การปฏบตตามมาตรฐานการรกษาความมนคงปลอดภยของระบบสารสนเทศ ของคณะกรรมการธรกรรมทางอเลกทรอนกส

นพ.นวนรรน ธระอมพรพนธคณะแพทยศาสตรโรงพยาบาลรามาธบด

11 สงหาคม 2559

Confidentiality• การรกษาความลบของขอมลIntegrity• การรกษาความครบถวนและความ

ถกตองของขอมล• ปราศจากการเปลยนแปลงแกไข ท า

ใหสญหาย ท าใหเสยหาย หรอถกท าลายโดยมชอบ

Availability• การรกษาสภาพพรอมใชงาน

หลกการของ Information Security

• พรบ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550– ก าหนดการกระท าทถอเปนความผด และหนาทของผใหบรการ

• พรบ.วาดวยธรกรรมทางอเลกทรอนกส พ.ศ. 2544• พรบ.วาดวยธรกรรมทางอเลกทรอนกส (ฉบบท 2) พ.ศ. 2551

– รองรบสถานะทางกฎหมายของขอมลทางอเลกทรอนกส– รบรองวธการสงและรบขอมลอเลกทรอนกส การใชลายมอชอ

อเลกทรอนกส (electronic signature) และการรบฟงพยานหลกฐานทเปนขอมลอเลกทรอนกส เพอสงเสรมการท า e-transactions ใหนาเชอถอ

– ก าหนดใหมคณะกรรมการธรกรรมทางอเลกทรอนกส และอ านาจหนาท

กฎหมายดานเทคโนโลยสารสนเทศของไทย

• หามมใหปฏเสธความมผลผกพนและการบงคบใชทางกฎหมายของขอความใด เพยงเพราะเหตทขอความนนอยในรปของขอมลอเลกทรอนกส (มาตรา 7)

• ใหถอวาขอมลอเลกทรอนกส มการลงลายมอชอแลว ถา (1) ใชวธการทระบตวเจาของลายมอชอ และ (2) เปนวธการทเชอถอได (มาตรา 9)

• ธรกรรมทางอเลกทรอนกสทไดกระท าตามวธการแบบปลอดภยทก าหนดใน พรฎ. ใหสนนษฐานวาเปนวธการทเชอถอได (มาตรา 25)

• ค าขอ การอนญาต การจดทะเบยน ค าสงทางปกครอง การช าระเงน การประกาศ หรอการด าเนนการใดๆ ตามกฎหมายกบหนวยงานของรฐหรอโดยหนวยงานของรฐ ถาไดกระท าในรปของขอมลอเลกทรอนกสตามหลกเกณฑและวธการทก าหนดโดย พรฎ.

• ใหถอวามผลโดยชอบดวยกฎหมาย (มาตรา 35)

ผลทางกฎหมายของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.ก าหนดประเภทธรกรรมในทางแพงและพาณชยทยกเวนมหน ากฎหมายวาดวยธรกรรมทางอเลกทรอนกสมาใชบงคบ พ.ศ. 2549

• ประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส– เรอง การรบรองสงพมพออก พ.ศ. 2555

• ก าหนดหลกเกณฑและวธการรบรองสงพมพออก (Print-Out) ของขอมลอเลกทรอนกส เพอใหสามารถใชอางองแทนขอมลอเลกทรอนกส และมผลใชแทนตนฉบบได

– เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอยในรปของขอมลอเลกทรอนกส พ.ศ. 2553

• ก าหนดหลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความทไดมการจดท าหรอแปลงใหอยในรปของขอมลอเลกทรอนกสในภายหลง

– เรอง แนวทางการจดท าแนวนโยบาย (Certificate Policy) และแนวปฏบต (Certification Practice Statement) ของผใหบรการออกใบรบรองอเลกทรอนกส (Certificate Authority) พ.ศ. 2552

• วาดวยการใหบรการออกใบรบรองอเลกทรอนกส (Certificate)

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ พ.ศ. 2549– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคง

ปลอดภยดานสารสนเทศของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Security Policy ของหนวยงานของรฐทมการท าธรกรรมทาง

อเลกทรอนกสภาครฐ– ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวน

บคคลของหนวยงานของรฐ พ.ศ. 2553• ก าหนดมาตรฐาน Privacy Policy ของหนวยงานของรฐทมการท าธรกรรมทาง

อเลกทรอนกสภาครฐ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.วาดวยการควบคมดแลธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2551

• ประกาศ เรอง หลกเกณฑการพจารณาลงโทษปรบทางปกครองส าหรบผประกอบธรกจใหบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2554

• ประกาศ เรอง หลกเกณฑ วธการ และเงอนไขในการประกอบธรกจบรการการช าระเงนทางอเลกทรอนกส พ.ศ. 2552

• ประกาศ ธปท. ทเกยวของ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทางอเลกทรอนกส พ.ศ. 2553– ประกาศ เรอง ประเภทของธรกรรมทางอเลกทรอนกส และหลกเกณฑการ

ประเมนระดบผลกระทบของธรกรรมทางอเลกทรอนกสตามวธการแบบปลอดภย พ.ศ. 2555

• หลกเกณฑการประเมนเพอก าหนดระดบวธการแบบปลอดภยขนต า– ประกาศ เรอง มาตรฐานการรกษาความมนคงปลอดภยของระบบ

สารสนเทศตามวธการแบบปลอดภย พ.ศ. 2555• ก าหนดมาตรฐานความปลอดภยตามวธการแบบปลอดภยแตละระดบ

กฎหมายล าดบรองของ พรบ.ธรกรรมทางอเลกทรอนกส

สรปความเชอมโยงของกฎหมาย พรบ.ธรกรรมทางอเลกทรอนกส• พรบ.วาดวยธรกรรมทางอเลกทรอนกส• พรฎ.วาดวยวธการแบบปลอดภยในการท า

ธรกรรมทางอเลกทรอนกส (+ ประกาศ 2 ฉบบ)

ประกาศ เรอง หลกเกณฑและวธการในการจดท าหรอแปลงเอกสารและขอความใหอย

ในรปของขอมลอเลกทรอนกส

หนวยงานของรฐ

• พรฎ.ก าหนดหลกเกณฑและวธการในการท าธรกรรมทางอเลกทรอนกสภาครฐ

• ประกาศ เรอง แนวนโยบายและแนวปฏบตในการรกษาความมนคงปลอดภยดานสารสนเทศของหนวยงานของรฐ

• ประกาศ เรอง แนวนโยบายและแนวปฏบตในการคมครองขอมลสวนบคคลของหนวยงานของรฐ

• คณะกรรมการธรกรรมทางอเลกทรอนกส• ส านกงานคณะกรรมการธรกรรมทางอเลกทรอนกส ส านกงาน

ปลดกระทรวง กระทรวงเทคโนโลยสารสนเทศและการสอสาร• ส านกงานพฒนาธรกรรมทางอเลกทรอนกส (องคการมหาชน) หรอ

สพธอ.– Electronic Transactions Development Agency (Public

Organization) - ETDA

หนวยงานทเกยวของกบ พรบ.ธรกรรมทางอเลกทรอนกส

• มาตรา 25 ของ พรบ.วาดวยธรกรรมทางอเลกทรอนกส– “ธรกรรมทางอเลกทรอนกสใดทไดกระท าตามวธการแบบปลอดภยท

ก าหนดในพระราชกฤษฎกา ใหสนนษฐานวาเปนวธการทเชอถอได• พรฎ.วาดวยวธการแบบปลอดภยในการท าธรกรรมทาง

อเลกทรอนกส พ.ศ. 2553– วธการแบบปลอดภย ม 3 ระดบ (พนฐาน, กลาง, เครงครด)– จ าแนกตามประเภทของธรกรรมทางอเลกทรอนกส (ธรกรรมทมผลกระทบ

ตอความมนคงหรอความสงบเรยบรอยของประเทศ หรอตอสาธารณชน) หรอจ าแนกตามหนวยงาน (ธรกรรมของหนวยงานหรอองคกรทถอเปนโครงสรางพนฐานส าคญของประเทศ หรอ Critical Infrastructure)

“วธการแบบปลอดภย”

ธรกรรมทางอเลกทรอนกส ประเภทตอไปน• ดานการช าระเงนทางอเลกทรอนกส• ดานการเงนของธนาคารพาณชย• ดานประกนภย• ดานหลกทรพยของผประกอบธรกจหลกทรพย• ธรกรรมทจดเกบ รวบรวม และใหบรการขอมลของบคคลหรอ

ทรพยสนหรอทะเบยนตางๆ ทเปนเอกสารมหาชนหรอทเปนขอมลสาธารณะ

• ธรกรรมในการใหบรการดานสาธารณปโภคและบรการสาธารณะทตองด าเนนการอยางตอเนองตลอดเวลา

วธการแบบปลอดภยในระดบเครงครด

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบดานมลคาความเสยหายทางการเงน

– ต า: ≤ 1 ลานบาท– ปานกลาง: 1 ลานบาท < มลคา ≤ 100 ลานบาท– สง: > 100 ลานบาท

ระดบผลกระทบกบวธการแบบปลอดภย

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบอนตรายตอ

ชวต รางกาย หรออนามย– ต า: ไมม– ปานกลาง: ผลกระทบตอรางกายหรออนามย 1-1,000 คน– สง: ผลกระทบตอรางกายหรออนามย > 1,000 คน หรอตอชวตตงแต 1 คน

ระดบผลกระทบกบวธการแบบปลอดภย

ใหหนวยงานยดถอหลกการประเมนความเสยงของระบบเทคโนโลยสารสนเทศซงเปนทยอมรบเปนการทวไป เปนแนวทางในการประเมนระดบผลกระทบ ซงตองประเมนผลกระทบในดานตอไปนดวย (ผลกระทบจาก Worst Case Scenario ใน 1 วน)• ผลกระทบตอจ านวนผใชบรการหรอผมสวนไดเสยทอาจไดรบความ

เสยหายอนใด– ต า: ≤ 10,000 คน– ปานกลาง: 10,000 < จ านวนผไดรบผลกระทบ ≤ 100,000 คน– สง: > 100,000 คน

• ผลกระทบดานความมนคงของรฐ– ต า: ไมมผลกระทบตอความมนคงของรฐ– สง: มผลกระทบตอความมนคงของรฐ

ระดบผลกระทบกบวธการแบบปลอดภย

• พจารณาตามประเภทของธรกรรมทางอเลกทรอนกส• พจารณาตามระดบผลกระทบ

– ถามผลประเมนทเปนผลกระทบในระดบสง 1 ดาน ใหใชวธการแบบปลอดภยระดบเครงครด

– ระดบกลางอยางนอย 2 ดาน ใหใชวธการแบบปลอดภยระดบกลาง– นอกจากน ใหใชวธการแบบปลอดภยในระดบพนฐาน

สรปวธการประเมนระดบวธการแบบปลอดภย

• อางองมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements

• มผลใชบงคบเมอพน 360 วน นบแตวนประกาศในราชกจจานเบกษา (19 ธ.ค. 2555) คอ 14 ธ.ค. 2556

• ไมมบทก าหนดโทษ เปนเพยงมาตรฐานส าหรบ “วธการทเชอถอได” ในการพจารณาความนาเชอถอในทางกฎหมายของธรกรรมทางอเลกทรอนกส แตมผลในเชงภาพลกษณและน าหนกการน าขอมลอเลกทรอนกสไปเปนพยานหลกฐานในการตอสคดในศาลหรอการด าเนนการทางกฎหมาย

• คณะกรรมการธรกรรมทางอเลกทรอนกสอาจพจารณาประกาศเผยแพรรายชอหนวยงานทมการจดท านโยบายและแนวปฏบตโดยสอดคลองกบวธการแบบปลอดภย เพอใหสาธารณชนทราบเปนการทวไปกได

ประกาศ เรอง มาตรฐาน Security ตามวธการแบบปลอดภย

• แบงเปน 11 หมวด (Domains)– Security policy– Organization of information security– Asset management– Human resources security– Physical and environmental security– Communications and operations management– Access control– Information systems acquisition, development and

maintenance– Information security incident management– Business continuity management– Regulatory compliance

มาตรฐาน Security ตามวธการแบบปลอดภย

มาตรฐาน Security ตามวธการแบบปลอดภย แตละระดบหมวด (Domain) ระดบพนฐาน ระดบกลาง

(เพมเตมจากระดบพนฐาน)ระดบสง

(เพมเตมจากระดบกลาง)

Security policy 1 ขอ 1 ขอ -

Organization of information security 5 ขอ 3 ขอ 3 ขอ

Asset management 1 ขอ 4 ขอ -

Human resources security 6 ขอ 1 ขอ 2 ขอ

Physical and environmental security 5 ขอ 2 ขอ 6 ขอ

Communications & operations management 18 ขอ 5 ขอ 9 ขอ

Access control 9 ขอ 8 ขอ 8 ขอ

Information systems acquisition, development and maintenance

2 ขอ 6 ขอ 8 ขอ

Information security incident management 1 ขอ - 3 ขอ

Business continuity management 1 ขอ 3 ขอ 1 ขอ

Regulatory compliance 3 ขอ 5 ขอ 2 ขอ

รวม 52 ขอ 38 ขอ (รวม 90 ขอ) 42 ขอ (รวม 132 ขอ)

• ประกาศคณะฯ เรอง นโยบายความปลอดภยสารสนเทศ คณะแพทยศาสตรโรงพยาบาลรามาธบด พ.ศ. 2551

• ประกาศคณะฯ เรอง หลกเกณฑการปฏบตของผไดรบอนญาตใหเขาถงขอมลทางอเลกทรอนกส พ.ศ. 2554

• ประกาศคณะฯ เรอง การขอคดถายส าเนาเวชระเบยนผปวย พ.ศ. 2556

ระเบยบตางๆ ของรามาธบด ดาน Information Security

• ภยคกคามดานความปลอดภยสารสนเทศ เพมขนมากในปจจบน• มการก าหนดมาตรฐานดานความปลอดภยขององคกรในกฎหมาย IT ของ

ไทย• โรงพยาบาลตางๆ จ าเปนจะตองปฏบตตามมาตรฐานดงกลาวและ

กฎหมายทเกยวของ โดยมทงเรองการด าเนนการทางนโยบาย และการด าเนนการในทางปฏบต

สรป