1
หลกการจดความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศ (Part 2)
นพ.นวนรรน ธระอมพรพนธ
9 ก.ค. 2558
http://www.slideshare.net/nawanan
2
Outlineตอนท 1 (สปดาหทแลว)
• ท าไมเราตองแครเรอง Security & Privacy?
• Security/Privacy กบขอมลผปวย
• แนวปฏบตดาน Security ของระบบ
ตอนท 2 (สปดาหน)
• กฎหมายดาน Security/Privacy
• การใช Social Media ดานสขภาพ
3
กฎหมายดาน Security
4
Confidentiality• การรกษาความลบของขอมลIntegrity• การรกษาความครบถวนและความ
ถกตองของขอมล• ปราศจากการเปลยนแปลงแกไข ท า
ใหสญหาย ท าใหเสยหาย หรอถกท าลายโดยมชอบ
Availability• การรกษาสภาพพรอมใชงาน
หลกการของ Information Security
5
• พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550– ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ
• พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544• พรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ.
2551– รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส– รบรองวธการสงและรบขอมลอเลกทรอนกส การใชลายมอชอ
อเลกทรอนกส (electronic signature) และการรบฟงพยานหลกฐานทเปนขอมลอเลกทรอนกส เพอสงเสรมการท า e-transactions ใหนาเชอถอ
– ก าหนดใหมคณะกรรมการธรกรรมทางอเลกทรอนกส และอ านาจหนาท
กฎหมายดานเทคโนโลยสารสนเทศของไทย
6
• หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)
• ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)
• ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)
• ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.
• ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส
7
• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษา
ความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทม
การท าธรกรรมทางอเลกทรอนกสภาครฐ– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการ
คมครองขอมลสวนบคคลของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทม
การท าธรกรรมทางอเลกทรอนกสภาครฐ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
8
• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– ประกาศ เรอง มาตรฐานการรกษาความมนคง
ปลอดภยของระบบสารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555• ก าหนดมาตรฐานความปลอดภยตามวธการแบบ
ปลอดภยแตละระดบ ส าหรบ Critical Infrastructure ของประเทศ
กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส
9
• มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส– “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบ
ปลอดภยทก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได
• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด)– จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทม
ผลกระทบตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)
“วธการแบบปลอดภย”
10
ธรกรรมทางอเลกทรอนกส ประเภทตอไปน• ดานการช าระเงนทางอเลกทรอนกส• ดานการเงนของธนาคารพาณชย• ดานประกนภย• ดานหลกทรพยของผประกอบธรกจหลกทรพย• ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของบคคล
หรอทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ
• ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา
วธการแบบปลอดภยในระดบเครงครด
11
ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจ
ไดรบอนตรายตอชวต รางกาย หรออนามย– ต า: ไมม– ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน– สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอ
ชวตตงแต 1 คน
ระดบผลกระทบกบวธการแบบปลอดภย
12
• แบงเปน 11 หมวด (Domains)– Security policy– Organization of information security– Asset management– Human resources security– Physical and environmental security– Communications and operations management– Access control– Information systems acquisition, development and
maintenance– Information security incident management– Business continuity management– Regulatory compliance
มาตรฐาน Security ตามวธการแบบปลอดภย
13
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
การกระท าความผดเกยวกบคอมพวเตอร (Computer-Related Crimes)
ตวอยาง?–อาชญากรรมทางคอมพวเตอร (Computer Crimes)
• เชน Hacking, การเปดเผยขอมลทเปนความลบ, การดกฟงขอมล
–การกระท าความผดทมคอมพวเตอรเปนเครองมอ (Crimes Using Computers as Tools)
• เชน การเผยแพรภาพลามก
• การโพสตขอความทเปนภยตอความมนคง
• การตดตอภาพเพอใหผอนเสยหาย
14
หมวด 1 ความผดเกยวกบคอมพวเตอร
• มาตรา 5 การเขาถงโดยมชอบซงระบบคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การเจาะระบบ (hacking), การ hack รหสผานคนอน
– การเขาถงทางกายภาพ หรอทางเครอขายกได
• มาตรา 6 การเปดเผยโดยมชอบซงมาตรการปองกนการเขาถงระบบคอมพวเตอรทผอนจดท าขนเปนการเฉพาะทไดลวงรมา ในประการทนาจะเกดความเสยหายแกผอน– เชน เปดเผยรหสผานของผอนโดยไมไดรบอนญาต
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
15
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
• มาตรา 7 การเขาถงโดยมชอบซงขอมลคอมพวเตอรทมมาตรการปองกนการเขาถงโดยเฉพาะและมาตรการนนมไดมไวส าหรบตน (Unauthorized access)– เชน การน าขอมลคอมพวเตอรของผอนไปพยายามถอดรหสเพออานเนอความ
• มาตรา 8 การกระท าโดยมชอบดวยวธการทางอเลกทรอนกสเพอดกรบไวซงขอมลคอมพวเตอรของผอนทอยระหวางการสงในระบบคอมพวเตอร และขอมลคอมพวเตอรนนมไดมไวเพอประโยชนสาธารณะหรอเพอใหบคคลทวไปใชประโยชนได– เชน การดกฟงขอมลผานเครอขาย
• มาตรา 9 การท าใหเสยหาย ท าลาย แกไข เปลยนแปลง หรอเพมเตมไมวาทงหมดหรอบางสวน ซงขอมลคอมพวเตอรของผอนโดยมชอบ– เชน การลบหรอแกไขขอมลของผอน โดยมเจตนาราย
16
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
• มาตรา 10 การกระท าโดยมชอบ เพอใหการท างานของระบบคอมพวเตอรของผอนถกระงบ ชะลอ ขดขวาง หรอรบกวนจนไมสามารถท างานตามปกตได– เชน Denial of Service (DoS) Attack = การโจมตใหเวบลม
• มาตรา 11 การสงขอมลคอมพวเตอรหรอจดหมายอเลกทรอนกสแกบคคลอนโดยปกปดหรอปลอมแปลงแหลงทมาของการสงขอมลดงกลาว อนเปนการรบกวนการใชระบบคอมพวเตอรของบคคลอนโดยปกตสข– เชน สง spam e-mail
• มาตรา 13 การจ าหนายหรอเผยแพรชดค าสงเพอน าไปใชเปนเครองมอในการกระท าความผดตาม พรบ. น– เชน การเผยแพรซอฟตแวรเจาะระบบ
17
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550• มาตรา 14
(1) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรปลอม หรอขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายแกผอนหรอประชาชน
(2) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรอนเปนเทจ โดยประการทนาจะเกดความเสยหายตอความมนคงของประเทศหรอกอใหเกดความตนตระหนกแกประชาชน
(3) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ อนเปนความผดเกยวกบความมนคงแหงราชอาณาจกรหรอความผดเกยวกบการกอการราย
(4) น าเขาสระบบคอมพวเตอรซงขอมลคอมพวเตอรใดๆ ทมลกษณะอนลามกและขอมลคอมพวเตอรนนประชาชนทวไปอาจเขาถงได
(5) เผยแพรหรอสงตอซงขอมลคอมพวเตอรตาม (1)-(4)
18
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
• มาตรา 15 ความรบผดกรณผใหบรการจงใจสนบสนนหรอยนยอมใหมการกระท าความผดตามมาตรา 14 ในระบบคอมพวเตอรทอยในความควบคมของตน
• มาตรา 16 ผใดน าเขาสระบบคอมพวเตอรทประชาชนทวไปอาจเขาถงไดซงขอมลคอมพวเตอรทปรากฏเปนภาพของผอน และภาพนนเปนภาพทเกดจากการสรางขน ตดตอ เตม หรอดดแปลงดวยวธการทางอเลกทรอนกสหรอวธการอนใด ทงน โดยประการทนาจะท าใหผอนนนเสยชอเสยง ถกดหมน ถกเกลยดชง หรอไดรบความอบอาย
19
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550หมวด 2 พนกงานเจาหนาท
• มาตรา 18 อ านาจของพนกงานเจาหนาท
(1) มหนงสอสอบถามหรอเรยกบคคลมาใหถอยค า สงค าชแจง หรอสงหลกฐาน
(2) เรยกขอมลจราจรทางคอมพวเตอรจากผใหบรการ
(3) สงใหผใหบรการสงมอบขอมลเกยวกบผใชบรการทตองเกบ
(4) ท าส าเนาขอมลคอมพวเตอร ขอมลจราจรทางคอมพวเตอร
(5) สงใหบคคลซงครอบครองหรอควบคมขอมลคอมพวเตอร สงมอบขอมล
(6) ตรวจสอบหรอเขาถงระบบคอมพวเตอร ขอมล หรออปกรณทเปนหลกฐาน
(7) ถอดรหสลบของขอมล หรอสงใหบคคลท าการถอดรหสลบ
(8) ยดหรออายดระบบคอมพวเตอรเทาทจ าเปน
20
พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
• มาตรา 19-21 การยนค ารองตอศาลของพนกงานเจาหนาท เกยวกบการปฏบตหนาทตาม พรบ. น
• มาตรา 26 ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา 90 วน นบแตวนทขอมลนนเขาสระบบคอมพวเตอร...
• ผใหบรการจะตองเกบรกษาขอมลของผใชบรการเทาทจ าเปนเพอใหสามารถระบตวผใชบรการนบตงแตเรมใชบรการและตองเกบรกษาไวเปนเวลาไมนอยกวา 90 วน นบตงแตการใชบรการสนสดลง
21
กฎหมายดาน Privacy
22
หลกจรยธรรมทเกยวกบ Privacy
• Autonomy (หลกเอกสทธ/ความเปนอสระของผปวย)
• Beneficence (หลกการรกษาประโยชนสงสดของผปวย)
• Non-maleficence (หลกการไมท าอนตรายตอผปวย)“First, Do No Harm.”
23
Hippocratic Oath...
What I may see or hear in the course of treatment or even outside of the treatment in regard to the life of men, which on no account one must spread abroad, I will keep myself holding such things shameful to be spoken about....
http://en.wikipedia.org/wiki/Hippocratic_Oath
24
กฎหมายทเกยวของกบ Privacy
• พรบ.สขภาพแหงชาต พ.ศ. 2550
• มาตรา 7 ขอมลดานสขภาพของบคคล เปนความลบสวนบคคล ผใดจะน าไปเปดเผยในประการทนาจะท าใหบคคลนนเสยหายไมได เวนแตการเปดเผยนนเปนไปตามความประสงคของบคคลนนโดยตรง หรอมกฎหมายเฉพาะบญญตใหตองเปดเผย แตไมวาในกรณใด ๆ ผใดจะอาศยอ านาจหรอสทธตามกฎหมายวาดวยขอมลขาวสารของราชการหรอกฎหมายอนเพอขอเอกสารเกยวกบขอมลดานสขภาพของบคคลทไมใชของตนไมได
25
ประมวลกฎหมายอาญา• มาตรา 323 ผใดลวงรหรอไดมาซงความลบของผอนโดยเหตทเปน
เจาพนกงานผมหนาท โดยเหตทประกอบอาชพเปนแพทย เภสชกร คนจ าหนายยา นางผดงครรภ ผพยาบาล...หรอโดยเหตทเปนผชวยในการประกอบอาชพนน แลวเปดเผยความลบนนในประการทนาจะเกดความเสยหายแกผหนงผใด ตองระวางโทษจ าคกไมเกนหกเดอน หรอปรบไมเกนหนงพนบาท หรอทงจ าทงปรบ
• ผรบการศกษาอบรมในอาชพดงกลาวในวรรคแรก เปดเผยความลบของผอน อนตนไดลวงรหรอไดมาในการศกษาอบรมนน ในประการทนาจะเกดความเสยหายแกผหนงผใดตองระวางโทษเชนเดยวกน
26
ค าประกาศสทธผปวย
• เพอใหความสมพนธระหวางผประกอบวชาชพดานสขภาพกบผปวย ตงอยบนพนฐานของความเขาใจอนดและเปนทไววางใจซงกนและกน แพทยสภา สภาการพยาบาล สภาเภสชกรรม ทนตแพทยสภา คณะกรรมการควบคมการประกอบโรคศลปะ จงไดรวมกนออกประกาศรบรองสทธของผปวยไว ดงตอไปน
1. ผปวยทกคนมสทธพนฐานทจะไดรบบรการดานสขภาพ ตามทบญญตไวในรฐธรรมนญ2. ผปวยมสทธทจะไดรบบรการจากผประกอบวชาชพดานสขภาพโดยไมมการเลอกปฏบต เนองจากความแตกตางดานฐานะ เชอชาต สญชาต ศาสนา สงคม ลทธการเมอง เพศ อาย และ ลกษณะของความเจบปวย3. ผปวยทขอรบบรการดานสขภาพมสทธทจะไดรบทราบขอมลอยางเพยงพอ และเขาใจชดเจน จากผประกอบวชาชพดานสขภาพเพอใหผปวยสามารถเลอกตดสนใจในการยนยอมหรอไมยนยอมใหผประกอบวชาชพดานสขภาพปฏบตตอตน เวนแตเปนการชวยเหลอรบดวนหรอ จ าเปน4. ผปวยทอยในภาวะเสยงอนตรายถงชวต มสทธทจะไดรบการชวยเหลอรบดวนจากผประกอบวชาชพดานสขภาพโดยทนทตามความจ าเปนแกกรณ โดยไมค านงวาผปวยจะรอง ขอความชวยเหลอหรอไม5. ผปวยมสทธทจะไดรบทราบชอ สกล และประเภทของผประกอบวชาชพดานสขภาพทเปน ผใหบรการแกตน6. ผปวยมสทธทจะขอความเหนจากผประกอบวชาชพดานสขภาพอน ทมไดเปนผใหบร การแกตน และมสทธในการขอเปลยนผใหบรการ และสถานบรการได7. ผปวยมสทธทจะไดรบการปกปดขอมลเกยวกบตนเอง จากผประกอบวชาชพดานสขภาพโดยเครงครด เวนแตจะไดรบความยนยอมจากผปวยหรอการปฏบตหนาทตามกฎหมาย8. ผปวยมสทธทจะไดรบทราบขอมลอยางครบถวน ในการตดสนใจเขารวมหรอถอนตวจากการเปนผถกทดลองในการท าวจยของผประกอบวชาชพดานสขภาพ9. ผปวยมสทธทจะไดรบทราบขอมลเกยวกบการรกษาพยาบาลเฉพาะของตนทปรากฏใน เวชระเบยนเมอรองขอ ทงน ขอมลดงกลาวตองไมเปนการละเมดสทธสวนตวของบคคลอน10.บดา มารดา หรอผแทนโดยชอบธรรม อาจใชสทธแทนผปวยทเปนเดกอายยงไมเกน สบแปดปบรบรณ ผบกพรองทางกายหรอจต ซงไมสามารถใชสทธดวยตนเองได
7. ผปวยมสทธทจะไดรบการปกปดขอมลเกยวกบตนเอง จากผประกอบวชาชพดานสขภาพโดยเครงครด เวนแตจะไดรบความยนยอมจากผปวยหรอการปฏบตหนาทตามกฎหมาย
27http://www.prasong.com/สอสารมวลชน/แพยสภาสอบจรยธรรมหมอต/
Social Media Case Study
28
ขอความจรง บน• "อาจารยครบ เมอวาน ผมออก OPD เจอ คณ
... คนไข... ทอาจารยผาไปแลว มา ฉายรงสตอท... ตอนน Happy ด ไมคอยปวด เดนไดสบาย คนไขฝากขอบคณอาจารยอกครง -- อกอยางคนไขชวงนไมคอยสะดวกเลยไมไดไป กทม. บอกวาถาพรอมจะไป Follow-up กบอาจารยครบ"
ขอมลผปวย บน Social Media
29
แนวทางการคมครอง Privacy ของขอมลผปวย• นอกเหนอจากมาตรการดาน Security
– Informed Consent เกยวกบแนวทางการเกบบนทกและเปดเผยขอมลผปวย
– สรางวฒนธรรมทใหความส าคญกบความเปนสวนตวของขอมลผปวย
– มกระบวนการสรางความตระหนก + สอนผใชงาน
– มการก าหนดกฎระเบยบและนโยบายดานความปลอดภยสารสนเทศขององคกร และบงคบใช (enforce) นโยบายดงกลาว
– มกระบวนการบรหารจดการดาน Privacy และ Security ทตอเนอง สม าเสมอ
30
เหตผลทตองสรางความตระหนก + สอนผใชงาน เรอง Security
http://c2.likes-media.com/img/c88376b3e79ac46a289879d2178e9b41.600x.jpghttp://likes.com/comedy/best-facebook-fails-ever?fb_action_ids=854715637875685&fb_action_types=og.likes&page=10
31
Facebook Privacy Settings
32
Facebook Privacy Settings
33
• กฎหมายส าคญทเปนกรอบในการก าหนดแนวทางการใชเทคโนโลยสารสนเทศ คอ พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550
• การใชเทคโนโลยสารสนเทศโดยบคลากรทางการแพทย อาจสงผลกระทบตอผปวยได และตองอยบนพนฐานของหลกจรยธรรมและกฎหมาย รวมทงตองหาทางปองกนปญหาทอาจเกดตอผปวยจากการใชงานระบบสารสนเทศ
สรป
34
สรป
• Privacy และ Security เปนสอง concepts ทมความส าคญส าหรบบคลากรทางการแพทยทดแลผปวย และจ าเปนจะตองใหความส าคญในการคมครองขอมลผปวยอยางเตมท