ค�ำ น�ำ ปัจจุบันระบบเทคโนโลยีสารสนเทศเป็นส่ิงสำ�คัญสำ�หรับหน่วยงาน โดยช่วยให้การติดต่อส่ือสาร มปี ระสทิ ธภิ าพและประหยดั ตน้ ทนุ ในการด�ำ เนนิ งาน อยา่ งไรกต็ าม แมร้ ะบบเทคโนโลยสี ารสนเทศจะมปี ระโยชน์ และอ�ำ นวยความสะดวกในดา้ นตา่ ง ๆ แตก่ ม็ คี วามเสย่ี งตอ่ การถกู โจมตจี ากผไู้ มห่ วงั ดไี ดม้ ากขน้ึ ซง่ึ อาจกอ่ ใหเ้ กดิ อาชญากรรมทางคอมพวิ เตอรไ์ ด้หลายรปู แบบหรอื การบกุ รุกโจมตีผา่ นระบบเครอื ขา่ ยอนิ เตอรเ์ น็ต เพื่อก่อกวน ใหร้ ะบบใชก้ ารไม่ได้ รวมถึงการขโมยขอ้ มูลหรอื ความลบั ทางราชการ ซึ่งสง่ิ เหลา่ น้ี เปน็ การสร้างความเสยี หาย ดา้ นระบบสารสนเทศเปน็ อยา่ งมาก ทง้ั ยงั สง่ ผลทางลบตอ่ ชอ่ื เสยี งหรอื ภาพพจนข์ องหนว่ ยงาน ดงั นน้ั ผใู้ ชบ้ รกิ าร และผดู้ แู ลระบบงานดา้ นเทคโนโลยสี ารสนเทศและการสอ่ื สาร จงึ มคี วามจ�ำ เปน็ จะตอ้ งตระหนกั ถงึ การดแู ลบ�ำ รงุ รกั ษา และการควบคมุ รกั ษาความม่ันคงปลอดภัยดา้ นสารสนเทศเป็นอยา่ งยง่ิ โดยมีหลักส�ำ คัญด้วยกัน ๓ ประการ คือ ความลับ (Confidentiality) ความถกู ต้องสมบรู ณ์ (Integrity) และความพร้อมใชง้ าน (Availability) เพื่อใหเ้ ปน็ ไป ตามมาตรฐานสากล ดังนั้น กรมการพัฒนาชุมชน จึงได้จัดทำ�แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัย ดา้ นสารสนเทศ ประจ�ำ ปี ๒๕๖๒ ซง่ึ ด�ำ เนนิ การภายใตพ้ ระราชกฤษฎกี าก�ำ หนดหลกั เกณฑแ์ ละวธิ กี ารท�ำ ธรุ กรรม ทางอิเล็กทรอนกิ สภ์ าครฐั พ.ศ. ๒๕๔๙ ประกาศคณะกรรมการธรุ กรรมทางอิเลก็ ทรอนกิ ส์ เรอ่ื ง แนวนโยบาย และแนวปฏบิ ตั ใิ นการรกั ษาความมน่ั คงปลอดภยั ดา้ นสารสนเทศของหนว่ ยงานของรฐั พ.ศ. ๒๕๕๓ และฉบบั ที่ ๒ พ.ศ. ๒๕๕๖ เพ่ือให้หน่วยงานท้ังส่วนกลางและภูมิภาค ใช้เป็นแนวทางเสริมสร้างความม่ันคงปลอดภัย แกร่ ะบบสารสนเทศชุมชน กรมการพฒั นาชมุ ชน จงึ หวงั เปน็ อยา่ งยงิ่ วา่ แนวนโยบายและแนวปฏบิ ตั ใิ นการรกั ษาความมน่ั คงปลอดภยั ดา้ นสารสนเทศฉบบั นี้ จะเปน็ เครอื่ งมอื ใหก้ บั ผใู้ ชบ้ รกิ าร ผดู้ แู ลระบบและผทู้ เี่ กย่ี วขอ้ งกบั ระบบเทคโนโลยสี ารสนเทศ ของกรมการพฒั นาชุมชนทกุ ระดบั ในการดแู ลรกั ษาความม่ันคงปลอดภยั ระบบเทคโนโลยสี ารสนเทศของหน่วย งานต่อไป กรมการพัฒนาชมุ ชน มีนาคม ๒๕๖๒
สารบญั ค�ำ นำ� สารบัญ ประกาศกรมการพฒั นาชมุ ชน เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมน่ั คง ๙-๑๗ ปลอดภยั ด้านสารสนเทศของกรมการพัฒนาชุมชน พ.ศ. ๒๕๖๒ เอกสารแนบท้ายประกาศ เรื่อง แนวนโยบายและแนวปฏิบตั ใิ นการรกั ษาความมั่นคงปลอดภัย ๑๙-๕๗ ด้านสารสนเทศของกรมการพัฒนาชุมชน พ.ศ. ๒๕๖๒ ส่วนที่ ๑ นโยบายควบคุมการเขา้ ถงึ และการใชง้ านระบบสารสนเทศ ๒๑-๔๘ ๑. การควบคมุ การเข้าถงึ และการใช้งานสารสนเทศ (Access Control) ๒๑-๒๓ ๒. การรักษาความมน่ั คงปลอดภยั ทางด้านกายภาพและส่ิงแวดล้อม ๒๓-๒๕ (Physical and Environmental Security) ๓. การบรหิ ารจดั การการเข้าถงึ ของผู้ใช้งาน (User Access Management) ๒๕-๒๗ ๔. การควบคุมการเข้าถงึ เครอื ขา่ ย (Network Access Control) ๒๘-๓๐ ๕. การควบคมุ การเข้าถึงระบบปฏบิ ัตกิ าร (Operating System Access Control) ๓๐-๓๑ ๖. การควบคุมการเขา้ ถงึ โปรแกรมประยุกต์หรือแอพพลเิ คชน่ั และสารสนเทศ ๓๑-๓๓ (Application and Information Access Control) ๗. การควบคมุ การเข้าถงึ ระบบเครอื ขา่ ยไรส้ าย (Wireless LAN Access Control) ๓๓-๓๔ ๘. การเขา้ ถงึ เครอ่ื งคอมพวิ เตอร์แม่ข่าย (Server) ๓๕-๓๗ ๙. การกำ�หนดหนา้ ท่คี วามรับผดิ ชอบของผใู้ ชง้ าน (User Responsibilities) ๓๗-๔๑ ๑๐. การใช้งานเคร่อื งคอมพิวเตอร์สว่ นบคุ คลและเครือ่ งคอมพวิ เตอรแ์ บบพกพา ๔๑-๔๒ (Use of Personal Computers and Portable Computers) ๑๑. การบรหิ ารจดั การการเขา้ ถึงข้อมูลตามระดับชัน้ ความลบั ๔๒-๔๔ (Management of Confidential Data Access) ๑๒. การควบคุมการใช้งานระบบจดหมายอิเล็กทรอนิกส์ (E-Mail) ๔๔-๔๕ ๑๓. การใชง้ านเครือข่ายสังคมออนไลน์ (Social Network) ๔๕-๔๖ ๑๔. การจดั เก็บขอ้ มูลจราจรคอมพวิ เตอร์ (Log) ๔๖ ๑๕. การป้องกนั โปรแกรมไม่ประสงค์ดี (Preventing Malware) ๔๖-๔๗ ๑๖. การป้องกันโปรแกรมชดุ คำ�สงั่ ไมพ่ งึ ประสงค์ (Malware) ๔๗ ๑๗. การบรหิ ารระบบรักษาความปลอดภัยไฟร์วอลล์ (Firewall) ๔๗-๔๘ ส่วนที่ ๒ นโยบายระบบสารสนเทศและระบบสำ�รองของสารสนเทศ ๔๙-๕๒ ส่วนท่ี ๓ นโยบายการตรวจสอบและประเมินความเสย่ี งด้านสารสนเทศ ๕๓-๕๔ สว่ นที่ ๔ นโยบายการสร้างความรคู้ วามเข้าใจในการใช้ระบบสารสนเทศและระบบคอมพิวเตอร ์ ๕๕-๕๖ ส่วนท่ี ๕ การพจิ ารณาความผดิ และการดำ�เนินการทางวินยั ๕๗
สารบัญ ภาคผนวก ก ๕๙-๖๑ - วิธีปฏบิ ัติในการทำ�ลายข้อมูล ๖๓-๘๓ ภาคผนวก ข ๖๕-๗๐ - พระราชกฤษฎกี าก�ำ หนดหลักเกณฑ์และวิธีการในการท�ำ ธรุ กรรมทางอเิ ล็กทรอนิกส์ ๗๒-๘๐ ภาครฐั พ.ศ. ๒๕๔๙ ๘๑-๘๓ - ประกาศคณะกรรมการธรุ กรรมทางอเิ ลก็ ทรอนกิ ส์ เรอ่ื ง แนวนโยบายและแนวปฏบิ ัต ิ ในการรักษาความม่นั คงปลอดภยั ด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓ - ประกาศคณะกรรมการธุรกรรมทางอเิ ล็กทรอนิกส์ เรื่อง แนวนโยบายและแนวปฏิบตั ิ ในการรักษาความมน่ั คงปลอดภยั ดา้ นสารสนเทศของหน่วยงานของรัฐ (ฉบับที่ ๒) พ.ศ. ๒๕๕๖
ประกาศกรมการพฒั นาชมุ ชน เรอื่ ง แนวนโยบายและแนวปฏิบตั ใิ นการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศ ของกรมการพัฒนาชมุ ชน พ.ศ. ๒๕๖๒ อาศัยอ�ำนาจตามความในมาตรา ๕ และมาตรา ๗ แห่งพระราชกฤษฎีกาก�ำหนดหลักเกณฑ์และวิธีการ ในการท�ำธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. ๒๕๔๙ ก�ำหนดให้หน่วยงานของรัฐต้องจัดท�ำประกาศ แนวนโยบายและแนวปฏิบัติในการรักษาความปลอดภัยด้านสารสนเทศเพื่อให้การด�ำเนินการใด ๆ ด้วยวิธีการ ทางอิเล็กทรอนิกส์กับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐมีความมั่นคงปลอดภัยและเชื่อถือได้ อธิบดีกรมการพัฒนาชุมชน โดยความเห็นชอบของคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ จึงออกประกาศ ดังตอ่ ไปน้ี ขอ้ ๑ ประกาศนเี้ รยี กวา่ “ประกาศกรมการพฒั นาชมุ ชน เรอื่ ง แนวนโยบายและแนวปฏบิ ตั ใิ นการรกั ษา ความปลอดภัยด้านสารสนเทศของกรมการพัฒนาชุมชน พ.ศ. ๒๕๖๒” ข้อ ๒ ประกาศนใ้ี ห้ใช้บงั คับตั้งแต่วันถดั จากวนั ประกาศ เปน็ ตน้ ไป ขอ้ ๓ ค�ำนิยาม ประกอบดว้ ย (๑) “กรมการพัฒนาชุมชน” หมายความว่า หน่วยงานตามพระราชบัญญัติปรับปรุงกระทรวง ทบวง กรม พ.ศ. ๒๕๔๕ (๒) “สว่ นกลาง” หมายความวา่ ส�ำนกั /สถาบนั /กอง/ศูนย์ และรวมถงึ ศนู ยศ์ ึกษาและพัฒนาชมุ ชน ทุกแหง่ ที่สังกัดกรมการพัฒนาชุมชน (๓) “ส่วนภูมิภาค” หมายความว่า ส�ำนักงานพัฒนาชุมชนจังหวัดและทุกหน่วยงานท่ีสังกัด กรมการพัฒนาชมุ ชน (๔) “ศูนย์สารสนเทศเพ่ือการพัฒนาชุมชน” หมายความว่า หน่วยงานตามกฎกระทรวง แบ่งส่วนราชการกรมการพัฒนาชุมชน กระทรวงมหาดไทย พ.ศ. ๒๕๕๒ (๕) “ผบู้ รหิ าร” หมายความวา่ อธบิ ดกี รมการพฒั นาชมุ ชนหรอื ผทู้ อี่ ธบิ ดกี รมการพฒั นาชมุ ชนมอบหมาย (๖) “ผ้บู รหิ ารเทคโนโลยสี ารสนเทศระดบั สูง (Chief Information Officer : CIO)” หมายความวา่ ผทู้ ่มี ีชอ่ื ในค�ำส่งั แตง่ ตั้ง มีหนา้ ที่ ๑) ก�ำหนดนโยบายดา้ นการควบคุม การใช้ระบบคอมพวิ เตอร์และเครือขา่ ย ๒) ใหค้ �ำปรึกษาแกผ่ อู้ �ำนวยการศูนยส์ ารสนเทศเพอื่ การพฒั นาชุมชน ๓) รายงานเหตกุ ารณ์และผลการปฏิบตั งิ านตามระเบยี บให้ อธิบดีกรมการพฒั นาชุมชนทราบ 9
(๗) “ผดู้ แู ลระบบเครอื ขา่ ยคอมพวิ เตอร”์ (System Administrator) หมายความวา่ ผไู้ ดร้ บั มอบหมาย ให้มีหน้าที่รับผิดชอบดูแลรักษาเครือข่ายคอมพิวเตอร์และสามารถเข้าถึงโปรแกรม รวมท้ังอุปกรณ์เครือข่าย คอมพิวเตอรเ์ พอื่ การบริหารจัดการ แบง่ เป็น ๒ ส่วน สว่ นกลาง ก. ผอู้ �ำนวยการศนู ย์สารสนเทศเพอ่ื การพัฒนาชุมชน ๑) เปน็ ผบู้ งั คบั บญั ชาสงู สดุ ในการปฏบิ ตั กิ ารใชร้ ะบบคอมพวิ เตอรแ์ ละเครอื ขา่ ยระดบั กรมการพฒั นาชมุ ชน ๒) มอี �ำนาจสั่งการใหห้ ยดุ หรอื ปฏบิ ตั กิ ารระงบั เหตุที่เกดิ ขน้ึ จากการไมป่ ฏิบตั ิตามประกาศนี้ ๓) รายงานเหตกุ ารณแ์ ละผลการปฏบิ ตั งิ านตามประกาศให้ ผบู้ รหิ ารเทคโนโลยสี ารสนเทศ ระดบั สูง (CIO) ทราบ ข. ผู้อ�ำนวยการกล่มุ งานพัฒนาระบบเครอื ข่าย ๑) เป็นผู้วิเคราะห์สถานการณ์และแจ้งเหตุการณ์ต่อผู้อ�ำนวยการศูนย์สารสนเทศ เพอ่ื การพฒั นาชมุ ชน เพอ่ื ระงบั เหตกุ ารณจ์ ากการไมป่ ฏบิ ตั ติ ามประกาศของผใู้ ชง้ านตอ่ ผอู้ �ำนวยการศนู ยส์ ารสนเทศ เพ่ือการพัฒนาชุมชน ๒) มอี �ำนาจสงั่ การแทนผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชน ในกรณที ผี่ อู้ �ำนวยการ ศูนยส์ ารสนเทศเพือ่ การพัฒนาชมุ ชนไมส่ ามารถปฏบิ ตั ริ าชการได้ สว่ นภูมิภาค ก. พฒั นาการจังหวดั ทุกจังหวัด ๑) เปน็ ผบู้ งั คบั บญั ชาสงู สดุ ในการปฏบิ ตั กิ ารใชร้ ะบบคอมพวิ เตอรแ์ ละเครอื ขา่ ยระดบั จงั หวดั ๒) มอี �ำนาจส่งั การใหห้ ยดุ หรอื ปฏบิ ตั กิ ารระงับเหตทุ ี่เกดิ ขน้ึ จากการไมป่ ฏบิ ัตติ ามประกาศน้ี ๓) รายงานเหตกุ ารณแ์ ละผลการปฏบิ ตั งิ านตามระเบยี บให้ ผอู้ �ำนวยการศนู ยส์ ารสนเทศ เพือ่ การพัฒนาชมุ ชนทราบ ข. หัวหนา้ กลุ่มงานสารสนเทศการพฒั นาชุมชน ส�ำนกั งานพฒั นาชมุ ชนจังหวดั ๑) เปน็ ผวู้ เิ คราะหส์ ถานการณใ์ นระดบั ส�ำนกั งานพฒั นาชมุ ชนจงั หวดั ส�ำนกั งานพฒั นา ชุมชนอ�ำเภอและแจ้งเหตุการณ์ต่อพัฒนาการจังหวัด เพื่อระงับเหตุการณ์ไม่ปฏิบัติตามประกาศของผู้ใช้งาน ต่อพัฒนาการจังหวัด ๒) มีอ�ำนาจสง่ั การแทนพัฒนาการจังหวัด ในกรณีทพี่ ฒั นาการจงั หวัดไม่สามารถปฏิบตั ิ ราชการได้ (๘) “ผู้ใช้งาน (User)” หมายความว่า ข้าราชการสังกัดกรมการพัฒนาชุมชนรวมถึงลูกจ้าง และพนักงานราชการหรือบุคคลภายนอกท่ไี ดร้ ับมอบหมายให้ปฏิบัตงิ าน ตามสัญญาของกรมการพัฒนาชมุ ชน (๙) “สทิ ธิของผใู้ ช้งาน (User Management)” หมายความวา่ สิทธทิ ว่ั ไป สทิ ธจิ �ำเพาะ สทิ ธิพิเศษ และสิทธิอ่ืนใดท่ีเกี่ยวข้องกับระบบสารสนเทศของหน่วยงาน และก�ำหนดระดับสิทธิในการเข้าถึงระบบ ด้วยการก�ำหนดบญั ชผี ใู้ ช้งาน (๑๐) “บัญชีผ้ใู ชง้ าน (User Account)” หมายความวา่ บญั ชีที่ผู้ใชง้ านใช้ในการเขา้ ถึงและใช้งาน ระบบคอมพิวเตอร์ ซ่ึงเป็นไปตามข้อตกลงระหว่างผู้ใชง้ านกับผู้ใหบ้ รกิ ารระบบคอมพวิ เตอร์ 10
(๑๑) “ช่ือผใู้ ช้ (Username)” หมายความว่า ชุดของตัวอักษรหรือตัวเลขท่ีถกู ก�ำหนดขึน้ เพอื่ ใชใ้ นการเขา้ ใช้งานระบบคอมพิวเตอร์และระบบเครอื ข่ายทม่ี ีการก�ำหนดสทิ ธกิ ารใชง้ านไว้ (๑๒) “รหัสผ่าน (Password)” หมายความว่า ตวั อักษรหรืออกั ขระหรอื ตวั เลข ทใี่ ชเ้ ปน็ เคร่อื งมือ ในการตรวจสอบยนื ยนั ตัวบุคคล เพื่อควบคุมการเขา้ ถงึ ข้อมลู และระบบข้อมูลในการรกั ษาความม่ันคงปลอดภยั ของข้อมลู และระบบเทคโนโลยสี ารสนเทศ (๑๓) “เครือข่ายคอมพิวเตอร”์ หมายความวา่ เครอื ข่ายคอมพิวเตอรข์ องกรมการพฒั นาชุมชน (๑๔) “เครอ่ื งคอมพวิ เตอร”์ หมายความวา่ อปุ กรณป์ ระมวลผลขอ้ มลู ทที่ �ำงานดว้ ยระบบ อิเลก็ ทรอนิกสท์ ีม่ คี วามเรว็ สูง โดยท�ำงานตามค�ำสงั่ ผ่านทางซอฟต์แวรใ์ หไ้ ด้ผลตามท่ีตอ้ งการ ซึง่ ไดแ้ ก่ คอมพวิ เตอรแ์ ม่ขา่ ย (Server) คอมพิวเตอรส์ ่วนบคุ คล (Personal Computer) และคอมพวิ เตอรแ์ บบพกพา (Notebook Computer) (๑๕) “อุปกรณ์คอมพิวเตอร”์ หมายความวา่ อปุ กรณอ์ เิ ล็กทรอนกิ ส์ที่ใชง้ านร่วมกับเคร่ืองคอมพวิ เตอร์ เพอ่ื สนับสนุนให้เครือ่ งคอมพวิ เตอรป์ ฏิบัติงานไดต้ ามต้องการ (๑๖) “สินทรพั ย”์ หมายความวา่ ส่ิงใดก็ตามทั้งที่มตี วั ตนและไมม่ ีตัวตนอนั มีมูลค่าหรอื คุณค่า ส�ำหรับหน่วยงาน (๑๗) “การเขา้ ถงึ หรือควบคมุ การใชง้ านสารสนเทศ” หมายความวา่ การอนญุ าตการก�ำหนดสิทธิ หรือการมอบอ�ำนาจให้ผู้ใช้งานเข้าถึงหรือใช้งานเครือข่ายหรือระบบสารสนเทศ ทั้งทางอิเล็กทรอนิกส์และ ทางกายภาพ รวมทงั้ การอนญุ าตเชน่ วา่ นนั้ ส�ำหรบั บคุ คลภายนอก ตลอดจนอาจก�ำหนดขอ้ ปฏบิ ตั เิ กย่ี วกบั การเขา้ ถงึ โดยมิชอบเอาไว้ดว้ ยก็ได้ (๑๘) “ความมั่นคงปลอดภัยด้านสารสนเทศ” หมายความว่า การธ�ำรงไว้ซ่ึงความลับ (Confidentiality) ความถกู ตอ้ งครบถว้ น (Integrity) และสภาพพรอ้ มใชง้ าน (Availability) ของสารสนเทศ รวมท้ังคณุ สมบตั ิอื่น ไดแ้ ก่ ความถูกตอ้ งแทจ้ รงิ (Authenticity) ความรับผิดชอบ (Accountability) การหา้ มปฏิเสธความรบั ผดิ ชอบ (Non-Repudiation) และความน่าเชือ่ ถอื (Reliability) (๑๙) “เหตุการณ์ด้านความม่ันคงปลอดภัย” หมายความว่า กรณีที่ระบุการเกิดเหตุการณ์ สภาพของบรกิ ารหรอื เครอื ขา่ ยทแ่ี สดงใหเ้ หน็ ความเปน็ ไปไดท้ จี่ ะเกดิ การฝา่ ฝนื นโยบายดา้ นความมน่ั คงปลอดภยั หรอื มาตรการปอ้ งกนั ทล่ี ้มเหลวหรอื เหตกุ ารณอ์ ันไมอ่ าจรู้ได้วา่ อาจเกี่ยวข้องกับความมั่นคงปลอดภยั (๒๐) “สถานการณ์ด้านความม่ันคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด” หมายความว่า สถานการณ์ด้านความมั่นคงปลอดภัยที่ไม่พึงประสงค์หรือไม่อาจคาดคิด ซ่ึงอาจท�ำให้ระบบของหน่วยงาน ถูกบุกรกุ หรอื โจมตแี ละความม่นั คงปลอดภัยถกู คกุ คาม (๒๑) “ระบบอินเทอร์เน็ต (Internet)” หมายความว่า ระบบเครือข่ายอิเล็กทรอนิกส์ท่ีเชื่อมต่อ ระบบเครอื ข่ายคอมพิวเตอรต์ ่าง ๆ ของหนว่ ยงานเขา้ กบั เครือข่ายอินเทอรเ์ น็ตสากล (๒๒) “ระบบสารสนเทศ” หมายความว่า ระบบงานของหนว่ ยงานทน่ี �ำเอาเทคโนโลยสี ารสนเทศ ระบบคอมพิวเตอร์และระบบเครือข่ายมาช่วยในการสร้างสารสนเทศที่หน่วยงานสามารถน�ำมาใช้ประโยชน์ ในการวางแผน การบริหาร การสนับสนุนให้การบริการการพัฒนาและควบคุมการติดต่อสื่อสาร ซงึ่ มอี งคป์ ระกอบ ไดแ้ ก่ ระบบคอมพวิ เตอร์ ระบบเครอื ขา่ ย ระบบปฏบิ ตั กิ าร โปรแกรมประยกุ ต์ ขอ้ มลู สารสนเทศ เป็นตน้ 11
(๒๓) “หนว่ ยงานภายนอก” หมายความวา่ องคก์ รหรอื หนว่ ยงานภายนอกทไี่ ดร้ บั อนญุ าตใหม้ สี ทิ ธิ ในการเข้าถึงและการใช้งานข้อมูลหรือทรัพย์สินต่าง ๆ ของหน่วยงาน โดยจะได้รับสิทธิในการใช้ระบบ ตามอ�ำนาจ หน้าที่และตอ้ งรับผิดชอบในการรกั ษาความลับข้อมูล (๒๔) “ข้อมูล” หมายความว่า สง่ิ ที่สือ่ ความหมายใหร้ ้เู รอื่ งราว ขอ้ เท็จจริง หรอื สิง่ ใด ๆ ไมว่ า่ การสอ่ื ความหมายนนั้ จะท�ำไดโ้ ดยสภาพของสงิ่ นนั้ เองหรอื โดยผา่ นวธิ กี ารใด ๆ และไมว่ า่ จะจดั ท�ำในรปู ของเอกสาร แฟม้ รายงาน หนงั สอื แผนผงั แผนที่ ภาพวาด ภาพถา่ ย ฟลิ ม์ การบนั ทกึ ภาพหรอื เสยี ง การบนั ทกึ โดยเครอ่ื งคอมพวิ เตอร์ หรือวิธอี ื่นใดทที่ �ำให้สิง่ ทบี่ ันทกึ ไวป้ รากฏได้ (๒๕) “การเขา้ รหสั (Encryption)” หมายความวา่ การน�ำขอ้ มลู มาเขา้ รหสั เพอ่ื ปอ้ งกนั การลกั ลอบ เข้ามาใช้ข้อมูล ผู้ท่ีสามารถเปิดไฟล์ข้อมูลที่เข้ารหัสไว้จะต้องมีโปรแกรมถอดรหัสเพื่อให้ข้อมูลกลับมาใช้งานได้ ตามปกติ (๒๖) “จดหมายอเิ ลก็ ทรอนิกส์ (E-mail)” หมายความว่า ระบบทบี่ ุคคลใช้ในการรบั - ส่งข้อความ ระหว่างกัน โดยผ่านเครื่องคอมพิวเตอร์และระบบเครือข่ายท่ีเช่ือมโยงถึงกัน ข้อมูลที่ส่งจะเป็นได้ทั้งตัวอักษร ภาพถา่ ย ภาพกราฟกิ ภาพเคลอ่ื นไหว ท่ผี สู้ ่งสามารถสง่ ขา่ วสารไปยงั ผู้รับคนเดยี วหรือหลายคนก็ได้ มาตรฐาน ท่ีใชใ้ นการรบั - สง่ ขอ้ มลู ชนิดนี้ ไดแ้ ก่ SMTP , POP๓ และ IMAP เปน็ ตน้ (๒๗) “สอื่ บนั ทกึ พกพา” หมายความวา่ สอ่ื อเิ ลก็ ทรอนกิ สท์ ใี่ ชใ้ นการบนั ทกึ หรอื จดั เกบ็ ขอ้ มลู ไดแ้ ก่ Flash Drive หรอื Handy Drive หรอื Thumb Drive หรือ External Hard disk หรือ Floppy disk เปน็ ตน้ (๒๘) “อปุ กรณ์จัดเสน้ ทาง (Router)” หมายความวา่ อุปกรณท์ ใ่ี ช้ในระบบเครือขา่ ยคอมพวิ เตอร์ ทที่ �ำหน้าท่จี ัดเสน้ ทางและค้นหาเสน้ ทางเพ่อื ส่งข้อมูลต่อไปยงั ระบบเครอื ขา่ ยอ่นื (๒๙) “การพสิ จู นย์ นื ยนั ตวั ตน (Authentication)” หมายความวา่ ขน้ั ตอนการรกั ษาความปลอดภยั ในการเข้าใช้ระบบ เป็นข้ันตอนในการพิสูจน์ตัวตนของผู้ใช้บริการระบบท่ัวไป โดยใช้ช่ือผู้ใช้ (Username) และรหสั ผา่ น (Password) (๓๐) “SSID (Service Set Identifier)” หมายความว่า บริการทรี่ ะบุช่อื ของเครือขา่ ยไรส้ ายแต่ละ เครอื ขา่ ยท่ีไม่ซำ�้ กัน โดยท่ที ุก ๆ เคร่อื งในระบบต้องต้ังค่า SSID คา่ เดียวกนั (๓๑) “WEP (Wired Equivalent Privacy)” หมายความวา่ ระบบการเขา้ รหสั เพอื่ รกั ษาความปลอดภยั ของข้อมูลในเครือข่ายไร้สายโดยอาศัยชุดตัวเลขมาใช้เข้ารหัสข้อมูล ดังนั้น ทุกเครื่องในเครือข่าย ทรี่ ับ - สง่ ขอ้ มลู ถึงกันจงึ ต้องรูค้ า่ ชดุ ตัวเลขนี้ (๓๒) “WPA (Wi-Fi Protected Access)” หมายความวา่ ระบบการเขา้ รหสั เพอ่ื รกั ษาความปลอดภยั ของขอ้ มลู ในเครือข่ายไรส้ ายทพ่ี ฒั นาข้นึ มาใหมใ่ หม้ คี วามปลอดภัยมากกวา่ วิธีเดมิ อย่าง WEP (๓๓) “MAC Address (Media Access Control Address)” หมายความวา่ หมายเลขเฉพาะ ที่ใช้อ้างถึงอุปกรณ์ที่ต่อกับระบบเครือข่าย หมายเลขนี้จะมากับอินเทอร์เน็ตการ์ด โดยแต่ละการ์ด จะมหี ลายเลขทไี่ มซ่ ำ�้ กนั ตัวเลขจะอยู่รปู ของเลขฐาน ๑๖ จ�ำนวน ๖ คู่ ตวั เลขเหลา่ นจี้ ะมปี ระโยชน์ไว้ใช้ส�ำหรบั การสง่ ผ่านขอ้ มลู ไปยงั ต้นทางและปลายทางไดอ้ ย่างถูกตอ้ ง (๓๔) “VPN (Virtual Private Network)” หมายความวา่ เครอื ขา่ ยคอมพิวเตอรเ์ สมือนท่สี ร้างข้ึน มาเปน็ ของสว่ นตวั โดยในการรบั - สง่ ขอ้ มลู จรงิ จะท�ำโดยการเขา้ รหสั เฉพาะแลว้ รบั - สง่ ผา่ นเครอื ขา่ ยอนิ เทอรเ์ นต็ ท�ำให้บคุ คลอ่ืนไม่สามารถอ่านได้ และมองไมเ่ ห็นข้อมลู นน้ั ไปจนถงึ ปลายทาง 12
(๓๕) “แผนผังระบบเครือข่าย (Network Diagram)” หมายความว่า แผนผังซึ่งแสดงถึงการเชื่อมตอ่ ของระบบเครอื ข่ายของหน่วยงาน ขอ้ ๔ การรกั ษาความมั่นคงปลอดภัยดา้ นสารสนเทศในการท�ำธุรกรรมทางอิเลก็ ทรอนิกส์ ตามประกาศนี้ มี ๒ ส่วนดังนี้ (๑) นโยบายในการรักษาความม่ันคงปลอดภัยด้านสารสนเทศ ต้องมีเน้ือหาอย่างน้อยครอบคลุม ตามข้อ ๕ (๒) แนวปฏบิ ตั ใิ นการรกั ษาความมนั่ คงปลอดภยั ดา้ นสารสนเทศ ตอ้ งมเี นอื้ หาอยา่ งนอ้ ยครอบคลมุ ตามขอ้ ๖ - ๑๔ ขอ้ ๕ นโยบายในการรักษาความม่ันคงปลอดภัยด้านสารสนเทศ ตามประกาศน้ี มี ๒ สว่ นดังน้ี (๑) สว่ นทีว่ ่าด้วยการจดั ท�ำนโยบาย ๑) ผบู้ รหิ าร เจา้ หนา้ ทปี่ ฏบิ ตั กิ ารดา้ นคอมพวิ เตอรแ์ ละผใู้ ชง้ านไดม้ สี ว่ นรว่ มในการท�ำนโยบาย ๒) นโยบายได้ท�ำเป็นลายลักษณอ์ ักษร โดยประกาศให้ผู้ใช้งานทราบและสามารถเข้าถึงได้ อยา่ งสะดวกผา่ นทางเวบ็ ไซต์ของกรมการพัฒนาชมุ ชน ๓) ก�ำหนดผ้รู บั ผดิ ชอบตามนโยบายและแนวปฏบิ ตั ดิ ังกลา่ วให้ชดั เจน ๔) ใหท้ บทวนและปรับปรงุ นโยบายอยา่ งน้อยปีละ ๑ คร้ัง (๒) ส่วนท่วี ่าด้วยรายละเอยี ดของนโยบาย ๑) การเขา้ ถงึ หรอื ควบคมุ การใชง้ านสารสนเทศ มนี โยบายทจ่ี ะใหบ้ รกิ ารเทคโนโลยสี ารสนเทศ แก่ผู้ใช้งานและประชาชนอย่างทั่วถึง โดยให้ผู้ใช้งานและประชาชนสามารถเข้าถึงและใช้งานระบบสารสนเทศ ได้อยา่ งสะดวกและรวดเรว็ รวมทงั้ มีการใหค้ วามคุม้ ครองขอ้ มูลทไ่ี ม่พึงเปิดเผย ๒) มรี ะบบสารสนเทศและระบบส�ำรองของสารสนเทศ มนี โยบายในการบรหิ ารจดั การ ระบบสารสนเทศทไ่ี ดม้ าตรฐาน โดยมกี ารแยกประเภทและจดั เกบ็ เทคโนโลยสี ารสนเทศเปน็ หมวดหมู่ มรี ะบบส�ำรอง ระบบสารสนเทศและระบบคอมพวิ เตอรท์ สี่ มบรู ณพ์ รอ้ มใชง้ าน รวมทงั้ มแี ผนฉกุ เฉนิ ในการใชง้ านเพอ่ื ใหส้ ามารถ ท�ำงานไดอ้ ยา่ งต่อเน่ือง ๓) มกี ารตรวจสอบและประเมนิ ความเสยี่ งดา้ นสารสนเทศ มนี โยบายในการตรวจสอบ และประเมินความเสี่ยง รวมถึงก�ำหนดมาตรการในการควบคมุ ความเสยี่ งดา้ นสารสนเทศ อย่างนอ้ ยปลี ะ ๑ ครัง้ ๔) การสรา้ งความรคู้ วามเขา้ ใจในการใชร้ ะบบสารสนเทศและระบบคอมพวิ เตอร์ มนี โยบาย ในการสร้างความรู้ความเข้าใจ โดยการจัดท�ำคู่มือ จัดฝึกอบรมและเผยแพร่การใช้งานระบบสารสนเทศ และระบบคอมพิวเตอร์ใหแ้ กผ่ ู้ใช้งานท้งั ภายในและภายนอก ขอ้ ๖ ขอ้ ก�ำหนดการเขา้ ถงึ หรอื ควบคมุ การใชง้ านระบบสารสนเทศ (Access Control) อยา่ งนอ้ ย ดงั น้ี (๑) ควบคุมการเข้าถึงข้อมูลและอุปกรณ์ในการประมวลผลข้อมูล โดยค�ำนึงถึงการใช้งาน และความมัน่ คงปลอดภยั 13
(๒) ในการก�ำหนดกฎเกณฑเ์ ก่ียวกับการอนุญาตให้เขา้ ถึง ต้องก�ำหนดตามนโยบายทเ่ี ก่ยี วข้อง กับการอนุญาตการก�ำหนดสทิ ธิหรอื การมอบอ�ำนาจของหน่วยงาน (๓) ต้องก�ำหนดเกี่ยวกับประเภทของข้อมูล ล�ำดับความส�ำคัญหรือล�ำดับชั้นความลับของข้อมูล รวมท้งั ระดับชน้ั การเขา้ ถงึ เวลาท่ไี ด้เข้าถงึ และช่องทางการเข้าถึง ข้อ ๗ การบริหารจัดการการเขา้ ถงึ ของผใู้ ชง้ าน (User Access Management) เพ่อื ควบคมุ การเข้าถงึ ระบบสารสนเทศเฉพาะผู้ที่ได้รับอนุญาตแล้วและผ่านการฝึกอบรมหลักสูตรการสร้างความตระหนัก เร่อื งความมน่ั คงปลอดภัยของสารสนเทศ (Information Security Awareness Training) เพื่อปอ้ งกันการเข้าถึง จากผู้ซง่ึ ไมไ่ ด้รบั อนญุ าตอย่างนอ้ ย ดงั นี้ (๑) สร้างความรู้ความเข้าใจให้กับผู้ใช้งาน เพ่ือให้เกิดความตระหนัก ความเข้าใจถึงภัย และผลกระทบท่ีเกิดจากการใช้งานระบบสารสนเทศโดยไม่ระมัดระวังหรือรู้เท่าไม่ถึงการณ์ รวมถึงก�ำหนดให้มี มาตรการเชิงป้องกนั ตามความเหมาะสม (๒) การลงทะเบียนผู้ใช้งาน (User Registration) ต้องก�ำหนดให้มีข้ันตอนทางปฏิบัติส�ำหรับ การลงทะเบียนผู้ใช้งานเม่ือมีการอนุญาตให้เข้าถึงระบบสารสนเทศและการตัดออกจากทะเบียนของผู้ใช้งาน เม่อื มีการยกเลกิ เพิกถอนการอนญุ าตดังกลา่ ว (๓) การบรหิ ารจดั การสทิ ธขิ องผใู้ ชง้ าน (User Management) ตอ้ งจดั ใหม้ กี ารควบคมุ และจ�ำกดั สทิ ธิ เพ่ือเข้าถึงและใช้งานระบบสารสนเทศแต่ละชนิดตามความเหมาะสม ทั้งน้ีรวมถึงสิทธิจ�ำเพาะ สิทธิพิเศษ และสิทธิอน่ื ๆ ท่ีเกี่ยวข้องกับการเขา้ ถึง (๔) การบริหารจัดการรหัสผ่านส�ำหรับผู้ใช้งาน (User Password Management) ต้องจัดให้มี กระบวนการบรหิ ารจัดการรหสั ผ่านส�ำหรับผใู้ ชง้ านอย่างรัดกมุ (๕) การทบทวนสิทธิการเข้าถึงของผู้ใช้งาน (Review of User Access Rights) ต้องจัดให้มี กระบวนการทบทวนสทิ ธิการเข้าถงึ ของผู้ใช้งานระบบสารสนเทศตามระยะเวลาทีก่ �ำหนดไว้ ขอ้ ๘ ก�ำหนดหน้าท่ีความรับผดิ ชอบของผใู้ ช้งาน (User Responsibilities) เพ่ือปอ้ งกันการเขา้ ถงึ โดยไมไ่ ด้รับอนญุ าต การเปิดเผย การล่วงรหู้ รอื การลกั ลอบท�ำส�ำเนาข้อมลู สารสนเทศและการลกั ขโมยอุปกรณ์ ประมวลผลสารสนเทศมีเน้อื หาอยา่ งน้อย ดงั น้ี (๑) การใชง้ านรหสั ผา่ น (Password Use) ก�ำหนดแนวปฏิบตั ิท่ีดสี �ำหรับผู้ใช้งานในการก�ำหนดรหสั ผ่าน การใช้งานรหัสผา่ น และการเปลี่ยนรหสั ผา่ นทมี่ คี ุณภาพ (๒) การป้องกันอุปกรณ์ในขณะท่ีไม่มีผู้ใช้งาน ก�ำหนดแนวปฏิบัติที่เหมาะสมเพ่ือป้องกันไม่ให้ ผ้ไู ม่มีสิทธสิ ามารถเขา้ ถึงอุปกรณข์ องหนว่ ยงานในขณะทไี่ มม่ ีผู้ดูแล (๓) การควบคุมทรพั ย์สินสารสนเทศและการใช้งานระบบคอมพวิ เตอร์ (Clear Desk and Clear Screen Policy) ตอ้ งควบคมุ ไมใ่ หท้ รพั ยส์ นิ สารสนเทศ เชน่ เอกสาร สอื่ บนั ทกึ ขอ้ มลู คอมพวิ เตอร์ หรอื สารสนเทศ อยใู่ นภาวะเสยี่ งต่อการเขา้ ถึงโดยผูซ้ ่ึงไม่มสี ิทธิ และต้องก�ำหนดใหผ้ ใู้ ชง้ านออกจากระบบสารสนเทศเม่อื วา่ งเว้น จากการใช้งาน 14
(๔) ผูใ้ ช้งานอาจน�ำการเขา้ รหสั มาใชก้ ับข้อมูลท่ีเป็นความลับ โดยใหป้ ฏิบัติตามระเบยี บการรกั ษา ความลับทางราชการ พ.ศ. ๒๕๔๔ ข้อ ๙ การควบคมุ การเขา้ ถงึ เครือขา่ ย (Network Access Control) เพอ่ื ปอ้ งกันการเข้าถงึ บรกิ าร ทางเครอื ข่ายโดยไม่ได้รบั อนุญาตอยา่ งน้อย ดังน้ี (๑) การใชบ้ รกิ ารเครอื ขา่ ย ตอ้ งก�ำหนดใหผ้ ใู้ ชง้ านสามารถเขา้ ถงึ ระบบสารสนเทศไดแ้ ตเ่ พยี งบรกิ าร ที่ได้รบั อนญุ าตใหเ้ ขา้ ถึงเท่านัน้ (๒) การยนื ยนั ตวั บคุ คลส�ำหรบั ผใู้ ชง้ านทอ่ี ยภู่ ายนอกหนว่ ยงาน (User Authentication for External Connections) ต้องก�ำหนดให้มีการยืนยันตัวบุคคลก่อนท่ีจะอนุญาตให้ผู้ใช้งานที่อยู่ภายนอก หน่วยงานสามารถเข้าใชง้ านเครือขา่ ยและระบบสารสนเทศของหน่วยงานได้ (๓) การระบุอุปกรณ์บนเครือข่าย (Equipment Identification in Networks) ต้องมีวิธีการ ท่ีสามารถระบุอุปกรณบ์ นเครอื ข่ายได้ และใชก้ ารระบุอปุ กรณ์บนเครอื ขา่ ยเป็นการยนื ยัน (๔) การปอ้ งกนั พอรต์ ทใี่ ช้ส�ำหรับตรวจสอบและปรบั แตง่ ระบบ (Remote Diagnostic and Configuration Port Protection) ตอ้ งควบคมุ การเขา้ ถงึ พอรต์ ทใี่ ชส้ �ำหรบั ตรวจสอบและปรบั แตง่ ระบบทง้ั การเขา้ ถงึ ทางกายภาพและทางเครอื ขา่ ย (๕) การแบง่ แยกเครอื ข่าย (Segregation in Networks) ต้องท�ำการแบง่ แยกเครอื ข่ายตามกลมุ่ ของบริการสารสนเทศ กลมุ่ ผู้ใชง้ านและกล่มุ ของระบบสารสนเทศ (๖) การควบคุมการเช่อื มตอ่ ทางเครือข่าย (Network Connection Control) ตอ้ งควบคุมการเขา้ ถงึ หรือใชง้ านเครือข่ายทม่ี ีการใช้รว่ มกันหรอื เช่ือมต่อระหวา่ งใหส้ อดคลอ้ งกบั แนวปฏบิ ัติการควบคุมการเขา้ ถงึ (๗) การควบคมุ การจดั เสน้ ทางบนเครอื ขา่ ย (Network Routing Control) ตอ้ งควบคมุ การจัดเส้นทางบนเครือข่ายเพ่ือให้การเชื่อมต่อของคอมพิวเตอร์และการส่งผ่านหรือไหลเวียนของข้อมูล หรอื สารสนเทศ สอดคลอ้ งกับแนวปฏิบตั ิการควบคุมการเข้าถึงหรอื การประยกุ ตใ์ ชง้ านตามภารกจิ (๘) การควบคุมการเข้าใชง้ านระบบจากภายนอก (๙) การใชง้ านระบบเครอื ขา่ ยอินเทอรเ์ นต็ (Internet) ขอ้ ๑๐ การควบคมุ การเขา้ ถงึ ระบบปฏบิ ตั กิ าร (Operating System Access Control) เพอ่ื ปอ้ งกนั การเขา้ ถงึ ระบบปฏิบัติการโดยไม่ได้รับอนญุ าตอยา่ งนอ้ ย ดังนี้ (๑) ก�ำหนดขน้ั ตอนปฏบิ ตั เิ พอื่ การเขา้ ใชง้ านทม่ี น่ั คงปลอดภยั การเขา้ ถงึ ระบบปฏบิ ตั กิ ารจะตอ้ งควบคมุ โดยวิธีการยนื ยนั ตัวตนทม่ี น่ั คงปลอดภยั (๒) ระบุและยนื ยันตวั ตนของผใู้ ชง้ าน (User Identification and Authentication) ตอ้ งก�ำหนดให้ ผู้ใช้งานมีข้อมูลเฉพาะเจาะจงซ่ึงสามารถระบุตัวตนของผู้ใช้งานและเลือกใช้ข้ันตอนทางเทคนิคในการยืนยัน ตวั ตนท่เี หมาะสมเพอื่ รองรับการกล่าวอ้างว่าเป็นผใู้ ชง้ านท่รี ะบุถึง 15
(๓) การบรหิ ารจดั การรหสั ผา่ น (Password Management System) ต้องจดั ท�ำหรือจดั ใหม้ รี ะบบ บริหารจัดการรหัสผ่านท่ีสามารถท�ำงานเชิงโต้ตอบ (Interactive) หรือมีการท�ำงานในลักษณะอัตโนมัติ ซึง่ เอื้อต่อการก�ำหนดรหัสผา่ นทมี่ คี ุณภาพ (๔) การใชง้ านโปรแกรมอรรถประโยชน์ (Use of System Utilities) จ�ำกดั และควบคุมการใชง้ าน โปรแกรมประเภทอรรถประโยชน์ เพ่อื ปอ้ งกนั การละเมิดหรอื หลีกเลีย่ งมาตรการความมนั่ คงปลอดภัยที่ได้ก�ำหนดไว้ หรือทีม่ ีอย่แู ลว้ (๕) เม่ือมีการว่างเว้นจากการใช้งานในระยะเวลาหนึ่งให้ยุติการใช้งานระบบสารสนเทศน้ัน (Session Time-out) (๖) การจ�ำกัดระยะเวลาการเช่ือมต่อระบบสารสนเทศ (Limitation of Connection Time) ตอ้ งจ�ำกดั ระยะเวลาในการเชอื่ มตอ่ เพอื่ ใหม้ คี วามมน่ั คงปลอดภยั มากยง่ิ ขนึ้ ส�ำหรบั ระบบสารสนเทศหรอื โปรแกรม ที่มีความเส่ียงหรอื มีความส�ำคัญสูง ข้อ ๑๑ การควบคุมการเข้าถึงโปรแกรมประยุกต์หรือแอพพลิเคช่ันและสารสนเทศ (Application and Information Access Control) โดยต้องมีการควบคมุ อย่างน้อย ดงั น้ี (๑) การจ�ำกดั การเขา้ ถึงสารสนเทศ (Information Access Restriction) ต้องจ�ำกัดหรือควบคุม การเขา้ ถงึ หรอื เขา้ ใชง้ านของผใู้ ชง้ านและบคุ ลากรฝา่ ยสนบั สนนุ การเขา้ ใชง้ านในการเขา้ ถงึ สารสนเทศและฟงั กช์ นั (Functions) ต่าง ๆ ของโปรแกรมประยุกต์หรือแอพพลิเคชั่น ทั้งน้ีโดยให้สอดคล้องตามนโยบายควบคุม การเข้าถึงสารสนเทศที่ไดก้ �ำหนดไว้ (๒) ระบบซึ่งไวต่อการรบกวนมีผลกระทบและมีความส�ำคัญสูงต่อหน่วยงาน ต้องได้รับการแยกออก จากระบบอื่น ๆ และมีการควบคุมสภาพแวดล้อมของตนเองโดยเฉพาะ ให้มีการควบคุมอุปกรณ์คอมพิวเตอร์ และส่ือสารเคลื่อนที่และการปฏบิ ตั ิงานจากภายนอกหน่วยงาน (Mobile Computing and Teleworking) (๓) การควบคุมอุปกรณ์คอมพิวเตอร์และสื่อสารเคลื่อนที่ ต้องก�ำหนดแนวปฏิบัติและมาตรการ ทเ่ี หมาะสมเพื่อปกปอ้ งสารสนเทศจากความเสย่ี งของการใช้อุปกรณค์ อมพวิ เตอร์และสือ่ สารเคลื่อนที่ (๔) การปฏิบัติงานจากภายนอกหน่วยงาน (Teleworking) ต้องก�ำหนดแนวปฏิบัติแผนงาน และขัน้ ตอนปฏิบัติเพ่ือปรบั ใชส้ �ำหรับการปฏบิ ตั งิ านของหน่วยงานจากภายนอกหนว่ ยงาน ข้อ ๑๒ จัดท�ำระบบส�ำรองส�ำหรับระบบสารสนเทศ ตามแนวทางตอ่ ไปนี้ (๑) ต้องพจิ ารณาคดั เลอื กและจดั ท�ำระบบส�ำรองท่เี หมาะสมใหอ้ ยูใ่ นสภาพพร้อมใช้งานทเี่ หมาะสม (๒) ต้องจัดท�ำแผนเตรียมความพร้อมกรณีฉุกเฉิน ในกรณีท่ีไม่สามารถด�ำเนินการด้วยวิธีการ ทางอเิ ลก็ ทรอนกิ ส์ เพอ่ื ใหส้ ามารถใชง้ านสารสนเทศไดต้ ามปกตอิ ยา่ งตอ่ เนอื่ ง โดยตอ้ งปรบั ปรงุ แผนเตรยี มความพรอ้ ม กรณีฉุกเฉนิ ดังกลา่ วให้สามารถปรบั ใช้ไดอ้ ยา่ งเหมาะสมและสอดคล้องกับการใชง้ านตามภารกิจ (๓) ต้องมีการก�ำหนดหนา้ ที่และความรับผดิ ชอบของบุคลากรซงึ่ ดแู ลรบั ผดิ ชอบระบบสารสนเทศ ระบบส�ำรองและการจัดท�ำแผนเตรียมพร้อมกรณีฉุกเฉินในกรณีท่ีไม่สามารถด�ำเนินการด้วยวิธีการ ทางอิเล็กทรอนิกส์ 16
(๔) ต้องมีการทดสอบสภาพพร้อมใช้งานของระบบสารสนเทศ ระบบส�ำรองและระบบแผนเตรียมพร้อม กรณฉี ุกเฉินอย่างสมำ่� เสมอ อยา่ งน้อยปลี ะ ๑ ครั้ง (๕) มกี ารปฏิบัติและทบทวนแนวทางจดั ท�ำระบบส�ำรอง อย่างน้อยปลี ะ ๑ ครง้ั ข้อ ๑๓ การตรวจสอบและประเมนิ ความเส่ียงดา้ นสารสนเทศ โดยมีเนือ้ หาอยา่ งน้อย ดังน้ี (๑) ต้องจัดให้มกี ารตรวจสอบและประเมินความเส่ยี งดา้ นสารสนเทศที่อาจเกิดขึ้นกบั ระบบ สารสนเทศ (Information Security Audit and Assessment) อยา่ งนอ้ ยปลี ะ ๑ ครัง้ (๒) ในการตรวจสอบและประเมนิ ความเสย่ี งจะตอ้ งด�ำเนนิ การโดยผตู้ รวจสอบภายในของหนว่ ยงาน (Internal Auditor) หรือโดยผู้ตรวจสอบอิสระด้านความม่ันคงปลอดภัยจากภายนอก (External Auditor) เพื่อใหห้ นว่ ยงานไดท้ ราบถึงระดบั ความเสี่ยงและระดบั ความมนั่ คงปลอดภัยสารสนเทศ ขอ้ ๑๔ ใหผ้ บู้ รหิ ารเทคโนโลยสี ารสนเทศระดบั สงู (CIO) และผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน เปน็ ผรู้ บั ผดิ ชอบด�ำเนนิ การใหเ้ ปน็ ไปตามประกาศน้ี ทบทวนใหเ้ ปน็ ปจั จบุ นั อยเู่ สมอ ใหใ้ ชแ้ นวนโยบายและแนวปฏบิ ตั ิ ในการรักษาความมัน่ คงปลอดภัยด้านสารสนเทศตามทแี่ นบท้ายประกาศน้ี ขอ้ ๑๕ กรณรี ะบบคอมพวิ เตอรห์ รอื ขอ้ มลู สารสนเทศเกดิ ความเสยี หาย หรอื อนั ตรายใด ๆ แกห่ นว่ ยงาน หรือผู้หน่ึงผู้ใด อันเน่ืองมาจากความบกพร่อง ละเลย หรือฝ่าฝืนการปฏิบัติ ตามนโยบายและแนวปฏิบัติ ในการรักษาความมั่นคงปลอดภัยดา้ นสารสนเทศ ใหอ้ ธบิ ดกี รมการพฒั นาชุมชน เปน็ ผ้รู บั ผิดชอบต่อความเสย่ี ง ความเสยี หาย หรืออนั ตรายทเี่ กดิ ขน้ึ ประกาศ ณ วนั ที่ ๕ มีนาคม พ.ศ. ๒๕๖๒ (นายนิสติ จนั ทร์สมวงศ์) อธิบดีกรมการพัฒนาชุมชน 17
สว่ นที่ ๑ และกนารโยใชบ้งาายนครวะบบคบมุ สกาารรสเนขเา้ ทถศึง วตั ถุประสงค์ ๑. เพอื่ ใหม้ แี นวทางปฏบิ ตั ใิ นการรกั ษาความมน่ั คงปลอดภยั ส�ำหรบั การควบคมุ การเขา้ ถงึ และการใชง้ าน ระบบสารสนเทศของหน่วยงาน ๒. เพ่ือให้ผู้รับผิดชอบและผู้มีส่วนเกี่ยวข้อง ได้แก่ ผู้บริหาร ผู้ใช้งาน ผู้ดูแลระบบและบุคคลภายนอก ท่ปี ฏบิ ัติงานให้กับหนว่ ยงานรบั รู้ เข้าใจและสามารถปฏิบตั ติ ามแนวทางทก่ี �ำหนดโดยเครง่ ครัด และตระหนกั ถึง ความส�ำคญั ของการรักษาความมัน่ คงปลอดภยั ผรู้ ับผดิ ชอบ ๑. ผูบ้ รหิ ารเทคโนโลยีสารสนเทศระดับสงู (CIO) กรมการพฒั นาชมุ ชน ๒. ผอู้ �ำนวยการศนู ย์สารสนเทศเพ่ือการพฒั นาชุมชน กรมการพัฒนาชุมชน ๓. ผู้ดูแลระบบเครอื ข่ายคอมพวิ เตอร์ท่ีได้รับมอบหมาย อา้ งองิ มาตรฐาน - มาตรฐานการรกั ษาความมนั่ คงปลอดภยั ในการประกอบธรุ กรรมทางอเิ ล็กทรอนกิ ส์ (เวอรช์ ่ัน ๒.๕) แนวปฏบิ ตั ิ ๑. การควบคุมการเข้าถึงและการใช้งานสารสนเทศ (Access Control) ๑.๑ จดั ท�ำบญั ชสี นิ ทรพั ยห์ รอื ทะเบยี นสนิ ทรพั ย์ การจ�ำแนกกลมุ่ ทรพั ยากรของระบบหรอื การท�ำงาน โดยให้ก�ำหนดกลุ่มผ้ใู ช้งานและสิทธขิ องกล่มุ ผใู้ ช้งาน ๑.๒ ก�ำหนดเกณฑใ์ นการอนญุ าตใหเ้ ขา้ ถงึ การใชง้ านสารสนเทศ ทเี่ กยี่ วขอ้ งกบั การอนญุ าตการก�ำหนดสทิ ธิ หรอื การมอบอ�ำนาจ ดังน้ี 21
(๑) ก�ำหนดสิทธิของผ้ใู ชง้ านแต่ละกลุม่ ท่ีเกี่ยวข้อง เช่น - อ่านอย่างเดยี ว - สร้างข้อมลู - ปอ้ นข้อมูล - แก้ไข - อนุมตั ิ - ไมม่ ีสิทธิ (๒) ก�ำหนดเกณฑ์การระงับสิทธิ มอบอ�ำนาจ ให้เป็นไปตามการบริหารจัดการการเข้าถึง ของผู้ใช้งาน (User Access Management) ที่ได้ก�ำหนดไว้ (๓) ผู้ใช้งานที่ต้องการเข้าใช้งานระบบสารสนเทศของหน่วยงาน จะต้องขออนุญาต เป็นลายลักษณ์อักษรและได้รับการพิจารณาอนุญาตจากผู้อ�ำนวยการศูนย์สารสนเทศเพ่ือการพัฒนาชุมชน หรือผูด้ แู ลระบบทไ่ี ดร้ ับมอบหมาย ๑.๓ ข้ันตอนปฏิบัติเพือ่ การจัดเกบ็ ขอ้ มลู (๑) จดั แบ่งประเภทขอ้ มลู - ขอ้ มลู สารสนเทศดา้ นบรหิ าร เชน่ ขอ้ มลู บคุ ลากร ขอ้ มลู งบประมาณ การเงนิ และบญั ชี เปน็ ตน้ - ขอ้ มลู สารสนเทศเพอื่ การพฒั นาชมุ ชน เชน่ ขอ้ มลู หมบู่ า้ นเศรษฐกจิ พอเพยี ง ขอ้ มลู ผนู้ �ำชมุ ชน ข้อมลู สนิ ค้า OTOP ขอ้ มลู จปฐ. กชช.๒ค เปน็ ต้น (๒) จัดแบ่งระดบั ความส�ำคญั ของข้อมลู ออกเปน็ ๓ ระดับ คือ - ขอ้ มูลที่มรี ะดับความส�ำคญั มากทสี่ ุด - ขอ้ มลู ที่มีระดบั ความส�ำคัญปานกลาง - ข้อมลู ทม่ี รี ะดับความส�ำคญั น้อย (๓) จดั แบ่งล�ำดบั ชัน้ ความลับของข้อมลู - ขอ้ มลู ลบั ทสี่ ดุ หมายถงึ หากเปดิ เผยทงั้ หมดหรอื เพยี งบางสว่ นจะกอ่ ใหเ้ กดิ ความเสยี หาย อยา่ งรา้ ยแรงท่ีสดุ - ขอ้ มลู ลบั มาก หมายถงึ หากเปดิ เผยทง้ั หมดหรอื เพยี งบางสว่ นจะกอ่ ใหเ้ กดิ ความเสยี หาย อยา่ งร้ายแรง - ขอ้ มลู ลบั หมายถงึ หากเปดิ เผยทง้ั หมดหรอื เพยี งบางส่วนจะก่อใหเ้ กิดความเสยี หาย - ข้อมลู ทวั่ ไป หมายถงึ ขอ้ มูลทีส่ ามารถเปิดเผยหรือเผยแพร่ทว่ั ไปได้ (๔) จัดแบง่ ระดบั ชนั้ การเข้าถึง - ระดับชั้นส�ำหรับผู้บริหาร สามารถเขา้ ถงึ ข้อมูลทกุ ล�ำดบั ชน้ั ความลบั ของข้อมลู - ระดับชั้นส�ำหรบั ผู้ใชง้ านทว่ั ไป สามารถเข้าถงึ ล�ำดบั ชั้นขอ้ มลู ท่ัวไป เทา่ น้นั - ระดับชน้ั ส�ำหรับผู้ดแู ลระบบหรือผู้ท่ีไดม้ อบหมาย สามารถเข้าถึงล�ำดับชั้นข้อมลู ทวั่ ไป โดยข้อมลู ลบั ท่ีสดุ ขอ้ มลู ลบั มากและข้อมูลลับ ตอ้ งไดร้ บั อนญุ าตจากผบู้ ริหารเปน็ ลายลกั ษณอ์ กั ษร 22
(๕) การก�ำหนดเวลาท่ีได้เข้าถงึ ดังน้ี - ข้อมลู สารสนเทศดา้ นบรหิ ารใหเ้ ป็นไปตามห้วงเวลาที่หน่วยงานประกาศ - ขอ้ มลู สารสนเทศเพ่ือการพฒั นาชมุ ชนสามารถเขา้ ถงึ ได้ ๒๔ ชวั่ โมง (๖) การก�ำหนดจ�ำนวนช่องทางที่สามารถเขา้ ถงึ ๑.๔ ผู้ดูแลระบบ ต้องจัดให้ใช้งานตามภารกิจเพ่ือควบคุมการเข้าถึงสารสนเทศ (Business Requirements for Access Control) โดยแบง่ การจัดท�ำข้อปฏบิ ตั เิ ปน็ ๒ สว่ น คอื (๑) ควบคุมการเข้าถึงสารสนเทศ โดยก�ำหนดการควบคุมการเข้าถึงระบบสารสนเทศ และสทิ ธทิ เ่ี ก่ียวข้องกับระบบสารสนเทศ (๒) ปรบั ปรงุ ใหส้ อดคลอ้ งกบั ขอ้ ก�ำหนดการใชง้ านตามภารกจิ และขอ้ ก�ำหนดดา้ นความมน่ั คง ปลอดภัย ๒. การรกั ษาความมน่ั คงปลอดภยั ทางดา้ นกายภาพและสง่ิ แวดลอ้ ม (Physical and Environmental Security) ๒.๑ เพื่อรักษาความปลอดภัยแก่เครื่องคอมพิวเตอร์ได้เหมาะสมตามระดับความเสี่ยง ให้ศูนย์สารสนเทศเพ่ือการพัฒนาชุมชนก�ำหนดวิธีประเมินความเส่ียงเพื่อใช้เป็นมาตรฐานในการจัดประเภท คอมพวิ เตอรต์ ามล�ำดับความเสี่ยง โดยแบง่ ออกเปน็ ๓ ระดับ คอื (๑) เครื่องคอมพวิ เตอรท์ อ่ี ยู่ในระดบั ความเสี่ยงสูง (๒) เครอื่ งคอมพิวเตอรท์ อี่ ยใู่ นระดบั ความเสย่ี งปานกลาง (๓) เคร่ืองคอมพวิ เตอรท์ ่อี ยูใ่ นระดบั ความเส่ียงต่ำ� ๒.๒ การรักษาความปลอดภัยแก่เคร่ืองคอมพิวเตอร์ทางกายภาพ ให้พิจารณาสถานที่ติดต้ัง และเกบ็ รักษาเคร่อื งคอมพิวเตอร์ของกรมการพัฒนาชุมชน ๔ ระดับ คอื (๑) เขตหวงห้ามเด็ดขาด (Exclusion Area) คอมพิวเตอร์แม่ข่ายต้องจัดพ้ืนท่ีให้เป็น เขตหวงหา้ มเดด็ ขาด ตอ้ งตง้ั อยใู่ นบรเิ วณดา้ นในทมี่ กี ารสญั จรไปมานอ้ ยและมกี ารออกแบบสถานทเ่ี พอื่ ใหอ้ ปุ กรณ์ คอมพวิ เตอร์ต้งั อยภู่ ายในพืน้ ทีม่ คี วามปลอดภัยจากภยั คกุ คามท่อี าจเกดิ ข้นึ (๒) เขตหวงห้ามเฉพาะ (Limited Area) ข้อมูลส�ำคัญจ�ำเป็นต้องปกปิดเป็นความลับ เชน่ ขอ้ มูลบคุ ลากรตอ้ งตงั้ อยใู่ นบรเิ วณดา้ นในของหนว่ ยงานราชการและต้องมกี ารออกแบบสถานที่ใหอ้ ปุ กรณ์ คอมพิวเตอร์ต้งั อย่ภู ายในพน้ื ท่มี ีความปลอดภัยจากภยั คุกคามทอ่ี าจเกิดข้นึ เขตในความควบคมุ (๓) เขตในความควบคุมของหน่วยงานราชการ (Control Area) ต้องต้ังอยู่ในบริเวณ ของหนว่ ยงานราชการและตอ้ งมกี ารออกแบบสถานทใ่ี หอ้ ปุ กรณค์ อมพวิ เตอรต์ ง้ั อยภู่ ายในพนื้ ทม่ี คี วามปลอดภยั จากภัยคุกคามที่อาจเกิดข้นึ (๔) เขตผู้มาติดต่อ (Public Area) ต้องตั้งอยู่ในบริเวณที่เข้าถึงได้สะดวก โดยต้องไม่ผ่าน เขตในความควบคุมและอยู่ห่างจากเขตหวงห้ามเด็ดขาดและเขตหวงห้ามเฉพาะ ท้ังน้ีต้องมีการออกแบบ สถานท่ใี ห้อุปกรณ์คอมพวิ เตอร์ต้ังอยภู่ ายในพ้นื ทมี่ คี วามปลอดภยั จากภยั คุกคามท่อี าจเกิดขน้ึ 23
๒.๓ เพื่อประโยชน์ในการรักษาความปลอดภัยแก่สถานที่ที่ติดต้ังและเก็บรักษาเครื่องคอมพิวเตอร์ ใหผ้ อู้ �ำนวยการศูนยส์ ารสนเทศเพื่อการพัฒนาชุมชนด�ำเนินการ ดงั ต่อไปนี้ (๑) ประสานงานกับผู้ดูแลระบบเครือข่ายคอมพิวเตอร์ ทั้งในส่วนกลางและส่วนภูมิภาค เพ่ือก�ำหนดแผนปฏิบัติเกี่ยวกับอัคคีภัยและเหตุฉุกเฉินต่าง ๆ และทดสอบระบบรักษาความปลอดภัย ภายในเขตรกั ษาความปลอดภัยอย่างน้อยปลี ะ ๑ ครั้ง (๒) จัดอบรมและซักซ้อมผู้จัดการฐานข้อมูลท่ีปฏิบัติงานภายในเขตรักษาความปลอดภัย ตามระยะเวลาอนั สมควร เพอ่ื ให้สามารถใช้งานอุปกรณร์ ักษาความปลอดภัยได้อย่างถกู ต้องและเหมาะสม ๒.๔ ให้กองคลังรับผิดชอบการบ�ำรุงรักษาสถานท่ี อุปกรณ์ป้องกันความเสียหาย และอุปกรณ์ ปอ้ งกนั ภยั ตา่ ง ๆ ภายในเขตรกั ษาความปลอดภยั ตามระยะเวลาอนั สมควรภายใตค้ �ำแนะน�ำจากศนู ยส์ ารสนเทศ เพ่ือการพัฒนาชมุ ชน ๒.๕ เพื่อประโยชน์ในการรักษาความปลอดภัยแก่เคร่ืองคอมพิวเตอร์และอุปกรณ์คอมพิวเตอร์ ใหผ้ ้ดู แู ลระบบเครือข่ายคอมพวิ เตอร์ส่วนกลางและส่วนภูมิภาค ด�ำเนินการดังต่อไปน้ี (๑) ก�ำหนดวธิ ีปฏิบตั ิในการตดิ ตง้ั และเก็บรกั ษาให้เหมาะสมตามระดับความเสย่ี งเพื่อปอ้ งกัน การลกั ลอบใช้อปุ กรณ์ (๒) จัดท�ำทะเบียนคุมอุปกรณ์คอมพิวเตอร์ โดยมีรายละเอียดเกี่ยวกับอุปกรณ์คอมพิวเตอร์ การบ�ำรุงรกั ษา และการขนยา้ ย (๓) ก�ำหนดวิธีปฏิบัติในการขนย้ายอุปกรณ์คอมพิวเตอร์ออกจากพ้ืนท่ีติดตั้งให้เหมาะสม ตามระดับความเส่ียง เพือ่ ปอ้ งกันเครอื่ งคอมพิวเตอร์ อุปกรณ์คอมพวิ เตอร์และขอ้ มูลเสยี หายจากการขนยา้ ย (๔) รบั ผดิ ชอบการแก้ไขซอ่ มแซมเคร่อื งคอมพวิ เตอร์ และอปุ กรณค์ อมพวิ เตอร์ ๒.๖ ให้หน่วยงานราชการส่วนกลางและส่วนภูมิภาค เจ้าของเครื่องคอมพิวเตอร์และอุปกรณ์ คอมพวิ เตอร์ด�ำเนนิ การดงั ตอ่ ไปนี้ (๑) เก็บรักษาอย่างเป็นระเบียบในสถานที่ปลอดภัยให้เหมาะสมตามระดับความเสี่ยง เพ่ือปอ้ งกนั การลกั ลอบใช้อปุ กรณค์ อมพวิ เตอร์ (๒) ประสานงานกับศูนย์สารสนเทศเพ่ือการพัฒนาชุมชน ในการจัดเตรียมแผนรองรับ หากอุปกรณค์ อมพิวเตอรไ์ ด้รบั ความเสียหายและทดสอบแผนรองรบั ตามระยะเวลาอนั สมควร (๓) มอบหมายให้ผู้ดูแลระบบเครือข่ายคอมพิวเตอร์ดูแลการบ�ำรุงรักษาอุปกรณ์คอมพิวเตอร์ และควบคุมการขนย้ายอุปกรณ์คอมพิวเตอร์ เพ่ือป้องกันข้อมูลที่จัดเก็บในอุปกรณ์คอมพิวเตอร์รั่วไหล หรอื ถูกแกไ้ ข ๒.๗ การเดนิ สายไฟ สายสือ่ สาร และสายเคเบ้ิลอ่ืนๆ (Cabling Security) (๑) ในกรณีท่ีต้องการเพิ่มหรือปรับปรุงสายสัญญาณและอุปกรณ์ที่เกี่ยวข้อง ให้แจ้ง ผู้อ�ำนวยการศนู ย์สารสนเทศเพ่ือการพัฒนาชุมชนทกุ ครั้ง (๒) หลีกเลี่ยงการเดินสายสัญญาณเครือข่ายของหน่วยงานในลักษณะที่ต้องผ่านเข้าไป ในบริเวณที่มบี คุ คลภายนอกเข้าถึงได้ (๓) ให้มีการร้อยท่อสายสัญญาณต่าง ๆ เพ่ือป้องกันการดักจับสัญญาณหรือการตัดสาย สญั ญาณ เพอื่ ท�ำใหเ้ กิดความเสียหาย 24
(๔) ให้เดินสายสัญญาณส่ือสารและสายไฟฟ้าแยกออกจากกัน เพ่ือป้องกันการแทรกแซง รบกวนของสัญญาณซงึ่ กันและกนั (๕) ท�ำป้ายชอ่ื ส�ำหรบั สายสัญญาณและบนอปุ กรณเ์ พ่ือป้องกันการตัดตอ่ สญั ญาณผิดพลาด (๖) จัดท�ำผงั สายสญั ญาณส่ือสารต่าง ๆ ใหค้ รบถ้วนและถกู ต้อง (๗) ห้องที่มีสายสัญญาณส่ือสารต่าง ๆ ปิดใส่สลักให้สนิท เพ่ือป้องกันการเข้าถึงของบุคคล ภายนอก (๘) พจิ ารณาใชง้ านสายไฟเบอรอ์ อฟตกิ แทนสายสญั ญาณสอ่ื สารแบบเดมิ (เชน่ สายสญั ญาณ แบบ Coaxial Cable) ส�ำหรับระบบสารสนเทศท่สี �ำคญั (๙) ด�ำเนินการส�ำรวจระบบสายสัญญาณส่ือสารท้ังหมดเพ่ือตรวจหาการติดตั้งอุปกรณ์ดักจับ สญั ญาณโดยผูไ้ ม่ประสงคด์ ี ๒.๘ การน�ำสินทรัพยข์ องหน่วยงานออกนอกหนว่ ยงาน (Removal of Property) (๑) ก�ำหนดผ้มู ีอ�ำนาจในการเคลือ่ นย้ายหรือน�ำอปุ กรณอ์ อกนอกหนว่ ยงาน (๒) ก�ำหนดระยะเวลาของการน�ำอปุ กรณอ์ อกไปใชง้ านนอกหน่วยงาน (๓) เมอื่ มกี ารน�ำอปุ กรณส์ ง่ คนื ใหต้ รวจสอบวา่ สอดคลอ้ งกบั ระยะเวลาทอ่ี นญุ าตและตรวจสอบ การช�ำรดุ เสยี หายของอุปกรณ์ด้วย (๔) บันทึกข้อมูลการน�ำอุปกรณ์ของหน่วยงานออกไปใช้งานนอกหน่วยงาน เพื่อเอาไว้เป็น หลักฐานปอ้ งกันการสูญหาย รวมทงั้ บันทกึ ขอ้ มูลเพ่ิมเติมเมอ่ื น�ำอุปกรณ์ส่งคนื ๒.๙ การก�ำจัดอปุ กรณห์ รอื การน�ำอุปกรณ์กลับมาใช้งานอีกครง้ั (Secure Disposal or Re-Use of Equipment) (๑) ให้ท�ำลายขอ้ มลู ท่ีไมเ่ กยี่ วขอ้ งในอุปกรณก์ อ่ นทจี่ ะให้ผู้อน่ื น�ำไปใช้งานตอ่ (๒) มีมาตรการหรือเทคนิคในการลบหรือเขียนข้อมูลทับบนข้อมูลที่มีความส�ำคัญในอุปกรณ์ ก่อนใหผ้ ้อู ืน่ น�ำอุปกรณ์น้นั ไปใช้งานตอ่ เพื่อป้องกนั ไม่ใหม้ ีการเขา้ ถงึ ข้อมลู ส�ำคญั นั้นได้ ๒.๑๐ การรักษาความมั่นคงปลอดภัยส�ำหรับเอกสารระบบสารสนเทศให้จังหวัดเก็บไว้ในสถานที่ ทีม่ ่นั คงปลอดภัยและมมี าตรการควบคุมการเข้าถึง ๓. การบรหิ ารจัดการการเข้าถงึ ของผใู้ ช้งาน (User Access Management) เพือ่ ป้องกนั การเขา้ ถึงจากผู้ซ่งึ ไมไ่ ด้รบั อนุญาต ดังน้ี ๓.๑ การลงทะเบียนบุคลากรและบุคคลที่ปฏิบัติงานให้กับหน่วยงาน ให้ผู้ดูแลระบบก�ำหนด ข้ันตอนปฏิบัติอย่างเป็นทางการเพ่ือให้มีสิทธิต่าง ๆ ในการใช้งานตามความจ�ำเป็น ท้ังขั้นตอนปฏิบัติ ส�ำหรบั การยกเลิกและการเปล่ยี นแปลงการใช้งาน ดงั ตอ่ ไปนี้ (๑) จัดท�ำแบบฟอร์มประสงค์ขอใช้ระบบงานสารสนเทศ ระบบเครือข่ายและจดหมาย อิเล็กทรอนิกส์ (E-mail) เพ่ือตรวจสอบสิทธิและด�ำเนินการตามข้ันตอนการลงทะเบียนผู้ใช้งานและย่ืนต่อ ผอู้ �ำนวยการศนู ย์สารสนเทศเพอื่ การพัฒนาชุมชน (๒) มีการระบชุ ่ือบญั ชีผ้ใู ชง้ านแยกเปน็ รายบุคคลไมซ่ �ำ้ ซอ้ นกนั 25
(๓) จ�ำกัดการใช้บัญชีผู้ใช้งานแบบกลุ่มภายใต้บัญชีชื่อเดียวกัน และอนุญาตให้ใช้งาน ระบบสารสนเทศเท่าทีจ่ �ำเปน็ (๔) ตรวจสอบและมอบหมายสิทธิในการเข้าถึงท่ีเหมาะสมกับหน้าที่ความรับผิดชอบ ซึ่งต้อง ลงนามรบั ทราบดว้ ย (๕) หลักเกณฑ์การยกเลิกสิทธิให้เข้าถึงระบบสารสนเทศ การตัดออกจากบัญชีผู้ใช้งาน และการคืนสทิ ธิ ให้ปฏิบตั ิ ดงั นี้ ก. ให้ลบบัญชีผู้ใช้งานโดยไม่ชักช้าหลังจากผู้ใช้งานพ้นสภาพการเป็นข้าราชการ และลกู จา้ ง โดยใหห้ วั หนา้ หนว่ ยงานสว่ นกลางและสว่ นภมู ภิ าค แจง้ ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชน ลว่ งหน้าทกุ ครัง้ ทม่ี ีผ้ใู ช้งานหมดสิทธเิ ข้าสู่ระบบคอมพิวเตอร์ ข. การยกเลกิ สทิ ธกิ ารใชง้ านชัว่ คราว และการคืนสทิ ธกิ ารใชง้ านให้พิจารณาเหตกุ ารณ์/ สถานการณ์ ต่อไปน้ี - ผู้ใชง้ านไม่มาปฏิบัติงานตดิ ตอ่ กนั เกิน ๓ เดอื น ได้แก่ ลาป่วย ลาศกึ ษาตอ่ - มีพฤติกรรมการใช้งานท่ีหัวหน้าหน่วยงานราชการส่วนกลางและส่วนภูมิภาค พจิ ารณาแลว้ เหน็ วา่ ไมเ่ หมาะสม - การคืนสิทธิการใช้งานในกรณีท่ีผู้ใช้งานถูกยกเลิกสิทธิ สามารถกระท�ำได้ต่อเมื่อ ได้รบั แจ้งความประสงค์จากผใู้ ช้งานเปน็ ลายลักษณ์อกั ษร ค. ในการส�ำรองบัญชผี ใู้ ช้งานใหผ้ ู้ดูแลระบบ - ส�ำรองไฟล์และข้อมูลแบบออฟไลน์ทุก ๓ เดือนเป็นอย่างน้อย โดยพิจารณาจาก จ�ำนวนครั้งในการเปลี่ยนแปลงขอ้ มลู เปน็ หลกั - ส�ำรองทุกคร้ังท่ีติดตั้งระบบงานใหม่และควรส�ำรองข้อมูลแบบออฟไลน์ทุกคร้ัง ท่มี กี ารปรับปรงุ แกไ้ ขระบบงานบนคอมพวิ เตอร์แม่ข่าย - จัดเก็บส่ือที่ใช้ส�ำรองข้อมูลย้อนหลังอย่างน้อย ๓ รุ่น โดยให้จัดเก็บส่ือท่ีใช้ ส�ำรองข้อมูลล่าสุดในตู้นิรภัยของกรมการพัฒนาชุมชนและให้จัดเก็บส่ือท่ีเหลือภายในเขตหวงห้ามเด็ดขาด หรอื เขตหวงหา้ มเฉพาะ - ทดสอบการกูค้ ืนระบบโดยจ�ำลองจากสถานการณ์จรงิ ทุกปี ๓.๒ ผู้ดูแลระบบ ก�ำหนดการใช้งานระบบเทคโนโลยีสารสนเทศท่ีส�ำคัญให้เป็นสิทธิเฉพาะ การปฏบิ ัตหิ น้าที่และตอ้ งไดร้ บั ความเหน็ ชอบจากผบู้ งั คับบญั ชา รวมทงั้ ต้องทบทวนสทิ ธิ อยา่ งน้อยปลี ะ ๑ ครง้ั ไดแ้ ก่ ระบบคอมพวิ เตอร์ โปรแกรมประยกุ ต์ จดหมายอเิ ล็กทรอนกิ ส์ ระบบเครอื ข่ายไร้สาย ระบบอินเทอร์เนต็ ๓.๓ ผ้ดู ูแลระบบ ต้องบรหิ ารจัดการสทิ ธขิ องผ้ใู ช้งาน ดังตอ่ ไปนี้ (๑) ก�ำหนดประเภทของสทิ ธกิ บั ผใู้ ชง้ านระบบสารสนเทศ โดยจ�ำแนกประเภทสทิ ธติ ามหนา้ ท่ี ความรบั ผิดชอบและต้องจัดเก็บและมอบหมายสทิ ธิแก่ผูใ้ ช้งานระบบสารสนเทศ (๒) กรณีมีความจ�ำเป็นต้องให้สิทธิพิเศษแก่ผู้ใช้งานท่ีมีสิทธิสูงสุด ผู้ใช้งานนั้นต้องได้รับ ความเห็นชอบจากผู้บังคับบัญชา โดยก�ำหนดระยะเวลาการใช้งานและระงับการใช้งานทันทีเม่ือพ้นระยะเวลา ดังกล่าวหรือพ้นจากต�ำแหน่งและต้องมีการก�ำหนดสิทธิพิเศษที่ได้รับว่า ได้เข้าถึงระดับใดบ้าง และต้องก�ำหนด ให้เปน็ รหัสพเิ ศษทีแ่ ตกต่างจากผูใ้ ชง้ านทวั่ ไป 26
(๓) ก�ำหนดสิทธิของผู้ใช้งานระบบสารสนเทศของผู้ท่ีเกี่ยวข้อง ได้แก่ อ่านอย่างเดียว การสรา้ งข้อมูล การปอ้ นข้อมลู การแกไ้ ขขอ้ มูลและการอนุมัติ ๓.๔ ผูด้ ูแลระบบ ต้องบรหิ ารจดั การรหัสผา่ นของผ้ใู ชง้ าน ดงั ต่อไปนี้ (๑) ก�ำหนดการเปลยี่ นแปลงและการยกเลกิ รหสั ผา่ น เมอื่ ผใู้ ชง้ านลาออกหรอื พน้ จากต�ำแหนง่ (๒) สง่ มอบรหสั ผา่ นชวั่ คราวใหก้ บั ผใู้ ชง้ านดว้ ยวธิ กี ารทปี่ ลอดภยั ควรหลกี เลย่ี งการใชบ้ คุ คลอน่ื หรอื ใชจ้ ดหมายอิเลก็ ทรอนิกสท์ ี่ไมม่ กี ารปอ้ งการในการส่งรหัสผ่าน (๓) ก�ำหนดให้ผู้ใช้งาน ตอบยืนยันการได้รับรหัสผ่านทันทีและให้ผู้ใช้งานเปลี่ยนรหัสผ่าน ตามวิธปี ฏบิ ตั กิ ารใชง้ านรหสั ผ่าน (Password Use) (๔) ก�ำหนดให้ผู้ใช้งานไม่บันทึกหรือเก็บรหัสผ่านในระบบคอมพิวเตอร์ที่ไม่มีการป้องกัน การเขา้ ถงึ (๕) ก�ำหนดขื่อผูใ้ ชห้ รอื รหัสผู้ใช้งานตอ้ งไม่ซำ�้ กนั (๖) ก�ำหนดให้รหสั ผู้ใช้งานท่มี สี ทิ ธิพเิ ศษใหแ้ ตกต่างจากผู้ใชง้ านทว่ั ไป ๓.๕ ผ้ดู ูแลระบบ ตอ้ งควบคมุ การเข้าถงึ ขอ้ มูลตามประเภทของขอ้ มูล ระดับความส�ำคัญของข้อมลู และล�ำดับช้นั ความลับของขอ้ มูล ดงั น้ี (๑) ก�ำหนดรายช่อื ผู้ใชแ้ ละรหัสผ่านเพอ่ื ตรวจสอบสิทธิการเขา้ ถึง (๒) ก�ำหนดระยะเวลาการใช้งานไม่เกิน ๙๐ นาทีต่อครั้ง และระงับการใช้งานทันที เมือ่ พน้ ระยะเวลาดังกล่าว (๓) การรบั สง่ ขอ้ มลู ส�ำคญั ผา่ นระบบเครอื ขา่ ยสาธารณะ ตอ้ งไดร้ บั การเขา้ รหสั (Encryption) ทีเ่ ปน็ มาตรฐานสากล ไดแ้ ก่ SSL VPN หรือ XML Encryption (๔) ก�ำหนดการเปล่ียนรหัสผา่ นทุก ๖๐ วัน (๕) ก�ำหนดมาตรการรักษาความม่ันคงปลอดภัยของข้อมูล ในกรณีน�ำเครื่องคอมพิวเตอร์ ออกนอกพ้นื ทขี่ องหนว่ ยงาน ตอ้ งมีการส�ำรองและลบขอ้ มลู ท่เี ก็บอยใู่ นส่ือบนั ทึกก่อน เป็นต้น ๓.๖ ผู้ดูแลระบบ ต้องจ�ำกัดการเช่ือมต่อระบบสารสนเทศ (Limitation of Connection Time) ส�ำหรบั ระบบสารสนเทศหรอื โปรแกรมทีม่ ีความเสีย่ งหรือมคี วามเสีย่ งสงู ดงั นี้ (๑) ก�ำหนดให้มีการระบแุ ละพสิ จู นต์ ัวตนเพ่อื เขา้ ใช้งานใหม่ ไมเ่ กนิ ๙๐ นาทตี ่อครง้ั (๒) ผู้ประสงค์ใช้งานสารสนเทศหรือโปรแกรมท่ีมีความเส่ียงหรือมีความส�ำคัญสูง ให้ย่ืน ความประสงค์เป็นลายลกั ษณอ์ ักษรต่อผอู้ �ำนวยการศูนย์สารสนเทศเพ่ือการพฒั นาชมุ ชน ๓.๗ ตอ้ งจดั ใหม้ กี ารเสรมิ สรา้ งความรู้ ความเขา้ ใจ เพอ่ื เสรมิ สรา้ งความตระหนกั ในการรกั ษาความมนั่ คง ปลอดภัยด้านสารสนเทศ (Information Security Awareness) อย่างน้อยปีละ ๑ คร้ัง ด้วยช่องทาง ดังต่อไปนี้ (๑) จัดประชุมเชิงปฏบิ ตั ิการ (๒) เวบ็ ไซต์ (๓) เอกสาร 27
๔. การควบคมุ การเข้าถงึ เครอื ขา่ ย (Network Access Control) เพ่ือป้องกนั การเข้าถงึ บรกิ ารทางเครอื ข่ายโดยไมไ่ ด้รับอนุญาตอยา่ งน้อย ดังนี้ ๔.๑ ผู้ดูแลระบบ ต้องก�ำหนดให้ผู้ใช้งานสามารถเข้าถึงระบบสารสนเทศได้แต่เพียงบริการที่ได้รับ อนญุ าตใหเ้ ขา้ ถงึ เท่าน้ัน (๑) ให้ผู้ดูแลระบบก�ำหนดให้ระบบสารสนเทศต้องควบคุมการเข้าถึง โดยระบุเครือข่าย หรือบรกิ ารที่อนุญาตให้มกี ารใชง้ านไดเ้ ทา่ นนั้ (๒) ใหผ้ ดู้ แู ลระบบก�ำหนดการระบบสารสนเทศทส่ี �ำคญั ตอ้ งใหส้ ทิ ธเิ ฉพาะการฏบิ ตั งิ านในหนา้ ท่ี และต้องได้รบั ความเห็นชอบจากผบู้ งั คบั บัญชาเปน็ ลายลักษณ์อักษร รวมท้ังต้องทบทวนสทิ ธิดงั กลา่ วอย่างนอ้ ย ปลี ะ ๑ ครั้ง ๔.๒ การยนื ยนั ตวั บคุ คลส�ำหรบั ผใู้ ชง้ านทอ่ี ยภู่ ายนอกหนว่ ยงาน (User Authentication for External Connections) จะต้องมีข้อปฏิบัติหรือกระบวนการให้มีการยืนยันตัวบุคคลก่อนท่ีจะอนุญาตให้ผู้ใช้งาน ท่อี ยภู่ ายนอกหนว่ ยงานสามารถเข้าใชง้ านเครอื ขา่ ยและระบบสารสนเทศของหนว่ ยงานได้ ดังนี้ (๑) ผู้ดแู ลระบบต้องก�ำหนดให้ตดิ ตัง้ ซอฟต์แวรพ์ ้ืนฐานที่จ�ำเปน็ เชน่ ซอฟต์แวรป์ ้องกันไวรัส ไฟรว์ อลล์ ในอปุ กรณท์ เี่ ปน็ ของสว่ นตัวซึ่งใช้ในการเชือ่ มตอ่ เพ่อื เขา้ ถึงระบบเทคโนโลยีสารสนเทศของหนว่ ยงาน จากระยะไกล (๒) ผูด้ ูแลระบบต้องก�ำหนดรายละเอยี ดหรอื ข้อก�ำหนดส�ำหรับการปฏบิ ัตงิ านจากระยะไกล ดังนี้ - ชนิดของงานทอ่ี นญุ าตและไม่อนญุ าตส�ำหรับการปฏิบตั ิงานจากระยะไกล - ระบบงานหรือบรกิ ารต่าง ๆ ทอ่ี นญุ าตให้เขา้ ถึงไดจ้ ากระยะไกล - ชวั่ โมงหรือช่วงระยะเวลาการปฏิบัติงาน - ชั้นความลบั ของขอ้ มูลท่ีอนุญาตให้เข้าถึงได้ (๓) การใชง้ านตอ้ งไดร้ บั อนญุ าตผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน เปน็ ลายลกั ษณอ์ กั ษร และได้รับการควบคุมอย่างเหมาะสมจากผู้ดูแลระบบ เพื่อป้องกันการเปิดเผยข้อมูลและการเข้าถึงข้อมูล ที่ไมไ่ ดร้ ับอนุญาต (๔) การเขา้ สรู่ ะบบจากระยะไกล ผใู้ ชง้ านทจ่ี ะเขา้ ใชง้ านระบบตอ้ งแสดงตวั ตนกอ่ นเขา้ ใชง้ าน (Identification) ด้วยช่อื ผใู้ ช้งาน (Username) ทุกครง้ั (๕) ผู้ดูแลระบบตรวจสอบผู้ใช้งานทุกคร้ังก่อนท่ีจะอนุญาตให้เข้าถึงระบบข้อมูล โดยจะต้อง มีวธิ กี ารยนื ยนั ตัวบุคคล (Authentication) เพอื่ แสดงว่าเป็นผใู้ ชง้ านตัวจรงิ เช่น การใชร้ หสั ผา่ น (Password) หรอื การใชส้ มารท์ การด์ (๖) มีวิธีการในการตรวจสอบเพ่ือพิสูจน์ตัวตน ส�ำหรับการเข้าสู่ระบบสารสนเทศของ หน่วยงาน อยา่ งน้อย ๑ วธิ ี (๗) การเข้าสรู่ ะบบสารสนเทศของหน่วยงานจากอนิ เทอร์เน็ต ให้ตรวจสอบผูใ้ ช้งานด้วย ๔.๓ ให้ผู้ดูแลระบบ ระบุอุปกรณ์บนเครือข่าย (Equipment Identification in Networks) โดยวิธีการหรอื กระบวนการทส่ี ามารถระบอุ ปุ กรณบ์ นเครอื ขา่ ยเพอื่ ยนื ยันการเข้าถึง ดังนี้ (๑) ผดู้ แู ลระบบตอ้ งจดั ท�ำผงั เครอื ข่าย เพ่อื ควบคุมการใชง้ านอยา่ งเหมาะสม (๒) ใช้ MAC address และ IP ในการระบอุ ปุ กรณ์บนเครือขา่ ย 28
๔.๔ การป้องกันพอร์ตที่ใช้ส�ำหรับตรวจสอบและปรับแต่งระบบ (Remote Diagnostic and Configuration Port Protection) ผดู้ แู ลระบบตอ้ งควบคมุ การเขา้ ถงึ พอรต์ ทใี่ ชส้ �ำหรบั ตรวจสอบและปรบั แตง่ ระบบ ทั้งการเข้าถึงทางกายภาพและทางเครือข่าย โดยวิธีปฏิบัติการเข้าถึงเครื่องคอมพิวเตอร์แม่ข่าย (Server) ตามขอ้ ๘.๑ - ๘.๗ ๔.๕ การแบง่ แยกเครือข่าย (Segregation in Networks) ต้องท�ำการแบง่ แยกเครอื ขา่ ย ส�ำหรับกลุ่มผใู้ ช้งาน โดยแบ่งออกเป็น ๒ เครอื ข่าย คือ เครือข่ายส�ำหรับผใู้ ช้งานภายใน และเครือขา่ ยส�ำหรบั ผูใ้ ช้งานภายนอก ๔.๖ ผู้ดูแลระบบควบคุมการเชื่อมต่อทางเครือข่าย (Network Connection Control) ต้องควบคุมการเข้าถึงหรือใช้งานเครือข่ายท่ีมีการใช้ร่วมกันหรือเชื่อมต่อระหว่าง ให้สอดคล้องกับแนวปฏิบัติ การควบคุมการเขา้ ถึง ดังนี้ (๑) ท�ำการตรวจสอบการเชือ่ มตอ่ เครือข่าย (๒) จ�ำกัดสทิ ธิ ความสามารถของผูใ้ ช้ในการเช่อื มตอ่ เข้าส่เู ครอื ข่าย (๓) ระบุอปุ กรณ์ เครือ่ งมือทใ่ี ช้ควบคุมการเช่ือมตอ่ เครอื ขา่ ย (๔) มีระบบการตรวจจบั ผู้บกุ รุกท้งั ในระดับเครอื ขา่ ยและระดบั เครือ่ งคอมพวิ เตอรแ์ ม่ขา่ ย (๕) ควบคมุ ไม่ให้เปิดใหบ้ รกิ ารบนเครอื ขา่ ย โดยไมไ่ ด้รับอนุญาต ๔.๗ การควบคมุ การจดั เสน้ ทางบนเครอื ขา่ ย (Network Routing Control) ตอ้ งควบคมุ การจดั เสน้ ทาง บนเครือข่ายเพอื่ ควบคุมการเช่ือมต่อของคอมพิวเตอร์และการไหลเวยี นของขอ้ มูลหรอื สารสนเทศ ดงั น้ี (๑) ควบคมุ ไมใ่ ห้เปดิ เผยแผนการใช้หมายเลขเครอื ข่าย (IP Address) (๒) ก�ำหนดให้มกี ารแปลงหมายเลขเครอื ข่าย เพื่อแยกเครือข่ายย่อย (๓) ก�ำหนดมาตรการการบังคับใช้เส้นทางเครือข่าย สามารถเช่ือมเครือข่ายปลายทาง ผา่ นช่องทางที่ก�ำหนดไว้หรือจ�ำกดั สทิ ธใิ นการใช้บริการเครอื ขา่ ย ๔.๘ การควบคุมการเข้าใชง้ านระบบจากภายนอก (๑) การเข้าสู่ระบบจากระยะไกล (Remote Access) ต้องมีการก�ำหนดมาตรการรักษา ความปลอดภัยท่ีเพมิ่ ขน้ึ จากมาตรฐานการเข้าส่รู ะบบภายใน (๒) การเข้าสู่ระบบจากระยะไกล (Remote Access) ต้องมีการตรวจสอบเพื่อพิสูจน์ตัวตน ของผู้ใชง้ าน เช่น รหสั ผ่านหรอื วธิ ีการเขา้ รหสั เปน็ ต้น (๓) วิธีการใด ๆ ก็ตามที่สามารถเข้าสู่ระบบสารสนเทศและเครือข่ายได้จากระยะไกล ต้องได้รับอนุมัติจากผู้อ�ำนวยการศูนย์สารสนเทศเพื่อการพัฒนาชุมชนหรือผู้ดูแลระบบ ที่ได้รับมอบหมายก่อน และมกี ารควบคมุ อยา่ งเขม้ งวดกอ่ นน�ำมาใชแ้ ละผใู้ ชง้ านตอ้ งปฏบิ ตั ติ ามขอ้ ก�ำหนดของการเขา้ สรู่ ะบบสารสนเทศ อย่างเครง่ ครดั (๔) ก่อนให้สิทธิในการเข้าสู่ระบบจากระยะไกล ผู้ใช้งานต้องแสดงหลักฐานระบุเหตุผล หรอื ความจ�ำเปน็ ในการด�ำเนนิ งานกบั หนว่ ยงานอยา่ งเพยี งพอและตอ้ งไดร้ บั อนมุ ตั จิ ากผอู้ �ำนวยการศนู ยส์ ารสนเทศ เพอื่ การพัฒนาชุมชนหรือผดู้ แู ลระบบท่ไี ด้รับมอบหมายอย่างเปน็ ทางการ (๕) การควบคมุ พอรต์ (Port) ทใี่ ชใ้ นการเขา้ สรู่ ะบบอยา่ งรดั กมุ การเขา้ สรู่ ะบบโดยการโทรศพั ท์ เข้ามานั้น ต้องดูแลและจัดการโดยผู้ดูแลระบบและวิธีการหมุนเข้าต้องได้รับการอนุมัติอย่างถูกต้อง และเหมาะสมแลว้ เท่าน้นั 29
(๖) การอนญุ าตใหผ้ ใู้ ชง้ านเขา้ สรู่ ะบบจากระยะไกล ตอ้ งอยบู่ นพน้ื ฐานของความจ�ำเปน็ เทา่ นนั้ และให้ตัดการเชื่อมต่อ Port และ Modem ทันทีท่ภี าระกิจเสรจ็ ส้ิน ๔.๙ การใช้งานระบบเครือขา่ ยอินเทอรเ์ นต็ (Internet) ก�ำหนดให้ผูใ้ ช้งานปฏิบตั ิ ดงั นี้ (๑) ต้องเปน็ บคุ ลากรสงั กดั กรมการพัฒนาชมุ ชน ส�ำหรบั บคุ คลภายนอกจะตอ้ งได้รับอนญุ าต จากผู้ดูแลระบบเครือขา่ ยคอมพิวเตอร์ (๒) ตอ้ งใชข้ อ้ ความท่ีสภุ าพ และถูกต้องตามธรรมเนยี มปฏบิ ตั ิในการใชเ้ ครอื ขา่ ยเท่านัน้ (๓) ต้องใช้ทรัพยากรเครือข่ายอย่างมีประสิทธิภาพ โดยเฉพาะการดาวน์โหลดไฟล์ที่มี ขนาดใหญ่ หากมีความจ�ำเป็นให้ปฏบิ ตั ินอกเวลาท�ำงาน (๔) ต้องรับผิดชอบต่อข้อมูลของตนเอง ไม่ว่าจะเก็บไว้ในเครื่องคอมพิวเตอร์ส่วนบุคคล เครอื่ งคอมพิวเตอรแ์ ม่ข่าย (Server) หรอื การสง่ ข้อมูลผา่ นเครือขา่ ยคอมพวิ เตอร์ (๕) ตอ้ งไมใ่ หผ้ อู้ น่ื ใชง้ านผา่ นบญั ชี ของตนโดยเดด็ ขาด หากเกดิ ปญั หา เชน่ การละเมดิ ลขิ สทิ ธิ์ หรือการเก็บขอ้ มลู ท่ผี ิดกฎหมาย เจ้าของบัญชตี ้องเปน็ ผูร้ ับผดิ ชอบ ๕. การควบคมุ การเข้าถึงระบบปฏิบัติการ (Operating System Access Control) เพอ่ื ปอ้ งกนั การเขา้ ถงึ ระบบปฏบิ ตั กิ ารของเครอื่ งคอมพวิ เตอรโ์ ดยไมไ่ ดร้ บั อนญุ าต ผใู้ ชง้ านตอ้ งปฏบิ ตั ิ อยา่ งนอ้ ย ดังนี้ ๕.๑ การเขา้ ถึงระบบปฏบิ ัตกิ ารจะต้องควบคมุ โดยวิธีการยนื ยันตวั ตนท่มี ั่นคงปลอดภัย (๑) ตอ้ งก�ำหนดชอ่ื ผูใ้ ช้งาน (Username) และรหัสผา่ น (Password) ในการเขา้ ใชง้ าน ระบบปฏบิ ตั กิ ารของเครื่องคอมพิวเตอร์ (๒) ต้องต้ังการใชง้ านโปรแกรมรกั ษาจอภาพ (Screen Saver) โดยตั้งเวลาประมาณ ๑๐ นาที ใหท้ �ำการล็อคหนา้ จอเมื่อไมใ่ ช้งาน หลังจากนน้ั เม่อื ต้องการใช้งานผู้ใชง้ านต้องใส่รหัสผา่ น (๓) ตอ้ งท�ำการ Logout ออกจากระบบทันทที เี่ ลิกใช้งานหรือไมอ่ ยู่ท่หี นา้ จอเป็นเวลานาน ๕.๒ การระบแุ ละยนื ยันตัวตนของผ้ใู ชง้ าน (๑) การระบแุ ละยนื ยันตัวตนของผู้ใชง้ าน (User Identification and Authentication) ต้องก�ำหนดให้ผู้ใช้งานมีข้อมูลเฉพาะเจาะจงซ่ึงสามารถระบุตัวตนของผู้ใช้งาน และเลือกใช้ข้ันตอนทางเทคนิค ในการยนื ยันตวั ตนท่เี หมาะสม เพ่อื รองรบั การกล่าวอ้างว่าเปน็ ผู้ใช้งานท่ีระบุถงึ มีขอ้ ปฏบิ ัตดิ งั นี้ - ตอ้ งมชี ื่อผ้ใู ช้งาน (User name) และแสดงตวั ตน (ID) ด้วยชื่อผใู้ ช้ (Username) - การพิสจู น์ยนื ยันตัวตน (Authentication) ด้วยการใช้รหัสผ่าน (Password) โดยระบบ มกี ารจ�ำกดั ระยะเวลาในการปอ้ นรหสั ผา่ นและสามารถยตุ กิ ารเชอ่ื มตอ่ จากเครอ่ื งปลายทางได้ เมอ่ื พบวา่ มกี ารพยายาม คาดเดารหัสผา่ นจากเคร่อื งปลายทาง - สามารถใชอ้ ปุ กรณค์ วบคมุ ความปลอดภยั เพิ่มเตมิ ได้แก่ Smart Card รว่ มได้ (๒) ผู้ใช้งานต้องท�ำการพิสูจน์ตัวตนทุกครั้งก่อนใช้ระบบสารสนเทศเพ่ือป้องกันผู้ไม่มีสิทธิ เขา้ ใชง้ านระบบสารสนเทศ ตามข้อปฏบิ ัติ ดงั นี้ 30
- ผใู้ ชง้ านทเี่ ปน็ เจา้ ของบญั ชผี ใู้ ชบ้ รกิ าร (Account) ตอ้ งเปน็ ผรู้ บั ผดิ ชอบในผลอนั จะเกดิ ขนึ้ จากการใช้บัญชีผู้ใช้บริการ (Account) ของเครื่องคอมพิวเตอร์และระบบเครือข่าย เว้นแต่จะพิสูจน์ได้ว่า ผลเสียหายนัน้ เกิดจากการกระท�ำของผอู้ ่ืน - ผใู้ ชง้ านตอ้ งเกบ็ รกั ษาบญั ชผี ใู้ ชบ้ รกิ าร (Account) ไวเ้ ปน็ ความลบั หา้ มเปดิ เผยตอ่ บคุ คลอนื่ หา้ มโอน จ�ำหนา่ ยหรือแจกจา่ ยใหผ้ ู้อนื่ โดยไม่ไดร้ ับอนญุ าตจากผบู้ งั คบั บัญชา - ผู้ใช้งานต้องลงบันทึกเข้า (Login) โดยใช้บัญชีผู้ใช้บริการ (Account) ของตนเอง และท�ำการลงบันทึกออก (Logout) ทุกครั้ง เม่ือส้ินสุดการใช้งานหากการระบุและยืนยันตัวตนของผู้ใช้งาน มปี ัญหาหรือเกิดความผิดพลาด ผใู้ ชง้ านแจง้ ให้ผดู้ แู ลระบบท�ำการแกไ้ ข ๕.๓ การบรหิ ารจดั การรหสั ผา่ น (๑) ผดู้ แู ลระบบตอ้ งก�ำหนดขนั้ ตอนการปฏบิ ตั สิ �ำหรบั ตง้ั หรอื เปลยี่ นรหสั ผา่ นทม่ี คี วามมนั่ คง ปลอดภยั โดยก�ำหนดให้รหัสผ่านมคี วามยาวพอสมควร (๒) ในการเปลี่ยนรหัสผ่านแตล่ ะครง้ั จะต้องไมก่ �ำหนดรหสั ผ่านใหม่ให้ซำ�้ ของเดมิ ครัง้ สดุ ท้าย (๓) ระบบบริหารจัดการรหัสผ่านต้องป้องกันรหัสผ่านที่ได้มีการจัดเก็บไว้หรือท่ีจ�ำเป็น ตอ้ งส่งไปในเครอื ข่ายเพอ่ื ปอ้ งกันการเข้าถึงโดยไม่ไดร้ บั อนุญาต ๕.๔ การใชง้ านโปรแกรมอรรถประโยชน์ (๑) ตอ้ งจ�ำกดั และควบคุมการใชง้ านโปรแกรมอรรถประโยชน์ ส�ำหรับโปรแกรมคอมพิวเตอร์ ท่ีส�ำคัญ เน่ืองจากการใช้งานโปรแกรมบางชนิดสามารถท�ำให้ผู้ใช้หลีกเลี่ยงการป้องกันทางด้านความม่ันคง ปลอดภัยของระบบได้เพื่อป้องกันการละเมิดหรือหลีกเล่ียงมาตรการความม่ันคงปลอดภัยท่ีได้ก�ำหนดไว้ หรือทีม่ ีอยู่แลว้ (๒) โปรแกรมอรรถประโยชนท์ ่นี �ำมาใชง้ านต้องไมล่ ะเมดิ ลิขสิทธิ์ (๓) ตอ้ งจัดเก็บโปรแกรมอรรถประโยชน์ออกจากซอฟต์แวรส์ �ำหรบั ระบบงาน (๔) ต้องยกเลิก ลบทง้ิ โปรแกรมอรรถประโยชนแ์ ละซอฟต์แวร์ทเี่ ก่ียวขอ้ งกับระบบงานทีไ่ มม่ ี ความจ�ำเปน็ ในการใช้งาน รวมทง้ั ต้องป้องกันไม่ใหผ้ ู้ใช้งานสามารถเข้าถงึ และใช้งานโปรแกรมอรรถประโยชนไ์ ด้ ๖. การควบคุมการเขา้ ถึงโปรแกรมประยุกตห์ รอื แอพพลิเคชั่นและสารสนเทศ (Application and Information Access Control) ตอ้ งมกี ารควบคมุ อยา่ งนอ้ ย ดงั น้ี ๖.๑ การจ�ำกัดการเข้าถึงสารสนเทศ (Information Access Restriction) ต้องจ�ำกัดหรือควบคุม การเข้าถึงสารสนเทศและฟังกช์ ัน่ (Functions) ตา่ ง ๆ ของโปรแกรมประยกุ ต์หรือแอพพลิเคชั่น โดยให้ก�ำหนด หลกั เกณฑใ์ นการจ�ำกดั หรอื ควบคมุ การเขา้ ถงึ หรอื เขา้ ใชง้ านทส่ี อดคลอ้ งตามนโยบายควบคมุ การเขา้ ถงึ สารสนเทศ ทไี่ ดก้ �ำหนดไว้ ๖.๒ ระบบซง่ึ ไวต่อการรบกวน มีผลกระทบและมีความส�ำคัญสูงต่อหน่วยงาน ต้องด�ำเนนิ การ ดงั น้ี (๑) แยกระบบซึง่ ไวต่อการรบกวนออกจากระบบอนื่ 31
(๒) การควบคุมสภาพแวดล้อมของระบบ - แยกหอ้ งติดต้ังระบบซึ่งไวต่อการรบกวนให้เป็นสัดสว่ นเฉพาะ - ควบคมุ การเขา้ ออกหอ้ งตดิ ตงั้ ระบบซงึ่ ไวตอ่ การรบกวน โดยการก�ำหนดสทิ ธกิ ารเขา้ ออก ใหเ้ ฉพาะบุคคลท่ีมีหน้าท่ีเก่ยี วขอ้ งเท่าน้ัน (๓) การควบคมุ อปุ กรณค์ อมพวิ เตอรแ์ ละสอ่ื สารเคลอื่ นทแี่ ละการปฏบิ ตั งิ านจากภายนอก หนว่ ยงาน (Mobile Computing and Teleworking) ทเ่ี กยี่ วขอ้ งกบั ระบบซง่ึ ไวตอ่ การรบกวน ตอ้ งไดร้ บั อนญุ าต จากผู้อ�ำนวยการศูนยส์ ารสนเทศเพื่อการพัฒนาชมุ ชน ๖.๓ การควบคุมอปุ กรณ์คอมพิวเตอร์และสอ่ื สารเคลอ่ื นท่ตี อ้ งด�ำเนินการ ดังน้ี (๑) ให้แต่งต้ังผู้รับผิดชอบเพ่ือก�ำหนดสิทธิการในการเข้าถึงระบบควบคุมอุปกรณ์คอมพิวเตอร์ และสอื่ สารเคลื่อนท่ี (๒) ได้รับอนญุ าตจากผู้อ�ำนวยการศูนย์สารสนเทศเพ่อื การพฒั นาชุมชน ๖.๔ การปฏบิ ตั งิ านจากภายนอกหนว่ ยงาน (Teleworking) ก�ำหนดแนวปฏบิ ตั แิ ผนงานและขน้ั ตอนปฏบิ ตั ิ ใชส้ �ำหรับการปฏิบัตงิ านของหนว่ ยงานจากภายนอกหนว่ ยงาน ดงั น้ี (๑) การให้สิทธิในการเข้าสู่ระบบจากระยะไกล ผู้ใช้งานต้องได้รับอนุมัติจากผู้อ�ำนวยการศูนย์ สารสนเทศเพอ่ื การพฒั นาชมุ ชน เปน็ ลายลกั ษณอ์ กั ษรและตอ้ งก�ำหนดระยะเวลาการเขา้ ถงึ เพอื่ ควบคมุ การเขา้ ถงึ ได้ (๒) การเขา้ สู่ระบบจากระยะไกล ต้องท�ำการพสิ จู นต์ ัวตนก่อนเขา้ ใช้งาน (๓) ผดู้ ูแลระบบต้องก�ำหนดมาตรการปอ้ งกนั และการเตรยี มการต่าง ๆ ทจ่ี �ำเป็นกอ่ นอนญุ าต ใหผ้ ูใ้ ชง้ านเรมิ่ ตน้ ปฏิบัตงิ านจากระยะไกล ๖.๕ ลิขสิทธิ์ของซอฟต์แวร์และแนวทางป้องกันการละเมิดลิขสิทธิ์ของซอฟต์แวร์ที่ใช้งานใน กรมการพัฒนาชมุ ชน ใหผ้ ดู้ แู ลระบบท้ังหน่วยงานราชการส่วนกลางและส่วนภูมภิ าคปฏบิ ตั ิ ดงั นี้ (๑) ในกรณีที่เจ้าหน้าท่ีมีความจ�ำเป็นต้องใช้งานซอฟต์แวร์นอกเหนือจากที่กรมการพัฒนา ชมุ ชนมลี ขิ สทิ ธิ์ ใหแ้ จง้ ความจ�ำเปน็ ใหผ้ อู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชนพจิ ารณาความเหมาะสม และด�ำเนินการจัดซอื้ ให้ถกู ตอ้ ง (๒) จัดท�ำทะเบียนคุมการติดต้ังซอฟต์แวร์บนคอมพิวเตอร์แม่ข่ายและลูกข่ายเพ่ือตรวจสอบ จ�ำนวนลิขสิทธ์แิ ละรายชอ่ื เคร่อื งคอมพิวเตอรท์ มี่ กี ารติดต้งั ซอฟต์แวร์ (๓) เกบ็ เอกสารเก่ยี วกับลขิ สิทธิ์ของซอฟต์แวรอ์ ย่างเปน็ ระเบยี บในสถานทปี่ ลอดภยั (๔) ซอฟต์แวร์ที่ใช้งาน ต้องเป็นซอฟต์แวร์ที่ได้รับสิทธิการใช้งานถูกต้องตามกฎหมาย หรอื เปน็ ซอฟตแ์ วรท์ ไ่ี มส่ งวนลิขสทิ ธ์ิ (๕) ซอฟต์แวร์ทีพ่ ัฒนาข้ึนหรอื จัดจา้ งใหม้ กี ารพฒั นาถือเป็นลขิ สิทธข์ิ องกรมการพัฒนาชุมชน ห้ามเจ้าหน้าท่ีน�ำไปเผยแพร่ตอ่ บุคคลภายนอก เว้นแต่ไดร้ ับอนุญาตจากกรมการพัฒนาชมุ ชน ๖.๖ ซอฟตแ์ วร์ส�ำเรจ็ รปู ในการตดิ ตงั้ ซอฟตแ์ วร์ส�ำเร็จรูปให้ผ้ตู ดิ ต้งั ซอฟต์แวรป์ ฏบิ ตั ิ ดงั นี้ (๑) ขอความเห็นชอบจากผูอ้ �ำนวยการศูนย์สารสนเทศเพือ่ การพฒั นาชุมชน (๒) ตรวจสอบไวรัสบนซอฟแวรส์ �ำเร็จรปู กอ่ นการติดต้ัง (๓) ติดตั้งซอฟต์แวร์ส�ำเร็จรูปให้ครบถ้วนและทดสอบเพื่อให้แน่ใจว่าสามารถใช้งานได้ อยา่ งมีประสิทธิภาพ 32
(๔) กรณีซอฟตแ์ วรท์ ีต่ ดิ ตง้ั - มีคุณสมบัติด้านการรักษาความปลอดภัย ให้เลือกใช้งานคุณสมบัติดังกล่าว ตามความเหมาะสมแกก่ ารใชง้ าน โดยซอฟตแ์ วร์ต้องมีความปลอดภยั และสามารถให้บริการไดต้ ามต้องการ - ต้องก�ำหนดคุณสมบัติเฉพาะ เช่น ระบบป้องกันการบุกรุก เว็บเซิร์ฟเวอร์ เป็นต้น โดยให้ผู้จัดการฐานข้อมูลหน่วยงานราชการส่วนกลางและส่วนภูมิภาค ประสานงานกับกลุ่มงานพัฒนา ระบบเครือข่าย ในการจัดท�ำเอกสารคู่มือของซอฟต์แวร์เพื่อใช้ประกอบการท�ำงานและปรับปรุงให้ถูกต้องทุกครั้ง ท่ีมีการเปลี่ยนแปลง ท้ังน้ีห้ามเปิดเผยเอกสารดังกล่าวต่อบุคคลผู้ไม่เก่ียวข้อง เว้นแต่ได้รับอนุญาตจาก ผู้อ�ำนวยการศนู ยส์ ารสนเทศเพอื่ การพัฒนาชมุ ชน (๕) เอกสารคู่มือต้องแสดงรายละเอียดคุณสมบัติที่ก�ำหนดเฉพาะส�ำหรับใช้งาน ได้แก่ คอมพิวเตอร์แม่ข่ายหรือเครื่องลูกข่ายที่ติดต้ังไดเรกทอรีท่ีจัดเก็บรายช่ือไฟล์ท่ีส�ำคัญและขั้นตอนการบริหาร ซอฟต์แวร์ ๖.๗ ในกรณจี า้ งเหมาด�ำเนินการท่ีเกย่ี วขอ้ งกบั เทคโนโลยสี ารสนเทศให้ปฏิบัติ ดังน้ี (๑) ขอเหน็ ชอบจากผู้บรหิ ารเทคโนโลยสี ารสนเทศระดบั สูง (CIO) กรมการพัฒนาชมุ ชน (๒) เอกสารคู่มือต้องแสดงคุณสมบัติท่ีก�ำหนดเฉพาะ ได้แก่ คอมพิวเตอร์แม่ข่ายหรือเคร่ือง ลกู ขา่ ยทีต่ ิดตั้งไดเรกทอรที จี่ ดั เกบ็ รายชือ่ ไฟลท์ สี่ �ำคัญ และขั้นตอนการด�ำเนนิ การ (๓) เทคโนโลยีสารสนเทศที่จัดจ้างให้มีการพัฒนาถือเป็นลิขสิทธ์ิของกรมการพัฒนาชุมชน ห้ามผรู้ บั จา้ งน�ำไปเผยแพรต่ ่อบคุ คลภายนอก เวน้ แตไ่ ดร้ บั อนญุ าตจากกรมการพฒั นาชมุ ชน ๗. การควบคุมการเข้าถงึ ระบบเครอื ขา่ ยไร้สาย (Wireless LAN Access Control) ๗.๑ ผู้ใช้งานท่ีต้องการเข้าถึงระบบเครือข่ายไร้สายของหน่วยงาน จะต้องท�ำการลงทะเบียน กับผู้ดูแลระบบ โดยจะต้องขออนุญาตเป็นลายลักษณ์อักษรและได้รับการพิจารณาอนุญาตจากผู้ดูแลระบบ หนว่ ยงานราชการส่วนกลาง หรือส่วนภมู ภิ าคทีไ่ ด้รบั มอบหมาย ๗.๒ ผู้ดแู ลระบบหนว่ ยงานราชการสว่ นกลางและส่วนภูมภิ าค ตอ้ งด�ำเนินการดงั ตอ่ ไปน้ี (๑) ลงทะเบยี นก�ำหนดสทิ ธผิ ใู้ ชง้ านใหเ้ หมาะกบั หนา้ ทคี่ วามรบั ผดิ ชอบ รวมทง้ั มกี ารทบทวนสทิ ธิ การเข้าถึงอย่างสม�ำ่ เสมอ (๒) ตอ้ งลงทะเบียนอปุ กรณ์ทุกช้ินที่ใชต้ ิดต่อระบบเครอื ขา่ ยไร้สาย (๓) ต้องควบคุมสัญญาณของอุปกรณ์กระจายสัญญาณ (Access Point) ไม่ให้สัญญาณ ของอุปกรณ์ร่ัวไหลออกนอกพ้ืนที่ใช้งานระบบเครือข่ายไร้สายและป้องกันไม่ให้ผู้โจมตี สามารถรับส่งสัญญาณ จากภายนอกอาคารหรือบรเิ วณขอบเขตทคี่ วบคุมได้ (๔) ให้เปล่ียนค่า SSID (Service Set Identifier) ทันทีท่ีน�ำอุปกรณ์กระจายสัญญาณ (Access Point) มาใช้งาน (๕) ให้เปล่ยี นค่าช่อื บญั ชรี ายชือ่ และรหัสผา่ น ของอปุ กรณไ์ ร้สายและควรจะเลือกใช้ชื่อบญั ชี รายชอ่ื และรหสั ผ่านทคี่ าดเดาได้ยากเพื่อปอ้ งกนั ผโู้ จมตไี มใ่ ห้สามารถเดาหรือเจาะรหสั ไดโ้ ดยง่าย 33
(๖) ตอ้ งก�ำหนดคา่ ใช้ WEP (Wired Equivalent Privacy) หรอื WPA (Wi-Fi Protected Access) ในการเข้ารหสั ข้อมลู ระหวา่ ง Wireless LAN Client และอุปกรณก์ ระจายสญั ญาณ (Access Point) เพอื่ ให้ยากตอ่ การดกั จับและท�ำให้ปลอดภัยมากข้ึน (๗) ให้เลือกใช้วิธีการควบคุม MAC Address (Media Access Control Address) และช่ือผู้ใช้ (Username) รหัสผ่าน (Password) ของผู้ใช้งานที่มีสิทธิในการเข้าใช้งานระบบเครือข่ายไร้สาย โดยจะอนญุ าตเฉพาะอปุ กรณ์ ท่ีมี MAC Address และชือ่ ผู้ใช้ (Username) รหสั ผา่ น (Password) ตามท่กี �ำหนดไว้ เท่านนั้ (๘) ต้องท�ำการติดต้ังอุปกรณ์ป้องกันการบุกรุก (Firewall) ระหว่างเครือข่ายไร้สายกับ เครอื ขา่ ยภายในหน่วยงาน (๙) ใช้ซอฟต์แวร์หรือฮาร์ดแวร์ตรวจสอบความมั่นคงปลอดภัยของระบบเครือข่ายไร้สาย อย่างสม�ำ่ เสมอและเมือ่ ตรวจสอบพบการใช้งานระบบเครอื ขา่ ยไรส้ ายทผ่ี ดิ ปกติ ให้รายงานตอ่ ผ้อู �ำนวยการศูนย์ สารสนเทศฯ ทราบโดยทนั ที ๗.๓ ผใู้ ชง้ านระบบเครอื ขา่ ยแบบไรส้ าย (Wireless Policy) ของหนว่ ยงานราชการสว่ นกลางและสว่ นภมู ภิ าค มีหนา้ ที่และความรับผดิ ชอบทต่ี อ้ งปฏิบัติ ดงั น้ี (๑) การติดตั้งระบบเครือข่ายไร้สาย (Wireless) ต้องได้รับอนุญาตเป็นลายลักษณ์อักษร จากหัวหนา้ หน่วยงานในแตล่ ะระดบั และตอ้ งก�ำหนดรหสั การเข้าใช้งาน (๒) ห้ามน�ำอุปกรณ์ Wireless มาติดตั้งหรือเปิดใช้งานเองในหน่วยงานไม่ว่าจะเป็น Access Point, Wireless Routers, Wireless USB Client หรือ Wireless Card (๓) ห้ามผใู้ ชง้ าน (User) เปดิ ad-hoc หรอื peer-to-peer Network (๔) กรณที ่ีหวั หน้าหนว่ ยงานอนญุ าตให้มกี ารตดิ ตั้ง Wireless ใหด้ �ำเนนิ การ ดังน้ี - วาง Access Point (AP) ในต�ำแหน่งท่ีเหมาะสม โดยให้วางหน้า Firewall หากมี ความจ�ำเปน็ ตอ้ งวางในระบบเครอื ข่ายภายใน (Internal Network) โดยให้เพ่มิ การรับรองและการเข้ารหสั ด้วย (Authentication, Encryption) - ให้ก�ำหนดรายการ MAC Address ท่ีสามารถเข้าใช้ Access Point ได้เฉพาะ เคร่อื งคอมพิวเตอร์ท่ีอนญุ าตเท่านน้ั - ให้จัดการกับ SSID (Service Set Identifier) ที่ถูกก�ำหนดเป็นค่า Default มาจาก โรงงานผลติ คา่ SSID ทันทีท่ีน�ำ Access Point มาใช้งาน และต้องปดิ คุณสมบัตกิ าร Auto Broadcast SSID ของตวั Access Point ดว้ ย - ผู้ดแู ลระบบจะต้องเขียนการตดิ ตั้ง Wireless อยา่ งถกู วธิ แี ละปรบั คา่ Configuration ให้เหมาะสม รวมท้งั ท�ำ Check List เก่ียวกบั Security Configuration - อปุ กรณ์ Wireless LAN ของแตล่ ะผผู้ ลติ มคี ณุ สมบตั แิ ตกตา่ งกนั ตอ้ งตรวจสอบคณุ สมบตั ิ ก่อนการใช้งาน 34
๘. การเข้าถงึ เครื่องคอมพิวเตอร์แม่ขา่ ย (Server) ๘.๑ ควบคุมการตดิ ตั้งซอฟตแ์ วร์ (๑) ผดู้ แู ลระบบ ตอ้ งเปน็ ผทู้ ไ่ี ดร้ บั การอบรมหรอื มคี วามช�ำนาญเทา่ นนั้ จงึ มมี สี ทิ ธเิ ปลย่ี นแปลง ตอ่ ระบบสารสนเทศของหนว่ ยงาน (๒) การตดิ ตง้ั หรอื ปรบั ปรงุ ซอฟตแ์ วรข์ องระบบสารสนเทศตอ้ งไดร้ บั การอนมุ ตั กิ อ่ นด�ำเนนิ การ (๓) ไม่ตดิ ตง้ั ซอร์สโคด้ คอมไพเลอร์ (Complier) ของระบบสารสนเทศในเครอ่ื งคอมพิวเตอร์ แมข่ า่ ยท่ีให้บริการนนั้ ๆ (๔) ก�ำหนดให้มีการจัดเก็บซอร์สโค้ดและไลบรารี่ส�ำหรับซอฟต์แวร์ของระบบสารสนเทศ ไวใ้ นสถานท่ที ม่ี ีความมั่นคงปลอดภยั (๕) ก�ำหนดใหผ้ ู้ใชง้ านหรือผทู้ เ่ี กย่ี วข้อง ตอ้ งท�ำการทดสอบระบบสารสนเทศตามจุดประสงค์ ทกี่ �ำหนดไวอ้ ยา่ งครบถว้ นเพยี งพอ กอ่ นด�ำเนนิ การตดิ ตงั้ บนเครอื่ งคอมพวิ เตอรแ์ มข่ า่ ยทใี่ หบ้ รกิ าร เชน่ ซอฟตแ์ วร์ ระบบปฏิบตั กิ าร ซอฟตแ์ วร์ทเ่ี ป็นตัวระบบสารสนเทศ เปน็ ต้น (๖) ให้ผู้เกี่ยวข้องทดสอบด้านความม่ันคงปลอดภัยของระบบสารสนเทศให้ครบถ้วน กอ่ นใหบ้ รกิ ารระบบสารสนเทศ (๗) ใหจ้ ัดเกบ็ ซอฟต์แวร์เวอรช์ ่ันเกา่ ขอ้ มลู ทเ่ี ก่ยี วขอ้ งกับระบบสารสนเทศเดิมตามระยะเวลา ทเ่ี หมาะสม (๘) ใหร้ ะบคุ วามตอ้ งการดา้ นระบบสารสนเทศทต่ี อ้ งการปรบั ปรงุ กอ่ นทจี่ ะเรมิ่ ตน้ ท�ำการพฒั นา ๘.๒ ใหท้ บทวนการท�ำงานของระบบสารสนเทศภายหลงั จากทเ่ี ปลยี่ นแปลงระบบปฏบิ ตั กิ าร รวมทง้ั วางแผนด้านงบประมาณในกรณีท่ีหน่วยงานต้องใช้ระบบปฏิบัติการใหม่และต้องแจ้งให้ผู้ที่เกี่ยวข้องกับระบบ สารสนเทศได้รับทราบเกี่ยวกับการเปลี่ยนแปลงระบบปฏิบัติการเพื่อให้บุคคลเหล่าน้ันมีเวลาเพียงพอ ในการด�ำเนนิ การทดสอบและทบทวนก่อนทจ่ี ะด�ำเนนิ การเปล่ยี นแปลงระบบปฏิบตั กิ าร ๘.๓ การพฒั นาซอฟต์แวร์โดยหน่วยงานภายนอก (๑) ใหร้ ะบวุ า่ ใครจะเปน็ ผมู้ สี ทิ ธใิ นสนิ ทรพั ยท์ างปญั ญาส�ำหรบั ซอรส์ โคด้ ในการพฒั นาซอฟตแ์ วร์ (๒) ใหก้ �ำหนดเรอ่ื งการสงวนสทิ ธทิ จ่ี ะตรวจสอบดา้ นคณุ ภาพและความถกู ตอ้ งของซอฟตแ์ วร์ ที่จะมกี ารพัฒนาโดยผูใ้ ห้บรกิ ารภายนอกโดยระบไุ วใ้ นสญั ญาจ้างที่ท�ำกบั ผใู้ ห้บรกิ ารภายนอกนั้น (๓) ใหต้ รวจสอบโปรแกรมไมป่ ระสงคด์ ใี นซอฟตแ์ วรต์ า่ ง ๆ ทจี่ ะท�ำการตดิ ตง้ั กอ่ นด�ำเนนิ การตดิ ตง้ั ๘.๔ มาตรการควบคุมชอ่ งโหวท่ างเทคนิค (๑) ก�ำหนดใหจ้ ดั ท�ำบญั ชขี องระบบสารสนเทศเพอื่ ใชส้ �ำหรบั กระบวนการบรหิ ารจดั การชอ่ งโหว่ ของระบบเหล่านนั้ มกี ารบันทกึ ดังต่อไปนี้ - ชื่อซอฟต์แวรแ์ ละเวอรช์ ัน่ ทใ่ี ช้งาน - สถานทีท่ ่ตี ดิ ตงั้ - เครอ่ื งท่ตี ิดตั้ง - ผู้ผลิตซอฟต์แวร์ - ข้อมลู ส�ำหรับตดิ ตอ่ ผูผ้ ลติ หรือผพู้ ฒั นาซอฟแวรน์ ัน้ ๆ 35
(๒) ก�ำหนดใหม้ กี ารจดั การกับชอ่ งโหวส่ �ำคัญของระบบสารสนเทศอย่างเหมาะสมในทนั ที (๓) กระบวนการบริหารจดั การช่องโหว่ของระบบสารสนเทศให้ผู้ดูแลระบบด�ำเนินการ ดงั นี้ - เฝ้าระวัง ติดตาม ประเมินความเส่ียงส�ำหรับช่องโหว่ของระบบสารสนเทศ รวมท้ัง การประสานงานเพ่อื ให้ผู้ทเ่ี ก่ยี วข้องด�ำเนนิ การแกไ้ ขช่องโหว่ตามความเหมาะสม - ก�ำหนดให้ผู้ท่ีเกี่ยวข้องด�ำเนินการประเมินความเสี่ยงเมื่อได้รับแจ้งหรือทราบเกี่ยวกับ ช่องโหว่ นั้น (๔) ปิดการใช้งานหรือควบคุมการเข้าถึงพอร์ตที่ใช้ส�ำหรับตรวจสอบและปรับแต่งระบบ ให้ใช้งานไดอ้ ยา่ งจ�ำกดั ระยะเวลาเทา่ ที่จ�ำเปน็ โดยตอ้ งไดร้ ับการอนุญาตจากผู้รบั ผดิ ชอบเป็นลายลักษณ์อกั ษร ๘.๕ ระบบตรวจจับและป้องกันผู้บุกรุก (Intrusion Detection System (IDS) and Intrusion Prevention System (IPS) ผู้ดูแลระบบมหี นา้ ทแ่ี ละความรบั ผดิ ชอบทต่ี อ้ งปฏบิ ัติ ดังนี้ (๑) เฝา้ ระวงั และรกั ษาอปุ กรณต์ รวจจบั และปอ้ งกนั การบกุ รกุ ระบบ รวมทง้ั วเิ คราะหห์ าสาเหตุ ของการบกุ รุก (๒) เกบ็ สถติ เิ กยี่ วกบั ความพยายามบกุ รกุ หรอื โจมตอี งคก์ รเพอ่ื เปน็ เครอ่ื งมอื ในการวดั ประสทิ ธภิ าพ ของระบบรกั ษาความปลอดภยั อน่ื และเพอ่ื เปน็ การปอ้ งกนั เครอื ขา่ ยคอมพวิ เตอรถ์ กู ภยั คกุ คามจากภายนอก เชน่ Hacker รวมท้ังไวรัสประเภทต่าง ๆ (๓) บรหิ ารจดั การเหตกุ ารณบ์ กุ รกุ ระบบ (Incident Management) เพอ่ื ตอบสนองเหตกุ ารณ์ โดยวิเคราะห์ลักษณะการบุกรุก จัดล�ำดับความส�ำคัญของผลกระทบท่ีเกิดขึ้นกับองค์กรและจัดท�ำวิธีปฏิบัติ เพือ่ ตอบสนองต่อเหตกุ ารณ์การบุกรุก ตอ่ ไปน้ี - จ�ำกดั ขอบเขต (Containment) ทเี่ สย่ี งตอ่ การบกุ รกุ และจ�ำกดั ความรนุ แรงของการบกุ รกุ - ก�ำจดั ต้นเหตุ (Eradication) รวมถงึ ปดิ กัน้ ชอ่ งทางของการบุกรุก - กูค้ นื ระบบ (Recovery) แก้ไขระบบที่ถกู บกุ รุกให้สามารถกลบั มาท�ำงานไดต้ ามปกติ - ติดตามผล (Follow-Up) บันทึกผลกระทบของเหตุการณ์และแนะน�ำวิธีปฏิบัติ เพื่อป้องกันเหตกุ ารณเ์ กิดซำ้� (๔) ก�ำหนดบคุ คลรบั ผดิ ชอบการก�ำหนด แกไ้ ขหรอื เปลย่ี นแปลงคา่ Parameter ตา่ ง ๆ ของระบบ เครือข่ายและอุปกรณ์ต่างๆ ท่ีเชื่อมต่อกับระบบเครือข่ายอย่างชัดเจน รวมถึงการทบทวนอย่างน้อยปีละ ๑ คร้ัง และแจ้งผู้อ�ำนวยการศูนยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชนให้รับทราบเมื่อมีการเปล่ยี นแปลง (๕) การใช้เคร่ืองมือต่าง ๆ (Tools) เพ่ือตรวจเช็คระบบเครือข่าย ต้องได้รับการอนุมัติจาก ผมู้ อี �ำนาจหน้าทีแ่ ละจ�ำกัดการใช้งานเฉพาะที่จ�ำเป็น (๖) ผู้ดูแลระบบต้องท�ำการตรวจสอบบันทึกการปฏิบัติงานของผู้ใช้งานอย่างสม่�ำเสมอ ตอ้ งประเมนิ ผลกระทบของการเปลยี่ นแปลงทส่ี �ำคญั เปน็ ลายลกั ษณอ์ กั ษร ทงั้ ในดา้ นการปฏบิ ตั งิ าน (Operation) ระบบรักษาความปลอดภยั (Security) และการท�ำงาน (Functionality) ของระบบงานทเ่ี กย่ี วขอ้ ง ๘.๖ การบันทึกข้อมูลจราจรคอมพิวเตอร์ที่เก่ียวข้องกับการใช้งานระบบสารสนเทศ (Audit Logging) การบนั ทกึ ข้อมลู จราจรคอมพวิ เตอร์ (Log) การเขา้ ถึงระบบสารสนเทศ ดังนี้ (๑) ข้อมลู ชอื่ บญั ชผี ้ใู ชง้ าน (๒) ขอ้ มลู วันเวลาทีเ่ ข้าถึงและออกจากระบบ 36
(๓) ขอ้ มูลเหตกุ ารณ์ส�ำคญั ท่เี กิดข้นึ (๔) ข้อมลู การลอ็ กอนิ ท้งั ที่ส�ำเรจ็ และไมส่ �ำเร็จ (๕) ข้อมูลความพยายามในการเข้าถึงสนิ ทรัพยส์ ารสนเทศทัง้ ที่ส�ำเร็จและไม่ส�ำเรจ็ (๖) ขอ้ มูลการเปล่ยี นคอนฟกิ กเู รชั่น (Configuration) ของระบบ (๗) ขอ้ มูลแสดงการใช้งานแอพพลเิ คช่ัน (๘) ข้อมูลแสดงการเขา้ ถึงไฟลแ์ ละการกระท�ำกับไฟล์ เช่น เปิด ปิด เขียน อ่านไฟล์ เป็นตน้ (๙) ข้อมูลไอพีแอดเดรสท่ีเข้าถงึ (๑๐) ขอ้ มลู โพรโตคอลเครือขา่ ยทีใ่ ช้ (๑๑) ข้อมูลแสดงการหยุดการท�ำงานของระบบปอ้ งกันไวรัสคอมพวิ เตอร์ (๑๒) ข้อมูลแสดงการส�ำรองข้อมูลไม่ส�ำเร็จ ๘.๗ การเข้าถงึ หอ้ งคอมพิวเตอรแ์ มข่ า่ ย (๑) หอ้ งคอมพวิ เตอรแ์ มข่ า่ ย (Server) ทตี่ ง้ั อยู่ ณ กรมการพฒั นาชมุ ชน สงวนไวเ้ ปน็ เขตหวงหา้ ม โดยเดด็ ขาด เวน้ แตไ่ ด้รบั อนญุ าตจากผู้อ�ำนวยการศูนยส์ ารสนเทศเพ่อื การพัฒนาชุมชน (๒) ผู้ใช้งานต้องไม่น�ำอุปกรณ์หรือช้ินส่วนใดของเครื่องออกจากห้องคอมพิวเตอร์แม่ข่าย (Server) เว้นแตจ่ ะไดร้ ับอนญุ าตจากผู้อ�ำนวยการศนู ย์สารสนเทศเพ่ือการพฒั นาชมุ ชน (๓) ผใู้ ชง้ านตอ้ งไมน่ �ำเครอื่ งมอื หรอื อปุ กรณอ์ นื่ ใดเชอื่ มเขา้ เครอื ขา่ ยเพอ่ื ประกอบธรุ กจิ สว่ นบคุ คล ๙. การก�ำหนดหนา้ ทค่ี วามรบั ผดิ ชอบของผ้ใู ชง้ าน (User Responsibilities) เพอื่ ชว่ ยใหผ้ ใู้ ชง้ านทงั้ หนว่ ยงานราชการสว่ นกลางและสว่ นภมู ภิ าค ไดร้ บั ทราบถงึ หนา้ ทแี่ ละความรบั ผดิ ชอบ ในการใช้ระบบคอมพิวเตอร์และระบบเครือข่าย อันจะเป็นการป้องกันทรัพยากรและข้อมูลของหน่วยงาน ให้มคี วามลับ ความถกู ตอ้ งและมีความพรอ้ มใชง้ านอยเู่ สมอ ดงั น้ี ๙.๑ ผู้ใช้งานต้องไม่ใช้งานเครื่องคอมพิวเตอร์และระบบเครือข่ายของหน่วยงานในทางท่ีขัดต่อ พระราชบัญญัติว่าด้วยการกระท�ำความผดิ เกยี่ วกับคอมพวิ เตอร์ ดังนี้ (๑) ท�ำให้แพร่หลาย ซึ่งข้อมูลคอมพิวเตอร์ที่อาจจะกระทบกระเทือนต่อความม่ันคง แห่งราชอาณาจกั รหรือทีม่ ลี ักษณะขดั ตอ่ ความสงบเรยี บรอ้ ยหรอื ศลี ธรรมอนั ดีของประชาชน (๒) น�ำเข้าสู่ระบบคอมพิวเตอร์ ซ่ึงข้อมูลคอมพิวเตอร์ปลอมไม่ว่าท้ังหมดหรือบางส่วน หรือขอ้ มูลคอมพวิ เตอร์อนั เปน็ เทจ็ โดยประการทน่ี า่ จะเกิดความเสยี หายแก่ผู้อืน่ (๓) น�ำเข้าสู่ระบบคอมพิวเตอร์ ซึ่งข้อมูลคอมพิวเตอร์อันเป็นเท็จ โดยการที่น่าจะเกิด ความเสยี หายต่อความมัน่ คงของประเทศหรือกอ่ ให้เกิดความต่นื ตระหนกแก่ประชาชน (๔) น�ำเข้าสู่ระบบคอมพิวเตอร์ ซ่ึงข้อมูลคอมพิวเตอร์ใด ๆ อันเป็นความผิดเกี่ยวกับ ความมัน่ คงแห่งราชอาณาจกั รหรอื ความผดิ เก่ยี วกบั การกอ่ การร้ายตามประมวลกฎหมายอาญา (๕) น�ำเข้าสู่ระบบคอมพิวเตอร์ ซ่ึงข้อมูลคอมพิวเตอร์ใด ๆ ท่ีมีลักษณะอันลามกและข้อมูล คอมพวิ เตอร์น้ันประชาชนท่วั ไปอาจเขา้ ถึงได้ 37
(๖) น�ำเข้าสูร่ ะบบคอมพิวเตอร์ ซ่ึงข้อมูลคอมพิวเตอรท์ ่ีปรากฏเป็นภาพของผอู้ ่ืนและภาพน้ัน เป็นภาพท่ีเกิดจากการสร้างขึ้น ตัดต่อ เติมหรือดัดแปลงด้วยวิธีการทางอิเล็กทรอนิกส์หรือวิธีการอื่นใด ท้ังน้ี โดยประการท่ีนา่ จะท�ำให้ผูอ้ ่นื นน้ั เสยี ช่อื เสียง ถูกดหู ม่ิน ถกู เกลียดชงั หรือไดร้ บั ความอบั อาย (๗) เขา้ ถงึ โดยมชิ อบ ซง่ึ ระบบคอมพวิ เตอรท์ มี่ มี าตรการปอ้ งกนั การเขา้ ถงึ โดยเฉพาะและมาตรการนนั้ มิไดม้ ไี ว้ส�ำหรบั ตน (๘) น�ำมาตรการปอ้ งกนั การเขา้ ถงึ ระบบคอมพวิ เตอรท์ ผ่ี อู้ น่ื จดั ท�ำขนึ้ เปน็ การเฉพาะไปเปดิ เผย โดยมิชอบในประการทน่ี า่ จะเกิดความเสียหายแก่ผู้อน่ื (๙) เขา้ ถงึ โดยมชิ อบ ซงึ่ ขอ้ มลู คอมพวิ เตอรท์ ม่ี มี าตรการปอ้ งกนั การเขา้ ถงึ โดยเฉพาะและมาตรการนน้ั มไิ ด้มไี วส้ �ำหรับตน (๑๐) กระท�ำด้วยประการใดโดยมิชอบด้วยวิธีการทางอิเล็กทรอนิกส์เพื่อตักรับไว้ซ่ึงข้อมูล คอมพวิ เตอร์ของผ้อู ่ืนท่อี ยูร่ ะหว่างการสง่ ในระบบคอมพิวเตอรแ์ ละข้อมูลคอมพิวเตอรน์ นั้ มไิ ดม้ ีไว้เพอ่ื ประโยชน์ สาธารณะหรอื เพือ่ ให้บุคคลทว่ั ไปใช้ประโยชน์ได้ (๑๑) ท�ำให้เสียหาย ท�ำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึง่ ขอ้ มูลคอมพวิ เตอรข์ องผูอ้ นื่ โดยมิชอบ (๑๒) กระท�ำด้วยประการใดโดยมิชอบเพื่อให้การท�ำงานของระบบคอมพิวเตอร์ของผู้อื่น ถกู ระงับ ชะลอ ขัดขวาง หรือรบกวนจนไมส่ ามารถท�ำงานตามปกติได้ (๑๓) ส่งข้อมูลคอมพิวเตอร์หรือจดหมายอิเล็กทรอนิกส์ (E-mail) แก่บุคคลอ่ืนโดยปกปิดหรือ ปลอมแปลงแหล่งท่ีมาของการส่งข้อมูลดังกล่าว อันเป็นการรบกวนการใช้ระบบคอมพิวเตอร์ของบุคคลอ่ืน โดยปกตสิ ุข (๑๔) กระท�ำการท่ีน่าจะเกิดความเสียหายต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ทเี่ กยี่ วกบั การรกั ษาความมน่ั คงปลอดภยั ของประเทศ ความปลอดภยั สาธารณะ ความมนั่ คงในทางเศรษฐกจิ ของ ประเทศหรือการบริการสาธารณะหรือเป็นการกระท�ำต่อข้อมูลคอมพิวเตอร์หรือระบบคอมพิวเตอร์ท่ีมีไว้ เพอ่ื ประโยชน์สาธารณะ ๙.๒ ผใู้ ชง้ านตอ้ งไมส่ นบั สนนุ หรอื ยนิ ยอมใหม้ กี ารกระท�ำความผดิ ตาม ๙.๑ (๑) - (๖) ในระบบคอมพวิ เตอร์ ท่อี ยใู่ นความควบคมุ ของตน ๙.๓ ผู้ใช้งานต้องไม่จ�ำหน่ายหรือเผยแพร่โปรแกรมท่ีจัดท�ำขึ้นโดยเฉพาะเพื่อน�ำไปใช้เป็นเครื่องมือ ในการกระท�ำความผิดตาม ๙.๑ (๗) - (๑๔) ๙.๔ การใช้งานเคร่อื งคอมพิวเตอรแ์ ละระบบเครอื ขา่ ยให้ผใู้ ชง้ านปฏิบตั ิ ดงั ตอ่ ไปนี้ (๑) ไม่คดั ลอกโปรแกรมต่าง ๆ ทีห่ นว่ ยงานได้ซือ้ ลิขสิทธ์มิ าอยา่ งถกู ตอ้ งตามกฎหมายน�ำไปติดตง้ั บนเครอ่ื งคอมพิวเตอรส์ ว่ นตัวหรอื น�ำไปใหผ้ อู้ ื่นใช้งานโดยผิดกฎหมาย (๒) การตง้ั ช่อื เครื่องคอมพิวเตอร์ (Computer Name) ของหน่วยงานจะต้องก�ำหนด โดยกรมการพฒั นาชุมชนเทา่ นนั้ (๓) ไมท่ �ำการปรบั แตง่ ไบออส (BIOS) หรือการต้ังคา่ ระบบ (Configuration) อ่ืนใดที่อาจสง่ ผลกระทบ ต่อระบบการท�ำงานของคอมพวิ เตอร์ อันเปน็ เหตุให้ไม่สามารถเปิดเครือ่ งใช้งานได้เปน็ ปกติ 38
(๔) ไม่ท�ำการเปลี่ยนแปลงเลขที่อยู่ไอพี (IP Address) ของเครื่องคอมพิวเตอร์แบบต้ังโต๊ะ ภายในหน่วยงาน (๕) หากผใู้ ชง้ านมคี วามประสงคข์ อใชเ้ ลขทอ่ี ยไู่ อพสี าธารณะ (Public IP Address) ตอ้ งท�ำหนงั สอื ขออนุญาตเป็นลายลกั ษณ์อกั ษรต่อผ้อู �ำนวยการศูนยส์ ารสนเทศเพื่อการพฒั นาชมุ ชนเทา่ นน้ั (๖) ไมต่ ดิ ตงั้ โปรแกรมคอมพวิ เตอรท์ ม่ี คี วามสามารถในการตรวจสอบขอ้ มลู บนระบบเครอื ขา่ ย (๗) ไมต่ ดิ ตงั้ โปรแกรมคอมพวิ เตอรห์ รอื อปุ กรณค์ อมพวิ เตอรอ์ น่ื ใดเพมิ่ เตมิ ในเครอ่ื งคอมพวิ เตอร์ หรือเคร่ืองคอมพิวเตอร์แม่ข่าย (Server) ของหน่วยงานเพื่อให้บุคคลอ่ืนสามารถใช้งานเครื่องคอมพิวเตอร์ และระบบเครอื ขา่ ยของหนว่ ยงานได้ เวน้ แตจ่ ะไดร้ บั อนญุ าตจากผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน (๘) ไมใ่ ชบ้ รกิ ารบนระบบอนิ เทอรเ์ นต็ (Internet) ทม่ี กี ารครอบครองแบนดว์ ดิ ท์ (Bandwidth) จ�ำนวนมากหรอื เป็นเวลานานในระหวา่ งเวลาท�ำงาน ๙.๕ วธิ ีปฏิบตั ิการใช้งานรหัสผ่าน (Password Use) (๑) ก�ำหนดชือ่ ผ้ใู ช้งานของทกุ ระบบงาน ตามวธิ ปี ฏิบัติในการตง้ั รหัสผ่านทเี่ หมาะสม ดังนี้ - ใหต้ งั้ ช่ือผใู้ ชง้ านเปน็ ภาษาอังกฤษเท่านนั้ - รปู แบบการตง้ั ชอื่ ใหใ้ ชช้ อื่ ผใู้ ชง้ านแลว้ ตามดว้ ยเครอื่ งหมาย Under Score (_) ตามดว้ ย นามสกุล ๓ ตัว ได้แก่ นายสมชาย ดีจรงิ Username = somchai_dee - ในกรณที ชี่ อ่ื นามสกลุ เขยี นภาษาองั กฤษแลว้ Username ซำ�้ กนั อกี ใหเ้ พม่ิ อกั ษรนามสกลุ ออกไปได้อีก (๒) ในการรกั ษาความปลอดภยั บญั ชผี ใู้ ชง้ าน การปฏบิ ตั ติ นเกยี่ วกบั รหสั ผา่ น ใหผ้ ใู้ ชง้ านปฏบิ ตั ิ ดงั น้ี - ไม่ตั้งรหัสผ่านโดยใช้ช่ือผู้ใช้งานในรูปแบบต่าง ๆ ได้แก่ กลับหน้าหลัง ใช้ตัวเลข หรอื ตวั อักษรทเ่ี หมือนกันทั้งหมด - ไม่ตั้งรหัสผ่านโดยใช้ชอ่ื หรือขอ้ มลู ต่าง ๆ ทเ่ี กย่ี วข้องผใู้ ชง้ าน ได้แก่ ช่อื นามสกุล วันเกิด ชื่อบุตร หมายเลขโทรศพั ท์ - ไม่ตัง้ รหสั ผ่านโดยใชค้ �ำท่อี ยู่ในพจนานุกรม - รหสั ผ่านตอ้ งมีความยาวเกนิ ๖ ตวั อกั ษร - ตงั้ รหสั ผ่านทผ่ี สมระหว่างอักษรตวั เล็กและอักษรตัวใหญ่ - รหสั ผ่านที่ผสมกบั อักขระพิเศษ (; $ เปน็ ต้น) - ในกรณที ร่ี ะบบรองรบั การเปลยี่ นรหสั ผา่ นใหเ้ ปลยี่ นรหสั ผา่ นโดยไมช่ กั ชา้ เมอ่ื เขา้ ใชง้ านระบบ ในครัง้ แรก - หา้ มเปิดเผยรหสั ผา่ นแก่ผอู้ น่ื และไม่จดรหสั ผ่านลงกระดาษหรอื ส่อื อ่นื ๆ หรอื ก�ำหนดให้ เครือ่ งคอมพิวเตอรจ์ �ำรหัสผ่าน หากเกดิ ความเสียหายเจา้ ของรหสั ผา่ นตอ้ งรับผดิ ชอบ - หากมีความจ�ำเป็นต้องเปิดเผยรหัสผ่านให้ผู้อ่ืนใช้งานจะต้องควบคุมดูแลอย่างใกล้ชิด เพือ่ ไมใ่ หเ้ กิดความเสียหายต่อกรมการพฒั นาชมุ ชน - เปล่ียนรหัสผ่านอยา่ งน้อยทกุ ๖๐ วัน 39
(๓) หากสงสัยว่าบุคคลอื่นลักลอบหรืออาจลักลอบใช้บัญชีผู้ใช้งานหรือสงสัยว่ามีการละเมิด การรกั ษาความปลอดภัยบัญชีผู้ใชง้ าน ให้แจ้งผดู้ ูแลระบบเปลย่ี นรหสั ผ่านโดยไม่ชกั ช้า (๔) ในกรณีลมื รหัสผ่านใหแ้ จง้ ผดู้ แู ลระบบโดยตรงเพ่ือสรา้ งรหัสผา่ นใหม่ (๕) ในกรณถี กู ยกเลกิ สทิ ธกิ ารใชง้ านชว่ั คราวละประสงคจ์ ะขอคนื สทิ ธกิ ารใชง้ าน ใหแ้ จง้ ผดู้ แู ลระบบ เพอ่ื ขอบญั ชผี ใู้ ชง้ านเปน็ ลายลกั ษณอ์ กั ษรและยนื่ หลกั ฐานดงั กลา่ วตอ่ ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชน (๖) ในกรณมี บี คุ ลากรลาออกและประสงคจ์ ะใชบ้ ญั ชผี ใู้ ชง้ านตอ่ เปน็ การชวั่ คราว ใหแ้ จง้ ผดู้ แู ลระบบ เปน็ ลายลกั ษณอ์ กั ษรเพอื่ พจิ ารณาและยนื่ หลกั ฐานดงั กลา่ วตอ่ ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน (๗) ผดู้ ูแลระบบตอ้ งเปลี่ยนรหสั ถก่ี วา่ ผู้ใชง้ านทวั่ ไป ๙.๖ วธิ ปี ฏบิ ตั เิ พอ่ื ปอ้ งกนั อปุ กรณใ์ นขณะทไี่ มม่ ผี ใู้ ชง้ านเพอ่ื ปอ้ งกนั ผไู้ มม่ สี ทิ ธสิ ามารถเขา้ ถงึ อปุ กรณ์ ของหนว่ ยงานในขณะทีไ่ ม่มีผู้ดแู ล ดงั น้ี (๑) ตอ้ งออกจากระบบสารสนเทศทนั ทีทเี่ สรจ็ สน้ิ การใชง้ าน (๒) ตง้ั ใหเ้ ครอ่ื งคอมพวิ เตอรล์ อ็ คหนา้ จอหลงั จากทไี่ มไ่ ดใ้ ชง้ านเปน็ เวลา ๑๐ นาที และก�ำหนด ใหใ้ สร่ หัสผา่ นจึงจะสามารถเปดิ หนา้ จอได้ (๓) ต้องล็อคอุปกรณ์และเคร่ืองคอมพิวเตอร์ที่ส�ำคัญ เมื่อไม่ได้ถูกใช้งานหรือต้องปล่อยทิ้ง โดยไม่ได้ดแู ลชว่ั คราว ๙.๗ วิธีปฏบิ ัติเพ่ือควบคุมสินทรัพยส์ ารสนเทศและการใชง้ านระบบคอมพวิ เตอร์ (Clear Desk and Clear Screen Policy) ไมใ่ หส้ นิ ทรัพย์สารสนเทศ ได้แก่ เอกสาร ส่อื บนั ทกึ ขอ้ มลู คอมพิวเตอร์ หรือสารสนเทศ อยู่ในภาวะเส่ยี งตอ่ การเขา้ ถึงโดยผซู้ ึง่ ไม่มีสิทธิ (๑) ข้อปฏิบัติในการป้องกันและควบคุมไม่ให้มีการท้ิงหรือปล่อยสินทรัพย์สารสนเทศ ให้อยู่ในสถานที่ทป่ี ลอดภัย ดังนี้ - จ�ำกดั การเข้าถึงสนิ ทรัพย์สารสนเทศท่ีส�ำคญั ให้ก�ำหนดสิทธเิ ฉพาะบุคคลทเี่ ก่ยี วข้อง - การจดั บรเิ วณการเข้าถึงบุคคลภายนอก - จัดเกบ็ ขอ้ มลู ส�ำคญั ในสถานท่ีที่มีความปลอดภยั - ออกจากระบบทนั ที เมอ่ื จ�ำเปน็ ตอ้ งปลอ่ ยทงิ้ โดยไมม่ ีผ้ดู ูแล - ลอ็ คเครอื่ งคอมพวิ เตอร์ เมือ่ ไมไ่ ดใ้ ช้งาน - น�ำเอกสารออกจากเครื่องพมิ พ์ทันทีท่ีพมิ พ์งานเสร็จ - ป้องกันไม่ให้ผู้อื่นใช้อุปกรณ์ดังต่อไปน้ีโดยไม่ได้รับอนุญาต ได้แก่ กล้องดิจิตอล เครือ่ งส�ำเนาเอกสาร เครื่องสแกนเอกสาร - ปอ้ งกนั เครอื่ งโทรสาร เมือ่ ไม่มีผ้ใู ชง้ าน - ป้องกันตหู้ รือบริเวณท่ีใชใ้ นการรบั สง่ เอกสารไปรษณยี ์ - ท�ำลายส่ืออิเลก็ ทรอนิกส์ ตามภาคผนวก ก เพอ่ื ป้องกันการน�ำกลับมาใชใ้ หม่ (๒) การปอ้ งกนั ตอ้ งมคี วามสอดคล้องกบั ประเดน็ ต่าง ๆ ดงั นี้ - แนวทางการจัดหมวดหม่สู ารสนเทศและการจดั การกบั สารสนเทศ - กฎหมาย ระเบยี บ ขอ้ บงั คับหรือขอ้ ก�ำหนดอื่น ๆ - วฒั นธรรมองคก์ ร 40
(๓) การปอ้ งกนั เคร่อื งคอมพิวเตอร์ โดยใชก้ ลไกการพสิ ูจน์ตวั ตนทเ่ี หมาะสมก่อนเข้าใช้งาน ๙.๘ ให้ผ้ใู ช้งานน�ำการเขา้ รหสั (Encryption) มาใช้กบั ขอ้ มูลที่เป็นความลบั โดยจะต้องปฏบิ ตั ิตาม ระเบยี บการรักษาความลับทางราชการ พ.ศ. ๒๕๔๔ ๑๐. การใชง้ านเคร่อื งคอมพิวเตอรส์ ่วนบุคคลและเคร่ืองคอมพิวเตอรแ์ บบพกพา (Use of Personal Computers and Portable Computers) ๑๐.๑ การใชง้ านท่ัวไป (๑) เคร่ืองคอมพิวเตอร์ที่หน่วยงานอนุญาตให้ใช้งานเป็นสินทรัพย์ของหน่วยงาน ดังน้ัน ตอ้ งใช้งานอย่างมีประสทิ ธิภาพเพ่ือบรรลุเปา้ หมายของหนว่ ยงาน (๒) โปรแกรมท่ีได้ถูกติดตั้งลงบนเครื่องคอมพิวเตอร์ของหน่วยงาน ต้องเป็นโปรแกรมที่ หน่วยงานได้ซ้ือลิขสิทธิ์มาอย่างถูกต้องตามกฎหมาย ดังน้ัน ห้ามผู้ใช้งานคัดลอกโปรแกรมต่าง ๆ และน�ำไป ติดตั้งบนเคร่อื งคอมพิวเตอร์ส่วนตัวหรอื แก้ไขหรือน�ำไปใหผ้ อู้ ่นื ใช้งานโดยผดิ กฎหมาย (๓) การตงั้ ชอื่ คอมพวิ เตอร์ (Computer Name) ตอ้ งเปน็ ไปตามทก่ี รมการพฒั นาชมุ ชนก�ำหนด (๔) ไม่อนุญาตให้ผู้ใช้งานท�ำการติดต้ังแก้ไขหรือเปลี่ยนแปลงโปรแกรมในเครื่องคอมพิวเตอร์ ของหนว่ ยงาน (๕) การเคลื่อนย้ายหรือส่งเคร่ืองคอมพิวเตอร์ไปตรวจซ่อม ต้องด�ำเนินการโดยผู้ดูแลระบบ หรอื ผรู้ บั จา้ งในการบ�ำรงุ รกั ษาเคร่ืองคอมพิวเตอรแ์ ละอุปกรณท์ ่ีได้ท�ำสญั ญากบั หนว่ ยงานเท่านน้ั (๖) การก�ำหนดสิทธิให้ผู้อ่ืนสามารถเห็นไฟล์ในเคร่ืองคอมพิวเตอร์ (File Sharing) ผู้ใช้งาน ต้องกระท�ำอย่างระมดั ระวงั โดยก�ำหนดสทิ ธเิ ฉพาะบุคคลท่ีจ�ำเป็น (๗) ผู้ใช้งานต้อง Shut Down คอมพิวเตอร์ส่วนบุคคลทุกคร้ังหลังเลิกใช้งานในแต่ละวัน เพื่อปอ้ งกันระบบปฏบิ ตั ิการเสียหาย (๘) ก่อนการใช้งานส่ือบันทึกพกพาต่าง ๆ ต้องท�ำการตรวจสอบเพ่ือหาไวรัสโดยโปรแกรม ปอ้ งกันไวรสั ท่หี น่วยงานจัดหาใหเ้ ท่าน้นั (๙) ไม่เก็บข้อมลู ส�ำคัญของหน่วยงานไวบ้ นเครือ่ งคอมพวิ เตอร์ท่ีใชง้ านอยู่ (๑๐) ไม่น�ำอาหารหรอื เครอื่ งดืม่ เข้าใกล้บริเวณเครอ่ื งคอมพิวเตอร์ตัง้ อยู่ (๑๑) ไมว่ างสื่อแมเ่ หล็กไวใ้ กล้หนา้ จอเคร่อื งคอมพิวเตอรห์ รือ Disk Drive (๑๒) หา้ มใชห้ รอื วางเครอื่ งคอมพวิ เตอร์ และอปุ กรณแ์ บบพกพาในสภาพแวดลอ้ มทมี่ อี ณุ หภมู ิ สงู กวา่ ๓๕ องศาเซลเซียส (๑๓) ผูใ้ ชง้ าน มหี น้าท่ีป้องกันการสูญหายของเครือ่ งคอมพวิ เตอร์และอุปกรณแ์ บบพกพา ๑๐.๒ การส�ำรองข้อมลู และการกูค้ ืน (๑) ผู้ใช้งานต้องรับผิดชอบในการส�ำรองข้อมูลจากเคร่ืองคอมพิวเตอร์ไว้บนสื่อบันทึกอื่น ๆ เช่น CD, DVD, External Hard Disk เปน็ ตน้ (๒) ผู้ใช้งานมีหน้าที่เก็บรักษาสื่อข้อมูลส�ำรอง (Backup Media) ไว้ในสถานท่ีท่ีเหมาะสม ไม่เสีย่ งตอ่ การร่วั ไหลของขอ้ มลู และทดสอบการกู้คนื ข้อมลู ที่ส�ำรองไว้อยา่ งสม่ำ� เสมอ 41
(๓) ผู้ใช้งานต้องประเมินความเสี่ยงว่า ข้อมูลท่ีเก็บไว้บน Hard Disk เป็นข้อมูลท่ีไม่ส�ำคัญ เก่ียวข้องกบั การท�ำงาน เพราะหาก Hard Disk เสียไป กไ็ มก่ ระทบตอ่ การด�ำเนินการของหนว่ ยงาน ๑๐.๓ การใช้คอมพวิ เตอรส์ ว่ นบุคคล (๑) ผู้ใช้งานต้องรับผิดชอบในการส�ำรองข้อมูลของตนเองที่จัดเก็บในคอมพิวเตอร์ส่วนบุคคล เพ่อื ใชก้ ู้คนื ข้อมลู ในกรณีทีเ่ คร่ืองคอมพิวเตอร์ไดร้ บั ความเสียหาย (๒) การป้องกันไวรสั ใหผ้ ใู้ ชง้ านปฏิบตั ิ ดังน้ี - ปรับปรุงหรือตรวจสอบการปรับปรุงเวอร์ช่ันของซอฟต์แวร์ตรวจสอบไวรัสทุกคร้ัง ทไ่ี ด้รับแจ้งจากศนู ยส์ ารสนเทศเพ่อื การพฒั นาชมุ ชน - ในกรณีท่ีน�ำแผ่นดิสก์จากผู้อ่ืนหรือคัดลอกไฟล์จากเครื่องอื่นมาใช้งานคอมพิวเตอร์ สว่ นบุคคล ให้ตรวจสอบไวรัสกอ่ นการใช้งานทุกคร้งั (๓) ให้ผู้ใช้งานต้ังรหัสผ่านท่ีโปรแกรมรักษาหน้าจอ (Screen Saver) เพื่อป้องกันบุคคลอ่ืน ลกั ลอบใชง้ านหรือดูข้อมูลในเครอื่ งคอมพิวเตอร์ในขณะทผี่ ใู้ ช้งานไมอ่ ยู่หนา้ เครอ่ื ง (๔) ผใู้ ชง้ านไมแ่ กไ้ ขการก�ำหนดคา่ เกยี่ วกบั เครอื ขา่ ยหรอื ฮารด์ แวรข์ องคอมพวิ เตอรส์ ว่ นบคุ คล ดว้ ยตนเอง ในกรณีทมี่ คี วามจ�ำเป็นต้องแก้ไขให้ปรกึ ษาศนู ย์สารสนเทศเพื่อการพฒั นาชมุ ชน ๑๐.๔ คอมพิวเตอรแ์ บบพกพา (๑) ในกรณีท่ีต้องการเคลื่อนย้ายเครื่องคอมพิวเตอร์แบบพกพา ต้องใส่กระเป๋าส�ำหรับ เครือ่ งคอมพิวเตอรแ์ บบพกพาเพื่อป้องกนั อนั ตรายท่ีเกิดจากการกระทบกระเทอื น (๒) ไมว่ างของทบั บนหน้าจอและแปน้ พิมพ์ (๓) การเคลอ่ื นยา้ ยขณะทเี่ ครอ่ื งเปดิ ใชง้ านอยู่ ใหย้ กจากฐานภายใตแ้ ปน้ พมิ พ์ หา้ มยา้ ยเครอื่ ง โดยการดงึ หน้าจอภาพข้ึนโดยเด็ดขาด (๔) ไมใ่ ชห้ รือวางเครอื่ งคอมพวิ เตอร์แบบพกพาใกลส้ ่ิงท่ีเป็นของเหลว ความชื้น เชน่ อาหาร น้ำ� กาแฟ เครื่องดื่มตา่ งๆ เป็นต้น (๕) ผใู้ ชง้ านมหี นา้ ทร่ี บั ผดิ ชอบในการปอ้ งกนั การสญู หาย เชน่ ไมว่ างเครอื่ งทง้ิ ไวใ้ นทส่ี าธารณะ หรอื ในบริเวณที่มีความเส่ียงต่อการสูญหาย (๖) หา้ มผใู้ ช้งานเปลี่ยนแปลงแกไ้ ขสว่ นประกอบยอ่ ย (Sub Component) ที่ตดิ ตั้งอยูภ่ ายใน รวมถงึ แบตเตอรี่ ๑๑. การบรหิ ารจดั การการเข้าถึงข้อมลู ตามระดับช้นั ความลบั (Management of Confidential Data Access) ๑๑.๑ การรักษาความปลอดภยั ข้อมูล แบ่งออกเปน็ ๒ ประเภท คอื (๑) ขอ้ มลู ลบั ทสี่ ดุ ขอ้ มลู ลบั มาก ขอ้ มลู ลบั ไดแ้ ก่ ขอ้ มลู ทถ่ี กู ก�ำหนดชน้ั ความลบั ตามหลกั เกณฑ์ เกย่ี วกบั การรกั ษาความปลอดภยั ของบคุ คลและเอกสารทก่ี รมการพฒั นาชมุ ชนก�ำหนดหรอื ถอื ปฏบิ ตั อิ ยใู่ นเวลานน้ั (๒) ขอ้ มูลทวั่ ไป ได้แก่ ขอ้ มลู ทไี่ มถ่ กู ก�ำหนดช้ันความลับ ๑๑.๒ เพอื่ ประโยชนใ์ นการรกั ษาความปลอดภยั ขอ้ มลู ใหศ้ นู ยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชนด�ำเนนิ การ ดงั ตอ่ ไปน้ี 42
(๑) ก�ำหนดวิธีปฏิบัติในการควบคุมการเข้าถึงข้อมูลแต่ละประเภททั้งการเข้าถึงโดยตรง และการเขา้ ถึงผา่ นระบบงานเพือ่ ป้องกนั การลกั ลอบเข้าถึงข้อมูล (๒) ก�ำหนดวิธีปฏิบัติในการจัดเก็บข้อมูลแต่ละประเภทเพื่อป้องกันการลักลอบดูข้อมูล และแกไ้ ขข้อมลู (๓) ก�ำหนดวิธีปฏิบัติในการรับส่งข้อมูลแต่ละประเภทเพ่ือป้องกันการลักลอบดูข้อมูล หรอื สรา้ งความเสียหายให้กับข้อมูลในระหวา่ งรบั ส่ง (๔) ก�ำหนดวิธีปฏิบัติในการท�ำลายข้อมูลแต่ละประเภท เม่ือข้อมูลหมดอายุการใช้งานหรือ มคี วามจ�ำเปน็ ต้องท�ำลายเพอ่ื ปอ้ งกนั การลักลอบดูขอ้ มูลที่ค้างในอปุ กรณเ์ ฉพาะส�ำหรับจัดเก็บ (๕) ก�ำหนดวิธีปฏิบัติในการส�ำรองข้อมูลแต่ละประเภทให้เหมาะสมกับจ�ำนวนคร้ัง ในการเปล่ียนแปลงของข้อมูลเพื่อใช้กู้คืนในกรณีที่ข้อมูลได้รับความเสียหายและให้เก็บส่ือที่ใช้ส�ำรองข้อมูล ในอุปกรณเ์ ฉพาะส�ำหรับจดั เกบ็ ที่มีความปลอดภัย ๑๑.๓ เจ้าของข้อมูลต้องทบทวนความเหมาะสมของสิทธิในการเข้าถึงข้อมูลของผู้ใช้งาน อย่างนอ้ ยปีละ ๑ ครง้ั เพอื่ ใหม้ น่ั ใจไดว้ ่าสทิ ธิตา่ ง ๆ ที่ใหไ้ วย้ ังคงมีความเหมาะสม ๑๑.๔ วิธีปฏิบัติในการควบคุมการเข้าถึงข้อมูลแต่ละประเภทชั้นความลับทั้งการเข้าถึงโดยตรง และการเขา้ ถงึ ผา่ นระบบสารสนเทศ ผดู้ แู ลระบบตอ้ งก�ำหนดชอ่ื ผใู้ ชง้ าน (Username) และรหสั ผา่ น (Password) เพ่อื ใชใ้ นการตรวจสอบตัวตนจริงของผใู้ ช้ข้อมลู ในแตล่ ะช้นั ความลับข้อมลู ๑๑.๕ การรับส่งข้อมูลส�ำคัญผ่านเครือข่ายสาธารณะ ควรได้รับการเข้ารหัส (Encryption) ท่ีเป็น มาตรฐานสากล เช่น SSL, VPN หรอื XML Encryption เปน็ ต้น ๑๑.๖ ให้หนว่ ยราชการสว่ นกลางและสว่ นภูมภิ าค มมี าตรการรกั ษาความมัน่ คงปลอดภัยของขอ้ มลู ในกรณีที่น�ำเครื่องคอมพิวเตอร์ออกนอกพื้นที่ของหน่วยงาน ต้องมีการส�ำรองและลบข้อมูลที่เก็บอยู่ในสื่อ บันทึกกอ่ น เปน็ ตน้ ๑๑.๗ วิธีปฏิบัติท่ีเกี่ยวข้องกับข้อมูลลับบนอุปกรณ์คอมพิวเตอร์ ให้ถือปฏิบัติตามพระราชบัญญัติ ข้อมลู ขา่ วสารของราชการ พ.ศ. ๒๕๔๐ (๑) การท�ำลายข้อมูลลับให้เป็นไปตามค�ำสั่ง เร่ือง การรักษาความปลอดภัยเก่ียวกับบุคคล และขอ้ มูลข่าวสารลับ โดยวิธีการท�ำลายขอ้ มลู ลบั ใหป้ ฏิบตั ิตามวธิ ีปฏบิ ตั ติ ามภาคผนวก ก (๒) ในการส�ำรองข้อมลู ลับ ใหป้ ฏบิ ตั ิ ดงั น้ี - ส�ำรองขอ้ มลู ตามระยะเวลาทศ่ี นู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชนก�ำหนดหรอื เมอ่ื ไดร้ บั แจง้ จากเจา้ ของข้อมูลว่าขอ้ มลู มีการเปลย่ี นแปลงจากเดิมอย่างเป็นนัยส�ำคญั - จัดเกบ็ สอื่ ท่ีใช้ส�ำรองข้อมูลในอุปกรณ์เฉพาะส�ำหรบั เก็บรักษาทป่ี ดิ ล็อคได้ - ตรวจสอบความครบถว้ นของขอ้ มูลที่ส�ำรองทกุ คร้ัง ๑๑.๘ การควบคุมการเข้าถึงข้อมูลทั่วไปให้หน่วยราชการส่วนกลางและส่วนภูมิภาค ก�ำหนดให้ เจ้าของข้อมูลหรือผไู้ ด้รับมอบหมายท�ำหนา้ ที่บริหารความปลอดภัยของขอ้ มูล ดงั น้ี (๑) เจา้ ของไฟลข์ อ้ มลู สามารถอา่ นและเขยี นไฟลข์ อ้ มลู และบคุ คลทว่ั ไปสามารถอา่ นไฟลข์ อ้ มลู ไดเ้ ทา่ น้นั 43
(๒) กรณีข้อมลู ทจี่ ัดเก็บในฐานข้อมูลควรก�ำหนดใหผ้ ูใ้ ช้งานสามารถเขา้ ถึงข้อมูลในฐานข้อมูล ผา่ นระบบงานเทา่ น้นั ไมค่ วรให้เขา้ ถงึ ขอ้ มลู ในฐานข้อมลู โดยตรง (๓) วธิ กี ารท�ำลายขอ้ มูลท่วั ไปควรปฏิบัติตามวิธปี ฏิบตั ใิ นภาคผนวก ก (๔) การส�ำรองขอ้ มลู ทวั่ ไปใหห้ นว่ ยราชการสว่ นกลางและสว่ นภมู ภิ าคเจา้ ของขอ้ มลู หรอื หนว่ ยงานอนื่ ท่ีได้รบั มอบหมายจากเจา้ ของข้อมูลใหท้ �ำหน้าทบ่ี ริหารความปลอดภัยของข้อมลู ใหป้ ฏิบัติ ดังนี้ - ส�ำรองข้อมลู เดอื นละ ๑ ครั้งเป็นอย่างน้อยหรอื เมื่อได้รบั แจง้ จากเจ้าของข้อมูลวา่ ขอ้ มูล มีการเปล่ียนแปลงจากเดมิ อยา่ งเป็นนยั ส�ำคญั - ควรจดั เก็บสือ่ ทใี่ ชส้ �ำรองขอ้ มูลลงบน แผน่ CD แผ่น DVD HardDisk - ควรตรวจสอบความครบถ้วนของข้อมลู ทส่ี �ำรองทกุ ครัง้ ๑๒. การควบคมุ การใชง้ านระบบจดหมายอิเล็กทรอนิกส์ (E-Mail) ๑๒.๑ ระบบจดหมายอิเล็กทรอนิกส์ของกรมการพัฒนาชุมชน มีวัตถุประสงค์เพื่อการใช้งานของ กรมการพฒั นาชมุ ชนเทา่ นนั้ หา้ มน�ำบญั ชจี ดหมายอเิ ลก็ ทรอนกิ ส์ (E-Mail Account) ไปใชน้ อกเหนอื จากวตั ถปุ ระสงค์ ทห่ี น่วยงานก�ำหนด ๑๒.๒ ให้หน่วยราชการส่วนกลางและส่วนภูมิภาค น�ำกฎระเบียบข้อบังคับการส่งและรับจดหมาย อเิ ล็กทรอนกิ ส์ผ่านอนิ เทอร์เน็ตเพอื่ ใชเ้ ป็นแนวทางใหผ้ ู้ใชง้ านปฏบิ ัติ ดังน้ี (๑) การส่งจดหมายอิเลก็ ทรอนิกส์ - การสง่ ขอ้ มูลแนบทีม่ ีความเสี่ยงต่อความเสยี หายให้เข้ารหัสกอ่ น - การสง่ จดหมายอเิ ล็กทรอนิกส์ ๑ ฉบบั ห้ามสง่ ไฟลแ์ นบทีม่ ขี นาดเกิน ๒๕ MB และต้องบีบ อัดไฟล์แนบกอ่ นส่ง - ห้ามใช้จดหมายอิเล็กทรอนิกส์ของกรมการพัฒนาชุมชนเพ่ือเจตนาสร้างความเสียหาย ใหก้ บั ผอู้ น่ื เชน่ สง่ จดหมายอเิ ลก็ ทรอนกิ สซ์ ำ้� หลายครงั้ ขอ้ มลู ลกั ษณะลกู โซ่ สง่ ขอ้ ความเทจ็ หรอื ขอ้ ความพาดพงิ ถึงบุคคลอื่น เปน็ ตน้ - ไม่ส่งข้อความทางจดหมายอิเล็กทรอนิกส์ที่มีความผิดตามพระราชบัญญัติว่าด้วยการกระท�ำ ความผิดเกี่ยวกับคอมพวิ เตอร์ (๒) การรับจดหมายอิเล็กทรอนกิ ส์ - ลบจดหมายอิเล็กทรอนิกส์ท่ีไม่ได้ใช้งานอย่างสม่�ำเสมอเพ่ือไม่ให้เน้ือที่ในการจัดเก็บ จดหมายอิเล็กทรอนกิ สเ์ ต็ม - ไมค่ วรเปิดเมล์ ไฟล์แนบหรือคลิกลิงคท์ ี่ไมเ่ กย่ี วข้องกับงานของกรมการพัฒนาชมุ ชน - ในกรณที ่ีสงสยั วา่ มีการใช้จดหมายอิเลก็ ทรอนิกส์ทผ่ี ดิ ปกตเิ กิดขนึ้ เชน่ ได้รับจดหมาย อเิ ลก็ ทรอนกิ สฉ์ บบั เดยี วกนั ซำ�้ หลายครง้ั หรอื ไดร้ บั จดหมายอเิ ลก็ ทรอนกิ สจ์ ากบคุ คลทไี่ มร่ จู้ กั เปน็ ประจ�ำ เปน็ ตน้ ควรรีบแจ้งศนู ย์สารสนเทศเพือ่ การพัฒนาชุมชนเพอ่ื ด�ำเนินการตรวจสอบ (๓) การใช้หมายเลขไปรษณียอ์ เิ ลก็ ทรอนกิ ส์ - การแจ้งหมายเลขไปรษณีย์อิเล็กทรอนิกส์ของกรมการพัฒนาชุมชน สามารถท�ำได้ ในกรณที ่ีต้องติดตอ่ งานของหน่วยงานหรือรู้จักบุคคลหรือองค์กรดงั กลา่ วเปน็ อย่างดี 44
- ในกรณที มี่ คี วามจ�ำเปน็ ตอ้ งตดิ ตอ่ เรอื่ งสว่ นตวั กบั บคุ คลหรอื องคก์ รทไี่ มร่ จู้ กั ควรใชห้ มายเลข ไปรษณีย์อเิ ล็กทรอนกิ ส์อนื่ ๑๒.๓ แนวทางการควบคมุ การใชง้ าน ใหผ้ อู้ �ำนวยการศนู ยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชนด�ำเนนิ การ ดงั น้ี (๑) ก�ำหนดสทิ ธกิ ารเขา้ ถงึ ระบบจดหมายอเิ ลก็ ทรอนกิ สข์ องหนว่ ยงานใหเ้ หมาะสมกบั การเขา้ ใชบ้ รกิ าร ของผู้ใชร้ ะบบและหน้าท่คี วามรบั ผดิ ชอบของผ้ใู ชง้ าน (๒) ก�ำหนดจ�ำนวนครงั้ ท่ียอมให้ผ้ใู ช้งานใส่รหัสผ่าน (Password) ผดิ พลาดไดไ้ ม่เกนิ ๕ ครั้ง (๓) ทบทวนสทิ ธกิ ารเขา้ ใชง้ านและปรบั ปรงุ บญั ชผี ใู้ ชง้ าน อยา่ งนอ้ ยปลี ะ ๑ ครงั้ หรอื เมอื่ มกี าร เปลี่ยนแปลง เช่น มีการลาออก เปลี่ยนต�ำแหน่ง โอน ยา้ ย หรือส้นิ สุดการจ้าง เป็นตน้ (๔) การควบคมุ การเขา้ ถงึ ระบบตามแนวทางการบริหารจัดการเขา้ ถึงผู้ใชง้ าน (User Access Management) ท่ไี ดก้ �ำหนดไว้อยา่ งเครง่ ครดั ๑๒.๔ การสง่ จดหมายอเิ ลก็ ทรอนกิ สใ์ หก้ บั ผรู้ บั บรกิ าร คสู่ ญั ญาหรอื ตามภารกจิ ของกรมการพฒั นาชมุ ชน ผู้ใช้งานจะต้องใช้ระบบจดหมายอิเล็กทรอนิกส์ของกรมการพัฒนาชุมชนเท่าน้ัน ห้ามไม่ให้ใช้ระบบจดหมาย อเิ ลก็ ทรอนกิ สอ์ น่ื เวน้ แตใ่ นกรณที ร่ี ะบบจดหมายอเิ ลก็ ทรอนกิ สข์ องกรมการพฒั นาชมุ ชนขดั ขอ้ งและไดร้ บั การอนญุ าต จากผูม้ ีอ�ำนาจแล้วเทา่ นน้ั ๑๒.๕ การใชง้ านจดหมายอิเล็กทรอนิกส์ผใู้ ช้งานตอ้ งไมป่ ลอมแปลงชอ่ื บญั ชผี สู้ ง่ ๑๒.๖ หา้ มใช้ระบบจดหมายอเิ ล็กทรอนิกส์ของกรมการพฒั นาชมุ ชนเพอื่ ส่งจดหมายอิเล็กทรอนกิ ส์ ทไี่ มไ่ ดม้ ีวตั ถุประสงค์ในงานภารกจิ ของกรมการพฒั นาชมุ ชนหรือส่งจดหมายอิเล็กทรอนกิ สท์ ีม่ เี น้ือหาเรอื่ งส่วนตวั หากผใู้ ชง้ านตอ้ งการส่งจดหมายอิเล็กทรอนกิ สด์ งั กล่าว ขอใหใ้ ชง้ านจากบรกิ ารจดหมายอเิ ล็กทรอนิกส์ฟรี ๑๒.๗ หา้ มผใู้ ชง้ านน�ำบญั ชจี ดหมายอเิ ลก็ ทรอนกิ ส์ (E-Mail Account) ซงึ่ เปน็ ของกรมการพฒั นาชมุ ชน ไปเผยแพร่สู่บุคคลอื่นไม่ว่าจะเป็นทางใดก็ตาม เช่น การโพสต์ในเว็บบอร์ดในชุดค�ำถามหรือแบบสอบถาม จากผคู้ า้ เปน็ ตน้ เวน้ แตก่ ารเผยแพรน่ นั้ เปน็ ไปเพอ่ื ผลประโยชนท์ างราชการ หรอื ไดร้ บั อนญุ าตจากผมู้ อี �ำนาจแลว้ เทา่ นนั้ ๑๒.๘ การส่งจดหมายอเิ ล็กทรอนิกส์ผูใ้ ช้งานต้องระบชุ ือ่ ผูร้ บั หัวขอ้ ใหช้ ัดเจน และใช้ภาษาสุภาพ ไมข่ ัดต่อจรยิ ธรรม ไมป่ ลุกปนั่ ย่ัวยุ เสยี ดสี หรอื สอ่ ในทางผิดกฎหมาย ๑๒.๙ ผใู้ ชง้ านตอ้ งไมส่ ง่ ขอ้ ความทเ่ี ปน็ ความเหน็ สว่ นบคุ คล โดยอา้ งวา่ เปน็ ความเหน็ ของกรมการพฒั นาชมุ ชน หรือกอ่ ให้เกิดความเสียหายต่อกรมการพฒั นาชุมชน ๑๒.๑๐ หา้ มใชจ้ ดหมายอเิ ลก็ ทรอนกิ สข์ องกรมการพฒั นาชมุ ชนเพอื่ เผยแพรข่ อ้ มลู ขอ้ ความ รปู ภาพ หรอื ส่ิงอื่นใด ซึง่ มีลักษณะขัดต่อศีลธรรม ความมั่นคงของประเทศ กฎหมายหรอื กระทบตอ่ การด�ำเนินงาน ตลอดจน การรบกวนผู้ใชง้ านอื่นหรอื ผู้รับบริการของกรมการพฒั นาชมุ ชน ๑๓. การใชง้ านเครอื ขา่ ยสงั คมออนไลน์ (Social Network) ๑๓.๑ อนญุ าตใหใ้ ชง้ านเครอื ขา่ ยสงั คมออนไลนใ์ นรปู แบบและลกั ษณะตามทห่ี นว่ ยงานไดก้ �ำหนดไวเ้ ทา่ นน้ั ๑๓.๒ ผใู้ ชง้ านเครอื ขา่ ยสงั คมออนไลนต์ อ้ งมคี วามตระหนกั เรอ่ื งความมนั่ คงปลอดภยั รวมถงึ พฤตกิ รรม ที่ขัดต่อพระราชบัญญัติว่าด้วยการกระท�ำความผิดเกี่ยวกับคอมพิวเตอร์และต้องรับผิดชอบหากเกิดความ เสียหายใดๆ ทมี่ ผี ลกระทบกบั หนว่ ยงานจากการใช้งานเครือขา่ ยสังคมออนไลน์ 45
๑๓.๓ หากเกิดปัญหาจากการใช้งานเครือข่ายสังคมออนไลน์ ท่ีอาจมีผลกระทบกับหน่วยงาน ผใู้ ชง้ านต้องแจ้งต่อศนู ยส์ ารสนเทศเพื่อการพัฒนาชุมชนโดยเร็วที่สดุ เพอ่ื ด�ำเนนิ การตามความเหมาะสม ๑๔. การจดั เกบ็ ขอ้ มลู จราจรคอมพิวเตอร์ (Log) เพอ่ื ให้ข้อมลู จราจรทางคอมพวิ เตอร์ (Log) มคี วามถูกตอ้ งและสามารถระบุถึงตวั บุคคลได้ ใหป้ ฏบิ ตั ิ ดงั ต่อไปน้ี ๑๔.๑ จัดเกบ็ ขอ้ มลู จราจรทางคอมพวิ เตอร์ (Log) ไว้ในส่ือเกบ็ ขอ้ มูลท่ีสามารถรักษาความครบถว้ น ถูกต้อง แท้จริง ระบุตัวบุคคลที่เข้าถึงส่ือดังกล่าวได้และข้อมูลที่ใช้ในการจัดเก็บต้องก�ำหนดชั้นความลับ ในการเข้าถงึ ๑๔.๒ หา้ มแก้ไขขอ้ มูลจราจรทางคอมพวิ เตอร์ (Log) ๑๔.๓ หากต้องการตรวจสอบข้อมูลจราจรทางคอมพิวเตอร์ (Log) ต้องได้รับการอนุมัติจาก ผู้บริหารเทคโนโลยสี ารสนเทศระดับสงู (CIO) ๑๔.๔ ก�ำหนดให้บนั ทึกการท�ำงานของระบบบันทกึ การปฏบิ ตั ิงานของผ้ใู ช้งาน (Application Logs) และบนั ทกึ รายละเอยี ดของระบบปอ้ งกนั การบกุ รกุ เชน่ บนั ทกึ การเขา้ - ออกระบบ บนั ทกึ การพยายามเขา้ สรู่ ะบบ เปน็ ตน้ เพ่อื ประโยชน์ในการใชต้ รวจสอบและต้องเกบ็ บนั ทึกไว้อยา่ งนอ้ ย ๙๐ วนั นับตงั้ แต่การใช้งานสิน้ สุดลง ๑๔.๕ ตอ้ งมวี ธิ กี ารปอ้ งกนั การแกไ้ ขเปลยี่ นแปลงบนั ทกึ ตา่ ง ๆ และจ�ำกดั สทิ ธกิ ารเขา้ ถงึ บนั ทกึ เหลา่ นนั้ ใหเ้ ฉพาะบคุ คลทีเ่ กยี่ วขอ้ งเทา่ น้ัน ๑๕. การปอ้ งกันโปรแกรมไมป่ ระสงค์ดี (Preventing Malware) ๑๕.๑ คอมพิวเตอร์ของผู้ใช้งานต้องติดต้ังโปรแกรมป้องกันไวรัสของคอมพิวเตอร์ (Antivirus) ตามทก่ี รมไดป้ ระกาศใหใ้ ช้ เวน้ แตค่ อมพวิ เตอรน์ นั้ เปน็ เครอ่ื งมอื เพอื่ การศกึ ษาพฒั นาระบบปอ้ งกนั โดยตอ้ งไดร้ บั อนญุ าต จากผบู้ ังคบั บัญชาผทู้ ไี่ ด้รับมอบหมาย ๑๕.๒ บรรดาขอ้ มูล ไฟล์ ซอฟตแ์ วร์ หรือสงิ่ อื่นใด ทีไ่ ดร้ บั จากผู้ใชง้ านอ่นื ตอ้ งได้รบั การตรวจสอบ ไวรัสคอมพิวเตอร์และโปรแกรมไมป่ ระสงค์ดกี ่อนน�ำมาใชง้ านหรือเกบ็ บันทึกทกุ คร้ัง ๑๕.๓ ผู้ใช้งานต้องท�ำการปรับปรุงข้อมูลเพ่ือตรวจสอบและปรับปรุงระบบปฏิบัติการ (Update patch) ใหใ้ หม่เสมอเพอื่ เป็นการป้องกนั ความเสยี หายทีอ่ าจเกิดขึน้ ๑๕.๔ ผใู้ ชง้ านตอ้ งพงึ ระวงั ไวรสั และโปรแกรมไมป่ ระสงคด์ ตี ลอดเวลา รวมทงั้ เมอื่ พบสง่ิ ผดิ ปกตผิ ใู้ ชง้ าน ตอ้ งแจ้งเหตุแก่ผูด้ แู ลระบบ ๑๕.๕ เมอ่ื ผใู้ ชง้ านพบวา่ เครอื่ งคอมพวิ เตอรต์ ดิ ไวรสั ผใู้ ชง้ านตอ้ งไมเ่ ชอ่ื มตอ่ คอมพวิ เตอรเ์ ขา้ สเู่ ครอื ขา่ ย และตอ้ งแจง้ แกผ่ ้ดู ูแลระบบ ๑๕.๖ หา้ มลกั ลอบท�ำส�ำเนา เปลยี่ นแปลง ลบทงิ้ ซงึ่ ขอ้ มลู ขอ้ ความ เอกสารหรอื สงิ่ ใด ๆ ทเ่ี ปน็ ทรพั ยส์ นิ ของกรมหรือของผู้อ่นื โดยไม่ไดร้ บั อนุญาตจากผู้มีอ�ำนาจ ๑๕.๗ ห้ามท�ำการเผยแพร่ไวรัสคอมพิวเตอร์ มัลแวร์หรือโปรแกรมอันตรายใด ๆ ที่อาจก่อให้เกิด ความเสยี หายมาส่ทู รัพยส์ ินของกรม 46
๑๕.๘ กรณที คี่ อมพวิ เตอรห์ รอื ระบบมปี ญั หาผใู้ ชง้ านตอ้ งท�ำการส�ำรองขอ้ มลู ทจี่ �ำเปน็ ของผใู้ ชง้ านเองกอ่ น ท่จี ะท�ำการกค็ นื หรอื ตรวจสอบแกไ้ ขระบบ ๑๖. การป้องกันโปรแกรมชุดค�ำส่ังไม่พึงประสงค์ (Malware) ๑๖.๑ ผใู้ ชง้ านตอ้ งท�ำการ Update ระบบปฏบิ ัติการเว็บบราวเซอรแ์ ละโปรแกรมการใชง้ านตา่ ง ๆ อยา่ งสมำ่� เสมอเพอ่ื ปดิ ชอ่ งโหว่ (Vulnerability) ทเ่ี กดิ ขน้ึ จากซอฟตแ์ วรเ์ ปน็ การปอ้ งกนั การโจมตจี ากภยั คกุ คามตา่ งๆ ๑๖.๒ หา้ มผใู้ ชง้ านท�ำการปดิ หรอื ยกเลกิ ระบบการปอ้ งกนั ไวรสั ทต่ี ดิ ตงั้ อยบู่ นเครอ่ื งคอมพวิ เตอรแ์ บบพกพา ๑๖.๓ หากผใู้ ชง้ านพบหรอื สงสยั วา่ เครอ่ื งคอมพวิ เตอรแ์ บบพกพาตดิ ชดุ ค�ำสง่ั ไมพ่ งึ ประสงค์ (Malware) ห้ามมิให้ผู้ใช้งานเช่ือมต่อเครื่องเข้ากับระบบเครือข่ายเพ่ือป้องกันการแพร่กระจายของชุดค�ำส่ังที่ไม่พึงประสงค์ ไปยังเครื่องอน่ื ๆ ได้ ๑๗. การบริหารระบบรกั ษาความปลอดภยั ไฟรว์ อลล์ (Firewall) วัตถุประสงคเ์ พ่ือควบคมุ การสอื่ สารระหว่างเครือข่ายภายในกรมกบั เครือขา่ ยภายนอกกรม โดยการต้งั คา่ ของไฟรว์ อลลแ์ ละอปุ กรณท์ อ่ี นญุ าตใหเ้ ชอื่ มโยงภายในกรมใหม้ ปี ระสทิ ธภิ าพในการท�ำงาน รวมทงั้ ตอ้ งทบทวนสทิ ธิ ของผใู้ ชง้ านอยา่ งสมำ�่ เสมอ ทง้ั นผี้ ใู้ ชง้ านตอ้ งผา่ นการพสิ จู นต์ วั ตนจรงิ จากระบบวา่ ไดร้ บั อนญุ าตจากผดู้ แู ลระบบ เพอ่ื สรา้ งความมนั่ คงปลอดภยั ของการใช้งานระบบไฟรว์ อลล์ แนวทางปฏิบัติ (๑) ผูด้ ูแลระบบมหี น้าที่ในการบริหารจัดการระบบรกั ษาความปลอดภยั ไฟร์วอลลท์ ัง้ หมด (๒) ผู้ดแู ลระบบต้องก�ำหนดนโยบาย (Policy) การใช้งานไฟร์วอลล์ (๓) ผดู้ แู ลระบบตอ้ งก�ำหนดคา่ (Configuration) หรอื ก�ำหนดนโยบาย (Policy) เพอื่ กลนั่ กรองขอ้ มลู และระบบความปลอดภยั ของระบบสารสนเทศและระบบเครอื ขา่ ยคอมพวิ เตอรข์ องกรม การปอ้ งกนั การบกุ รกุ ไวรสั รวมทง้ั Malicious Code ตา่ งๆ มใิ หเ้ ขา้ ถงึ (Access Risk) หรอื สรา้ งความเสยี หาย (Availability Risk) แกข่ อ้ มลู หรือการท�ำงานของระบบคอมพิวเตอร์ (๔) ผดู้ แู ลระบบตอ้ งก�ำหนดขนั้ ตอนหรอื วธิ กี ารปฏบิ ตั ใิ นการตรวจสอบการรกั ษาความปลอดภยั ระบบ คอมพิวเตอร์แม่ข่ายและในกรณีท่ีพบว่ามีการใช้งานหรือเปลี่ยนแปลงค่า Parameter ในลักษณะผิดปกติ ตอ้ งด�ำเนนิ การแก้ไขและรายงานผู้บงั คับบญั ชาโดยทันที (๕) ผูด้ ูแลระบบต้องเปดิ ใช้งานไฟรว์ อลล์ตลอดเวลา (๖) การเปดิ ใชบ้ รกิ าร Service ตอ้ งรบั อนญุ าตจากผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอื่ การพฒั นาชมุ ชน หากบรกิ ารทีจ่ �ำเปน็ ตอ้ งใชม้ คี วามเสี่ยงต่อระบบรกั ษาความปลอดภัย ผ้ดู แู ลระบบตอ้ งก�ำหนดมาตรการปอ้ งกนั เพิม่ เติม (๗) คา่ การเปลีย่ นแปลงทง้ั หมดในไฟร์วอลล์ คา่ พารามเิ ตอร์ การก�ำหนดคา่ ใชบ้ รกิ ารและการเชื่อมตอ่ ท่อี นุญาตต้องบนั ทกึ การเปลีย่ นแปลงทุกครง้ั (๘) การเขา้ ถึงกระบวนการไฟรว์ อลลต์ ้องเข้าได้เฉพาะผทู้ ไ่ี ดร้ ับมอบหมายให้ดแู ลจดั การเท่านน้ั (๙) ขอ้ มลู จราจรทางคอมพวิ เตอรท์ ่ีเขา้ - ออกอปุ กรณ์ไฟรว์ อลล์ ตอ้ งสง่ คา่ ไปจดั เกบ็ ทอี่ ปุ กรณ์ จัดเกบ็ ข้อมูลจราจรทางคอมพิวเตอรแ์ ละต้องจดั เกบ็ ขอ้ มูลจราจรไมน่ ้อยกวา่ ๖๐ วัน 47
(๑๐) การก�ำหนดคา่ การบรกิ ารของเครอื่ งคอมพวิ เตอรแ์ มข่ า่ ยในแตล่ ะสว่ นของเครอื ขา่ ยตอ้ งก�ำหนด ค่าอนุญาตเฉพาะพอร์ตการเช่ือมต่อท่ีใช้งานเท่าน้ัน โดยนโยบายต้องถูกระบุให้กับเคร่ืองคอมพิวเตอร์ แมข่ ่ายเปน็ รายเครือ่ งที่ใหบ้ รกิ ารจรงิ (๑๑) ตอ้ งส�ำรองขอ้ มลู การก�ำหนดคา่ ตา่ ง ๆ ของอปุ กรณไ์ ฟรว์ อลลเ์ ปน็ ประจ�ำทกุ สปั ดาหแ์ ละทกุ ครง้ั ทมี่ ีการเปลยี่ นแปลงค่า (๑๒) เครื่องคอมพิวเตอร์แม่ข่ายที่ให้บริการระบบงานสารสนเทศต่าง ๆ ต้องไม่อนุญาต ให้มกี ารเชื่อมตอ่ เพอ่ื ใช้งานอนิ เทอร์เนต็ เวน้ แตม่ ีความจ�ำเป็นโดยก�ำหนดเป็นกรณีไป (๑๓) ผดู้ ูแลระบบมีสิทธิทีจ่ ะระงับหรอื บล็อกการใช้งานของเคร่อื งคอมพิวเตอรล์ กู ข่ายทีม่ ีพฤตกิ รรม การใช้งานท่ีผิดนโยบายหรือเกิดจากการท�ำงานของโปรแกรมที่มีความเสี่ยงต่อความปลอดภัย จนกว่าจะได้รับ การแก้ไข (๑๔) การเช่ือมตอ่ ในลักษณะของการ Remote login จากภายนอกมายงั เครอื่ งแม่ขา่ ยหรอื อปุ กรณ์ เครอื ขา่ ยภายในตอ้ งการท�ำผา่ น VPN เทา่ นน้ั และตอ้ งบนั ทกึ รายการของการด�ำเนนิ การตามแบบการขออนญุ าต ด�ำเนนิ การเกย่ี วกบั เครอื่ งคอมพวิ เตอรแ์ มข่ า่ ยและอปุ กรณเ์ ครอื ขา่ ยและตอ้ งไดร้ บั ความเหน็ ชอบจากผดู้ แู ลระบบ (๑๕) ผลู้ ะเมิดนโยบายความปลอดภัยของไฟร์วอลล์ ตอ้ งถกู ระงับการใชง้ านระบบคอมพวิ เตอร์และ ระบบเครอื ข่ายคอมพิวเตอรท์ นั ที (๑๖) ผขู้ อใชง้ านตอ้ งขออนญุ าตเปน็ ลายลกั ษณอ์ กั ษรตอ่ ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชน โดยระบขุ อ้ มลู ดังน้ี - หมายเลข Port ท่ีต้องการเปดิ - หมายเลข IP Address ของปลายทางท่ตี อ้ งการติดตอ่ สื่อสาร - วัตถุประสงค์หรอื Application ทต่ี ้องการใชง้ านผ่าน Port นัน้ ๆ - วนั ทเ่ี รมิ่ ใช้และวนั ที่สิ้นสดุ การใช้ (๑๗) ในการขอใชง้ าน หากพบวา่ ขดั ตอ่ นโยบาย ประกาศ ระเบียบของกรม หรอื กฎหมาย หรอื อาจเกดิ ชอ่ งโหวด่ า้ นความปลอดภยั ของระบบสารสนเทศ ศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชมุ ชนจะไมอ่ นญุ าต ให้ใชง้ าน (๑๘) ภายหลังการอนุญาตให้ใช้งานหากพบว่ามีการใช้งานขัดต่อนโยบาย ประกาศ ระเบียบของกรม หรือกฎหมายหรืออาจเกิดช่องโหว่ด้านความปลอดภัยต่อระบบสารสนเทศสารสนเทศ ศูนย์สารสนเทศ เพือ่ การพฒั นาชุมชนตอ้ งยกเลกิ การให้บรกิ ารทันที 48
สว่ นที่ ๒ และระนบโบยสบ�ำารยอรงะขบอบงสสาารรสสนนเเททศศ วัตถุประสงค์ ๑. เพ่ือให้ผู้ใช้งานระบบสารสนเทศของกรมการพัฒนาชุมชน ได้รับทราบถึงข้อห้ามและข้อปฏิบัติ ท่ีจะส่งผลให้เกิดความม่ันคงปลอดภัยต่อระบบสารสนเทศและเกิดการใช้งานตรงตามวัตถุประสงค์การใช้งาน ระบบสารสนเทศของกรมการพัฒนาชุมชน รวมท้ังไม่ละเมิดระเบียบ กฎหมายหรือท�ำให้เกิดความเสียหายใน การปฏิบตั งิ าน ๒. เพื่อใหร้ ะบบสารสนเทศของหน่วยงานให้บรกิ ารไดอ้ ย่างตอ่ เนอ่ื ง ๓. เพอ่ื เปน็ มาตรฐานแนวทางปฏบิ ตั แิ ละความรบั ผดิ ชอบของผดู้ แู ลระบบในการปฏบิ ตั งิ านใหก้ บั หนว่ ยงาน เป็นไปอย่างเคร่งครัดและตระหนักถงึ ความส�ำคญั ของการรักษาความมั่นคงปลอดภัย ผรู้ ับผดิ ชอบ ๑. ผ้บู ริหารเทคโนโลยสี ารสนเทศระดบั สงู (CIO) กรมการพฒั นาชุมชน ๒. ผอู้ �ำนวยการศนู ยส์ ารสนเทศเพอ่ื การพฒั นาชุมชน กรมการพัฒนาชมุ ชน ๓. ผูด้ แู ลระบบทีไ่ ดร้ บั มอบหมาย อา้ งอิงมาตรฐาน - มาตรฐานการรกั ษาความมนั่ คงปลอดภัยในการประกอบธุรกรรมทางอิเลก็ ทรอนิกส์ (เวอรช์ น่ั ๒.๕) แนวปฏิบัติ ๑. ผู้ดูแลระบบต้องพิจารณาคัดเลือกระบบส�ำรองที่เหมาะสมให้อยู่ในสภาพพร้อมใช้ โดยมีหลักเกณฑ์ พจิ ารณา ดงั น้ี ๑.๑ การควบคมุ สภาพแวดลอ้ มทเ่ี หมาะสมและมรี ะบบส�ำรองทีเ่ พียงพอ ๑.๒ มีความสอดคล้องกบั เทคโนโลยี ๑.๓ ประเมินความเสย่ี งยอมรบั ไดโ้ ดยเจา้ ของระบบงาน 49
๒. ผู้ดูแลระบบต้องพิจารณาคัดเลือกระบบสารสนเทศท่ีส�ำคัญและจัดท�ำระบบส�ำรองท่ีเหมาะสม ให้อยู่ในสภาพพรอ้ มใช้งาน ตามแนวทางตอ่ ไปนี้ ๒.๑ ใหผ้ ดู้ แู ลระบบจดั ท�ำบญั ชรี ะบบสารสนเทศทมี่ คี วามส�ำคญั ทงั้ หมดของหนว่ ยงาน พรอ้ มทง้ั ก�ำหนด ระบบสารสนเทศทจ่ี ะจดั ท�ำระบบส�ำรองและจดั ท�ำแผนเตรยี มพรอ้ มกรณีฉกุ เฉิน อยา่ งน้อยปีละ ๑ ครัง้ ๒.๒ ใหผ้ ู้ดูแลระบบส�ำรองขอ้ มลู ของระบบสารสนเทศแตล่ ะระบบ โดยใหม้ ีวธิ กี ารส�ำรองขอ้ มูล ดังนี้ - ก�ำหนดประเภทของข้อมลู ท่ีต้องท�ำการส�ำรองเกบ็ ไวแ้ ละความถี่ในการส�ำรอง - ก�ำหนดรปู แบบการส�ำรองขอ้ มลู ใหเ้ หมาะสมกบั ขอ้ มลู ทจ่ี ะท�ำการส�ำรอง เชน่ การส�ำรองขอ้ มลู แบบเต็ม (Full Backup) หรอื การส�ำรองข้อมลู แบบส่วนต่าง (Incremental Backup) - บนั ทกึ ข้อมูลท่เี กยี่ วขอ้ งกับกิจกรรมการส�ำรองขอ้ มูลผ่านระบบส�ำรอง ไดแ้ ก่ ข้อมูล วนั /เวลา ชือ่ ขอ้ มลู ทีส่ �ำรอง ส�ำเร็จ/ไม่ส�ำเร็จ เปน็ ต้น - ตรวจสอบขอ้ มลู ทง้ั หมดของระบบวา่ มกี ารส�ำรองขอ้ มลู ไวอ้ ยา่ งครบถว้ น เชน่ ซอฟตแ์ วรต์ า่ ง ๆ ท่ีเก่ียวข้องกับระบบสารสนเทศ ข้อมูลการก�ำหนดคุณสมบัติของคอมพิวเตอร์ (Configuration) ข้อมูลใน ฐานขอ้ มูล เปน็ ตน้ - จดั เกบ็ ขอ้ มลู ทส่ี �ำรองนนั้ ในสอื่ เกบ็ ขอ้ มลู โดยมกี ารพมิ พช์ อื่ บนสอ่ื เกบ็ ขอ้ มลู นน้ั ใหส้ ามารถ แสดงถึงวนั ที่ เวลาท่ีส�ำรองขอ้ มลู และผู้รับผดิ ชอบไวอ้ ยา่ งชดั เจน - จดั เกบ็ ขอ้ มลู ทสี่ �ำรองไวน้ อกสถานที่ ระยะทางระหวา่ งสถานทที่ จ่ี ดั เกบ็ ขอ้ มลู ส�ำรอง กบั หนว่ ยงานควรหา่ งกนั เพยี งพอเพอื่ ไมใ่ หส้ ง่ ผลกระทบตอ่ ขอ้ มลู ทจี่ ดั เกบ็ ไวน้ อกสถานทน่ี นั้ ในกรณที เ่ี กดิ ภยั พบิ ตั ิ กบั หนว่ ยงาน เช่น ไฟไหม้ เปน็ ตน้ - ด�ำเนนิ การปอ้ งกนั ทางกายภาพอยา่ งเพยี งพอต่อสถานท่ีส�ำรองท่ีใช้จัดเก็บขอ้ มลู นอกสถานท่ี - ทดสอบบนั ทกึ ขอ้ มลู ส�ำรอง อยา่ งนอ้ ยปลี ะ ๑ ครง้ั เพอ่ื ตรวจสอบวา่ ยงั คงสามารถเขา้ ถงึ ขอ้ มลู ได้ตามปกติ - จดั ท�ำขนั้ ตอนปฏบิ ตั ิส�ำเรจ็ การกคู้ ืนขอ้ มลู ทเ่ี สยี หายจากขอ้ มูลทไ่ี ดส้ �ำรองเกบ็ ไว้ - ตรวจสอบและทดสอบประสิทธิภาพและประสิทธิผลของข้ันตอนปฏิบัติในการกู้คืนข้อมูล อย่างน้อยปีละ ๑ ครง้ั - ก�ำหนดให้ใชง้ านการเข้ารหสั ข้อมูลกับข้อมูลลับที่ได้ส�ำรองเกบ็ ไว้ ๓. จดั ท�ำแผนเตรยี มความพรอ้ ม กรณฉี กุ เฉนิ ในกรณที ไ่ี มส่ ามารถด�ำเนนิ การดว้ ยวธิ กี ารทางอเิ ลก็ ทรอนกิ ส์ เพอื่ ใหส้ ามารถใชง้ านสารสนเทศไดต้ ามปกติอย่างตอ่ เนือ่ ง โดยต้องปรับปรงุ แผนเตรยี มความพร้อม กรณีฉกุ เฉนิ ดงั กล่าวให้สามารถปรบั ใช้ไดอ้ ยา่ งเหมาะสมและสอดคลอ้ งกับการใชง้ านตามภารกิจและแนวทางตอ่ ไปน้ี ๓.๑ จัดท�ำแผนเตรียมความพร้อมกรณีฉุกเฉินในกรณีท่ีไม่สามารถด�ำเนินการด้วยวิธีการ ทางอิเลก็ ทรอนกิ ส์ โดยมรี ายละเอยี ดอย่างนอ้ ย ดังนี้ (๑) ก�ำหนดหน้าท่แี ละความรับผดิ ชอบของผทู้ ่เี ก่ยี วขอ้ งท้งั หมด (๒) ประเมนิ ความเสยี่ งส�ำเรจ็ ระบบทม่ี คี วามส�ำคญั เหลา่ นน้ั และก�ำหนดมาตรการเพอื่ ลดความเสย่ี ง เหลา่ นน้ั เช่น ไฟดบั เปน็ ระยะเวลานาน ไฟไหม้ แผน่ ดนิ ไหว การชุมนมุ ประทว้ งท�ำให้ไมส่ ามารถเข้ามาใชร้ ะบบ งานได้ เป็นต้น (๓) ก�ำหนดข้นั ตอนปฏบิ ตั ใิ นการกู้คืนระบบสารสนเทศ 50
Search
