การกำหนดนโยบายด้านความมั่นคงปลอดภัยเพื่อให้สอดรับกับ พรบ

งานนำเสนอเรื่อง: "การกำหนดนโยบายด้านความมั่นคงปลอดภัยเพื่อให้สอดรับกับ พรบ"— ใบสำเนางานนำเสนอ:

1 การกำหนดนโยบายด้านความมั่นคงปลอดภัยเพื่อให้สอดรับกับ พรบ
การกำหนดนโยบายด้านความมั่นคงปลอดภัยเพื่อให้สอดรับกับ พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดย บรรจง หะรังษี ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย (ThaiCERT)

2 บทกำหนดโทษ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2549
บทกำหนดโทษ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2549 ฐานความผิด โทษจำคุก โทษปรับ มาตรา ๕ เข้าถึงคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๖ เดือน ไม่เกิน ๑๐,๐๐๐ บาท มาตรา ๖ ล่วงรู้มาตรการป้องกัน ไม่เกิน ๑ ปี ไม่เกิน ๒๐,๐๐๐ บาท มาตรา ๗ เข้าถึงข้อมูลคอมพิวเตอร์โดยมิชอบ ไม่เกิน ๒ ปี ไม่เกิน ๔๐,๐๐๐ บาท มาตรา ๘ การดักข้อมูลคอมพิวเตอร์ ไม่เกิน ๓ ปี ไม่เกิน ๖๐,๐๐๐ บาท มาตรา ๙ การรบกวนข้อมูลคอมพิวเตอร์ ไม่เกิน ๕ ปี ไม่เกิน ๑๐๐,๐๐๐ บาท มาตรา ๑๐ การรบกวนระบบคอมพิวเตอร์ มาตรา ๑๑ สแปมเมล์ ไม่มี มาตรา ๑๒ การกระทำต่อความมั่นคง (๑) ก่อความเสียหายแก่ข้อมูลคอมพิวเตอร์ (๒) กระทบต่อความมั่นคงปลอดภัยของประเทศ/เศรษฐกิจ วรรคท้าย เป็นเหตุให้ผู้อื่นถึงแก่ชีวิต ไม่เกิน ๑๐ ปี ๓ ปี ถึง ๑๕ ปี ๑๐ ปี ถึง ๒๐ ปี + ไม่เกิน ๒๐๐,๐๐๐ บาท ๖๐,๐๐๐-๓๐๐,๐๐๐ บาท มาตรา ๑๓ การจำหน่าย/เผยแพร่ชุดคำสั่ง มาตรา ๑๔ การเผยแพร่เนื้อหาอันไม่เหมาะสม มาตรา ๑๕ ความรับผิดของ ISP มาตรา ๑๖ การตัดต่อภาพผู้อื่น ถ้าสุจริต ไม่มีความผิด

3 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๕ ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีไว้สำหรับตน ห้ามพนักงานเข้าถึงระบบคอมพิวเตอร์ขององค์กรหรือของผู้อื่นที่ตนไม่ได้รับอนุญาตการใช้งาน

4 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๖ ผู้ใดล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ที่ผู้อื่นจัดทำขึ้นเป็นการเฉพาะ ถ้านำมาตรการดังกล่าวไปเปิดเผยโดยมิชอบในประการที่น่าจะเกิดความเสียหายแก่ผู้อื่น ห้ามพนักงานเปิดเผยข้อมูลที่เกี่ยวข้องกับมาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์ขององค์กรให้แก่บุคคลภายนอก เช่น รหัสผ่าน

5 การเผยแพร่มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์

6 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๗ ผู้ใดเข้าถึงโดยมิชอบซึ่งข้อมูลคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะ และมาตรการนั้นมิได้มีไว้สำหรับตน ห้ามพนักงานเข้าถึงข้อมูลคอมพิวเตอร์ที่ตนไม่ได้รับอนุญาตการใช้งาน

7 7

8 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๘ ผู้ใดกระทำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อดักรับไว้ ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นที่อยู่ระหว่างการส่งในระบบคอมพิวเตอร์ ห้ามพนักงานใช้ทรัพยากรคอมพิวเตอร์ขององค์กรเพื่อดักรับข้อมูลคอมพิวเตอร์ขององค์กรหรือของผู้อื่นที่อยู่ระหว่างการส่งและตนไม่ได้รับสิทธิการเข้าถึง เช่น โปรแกรมดักแอบดูข้อมูลบนเครือข่าย Network sniffer

9 การดักดูข้อมูลคอมพิวเตอร์
การลักลอบดักข้อมูลคอมพิวเตอร์ โดยข้อมูลนั้นผู้ส่งประสงค์ จะส่งข้อมูลให้แก่บุคคลหนึ่งบุคคลใดโดยเฉพาะเจาะจงเท่านั้น โดย อาจทำได้โดยการ ติดตั้งซอฟต์แวร์เฉพาะหรือไวรัสคอมพิวเตอร์บางประเภท เพื่อให้ทำหน้าที่ในการดักข้อมูลที่อยู่ในระหว่างการติดต่อสื่อสาร หรือการส่งผ่านข้อมูลจากบุคคลหนึ่งไปยังระบบคอมพิวเตอร์อีก ระบบหนึ่ง เช่น การใช้สนิฟเฟอร์ (sniffer) แอบดักข้อมูลที่ส่งผ่านระหว่างเครือข่าย ทำให้ทราบรหัสผ่านของบุคคลซึ่งส่งหรือโอนข้อมูลผ่านระบบเครือข่าย หรือแอบดัก packet ซึ่งเป็นชุดของข้อมูลที่เล็กที่สุดที่อยู่ระหว่าง การส่งไปให้ผู้รับ data/coding ก้อนข้อมูล

10 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๙ ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ห้ามพนักงานทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วนของข้อมูลคอมพิวเตอร์ที่ตนไม่ได้รับสิทธิในการเข้าถึง

11 แอบเจาะระบบแก้ไขวงเงินการใช้โทรศัพท์

12 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๐ ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้ ห้ามพนักงานทำให้ระบบคอมพิวเตอร์ขององค์กร หรือของผู้อื่น ถูกระงับ ชะลอ ขัดขวาง หรือรบกวนจนไม่สามารถทำงานตามปกติได้

13 การโจมตี (Cyber Attack)
Agents Client coordinates attack Victim bandwidth is quickly eliminated Victim Network Agents Handler ISP Client Attack Goal: Saturate the bandwidth of an internet connection. Step-by-step Attack: Attacker instructs handlers to attack a particular IP address. Handlers instruct Agents to launch the actual attack. Attack Results: Victim network is saturated with spurious data preventing legitimate transactions from occurring. Agent (25) Internet Distribution Network A Handler Distribution Network B Agent (25) ISP Handler

14 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๑ ผู้ใดส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์แก่บุคคลอื่นโดยปกปิด หรือปลอมแปลงแหล่งที่มาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่นโดยปกติสุข ห้ามพนักงานส่งจดหมายอิเล็กทรอนิกส์ที่มีลักษณะเป็นจดหมายขยะอันไม่พึงประสงค์ต่อผู้รับ ห้ามพนักงานส่งจดหมายอิเล็กทรอนิกส์ที่มีลักษณะเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอื่น ห้ามพนักงานปลอมหรือปกปิดชื่อที่อยู่จดหมายอิเล็กทรอนิกส์ของตน เมื่อทำการส่งจดหมายไปยังผู้รับหนึ่ง

15

16 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๒ (๒) เป็นการกระทำโดยประการที่น่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ หรือเป็นการกระทำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ที่มีไว้เพื่อประโยชน์สาธารณะ ห้ามพนักงานก่อให้เกิดความเสียหายต่อข้อมูลคอมพิวเตอร์ หรือระบบคอมพิวเตอร์ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยของประเทศ ความปลอดภัยสาธารณะ ความมั่นคงในทางเศรษฐกิจของประเทศ หรือการบริการสาธารณะ เจตนาเพื่อให้คลอบคลุมถึงการกระทำที่ทำให้ส่งผลกระทบในวงกว้าง เช่นเจาะระบบการประปา การไฟฟ้า ทำให้ใช้สาธารณูปโภคไม่ได้ เป็นต้น การดูหมิ่นชาติ กษัตริย์ ศาสนา

17 การเผยแพร่ข้อมูลคอมพิวเตอร์ที่กระทบต่อความมั่นคง

18 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๓ ผู้ใดจำหน่ายหรือเผยแพร่ชุดคำสั่งที่จัดทำขึ้นโดยเฉพาะเพื่อนำไปใช้เป็นเครื่องมือ ในการกระทำความผิดตามมาตรา ๕ มาตรา ๖ มาตรา ๗ มาตรา ๘ มาตรา ๙ มาตรา ๑๐ หรือ มาตรา ๑๑ ห้ามพนักงานเผยแพร่ จำหน่าย แจกจ่ายเครื่องมือหรือชุดคำสั่งคอมพิวเตอร์เพื่อใช้ในการเจาะระบบ (Hack tools) รหัสผ่านคอมพิวเตอร์ หรือรหัสในการเข้าถึง เพื่อช่วยให้สามารถเข้าถึงระบบหรือข้อมูลคอมพิวเตอร์โดยมิชอบ

19 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๔ (๑) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ปลอมไม่ว่าทั้งหมดหรือบางส่วน หรือข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายแก่ผู้อื่นหรือประชาชน (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ปลอม ห้ามพนักงานปลอมแปลงข้อมูลคอมพิวเตอร์อันจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชน ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ปลอมอันจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชนเข้าสู่ระบบคอมพิวเตอร์ ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ปลอมนั้นไปยังผู้อื่น

20 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๔ (๒) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยประการที่น่าจะเกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์เท็จ ห้ามพนักงานสร้างข้อมูลคอมพิวเตอร์เท็จอันจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน ห้ามพนักงานนำข้อมูลคอมพิวเตอร์เท็จดังกล่าวเข้าสู่ระบบคอมพิวเตอร์ ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์เท็จนั้นไปยังผู้อื่น

21 ปรับเวลาเร็วขึ้น 30 นาที Forward mail 11 สิงหาคม 2550
21

22 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๔ (๓) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ที่ถือเป็นความผิดดังกล่าว ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบคอมพิวเตอร์ โดยข้อมูลนั้นถือเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่ถือเป็นความผิดดังกล่าวนั้นไปยังผู้อื่น

23 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๔ (๔) นำเข้าสู่ระบบคอมพิวเตอร์ซึ่งข้อมูลคอมพิวเตอร์ใด ๆ ที่มีลักษณะอันลามกและข้อมูลคอมพิวเตอร์นั้นประชาชนทั่วไปอาจเข้าถึงได้ (๕) เผยแพร่หรือส่งต่อซึ่งข้อมูลคอมพิวเตอร์ที่มีลักษณะอันลามก ห้ามพนักงานนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบคอมพิวเตอร์ ที่มีลักษณะเป็นการลามกและข้อมูลคอมพิวเตอร์นั้นพนักงานอื่นหรือประชาชนทั่วไปอาจเข้าถึงได้ ห้ามพนักงานเผยแพร่หรือส่งต่อข้อมูลคอมพิวเตอร์ที่มีลักษณะเป็นการลามกไปยังผู้อื่น

24 24

25 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๕ ผู้ให้บริการผู้ใดจงใจสนับสนุนหรือยินยอมให้มีการกระทำความผิดตามมาตรา ๑๔ ในระบบคอมพิวเตอร์ที่อยู่ในความควบคุมของตน ห้ามพนักงานสนับสนุนหรือยินยอมการนำข้อมูลคอมพิวเตอร์ใดๆ เข้าสู่ระบบคอมพิวเตอร์ขององค์กรโดย ข้อมูลนั้นจะก่อให้เกิดความเสียหายต่อผู้อื่นหรือประชาชน ข้อมูลนั้นจะก่อให้เกิดความเสียหายต่อความมั่นคงของประเทศหรือก่อให้เกิดความตื่นตระหนกแก่ประชาชน ข้อมูลนั้นถือเป็นความผิดเกี่ยวกับความมั่นคงแห่งราชอาณาจักรหรือความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา หรือ ข้อมูลนั้นเป็นข้อมูลลามกซึ่งพนักงานอื่นหรือประชาชนทั่วไปอาจเข้าถึงได้

26 นโยบายควบคุมการเข้าถึงระบบงานและป้องกันการใช้ผิดวัตถุประสงค์
มาตรา ๑๖ ผู้ใดนำเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปอาจเข้าถึงได้ซึ่งข้อมูลคอมพิวเตอร์ที่ปรากฏเป็นภาพของผู้อื่น และภาพนั้นเป็นภาพที่เกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ทั้งนี้ โดยประการที่น่าจะทำให้ผู้อื่นนั้นเสียชื่อเสียง ถูกดูหมิ่น ถูกเกลียดชัง หรือได้รับความอับอาย ห้ามพนักงานสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงข้อมูลคอมพิวเตอร์ภาพของผู้อื่นด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ที่จะทำให้ผู้อื่นนั้นเกิดความเสียหายได้ ห้ามพนักงานจัดเก็บข้อมูลคอมพิวเตอร์ภาพของผู้อื่นดังกล่าว

27 นโยบายการจัดเก็บข้อมูลจราจรคอมพิวเตอร์

28 ตัวอย่างนโยบายการจัดเก็บข้อมูลล็อก
จัดทำบัญชีรายชื่อระบบงานที่ต้องมีการจัดเก็บและสำรองข้อมูลล็อก เช่น เครื่องเซิร์ฟเวอร์ FTP (FTP.log), Mail (SMTP.log), Firewall/Proxy/Gateway (เช่น FW.log), Web (Access.log), RADIUS (RADIUS.log) หรือ TACACS+ (TACACS.log) หรือ อย่างน้อยเป็นระยะเวลา 90 วัน จัดหาเซิร์ฟเวอร์กลางและสื่อบันทึกข้อมูลที่มีเสถียรภาพสูง เพื่อใช้ในการจัดเก็บข้อมูลล็อกตามบัญชีรายชื่อดังกล่าว จัดให้มีการเก็บข้อมูลล็อกตามบัญชีรายชื่อดังกล่าวไว้ในเซิร์ฟเวอร์กลางที่องค์กรได้จัดเตรียมไว้ จำกัดการเข้าถึงข้อมูลล็อกดังกล่าวในเซิร์ฟเวอร์กลางโดยกำหนดให้เฉพาะผู้ประสานงานที่องค์กรแต่งตั้งขึ้นมา ผู้ตรวจสอบสารสนเทศ หรือผู้ที่ได้รับมอบหมายเท่านั้นที่สามารถเข้าถึงเข้าถึงได้

29 ตัวอย่างนโยบายการจัดเก็บข้อมูลล็อก
จัดให้มีการเก็บและสำรองข้อมูลล็อกตามบัญชีรายชื่อดังกล่าวอย่างน้อยเป็นระยะเวลา 180 วัน จัดทำแผนการสำรองข้อมูลล็อกสำหรับระบบงานตามบัญชีรายชื่อดังกล่าวโดยจะต้องระบุชื่อข้อมูลที่จะทำการสำรอง ความถี่ในการสำรอง และผู้รับผิดชอบในการสำรอง ใช้สื่อบันทึกข้อมูลสำหรับการสำรองข้อมูลล็อกที่มีความเชื่อถือได้สูง ตรวจสอบผลการสำรองข้อมูลล็อกตามกำหนดการการสำรองเพื่อดูว่าข้อมูลได้รับการสำรองอย่างครบถ้วนหรือไม่ ทดสอบการเข้าถึงข้อมูลที่ได้สำรองเก็บไว้อย่างสม่ำเสมอเพื่อตรวจสอบว่าข้อมูลยังคงเข้าถึงได้ตามปกติ