แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ...
TRANSCRIPT
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ ส านกงานบรหารหนสาธารณะ กระทรวงการคลง
ปงบประมาณ พ.ศ. ๒๕๕8
ศนยเทคโนโลยสารสนเทศ ส านกงานบรหารหนสาธารณะ
เมษายน ๒๕๕8
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑
หมวด ๑ แนวปฏบตในการเขาถงและการควบคมการใชงานสารสนเทศ
ขอ ๑ ผรบผดชอบระบบสารสนเทศของส านกงานบรหารหนสาธารณะ (สบน.) ตองมหนาทบรหารจดการควบคมการเขาถงระบบสารสนเทศ ดงน
๑.1 ผดแลระบบจะอนญาตใหผใชงานเขาถงระบบสารสนเทศไดกตอเมอไดรบอนญาตจากผดแลระบบ หรอผรบผดชอบระบบงานตามหนาทการปฏบตงานเทานน
1.2 ผดแลระบบมหนาทในการตรวจสอบการอนมตและก าหนดสทธในการผานเขาสระบบ กลาวคอในการขออนญาตเขาใชงานระบบงานนน ผใชจะตองท าบนทกและกรอกเอกสารท สบน.ก าหนดเพอขอเขาใชงานระบบ และก าหนดใหมการลงนามอนมตเอกสารดงกลาวโดยผบงคบบญชาหรอผรบมอบอ านาจจากผบงคบบญชาเพอการจดเกบไวเปนหลกฐาน จากนน ผดแลระบบจะสรางบญชส าหรบการเขาถงโดยอนญาตเฉพาะในสวนทจ าเปนโดยค านงถงประเภทขอมลและชนความลบเปนหลก
1.๓ ผดแลระบบตองก าหนดไมใหผใชงานเขาสระบบได หากผใชงานใสรหสผานเพอเขาใชงานผด ๓ ครง ระบบจะยกเลกสทธการใชงาน (Block) ไมใหผใชงานสามารถใชงานไดจนกวาผใชงาน จะยนเรองพรอมหลกฐานแสดงตอเจาหนาทดแลระบบ เพอขอรหสใหมอกครง
1.๔ ผดแลระบบตองก าหนดใหการเขาใชระบบดวยการเขาสระบบ (Log-in) เพอเขาใชงานใดๆ โดยจะตองมการตรวจจบการเปดระบบงานไว เมอไมมการใชงานตองท าการออกจากระบบ (Log-out) หรอใหใชงานระบบ Log-out อตโนมตตามระยะเวลาทเหมาะสม
1.5 ผรบดแลระบบตองอนญาตใหผใชงานเขาถงโปรแกรมประยกตหรอแอพพลเคชนและระบบสารสนเทศในสวนทจ าเปนตามหนาทการปฏบตงานเทานน เนองจากการใหสทธเกนความจ าเปนในการใชงานจะน าไปสความเสยงในการใชงานเกนอ านาจหนาท ดงนน การก าหนดสทธในการเขาถงระบบงานตองก าหนดตามความจ าเปนขนต าเทานน
1.๖ ก าหนดระยะเวลาการเขาถงระบบสารสนเทศของ สบน. ดงน (๑) ระบบงานบรการ e-Service (Front Office) ส าหรบผใชงานภายนอก สบน.
สามารถใชงานไดตลอด ๒๔ ชวโมง (2) ระบบงานภายใน สบน. (Back office) ส าหรบผใชงานภายใน สบน.
สามารถใชงานไดตงแตเวลา 0๘.๓0 - ๒0.00 น.
ขอ ๒ ผรบผดชอบระบบสารสนเทศของ สบน. ตองมหนาทบรหารจดการรกษาความปลอดภยทางกายภาพ (physical security management) ดงน
2.๑ ก าหนดระดบความส าคญของพนท หรอจ าแนกพนทการใชงานกบพนทการควบคม 2.๒ ด าเนนการทดสอบระบบควบคมการเขาถงพนททางกายภาพเพอตรวจสอบยง
ใชงานไดตามปกตหรอไม 2.๓ ผปฏบตงานควรปดประตและหนาตางใหสนทอยเสมอ
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒
ขอ 3 ผรบผดชอบระบบสารสนเทศของ สบน. ตองมหนาทบรหารจดการควบคมพนท การเขา-ออกพนทการควบคม เชน หองปฏบตการคอมพวเตอร ดงน
3.๑ มการบนทกวนและเวลาการเขา-ออกพนทการควบคมของผมาเยอน (Visitor) 3.๒ ดแลผมาเยอนในพนทหรอบรเวณทมการควบคมจนกระทงเสรจสนภารกจ และ
กลบไปเพอปองกนการสญหายของทรพยสนหรอปองกนการเขาถงทางกายภาพโดยไมไดรบอนญาต ๓.3 จดใหมกลไกการอนญาตการเขาถงพนทหรอบรเวณทมความส าคญของ สบน.
โดยบคคลภายนอกและควรมเหตผลทเพยงพอในการเขาถงบรเวณดงกลาว 3.๔ จดสอประชาสมพนธเพอสรางความตระหนกใหผทมาเยอนจากภายนอกเขาใจ
ในกฎเกณฑหรอขอก าหนดตางๆ ทตองปฏบตระหวางทอยในพนทหรอบรเวณทมความส าคญ 3.๕ มการควบคมการเขาถงพนททมขอมลส าคญจดเกบหรอประมวลผลอย 3.๖ ไมอนญาตใหผไมมกจเขาไปในพนทหรอบรเวณทมความส าคญ เวนแตไดรบ
การอนญาต 3.๗ มการพสจนตวตน เชน การแสดงบตรผาน การใชบตรแถบแมเหลก การสแกน
ลายนวมอ เปนตน เพอควบคมการเขา-ออกในพนทหรอบรเวณทมความส าคญ โดยเฉพาะหองปฏบตการคอมพวเตอร
3.๘ จดเกบบนทกการเขา-ออกส าหรบพนทหรอบรเวณทมความส าคญโดยเฉพาะ หองปฏบตการคอมพวเตอร เพอใชในการตรวจสอบในภายหลงเมอมความจ าเปน
3.๙ บคคลภายนอก เชน เจาหนาทบรษท นกศกษาฝกงานหรอผไดรบการวาจางอนๆ ตองตดบตรใหเหนเดนชดตลอดระยะเวลาการท างาน
3.๑๐ ผมาเยอนตองตดบตรใหเหนเดนชดตลอดระยะเวลาทอยภายใน สบน. 3.๑๑ ควรจดใหมการดแลและเฝาระวงการปฏบตงานของบคคลภายนอกในขณะท
ปฏบตงานในพนทหรอบรเวณทมความส าคญ 3.๑๒ จดใหมการทบทวน หรอยกเลกสทธการเขาถงพนทหรอบรเวณทมความส าคญ
อยางสม าเสมอ
ขอ ๔ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดการจดวางและการปองกนเครองคอมพวเตอรและอปกรณตอพวง (Hardware) ดงน
4.๑ จดวางอปกรณในพนทหรอบรเวณทเหมาะสม เพอหลกเลยงการเขาถงของบคคลภายนอก
4.๒ ระบบงานทมความส าคญใหแยกเกบไวอกพนทหนง ทมความมนคงปลอดภยเพยงพอ
4.๓ ไมใหมการน าอาหาร เครองดม หรอสบบหรภายในบรเวณหองปฏบตการคอมพวเตอร
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓
4.๔ ด าเนนการตรวจสอบ สอดสอง และดแลสภาพแวดลอมภายในบรเวณหรอพนททมระบบเทคโนโลยสารสนเทศอยภายในเพอปองกนความเสยหายตออปกรณทอยในบรเวณดงกลาว เชน การตรวจสอบระดบอณหภม ความชน ใหอยในระดบปกตอยเสมอ
ขอ ๕ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดใหมระบบปองกนและสนบสนนการท างาน ดงน
5.๑ มระบบสนบสนนการท างานของระบบเทคโนโลยสารสนเทศทเพยงพอตอความตองการใชงาน โดยใหมอยางนอย ดงน
(๑) ระบบส ารองกระแสไฟฟา (UPS) (2) ระบบระบายอากาศ (3) ระบบปรบอากาศ และควบคมความชน
5.๒ ใหมการตรวจสอบหรอทดสอบระบบสนบสนนอยางสม าเสมอเพอใหมนใจไดวาระบบท างานตามปกต และลดความเสยงจากการลมเหลวในการท างานของระบบ
5.๓ ตดตงระบบแจงเตอน เพอแจงเตอนกรณทระบบสนบสนนการท างานภายใน หองปฏบตการคอมพวเตอรท างานผดปกตหรอหยดการท างาน
ขอ ๖ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดและควบคมการเดนสายไฟ สายสญญาณการสอสาร และสายเคเบลอนๆ ดงน
6.๑ เครอขายภายใน สบน. ในลกษณะทตองวางผานเขาไปในบรเวณทมบคคลภายนอกเขาถงไดนน ตองใหมการรอยทอสายสญญาณตางๆ เพอปองกนการดกจบสญญาณ การตดสายสญญาณเพอท าใหเกดความเสยหายและปองกนสตวตางๆ กดสาย เชน หน แมลงสาบ เปนตน
6.๒ ใหเดนสายสญญาณสอสารและสายไฟฟาแยกออกจากกนเพอปองกนการแทรกแซงรบกวนของสญญาณซงกนและกน
6.๓ จดท าแผนผงสายสญญาณสอสารตางๆ ใหครบถวนและถกตอง 6.๔ ต Rack ทมสายสญญาณสอสารตางๆ ปดใสสลกใหสนท เพอปองกนการเขาถงของ
บคคลภายนอก
ขอ ๗ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดการบ ารงรกษาอปกรณ ดงน 7.๑ ก าหนดการบ ารงรกษาอปกรณตามรอบระยะเวลาทก าหนด 7.๒ ปฏบตตามค าแนะน าในการบ ารงรกษาตามทผผลตแนะน า 7.๓ จดเกบบนทกกจกรรมการบ ารงรกษาอปกรณส าหรบการใหบรการทกครง เพอใช
ในการตรวจสอบหรอประเมนในภายหลง
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๔
7.๔ จดเกบบนทกปญหาและขอบกพรองของอปกรณทพบ เพอใชในการประเมนและปรบปรงอปกรณดงกลาว
7.๕ ควบคมและสอดสองดแลการปฏบตงานของบรษทผรบจางเหมาบ ารงรกษาระบบคอมพวเตอรทมาท าการบ ารงรกษาอปกรณภายใน สบน.
7.๖ จดใหมการอนมตสทธการเขาถงอปกรณทมขอมลส าคญของผรบจางทมาท าการบ ารง รกษาอปกรณ เพอปองกนการเขาถงขอมลโดยไมไดรบอนญาต
ขอ ๘ ผรบผดชอบระบบสารสนเทศของ สบน. ตองควบคมการน าเครองคอมพวเตอรและอปกรณตอพวงอนๆ ออกจาก สบน. ดงน
8.๑ ใหมการขออนญาตกอนน าเครองคอมพวเตอรและอปกรณตอพวงอนๆ ออกจาก สบน.
8.๒ บนทกขอมลการน าเครองคอมพวเตอรและอปกรณตอพวงอนๆ ออกจาก สบน. เพอเอาไวเปนหลกฐานปองกนการสญหาย รวมทงบนทกขอมลเพมเตมเมอน าสงคน
ขอ ๙ ผรบผดชอบระบบสารสนเทศของ สบน. ตองบรหารจดการควบคมอปกรณทใชงานอยภายนอก สบน. ดงน
9.๑ ก าหนดมาตรการความปลอดภยเพอปองกนความเสยงจากการน าเครองคอมพวเตอรและอปกรณตอพวงอนๆ ของ สบน. ออกไปใชงานนอกสถานท ดงน
9.๒ หามผใชงานละทงเครองคอมพวเตอรและอปกรณตอพวงอนๆ ของ สบน. ไวโดยล าพงในทสาธารณะ
9.๓ ใหผใชงานรบผดชอบดแลเครองคอมพวเตอรและอปกรณตอพวงอนๆ ของ สบน.เสมอนเปนทรพยสนของตนเอง
ขอ ๑o ผรบผดชอบระบบสารสนเทศของ สบน. ตองควบคมการจ าหนายอปกรณจดเกบขอมลหรอการน าสอบนทกขอมลกลบมาใชงานอกครง ดงน
10.๑ ใหท าลายขอมลส าคญในสอบนทกขอมลกอนทจะแทงจ าหนายอปกรณดงกลาว ใหปฏบตตามแนวทางการท าลายขอมลบนสอบนทกขอมล ในหมวด ๓ แนวปฏบตในการบรหารจดการ การเขาถงขอมลตามระดบชนความลบ ขอ ๑ (๑๒)
10.๒ มมาตรการหรอเทคนคในการลบหรอเขยนขอมลทบบนขอมลทมความส าคญในอปกรณจดเกบขอมลกอนทจะอนญาตใหผอนน าอปกรณนนไปใชงานตอ เพอปองกนไมใหมการเขาถงขอมลส าคญนนได
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๕
หมวด ๒ แนวปฏบตในการบรหารจดการสทธการเขาถงของผรบผดชอบระบบ
ขอ ๑ ผรบผดชอบระบบสารสนเทศของ สบน. ตองบรหารจดการสทธการเขาถงของผใชงาน ดงน
1.๑ การลงทะเบยนบคลากรหรอผปฏบตงานใหม ตองปฏบตตามขนตอนลงทะเบยนท สบน. ก าหนดขน เพอใหมสทธในการใชงานระบบสารสนเทศ ตามความจ าเปนรวมทงปฏบตตามขนตอนปฏบตส าหรบการยกเลกสทธการใชงาน เชน เมอลาออกหรอเมอเปลยนต าแหนงงานภายใน สบน. เปนตน
1.๒ ก าหนดสทธการใชระบบเทคโนโลยสารสนเทศทส าคญ เชน ระบบสารสนเทศ ทใหบรการประชาชนภายนอก ระบบรบ-สงจดหมายอเลกทรอนกส (E-mail) ระบบอนเทอรเนต (Internet) เครอขายไรสาย (Wireless LAN) เปนตน โดยตองใหสทธเฉพาะการปฏบตงานในหนาท และตองไดรบความ เหนชอบจากผบงคบบญชาเปนลายลกษณอกษร รวมทงตองทบทวนสทธดงกลาวอยางสม าเสมอ
1.๓ กรณมความจ าเปนตองใหสทธพเศษกบผใช หมายถง ผใชทมสทธสงสด ตองมการพจารณาการควบคมผใชทมสทธพเศษนนอยางรดกมเพยงพอโดยใชปจจยตอไปนประกอบการพจารณาเพอขอความเหนชอบและอนมตจากผบงคบบญชา
(๑) ควบคมการใชงานอยางเขมงวด โดยเฉพาะระบบสารสนเทศหรอโปรแกรมประยกต (Application) ทมความเสยงและมความส าคญสง
(๒) ก าหนดระยะเวลาการใชงานและระงบการใชงานทนทเมอพนระยะเวลาดงกลาว (๓) มการเปลยนรหสผาน (Password) อยางเครงครดทกครง เชน หลงหมด
ความจ าเปนในการใชงาน หรอ ในกรณทมความจ าเปนตองใชงานเปนระยะเวลานานกควรเปลยนรหสผาน ทก ๓ เดอน เปนตน
ขอ ๒ ผรบผดชอบระบบสารสนเทศของ สบน. ตองบรหารจดการบญชรายชอผใชงาน (User Account) และรหสผาน (Password) ของผใชงาน ดงน
2.๑ ก าหนดบญชชอผใชงานแยกกนเปนรายบคคล กลาวคอ ไมก าหนดบญชชอผใชงานทซ าซอนกน
2.๒ ไมอนญาตใหผรองขอใชระบบงานเขาใชระบบจนกวาจะไดรบอนมตแลวเทานน 2.๓ จดเกบขอมลการลงทะเบยนขอเขาใชงานระบบ เพอใชอางองหรอตรวจสอบ
ขอมลในภายหลง 2.๔ ทบทวนบญชผใชงานทงหมดอยางสม าเสมออยางนอยปละ ๑ ครง เพอปองกน
การเขาถงระบบโดยไมไดรบอนญาต โดยปฏบตตามแนวทาง ดงน (๑) พมพรายชอของผทยงมสทธในระบบแยกตามหนวยงานภายในของ สบน. (๒) จดสงรายชอนนใหกบผบงคบบญชาของหนวยงานภายใน สบน. เพอด าเนนการ
ทบทวนวามรายชอทตดออกไปแลว หรอมการเปลยนแปลงแตยงไมไดมการแกไขสทธการเขาถงใหถกตอง
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๖
(๓) ผบงคบบญชาของหนวยงานภายใน สบน. แจงกลบวามรายชอใดทตองด าเนนการแกไขใหถกตอง
(๔) ด าเนนการแกไขขอมลสทธใหถกตองตามทไดรบแจง
ขอ ๓ ผรบผดชอบระบบสารสนเทศของ สบน. ตองมการพสจนตวตนเพอเขาใชระบบงานส าคญ โดยผใชระบบทกคนเมอจะเขาใชงานตองผานการพสจนตวตนจากระบบ โดยมแนวทางปฏบต ดงน
3.๑ การแสดงตวตนดวยชอบญชผใชงาน (User Account) 3.๒ การพสจนยนยนตวตนดวยการใชรหสผาน (Password) 3.๓ การเขาสระบบงานส าคญของ สบน. ผานเครอขายอนเทอรเนตนน จะมการ
ตรวจสอบผใชงานดวย 3.๔ การเขาสระบบงานส าคญของ สบน. จากระยะไกล (Remote Access) จะมการ
ตรวจสอบเพอเพมความปลอดภยและเพอพสจนตวตนของผใชงาน เชน รหสผาน หรอวธการเขารหส เปนตน 3.๕ ในการใชงานระบบสารสนเทศ เมอมการวางเวนจากการใชงาน เกนเวลา 5
นาท ระบบจะท าการยกเลกการใชงานและการเชอมตอเขาสระบบโดยอตโนมต
ขอ ๔ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดวธการใชรหสผานใหมความมนคงปลอดภย ดงน
4.1 การบรหารจดการรหสผาน มมาตรการและการควบคม ดงน (1) ก าหนดใหตองเปลยนรหสผานทก 6 เดอน (๒) ก าหนดใหรหสผานตองมมากกวาหรอเทากบ ๖ ตวอกษร โดยมการผสมกน
ระหวางตวอกษรทเปนตวพมพปกต ตวเลข และสญลกษณเขาดวยกน (๓) กรณผใชงานเปลยนหนาทความรบผดชอบหรอลาออก จะตองเปลยนหรอ
ถอดถอนสทธนนทนทเมอไดรบแจง (๔) ก าหนดใหการเขาใชงานระบบครงแรกมการโตตอบดวยการยนยนตวตน
และเปลยนรหสผานเพอเพมความปลอดภย 4.2 การใชรหสผาน มมาตรการใหผใชงานตองใชดวยความระมดระวง ดงน
(๑) ไมใชรหสผานสวนบคคลส าหรบการใชแฟมขอมลรวมกบบคคลอนผานเครอขายคอมพวเตอร
(๒) ไมใชโปรแกรมส านกงานคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต (Save Password)
(๓) ไมจดหรอบนทกรหสผานสวนบคคลไวในสถานทงายตอการสงเกตเหนของบคคลอน
(๔) ก าหนดรหสผานใหยากตอการคาดเดา
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๗
(๕) กรณทมความจ าเปนตองบอกรหสผานแกผอน เนองจากความจ าเปนในการปฏบตงาน หลงจากด าเนนการเรยบรอย ใหท าการเปลยนรหสผานโดยทนท
(๖) กรณผใชงานลาออกหรอเปลยนหนาทความรบผดชอบ ตองแจงให ศนยเทคโนโลยสารสนเทศ (ศทส.) ทราบทนท
ขอ ๕ การใชรหสผานใหปลอดภย มมาตรการในการปฏบต ดงน 5.๑ แสดงกระบวนการมอบอ านาจหรอก าหนดสทธการใชงานใหแกผใชงาน 5.๒ มการก าหนดสทธการเขาถงตามความจ าเปน 5.๓ มการบนทกและจดเกบขอมลการมอบหมายสทธใหแกผใชงาน 5.๔ มวธเลอกการใชรหสผานและการใชงานรหสผานทมคณภาพ
หมวด ๓
แนวปฏบตในการบรหารจดการการเขาถงขอมลตามระดบชนความลบ ขอ ๑ ผบงคบบญชาหนวยงานภายใน สบน. ตองจดใหมวธการก าหนดประเภทขอมลและ
จดการการเขาถงขอมลตามระดบชนความลบ ซงเบองตนใชแนวทางตาม พ.ร.บ.ขอมลขาวสารของทางราชการ พ.ศ. ๒๕๔๐ และระเบยบทเกยวของในการก าหนดชนความลบของขอมล จงก าหนดใหมแนวทางปฏบต ดงน
๑.1 ผใชงานตองแบงประเภทของขอมลและชนความลบของขอมลตามท ศทส. ไดก าหนดชนความลบของขอมลเปน ๔ ระดบ ดงน
- ชนความลบ (Top secret/Secret/Confidential) - ใชภายในเทานน (Internal use) - สวนบคคล (Personal) - เปดเผยได (Public)
1.๒ ผใชงานตองพจารณาองคประกอบตอไปนเพอเปนแนวทางก าหนดชนความลบของขอมล
(1) ความส าคญของเนอหา เชน เนอหาของขอมลนนมความส าคญตอความส าเรจของงานตามภารกจของ สบน. มากนอยเพยงใด หากมความส าคญสง ขอมลนนจะสามารถจดอยในชนความลบประเภทใชภายในเทานน หรอลบ เปนตน
(2) แหลงทมาของขอมล เชน หากขอมลนนมาจากภายนอกและเปนขอมลลบ ชนความลบจะตองคงไวเชนเดม หรอหากขอมลนนมาจากอนเทอรเนต ชนความลบจะเปนประเภทเปดเผยได เปนตน
(3) วธการน าไปใชประโยชน เชน หากขอมลนนสามารถน าไปใชประโยชนในเชงพาณชยได หากถกเปดเผยจะสงผลกระทบดานการเงนของ สบน. ดงนนขอมลนจะอยในประเภทชนความลบ เปนตน
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๘
(4) จ านวนบคคลทควรรบทราบ เชน หากขอมลนนสามารถเปดเผยตอผใชงานขอมลเปนจ านวนมาก ชนความลบจะเปนขอมลเปดเผยได เปนตน
(5) ผลกระทบหากมการเปดเผย เชน หากขอมลนนถกเปดเผย จะมผลกระทบดานชอเสยงและภาพลกษณ ดานการเงน ดานการปฏบตตามกฎระเบยบขอบงคบทองคกรตองปฏบตตาม หรอดานการมสวนไดสวนเสยของผทเกยวของ ดงนน ขอมลสามารถจดอยในชนความลบประเภทใชภายใน หรอลบ เปนตน
(6) หนวยงานของรฐทรบผดชอบในฐานะเจาของเรอง เชน ขอมลส าคญหรอขอมลลบทมาจากเจาของเรองใดจะตองคงชนความลบไวเชนเดม การน าไปใชงานควรขออนญาตจากผทเปนเจาของเรองกอน เปนตน
(7) ส าหรบขอมลในชนความลบ “ลบ” ไดแก ลบ ลบมาก หรอลบทสด โดยเจาของขอมลตองพจารณาเกณฑตอไปนเพมเตมเพอก าหนดชนความลบทถกตอง
- ลบทสด หมายความถง ขอมลลบซงหากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐหรอหนวยงานอยางรายแรงทสด
- ลบมาก หมายความถง ขอมลลบซงหากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐหรอหนวยงานอยางรายแรง
- ลบ หมายความถง ขอมลลบซงหากเปดเผยทงหมดหรอเพยงบางสวนจะกอใหเกดความเสยหายแกประโยชนแหงรฐหรอหนวยงาน
(8) การด าเนนการกบขอมลลบ (ถาม) เจาของขอมลลบตองด าเนนการจดท าทะเบยนขอมลลบทตนเองดแลหรอรบผดชอบ ซงมรายละเอยดประกอบดวย
- ชอของขอมล - ระดบชนความลบและระดบชนการเขาถง - ชอเจาของขอมลลบ - หนวยงานภายในทสามารถเขาถงได - หนวยงานภายนอกทอนญาตใหเขาถงได - สถานทจดเกบขอมล - ชองทางการเขาถง - ระยะเวลาการเกบรกษาขอมล - ระยะเวลาทไดเขาถง
(9) พจารณาปรบชนความลบ (ปรบลด เพม หรอยกเลกชนความลบ) ตามความจ าเปนปรบปรงทะเบยนขอมลลบใหถกตองและทนสมย และตองแจงใหหนวยงานทสามารถเขาถงขอมลหรอทไดรบการแจกจายทราบดวยทกครง เพอแกไขชนความลบใหถกตอง
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๙
(10) ในการจดท าหรอจดเตรยมขอมลลบใหผใชงาน ปฏบตดงน - จดท าหรอจดเตรยมขอมลในสถานทปลอดภย เชน จดท าภายใน สบน.
ไมจดท าในสถานทสาธารณะซงบคคลภายนอกสามารถเหนขอมลทจดท าได และจ ากดบคคลเฉพาะผทเกยวของในการเขาถงขอมล
- ในการจดท าขอมลลบซงใชกระดาษหรอวสดชวคราว เชน กระดาษราง กระดาษคารบอน ตองท าลายกระดาษหรอวสดนนทนททจดท าเสรจเรยบรอย ถาเปนการจดท าโดยใช เครองคอมพวเตอร จะตองท าการลบหรอท าลายสอบนทกขอมลจนไมสามารถน าไปใชประโยชนได (ดวธการท าลายใน ตารางแสดงแนวทางปฏบตในการท าลายขอมลบนสอบนทกขอมล) หากไมท าลาย ตองเกบรกษาไวในสถานททปลอดภย
- จดท าขอมลโดยแสดงเลขทหนาของจ านวนหนาทงหมดไวในทกหนาของ ขอมลลบ และแสดงไวในสวนทสามารถเหนไดชดเจน เชน มมขวาดานบนของเอกสาร (การบนทกเลขหนามจดประสงค เพอใหทราบวาขอมลลบนนเปนหนาใดของจ านวนทงหมด หากมการสญหายไปหนาใดหนาหนง จะไดทราบและสามารถตดตามหาผละเมดและหาทางลดหรอแกไขความเสยหายทเกดขนได)
(12) ในการแสดงชนความลบบนขอมลลบ ใหปฏบตดงน - แสดงชนความลบของขอมล (ซงประกอบดวย “ลบ” “ลบมาก” หรอ “ลบ
ทสด”) ใหปรากฏเหนอยางเดนชดทงขอมลทมสภาพเปนกระดาษ ไฟลอเลกทรอนกส เทป External Hard Disk, Flash Drive แผน CD/DVD หรอขอมลลบทอยในรปแบบอนๆ
- แสดงชนความลบบนเอกสารลบในทกหนาของเอกสารใหปรากฏเหนอยางเดนชด
(13) ในการท าส าเนาหรอแจกจายขอมลลบ ใหปฏบตดงน - ท าส าเนาหรอแจกจายขอมลลบใหแกผรบปลายทางซงเปนผทมสทธในการ
เขาถงขอมลตามทระบไวในทะเบยนขอมลลบ หรอสามารถแจกจายใหไดตามความจ าเปนในการเขาถงขอมลนน - แจงใหหนวยงานภายนอกทอนญาตใหเขาถงขอมลลบนนได วาไมอนญาต
ใหท าส าเนาเพมเตม เวนเสยแตไดรบอนญาตจากผมอ านาจลงนามอนญาตกอน (14) ในการเกบรกษาเอกสารลบ ใหปฏบตดงน
- จดเกบเอกสารลบไวในแฟมขอมลลบ และน าไปเกบไวในตเกบเอกสารลบ โดยแยกเกบเปนแตละเรองหรอแตละหวขอ
- ไมจดเกบเอกสารลบรวมกบเอกสารทอยในชนความลบอนๆ เชน ขอมลใชภายในเทานน ขอมลสวนบคคล หรอขอมลทเปดเผยได
- จดเกบแฟมขอมลลบไวในตและปดลอคดวยกญแจทแขงแรงและมนคง (15) ในการยมหรอขอเขาถงขอมลลบ ใหปฏบตดงน
- เมอมการขอยมหรอขอเขาถงขอมลลบโดยผอนทไมไดเปนผมสทธในการเขาถงขอมลตามทะเบยนขอมลลบ ใหหวหนาของสวนงานทรบผดชอบเปนผพจารณาตรวจสอบคณสมบตของ
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๐
ผยมหรอขอเขาถงกอนวาเปนผมอ านาจหนาททเกยวของหรอไม หรอมความจ าเปนในการเขาถงขอมลนนหรอไม พรอมทงตองท าบนทกหลกฐานการยมหรอการขอเขาถงขอมลนนดวย และแจงใหผยมหรอขอเขาถงทราบวาหามท าการส าเนาเพมเตม
- เมอหมดความจ าเปนในการใชงานแลว หวหนาของสวนงานทรบผดชอบก าหนดใหผขอยมจดสงขอมลนนกลบคนมาโดยทนท ส าหรบกรณการเขาถงระบบเทคโนโลยสารสนเทศ ใหท าการยกเลกบญชผใชงานทขอเขาถงขอมลลบโดยทนท
(๑6) ในการสงเอกสารลบทางจดหมายอเลกทรอนกส (E-Mail) ใหปฏบตตามระเบยบการสงเอกสารลบของ สบน. เพอตรวจสอบทอย E-Mail ของผรบปลายทางใหถกตองกอนจดสงไฟลขอมลนนไปยงผรบเพอปองกนการสงผดตวบคคล
(๑7) ในการท าลายขอมลลบ ใหปฏบตตามแนวทางการท าลายขอมลบนสอบนทกขอมลประเภทตางๆ
ตารางแสดงแนวทางปฏบตในการท าลายขอมลบนสอบนทกขอมล
ประเภทสอบนทกขอมล
วธการท าลายสอและขอมล
Flash Drive ใชวธการทบหรอบดใหเสยหาย สวนในกรณทตองการน ากลบมาใชใหมใหใชโปรแกรม Active@killdisk โดยโปรแกรมจะลบขอมลจนไมสามารถกคนมาไดดวยการเขยนทบ ตลอดจนทวอปกรณ
กระดาษ ใชการหนดวยเครองหนท าลายเอกสาร แผน CD/DVD ใชการหนดวยเครองหนท าลายเอกสาร เทป ใชวธการทบหรอบดใหเสยหาย หรอเผาท าลาย ฮารดดสก ใชวธการทบหรอบดใหเสยหาย สวนในกรณทตองการน ากลบมาใชใหมใหใชโปรแกรม Active@killdisk
โดยโปรแกรมจะลบขอมลจนไมสามารถกคนมาไดดวยการเขยนทบ ตลอดจนทวอปกรณ
(๑๓) ในการจดการกบไฟลขอมลลบ ใหปฏบตดงน - จดหมวดหมขอมลอเลกทรอนกส (E-File) ทเปนความลบ หรอทมระดบ
ความส าคญสงไวตางหาก และปองกนใหมความปลอดภยอยางพอเพยงตอการเขาถงและควรแสดงชนความลบ บนไฟลขอมลลบ เชน การท าสญลกษณลายน าและแสดงชนความลบกบทกหนาของไฟลดงกลาว
- การส าเนา E-File ทเปนความลบ หรอเอกสารทมระดบความส าคญสงตองไดรบอนญาตจากผเปนเจาของขอมล
- ระมดระวงการเผยแพร หรอแจกจาย E-File ทเปนความลบของ สบน. ไปยงกลมผรบ ตองเฉพาะกลมผรบทมความจ าเปนตองรบรเทานน
- ผเปนเจาของ E-File ตองตรวจสอบความถกตองของ E-File กอนน าไปใชงาน
- หามผเปนเจาของ E-File ทเปนความลบ หรอทมระดบความส าคญสง สงขอมลดงกลาวไปทางไปรษณย เวนแตจะไดใชวธเขารหสท สบน. ก าหนดไว
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๑
- ปองกนไฟลขอมลลบทจดเกบไวในเครองคอมพวเตอรทตนเองใชงานโดยการใชรหสผานทมความมนคงปลอดภยและไมบนทกหรอเกบรหสผานไวในระบบคอมพวเตอร
- หามแบงปน (Share) ไฟลขอมลลบบนเครอขายสาธารณะ (Internet) ของ สบน. เพออนญาตใหผอนเขาถงได (ไมวาบคคลผนนจะไดรบอนญาตใหเขาถงขอมลไดหรอไมกตาม เนองจากในระหวางทมการ Share ผอนอาจเขาถงไฟลขอมลลบนนได)
- ตรวจสอบการท างานของระบบปองกนไวรสในเครองคอมพวเตอรทใชในการจดเตรยมไฟลขอมลลบอยางสม าเสมอวามการท างานปองกนไวรสตามปกตหรอไม
- ตรวจสอบการท างานของเครองคอมพวเตอรทตนเองใชงานวามการตดตงโปรแกรมส านกงานเพอแกไขชองโหวของโปรแกรมในเครองตามปกตหรอไม
- ส ารองไฟลขอมลลบในเครองคอมพวเตอรทตนเองใชงานอยางสม าเสมอหรอตามความจ าเปน
- ตองท าลาย E-File บนหนวยความจ าหลก (Harddisk) ของ เครองคอมพวเตอรทถกยกเลกการใชงาน
หมวด ๔ แนวปฏบตทเกยวของกบหนาทและความรบผดชอบของผใชงาน
ขอ ๑ การใชเครองคอมพวเตอรภายใน สบน. ใหเจาหนาทปฏบตดงตอไปน ๑.1 หามใชเครองคอมพวเตอร จนกวาจะไดรบการอนมตใหใชงาน โดยใหกรอกขอมล
ขอใชงานเครองคอมพวเตอรตามแบบ ศทส.01 แบบฟอรมพนกงานใหม (ทายระเบยบน) 1.๒ การใชงานเครองคอมพวเตอรตองตรวจสอบการท างานของโปรแกรมปองกน
ไวรสและการปรบปรงฐานขอมลไวรส (Virus Definition) กอนใชงานทกครง หากพบวาโปรแกรมดงกลาวท างานผดปกตใหรบแจง ศทส. เพอด าเนนการแกไขโดยเรว
1.๓ เครองคอมพวเตอรทใชภายใน สบน. ใหตดตงโปรแกรมมาตรฐานตามทก าหนดไวทายระเบยบน หามเปลยนแปลงหรอตดตงโปรแกรมเพมเตม เวนแตจะไดรบความเหนชอบจากหวหนาหนวยงานภายใน สบน. เทานน
ความในวรรคหนง ไมใชบงคบแกการเปลยนแปลงหรอการตดตงโปรแกรมคอมพวเตอรเพมเตมเพอทดลองการใชงานซงด าเนนการโดย ศทส. หรอผทไดรบการวาจางใหมาจดท าหรอดแลระบบเทคโนโลยสารสนเทศของ สบน.
1.๔ หามตดตงโปรแกรมคอมพวเตอรอนใดเพมเตมในเครองคอมพวเตอรเพอไมใหบคคลภายนอกสามารถใชงานเครองคอมพวเตอร หรอระบบคอมพวเตอรของ สบน. ได
1.๕ หามตดตงโปรแกรมคอมพวเตอรเพมเตมนอกจากโปรแกรมตามมาตรฐานทก าหนดไวทายประกาศน
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๒
1.๖ หามตดตงโปรแกรมคอมพวเตอรทมลกษณะเปนการละเมดลขสทธในทรพยสนทางปญญาของบคคลอน
1.๗ หามเปลยนแปลงหรอแกไขซอฟทแวรทมลขสทธถกตองของ สบน. 1.๘ หามตดตงโปรแกรมคอมพวเตอรทสามารถใชในการตรวจสอบขอมลบนระบบ
เครอขายคอมพวเตอร 1.๙ ตองระมดระวงการใชงานและดแลเครองคอมพวเตอร รวมทงระบบเครอขาย
ตามทวญญชนทวไปจะพงปฏบต 1.๑๐ เอกสารหรอขอมลตางๆ ไมวาจะอยในรปแบบใดกตามทไดมการก าหนด
เงอนไขการใชงานไวตองใชงานดวยความระมดระวง และตองปฏบตตามเงอนไขอยางเคร งครด เพอปองกนมใหเกดการละเมดตามกฎหมาย
1.๑๑ ตองลบขอมลทไมจ าเปนตอการใชงานออกจากเครองคอมพวเตอรเพอประหยดปรมาณหนวยความจ าบนสอบนทกขอมล
1.๑๒ ตองออกจากระบบ (Log off) ทกครงทมไดปฏบตงานอยหนาคอมพวเตอร รวมทงปดเครองคอมพวเตอรเมอใชงานประจ าวนเสรจสน
1.๑๓ การตดตงโปรแกรมเพมเตมตองเปนโปรแกรมทมลขสทธและใชในการท างานซงตองไดรบอนญาตจากผมอ านาจ โดยผานการลงทะเบยนตามแบบ ศทส.02 แบบฟอรมลงโปรแกรมเพม (ทายระเบยบน)
1.๑๔ การน าเครองคอมพวเตอรสวนตวมาใชกบระบบเครอขายคอมพวเตอรของ สบน. ตองไดรบการตรวจสอบและอนญาตจาก ศทส. โดยผานการลงทะเบยนตามแบบ ศทส.03 แบบฟอรมเขาใชเครอขายบคคลภายใน และ แบบ ศทส.04 แบบฟอรมเขาใชเครอขายบคคลภายนอก (ทายระเบยบน)
ขอ ๒ การใชเครองคอมพวเตอรแบบพกพา (Notebook) ของ สบน. นอกจากตองปฏบตตามทก าหนดไวในขางตนแลว ใหเจาหนาทปฏบตดงตอไปน
2.๑ ตองตรวจสอบเครองคอมพวเตอรแบบพกพาทน าไปใชวาไดตดตงโปรแกรมคอมพวเตอรตามมาตรฐานทก าหนดไวทายระเบยบนแลวหรอไม หากพบวายงไมไดตดตงใหแจงผรบผดชอบระบบสารสนเทศของ สบน. เพอขอรบการตดตงกอนการใชงาน
2.๒ ตองระมดระวงไมใหบคคลภายนอกมองเหนหรอคดลอกขอมลจากเครองคอมพวเตอรแบบพกพาทน าไปใช เวนแตขอมลทไดมการเผยแพรเปนการทวไป
2.๓ เมอหมดความจ าเปนทตองใชงานเครองคอมพวเตอรแบบพกพาแลว ใหรบน าสงคนเจาหนาทผรบผดชอบทนท ทงนใหเจาหนาทผรบผดชอบในการรบคนตองตรวจสอบสภาพความพรอมในการใชงานของเครองคอมพวเตอรทรบคนไวดงกลาวดวย
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๓
ขอ ๓ ในกรณทเจาหนาทผรบผดชอบในการรบคนเครองคอมพวเตอรแบบพกพาตรวจพบความเสยหาย ใหแจงผบงคบบญชาทราบโดยเรว และหากปรากฏวาความเสยหายทเกดขนนนเกดจากความประมาทเลนเลออยางรายแรงของผน าไปใช ตองใหผน าไปใชรบผดชอบตอความเสยหายทเกดขนดงกลาว
ขอ ๔ การใชเครองคอมพวเตอรเพอประโยชนสวนตวของเจาหนาทใหใชไดภายในสถานทสบน. จดไวเปนการเฉพาะเทานน
ขอ ๕ การเขาถงระบบงานเทคโนโลยสารสนเทศ เจาหนาทใชงานตองปฏบตตามขอก าหนด ดงน 5.๑ กรอกแบบเพอขออนมตใชงานระบบงานและน าเสนอตอผบงคบบญชาเพอ
ขออนมต โดยผานการลงทะเบยนตามแบบ ศทส.01 แบบฟอรมพนกงานใหม (ทายระเบยบน) 5.๒ ตองไมเขาถงระบบงานอน ทไมไดรบอนญาตใหใชงาน 5.๓ ตองออกจากระบบงานโดยทนท เมอใชงานเสรจสน
ขอ ๖ การใชงานอนเทอรเนต ผใชงานตองปฏบตตามขอก าหนด ดงตอไปน 6.๑ หามเขาเวบไซตทอยในประเภทดงตอไปน
- การพนน - การประมล - วพากษวจารณทเกยวของกบชาต ศาสนา และพระมหากษตรย - ลามก อนาจาร - อนๆ ทเกยวของกบสงผดกฎหมาย หรอผดศลธรรม จรยธรรม
6.2 หามเลนเกมส หรอดาวนโหลดเกมส ภาพยนตร เพลง หรอสอลามกอนาจารผานทางอนเทอรเนต
6.3 หามใชอนเทอรเนตเพอเผยแพรหรอแจกจาย ดงตอไปน - สอสงพมพอเลกทรอนกสทเปนการละเมดลขสทธของผเปนเจาของ - ขอมลประเภทสอลามกอนาจาร - ขอมลทเปนความลบของ สบน. ไปยงบคคลทไมไดรบอนญาต - ขอมลสวนบคคลโดยไมไดรบอนญาต
6.4 หามใชงานขอมลทไดรบโดยผานทางอนเทอรเนตทมลกษณะเปนการละเมดลขสทธของผเปนเจาของขอมลนน
6.5 หามใชอนเทอรเนตเพอเขารวมกจกรรมทกอใหเกดความเสยหายตอภาพลกษณ หรอชอเสยงของ สบน.
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๔
ขอ ๗ การใชงานจดหมายอเลกทรอนกส (E-mail) ผใชงานตองปฏบตตามขอก าหนด ดงตอไปน
7.๑ ตองใชทอยจดหมายอเลกทรอนกส (E-mail Address) ตามท สบน. ก าหนดเทานน
7.๒ หามใช E-mail Address ท สบน. ก าหนดให ลงทะเบยนตามเวบไซตทไมเกยวของกบงานของ สบน.
7.๓ หามเขาถง E-mail ของบคคลอนโดยไมไดรบอนญาต 7.๔ หามปลอมแปลง รบหรอสง E-mail ของบคคลอนโดยไมไดรบอนญาต 7.๕ หามสง E-mail ทมลกษณะดงตอไปน
- จดหมายขยะ (Spam Mail) - จดหมายลกโซ (Chain Letter) - จดหมายทละเมดตอกฎหมายหรอสทธของบคคลอน - จดหมายทมไวรสไปใหกบบคคลอนโดยเจตนา
7.๖ หามสง E-mail ทมขนาดใหญเกนกวาทก าหนด 7.7 ตองระบชอเรอง (Subject) และชอผสงใน E-mail ทกฉบบทสงไป 7.๘ ตองใชความระมดระวงในการจ ากดกลมผรบ E-mail เทาทมความจ าเปนตอง
รบรเทานน 7.๙ ตองใชค าทสภาพในการสง E-mail 7.๑๐ ตองส ารองขอมล E-mail Address ตามความจ าเปนอยางสม าเสมอ
ขอ ๘ หามมใหเจาหนาทเขาใชงานระบบเทคโนโลยสารสนเทศของ สบน. กระท าการในลกษณะอยางใดอยางหนงดงตอไปน
8.๑ กระท าผดกฎหมายหรอกอใหเกดความเสยหายแกบคคลอนหรอขดตอความสงบเรยบรอยหรอศลธรรมอนดของประชาชน หรอละเมดทรพยสนทางปญญาของ สบน. และของบคคลอน
8.๒ เปดเผยขอมลทเปนความลบซงไดมาจากการปฏบตงาน ทงทเปนขอมลของ สบน. หรอบคคลภายนอก
8.๓ การเขาถงขอมลขาวสารของบคคลอนโดยไมไดรบอนญาต 8.๔ ขดขวางการใชงานเครอขายคอมพวเตอรของ สบน. หรอเจาหนาทคนอนของ สบน. 8.๕ แสดงความคดเหนสวนบคคลในเรองทเกยวของกบ สบน. ไปยงทอยเวบไซตใดๆ
ในลกษณะทกอใหเกดความเขาใจทคลาดเคลอนไปจากความเปนจรง และกอใหเกดความเสยหายแก สบน. 8.6 กระท าการอนใดทอาจขดตอการด าเนนงานตามอ านาจหนาทของ สบน. หรออาจ
กอใหเกดความขดแยงหรอความเสยหายแก สบน.
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๕
ขอ ๙ เอกสารทเปนความลบหรอมระดบความส าคญซงพมพออกมาจากเครองพมพ (Printer) เจาหนาทตองปฏบตใหเปนไปตามระเบยบส านกนายกรฐมนตรวาดวยการรกษาความลบของทางราชการ ดงตอไปน
9.๑ จดหมวดหมเอกสารทเปนความลบหรอทมระดบความส าคญสงไวตางหาก 9.๒ จดเกบและก าหนดวธการปองกนทมความปลอดภยอยางเพยงพอ 9.๓ การส าเนาเอกสารทเปนความลบ หรอเอกสารทมระดบความส าคญสง ตองไดรบ
อนญาตจากผเปนเจาของ 9.๔ ระมดระวงการเผยแพร หรอแจกจายเอกสารทเปนความลบของ สบน. ไปยงกลม
ผรบทมความจ าเปนตองรบรเทานน 9.๕ ตรวจสอบความถกตองของเอกสารกอนน าไปใชงาน 9.๖ ใหท าลายเอกสารทเปนความลบ หรอมระดบความส าคญสงเมอหมดความจ าเปน
ในการใชงาน
ขอ ๑๐. การจดการขอมลทเปนความลบทอยในรปอเลกทรอนกส ผใชงานปฏบตตามแนวทางปฏบตในการจดการกบขอมลลบในขอขางตน
หมวด ๕ แนวปฏบตและหนาทของผดแลระบบสารสนเทศ/ผดแลระบบเครอขาย
ขอ ๑ ตรวจสอบดแลรกษาการใชงานเครองคอมพวเตอร ระบบสารสนเทศ และระบบเครอขายของ สบน. ใหเปนไปดวยความเรยบรอยและมประสทธภาพ หากตรวจพบสงผดปกตเกยวกบการใชงานเครองคอมพวเตอร ระบบงานสารสนเทศและระบบเครอขายใหรบด าเนนการแกไข รวมทงปองกนและบรรเทาความเสยหายทอาจเกดขนในทนท และในกรณจ าเปนเพอปองกนหรอบรรเทาความเสยหายทจะเกดขนแก สบน. ใหผดแลระบบ (System Administrator) พจารณาระงบการใชระบบเครอขายของผใชงานดงกลาวไดทนท
ขอ ๒ ตดตงและปรบปรงโปรแกรมคอมพวเตอรส าหรบแกไขขอบกพรองของเครองคอมพวเตอรและระบบเครอขาย ใหมความมนคงปลอดภยในการใชงานและทนสมยอยเสมอ
ขอ ๓ ตรวจสอบความมนคงปลอดภยในการใชงานเครองคอมพวเตอรแมขาย (Server) ระบบงานสารสนเทศ และระบบเครอขาย
ขอ ๔ ดแลรกษาและตรวจสอบชองทางการสอสารของระบบเครอขายอยเสมอ และปดชองทางการสอสารของระบบเครอขายทไมมความจ าเปนตองใชงานในทนท
ขอ ๕ บรหารจดการบญชผใชงานและควบคมการเขาถงตามอ านาจหนาทเทานน
ขอ ๖ บรหารจดการระบบงานสารสนเทศ และระบบเครอขายตามอ านาจหนาทรบผดชอบเทานน
ขอ ๗ บรหารจดการเครองคอมพวเตอรแมขาย (Server) ตามอ านาจหนาทรบผดชอบเทานน
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๖
ขอ ๘ ไมใชอ านาจหนาทของตนเองในการเขาถงขอมลของผใชงาน บนระบบคอมพวเตอร ระบบสารสนเทศ และระบบเครอขาย โดยไมมเหตผลอนสมควร
ขอ ๙ ไมกระท าการอนใดทมลกษณะเปนการละเมดสทธหรอขอมลสวนบคคลของผใชงานทใชงานเครองคอมพวเตอร ระบบสารสนเทศ และระบบเครอขาย โดยไมมเหตผลอนสมควร
ขอ ๑o ไมเปดเผยขอมลทไดมาจากการปฏบตหนาท ซงขอมลดงกลาวเปนขอมลทไมสามารถเปดเผยไดใหบคคลอนทราบ โดยไมมเหตผลอนสมควร
ขอ ๑๑ เกบรกษาขอมลจราจรทางคอมพวเตอร (Log) โดยจะตองเกบรกษาขอมลของผใชงานเทาทจ าเปนเพอใหสามารถระบตวตนผใชงานและตองเกบรกษาไวเปนเวลาไมนอยกวา ๙o วน นบจากการใชบรการสนสดลง
หมวด ๖ แนวปฏบตในการบรหารจดการดานความมนคงปลอดภยระบบเครอขาย
ขอ ๑ ก าหนดมาตรการทางเครอขายและการสอสารขอมลเพอปองกนขอมลในเครอขายคอมพวเตอร ระบบงานสารสนเทศ หรอบรการตางๆ จากการถกเขาถงหรอถกท าลายโดยไมไดรบอนญาต ดงตอไปน
1.๑ ก าหนดบคลากรผมหนาทรบผดชอบ ความรบผดชอบ และขนตอนปฏบตส าหรบการบรหารจดการอปกรณเครอขายทใชในการเขาถงจากระยะไกล
1.๒ การปฏบตงานขององคกรจากภายนอก สบน. ในการเขาใชระบบเทคโนโลยสารสนเทศจากระยะไกลจะตองปฏบต ดงน
- ตดตอ ศทส. เพออธบายเหตผลความจ าและก าหนดชวงเวลาทสนสดในการใชงาน และลงทะเบยนเปนลายลกษณอกษร
- ศทส. จะก าหนดสทธใหเขาใชงานเฉพาะระบบทจ าเปนตองใชเทานน 1.๓ ก าหนดมาตรการพเศษเพอปองกนความลบและความถกตองของขอมลส าคญเมอ
ตองสงผานขอมลนนทางเครอขายสาธารณะ เชน เครอขายอนเทอรเนต เครอขายไรสาย เปนตน 1.๔ การเขาสระบบงานสารสนเทศภายในองคกร ส าหรบผใชนอกองคกร (Guest)
ตองมการ Login และตองมการพสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตอง ดวยการใสรหสผาน โดยจะตองท าการลงทะเบยนและขอรบไดท ศทส.
1.๕ ก าหนดขอปฏบตในการควบคมการใชอปกรณคอมพวเตอรพกพาและโทรศพทมอถอ ตองมการยนยนตวตนในการเขาใชงานทกครงดวยการใชรหสผานทออกใหโดย ศทส. ซงสทธทไดจะแตกตางและมขอก าหนดการใชงานทจ ากด โดยมขอปฏบตและหลกเกณฑตามภาคผนวก จ.
1.๖ มการบนทกขอมลพฤตกรรมการใชงานเกบ Log ของอปกรณเครอขาย เพอใชในการตรวจสอบอยางสม าเสมอ
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๗
ขอ ๒ ผรบผดชอบหรอผดแลระบบสารสนเทศภายใน สบน. จะตองปฏบตตามขอก าหนด ดงตอไปน
2.๑ ผดแลระบบตองมการออกแบบแบงระบบเครอขาย (Segregation in Networks) ตามกลมของบรการระบบเทคโนโลยสารสนเทศและการสอสารทมการใชงาน ดงน
- เขตภายใน (Internal Zone) - เขตภายนอก (External Zone)
เพอเปนการควบคม และปองกนการบกรกไดอยางเปนระบบ 2.๒ การเขาสระบบเครอขายภายใน สบน. โดยผานทางอนเทอรเนตจะตองไดรบการ
อนมตเปนลายลกษณอกษรจากผบงคบบญชากอนทจะสามารถใชงานไดในทกกรณ 2.3 ผดแลระบบตองมวธการจ ากดสทธการใชงานเพอควบคมผใชใหสามารถใชงาน
เฉพาะเครอขายและระบบสารสนเทศทไดรบอนญาตใหเขาถงเทานน 2.๔ ผดแลระบบจะตองตรวจสอบและจ ากดเสนทางการเขาถงเครอขาย โดยการปด
เสนทางของอปกรณเครอขายทไมมความจ าเปนออกจากระบบ 2.๕ ผดแลระบบจดใหมวธเพอจ ากดการใชเสนทางบนเครอขาย (Enforced Path) จาก
เครองคอมพวเตอรใชงานไปยงเครองคอมพวเตอรใหบรการ เชน ในการเชอมตอเขาสเครองคอมพวเตอรใหบรการเพอบรหารจดการระบบ ใหก าหนดเฉพาะชดเลขประจ าเครองคอมพวเตอร (IP Address) ของผดแลระบบเทานนทสามารถเขาถงเครองคอมพวเตอรใหบรการนนได
2.๖ ก าหนดบคคลทรบผดชอบในการก าหนด แกไข หรอเปลยนแปลงคาตวแปร (Parameter) ตางๆ ของระบบเครอขายคอมพวเตอรและอปกรณตางๆ ทเชอมตอกบระบบเครอขายคอมพวเตอรอยางชดเจน และมการทบทวนการก าหนดคาตวแปร (Parameter) ตางๆ อยางนอยปละครง นอกจากน การก าหนดแกไขหรอเปลยนแปลงคาตวแปร (Parameter) ควรแจงบคคลทเกยวของใหรบทราบทกครง
2.๗ ระบบเครอขายทงหมดทมการเชอมตอไปยงระบบเครอขายอนๆ ภายนอก สบน.จะตองเชอมตอผานอปกรณปองกนการบกรก หรอโปรแกรมปองกนการบกรกในการท า Packet filtering เปนตน
2.๘ มการตดตงระบบตรวจจบและปองกนการบกรก (IDS/IPS) เพอตรวจสอบการใชงานของบคคลทเขาใชงานระบบเครอขายภายใน สบน. ในลกษณะทผดปกตผานระบบเครอขาย โดยมการตรวจสอบการบกรกผานระบบเครอขาย การใชงานในลกษณะทผดปกตและการแกไขเปลยนแปลงระบบเครอขายโดยบคคลทไมมอ านาจหนาทเกยวของ
2.๙ การเขาสระบบงานเครอขายภายใน สบน. ผานทางอนเทอรเนตจะตองมการพสจนตวตน (Authentication) โดยการกรอกชอผใช (Username) และรหสผใช (Password) ส าหรบ Login เพอตรวจสอบความถกตอง
2.๑๐ ขอมลหมายเลขชดภายในของเครองคอมพวเตอร (Local IP Address) ของระบบงานเครอขายภายใน สบน. จ าเปนตองมการปองกนมใหหนวยงานภายนอกทเชอมตอสามารถมองเหนได
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๘
เพอเปนการปองกนไมใหบคคลภายนอกสามารถรขอมลเกยวกบโครงสรางของระบบเครอขายและสวนประกอบของ สบน. ไดโดยงาย
2.๑๑ จดท าแผนผงระบบเครอขาย (Network Diagram) ซงมรายละเอยดเกยวกบขอบเขตของเครอขายภายในและเครอขายภายนอก และอปกรณตาง ๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
2.๑๒ การใชเครองมอตางๆ (Tools) เพอการตรวจสอบระบบเครอขาย ตองไดรบการอนมตจากผบงคบบญชาหรอผรบมอบอ านาจ และจ ากดการใชงานเฉพาะเทาทจ าเปน
2.๑๓ ผดแลระบบก าหนดอปกรณบนเครอขายเปน IP Address แยกตามส านก และกลมแตละสทธของผใชงาน โดยใหควบคมการใชงานอยางเหมาะสมและมการพสจนตวตนทกครงทใชอปกรณ
2.๑๔ การบรหารจดการการบนทกและตรวจสอบ ก าหนดใหมการบนทกการท างานของระบบปองกนการบกรก เชน บนทกการเขาออกระบบ บนทกการพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไวอยางนอยกวา ๓ เดอน หรอไมต ากวา ๙๐ วน
2.๑๕ มการตรวจสอบบนทกการปฏบตงานของผใชงานอยางสม าเสมอ
ขอ ๓ ผรบผดชอบระบบสารสนเทศของ สบน. จะตองควบคมการเขาใชงานจากภายนอกสบน. เพอดแลรกษาความปลอดภยโดยมแนวทางการปฏบต ดงน
3.๑ การเขาสระบบจากระยะไกล (remote access) สระบบเครอขายคอมพวเตอรของสบน. กอใหเกดชองทางทมความเสยงสงตอความปลอดภยของขอมลและทรพยากรจะตองขออนญาตกอนการใชงานทกครง
3.๒ วธการใดๆ กตามทสามารถเขาสขอมลหรอระบบขอมลไดจากระยะไกลตองไดรบการอนมตจากผบงคบบญชาหรอผทไดรบการมอบอ านาจกอน และมการควบคมอยางเขมงวดกอนน ามาใชและผใชตองปฏบตตามขอก าหนดของการเขาสระบบและขอมลอยางเครงครด
3.๓ กอนการขอเขาใชงานระบบสอสารจากระยะไกล ผใชตองแสดงหลกฐานระบเหตผลหรอความจ าเปนในการด าเนนงานกบ สบน. และตองไดรบอนมตจากผบงคบบญชาทกครง
3.๔ มการควบคมชองทางตดตอ (Port) ทใชในการเขาสระบบอยางรดกม การเขาสระบบโดยการโทรศพทเขามานน ตองดแลและจดการโดยผดแลระบบและวธการหมนเขาตองไดรบการอนมตอยางถกตองและเหมาะสมแลวเทานน
3.๕ การอนญาตใหผใชเขาสระบบจากระยะไกล ตองอยบนพนฐานของความจ าเปนเทานน และไมเปดชองทางตดตอ (Port) และอปกรณเชอมตอระยะไกล (Modem) ทใชทงเอาไวโดยไมจ าเปนชองทางดงกลาวมการตดการเชอมตอเมอไมไดใชงานแลว และจะเปดใหใชไดตอเมอมการรองขอทจ าเปนเทานน
ขอ ๔ การควบคมการเขาถงระบบเครอขายไรสาย (Wireless) ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดแนวปฏบตตามขอก าหนด ดงตอไปน
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๑๙
4.๑ ผใชทตองการเขาถงระบบเครอขายไรสายภายใน สบน. จะตองท าการลงทะเบยนกบผดแลระบบและตองไดรบการพจารณาอนญาตจากผบงคบบญชากอนการใชงาน
4.๒ ผดแลระบบตองท าการลงทะเบยนก าหนดสทธผใชงานในการเขาถงระบบเครอขายไรสายใหเหมาะสมกบหนาทความรบผดชอบในการปฏบตงานกอนเขาใชระบบเครอขายไรสาย รวมทงมการทบทวนสทธการเขาถงอยางสม าเสมอ
4.๓ ผดแลระบบควรใช Software หรอ Hardware ตรวจสอบความมนคงปลอดภยของระบบเครอขายไรสายอยางสม าเสมอ
หมวด ๗ แนวปฏบตในการควบคมการเขาถงระบบปฏบตการของผใชงาน
ขอ ๑. ผใชงานจะตองยนยนตวตนดวย User account ของตนเองกอนเขาใชงานระบบปฏบตการเครองคอมพวเตอรทกครง
ขอ ๒. ผใชงานตองไมอนญาตใหบคคลอนใช User account ของตนเองในการเขาใชงานเครองคอมพวเตอรของหนวยงานรวมกน
ขอ ๓. ผใชงานตองตงคาการใชงานโปรแกรมเพอลอคหนาจอโดยอตโนมต หลงจากทไมไดใชงานเกนกวา ๑๕ นาท
ขอ ๔. ผใชงานควรท าการลงบนทกออก (Log off) ทกครงทมไดปฏบตงานอยหนาเครองคอมพวเตอร รวมทงปดเครองคอมพวเตอรทกครงเมอเลกใชงาน
ขอ ๕. ผใชงานตองไมใชโปรแกรมคอมพวเตอรชวยในการจ ารหสผานสวนบคคลอตโนมต (Save Password)
ขอ ๖. ผใชงานตองก าหนดรหสผานไมนอยกวา 6 ตวอกษร โดยไมน าชอหรอนามสกลของตนเองหรอค าทงายตอการคาดเดามาตง และตองเปลยนรหสผานทก 6 เดอน
หมวด 8 แนวปฏบตในการใชงาน Token Key
ขอ 1 ขอก าหนดการใชงาน Token Key 1.1 ผมสทธใชงานตองไดรบอนมตใหใชงาน Token Key จาก ผอ. สบน. หรอผซง
ผอ. สบน. มอบหมายลงนาม ส าหรบใหเขาใชงาน 1.2 ผมสทธใชงานตองแนบเอกสารหลกฐานขอมลผใชใหผดแลระบบ เพอทจะสามารถ
ตรวจสอบรายละเอยดผใชได
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๐
1.3 อปกรณ Token Key มการจ ากดใหใชงานเฉพาะระบบภายใน สบน. 2 ระบบ คอ - ระบบ GFMIS-SOE - ระบบการประมลพนธบตรดวยวธอเลกทรอนกส (e-bidding)
1.4 ผใชงานสามารถใช Token Key ไดเฉพาะ 1 Token ตอ 1 ระบบ เทานน 1.5 การใชงาน Token Key ตองเสยบ Token Key เขาเครองคอมพวเตอรทกครง
เพอยนยนตวบคคล (Username) และใสรหสของผใชงาน (Password) กอนเขาใชงาน 1.6 ผใชงานตองเปลยนรหส ทกๆ 3 เดอน เพอความปลอดภยในการเขาใชงานระบบ 1.7 ผใชงานตองรบผดชอบตอการปฏบตงานทเกดจากการใชงานตามสทธ ทไดรบใน
การปฏบตงานเขาใชงานระบบทกรายการ
ขอ 2 การดแลและการเกบรกษา Token Key ใหปลอดภย ผใชงานตองมหนาทในการจดเกบรกษา Token Key ใหมความปลอดภย ดงน
- ควรระมดระวงไมให Token Key ตกน า หรอ แชน าเปนเวลานาน อาจท าให Token Key ไมสามารถใชงานได
- หามงดแงะ ทบหรอกระแทกอยางรนแรง จะท าให Token Key เสยรปทรงจนไมสามารถใชงานได
- ตองไมอนญาตใหบคคลอนน า Token Key ไปใชงานนอกจากจะไดรบอนญาต จากผดแลระบบ
ขอ 3 ขอปฏบตในกรณท Token Key สญหาย หรอช ารด ตองด าเนนงานตามขนตอน ดงน - ผใชงานตองโทรศพทแจงผดแลระบบเพอระงบการใชงาน Token Key กรณท
ผใชงานไมแจงการสญหายและมผอนน า Token Key ไปใชงานตองรบผดชอบตอความเสยหายทเกดขนตามแตกรณ
- ท าหนงสอแจงผดแลระบบภายใน 3 วน นบจากทผใชงานโทรแจงระงบการใชงาน Token Key เพอรบ Token Key อนใหมส าหรบการใชงาน
- กรณทเปนผใชงานคนเดมไมตองสงเอกสารขอมลสวนบคคลอก
ขอ 4 ขอปฏบตในกรณทมการยายหรอเปลยนแปลงผใชงาน Token Key ตองด าเนนงาน ตามขนตอน ดงน
- ท าหนงสอแจงพรอมแบบฟอรมลงทะเบยนผใชงาน (แบบลงทะเบยน GFMIS-SOE) - ท าหนงสอค าสงแตงตงใหด ารงต าแหนงผใชงาน ภายใน 15 วน นบจากมค าสง
ยายหรอเปลยนแปลงผใชงาน - ตองแนบรายละเอยดขอมลสวนบคคล เชน บตรประจ าตวประชาชนหรอบตร
ขาราชการ เพอใหสามารถระบตวตนผใชงานได
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๑
ขอ 5 กรณทตองเพกถอนการใชงาน Token Key การเพกถอนการใชงาน คอ การท าใหใบรบรองอเลกทรอนกสหรอ Token Key ไม
สามารถน ามาใชไดอกตอไป โดยผใหบรการใบรบรองอเลกทรอนกส หรอผใชงานสามารถเพกถอนการใชงานไดในกรณดงตอไปน
- มผอนสามารถเขาถง หรอน า Token Key ไปใชงานโดยไมไดรบอนญาต - มผอนลวงรรหสผาน (Password) ทใชในการเรยกใช Token Key ของผใชงาน
ขอ 6 การระบชอและยนยนตวบคคลใน Token Key 6.1 ชอทระบใน Token Key
ชอทปรากฏใน Token Key ของผใชงานตองมลกษณะเปนชอ และไมซ ากน เพอใหรบรองไดวาสามารถเชอมโยงกบผใชงานได
6.2 ชอทระบในใบรบรองอเลกทรอนกสส าหรบยนยนตวบคคล ชอทปรากฎในใบรบรองอเลกทรอนกสแตละใบของผใชงาน จะตองมความหมาย
ถงผใชงาน เพอประโยชนในการสบคนกลบไปยงผใชงานได
หมวด 9 แนวปฏบตในการส ารองขอมลส าคญและการเตรยมรบมอกบเหตฉกเฉน
ขอ ๑ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดแนวทางปฏบตในการส ารองและกคนขอมล เมอมระบบงานใหม เกดขอมลใหม หรอขอมลทมการเปลยนแปลงใหม ควรก าหนดใหใชแนวทาง การส ารองและกคนขอมล ดงน
1.๑ ก าหนดระบบงานทมความจ าเปนตองส ารองขอมลไว 1.๒ ก าหนดผรบผดชอบในการส ารองขอมลและกรณเกดเหตฉกเฉน (ในภาคผนวก ง) 1.๓ ก าหนดชนดของขอมลทมความจ าเปนตองส ารองขอมลเกบไวอยางนอยตอง
ประกอบดวย ขอมลในฐานขอมลของระบบ ขอมลส าหรบตวระบบ เชน โปรแกรมระบบปฏบตการ (Operation Software) และโปรแกรมอนๆ ทเกยวของ
1.๔ ก าหนดความถในการส ารองขอมลของระบบงาน เชน ระบบงานทมการเปลยนแปลงบอย ควรมความถในการส ารองขอมลมากขน เปนตน
1.๕ ก าหนดขนตอนการจดท าส ารองขอมล และการกคนขอมลอยางถกตอง รวมทงโปรแกรมทใชในการส ารองขอมล
1.๖ ท าการส ารองขอมลตามความถทก าหนดไว และควรน าขอมลทส ารองไปเกบไวนอกสถานทอยางนอย ๑ ชด
1.๗ ท าการตรวจสอบวาการส ารองทเกดขนนน ส าเรจครบถวนหรอไม 1.๘ ท าการทดสอบกคนขอมลทส ารองไวอยางนอยปละ ๑ ครง รวมทงด าเนนการ
ทดสอบวาระบบงานทงหมดสามารถใชงานไดหรอไม
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๒
1.๙ จดท าแผนเตรยมความพรอมกรณเกดเหตฉกเฉนใหสามารถกคนระบบกลบคนไดภายในระยะทก าหนด โดยแผนฯ ควรมรายละเอยดอยางนอยดงตอไปน
(๑) การก าหนดหนาท และความรบผดชอบตอผทเกยวของทงหมด (2) การประเมนความเสยงส าหรบระบบงานทมความส าคญเหลานน และก าหนด
มาตรการเพอลดความเสยงเหลานน เชน ไฟดบเปนระยะเวลานาน ไฟไหม แผนดนไหว การชมนมประทวงท าใหไมสามารถเขามาใชระบบงานได เปนตน
(๓) การก าหนดขนตอนปฏบตในการกคนระบบงาน (๔) การก าหนดขนตอนปฏบตในการส ารองขอมลและทดสอบกคนขอมลทส ารองไว (๕) การก าหนดชองทางในการตดตอสอสารกบผใหบรการภายนอกเชน ผใหบรการ
เครองคอมพวเตอร โปรแกรมและระบบเครอขาย เปนตน เมอเกดเหตจ าเปนทจะตองตดตอในกรณเกดเหตฉกเฉนตางๆ เชน เกดอคคภย การกอวนาศกรรม เปนตน
1.๑๐ ใหท าการปรบปรงแผนฯ ดงกลาวอยางนอยปละ ๑ ครง 1.๑๑ ใหจดประชมและแจงใหผทเกยวของทงหมดไดรบทราบรายละเอยดของแผนฯ
รวมทงเมอมการปรบปรงแผนใหมจะตองจดประชมใหมและแจงใหผทเกยวของทราบเชนเดยวกน
หมวด 10 แนวปฏบตในการบรหารจดการเหตการณดานความมนคงปลอดภย
ขอ ๑ การแจงเหตการณทางดานความมนคงปลอดภย (เพมเตมจากประกาศของ ICT) 1.๑ ใหเจาหนาทหรอผปฏบตงานแจงไปยง ศทส. ทนททพบเหนเหตการณทอาจเปน
ปญหาตอความมนคงปลอดภยในการใชระบบเทคโนโลยสารสนเทศของ สบน. ไดแก - มโปรแกรมส านกงานไมประสงคดเขามาในระบบคอมพวเตอร - มการบกรกเขามาในระบบเครอขาย - ขอมลส าคญเปลยนแปลง หรอสญหาย - มการเปดเผยขอมลส าคญโดยไมไดรบอนญาต - มการน าขอมลส าคญไปใชผดวตถประสงค - มการใชระบบเทคโนโลยสารสนเทศผดวตถประสงค - พบจดออนในเครองคอมพวเตอร โปรแกรมและระบบเครอขายทใชงาน - มการโจมตเขามาในระบบจนไมสามารถใหบรการได - ระบบเทคโนโลยสารสนเทศช ารดหรอสญหาย - บคคลภายนอกเขาใชระบบงานของ สบน. โดยไมไดรบอนญาต - มการตดตงโปรแกรมเพอขโมยขอมลหรอเขาถงขอมลในระบบเครอขาย - เหตการณอนๆ ทเปนการละเมดความมนคงปลอดภยของ สบน.
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๓
1.๒ ใหความรวมมอและอ านวยความสะดวกแกผบงคบบญชาหรอ ศทส. ในการตรวจสอบเหตการณทางดานความมนคงปลอดภยทเกดขนรวมทงปฏบตตามค าแนะน าของผบงคบบญชาหรอ ศทส. ดวย
ขอ ๒ ผรบผดชอบระบบสารสนเทศของ สบน. เมอไดรบแจงจากผใชงานเกยวกบเหตการณทางดานความมนคงปลอดภยทเกดขนหรอทพบ ใหปฏบตตามขนตอนดงตอไปน
2.๑ ประเมนผลกระทบของเหตการณทเกดขนวามผลกระทบในระดบใด (สง กลาง หรอต า) 2.๒ แจงใหผบงคบบญชาตามล าดบชนไดรบทราบตามระดบของผลกระทบ กลาวคอ
รายงานไปสระดบชนของผบงคบบญชาทสงขนตามล าดบส าหรบเหตการณทมผลกระทบสงกวา 2.๓ วเคราะหและแกไขสถานการณตามความจ าเปนกรณการบกรก การโจมตระบบ
หรอระบบไดรบความเสยหาย ประสานงานขอความชวยเหลอจากผร เชน ศนยประสานงานการรกษาความปลอดภยคอมพวเตอรประเทศไทย (ThaiCERT)
2.๔ กรณมความจ าเปนตองเกบหลกฐานทางคอมพวเตอร ใหผทผานการอบรมหรอฝกฝนเปนผด าเนนการเพอปองกนไมใหหลกฐานเกดความเสยหาย จดเกบหลกฐานไวในสถานททปลอดภย และจ ากดการเขาถงหลกฐานนน
2.๕ จดท ารายงานสรปเหตการณนบตงแตไดรบแจงเฉพาะเหตการณทมผลกระทบตงแตระดบปานกลาง ขนไปและแจงเวยนใหผทเกยวของไดรบทราบ โดยมขอมลอยางนอยในรายงานดงน
- รายละเอยดเหตการณ - วนเวลาทเกดขน - ชอผแจง/หนวยงานผแจง - สถานะของเหตการณในแตละชวงเวลา - ความคบหนาในการด าเนนการในแตละชวงเวลา - สาเหตและวธการแกไข - ขอเสนอแนะเพอปองกนการเกดซ า
ขอ ๓ ความรบผดชอบของผบงคบบญชากรณทมการละเมดการปฏบตน 3.๑ ใหแจงรายงานตามสายการบงคบบญชาใหหนวยทเกยวของทราบ 3.๒ สงการสอบสวนหาตวผกระท าผดและผรบผดชอบโดยเรวทสด 3.๓ พจารณาแกไขขอบกพรองและปองกนมใหเหตการณเชนนอบตซ าอก 3.๔ ใหพจารณาการลงโทษทางวนยตามกฎหมายตอผละเมด ผเกยวของกบการละเมด
และผรบผดชอบเมอมการละเมด หรอไมปฏบตตามระเบยบนโดยเจตนาหรอไมเจตนา และการละเมดนนกอใหเกดความเสยหายหรอยงไมเกดความเสยหายตอทางราชการกตาม
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๔
ขอ ๔ ความรบผดชอบของหนวยงานทรบผดชอบระบบงานสารสนเทศ เมอไดรบแจงวาไดเกดการละเมดการรกษาความปลอดภย ใหสวนราชการเจาของระบบสารสนเทศด าเนนการ ดงน
4.๑ พจารณาวาขอมลสารสนเทศ เอกสารกรรมวธขอมลตางๆ ประมวลลบ หรอรหสผานทจ าเปนในการใชเครอขายสอสารขอมลสารสนเทศมผลกระทบกระเทอนเสยหายอยางใดหรอไม
4.2 ขจดความเสยหายทเกดขนหรอคาดวาจะเกดขนจากการละเมดโดยทนทในการนอาจจะตองด าเนนการแกไขเปลยนแปลงแผนงานและวธปฏบตพรอมทงปจจยตางๆ ทเกยวของตามทเหนสมควร
ขอ ๕ ความรบผดชอบของผใชงานตอประกาศฉบบนม ดงน 5.๑ ปฏบตตามประกาศนอยางเครงครดและตองไมละเลยตอหนาทความรบผดชอบของตนเอง 5.๒ ไมเขาถง เปดเผย เปลยนแปลง แกไข หรอท าลายโดยไมไดรบอนญาต หรอท าให
เสยหายตอระบบคอมพวเตอรและเครอขายของ สบน. 5.3 ไมรบกวนหรอแทรกแซงการสอสารขอมลในเครอขายของ สบน. 5.๔ รายงานเหตการณความเสยง จดออน หรอเหตการณดานความมนคงปลอดภยท
พบไปยง สบน. โดยเรวทสด
ขอ ๖ มการควบคมสนทรพยดานสารสนเทศตอการเขาถงตองไดรบการอนญาตโดยปฏบตดงน 6.๑ ก าหนดมาตรการปองกนทรพยสนขององคกร โดยรวบรวมสนทรพยทงหมดไว
อยางเปนระบบ 6.๒ เมอใชงานระบบเสรจ ตองออกจากระบบทนท 6.๓ ปองกนไมใหผทไมเกยวของใชอปกรณดานสารสนเทศโดยไมไดรบอนญาต 6.๔ น าเอกสารออกจากเครองพมพทนททพมพงานเสรจ
หมวด ๑1
แนวปฏบตในการจดซอจดจางระบบเทคโนโลยสารสนเทศ ขอ ๑ ผรบผดชอบระบบสารสนเทศของ สบน. ตองควบคมการพฒนาหรอจดหาระบบงาน
เพอใหระบบงานทไดรบมความมนคงปลอดภยเพยงพอ ดงน ๑.1 ใหประเมนความเสยงและระบขอก าหนดทางดานความมนคงปลอดภย (Security
Requirements) ของระบบงานทจะจดหาหรอพฒนาอยางเปนลายลกษณอกษร ขอก าหนดดงกลาวอยางนอยควรมคณสมบตของการเขาสระบบงาน (Login) ทมความมนคงปลอดภย ดงน
(1) ไมมหรอไมแสดงรปแบบการใชงาน (Function) ใหการชวยเหลอในระหวางทท า Login
(2) บนทกความพยายามในการลอกอนทงทส าเรจและไมส าเรจ และแสดงประวตการ Login ๓ ครงลาสด
(3) ตดการเชอมตอหลงจากทท าการ Login ไมส าเรจเกนกวา ๓ ครง
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๕
(4) เมอใสขอมลบญชชอผใชงานและรหสผานทไมถกตอง ใหแสดงขอความปรากฏ เชน “ขอมลการ Login ไมถกตอง”
(5) ใหแสดงขอความเตอนทหนาจอภายหลงจากการ Login เสรจสน ขอความเตอนดงกลาว ไดแก “ระบบนเปนระบบทเปนทรพยสนของ สบน. การใชงานจะตองไดรบการอนมตกอนเทานนจงจะสามารถใชงานได ผทไมไดรบสทธและเขามาใชระบบงานหากมการตรวจพบและเปนความผด จะด าเนนการลงโทษทางวนย หรอด าเนนการทางกฎหมายตามความเหมาะสม สทธในการตรวจสอบพฤตกรรมการใชงานในระหวางทผใชงานใชระบบงานนโดยไมถอวาเปนการละเมดความเปนสวนตว”
(6) ไมแสดงรายละเอยดของระบบใดๆ จนกวาจะ Login ส าเรจ (7) การก าหนดหรอตงรหสผานทมความมนคงปลอดภยส าหรบเขาถงระบบงาน (8) การเขารหสขอมลส าคญทมการรบสงระหวางเครองคอมพวเตอรลกขายกบ
เครองคอมพวเตอรทใหบรการ (9) การเขารหสขอมลส าคญ เชน ขอมลลบ ทจดเกบไวในฐานขอมล (10) การตดและหมดเวลาการใชงานหลงจากทไมไดใชระบบงานเกนกวา
ระยะเวลาตามทก าหนดไว เชน ๑๕-๓o นาท (11) การบนทกบญชชอผใชงานท Login เขาระบบ หมายเลข IP Address
วนเวลาทเขาใชระบบ ความส าเรจหรอไมส าเรจในการ Login ของผใชงาน 1.๒ พฒนาหรอจดหาระบบงานใหไดตามขอก าหนดทางดานความมนคงปลอดภยท
ระบไว 1.๓ พฒนาหรอจดหาระบบงานเพอใหมหนาจอส าหรบผดแลระบบเพอท าการบนทก
และปรบปรงสทธของผใชงานได รวมทงตองสามารถบนทกสทธดงกลาวลงเกบไวในฐานขอมลไดดวย 1.๔ ก าหนดใหมการจดท าแผนการทดสอบโดยผพฒนาระบบ น าเสนอแผนฯ
ดงกลาวเพอพจารณาอนมตโดยผมอ านาจ ด าเนนการทดสอบตามแผนฯ บนทกผลการทดสอบ และรายงานผลการทดสอบ ใหผมอ านาจไดรบทราบเพอใหค าแนะน าในการปรบปรงตางๆ ทจ าเปนแผนการทดสอบทจดท าอยางนอยประกอบดวย
- แผนการทดสอบ UAT (User Acceptance Test) - แผนการทดสอบ System Integration Test - แผนการทดสอบขอก าหนดทางดานความมนคงปลอดภย (Security Test)
1.๕ ไมอนญาตการน าขอมลส าคญของ สบน. ไปใชในการทดสอบกบระบบงานเพอปองกนการรวไหลของขอมล เวนเสยแตไดรบการอนมตจากผบงคบบญชาระดบสงกอน และหากเปนไปไดใหตดขอมลสวนทส าคญทงไป ใหเหลอเฉพาะสวนทเพยงพอตอการน าไปใชในการทดสอบ
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๖
ขอ ๒ ภายหลงจากทไดมการตรวจรบระบบทพฒนาขนใหมแลว ผรบผดชอบระบบสารสนเทศ ของ สบน. ตองก าหนดการควบคมการตดตงโปรแกรมลงไปยงระบบเครองคอมพวเตอรทใหบรการ ดงน
2.๑ ใหมการควบคมการเปลยนแปลงระบบงานภายใน สบน. เพอปองกนความเสยหายหรอการหยดชะงกทมตอระบบงานนน
2.๒ ใหผดแลระบบทไดรบการอบรมแลว หรอมความช านาญเทานน ทจะเปนผท าหนาทด าเนนการเปลยนแปลงระบบงานภายใน สบน.
2.๓ การตดตงหรอปรบปรงซอฟตแวรของระบบงานตองมการขออนมตใหตดตงกอนด าเนนการ
2.4 ก าหนดใหมการจดเกบรหสโปรแกรม (Source Code) และบรรณานกรมค าศพท (Library) ส าหรบโปรแกรมของระบบงานไวในสถานททมความมนคงปลอดภย
2.๕ ก าหนดใหผใชงาน หรอผทเกยวของตองท าการทดสอบระบบงานตามจดประสงคทก าหนดไวอยางครบถวน เพยงพอ กอนด าเนนการตดตงบนเครองใหบรการระบบงาน เชน โปรแกรมระบบปฏบตการ โปรแกรมระบบงาน เปนตน
2.๖ ใหผทเกยวของตองท าการทดสอบดานความมนคงปลอดภยของระบบงาน อยางครบถวนกอนด าเนนการตดตงบนเครองใหบรการระบบงาน
2.๗ ท าการปรบปรง Library ส าหรบโปรแกรมระบบงาน ใหมความทนสมยและสอดคลองกบระบบทงหมดทท าการตดตง
2.๘ ในกรณทเปนการตดตงระบบเพอทดแทนระบบงานเดมใหท าการส ารองขอมลทจ าเปน เชน ฐานขอมล โปรแกรม คาปรบแตงและตดตงระบบ หรออนๆ ทเกยวของกบระบบงานนน หากการตดตงท าไมส าเรจจะไดสามารถถอยหลงกลบไปใชระบบงานเดมได
2.๙ ในกรณทมความจ าเปนตองแปลงขอมลในระบบงานเดมไปสขอมลในระบบงานทท าการตดตง ใหก าหนดแผนการถายโอนหรอแปลงขอมลจากระบบงานเดมไปสระบบงานใหม ใหถายโอนขอมลตามแผนฯ และรวมกบผใชงานเพอตรวจสอบวาขอมลทมการถายโอนไปนนมความถกตองและครบถวนหรอไม
2.๑๐ ใหก าหนดแผนการตดตงส าหรบระบบงานซงรวมถงระยะเวลาทจะด าเนนการ รวมทงแจงใหผทเกยวของไดรบทราบกอนลวงหนา เชน แผนการตดตงเครองคอมพวเตอร โปรแกรม ระบบเครอขาย และอนๆ
2.๑๑ ส าหรบโปรแกรมทจะท าการตดตง ใหตรวจสอบกอนวาจะไมเปนการละเมดลขสทธของผผลตโปรแกรมนน
2.๑๒ ใหอานและปฏบตตามเงอนไขหรอขอตกลงการใชงานโปรแกรมทจะท าการตดตงอยางเครงครด
2.๑๓ ส าหรบการตดตงโปรแกรมเอนกประสงค (Utility Software) ตองตรวจสอบกอนวาเปนโปรแกรมทมการท างานทถกตองและเชอถอได
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๗
2.๑๔ ตดตงโปรแกรมส านกงานแกไขชองโหว (Patch) ทเกยวของกบระบบงานตามความจ าเปน เชน โปรแกรมส านกงานแกไขชองโหวส าหรบระบบปฏบตการ โปรแกรมส านกงานแกไขชองโหวส าหรบระบบบรหารจดการฐานขอมล เปนตน
2.15 ตรวจสอบและปดพอรต (Port) บนระบบงานทไมมความจ าเปนในการใชงาน กอนเปดระบบใหบรการ
2.๑๖ จดใหมการปองกนไวรสคอมพวเตอรบนระบบงานทท าการตดตง
ขอ ๓ ผรบผดชอบระบบสารสนเทศของ สบน. ตองก าหนดใหมการทบทวนการท างานของระบบงานภายหลงจากทเปลยนแปลงระบบปฏบตการ (Technical review of applications after Operating system changes) ดงน
3.๑ แจงใหผทเกยวของกบระบบงานไดรบทราบเกยวกบการเปลยนแปลงระบบปฏบตการเพอใหบคคลเหลานนมเวลาเพยงพอในการด าเนนการทดสอบและทบทวนกอนทจะด าเนนการเปลยนแปลงระบบปฏบตการ
3.๒ พจารณาวางแผนด าเนนการเปลยนแปลงระบบปฏบตการของระบบงาน รวมทงวางแผนดานงบประมาณทจ าเปนตองใช ในกรณท สบน. ตองเปลยนไปใชระบบปฏบตการใหม
ขอ ๔ การด าเนนงานของบประมาณทเกยวของกบระบบเทคโนโลยสารสนเทศ หรอวสดอปกรณอนใดทเกยวของกบระบบเทคโนโลยสารสนเทศ ตองผานการพจารณากลนกรองความเหมาะสมเบองตนจาก ศทส. และน าเสนอให ผอ. สบน. ลงนาม หรอ ผซง ผอ. สบน. มอบหมายลงนาม โดยคณะกรรมการคอมพวเตอรกระทรวงการคลง (คคค.) เปนผพจารณาอนมตกอนจะพจารณาในขนตอนตอไป
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๒๙
ภาคผนวก ก
ขนตอนการลงทะเบยนผใชงานส านกงานบรหารหนสาธารณะ มขนตอนการปฏบต ดงน
(๑) การลงทะเบยนขอเขาใชงานเครองคอมพวเตอร E-Mail และระบบงานในภายใน สบน. ใหใชแบบ ศทส.01 แบบฟอรมพนกงานใหม
(2) การลงทะเบยนขอตดตงโปรแกรมเพมเตมในเครองคอมพวเตอร สบน. ใหใชแบบ ศทส.02 แบบฟอรมลงโปรแกรมเพมในเครองคอมพวเตอร สบน.
(3) การลงทะเบยนขออนญาตใชบรการอนเตอรเนตผานเครอขาย สบน. ส าหรบบคคลภายใน สบน. ใหใชแบบ ศทส.03 แบบฟอรมเขาใชเครอขาย (บคคลภายใน)
(4) การลงทะเบยนขออนญาตใชบรการอนเตอรเนตผานเครอขาย สบน. ส าหรบบคคลภายนอก สบน. ใหใชแบบ ศทส.04 แบบฟอรมเขาใชเครอขาย (บคคลภายนอก)
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๐
ภาคผนวก ข การตดตงโปรแกรมคอมพวเตอรตามมาตรฐานท สบน. ก าหนด
มขนตอนการปฏบต ดงน
๑. ชดโปรแกรมระบบปฏบตการ Microsoft Windows ๒. ชดโปรแกรมส านกงาน Microsoft Office ๓. โปรแกรม Acrobat Reader ๔. โปรแกรมประเภท Zip File ๕. โปรแกรม Anti-virus (NOD 32) ๖. โปรแกรม Microsoft Lync ๗. โปรแกรม Flash Player ๘. โปรแกรมเขยนขอมล (Nero Burning ROM) ๙. โปรแกรมรหสผานเดยว (Single Sign-on) ๑๐. โปรแกรมประเภท Browser (Firefox, Chrome)
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๑
ภาคผนวก ค แผนเตรยมความพรอมกรณฉกเฉน
แผนแกไขปญหาจากสถานการณความไมแนนอนและภยพบตทอาจเกดขนกบระบบฐานขอมลสารสนเทศ (IT Contingency Plan)
๑. หลกการและเหตผล ส านกงานบรหารหนสาธารณะ (สบน.) เปนหนวยงานทมพนธกจในการบรหารจดการหน
สาธารณะ โดยการวางแผน ก ากบ และด าเนนการกอหน ค าประกน และปรบโครงสรางหนของรฐบาล หนวยงานในก ากบดแล ของรฐ องคกรปกครองสวนทองถน และรฐวสาหกจ ซงรวมทงการช าระหนของรฐบาล การตดตามและประเมนผลการด าเนนงาน จงไดน าระบบเทคโนโลยสารสนเทศมาใชในการด าเนนงาน เพอเพมประสทธภาพในการบรหารหนสาธารณะของประเทศ ในขณะเดยวกนระบบฐานขอมลและสารสนเทศของ สบน.อาจไดรบความเสยหายจากการใหบรการ ซงไดแก ไวรสคอมพวเตอร การบกรก (Hacker) ไฟฟาดบ และปจจยอนๆ ทเกยวของ ทท าใหเกดผลกระทบตอการด าเนนงาน
เพอเปนการปองกนและแกไขปญหาทอาจเกดขนกบระบบฐานขอมลและสารสนเทศ ศนยเทคโนโลยสารสนเทศ (ศทส.) จงตองจดท าแผนรองรบการแกไขปญหาจากสถานการณความไมแนนอน และภยพบตทอาจเกดขนกบระบบฐานขอมลและสารสนเทศ (IT Contingency Plan)
๒. วตถประสงค ๒.๑ เพอเปนการบรหารความเสยง และเปนแนวทางในการดแลรกษาความมนคงปลอดภย
ของระบบฐานขอมลและสารสนเทศใหมเสถยรภาพและมความพรอมใชงาน ๒.๒ เพอลดความเสยหายทอาจเกดขนแกระบบฐานขอมลและสารสนเทศ ๒.๓ เพอใหระบบเทคโนโลยสารสนเทศสามารถด าเนนการไดอยางตอเนอง และมประสทธภาพ
สามารถแกไขสถานการณไดอยางทนทวงท ๒.๔ เพอเตรยมความพรอมรบสถานการณฉกเฉนทอาจจะเกดขนกบระบบเทคโนโลยสารสนเทศ ๒.๕ เพอสรางความเขาใจรวมกนระหวางผบรหารและผปฏบต ในการดแลรกษาระบบ
ความปลอดภยของระบบฐานขอมลและสารสนเทศ
๓. ประเมนความเสยงจากสถานการณความไมแนนอนและภยพบตทอาจเกดขน จากการประเมนความเสยงทอาจเกดขนตอความเสยหายของระบบฐานขอมลแลสารสนเทศ
มความนาจะเปนทอาจเกดขนสงไปต า ตามล าดบดงน ๓.๑ ความเสยงจากไฟฟาดบ ๓.2 ความเสยงอปกรณเครองแมขายช ารด
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๒
๓.3 ความเสยงจากไวรสคอมพวเตอร ๓.๔ ความเสยงจากการบกรก และภยคกคามทางคอมพวเตอร (Hacker) ๓.5 ความเสยงจากไฟไหม
๔. แผนการปองกนและเตรยมความพรอม ๔.1 กรณไฟฟาดบ
๔.1.๑ ตดตงอปกรณส ารองไฟฟา (Uninterruptible Power Supply, UPS) ท สบน. ส าหรบในกรณทไฟฟาดบ ซงจะสามารถส ารองไฟฟาไวไดเปนระยะเวลา 20-25 นาท ซงเพยงพอทจะสงการใหระบบปดการท างาน (Shutdown) โดยทไมเกดความเสยหายตออปกรณหรอขอมล
๔.1.๒ ประชาสมพนธการปดระบบสารสนเทศเพอใหบคลากรรบทราบ ๔.2 กรณทระบบเครอขายมปญหา
๔.2.๑ ตดตงเสนทางส ารองส าหรบระบบงานบรการ ใหสามารถบรการไดอยางตอเนอง
๔.2.๒ จดจางบรษทด าเนนการบ ารงรกษาระบบเครอขาย ๔.2.3 ส ารองขอมลและระบบงาน (Back up) เพอปองกนความเสยหายทอาจจะ
เกดขน เมอขอมลถกท าลายหรอถกบกรก หรอไมสามารถใหบรการได ๔.3 กรณเครองแมขายช ารด
๔.3.๑ Hard disk แบบ RAID-๕ เพอปองกนขอมลเสยหายใหแกระบบงานตางๆ 4.3.2 ด าเนนการตออายการรบประกนเครองคอมพวเตอรแมขาย
๔.4 กรณไวรสคอมพวเตอร ๔.4.๑ ตดตงโปรแกรมส านกงานปองกนและตรวจจบไวรส (Anti-Virus) ครอบคลม
ทกเครองคอมพวเตอรแมขายและลกขาย เพอปองกนความเสยหายของขอมล ๔.4.๒ Update ขอมลไวรสอยางสม าเสมอในทกวน โดยโปรแกรมสามารถท าการ
Update ไวรสไดจาก Server Anti-Virus แบบอตโนมต ๔.4.๓ ตรวจสอบหาไวรสทกครงกอนเปดไฟลจากแผนดสกหรอสอบนทกขอมลตางๆ
๔.๕ กรณการบกรกและภยคกคามทางคอมพวเตอร (Hacker) ๔.๕.๑ ตดตงอปกรณ Firewall เพอรกษาความปลอดภยใหระบบเครอขายและ
ปองกนการใชงานระบบเครอขายทผดวตถประสงค ปองกนการบกรกจากภายนอก 4.4.2 ตดตงอปกรณปองกนและตรวจจบการบกรก (Intrusion Prevention
Systems, IPS) เพอทท าหนาทปองกน (Block) การบกรกระบบเครอขาย ๔.6 กรณไฟไหม
ตดตงอปกรณดบเพลงชนดกาซ ทหองควบคมระบบคอมพวเตอรเพอไวใชในกรณเหตฉกเฉน (ไฟไหม) เพอการควบคมเพลงเบองตนได
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๓
๕. แผนปฏบตและขนตอนตอสถานการณความไมแนนอนและภยพบตทอาจเกดขน 5.1 ขนตอนการแกไขจากกรณไฟฟาดบ
5.1.1 ต Rack ท 3 ใหปดเครองคอมพวเตอรแมขายทงหมด 5.1.2 ต Rack ท 4 ใหปดเครองคอมพวเตอรแมขายทงหมด 5.1.3 ต Rack ท 5 ใหปดเครองคอมพวเตอรแมขายและระบบจดเกบขอมล (Tape) 5.1.4 ต Rack ท 6 ใหปดเครองคอมพวเตอรแมขายและระบบจดเกบขอมล (SAN) 5.1.5 ต Rack ท 1 และ 2 ใหปดอปกรณ Switch และ Appliance 5.1.6 ปดระบบเครองปรบอากาศ 5.1.7 ปดระบบอปกรณส ารองไฟฟา
5.2 ขนตอนการแกไขกรณระบบเครอขายมปญหา 5.2.๑ ตรวจสอบจากอปกรณ Network Monitor ท IP 192.168.1.28 เพอ
ตรวจสอบจดทเกดปญหาและสาเหต ๔.2.๒ ประสานงานเจาหนาท บรษท พอยท ไอท จ ากด (นายสรพนธ พะวนรมย
โทร. 087-992-7502) ๔.2.3 ประสานงานเจาหนาทบรษท B B Broadband จ ากด (นายนตพนธ สมบรณ
โทร. 085-160-7973) 5.3 ขนตอนการแกไขกรณอปกรณเครองแมขายช ารด
5.3.๑ เปลยนอปกรณทดแทน ตดตงระบบปฏบตการและยายขอมล ๔.3.๒ ประสานงานเจาหนาทบรษท พอยท ไอท จ ากด ในกรณทอปกรณอยใน
ระหวางรบประกน (นายสรพนธ พะวนรมย โทร. 087-992-7502) ๔.3.3 ประสานงานฝายพสดเพอเปลยนหมายเลขครภณฑ
5.4 ขนตอนการแกไขกรณไวรสคอมพวเตอร 5.4.๑ ประกาศใหผใชงานตรวจสอบขอมลและท าการส ารองขอมลทส าคญ 5.4.2 ด าเนนการตรวจสอบภาพรวมรวมระบบมอนเตอร ท IP 192.168.1.3 ๔.4.3 เพอปองกนความเสยหายทจะแพรกระจายไปยงเครองอนในระบบเครอขาย
ใหตดความเชอมโยงของเครองคอมพวเตอรทพบไวรสออกจากระบบเครอขาย 5.5 ขนตอนการแกไขกรณการบกรกและภยคกคามทางคอมพวเตอร (Hacker)
5.5.๑ ตรวจสอบจากอปกรณ Network Monitor ท IP 192.168.1.28 เพอตรวจสอบจดทเกดปญหาและสาเหต
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๔
๔.5.๒ ตรวจสอบชองโหวหรอความเสยหายจากการถกโจมต เพอปองกนโดยการปด Port ทไมจ าเปนตอไป
๔.5.3 ประสานงานเจาหนาทบรษท พอยท ไอท จ ากด ในกรณทอปกรณอยในระหวางรบประกน (นายสรพนธ พะวนรมย โทร. 087-992-7502)
5.6 ขนตอนการแกไขกรณไฟไหม 5.6.๑ ตดระบบจายไฟ เพอลดความเสยหาย ๔.6.2 ตรวจสอบความเสยหายและท าความสะอาดสารเคม (FM 200) ทท าการฉดพน
ออกมา เพอแจงบรษท พอยท ไอท จ ากด (นายสรพนธ พะวนรมย โทร 087-992-7502) เพอเตมสารเคมตอไป
6. เจาหนาทผรบผดชอบ 6.1 นายครรชต พะลง โทร 081-623-8912 6.2 นางสาวปฎมา พกตรผอง โทร 081-493-9918 6.3 นายมนญ ทะนนชย โทร 089-122-7850 6.4 นางสาวอรวรรณ วทรกตตกล โทร 089-488-8699
7. การซอม
ก าหนดใหมการซอมและทบทวนความเขาใจอยางนอยปละ 1 ครง ทงนหากหนวยงานใกลเคยง เชน ส านกงานปลดกระทรวงการคลง ส านกงานเศรษฐกจการคลง เปนตน ก าหนดแผนการซอมกรณไฟไหมตองสงเจาหนาทผรบผดชอบของ สบน. เพอเขารวมในการซอมดวย
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๕
ภาคผนวก ง ผรบผดชอบในการดแลอปกรณและระบบเทคโนโลยสารสนเทศ
ท อปกรณ ครรชต ปฏมา มนญ อรวรรณ 1 อปกรณประเภท Firewall × × 2 อปกรณดานเครอขาย Network × × × 3 อปกรณเครองคอมพวเตอรแมขาย (Server) × × 4 อปกรณ SSL & Radius × × 5 อปกรณจดเกบขอมล (Storage) × × × 6 อปกรณคอมพวเตอรตงโตะ (PC) × ๗ อปกรณ Infoblox (DNS & DHCP) × × ๘ อปกรณกระจายสญญาณ (Switch) × × ๙ อปกรณ Video Conference
× ×
1๐ อปกรณ PDMO Channel × ×
ท ระบบเทคโนโลยสารสนเทศ ครรชต ปฏมา มนญ อรวรรณ 1 ระบบฐานขอมลหนสาธารณะ (CS-DRMS) × × 2 ระบบฐานขอมลศนยขอมลทปรกษาไทย × × × 3 ระบบบรหารความเสยง (Risk Model) × × × 4 ระบบจดอนดบความนาเชอถอ (Credit Scoring) × × × 5 ระบบสารบรรณอเลกทรอนกส × × × 6 ระบบบรหารหนสาธารณะ (GFMIS - TR) × × × × 7 ระบบจดหมายอเลกทรอนกส × × × 8 ระบบตดตามการเตอนภยการบรหารผลการด าเนนงานตวชวด (KPI) × × × × 9 ระบบการพฒนาชองทางการสอสารเกยวกบกจกรรมตามแผนจดการความร (KM) × × ×
10 ระบบเครอขายภายใน (Intranet) × × × 11 ระบบเวบไซตส านกงานบรหารหนสาธารณะ (www.pdmo.go.th) × × × 12 ระบบบรหารจดการโครงการเงนกเพอฟนฟเศรษฐกจและพฒนาโครงสราง
พนฐาน (DPL) × × ×
13 ระบบสารสนเทศเพอบรหารจดการโครงการเงนกในประเทศและเงนใหกตอ × × × 14 ระบบลงเวลาปฏบตราชการดวยนวมอ × × ×
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๖
15 ระบบ Stat Xchange × × × 16 ระบบสารสนเทศทรพยากรบคคลระดบกรม (DPIS) × × × ท อปกรณ ครรชต ปฏมา มนญ อรวรรณ
17 ศนยขอมลขาวสาร × × × 18 ศนยรบเรองรองเรยน × × × 19 ระบบสารสนเทศเพอการตดสนใจ (Business Intelligence : BI) × × × 20 ระบบ Microsoft LYNC × × × 21 ระบบบรหารจดการขอมลการบรหารการช าระหน (DMTR) × × × 22 ระบบประชมทางไกล Video Conference × × × 23 ระบบ PDMO Channel × × × 24 ระบบบรหารจดการโครงการลงทนดานการคมนาคมและขนสงของ
ประเทศ (PITL) × ×
แนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศ หนา ๓๗
ภาคผนวก จ ขอปฏบตและหลกเกณฑในการควบคมการใชอปกรณคอมพวเตอรและสอสารเคลอนท
มขนตอนการปฏบตดงน ๑. ผใชงานตองลงทะเบยนตามแบบ ศทส. 03 โดยจะไดชอผใชงาน (User name)
และรหสผาน (Password) ในการเขาใชงาน ๒. ผใชงานตองท าการ Logout ออกจากระบบทนทเมอเลกใชงานหรอไมอยทหนาจอ
เปนเวลานาน ๓. ผใชงานมหนาทรบผดชอบในการ Update โปรแกรมปองกนไวรสอยางสม าเสมอ
เพอปดชองโหว (Vulnerability) ทเกดขนจากซอฟทแวรเปนการปองกนการโจมตจากภยคกคามตางๆ ๔. หามมใหผใชงานท าการปดหรอยกเลกระบบการปองกนไวรสทตดตงอย ๕. หากผใชพบหรอสงสยวาเครองคอมพวเตอรแบบพกพาตดชดค าสงไมพงประสงค
(Malware) หามมใหผใชเชอมตอเครองเขากบระบบเครอขายเพอปองกนการแพรกระจายของชดค าสง ทไมพงประสงคไปยงเครองอนๆ ได
๖. ผใชงานควรจะเกบรกษาสอส ารองขอมล (Backup media) ไวในสถานททเหมาะสม ไมเสยงตอการรวไหลของขอมล
๗. ผใชงานไมควรเกบขอมลส าคญขององคกรไวบนเครองคอมพวเตอรสวนบคคลททานใชงานอย
8. หากผใชงานลาออกจะตองแจงใหศนยเทคโนโลยสารสนเทศทราบทนท เพอปองกนการสวมสทธ
----------------------------------------------