งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ

1 การกำหนดนโยบายด้านความมั่นคง ปลอดภัยเพื่อให้สอดรับกับ พรบ. ว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดย บรรจง หะรังษี ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์

งานนำเสนอที่คล้ายกัน


งานนำเสนอเรื่อง: "1 การกำหนดนโยบายด้านความมั่นคง ปลอดภัยเพื่อให้สอดรับกับ พรบ. ว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดย บรรจง หะรังษี ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์"— ใบสำเนางานนำเสนอ:

1 1 การกำหนดนโยบายด้านความมั่นคง ปลอดภัยเพื่อให้สอดรับกับ พรบ. ว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดย บรรจง หะรังษี ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย (ThaiCERT)

2 2 ฐานความผิดโทษจำคุกโทษปรับ มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบไม่เกิน ๖ เดือนไม่เกิน ๑๐,๐๐๐ บาท มาตรา ๖ ล่วงรู้มาตรการป้องกันไม่เกิน ๑ ปีไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบไม่เกิน ๒ ปีไม่เกิน ๔๐,๐๐๐ บาท มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ไม่เกิน ๓ ปีไม่เกิน ๖๐,๐๐๐ บาท มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ไม่เกิน ๕ ปีไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๑ สแปมเมล์ ไม่เกิน ๕ ปี ไม่มี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๒ การกระทำต่อความมั่นคง (๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ (๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต ไม่เกิน ๑๐ ปี ๓ ปี ถึง ๑๕ ปี ๑๐ ปี ถึง ๒๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท ไม่มี มาตรา ๑๓ การจำหน่าย/เผยแพร่ชุดคำสั่งไม่เกิน ๑ ปีไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๑๔ การเผยแพร่เนื้อหาอันไม่เหมาะสมไม่เกิน ๕ ปีไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๕ ความรับผิดของ ISPไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๖ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด ไม่เกิน ๓ ปีไม่เกิน ๖๐,๐๐๐ บาท บทกำหนดโทษ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2549

3 3 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและ มาตรการนั้นมิได้มีไว้สำหรับตน  ห้ามพนักงานเข้าถึงระบบคอมพิวเตอร์ขององค์กรหรือ ของผู้อื่นที่ตนไม่ได้รับอนุญาตการใช้งาน

4 4 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบ คอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำ มาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่ น่าจะเกิดความเสียหายแก่ผู้อื่น  ห้ามพนักงานเปิดเผยข้อมูลที่เกี่ยวข้องกับมาตรการ ป้องกันการเข้าถึงระบบคอมพิวเตอร์ขององค์กรให้แก่ บุคคลภายนอก  เช่น รหัสผ่าน

5 5 การเผยแพร่มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์

6 6 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่ง ข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึง โดยเฉพาะ และมาตรการนั้นมิได้มีไว้สำหรับตน  ห้ามพนักงานเข้าถึงข้อมูลคอมพิวเตอร์ที่ตนไม่ได้รับ อนุญาตการใช้งาน

7 7 7

8 8 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วย วิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่ง ข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งใน ระบบคอมพิวเตอร์  ห้ามพนักงานใช้ทรัพยากรคอมพิวเตอร์ขององค์กร เพื่อดักรับข้อมูลคอมพิวเตอร์ขององค์กรหรือของผู้อื่น ที่อยู่ระหว่างการส่งและตนไม่ได้รับสิทธิการเข้าถึง  เช่น โปรแกรมดักแอบดูข้อมูลบนเครือข่าย Network sniffer

9 9 การดักดูข้อมูลคอมพิวเตอร์

10 10 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ  ห้ามพนักงานทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ของข้อมูลคอมพิวเตอร์ที่ตนไม่ได้รับสิทธิในการ เข้าถึง

11 11 แอบเจาะระบบแก้ไขวงเงินการใช้โทรศัพท์

12 12 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูก ระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถ ทำงานตามปกติได้  ห้ามพนักงานทำให้ระบบคอมพิวเตอร์ขององค์กร หรือ ของผู้อื่น ถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่ สามารถทำงานตามปกติได้

13 13  Client coordinates attack  Victim bandwidth is quickly eliminated Agents Handler Client Victim Network Agent (25) Handler Internet ISP Distribution Network B Distribution Network A ISP การโจมตี (Cyber Attack)

14 14 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมาย อิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิด หรือปลอมแปลง แหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข  ห้ามพนักงานส่งจดหมายอิเล็กทรอนิกส์ที่มีลักษณะเป็น จดหมายขยะอันไม่พึงประสงค์ต่อผู้รับ  ห้ามพนักงานส่งจดหมายอิเล็กทรอนิกส์ที่มีลักษณะเป็นการ รบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่น  ห้ามพนักงานปลอมหรือปกปิดชื่อที่อยู่จดหมายอิเล็กทรอนิกส์ ของตน เมื่อทำการส่งจดหมายไปยังผู้รับหนึ่ง

15 15

16 16 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๒  (๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อ ข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษา ความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการ สาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบ คอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ  ห้ามพนักงานก่อให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคง ปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคง ในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ  เจตนาเพื่อให้คลอบคลุมถึงการกระทำที่ทำให้ส่งผลกระทบในวงกว้าง เช่นเจาะระบบการประปา การไฟฟ้า ทำให้ใช้สาธารณูปโภคไม่ได้ เป็น ต้น การดูหมิ่นชาติ กษัตริย์ ศาสนา

17 17 การเผยแพร่ข้อมูลคอมพิวเตอร์ที่กระทบต่อความมั่นคง

18 18 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่ จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือ ในการ กระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือ มาตรา ๑๑  ห้ามพนักงานเผยแพร่ จำหน่าย แจกจ่ายเครื่องมือ หรือชุดคำสั่งคอมพิวเตอร์เพื่อใช้ในการเจาะระบบ (Hack tools) รหัสผ่านคอมพิวเตอร์ หรือรหัสในการ เข้าถึง เพื่อช่วยให้สามารถเข้าถึงระบบหรือ ข้อมูลคอมพิวเตอร์โดยมิชอบ

19 19 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๔  (๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน  (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ปลอม  ห้ามพนักงานปลอมแปลงข้อมูลคอมพิวเตอร์อันจะก่อให้เกิด ความเสียหายต่อผู้อื่นหรือประชาชน  ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ปลอมอันจะก่อให้เกิด ความเสียหายต่อผู้อื่นหรือประชาชนเข้าสู่ระบบคอมพิวเตอร์  ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ปลอมนั้น ไปยังผู้อื่น

20 20 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๔  (๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศ หรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน  (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์เท็จ  ห้ามพนักงานสร้างข้อมูลคอมพิวเตอร์เท็จ อันจะก่อให้เกิดความ เสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่น ตระหนกแก่ประชาชน  ห้ามพนักงานนำข้อมูลคอมพิวเตอร์เท็จดังกล่าวเข้าสู่ระบบ คอมพิวเตอร์  ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์เท็จนั้นไปยัง ผู้อื่น

21 21 ปรับเวลาเร็วขึ้น 30 นาที Forward mail 11 สิงหาคม

22 22 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๔  (๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อัน เป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือ ความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา  (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ที่ถือเป็น ความผิดดังกล่าว  ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบ คอมพิวเตอร์ โดยข้อมูลนั้นถือเป็นความผิดเกี่ยวกับความ มั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้าย ตามประมวลกฎหมายอาญา  ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่ถือเป็น ความผิดดังกล่าวนั้นไปยังผู้อื่น

23 23 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๔  (๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มี ลักษณะอันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไป อาจเข้าถึงได้  (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ที่มีลักษณะอัน ลามก  ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบ คอมพิวเตอร์ ที่มีลักษณะเป็นการลามกและข้อมูลคอมพิวเตอร์ นั้นพนักงานอื่นหรือประชาชนทั่วไปอาจเข้าถึงได้  ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่มี ลักษณะเป็นการลามกไปยังผู้อื่น

24 24

25 25 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการ กระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ใน ความควบคุมของตน  ห้ามพนักงานสนับสนุนหรือยินยอมการนำข้อมูลคอมพิวเตอร์ ใดๆ เข้าสู่ระบบคอมพิวเตอร์ขององค์กรโดย  ข้อมูลนั้นจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชน  ข้อมูลนั้นจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศหรือ ก่อให้เกิดความตื่นตระหนกแก่ประชาชน  ข้อมูลนั้นถือเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือ ความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา หรือ  ข้อมูลนั้นเป็นข้อมูลลามกซึ่งพนักงานอื่นหรือประชาชนทั่วไปอาจ เข้าถึงได้

26 26 นโยบายควบคุมการเข้าถึงระบบงานและ ป้องกันการใช้ผิดวัตถุประสงค์  มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไป อาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือ ดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูก เกลียดชัง หรือได้รับความอับอาย  ห้ามพนักงานสร้างขึ้น ตัดต่อ เติมหรือดัดแปลง ข้อมูลคอมพิวเตอร์ภาพของผู้อื่นด้วยวิธีการทางอิเล็กทรอนิกส์ หรือวิธีการอื่นใด ที่จะทำให้ผู้อื่นนั้นเกิดความเสียหายได้  ห้ามพนักงานจัดเก็บข้อมูลคอมพิวเตอร์ภาพของผู้อื่นดังกล่าว

27 27 นโยบายการจัดเก็บข้อมูลจราจรคอมพิวเตอร์

28 28 ตัวอย่างนโยบายการจัดเก็บข้อมูลล็อก  จัดทำบัญชีรายชื่อระบบงานที่ต้องมีการจัดเก็บและสำรอง ข้อมูลล็อก  เช่น เครื่องเซิร์ฟเวอร์ FTP (FTP.log), Mail (SMTP.log), Firewall/Proxy/Gateway (เช่น FW.log), Web (Access.log), RADIUS (RADIUS.log) หรือ TACACS+ (TACACS.log) หรือ อย่าง น้อยเป็นระยะเวลา 90 วัน  จัดหาเซิร์ฟเวอร์กลางและสื่อบันทึกข้อมูลที่มีเสถียรภาพสูง เพื่อใช้ในการจัดเก็บข้อมูลล็อกตามบัญชีรายชื่อดังกล่าว  จัดให้มีการเก็บข้อมูลล็อกตามบัญชีรายชื่อดังกล่าวไว้ใน เซิร์ฟเวอร์กลางที่องค์กรได้จัดเตรียมไว้  จำกัดการเข้าถึงข้อมูลล็อกดังกล่าวในเซิร์ฟเวอร์กลางโดย กำหนดให้เฉพาะผู้ประสานงานที่องค์กรแต่งตั้งขึ้นมา ผู้ ตรวจสอบสารสนเทศ หรือผู้ที่ได้รับมอบหมายเท่านั้นที่ สามารถเข้าถึงเข้าถึงได้

29 29 ตัวอย่างนโยบายการจัดเก็บข้อมูลล็อก  จัดให้มีการเก็บและสำรองข้อมูลล็อกตามบัญชีรายชื่อดังกล่าว อย่างน้อยเป็นระยะเวลา 180 วัน  จัดทำแผนการสำรองข้อมูลล็อกสำหรับระบบงานตามบัญชี รายชื่อดังกล่าวโดยจะต้องระบุชื่อข้อมูลที่จะทำการสำรอง ความถี่ในการสำรอง และผู้รับผิดชอบในการสำรอง  ใช้สื่อบันทึกข้อมูลสำหรับการสำรองข้อมูลล็อกที่มีความ เชื่อถือได้สูง  ตรวจสอบผลการสำรองข้อมูลล็อกตามกำหนดการการสำรอง เพื่อดูว่าข้อมูลได้รับการสำรองอย่างครบถ้วนหรือไม่  ทดสอบการเข้าถึงข้อมูลที่ได้สำรองเก็บไว้อย่างสม่ำเสมอเพื่อ ตรวจสอบว่าข้อมูลยังคงเข้าถึงได้ตามปกติ


ดาวน์โหลด ppt 1 การกำหนดนโยบายด้านความมั่นคง ปลอดภัยเพื่อให้สอดรับกับ พรบ. ว่าด้วยการ กระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดย บรรจง หะรังษี ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์

งานนำเสนอที่คล้ายกัน


Ads by Google