แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของรัฐสภา

แนวปฏบิ ัติ ในการรกั ษาความม่นั คงปลอดภยั ด้านสารสนเทศของรฐั สภา คณะอนกุ รรมการขบั เคลือ่ นแผนการรกั ษาความม่ันคงปลอดภัยด้านเทคโนโลยสี ารสนเทศและการสอื่ สารของรัฐสภา ระยะ 4 ปี (พ.ศ. 2562 – 2565)

แนวปฏบิ ัติในการรกั ษาความม่นั คงปลอดภยั ด้านสารสนเทศของรฐั สภา รหัสเอกสาร : STD_PY_02 เวอร์ชัน่ : 1.0 วนั ท่ีมีผลบังคบั ใช้ : 30 ก.ย. 2562 แนวปฏบิ ัติในการรกั ษาความมัน่ คงปลอดภยั ดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอร์ชั่น : 1.0 2

สารบัญ หน้า 4 แนวปฏบิ ตั ิในการรักษาความมนั่ คงปลอดภยั สารสนเทศของรฐั สภา 5 นิยามคำศัพท์ 6 ส่วนท่ี 1 แนวปฏบิ ตั ิในการรักษาความมน่ั คงปลอดภัยสารสนเทศ 7 สว่ นท่ี 2 โครงสร้างความมัน่ คงปลอดภยั สารสนเทศ 15 ส่วนท่ี 3 ความมน่ั คงปลอดภัยทเ่ี กี่ยวข้องกับบุคลากร 18 สว่ นที่ 4 การจัดหมวดหมูแ่ ละการควบคุมสนิ ทรพั ย์ขององค์กร 25 ส่วนท่ี 5 การควบคมุ การเข้าถึง 34 ส่วนท่ี 6 การเข้ารหสั ข้อมลู 35 ส่วนท่ี 7 ความม่ันคงปลอดภยั ทางดา้ นกายภาพและส่งิ แวดลอ้ ม 41 ส่วนที่ 8 ความม่นั คงปลอดภัยสำหรับการดำเนนิ งาน 48 ส่วนท่ี 9 ความมัน่ คงปลอดภยั ในการส่ือสารขอ้ มลู สว่ นที่ 10 การจดั หา พัฒนา และการบำรุงรักษาระบบ 53 ส่วนที่ 11 ความสมั พนั ธก์ ับผู้ใหบ้ รกิ ารภายนอก 62 ส่วนท่ี 12 การบรหิ ารจดั การเหตุการณ์ด้านความมัน่ คงปลอดภยั สารสนเทศ 64 ส่วนที่ 13 ความมน่ั คงปลอดภัยสารสนเทศของการบริหารจดั การ เพอื่ สรา้ งความต่อเนื่องทางธุรกิจ 66 ส่วนท่ี 14 การปฏบิ ตั ิตามข้อกำหนด 69 แนวปฏิบัติในการรกั ษาความมน่ั คงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ น่ั : 1.0 3

แนวปฏบิ ตั ิในการรักษาความมัน่ คงปลอดภยั ด้านสารสนเทศของรัฐสภา แนวปฏิบัติในการรักษาความมั่นคงปลอดภัยสารสนเทศของรัฐสภา จัดทำขึ้นให้สอดคล้องตาม นโยบายความมั่นคงปลอดภัยสารสนเทศของรัฐสภาที่กำหนดไว้ โดยได้มีการกำหนดมาตรฐานแนวปฏิบัติ วิธี ปฏิบัติ การเข้าถึงหรอื ควบคุมการใช้งานสารสนเทศ การกำหนดขั้นตอน กระบวนการท่ีเหมาะสมต่าง ๆ อาทิ ระบบสำรอง การเตรียมความพร้อมกรณีฉุกเฉิน การกำหนดหน้าที่ความรับผิดชอบให้เป็นไปตามหลัก มาตรฐานสากล เพื่อสร้างความตระหนักถึงความสำคัญของการรกั ษาความมั่นคงปลอดภัยในการใช้งานระบบ เทคโนโลยสี ารสนเทศ ได้อยา่ งเหมาะสมและมีความนา่ เช่อื ถอื ซง่ึ สามารถแบง่ สาระสำคัญออกเป็น 14 สว่ น ประกอบดว้ ย สว่ นท่ี 1 แนวปฏิบตั ิในการรักษาความม่นั คงปลอดภัยสารสนเทศ (Information Security) สว่ นที่ 2 โครงสร้างความมัน่ คงปลอดภยั สารสนเทศ (Organization of Information Security) สว่ นท่ี 3 ความมัน่ คงปลอดภัยท่เี ก่ยี วข้องกับบุคลากร (Human Resource Security) สว่ นที่ 4 การจัดหมวดหมแู่ ละการควบคุมสนิ ทรพั ย์ขององค์กร (Asset Management) สว่ นที่ 5 การควบคุมการเข้าถึง (Access Control) สว่ นท่ี 6 การเข้ารหสั ข้อมูล (Cryptographic) ส่วนท่ี 7 ความมัน่ คงปลอดภยั ทางด้านกายภาพและสงิ่ แวดล้อม (Physical and Environmental Security) ส่วนท่ี 8 ความมั่นคงปลอดภยั สำหรับการดำเนนิ งาน (Operations Security) ส่วนที่ 9 ความมน่ั คงปลอดภยั ในการส่อื สารขอ้ มลู (Communications Security) ส่วนท่ี 10 การจดั หา การพัฒนา และการบำรุงรักษาระบบ (Systems Acquisition, Development, and Maintenance) ส่วนที่ 11 ความสัมพันธ์กบั ผู้ใหบ้ รกิ ารภายนอก (Supplier Relationships) สว่ นท่ี 12 การบรหิ ารจดั การเหตุการณ์ดา้ นความมน่ั คงปลอดภยั สารสนเทศ (Information Security Incident Management) สว่ นท่ี 13 ความม่ันคงปลอดภัยสารสนเทศของการบรหิ ารจัดการ เพ่ือสร้างความต่อเน่ืองทางธรุ กจิ (Information Security Aspects of Business Continuity Management) สว่ นที่ 14 การปฏบิ ัตติ ามข้อกำหนด (Compliance) แนวปฏบิ ัติในการรักษาความมน่ั คงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ น่ั : 1.0 4

นิยามคำศพั ท์ สารสนเทศ หมายถงึ ข้อมลู ท่ีผ่านการประมวลผลแล้ว การจดั ระเบยี บให้ข้อมลู ซ่ึงอยู่ในรูปของตัวเลข ขอ้ ความ หรือกราฟฟกิ ให้อยู่ในลกั ษณะทีผ่ ใู้ ช้สามารถเขา้ ใจไดง้ า่ ย และสามารถนำไปใช้ประโยชน์ในการ บรหิ าร การวางแผน การตดั สินใจ และอน่ื ๆ ระบบงาน หมายถึง การนำระบบเทคโนโลยสี ารสนเทศมาประยุกตใ์ ช้ในการทำงานเพื่อใหง้ านสำเร็จ ตามวัตถปุ ระสงคท์ ต่ี ้ังไว้ ระบบปฏิบัติการ หมายถึง ซอฟต์แวร์ควบคุมการทำงานของเครื่องคอมพิวเตอร์ และจัดสรรการใช้ ทรัพยากรระบบ เช่น การจัดสรรหน่วยความจำ การควบคุมการทำงานของอุปกรณ์ป้อนข้อมูลและอุปกรณ์ แสดงผล ระบบเครือข่าย หมายถึง ระบบเครือขา่ ยคอมพวิ เตอร์ของรฐั สภา ความมั่นคงปลอดภัยของสารสนเทศ หมายถึง การธำรงไว้ซึ่งความลับ (Confidentiality) ความ ถูกต้อง (Integrity) สภาพพร้อมใชง้ าน (Availability) ของสารสนเทศ ความลบั (CONFIDENTIALITY) หมายถึง การรบั รองวา่ จะมกี ารเก็บรักษาข้อมูลไวเ้ ป็นความลับและ จะมเี พยี งผู้มสี ทิ ธิเทา่ นั่นท่ีจะเขา้ ถึงข้อมูลเหลา่ นน้ั ได้ ความถูกต้อง (INTEGRITY) หมายถึง การรับรองว่าข้อมูลจะไม่ถูกกระทำการใด ๆ อันมีผลให้เกิด การเปลีย่ นแปลง หรือแก้ไขโดยผู้ไมม่ ีสทิ ธิ ไม่ว่าการกระทำน้ันจะมีเจตนาหรือไม่ก็ตาม สภาพพร้อมใช้งาน (AVAILABILITY) หมายถึง การรับรองวา่ ขอ้ มูล หรอื ระบบเทคโนโลยีสารสนเทศ ทงั้ หลายพรอ้ มท่จี ะให้บริการในเวลาทตี่ ้องการใชง้ าน ความเส่ียง หมายถงึ โอกาสของสนิ ทรพั ยส์ ารสนเทศในการถกู ละเมิดการรักษาความปลอดภัย การเข้ารหัส (ENCRYPTION) หมายความว่า การนำข้อมูลมาเข้ารหัสเพือ่ ป้องกันการลกั ลอบเข้ามา ใช้ข้อมูล ผู้ที่สามารถเปิดไฟล์ข้อมูลที่เข้ารหัสไว้จะต้องมีโปรแกรมถอดรหัสเพื่อให้ข้อมูลกลับมาใช้งานได้ ตามปกติ ช่องโหว่ หมายถึง จุดอ่อนของระบบสารสนเทศที่ทำให้ผู้ไม่ประสงค์ดีเข้าโจมตีระบบ ทำให้ ประสทิ ธภิ าพของการทำงานลดลง สินทรัพย์ หมายถึง เครื่องคอมพิวเตอร์ของรัฐสภา เครือข่าย ข้อมูลและระบบสารสนเทศต่าง ๆ ท่ี รัฐสภาพัฒนาหรอื จัดหาเพอื่ ใช้ในกจิ การของรัฐสภา และบุคลากรของรฐั สภา ผบู้ รหิ ารระดับสงู สดุ (Chief Executive Officer : CEO) หมายถงึ เลขาธกิ ารรัฐสภา ผู้บังคับบญั ชา หมายถึง ผู้มีอำนาจสงั่ การตามโครงสรา้ งการบรหิ ารของหน่วยงานภายในรฐั สภา ผู้ใช้งาน หมายถึง ข้าราชการ สมาชิกรัฐสภา รวมถึงบุคคลภายนอกหรือผู้ได้รับสิทธิการใช้งานระบบ เทคโนโลยีสารสนเทศและสนิ ทรพั ยต์ า่ ง ๆ ของรัฐสภา และไดร้ ับอนญุ าตใหเ้ ขา้ ใช้งานสารสนเทศของรฐั สภา แนวปฏบิ ตั ิในการรักษาความม่ันคงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ่ัน : 1.0 5

ผู้ดูแลระบบ หมายถึง เจ้าหน้าที่ที่ได้รับมอบหมายจากผู้บังคับบญั ชาให้มีหน้าที่รบั ผิดชอบดูแลรักษา หรือจัดการ ระบบคอมพิวเตอร์ลูกข่าย ระบบคอมพิวเตอร์แม่ข่าย ระบบเครือข่ายและระบบสารสนเทศของ รัฐสภา ผู้พัฒนาระบบ หมายถึง ผู้ที่ได้รับมอบหมายให้มีหน้าที่รับผิดชอบในการพัฒนาและปรับปรุง ระบบงานสารสนเทศของรฐั สภา เจ้าของข้อมูล หมายถึง ผู้ได้รับมอบอำนาจจากหัวหน้าหน่วยงานให้รับผิดชอบข้อมูลของระบบงาน โดยเจา้ ของขอ้ มูลเป็นผ้รู ับผดิ ชอบข้อมลู น้ัน ๆ หรอื ไดร้ บั ผลกระทบโดยตรงหากขอ้ มลู เหล่านั้น เกิดสูญหาย เจ้าของระบบ หมายถึง ผู้ที่ได้รับมอบหมายให้บริหารจัดการบัญชีรายชื่อผู้มีสิทธิในการเข้าถึง ระบบงาน เช่น การให้สิทธิ การเพิ่มสิทธิ การลดสิทธิ การยกเลิกสิทธิ รวมทั้งการพัฒนา ปรับปรุงดูแล บำรุงรักษาระบบงาน บัญชีผู้ใช้งาน หมายความว่า บัญชีรายชื่อผู้เข้าถึงและรหัสผ่านในการใช้งานระบบสารสนเทศ ระบบปฏิบัตกิ าร ระบบเครอื ขา่ ย รวมถึงโปรแกรมประยกุ ตแ์ ละสารสนเทศของรฐั สภา สิทธิของผู้ใช้งาน หมายความว่า สิทธิในการเข้าถึงระบบสารสนเทศ สิทธิในการเข้าถึง ระบบปฏิบัติการ สิทธิการใช้งานเครือข่าย รวมถึงสิทธิที่เกี่ยวข้องกับโปรแกรมประยุกต์และสารสนเทศของ รัฐสภา ผู้ให้บริการภายนอก หมายถึง องค์กร หรือหน่วยงานภายนอกที่ได้รับอนุญาตให้มีสิทธิในการเข้าถึง และใช้งานข้อมูลหรือสินทรัพย์ต่าง ๆ ของรัฐสภา โดยจะได้รับสิทธิในการใช้ระบบตามอำนาจหน้าที่และต้อง รบั ผดิ ชอบในการรกั ษาความลับของข้อมลู และผลกระทบตอ่ ความเสยี หายทอ่ี าจเกดิ ข้นึ จากการปฏิบตั งิ าน เหตุการณ์ดา้ นความมน่ั คงปลอดภยั หมายถึง กรณที ีร่ ะบุการเกิดเหตุการณส์ ภาพของบรกิ ารหรอื เครอื ข่ายท่แี สดงให้เห็นความเปน็ ไปได้ท่จี ะเกดิ การฝ่าฝนื นโยบายด้านความมนั่ คงปลอดภัยหรือมาตรการ ปอ้ งกนั ทล่ี ้มเหลว หรอื เหตกุ ารณ์อนั ไมอ่ าจรไู้ ดว้ า่ อาจเกย่ี วขอ้ งกับความมนั่ คงปลอดภัย ส่วนที่ 1 แนวปฏบิ ตั ิความม่นั คงปลอดภัยสารสนเทศ 1.1 แนวปฏิบัติทิศทางการบรหิ ารจัดการความมั่นคงปลอดภัย (Management Directions for Information Security) เพื่อใช้เป็นแนวทางในการเสริมสร้างความมั่นคงปลอดภัยสารสนเทศของรัฐสภาซึ่งจัดทำเป็น ลายลักษณ์อักษรโดยผู้มีอำนาจเป็นผู้ลงนามอนุมัติและเผยแพร่ให้สมาชิกรัฐสภา ข้าราชการ ลูกจ้าง และผู้ท่ี เกย่ี วขอ้ งกบั วงงานรัฐสภาทุกคนได้รบั ทราบ แนวปฏิบัติในการรกั ษาความมนั่ คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ช่นั : 1.0 6

1.1.1 แนวปฏิบัติสำหรับความมั่นคงปลอดภยั (Information Security) เพือ่ ให้เกิดความเชื่อมั่นและ มีความปลอดภัยในการใช้งานระบบสารสนเทศของรัฐสภาทำให้การดำเนินกิจการของรัฐสภามีประสิทธิภาพ และประสทิ ธิผล (1) เพื่อสร้างความตื่นตัวให้สมาชิกรัฐสภา ข้าราชการ พนักงานและลูกจ้าง ผู้ดูแลระบบและ หน่วยงานภายนอกทป่ี ฏิบัติงานใหก้ ับรฐั สภาตระหนกั ถึงความสำคัญของความมัน่ คงปลอดภัยสารสนเทศ (2) เพื่อดำเนินการหรือประสานงานกับหน่วยงานอื่น ๆ ในการสนับสนุนความรู้หรือข้อมูล ด้านความมนั่ คงปลอดภัยทีเ่ ป็นประโยชน์ต่อการทำงานหรือการพัฒนาบุคลากรที่เก่ียวกับความม่ันคงปลอดภัย สารสนเทศ 1.1.2 การสอบทานแนวปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศ (Review of the Policies for information Security) เพื่อให้มีการดำเนินการที่เหมาะสมและสัมฤทธ์ิผล กำหนดให้มีการตรวจสอบและ ประเมินแนวปฏิบัติความมั่นคงปลอดภัยสารสนเทศ อย่างน้อยปีละ 1 ครั้ง หรือเมื่อเกิดการเปลี่ยนแปลงที่มี นยั สำคญั ซ่ึงอาจส่งผลกระทบตอ่ ความมั่นคงปลอดภยั สารสนเทศ ส่วนท่ี 2 โครงสรา้ งความมัน่ คงปลอดภยั สารสนเทศ (Organization of Information security) 2.1 โครงสร้างภายในองคก์ ร (Internal Organization ) วตั ถุประสงค์ เพ่อื ให้มกี ารกำหนดสทิ ธิของผู้ใชง้ าน หน้าที่และความรับผิดชอบของบุคคล หน่วยงานที่ มีส่วนเกี่ยวข้องในการดูแลรักษาความมั่นคงปลอดภัยของระบบสารสนเทศของรัฐสภา เพื่อเป็นการปกป้อง สินทรพั ย์ให้มีความมัน่ คงปลอดภัย 2.1.1 บทบาทหน้าที่และความรับผิดชอบความมั่นคงปลอดภัยสารสนเทศ (Information Security Roles and Responsibilities) ผู้ปฏบิ ัติหน้าท่ี SOC Manager มหี นา้ ทค่ี วามรบั ผิดชอบดังตอ่ ไปน้ี (1) พิจารณารายละเอียดการฝ่าฝืนหรือการละเมิดข้อบังคับและแนวปฏิบัติความมั่นคง ปลอดภัยระบบสารสนเทศของฝ่ายรัฐสภา ถ้าเป็นการฝ่าฝืนระเบียบขั้นรุนแรงหรือกรณีที่ฝ่าฝืนแล้วก่อให้เกิด ความเสียหายแก่รัฐสภาหรือต่อบุคคล ให้จัดทำบันทึกรายงานเกี่ยวกับการฝ่าฝืนแนวปฏิบัติดังกล่าวตามที่ กำหนดไวใ้ นแนวปฏบิ ัติรฐั สภา (2) ตักเตือนและชี้แจงผู้ละเมิดหรือฝ่าฝืน ในกรณีการละเมิดหรือฝ่าฝืนมีเจตนาไม่ชัดเจน พร้อมทั้งชี้แจงให้เข้าใจถึงข้อปฏิบัติที่ถูกต้องหากมีการกระทำการฝ่าฝืนนั้นอีก ให้พิจารณาเสนอแต่งต้ัง คณะกรรมการพจิ ารณาตามทก่ี ำหนดไว้ในแนวปฏบิ ตั ิรฐั สภา แนวปฏิบตั ิในการรักษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชน่ั : 1.0 7

(3) ป้องกันและแก้ไขปัญหาที่เกิดขึน้ ทันทเี พื่อให้แน่ใจว่าการละเมิดหรือฝ่าฝนื เหล่านั้นจะไม่ ลกุ ลามเป็นปัญหาใหญ่ (4) วางแผนควบคุมระบบความมั่นคงปลอดภัยด้านสารสนเทศและการเตือนภัย รวมถึง วเิ คราะห์หาวธิ กี ารแกไ้ ขจดุ อ่อนของระบบสารสนเทศ (5) สบื สวนเหตกุ ารณ์ตา่ ง ๆ ท่ีไมเ่ ป็นไปตามแนวปฏบิ ตั ิความมั่นคงปลอดภัยด้านสารสนเทศ (6) สื่อสารให้คำแนะนำและสอดส่องดู เพื่อให้สามารถปฏิบัติงานได้อย่างถูกต้องตามแนว ปฏิบัติ และเอกสารต่าง ๆ ที่เกี่ยวข้องในระบบ ISMS รวมทั้งประสานงานในกรณีที่เกิดเหตุละเมิดความมั่นคง หรอื เหตุฉกุ เฉนิ ใด ๆ (7) ปรับปรุงกระบวนการการอนุมัติการใช้งานระบบสารสนเทศที่มีอยู่ให้สอดคล้องกับแนว ปฏิบตั ิความม่นั คงปลอดภยั ระบบสารสนเทศของรฐั สภา (8) ต้องพิจารณาให้ผู้ที่เกี่ยวข้องเท่าที่จำเป็น ลงนามในเอกสารสัญญารักษาความลับ (หรือ สัญญาไม่เปิดเผยข้อมลู ) เจา้ ของระบบ/ผดู้ ูแลระบบ มหี น้าทคี่ วามรบั ผดิ ชอบดังตอ่ ไปนี้ (1) ปฏิบตั ิตามมาตรการด้านความม่นั คงปลอดภยั ต่าง ๆ ท่ีเจา้ ของระบบกำหนดไว้ (2) สามารถยตุ กิ ารทำงานของระบบสารสนเทศ ซ่ึงพบวา่ เปน็ ภัยตอ่ ความมั่นคงปลอดภัยหรือ สร้างภาระให้ระบบสารสนเทศของรัฐสภาโดยไม่จำเป็นต้องมีการแจ้งล่วงหน้า และติดตามสอบสวนหาสาเหตุ ที่มาของภัยหรือภาระนั้น และทำรายงานให้ผู้บังคับบัญชารบั ทราบ (3) สามารถยุติการทำงานของระบบสารสนเทศที่เปิดใช้โดยไม่ได้รับอนุญาตจากรัฐสภา โดย ไม่ต้องมีการแจ้งล่วงหน้า และติดตามสอบสวนหาสาเหตุที่มาของระบบงานนั้น และทำรายงานให้ ผู้บังคับบัญชารบั ทราบ (4) แจ้งให้ผู้ใช้งานทราบล่วงหน้าถึงวันเวลาที่ต้องปิดระบบ เพื่อบำรุงรักษาปรับปรุงหรือ เปลี่ยนแปลงระบบ ซึ่งส่งผลให้ต้องหยุดบริการในช่วงเวลาหนึ่ง ยกเว้นในกรณีฉุกเฉิน ผู้ดูแลระบบมีสิทธิปิด ระบบทันทีและจะต้องพยายามให้ผู้ใช้งานสามารถเก็บบันทึกข้อมูลได้อย่างสมบูรณ์ก่อนที่จะดำเนินการปิด ระบบ และทำรายงานให้ผู้บงั คับบญั ชารับทราบ (5) สามารถจำกัดหรือระงับสิทธิของผู้ใช้งานระบบอย่างไม่เหมาะสม และแจ้งให้ ผู้บังคับบัญชารับทราบ เพื่อแจ้งไปยังผู้บริหารเทคโนโลยีสารสนเทศระดับสูง เพื่อตั้งคณะกรรมการพิจารณา สอบสวนหรือลงโทษตามความเหมาะสม (6) ดูแลให้ระบบสารสนเทศสามารถให้บริการได้สอดคล้องกับข้อกำหนดใน “แนวปฏิบัติ ความม่ันคงปลอดภยั สารสนเทศของรฐั สภา และเอกสารทีเ่ กย่ี วข้อง แนวปฏบิ ตั ิในการรกั ษาความม่ันคงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ ั่น : 1.0 8

(7) จะต้องรับผิดชอบในการปรับปรุงข้อมูลที่เกี่ยวข้องกับการดำเนินงานเมื่อมีการ เปล่ยี นแปลงใด ๆ เกดิ ขนึ้ (8) ติดตาม กำชับการใช้งาน และปรับปรุงฐานข้อมูลของผู้ใช้งาน ให้ถูกต้องเป็นปัจจุบันอยู่ เสมอ รวมท้งั ต้องลบบัญชีผู้ใชง้ านของผู้ทีห่ มดสทิ ธใิ นการใช้งานระบบออกจากฐานขอ้ มูล (9) ต้องติดตามข่าวสาร ภาวะภัยคุกคาม ช่องโหว่ของระบบสารสนเทศ และต้องปรับปรุง ดูแลระบบเพ่ือลดความเสยี่ งของการถกู บุกรุกอยา่ งสม่ำเสมอ (10) ต้องขออนญุ าตผบู้ ังคบั บญั ชาในกรณที ่มี ีการประเมนิ ตรวจสอบ ทดสอบหาจุดออ่ น ชอ่ ง โหว่อันเก่ียวขอ้ งกับความมัน่ คงปลอดภัยของระบบสารสนเทศและทำการแก้ไขอยา่ งรวดเรว็ (11) ตอ้ งรายงานผู้บังคับบัญชาในกรณที ่ีตรวจพบหรือไดร้ ับรายงานจากผู้ใช้งานหรือสงสัยว่า ระบบ สารสนเทศที่รับผิดชอบโดยตรงหรือระบบที่เกี่ยวข้องอื่นใดของรัฐสภาถูกละเมิดทางด้านความมั่นคง ปลอดภัย (12) การเพิ่มหรือลดสิทธิในการเข้าถึงระบบใด ๆ ให้ปฏิบัติตามเอกสารกระบวนการท่ี เจ้าของระบบกำหนดอย่างเคร่งครัด พร้อมทั้งทบทวนความเหมาะสมของมาตรการที่นำมาใช้ในระบบอย่าง สม่ำเสมอ (13) ต้องสมคั รเปน็ สมาชิกเพอื่ รับขา่ วสารแจ้งเตือนเกยี่ วกบั ชอ่ งโหวด่ า้ นความมั่นคงปลอดภัย และเข้ารว่ มการประชุมหรือสมั มนาทีเ่ กย่ี วข้องกบั ความมั่นคงปลอดภยั อยา่ งสม่ำเสมอ เจ้าของข้อมลู มสี ทิ ธหิ นา้ ท่คี วามรบั ผดิ ชอบ ดงั ตอ่ ไปนี้ (1) อนุมตั ิและตรวจทานเพื่อให้มน่ั ใจว่าสทิ ธิของผู้ใช้งานถูกต้องเหมาะสม (2) กำหนดระดับชนั้ ความปลอดภัยให้กับขอ้ มลู (3) ตรวจทานระดับชั้นความปลอดภัยของข้อมูลเพื่อให้มั่นใจว่ายังเป็นไปตามความต้องการ ของการปฏบิ ตั ิงาน และมีความเหมาะสมและสอดคล้องกบั ระดบั ความปลอดภัยน้ัน ๆ (4) ตรวจสอบให้มั่นใจว่าข้อมูลที่ได้มีการระบุหรือแสดงระดับความปลอดภัยตามที่ได้จัด ระดบั ไวอ้ ยา่ งถูกตอ้ งและเหมาะสม ไมว่ า่ จะอยูใ่ นรูปแบบหรอื ส่ือประเภทใดกต็ าม (5) กำหนดพนื้ ฐานการรักษาความปลอดภัยในการเข้าถึงข้อมลู ของหนว่ ยงาน ผู้ใช้งาน มสี ทิ ธิหน้าที่ความรับผดิ ชอบ ดงั ต่อไปน้ี (1) สามารถเข้าถึงข้อมูล ข่าวสาร ที่มิใช่ข้อมูลและสารสนเทศที่กำหนดชั้นความลับของ รัฐสภา ยกเว้น ในกรณีที่ได้รับอนุญาตสิทธิเป็นลายลักษณ์อักษรตามที่กำหนดไว้ในเอกสารระเบียบการ ปฏิบตั งิ าน เร่ือง การจดั ระดับช้ันความลบั ขอ้ มลู และสารสนเทศ แนวปฏิบตั ิในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอร์ช่นั : 1.0 9

(2) ตอ้ งชว่ ยกนั รกั ษาอปุ กรณ์ต่าง ๆ ไมใ่ หเ้ กิดความเสียหายหากมีความเสยี หายจากอบุ ัติเหตุ หรือภยั ตา่ ง ๆ ผู้ใช้งานต้องแจ้งผู้ดูแลระบบ และผู้บงั คับบัญชารับทราบทันที (3) พึงใช้ทรัพยากรเครือข่ายอย่างมีประสิทธิภาพ เช่น ไม่ดาวน์โหลดไฟล์ขนาดใหญ่โดยไม่ จำเปน็ ไมส่ ง่ หรือกระจายส่งตอ่ ไปรษณีย์อิเลก็ ทรอนิกส์ในลกั ษณะจดหมายลกู โซ่ ฯลฯ (4) ต้องให้ข้อมูลประจำตัวที่ถูกต้องสำหรับการเปิดบัญชีผู้ใช้งาน (User ID หรือ Login Account) (5) ต้องรับผิดชอบในการเลือกรหัสผ่าน (Password) ที่ปลอดภัยตามแนวปฏิบัติการบริหาร จัดการรหัสผา่ น (Password Management) (6) ต้องไม่อนุญาตให้ผู้อื่นใช้งานระบบคอมพิวเตอร์ผ่านบัญชีผู้ใช้งานของตนโดยเด็ดขาด มิฉะน้นั ผใู้ ช้งานอาจมีความผิดทางวินัยและต้องรับผดิ ชอบต่อปัญหาทีเ่ กิดข้ึน เช่น การละเมิดลิขสิทธ์ิหรือการ เกบ็ ข้อมลู ท่ผี ดิ กฎหมาย ฯลฯ (7) ต้องแจ้งตอ่ ผ้ดู ูแลระบบและผู้บังคับบัญชาโดยทนั ทีในกรณตี รวจพบ หรอื สงสยั ว่ามกี ารนำ บัญชีผใู้ ชง้ านของตนหรือของผู้อ่นื ไปใช้งานโดยไม่ไดร้ ับอนุญาต หรอื ใช้งานในทางมิชอบและพบเห็นพฤติกรรม การลว่ งละเมดิ ความม่ันคงปลอดภัยทกุ อย่างในระบบ (8) ต้องปอ้ งกนั ข้อมูลและสารสนเทศที่กำหนดช้นั ความลบั มใิ หถ้ ูกเปิดเผยไปสผู่ ู้อนื่ (9) ไม่ล่วงล้าํ เข้าในบรเิ วณพนื้ ทใ่ี ช้งานระบบสารสนเทศทีไ่ ม่ไดร้ บั อนญุ าต (10) ต้องใช้ระบบในลักษณะท่ีถูกต้องตามกฎหมาย ไม่ละเมิดสิทธิและไม่ก่อความเดือดร้อน หรอื ความเสียหายแก่บุคคลหรือองค์กรอ่นื (11) ไม่ตดิ ตัง้ หรอื เปดิ ให้บริการระบบเครือข่ายบนเครอื่ งของรัฐสภาเพ่ือทำธรุ กจิ ส่วนตัว (12) ต้องคืนสินทรัพย์ของรัฐสภาอันเกี่ยวกับการปฏิบัติหน้าที่ในทันทีที่พ้นหน้าที่ เช่น อุปกรณร์ ะบบ สารสนเทศขอ้ มูลและสำเนาของขอ้ มูล กญุ แจ บัตรประจำตวั บตั รผา่ นเข้า - ออก ฯลฯ (13) แจ้งให้ผู้ดูแลระบบและผู้บังคับบัญชาหน่วยงานทราบทันทีในกรณีที่มีการเคลื่อนย้าย ถอดถอนอปุ กรณร์ ะบบสารสนเทศ (14) แจ้งเหตกุ ารณ์ด้านความมนั่ คงปลอดภยั ให้กับผดู้ ูแลระบบทันที ในกรณีทมี่ ีเหตุการณ์บุก รกุ หรอื เหตุการณ์ผดิ ปกติในการใช้งาน (15) ต้องปฏิบัติตามมาตรฐาน (Standard) แนวทางปฏิบัติ (Guideline) และขั้นตอนการ ปฏิบัติงาน (Procedure) อนั เกยี่ วเน่ืองกับความมนั่ คงปลอดภัยด้านสารสนเทศของรฐั สภา (16) ห้ามผู้ใช้งานติดตั้งซอฟต์แวร์หรืออุปกรณ์ในเครื่องของรัฐสภา เพื่อป้องกันปัญหาด้าน ลิขสทิ ธิ์และปญั หาอนื่ ๆ ท่ีจะเกดิ ขน้ึ ภายหลังการตดิ ต้ัง เช่น การตดิ ต้งั Access Point ด้วยตนเองแล้วเกิดการ แนวปฏิบตั ิในการรกั ษาความมนั่ คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ่นั : 1.0 10

เจาะระบบเข้ามาในระบบเครือข่ายของรัฐสภา หรือทำให้เกิดการแพร่กระจายของไวรัสและภัยคุกคามอื่น ๆ เป็นตน้ (17) หากพบว่าระบบรักษาความปลอดภัยมีข้อบกพร่อง หรือสงสัยว่ามีผู้ใดกระทำการที่น่า สงสัย ใหแ้ จ้งตอ่ ผูด้ แู ลระบบโดยทันที (18) ตอ้ งใหค้ วามรว่ มมือกับเจา้ หนา้ ที่ท่ไี ด้รบั มอบหมาย ให้ทำการสืบสวนสอบสวนเหตกุ ารณ์ ที่เกยี่ วข้องกบั การรกั ษาความปลอดภัยของรฐั สภา (19) ปกป้องข้อมูลและปฏิบัติตามข้อกำหนดในแนวปฏิบัติมาตรฐานและแนวปฏิบัติที่ เกีย่ วขอ้ ง (20) รับผิดชอบการดำเนินการใด ๆ ที่เกี่ยวข้องกับการใช้งานข้อมูลสารสนเทศ (Accountability) 2.1.2 การแบ่งแยกหน้าที่ความรับผิดชอบ (Segregation of duties) ผู้บังคับบัญชาที่เป็นเจ้าของ ระบบงาน ต้องแบ่งหน้าที่ความรับผิดชอบในการดำเนินงาน (Segregation of dues) เพื่อลดโอกาสในการ เปลยี่ นแปลงหรือแก้ไขโดยไม่ได้รับอนุญาต หรอื การใชง้ านผดิ วัตถปุ ระสงค 2.1.3 การติดต่อกับหน่วยงานที่เกี่ยวข้อง (Contact with authorities/ Contact with special interest groups) (1) มีการจัดทำรายชื่อและข้อมูลสำหรับการติดต่อกับหน่วยงานอื่น ๆ ท่ีเกี่ยวข้อง เพื่อใช้ ติดต่อในกรณีฉุกเฉิน หรือเกิดเหตุการณ์ละเมิดด้านความมั่นคงปลอดภัย เช่น สำนักงานตำรวจแห่งชาติ สภา ความมั่นคงแห่งชาติ ศูนย์ประสานงานความมั่นคงปลอดภัยด้านสารสนเทศคอมพิวเตอร์ประเทศไทย (ThaiCERT) กระทรวง หน่วยงานรัฐวิสาหกิจ สถานีตำรวจ สถานีดับเพลิง ผู้ให้บริการเชื่อมต่ออินเทอร์เน็ต เปน็ ตน้ (2) ควรสมคั รเป็นสมาชิกเครือข่ายทเี่ กย่ี วขอ้ งกับความม่นั คงปลอดภัยสารสนเทศ เพื่อพัฒนา ความรู้ รวมถงึ เพื่อการแลกเปลีย่ นขอ้ มูลดา้ นความปลอดภัยระหวา่ งองคก์ ร (3) ตอ้ งมีการทบทวนข้อมลู ดังกลา่ วให้ถกู ตอ้ งและเปน็ ปัจจุบนั เสมอ 2.1.4 ความมั่นคงปลอดภัยสารสนเทศกับการบริหารจัดการโครงการ (Information security in project management) (1) การบริหารจดั การโครงการต่าง ๆ ต้องพิจารณาถึงประเด็นทางด้านความมัน่ คงปลอดภัย เปน็ องค์ประกอบพ้ืนฐานที่สำคญั (2) เจ้าของโครงการ ผู้จัดการโครงการ ส่วนงานที่ดูแลด้านการรักษาความมั่นคงปลอดภัย สารสนเทศและส่วนงานอื่น ๆ ที่เกี่ยวข้องควรพิจารณาและดำเนินกิจกรรมต่อไปนี้ในแต่ละระยะ (Phrase) ของกระบวนการบริหารโครงการ แนวปฏิบัติในการรักษาความม่นั คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ่นั : 1.0 11

(2.1) การเริ่มต้นโครงการ (Initiating) กำหนดให้มีวัตถุประสงค์ทางด้านความมั่นคง ปลอดภัยสารสนเทศ (Security Objective) ในวัตถุประสงค์ของโครงการโดยรวม (Project Objective) และ รวบรวมความต้องการดา้ นความมั่นคงปลอดภยั สารสนเทศ (Security Requirement) โดยคำนึงถึงความเสี่ยง ทางด้านความปลอดภัยความจำเป็นในการใช้งานกำหนดการและค่าใช้จ่าย แล้วนำเสนอให้ผู้ที่เกี่ยวข้อง พจิ ารณาอนุมตั ิความตอ้ งการดงั กลา่ ว (Sign-off security requirements) (2.2) การวางแผนงานโครงการ (Planning) กำหนดแผนการดำเนินงานและวิธีการ ดำเนินงาน เพื่อให้บรรลุวัตถุประสงค์ทางด้านความมั่นคงปลอดภัยสารสนเทศ (Security Objective) และ เป็นไปตามความต้องการด้านความมั่นคงปลอดภัยสารสนเทศ (Security Requirement) ที่กำหนดไว้ เช่น วิธีการควบคุมการเข้าถึง ขั้นตอนในการจัดหาและพัฒนาระบบงานอย่างมั่นคงปลอดภัย วิธีจัดเก็บและ แลกเปลี่ยนข้อมูลของโครงการระหว่างผู้ที่เกี่ยวข้องอย่างมั่นคงปลอดภัย เป็นต้น นอกจากนี้ต้องดำเนินการ ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ เพื่อให้ทราบถึงภัยคุกคามและความเสี่ยงที่เกี่ยวข้อง และกำหนดมาตรการในการปอ้ งกันและควบคุมความเสี่ยงเหล่าน้นั รวมถึงกำหนดความต้องการในการทบทวน ความมั่นคงปลอดภัยของผลลัพธ์ของโครงการก่อนนำไปใช้งานจริง (เช่น การจัดทำ Source code Review, การทดสอบ Security Functions ของระบบ) (2.3) การดำเนนิ งาน (Executing) ดำเนนิ การตามแผนงานของโครงการอย่างมั่นคง ปลอดภัย เช่น ในการพัฒนาระบบงาน ควรใช้เครื่องมอื หรือซอฟตแ์ วรใ์ นการพัฒนาท่ไี ด้รบั อนญุ าตให้ใช้ภายใน องคก์ รรวมถงึ จัดเกบ็ ขอ้ มูลของโครงการอย่างมัน่ คงปลอดภัย เป็นตน้ (2.4) การติดตามและกำกับดูแล (Monitoring and controlling) จัดให้มีการ ทบทวนมาตรการรักษาความมัน่ คงปลอดภยั สารสนเทศว่าได้ถูกพัฒนาหรือจัดให้มขี ึ้นตามแผนการดำเนินงาน หรือแผนการแก้ไขความเสี่ยงที่กำหนดไว้อย่างสอดคล้องกับแผนงานโครงการหรือไม่ รวมถึงกำกับดูแล และ บริหารจัดการการเปลี่ยนแปลงฟังก์ชั่นการทำงานต่าง ๆ ที่อาจกระทบต่อความมั่นคงปลอดภัยโดยรวมของ ระบบงานอยา่ งเหมาะสม (2.5) การสิ้นสุดโครงการ (Closing) ในขั้นตอนการตรวจรับโครงการหรือทดสอบ เพื่อการยอมรับระบบ (System Acceptance Testing) ต้องดำเนินการทดสอบความถูกต้อง ครบถ้วน และ ประสิทธิผลของมาตรการรักษาความมั่นคงปลอดภยั สารสนเทศว่าเป็นไปตามวตั ถปุ ระสงค์ทางดา้ นความมั่นคง ปลอดภัยสารสนเทศ (Security Objective) และความตอ้ งการด้านความมัน่ คงปลอดภยั สารสนเทศ (Security Requirement) หรือไม่ การอนุมัติการใช้งานอุปกรณ์ประมวลผลสารสนเทศ รวมถึงอุปกรณ์ฮาร์ดแวร์และ ซอฟต์แวร์ที่นำมาใช้งานภายในกิจการของรัฐสภา จะต้องถูกอนุมัติให้นำมาใช้งานเพื่อให้มั่นใจว่าสินทรัพย์ ดงั กลา่ วมีการระบผุ ู้เป็นเจา้ ของ และรบั ผิดชอบในความม่ันคงปลอดภัยรวมถงึ สามารถใชง้ านรวมกับระบบเดิม ที่มอี ยไู่ ด้อย่างปลอดภัยและเหมาะสม แนวปฏิบัติในการรกั ษาความม่ันคงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ั่น : 1.0 12

2.2 อปุ กรณส์ ่ือสารประเภทพกพาและการปฏิบตั ิงานจากระยะไกล (Mobile Devices and Teleworking) วตั ถุประสงค์ เพื่อรกั ษาความมั่นคงปลอดภัยสำหรับอปุ กรณ์ส่ือสารประเภทพกพาและการปฏิบัติงาน จากระยะไกล 2.2.1 อุปกรณ์สื่อสารประเภทพกพา (Mobile Device) เพื่อควบคุมหรือป้องกันอุปกรณ์สื่อสารชนิด พกพา (เช่น Notebook, Palm, Laptop , Smartphone, Tablet, Smartwatch, Netbook เป็นต้น) ควร พิจารณาดงั ตอ่ ไปน้ี (1) อุปกรณ์สื่อสารประเภทพกพาตอ้ งได้รบั การอนญุ าตจากหนว่ ยงานที่ดแู ลรับผดิ ชอบดา้ น เครือข่ายระบบสารสนเทศแลว้ เทา่ น้ัน จึงจะสามารถเขา้ ถงึ ขอ้ มูลสารสนเทศของรฐั สภาได้ (2) อุปกรณ์สื่อสารประเภทพกพาจะต้องมีวิธีในการตรวจสอบเพื่อพิสูจน์ตัวตนขั้นตํ่าเป็น อย่างนอ้ ย โดยการใส่รหสั ผ่านตาม แนวปฏิบตั ิการบรหิ ารจดั การรหัสผา่ น (Password Management) (3) ไม่ควรเก็บข้อมูลสำคัญของรัฐสภาไว้บนอุปกรณ์สื่อสารประเภทพกพา แต่ถ้ามีความ จำเป็นที่จัดเก็บบนอุปกรณ์สื่อสารประเภทพกพาจะต้องมีการเข้ารหัสข้อมูลตามแนวทางการเข้ารหัสของ รัฐสภา (4) ตอ้ งปอ้ งกันข้อมลู และสารสนเทศทก่ี ำหนดชนั้ ความลับมใิ หถ้ ูกเปดิ เผยไปสผู่ ู้อื่น (5) ข้อมูลที่มีชั้นความลับซึ่งถูกจัดเก็บไว้บนอุปกรณ์สื่อสารประเภทพกพา หรือถูกส่งผ่าน เครือข่ายไร้สายที่ต้องส่งออกไปนอกรัฐสภาต้องได้รับการอนุมัติจากเจ้าของข้อมูลและเข้ารหัสข้อมูลก่อน เท่านั้น ไม่ควรเคล่ือนย้ายโดยบุคคลที่ไม่ใชเ่ จ้าของข้อมูล เว้นเสียแต่จะได้รบั การอนญุ าตเปน็ ลายลักษณอ์ ักษร จากเจา้ ของขอ้ มลู และจะต้องกำหนดให้มีการทำลายเมื่อไมม่ ีการใชง้ านแล้ว (6) ระบบคอมพิวเตอร์อ่ืนท่ีต้องการเชื่อมต่อกบั ระบบของรัฐสภา จะต้องไดร้ ับการอนุมัติเป็น ลายลักษณ์อักษรจากหน่วยงานท่ดี แู ลรบั ผดิ ชอบด้านเครอื ขา่ ยระบบสารสนเทศ (7) ต้องมีการรักษาความปลอดภัยทางกายภาพร่วมด้วย เช่น จะต้องปิดห้องทำงานเมื่อไม่มี บคุ คลทไี่ ดร้ ับอนุญาตอยปู่ ระจำโตะ๊ ทำงาน และชั้นเกบ็ เอกสารตา่ ง ๆ จะต้องลอ๊ คอย่างดี เป็นตน้ (8) กรณีที่อุปกรณ์สื่อสารประเภทพกพาเป็นสมบัติของรฐั สภา การคืนเครื่องหรือส่งซอ่ ม ให้ ผู้ใช้งานทำสำเนาข้อมูลจากอุปกรณ์สื่อสารประเภทพกพาเก็บไว้ทั้งหมด และลบข้อมูลทั้งหมดที่มีอยู่บน อปุ กรณส์ อื่ สารประเภทพกพากอ่ นส่งซ่อม (9) อุปกรณ์สื่อสารประเภทพกพา เช่น เครื่องคอมพิวเตอร์แบบพกพา (Notebook) หรือ Smart Device ควรมีกระบวนการเพื่ออัพเดท ระบบป้องกันซอฟต์แวร์ไม่พึงประสงค์ตามแนวปฏิบัติการใช้ งานระบบปอ้ งกันไวรัสสำหรับเครื่องคอมพวิ เตอร์ของรฐั สภา แนวปฏบิ ตั ิในการรกั ษาความมัน่ คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ นั่ : 1.0 13

(10) การเข้าถึงและใช้ข้อมูลสารสนเทศ ซึ่งรวมถึงชั้นความลับของผู้ใช้งานเป็นอันสิ้นสุดลง ทนั ที เม่ือผู้ใชง้ านพ้นสภาพตามสิทธิของผูใ้ ช้งาน (11) รัฐสภาอาจดำเนนิ การทางวินัย แพ่ง หรืออาญา กับผทู้ ลี่ ่วงละเมดิ การเขา้ ถึง ล่วงละเมิด ใชง้ านหรือล่วงละเมดิ เผยแพรข่ อ้ มลู สารสนเทศท่ีเปน็ ความลบั โดยทผี่ ้นู ั้นไมม่ สี ิทธิอันชอบ 2.2.2 การปฏิบตั งิ านจากภายนอกสำนกั งาน (Teleworking) (1) ในกรณีที่มีการบริหารจัดการระบบสารสนเทศจากภายนอกรัฐสภา หน่วยงานที่ รับผิดชอบต้องปฏิบัติตามแนวปฏิบัติความมั่นคงปลอดภัยระบบสารสนเทศสำหรับหน่วยงานภายนอก โดย ควบคมุ ให้ใชง้ านหรอื เข้าถึงระบบตามสทิ ธิท่ไี ด้รบั และมกี ารตรวจสอบการใชง้ านอยา่ งสม่ำเสมอ (2) ไม่อนุญาตให้ใช้งาน Remote Access สำหรับการปฏิบัติงานภายใต้ขอบเขตการ ดำเนนิ งานของระบบบริหารความมั่นคงปลอดภัยสารสนเทศ เว้นแตก่ รณีเกิดเหตุฉกุ เฉินหรือเกิดเหตุการณ์ภัย พิบัติที่มีความจำเป็นต้องให้มีการปฏิบัติงานจากภายนอกเท่านั้น กรณีที่ต้องมีการเชื่อมต่อ Remote Access เพื่อปฏิบัติงานจากภายนอก ต้องปฏิบัติตามระเบียบการปฏิบัติงาน เรื่อง การขอเข้าใช้งานระบบ SSL VPN (SSL VPN Access Procedure) โดยได้รับการอนุมัติการเชื่อมต่อผ่านระบบ Virtual Private Network (VPN) ของรัฐสภาเทา่ นนั้ (3) การควบคุมโมเด็ม/เร้าเตอร์ ที่ผู้ดูแลระบบได้ติดตั้งไว้สำหรับการเข้าถึงจากภายนอก (Remote Diagnostic Port Protection) ผู้มีหน้าที่รับผิดชอบงานแต่ละสำนักงาน ต้องกำหนดให้มีการ ควบคุมการใช้งานโมเด็ม/เร้าเตอร์ ที่ผู้ดูแลระบบได้ติดตั้งไว้ภายใน Data Center เพื่อใช้ในการดูแลรักษา ระบบจากภายนอก (4) การเข้าสู่ข้อมูลของรัฐสภาจากระยะไกลได้นั้น ต้องได้รับการอนุมัติจากหน่วยงานที่ดูแล รบั ผดิ ชอบดา้ นเครอื ขา่ ยระบบสารสนเทศกอ่ นและผู้ใชง้ านต้องปฏิบตั ิตามแนวปฏิบัติฯ ทีเ่ กย่ี วขอ้ งกบั การเข้าสู่ ระบบและข้อมูลของรัฐสภาจากระยะไกล นอกจากนี้เจ้าของข้อมูลมีหน้าที่ดแู ลรกั ษาและเปลี่ยนแปลงรายช่ือ ของผู้ใช้งานที่สามารถเข้าสูร่ ะบบจากระยะไกลให้ถูกต้องและเหมาะสมเพื่อให้หน่วยงานทีด่ ูแลรับผิดชอบด้าน เครอื ขา่ ยระบบสารสนเทศตรวจสอบความถูกตอ้ งได้ (5) ต้องมกี ารกำหนดวิธกี ารพสิ จู นต์ ัวตน (Authentication Requirements) (6) ก่อนจะกำหนดสิทธิของผู้ใช้งานในการเข้าสู่ระบบจากระยะไกลผู้ใช้งานต้องแสดง หลักฐานระบุเหตุผลหรือความจำเป็นอย่างเพียงพอ และต้องได้รับอนุมัติจากหน่วยงานที่เป็นเจ้าของข้อมูล อย่างเป็นทางการเทา่ น้นั (7) ต้องควบคุม Port ที่ใช้ในการเข้าสู่ระบบโดยการโทรเข้า/โทรออก (Dial-in/Dial-out) อย่างรัดกุม (ถ้ามี) ผู้ใช้งานที่มีความจำเป็นที่จะต้องใช้สาย Analog ในการเข้าสู่ระบบโดยวิธีการโทรเข้า/โทร ออก ตอ้ งได้รับการอนมุ ัตจิ ากหนว่ ยงานทดี่ แู ลรบั ผิดชอบดา้ นเครือข่ายระบบสารสนเทศ นอกจากน้ี สายที่ใชใ้ น แนวปฏบิ ตั ิในการรกั ษาความมน่ั คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ นั่ : 1.0 14

การโทรออกต้องถูกตั้งค่าใหส้ ามารถโทรออกได้เทา่ นั้น (ถ้าทำได้) การเข้าสู่ระบบโดยการโทรเข้านัน้ ตอ้ งมีการ ดูแลและการจัดการโดยผู้ดูแลระบบและวิธีการหมุนเข้าต้องได้รับการอนุมัติอย่างถูกต้องและเหมาะสมแล้ว เท่านั้น (8) หา้ มนำซอฟต์แวรก์ ารควบคุมจากระยะไกล เช่น PC-Anywhere หรือ Carbon copy มา ใช้กับคอมพิวเตอร์ของรัฐสภา การใช้ซอฟต์แวร์ที่ไม่เหมาะสมดังกล่าวสามารถเป็นช่องทางให้ผู้ที่ไม่ประสงค์ดี เข้ามายงั เครอื ข่ายของรฐั สภา (9) การอนุญาตให้ผู้จัดจำหน่ายระบบต่าง ๆ เข้าสู่ระบบข้อมูลของรัฐสภาจากระยะไกลต้อง อยู่บนพื้นฐานของความจำเป็นเท่านั้น และไม่ควรเปิด Port และโมเด็มที่ใช้เพ่ือการซ่อมบำรุงระบบจาก ระยะไกลท้ิงเอาไว้โดยไม่จำเป็น ช่องทางดังกล่าวควรถูกปดิ ไม่ใหส้ ามารถใช้การได้และจะเปดิ ให้ใช้ได้เมื่อมีการ ร้องขอที่จำเป็นเท่านั้น เมื่อผู้จัดจำหน่ายระบบทำการซ่อมบำรุงเสร็จเรียบร้อยแล้ว Port ดังกล่าวจะต้องทำ การปิดไมใ่ ห้ใช้การได้อีกคร้งั สว่ นท่ี 3 ความมัน่ คงปลอดภัยที่เก่ยี วขอ้ งกับบุคลากร (Human Resource Security) 3.1 แนวปฏิบัติก่อนการจ้างงาน (Prior to Employment) เพื่อเป็นมาตรฐานในการควบคุมความปลอดภัย ส่วนบุคคล โดยกำหนดเป็นมาตรฐานเกีย่ วกับข้าราชการ พนักงานลูกจ้าง และผู้ปฏิบัติงานตามสัญญาจ้างของ รัฐสภา เริ่มตั้งแต่กระบวนการสรรหาข้าราชการ พนักงานและลูกจ้างใหม่ เพื่อให้มั่นใจว่ามีการพิจารณา คุณสมบัติอย่างเพียงพอ ก่อนที่จะมีการว่าจ้างและเพื่อให้มั่นใจว่าข้าราชการพนักงาน ลูกจ้างและผูป้ ฏิบัตงิ าน ตามสัญญาจ้างมคี วามเขา้ ใจในบทบาทหนา้ ทค่ี วามรบั ผิดชอบทพี่ ึงปฏบิ ตั ิ 3.1.1 การตรวจสอบคุณสมบัติของผู้สมัคร (Screening) (1) การคัดเลือกและการตรวจสอบคุณสมบตั ิต่าง ๆ ต้องเป็นไปตามกฎระเบียบและประกาศ ตา่ ง ๆ ทก่ี ำหนดและต้องมกี ารจัดเก็บหลกั ฐานการตรวจสอบตา่ ง ๆ ให้ครบถ้วน (2) ต้องมั่นใจว่าคุณสมบัติของผู้สมัครงานทุกคนถูกตรวจสอบก่อนที่จะบรรจุเป็นข้าราชการ พนักงานและลูกจ้างโดยจะต้องไม่มีประวัติในการบุกรุกแก้ไขทำลายหรือโจรกรรมข้อมูลในระบบสารสนเทศ ของหน่วยงานใดมากอ่ น 3.1.2 การกำหนดเงื่อนไขการจ้างงาน (Terms and Conditions of Employment) สัญญาการ วา่ จ้างควรครอบคลุมหน้าที่ความรับผดิ ชอบของหนักงานและลูกจ้าง ดังนี้ (1) ข้าราชการ พนักงาน ลูกจ้าง และผู้ปฏิบัติงานตามสัญญาจ้างทุกคนมีหน้าที่ต้องปฏิบัติ ตามแนวปฏบิ ตั ิความมัน่ คงปลอดภยั ของรัฐสภาและประกาศอ่ืนใดทีเ่ กย่ี วขอ้ ง แนวปฏบิ ัติในการรกั ษาความมนั่ คงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_02 เวอร์ชั่น : 1.0 15

(2) กรณีที่มีการฝ่าฝืนหรือละเมิดแนวปฏิบัติหรือข้อกำหนดอันก่อให้เกิดความเสียหายแก่ รฐั สภาหรอื บคุ คลหนงึ่ บุคคลใด รัฐสภามีสิทธิในการดำเนินการทางวินยั และกฎหมายตามความเหมาะสม 3.2 แนวปฏิบัติระหว่างการจ้างงาน (During Employment ) เพื่อให้เกิดความมั่นใจว่าข้าราชการ พนักงาน ลูกจ้าง และผู้ปฏิบัติงานตามสัญญาจ้างของรัฐสภาทุกคนเข้าใจและปฏิบัติตามบทบาทหน้าที่ด้านความมั่นคง ปลอดภัยสารสนเทศที่ตวั เองรบั ผิดชอบ 3.2.1 ความรับผิดชอบของผู้บริหาร (Management Responsibilities) ผู้บริหารองค์กรมีหน้าที่ บังคับใช้ มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่ได้กำหนดไว้ในแนวปฏิบัติและระเบียบปฏิบัติงาน ตา่ ง ๆ กับขา้ ราชการ พนกั งาน ลกู จ้างและผู้ปฏบิ ตั ิงานตามสัญญาจา้ งทกุ คน ดังนี้ (1) สรุปหน้าที่ความรับผิดชอบด้านความมั่นคงปลอดภัยสารสนเทศให้ทราบ ก่อนการ อนญุ าตให้มกี ารเขา้ ระบบหรอื เขา้ ถึงข้อมลู ทเี่ ป็นความลบั (2) กำหนดและสอื่ สารความคาดหวงั ในบทบาทหน้าทพ่ี ึงปฏิบัตทิ ราบ (3) จัดอบรมหรือสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศตามความ เหมาะสม (4) สนบั สนุนในการพฒั นาทกั ษะและความรอู้ ยา่ งสมำ่ เสมอ (5) แจ้งช่องทางในการรายงานการกระทำผิด หรือละเมิดกฎข้อบังคับด้านความมั่นคง ปลอดภัยสารสนเทศโดยไม่ตอ้ งเปิดเผยช่ือ 3.2.2 การให้ความรู้และการอบรมด้านความมั่นคงปลอดภัยให้แก่ผู้ใช้งาน (Information Security Awareness, Education and Training) ทุกคนต้องได้รับการอบรมด้านความมั่นคงปลอดภัยสารสนเทศตาม ความเหมาะสมกบั หนา้ ทง่ี านท่ีได้รับมอบหมาย (1) รัฐสภาเป็นผู้จัดทำแผนการอบรมประจำปีเพื่อให้มีการอบรมให้ความรู้แก่ “ผู้ใช้” เกี่ยวกับวิธีปฏิบตั ิงานเพื่อสร้างความมั่นคงปลอดภัยใหก้ ับระบบเทคโนโลยีสารสนเทศและระบบเครือข่ายของ ศูนย์ปฏิบัติการ SOC โดยหลักสูตรการอบรมขึ้นอยู่กับหน้าที่ความรับผิดชอบของผู้ใช้ เช่น หลักสูตรสำหรับ ผู้บรหิ าร หลกั สูตรสำหรบั ผู้ดูแลระบบ หลักสตู รสำหรับผู้ใช้ทัว่ ไป เปน็ ต้น (2) รัฐสภาต้องเป็นผู้กำหนดให้มีการจัดอบรมเพื่อสร้างความตระหนักทางด้านความมั่นคง ปลอดภัย หรอื จัดให้มีการประเมนิ ความตระหนักในเรอ่ื งดังกลา่ วอย่างนอ้ ยปีละ 1 ครั้ง 3.2.3 กระบวนการทางวินัยเพื่อลงโทษ (Disciplinary Process) ในการจัดการกระบวนการทางวินัย เพ่ือลงโทษ (Disciplinary Process) ใหป้ ฏิบัตแิ นวทางเดียวกับรัฐสภา “มาตรการดำเนินการกบั ผฝู้ ่าฝืนละเมิด แนวปฏิบัติความมัน่ คงปลอดภัยสารสนเทศของรัฐสภา” โดยมขี อ้ ปฏิบัติดงั นี้ (1) การฝ่าฝืนระเบียบโดยเล็กน้อยจากความไม่ตัง้ ใจหรอื บังเอิญ เช่น การเลือกรหัสผ่านที่ไม่ เหมาะสมการสรา้ งกระบวนการท่ีกินกำลังระบบการใช้เน้ือทดี่ สิ ค์เกนิ โควต้าโดยไม่ปฏิบัตติ ามคำเตือนการส่ังใช้ แนวปฏิบตั ิในการรักษาความม่ันคงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอร์ช่ัน : 1.0 16

งานโปรแกรมที่ใช้ทรพั ยากรจำนวนมากจนเกิดผลกระทบต่อการทำงานของระบบ เป็นต้น ให้ผู้ดูแลระบบแจ้ง เตือนโดยวาจาหรือไปรษณีย์อิเล็กทรอนิกส์เป็นลายลักษณ์อักษร แต่หากเป็นการกระทำผิดซํ้าซ้อน ผู้ดูแล ระบบอาจระงับสิทธิของผู้ใช้งานไว้ก่อน จนกว่าจะมีการตักเตอื นอย่างเป็นลายลกั ษณ์อักษรโดยผู้บังคบั บัญชา และมกี ารปรบั ปรงุ แลว้ (2) การฝ่าฝืนระเบียบขั้นรุนแรงเกิดจากการละเมิดกฎโดยเจตนา หรือจงใจสร้างความ เสียหายให้แกร่ ะบบโดยไมม่ ีสิทธแิ ละไมไ่ ดร้ บั อนุญาต เช่น (2.1) การจงใจสรา้ งความเสียหายแกซ่ อฟตแ์ วร์หรือข้อมูลหรอื อุปกรณฮ์ าร์ดแวร์ (2.2) การขโมยหรอื พยายามขโมยสนิ ทรัพย์หรอื สง่ิ ที่ไมม่ ีสิทธใิ นการครอบครองมาไว้ ในครอบครองซึ่งก่อให้เกิดความเสียหายแกผ่ ู้อื่น เช่น การลักลอบหรือใชง้ านอุปกรณ์ระบบสื่อสารคอมพิวเตอร์ เปน็ ตน้ (2.3) การเข้าถึงระบบโดยมิชอบ (Unauthorized access) ทง้ั ในระดบั กายภาพการ เข้าถึงระบบสารสนเทศหรือข้อมูล และการเข้าถึงโดยผ่านเครือข่ายสาธารณะ เช่น การลักลอบดักฟังหรือดัก เก็บขอ้ มลู ท่ีมีชน้ั ความลับ ทัง้ ในสว่ นของการตดิ ตงั้ ซอฟท์แวรแ์ ละฮาร์ดแวร์ทสี่ ามารถดกั จบั ข้อมูล การสแกนหา ช่องโหว่ในระบบ (Vulnerability Scan) การทดสอบเจาะระบบ (Penetration Test) การทดลอง Crack Password การทดลองถอดรหัสการตรวจสอบ Network Traffic โดยไม่ได้รับอนุญาตหรือมีเหตุอันสมควร เป็นต้น (2.4) ประพฤติมิชอบในกิจกรรมใด ๆ ทเี่ ก่ยี วข้องกบั รฐั สภา เช่น การคดโกงคัดลอก ผลงานหรอื ให้ข้อมูลทผ่ี ดิ แกท่ างรัฐสภาโดยเจตนา (2.5) การสร้างโฮมเพจส่วนตัวที่แสดงออกในลักษณะที่ขัดต่อกฎหมายกฎระเบียบ และศีลธรรม (2.6) การก่อความวุ่นวายที่ขัดต่อกฎระเบียบของรัฐสภา หรือสร้างความเดือดร้อน รบกวนการทำงานของผใู้ ชง้ านอน่ื ๆ ในระบบเครอื ขา่ ย (3) กรณีทีฝ่ ่าฝืนหรือละเมิดขอ้ กำหนดในระเบยี บน้แี ละกอ่ ใหเ้ กิดความเสยี หายแก่รัฐสภาหรือ บุคคลอนื่ รฐั สภาจะพิจารณาดำเนินการทางวนิ ยั และกฎหมายแก่ผู้ใช้งานนนั้ ตามความเหมาะสม ดังต่อไปน้ี (3.1) ผู้ดแู ลระบบจะพจิ ารณาระงับการใชง้ านและจะแจ้งชื่อผู้ใช้งานที่ทำผดิ ระเบียบ ไปยังหน่วยงานต้นสังกดั ให้รับทราบ หรือแจ้งผู้บริหารเทคโนโลยีสารสนเทศระดับสูงรับทราบและพิจารณาต้งั กรรมการสอบสวนข้อเท็จจริงเพื่อพิจารณาจากความรุนแรงหรือความเสียหายที่เกิดขึ้นเป็นรายกรณีไป และ รัฐสภาอาจพิจารณาดำเนนิ การทางวินยั หรอื ทางกฎหมายแกผ่ ู้นั้นตามความเหมาะสม (3.2) ลงโทษทางวินัยต่อผู้ละเมิดตามความเหมาะสมเพื่อมิให้เกิดการละเมิดซํ้าและ ในกรณที ่ผี ลู้ ะเมดิ เปน็ หน่วยงานภายนอกใหด้ ำเนนิ การตามกฎหมายต่อไป แนวปฏบิ ัติในการรกั ษาความม่ันคงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ัน่ : 1.0 17

(3.3) หากการกระทำดังกล่าวก่อให้เกิดความเสียหายต่อรัฐสภาอย่างร้ายแรง หรือ เขา้ ข่ายความผิดตามกฎหมายให้สง่ ตัวไปดำเนินการตามกฎหมายต่อไป (3.4) หากการกระทำดังกล่าวก่อให้เกิดความเสียหายต่อระบบสารสนเทศและต้อง เสยี คา่ ใชจ้ า่ ยในการกคู้ ืน รัฐสภาสามารถเรียกรอ้ งค่าเสียหายในสว่ นนเี้ พื่อเป็นค่าใช้จา่ ยในการกู้คนื ขอ้ ยกเว้น : กิจกรรมที่เกี่ยวกับการทดสอบระบบสารสนเทศ เพื่อตรวจสอบหรือส่งเสริมความมั่นคงปลอดภัยของระบบ สารสนเทศและเครือข่าย เช่น การสแกนหาช่องโหว่ในระบบ (Vulnerability Scan) การทดสอบการเจาะ ระบบ (Penetration Test) การทดลอง Crack Password การทดลองถอดรหัสการตรวจสอบ Network Traffic เป็นต้น หากปฏิบัติโดยหน่วยงานหรือบุคคลที่ได้รับอนุญาต หรือโดยหน่วยงานหรือบุคคลได้รับ มอบหมายจากรัฐสภาแล้วจะไม่ถอื ว่าเป็นการฝา่ ฝืนระเบยี บน้ี 3.3 แนวปฏบิ ตั ิการสิ้นสุดหรือการเปล่ยี นแปลงการจ้างงาน (Termination and Change of Employment ) เพื่อป้องกันความเสียหายด้านความมั่นคงปลอดภัยสารสนเทศที่อาจเกิดกับองค์กร ในกรณีทีเกิดการ เปลี่ยนแปลงหรอื สน้ิ สดุ การจ้างงานของรัฐสภา 3.3.1 การสิ้นสุดหรือการเปลี่ยนแปลงการจ้างงาน (Termination or Change of Employment Responsibilities) (1) ต้องทำการสื่อสารและแจ้งบทบาทและหน้าที่ความรับผิดชอบในด้านต่าง ๆ หลังสิ้นสุด หรอื เปล่ียนแปลงการจ้างงานตามข้อกำหนดและเง่ือนไขในการจา้ งงาน (2) รัฐสภาต้องกำหนดเปลี่ยนแปลงหรือยกเลิกสิทธิของผู้ใช้งานที่เกี่ยวกับ User ID เพื่อให้ สอดคล้องกับการเปลี่ยนแปลงสถานะของการว่าจ้างนั้นทันที โดยต้องเก็บข้อมูลให้สามารถตรวจสอบประวัติ การเปลี่ยนแปลงสทิ ธใิ นระบบสารสนเทศที่เกดิ ขึน้ เหลา่ นน้ั ได้ (3) เมื่อสิ้นสุดการจ้างงานหรือเปลี่ยนลักษณะการจ้างงาน ผู้ใช้งานจะต้องคืนสินทรัพย์อัน เกี่ยวข้องกับการปฏิบัติหน้าที่ของตนท่ีเป็นของรัฐสภา เช่น อุปกรณ์ระบบสารสนเทศ ข้อมูลและสำเนาของ ข้อมูล กญุ แจ บัตรประจำตัว บัตรผ่านเขา้ - ออก ฯลฯ ใหแ้ ก่รัฐสภาในทันทที พี่ ้นหน้าที่ สว่ นท่ี 4 การจดั หมวดหมู่และการควบคุมสนิ ทรพั ยข์ ององคก์ ร (Asset Management) 4.1 แนวปฏิบัติความรับผิดชอบต่อสินทรัพย์ (Responsibility for Asset ) เพื่อเป็นการกำหนดมาตรฐานใน การระบุสนิ ทรัพย์ และกำหนดหน้าที่ความรับผิดชอบในการป้องกันสินทรัพย์อยา่ ง เหมาะสม สินทรัพย์ท่ีใช้ใน การปฏิบัติงานภายใต้ขอบเขตการดำเนินงานของระบบบริหารความมั่นคงปลอดภัยสารสนเทศ ต้องทำบัญชี แนวปฏิบัติในการรกั ษาความมน่ั คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ั่น : 1.0 18

สินทรัพย์ของหน่วยงาน เพื่อใช้ในการกำหนดมูลค่าสินทรัพย์ระบุผู้เป็นเจ้าของสารสนเทศแต่ละชนิด กำหนดการใชส้ นิ ทรัพย์ท่ีเหมาะสม และกำหนดแนวทางในการคืนสินทรัพย์ซงึ่ มแี นวทางปฏิบตั ิ ดงั น้ี 4.1.1 การจดั ทำบัญชสี ินทรัพย์ (Inventory of Assets) กำหนดแนวทางการจัดทำและสอบทานบัญชี สินทรพั ย์ดา้ นสารสนเทศและอุปกรณป์ ระมวลผลสารสนเทศ ดงั ตอ่ ไปน้ี (1) จัดทำบัญชีสินทรัพย์ Data Center ของรัฐสภาทั้งหมด เช่น เครื่องคอมพิวเตอร์/ คอมพิวเตอร์แบบพกพาอปุ กรณเ์ ครือข่าย ซอฟต์แวร์ลขิ สทิ ธ์ิ เป็นตน้ (2) ต้องมีการทบทวนบัญชีสินทรัพย์ปีละ 1 ครั้งเพื่อตรวจสอบความถูกต้องครบถ้วนของ บญั ชีสนิ ทรพั ย์ Data Center ของรัฐสภา (3) ต้องจัดให้มีการตรวจสอบบัญชีสินทรัพย์ตามระยะเวลาที่กำหนดไว้ เช่น เดือนละครั้ง (สำหรับระบบสำคัญ) หรือปีละคร้ัง (สำหรบั ระบบการใชง้ านทัว่ ไป) 4.1.2 การระบุผู้เป็นเจ้าของสินทรัพย์ (Ownership of Assets) สินทรัพย์ทั้งหมดใน Data Center ของรัฐสภา จะต้องถูกกำหนดเจ้าของเพื่อให้มีผู้รับผิดชอบดูแลสินทรัพย์อย่างเหมาะสม โดยมีแนวทางปฏิบัติ ดังตอ่ ไปน้ี (1) สินทรัพย์ทั้งหมดจะต้องกำหนดให้มีผู้ดูแลและเจ้าของอย่างชัดเจนโดยผู้เป็นเจ้าของ สินทรัพย์ดงั กล่าวอาจระบุเป็นชือ่ บคุ คลหรือชือ่ หนว่ ยงานได้ (2) เจ้าของสินทรัพย์จะต้องกำหนดระดับชั้นความลับของข้อมูลในสินทรัพย์ที่ตนเองเป็น เจ้าของให้เป็นไปตามระเบียบการปฏิบัติงานเร่ืองการจดั ระดบั ชน้ั ความลบั ข้อมูลและสารสนเทศ (3) เจ้าของสินทรัพย์ต้องกำหนดผู้มีสิทธิใช้งานหรือเข้าถึงสินทรัพย์ของตนเอง (Access Control) (4) เจ้าของสินทรัพย์จะต้องทบทวนความเหมาะสมของระดับชั้นความลับที่กำหนดไว้อย่าง สมำ่ เสมอ (5) เจ้าของสินทรัพย์จะต้องกำหนดการบริหารจัดการสินทรัพย์ที่เหมาะสมเม่ือต้องมีการลบ หรอื ทำลายสินทรัพย์ 4.1.3 การใชง้ านสินทรพั ย์อย่างเหมาะสม (Acceptable Use of Asset) (1) สนิ ทรพั ย์ท้ังหมดจะตอ้ งถกู ใชใ้ นกจิ การของรฐั สภาเท่าน้นั (2) ข้อมูลหรือสารสนเทศทั้งหมดที่จัดเก็บอยู่ในระบบสารสนเทศใน Data Center ของ รัฐสภา ถือเปน็ สินทรัพยข์ องรฐั สภา (3) การใชง้ านสินทรัพย์ต่าง ๆ ทเี่ ปน็ Data Center ของรฐั สภาจะต้องเป็นไปตามข้อกำหนด ดงั นี:้ แนวปฏบิ ัติในการรักษาความมั่นคงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ ่ัน : 1.0 19

(3.1) การใชง้ านอินเทอร์เน็ต เคร่อื งโทรสารเครื่องพมิ พ์ เครื่องถ่ายเอกสาร ฯลฯ จะ จำกัดใหเ้ ฉพาะผใู้ ช้งานทไ่ี ดร้ บั อนญุ าตเทา่ น้ันไมค่ รอบคลุมไปถึงบคุ คลภายนอก ยกเว้น ได้รบั การอนญุ าต (3.2) การใช้งานจะตอ้ งไมเ่ ป็นการขัดขวางประสทิ ธภิ าพในการทำงานตามปกติ (3.3) จะต้องไม่มกี ารส่งหรือรับไฟล์หรือเอกสารใด ๆ ซ่งึ ผดิ กฎหมายหรือสร้างความ เส่อื มเสยี 4.1.4 การคืนสินทรัพย์ (Return of Assets) เมื่อสิ้นสุดการจ้างงานหรือเปลี่ยนลักษณะการจ้างงาน ผู้ใช้งานจะต้องคืนสินทรัพย์อันเกี่ยวข้องกับการปฏิบัติหน้าที่ของตนที่เป็นของรัฐสภา เช่น อุปกรณ์ระบบ สารสนเทศให้แกร่ ฐั สภาในทนั ทที พ่ี น้ หนา้ ท่ี 4.2 แนวปฏิบัติการจัดชั้นสารสนเทศ (Information Classification) เพื่อกำหนดมาตรฐานในการป้องกัน สารสนเทศของรัฐสภา โดยมีการจัดชั้นความลับจัดทำป้ายชื่อ และบริหารจัดการสารสนเทศอย่างเหมาะสม การจัดชั้นความลับสารสนเทศที่ใช้ในการปฏิบัติงาน ภายใต้ขอบเขตการดำเนินงานของระบบบริหารความ มั่นคงปลอดภัยสารสนเทศ ต้องทำบัญชีสารสนเทศของหน่วยงานและระบุชั้นความลับให้ชัดเจนเพื่อใช้ในการ กำหนดระดับความสำคัญและวิธีการป้องกันที่เหมาะสม รวมทั้งต้องระบุผู้เป็นเจ้าของสารสนเทศแต่ละชนิด ซ่งึ มแี นวทางปฏิบัติ ดังน้ี 4.2.1. การจดั ชน้ั ความลบั สารสนเทศ (Classification of Information) (1) เจ้าของสารสนเทศมีหน้าที่ในการกำหนดชั้นความลับของสารสนเทศภายใต้รับความผิด ชอบของตน (2) การป้องกันสารสนเทศต้องพิจารณาทั้ง 3 ด้าน คือ การรักษาความลับ การรักษาความ สมบรู ณ์และความพร้อมใชง้ าน (3) ข้อมูลดิจิตอล (Digital Data) หรือสารสนเทศดิจิตอล (Digital Information) ให้ หน่วยงานระบุชนิดลักษณะของข้อมูลให้ชัดเจนว่าเกี่ยวกับเรื่องใด ( Topic) มีความสำคัญอย่างไร (Importance) และตอ้ งมีการจดั ลำดบั ช้นั ความลบั เป็นอยา่ งใดอย่างหน่งึ ต่อไปนี้ (3.1) “ชั้นลบั มาก” (3.2) “ชั้นลับ” (3.3) “ชน้ั ปกปิด” (3.4) “ชั้นไมร่ ะบุ”หรอื “ชน้ั เปิดเผย” ทงั้ น้ีหากไม่ได้มีการกำหนดชนั้ ความลับทช่ี ัดเจนไวส้ ำหรบั ขอ้ มลู ดจิ ิตอล หรือสารสนเทศดจิ ติ อล ให้ถือ ว่า ขอ้ มลู หรือสารสนเทศนนั้ เปน็ “ช้ันลับ” โดยปริยาย แนวปฏบิ ตั ิในการรกั ษาความมนั่ คงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชนั่ : 1.0 20

(4) เอกสารหรือสิ่งตีพิมพ์ที่พมิ พ์หรือทำซำ้ ข้ึนมาจากข้อมูลดิจิตอลหรือสารสนเทศดิจิตอลซง่ึ มีการกำหนดชัน้ ความลับไว้ท้ังในกรณีทั้งหมดหรือบางส่วนให้ถือว่ามีชั้นความลับเดยี วกันกับข้อมูลดิจิตอลหรือ สารสนเทศดิจิตอลน้ันยกเวน้ วา่ มกี ารจัดลำดบั ชั้นความลับใหม่โดยหน่วยงานผู้ผลติ เอกสารหรือสิ่งพิมพน์ น้ั (5) ต้องทำการจัดส่วนหมู่กำหนดชั้นความลับ และกำหนดระดับความสำคัญของเอกสาร (Classification Guidelines) เพอ่ื ป้องกนั สารสนเทศของรฐั สภาให้มีความปลอดภยั ด้วยวธิ กี ารทเี่ หมาะสมโดย ให้ปฏิบตั ติ ามระเบยี บการปฏบิ ตั งิ านเรือ่ งการจัดระดับชนั้ ความลับข้อมูลและสารสนเทศ (6) ข้อมูลที่อยู่ในรูปแบบของเอกสารที่ถูกจัดทำขึ้นจะต้องมีการควบคุมและรักษาความ ปลอดภยั อยา่ งเหมาะสม ตง้ั แต่การเร่ิมพมิ พ์ การเกบ็ รกั ษาจนถึงการทำลาย 4.2.2 การจัดทำป้ายชื่อสารสนเทศ (Labeling of Information) (1) ข้าราชการ พนักงาน ลูกจ้างและผู้ปฏิบัติงานตามสัญญาจ้างทุกคน ต้องปฏิบัติตาม ขนั้ ตอนการปฏบิ ตั ิงานในการจดั ทำปา้ ยช่ือสารสนเทศ (2) การจดั ทำปา้ ยชื่อต้องสอดคล้องกับระดบั ช้ันความลับท่ีกำหนดไว้ใน “การจัดชั้นความลับ สารสนเทศ (Classification of Information)” (3) การจัดทำป้ายชื่อสารสนเทศต้องครอบคลุมสารสนเทศทั้งในรูปแบบที่เป็นกายภาพ (physical) และ อเิ ลก็ ทรอนกิ ส์ (4) ต้องจัดให้มีวิธีการจัดทำ และจัดการป้ายชื่อสำหรับสารสนเทศ โดยแยกตามส่วนหมู่ท่ี กำหนดไว้ มีการส่งมอบและจัดเก็บตามขั้นตอนกระบวนการต่าง ๆ ซึ่งประกอบไปด้วยการถ่ายเอกสาร การ จดั เกบ็ การส่งตอ่ การส่ือสารและการทำลาย โดยมีแนวทางปฏิบัติ ดังนี้ (4.1) ข้อมูลที่ถูกจัดอยู่ใน “ชั้นลับมาก” ต้องใช้ระบบการนำส่งแบบใส่ 2 ซองซ้อน เช่นเดียวกัน โดยซองด้านในระบุถึงชือ่ และประเภทของข้อมลู อย่างชัดเจน สว่ นซองด้านนอกจะระบุถึงช่ือและ ทอี่ ยู่ของผรู้ ับเท่านน้ั (4.2) ข้อมูล “ชั้นลับมาก” ต้องส่งให้ถึงมือผู้รับที่ระบุเท่าน้ันและต้องมีลายเซ็นของ ผู้รบั ระบวุ ่าไดร้ ับเอกสารแล้ว (4.3) การทำสำเนาเอกสารข้อมูลที่อยู่ “ชั้นลับมาก” ต้องได้รับการอนุมัติจากผู้มี อำนาจอนมุ ตั เิ ทา่ นน้ั (4.4) ข้อมูลที่อยู่ “ชั้นลับมาก” ต้องถูกจัดพิมพ์จากเครื่องพิมพ์ที่เชื่อมโยงกับระบบ เครือข่ายที่สามารถควบคุมการใช้ได้ เพื่อป้องกันการอ่าน เปลี่ยนแปลง หรือ ลบข้อมูลได้จากผู้ที่ไม่ได้รับ อนญุ าต แนวปฏบิ ตั ิในการรกั ษาความม่นั คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ นั่ : 1.0 21

(4.5) เอกสารข้อมูล “ชั้นลับมาก” “ชั้นลับ” และ “ชั้นปกปิด” ที่ไม่ได้นำมาใช้แล้ว ต้องถูกรวบรวม ขีดฆ่า และ ทำเครื่องหมาย “ทำลายได้” และนำเอกสารไปทำลายเพื่อไม่ใหส้ ามารถอ่านหรือ นำมาใช้ได้อกี โดยการฉีกหรือเผาทำลาย (5) กำหนดให้ข้อมูลทุกประเภทที่อยู่ในสื่อบันทึกเป็นข้อมูลประเภท “ลับ (Confidential)” และไม่จำเปน็ จะตอ้ งติดป้ายระดบั ชัน้ ความลบั ของข้อมูล (6) หากมีความจำเป็นจะต้องกำหนดระดับชั้นความลับของข้อมูลในสื่อบันทึกดังกล่าวเป็น ระดบั อ่นื จะตอ้ งติดป้ายช่ือใหก้ บั สอ่ื บันทกึ ดงั กล่าว ใหส้ อดคล้องกับขอ้ มลู ดังกลา่ ว (7) ขอ้ มูลทกุ ระดบั ชนั้ จะตอ้ งถกู ส่งผ่านระบบอีเมลของรฐั สภา เทา่ น้ัน 4.2.3 การจดั การสินทรัพย์ (Handling of Assets) (1) ข้ันตอนการปฏิบตั งิ านในการจัดการสินทรพั ย์ต้องสอดคล้องและเปน็ ไปในทิศทางเดียวกับ “การจดั ชนั้ ความลบั สารสนเทศ (Classification of Information)” (2) ให้ทำการจัดเก็บสินทรัพย์ตามรายละเอียดการจัดเก็บจากผู้ผลิต หากสินทรัพย์นั้น ต้องการการจัดเกบ็ เปน็ พเิ ศษ 4.3 แนวปฏิบัติการจัดการสื่อที่ใช้ในการบันทึกข้อมูล (Media Handling) เพื่อป้องกันการเปิดเผย การ เปลีย่ นแปลงแก้ไข การขนยา้ ย การลบหรือการทำลายสนิ ทรัพย์สารสนเทศ โดยไมไ่ ด้รับอนุญาต 4.3.1 การบริหารจัดการสื่อบันทึกข้อมูลที่สามารถเคลื่อนที่ย้ายได้ (Management of Removable Media) เพือ่ ควบคุมและปอ้ งกนั สอ่ื บนั ทึกข้อมูลทีส่ ามารถเคล่ือนท่ียา้ ยได้มีแนวทางการปฏบิ ตั ิ ดังนี้ (1) ขอ้ มูลท่มี ชี ้ันความลบั ตอ้ งกำหนดให้มีการทำลายเมื่อไม่มีการใชง้ านแล้ว (2) ในกรณีที่สอื่ บนั ทึกข้อมูลนัน้ ไม่ได้ถูกนำมาใช้งานแล้วก่อนทจี่ ะนำออกไปจากรัฐสภา ต้อง ม่นั ใจวา่ ข้อมลู ท่ีอย่ใู นส่ือดงั กล่าวไมส่ ามารถกู้คืนกลับมาใชง้ านได้อีก (3) ในกรณีที่จำเป็นต้องนำสื่อบันทึกข้อมูลออกไป จะต้องได้รับการอนุมัติจากผู้ท่ีรบั ผิดชอบ สื่อบันทกึ ข้อมูลดงั กลา่ ว และต้องบันทกึ การโยกย้ายเพ่ือใชใ้ นการตรวจสอบ (4) สื่อบันทึกข้อมูลทั้งหมดจะต้องถูกจัดเก็บอย่างปลอดภัย อยู่ในสภาพแวดล้อมที่ไม่เป็น อนั ตรายตอ่ สอ่ื บันทึกข้อมูลตามข้อกำหนดของผ้ผู ลิต เช่น อณุ หภมู สิ งู หรอื ต่ำเกินไป (5) ในการจดั เกบ็ ส่อื บนั ทกึ ขอ้ มลู ท่ีสำคัญ ตอ้ งมีการปอ้ งกนั การร่วั ไหลหรอื เปิดเผยข้อมลู เช่น มกี ารติดปา้ ยชอื่ ไว้ทส่ี ่อื บนั ทึกอยา่ งชดั เจน กำหนดบุคลากรที่มสี ิทธใิ นการใชง้ าน เปน็ ตน้ (6) ถ้าข้อมูลที่ต้องการจัดเก็บมีอายุการจัดเก็บยาวนานกว่าอายุการใช้งานของสื่อบันทึก ข้อมลู ควรจัดเก็บไว้ท่แี หลง่ อนื่ เพอื่ ป้องกันการสูญหายของขอ้ มลู แนวปฏิบตั ิในการรักษาความม่นั คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ น่ั : 1.0 22

(7) ต้องจัดทำทะเบียนบันทึกข้อมูลของส่ือบันทึกข้อมลู ที่สามารถเคลื่อนย้ายได้เพื่อลดโอกาส การสูญหายของขอ้ มูล (8) ตวั อ่านส่ือบนั ทึกขอ้ มูลที่สามารถเคลอื่ นย้ายไดจ้ ะต้องใช้เพ่ือเหตผุ ลทางกจิ การของรัฐสภา เทา่ น้นั การมอบอำนาจในระดับต่าง ๆ ควรทำเป็นเอกสารอย่างชัดเจน 4.3.2 การกำจัดสื่อบันทึกข้อมูล (Disposal of Media) การทำลายสื่อบันทึกข้อมูลที่ไม่มีความ จำเป็นต้องใช้งานอีก ต้องเป็นไปอย่างมั่นคงและปลอดภัย เพื่อลดความเสี่ยงของการรั่วไหลข้อมูลของรัฐสภา ไปยงั ผอู้ ืน่ ทีไ่ ม่ได้รับอนญุ าต ซึ่งมแี นวทางปฏบิ ัติ ดังนี้ (1) สือ่ ท่บี นั ทึกขอ้ มลู ท่มี คี วามสำคญั มาก จะตอ้ งมกี ารทำลายดว้ ยวิธกี ารที่ปลอดภัย เชน่ การ เผาหรือแยกชน้ิ สว่ นเป็นช้นิ เล็ก ๆ หรอื ลบขอ้ มูลดว้ ยซอฟต์แวร์อนื่ ๆ ทม่ี ใี ชใ้ นรฐั สภา (2) กระบวนการตา่ ง ๆ ต้องระบุวิธีการกำจัดส่ือบันทึกข้อมูลอย่างชัดเจนเพื่อความปลอดภัย ของขอ้ มูลเช่น ปฏิบัติตามแนวทางความม่ันคงปลอดภยั ของอปุ กรณ์ (Equipment Security) (3) เพื่อความสะดวกควรรวบรวมสื่อทั้งหมดที่ไม่ต้องการแล้วกำจัดพร้อมกันด้วยวิธีการท่ี ปลอดภยั (4) ในกรณีที่เลือกใช้บริการกำจัดสื่อและเอกสารรวมทั้งอุปกรณ์ต่าง ๆ จากหน่วยงาน ภายนอกควรระวังในการเลือกใชบ้ รกิ ารต้องเลอื กหนว่ ยงานภายนอกท่ีมกี ารควบคุมท่ีดแี ละมปี ระสบการณ์ (5) ในการกำจัดสื่อบันทึกข้อมูลจะต้องมีการบันทึกเพื่อใช้ในการตรวจสอบ หมายเหตุ : ข้อมูลที่ไม่มีความสำคัญเมื่อมีการรวบรวมเป็นจำนวนมาก ๆ อาจจะกลายเป็นข้อมูลที่มีความสำคัญได้ ดังน้ัน ใน การกำจัดตอ้ งคำนึงถึงขอ้ มลู ทีม่ ีการรวบรวมไวด้ ว้ ย 4.3.3 การขนย้ายสื่อบันทึกข้อมลู (Physical Media Transfer) เพื่อป้องกันสือ่ บันทึกขอ้ มูลท่ีมีข้อมลู อาจถูกเข้าถึงโดยไม่ได้รับอนญุ าต การใช้งานผิดวัตถุประสงค์และการทำให้ข้อมูลเกิดความเสียหายในระหว่าง ขนยา้ ยหรือนำส่งข้อมลู นนั้ ออกไปนอกรัฐสภาควรพจิ ารณาดัง ตอ่ ไปน้ี (1) ใชว้ ธิ ีการขนส่งหรอื พนกั งานสง่ ของทเี่ ชอื่ ถือได้ (2) รายชอื่ ของพนกั งานสง่ ของหรอื บรษิ ทั สง่ ของควรได้รับการอนมุ ัตจิ ากผู้มีอำนาจ (3) กระบวนการตรวจสอบพนักงานส่งของตอ้ งมกี ารปรบั ปรงุ อย่างสม่ำเสมอ (4) การบรรจุภณั ฑ์ต้องปอ้ งกันความเสียหายในระหว่างการส่งโดยเปน็ ไปตามข้อกำหนดของ ผู้ผลิตตัวอย่างการป้องกันปัจจัยทางกายภาพที่จะมีผลต่อการกู้คืนข้อมูล เช่น ความร้อนความชื้นและ สนามแมเ่ หล็ก (5) การควบคุมที่จำเป็นในการปกป้องข้อมูลสำคัญจากการเปิดเผยหรือแก้ไขโดยไม่ได้รับ อนุญาต (5.1) ใช้ตู้ทีม่ ีกุญแจล๊อค แนวปฏบิ ตั ิในการรักษาความมนั่ คงปลอดภยั ดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอร์ช่นั : 1.0 23

(5.2) สง่ ดว้ ยมอื ตนเองและลงบนั ทึกการรบั - สง่ เพือ่ สามารถตรวจสอบได้ (5.3) บางกรณีอาจจะต้องใช้วิธีการแยกส่งออกหลาย ๆ ส่วนและหลาย ๆ เส้นทาง เพื่อกระจายความเสีย่ ง 4.3.4 ขั้นตอนปฏิบัติสำหรับการจัดการสารสนเทศ (Information Handling Procedures) เพ่ือ ปอ้ งกันการเข้าถงึ โดยไมไ่ ด้รับอนญุ าตหรือการใชง้ านผดิ วตั ถปุ ระสงค์ มีแนวทางปฏบิ ัติ ดังนี้ (1) ติดปา้ ยช่อื ของส่ือบนั ทกึ ขอ้ มลู ทงั้ หมดเพ่อื ระบุประเภท (2) จำกัดการเข้าถงึ หรอื ควบคมุ การใชง้ านสารสนเทศของผทู้ ่ีไม่ได้รบั อนุญาต (3) ทำบนั ทึกขอ้ มลู เกี่ยวกับผ้ทู ีม่ ีสทิ ธไิ ดร้ บั ขอ้ มูล (4) ข้อมูลที่ป้อนเขา้ สู่ระบบและในระหว่างการประมวลผลต้องมีครบถว้ นและต้องตรวจสอบ ผลลัพธ์ทอ่ี อกมาด้วย (5) ต้องมกี ารปกป้องขอ้ มลู ท่ีอย่ใู นระหว่างการแสดงผลลัพธ์ออกมาตามระดับความสำคญั (6) เก็บรกั ษาสอื่ บนั ทึกข้อมูลตามข้อกำหนดของผูผ้ ลติ (7) กระจายขอ้ มูลให้นอ้ ยที่สุด (8) ลบเครื่องหมายของสำเนาสื่อบันทึกข้อมูลทั้งหมดเพื่อไม่ให้เป็นที่สังเกตของผู้ที่มีสิทธิ ไดร้ บั ขอ้ มลู (9) ทบทวนการกระจายข้อมูลและรายชื่อของผู้ที่มสี ทิ ธิได้รับข้อมลู อย่างต่อเน่ือง หมายเหตุ : กระบวนการเหล่านี้คลอบคลุมทั้งสื่อที่เป็นเอกสารระบบคอมพิวเตอร์ระบบเครือข่ายโทรศัพท์เคลื่อนที่ ไปรษณีย์อิเล็กทรอนิกส์ การสื่อสารด้วยเสยี งมัลติมีเดีย การบริการของไปรษณีย์ เครื่องถ่ายเอกสารรวมไปถึง เช็คเปลา่ และใบเรยี กเกบ็ เงนิ 4.3.5 การสร้างความม่ันคงปลอดภัยสำหรบั เอกสารระบบ (Security of System documentations) มาตรการป้องกันเอกสารระบบจากการเขา้ ถงึ โดยไม่ได้รับอนญุ าตมแี นวทางปฏิบตั ิ ดงั นี้ (1) จดั เก็บอย่างม่นั คงปลอดภยั (2) รายการเกี่ยวกบั การเข้าถึงเอกสารระบบควรเก็บไวใ้ ห้นอ้ ยที่สุด และต้องได้รับการอนุมตั ิ จากเจา้ ของระบบงาน (3) เอกสารระบบทีจ่ ดั เก็บไว้ในเครือข่ายสาธารณะ หรือมีการใช้งานผ่านเครือข่ายสาธารณะ จะตอ้ งมีระบบการป้องกันที่เหมาะสม (4) ไม่ควรจัดเก็บเอกสารระบบที่มีการระบุ Username และ Password เช่น เอกสารคู่มือ การใช้งานระบบ ไว้ในเครือข่ายสาธารณะเพราะอาจทำให้ผู้ไม่มีสิทธิสามารถนำข้อมูลดังกล่าวไปใช้ในการ เขา้ ถึงระบบได้ แนวปฏบิ ัติในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชนั่ : 1.0 24

สว่ นท่ี 5 การควบคุมการเขา้ ถงึ (Access Control) 5.1 แนวปฏิบัติการควบคุมการเข้าถึงตามความต้องการทางธุรกิจ (Business Requirements of Access Control) เพ่อื ควบคุมการเข้าถึงสารสนเทศและอุปกรณป์ ระมวลผลสารสนเทศของรฐั สภา เพื่อให้มีความม่ันคง ปลอดภัย และปอ้ งกนั ไม่ใหผ้ ไู้ ม่มสี ิทธิใช้งานสามารถเข้าถงึ ระบบได้ 5.1.1 การจัดทำแนวปฏิบัติการควบคมุ การเข้าถงึ (Access Control) (1) สถานที่ตั้งของระบบสารสนเทศที่สำคัญ ต้องมีการควบคุมการเข้า - ออกอย่างเคร่งครัด และให้เฉพาะบุคคลที่ได้รับอนุญาตและมีความจำเป็นเท่านั้น สามารถเข้าใช้งานได้เพื่อป้องกันไม่ใหผ้ ู้ไมม่ ีสิทธิ สามารถเข้าถึง (2) ผู้ดูแลระบบต้องกำหนดสิทธิของผู้ใช้งานในการเข้าถึงระบบและข้อมูลให้เหมาะสมกับ การใชบ้ ริการและหนา้ ที่ความรับผิดชอบในการปฏบิ ตั งิ าน รวมทั้งมีการทบทวนสิทธิอย่างสมำ่ เสมอ (3) ผู้ดูแลระบบหรือผู้ที่ได้รับมอบหมายเท่านั้นที่สามารถแก้ไขเปลี่ยนแปลงสิทธิการเข้าถึง บริการได้ (4) ผู้ดูแลระบบต้องจัดให้มีการติดตั้งระบบบันทึกและติดตามการใช้งานระบบสารสนเทศ ของรัฐสภา และตรวจตราการละเมิดความปลอดภยั ที่มีต่อระบบขอ้ มูลที่สำคัญ ทั้งนี้ ผู้ที่สามารถใช้ซอฟต์แวร์ หรือฮาร์ดแวร์ในการตรวจตรา และเฝ้าระวังในระบบเครือข่ายหรือระบบงานใด ๆ ต้องเป็นผู้ที่ได้รับอนุญาต จากหน่วยงานดแู ลรบั ผดิ ชอบความมน่ั คงปลอดภยั ระบบสารสนเทศของรฐั สภาเท่าน้นั (5) ผดู้ ูแลระบบต้องจัดให้มกี ารบันทึกรายละเอียดการเขา้ ถึงระบบการแก้ไขเปลี่ยนแปลงสิทธิ ต่าง ๆ และการผ่านเข้า – ออกสถานที่ตั้งของระบบ ของทั้งผู้ที่ได้รับอนุญาตและไม่ได้รับอนุญาตเพื่อเป็น หลักฐานในการตรวจสอบหากมปี ัญหาเกดิ ขึ้น (6) ในการขออนญุ าตเข้าสู่ระบบงานตา่ ง ๆ จะตอ้ งมีการทำเป็นเอกสารเพ่ือขอสิทธิในการเข้า สรู่ ะบบกำหนดให้มีการลงนามอนุมัติและเก็บเอกสารดังกลา่ วไวเ้ ปน็ หลกั ฐาน (7) เจา้ ของข้อมูลและเจา้ ของระบบงานนั้น ๆ จะอนญุ าตใหผ้ ู้ใช้งานเข้าสรู่ ะบบเฉพาะในส่วน ที่จำเป็น ต้องรู้ตามหน้าที่งานเท่านั้น เนื่องจากการให้สิทธิเกินความจำเป็นในการใช้งานจะนำไปสู่ความเส่ยี ง ในการใช้งานเกินอำนาจหน้าที่ ดังนั้น การกำหนดสิทธิในการเข้าถึงหรือควบคุมการใช้งานสารสนเทศ ระบบงานต้องกำหนดตามความจำเป็นขน้ั ตำ่ เทา่ นั้น (8) ผู้ใช้งานจะต้องไดร้ ับอนญุ าตจากผู้บังคบั บัญชา เจ้าของข้อมูลและเจ้าของระบบงานก่อน ตามความจำเป็นในการใชง้ านตามภารกจิ ของรฐั สภา แนวปฏบิ ตั ิในการรักษาความม่นั คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ัน่ : 1.0 25

5.1.2 การเข้าถึงระบบเครือข่ายและการให้บริการเครือข่าย (Access to Network and Network Services) ตอ้ งจดั ทำขอ้ กำหนดหรือสิทธิการเขา้ ถงึ เฉพาะเครือข่ายและบริการเครือข่ายแต่ละประเภทท่ีใช้งาน รว่ มกนั ระหว่างรัฐสภากับผ้ใู ชง้ าน ซึ่งมีแนวทางปฏบิ ตั ิ ดังน้ี (1) ในกรณีที่อนุญาตให้ Protocol บางประเภทสามารถเข้าถึงระบบเครือข่ายของรัฐสภา จะตอ้ งมมี าตรการการป้องกนั ล่วงหน้าและขน้ั ตอนการปฏิบตั ิงานโดยเฉพาะ (2) แม้จะติดตั้ง Router และ Firewall อย่างปลอดภัยแล้วก็ตาม การแก้ไขในภายหลังอาจ ก่อให้เกิดความเสี่ยงต่อระบบงานได้ เพื่อลดความเสี่ยงต่าง ๆ ทุกครั้งที่มีการเปลี่ยนแปลง Router และ Firewall จะตอ้ งปฏบิ ัตติ ามแนวปฏิบตั ิการบริหารจัดการเปลี่ยนแปลงระบบสารสนเทศ (3) หา้ มทำ Packet Forwarding หรอื Re-routing สำหรับ Server ท่มี ีการติดตั้ง Protocol ท่สี ามารถทำได้ เชน่ กำหนดให้ FTP ไม่สามารถทำ IP Forwarding หรอื Passive mode ได้ (4) หมายเลขเครือข่ายภายใน (Internal Network Address) ของรัฐสภา จำเป็นต้องมีการ ป้องกันมิให้ส่วนงานที่เชื่อมต่อจากภายนอกสามารถมองเห็นได้ เพื่อป้องกันไม่ให้ Hackers หรือหน่วยงาน ภายนอกสามารถรู้ข้อมูลเกี่ยวกับโครงสร้างของระบบงานเครือข่ายและส่วนประกอบของคอมพิวเตอร์ของ รัฐสภาไดโ้ ดยง่าย (5) เพื่อลดความเสี่ยงจากการใช้ TCP/IP ดังนั้น Router และ Firewall จะต้องปฏิเสธการ เชอื่ มต่อใด ๆจากระบบภายนอกซึ่งมี IP Address เหมือนกบั IP Address ท่ีใช้ในเครือขา่ ยภายในของรัฐสภา (6) สำหรบั ข้อมูลทผี่ า่ นเขา้ และส่งออกจากระบบเครือข่ายรฐั สภา ต้องส่งขอ้ มลู ผา่ น Firewall เพื่อป้องกันการเชื่อมต่อจากผู้ที่ไม่ได้รับอนุญาต โดยกำหนดให้ผู้ดูแลระบบเครือข่ายเป็นผู้อนุมัติการเชื่อมตอ่ ระบบเครือขา่ ยจากภายนอกของรฐั สภา (7) การเข้าสู่ระบบเครือข่ายของรัฐสภาผ่านอินเทอร์เน็ตจะต้องมีการ Log on เพื่อพิสูจน์ ตวั ตนและไดร้ ับการอนมุ ตั จิ ากหน่วยงานทีด่ ูแลรับผดิ ชอบดา้ นเครอื ข่ายระบบสารสนเทศก่อน (8) ระบบเครือข่ายทั้งหมดของรัฐสภาที่มีการเชื่อมต่อไปยังระบบเครือข่ายอื่น ๆ ภายนอก รัฐสภา ต้องมีการใช้อุปกรณ์หรือซอฟต์แวร์ในการทำ Packet Filtering เช่น การใช้ Firewall หรือฮาร์ดแวร์ อน่ื ๆ รวมทงั้ ต้องมีความสามารถในการตรวจจับไวรสั ดว้ ย (9) ต้องจำกัดจำนวนการเชื่อมต่อจากภายนอกเข้ามายังรัฐสภา และการเชื่อมต่อนี้ต้องเข้า มายังเครื่องคอมพิวเตอร์หรือระบบงานที่กำหนดไว้เท่านั้น ควรกำหนดให้เครื่องคอมพิวเตอร์และระบบงาน ดังกล่าวแยกออกจากระบบเครือข่ายที่เป็นส่วนที่ใช้งานจริงของรัฐสภา ทั้งด้าน Physical และ Logical และ ต้องไม่อนุญาตใหห้ นว่ ยงานภายนอกมสี ทิ ธเิ ข้ามาใช้คอมพวิ เตอร์หรือระบบงานเครือขา่ ยรัฐสภาไดโ้ ดยอสิ ระ (10) ผู้ดูแลระบบต้องจัดแบ่งระหว่างเครือข่ายภายในและเครือข่ายภายนอก (Segregation in Networks) โดยพิจารณาจากบริการเครอื ข่ายของกลุม่ ผู้ใช้งานทั้งสองฝา่ ย แนวปฏิบัติในการรักษาความมัน่ คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชั่น : 1.0 26

(11) ผู้ดูแลระบบต้องกำหนดให้อุปกรณ์บนเครือข่าย สามารถระบุและพิสูจน์ตัวตนเพื่อบ่ง บอกว่าการเชื่อมต่อบนเครือข่ายมาจากอุปกรณ์หรือสถานที่ที่ได้รับอนุญาตแล้ว เพื่อจำกัดสิทธิในการใช้งาน ระบบสารสนเทศของรัฐสภา 5.2 แนวปฏิบัติการบริหารจัดการการเข้าถึงระบบของผู้ใช้งาน (User Access Management) เพื่อควบคุม การเข้าถึงระบบของผู้ใช้งาน และป้องกันไม่ให้ผู้ไม่มีสทิ ธใิ ช้งานสามารถเข้าถึงระบบได้เพื่อสรา้ งความม่ันใจใน สว่ นของการรกั ษาความลับและการรักษาความสมบูรณ์ 5.2.1 การลงทะเบยี นและการถอดถอนผ้ใู ช้งาน (User Registration and De-registration) (1) มีการจดั ทำระเบียบปฏิบัตใิ นการลงทะเบยี นผู้ใชง้ านใหม่ (2) มีระเบียบปฏิบัติเพื่อยกเลิกการใช้งานของผู้ใช้งานทันที ในกรณีที่มีการลาออกหรือ เปล่ยี นตำแหนง่ งานภายในรัฐสภา (3) ผู้ใช้งานแตล่ ะคนตอ้ งมี User Account ทไ่ี มซ่ ้ำกัน (4) ไม่อนญุ าตใหใ้ ช้ User account รว่ มกนั (5) การใช้ Share Account อนุญาตให้เฉพาะกบั บางระบบทีจ่ ำเป็นเทา่ นัน้ 5.2.2 การจดั การสิทธิการเขา้ ถงึ ของผู้ใช้งาน (User Access Provisioning) (1) ผใู้ ช้งานต้องไดร้ บั การอนุมตั สิ ทิ ธใิ ห้เสร็จสมบรู ณก์ ่อนจึงจะสามารถเข้าใช้งานระบบได้ (2) ผู้ดแู ลระบบต้องกำหนดสิทธขิ องผู้ใชง้ านตามหนา้ ที่ความรบั ผิดชอบและตามความจำเป็น ในการใช้งาน เชน่ กำหนดสทิ ธิในการเขา้ ถึงหรือควบคุมการใชง้ านสารสนเทศระบบงานตามความจำเป็นขั้นต่ำ เทา่ นั้น (3) ต้องมีการพิจารณาในส่วนของการกำหนดสิทธิเพื่อให้เกิดการแบ่งแยกอำนาจหน้าท่ี (Segregation of Duties) อยา่ งเหมาะสม (4) มีการบันทึกรวบรวมสิทธิทั้งหมดที่ผู้ใช้งานแต่ละคนได้รับ และทำการสอบทานสิทธิ เหลา่ นอ้ี ยา่ งสมำ่ เสมอ 5.2.3 การบริหารจัดการสิทธิการเข้าถงึ ตามระดับสทิ ธิพิเศษ (Management of Privileged Access Rights) (1) การกำหนดสทิ ธใิ นการเข้าถงึ ระดบั พิเศษ (เชน่ Power User, Root หรอื Administrator) ตอ้ งไดร้ บั การควบคมุ เป็นพเิ ศษ และพจิ ารณามอบหมายใหแ้ ก่ผู้ใชง้ านตามความจำเป็นเท่าน้ัน (2) มีการจัดทำรายชื่อบัญชีผู้ใช้งานในระดับ System (เช่น root หรือ administrator เป็นต้น) และสิทธกิ ารเขา้ ถึงในระดับพเิ ศษ (เชน่ Power User) แนวปฏิบัติในการรกั ษาความมัน่ คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ัน่ : 1.0 27

(3) สำหรับ User Account ในระดับ System ผู้ใช้งานต้องใช้ User Account ดังกล่าวเพ่ือ ทำงานทเ่ี ก่ียวข้องกับการดูแลระบบเท่านั้น สว่ นการทำงานทัว่ ไปอน่ื ๆ ใหใ้ ช้ User Account ท่ีมีสิทธิในระดับ ปกติ (4) ควรมีการกำหนดระยะเวลาในการใช้งาน (expiration date) ของ User Account ท่ี ได้รบั สิทธิการเข้าถึงในระดบั พเิ ศษ 5.2.4 การบริหารจัดการรหัสผ่านของผู้ใช้งาน (Management of Secret Authentication Information of Users) เพื่อใหเ้ กิดความม่ันคงปลอดภยั ของข้อมลู และสารสนเทศผู้ใชง้ านควรปฏิบัติตามแนว ปฏิบตั ิการบรหิ ารจัดการรหัสผ่าน (Password Management) 5.2.5 การทบทวนสิทธิการเข้าถงึ ของผูใ้ ช้งาน (Review of User Access Rights) ผ้ดู ูแลระบบเจ้าของ ข้อมูลและเจ้าของระบบงานต้องจัดให้มีกระบวนการทบทวนสิทธิการเข้าถึงของผู้ใช้งานระบบอย่างเป็น ทางการตามระยะเวลาที่เหมาะสม โดยต้องมีการสอบทานความเหมาะสมของสิทธิของผู้ใช้งานในการเข้าใช้ ข้อมลู อย่างน้อยปลี ะ 1 ครั้ง เพอื่ ใหม้ ัน่ ใจไดว้ ่าสทิ ธติ า่ ง ๆ ที่ให้ไว้ยังคงมีความเหมาะสม 5.2.6 การถอนหรือเปลยี่ นแปลงสิทธิผใู้ ช้งาน (Removal or Adjustment of Access Rights) (1) ต้องกำหนดเปลี่ยนแปลงหรือยกเลิกสิทธิของผู้ใช้งานที่เกี่ยวกับ User ID เพื่อให้ สอดคล้องกับการ เปลี่ยนแปลงสถานะของการว่าจ้างนั้นทันที โดยต้องเก็บข้อมูลให้สามารถตรวจสอบประวัติ การเปลยี่ นแปลงสทิ ธิในระบบสารสนเทศที่เกิดข้นึ เหลา่ น้นั ได้ (2) ผู้ดูแลระบบต้องลบ Username และ Password ของผู้ปฏิบัติงานชั่วคราวทันทีเมื่อครบ กำหนดสิ้นสดุ การขอใช้งาน 5.2.7 การพิสูจน์ตัวตนสำหรับผู้ใช้งานที่อยู่ภายนอกรัฐสภา (User Authentication for External Connections) ผู้ดูแลระบบตอ้ งกำหนดให้มีการพิสูจน์ตัวตนก่อนท่ีจะอนุญาตใหผ้ ู้ใช้งานทีอ่ ยูภ่ ายนอกรัฐสภา สามารถเขา้ ใชง้ านเครือข่ายและระบบสารสนเทศของรฐั สภาได้ (1) ผู้ใช้งานทกุ คนเม่อื จะเข้าใช้งานระบบตอ้ งผ่านการพิสจู น์ตวั ตนจากระบบเสียก่อน (2) การเขา้ สูร่ ะบบของรัฐสภาต้องมีวิธีในการตรวจสอบเพ่ือพิสูจน์ตวั ตนอยา่ งน้อย 1 วิธี เช่น รหสั ผา่ น (3) ต้องแจ้งเป็นลายลักษณ์อักษรให้กับบุคคลที่ใช้บริการด้านสารสนเทศ ตามสัญญาถึง ความสำคัญที่มีต่อการรักษาความปลอดภยั ของข้อมูลสารสนเทศ ซึ่งแต่ละบุคคลต้องลงนามในเอกสารสัญญา เรื่องการไม่เปิดเผยข้อมูลของรัฐสภาและจัดเก็บเอกสารไว้ในแฟ้มสัญญา การเข้าสู่ระบบของรัฐสภาจาก อินเทอรเ์ น็ต หรอื การเข้าสรู่ ะบบจากระยะไกล (Remote Access) จะตอ้ งตรวจสอบผู้ใช้งานจากส่ิงที่รอู้ ยู่ เช่น รหสั ผา่ นและเพือ่ เพมิ่ ความปลอดภัยการพิสูจน์ตวั ตนต้องมกี ารใช้วิธีการเข้ารหัส (Cryptographic) ร่วมกบั การ ควบคุม แนวปฏบิ ตั ิในการรกั ษาความมน่ั คงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_02 เวอร์ชัน่ : 1.0 28

5.2.8 ผู้ดูแลระบบต้องจัดให้ผู้ใช้งานมีข้อมูลสำหรับระบุตัวตนในการเข้าใช้งานระบบที่ไม่ซ้ำซ้อนกัน และตอ้ งมกี ารพิสูจนต์ ัวตน กอ่ นเข้าใชง้ านระบบตามข้อมูลระบุตวั ตนทไ่ี ดร้ ับ มแี นวทางปฏบิ ัติดังน้ี (1) ควรบังคบั ใชส้ ำหรับผ้ใู ชง้ านทกุ ประเภท (2) User ID ของผู้ใช้งานต้องสามารถตรวจสอบร่องรอยกิจกรรมของผู้ใช้งานแต่ละคนได้ใน ภายหลัง (3) กิจกรรมงานประจำไมค่ วรดำเนินการโดยผู้ใช้งานทไ่ี ด้สทิ ธิพิเศษ (4) กรณีที่จำเป็นต้องมีการใช้งาน User ID ร่วมสำหรับกลุ่มของผู้ใช้งานหรือในเฉพาะบาง งานในกรณดี งั กลา่ วควรมีการจัดทำ เอกสารอนุมตั ริ ับรองจากผูบ้ ริหาร (5) ตอ้ งกำหนดตัวควบคมุ อืน่ เพ่ิมเติม เพื่อใหร้ บั ผิดชอบตอ่ ขอ้ มูลในกรณีใช้ User ID ร่วมกนั (6) การใช้ User ID ร่วมดังกล่าวควรถูกใช้เฉพาะกรณีที่การใช้งานนั้นไม่จำเป็นต้องบันทึก ประวัติการใช้งาน (เช่นการดูอย่างเดียว เป็นต้น) หรือในกรณีที่มีการควบคุมอื่นควบคู่ไปด้วย เช่น อนุญาตให้ เขา้ ใชเ้ พียงครั้งเดยี ว (7) กรณีที่จำเป็นต้องตรวจยืนยันตัวตนอยา่ งเข้มงวดอาจใช้วิธีอืน่ แทนการใช้รหัสผ่านในการ ตรวจยนื ยันตัวตนได้ เช่น วิธกี ารเข้ารหัสเพอื่ รักษาความลับสมารท์ การด์ Token หรอื วิธกี ารทางไบโอเมตริก 5.3 แนวปฏิบัติความรับผดิ ชอบของผู้ใช้งาน (User Responsibilities ) เพ่อื กำหนดหนา้ ทีค่ วามรับผิดชอบของ ผใู้ ชง้ านในการป้องกนั และรกั ษาสารสนเทศสว่ นตวั ในการเขา้ ระบบท่สี ำคัญ เชน่ User Account และรหัสผ่าน เปน็ ต้น 5.3.1 การใชข้ ้อมูลการพิสจู นต์ วั ตนซ่งึ เปน็ ความลบั (Use of Secret Authentication Information) ผใู้ ช้งานต้องปฏบิ ตั ติ ามแนวปฏบิ ตั ิการบรหิ ารจดั การรหสั ผ่าน (Password Management) 5.4 แนวปฏิบัติด้านการควบคุมการเข้าถึงระบบและแอปพลิเคชัน (System and Application Access Control) เพื่อกำหนดแนวทางการป้องกันการเขา้ ถงึ ระบบและแอปพลิเคชัน โดยมชิ อบจากผู้ท่ไี มไ่ ด้รับอนุญาต 5.4.1 ขอ้ กำหนดการเขา้ ถึงสารสนเทศ (Information Access Restriction) (1) ผู้ดแู ลระบบต้องจำกัดการเขา้ ถึงสารสนเทศและฟงั ก์ชันตา่ ง ๆ ของแอปพลเิ คชันตามแนว ปฏิบัติการเข้าถึงหรือควบคุมการใช้งานสารสนเทศ โดยต้องแยกตามประเภทของผู้ใช้งานการจำกัดสิทธิของ ผใู้ ช้งาน ควรพิจารณาอยู่บนพืน้ ฐานความจำเปน็ ของระบบซอฟต์แวรแ์ ตล่ ะระบบโดยมแี นวทางปฏิบัติ ดังน้ี (1.1) เตรยี มหน้าจอหรือเมนสู ำหรบั ควบคมุ การเข้าถึงระบบ (1.2) ควบคุมสิทธิการเข้าถึงขอ้ มูลของผู้ใช้งาน (1.3) ควบคุมสทิ ธกิ ารเข้าถงึ ขอ้ มลู ของระบบซอฟต์แวร์อื่น แนวปฏิบตั ิในการรักษาความมน่ั คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ นั่ : 1.0 29

(1.4) สร้างความมั่นใจว่าข้อมูลที่สำคัญจะถูกแสดงในหน้าจอที่ปลอดภัยและ เหมาะสม (2) เจ้าของระบบงานตอ้ งแยกระบบสารสนเทศทีม่ ีความสำคัญสูงไวใ้ นบริเวณทีแ่ ยกต่างหาก ออกมาสำหรบั ระบบนี้โดยเฉพาะซง่ึ มแี นวทางปฏบิ ัติ ดงั น้ี (2.1) ความสำคัญ (Sensitivity) ของระบบซอฟต์แวร์ประยุกต์ควรมีการระบุอย่าง ชดั เจนและจดั ทำเปน็ เอกสารโดยเจ้าของระบบ (2.2) เมื่อจำเป็นต้องใช้ระบบร่วมกันกับระบบอื่นหรือผู้ใช้งานอื่นจะต้องมีการระบุ ความเสี่ยงและมกี ารยอมรบั โดยเจา้ ของระบบนั้น 5.4.2 ขั้นตอนในการปฏบิ ตั ิ Log-on อย่างปลอดภยั (Secure Log-on Procedures) (1) ไม่แสดงรุ่น (Version) ของซอฟต์แวร์จนกว่าจะ Log On เสร็จสิ้นสมบรู ณ์ (2) แสดงข้อความเตือนว่าคอมพิวเตอรค์ วรถูกใช้งานโดยผใู้ ช้งานทไ่ี ดร้ ับอนญุ าตเทา่ น้นั (3) ไม่ควรแสดง Help ระหวา่ ง Log On ซ่ึงอาจช่วยให้ Hacker คน้ หาชอ่ งทางเข้าได้ (4) ตรวจสอบความถูกต้องของข้อมูลนำเข้าเฉพาะเมื่อการนำเข้าเสร็จสิ้นสมบูรณ์แล้ว ถ้ามี ความผดิ พลาดระบบไมค่ วรแสดงวา่ ข้อมูลนำเขา้ ส่วนไหนไม่ถกู ต้อง (5) จำกดั จำนวนคร้งั ของการพยายามเขา้ ใช้ระบบ เชน่ ยอมใหใ้ ส่รหัสผา่ นผิดได้ไม่เกนิ 3 ครั้ง เปน็ ต้นและควรพจิ ารณาเพ่ิมเติมประเดน็ ต่อไปน้ี (5.1) บันทกึ การพยายามทัง้ ท่สี ำเรจ็ และไม่สำเรจ็ (5.2) หลงั จาก Log On ผิดพลาดบงั คับระยะเวลาทง้ิ ชว่ งกอ่ นท่ีจะยอมใหท้ ำตอ่ ไป (5.3) ตัดการเช่ือมโยงเครอื ข่าย (5.4) ส่งข้อความเตือนไปยังหน้าจอของระบบถ้าความพยายามในการ Log On หลายคร้งั เกินจำนวนครั้งมากทส่ี ุดที่ยอมรับได้ (5.5) กำหนดรหัสผ่านให้เหมาะสมกับความยาวของรหัสผ่านและมูลค่าของระบบท่ี จะต้องได้รับการป้องกนั (6) ผู้ดูแลระบบต้องจัดให้ผู้ใช้งานมีข้อมูลสำหรับระบุตัวตนในการเข้าใช้งานระบบที่ไม่ ซำ้ ซอ้ นกันและต้องมีการพิสูจนต์ วั ตน กอ่ นเข้าใชง้ านระบบตามขอ้ มลู ระบตุ ัวตนที่ได้รับ (7) จำกดั จำนวนคร้งั สูงสดุ และตำ่ สดุ ถา้ เกนิ กวา่ นัน้ ระบบควรหยุดการให้ Log On (8) แสดงข้อมูลต่อไปนห้ี ลังจากที่ Log On สำเรจ็ (8.1) วนั ที่และเวลาของการ Log On ครงั้ ที่แล้ว (8.2) รายละเอียดของการพยายาม Log On ท่ีไม่สำเรจ็ ตัง้ แตก่ าร Log On ครั้งที่แล้ว แนวปฏิบตั ิในการรกั ษาความมนั่ คงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ ัน่ : 1.0 30

(9) ผู้ดูแลระบบต้องกำหนดให้ระบบตัดการใช้งานผู้ใช้งาน เมื่อไม่ได้ใช้งานระบบมาเป็น ระยะเวลาหนึ่งตามที่กำหนดไวม้ ีแนวทางปฏบิ ตั ดิ งั นี้ (9.1) มีกลไกในการเคลียร์ Session เมื่อไม่ได้ใช้งานมาเป็นระยะเวลาที่กำหนด (Time-out) (9.2) Time-out ควรกำหนดให้เหมาะสมกับความเสี่ยงนั้น ประเภทข้อมูลท่ี เกี่ยวขอ้ ง และระบบซอฟตแ์ วร์น้ัน ๆ (10) ผู้ดูแลระบบต้องจำกัดระยะเวลาในการเชื่อมต่อระบบสารสนเทศที่มีความสำคัญสูง มี แนวทางปฏิบตั ิดังนี้ (10.1) ตดั การเช่อื มตอ่ เม่อื ใชง้ านได้ระยะหน่งึ ซ่ึงได้กำหนดไว้ลว่ งหนา้ (10.2) จำกัดการเชอ่ื มตอ่ เครอื ข่ายให้เฉพาะภายในระยะเวลาทำการ (10.3) ใหต้ รวจสอบยืนยันตัวตนใหม่ทกุ ชว่ งเวลาทีก่ ำหนด 5.4.3 ระบบบริหารจัดการรหัสผ่าน (Password Management System) ต้องมีปฏิสัมพันธ์กับ ผู้ใช้งานและบังคับตั้งรหัสผ่านที่มีคุณภาพและต้องสามารถรองรับและสนับสนนุ แนวปฏิบัติการบริหารจัดการ รหัสผ่าน (Password Management) 5.4.4 การใชง้ านซอฟต์แวรป์ ระเภทอรรถประโยชน์ (Use of Privileged Utility Programs) (1) ผู้ดูแลระบบต้องจำกัดและควบคุมการใช้งานซอฟต์แวร์ประเภทอรรถประโยชน์ เพ่ือ ปอ้ งกนั การละเมิดหรือหลกี เล่ียง มาตรการความม่นั คงปลอดภยั ท่ไี ดก้ ำหนดไว้ (2) การใช้ซอฟต์แวร์ประเภทอรรถประโยชน์ควรมีการระบุตัวตนตรวจสอบยืนยัน และการ ควบคุมสิทธขิ องผู้ใชง้ าน (3) ทำการแยกซอฟต์แวร์ประเภทอรรถประโยชน์ออกจากซอฟต์แวรป์ ระยุกต์ (4) จำกัดการใช้งานของระบบยทู ิลิตี้ใหเ้ ฉพาะสำหรับผู้ใช้งานท่จี ำเปน็ (5) การขอใช้งานซอฟต์แวร์ประเภทอรรถประโยชน์ แบบเฉพาะกิจ (ad hoc) ต้องได้รับการ อนุมัติก่อนเสมอ (6) มกี ารจำกัดสทิ ธิในการใชง้ านซอฟต์แวร์ประเภทอรรถประโยชน์ตามความเหมาะสม (7) มกี ารบันทึกประวตั กิ ารใช้งานของซอฟต์แวร์ประเภทอรรถประโยชน์ (8) จัดทำเอกสารระดับการให้สทิ ธใิ นการเข้าถงึ ซอฟต์แวรป์ ระเภทอรรถประโยชน์ (9) ทำการยกเลกิ ซอฟต์แวรป์ ระเภทอรรถประโยชน์ทีไ่ ม่ได้ใช้งานหรือไมจ่ ำเปน็ (10) ไม่ควรให้สิทธิการใช้ซอฟต์แวร์ประเภทอรรถประโยชน์กับผู้ใช้งานที่มีสิทธิเข้าถึงระบบ ซอฟต์แวร์ประยกุ ต์ แนวปฏบิ ตั ิในการรักษาความมนั่ คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ นั่ : 1.0 31

5.4.5 การควบคุมการเข้าถึงโปรแกรม Source Code (Access Control to Program Source Code) ต้องมีการควบคุมการใช้งานไลบรารีซึ่งประกอบด้วย Source Code ของระบบที่ใช้งานจริงหรือระบบ ทีใ่ ห้บรกิ าร โดยมแี นวทางปฏบิ ัตดิ ังน้ี (1) ห้ามเกบ็ Source Code Library ไวใ้ นระบบท่ใี ช้งานจรงิ (Production System) (2) หนว่ ยงานท่ีรับผดิ ชอบต้องแตง่ ต้ังผู้มีอำนาจในการดูแลและปรับปรงุ ไลบราร่ี (3) ระหวา่ งทดสอบตอ้ งไมเ่ กบ็ Source Code ท่ใี ชท้ ดสอบรวมกบั ไลบรารที่ ี่ใชง้ านจริง (4) ไม่ควรใหส้ ิทธกิ ารเข้าถงึ แบบไมม่ ีขอ้ จำกัด (unlimited access) แกผ่ ู้ดูแลระบบ (5) การเปลี่ยนแปลงหรือแก้ไข Source Code ของโปรแกรมตอ้ งได้รบั การอนุมัติก่อนเสมอ (6) มกี ารบันทกึ ประวตั ิการเข้าถงึ ไลบราร่ี แนวปฏบิ ตั ิการบริหารจัดการรหสั ผา่ น (Password Management) 1.วตั ถุประสงค์เพอ่ื ให้ผูใ้ ชง้ านได้มีแนวทางปฏบิ ตั ิที่มีความม่ันคงปลอดภยั เกี่ยวกับการใช้รหัสผ่าน 2. การบริหารจัดการรหสั ผา่ น 2.1 รหัสผ่านเป็นวิธีพื้นฐานในการระบุตัวตน ดังนั้นจึงต้องมีการควบคุมที่เข้มงวดเพื่อให้มั่นใจว่าผู้ที่ เขา้ มาใช้ระบบน้นั คอื บุคคลที่มสี ิทธเิ ข้าสูร่ ะบบข้อมลู ของรัฐสภาจริง 2.2 ผ้ใู ชง้ านระบบต้องลงนามยินยอมในสญั ญาเรื่องการเกบ็ รักษารหัสผา่ นไว้เป็นความลับซึ่งข้อความ ดังกลา่ วรวมอยใู่ นเงอ่ื นไขการจ้างงาน 2.3 ผู้ใช้งานรายใหม่จะได้รับรหัสผ่านเริ่มแรกในการผ่านเข้าระบบและเมื่อเข้าสู่ระบบในครั้งแรก จะตอ้ งเปลีย่ นรหสั ผ่านโดยทันทีและควรเปล่ียนรหัสผา่ นตามระยะเวลา เชน่ 3 เดือนต่อครัง้ 2.4 รหัสผ่านช่ัวคราวจะมกี ารนำมาใช้สำหรับผู้ใชง้ านทีล่ ืมรหัสผ่านและมหี ลักฐานพิสูจนต์ นได้ว่าเป็น ผู้ใช้งานที่มีสิทธิใช้งานระบบจริง รหัสผ่านดังกล่าวควรใช้อย่างระมัดระวังและจะต้องมีการบังคับให้เปลี่ยน รหัสผา่ นโดยทันที 2.5 ไมค่ วรส่งรหัสผา่ น ผา่ นระบบเครอื ขา่ ยโดยไมเ่ ข้ารหัสเพื่อรักษาความลับก่อน 2.6 ตอ้ งกำหนดให้ผ้ใู ช้งานมีการพสิ ูจนต์ วั ตน เพือ่ ป้องกันการปฏเิ สธความรับผดิ ชอบ 2.7 กำหนดให้ผู้ใช้งานสามารถกำหนดรหสั ผ่านของตนเองได้และมีกระบวนการตรวจสอบอีกคร้ังก่อน ยนื ยันการเปลย่ี นรหสั ผ่านเพ่อื ป้องกนั ความผิดพลาด 2.8 ผู้ใชง้ านต้องกำหนดรหสั ผ่านท่ีมีคณุ ภาพ เช่น มีการแนะนำว่ารหัสผา่ นท่ีผู้ใช้งานกำหนดน้ันอยู่ใน ระดับออ่ นปานกลางหรือแข็งแกร่ง เป็นตน้ 2.9 บันทกึ ประวัตกิ ารเปล่ยี นรหสั ผ่านเพือ่ ปอ้ งกันการใชซ้ ้ำ 2.10 ตอ้ งไมแ่ สดงรหัสผา่ นทพี่ มิ พล์ งไปหรือซ่อนไมใ่ ห้มองเหน็ หรอื เข้าใจได้ แนวปฏบิ ัติในการรักษาความมนั่ คงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชัน่ : 1.0 32

3. การใช้งานรหัสผ่าน 3.1 เก็บรหสั ผ่านไวเ้ ปน็ ความลับ 3.2 ต้องไม่เก็บรหัสผ่านไว้ในเครื่องคอมพิวเตอร์ในรูปแบบที่สามารถอ่านได้หรือไม่ควรเก็บรักษา รหัสผ่านไว้ในที่ที่บุคคลอื่นสามารถเห็นหรือเข้าถึงได้ง่าย เช่น บนเครื่องคอมพิวเตอร์บนโต๊ะทำงาน เป็นต้น และตอ้ งเก็บข้อมลู รหสั ผา่ นไว้ตา่ งหากจากข้อมลู อ่ืน 3.3 ไมพ่ มิ พร์ หัสผา่ นในขณะท่ีมผี ูอ้ ่นื เหน็ การพมิ พด์ ังกล่าว 3.4 ไมท่ ำการใด ๆ เพือ่ ใหต้ นเองทราบถึงบญั ชผี ูใ้ ชง้ านหรอื รหัสผา่ นของผู้อนื่ 3.5 เปลี่ยนรหัสผ่านส่วนของตนเองในครั้งแรกของการใช้งานไม่ว่าระบบจะบังคับให้มีการเปลี่ยน รหัสผา่ นหรอื ไมก่ ต็ ามและไม่ตัง้ รหัสผา่ นซ้ำกับรหัสผ่านเดมิ 3.6 หากมีเหตุที่น่าเชื่อถือได้ ผู้ใช้งานควรรายงานเหตุการณ์ที่สงสัยว่ามีการเปิดเผยรหัสผ่านไปยัง ผดู้ ูแลระบบ และใหด้ ำเนนิ การเปล่ียนรหสั ผา่ นทันที 3.7 ถา้ พบวา่ รหสั ผา่ นของตนถกู ลอ็ คโดยไม่ทราบสาเหตุ ผ้ใู ชง้ านตอ้ งแจง้ ใหผ้ ูด้ แู ลระบบทราบ 3.8 ในกรณีที่ได้รับความช่วยเหลือในการแก้ไขปัญหา และต้องการให้ใส่รหัสผ่านผู้ใช้งานไม่ควรให้ รหัสผ่านแก่ผูช้ ว่ ยเหลอื แตค่ วรใสร่ หัสผ่านด้วยตนเอง 4. การกำหนดรหสั ผา่ น 4.1 การกำหนดรหัสผ่านต้องไม่ใช้คำศัพท์ที่มาจากพจนานุกรม ชื่อหนังชื่อ สถานท่ี หรือชื่อสิ่งลึกลับ และต้องไมใ่ ช้ขอ้ มลู ที่เกี่ยวข้องกบั รัฐสภา หรือเป็นข้อมูลส่วนตัวของผู้ใชง้ านซึ่งอาจงา่ ยแก่การคาดเดา 4.2 ต้องไม่กำหนดรหัสผ่านท่ีประกอบดว้ ยตวั อักษรหรอื ตวั เลขที่เรียงซ้ํากันเกินกว่า 3 ตวั หรือเรียงกัน ตามลำดับ เช่น aaaabbbb, 11111111, abcdefg 4.3 รหสั ผา่ นทดี่ คี วรมลี ักษณะดงั น้ี 4.3.1 ควรมีความยาวอย่างนอ้ ย 8 ตัวอกั ษรหรือตามที่ผดู้ แู ลระบบกำหนด 4.3.2 ควรมสี ว่ นประกอบของอกั ษรอกั ขระพิเศษหรือตัวเลขประสมกนั ตามลักษณะ ดังน้ี (1) ตัวอักษรใหญ่เชน่ A, B, C, ... (2) ตวั อกั ษรเล็กเชน่ a, b, c, ... (3) ตวั เลขเช่น 0, 1, 2, … (4) สญั ลกั ษณ์พเิ ศษเช่น !, @, # , $ , ... 5. การเปลยี่ นรหสั ผา่ น 5.1 รหัสผ่านเข้าส่รู ะบบ (เชน่ root, NT Admin ฯลฯ) ตอ้ งเปล่ียนอยา่ งน้อยทกุ 3 เดอื น 5.2 รหัสผา่ นของผใู้ ช้งานตอ้ งเปลี่ยนอย่างน้อยทุก 6 เดอื น แนวปฏบิ ัติในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ นั่ : 1.0 33

แนวทางการปฏิบัติ : การกำหนดระยะเวลาการเปลี่ยนรหัสผ่าน : กำหนดให้เปลี่ยนรหัสผ่านตามระยะเวลาท่ี กำหนดเชน่ 30 วัน 60 วนั 90 วัน เป็นต้น 6. การยกเลิกรหัสผ่าน รหัสผ่านของผู้ใช้งานที่ลาออกสิ้นสุดการจ้างงาน หรือย้าย ต้องทำการยกเลิกสิทธิของ ผูใ้ ชง้ านในระบบทนั ทีและลบชื่อผ้ใู ชง้ านน้นั ออกจากระบบภายใน 30 วนั นับจากวนั ท่ีไดร้ ับการอนมุ ตั ิให้ลาออก สิ้นสดุ การจ้าง หรือยา้ ย ส่วนท่ี 6 การเข้ารหสั ขอ้ มูล (Cryptographic) 6.1 แนวปฏิบัติการบริหารจัดการการเข้ารหัสข้อมูล (Cryptographic Controls) เพื่อกำหนดแนวทางในการ จัดทำการเข้ารหัสข้อมูลอย่างเหมาะสมและได้ผล และป้องกันความลับการปลอมแปลง เพื่อให้ได้มาซึ่งความ นา่ เชอ่ื ถอื ถูกตอ้ งและความสมบูรณ์ของสารสนเทศ 6.1.1 มาตรการการเข้ารหสั ข้อมลู (policy on the Use of Cryptographic Controls) (1) เจ้าของข้อมูลต้องกำหนดให้มีการเข้ารหัสข้อมูลตามมาตรฐานสากล เช่น อัลกอริทึม RSA, DES, 3DES เป็นต้น และต้องมีการกำหนดชั้นความลับของข้อมูลและสารสนเทศเพื่อให้ทราบถึงสถานะ และการดำเนินการในการเขา้ รหัสขอ้ มลู สารสนเทศทใี่ ช้ (2) อัลกอริทึมที่เรียกใช้ต้องรองรับซอฟต์แวร์ประยุกต์ที่นำไปใช้งานได้ เช่น PGP (Pretty Good Privacy), SSL (Secure Socket Layer), TLS (Transport Layer Security) เปน็ ต้น (3) ความยาวของคีย์ในการเข้ารหัสต้องไม่น้อยกว่า 56 บิตสำหรับการเข้ารหัสแบบสมมาตร (Symmetric) และแบบไม่สมมาตร (Asymmetric) ต้องมคี วามยาวไม่น้อยกว่าตามทีต่ กลงกนั ไว้ (4) เจ้าของข้อมูลตอ้ งมีการทบทวนมาตรฐานของคยี ์ทีเ่ ข้ารหัสในทกุ ๆ ปีเพื่อใหส้ อดคล้องกับ ความปลอดภัยและประสิทธภิ าพของเครื่องที่ดำเนินงาน (5) กรณีที่ไม่ทราบหรือต้องการข้อมูลเกี่ยวกับการเข้ารหัสเพิ่มเติมให้ติดต่อหน่วยงานดูแล รบั ผิดชอบความมน่ั คงปลอดภัยระบบสารสนเทศและแนวปฏิบัติฯ 6.1.2 การบริหารจัดการกุญแจ (Key Management) (1) ข้อมูลที่มีการเข้ารหัสต้องจัดให้มีกระบวนการในการบริหารจัดการกุญแจ ( Key Management) ท่ีมปี ระสทิ ธภิ าพโดยการดำเนนิ การเก่ยี วกับกญุ แจทุกประเภท เช่น การสร้าง การจัดเกบ็ การ จดั ส่งและการเปล่ียนควรกระทำอย่างปลอดภัยและมีการควบคุมท่ีเหมาะสม (2) กุญแจส่วนตัวที่ใช้ในการเข้ารหัสข้อมูลต้องถูกจัดเก็บให้เป็นความลับและจัดเก็บอย่าง ม่นั คงปลอดภัยเสมอ แนวปฏบิ ตั ิในการรกั ษาความมนั่ คงปลอดภยั ดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ่ัน : 1.0 34

(3) การสง่ กุญแจถึงผรู้ บั กุญแจต้องสง่ ผ่านในช่องทางท่มี ีความม่ันคงปลอดภัยเสมอ (4) กุญแจต้องได้รับการเพิกถอนทันทีเมื่อทราบว่ากุญแจมีความเสี่ยงที่จะก่อให้เกิดการล่วง ละเมิดทางด้านความม่ันคงปลอดภยั เชน่ เมอื่ กญุ แจส่วนตัว (private key) รั่วไหลไปยังบคุ คลอน่ื เปน็ ต้น (5) การเพิกถอนการใช้งานกุญแจต้องมีการแจ้งให้ผู้เกี่ยวข้องกับกุญแจหรือผู้ที่ใช้งานกุญแจ ทราบ โดยตอ้ งรวมถงึ รหสั กญุ แจเหตผุ ลของการเพิกถอนวนั ทแ่ี ละเวลาที่กุญแจถูกเพิกถอน (6) การทำ Archive กุญแจเมื่อไม่มีการใช้งานกุญแจเป็นระยะเวลานาน ต้องใช้วิธีการ Archive ที่มคี วามมน่ั คงปลอดภัยโดยต้องมีการเขา้ รหสั กุญแจทีถ่ ูก Archive ด้วยเสมอ (7) การทำลายกุญแจต้องทำดว้ ยความระมัดระวังเป็นพเิ ศษโดยต้องทำลายด้วยวิธีการทำลาย กุญแจแบบมั่นคงปลอดภัย (Secure Deletion) และต้องแน่ใจว่ากุญแจนั้นจะไม่มีความต้องการในการใช้งาน ถอดรหสั ขอ้ มูลอกี ในอนาคต (8) การกระทำใด ๆ ที่เกี่ยวข้องกับกุญแจต้องได้รับการจัดเก็บบันทึกอย่างมั่นคงปลอดภัย เสมอเพ่อื ใหส้ ามารถตรวจสอบได้ในภายหลงั ส่วนที่ 7 ความมั่นคงปลอดภยั ทางด้านกายภาพและสิง่ แวดล้อม (Physical and Environmental Security) 7.1 แนวปฏิบตั ิการกำหนดพื้นท่ีท่ตี ้องมีความมั่นคงปลอดภัยด้านสารสนเทศ (Secure Areas) เพ่ือป้องกันการ เข้าถึงทางกายภาพโดยไม่ได้รับอนุญาต ที่เกี่ยวกับสถานที่ซึ่งเป็นที่ตั้งและพื้นที่ใช้งานของระบบสารสนเทศ ตลอดจนอปุ กรณ์คอมพิวเตอร์ข้อมูลและสารสนเทศซึ่งเปน็ สินทรัพย์ของรฐั สภา โดยแนวปฏิบัตินี้มีผลบังคับใช้ กับผใู้ ชง้ านและผ้ดู แู ลระบบซ่ึงมีส่วนเก่ียวขอ้ งกบั การใช้ระบบสารสนเทศของรฐั สภา 7.1.1 พนื้ ทใ่ี ช้งานระบบสารสนเทศ (Physical Security Perimeter) (1) ต้องมีการจำแนกและกำหนดบริเวณพน้ื ท่ใี ช้งานระบบสารสนเทศตามทไี่ ดน้ ิยามไว้รวมทั้ง จัดทำแผนผังแสดงตำแหน่งและชนิดของพื้นที่ใช้งานระบบสารสนเทศ เพื่อการเฝ้าระวังควบคุมและรักษา ความมั่นคงปลอดภัยจากผู้ที่ไม่ได้รับอนุญาต รวมทั้งป้องกันความเสียหายอื่น ๆ ที่อาจเกิดขึ้นได้และประกาศ ให้รับทราบทว่ั กัน (2) ตอ้ งกำหนดการติดตง้ั อุปกรณ์ในพนื้ ทใ่ี ชง้ านระบบสารสนเทศใหส้ อดคลอ้ งกับสว่ นหมู่และ ความสำคญั ของขอ้ มูลหรือสารสนเทศทีม่ ีอยู่ในระบบ (3) หน่วยงานที่รับผิดชอบอุปกรณ์ที่สำคัญของระบบสารสนเทศ ต้องดำเนินการติดตั้ง อุปกรณ์ในการรักษาความปลอดภัย เช่น กล้องวงจรปิด ระบบ Access Control หรืออุปกรณ์ที่สามารถ ปอ้ งกนั ภัยคุกคามจากผู้บุกรุก เปน็ ตน้ ในพน้ื ที่ใชง้ านระบบสารสนเทศของรัฐสภา ได้แก่ ศนู ย์ปฏิบัติการ SOC แนวปฏบิ ตั ิในการรักษาความมั่นคงปลอดภยั ดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอร์ชน่ั : 1.0 35

ห้อง Server/Data Center หอ้ ง Network Control หรือห้อง Network Center หอ้ งเก็บข้อมลู สำรองเพ่ือให้ เปน็ ไปตามมาตรฐานสากลทก่ี ำหนดไว้ (4) ไม่อนุญาตให้ถ่ายภาพ บันทึกวิดีโอหรือเสียง ภายในบริเวณที่ต้องมีความมั่นคงปลอดภยั ด้านสารสนเทศ (Secure Areas) เว้นแต่จะได้รบั อนุญาตอยา่ งเปน็ ลายลักษณอ์ กั ษร 7.1.2 การควบคมุ การเข้าออก (Physical Entry Controls) ตอ้ งกำหนดมาตรการการควบคมุ การเข้า ออกในบริเวณพื้นที่ใช้งานระบบสารสนเทศ โดยให้ผ่านเข้าออกได้เฉพาะผู้ใช้งานที่มีสิทธิเท่านั้น ซึ่งมีแนวทาง ปฏิบตั ิดงั นี้ (1) ระบุตัวผใู้ ชง้ านและชว่ งเวลาทีม่ สี ทิ ธิผ่านเข้าออกในแตล่ ะพ้ืนทอี่ ย่างชดั เจน (2) ผใู้ ชง้ านจะได้รับสิทธิให้เขา้ ออกสถานที่ทำงานไดเ้ ฉพาะบรเิ วณท่ีถกู กำหนดเท่านน้ั (3) หากมีบุคคลอื่นใดที่ไม่ใช่ผู้ใช้งาน ขอเข้าพื้นที่โดยมิได้ขอสิทธิในการเข้าพื้นที่นั้นไว้เป็น การล่วงหน้า หน่วยงานต้องตรวจสอบ เหตุผลและความจำเป็นก่อนที่จะอนุญาตหรือไม่อนุญาตให้บุคคลเข้า พนื้ ทเี่ ป็นการชั่วคราว ทัง้ นจ้ี ะต้องแสดงบัตรประจำตัวที่รัฐสภาออกให้ หรือบัตรประจำตัวประชาชน หรือบัตร ประจำตัวอื่นที่ราชการออกให้โดยหน่วยงานเจ้าของพื้นที่ต้องจดบันทึกบุคคล และการขอเข้าออกไว้เป็น หลกั ฐาน (ท้งั ในกรณีท่ีอนญุ าตและไม่อนุญาตใหเ้ ข้าพื้นท่ี) (4) การขออนุญาตเข้ามาปฏิบตั งิ านในพืน้ ท่ีใหป้ ฏิบัตติ ามระเบยี บการปฏบิ ัตงิ าน เร่ืองการขอ อนญุ าตเข้าสพู่ ื้นท่ี 7.1.3 ความมั่นคงปลอดภัยด้านสารสนเทศสำหรับสำนักงาน ห้องทำงาน และเครื่องมือต่าง ๆ (Securing Offices, Rooms and Facilities) (1) ต้องจัดให้มีมาตรการความม่ันคงปลอดภัยด้านสารสนเทศให้กับสำนักงาน ห้องทำงาน และเครื่องมือต่าง ๆ เช่น เครื่องคอมพิวเตอร์หรือระบบที่มีความสำคัญสูงต้องไม่ตั้งอยู่ในบริเวณที่มีการผ่าน เขา้ - ออกของบคุ คลเป็นจำนวนมาก (2) สำนักงานจะต้องไม่มีปา้ ยหรือสัญลักษณท์ ่ีบง่ บอกถงึ การมีระบบสำคญั ในบรเิ วณดังกลา่ ว (3) ประตูหน้าต่างของสำนักงานต้องใส่กุญแจเมื่อไม่มีคนอยู่หรือมีการควบคุมการเข้าถึง รปู แบบอ่นื ๆ (4) เครอ่ื งโทรสารหรือเคร่ืองถ่ายเอกสารควรแยกออกมาจากบริเวณดังกลา่ ว (5) แนวทางปฏิบัติสำหรับพื้นที่สำนักงาน ห้องทำงาน และเครื่องมือต่าง ๆ เช่น กั้นพื้นที่ อย่างรอบด้าน ติดตั้งผนังติดตัง้ เหล็กดัดล็อคประตูท่ีใช้ดอกกญุ แจหรือมรี ะบบ Access Control และปรับปรงุ ใหม้ คี วามเหมาะสมทางสภาวะแวดลอ้ ม เชน่ ตดิ ต้ังระบบปรบั อากาศ การควบคมุ ความช้นื เป็นต้น 7.1.4 การป้องกันภัยคุกคามจากภายนอกและสิ่งแวดล้อม (Protecting against external and environmental threats) แนวปฏิบัติในการรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศของรัฐสภา STD_PY_02 เวอร์ชั่น : 1.0 36

(1) ห้องคอมพิวเตอร์จะต้องมีการควบคุมการเข้า - ออกอย่างเข้มงวด และตั้งอยู่ในพื้นที่ที่ ปลอดภยั จากภัยทางธรรมชาติ เชน่ แผน่ ดินไหว หรือนา้ํ ท่วม เป็นตน้ (2) สถานที่ปฏิบัติงานควรจะมีอุปกรณ์ดับเพลิงอย่างเพียงพอและเหมาะสม ทั้งน้ี ในพื้นที่ที่ ต้องมกี ารรักษาความปลอดภัยควรพิจารณาตดิ ต้งั ระบบดับเพลงิ อตั โนมัตดิ ว้ ย (3) ควรดูแลเรื่องความสะอาดของพื้นที่โดยทั่วไปอย่างสม่ำเสมอ เพื่อไม่ให้มีวัสดุที่เป็น เชอ้ื เพลงิ อยูใ่ นพ้นื ทีด่ ังกล่าว 7.1.5 การปฏิบตั งิ านในพ้ืนที่ควบคมุ (Working in Control Areas) (1) ต้องมีการควบคมุ การปฏิบัตงิ านของหน่วยงานภายนอกในบริเวณพ้นื ที่ควบคมุ ได้แก่ การ ไมอ่ นุญาตใหถ้ ่ายภาพหรอื วิดโี อในบรเิ วณควบคมุ เปน็ ต้น (2) ต้องมปี า้ ยประกาศขอ้ ความ “หา้ มเขา้ ก่อนไดร้ บั อนุญาต” “หา้ มถ่ายภาพหรือวดิ ีโอ” และ “ห้ามสูบบุหรี”่ บริเวณภายในพนื้ ท่ีควบคมุ การปฏิบตั ิงาน 7.1.6 การจัดบริเวณสำหรับการเข้าถึงหรือการส่งมอบผลิตภัณฑ์โดยบุคคลภายนอก (Delivery and Loading Areas) ต้องจัดบริเวณสำหรับการเข้าถึงหรือการส่งมอบผลิตภัณฑ์โดยหน่วยงานภายนอก เพ่ือป้องกันการเข้าถึงสนิ ทรัพย์ของรัฐสภาโดยไม่ได้รบั อนุญาต และถา้ เป็นไปได้ควรจัดเปน็ บริเวณแยกออกมา ตา่ งหาก 7.2 แนวปฏิบัติความมั่นคงปลอดภัยของอุปกรณ์ (Equipment ) เพื่อเป็นมาตรฐานด้านความมั่นคงปลอดภยั สารสนเทศในการป้องกันอปุ กรณ์จากการสญู หาย ถูกขโมย หรอื เสยี หายซ่ึงอาจสง่ ผลต่อการดำเนนิ งาน 7.2.1 การจัดวางและป้องกนั อุปกรณ์ (Equipment Siting and Protection) (1) ผูใ้ ชง้ านต้องจัดตงั้ เครื่องมือไวใ้ นสถานท่ีท่ีปลอดภัยรวมท้งั มีการป้องกนั ภยั หรืออันตรายที่ อาจเกดิ ข้นึ กับอุปกรณ์เหล่านั้น (2) มีการจัดวางอุปกรณ์ที่ไม่เกี่ยวข้องกับการปฏิบัติงานไว้ภายนอกพื้นที่ปฏิบัติงาน เพื่อ ป้องกันการเข้าถงึ พนื้ ท่ีปฏบิ ัตงิ านของผู้ไม่มสี ่วนเกีย่ วข้องโดยไม่จำเปน็ (3) มีการจัดเตรียมพื้นที่จัดเก็บอุปกรณ์ที่ปลอดภัย และไม่สามารถเข้าถึงได้โดยง่าย เช่น ตู้ หรือลิ้นชกั ทีม่ กี ุญแจลอ็ ค (4) ห้ามมิให้มีการสูบบุหร่ี รับประทานอาหารและน้ำดื่ม ในพื้นที่จัดวางอุปกรณ์ของศูนย์ เทคโนโลยีสารสนเทศ (5) ห้ามนำสสารวัตถอุ าวธุ และเครอื่ งมือท่ีอาจก่อใหเ้ กดิ อันตรายกบั อุปกรณ์เข้ามาในบริเวณ พ้นื ที่ปฏิบัตงิ าน นอกจากได้รับการพจิ ารณาอนญุ าตและตรวจสอบความเหมาะสมแลว้ เท่าน้ัน (6) ทำการติดต้ังระบบปอ้ งกนั ฟา้ ผา่ กับอาคารอยา่ งเหมาะสม แนวปฏิบัติในการรักษาความม่นั คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ช่ัน : 1.0 37

7.2.2 ระบบสาธารณูปโภคพื้นฐาน (Supporting Utilities) สาธารณูปโภคพื้นฐานในที่นี้หมายถึง สาธารณปู โภคจำพวก น้ำประปา ไฟฟา้ การตดิ ตอ่ สอ่ื สาร เครือ่ งปรบั อากาศ ระบบบำบดั ของเสีย เปน็ ตน้ โดย ต้องกำหนดให้มีระบบกระแสไฟฟ้าสำรองสำหรับระบบที่สำคัญ เช่น ระบบ Security ระบบ SIEM (security information event management) เป็นต้น โดยมแี นวทางปฏบิ ัตดิ งั น้ี (1) ต้องมีระบบไฟฟา้ สำรองอัตโนมัตเิ พื่อให้สามารถปฏบิ ตั ิงานได้อย่างต่อเนื่องและต้องมีการ ตรวจสอบระบบไฟฟ้าสำรองและบำรงุ รักษาอย่างน้อยปีละ 2 ครัง้ (2) ต้องจัดใหม้ ีระบบเตอื นภัย/ปอ้ งกันภยั เชน่ ระบบดับเพลงิ ระบบเตอื นอัคคีภัย (3) ต้องมีการวางแผน และซักซ้อมการปฏิบตั ิรับมือกับภัยพบิ ัติ เช่น อัคคีภัย อย่างน้อยปีละ 2 ครงั้ (4) ไมค่ วรกระทำการใด ๆ ใหเ้ กดิ มีประกายไฟหรือเปลวไฟ (5) ระบบที่สำคัญของรัฐสภาจะต้องมีการจัดทำแผนบริหารความต่อเนื่องทางธุรกิจ เพื่อลด ความสูญเสยี ท่ีอาจเกิดขน้ึ จากผลกระทบจากเหตกุ ารณ์ภยั พบิ ตั หิ รอื เหตุการณ์ไม่คาดคิด 7. 2. 3 การเดินสายไฟฟ้าหลัก ( Main Power Cable) และสายเคเบิลหลัก( Backbone Cable)(Cabling Security) (1) ตอ้ งคำนึงถึงการเดินสายไฟฟ้าหรือสายเคเบลิ เขา้ มาภายในอาคารสำนักงาน เชน่ ผ่านเข้า มาทางใต้ดินผ่านช่องพิเศษที่จัดไว้ หรือเป็นบริเวณที่บุคคลทั่วไปไม่สามารถเข้าถึงได้ง่าย ซึ่งมีแนวทางปฏิบัติ เช่น บริเวณที่มีการเดินสายไฟฟ้าหรือสายเคเบิลเข้ามาภายในอาคารสำนักงานและมีการติดตั้งตู้พักสายต้อง ลอ็ คไว้ตลอดเวลาและจำกดั การเข้าใช้งานไดเ้ ฉพาะเจา้ หน้าทห่ี รือบุคคลที่มีสทิ ธเิ ทา่ นนั้ (2) ควรจดั เก็บสายเคเบลิ ท้ังหมดท่ีใช้ในการรับ – ส่งขอ้ มูลไว้ในรางหรืออุปกรณ์ป้องกัน เพื่อ ปอ้ งกนั การดกั จบั ข้อมูลหรอื อุบตั เิ หตทุ ี่อาจทำใหส้ ายขาดหรือชำรุดได้ (3) ควรแยกสายไฟทั้งหมดออกจากสายเคเบิลในการรับ - ส่งข้อมูล เพื่อป้องกันสัญญาณ รบกวน 7.2.4 การบำรุงรกั ษาอุปกรณ์ (Equipment Maintenance) (1) ต้องกำหนดให้มีการดูแลและบำรุงรักษาอุปกรณ์อย่างถูกต้องและสม่ำเสมอ เช่น จัดให้มี การซ่อมบำรุงปีละ 1 ครงั้ หรือระบบทีส่ ำคญั มากอาจจะกำหนดใหม้ ีการบำรงุ รกั ษาทุก 3 เดือน เป็นตน้ (2) ทุกครั้งที่ต้องมีการซ่อมแซมอุปกรณ์ใด ๆ จะต้องทำการบันทึกรายการซ่อมบำรุงรักษา อุปกรณด์ ังกลา่ วทกุ คร้งั (3) ควรบำรุงรักษาระบบควบคุมสภาพแวดล้อมและอุปกรณ์ต่าง ๆ ตามคำแนะนำที่ผู้ผลิต ระบุไว้ แนวปฏบิ ตั ิในการรกั ษาความม่ันคงปลอดภยั ดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ั่น : 1.0 38

(4) กำหนดให้บุคลากรทผี่ ่านการฝึกอบรมและไดร้ ับอนญุ าตเท่าน้ัน ท่จี ะสามารถทำการซ่อม บำรงุ ระบบและอปุ กรณ์ต่าง ๆ ในกรณีทใ่ี ช้บรกิ ารซ่อมบำรุงจากผผู้ ลิตหรือผู้จดั จำหนา่ ย จะต้องกำหนดเงื่อนไข ในการบำรุงรกั ษาอยา่ งละเอยี ด 7.2.5 การนำสินทรพั ยอ์ อกนอกสถานที่ (Removal of Assets) (1) การเคลอ่ื นย้ายสินทรพั ย์ของรฐั สภา ตอ้ งทำเป็นบันทกึ และขออนุญาตอยา่ งถูกต้องในการ เคลือ่ นย้ายซง่ึ มแี นวทางปฏบิ ตั ดิ งั นี้ (1.1) ผู้ที่รับผิดชอบในการย้ายสถานที่ทำงาน ต้องตรวจสอบความเรียบร้อยครั้ง สุดท้ายทันทีหลังจากที่ทำการย้ายของเสร็จสิ้น รวมทั้งตรวจสอบพื้นที่และสินทรัพย์ด้วย การย้ายสถานท่ี ทำงาน เป็นช่วงเวลาทตี่ ้องระวังเร่ืองการรักษาความปลอดภัยที่อาจมกี ารมองขา้ มได้ โดยเฉพาะช่วงเวลาท่ีต้อง เร่งจัดการย้ายให้เสร็จสิ้น จึงต้องให้ความระมัดระวัง เพราะอาจมีการผ่อนปรนมาตรการรกั ษาความปลอดภยั ตอ่ ข้อมูลทมี่ ีความสำคญั หรอื ตอ่ ระบบเครือขา่ ยของรฐั สภาได้ (1.2) ข้อมูลที่มีความสำคัญมากรวมถึงข้อมูลในคอมพิวเตอร์แบบพกพา (Notebook) ควรมีการเคลื่อนย้ายโดยผู้เป็นเจ้าของข้อมูลเท่านั้น ไม่ควรเคลื่อนย้ายโดยบุคคลที่ไม่ใช่เจ้าของ ขอ้ มูลเว้นเสียแต่จะไดร้ บั การอนุญาตเปน็ ลายลกั ษณ์อักษรจากเจ้าของข้อมูล (1.3) ผใู้ ชง้ านจะตอ้ งแน่ใจวา่ ข้อมลู สำคัญใด ๆ ต้องมกี ารเข้ารหสั เมอื่ ถกู จดั เก็บอยู่ใน ฮาร์ดดิสก์ (1.4) ผู้ที่มีส่วนร่วมในการเคลื่อนย้ายสถานที่ทำงาน จะต้องมีการตรวจตราสถานท่ี ซึ่งย้ายสินทรัพย์ออก เพื่อให้มั่นใจได้ว่าไม่มีข้อมูลใดหลงเหลืออยู่ มีการกำหนดความรับผิดชอบในการดูแลให้ ครอบคลมุ ส่วนทเี่ ก็บเอกสาร เชน่ ตู้เก็บแฟม้ เอกสาร ห้องเกบ็ รักษาแฟม้ ขอ้ มูล ห้องนิรภยั เปน็ ต้น (1.5) ต้องมีการปรับปรุงเอกสารหรือทะเบียนควบคุมอุปกรณ์ต่าง ๆ เมื่อมีการ เปลยี่ นแปลงหรือเคลอื่ นยา้ ย เพ่อื ใชเ้ ป็นขอ้ มลู ในการควบคมุ สนิ ทรพั ย์ของรัฐสภา (2) เมื่อมีการนำอุปกรณ์และสื่อที่เคลื่อนย้ายได้ออกไปใช้นอกสถานที่ ผู้ที่รับผิดชอบควรมี การปอ้ งกนั การสูญหาย (3) การเคลื่อนย้ายทรัพย์สินใด ๆ ของรัฐสภา จะต้องได้รับการอนุญาตอย่างเป็นลายลักษณ์ อกั ษรและควรจะมกี ารเก็บบนั ทึกการอนญุ าตดังกลา่ ว (4) ต้องกำหนดระยะเวลาท่ีต้องการยืมทรัพย์สิน หรือเวลาที่จะทำการเคลื่อนย้ายทรัพย์สิน และตอ้ งบันทึกการเคล่อื นยา้ ยทรพั ยส์ นิ ทุกครงั้ 7.2.6 การป้องกันอุปกรณ์และสินทรัพย์ภายนอกสถานที่ (Security of Equipment and Assets Off - Premises) แนวปฏบิ ัติในการรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ั่น : 1.0 39

(1) ปฏิบัติตามคำแนะนำในการใช้งานจากเจา้ ของผลิตภัณฑ์ของอุปกรณ์และสินทรัพย์อย่าง เคร่งครดั เช่น ไมว่ างตากแดด หรือใกลค้ วามรอ้ น (2) ไมว่ างอุปกรณแ์ ละสินทรพั ยไ์ วใ้ นท่สี าธารณะ โดยขาดการดแู ลหรือเฝ้าระวัง (3) ต้องกำหนดให้มีการป้องกันสินทรัพย์และอุปกรณ์ของรัฐสภา เช่น Notebook, Mobile Phone เมื่อถกู นำไปใช้งานนอกสำนกั งาน 7.2.7 การทำลายหรอื นำกลบั มาใช้งานของอปุ กรณ์ (Secure Disposal or Reuse of Equipment) (1) ต้องกำหนดให้มีวิธีการในการทำลายอุปกรณ์ (Secure Disposal of Reuse of Equipment) ซึ่งมีข้อมูลสำคัญเก็บไว้ เช่น ฮาร์ดแวร์ ซอฟต์แวร์ เป็นต้น ทั้งนี้เพื่อป้องกันการรั่วไหลหรือการ เปดิ เผยขอ้ มลู ดงั กลา่ ว (2) การทำลายหรอื การนำอุปกรณ์กลับมาใช้ใหม่จะต้องถูกกำหนดข้นั ตอนการดำเนินงาน ใน การทำลายหรือการนำอุปกรณ์อิเล็กทรอนิกส์กลับมาใช้ใหม่เพื่อให้แน่ใจได้ว่าข้อมูลใด ๆ ที่อยู่ในอุปกรณ์ ดงั กล่าวได้ถกู ลบทิง้ โดยทีไ่ ม่สามารถกู้คืนกลับมาใช้ได้อกี (3) จะต้องกำหนดขั้นตอนการดำเนินงาน ในการทำลายหรือการนำอุปกรณ์อิเล็กทรอนิกส์ กลับมาใช้ใหม่เพื่อให้แน่ใจได้ว่าข้อมูลใด ๆ ที่อยู่ในอุปกรณ์ดังกล่าวได้ถูกลบทิ้งไปแล้ว โดยที่ไม่สามารถกู้ คืนกลบั มาใช้ไดอ้ ีก (4) การทำลายหรือนำกลับมาใช้ใหม่ของอุปกรณ์ต้องได้รับอนุญาตจากเจ้าของอุปกรณ์ก่อน เสมอ 7.2.8 อปุ กรณท์ ีไ่ ม่อยู่ระหว่างการใช้งาน (Unattended User Equipment) (1) ควรใช้งานซอฟต์แวร์รักษาจอภาพ (Screen Saver) โดยตั้งเวลาให้ทำการล็อคหน้าจอ เมอ่ื ไมม่ กี ารใช้งานหลงั จากนน้ั เมอื่ ต้องการใชง้ าน ผู้ใช้งานตอ้ งใส่รหสั ผา่ น (2) ทำการ log out ออกจากโปรแกรมใชง้ าน หรือ บรกิ ารระบบเครือข่ายเมอ่ื ไมใ่ ชง้ าน 7.2.9 (Clear Desk and Clear Screen ) (1) ขา้ ราชการ พนกั งานและลูกจา้ งต้องไม่ทง้ิ เอกสารหรอื สือ่ บันทึกข้อมลู และสารสนเทศที่ เปน็ “ช้ันลบั มาก” ไว้ในทส่ี ามารถพบเห็นได้ง่าย (Clear Desk) โดยจัดเก็บไว้ในท่ที ป่ี ลอดภยั นอกจากนีต้ ูจ้ ่าย เอกสารหรอื จดหมายและเคร่ืองโทรสารจะต้องไดร้ บั การดูแลให้ปลอดภัยดว้ ย (2) เมอ่ื สัง่ พิมพ์งานเอกสารทมี่ ีข้อมูลสำคญั ผู้ส่งั พมิ พต์ อ้ งทำการจัดเกบ็ เอกสารโดยทนั ที แนวปฏบิ ตั ิในการรักษาความมน่ั คงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ช่ัน : 1.0 40

สว่ นที่ 8 ความมั่นคงปลอดภัยสำหรบั การดำเนนิ งาน (Operations Security) 8.1 แนวปฏิบัติด้านขั้นตอนและความรับผิดชอบในการปฏิบัติงาน (Operational Procedures and Responsibilities ) เพื่อเป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศของรัฐสภา ในการบริหารจัดการ อปุ กรณป์ ระมวลผลสารสนเทศใหม้ ีความถกู ตอ้ งและปลอดภัย 8.1.1 ข้นั ตอนการปฏิบัตงิ านของระบบงาน (Documented Operating Procedures) (1) ต้องกำหนดให้มีการจัดทำคู่มือและขั้นตอนการปฏิบัติงานของระบบงานที่จำเป็นในการ ปฏิบัตงิ าน (2) จัดทำคู่มอื การแกป้ ญั หาระบบเพ่อื การแก้ไขปัญหาทรี่ วดเร็วข้นึ (3) จดั ทำคู่มอื ในการเฝ้าระวงั ระบบ (4) จัดทำรายชื่อผู้ติดต่อทั้งภายในและภายนอกที่เกี่ยวข้องของแต่ละระบบ ในกรณีที่ต้อง แก้ไขระบบในกรณีเรง่ ดว่ น 8.1.2 การเปล่ียนแปลงแก้ไขระบบสารสนเทศ (Change Management) (1) ในกรณีที่มีการเปลี่ยนแปลงแก้ไขระบบสารสนเทศ (Change management) ผู้ดูแล ระบบสารสนเทศนั้น ต้องทำการบันทึกรายละเอียดการเปลี่ยนแปลงแก้ไขที่สำคัญและแจ้งให้ผู้ที่เกี่ยวข้อง ทราบ (2) สำหรับการควบคุมการเปล่ียนแปลง ปรับปรงุ หรอื แกไ้ ขระบบสารสนเทศระบบเครือข่าย จะตอ้ ง ปฏบิ ตั ติ ามระเบียบการปฏบิ ัตงิ าน เรอ่ื งการจัดการกบั การแก้ไขเปลี่ยนแปลง (Change Management Procedure) (3) ก่อนทำการเปลี่ยนแปลงแก้ไขบนเครื่องให้บริการจริง (Production Machine) ต้องมี การวางแผน ทดสอบ และไดร้ บั การอนมุ ัติก่อนเสมอ (4) ต้องมีการจัดทำและทดสอบขั้นตอนในการย้อนกลับ (fallback procedure) ระบบใน กรณีท่กี ารเปลยี่ นแปลงไมส่ มบรู ณ์หรือเกิดปญั หา (5) ต้องมีการพิจารณาวิเคราะห์ผลกระทบจากการขอเปลี่ยนแปลงแก้ไขระบบ และหา แนวทางในการบรหิ ารจัดการผลกระทบนั้น ๆ (6) มีการจัดทำกระบวนการขอเปลี่ยนแปลงเร่งด่วน ในกรณีที่เกิดเหตุการณ์ที่ต้องการการ แกไ้ ขเปลยี่ นแปลงอย่างเรง่ ด่วน 8.1.3 การบริหารจดั การความตอ้ งการทรัพยากรสารสนเทศ (Capacity Management) แนวปฏิบตั ิในการรกั ษาความมั่นคงปลอดภยั ดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ น่ั : 1.0 41

โดยมีการกำหนดแนวทางในการเฝ้าระวังทรัพยากรระบบที่มีความสำคัญอย่างสม่ำเสมอ เพ่ือให้มั่นใจ วา่ ทรพั ยากรระบบมเี พยี งพอต่อความตอ้ งการใชง้ าน (1) มีการกำหนดแนวทางในการเฝ้าระวังและปรับค่าระบบ (Tuning) ตามความเหมาะสม เพอื่ เพิม่ ประสทิ ธิภาพในการทำงานของระบบ (2) มีการจัดทำแผนความต้องการทรัพยากร (Capacity Plan) สำหรับระบบที่มีความสำคัญ เพ่ือให้ม่นั ใจว่าระบบจะมที รัพยากรเพยี งพอต่อการใชง้ านเสมอ 8.1.4 การแยกเครื่องเพื่อการพัฒนา ทดสอบ และใช้งานจริง (Separation of Development, Testing and Operational Environments) (1) ต้องแยกเครื่องคอมพิวเตอร์ที่ใช้ในการพัฒนาระบบสารสนเทศออกจากเครื่องที่ทำงาน จรงิ หรือเคร่ืองใหบ้ ริการ (2) ในขน้ั ตอนการทดสอบระบบ ตอ้ งไมใ่ ชข้ อ้ มลู จริงทม่ี คี วามสำคญั ในการทดสอบ 8.2 แนวปฏิบัติด้านการปอ้ งกันซอฟต์แวร์ไม่ประสงค์ดี (Protection from Malware) เพื่อเป็นมาตรฐานด้าน ความมั่นคงปลอดภัยสารสนเทศของรัฐสภา ในการป้องกันสารสนเทศและอุปกรณป์ ระมวลผลสารสนเทศจาก ซอฟตแ์ วรไ์ ม่ประสงค์ดี การป้องกันซอฟต์แวร์และสารสนเทศของรัฐสภา ให้ปลอดภัยจากการถูกทำลายจากซอฟต์แวร์ที่ไม่ ประสงค์ดี (Controls against Malware) ต้องจัดให้มีการติดตัง้ และใช้งานซอฟต์แวร์ป้องกันไวรัส เพื่อป้องกันความเสียหายและการรั่วไหลของ ขอ้ มูลโดยมแี นวทางปฏบิ ตั ิ ดงั นี้ 8.2.1 ห้ามนำเครอ่ื งคอมพวิ เตอร์ซอฟต์แวรห์ รือข้อมูลท่ีไม่มั่นใจวา่ ติด malware มาตดิ ต้ังใชง้ าน 8.2.2 ควรสำรองข้อมูลสำคัญเก็บไว้ในที่ที่ปลอดภัย เช่น สื่อจัดเก็บข้อมูลแบบพกพาหรือบนเนื้อที่ Server ทรี่ ัฐสภาจดั สรรไวใ้ ห้ เพอ่ื ลดปญั หาการกู้คืนสภาพขอ้ มลู ทีถ่ ูกทำลายโดยไวรสั 8.2.3 ห้ามผใู้ ชง้ านปรบั แตง่ หรือยกเลกิ การทำงานของซอฟต์แวรป์ ้องกนั ไวรัส ทต่ี ิดต้ังใชง้ านในเคร่ือง คอมพิวเตอร์ตามที่รฐั สภาจัดหาให้ 8.2.4 ผใู้ ช้งานควรมีสว่ นร่วมในการบำรุงรักษาซอฟต์แวรป์ ้องกันไวรสั ทใี่ ช้ โดยตรวจสอบการ Update ซอฟต์แวร์ป้องกันไวรัสให้ทันสมัยอย่างสม่ำเสมอและแจ้งให้ผู้ดูแลระบบทราบ หากไม่สามารถ Update ซอฟตแ์ วรป์ ้องกันไวรสั ให้ทนั สมัยได้ 8.2.5 ผู้ใชง้ านควรแจ้งให้ผู้ดูแลระบบทราบ เม่อื พบวา่ คอมพวิ เตอรห์ รือซอฟต์แวร์ที่ใช้มีพฤติกรรมผิด ไปจากปกตหิ รอื เม่ือสงสัยว่ามกี ารตดิ ไวรสั แนวปฏบิ ัติในการรกั ษาความมั่นคงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอรช์ ัน่ : 1.0 42

8.3 แนวปฏิบัติด้านการสำรองข้อมูล (Backup ) เพื่อเป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศของ รัฐสภาในการปอ้ งกนั การสญู เสยี ขอ้ มูล การสำรองข้อมลู (Information Backup) มีแนวปฏิบตั ิ ดงั น้ี 8.3.1 ผู้ดแู ลระบบสารสนเทศท่สี ำคญั นั้น ๆ ตอ้ งสำรองขอ้ มลู ท่ีสำคญั เกบ็ ไว้ตามระยะเวลาทเี่ หมาะสม 8.3.2 ผู้ดูแลระบบต้องบันทึกรายละเอียดการสำรองข้อมูล โดยมีรายละเอียดเวลาเริ่มต้นและสิ้นสุด ชอื่ ผู้ทำการสำรองข้อมลู และชนดิ ของข้อมลู ท่ีบนั ทึก 8.3.3 กรณีที่เกิดการผิดพลาดในการสำรองข้อมูล ผู้สำรองข้อมูลต้องบันทึกรายละเอียดของ ข้อผิดพลาดที่เกิดข้ึนพรอ้ มแนวทางแก้ไข 8.3.4 ผู้ดูแลระบบต้องมีการสำรองข้อมูลภายนอกสำนักงานตามความเหมาะสม เพื่อให้สามารถกู้ ข้อมลู กลับคนื ไดป้ ้องกนั ระบบจากการถูกโจมตีหรือความเสยี หายทีอ่ าจเกดิ ขนึ้ 8.3.5 ผู้ดูแลระบบต้องควบคุมความปลอดภัยของข้อมูลที่สำรองตามชั้นความลับ โดยใช้เทคโนโลยีที่ เหมาะสมเพ่อื ป้องกนั ข้อมูลสำรองถกู เปิดเผย 8.4 แนวปฏิบัติด้านการเฝ้าระวังและบันทึกเหตุการณ์ (Logging and Monitoring ) เพื่อเป็นมาตรฐานด้าน ความมั่นคงปลอดภยั สารสนเทศของรฐั สภา ในการบนั ทึกเหตกุ ารณ์และรวบรวมหลักฐานทเ่ี กย่ี วขอ้ ง เพ่ือใช่ใน การตรวจสอบและวเิ คราะห์หาสาเหตุเพือ่ หามาตรการในการป้องกันในอนาคต 8.4.1 การบนั ทึกเหตุการณ์ (Event Logging) (1) ให้บันทึกกิจกรรมการใช้งานของผู้ใช้งาน การปฏิเสธการให้บริการของระบบและ เหตุการณ์ด้านความมั่นคงปลอดภัยอยา่ งสมำ่ เสมอ ตามระยะเวลาท่กี ำหนดไวซ้ ่ึงประกอบด้วย (1.1) User ID (1.2) วนั เวลาและรายละเอยี ดทสี่ ำคญั เชน่ การเข้าระบบและการออกจากระบบ (1.3) ระบุเครือ่ งปลายทางหรอื ท่ตี ัง้ (ถา้ ม)ี (1.4) บันทึกของการพยายามเข้าสู่ระบบท้งั สำเร็จและไมส่ ำเร็จหรือล้มเหลว (1.5) บันทึกของการพยายามเข้าสู่ข้อมูลและทรัพยากรทั้งสำเร็จและไม่สำเร็จหรือ ลม้ เหลว (1.6) การเปล่ยี นคา่ Configuration ของระบบ (1.7) การใช้สิทธพิ เิ ศษ เชน่ Administrator หรอื Root (1.8) การใชย้ ทู ิลิตี้และซอฟต์แวร์ประยกุ ต์ของระบบ (1.9) การเขา้ ถึงไฟล์และชนดิ ของการเขา้ ถึง (1.10) Network Address และ Protocol แนวปฏิบัติในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชัน่ : 1.0 43

(1.11) สัญญาณเตือนที่เพิ่มขึ้นโดยระบบการเข้าถึงหรือควบคุมการใช้งาน สารสนเทศ (1.12) การทำงานและไม่ทำงานของระบบการป้องกัน เช่น ระบบป้องกันไวรัส และ IDS (2) การตรวจสอบการใช้งานระบบ (Monitoring System Use) เพื่อตรวจสอบการใช้งาน สินทรัพย์สารสนเทศอย่างสม่ำเสมอโดยต้องมีการประเมินความเสี่ยงและปฏิบัติตามที่กฎหมายกำหนด มี แนวทางปฏบิ ตั ดิ งั น้ี (2.1) การระบุตัวตนในการเขา้ ถงึ ประกอบด้วย 1) User ID 2) วันเวลาและรายละเอียดที่สำคัญ 3) ชนิดของเหตุการณ์ 4) การเขา้ ถงึ ไฟล์ 5) ซอฟต์แวร์หรอื ยทู ลิ ติ ้ที ่ีใช้ (2.2) การดำเนนิ การเกี่ยวกบั สทิ ธิของผู้ใช้งาน 1) การใช้บัญชีผู้ใช้งานแบบสิทธิพิเศษ เช่น Administrator, Root หรือ Supervisor 2) การเรมิ่ ต้นและหยุดของระบบ 3) อปุ กรณ์ทีน่ ำมาเชือ่ มตอ่ (2.3) การพยายามเข้าถงึ ของผู้ทไ่ี มม่ สี ทิ ธิ 1) การล้มเหลวหรอื ยกเลิกของผูใ้ ช้งาน 2) การล้มเหลวหรือยกเลกิ การกระทำที่เก่ียวกบั ข้อมูลหรือทรัพยากรอน่ื ๆ 3) การฝ่าฝืนแนวปฏิบัติการเข้าถึงและการแจ้งเตือนของ Network Gateway และ Firewall 4) การแจ้งเตอื นของ IDS (2.4) ระบบแจง้ เตือนหรือความล้มเหลว 1) ศนู ยแ์ จง้ เตอื นหรือข้อความ 2) Log ของระบบท่มี กี ารยกเวน้ 3) การแจ้งเตอื นของ Network Management 4) สัญญาณเตือนที่เพิ่มขึ้นโดยระบบการควบคุมการเขา้ ถึงหรือควบคุมการ ใช้งาน แนวปฏบิ ัติในการรักษาความม่นั คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอร์ชนั่ : 1.0 44

(2.5) การเปลี่ยนแปลงหรือพยายามเปลี่ยนแปลงการตั้งค่าและการควบคุมระบบ รักษาความปลอดภยั (3) การบันทึกเหตุการณ์ข้อผิดพลาด (Fault Logging) การบันทึกเหตุการณ์ข้อผิดพลาด ตา่ ง ๆ ท่เี ก่ียวข้องกับการใช้งานสารสนเทศวเิ คราะหข์ อ้ ผิดพลาดเหลา่ น้นั และดำเนนิ การแก้ไขตามสมควร ดงั น้ี (3.1) ทบทวน Log ที่ผิดพลาดเพื่อความมั่นใจว่าความผิดพลาดน้ันได้มีการตัดสินใจ ทด่ี แี ล้ว (3.2) ทบทวนปริมาณ Log ที่มีการแก้ไขเพื่อความมั่นใจว่ามีการควบคุมที่เข้มงวด และกระทำไปตามสิทธทิ ีไ่ ด้รบั 8.4.2 การป้องกันข้อมูลบันทึกเหตุการณ์ (Protection of Log Information) เพื่อป้องกันการ เปล่ยี นแปลงหรอื การแกไ้ ขโดยไมไ่ ดร้ บั อนุญาตจึงควรพิจารณาเร่ืองดังตอ่ ไปนี้ (1) การเปลีย่ นแปลงชนดิ ของขอ้ ความทถี่ กู บนั ทกึ (2) Log ทถ่ี กู แกไ้ ขหรือถูกลบ (3) ความจขุ องพน้ื ที่ในการจดั เกบ็ Log ทไ่ี ม่เพยี งพอทำใหไ้ มส่ ามารถจัดเก็บ Log ได้ (4) ระยะเวลาในการจัดเกบ็ และการ Backup Log 8.4.3 บันทึกกิจกรรมการดำเนินงานของเจ้าหน้าที่ที่เกี่ยวข้องกับระบบ (Administrator and Operator Logs) กิจกรรมการดำเนินงานของเจ้าหน้าที่ที่เกี่ยวข้องกับระบบควรมีการเก็บ Log โดย Log เหล่าน้คี วรมีมาตรการในการป้องกัน และมีการสอบทานอยา่ งสมำ่ เสมอ Log ท่จี ะบันทึกประกอบด้วย (1) เวลาท่เี กิดเหตุการณท์ ้งั ทส่ี ำเรจ็ และล้มเหลว (2) ข้อมูลที่เกี่ยวกับเหตุการณ์ (เช่นไฟล์ที่เกี่ยวข้อง) หรือการล้มเหลว (เช่นความผิดพลาดที่ เกิดข้นึ และการแก้ไขต่าง ๆ) (3) บัญชผี ู้ใชง้ านและผ้ดู แู ลระบบหรือผู้ปฏิบัตกิ ารท่เี กย่ี วขอ้ ง (4) กระบวนการท่เี กย่ี วข้อง 8.4.4 การตั้งเวลาของเครื่องคอมพิวเตอร์ให้ตรงกัน (Clock Synchronization) การตั้งเวลาของ เครื่องคอมพิวเตอร์ทุกเครื่องในสำนักงานโดยการตั้งเวลาด้วย Network Time Protocol หรือ NTP ไปยัง เซิรฟ์ เวอรท์ ี่ใหบ้ ริการข้อมูลเวลาอยา่ งน้อยที่เปน็ Stratum 1 ใหต้ รงกนั โดยอ้างอิงจากแหล่งเวลาที่ถูกต้องเพื่อ ช่วยในการตรวจสอบช่วงเวลา หากเครื่องคอมพิวเตอร์ของรัฐสภา ถูกบุกรุกโดยสามารถอ้างอิงผู้ให้บริการ ดงั ตอ่ ไปน้ี ภายในฝ่ายรัฐสภา การตั้งเวลาของเครื่อง Server และเครื่องคอมพิวเตอร์ทุกเครื่องในรัฐสภา ให้ต้ัง เวลาดว้ ย Network Time Protocol (NTP) ไปยงั Server ที่ให้บริการขอ้ มูลเวลา คอื (1) clock1.cattelecom.com หรือ 10.9.1.19 แนวปฏบิ ัติในการรักษาความมนั่ คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอร์ช่นั : 1.0 45

(2) clock2.cattelecom.com หรือ 172.16.9.91 8.5 แนวปฏิบัติด้านควบคุมซอฟต์แวร์ปฏิบัติงาน (Control of Operational Software) เพื่อเป็นมาตรฐาน ด้านความมั่นคงปลอดภัยสารสนเทศของรฐั สภา ในการรกั ษาความสมบูรณ์ (Integrity) ของระบบปฏิบัตงิ าน 8.5.1 การควบคมุ การติดต้ังซอฟต์แวร์ (Installation of Software on Operational Systems) (1) ต้องมีการควบคุมการติดตั้งซอฟต์แวร์ใหม่ ซอฟต์แวร์ไลบาร่ี ซอฟต์แวร์อุดช่องโหว่ลงใน เครื่องที่ใช้งานหรือเครื่องให้บริการ โดยก่อนการติดตั้งในระบบจริงจะต้องผ่านการทดสอบการใช้งานมาเป็น อย่างดี ว่าไมก่ ่อใหเ้ กดิ ปัญหากบั เครือ่ งทใ่ี หบ้ รกิ ารอยู่ (2) มีการบริหารจัดการเวอร์ชั่นของซอฟต์แวร์ และมีการจัดเก็บซอฟต์แวร์เวอร์ช่ันก่อนหน้า ไวใ้ นกรณีท่มี คี วามจำเป็นตอ้ งทำการถอยกลับไปใชเ้ วอรช์ ัน่ ก่อนหนา้ นี้ 8.6 แนวปฏิบัติด้านการบริหารจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์ (Technical Vulnerability Management ) เพื่อเป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศของรัฐสภา ในการป้องกันการใช้ชอ่ ง โหว่ในฮาร์ดแวรแ์ ละซอฟตแ์ วร์เพอื่ หาผลประโยชนห์ รอื สร้างความเสียหายให้องค์กร 8.6.1 การบริหารจัดการช่องโหว่ในฮาร์ดแวร์และซอฟต์แวร์(Management of Technical Vulnerability) ต้องดำเนินการติดตามข้อมูลข่าวสารที่เกี่ยวข้องกับช่องโหว่ในระบบต่าง ๆ ที่ใช้งานประเมิน ความเสยี่ งของช่องโหว่เหล่าน้ัน รวมทั้งกำหนดมาตรการรองรับเพ่ือลดความเส่ียงดังกล่าว ซ่ึงมีแนวทางปฏิบัติ ดังต่อไปนี้ (1) ต้องกำหนดหน้าที่ความรับผิดชอบที่ชัดเจน เช่น การเฝ้าระวังภัยคุกคามการประเมิน ความเสย่ี งของภยั คุกคาม การ Patch ปิดช่องโหวใ่ นระบบการตรวจสอบสนิ ทรัพย์ที่ได้จัดสว่ นหมูไ่ ว้ เป็นตน้ (2) ต้องร่วมกันวิเคราะห์ความเสี่ยงและประเมินสถานการณ์การบุกรุก/ละเมิด/ระบาด ท่ี เกี่ยวข้องกบั ความมั่นคงปลอดภยั ระบบสารสนเทศทุก 6 เดอื น (3) ในกรณีที่จะทำการ Update Patch ของระบบสำคัญ ๆ ต้องมีการทดสอบและประเมิน ก่อนว่าจะไมก่ ่อใหเ้ กดิ ความเสยี หายตอ่ ระบบ แตถ่ ้าไมส่ ามารถ Update Patch ไดก้ ใ็ หพ้ จิ ารณาดงั ตอ่ ไปน้ี (3.1) ปิด Service หรือการทำงานทเี่ กี่ยวขอ้ งกบั ชอ่ งโหว่ (3.2) ปรับปรุงหรือเพิ่มระดับ Security ในการเข้าถึงที่บริเวณรอบนอกเครือข่าย เชน่ เพิม่ Firewall หรือ IPS (Intrusion Prevention System) เปน็ ตน้ (3.3) เพิม่ การเฝา้ ระวังเพอ่ื ตรวจจบั หรือป้องกันการโจมตเี ครือข่าย (3.4) สรา้ งความตระหนักเกย่ี วกบั ช่องโหวท่ ี่เกิดขนึ้ (3.5) เกบ็ Log ของเหตกุ ารณท์ ่ีเกิดขนึ้ ทงั้ หมดเพือ่ ใช้ในการตรวจสอบ แนวปฏิบตั ิในการรกั ษาความมน่ั คงปลอดภัยดา้ นสารสนเทศของรัฐสภา STD_PY_02 เวอรช์ ่นั : 1.0 46

(3.6) กระบวนการบริหารจัดการช่องโหว่ที่มีการดำเนินการ เช่น การเฝ้าระวังต้อง มน่ั ใจวา่ มีประสทิ ธภิ าพและประสทิ ธิผล (3.7) ระบบที่มีความเสี่ยงสูงจะต้องมีการเตรียมการเป็นอันดับแรกตามลำดับ ความสำคัญ 8.6.2 การจำกดั สิทธิในการติดต้งั ซอฟต์แวร์ (Restrictions on Software Installation) (1) ตอ้ งจัดทำรายการซอฟตแ์ วร์ทจ่ี ำเป็นสำหรับเคร่ืองผู้ใช้งาน เช่น PC, Laptop เปน็ ต้น (2) SOC Manager ตอ้ งทำการตรวจสอบและอนุมตั ริ ายการซอฟตแ์ วร์ทจ่ี ำเปน็ สำหรับเคร่ือง ผใู้ ชง้ าน เพ่อื จัดทำเป็นรายการซอฟต์แวร์ทีอ่ นญุ าตให้ใช้งานในองค์กร (Baseline) สำหรบั เคร่ืองผใู้ ชง้ านทว่ั ไป (3) ห้ามผู้ใช้งานทำการติดตั้งซอฟต์แวร์ที่เป็นการละเมิดลิขสิทธิ์ รวมถึงซอฟต์แวร์อื่น ๆ ที่ ไมไ่ ด้รับอนญุ าตใหใ้ ช้งานในองคก์ ร (4) หากผใู้ ช้งานต้องการติดต้ังซอฟต์แวร์ที่อยู่นอกเหนือรายการซอฟตแ์ วร์ท่ีอนญุ าตให้ใช้งาน ในองค์กร (Baseline) จะต้องทำการขออนุมัติตามระเบียบการปฏิบัติงาน เรื่องการจัดการกับการแก้ไข เปลี่ยนแปลง (Change Management Procedure) (5) การติดตั้งซอฟต์แวร์บนเครื่องผู้ใช้งานจะต้องกระทำโดยผู้ดูแลระบบเท่านั้น โดยผู้ดูแล ระบบตอ้ งทำการจำกดั สิทธใิ นการตดิ ตงั้ ซอฟต์แวรบ์ นเครื่องของผ้ใู ชง้ านอย่างเหมาะสม (6) ผู้ดูแลระบบจะตอ้ งทำการตรวจสอบการใชง้ านซอฟต์แวร์ทีไ่ ม่ได้รบั อนุญาตตามขั้นตอนท่ี กำหนดในระเบียบการปฏิบัติงาน เรื่อง การตรวจสอบซอฟต์แวร์ที่ไม่ได้รับอนุญาตให้ใช้งาน (Review of Disallow Software Usage Procedure) อยา่ งน้อยปลี ะ 1 คร้ัง 8.7 แนวปฏิบตั ิด้านการประเมินระบบสารสนเทศ (Information Systems Audit Considerations) เพื่อเป็น มาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศของรัฐสภา ในการบรรเทาผลกระทบต่อระบบปฏิบัติการอัน เน่ืองมาจากกิจกรรมตา่ ง ๆ ทเ่ี กิดจากกระบวนการตรวจสอบระบบ 8.7.1 มาตรการการตรวจประเมนิ ระบบสารสนเทศ (Information Systems Audit Controls) (1) ระบบงานสำคัญหรือระบบสารสนเทศที่มีข้อมูลความลับของรัฐสภา ต้องวางแผนการ ตรวจประเมินระบบทั้งหมด โดยการตรวจประเมินที่จะดำเนินการจะต้องมีผลกระทบต่อระบบและ กระบวนการดำเนนิ งานของรฐั สภานอ้ ยทส่ี ดุ (2) การตรวจสอบระบบสารสนเทศ จะตอ้ งไดร้ บั การอนมุ ตั ิใหด้ ำเนนิ การอยา่ งเป็นลายลักษณ์ อักษร โดยให้ปฏิบัติตามระเบียบปฏิบัติงาน เรื่องการจัดการช่องโหว่ (Vulnerability Management Procedure) แนวปฏบิ ัติในการรกั ษาความมั่นคงปลอดภยั ด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชน่ั : 1.0 47

8.7.2 การปอ้ งกันเคร่ืองมือสำหรับการตรวจประเมนิ ระบบสารสนเทศ (Protection of Information Systems Audit Tools) ต้องมีการกำหนดวิธีการปฏิบัติงานที่ชัดเจนในการใช้งานซอฟต์แวร์ที่ใช้ในการตรวจ ประเมินระบบ เพื่อป้องกันมิให้มีการนำซอฟต์แวร์ไปใช้ในทางที่ผิดหรือป้องกันข้อมูลสำคัญที่เป็นผลลัพธ์จาก การตรวจสอบโดยซอฟตแ์ วรน์ น้ั ๆ สว่ นท่ี 9 ความม่ันคงปลอดภยั ในการสื่อสารข้อมูล (Communications Security) 9.1 แนวปฏบิ ัติด้านการบริหารจัดการความมั่นคงปลอดภยั ของเครอื ข่าย (Network Security Management) เพื่อเป็นมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศของรัฐสภา ในการป้องกันสารสนเทศและอุปกรณ์ ประมวลผลสารสนเทศบนระบบเครือขา่ ยใหม้ คี วามมัน่ คงปลอดภยั 9.1.1 การป้องกันการใช้งานเครอื ขา่ ย (Network Controls) (1) ผ้ดู แู ลระบบต้องบริหารจัดการความมน่ั คงปลอดภยั ในเครอื ข่าย ซงึ่ มแี นวทางปฏิบัติดงั นี้ (1.1) ระบบเครือข่ายภายใน อุปกรณ์ที่ทำหน้าที่เชื่อมโยงกับระบบเครือข่าย เพื่อ การทำงานภายในรัฐสภา ไดแ้ ก่ Router, Switch และ HUB มีข้อปฏิบตั ดิ ังน้ี • อุปกรณ์ที่ทำหน้าที่ขยายการเชื่อมโยงเครือข่ายต้องปิด Service Port ที่ไม่จำเป็น และในการส่งข้อมูลการทำงานของอุปกรณ์เครือข่ายจะต้องไม่ใช้ค่า Default Community, Default Username และ Default Password • การเชื่อมโยงเครือข่ายเพื่อใช้งานระบบต่าง ๆ จะสามารถกระทำได้ก็ต่อเมื่อได้รับ อนุญาต • ผู้ดูแลระบบต้องมีแผนดำเนินการบำรุงรักษาและปรับปรุงเครือข่ายคอมพิวเตอร์ เพื่อใหส้ ามารถใช้งานได้ดอี ยเู่ สมอ • ผู้ดูแลระบบต้องติดตั้งอุปกรณ์ซอฟต์แวร์ระบบ การเข้ารหัสข้อมูลอัตโนมัติ หรือ ระบบอืน่ ใดทเี่ ก่ียวข้องกบั เครอื ข่ายคอมพิวเตอรต์ ลอดจนบำรงุ รกั ษาส่ิงต่าง ๆ ดงั กล่าวให้ใชง้ านได้ดอี ยู่เสมอ • ผู้ดูแลระบบจะต้องไม่ใช้อำนาจหน้าที่ของตนในการเข้าถึงข้อมูลลับหรือส่งผ่าน เครือขา่ ยคอมพิวเตอร์ซง่ึ ตนไม่มีสิทธใิ นการเข้าถงึ ขอ้ มลู นัน้ (1.2) ระบบ Remote Access อุปกรณ์ Remote Access Server (RAS) ทต่ี ดิ ต้งั ใช้ งานใน Remote Area หรือเพื่อการทำงานกับหน่วยงานภายนอก ได้แก่ Remote Access Server (RAS), Remote VPN, Remote Router มขี ้อปฏบิ ัติดังนี้ แนวปฏิบตั ิในการรักษาความมัน่ คงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_02 เวอร์ช่นั : 1.0 48

• อปุ กรณ์ RAS จะตอ้ งทำ Harden และบนั ทกึ การทำ Configuration Set up ของ อุปกรณ์ RAS ทุกครง้ั ท่ตี ดิ ตง้ั หรือเปลย่ี นแปลง • เม่อื เสรจ็ ส้นิ การทดสอบการใช้งานอุปกรณ์ RAS แลว้ ให้ลบ User/Password ท่ีใช้ ในงานทดสอบทนั ที • อุปกรณ์ RAS ที่สามารถ Management ทาง Remote Terminal ได้จะต้องไม่มี ค่า Default Community, Default Username และ Default Password (1.3) อุปกรณ์ Server ท่ีติดต้งั เพ่ือการทำงานภายในรัฐสภา มีขอ้ ปฏบิ ตั ดิ งั นี้ • ผ้ดู ูแลระบบต้องไมใ่ ช้ Default Username/Default Password • ต้องทำ Hardening และบันทึกการทำ Configuration Set up ของอุปกรณ์ Server และจัดทำเปน็ เอกสารทกุ ครง้ั ทต่ี ดิ ต้ังหรือเปลีย่ นแปลง • ให้เปดิ Service Port ที่จำเปน็ เท่าน้นั ส่วน Port ทไี่ มใ่ ชง้ านใหป้ ดิ ท้ังหมด และต้อง มีการบนั ทึกการตดิ ตง้ั Service Patch ทุกคร้งั • ต้องไม่เปิดเผย OS Version, Service Port, IP Address และ Service Patch Version ให้บุคคลทไ่ี มเ่ ก่ยี วขอ้ งทราบ • เมื่อจบการใชง้ านท่ี Console ตอ้ ง Log - off User นั้นโดยทนั ที • ผู้ดูแลระบบต้องสำรองข้อมูลและระบบปฏิบัติการอย่างน้อยเดือนละครั้ง และ ทดสอบการสำรองข้อมลู อยา่ งน้อยปีละ 2 ครงั้ โดยสอดคล้องกับความสำคญั ของระบบ (1.4) อปุ กรณ์ PC Terminal มีขอ้ ปฏิบัตดิ ังนี้ • ให้เปิด Service Port ที่จำเป็นเท่านั้นส่วน port ที่ไม่ใช้งานให้ทำการปิดให้หมด และตอ้ งมีการบันทกึ การติดต้งั Service Patch ทกุ คร้ัง • ต้องตดิ ตั้ง Protocol เฉพาะท่ีทำงานร่วมกับ Server เทา่ น้ัน • การ Remote Terminal Console เม่อื ไมใ่ ชง้ านแล้วจะต้อง Log off ทกุ คร้งั (2) การปอ้ งกนั การใชง้ านเครือขา่ ย (2.1) ห้ามนำอุปกรณ์เครือข่ายมาติดตั้งกับระบบเครือข่ายของรัฐสภา โดยไม่ได้รับ อนุญาต (2.2) ห้ามผู้ใช้งานเครือข่ายกระทำการใด ๆ ที่รบกวนระบบเครือข่าย เช่น การเปิด ใชง้ าน Service DHCP เพ่ือเช่ือมตอ่ เข้ากับระบบเครอื ข่ายของรฐั สภาเอง 9.1.2 ความมั่นคงปลอดภัยสำหรับการให้บริการเครือข่าย (Security of Network Services) ต้อง จดั ทำข้อกำหนดหรือขอ้ ตกลงของบรกิ ารเครือข่ายแต่ละประเภทที่ใชง้ านรว่ มกนั ซง่ึ มีแนวทางปฏิบตั ิ ดังนี้ แนวปฏบิ ตั ิในการรกั ษาความม่นั คงปลอดภัยด้านสารสนเทศของรัฐสภา STD_PY_02 เวอร์ช่นั : 1.0 49

(1) ผู้ดูแลระบบต้องมีวิธีการจำกัดสิทธิของผู้ใช้งาน เพื่อควบคุมให้สามารถใช้งานเฉพาะ เครอื ขา่ ยที่ไดร้ ับ อนญุ าตเทา่ นนั้ (2) ผ้ดู แู ลระบบต้องมีวิธีการจำกดั เสน้ ทางการเขา้ ถึงเครือข่ายท่ีมกี ารใช้งานร่วมกนั (3) ผู้ดูแลระบบต้องจัดให้มีวิธีเพื่อจำกัดการใช้เส้นทางบนเครือข่าย (Enforced Path) จาก เครอื่ งลูกขา่ ยไปยงั เครอ่ื งแมข่ า่ ย (4) ระบบเครือข่ายทั้งหมดของรัฐสภา ที่มีการเชื่อมต่อไปยังระบบเครือข่ายอื่น ๆ ภายนอก รัฐสภา ต้องมีการใช้อุปกรณ์หรือซอฟต์แวร์ในการทำ Packet Filtering เช่น การใช้ Firewall หรือฮาร์ดแวร์ อืน่ ๆ รวมทั้งตอ้ งมีความสามารถในการตรวจจับไวรัสดว้ ย (5) ต้องจำกัดจำนวนการเชื่อมต่อจากภายนอกเข้ามายังรัฐสภา และต้องกำหนดให้การ เชื่อมต่อนี้เข้ามายังเครื่องคอมพิวเตอร์ที่กำหนดไว้เฉพาะ และติดต่อกับระบบงานที่กำหนดไว้เท่านั้น หาก เป็นไปได้ควรกำหนดให้เครื่องคอมพิวเตอร์และระบบงานดังกล่าวแยกออกจากระบบเครือข่ายที่เป็นส่วนที่ใช้ งานจริงของ รัฐสภา ทั้งทาง Physical และ Logical และต้องไม่อนุญาตให้หน่วยงานภายนอกมีสิทธิเข้ามาใช้ คอมพิวเตอรห์ รือระบบงานเครือข่ายรฐั สภาได้โดยอิสระ 9.1.3 การแบ่งแยกเครือข่าย (Segregation in Networks) ผู้ดูแลระบบต้องจัดแบง่ ระหว่างเครอื ข่าย ภายในและเครือข่ายภายนอก (Segregation in Networks) โดยพิจารณาจากบริการเครือข่ายของกลุ่ม ผู้ใชง้ านท้งั สองฝา่ ย 9.2 แนวปฏิบัติด้านการแลกเปลี่ยนสารสนเทศ (Information Transfer) ในการรักษาไว้ซึ่งความมั่นคง ปลอดภัยในการแลกเปลย่ี นสารสนเทศทงั้ ภายในองค์กร และกบั หน่วยงานภายนอก 9.2.1 ขั้นตอนปฏิบัติสำหรับการแลกเปลี่ยนสารสนเทศ (Information Transfer Policies and Procedures) ขั้นตอนปฏิบัติและมาตรการสำหรับการถ่ายโอนสารสนเทศ เพื่อป้องกันปัญหาของการ แลกเปลี่ยนสารสนเทศระหวา่ งองคก์ ร โดยผ่านทางชอ่ งทางการส่ือสารทกุ ชนิด ควรพิจารณาดังต่อไปน้ี (1) การปอ้ งกนั จากการถูกดักจับคัดลอกแก้ไขสง่ ผดิ เส้นทางและการทำลายขอ้ มลู (2) การตรวจจบั และปอ้ งกัน Source Code ที่ไมพ่ งึ ประสงคซ์ ง่ึ อาจถูกส่งผ่านการสื่อสารทาง อิเลก็ ทรอนกิ ส์ (3) การป้องกันการสง่ ขอ้ มลู ทสี่ ำคญั ด้วยวธิ กี ารแนบเอกสาร (Attachment File) (4) แนวทางปฏิบตั ิต้องสอดคล้องกบั แนวทางความมั่นคงปลอดภยั ของอุปกรณ์ (Equipment Security) (5) การสอื่ สารไรส้ ายต้องคำนงึ ถึงความเส่ียงจะที่เกดิ ขึ้นดว้ ย แนวปฏบิ ตั ิในการรักษาความม่ันคงปลอดภัยด้านสารสนเทศของรฐั สภา STD_PY_02 เวอร์ชนั่ : 1.0 50