 3 การก าหนดหนาทความรบผดชอบของผใชงาน (User Responsibilities) เพอควบคมและก าหนดมาตรการ การปฏบตงานของผใชงานใหเปนไปตามหนาททไดรบมอบหมาย ทเกยวของกบขอมลสารสนเทศ และบงคบใชกบผทใชงานระบบเทคโนโลยสารสนเทศของสถาบน เพอปองกนการเขาถงขอมลโดยบคคลอนและเปดเผยขอมลสารสนเทศโดยไมไดรบอนญาต มขอปฏบต ดงน
๑๖
3.1 วธการปฏบตการใชงานรหสผาน (Password Use) ส าหรบผใชงาน เพอใหสามารถก าหนดรหสผานการใชงานรหสผาน และการเปลยนรหสผานทมคณภาพ ดงน
(1) ผใชงานควรเปลยนรหสผานชวคราวทไดรบโดยทนทครงแรกทท าการลอคอนเขาสระบบงาน (2) ผใชงานควรตงรหสผานทย ากตอการเด าโดยผอน (3) ควรก าหนดรหสผาน ใหมตวอกษรจ านวนมากกวาหรอเทากบ 8 ตวอกษร โดยมการผสมกนระหวาง
ตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน (4) ผใชงานไมควรก าหนดรหสผานสวนบคคลจากชอหรอนามสกลของตนเองหรอบคคลในครอบครวหรอ
บคคลทมความสมพนธใกลชดกบตน หรอจากค าศพททปรากฏในพจนานกรม (5) ผใชงานควรหลกเลยงการตงรหสผานทประกอบดวยอกขระทเรยงกน เชน 123, abcd หรอกลมของ
ตวอกขระทเหมอนกน เชน 111, aaa เปนตน (6) ผใชงานไมควรใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขาย
คอมพวเตอร (7) เกบรกษารหสผานทงของตนเองและของกลมไวเปนความลบ (8) ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานททงายตอการสงเกตเหนของบคคลอน หรอเกบไวใน
ระบบคอมพวเตอร (9) ตองไมก าหนดใหมการบนทกหรอชวยจ ารหสผานสวนบคคล (10) ไมใชรหสผานของตนเองรวมกบผอน (11) ผใชงานควรเปลยนรหสผานทนท เมอทราบวารหสผานของตนอาจถกเปดเผยหรอ มผอนลวงร (12) กรณทมความจ าเปนตองบอกรหสผานแกผอนเนองจากงาน หลงจากด าเนนการเรยบรอย ใหท าการ
เปลยนรหสผานโดยทนท (13) ผใชงานควรตงรหสผานทมความย าวเกนกวาขนต าทก าหนดไว (14) ผใชงานควรตงรหสผานทมเทคนคทงายตอการจดจ า (15) ผใชงานควรเปลยนรหสผานตามรอบระยะเวลาทก าหนด (16) ผใชงานควรเปลยนรหสผานโดยไมใชรหสผานเดมทเคยตงมาแลว (17) ผดแลระบบควรเปลยนรหสผานดวยความถทมากกวาผใชงานทวไป เชน ทก ๆ 3 เดอน ส าหรบผดแล
และ 6 เดอน ส าหรบผใชงานระบบ โดยทผดแลระบบตองเปลยนรหสถกวาผใชงานทวไป
3.2 การปองกนอปกรณ ในขณะทวางเวนจากการใชงานหรอไมมผใชงานอปกรณ ใหก าหนดแนวปฏบตทเหมาะสม เพอปองกนไมใหผไมมสทธสามารถเขาถงอปกรณของสถาบน ในขณะทไมมผดแล ดงน
(1) มการก าหนดขอปฏบตใหปองกนอปกรณคอมพวเตอรทใชงาน เพอปองกนการสญหาย หรอการเขาถงโดยไมไดรบอนญาต
(2) มมาตรการปองกนอปกรณทไมมผใชงาน หรอตองปลอยทงไวโดยไมมผดแลชวคราว
๑๗
(3) สรางความตระหนกใหเกดความเขาใจในมาตรการปองกน (4) ก าหนดใหผใชงานออกจากระบบเทคโนโลยสารสนเทศโดยทนท เมอเสรจสนงาน เชน ระบบงานเครอง
คอมพวเตอรทใชงาน หรอเครองคอมพวเตอรแบบพกพา (5) ผใชงาน ควรลอค ปด หรอเกบ อปกรณส าคญเมอไมไดใชงาน (6) ก าหนดใหผใชงานปองกนผอนเขาใชเครองคอมพวเตอรหรอระบบเทคโนโลยสารสนเทศของตน โดยใส
รหสผานใหถกตองกอนเขาใชงานเครองคอมพวเตอร (7) ก าหนดใหมการตงลอคหนาจอเครองคอมพวเตอรหลงจากไมไดใชงานเปนเวลาไมเกน 30 นาท และ
ตองใสรหสผานใหถกตองจงจะสามารถเปดหนาจอได
3.3 การปฏบตตามนโยบายควบคมการไมทงสนทรพยสารสนเทศสาคญไวในททไมปลอดภย (Clear
Desk and Clear Screen Policy) โดยตองควบคมไมใหทรพยสนสารสนเทศ เชน เอกสาร สอบนทกขอมล คอมพวเตอรหรอสารสนเทศ ฯลฯ อยในภาวะเสยงตอการเขาถงโดยผซงไมมสทธ และตองก าหนดใหผใชงานออกจากระบบสารสนเทศเมอไมไดใชงาน ดงน
(1) มการก าหนดมาตรการปองกนทรพยสนของสถาบน และควบคมไมใหมการทงหรอปลอยทรพยสนสารสนเทศทส าคญใหอยในสถานการณทไมปลอดภยครอบคลมเรองตางๆ เชน
- การจดการบรเวณลอมรอบ - การควบคมการเขา-ออก - การจดบรการการเขาถงการสงผลตภณฑโดยบคลภายนอก - การวางอปกรณ - ระบบและอปกรณสนบสนนการท างาน (2) การปองกนตองมความสอดคลองกบเรองตางๆ ดงน - แนวทางการจดหมวดหมสารสนเทศและการจดการกบสารสนเทศ - กฎหมาย ระเบยบ ขอบงคบ หรอขอก าหนดอนๆ - วฒนธรรมองคกร (3) มการก าหนดขอบเขตของการปองกน ดงน - ทกคนตองตระหนกและปฏบตการใดๆ เพอปองกนทรพยสนของสถาบน - ลงชอออกจากระบบทนท เมอจ าเปนตองปลอยทง โดยไมมผดแล - จดเกบขอมลส าคญในสถานททมความปลอดภย - ลอคเครองคอมพวเตอร เมอไมใชงาน - ปองกนเครองโทรสาร เมอ ไมมผใชงาน - ปองกนตหรอบรเวณทใชในการรบสงเอกสารไปรษณย - ปองกนไมใหผอนใชอปกรณดงตอไปน โดยไมไดรบอนญาต เชน กลองดจตอล เครองส าเนาเอกสาร
เครองสแกนเอกสาร ฯลฯ
๑๘
- น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ
3.4 การเขารหส มาใชกบขอมลทเปนความลบ โดยผใชงานอาจน าการเขารหส มาใชกบขอมลทเปนความลบ โดยใหปฏบตตามระเบยบการรกษาความลบทางราชการ พ.ศ. 2544 ดงน (1) ตองแสดงหลกฐานเกณฑในการก าหนดเครองขอมลลบ หรอขอมลทส าคญยงยวด (2) ตองแสดงขอปฏบตส าหรบการเขาถงขอมลลบ หรอขอมลทส าคญยงยวด
แนวทางปฏบต 4 การควบคมการเขาถงเครอขาย (Network Access Control) เพอปองกนการเขาถงบรการทางเครอขายโดยไมไดรบอนญาต ดงน
4.1 การใชบรการเครอขาย ตองก าหนดใหผใชงานสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน (1) มการก าหนดระบบสารสนเทศทตองมการควบคมการเขาถง โดยระบเครอขายหรอบรการทอนญาตใหมการใชงานได (3) มขอปฏบตส าหรบผใชงานใหสามารถเขาถงระบบสารสนเทศไดแตเพยงบรการทไดรบอนญาตใหเขาถงเทานน (4) ก าหนดการใชงานระบบสารสนเทศทส าคญ เชน ระบบคอมพวเตอร โปรแกรมประยกต จดหมายอเลกทรอนกส ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต (Internet) ฯลฯ โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผบงคบบญชาของหนวยงานเจาของระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางนอยปละ 1 ครง
4.2 การยนยนตวบคคลสาหรบผใชงานทอยภายนอกสถาบน (User Authentication for External
Connection) ตองมขอปฏบตหรอกระบวนการใหมการยนยนตวบคคล กอนทจะอนญาตใหผใชงานทอยภายนอกสถาบนฯ เขาใชงานเครอขายและระบบสารสนเทศของสถาบนได ดงน (1) ผใชงานทจะเขาใชงานระบบ ตองแสดงตวตน (Identification) ดวยชอผใชงานทกครง (2) ใหมการตรวจสอบผใชงานทกครงกอนทจะอนญาตใหเขาถงระบบขอมล โดยจะตองมวธการยนยนตวบคคล (Authentication) เพอแสดงวาเปนผใชงานตวจรงเชน การใชรหสผาน การใชสมารทการด หรอการใช User Token ทใชเทคโนโลยPKI ฯลฯ (3) จะตองมวธการในการตรวจสอบเพอพสจนตวตน ส าหรบการเขาสระบบสารสนเทศของสถาบนฯ 1 วธ (4) การเขาสระบบสารสนเทศของสถาบนจากอนเทอรเนต ใหมการตรวจสอบผใชงานดวย
4.3 การระบอปกรณบนเครอขาย (Equipment Identification in Network) ตองมวธการหรอกระบวนการทสามารถระบอปกรณบนเครอขายได โดยสามารถใชการระบอปกรณบนเครอขายเปนการยนยนการเขาถง ดงน (1) ใหก าหนดวธการพสจนตวตนทกครงทใชอปกรณ
๑๙
(2) มการควบคมการใชงานอยางเหมาะสม (3) จ ากดผใชงานทสามารถเขาใชอปกรณได
4.4 การปองกนพอรตทใชสาหรบตรวจสอบและปรบแตงระบบ (Remote Diagnostic and Configuration
Port Protection) ตองควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบทงการเขาถงทางกายภาพ และทางเครอขาย (1) แสดงขนตอนหรอหลกเกณฑ ในการควบคมการเขาถงพอรตทใชส าหรบตรวจสอบและปรบแตงระบบส าหรบการเขาถงทางกายภาพและการเขาถงทางเครอขาย (2) ก าหนดวธการปองกนชองทางทใชบ ารงรกษาระบบผานเครอขาย (3) ปดการใชงานหรอควบคมการเขาถงพอรตทใชส าหรบตรวจอบและปรบแตงระบบใหใชงานไดอยางจ ากดระยะเวลาเทาทจ าเปน โดยตองไดรบการอนญาตจากผรบผดชอบเปนลายลกษณอกษร
4.5 การแบงแยกเครอขาย (Segregation in Network) ตองท าการแบงแยกเครอขายส าหรบกลมผใชงาน โดยแบงออกเปน 2 เครอขาย คอ (1) เครอขายส าหรบผใชงานภายใน (2) เครอขายส าหรบผใชงานภายนอก
4.6 การควบคมการเชอมตอทางเครอขาย (Network Connection Control) ตองควบคมการเขาถงหรอ ใชงานเครอขายทมการใชรวมกนหรอ เชอมตอระหวางกนใหสอดคลองกบแนวปฏบตการควบคมการเขาถง ดงน (1) มการตรวจสอบการเชอมตอ เครอขาย (2) จ ากดสทธ ความสามารถของผใชงานในการเชอมตอ เขาสเครอขาย (3) ระบอปกรณ เครองมอ ทใชควบคมการเชอมตอเครอขาย (4) มระบบการตรวจจบผบกรกทงในระดบเครอขาย และระดบเครองคอมพวเตอรแมขาย (5) ควบคมไมใหมการเปดใหบรการเครอขาย โดยไมไดรบอนญาต
4.7 การควบคมการจดเสนทางเครอขาย (Network Routing Control) ตองควบคมการจดเสนทางบนเครอขาย เพอใหการเชอมตอของคอมพวเตอรและการสงผานหรอไหลเวยนของขอมลหรอสารสนเทศสอดคลองกบแนวปฏบตการควบคมการเขาถงหรอ การประยกตใชงานตามภารกจ ดงน (1) ควบคมไมใหมการเปดเผยการใชหมายเลขเครอขาย (IP Address Plan) (2) ก าหนดใหมการแปลงหมายเลขเครอขาย เพอแยกเครอขายยอย (3) ก าหนดมาตรการการบงคบใชเสนทางเครอขาย สามารถเชอมเครอขายปลายทางผานชองทางทก าหนดไว หรอจ ากดสทธในการใชบรการเครอขาย
๒๐
4.8 การควบคมการเขาใชงานระบบจากภายนอก (1) การเขาสระบบจากระยะไกล (Remote Access) สระบบสารสนเทศและเครอขายของสถาบน ตองก าหนดมาตรการรกษาความปลอดภยทเพมขนจากมาตรฐานการเขาสระบบภายใน (2) การเขาสระบบจากระยะไกล (Remote Access) ตองมการตรวจสอบ เพอพสจนตวตนของผใชงาน เชน รหสผาน วธการเขารหส ฯลฯ (3) วธการใดๆ กตามทสามารถเขาสระบบสารสนเทศและเครอขายไดจากระยะไกลตองไดรบการอนมตจากผอ านวยการส านกฯ กอน และมการควบคมอยางเขมงวดกอนนามาใชและผใชงานตองปฏบตตามขอก าหนดของการเขาสระบบสารสนเทศอยางเครงครด (4) กอนท าการใหสทธในการเขาสระบบจากระยะไกล ผใชงานตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบสถาบนอยางเพยงพอ และตองไดรบอนมตจากผอ านวยการส านกฯ อยางเปนทางการ (5) มการควบคมพอรต (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบและวธการหมนเขาตองไดรบอนมตอยางถกตองและเหมาะสมแลวเทานน (6) การอนญาตใหผใชงานเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมควรเปดพอรตทใชทงไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน
แนวทางปฏบต 5 การควบคมการเขาถงระบบปฏบตการ (Operating System Access Control) เพอใหผใชงาน ไดรบทราบถงหนาทและความรบผดชอบในการใชระบบปฏบตการ รวมทงท าความเขาใจตลอดจนปฏบตตามอยางเครงครด อนจะเปนการปองกนทรพยากรและขอมลของหนวยงานใหมความลบ ความถกตองและมความพรอมใชงานอยเสมอ โดยมแนวปฏบต ดงน
5.1 ผดแลระบบ (System Administrator) ตองตดตงโปรแกรมชวยบรหารจดการ (Domain Control) เพอบรหารจดการเครองคอมพวเตอรทกเครองของสถาบน ฯ และก าหนดชอผใชงานและรหสผานใหกบผใชงานระบบปฏบตการของเครองคอมพวเตอรของสถาบน
5.2 ก าหนดขนตอนการปฏบตเพอการเขาใชงานทมนคงปลอดภย การเขาถงระบบปฏบตการจะตองควบคมโดยแสดงวธการยนยนตวตนทมนคงปลอดภย โดยมแนวปฏบต ดงน (1) ตองจดไมใหระบบแสดงรายละเอยดส าคญหรอความผดพลาดตางๆ ของระบบกอนทจะเขาสระบบ จะเสรจสมบรณ (2) ระบบสามารถยตการเชอมตอเครองปลายทางได เมอพบวามการพย าย ามค าดเด ารหสผานจาก เครองปลายทาง (3) จ ากดระยะเวลาส าหรบใชในการปองกนรหสผาน
๒๑
(4) จ ากดการเชอมตอโดยตรงสระบบปฏบตการผานทาง Command Line เนองจากอาจสราง ความเสยหายใหกบระบบได
5.3 ระบและยนยนตวตนของผใชงาน (User Identification and Authentication) ตองก าหนดใหมผใชงาน และเลอกใชขนตอนทางเทคนคในการยนยนตวตนทเหมาะสมเพอรองรบการ กลาวอางวาเปนผใชงานทระบถง โดยมแนวปฏบต ดงน (1) ผใชงานตองมชอผใชงาน และรหสผาน ส าหรบเขาใชงานระบบสารสนเทศของสถาบน (2) หากอนญาตใหใชชอผใชงาน และรหสผานรวมกน ตองขนอยกบความจ าเปนทางดานธรกจหรอดานเทคนค (3) สามารถใชอปกรณควบคมความปลอดภยเพมเตม เชน สมารตการด RFID หรอเครองอานลายพมพ นวมอ ฯลฯ
5.4 การบรหารจดการรหสผาน (Password Management System) มระบบบรหารจดการรหสผานทสามารถท างานเชงโตตอบ (Interactive) หรอมการท างานในลกษณะอตโนมต ซงเออตอการก าหนดรหสผานทมคณภาพ เมอไดด าเนนการตดตงระบบแลว ใหยกเลกชอผใชงานหรอเปลยนรหสผานของทกชอผใชงานทไดถกก าหนดไวเรมตน ทมาพรอมกบการตดตงระบบโดยทนท
5.5 การใชงานโปรแกรมอรรถประโยชน (Use of System Utilities) ควรจ ากดและควบคมการใชงานโปรแกรมอรรถประโยชนส าหรบโปรแกรมคอมพวเตอรทส าคญ เนองจากการใชงานโปรแกรมอรรถประโยชนบางชนดสามารถท าใหผใชไมปลอดภย ใหด าเนนการดงน (1) จ ากดสทธการเขาถง และก าหนดสทธอยางรดกมในการอนญาตใหใชโปรแกรมอรรถประโยชน (2) ก าหนดใหอนญาตใชงานโปรแกรมอรรถประโยชนเปนรายครงไป (3) จดเกบโปรแกรมอรรถประโยชนไวในสอภายนอก ถาไมตองใชงานเปนประจ า (4) มการเกบบนทกการเรยกใชงานโปรแกรมเหลาน (5) ก าหนดใหมการถอดถอนโปรแกรมอรรถประโยชนทไมจ าเปนออกจากระบบ
5.6 การหมดเวลาใชงานระบบสารสนเทศ (Session Time-Out) เมอมการไมไดใชงานในระยะเวลาหนงใหยตการใชงานระบบสารสนเทศนน (Session Time-Out) มแนวปฏบต ดงน (1) ใหก าหนดหลกเกณฑการยตการใชงานระบบสารสนเทศเมอไมไดใชงานเปนเวลาไมเกน 30 นาท หากเปนระบบทมความเสยงหรอความส าคญสง ใหก าหนดระยะเวลายตการใชงานระบบเมอไมไดใชงานใหสนลงหรอเปนเวลาไมเกน 15 นาท ตามความเหมาะสม เพอปองกนการเขาถงขอมลส าคญโดยไมไดรบอนญาต (2) ถาไมมการใชงานระบบ ตองท าการยกเลกการใชโปรแกรมประยกตและการเชอมตอเขาสระบบโดยอตโนมต (3) เครองปลายทางทตงอยในพนททมความเสยงสงตองมการก าหนดระยะเวลาใหท าการปดเครองโดยอตโนมต หลงจากทไมมการใชงานเปนระยะเวลาตามทก าหนด
๒๒
5.7 การจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ (Imitation of Connection Time) ตองจ ากดระยะเวลาในการเชอมตอเพอใหมความมนคงปลอดภยมากขน ส าหรบระบบสารสนเทศ หรอโปรแกรมทมความเสยงหรอมความส าคญสง (1) ก าหนดหลกเกณฑในการจ ากดระยะเวลาการเชอมตอระบบสารสนเทศ ส าหรบระบบสารสนเทศหรอแอพพลเคชนทมความเสยงหรอมความส าคญสง เพอใหผใชงานสามารถใชงานไดนานทสดภายในระยะเวลาทก าหนดเทานน เชน ก าหนดใหใชงานได 3 ชวโมง ตอการเชอมตอหนงครง ฯลฯ ก าหนดใหใชงานไดเฉพาะในชวงเวลาการท างานของสถาบนตามปกตเทานน (2) การก าหนดชวงเวลาส าหรบการเชอมตอระบบเครอขายจากเครองปลายทาง จะตองพจารณาถงระดบความเสยงของทตงของเครองปลายทางดวย (3) ก าหนดใหระบบสารสนเทศ เชน ระบบงานทมความส าคญสง และ/หรอ ระบบงานทมการใชงานในสถานททมความเสยงในทสาธารณะ หรอพนทภายนอกส านกงาน ฯลฯ มการจ ากดชวงระยะเวลาการเชอมตอ
แนวทางปฏบต 6 การควบคมการเขาถงโปรแกรมประยกตหรอแอพพลเคชนและสารสนเทศ (Application
and Information Access control) ตองมการควบคมดงน
6.1 การจ ากดการเขาถงสารสนเทศ (Information Access Restriction) ตองจ ากดหรอควบคมการเขาถงหรอเขาใชงานของผใชงาน ในการเขาใชงานในการเขาถงสารสนเทศและฟงกชนตางๆ ของโปรแกรมประยกตหรอแอพพลเคชน (Application) โดยใหก าหนดหลกเกณฑในการจ ากดหรอควบคมการเขาถงหรอเขาใชงานทสอดคลองตามนโยบายควบคมการเขาถงสารสนเทศทไดก าหนดไว
6.2 ระบบซงไวตอการรบกวน มผลกระทบและมความสาคญสงตอสถาบน ตองด าเนนการดงน (1) ตองแยกระบบซงไวตอการรบกวนดงกลาวออกจากระบบอนๆ และแสดงใหเหนถงผลกระทบและระดบความส าคญตอสถาบน (2) มการควบคมสภาพแวดลอมของระบบดงกลาวโดยเฉพาะ (3) มการควบคมอปกรณ คอมพวเตอรและอปกรณสอสารเคลอนท และการปฏบตงานจากภายนอกสถาบน (Mobile Computing and Teleworking) ทเกยวของกบระบบดงกลาว
6.3 การควบคมอปกรณคอมพวเตอรและอปกรณสอสารเคลอนท ตองปฏบตดงตอไปน (1) ตรวจสอบความพรอมของคอมพวเตอร และอปกรณทจะน าไปใชงานวาอยในสภาพพรอมใชงานหรอไม และตรวจสอบโปรแกรมมาตรฐานวาถกตองตามลขสทธ (2) ระมดระวงไมใหบคคลภายนอกคดลอกขอมลจากคอมพวเตอรทน าไปใชได เวนแตขอมลทไดมการเผยแพรเปนการทวไป (3) เมอหมดความจ าเปนตองใชอปกรณคอมพวเตอรและอปกรณสอสารเคลอนทแลว ใหรบน าสงคนเจาหนาททรบผดชอบทนท
๒๓
(4) เจาหนาทรบผดชอบในการรบคนอปกรณ ตองตรวจสอบสภาพความพรอมใชงานของอปกรณคอมพวเตอรและสอสารเคลอนททรบคนดวย (5) หากปรากฏวาความเสยหายทเกดขนนน เกดจากความประมาณอยางรายแรงของผน าไปใช ผน าไปใชตองรบผดชอบตอความเสยหายทเกดขน
6.4 การปฏบตงานจากภายนอกสถาบน (Teleworking) ตองก าหนดแนวปฏบตแผนงานและขนตอนปฏบตเพอปรบใชส าหรบการปฏบตงานของสถาบนจากภายนอกสถาบน
แนวทางปฏบต 7 การควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN Access Control) เพอก าหนดมาตรฐานการควบคมการเขาถงระบบเครอขายไรสาย (Wireless LAN) ของสถาบนโดยการก าหนดสทธของผใชในการเขาถงระบบใหเหมาะสมตามหนาทความรบผดชอบในการปฏบตงาน รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนผใชระบบตองผานการพสจนตวตนจรงจากระบบ วาไดรบอนญาตจากผดแลระบบ เพอสรางความมนคงปลอดภยของการใชงานระบบเครอขายไรสาย เพอสรางความมนคงปลอดภยขอการใชงานระบบเครอขายไรสาย แนวทางปฏบตในการควบคมการเขาถงระบบเครอขายไรสาย (1) ผใชงาน ทตองการเขาถงระบบเครอขายไรสายของสถาบนจะตองท าการลงทะเบยนกบผดแลระบบ และตองไดรบพจารณาอนญาตจากผอ านวยการส านกหรอผทไดรบมอบหมายอยางเปนลายลกษณอกษร (2) ผดแลระบบ ตองท าการลงทะเบยนก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสาย ใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน (3) ผดแลระบบ ตองท าการลงทะเบยนอปกรณทกตวทใชตดตอระบบเครอขายไรสาย (4) ผดแลระบบ ตองก าหนดต าแหนงการวางอปกรณ Access Point (AP) ใหเหมาะสม เปนการควบคมไมใหสญญาณของอปกรณรวไหลออกไปนอกบรเวณทใชงาน เพอปองกนไมใหผโจมตสามารถรบสงสญญาณจากภายนอกอาคารหรอบรเวณขอบเขตทควบคมได (5) ผดแลระบบ ควรเลอกใชก าลงสงใหเหมาะสมกบพนทใชงาน และควรส ารวจวาสญญาณรวไหลออกไปภายนอกหรอไม นอกจากนการใชเสาอากาศพเศษทสามารถก าหนดทศทางการแพรกระจายของสญญาณ อาจชวยลดการรวไหลของสญญาณไดดขน (6) ผดแลระบบ ควรท าการเปลยนคา SSID (Service Set Identifier) ทถกก าหนดเปนคาดฟอลต (Default) มาจากผผลตทนททน าอปกรณกระจายสญญาณ (Access Point) มาใชงาน (7) ผดแลระบบ ควรเปลยนคา ชอลอกอนและรหสผานส าหรบการตงคาการท างานของอปกรณไรสาย และผดแลระบบควรเลอกใชชอลอกอนและรหสผานทมความคาดเดาไดยาก เพอปองกนผโจมตไมใหสามารถเดาหรอเจาะรหสไดโดยงาย (8) ผดแลระบบ ตองก าหนดคาใช WEB หรอ WPA ในการเขารหสขอมลระหวาง Wireless LAN Client และอปกรณกระจายสญญาณ (Access Point) เพอใหย ากตอการดกจบจะชวยใหปลอดภยมากยงขน
๒๔
(9) ผดแลระบบ ควรเลอกใชวธการควบคม MAC Address และชอผใช (Username) รหสผาน (Password) ของผใชทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาตเฉพาะอปกรณทม MAC Address และชอผใชรหสผานตามทก าหนดไวเทานนใหเขาใชเครอขายไรสายไดอยางถกตอง (10) ผดแลระบบ ควรจะมการตดตงไฟรวอล (Firewall) ระหวางเครอขายไรสายกบเครอขายภายในสถาบน (11) ผดแลระบบ ควรก าหนดใหผใชในระบบเครอขายไรสายตดตอสอสารไดเฉพาะกบ VPN (Virtual Private Network) เพอชวยปองกนการโจมต (12) ผดแลระบบควรใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ เพอคอยตรวจสอบและบนทกเหตการณทนาสงสยเกดขนในระบบเครอขายไรสาย และเมอตรวจสอบพบการใชงานระบบเครอขายไรสายทผดปกตใหรายงานตอผอ านวยการส านกทราบโดยทนท
แนวทางปฏบต 8 การรกษาความมนคงปลอดภยทางดานกายภาพและสงแวดลอม (Physical and
Environmental Security) 8.1 การก าหนดบรเวณทตองมการรกษาความมนคงปลอดภย (1) ใหส านกฯ หรอศนยเทคโนโลยสารสนเทศสถาบนฯ เปนผก าหนดพนทใชงานระบบสารสนเทศและการสอสารใหชดเจน และจดท าแผนผงแสดงต าแหนงของพนทใชงานและประกาศใหรบทราบทวกน โดยภายในสถาบนมการจ าแนกและก าหนดพนท ของเครองแมขายอปกรณเครองแมขายระบบเทคโนโลยสารสนเทศตางๆ อยางเหมาะสม และใหก าหนดพนทรกษาความมนคงปลอดภยของระบบสารสนเทศและเครอขายสถาบนมจดประสงคในการเฝาระวงควบคมการรกษาความมนคงปลอดภย จากผทไมไดรบอนญาต รวมทงปองกนความเสยหายอนๆ ทอาจเกดขนโดยการก าหนดพนทดงกลาว อาจแบงออกไดเปน - พนทท างาน - พนทตดตงและจดเกบอปกรณระบบสารสนเทศหรอระบบเครอขาย - พนทใชงานระบบเครอขายไรสาย (2) ใหส านกฯ หรอศนยเทคโนโลยสารสนเทศสถาบนฯ เปนผก าหนดสทธในการเขาถงพนทใชงานระบบเทคโนโลยสารสนเทศและการสอสาร เพอปฏบตหนาทตามทไดรบมอบหมายอยางครบถวน ประกอบดวย - จดท า “ทะเบยนผมสทธเขาออกพนท” เพอปฏบตหนาทตามสทธและหนาททไดรบมอบหมาย - ก าหนดผมหนาทรบผดชอบการบนทกการเขา-ออกพนท โดยจดท าเปนเอกสาร “บนทกการเขาออกพนท” - จดใหมเจาหนาทท าหนาท ตรวจสอบประวตการเขา-ออกพนทเปนประจ าทกวน และใหมการปรบปรงรายการผมสทธเขา-ออกพนท อยางนอยปละ 1 ครง - บคคลภายนอกเขามาตดตอตองลงชอขออนญาตการเขา-ออก ในแบบฟอรมการเขา-ออกใหถกตองและจะตองมเจาหนาทอยกบบคคลทมาตดตอตลอดเวลา - บคคลอนทไมมหนาทเกยวของขอเขาพนท ตองตรวจสอบเหตผลและความจ าเปนกอนทจะอนญาต - ประกาศหามผไมมสวนเกยวของเขาพนท เวนแตไดรบอนญาตใหรบทราบทวกน
๒๕
- หนวยงานภายนอกทน าเครองคอมพวเตอรหรออปกรณทใชในการปฏบตงานระบบเครอขายภายในสถาบน จะตองไดรบอนญาตจากผอ านวยการส านก - มระบบสนบสนนการท างานของระบบสารสนเทศของสถาบนทเพยงพอตอความตองการใชงาน โดยใหมระบบดบเพลง ระบบปรบอากาศและควบคมความชน และใหมการตรวจสอบหรอทดสอบระบบสนบสนนเหลานนอยางสม าเสมอใหมนใจไดวา ระบบท างานตามปกตและลดความเสยงจากการลมเหลวในการท างานของระบบ - ตดตงระบบแจงเตอนเพอแจงเตอนกรณทระบบสนบสนนการท างานภายในหองเครองท างานผดปกตหรอหยดการท างาน
8.2 การเดนสายไฟ สายสอสาร และสายเคเบลอนๆ (1) หลกเลยงการเดนสายสญญาณเครอขายของสถาบนในลกษณะทตองผานเขาไปในบรเวณทมบคคลภายนอกเขาถงได (2) ใหมการปองกนสายสญญาณตางๆ เพอปองกนการดกจบสญญาณ หรอการตดสายสญญาณเพอท าใหเกดความเสยหาย (3) ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกนเพอปองกนการแทรกแซงรบกวนของสญญาณซงกนและกน (4) ท าปายชอส าหรบสายสญญาณและบนอปกรณเพอปองกนการตดตอสญญาณผดเสน (5) จดท าผงสายสญญาณสอสารตางๆ ใหครบถวนและถกตอง (6) หองทมสายสญญาณสอสารตางๆ ปดใสสลกใหสนท เพอปองกนการเขาถงบคคลภายนอก (7) ด าเนนการส ารวจระบบสายสญญาณสอสารทงหมดเพอตรวจหาการตดตงอปกรณดกจบสญญาณโดยผไมประสงคด
8.3 การบารงรกษาอปกรณ (1) ใหมการก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทแนะน าโดยผผลต (2) ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า (3) จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใชในการตรวจสอบหรอประเมนในภายหลง (4) จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรงอปกรณดงกลาว (5) ควบคมและสอดสองดแลการปฏบตงานของผใหบรการภายนอกทมาท าการบ ารงรกษาอปกรณภายในสถาบน (6) จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญโดยผรบจางใหบรการจากภายนอกทมาท าการบ ารงรกษาอปกรณ เพอปองกนการเขาถงโดยไมไดรบอนญาต
8.4 การน าทรพยสนของสถาบนออกนอกสถาบน (1) ใหมการขออนญาตกอนน าอปกรณ หรอทรพยสนนนออกไปใชงานนอกสถาบน
๒๖
(2) ก าหนดผมอ านาจในการเคลอนยายหรอน าอปกรณออกนอกสถาบน (3) ก าหนดระยะเวลาของการน าอปกรณออกไปใชงานนอกสถาบน (4) เมอมการน าอปกรณสงคน ใหตรวจสอบวาสอดคลองกบระยะเวลาทอนญาต และตรวจสอบการช ารดเสยหายของอปกรณดวย (5) บนทกขอมลการน าอปกรณของสถาบนออกไปใชงานนอกสถาบน เพอเอ าไวเปนหลกฐานปองกนการสญหายรวมทงบนทกขอมลเพมเตมเมอน าอปกรณสงคน
8.5 การจดการอปกรณทใชงานอยนอกสถาบน (1) ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าอปกรณหรอทรพยสนของสถาบน
ออกไปใชงาน เชน การขนสง และการเกดอบตเหตกบอปกรณ ฯลฯ (2) ไมทงอปกรณหรอทรพยสนของสถาบนไวโดยล าพงในทสาธารณะ (3) เจาหนาทมความรบผดชอบอปกรณหรอทรพยสนเสมอนเปนทรพยสนของตนเอง
8.6 การก าจดอปกรณหรอการน าอปกรณกลบมาใชงานอกครง (1) ใหท าลายขอมลส าคญในอปกรณกอนทจะก าจดอปกรณดงกลาว (2) มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณส าหรบจดเกบ
ขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอไปเพอปองกนไมใหมการเขาถงขอมลส าคญนนได
8.7 การรกษาความมนคงปลอดภยสาหรบเอกสารระบบสารสนเทศ (1) จดเกบเอกสารทเกยวของกบระบบสารสนเทศไวในสถานททมนคงปลอดภย (3) ใหมการควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศโดยผเปนเจาของระบบนน (4) ควบคมการเขาถงเอกสารทเกยวของกบระบบสารสนเทศทจดเกบ หรอเผยแพรอยบนเครอขาย
สาธารณะ เชน อนเทอรเนต เพอปองกนการเขาถงหรอเปลยนแปลงแกไขเอกสารนน ฯลฯ
แนวทางปฏบต 9 การเขาถงเครองคอมพวเตอรแมขาย
9.1 การควบคมการตดตงซอฟตแวรลงไปยงเครองคอมพวเตอรแมขายทใหบรการ (1) ใหมการควบคมการเปลยนแปลงตอระบบสารสนเทศของสถาบนเพอปองกนความเสยหายหรอการ
หยดชะงกทมตอระบบสารสนเทศนน (2) ใหผดแลระบบทไดรบการอบรมแลว หรอมความช านาญเทานน ทจะเปนผท าหนาทด าเนนการ
เปลยนแปลงตอระบบสารสนเทศของสถาบน (3) การตดตงหรอปรบปรงซอฟตแวรของระบบสารสนเทศตองมการขออนมตใหตดตงกอนการด าเนนงาน (4) ไมควรตดตงรหสตนฉบบ (Source Code) ของระบบสารสนเทศในเครองคอมพวเตอรแมขายท
ใหบรการนนๆ (5) ก าหนดใหมการจดเกบรหสตนฉบบและคลงโปรแกรม (Library) ส าหรบซอฟตแวรของระบบ
สารสนเทศไวในสถานททมความมนคงปลอดภย
๒๗
(6) ก าหนดใหผใชงานหรอผทเกยวของตองท าการทดสอบระบบสารสนเทศตามจดประสงคทก าหนดไวอยางครบถวนเพยงพอ กอนด าเนนการตดตงบนเครองคอมพวเตอรแมขายทใหบรการ เชน ซอฟตแวรระบบปฏบตการ และซอฟตแวรทเปนตวระบบสารสนเทศ ฯลฯ
(7) ใหผทเกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบสารสนเทศอยางครบถวน กอนด าเนนการตดตงบนเครองใหบรการระบบสารสนเทศ
(8) ใหมการจดเกบซอฟตแวรเวอรชนเกา ขอมลทเกยวของกบระบบสารสนเทศเดมและขนตอนปฏบตทเกยวของของระบบสารสนเทศในกรณทจ าเปนตองกลบไปใชเวอรชนเกาเหลานน ตามระยะเวลาทเหมาะสม
(9) ใหมการระบความตองการทางสารสนเทศส าหรบระบบสารสนเทศทตองการปรบปรงกอนทจะเรมตนท าการพฒนา
9.2 การทบทวนการทางานของระบบสารสนเทศภายหลงจากทเปลยนแปลงระบบปฏบตการ (1) แจงใหผทเกยวของกบระบบสารสนเทศไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการ เพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบ ปฏบตการ (2) พจารณาวางแผนด าเนนเปลยนแปลงระบบปฏบตการของระบบสารสนเทศรวมทงวางแผนดานงบประมาณทจ าเปนตองใช ในกรณทสถาบนตองเปลยนไปใชระบบปฏบตการใหม
9.3 การพฒนาซอฟตแวรโดยหนวยงานภายนอก (1) ควรจดใหมการควบคมการพฒนาซอฟตแวรทจดจางจากบคคลหรอหนวยงานภายนอก (2) ใหระบวาใครจะเปนผมสทธในทรพยสนทางปญญ าส าหรบรหสตนฉบบ ในการพฒนาซอฟตแวร โดย
ผรบจางใหบรการจากภายนอก (3) ใหก าหนดเรองการสงวนสทธทจะตรวจสอบดานคณภาพและความถกตองของซอฟตแวรทจะมการ
พฒนาโดยผใหบรการภายนอก โดยระบไวในสญญาจางทท ากบผใหบรการภายนอกนน (4) ใหมการตรวจสอบโปรแกรมไมประสงคด (Malware) ในซอฟตแวรตางๆ ทจะท าการตดตงกอน
ด าเนนการตดตง
9.4 มาตรการควบคมชองโหวทางเทคนค (1) ก าหนดใหมการจดท าบญชของระบบสารสนเทศเพอใชส าหรบกระบวนการบรหารจดการชองโหวของ
ระบบเหลานน ควรมการบนทกดงตอไปน - ชอซอฟตแวรและเวอรชนทใชงาน - สถานทตดตง - เครองทตดตง - ผผลตซอฟตแวร - ขอมลส าหรบตดตอผผลตหรอผพฒนาซอฟตแวรนนๆ (2) ก าหนดใหมการจดการชองโหวส าคญของระบบสารสนเทศอยางเหมาะสมโดยทนท (3) กระบวนการบรหารจดการชองโหวของระบบสารสนเทศใหผดแลระบบด าเนนการดงน
๒๘
- มการเฝาระวงตดตาม ประเมนความเสยงส าหรบชองโหวของระบบสารสนเทศรวมทงการประส านงานเพอใหผทเกยวของด าเนนการแกไขชองโหวตามความเหมาะสม
- ใหก าหนดแหลงขอมลขาวสารเพอใชในการตดตามชองโหวของระบบสารสนเทศของสถาบน - ก าหนดใหผทเกยวของด าเนนการประเมนความเสยงเมอไดรบการแจงหรอทราบเกยวกบชองโหวนน (4) ปดการใชงานหรอควบคมการเขาพอรตทใชส าหรบตรวจสอบและปรบแตงระบบใหใชงานไดอยาง
จ ากดระยะเวลาเทาทจ าเปนโดยตองไดรบการอนญาตจากผรบผดชอบเปนลายลกษณอกษร
9.5 การบนทก เหตการณทเกยวของกบการใชงานระบบสารสนเทศ (Audit Logging) มการบนทกพฤตกรรมการใชงาน (Log) การเขาถงระบบสารสนเทศ ดงน
(1) ขอมลบญชผใชงาน (2) ขอมลวนเวลาทเขาถงระบบ (3) ขอมลวนเวลาทออกจากระบบ (4) ขอมลเหตการณส าคญทเกดขน (5) ขอมลการลอกอน ทงทส าเรจและไมส าเรจ (6) ขอมลความพย าย ามในการเขาถงทรพยากรทงทส าเรจและไมส าเรจ (7) ขอมลการเปลยนคอนฟกกเรชน (Configuration) ของระบบ (8) ขอมลแสดงการใชงานแอพพลเคชน (Application) (9) ขอมลแสดงการเขาถงไฟลและการกระท ากบไฟล เชน เปด ปด เขยน หรออานไฟล ฯลฯ (10) ขอมลเลขทอยไอพทเขาถง (11) ขอมลโพรโทคอลเครอขายทใช (12) ขอมลแสดงการหยดการท างานของระบบปองกนไวรสคอมพวเตอร (13) ขอมลแสดงการส ารองขอมลไมส าเรจ
แนวทางปฏบต 10 การควบคมการเขาออกหองควบคมระบบเครอขาย (Network System Control Room) เพอก าหนดมาตรการควบคมและปองกน การรกษาความมนคงปลอดภยทเกยวของกบการเขาใชงาน หรอการเขาถงหองควบคมระบบเครองคอมพวเตอร อปกรณเครอขาย และระบบเทคโนโลยสารสนเทศ มใหบคคลทไมมอ านาจหนาทเกยวของในการปฏบตหนาท เขาถง ลวงร แกไข เปลยนแปลงระบบเทคโนโลยสารสนเทศและการสอสารทส าคญ ซงจะท าใหเกดความเสยหายตอขอมล และระบบขอมลของสถาบนโดยมการก าหนดกระบวนการควบคมการเขาออกทแตกตางกนของกลมบคคลตางๆ ทมความจ าเปนตองเขาออกหองควบคมระบบเครอขาย
10.1 ผทเกยวของ บทบาทหนาท และผรบผดชอบ (1) หวหนางานระบบเครอขายและบรการอนเทอรเนต - อนมตสทธเขาออกพนทใชงานระบบเทคโนโลยสารสนเทศ - อนมตกระบวนการควบคมการเขาออกหองควบคมระบบเครอขาย (2) ผดแลหองควบคมระบบเครอขาย
๒๙
- ตรวจสอบดแลบคคลทขออนญาตเขามาภายในศนยปฏบตการใหปฏบตตามระเบยบและกฎเกณฑของหองควบคมระบบเครอขายอยางเครงครด
10.2 กระบวนการควบคมการเขาออกหองควบคมระบบเครอขาย ผดแลหองควบคมระบบเครอขายและเจาหนาท มแนวทางปฏบตดงน
(1) ผดแลหองควบคมระบบเครอขาย ตองท าการก าหนดสทธบคคลในการเขาออกหองควบคมระบบเครอขาย โดยเฉพาะบคลากรภายในทปฏบตหนาททเกยวของและมการบนทก “ทะเบยนผมสทธเขาออกพนท” เชน เจาหนาทปฏบตงานคอมพวเตอร (Computer Operator) เจาหนาทผดแลระบบ (System Administrator) เปนตน
(2) สทธในการเขาออกหองตาง ๆ ภายในหองควบคมระบบเครอขายของเจาหนาทแตละคน ตองไดรบการอนมตจากผอ านวยการส านกบรการคอมพวเตอร หรอผทไดรบมอบหมายเปนลายลกษณอกษร โดยสทธของเจาหนาทแตละคนขนอยกบหนาทการปฏบตงานภายหองควบคมระบบเครอขาย
(3) กรณเจาหนาททไมมหนาทเกยวของประจ า มความจ าเปนตองเขาออกหองควบคมระบบเครอขาย กตองมการควบคมอยางรดกม
(4) การเขาถงหองควบคมระบบเครอขายตองมการลงบนทกตามแบบฟอรมทระบไวในเอกสาร “บนทกการเขาออกพนท”
10.3 แนวปฏบตการจดท าเอกสารระบสทธในการเขาถงพนท การจดท าเอกสารระบสทธของผใชและ “หนวยงานภายนอก” ในการเขาถงพนท มดงน
(1) ก าหนดสทธผใชทมสทธผานเขาออกและชวงเวลาทมสทธในการผานเขาออกในแตละ “พนทใชงานระบบ” อยางชดเจน
(2) การเขาถงอาคารของหนวยงานของบคคลภายนอก หรอผมาตดตอเจาหนาทรกษาความปลอดภย จะตองใหมการแลกบตรทใชระบตวตนของบคคลนนๆ ทออกโดยหนวยงานราชการ เชน บตรประชาชน ใบอนญาตขบข เปนตน แลวท าการลงบนทกขอมลบตรในสมดบนทกและรบแบบฟอรมการเขาออกพรอมกบบตรผตดตอ (Visitor)
(3) บคคลทมาตดตอตองตดบตรผตดตอ (Visitor) ตรงจดทสามารถเหนไดชดเจนตลอดเวลาทอยในสถาบน
(4) เจาหนาททบคคลภายนอกเขามาตดตอ จะตองลงชออนญาตการเขาออกในแบบฟอรมการเขาออกใหถกตอง และตองอยกบบคคลทมาตดตอตลอดเวลา
(5) บคคลภายนอกหรอผตดตอตองคนแบบฟอรมการเขาออกและบตรผตดตอ (Visitor) กบเจาหนาทรกษาความปลอดภยกอนออกจากอาคาร และเจาหนาทรกษาความปลอดภยตองตรวจสอบผตดตออปกรณ พรอมลงเวลาออกทสมดบนทกใหถกตอง
(6) ผใชจะไดรบสทธใหเขาออกพนทท างานไดเฉพาะบรเวณพนททถกก าหนด เพอใชในการท างานเทานน (7) หากมบคคลอนทไมใชผใชขอเขาพนท โดยมไดขอสทธในการเขาพนทนนไวเปนการลวงหนา
หนวยงานเจาของพนทตองตรวจสอบเหตผล และความจ าเปนกอนทจะอนญาต ทงนจะตองแสดงบตร
๓๐
ประจ าตวทหนวยงานราชการออกให โดยหนวยงานเจาของพนทตองจดบนทกบคคลและการเขาออกไวเปนหลกฐานทงในกรณทอนญาตและไมอนญาตใหเขาพนท
แนวทางปฏบต 11 การใชงานเครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา
11.1 การใชงานทวไป (1) ผใชงานตองยอมรบทราบกฎระเบยบหรอนโยบายตางๆ ทก าหนดขน โดยจะอางวาไมทราบ
กฎระเบยบหรอนโยบาย มได (2) เครองคอมพวเตอรและเครอขายของสถาบนเปนสมบตของทางราชการ ผใชงานควรใชเพอประโยชน
ทางราชการเทานน (3) โปรแกรมทไดถกตดตงลงบนเครองคอมพวเตอรของสถาบน ตองเปนโปรแกรมทสถาบนไดซอลขสทธ
มาอยางถกตองตามกฎหมาย ดงนนหามผใชงานคดลอกโปรแกรมตางๆ และน าไปตดตงบนเครองคอมพวเตอรสวนตวหรอแกไข หรอน าไปใหผอนใชงานโดยผดกฎหมาย หากตรวจพบวามการตดตงชดโปรแกรม เปลยนแปลงโปรแกรมหรอ อปกรณคอมพวเตอรอนใดเพมเตม และกอใหเกดความเสยหายหรอการละเมดลขสทธ ผใชงานตองเปนผรบผดชอบแตเพยงฝ ายเดยว
(4) การเคลอนยายหรอสงเครองคอมพวเตอรไปตรวจซอมจะตองด าเนนการโดยเจาหนาทของส านกฯ หรอศนยเทคโนโลยสารสนเทศสถาบนฯ หรอผรบจางในการบ ารงรกษาเครองคอมพวเตอรและอปกรณทไดท าสญญากบสถาบนเทานน
(5) กอนการใชงานสอบนทกพกพาตางๆ ตองมการตรวจสอบเพอหาไวรสโดยโปรแกรมปองกนไวรส (6) ไมวางสอแมเหลกไวใกลหนาจอเครองคอมพวเตอรหรอ และ/หรอสอบนทกทอาจกอใหเกดความ
เสยหายได (7) ในกรณทตองการเคลอนยายเครองคอมพวเตอรแบบพกพาควรใสกระเป าส าหรบเครองคอมพวเตอร
แบบพกพา เพอปองกนอนตรายทเกดจากการกระทบกระเทอน เชน การตกจากโตะท างาน หรอหลดมอ ฯลฯ (8) การใชเครองคอมพวเตอรแบบพกพาเปนระยะเวลานอนเกนไป ในสภาพทมอากาศรอนจด ควรปด
เครองคอมพวเตอรเพอเปนการพกเครองสกระยะหนงกอนเปดใชงานใหมอกครง (9) ไมวางของทบบนหนาจอและแปนพมพ (10) การเคลอนยายเครอง ขณะทเครองเปดใชงานอย ใหท าการยกจากฐานภายใตแปนพมพ หามยาย
เครองโดยการดงหนาจอภาพขน (11) ไมใชหรอวางเครองคอมพวเตอรแบบพกพาใกลสงทเปนของเหลว ความชน เชน อาหาร น า กาแฟ
และเครองดมตาง ๆ ฯลฯ (12) ผใชงานมหนาทรบผดชอบในการปองกนการสญหาย เชน ควรลอกเครองขณะทไมไดใชงานไมวาง
เครองทงไวในทสาธารณะ หรอในบรเวณทมความเสยงตอการสญหาย ฯลฯ (13) หามมใหผใชงานท าการเปลยนแปลงแกไขสวนประกอบยอย (Sub Component) ทตดตงอยภายใน
รวมถงแบตเตอร
๓๑
(14) ผใชงานตองใหความรวมมอและอ านวยความสะดวกแกผดแลระบบคอมพวเตอรในการตรวจสอบระบบความปลอดภยของเครองคอมพวเตอรและเครอขายรวมทงปฏบตตามค าแนะน าของผดแล
(15) ผใชงานจะตองไมละเมดตอผอน กลาวคอผใชงานจะตองไมอาน เขยน ลบเปลยนแปลงหรอแกไขใดๆ ในสวนทมใชของตนโดยไมไดรบอนญาต เชน การบกรก (Hack) เขาสบญชผใชงาน (User Account) ของผอนหรอสเครองคอมพวเตอรทอยในความรบผดชอบของผอน การเผยแพรขอความใดๆ ทกอใหเกดความเสยหายเสอมเสยแกผอน การใชภ าษาหรอรปภาพไมสภาพหรอการเขยนขอความทท าใหผอนเสยหาย ถอเปนการละเมดสทธของผอนทงสน ผใชงานจะตองรบผดชอบแตเพยงฝ ายเดยว
(16) ผใชงานสญญาวาจะปฏบตตามเงอนไข/นโยบาย/กฎ/ระเบยบ/ค าแนะน าทสถาบนก าหนดไวและทจะก าหนดขน ในอน าคตตามความเหมาะสม
(17) หากผใชงานกระท าการลวงละเมด หรอ พย ามย ามจะลวงละเมด ส านกฯ หรอศนยเทคโนโลยสารสนเทศ ในฐานะผดแลระบบคอมพวเตอรและเครอขายของสถาบนขอสงวนสทธทจะยกเลกการใชงาน หรอระงบการเชอมตอ และ/หรอ การใชงานใดๆ ตามความเหมาะสม
(18) ผใชงานตองก าหนดรหสผานในการใชงานเครองคอมพวเตอรทรบผดชอบ (19) ผใชงานตองตงคาการใชงานโปรแกรมถนอมหนาจอ (Screen Saver) เพอท าการลอคหนาจอภาพ
เมอไมมการใชงาน หลงจากนน เมอตองการใชงานผใชบรการตองใสรหสผาน (Password) เพอเขาใชงาน (20) ในการเขาใชระบบปฏบตการ ใส User และ Password ทกครง (21) ผใชงานตองไมอนญาตใหผอนใชชอผใช (Username) และรหสผาน (Password) ของตนในการเขา
ใชงานเครองคอมพวเตอรรวมกน (22) ผใชงานตองท าการลงบนทกออก (Logout) ทนทเมอเลกใชงานหรอไมอยทหนาจอเปนเวลานาน (23) หามเปดหรอใชงานโปรแกรมประเภท Peer-to-Peer หรอโปรแกรมทมความเสยง เวนแตจะไดรบ
อนญาตจากผบงคบบญชา หรอส านกบรการคอมพวเตอร (24) หามไมใหผใชงานท าการตดตงหรอใชงานซอฟตแวรอนใดทไมมลขสทธ หากตรวจพบถอวาเปน
ความผดสวนบคคล ผใชงานรบผดชอบแตเพยงผเดยว (25) หามมใหผใชงานท าการตดตง ถอดถอน เปลยนแปลง แกไข หรอท าส าเนาซอฟทแวรทสถาบน จดเตรยมไวใหผใชงาน เพอน าไปใชงานทอน (26) หามใชทรพยากรทกประเภททเปนของสถาบน เพอประโยชนทางการคา (27) หามผใชงานน าเสนอขอมลทผดกฎหมาย ละเมดลขสทธ แสดงขอความรปภาพไมเหมาะสม หรอขด
ตอศลธรรมกรณผใชสรางเวบเพจบนเครอขายคอมพวเตอร (28) หามผใชงานใชระบบสารสนเทศของสถาบน เพอควบคมคอมพวเตอรหรอระบบสารสนเทศภายนอก
โดยไมไดรบอนญาตจากผบงคบบญชา
11.2 การส ารองขอมลและการกคน (1) ผใชงานตองรบผดชอบในการส ารองขอมลจากเครองคอมพวเตอรไวบนสอบนทกอนๆ เชน CD,DVD
และ External Hard Disk ฯลฯ
๓๒
(2) ผใชงานมหนาทเกบรกษาสอขอมลส ารอง (Backup Media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมลและทดสอบการกคนขอมลทส ารองไวอยางสม าเสมอ
(3) ผใชงานควรประเมนความเสยงวาขอมลทเกบไวใน Hard Disk ไมควรเปนขอมลส าคญเกยวของกบการท างาน
แนวทางปฏบต 12 การบรหารจดการการเขาถงขอมลตามระดบชนความลบ (1) ผดแลระบบ ตองก าหนดชนความลบของขอมล วธการปฏบตในการจดเกบขอมลและวธปฏบตในการ
ควบคมการเขาถงขอมลแตละประเภท ชนความลบ ทงการเขาถงโดยตรงและการเขาถงผานระบบสารสนเทศ รวมถงวธการท าลายขอมลแตละประเภทชนความลบ
(2) เจาของขอมล จะตองมการทบทวนความเหมาะสมของสทธในการเขาถงขอมลของผใชงานเหลาน ปละ 1 ครง เพอใหมนใจไดวาสทธตางๆ ทใหไวยงคงมความเหมาะสม
(3) วธปฏบตในการควบคมการเขาถงขอมลแตละประเภทชนความลบทงการเขาถง โดยตรงและการเขาถง ผานระบบสารสนเทศ ผดแลระบบตองก าหนดชอผใชงาน และรหสผาน เพอใชในการตรวจสอบตวตนจรงของผใชขอมลในแตละชนความลบขอมล
(4) การรบสงขอมลขอมลส าคญ ผานเครอขายส าธ ารณ ะ ควรไดรบการเขารหสลบ (encryption) ทเปนมาตรฐานส ากล เชน SSL, VPN หรอ XML encryption ฯลฯ
แนวทางปฏบต 13. การควบคมการใชงานระบบจดหมายอเลกทรอนกส (Use of Electronic Mail) ก าหนดมาตรการการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายของสถาบน ซงผใชจะตอง ใหความส าคญและตระหนกถงปญหาทเกดขนจากการใชบรการจดหมายอเลกทรอนกสบนเครอขายอนเทอรเนต ผใชจะตองเขาใจกฎเกณฑตาง ๆ ทผดแลระบบเครอขายวางไว ไมละเมดสทธหรอกระท าการใดๆ ทจะสรางปญหาหรอไม เคารพกฎเกณฑทวางไว และจะตองปฏบตตามค าแนะน าของผดแลระบบเครอขายนน อยางเครงครด จะท าใหการใชงานจดหมายอเลกทรอนกสผานระบบเครอขายเปนไปอยางปลอดภยและมประสทธภาพ แนวทางปฏบตในการสงจดหมายอเลกทรอนกส
(1) ผดแลระบบ ตองก าหนดสทธการเขาถงระบบจดหมายอเลกทรอนกสของสถาบนใหเหมาะสมกบการเขาใชบรการของผใชระบบและหนาทความรบผดชอบของผใช รวมทงมการทบทวนสทธการเขาใชงานอยางสม าเสมอ เชน การลาออกเปนตน
(2) ผดแลระบบ ตองก าหนดสทธบญชรายชอผใชรายใหม และรหสผานส าหรบการใชงานครงแรก เพอใชในการตรวจสอบตวตนจรงของผใชระบบจดหมายอเลกทรอนกสของสถาบน
(3) รหสจดหมายอเลกทรอนกส เวลาใสรหสผานตองไมปรากฏหรอแสดงรหสผานออกมา แตตองแสดงออกมาในรปแบบของสญลกษณแทนตวอกษรนน เชน (*) ในการพมพแตละตวอกษร
(4) ผดแลระบบ ควรก าหนดจ านวนครงทยอมใหผใชงานใสรหสผานผด ไดไมเกน 5 ครง
๓๓
(5) ผดแลระบบ ควรก าหนดใหระบบจดหมายอเลกทรอนกส ควรมการลอกเอาทออกจากหนาจอตดการใชงานผใช เมอผใชไมไดใชงานระบบเปนระยะเวลาตามทก าหนดไว เชน 15 นาท เมอตองการเขาใชงานตอตองใสชอผใชและรหสผานอกครง
(6) ผใชงานไมควรตงคาการใชโปรแกรมชวยจ ารหสผานสวนบคคลอตโนมต (Save Password) ของระบบจดหมายอเลกทรอนกส
(7) ผใชงาน ควรมการเปลยนรหสผานอยางเครงครด เชน ควรเปลยนรหสผานทก 3-6 เดอน (8) ผใชงาน ควรระมดระวงในการใชจดหมายอเลกทรอนกส เพอไมใหเกดความเสยหายตอสถาบนหรอ
ละเมดสทธสรางความร าคาญตอผอน หรอผดกฎหมาย ละเมดศลธรรมและไมแสวงหาประโยชน หรออนญาตใหผอนแสวงหาผลประโยชนในเชงธรกจ จากการใชจดหมายอเลกทรอนกสผานระบบเครอขายของสถาบน
(9) ขอหาม ผใชไมควรใชทอยจดหมายอเลกทรอนกส (e-mail Address) ของผอน เพออาน รบ-สงขอความยกเวนแตจะไดรบการยนยอมจากเจาของและใหถอวาเจาของจดหมายอเลกทรอนกสเปนผรบ ผดชอบตอการใชงานตางๆ ในจดหมายอเลกทรอนกสของตน
(10) ผใชงาน ควรใชทอยจดหมายอเลกทรอนกสของสถาบนเพอการท างานของสถาบนเทานน (11) หลงจากการใชงานระบบจดหมายอเลกทรอนกสเสรจสน ควรท าการลอกเอาทออกจากระบบทกครง
เพอปองกนบคคลอนเขาใชงานจดหมายอเลกทรอนกส (12) ผใชงาน ควรท าการตรวจสอบเอกสารแนบจากจดหมายอเลกทรอนกสกอนท าการเปด เพอท าการ
ตรวจสอบไฟลโดยใชโปรแกรมปองกนไวรสเปนการปองกนในการเปดไฟลทเปน Executable File เชน .exe .com เปนตน
(13) ผใชงาน ไมเปดหรอสงตอจดหมายอเลกทรอนกสหรอขอความทไดรบจากผสงทไมรจก (14) ผใชงาน ไมควรใชขอความทไมสภาพหรอรบสงจดหมายอเลกทรอนกสท ไมเหมาะสม ขอมลอนอาจ
ท าใหเสยชอเสยงของสถาบนท าใหเกดความแตกแยกระหวางสถาบนผานทางจดหมายอเลกทรอนกส (15) ในกรณทตองการสงขอมลทเปนความลบไมควรระบความส าคญของขอมลลงในหวขอจดหมาย
อเลกทรอนกส (16) ผใชงาน ควรตรวจสอบตเกบจดหมายอเลกทรอนกสของตนเองทกวน และควรจดเกบแฟมขอมล
และจดหมายอเลกทรอนกสของตนใหเหลอจ านวนนอยทสด (17) ผใชงาน ควรลบจดหมายอเลกทรอนกสทไมตองการออกจากระบบ เพอลดปรมาณการใชเนอท
ระบบจดหมายอเลกทรอนกส (18) ขอควรระวง ผใชงานควรโอนยายจดหมายอเลกทรอนกสทจะใช อางองภายหลงมายง
เครองคอมพวเตอรของตน เพอเปนการปองกนผอนแอบอานจดหมายไดดงนนไมควรจดเกบขอมลหรอจดหมายอเลกทรอนกสทไมไดใชแลวไวในตจดหมายอเลกทรอนกส
แนวทางปฏบต 14 การใชงานระบบอนเทอรเนต (Use of the Internet) เพอใหผใชรบทราบกฎเกณฑ แนวทางปฏบตในการใชงานอนเทอรเนตอยางปลอดภย และเปนการปองกนไมใหละเมดพระราชบญญตวาดวยการกระท าผดเกยวกบคอมพวเตอร พ.ศ. 2550 เชนการสงขอมล ขอความ
๓๔
ค าสง ชดค าสง หรอสงอนใดทอยในระบบคอมพวเตอรแกบคคลอนอนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข ท าใหระบบคอมพวเตอรของสถาบนถกระงบ ชะลอ ขดขวาง หรอ ถกรบกวนจนไมสามารถท างานตามปกตได แนวทางปฏบตในการใชงานอนเทอรเนต
(1) ผดแลระบบ ควรก าหนดเสนทางการเชอมตอระบบคอมพวเตอร เพอการเขาใชงานอนเทอรเนตทตองเชอมตอผานระบบรกษาความปลอดภยทสถาบนจดสรรไวเทานน เชน Proxy, Firewall, IPS-IDS เปนตน ยกเวนแตวามเหตผลความจ าเปนและท าการขออนญาตจากผอ านวยการส านกบรการคอมพวเตอร เปน ลายลกษณอกษร
(2) เครองคอมพวเตอรสวนบคคลและเครองคอมพวเตอรแบบพกพา กอนท าการเชอมตออนเทอรเนตผานเวบเบราเซอร (Web Browser) ตองมการตดตงโปรแกรมปองกนไวรสและท าการอดชองโหว ของระบบปฏบตการเวบเบราเซอร
(3) ในการรบสงขอมลคอมพวเตอรผานทางอนเทอรเนต จะตองมการตรวจสอบไวรส (Virus Scanning) ปองกนไวรสกอนการรบสงขอมลทกครง
(4) ผใชงาน ตองไมใชเครอขายอนเทอรเนตของสถาบนเพอหาประโยชนในเชงธรกจสวนตว และท าการเขาสเวบไซตทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาทขดตอความมนคงชาต ศาสนา พระมหากษตรย หรอเวบไซตทเปนภยตอสงคม เปนตน
(5) ผใชงาน จะถกก าหนดสทธในการเขาถงแหลงขอมลตามหนาทความรบผดชอบเพอประสทธภาพของเครอขายและความปลอดภยทางขอมลของสถาบน
(6) ผใชงาน ตองไมเผยแพรขอมลทเปนการหาประโยชนสวนตว ขอมลทไมเหมาะสมทางศลธรรม ขอมลทละเมดสทธของผอน และขอมลทอาจกอความเสยหายใหกบสถาบน ฯ
(7) ผใชงาน ตองไมเปดเผยขอมลส าคญทเปนความลบเกยวกบงานของสถาบน ฯ ทยงไมไดประกาศ อยางเปนทางการผานอนเทอรเนต
(8) ผใชงาน ตองไมน าเขาขอมลคอมพวเตอรใด ๆ ทมลกษณะอนเปนเทจ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกร อนเปนความผดเกยวกบการกอการราย หรอภาพทมลกษณะอนลามก และไมท าการเผยแพรหรอสงตอขอมลคอมพวเตอรดงกลาวผานอนเทอรเนต
(9) ผใชไมน าเขาขอมลคอมพวเตอรทเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตด ตอ เตมหรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใดทงนจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย
(10) ผใชงานมหนาทตรวจสอบความถกตองและความนาเชอถอของขอมลคอมพวเตอรทอย บนอนเทอรเนต กอนน าขอมลไปใชงาน
(11) ผใชงาน ตองระมดระวงการด าวนโหลดโปรแกรมใชงานจากอนเทอรเนต ซงรวมถง Patch หรอ Fixes ตางๆ การด าวนโหลดทกประเภทตองเปนไปโดยไมละเมดทรพยสนทางปญญา
๓๕
(12) ในการเสนอความคดเหน ผใชตองไมใชขอความทยวย ใหราย ทจะท าใหเกดความเสอมเสยตอชอเสยงของสถาบนฯ รวมถงการท าลายความสมพนธกบเจาหนาทของหนวยงานอน ๆ
(13) หลงจากใชงานอนเทอรเนตเสรจแลว ใหท าการปดเวบเบราเซอร เพอปองกนการเขาใชงานโดยบคคลอน
แนวทางปฏบต 15 การใชงานเครอขายสงคมออนไลน (Social Network) (1) อนญาตใหใชงานเครอขายสงคมออนไลนในรปแบบและลกษณะตามทสถาบนไดก าหนดไวเทานน (2) ผใชงานทใชงานเครอขายสงคมออนไลน ทอาจมผลกระทบกบสถาบน ผใชงานตองแจงส านกฯ หรอ
ศนยเทคโนโลยสารสนเทศสถาบนฯ โดยเรวทสด เพอด าเนนการตามความเหมาะสม
แนวทางปฏบต 16 การจดเกบขอมลจราจรคอมพวเตอร (Log) เพอใหขอมลจราจรทางคอมพวเตอร (Log) มความถกตองและสามารถระบถงตวบคคลได ใหปฏบตดงตอไปน
(1) จดเกบขอมลจราจรทางคอมพวเตอร (Log) ไวในสอเกบขอมลทสามารถรกษาความครบถวน ถกตองแทจรง ระบตวบคคลทเขาถงสอดงกลาวได และขอมลทใชในการจดเกบ ตองก าหนดชนความลบในการเขาถง
(2) หามผดแลระบบแกไขขอมลทเกบรกษาไว ยกเวนผตรวจสอบระบบสารสนเทศของสถาบน (IT Auditor) หรอบคคลทสถาบนมอบหมาย
(3) ก าหนดใหมการบนทกใหมการบนทกการท างานของระบบบนทกการปฏบตงานของผใชงาน (Application Logs) และบนทกรายละเอยดของระบบปองกนการบกรก เชนบนทกการเขา-ออกระบบ บนทกการพยายามเขาสระบบ ฯลฯ เพอประโยชนในการใชตรวจสอบและตองเกบบนทกไว 90 วน นบตงแตการใชงานสนสดลง
(4) ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ และจ ากดสทธการเขาถงบนทกเหลานนใหเฉพาะบคคลทเกยวของเทานน
สวนท 2 นโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ นโยบายในการบรหารจดการระบบสารสนเทศทไดมาตรฐาน โดยมการแยกประเภทและจดเกบเทคโนโลย สารสนเทศเปนหมวดหม มระบบส ารองระบบสารสนเทศและระบบคอมพวเตอรทสมบรณพรอมใชงาน (รวมทงมแผนฉกเฉนในการใชงานเพอใหสามารถท างานไดอยางตอเนอง) วตถประสงค 1. เพอใหระบบสารสนเทศของสถาบน ใหบรการไดอยางตอเนอง 2. เพอเปนมาตรฐาน แนวทางปฏบตและความรบผดชอบของผดแลระบบใรการปฏบตงานใหกบสถาบนเปนไปอยางเครงครด และตระหนกถงความส าคญของการรกษาความมนคงปลอดภย ผรบผดชอบ 1. ส านกบรการคอมพวเตอร 2. ผดแลระบบทไดรบมอบหมาย
๓๖
อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส (เวอรชน 2.5) แนวทางปฏบต ในสวนของนโยบายระบบสารสนเทศและระบบส ารองของสารสนเทศ มแนวทางปฏบตในหวขอตางๆ คอ
1. การส ารองขอมลและระบบคอมพวเตอร 2. การกคนระบบ 3. การควบคมการเขาถงระบบสารสนเทศและระบบเครอขายสถาบน 4. การบรหารจดการการเขาถงระบบเครอขาย 5. การบรหารจดการระบบคอมพวเตอรแมขาย 6. การบรหารจดการการบนทกและตรวจสอบ 7. การควบคมการเขาใชงานระบบจากภายนอกส านกบรการคอมพวเตอร 8. การพสจนตวตนส าหรบผใชทอยภายนอก 9. การควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ (Third Party Access Control) 10. ขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ
แนวทางปฏบต 1 การส ารองขอมลและระบบคอมพวเตอร ตองพจารณาคดเลอกระบบสารสนเทศทส าคญและจดท าระบบส ารองทเหมาะสมใหอยในสภาพพรอม ใชงาน ตามแนวทางดงตอไปน
(1) มการจดท าบญชระบบสารสนเทศทมความส าคญทงหมดของสถาบน พรอมทงก าหนดระบบ สารสนเทศทจะจดท าระบบส ารอง และจดท าระบบแผนเตรยมพรอมกรณฉกเฉน ปละ 1 ครง
(2) ก าหนดใหมการส ารองขอมลของระบบสารสนเทศแตละระบบและก าหนดความถในการส ารองขอมล หากระบบใดทมการเปลยนแปลงบอย ควรก าหนดใหมความถในการส ารองขอมลมากขนโดยใหมวธการส ารอ ขอมล ดงน
- ก าหนดประเภทของขอมลทตองท าการส ารองเกบไว และความถในการส ารอง - มขนตอนการปฏบตการจดท าการส ารองขอมลและกคนขอมลอยางถกตอง ทงระบบซอฟตแวรและ
ขอมลในระบบสารสนเทศ โดยขนตอนปฏบตแยกตามระบบสารสนเทศแตละระบบ - ใหผดแลระบบคอมพวเตอรและผดแลระบบเครอขายก าหนดชนดและชวงเวลาการส ารองขอมล ตาม
ความเหมาะสม พรอมทงก าหนดสอทใชเกบขอมล โดยรปแบบการส ารองขอมลมสองชนด คอ การส ารองขอมลแบบเตม (Full Backup) และการส ารองขอมลแบบสวนตาง (Incremental Backup)
- การจดท าบนทกการส ารองขอมล (Operator Logs) ผดแลระบบคอมพวเตอรตองท าบนทกรายละเอยดการส ารองขอมล ไดแก วน/เวลาเรมตนและสนสด ชอผส ารองขอมล ชนดของขอมลทบนทก ส าเรจ/ไมส าเรจ
- ในกรณทพบปญหาในการส ารองขอมลจนเปนเหต ไมสามารถด าเนนการอยางสมบรณได ใหด าเนนการแกไขปญหา และสรปผลการแกไขปญหา และรายงานตอผอ านวยการส านกบรการคอมพวเตอร
๓๗
- ตรวจสอบขอมลทงหมดระบบวามการส ารองขอมลไวอยางครบถวน เชน ซอฟตแวรตางๆ ทเกยวของกบระบบสารสนเทศ ขอมลคอนฟกกเรชน (Configuration) ขอมลในฐานขอมล ฯลฯ
- จดเกบขอมลทส ารองนนในสอเกบขอมล โดยมการพมพชอบนสอเกบส ารอง ทเกบส ารองขอมลนอกสถานทกบสถาบนควรหางกนเพยงพอ เพอไมใหสงผลกระทบตอขอมลจดเกบไวนอกสถานทนน ในกรณทเกดภยพบตกบสถาบน เชน ไฟไหม น าทวม ฯลฯ
- ด าเนนการปองกนทางกายภาพอยางเพยงพอตอสถานทส ารองทใชจดเกบขอมลนอกสถานท - ทดสอบบนทกขอมลส ารองอยางสม าเสมอ เพอตรวจสอบวายงคงสามารถเขาถงขอมลไดตามปกต - จดท าขนตอนปฏบตส าหรบการกคนขอมลทเสยหายจากขอมลทไดส ารองเกบไว - ตรวจสอบและทดสอบประสทธผลของขนตอนปฏบตในการกคนขอมลอยางสม าเสมอ - ใหผดแลระบบคอมพวเตอร มอบหมายหนาทการส ารองขอมลใหกบเจาหนาทคนอนเพอชวยส ารอง
ขอมล ในกรณทผดแลระบบคอมพวเตอรและ/หรอผดแลระบบเครอขายไมสามารถปฏบตงานได - การเขารหสขอมลส าคญในการส ารองขอมล (Encrypted backup) ผดแลระบบคอมพวเตอร ตองจด
ใหมรหสกอนเขาถงขอมลส ารองทส าคญ โดยการใชเทคโนโลยการเขารหสทเหมาะสมเพอปองกนมใหขอมลส ารองเหลานนถกเปดเผย
- นโยบายทตองปฏบตเกยวของกบการส ารองขอมล (Backup Policy) ผดแลระบบคอมพวเตอรตองปฏบตตามขนตอนปฏบต Backup Procedure โดยเครงครด (3) ตองจดท าแผนเตรยมความพรอมกรณฉกเฉนในกรณทไมสามารถด าเนนการดวยวธการทางอเลกทรอนกส เพอใหสามารถใชงานสารสนเทศไดตามปกตอยางตอเนอง โดยตองปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ (4) ผดแลระบบคอมพวเตอรและผดแลระบบเครอขายตองท าการส ารองขอมลแตละรายการ ตามความถ เชน ล าดบ รายการขอมลทตองส ารอง ความถในการส ารองขอมล 4.1. Mail Server - คา Configure กอนและหลงการเปลยนแปลง - ขอมลในเมลบอกซ 1 ครงตอเดอน 4.2. Web Server
- คา Configure กอนและหลงการเปลยนแปลง - ขอมลเผยแพรบนเวบไซด 1 ครงตอเดอน
4.3. Database Server - คา Configure กอนและหลงการเปลยนแปลง - ขอมลในฐานขอมลของระบบทส าคญ 1 ครงตอเดอน 4.4. Firewall Server - คา Configure กอนและหลงการเปลยนแปลง - ขอมล Rule ของ Firewall 1 ครงตอเดอน
๓๘
4.5. Server ของระบบงานตาง ๆ - คา Configure กอนและหลงการเปลยนแปลง - ขอมลบน Server อน ๆ1 ครงตอเดอน หมายเหต ทกรายการทปรากฏ จะใชวธแบคอพแบบ Full Backup (5) ผดแลระบบคอมพวเตอร ตองตรวจสอบผลการส ารองขอมลดวยตนเองวาการแบคอพตามรายละเอยดขางตนนนถกตองสมบรณหรอไม
แนวทางปฏบต 2 การกคนระบบ (1) ในกรณทพบปญหาทอาจสรางความเสยหายตอระบบคอมพวเตอรหรอระบบเครอขายจนเปนเหตท า
ใหตองด าเนนการกคนระบบ ใหผดแลระบบคอมพวเตอรหรอผดแลระบบเครอขายด าเนนการแกไขรายงานผลการแกไขพรอมทงบนทก และรายงานสรปผลการปฏบตงานตอผอ านวยการส านกบรการคอมพวเตอร หรอผทไดรบมอบหมาย
(2) ใหใชขอมลทนสมยทสด (Latest Update) ทไดส ารองไวหรอตามความเหมาะสม เพอกคนระบบ (3) หากความเสยหายทเกดขนกบระบบคอมพวเตอร หรอระบบเครอขายกระทบตอการใหบรการหรอ
การใชงานของผใชระบบ ใหแจงผใชงานทราบทนท พรอมทงรายงานความคบหนาการกคนระบบเปนระยะจนกวาจะด าเนนการเสรจสนอยางสมบรณ
(4) ตองมการซกซอมการกคนระบบอยางนอยปละ 1 ครง
แนวทางปฏบต 3 การควบคมการเขาถงระบบสารสนเทศและระบบเครอขายสถาบน (Access Control) เพอก าหนดมาตรการควบคมบคคลทไมไดรบอนญาตเขาถงระบบเทคโนโลยสารสนเทศและการสอสารของ สถาบน และปองกนการบกรกผานระบบเครอขายจากผบกรก จากโปรแกรมชดค าสงไมพงประสงค ทจะสรางความเสยหายแกขอมล หรอการท างานของระบบเทคโนโลยสารสนเทศและการสอสารใหหยดชะงก และท าใหสามารถตรวจสอบ ตดตามพสจนตวบคคลทเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบนไดอยางถกตอง
3.1 กระบวนการหลกในการควบคมการเขาถงระบบ (1) สถานทตงของระบบเทคโนโลยสารสนเทศและการสอสาร ทส าคญตองมการควบคมการเขาออกท
รดกมและอนญาตใหเฉพาะบคคลทไดรบสทธและมความจ าเปนผานเขาใชงานไดเทานน (2) ผดแลระบบ ตองก าหนดสทธการเขาถงขอมล และระบบขอมล ใหเหมาะสมกบการเขาใชงานของผใช
ระบบและหนาทความรบผดชอบของเจาหนาทในการปฏบตงานกอนเขาใชระบบเทคโนโลยสารสนเทศและการสอสาร รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ ทงนผใชระบบจะตองไดรบอนญาตจากผดแลระบบตามความจ าเปนในการใชงาน
(3) ผดแลระบบหรอผทไดรบมอบหมายเทานนทสามารถแกไขเปลยนแปลงสทธการเขาถงขอมลและระบบขอมลได
(4) ผดแลระบบ ควรจดใหมการตดตงระบบบนทกและตดตามการใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบนและตรวจตราการละเมดความปลอดภยทมตอระบบขอมลส าคญ
๓๙
(5) ผดแลระบบ ตองจดใหมการบนทกรายละเอยดการเขาถงระบบการแกไขเปลยนแปลงสทธตาง ๆ และการผานเขาออกสถานทตงของระบบ ของทงผทไดรบอนญาตและไมไดรบอนญาต เพอเปนหลกฐานในการตรวจสอบหากมปญหาเกดขน
3.2 การควบคมการเขาถงระบบเทคโนโลยสารสนเทศ (1) ผดแลระบบมหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบใหแกผใชในการ
ขออนญาตเขาระบบงานนน จะตองมการท าเปนเอกสารเพอขอสทธในการเขาสระบบ และก าหนดใหมการลงนามอนมตเอกสารดงกลาวตองมการจดเกบไวเปนหลกฐาน
(2) เจาของขอมล และ “เจาของระบบงาน” จะอนญาตใหผใชงานเขาสระบบเฉพาะในสวนทจ าเปนตองรตามหนาทงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงานจะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนนการก าหนดสทธในการเขาถงระบบงาน ตองก าหนดตาม ความจ าเปนขนต าเทานน
(3) ผใชงานจะตองไดรบอนญาตจากเจาหนาททรบผดชอบขอมล และระบบงาน ตามความจ าเปนตอการใชงานระบบเทคโนโลยสารสนเทศ
3.3 การบรหารจดการการเขาถงของผใช (1) การลงทะเบยนเจาหนาทใหมของสถาบนควรก าหนดใหมขนตอนปฏบตอยางเปนทางการส าหรบการ
ลงทะเบยนเจาหนาทใหม เพอใหมสทธตาง ๆ ในการใชงานตามความจ าเปนรวมทงขนตอนปฏบต ส าหรบการยกเลกสทธการใชงานเชน เมอลาออกไป ตองท าภายใน 24 ชวโมง หรอเมอเปลยนต าแหนงงานภายในตองท าภายใน 7 วน
(2) ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบคอมพวเตอร โปรแกรมประยกต (Application) จดหมายอเลกทรอนกส (e-mail) ระบบเครอขายไรสาย (Wireless LAN) ระบบอนเทอรเนต เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาทและตองไดรบความเหนชอบจากผดแลระบบเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ
(3) ผใชงาน ตองลงนามรบทราบสทธและหนาท เกยวกบการใชงานระบบเทคโนโลยสารสนเทศเปนลายลกษณอกษรและตองปฏบตตามอยางเครงครด
3.4 การบรหารจดการบญชรายชอผใชงาน (User Account) และรหสผานของเจาหนาท (1) ผดแลระบบ ทรบผดชอบระบบงานนนๆ ตองก าหนดสทธของเจาหนาทในการเขาถงระบบเทคโนโลย
สารสนเทศและการสอสารแตละระบบ รวมทงก าหนดสทธแยกตามหนาท ทรบผดชอบซงมแนวทางปฏบตตามทก าหนดไวใน “การบรหารจดการการเขาถงของผใชงาน”
(2) การก าหนดการเปลยนแปลงและการยกเลกรหสผานตองปฏบตตามทก าหนดไวใน“การบรหารจดการการเขาถงของผใชงาน”
(3) กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถงผใชทมสทธสงสด ตองมการพจารณาการควบคมผใชทมสทธพเศษนนอยางรดกมเพยงพอ โดยใชปจจยตอไปนประกอบการพจารณา
(4) ควรไดรบความเหนชอบและอนมตจากผดแลระบบงานนน ๆ (5) ควรควบคมการใชงานอยางเขมงวด เชน ก าหนดใหมการควบคมการใชงานเฉพาะกรณจ าเปนเทานน
๔๐
(6) ควรก าหนดระยะเวลาการใชงานและระงบการใชงานทนท เมอพนระยะเวลาดงกลาว (7) ควรมการเปลยนรหสผานอยางเครงครด เชน ทกครงหลงหมดความจ าเปนในการใชงาน หรอในกรณ
ทมความจ าเปนตองใชงานเปนระยะเวลานานกควรเปลยนรหสผานทก 3 เดอนเปนตน
แนวทางปฏบต 4 การบรหารจดการการเขาถงระบบเครอขาย (1) ผดแลระบบ ตองมการออกแบบระบบเครอขายตามกลมของบรการระบบเทคโนโลยสารสนเทศและ
การสอสาร ทมการใชงานกลมของผใชและกลมของระบบสารสนเทศ เชนโซนภายใน (Internal Zone) โซนภายนอก (External zone) เปนตน เพอท าใหการควบคมและปองกนการบกรกไดอยางเปนระบบ
(2) ผดแลระบบ ตองมวธการจ ากดสทธการใชงาน เพอควบคมผใชใหสามารถใชงานเฉพาะเครอขายทไดรบอนญาตเทานน
(3) ผดแลระบบ ควรมวธการจ ากดเสนทางการเขาถงเครอขายทมการใชงานรวมกน (4) ผดแลระบบ ควรจดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จากเครองลกขาย
ไปยงเครองแมขาย เพอไมใหผใชสามารถใชเสนทางอน ๆ ได (5) ตองก าหนดบคคลทรบผดชอบในการก าหนด แกไขหรอเปลยนแปลงคา Parameter ตางๆ ของระบบ
เครอขายและอปกรณตางๆ ทเชอมตอกบระบบเครอขายอยางชดเจน และควรมการทบทวนการก าหนดคา Parameter ตาง ๆ อยางนอยปละครง นอกจากน การก าหนดแกไข หรอเปลยนแปลงคาParameter ควรแจงบคคลทเกยวของใหรบทราบทกครง
(6) ระบบเครอขายทงหมดของสถาบนทมการเชอมตอไปยงระบบเครอขายอนๆ ภายนอกสถาบน ควรเชอมตอผานอปกรณปองกนการบกรก หรอโปรแกรมในการท า Packet Filtering เชนการใชไฟรวอล (Firewall) หรอฮารดแวรอนๆ รวมทงตองมความสามารถในการตรวจจบมลแวร (Malware) ดวย
(7) ตองมการตดตงระบบตรวจจบการบกรก (IPS/IDS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายของสถาบน ในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกต และการแกไขเปลยนแปลงระบบเครอขาย โดยบคคลทไมมอ านาจหนาทเกยวของ
(8) การเขาสระบบงานเครอขายภายในสถาบนโดยผานทางอนเทอรเนตจ าเปนตองมการลอกอนและตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง
(9) IP Address ภายในของระบบงานเครอขายภายในของสถาบนจ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขาย และสวนประกอบของระบบเทคโนโลยสารสนเทศและการสอสารไดโดยงาย
(10) ตองจดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบ ขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตางๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
(11) การใชเครองมอตางๆ (Tools) เพอการตรวจสอบระบบเครอขาย ควรไดรบการอนมตจากผดแลระบบและจ ากดการใชงานเฉพาะเทาทจ าเปน
๔๑
(12) การตดตงและเชอมตออปกรณเครอขาย จะตองด าเนนการโดยเจาหนาทส านกฯ หรอศนยเทคโนโลยสารสนเทศสถาบนฯ เทานน
(13) ผใชงาน ทตองการน าอปกรณมาเชอมตอกบระบบเครอขายคอมพวเตอร ตองปฏบตตามนโยบายนโดยเครงครด เพอใหการเชอมตออปกรณตางๆ เปนไปตามมาตรฐาน และไมเกดผลกระทบกบระบบเครอขายคอมพวเตอรสวนรวมของสถาบน
(14) การขออนญาตน าเครองคอมพวเตอรเชอมตอระบบเครอขายและขอหมายเลขไอพ (IP Address) และชอโดเมน (Domain Name) ของหนวยงานใดๆ หนวยงานนนจะตองท าหนงสอขออนญาต สงผานหนวยงานตนสงกด มายงส านกบรการคอมพวเตอรเพอพจารณาด าเนนการ
(15) หามบคคลใดกระท าการเคลอนยาย หรอท าการใดๆ ตออปกรณของระบบเครอขายโดยพลการ เพราะอาจกอใหเกดความเสยหายแกระบบเครอขายหลกของสถาบนได
(16) ในกรณทตรวจสอบพบวาเครอขายสวนใดกอใหเกดความผดปกตตอระบบเครอขายหลกของสถาบน ส านกบรการคอมพวเตอร อาจจะหยดใหบรการจากระบบเครอขายกลางโดยไมมการแจงใหทราบลวงหนาจนกวาจะมการแกไขใหท างานไดเปนปกตกอน
(17) หามท าการวางสายเครอขายเพมเตมเองโดยไมไดรบอนญาต ทงนรวมไปถงการตดตงเครอขายแบบไรสายดวย (Wireless Network)
แนวทางปฏบต 5 การบรหารจดการระบบคอมพวเตอรแมขาย (1) ก าหนดบคคลทรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการก าหนดแกไขหรอ
เปลยนแปลงคาตางๆ ของโปรแกรม ระบบ (System Software) อยางชดเจน (2) มขนตอนหรอวธปฏบตในการตรวจสอบระบบคอมพวเตอรแมขายและในกรณทพบวา มการใชงาน
หรอเปลยนแปลงคาในลกษณะผดปกต จะตองด าเนนการแกไขรวมทงมการรายงานโดยทนท (3) เปดใชบรการ (Service) เทาทจ าเปนเทานน เชน Telnet FTP หรอ Ping เปนตน ทงนหากบรการท
จ าเปนตองใชมความเสยงตอระบบรกษาความปลอดภยแลวตองมมาตรการเพมเตมดวย (4) ตดตงอพเดทระบบซอฟตแวรใหเปนปจจบน เพออดชองโหวตางๆ ของโปรแกรมระบบ (System
Software) อยางสม าเสมอ เชน web server เปนตน (5) มการทดสอบโปรแกรมระบบ (System Software) เกยวกบการรกษาความปลอดภย และ
ประสทธภาพการใชงานโดยทวไป กอนตดตงและหลงจากการแกไข หรอบ ารงรกษา (6) การตดตงและเชอตอระบบคอมพวเตอรแมขาย จะตองด าเนนการโดยเจาหนาทส านกฯ หรอศนย
เทคโนโลยสารสนเทศ เทานน
แนวทางปฏบต 6 การบรหารจดการการบนทกและตรวจสอบ (1) ก าหนดใหมการบนทกการท างานของระบบคอมพวเตอรแมขายและเครอขาย บนทกการปฏบตงาน
ของผใชงาน (Application Logs) และบนทกรายละเอยดของระบบปองกนการบกรกเชน บนทกการเขาออกระบบ บนทกการพย าย ามเขาสระบบ บนทกการใชงาน Command Line และ Firewall Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไว อยางนอย 3 เดอน
๔๒
(2) มการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ (3) มวธการปองกนการแกไขเปลยนแปลงบนทกตาง ๆ และจ ากดสทธการเขาถงบนทกเหลานนใหเฉพาะ
บคคลทเกยวของเทานน
แนวทางปฏบต 7 การควบคมการเขาใชงานระบบจากภายนอก ส านกบรการคอมพวเตอรตองก าหนดใหมการควบคมการใชงานระบบทผดแลระบบไดตดตงไวภายในสถาบนเพอดแลรกษาความปลอดภยของระบบจากภายนอก โดยมแนวทางปฏบต ดงน
(1) การเขาสระบบระยะไกล (Remote Access) สระบบเครอขายของสถาบน ตองควบคมบคคลทจะเขาสระบบของสถาบนจากระยะไกล โดยก าหนดมาตรการการรกษาความปลอดภยทเพมขน จากมาตรฐานการเขาสระบบภายใน
(2) วธการใด ๆ กตามทสามารถเขาถงขอมลหรอระบบขอมลจากระยะไกล ตองไดรบการอนมตจากผอ านวยการส านกบรการคอมพวเตอรกอน และมการควบคมอยางเขมงวดกอนนามาใช และผใชตองปฏบตตามขอก าหนดของสถาบนในการเขาสระบบและขอมลอยางเครงครด
(3) การใหสทธในการเขาสระบบจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบสถาบนอยางเพยงพอ และตองไดรบอนมตจากผมอ านาจอยางเปนทางการ
(4) มการควบคม Port ทใชในการเขาสระบบอยางรดกม (5) การอนญาตใหผใชเขาสระบบขอมลจากระยะไกลตองอยบนพนฐานของความจ าเปนเทานน และไม
ควรเปดพอรตทงไวโดยไมจ าเปน ชองทางดงกลาวควรตดการเชอมตอเมอไมไดงานแลว และจะเปดใหใชไดเมอมการรองขอทจ าเปนเทานน
แนวทางปฏบต 8. การพสจนตวตนสาหรบผใชทอยภายนอก ผใชระบบทกคนเมอจะเขาใชงานระบบตองผานการพสจนตวตนจากระบบของสถาบน ดงน (1) แสดงชอผใชงาน (Username) (2) ใสรหสผาน (Password)
แนวทางปฏบต 9 การควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ (Third Party Access Control) การใชบรการจากหนวยงานภายนอก อาจกอใหเกดความเสยงได เชน ความเสยงตอการเขาถงขอมล ความเสยงตอการถกแกไขขอมลอยางไมถกตอง และการประมวลผลของระบบงานโดยไมไดรบอนญาตเปนตน เพอใหการควบคมหนวยงานภายนอกทมการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของสถาบน เปนไปอยางมนคงปลอดภยและก าหนดแนวทางในการควบคมการปฏบตงานของหนวยงานภายนอก เชน การพฒนาระบบ การใชบรการของทปรกษา การใชบรการดานระบบเทคโนโลยสารสนเทศจากหนวยงานภายนอก เปนตน
๔๓
9.1 แนวทางปฏบตการควบคมหนวยงานภายนอกเขาถงระบบสารสนเทศ (1) ผอ านวยการส านกก าหนดใหมการประเมนความเสยงจากการเขาถงระบบเทคโนโลยสารสนเทศและ
การสอสาร หรออปกรณทใชในการประมวลผลโดยหนวยงานภายนอกและก าหนดมาตรการรองรบหรอแกไข ทเหมาะสม กอนทจะอนญาตใหเขาถงระบบเทคโนโลยสารสนเทศและการสอสารได
(2) การควบคมการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของหนวยงานภายนอก 1) บคคลภายนอก ทตองการสทธในการเขาใชงานระบบเทคโนโลยสารสนเทศและการสอสารของ
สถาบน จะตองท าเรองขออนญาตเปนลายลกษณอกษร เพอขออนมตจากผอ านวยการส านก 2) จดท าเอกสารแบบฟอรมส าหรบใหหนวยงานภายนอกท าการระบเหตผลความจ าเปนทตองเขาใชงาน
ระบบเทคโนโลยสารสนเทศและการสอสารซงตองมรายละเอยดอยางนอย ดงน - เหตผลในการขอใช - ระยะเวลาในการใช - การตรวจสอบความปลอดภยของอปกรณทเชอมตอเครอขาย - การตรวจสอบ MAC Address ของเครองคอมพวเตอรทเชอมตอ
(3) การก าหนดการปองกนในเรองการเปดเผยขอมล 1) หนวยงานภายนอก ทท างานใหกบสถาบนทกหนวยงานไมวาจะท างานอยภายในสถาบนหรอนอก
สถานทจ าเปนตองลงนามในสญญาการไมเปดเผยขอมลของสถาบน โดยสญญาตองจดท าใหเสรจกอนใหสทธในการเขาสระบบเทคโนโลยสารสนเทศ
2) เจาของโครงการซงรบผดชอบตอโครงการทมการเขาถงขอมลโดยหนวยงานภายนอก ตองก าหนดการเขาใชงานเฉพาะบคคลทจ าเปนเทานนและใหหนวยงานภายนอกลงนามในสญญาไมเปดเผยขอมล
3) ส าหรบโครงการขนาดใหญ หนวยงานภายนอกทสามารถเขาถงขอมลทมความส าคญของสถาบน ผดแลระบบตองควบคมการปฏบตงานนน ๆ ใหมความมนคงปลอดภย ทง 3 ดาน คอ การรกษาความลบ (Confidentiality) การรกษาความถกตองของขอมล (Integrity) และ การรกษาความพรอมทจะใหบรการ (Availability)
4) สถาบนมสทธในการตรวจสอบตามสญญาการใชงานระบบเทคโนโลยสารสนเทศและการสอสารเพอใหมนใจไดวาสถาบนสามารถควบคมการใชงานไดอยางทวถงตามสญญานน
5) ก าหนดใหผใหบรการหนวยงานภายนอก จดท าแผนการด าเนนงาน คมอการปฏบตงาน และเอกสารทเกยวของ รวมทงมการปรบปรงใหทนสมยอยเสมอ เพอควบคมหรอตรวจสอบ การใหบรการของผใหบรการไดอยางเขมงวด เพอใหมนใจไดวาเปนไปตามขอบเขตทไดก าหนดไว
๔๔
แนวทางปฏบต 10 ขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ตามมาตรา 26 แหงพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 ก าหนดประเภทของผใหบรการ ไวดงน
(1) ผใหบรการแกบคคลทวไปในการเขาสอนเทอรเนต หรอใหสามารถตดตอถงกนโดยประการอน ทงนโดยผานทางระบบคอมพวเตอร ไมวาจะเปนการใหบรการในนามของตนเองหรอเพอประโยชนของบคคลอน จ าแนกได 4 ประเภท ดงน
ก. ผประกอบกจการโทรคมน าคมและการกระจายภาพและเสยง (Telecommunication and Broadcast Carrier)
ข. ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร (Access Service Provider) ไดแกผใหบรการอนเทอรเนต (Internet Service Provider) ทงมสายและไรสาย ผประกอบการ ซงใหบรการในการเขาถงระบบเครอขายคอมพวเตอรในหองพก หองเช า โรงแรม หรอ รานอาหารและเครองดม ในแตละกลมอยางหนงอยางใด และผใหบรการเขาถงระบบเครอขายคอมพวเตอรส าหรบองคกร เชน หนวยงานราชการ บรษท หรอสถาบนการศกษา
ค. ผใหบรการเชาระบบคอมพวเตอร หรอใหเชาบรการโปรแกรมประยกตตางๆ (Host Service Provider) ไดแก ผใหบรการเช าระบบคอมพวเตอร (Web Hosting) การใหบรการเช า Web Server ผใหบรการแลกเปลยนแฟมขอมล (File Server หรอ File Sharing) ผใหบรการการเขาถง จดหมายอเลกทรอนกส (Mail Server Service Provider) และผใหบรการศนยรบฝากขอมลทางอนเทอรเนต (Internet Data Center)
ง. ผใหบรการรานอนเทอรเนต (2) ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคล (Content Service
Provider) เชน ผใหบรการขอมลคอมพวเตอรผานแอพพลเคชนตางๆ (Application Service Provider) ไดแก
- ผใหบรการเวบบอรด (Web Board) หรอผใหบรการบลอค (Blog) - ผใหบรการการท าธรกรรมทางการเงนทางอนเทอรเนต (Internet Banking) และผใหบรการช าระเงน
ทางอเลกทรอนกส (Electronic Payment Service Provider) - ผใหบรการเวบเซอรวส (Web Services) - ผใหบรการพาณชยอเลกทรอนกส (e-Commerce) หรอธรกรรมทางอเลกทรอนกส (e-Transactions) “ผใหบรการ” มหนาทตองเกบรกษาขอมลจราจรทางคอมพวเตอร โดยใหผใหบรการเกบเพยงเฉพาะใน
สวนทเปนขอมลจราจรทเกดจากสวนทเกยวของกบบรการของตนเทานน ดวยวธการทมนคงปลอดภย ดงตอไปน
1) เกบในสอ (Media) ทสามารถรกษาความครบถวนถกตองแทจรง (Integrity) และระบตวบคคล (Identification) ทเขาถงสอดงกลาวได
๔๕
2) มระบบการเกบรกษาความลบของขอมลทจดเกบ และก าหนดชนความลบในการเข าถงขอมลดงกลาว เพอรกษาความนาเชอถอของขอมล และไมใหผดแลระบบสามารถแกไขขอมลท เกบรกษาไว เชน การเกบไวใน Centralized Log Server หรอการท า Data Archiving หรอท า Data Hashing เปนตน เวนแต ผมหนาทเกยวของทเจาของหรอผบรหารองคกร ก าหนดใหสามารถเขาถงขอมลดงกลาวได เชน ผตรวจสอบระบบสารสนเทศขององคกร (IT Auditor) หรอบคคลทองคกรมอบหมาย เปนตน รวมทงพนกงานเจาหนาทตามพระราชบญญตน
3) จดใหมผมหนาทประส านงานและใหขอมลกบพนกงานเจาหนาทซงไดรบการแตงตงตามพระราชบญญตวาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 255๐ เพอใหการสงมอบขอมลนน เปนไปดวยความรวดเรว
4) ในการเกบขอมลจราจรนน ตองสามารถระบรายละเอยดผใชบรการเปนรายบคคลได (Identification and Authentication) เชน ลกษณะการใชบรการ Proxy Server, Network Address Translation (NAT) หรอ Proxy Cache หรอ Cache Engine หรอบรการ Free Internet หรอ บรการ 1222 หรอ Wi-Fi Hotspot ตองสามารถระบตวตนของผใชบรการเปนรายบคคลไดจรง
5) ในกรณทผใหบรการประเภทหนงประเภทใด ในขอ 1 ถงขอ 4 ขางตน ไดใหบรการในนามตนเอง แตบรการดงกลาวเปนบรการทใชระบบของผใหบรการซงเปนบคคลทสาม เปนเหตใหผใหบรการในขอ 1 ถงขอ 4 ไมสามารถรไดวา ผใชบรการทเข ามาในระบบนนเปนใครผใหบรการเชนวานน ตองด าเนนการใหมวธการระบและยนยนตวบคคล (Identification and Authentication) ของผใชบรการผานบรการของตนเองดวยเพอใหขอมลจราจรมความถกตอง และน ามาใชประโยชนไดจรงผใหบรการตองตงนาฬการของอปกรณบรการทกชนดใหตรงกบเวลาอางองสากล (Stratum 0) โดยผดพลาดไมเกน 10 มลลวนาท สถาบนเปนผใหบรการบคคลทวไป ขอ ข, ค (“ผใหบรการการเขาถงระบบเครอขายคอมพวเตอร”, “ผใหบรการเช าระบบคอมพวเตอร หรอใหเช าบรการโปรแกรมประยกตตางๆ”) และเปนผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชน ของบคคล มหนาทตองเกบรกษาขอมลจราจรทางคอมพวเตอร ตามหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ โดยเรมเกบขอมลเมอพนหนงรอยแปดสบวนนบจากวนประกาศกระทรวงเทคโนโลยสารสนเทศและการสอสาร เรองหลกเกณฑการเกบรกษาขอมลจราจรทางคอมพวเตอรของผใหบรการ พ.ศ. 2550 ในราชกจจานเบกษา (21 สงหาคม 2550) มรายการดงตอไปน ประเภทรายการ 1. ผใหบรการทวไป ขอ ข, ค
ก.ขอมลอนเทอรเนตทเกดจากการเขาถงระบบเครอขาย (1) ขอมล Log ทมการบนทกไวเมอมการเขาถงระบบเครอขาย ซงระบถงตวตนและสทธในการเขาถง
เครอขาย (Access Logs Specific to Authentication and Authorization Servers เชน TACACS (Terminal Access Controller Access-Control System) or RADIUS (Remote Authentication Dial-In User Service) or DIAMETER (Used to Control Access to IP Routers or Network Access Servers)
๔๖
(2) ขอมลเกยวกบวน และเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and Time of Connection of Client to Server)
(3) ขอมลเกยวกบชอทระบตวตนผใช (User ID) (4) ขอมลหมายเลขอนเทอรเนตทถกก าหนดให โดยระบบผใหบรการ (Assigned IP Address) (5) ขอมลทบอกถงหมายเลขสายทเรยกเขา (Calling Line Identification)
ข. ขอมลอนเทอรเนตบนเครองผใหบรการจดหมายอเลกทรอนกส (e-mail Server) (1) ขอมล Log ทบนทกไวเมอเขาถงเครองใหบรการไปรษณยอเลอกทรอนกส (Simple Mail Transfer
Protocol: SMTP Log) ซง ไดแก - ขอมลหมายเลขของขอความทระบในจดหมายอเลกทรอนกส (Message ID) - ขอมลทอยอเลกทรอนกสของผสง (Sender e-mail Address) - ขอมลชอทอยอเลกทรอนกสของผรบ (Receiver e-mail Address) - ขอมลทบอกถงสถานะในการตรวจสอบ (Status Indicator) ซงไดแก จดหมายอเลกทรอนกสท
สงส าเรจ จดหมายอเลกทรอนกสทสงคน จดหมายอเลกทรอนกสทมการสงล าช า เปนตน (2) ขอมลหมายเลขชดอนเทอรเนตของเครองคอมพวเตอรผใชบรการทเชอมตออยขณะเขามาใช
บรการ (IP Address of Client Connected to Server) (3) ขอมลวนและเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and time of
connection of Client Connected to server) (4) ขอมลหมายเลขชดอนเทอรเนตของเครองบรการจดหมายอเลกทรอนกส ทถกเชอมตออยในขณะนน
(IP Address of Sending Computer) (5) ชอผใชงาน (User ID) (ถาม) (6) ขอมลทบนทกการเขาถงขอมลจดหมายอเลกทรอนกส ผานโปรแกรมจดการจากเครองของสมาชก
หรอการเขาถงเพอเรยกขอมลจดหมายอเลกทรอนกสไปยงเครองสมาชก โดยยงคงจดเกบขอมลทบนทกการเขาถงขอมลจดหมายอเลกทรอนกสทดงไปนน ไวทเครองใหบรการ (POP3: Post Office Protocol Version 3 Log หรอ IMAP4: Internet Message Access Protocol Version 4 Log)
ค. ขอมลอนเทอรเนตจากการโอนแฟมขอมลบนเครอง (1) ขอมล Log ทบนทกเมอมการเขาถงเครองใหบรการโอนแฟมขอมล (2) ขอมลวน และเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (Date and Time of
Connection of Client to Server) (3) ขอมลหมายเลขชดอนเทอรเนตของเครองคอมพวเตอรผ เขาใชทเชอมตออยในขณะนน (IP Source
Address) (4) ขอมลชอผใชงาน (User ID) (ถ าม) (5) ขอมลต าแหนง (Path) และชอไฟลทอยบนเครองใหบรการโอนถ ายขอมลทมการสงขนมาบนทก
หรอใหดงขอมลออกไป (Path and Filename of Data Object Uploaded or Downloaded)
๔๗
ง. ขอมลอนเทอรเนตบนเครองผใหบรการเวบ (1) ขอมล Log ทบนทกเมอมการเขาถงเครองผใหบรการเวบและเครองใหบรการ (2) ขอมลวน และเวลาการตดตอของเครองทเขามาใชบรการและเครองใหบรการ (3) ขอมลหมายเลขชดอนเทอรเนตของเครองคอมพวเตอรผเขาใชทเชอมตออยในขณะนน (4) ขอมลค าสงการใชงานระบบ (5) ขอมลทบงบอกถงเสนทางในการเรยกดขอมล (URI : Uniform Resource Identifier) เชน
ต าแหนงเวบเพจ
จ. ชนดของขอมลบนเครอขายคอมพวเตอรขน าดใหญ (Usenet) (1) ขอมล Log ทบนทกเมอมการเขาถงเครอขาย (NNTP [Network News Transfer Protocol] Log) (2) ขอมลวนและเวลาการตดตอของเครองทเขามาใชบรการ และเครองใหบรการ (Date and Time of
Connection of Client to Server) (3) ขอมลหมายเลข Port ในการใชงาน (Protocol Process ID) (4) ขอมลชอเครองใหบรการ (Host Name)
ฉ. ขอมลทเกดจากการโตตอบกนบนเครอขายอนเทอรเนต เชน Internet Relay Chat (IRC) หรอ Instance Messaging (IM) เปนตน ขอมล Log เชนขอมลเกยวกบวน เวลา การตดตอของผใชบรการ (Date and Time of Connection of Client to Server) และขอมลชอเครองบนเครอขายและหมายเลขเครองของผใหบรการทเครองคอมพวเตอรเชอมตออยในขณะนน (Hostname and IP Address) เปนตน 2. ผใหบรการในการเกบรกษาขอมลคอมพวเตอรเพอประโยชนของบคคล ขอมลอนเทอรเนตบนเครองใหบรการเกบรกษาขอมลคอมพวเตอร (Content Service Provider)
(1) ขอมลรหสประจ าตวผใชหรอขอมลทสามารถระบตวผใชบรการได หรอเลขประจ าตว (Use ID) ของผขายสนคาหรอบรการ หรอเลขประจ าตวผใชบรการ (User ID) และทอยจดหมายอเลกทรอนกสของผใชบรการ
(2) บนทกขอมลการเขาใชบรการ (3) กรณผใหบรการเวบบอรด (Web board) หรอผใหบรการบลอค (Blog) ใหเกบขอมลของผประกาศ
(Post) ขอมล
สวนท 3 แผนเตรยมความพรอมกรณฉกเฉน แผนการแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจเกดขนกบระบบ Server และระบบเครอขายสถาบนฯ ปจจบนภยทเกดแกระบบเทคโนโลยสารสนเทศมอตราการเกดเพมขนตามความกาวหนาของเทคโนโลยสารสนเทศ ภยอนตรายทอาจเกดขนกบระบบเทคโนโลยสารสนเทศอาจเกดขนไดโดยคน ซงไดแกเจาหนาทบคลากรของหนวยงานทเกยวของกบการใชงานเทคโนโลยสารสนเทศสถานการณ
๔๘
หรอหตการณ ทงเจตนและไมเจตนา อนเปนเหตใหขอมลขาวสารในระบบเทคโนโลยสารสนเทศถกเปดเผยหรอเปลยนแปลง ท าลาย ปฏเสธการท างาน หรอการกระท าอน ๆ ดงนนเพอเปนการลดภยดงกลาวทจะเกดขนในระบบเทคโนโลยสารสนเทศของสถาบนฯ จงเหนวามความจ าเปนอยางยงทสถาบนฯ โดยหนวยงานทรบผดชอบ โดยเฉพาะส านกฯ จะตองมแผนรองรบสถานการณฉกเฉนจากภยพบตระบบเทคโนโลยสารสนเทศสถาบนฯ เพอรองรบสถานการณดงกลาว ทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศสถาบนฯ แผนเตรยม
ความพรอมกรณฉกเฉนนจดแบงออกเปน 3 ดาน หรอ 3 แนวทางปฏบต ไดแก แนวทางปฏบต 1 แผนรองรบสถานการณฉกเฉนจากภยพบตทเกดขนกบระบบเครอขายคอมพวเตอร (Contingency Plan) แนวทาง
ปฏบต 2 แผนด าเนนการเพอใหระบบเครอขายคอมพวเตอรใชงานไดอยางตอเนอง (Continuity of
Operation plan) และ แนวทางปฏบต 3 แผนการส ารองขอมลและกคนขอมล (Backup and Recovery Procedure) วตถประสงค 1. เพอลดความเสยหายทจะเกดแกระบบเทคโนโลยสารสนเทศของสถาบนฯ 2. เพอใหระบบเทคโนโลยสารสนเทศของสถาบนฯ สามารถด าเนนการไดอยางตอเนอง 3. เพอเตรยมความพรอมรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศของสถาบน แนวปฏบต
แนวทางปฏบต 1. แผนรบสถานการณฉกเฉนจากภยพบตระบบเทคโนโลยสารสนเทศสถาบน
(Contingency Plan) 1.1 การบรหารจดการ (1) มการก าหนดหนาทและความรบผดชอบของผทเกยวของทงหมด (2) มการประเมนความเสยงส าหรบระบบทมความส าคญเหลานน และก าหนดมาตรการ เพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขาใชระบบงานได ฯลฯ (3) มการก าหนดขนตอนปฏบตในการกคนระบบสารสนเทศ (4) มการก าหนดขนตอนปฏบตในการส ารองขอมล และทดสอบกคนขอมลทส ารองไว (5) มการก าหนดชองทางในการตดตอกบผใหบรการภายนอก เชน ผใหบรการเครอขาย ฮารดแวร ซอฟตแวร เมอเกดเหตจ าเปนทจะตองตดตอ (6) การสรางความตระหนง หรอใหความรแกเจาหนาทผทเกยวของกบขนตอนการปฏบต หรอสงทท า เมอเกดเหตเรงดวน (7) มการทบทวนเพอปรบปรงแผนเตรยมความพรอมกรณฉกเฉนดงกลาวใหสามารถปรบใชไดอยางเหมาะสมและสอดคลองกบการใชงานตามภารกจ ปละ 1 ครง
1.2 ขอควรปฏบตในการแกไขปญหาจากภยพบตหรอการใชงานระบบเครอขายขดของ
๔๙
1.2.1 กรณเครองลกขาย (1) ในกรณทมเหตอนท าใหเครองคอมพวเตอรไมสามารถด าเนนการใชระบบสารสนเทศไดตามปกต ใหผใชงานแจงเหตนนใหเจาหนาทส านกฯ ทราบ หรอกรณมเหตอนท าใหไมสามารถด าเนนการใหบรการดาน เครอขายได ส านกบรการคอมพวเตอรจะตองประกาศใหทกหนวยงานในสงกดสถาบนฯ ทราบ (2) เพอปองกนความเสยหายทจะแพรกระจายไปยงเครองอนในระบบเครอขาย ใหท าการดงสายเชอมโยง ระบบเครอขาย (สาย LAN) ออกจากเครองนนโดยเรว (3) ในกรณทเกรงวาเหตทเกดจะเปนอนตรายตอกลมงาน/หนวยงานภายในตกทตงของคอมพวเตอรทพบการขดของ ใหดงสาย LAN ออกจากจดชมสายในชนนนออกใหหมด (4) ปดระบบไฟฟาทเขาเครองทงหมด (5) ขนยายเครองไปไวในทปลอดภย (6) ใหเจาหนาทส านกบรการคอมพวเตอรแจงเหตขดของนนใหผอ านวยการส านกฯ ทราบโดยเรวทสด
1.2.2 กรณเครองบรการ (Server) และอปกรณเครอขาย (1) ตดการเชอมตอระบบเครอขายโดยเรวแลวปดอปกรณ เครอขายและเครองคอมพวเตอรแมขายตามล าดบความส าคญของการใหบรการ (2) ถาไฟฟาดบ/ไฟฟาตก ใหปดเครองคอมพวเตอรแมขายและอปกรณเครอขายโดยพจารณาตามล าดบ ความส าคญของการใหบรการ, ระยะเวลาทไฟฟาดบและประสทธภาพของเครองส ารองไฟฟา (3) ตดระบบจายไฟในกรณไฟไหมใหใชน ายาดบเพลงฉดควบคมเพลงโดยเรว (4) รบขนยายเครองไปไวในทปลอดภย (5) ในกรณทอปกรณดานฮารดแวรเสยใหรบหาอปกรณส ารองมาเปลยนโดยเรวทสด (6) ผดแลระบบตองรบแจงใหผอ านวยการส านกบรการคอมพวเตอรทราบโดยเรว
แนวทางปฏบต 2 แผนด าเนนการเพอใหระบบใชงานไดอยางตอเนอง (Continuity of Operation Plan) เพอแกไขระบบเทคโนโลยสารสนเทศของสถาบนทเกดจากภยพบตใหใชงานไดอยางรวดเรวและตอเนองอยางมประสทธภาพ ส านกบรการคอมพวเตอรก าหนดแผนการด าเนนการ ดงน
2.1 การจดหนวยปฏบตการฉกเฉนในระบบสารสนเทศสถาบนฯ เมอเกดเหตฉกเฉน
2.1.1 การจดหนวยปฏบตการฉกเฉนหรอสายการบงคบบญชา (Lines of Authority) เมอเกดเหตฉกเฉน
1. ผบรหารเทคโนโลยสารสนเทศระดบสง (Chief Information Officer: CIO) 1.1 ก าหนดนโยบายใหส านกบรการคอมพวเตอร 1.2 ใหค าปรกษาแกผอ านวยการส านกบรการคอมพวเตอรในฐานะผควบคมดแล
2. ผอานวยการส านกบรการคอมพวเตอร 2.1 เปนผบงคบบญชาสงสดในการปฏบตการฉกเฉนระบบสารสนเทศ 2.2 มอ านาจสงการใหทกหนวยหยดหรอปฏบตการระงบเหตฉกเฉนทเกดขนในระบบสารสนเทศ 2.3 มอ านาจสงท าลายกญแจอาคารเกบวตถอนตรายเพอการระงบเหตฉกเฉน
๕๐
2.4 ประชมหารอกบคณะกรรมการทเกยวของ 2.5 ประเมนสถานการณและสงการใหปรบเปลยนแผนฯ ตามความเหมาะสม 2.6 รายงานขอมลและผลการปฏบตงานใหผบรการเทคโนโลยสารสนเทศระดบสง (CIO) ทราบ
3 ผประสานงานและบรหารก ากบดแลสภาพความพรอมของระบบเครอขาย (หวหนางานระบบเครอขาย
และบรการอนเทอรเนต) 3.1 วเคราะหสถานการณในทเกดเหตแลวแจงเหตตอผอ านวยการส านกบรการคอมพวเตอร 3.2 มอ านาจสงการใหใชแผนปฏบตการฉกเฉนขนตนจนกวาผอ านวยการระงบเหตฉกเฉนจะมาถงทเกดเหต 3.3 สงการใหผทเกยวของมาปฏบตตามแผนฯ
3.4 ท าหนาทแทนผอ านวยการ ระงบเหตฉกเฉนตามทไดรบมอบหมาย หรอขณะทผอ านวยการระงบเหต ฉกเฉนไมอย 3.4 ประสานงานกบหวหนาหนวยงานทเกยวของ เชน ชางไฟฟายานพาหนะและหนวยดบเพลงเปนตน 3.5 รายงานใหผอ านวยการระงบเหตฉกเฉนทราบ ถงสถานการณและขนตอนการด าเนนงานทไดกระท าไป แลว 3.6 ก าหนดอตราก าลงพลวสดอปกรณและเครองมอทจ าเปนตองขอเพมเตมในอนาคต 3.7 ตรวจสอบความเสยหายของทรพยสนและอาคารทเกดเหต
4 ผดแลระบบเครอขายและผชวยดแลระบบเครอขาย (LAN Administer and Staffs) 4.1 กรณเกดเพลงไหมใหด าเนนการน าอปกรณดบเพลงเขาท าการดบเพลง 4.2 พจารณาแจงสถานดบเพลงหรอหนวยงานภายนอกอน ๆ มาชวย 4.3 ตดกระแสไฟฟาทจายใหพนททเกดเหตฉกเฉน 4.4 ปองกนชวต ทรพยสนและสงแวดลอมใหไดรบความเสยหายนอยทสด 4.5 หลงจากเหตการณฉกเฉนไดสงบลงแลว ใหรบด าเนนการตรวจสอบวสดอปกรณทช ารดเสยหาย แลว รายงานใหผอ านวยการส านกบรการคอมพวเตอรทราบ อปกรณทตองตรวจสอบ ไดแก
- ท าการตรวจสอบระบบ Firewall - ท าการตรวจสอบ Virus, Worm, Spyware - ท าการตรวจสอบ UPS - ท าการตรวจสอบ Transaction log files - ท าการตรวจสอบการใชงานขอมลระบบงานทส าคญ - ท าการตรวจสอบการเปลยนแปลงของไฟลตาง ๆ - ท าการตรวจสอบความถกตองของไฟลขอมล - ท าการตรวจสอบคา Configuration ของระบบ
4.6 เตรยมเครองมออปกรณทงทางดาน Hardware และ software ตลอดจนอปกรณทเกยวของ เพอ ด าเนนการกระบบโดยเรว 4.7 ท าการส ารองขอมลทกวนวนอาทตย-ศกร ท าการส ารองขอมลในสวนของขอมล (Data) วนเสาร ท า
๕๑
การส ารองขอมลทงระบบ (หรอตามวนเวลาทเหมาะสมเปนไปไดสะดวก) 4.8 ตองเกบสงทส าคญทเกยวของในระบบสารสนเทศไวในสถานททปลอดภย โดยแยกเกบไวตางหากจาก หองควบคมระบบโปรแกรม และแฟมขอมล Tape Backup รายชอโปรแกรมเอกสารทเกยวกบระบบ ปฏบตและโปรแกรม รายการฮารดแวร ส ารอง ส าเนาคมอ 4.9 น าระบบส ารองขอมลออกมาใชเพอใหระบบสามารถด าเนนการตอไปได
5 หวหนาหนวยงานทเกดเหต (On-Site Manager) 5.1 แจงเหตฉกเฉนและเคลอนยายตนเองและผอนออกจากทเกดเหตโดยเรว 5.2 ใหขอมลเกยวกบสถานทเกดเหตแกผอ านวยการส านกบรการคอมพวเตอร 5.3 น าทรพยสนทขนยายออกมาเกบเขาท โดยตองตรวจสภาพและสอบท านบญชทรพยสนทจดท าขนมา และท ารายงานเสนอผบงคบบญชาตามล าดบขน
แนวทางปฏบต 3 แผนการส ารองขอมลและกคนขอมล (Backup and Recovery Procedure) การกคนระบบเครองแมขายและอปกรณกระจายสญญาณ (System Recovery) ระบบเครองแมขายและอปกรณกระจายสญญาณ โดยปกตจะตองอยในสภาพความพรอมรองรบการใหบรการเครองลกขายตางๆ ไดตลอดเวลา 24 ชวโมง หากไมสามารถใหบรการได จ าเปนตองกระบบคนใหไดเรวทสดเทาทจะท าได เนองจากเครองแมขายและอปกรณกระจายสญญาณตองท างานดานบรการ (Service) แกเครองลกขายใหสามารถใชงานไดปกต การกคนระบบเครองแมขายและอปกรณกระจายสญญาณจ าเปนตองท าอยางรวดเรว เพอใหใชงานไดอยางรวดเรวทสด แผนการนเปนวธการทท าใหระบบการท างานของเครองคอมพวเตอรและแฟมขอมลกลบสสภาพเดม เมอระบบเสยหายหรอหยดท างาน ไดแก
(1) จดหาอปกรณชนสวนใหมเพอทดแทน (2) เปลยนอปกรณชนสวนทเสยหาย (3) ซอมบ ารงวสดอปกรณทเสยหายใหเสรจภายใน 48 ชวโมง (4) ขอยมอปกรณคอมพวเตอรจากหนวยงานอนมาใชชวคราว (5) น า backup tape/CD-ROM/harddisk ทไดส ารองขอมลไวน ากลบมา Restore (6) ทมกระบบ (ผดแลระบบ นกวชาการคอมพวเตอร) รวมกนกระบบกลบมาโดยเรวภายใน 48 ชวโมง (7) ท าการตรวจสอบระบบปฏบตการระบบฐานขอมลตรวจสอบความถกตองของขอมลและระบบ (8) อน ๆ ทเกยวของ
สวนท 4 นโยบายการตรวจสอบและประเมนความเสยงดานสารสนเทศ วตถประสงค 1. เพอใหมการตรวจสอบและประเมนความเสยงของระบบสารสนเทศ 2. เพอเปนการปองกนและลดระดบความเสยงทอาจจะเกดขนกบระบบสารสนเทศ
๕๒
ผรบผดชอบ 1. ส านกบรการคอมพวเตอร 2. ส านกงานตรวจสอบภายใน 3. ผดแลระบบทไดรบมอบหมาย อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส แนวปฏบต
1. การประเมนผลกระทบ ตามประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส ใหหนวยงานหรอองคกรยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไปวาเชอถอได เปนแนวทางในการประเมนระดบผลกระทบ โดยก าหนดการประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกส จะตองประเมนผลกระทบในดานตอไปน
(1) ผลกระทบดานมลคาความเสยหายทางการเงน (2) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกาย หรอ อนามย (3) ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดสวนเสยทอาจไดรบความเสยหายอนใด นอกจาก ในขอ (2) (4) ผลกระทบดานความมนคงของรฐ
1.1 การประเมนผลกระทบดานมลคาความเสยหายทางการเงน ใหจดเปนสามระดบ โดยมเกณฑในการ ประเมน ดงน
(1) ในกรณมลคาความเสยหายทางการเงนไมเกนหนงลานบาท ใหจดเปนผลกระทบระดบต า (2) ในกรณมลคาความเสยหายทางการเงนเกนกวาหนงลานบาทแตไมเกนหนงรอยลานบาท ให จดเปนผลกระทบระดบกลาง (3) ในกรณมลคาความเสยหายทางการเงนเกนกวาหนงรอยลานบาทขนไป ใหจดเปนผลกระทบ ระดบสง ในการประเมนมลคาความเสยหายทางการเงนตามวรรคหนง ใหค านวณจากความเสยหาย ทจะเกดขนในหนงวน และค านวณความเสยหายโดยตรงเทานน
1.2 การประเมนผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกาย หรออนามย ใหจดเปนสามระดบ โดยมเกณฑในการประเมน ดงน
(1) ในกรณทไมมผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามย ใหจดเปน ผลกระทบระดบต า (2) ในกรณจ านวนผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามย ตงแตหนง คน แตไมเกนหนงพนคน ใหจดเปนผลกระทบระดบกลาง (3) ในกรณจ านวนผใชบรการหรอผมสวนไดเสยไดรบผลกระทบตอรางกายหรออนามย เกนกวา
๕๓
หนงพนคน หรอตอชวตตงแตหนงคน ใหจดเปนผลกระทบระดบสง ในการประเมนผลกระทบตอ จ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอชวต รางกาย หรออนามยตามวรรคหนง ใหค านวณจากจ านวนของบคคลดงกลาวทไดรบผลกระทบในหนงวน
1.3 การประเมนผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายอนนอกจาก ขอ 1.4 (2) (ในกรณมผลกระทบตอความมนคงของรฐ ใหจดเปนผลกระทบระดบสง) ใหจดเปนสาม ระดบ โดยมเกณฑในการประเมน ดงน
(1) ในกรณจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบไมเกนหนงหมนคน ใหจดเปนผลกระทบระดบต า
(2) ในกรณจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบเกนกวาหนงหมนคน แตไมเกนหนงแสนคน ใหจดเปนผลกระทบระดบกลาง
(3) ในกรณจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบผลกระทบเกนกวาหนงแสนคน ใหจดเปนผลกระทบระดบสง
ในการประเมนผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความเสยหายตามวรรคหนง ใหค านวณจากจ านวนของบคคลดงกลาวทไดรบผลกระทบในหนงวน และค านวณความเสยหายโดยตรงเทานน
1.4 การประเมนผลกระทบดานความมนคงของรฐ ใหจดเปนสองระดบ โดยมเกณฑในนการประเมน ดงน
(1) ในกรณไมมผลกระทบตอความมนคงของรฐ ใหจดเปนผลกระทบระดบต า (2) ในกรณมผลกระทบตอความมนคงของรฐ ใหจดเปนผลกระทบระดบสง
2. การตรวจสอบและประเมนความเสยงดานสารสนเทศ
2.1 มการตรวจสอบและประเมนความเสยงดานสารสนเทศ โดยมเนอหาดงน 1) ตรวจสอบและประเมนความเสยงดานสารสนเทศทอาจเกดขนกบระบบสารสนเทศ (Information
Security Audit and Assessment) ปละ 1 ครง 2) ตรวจสอบและประเมนความเสยงทด าเนนการโดยส านกงานตรวจสอบภายใน เพอใหสถาบนไดทราบ
ถงระดบความเสยงและระดบความมนคงปลอดภยสารสนเทศ
2.2 มแนวทางในการตรวจสอบและประเมนความเสยงทตองค านงถง ดงน 1) มการทบทวนกระบวนการบรหารจดการความเสยง ปละ 1 ครง 2) มการทบทวนนโยบายและมาตรการในการรกษาความมนคงปลอดภยดานสารสนเทศ ปละ 1 ครง 3) มการตรวจสอบและประเมนความเสยงและใหจดท ารายงานพรอมขอเสนอแนะ 4) มมาตรการในการตรวจประเมนระบบสารสนเทศ ดงน - ควรก าหนดใหผตรวจสอบสามารถเขาถงขอมลทจ าเปนตองตรวจสอบไดแบบอานอยางเดยว
๕๔
- ในกรณทจ าเปนตองเขาถงขอมลในแบบอนๆ ใหสรางส าเนาส าหรบขอมลนน เพอใหผตรวจสอบ ใชงาน รวมทงควรท าลายหรอลบโดยทนททตรวจสอบเสรจ หรอตองจดเกบไวโดยมการปองกนเปนอยางด
- ควรก าหนดใหมการระบและจดสรรทรพยากรทจ าเปนตองใชในการตรวจสอบระบบบรหารจดการความมนคงปลอดภย
- ควรก าหนดใหมการเฝาระวงการเขาถงระบบโดยผตรวจสอบ รวมทงบนทกขอมล Log แสดงการเขาถงนน ซงรวมถงวนและเวลาทเขาถงระบบงานทส าคญๆ
- ในกรณทมเครองมอส าหรบการตรวจสอบประเมนระบบสารสนเทศ ควรก าหนดใหแยกการตดตงเครองมอทใชในการตรวจสอบ ออกจากระบบใหบรการจรงหรอระบบทใชในการพฒนา และมการจดเกบปองกนเครองนนจากการเขาถงโดยไมไดรบอนญาต
2.3 มการรายงานผลการประเมนความเสยงดานสารสนเทศ ปละ 1 ครง ตอคณะกรรมการนโยบายและพฒนาสารสนเทศ และแจงคณะกรรมการบรหารความเสยงของสถาบนเพอด าเนนการตอไป
2.4 มการแสดงผลการตรวจสอบตามนโยบายการรกษาความมนคงปลอดภยดานสารสนเทศ เปนสวนหนงของการรายงานผลการตดตาม ตรวจสอบและประเมนผลงานดานเทคโนโลยสารสนเทศและการสอสาร การประเมนสถานการณความเสยง
จากการตดตามตรวจสอบความเสยงตาง ๆ ในระบบเทคโนโลยสารสนเทศสถาบนฯ พบวาความเสยงทอาจเปนอนตราย (Disaster) ตอระบบเครอขายคอมพวเตอร ซงเปนองคประกอบหลกในระบบเทคโนโลยสารสนเทศของสถาบนสามารถแยกเปนภยและความเสยงตาง ๆ ได คอ
1. ภยทเกดจากเจาหนาทหรอบคลากรของหนวยงาน (Human Error) 2. ภยทเกด Software 3. ภยจากไฟไหม หรอระบบไฟฟา 4. ภยจากน าทวม (อทกภย) 5. ความเสยงจากอปกรณโครงสรางพนฐานทเกาช ารดลาสมย
1. ภยทเกดจากเจาหนาทหรอบคลากรของหนวยงาน (Human Error) ไดแก เจาหนาทหรอบคลากรของหนวยงานขาดความรความเขาใจในเครองมออปกรณคอมพวเตอรทงดานHardware และ Software ซงอาจท าใหระบบเทคโนโลยสารสนเทศเสยหายใชงานไมได เกดการชะงกงน หรอหยดท างานและสงผลใหไมสามารถใชงานระบบเทคโนโลยสารสนเทศไดอยางเตมประสทธภาพ แนวทางปฏบตเพอเตรยมรบสถานการณภยจากเจาหนาทหรอบคลากรของหนวยงาน ส านกบรการคอมพวเตอรไดก าหนดแนวทางการด าเนนการเบองตนเพอลดปญหาความเสยงทจะเกดขนกบระบบเทคโนโลยสารสนเทศไวดงน
(1) จดหลกสตรอบรมเจาหนาทของหนวยงานใหมความรความเขาใจในดาน Hardware และ Software เบองตนเพอลดความเสยงดาน Human Error ใหนอยทสด ท าใหเจาหนาทมความรความเขาใจการ
๕๕
ใชและบรหารจดการเครองมออปกรณทางดานสารสนเทศทงทางดาน Hardware และ Software ไดมประสทธภาพยงขน ท าใหความเสยงทเกดจาก Human Error ลดนอยลง
(2) น าเสนอนโยบายและขอปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ เพอพจารณาในการประชมคณะกรรมการนโยบายและพฒนาระบบสารสนเทศ
(3) จดท านโยบายวาดวยการใชงานคอมพวเตอรทวไปและการเขาถงระบบเครอขายอนเทอรเนต เผยแพรผานเวบไซดส านกบรการคอมพวเตอร เพอเปนแนวทางปฏบตไดอยางถกตอง
2. ภยทเกดจาก Software เปนภยทสรางความเสยหายใหแกเครองคอมพวเตอร หรอระบบเครอขายคอมพวเตอร ประกอบดวย ไวรสคอมพวเตอร (Computer Virus) หนอนอนเทอรเนต (Internet Worm) มาโทรจน (Trojan Horse) และขาวไวรสหลอกลวง (Hoax) ซง Software ประเภทนอาจรบกวนการท างานและกอใหเกดความเสยหายใหแกระบบเทคโนโลยสารสนเทศของสถาบนถงขนท าใหระบบเครอขายคอมพวเตอรของสถาบนใชงานไมได
แนวทางปฏบตเพอเตรยมรบสถานการณภยจาก Software ส านกบรการคอมพวเตอร ไดตระหนกถงปญหาเหลาน จงไดท าการ
(1) ตดตง Firewall ทเครองคอมพวเตอรแมขายท าหนาทในการก าหนดสทธการเขาใชงานเครอง คอมพวเตอรแมขายและปองกนการบกรกจากภายนอก (2) มการตดตงซอฟตแวร Trend Micro Server ทเครองใหบรการ (Server) และเครองลกขาย
(Client) ซงท าหนาทเปนซอฟตแวร Antivirus ดกจบไวรสทเขามาในระบบเครอขายและสามารถตรวจสอบไดวามไวรสชนดใดเขามาท าความเสยหายกบระบบเครอขายคอมพวเตอรของสถาบน ปองกนและแกไขปญหาในเบองตน
(3) แจงขอมลเตอนภยไวรสคอมพวเตอรผานทางระบบอนเทอรเนตท http://csc.kmitl.ac.th อยางตอเนองสม าเสมอ รวมทงแนะน าวธการปองกนและการก าจดภยทจะเกดจาก Software ดงกลาวใหเจาหนาทไดศกษาและสามารถปฏบตการได
3. ภยจากไฟไหมหรอระบบไฟฟา จดเปนภยรายแรงทท าความเสยหายใหแกระบบเทคโนโลยสารสนเทศ ซงส านกฯ ไดใหความส าคญและ ระมดระวงเปนอยางยงทจะไมใหเกดภยลกษณะดงกลาวขน แนวทางปฏบตเพอเตรยมรบสถานการณภยจากไฟไหมหรอระบบไฟฟาขดของ ส านกบรการคอมพวเตอร ไดตระหนกถงปญหาดงกลาวทอาจจะเกดขน จงไดด าเนนการดงน (1) ตดตงอปกรณส ารองไฟฟา (UPS) และเครองส ารองไฟฟาฉกเฉน เพอควบคมการจายกระแสไฟฟาใหกบระบบเครองแมขาย (Server) ในกรณเกดกระแสไฟฟาขดของ โดยมการส ารวจตรวจสอบระยะเวลาการส ารองไฟ กรณทเกดกระแสไฟฟาขดของระบบเครอขายคอมพวเตอรจะสามารถใหบรการไดในระยะเวลาทสามารถจดเกบและส ารองขอมลไวอยางปลอดภย
๕๖
(2) ตดตงอปกรณตรวจจบควนกรณทเกดเหตการณกระแสไฟฟาขดของหรอมควนไฟเกดขนภายใน หองควบคมระบบเครอขาย อปกรณดงกลาวจะสงสญญาณแจงเตอนทหนวยรกษาความปลอดภย เพอทราบและรบเขามาระงบเหตฉกเฉนอยางทนทวงท ซงมการตรวจสอบความพรอมของอปกรณ อยางสม าเสมอ
(3) ตดตงอปกรณดบเพลงชนดกาซทหองควบคมระบบคอมพวเตอรเพอไวใชในกรณเหตฉกเฉน (ไฟไหม) โดยมการตรวจสอบความพรอมของอปกรณและทดลองใชงานโดยสม าเสมอ รวมทงมการจดฝกอบบรมการปองกนอคคภยทกป ตอเนอง
4. ภยจากน าทวม (อทกภย) ความเสยงตอความเสยหายจากน าทวมจดเปนภยรายแรงทท าความเสยหายใหแกระบบเทคโนโลยสารสนเทศได ซงส านกฯ ไดใหความส าคญและระมดระวงเปนอยางยงทจะไมใหภยในลกษณะดงกลาวเกดขน
แนวทางปฏบตเพอเตรยมรบสถานการณภยจากน าทวม (อทกภย) ส านกบรการคอมพวเตอร ไดตระหนกถงปญหาดงกลาวทอาจจะเกดขนจงไดด าเนนการดงน
(1) เฝาระวงภยอนเกดจากน าทวมโดยตดตามจากพยากรณอากาศของกรมอตนยมวทยา ตลอดเวลา (2) เมอเกดน าขงหรอมการรวซมจากน า และมแนวโนมวาน าทวมขงเพมขนเรอย ๆ จนนาจะเขาสภาวะ
วกฤตตอระบบการใหบรการของส านกฯ ใหปดเครองคอมพวเตอรแมขายและอปกรณเครองแมขายทงหมด (3) ถอดเทป Backup ขอมลทงหมดไปเกบไวในทปลอดภย (4) ด าเนนการตดระบบน าและไฟฟาในหองควบคม ปดเบรคเกอรเครองปรบอากาศ เพอปองกน
เครองควบคมเสยหายและปองกนภยจากไฟฟา (5) เจาหนาทชวยกนเคลอนยายเครองคอมพวเตอรแมขายและอปกรณเครอขาย ไวในชนทสงขนไป
เฉพาะสวนทเคลอนยายได) (6) กรณน าลดลงเรยบรอยแลวใหชางไฟฟาตรวจสอบระบบไฟฟาในหองควบคมเครอขายวาสามารถใช
งานไดปกตหรอไมและเตรยมความพรอมหองควบคมระบบเครอขายส าหรบตดตงเครองคอมพวเตอรแมขายและอปกรณเครอขาย
(7) เมอระบบไฟฟาใชงานไดตามปกต ผดแลระบบและเจาหนาทผเกยวของชวยกนเคลอนยายเครอง คอมพวเตอรท าหนาทแมขาย มาตดตง ณ หองควบคมระบบเครอขายเดม
(8) ท าการตดตงเครองคอมพวเตอรแมขายและอปกรณเครอขายพรอมทงทดสอบการใชงานของ เครองคอมพวเตอรแมขายแตละเครองวาสามารถใหบรการไดตามปกตหรอไม ตรวจสอบระบบ Network วาสามารถเชอมตอและใหบรการกบเครองคอมพวเตอรลกขายไดหรอไม
(9) เมอตรวจสอบแลววาเครองคอมพวเตอรแมขายและระบบเครอขายสามารถใหบรการขอมลได เรยบรอยแลวแจงใหหนวยงานทเกยวของทราบเพอเขามาใชบรการไดตามปกต
5. ความเสยงจากอปกรณโครงสรางพนฐานทเกาช ารดลาสมย แนวทางปฏบต
(1) ตรวจสอบอปกรณฯ เพอใหใชงานไดตามปกต (2) ท าการบ ารงรกษา ทงเชงปองกน และเชงแกไข
๕๗
(3) จดหาอปกรณทดแทนอปกรณทเสยหายใชการไมได หรอไมเหมาะกบเทคโนโลยสมยใหม การจดเตรยมอปกรณทจ าเปน ในการเตรยมพรอมรบภยพบตทจะเกดขนตอระบบเทคโนโลยสารสนเทศของสถาบน ส านกบรการคอมพวเตอร เปนหนวยงานหลกทดแลดานระบบเครอขายคอมพวเตอรของสถาบน ไดมการจดเตรยมอปกรณและเครองมอทจ าเปนในกรณคอมพวเตอรเกดขดของใชงานไมได โดยมการเตรยมอปกรณ ดงน
(1) แผน Boot Disk (2) แผนตดตงระบบปฏบตการ/ระบบเครอขาย/แผนตดตงระบบงานทส าคญ (3) แผนส ารองขอมลและระบบงานทส าคญ (4) แผนโปรแกรม Antivirus/Spyware (5) แผน Driver อปกรณตาง ๆ (6) ระบบส ารองไฟฉกเฉน (7) Hard Disk ส ารอง (8) ส าเนารายละเอยดการบนทกคาตาง ๆ ในการตดตงอปกรณทจ าเปน
สวนท 5 นโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร วตถประสงค 1. เพอสรางความรความเขาใจในการใชงานระบบสารสนเทศและระบบคอมพวเตอรใหกบผใชงานของ สถาบน 2. เพอเปนการปองกนการกระท าผดทเกดจากการรเทาไมถงการณของผใชงาน 3. เพอใหการใชงานระบบสารสนเทศและระบบคอมพวเตอร มความมนคงปลอดภย ผรบผดชอบ 1. ส านกบรการคอมพวเตอร 2. ผดแลระบบทไดรบมอบหมาย อางองมาตรฐาน - มาตรฐานการรกษาความมนคงปลอดภยในการประกอบธรกรรมทางอเลกทรอนกส แนวปฏบต แนวทางปฏบตนโยบายการสรางความรความเขาใจในการใชระบบสารสนเทศและระบบคอมพวเตอร
(1) จดใหมการฝกอบรมการใชงานระบบสารสนเทศของสถาบน ปละ 1 ครง หรอทกครงทมการปรบปรงและเปลยนแปลงการใชงานระบบสารสนเทศ
(2) จดท าคมอการใชงานระบบสารสนเทศ และมการเผยแพรทางเวบไซดของสถาบน (3) จดฝกอบรมแนวปฏบตตามนโยบายอยางสม าเสมอ โดยการจดฝกอบรมอาจใชวธการเสรมเนอหา
แนวปฏบตตามนโยบายเขากบหลกสตรอบรมตางๆ ตามแผนการฝกอบรมของสถาบนฯ หรอของส านกฯ
๕๘
(4) จดสมมนาเพอเผยแพรแนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ และสรางความตระหนกถงความส าคญของการปฏบตใหกบผใชงาน
(5) ตดประกาศประชาสมพนธเชงรก ใหความรเกยวกบแนวปฏบตในลกษณะเกรดความร หรอขอระวงในรปแบบทสามารถเขาใจและน าไปปฏบตไดงายโดยมการปรบปรงความรอยเสมอ
(6) ระดมการมสวนรวมและลงสภาคปฏบตดวยการก ากบ ตดตาม ประเมนผล และส ารวจความตองการผใชงาน
