สรุปสาระสำคัญความรู้ ด้านการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ งานเทคโนโลยีสารสนเทศ กลุ่ม แผนงานและประเมินผล

ประเด็นเนื้อหา พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และ พ.ศ. 2560 พ.ร.ฎ. ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2553 ประกาศคณะกรรมการธุรกรรมอิเล็กทรอนิกส์ เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ด้านสารสนเทศ กระทรวงสาธารณสุข

พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ. ศ พระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 และ พ.ศ. 2560

พระราชกฤษฎีกา ว่าด้วยวิธีการแบบปลอดภัยในการทำธุรกรรมอิเล็กทรอนิกส์ พ.ศ. 2553

วิธีการแบบปลอดภัย วิธีการแบบปลอดภัยในการทำ ธุรกรรมทางอิเล็กทรอนิกส์ ระบบ เช่น ระบบ เครือข่ายคอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบ สารสนเทศ ตัวเครื่องคอมพิวเตอร์ เช่น อุปกรณ์ คอมพิวเตอร์ เครื่องบันทึกข้อมูล และ อุปกรณ์อื่นใด ทรัพย์สินสารสนเทศ ข้อมูล เช่น ข้อมูลสารสนเทศ ข้อมูล อิเล็กทรอนิกส์ และ ข้อมูลคอมพิวเตอร์

ความมั่นคงปลอดภัยด้านบริหารจัดการ การกระทำในระดับบริหารโดยการจัดให้ มี นโยบาย มาตรการ หลักเกณฑ์ หรือ กระบวนการใดๆ เพื่อนำมาใช้ใน กระบวนการคัดเลือก การพัฒนา การ นำไปใช้ หรือการบำรุงรักษา ทรัพย์สิน สารสนเทศให้มีความมั่นคงปลอดภัย

วิธีการแบบปลอดภัย 3 ระดับ (1) ระดับเคร่งครัด * กรม ควบคุมโรค (2) ระดับกลาง (3) ระดับพื้นฐาน

หลักเกณฑ์สำหรับวิธีการแบบปลอดภัย (1) การสร้างความมั่นคงปลอดภัยด้านบริหาร จัดการ (2) การจัดโครงสร้างด้านความมั่นคงปลอดภัย ของระบบสารสนเทศ ทั้งภายในและภายนอกหน่วยงานหรือองค์กร (3) การบริหารจัดการทรัพย์สินสารสนเทศ (4) การสร้างความมั่นคงปลอดภัยของระบบ สารสนเทศด้านบุคลากร (5) การสร้างความมั่นคงปลอดภัยด้านกายภาพ และสภาพแวดล้อม (6) การบริหารจัดการด้านการสื่อสารและการ ดำเนินงานของระบบเครือข่าย คอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และ ระบบสารสนเทศ

หลักเกณฑ์สำหรับวิธีการแบบปลอดภัย (ต่อ) (7) การควบคุมการเข้าถึงระบบเครือข่าย คอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงาน คอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์ (8) การจัดหาหรือจัดให้มีการพัฒนา และการ บำรุงรักษาระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบ สารสนเทศ (9) การบริหารจัดการสถานการณ์ด้านความ มั่นคงปลอดภัยที่ไม่พึงประสงค์ หรือไม่อาจ คาดคิด (10) การบริหารจัดการด้านการบริการหรือการ ดำเนินงานของหน่วยงาน หรือองค์กรเพื่อให้มี ความต่อเนื่อง (11) การตรวจสอบและการประเมินผลการ ปฏิบัติตามนโยบาย มาตรการ หลักเกณฑ์ หรือ กระบวนการใดๆ รวมทั้งข้อกำหนดด้านความ มั่นคงปลอดภัยของระบบสารสนเทศ

หลักการพื้นฐาน ในการทำธุรกรรมทางอิเล็กทรอนิกส์ตาม วิธีการแบบปลอดภัยตาม พระราชกฤษฎีกานี้ ผู้กระทำต้องคำนึงถึง หลักการพื้นฐานของการรักษาความลับ การ รักษาความครบถ้วน และการรักษาสภาพ พร้อมใช้งาน รวมทั้งต้องปฏิบัติตามนโยบาย และแนวปฏิบัติในการควบคุมการปฏิบัติงาน และการรักษาความมั่นคงปลอดภัยของระบบ สารสนเทศของหน่วยงานหรือองค์กรนั้นด้วย

การรักษาความลับ การรักษาหรือสงวนไว้เพื่อป้องกันระบบ เครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ หรือ ข้อมูลคอมพิวเตอร์จากการเข้าถึง ใช้ หรือเปิดเผยโดยบุคคลซึ่งไม่ได้รับอนุญาต

การรักษาความครบถ้วน การดำเนินการเพื่อให้ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ หรือ ข้อมูลคอมพิวเตอร์อยู่ในสภาพสมบูรณ์ ขณะที่มีการใช้งานประมวลผล โอน หรือ เก็บรักษา เพื่อมิให้มีการเปลี่ยนแปลง แก้ไข ทำให้สูญหาย ทำให้เสียหาย หรือ ถูกทำลาย โดยไม่ได้รับอนุญาตหรือโดยมิ ชอบ

การรักษาสภาพพร้อมใช้งาน การจัดทำให้ทรัพย์สินสารสนเทศ สามารถทำงาน เข้าถึง หรือใช้งานได้ในเวลาที่ต้องการ

อาชญากรรมทางคอมพิวเตอร์ 1. การกระทำการใดๆ เกี่ยวกับการใช้ คอมพิวเตอร์ อันทำให้เหยื่อได้รับความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน 2. การกระทำผิดกฎหมายใดๆ ซึ่งใช้เทคโนโลยี คอมพิวเตอร์ เป็นเครื่องมือและในการสืบสวน สอบสวนของเจ้าหน้าที่เพื่อนำผู้กระทำผิดมา ดำเนินคดีต้องใช้ความรู้ทางเทคโนโลยี เช่นเดียวกัน

อาชญากรรมทางคอมพิวเตอร์ (ต่อ) ผู้ที่มีความรู้ และทักษะด้านคอมพิวเตอร์ อย่างดี (Hacker/Cracker) • Hacker ผู้ที่ชอบเจาะเข้าระบบ คอมพิวเตอร์ของผู้อื่น พยายามหาความท้า ทายทางเทคโนโลยีเข้าไปในเครือข่ายของ ผู้อื่นโดยที่ตนเองไม่มีอำนาจ • Cracker ผู้ที่มีความรู้และทักษะทาง คอมพิวเตอร์เป็นอย่างดี จนสามารถลักลอบเข้าสู่ระบบได้ โดยมี วัตถุประสงค์เข้าไปหาผลประโยชน์อย่างใด อย่างหนึ่ง มักเข้าไปทำลายหรือลบไฟล์ หรือ ทำให้คอมพิวเตอร์ใช้การไม่ได้ รวมถึงทำลาย ระบบปฏิบัติการ

รูปแบบของอาชญากรรมทางคอมพิวเตอร์ 1. การลักลอบเข้าถึงโดยไม่ได้รับอนุญาต เช่น Hacker ลักลอบเข้ามาที่หน้าเว็บ เพื่อต้องการทดสอบความสามารถของตนเอง 2. การขโมยและทำลายอุปกรณ์ (Hardware Theft) 3. การขโมยโปรแกรมคอมพิวเตอร์(Software Theft) นำไปสู่การละเมิดลิขสิทธิ์ ด้วยการปลอมแปลงรูปแบบ หรือเลียนแบบระบบ ซอฟแวร์โดยมิชอบ 4. การก่อกวนระบบด้วยโปรแกรมประสงค์ร้าย (virus, worm, Trojan ฯลฯ) ตัวอย่างเช่น การก่อกวนระบบคอมพิวเตอร์ เพื่อทำลาย ระบบสาธารณูปโภค อาทิ ระบบจ่ายน้ำจ่ายไฟ ระบบ จราจร 5. การก่อกวนระบบด้วย Spyware สร้างความรำคาญ 6. การก่อกวนระบบด้วย Spam Mail เช่น เมล์โฆษณา

รูปแบบของอาชญากรรมทางคอมพิวเตอร์ (ต่อ) 7. การหลอกลวงเหยื่อเพื่อล้วงเอาข้อมูลส่วนตัว (Phishing) และการลักลอบใช้ข้อมูลเพื่อแสวงหา ผลประโยชน์ในทางมิชอบ 8 . การขโมยข้อมูลทางอินเตอร์เน็ต เช่น ความลับทางการ ค้า ขโมยรหัสบัตรเครดิต ฯลฯ รวมถึงการขโมย ประโยชน์ในการลักลอบใช้บริการ 9. การปกปิดความผิดของตนเอง โดยใช้ระบบการ สื่อสาร 10. การเผยแพร่ภาพ เสียง สิ่งลามกอนาจาร และข้อมูล ที่ไม่เหมาะสม 11. การฟอกเงิน 12. การหลอกลวงให้ร่วมค้าขาย หรือลงทุนปลอม (การ ทำธุรกิจที่ไม่ชอบด้วยกฎหมาย) 13. การใช้คอมพิวเตอร์ในการโอนบัญชีผู้อื่นเป็นของ ตนเอง

ประกาศคณะกรรมการธุรกรรมอิเล็กทรอนิกส์ เรื่องมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย

มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (1) การจัดโครงสร้างด้านความมั่นคงปลอดภัย ของระบบสารสนเทศทั้งภายใน และภายนอก หน่วยงานหรือองค์กร (2) การสร้างความมั่นคงปลอดภัยของระบบ สารสนเทศด้านบุคลากร (3) การสร้างความมั่นคงปลอดภัยด้านกายภาพ และสภาพแวดล้อม (4) การบริหารจัดการด้านการสื่อสารและการ ดำเนินงานของระบบเครือข่ายคอมพิวเตอร์ ระบบ คอมพิวเตอร์ ระบบงานคอมพิวเตอร์ และระบบ สารสนเทศ (5) การควบคุมการเข้าถึงระบบเครือข่าย คอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงาน คอมพิวเตอร์ ระบบสารสนเทศ ข้อมูลสารสนเทศ ข้อมูลอิเล็กทรอนิกส์ และข้อมูลคอมพิวเตอร์

มาตรฐานการรักษาความมั่นคงปลอดภัย ของระบบสารสนเทศตามวิธีการแบบปลอดภัยในระดับเคร่งครัด (6) การจัดหาหรือจัดให้มีการพัฒนา และการ บำรุงรักษาระบบเครือข่าย คอมพิวเตอร์ ระบบคอมพิวเตอร์ ระบบงาน คอมพิวเตอร์ และระบบสารสนเทศ (7) การบริหารจัดการสถานการณ์ด้านความมั่นคง ปลอดภัยที่ไม่พึงประสงค์ หรือ ไม่อาจคาดคิด (8) การบริหารจัดการด้านการบริการหรือการ ดำเนินงานของหน่วยงานหรือองค์กรเพื่อให้มี ความต่อเนื่อง (9) การตรวจสอบและการประเมินผลการปฏิบัติ ตามนโยบาย มาตรการ หลักเกณฑ์ หรือ กระบวนการใดๆ รวมทั้งข้อกำหนดด้านความ มั่นคง ปลอดภัยของระบบสารสนเทศ

แนวนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ กระทรวงสาธารณสุข

แนวปฏิบัติของผู้ใช้งาน เมื่อผู้ใช้งาน (User) ไม่อยู่ที่เครื่อง คอมพิวเตอร์ ต้องทำการล็อกหน้าจอทุกครั้ง และต้องทำการพิสูจน์ตัวตนก่อนการใช้งานทุก ครั้ง เครื่องคอมพิวเตอร์ทุกเครื่อง ต้องทำการตั้ง เวลาพักหน้าจอ (Screen Saver) โดยตั้งเวลา อย่างน้อย 15 นาที ห้ามเปิดหรือใช้งานโปรแกรม Online ทุกประเภท เพื่อความบันเทิง เช่น การดู หนัง ฟังเพลง เกมส์ เป็นต้น ในระหว่างเวลา ปฏิบัติราชการ

การบริหารจัดการสินทรัพย์ ตัวอย่างสื่อบันทึกข้อมูล กระดาษ Flash Drive แผ่น CD/DVD เทป Hard-disk

วิธีทำลายสื่อบันทึกข้อมูล

การควบคุมการเข้าถึงเครือข่าย ผู้ใช้งานจะนำเครื่องคอมพิวเตอร์ อุปกรณ์มาเชื่อมต่อกับ เครื่องคอมพิวเตอร์ ระบบเครือข่ายของ หน่วยงาน ต้องได้รับอนุญาตจากหัวหน้า หน่วยงาน และต้องปฏิบัติตามนโยบายนี้ โดยเคร่งครัด

การควบคุมการเข้าถึงเครือข่าย (ต่อ) ผู้ดูแลระบบต้องควบคุมการเข้าถึงระบบ เครือข่าย เพื่อบริหารจัดการระบบเครือข่ายได้ อย่างมีประสิทธิภาพ ต้องจำกัดสิทธิ์การใช้งานเพื่อควบคุมผู้ใช้งาน ให้สามารถใช้งานเฉพาะระบบเครือข่ายที่ ได้รับอนุญาตเท่านั้น ติดตั้งระบบตรวจจับการบุกรุก ต้องมีการลงบันทึกเข้าใช้งาน (Login) โดย แสดงตัวตนด้วยชื่อผู้ใช้งาน และต้องมีการ พิสูจน์ยืนยันตัวตน (Authentication) ด้วยการ ใช้รหัสผ่าน เพื่อตรวจสอบความถูกต้องของ ผู้ใช้งาน

การควบคุมการเข้าถึงเครือข่าย (ต่อ) ต้องจำกัดเส้นทางการเข้าถึงระบบเครือข่ายที่มี การใช้งานร่วมกัน ต้องจำกัดการใช้เส้นทางบนเครือข่ายจาก เครื่องคอมพิวเตอร์ไปยัง เครื่องคอมพิวเตอร์แม่ข่าย เพื่อไม่ให้ผู้ใช้งาน สามารถใช้เส้นทางอื่นๆ ได้ ต้องเชื่อมต่อระบบเครือข่ายทั้งหมดของ หน่วยงานที่มีการเชื่อมต่อไปยังระบบเครือข่าย อื่นๆ ผ่านอุปกรณ์ป้องกันการบุกรุก รวมทั้ง ต้องมีความสามารถในการตรวจจับโปรแกรม ประสงค์ร้าย (Malware) ด้วย ต้องป้องกันมิให้หน่วยงานภายนอกที่เชื่อมต่อ สามารถมองเห็น IP Address ภายในของระบบ เครือข่ายภายในของหน่วยงาน

การควบคุมการเข้าถึงระบบปฏิบัติการ • ผู้ใช้งานต้องตั้งค่าการใช้งานโปรแกรมถนอม หน้าจอ (Screen saver) เพื่อทำการล็อก หน้าจอภาพเมื่อไม่มีการใช้งาน หลังจากนั้นเมื่อ ต้องการ ใช้งาน ผู้ใช้งานต้องใส่รหัสผ่าน (Password) เพื่อเข้าใช้งาน ผู้ใช้งานต้องทำการลงบันทึกออก (Logout) ทันทีเมื่อเลิกใช้งาน หรือไม่อยู่ที่หน้าจอเป็น เวลานาน ผู้ใช้งานต้องไม่อนุญาตให้ผู้อื่นใช้ชื่อผู้ใช้งาน (Username) และรหัสผ่านของตนเพื่อใช้งาน เครื่องคอมพิวเตอร์ของหน่วยงานร่วมกัน

การใช้งานเครื่องคอมพิวเตอร์ส่วนบุคคล ไม่อนุญาตให้ผู้ใช้งานทำการติดตั้งและแก้ไข เปลี่ยนแปลงโปรแกรมในเครื่อง คอมพิวเตอร์ ส่วนบุคคลของหน่วยงาน การเคลื่อนย้ายหรือส่งเครื่องคอมพิวเตอร์ ส่วนบุคคลตรวจซ่อมจะต้องดำเนินการโดย เจ้าหน้าที่ของหน่วยงานหรือผู้รับจ้างเหมา บำรุงรักษาเครื่องที่ได้ทำสัญญากับกระทรวง สาธารณสุขเท่านั้น ก่อนการใช้งานสื่อบันทึกพกพาต่าง ๆ ต้องมี การตรวจสอบเพื่อหาไวรัสโดยโปรแกรม ป้องกันไวรัส

การใช้งานเครื่องคอมพิวเตอร์ส่วนบุคคล (ต่อ) ผู้ใช้งาน มีหน้าที่และรับผิดชอบต่อการดูแล รักษาความ ปลอดภัยของเครื่อง คอมพิวเตอร์ ปิดเครื่องคอมพิวเตอร์ส่วนบุคคลที่ตนเอง ครอบครองใช้งานอยู่เมื่อใช้งานประจำวัน เสร็จสิ้น หรือเมื่อมีการยุติการใช้งานเกิน กว่า 1 ชั่วโมง ทำการตั้งค่า Screen Saver ของเครื่อง คอมพิวเตอร์ที่ตนเองรับผิดชอบให้มีการล็ อกหน้าจอหลังจากที่ไม่ได้ใช้งานเกินกว่า 30 นาที เพื่อป้องกันบุคคลอื่นมาใช้งานที่เครื่อง คอมพิวเตอร์

Thank you for your attention !!