สวนที่ ๕ การควบคุมการเขา ถึงเครือขา ย (Network Access Control) ขอ ๔๔. มาตรการควบคมุ การเขา -ออกหองควบคมุ เครื่องคอมพวิ เตอรแ มข าย (Server) (๑) ผตู ิดตอจากหนว ยงานภายนอกทุกคน ตองทาํ การแลกบัตรท่ีใชระบุตัวตน เชน บตั รประชาชน หรือใบอนุญาตขบั ข่ี กับเจา หนา ทรี่ ักษาความปลอดภยั เพื่อรับบตั ร ผูต ดิ ตอ (Visitor) แลว ทําการลงบนั ทกึ ขอมูลลงในสมุดบนั ทึก ตามที่ระบุไวในเอกสาร “บันทึกการเขา ออกพื้นท่ี” (๒) ผตู ดิ ตอจากหนวยงานภายนอก ทนี่ าํ อปุ กรณค อมพิวเตอร หรอื อุปกรณท ี่ใชในการ ปฏบิ ัตงิ านมาปฏบิ ตั งิ านทหี่ องควบคมุ ระบบเครอื ขา ย ตองลงบนั ทกึ รายการอุปกรณ ในแบบฟอรมการขออนุญาตเขาออกตามทีร่ ะบุไวใ นเอกสาร “บนั ทกึ การเขา ออก พนื้ ท่ี” ใหถ ูกตองชดั เจน (๓) ผดู แู ลระบบ ตอ งตรวจสอบความถูกตองของขอมูลในสมุดบันทึก แบบฟอรมการ ขออนุญาตเขาออกกับเจาหนาที่รกั ษาความปลอดภยั เปน ประจําทุกเดือน ขอ ๔๕. ผูใ ชงานจะนาํ เครือ่ งคอมพวิ เตอร อุปกรณม าเช่ือมตอกับเคร่ืองคอมพิวเตอร ระบบ เครอื ขายของหนว ยงาน ตอ งไดร บั อนญุ าตจากหวั หนา หนวยงานและตองปฏิบัตติ ามนโยบายน้ีโดยเครง ครัด โดยผใู้ ชง้ านตอ้ งกรอกแบบฟอร์ม “การขอเชื�อมตอ่ เครือข่าย” โดยดาวน์โหลดผา่ น เวบ็ ไซตข์ องกระทรวง สาธารณสุข หวั ขอ้ Intranet สาธารณสุข ขอ ๔๖. การขออนุญาตใชง านพื้นท่ี Web Server ชื่อโดเมนยอ ย (Sub Domain Name) ทหี่ นวยงานรับผิดชอบอยู จะตองทาํ หนังสือขออนญุ าตตอหัวหนา หนวยงาน และจะตองไมต ิดตั้งโปรแกรม ใด ๆ ท่สี งผลกระทบตอการกระทาํ ของระบบและผใู ชง านอ่ืน ๆ ขอ ๔๗. หา มผูใ ดกระทําการเคลื่อนยาย ตดิ ต้งั เพิ่มเตมิ หรอื ทาํ การใด ๆ ตออุปกรณส ว นกลาง ไดแ ก อุปกรณจ ัดเสน ทาง (Router) อปุ กรณก ระจายสญั ญาณขอ มลู (Switch) อุปกรณทีเ่ ช่อื มตอกับระบบเครือขาย หลัก โดยไมไ ดร ับอนุญาตจากผดู แู ลระบบ ขอ ๔๘. ผูด แู ลระบบ ตอ งควบคุมการเขาถงึ ระบบเครือขาย เพอ่ื บริหารจัดการระบบเครือขา ยได อยา งมีประสทิ ธภิ าพ ดงั ตอ ไปน้ี (๑) ตอ งจาํ กัดสิทธก์ิ ารใชงานเพ่ือควบคมุ ผูใ ชง านใหสามารถใชงานเฉพาะระบบเครือขาย ทีไ่ ดรบั อนญุ าตเทานัน้ (๒) ตอ งจํากัดเสน ทางการเขาถึงระบบเครือขา ยทมี่ ีการใชงานรวมกัน (๓) ตองจํากัดการใชเ สนทางบนเครอื ขา ยจากเคร่ืองคอมพวิ เตอรไปยงั เครอ่ื งคอมพวิ เตอร แมขา ย เพ่ือไมใหผ ใู ชงานสามารถใชเ สนทางอนื่ ๆ ได 44
(๔) ระบบเครือขา ยทั้งหมดของหนวยงานท่ีมกี ารเชื่อมตอไปยงั ระบบเครือขายอ่ืน ๆ ภายนอกหนวยงานตองเชอ่ื มตอผา นอุปกรณป องกนั การบุกรุก รวมทงั้ ตอ งมี ความสามารถในการตรวจจับโปรแกรมประสงคราย (Malware) ดวย (๕) ระบบเครือขายตองตดิ ต้งั ระบบตรวจจบั การบกุ รกุ (Intrusion Prevention System/Intrusion Detection System) เพ่ือตรวจสอบการใชง านของบุคคลทเี่ ขา ใชงานระบบเครือขายของหนวยงานในลกั ษณะทผี่ ดิ ปกติ (๖) การเขาสรู ะบบเครือขา ยภายในหนว ยงาน โดยผานทางระบบอนิ เตอรเน็ตจาํ เปน ตอง มกี ารลงบันทึกเขาใชง าน (Login) โดยแสดงตัวตนดวยชื่อผใู ชง าน และตอ งมกี าร พิสูจนย นื ยนั ตัวตน (Authentication) ดว ยการใชรหัสผา น เพอ่ื ตรวจสอบความ ถกู ตองของผูใ ชงานกอนทกุ ครั้ง (๗) ตองปองกนั มใิ หห นวยงานภายนอกทเ่ี ชื่อมตอสามารถมองเหน็ IP Address ภายใน ของระบบเครือขา ยภายในของหนวยงาน (๘) ตองจดั ทาํ แผนผังระบบเครือขาย (Network Diagram) ซงึ่ มรี ายละเอยี ดเก่ียวกับ ขอบเขตของระบบเครือขา ยภายในและเครอื ขายภายนอก และอปุ กรณต า ง ๆ พรอมทง้ั ปรับปรุงใหเ ปน ปจจุบันอยูเสมอ (๙) การระบุอุปกรณบ นเครือขาย - ผดู ูแลระบบมกี ารเก็บบัญชกี ารขอเช่ือมตอ เครอื ขา ย ไดแ ก รายชอ่ื ผูข อใชบริการ รายละเอียด เครอ่ื งคอมพิวเตอรท ีข่ อใชบรกิ าร IP Address และสถานทต่ี ดิ ตัง้ - ผดู แู ลระบบตองจาํ กดั ผูใชงานท่สี ามารถเขา ใชอปุ กรณได - กรณีอุปกรณท ี่มกี ารเชื่อมตอ จากเครือขา ยภายนอก ตองมีการระบหุ มายเลข อปุ กรณวา สามารถเขาเชอ่ื มตอกบั เครือขายภายในไดห รือไมส ามารถเช่ือมตอได - อปุ กรณเครอื ขายตองสามารถตรวจสอบ IP Address ของท้ังตน ทางและ ปลายทางได - ผขู อใชบริการตองกรอกแบบฟอรม “การขอเช่ือมตอเครอื ขาย” โดยดาวนโหลด ผาน เวบ็ ไซตข องกระทรวงสาธารณสุข หัวขอ Intranet สาธารณสขุ - การเขา ใชงานอปุ กรณบ นเครือขายตองทําการพิสจู นตวั ตนทุกครงั้ ทีใ่ ชอ ปุ กรณ ขอ ๔๙. ผดู แู ลระบบ ตอ งบริหารควบคุมเคร่ืองคอมพวิ เตอรแ มขาย (Server) และรับผดิ ชอบในการ ดแู ลระบบคอมพิวเตอรแมขา ย (Server) ในการกาํ หนดแกไข หรอื เปลี่ยนแปลงคา ตาง ๆ ของซอฟตแวรระบบ (Systems Software) ขอ ๕๐. การตดิ ต้ังหรือปรบั ปรุงซอฟตแวรของระบบงานตองมีการขออนุมัติจากผดู แู ลระบบให ติดตัง้ กอนดาํ เนนิ การ 45
ขอ ๕๑. กาํ หนดใหมีการจัดเก็บซอรส โคด ไลบราร่ี และเอกสารสาํ หรับซอฟตแ วรข องระบบงาน ไวใ นสถานท่ีท่ีมีความม่ันคงปลอดภัย ขอ ๕๒. การจดั เก็บขอมลู จราจรทางคอมพวิ เตอร (Log) เพ่ือใหขอมลู จราจรทางคอมพวิ เตอร มคี วามถูกตองและสามารถระบุถงึ ตัวบคุ คลไดตามแนวทาง พ.ร.บ. คอมพิวเตอร ๒๕๕๐ ขอ ๕๓. กําหนดมาตรการควบคุมการใชง านระบบเครือขายและเคร่ืองคอมพิวเตอรแ มขา ย (Server) จากผูใชงานภายนอกหนว ยงาน เพื่อดแู ลรกั ษาความปลอดภยั ของระบบ ตามแนวทางปฏิบัติ ดังตอไปนี้ f. บคุ คลจากหนว ยงานภายนอกทต่ี องการสิทธใิ์ นการเขาใชงานระบบเครือขายและ เครอ่ื งคอมพวิ เตอรแ มขาย (Server) ของหนวยงานจะตองทาํ เร่ืองขออนญุ าตเปน ลายลกั ษณอักษร เพื่อขออนุญาตจากหวั หนาหนว ยงาน g. มีการควบคมุ ชองทาง (Port) ทใ่ี ชในการเขา สูระบบอยา งรดั กมุ h. วิธกี ารใด ๆ ทีส่ ามารถเขาสขู อมูล หรอื ระบบขอมลู ไดจ ากระยะไกลตองไดร ับการ อนุญาตจากหัวหนา หนวยงาน i. การเขาสรู ะบบจากระยะไกล ผใู ชงานตอ งแสดงหลักฐาน ระบเุ หตผุ ลหรือความ จําเปนในการดําเนนิ งานกับหนว ยงานอยา งเพียงพอ j. การเขาสูระบบเครือขายภายในและระบบสารสนเทศในหนวยงานจากระยะไกลตองมี การลงบนั ทึกเขาใชง าน (Login) โดยแสดงตวั ตนดวยชอื่ ผูใชงาน และตองมีการพิสจู น ยืนยนั ตวั ตน (Authentication) ดวยการใชร หัสผาน เพือ่ ตรวจสอบความถกู ตองของ ผูใ ชง านกอนทุกครั้ง ขอ ๕๔. กาํ หนดใหมีการแบง แยกเครอื ขา ย ดังตอไปน้ี c. Internet แบง แยกเครือขายเปน เครอื ขายยอย ๆ ตามอาคารตา ง ๆ เพ่ือควบคุมการ เขาถงึ เครือขายโดยไมไดรบั อนุญาต d. Intranet แบง เครือขา ยภายในและเครือขายภายนอก เพ่อื ความปลอดภัยในการใช งานระบบสารสนเทศภายใน ขอ ๕๕. กาํ หนดการปองกันเครือขา ยและอุปกรณต า ง ๆ ทเ่ี ชอื่ มตอ กับระบบเครือขา ยอยางชดั เจน และตอ งทบทวนการกําหนดคา Parameter ตา ง ๆ เชน IP Address อยางนอ ยปละ ๑ ครงั้ นอกจากน้ี การกําหนดแกไ ขหรอื เปล่ยี นแปลงคา parameter ตอ งแจงบุคคลท่ีเก่ยี วของใหร บั ทราบทุกคร้งั ขอ ๕๖. ระบบเครือขา ยทงั้ หมดท่มี กี ารเช่อื มตอ ไปยงั ระบบเครือขายอืน่ ๆ ภายนอกหนว ยงาน ตอ งเช่อื มตอ ผา นอปุ กรณปองกันการบุกรกุ หรือโปรแกรมในการทํา Packet filtering เชน การใชไฟรว อลล (Firewall) หรอื ฮารดแวรอ น่ื ๆ รวมทง้ั ตอ งมีความสามารถในการตรวจจับมัลแวร (Malware) ดว ย ขอ ๕๗. ตองมีการติดต้ังระบบตรวจจับการบุกรุก (IPS/IDS) เพ่อื ตรวจสอบการใชงานของบุคคล ที่ เขา ใชงานระบบเครอื ขายของหนว ยงาน ในลกั ษณะทีผ่ ิดปกติ โดยมกี ารตรวจสอบการบุกรกุ ผา นระบบ 46
เครือขาย การใชงานในลักษณะท่ีผิดปกติ และการแกไ ขเปลย่ี นแปลงระบบเครือขา ย โดยบุคคลทไ่ี มม ีอํานาจ หนาทเี่ กยี่ วของ ขอ ๕๘. IP address ของระบบงานเครอื ขา ยภายในจําเปนตอ งมกี ารปองกันมใิ หหนวยงานภายนอก ทเ่ี ชอ่ื มตอ สามารถมองเห็นได เพื่อเปน การปองกนั ไมใ หบุคคลภายนอกสามารถรูขอมลู เกย่ี วกับโครงสรางของ ระบบเครือขายไดโ ดยงา ย ขอ ๕๙. การใชเครอื่ งมือตาง ๆ (Tools) เพอ่ื การตรวจสอบระบบเครอื ขายตองไดรบั การอนมุ ัติจาก ผดู แู ลระบบและจาํ กัดการใชง านเฉพาะเทา ทจ่ี ําเปน สว นท่ี ๖ การควบคุมการเขาถงึ ระบบปฏบิ ตั ิการ (Operating System Access Control) ขอ ๖๐. ผดู แู ลระบบ ตอ งกําหนดการลงทะเบยี นบุคลากรใหมของหนว ยงาน (โดยปฏบิ ัตติ ามขอ ๘) ในการใชง านตามความจําเปน รวมท้งั ขัน้ ตอนปฏิบัติสําหรบั การยกเลิกสิทธ์ิการใชง าน (โดยปฏบิ ัติตามขอ ๑๐) เชน การลาออก หรอื การเปลยี่ นตําแหนง งานภายในหนว ยงาน เปน ตน ขอ ๖๑. กาํ หนดขนั้ ตอนการปฏิบัติเพ่ือเขาใชง าน (๑) ผใู ชง านตองกําหนดรหัสผา นในการใชง านเคร่อื งคอมพวิ เตอรที่รบั ผิดชอบ (๒) หลังจากระบบติดต้งั เสรจ็ ตอ งยกเลกิ บญั ชีผใู ชง านหรอื เปลีย่ นรหัสผา นของทุกรหัส ผใู ชงานท่ไี ดถ ูกกําหนดไวเร่มิ ตน ท่มี าพรอมกบั การตดิ ตง้ั ระบบทันที (๓) ผใู ชงานตอ งตงั้ คาการใชง านโปรแกรมถนอมหนาจอ (Screen saver) เพอ่ื ทําการ ลอ็ กหนา จอภาพเม่ือไมมีการใชง าน หลงั จากนนั้ เม่อื ตองการใชงานผูใชงานตอง ใสร หัสผา น (Password) เพอื่ เขาใชง าน (๔) กอนการเขา ใชร ะบบปฏิบตั กิ ารตอ งทาํ การลงบันทึกเขา ใชง าน (Login) ทกุ ครัง้ (๕) ผใู ชงานตอ งไมอนญุ าตใหผอู ืน่ ใชช อ่ื ผูใชงาน (Username) และรหัสผาน (Password) ของตนในการเขาใชงานเครือ่ งคอมพวิ เตอรข องหนว ยงานรวมกนั (๖) ผูใชงานตองทาํ การลงบันทึกออก (Logout) ทนั ทีเมอ่ื เลกิ ใชงานหรอื ไมอยทู ่ีหนาจอ เปนเวลานาน (๗) หามเปดหรอื ใชง านโปรแกรมประเภท Peer-to-Peer หรือโปรแกรมที่มีความเส่ยี ง เวน แตจ ะไดรบั อนญุ าตจากหัวหนา หนว ยงานกระทรวงสาธารณสุข (๘) ซอฟตแวรที่กระทรวงสาธารณสขุ ใชมีลิขสิทธ ผใู ชงานสามารถขอใชงานไดต าม หนา ท่ีความจาํ เปน และหามไมใหผใู ชงานทาํ การติดตั้งหรือใชงานซอฟตแ วรอนื่ ใด ทไี่ มมีลขิ สทิ ธิ์ หากตรวจพบ ถอื วาเปน ความผิดสวนบคุ คล ผูใชง านรบั ผิดชอบแตเ พียง ผูเดียว 47
(๙) ซอฟทแ วรท ีก่ ระทรวงสาธารณสขุ จัดเตรียมไวใ หผ ใู ชงาน ถือเปน สงิ่ จาํ เปน หามมใิ ห ผูใชง านทําการติดตง้ั ถอดถอนเปลี่ยนแปลง แกไข หรอื ทําสําเนาเพือ่ นําไปใชงาน ท่อี ่นื (๑๐) หา มใชทรัพยากรทกุ ประเภททเี่ ปน ของกระทรวงสาธารณสุข เพื่อประโยชนท าง การคา (๑๑) หา มผูใชงานนาํ เสนอขอมูลที่ผิดกฎหมาย ละเมิดลิขสิทธิ์ แสดงขอความรปู ภาพ ไมเหมาะสม หรอื ขัดตอ ศีลธรรม กรณผี ูใชงานสรางเว็บเพจบนเครอื ขายคอมพวิ เตอร (๑๒) หามผูใชง านของหนว ยงาน ควบคมุ คอมพิวเตอรหรอื ระบบสารสนเทศภายนอก โดยไมไดรับอนุญาตจากหวั หนา หนว ยงาน ขอ ๖๒. การระบแุ ละยนื ยันตวั ตนของผูใชงาน (User Identification and Authentication) กําหนดใหผใู ชงานแสดงตวั ตนดวยชอ่ื ผูใชงาน และตอ งมีการพสิ จู นย นื ยนั ตัวตนดวยการใชร หัสผาน เพือ่ ตรวจสอบความถูกตองของผใู ชง านกอนทุกครั้ง ขอ ๖๓. การใชง านโปรแกรมประเภทยทู ิลิต้ี (Use of system utilities) ตอ งจาํ กัดและควบคุมการ ใชง าน โปรแกรมยูทิลิตสี้ ําหรับโปรแกรมคอมพวิ เตอรท่ีสาํ คัญ เนื่องจากการใชง านโปรแกรมยูทิลิตบี้ างชนิด สามารถทาํ ใหผูใชหลีกเลย่ี งมาตรการปอ งกันทางดา นความมั่นคงปลอดภัยของระบบได เพ่ือปองกนั การละเมิด หรอื หลกี เลย่ี งมาตรการความมนั่ คงปลอดภัยที่ไดกําหนดไวห รือทมี่ ีอยแู ลว ใหด ําเนินการ ดงั นี้ (๑) การใชงานโปรแกรมยทู ลิ ิต้ี ตอ งไดรบั การอนุมัตจิ ากผูดูแลระบบ และตองมีการพสิ จู น ยืนยนั ตวั ตนสําหรบั การเขาไปใชง านโปรแกรมยูทิลิต้ี เพ่อื จํากัดและควบคมุ การ ใชง าน (๒) โปรแกรมยทู ิลิตท้ี นี่ าํ มาใชงานตอ งไมละเมดิ ลขิ สทิ ธิ์ (๓) ตอ งจดั เก็บโปรแกรมยูทิลิต้ีออกจากซอฟตแ วรส ําหรบั ระบบงาน (๔) มกี ารจาํ กัดสิทธผิ์ ูท่ีไดรับอนุญาตใหใชงานโปรแกรมยูทิลติ ี้ (๕) ตอ งยกเลิกหรือลบทิ้งโปรแกรมยทู ลิ ติ แี้ ละซอฟตแ วรท ่ีเกีย่ วของกับระบบงานท่ีไมม ี ความจาํ เปนในการใชง าน รวมทง้ั ตองปองกันไมใ หผูใชงานสามารถเขาถึงหรอื ใชง าน โปรแกรมยทู ิลติ ีไ้ ด ขอ ๖๔. การกาํ หนดเวลาใชงานระบบสารสนเทศ (Session time-out) (๑) กําหนดใหร ะบบสารสนเทศมกี ารตัดและหมดเวลาการใชงาน รวมทั้งปด การใชง าน ดวย หลงั จากทไ่ี มมกี ิจกรรมการใชง านชวงระยะเวลา ๑๕ นาที (๒) กาํ หนดใหร ะบบสารสนเทศมกี ารตัดและหมดเวลาการใชงานท่ีสน้ั ขน้ึ สาํ หรับระบบ สารสนเทศท่ีมีความเส่ยี งสูง ขอ ๖๕. การจาํ กัดระยะเวลาการเช่อื มตอระบบเทคโนโลยสี ารสนเทศ (Limitation of connection time) 48
(๑) กําหนดใหระบบเทคโนโลยีสารสนเทศมกี ารจาํ กัดระยะเวลาการเช่ือมตอสําหรับการ ใชง านเพ่ือใหผ ูใ ชงานสามารถใชง านไดนานทีส่ ดุ ภายในระยะเวลาทีก่ ําหนด และ กาํ หนดใหใชง านไดต ามชวงเวลาการทํางานที่หนวยงานกาํ หนดเทา นั้น (๒) กาํ หนดใหร ะบบเทคโนโลยสี ารสนเทศ ทมี่ คี วามสาํ คัญสงู ระบบงานที่มีการใชงานใน สถานที่ทม่ี คี วามเส่ยี ง (ในที่สาธารณะหรือพืน้ ทภ่ี ายนอกหนวยงาน) มีการจาํ กดั ชว ง ระยะเวลาการเชื่อมตอ สว นท่ี ๗ การควบคุมการเขา ถึงโปรแกรมประยุกตหรือแอพพลเิ คชนั่ และสารสนเทศ (Application and Information Access Control) ขอ ๖๖. ผดู ูแลระบบ ตองกําหนดการลงทะเบียนผูใชงานใหม (โดยปฏบิ ตั ติ ามขอ ๘) ในการใชงาน ตามความจําเปน รวมทัง้ ขัน้ ตอนปฏิบัตสิ าํ หรบั การยกเลกิ สิทธก์ิ ารใชง าน (โดยปฏบิ ัตติ ามขอ ๑๐) เชน การ ลาออก หรอื การเปล่ียนตาํ แหนงงานภายในหนว ยงาน เปนตน ขอ ๖๗. ผูดูแลระบบ ตองกําหนดสทิ ธ์ิการใชง านระบบเทคโนโลยสี ารสนเทศที่สําคัญ เชน ระบบคอมพวิ เตอรโ ปรแกรมประยุกต (Application) จดหมายอเิ ล็กทรอนิกส (E-Mail) ระบบเครือขายไรสาย (Wireless LAN) ระบบอินเตอรเ นต็ (Internet) เปนตน โดยตอ งใหส ทิ ธเ์ิ ฉพาะการปฏบิ ัติงานในหนา ท่ี และตอ งไดร ับความเหน็ ชอบจากหวั หนา หนว ยงานเปนลายลักษณอ ักษร รวมทงั้ ตองทบทวนสทิ ธดิ์ ังกลา ว อยา งสมํ่าเสมอ ขอ ๖๘. ผดู แู ลระบบ ตองกาํ หนดระยะเวลาในการเชือ่ มตอระบบสารสนเทศ ที่ใชในการปฏิบตั งิ าน ระบบสารสนเทศตา ง ๆ เมอื่ ผใู ชง านไมม ีการใชง านระบบสารสนเทศ เกิน ๑๕ นาที ระบบจะยตุ กิ ารใชง าน ผูใชง านตอ งทําการการลงบันทกึ เขา ใชงาน (Login) กอ นเขา ระบบสารสนเทศอีกครัง้ ขอ ๖๙. ผดู แู ลระบบ ตองบรหิ ารจดั การสทิ ธก์ิ ารใชง านระบบและรหัสผา นของบคุ ลากรดังตอไปน้ี (๑) กําหนดการเปล่ยี นแปลงและการยกเลิกรหสั ผาน (Password) เม่อื ผใู ชง านระบบ ลาออก หรือพนจากตาํ แหนง หรือยกเลิกการใชง าน (๒) กาํ หนดใหผ ูใชงานไมบ นั ทึกหรอื เก็บรหัสผา น (Password) ไวใ นระบบคอมพิวเตอร ในรูปแบบท่ีไมไ ดป องกันการเขาถึง (๓) กาํ หนดชอื่ ผูใชง านหรือรหสั ผใู ชง านตอ งไมซาํ้ กัน (๔) ในกรณมี ีความจําเปนตอ งใหสิทธพ์ิ เิ ศษกับผใู ชงานที่มีสิทธ์ิสูงสดุ ผใู ชงานนนั้ จะตอง ไดรับความเหน็ ชอบและอนุมัติจากหัวหนาหนวยงาน โดยมกี ารกาํ หนดระยะเวลา การใชง านและระงบั การใชงานทนั ทเี มอ่ื พน ระยะเวลาดังกลาวหรือพน จากตําแหนง และมกี ารกําหนดสทิ ธิพ์ เิ ศษท่ีไดร ับวาเขา ถึงไดถงึ ระดบั ใดไดบ า ง และตองกําหนดให รหัสผใู ชง านตางจากรหสั ผใู ชงานตามปกติ 49
ขอ ๗๐. ผูดูแลระบบ ตอ งบรหิ ารจัดการการเขาถึงขอมูลตามประเภทชนั้ ความลับในการควบคมุ การ เขาถึงขอ มูลแตละประเภทช้นั ความลบั ท้ังการเขาถึงโดยตรงและการเขาถงึ ผานระบบงาน รวมถงึ วธิ กี ารทําลาย ขอ มูลแตละประเภทชนั้ ความลับ ดังตอ ไปนี้ (๑) ตอ งควบคมุ การเขา ถึงขอมลู แตล ะประเภทชัน้ ความลับท้งั การเขาถึงโดยตรงและ การเขาถึงผา นระบบงาน (๒) ตองกําหนดรายชือ่ ผใู ชงาน (Username) และรหัสผา น (Password) เพ่ือใชใน การตรวจสอบตวั ตนจริงของผูใชง านขอมลู ในแตล ะชัน้ ความลบั ของขอ มูล (๓) กาํ หนดระยะเวลาการใชงานและระงบั การใชง านทันทีเม่ือพนระยะเวลาดังกลาว (๔) การรบั สง ขอมูลสําคญั ผานระบบเครอื ขายสาธารณะ ควรไดร บั การเขา รหัส (Encryption) ท่เี ปนมาตรฐานสากล เชน SSL, VPN หรอื XML Encryption เปนตน (๕) กาํ หนดการเปล่ยี นรหัสผา น (Password) ตามระยะเวลาท่ีกาํ หนดของระดับ ความสําคญั ของขอมูล (๖) กาํ หนดมาตรการรักษาความมน่ั คงปลอดภัยของขอ มูลในกรณที ีน่ ําสนิ ทรัพยอ อก นอกหนวยงาน เชน บํารุงรักษา ตรวจซอม ใหดําเนนิ การสํารองและลบขอ มลู ท่ีเกบ็ อยูในสือ่ บนั ทกึ กอน เปนตน ขอ ๗๑. ระบบซงึ่ ไวตอ การรบกวน มีผลกระทบและมีความสาํ คญั สงู ใหป ฏบิ ัติดังน้ี (๑) แยกระบบที่ไวตอ การรบกวนออกจากระบบงานอน่ื ๆ (๒) มกี ารควบคมุ สภาพแวดลอมของตนเอง โดยมีหองปฏบิ ัตงิ านแยกเปน สดั สว น (๓) มีการกาํ หนดสิทธ์ใิ หเ ฉพาะผูทมี่ สี ิทธใิ์ ชระบบเทานั้น ขอ ๗๒. การใชง านอุปกรณคอมพิวเตอรแ ละสื่อสารเคลื่อนที่ ตองปฏบิ ัตดิ งั ตอ ไปนี้ (๑) ตรวจสอบความพรอมของคอมพิวเตอร และอุปกรณท จ่ี ะนําไปใชงานวา อยูในสภาพ พรอมใชงานหรือไม และตรวจสอบโปรแกรมมาตรฐานวา ถูกตองตามลิขสทิ ธิ์ (๒) ระมดั ระวังไมใหบคุ คลภายนอกคัดลอกขอมลู จากคอมพิวเตอรท น่ี าํ ไปใชไ ด เวนแต ขอมลู ท่ีไดมีการเผยแพรเ ปนการทั่วไป (๓) เมอ่ื หมดความจาํ เปน ตองใชอุปกรณคอมพิวเตอรและสือ่ สารเคลอื่ นที่แลว ใหร บี นํา สงคนื เจา หนา ทีท่ ่ีรับผดิ ชอบทันที (๔) เจาหนาท่ีผูรบั ผิดชอบในการรับคนื ตองตรวจสอบสภาพความพรอ มใชงานของ อปุ กรณคอมพวิ เตอรและส่อื สารเคล่อื นที่ที่รับคืนดวย (๕) หากปรากฎวาความเสียหายที่เกิดขน้ึ นั้นเกิดจากความประมาทอยา งรา ยแรงของ ผูน าํ ไปใช ผูนาํ ไปใชต องรบั ผิดชอบตอ ความเสยี หายท่เี กิดข้ึน 50
สวนที่ ๘ การบรหิ ารจัดการซอฟตแ วรและลิขสทิ ธ์ิ และการปอ งกันโปรแกรมไมประสงคดี (Software Licensing and intellectual property and Preventing MalWare) ขอ ๗๓. กระทรวงสาธารณสุข ไดใหความสําคัญตอเรอ่ื งทรพั ยสนิ ทางปญญา ดังน้ันซอฟตแ วรท่ี หนว ยงานอนญุ าตใหใชง านหรอื ทห่ี นว ยงานมีลิขสิทธิ์ ผใู ชง านสามารถขอใชงานไดต ามหนา ทค่ี วามจําเปน และ หา มไมใหผ ูใชงานทําการติดตั้งหรอื ใชง านซอฟตแ วรอ ื่นใดท่ีไมมลี ขิ สิทธ์ิ หากมกี ารตรวจสอบพบความผิดฐาน ละเมิดลขิ สทิ ธิ์ ถอื วา เปน ความผิดสวนบคุ คล ผใู ชงานจะตองรับผดิ ชอบแตเพียงผูเดียว ขอ ๗๔. ซอฟตแ วร (Software) ทหี่ นวยงานไดจ ัดเตรยี มไวใหผูใ ชง าน ถือเปน ส่ิงจาํ เปนตอการทาํ งาน หา มมิใหผ ูใ ชงานทาํ การ ถอดถอน เปลี่ยนแปลง แกไข หรือทําสําเนาเพื่อนําไปใชงานท่ีอ่ืน ๆ ยกเวนไดรับการ อนญุ าตจากหวั หนาหนว ยงานหรือผทู ไ่ี ดรับมอบหมายทม่ี สี ิทธใิ์ นลิขสทิ ธ์ิ ขอ ๗๕. คอมพิวเตอรข องผูใชงานตดิ ตั้งโปรแกรมปองกนั ไวรสั คอมพิวเตอร (Anti virus) ตามที่ หนว ยงานไดป ระกาศใหใช เวนแตคอมพวิ เตอรนัน้ เปน เครื่องเพ่ือการศกึ ษา โดยตองไดรับอนญุ าตจากหวั หนา หนว ยงาน ขอ ๗๖. บรรดาขอ มูล ไฟล ซอฟตแวร หรอื สงิ่ อ่นื ใด ท่ไี ดร บั จากผใู ชง านอ่ืนตองไดร ับการตรวจสอบ ไวรัสคอมพวิ เตอรแ ละโปรแกรมไมป ระสงคด ีกอนนํามาใชง านหรอื เกบ็ บนั ทึกทุกคร้ัง ขอ ๗๗. ผูใชงานตอ งทาํ การปรบั ปรงุ ขอมูล สาํ หรบั ตรวจสอบและปรับปรงุ ระบบปฏิบตั กิ าร (Update patch) ใหใ หมเ สมอ เพ่ือเปน การปองกันความเสยี หายทอี่ าจเกดิ ขึน้ ขอ ๗๘. ผูใชงานตอ งพึงระวังไวรสั และโปรแกรมไมประสงคด ีตลอดเวลา รวมทง้ั เมื่อพบส่งิ ผิดปกติ ผูใชงานตองแจงเหตุแกผ ดู ูแลระบบ ขอ ๗๙. เมอื่ ผูใ ชงานพบวา เครอ่ื งคอมพวิ เตอรตดิ ไวรสั ผูใ ชงานตองไมเชอื่ มตอเครอ่ื งคอมพวิ เตอร เขา สูเครอื ขาย และตอ งแจง แกผดู แู ลระบบ ขอ ๘๐. หามลกั ลอบทําสําเนา เปล่ียนแปลง ลบท้ิง ซง่ึ ขอมลู ขอความ เอกสาร หรือสิ่งใด ๆ ทเ่ี ปน สนิ ทรัพยของหนว ยงาน หรอื ของผูอน่ื โดยไมไดร ับอนุญาตจากหัวหนา หนวยงาน ขอ ๘๑. หา มทาํ การเผยแพรไวรัสคอมพิวเตอร มลั แวร หรอื โปรแกรมอันตรายใด ๆ ท่ีอาจกอใหเกิด ความเสยี หายมาสสู นิ ทรัพยของหนวยงาน สทิ ธท์ิ ่จี ะพัฒนาโปรแกรมหรอื ฮารด แวรใ ด ๆ สามารถดําเนินการได แตต องไมด าํ เนนิ การดงั น้ี (๑) พฒั นาโปรแกรมหรือฮารด แวรใ ด ๆ ท่จี ะทําลายกลไกรักษาความปลอดภยั ระบบ รวมท้ังการกระทําในลกั ษณะเปน การแอบใชรหสั ผา น การลกั ลอบทาํ สาํ เนาขอมูล บุคคลอ่นื หรือแกะรหัสผานของบคุ คลอนื่ (๒) พัฒนาโปรแกรมหรือฮารดแวรใ ด ๆ ซงึ่ ทําใหผใู ชงานมีสิทธแ์ิ ละลําดับความสาํ คญั ในการครอบครองทรพั ยากรระบบมากกวา ผใู ชงานอืน่ 51
(๓) พฒั นาโปรแกรมใดทีจ่ ะทาํ ซํา้ ตวั โปรแกรมหรอื แฝงตวั โปรแกรมไปกับโปรแกรมอืน่ ในลักษณะเชนเดยี วกบั หนอนหรอื ไวรสั คอมพวิ เตอร (๔) พัฒนาโปรแกรมหรือฮารด แวรใด ๆ ท่ีจะทาํ ลายระบบจาํ กัดสิทธกิ ารใช (License) ซอฟตแวร (๕) นาํ เสนอขอมูลทผ่ี ดิ กฎหมาย ละเมิดลิขสิทธแ์ิ สดงขอ ความรูปภาพไมเ หมาะสม หรอื ขัดตอ ศลี ธรรมประเพณีอันดงี ามของประเทศไทย กรณที ่ผี ใู ชง านสรางเวบ็ เพจ บนเครอื ขายคอมพิวเตอร ขอ ๘๒. การพัฒนาซอฟตแ วรโดยหนว ยงานภายนอก (Outsourced software development) (๑) จดั ใหม กี ารควบคมุ โครงการพัฒนาซอฟตแวรโ ดยผรู บั จา งใหบ ริการจากภายนอก (๒) พิจารณาระบุวา ใครจะเปนผมู ีสิทธใ์ิ นทรพั ยสินทางปญญาสาํ หรบั ซอรส โคด ในการพฒั นาซอฟตแวรโ ดยผูรบั จา งใหบ รกิ ารจากภายนอก (๓) พิจารณากาํ หนดเรอ่ื งการสงวนสิทธท์ิ จ่ี ะตรวจสอบดา นคณุ ภาพและความถูกตอ งของ ซอฟตแ วรท่ีจะมกี ารพฒั นาโดยผูใหบรกิ ารภายนอก โดยระบไุ วใ นสญั ญาจางท่ี ทํากับผใู หบ รกิ ารภายนอกนั้น (๔) ใหม กี ารตรวจสอบโปรแกรมไมประสงคด ี ในซอฟตแวรต าง ๆ ที่จะทาํ การตดิ ตงั้ กอ นดาํ เนนิ การตดิ ตงั้ (๕) หลังจากการสง มอบการพฒั นาซอฟแวรจ ากหนว ยงานภายนอก หนวยงานตอง ดําเนนิ การเปลยี่ นรหัสผานตา ง ๆ สว นที่ ๙ การปฏบิ ัตงิ านจากภายนอกสาํ นักงาน (Teleworking) ขอ ๘๓. ตองมกี ารตรวจสอบวา อุปกรณท เ่ี ปน ของสวนตวั ซง่ึ ใชในการเขา ถึงระบบเทคโนโลยี สารสนเทศของหนวยงานจากระยะไกลมกี ารปองกันไวรัสและการใชง านไฟรวอลลตามที่หนวยงานกาํ หนด ขอ ๘๔. ตอ งมกี ารจัดเตรยี มอุปกรณสําหรบั การปฏบิ ตั งิ านจากระยะไกล การจดั เกบ็ ขอมลู และ อปุ กรณส ื่อสารไวใหกบั ผูใ ชงานจากระยะไกล ขอ ๘๕. ผใู ชงานจากระยะไกลทุกคน ตอ งผานการพสิ ูจนตัวตน เพื่อเพิ่มความปลอดภัยจะตองมี การตรวจสอบ เชน รหัสผา น หรอื วธิ กี ารเขา รหัส เปน ตน ขอ ๘๖. ไมอ นุญาตใหใ ชงานอุปกรณท ่ีเปน ของสวนตัวเพ่ือเขาถงึ ระบบเทคโนโลยสี ารสนเทศของ หนวยงานจากระยะไกล หากอุปกรณดงั กลา วไมอยภู ายใตการควบคุมตามนโยบายความมน่ั คงปลอดภยั ของ หนวยงาน ขอ ๘๗. ตอ งกําหนดชนิดของงาน ชว่ั โมงการทํางาน ชั้นความลบั ของขอ มลู ระบบงานและบริการ ตางๆ ของหนว ยงานที่อนุญาตและไมอนญุ าตใหป ฏบิ ัติงานจากระยะไกล 52
ขอ ๘๘. ตองกําหนดขั้นตอนปฏิบตั ิสาํ หรับการขออนุมัติ การขอยกเลกิ การกาํ หนดหรือปรับปรงุ สทิ ธกิ์ ารเขาถึงระบบงาน และการคืนอุปกรณทีใ่ ชป ฏิบตั ิงานจากระยะไกล สวนที่ ๑๐ การควบคุมการเขาถึงระบบเครอื่ ขา ยไรส าย (Wireless LAN Access Control) ขอ ๘๙. ผดู แู ลระบบ ตองควบคุมสญั ญาณของอปุ กรณกระจายสัญญาณแบบไรสาย (Access Point) ใหร ว่ั ไหลออกนอกพ้ืนท่ีใชงานระบบเครอื ขายไรส ายนอยท่ีสดุ ขอ ๙๐. ผูดแู ลระบบ ตองทําการเปลยี่ นคา SSID (Service Set Identifier) ท่ถี กู กาํ หนดเปน คา โดยปรยิ าย (Default) มาจากผผู ลิตทนั ทที ่ีนําอุปกรณก ระจายสญั ญาณแบบไรส าย (Access Point) มาใชงาน และกําหนดใหซ อน SSID (Service Set Identifier) ขอ ๙๑. ผูด ูแลระบบ ตอ งกาํ หนดคา Wireless Security เปนแบบ WEP (Wired Equivalent Privacy) หรือ WPA (Wi-Fi Protected Access) ในการเขารหัสขอมลู ระหวาง Wireless LAN Client และ อปุ กรณกระจายสัญญาณแบบไรส าย (Access Point) และกําหนดคาใหไมแสดงช่ือระบบเครือขายไรส าย ขอ ๙๒. ผดู ูแลระบบ เลอื กใชว ิธีการควบคุม MAC Address (Media Access Control Address) และช่ือผใู ชง าน (Username) รหสั ผา น (Password) ของผูใชงานท่มี ีสทิ ธใ์ิ นการเขาใชง านระบบเครือขาย ไรส าย โดยจะอนญุ าตเฉพาะอปุ กรณท ่มี ี MAC address (Media Access Control Address) และชือ่ ผูใชงาน (Username) และรหัสผา น (Password) ตามทก่ี าํ หนดไวเ ทาน้ันใหเ ขา ใชร ะบบเครอื ขา ยไรส ายไดอยา งถูกตอง ขอ ๙๓. ผูดแู ลระบบ ตองมีการติดต้ังไฟรว อลล (Firewall) ระหวา งระบบเครือขา ยไรสายกบั ระบบ เครอื ขายภายในหนว ยงาน ขอ ๙๔. ผดู แู ลระบบ ควรกาํ หนดใหผ ูใ ชง านในระบบเครือขายไรส ายติดตอสอื่ สารกับเครือขา ย ภายในหนวยงานผา นทาง VPN (Virtual Private Network) เพ่ือชว ยปองกนั การบุกรุกในระบบเครือขาย ไรส าย ขอ ๙๕. ผดู แู ลระบบ ตองทาํ การลงทะเบียนอปุ กรณทกุ ตัวทีใ่ ชตดิ ตอระบบเครือขายไรส าย ขอ ๙๖. ผูด แู ลระบบ ตองใชซ อฟตแวรหรอื ฮารดแวรต รวจสอบความมัน่ คงปลอดภัยของระบบ เครือขายไรสายเพ่ือคอยตรวจสอบและบนั ทกึ เหตุการณท ่ีนา สงสยั เกิดขึ้นในระบบเครือขายไรส าย และจดั สง รายงานผลการตรวจสอบทุก ๓ เดอื น และในกรณที ี่ตรวจสอบพบการใชงานระบบเครือขายไรส ายทผ่ี ดิ ปกติ ใหผ ดู แู ลระบบ รายงานตอ หัวหนา หนวยงานทราบทนั ที ขอ ๙๗. ผูดแู ลระบบ ตอ งควบคุมดูแลไมใหบุคคลหรือหนว ยงานภายนอกที่ไมไดร ับอนญุ าต ใชงาน ระบบเครือขา ยไรสายในการเขาสรู ะบบอินทราเน็ต (Intranet) และฐานขอ มูลภายในตาง ๆ ของหนวยงาน ขอ ๙๘. ผใู ชงานท่ตี องการเขาถงึ ระบบเครือขายไรสายของกระทรวงสาธารณสุข จะตอ งทาํ การ ลงทะเบียนกบั ผูดแู ลระบบและตองไดรับพิจารณาอนญุ าตจากหัวหนาหนว ยงานอยา งเปน ลายลักษณอักษร 53
ขอ ๙๙. ผดู แู ลระบบ ตอ งทาํ การลงทะเบยี นกาํ หนดสิทธผ์ิ ใู ชง านในการเขาถึงระบบเครอื ขายไรส าย ใหเหมาะสมกบั หนาท่ีความรับผิดชอบในการปฏิบตั งิ าน กอนเขาใชร ะบบเครือขา ยไรส าย รวมทงั้ มีการทบทวน สิทธกิ์ ารเขาถึงอยา งสมํา่ เสมอ ทัง้ น้ี จะตองไดรบั อนุญาตจากผดู ูแลระบบตามความจาํ เปนในการใชง าน สว นที่ ๑๑ การควบคุมการใชง านอุปกรณป องกนั เครอื ขา ย (Firewall Control) ขอ ๑๐๐. หนวยงานมหี นาทีใ่ นการบรหิ ารจดั การ การตดิ ต้ังและกาํ หนดคาของ Firewall ท้งั หมด ขอ ๑๐๑. การกําหนดคาเรมิ่ ตน ของ Firewall ตองกําหนดเปน ปฏิเสธทงั้ หมด (Deny) ขอ ๑๐๒. ทกุ บรกิ าร (Services) และเสนทางเชื่อมตออินเตอรเ นต็ ที่ไมอนญุ าตตาม Policy จะตอง ถกู บล็อก (Block) โดย Firewall ขอ ๑๐๓. ผใู ชงานอนิ เตอรเ นต็ จะตองทําการลงบนั ทึกเขา ใชง าน (Login) กอ นการใชงานทุกครง้ั ขอ ๑๐๔. การกาํ หนดคาบริการและการเช่ือมตอท่ีอนุญาต จะตองมีการบนั ทกึ การเปล่ียนแปลง ทกุ คร้ัง หากมกี ารเปลี่ยนแปลงคา ตา ง ๆ ของ Firewall ขอ ๑๐๕. การเขา ถงึ ตัวอปุ กรณ Firewall จะตองสามารถเขาถึงไดเ ฉพาะผูท่ีไดรบั มอบหมายให ดแู ลจดั การเทานน้ั ขอ ๑๐๖. ขอ มลู จราจรทางคอมพวิ เตอรที่เขาออกอปุ กรณ Firewall จะตองสง คาไปจัดเก็บ ที่อุปกรณจ ัดเก็บขอมลู จราจรทางคอมพวิ เตอร โดยจะตองจัดเกบ็ ขอมูลจราจรไมน อ ยกวา ๙๐ วนั ขอ ๑๐๗. การกาํ หนดนโยบายในการใหบริการอินเตอรเ นต็ กับเครื่องคอมพิวเตอรล ูกขายจะ เปดพอรตการเช่ือมตอพืน้ ฐานของโปรแกรมทัว่ ไป ทอี่ นุญาตใหใ ชงาน ซึ่งหากมคี วามจาํ เปนทจ่ี ะใชง านพอรต การเชือ่ มตอนอกเหนือท่กี ําหนด จะตอ งไดร ับความยินยอมจากหนวยงานกอน ขอ ๑๐๘. การกําหนดคาการใหบรกิ ารของเครอื่ งคอมพวิ เตอรแมข ายในแตล ะสวนของเครอื ขา ย จะตอ งกําหนดคาอนุญาตเฉพาะพอรต การเชื่อมตอทีจ่ าํ เปน ตอ การใหบริการเทานัน้ ขอ ๑๐๙. จะตอ งมกี ารสาํ รองขอมูลการกาํ หนดคาตาง ๆ ของอปุ กรณ Firewall เปน ประจาํ ทุกสปั ดาหหรือทกุ ครง้ั กอนท่ีจะมีการเปลย่ี นแปลงคา ขอ ๑๑๐. เคร่อื งคอมพวิ เตอรแมขา ยท่ใี หบริการระบบงานสารสนเทศตาง ๆ ภายในหนวยงาน ท่ี มีลักษณะทเ่ี ปนอินทราเน็ตจะตองไมอนุญาตใหม ีการเชือ่ มตอเพ่ือใชง านอนิ เตอรเน็ต เวนแตม ีความจาํ เปน โดยจะตอ งกาํ หนดเปนกรณไี ป ขอ ๑๑๑. หนว ยงานมสี ทิ ธิ์ทจ่ี ะระงับหรอื บลอ็ กการใชง านของเครอ่ื งคอมพวิ เตอรล ูกขายทีม่ ี พฤติกรรมการใชง านท่ผี ดิ นโยบาย หรือเกิดจากการทาํ งานของโปรแกรมท่ีมคี วามเสย่ี งตอความปลอดภัย จนกวาจะไดรับการแกไ ข ขอ ๑๑๒. การเช่อื มตอในลกั ษณะของการ Remote Login จากภายนอกมายงั เคร่ืองแมขา ย หรืออปุ กรณเ ครือขายภายใน จะตองบนั ทกึ รายการของการดาํ เนินการตามแบบการขออนุญาตดาํ เนินการ 54
เก่ยี วกบั เคร่ืองคอมพวิ เตอรแมขายและอปุ กรณเ ครือขาย และจะตองไดรบั ความเหน็ ชอบจากหวั หนา หนวยงานกอ น ขอ ๑๑๓. ผูล ะเมดิ นโยบายดานความปลอดภยั ของ Firewall จะถูกระงับการใชงานอินเตอรเ น็ตทนั ที สว นท่ี ๑๒ การควบคุมการใชจดหมายอิเล็กทรอนิกส (E-Mail) ขอ ๑๑๔. ในการลงทะเบียนบญั ชีผูใ ชง านจดหมายอิเลก็ ทรอนิกส (E-Mail) ตอ งทําการกรอกขอมลู ขอเขาใชบ รกิ ารจดหมายอิเล็กทรอนิกส (E-Mail) โดยย่นื คาํ ขอกับเจาหนา ที่หนว ยงาน ขอ ๑๑๕. รหัสจดหมายอิเล็กทรอนกิ ส เวลาใสร หสั ผานตอ งไมป รากฏหรอื แสดงรหัสผา นออกมา แตตองแสดงออกมาในรปู ของสญั ลกั ษณแทนตวั อักษรนน้ั เชน “x” หรอื “O” ในการพิมพแตละตวั อักษร ขอ ๑๑๖. เมอื่ ไดร บั รหัสผาน (Password) คร้ังแรกในการเขาระบบจดหมายอเิ ลก็ ทรอนิกส (E-Mail) และเมอ่ื มีการเขาสูร ะบบในครั้งแรกนัน้ ใหเปล่ียนรหัสผาน (Password) โดยทันที ขอ ๑๑๗. ผดู แู ลระบบ ตองกาํ หนดจํานวนครง้ั ทย่ี อมใหผใู ชง านใสร หัสผา นผดิ ได เชน ไมเกนิ ๓ คร้ัง ขอ ๑๑๘. ไมบนั ทึกหรือเกบ็ รหสั ผาน (Password) ไวใ นระบบคอมพวิ เตอร ขอ ๑๑๙. เปล่ยี นรหสั ผาน (Password) ทกุ ๓ - ๖ เดือน ขอ ๑๒๐. ไมใ ชท ่ีอยูจดหมายอิเล็กทรอนิกส (E-Mail Address) ของผูอน่ื เพ่ืออานหรือรบั หรือ สง ขอ ความ ยกเวน แตจะไดรับการยนิ ยอมจากเจา ของผูใชงานและใหถอื วา เจาของจดหมายอเิ ล็กทรอนิกส (E-Mail) เปน ผูรับผิดชอบตอการใชงานในจดหมายอเิ ล็กทรอนกิ ส (E-Mail) ของตน ขอ ๑๒๑. หลังจากการใชงานระบบจดหมายอเิ ล็กทรอนิกส (E-Mail) เสรจ็ ส้ินตอ งลงบันทกึ ออก (Logout) ทกุ ครง้ั ขอ ๑๒๒. การสง ขอมลู ทเ่ี ปน ความลับ ไมค วรระบคุ วามสําคัญของขอมลู ลงในหวั ขอจดหมาย อเิ ล็กทรอนกิ ส (E-Mail) เวน เสียแตว า จะใชวิธกี ารเขารหัสขอมลู E-Mail ทหี่ นวยงานกาํ หนดไว ใหใชค วาม ระมดั ระวังในการระบุช่ือที่อยู E-Mail ของผูร บั ใหถูกตองเพ่ือปอ งกันการสงผดิ ตัวผรู ับ ขอ ๑๒๓. หามสง E-Mail ทีม่ ลี ักษณะเปนจดหมายขยะ (Spam Mail) ขอ ๑๒๔. หามสง E-Mail ท่มี ีลกั ษณะเปน จดหมายลกู โซ (Chain Letter) ขอ ๑๒๕. หา มสง E-Mail ทม่ี ีลกั ษณะเปน การละเมิดตอกฏหมาย หรือสิทธขิ องบคุ คลอืน่ ขอ ๑๒๖. หามสง E-Mail ที่มีไวรัสไปใหกบั บุคคลอน่ื โดยเจตนา ขอ ๑๒๗. ใหระบุชือ่ ของผสู ง ใน E-Mail ทกุ ฉบบั ท่ีสงไป ขอ ๑๒๘. ใหทาํ การสํารองขอมลู E-Mail ตามความจําเปน อยางสมาํ่ เสมอ (แมวาหนวยงานจะ ทําการสาํ รองขอมลู E-Mail ไวใหแตก็เพยี งชวงระยะเวลาหนึ่งเทานั้น ดงั น้ัน E-Mail ทเี่ กามาก ๆ และ จําเปน ตอ งใชง านจึงมีความจําเปน ตองสํารองเกบ็ ไวด ว ยตนเอง) 55
ขอ ๑๒๙. ผใู ชงานตอ งทาํ การตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสกอนการเปด เพื่อตรวจสอบไฟลโดยใชโ ปรแกรมปองกันไวรสั เปน การปองกันในการเปด ไฟลท ี่เปน Executable file เชน .exe .com เปน ตน ขอ ๑๓๐. ผูใ ชงานตอ งไมเ ปด หรอื สงตอ จดหมายอิเล็กทรอนิกสหรอื ขอความที่ไดรับจากผูสง ท่ไี มรูจัก ขอ ๑๓๑. ผใู ชงานตอ งใชข อความทไ่ี มสุภาพหรอื รับสง จดหมายอเิ ลก็ ทรอนิกสท ี่ไมเหมาะสม ขอ มูล อนั อาจทาํ ใหเสยี ช่ือเสยี งของหนวยงาน ทาํ ใหเ กดิ ความแตกแยกระหวา งหนว ยงาน ผา นทางจดหมาย อเิ ล็กทรอนิกส ขอ ๑๓๒. ผูใชงานตองตรวจสอบตูเกบ็ จดหมายอเิ ลก็ ทรอนิกสของตนเองทุกวัน และควรจัดเก็บ แฟมขอมูลและจดหมายอิเลก็ ทรอนิกสของตนใหเหลอื จํานวนนอยทีส่ ดุ และควรลบจดหมายอิเลก็ ทรอนิกสท ่ี ไมต อ งการออกจากระบบเพื่อลดปริมาณการใชเนือ้ ทร่ี ะบบจดหมายอเิ ล็กทรอนิกส ขอ ๑๓๓. ขอควรระวงั ผใู ชง านควรโอนยา ยจดหมายอเิ ล็กทรอนิกสท ี่จะใชอ า งอิงภายหลงั มายัง เคร่อื งคอมพิวเตอรข องตน เพือ่ เปนการปองกนั ผอู นื่ แอบอานจดหมายได ดังน้นั ไมควรจดั เก็บขอมลู หรอื จดหมายอิเล็กทรอนิกสท่ีไมไดใ ชแ ลว ไวใ นตูจดหมายอเิ ล็กทรอนกิ ส ขอ ๑๓๔. ผใู ชง านตอ งใชจดหมายอเิ ล็กทรอนิกสภาครฐั สําหรบั ใชรับ-สง ขอ มลู ในระบบราชการ ตามมติคณะรฐั มนตรีเม่ือวันที่ ๑๘ ธนั วาคม ๒๕๕๐ เร่อื ง การพฒั นาระบบจดหมายอเิ ลก็ ทรอนิกสกลางเพ่ือ การสื่อสารในภาครัฐ สว นที่ ๑๓ การควบคุมการใชอินเตอรเ นต็ (Internet) ขอ ๑๓๕. ผดู แู ลระบบ ตองกําหนดเสนทางการเชื่อมตอระบบคอมพิวเตอรเพื่อการเขา ใชงาน อินเตอรเ น็ต ที่ตองเชอ่ื มตอผานระบบรักษาความปลอดภยั ท่ีหนวยงานจดั สรรไวเทา น้นั เชน Proxy, Firewall, IPS-IDS เปนตน หามผูใชงานทาํ การเชอ่ื มตอระบบคอมพิวเตอรผานชอ งทางอ่นื เชน Dial-up Modem ยกเวน แตวา มเี หตผุ ลความจาํ เปนและตองทาํ การขออนุญาตจากหัวหนา หนวยงานเปน ลายลักษณอักษร ขอ ๑๓๖. เครอื่ งคอมพิวเตอรส ว นบุคคลและเครื่องคอมพิวเตอรแ บบพกพา กอ นทําการเชอ่ื มตอ อินเตอรเ นต็ ผานเว็บเบราเซอร (Web browser) ตอ งมีการตดิ ตงั้ โปรแกรมปองกนั ไวรัส และทาํ การอุดชอง โหวของระบบปฏิบตั ิการ ขอ ๑๓๗. ในการรบั สงขอมูลคอมพิวเตอรผ านทางอินเตอรเนต็ จะตอ งมีการทดสอบไวรสั (Virus scanning) โดยโปรแกรมปอ งกันไวรัสกอนการรบั สง ขอ มลู ทุกครัง้ ขอ ๑๓๘. ไมใ ชร ะบบอินเตอรเ น็ต (Internet) ของหนวยงาน เพื่อหาประโยชนในเชิงพาณชิ ยเ ปน การสว นบคุ คล และทําการเขาสเู วบ็ ไซตท ่ไี มเ หมาะสม เชน เว็บไซตท่ขี ัดตอศลี ธรรม เวบ็ ไซตท ี่มเี นอ้ื หาอันอาจ 56
กระทบกระเทอื นหรือเปน ภยั ตอ ความมนั่ คงตอชาติ ศาสนา พระมหากษตั ริย หรือเว็บไซตทเ่ี ปน ภัยตอสงั คม หรือละเมิดสิทธขิ องผูอน่ื หรอื ขอมูลที่อาจกอใหเกิดความเสียหายใหกบั หนว ยงาน ขอ ๑๓๙. หามเปดเผยขอมูลสําคญั ท่เี ปนความลับเกี่ยวกับงานของหนว ยงานท่ียังไมไดป ระกาศ อยางเปน ทางการผานระบบอินเตอรเน็ต (Internet) ขอ ๑๔๐. ระมดั ระวังการดาวนโหลด โปรแกรมใชงานจากระบบอินเตอรเ นต็ (Internet) การอัพเดท (Update) โปรแกรมตาง ๆ ตองเปนไปโดยไมล ะเมิดลิขสทิ ธิ์ ขอ ๑๔๑. ในการใชงานกระดานสนทนาอเิ ล็กทรอนกิ ส ไมเปด เผยขอมลู ทสี่ าํ คัญและเปนความลับ ของหนว ยงาน ขอ ๑๔๒. ในการใชงานกระดานสนทนาอเิ ล็กทรอนิกส ไมเ สนอความคิดเห็น หรอื ใชข อความที่ ยว่ั ยุ ใหร าย ท่ีจะทาํ ใหเ กดิ ความเสื่อมเสียตอชือ่ เสียงของหนวยงาน การทาํ ลายความสัมพนั ธกับบุคลากร ของหนวยงานอนื่ ๆ ขอ ๑๔๓. ผใู ชงานไมนาํ เขาขอมูลคอมพิวเตอรใด ๆ ท่ีมลี ักษณะอันเปนเทจ็ อนั เปน ความผดิ เก่ยี วกบั ความมั่นคงแหงราชอาณาจกั ร อนั เปน ความผิดเกย่ี วกับการกอการราย หรือภาพท่มี ลี ักษณะอนั ลามก และไมทําการเผยแพรหรือสงตอ ขอมูลคอมพิวเตอรด ังกลา วผานอนิ เตอรเนต็ ขอ ๑๔๔. หลงั จากใชง านระบบอนิ เตอรเนต็ (Internet) เสรจ็ แลว ใหป ดเวบ็ เบราเซอรเ พื่อปองกนั การเขาใชงานโดยบุคคลอนื่ ๆ ขอ ๑๔๕. หลงั จากใชงานอินเตอรเน็ตเสรจ็ แลว ใหท าํ การออกจากระบบเพือ่ ปองกนั การเขา ใชง าน โดยบคุ คลอ่ืน ๆ ขอ ๑๔๖. ผูใ ชงานตองปฏิบตั ิตามกฎหมายวา ดว ยการกระทาํ ความผิดเก่ียวกับคอมพิวเตอร อยา งเครงครดั สว นที่ ๑๔ การใชง านเครอื่ งคอมพิวเตอรส วนบุคคล ขอ ๑๔๗. แนวทางปฏิบัติการใชง านท่วั ไป (๑) เครอ่ื งคอมพวิ เตอรท ่ีหนวยงานอนุญาตใหใชงาน เปน สินทรัพยข องหนวยงานเพ่ือใช ในงานราชการ (๒) โปรแกรมท่ไี ดถูกตดิ ตง้ั ลงบนเครอื่ งคอมพวิ เตอรของหนว ยงานตองเปน โปรแกรม ทห่ี นว ยงานไดซื้อลขิ สทิ ธม์ิ าอยางถูกตองตามกฎหมาย ดงั น้ันหา มผใู ชงานคดั ลอก โปรแกรมตา ง ๆ และนําไปติดต้งั บนเคร่อื งคอมพวิ เตอรส วนตวั หรอื แกไข หรอื นําไปใหผ ูอืน่ ใชง านโดยผดิ กฎหมาย (๓) ไมอ นุญาตใหผใู ชง านทําการติดต้งั และแกไ ขเปลีย่ นแปลงโปรแกรมในเครื่อง คอมพิวเตอรสว นบคุ คลของหนว ยงาน 57
(๔) การเคล่อื นยา ยหรือสง เครือ่ งคอมพวิ เตอรส ว นบุคคลตรวจซอมจะตอ งดําเนนิ การ โดยเจาหนา ทข่ี องหนวยงานหรือผูรบั จา งเหมาบํารุงรกั ษาเคร่ืองคอมพวิ เตอรและ อปุ กรณท่ีไดทําสัญญากบั กระทรวงสาธารณสขุ เทา นน้ั (๕) กอ นการใชงานสอื่ บนั ทึกพกพาตา ง ๆ ตองมีการตรวจสอบเพอ่ื หาไวรสั โดย โปรแกรมปอ งกันไวรสั (๖) ผใู ชงาน มหี นาท่ีและรับผิดชอบตอ การดูแลรักษาความปลอดภัยของเครื่อง คอมพวิ เตอร (๗) ปด เครื่องคอมพวิ เตอรส วนบุคคลท่ีตนเองครอบครองใชงานอยูเม่ือใชงานประจาํ วนั เสรจ็ สิ้น หรือเม่ือมีการยุติการใชงานเกินกวา ๑ ชัว่ โมง (๘) ทําการตั้งคา Screen Saver ของเคร่ืองคอมพิวเตอรทีต่ นเองรับผดิ ชอบใหมกี าร ลอ็ กหนา จอหลังจากที่ไมไดใ ชงานเกินกวา ๓๐ นาที เพื่อปองกันบุคคลอนื่ มาใชง าน ทเ่ี ครื่องคอมพวิ เตอร (๙) หา มนาํ เครื่องคอมพิวเตอรส วนตัวที่เจาหนา ที่เปน เจา ของมาใชกบั ระบบเครือขาย ของหนว ยงาน ยกเวนจะไดร ับการตรวจสอบจากผดู ูแลระบบของหนว ยงานกอน การใชง าน ขอ ๑๔๘. การใชร หสั ผา น ใหผใู ชงานปฏิบัตติ ามแนวทางการบรหิ ารจัดการรหัสผานทรี่ ะบุไวใ น เอกสาร “การกาํ หนดหนา ทค่ี วามรบั ผิดชอบของผใู ชงาน” ขอ ๑๔๙. การปองกนั จากโปรแกรมชุดคาํ ส่ังไมพึงประสงค (Malware) (๑) ผใู ชงานตองตรวจสอบหาไวรสั จากสอ่ื ตา ง ๆ เชน Floppy Disk, Flash Drive และ Data Storage อ่นื ๆ กอนนาํ มาใชง านรวมกบั เครื่องคอมพิวเตอร (๒) ผใู ชงานตอ งตรวจสอบไฟลที่แนบมากับจดหมายอเิ ล็กทรอนิกสห รอื ไฟลท ี่ ดาวนโ หลดมาจากอินเตอรเน็ตดว ยโปรแกรมปอ งกันไวรสั กอ นใชงาน (๓) ผใู ชงานตอ งตรวจสอบขอมูลคอมพิวเตอรใ ดท่ีมีชุดคาํ สัง่ ไมพึงประสงคร วมอยูด วย ซึง่ มีผลทาํ ใหขอมูลคอมพิวเตอร หรอื ระบบคอมพวิ เตอรหรือชุดคาํ ส่งั อนื่ เกิดความ เสียหาย ถกู ทาํ ลาย ถูกแกไขเปลยี่ นแปลง หรือปฏิบัติงานไมตรงตามคาํ สั่งท่ี กาํ หนดไว ขอ ๑๕๐. การสํารองขอ มูลและการกูคืน (๑) ผใู ชงานตอ งรับผดิ ชอบในการสํารองขอมูลจากเครื่องคอมพิวเตอรไวบ นสอ่ื บันทกึ อื่น ๆ เชน CD, DVD, External Hard Disk เปน ตน (๒) ผูใ ชงานมีหนา ท่เี กบ็ รกั ษาสื่อขอมูลสาํ รอง (Backup Media) ไวในสถานทท่ี ี่ เหมาะสม ไมเ สี่ยงตอ การร่วั ไหลของขอมูลและทดสอบการกูคืนขอมลู ท่สี าํ รองไว อยา งสม่ําเสมอ 58
(๓) ผใู ชง านตองประเมินความเส่ยี งวา ขอมูลที่เกบ็ ไวบ น Hard Disk ไมควรจะเปน ขอ มูลสาํ คัญเกีย่ วของกับการทํางาน เพราะหาก Hard Disk เสียไป ก็ไมก ระทบ ตอ การดําเนินการของหนว ยงาน สว นท่ี ๑๕ การใชงานเครอ่ื งคอมพิวเตอรแ บบพกพา ขอ ๑๕๑. แนวทางปฏิบตั ิการใชงานทั่วไป (๑) เคร่ืองคอมพิวเตอรแบบพกพาท่ีหนวยงานอนญุ าตใหใ ชงาน เปน สินทรพั ยข อง หนว ยงานเพื่อใชใ นงานราชการ (๒) โปรแกรมที่ไดถูกตดิ ตัง้ ลงบนเครื่องคอมพวิ เตอรแ บบพกพาของหนว ยงานตองเปน โปรแกรมทห่ี นว ยงาน ไดซอ้ื ลิขสิทธมิ์ าอยา งถูกตองตามกฎหมาย ดังน้ันหาม ผูใชงานคัดลอกโปรแกรมตา ง ๆ และนาํ ไปติดตัง้ บนเคร่ืองคอมพิวเตอรส ว นตัว หรือ แกไข หรือนาํ ไปใหผ อู ื่นใชงานโดยผดิ กฎหมาย (๓) ผใู ชงานตองศึกษาและปฏบิ ัติตามคูม ือการใชงานอยางละเอียด เพื่อการใชงานอยา ง ปลอดภัยและมปี ระสิทธภิ าพ (๔) ไมดัดแปลงแกไขสวนประกอบตาง ๆ ของคอมพวิ เตอรและรกั ษาสภาพของ คอมพิวเตอรใหม ีสภาพเดมิ (๕) ในกรณที ี่ตอ งการเคลื่อนยา ยเครอ่ื งคอมพวิ เตอรแ บบพกพา ควรใสก ระเปา สาํ หรับ เคร่ืองคอมพิวเตอรแ บบพกพา เพอ่ื ปองกนั อนั ตรายท่ีเกดิ จากการกระทบกระเทือน เชน การตกจากโตะทํางาน หรือหลุดมือ เปนตน (๖) หลีกเล่ยี งการใชนว้ิ หรอื ของแข็ง เชน ปลายปากกา กดสัมผัสหนาจอ LCD ใหเปน รอยขดี ขวนหรือทําใหจอ LCD ของเครื่องคอมพวิ เตอรแ บบพกพาแตกเสียหายได (๗) ไมว างของทับบนหนาจอและแปนพิมพ (๘) การเช็ดทาํ ความสะอาดหนา จอภาพตองเช็ดอยา งเบามือท่ีสุด และตอ งเช็ดไปใน แนวทางเดียวกันหามเช็ดแบบหมุนวน เพราะจะทาํ ใหห นาจอมีรอยขีดขวนได (๙) การใชเครื่องคอมพิวเตอรแบบพกพาเปนระยะเวลานานเกินไป ในสภาพที่มอี ากาศ รอ นจดั ตอ งปดเครอื่ งคอมพิวเตอรเ พื่อเปนการพักเครื่องสกั ระยะหนง่ึ กอ นเปดใช งานใหมอีกครัง้ (๑๐) การเคลื่อนยายเครื่อง ขณะที่เครอื่ งเปดใชงานอยู ใหทาํ การยกจากฐานภายใต แปน พิมพ หามยายเคร่ืองโดยการดงึ หนา จอภาพขึน้ ขอ ๑๕๒. ความปลอดภัยทางดา นกายภาพ 59
(๑) ผใู ชงานมีหนาท่ีรบั ผดิ ชอบในการปองกนั การสญู หาย เชน ควรลอ คเคร่ืองขณะท่ี ไมไ ดใ ชงาน ไมว างเครอ่ื งทงิ้ ไวใ นทีส่ าธารณะ หรือในบริเวณทีม่ คี วามเส่ียงตอการ สูญหาย (๒) ผใู ชงานไมเ ก็บหรือใชง านคอมพิวเตอรแ บบพกพาในสถานที่ท่มี คี วามรอน/ ความช้ืน/ฝนุ ละอองสูงและตองระวงั ปองกนั การตกกระทบ ขอ ๑๕๓. การควบคุมการเขาถงึ ระบบปฏิบัตกิ าร (๑) ผูใชงานตอ งกําหนดชอื่ ผูใชง าน (User name) และรหัสผา น (Password) ในการ เขาใชง านระบบปฏบิ ตั กิ ารของเครื่องคอมพิวเตอรแ บบพกพา (๒) ผูใชงานตอ งกําหนดรหสั ผา นใหม ีคณุ ภาพดอี ยา งนอ ยตามที่ระบไุ วในเอกสาร“การ บรหิ ารจัดการสิทธก์ิ ารใชงานระบบและรหัสผาน” (๓) ผใู ชงานตองตั้งการใชง านโปรแกรมรกั ษาจอภาพ (Screen Saver) โดยตงั้ เวลา ประมาณ ๑๕ นาที ใหทําการลอ็ กหนา จอเมอ่ื ไมม ีการใชงาน หลังจากน้นั เมื่อ ตองการใชง านตองใสร หัสผาน (๔) ผใู ชงานตองทําการ Logout ออกจากระบบทันทีเม่ือเลิกใชงานหรอื ไมอ ยูท่หี นา จอ เปนเวลานาน ขอ ๑๕๔. การใชร หัสผา นใหผูใชงานปฏิบัติตามแนวทางการบริหารจัดการรหัสผานที่ระบุไวใน เอกสาร “การกําหนดหนา ทีค่ วามรบั ผิดชอบของผูใ ชงาน” ขอ ๑๕๕. การสํารองขอมูลและการกูคนื (๑) ผใู ชงานตองทาํ การสาํ รองขอมูลจากเครอื่ งคอมพิวเตอรแบบพกพา โดยวิธกี ารและ สือ่ ตา ง ๆ เพ่ือปองกนั การสูญหายของขอ มลู (๒) ผูใ ชงานตอ งจะเก็บรักษาส่ือสํารองขอมลู (Backup media) ไวในสถานท่ี ทีเ่ หมาะสม ไมเสี่ยงตอการรัว่ ไหลของขอ มลู (๓) แผนสือ่ สํารองขอ มูลตา ง ๆ ทเ่ี ก็บขอมูลไวจ ะตอ งทําการทดสอบการกูคนื อยางสม่ําเสมอ (๔) แผน สื่อสํารองขอ มูลที่ไมใชงานแลว ตองทําลายไมใหสามารถนําไปใชงานไดอกี (๕) ผูใชง านตอ งประเมินความเส่ยี งวา ขอ มลู ที่เกบ็ ไวบน Hard Disk ไมค วรจะเปน ขอ มูลสําคัญเก่ยี วของกบั การทํางาน เพราะหาก Hard Disk เสยี ไป ก็ไมกระทบ ตอการดําเนินการของหนว ยงาน 60
สว นที่ ๑๖ การตรวจจบั การบกุ รุก (Intrusion Detection System / Intrusion Prevention System Policy : IDS/IPS ) ขอ ๑๕๖. IDS/IPS Policy เปนนโยบายการตดิ ตง้ั ระบบตรวจสอบการบกุ รุก และตรวจสอบความ ปลอดภยั ของเครือขาย เพือ่ ปองกันทรพั ยากร ระบบสารสนเทศ และขอมูลบนเครอื ขายภายในหนว ยงาน ใหม ี ความม่นั คงปลอดภยั เปนแนวทางการปฏบิ ัติเกยี่ วกับการตรวจสอบการบุกรุกเครือขาย พรอ มกับบทบาทและ ความรับผดิ ชอบท่ีเก่ยี วของ ขอ ๑๕๗. IDS/IPS Policy ครอบคลุมทกุ โฮสต (Host) ในเครอื ขายของหนวยงานและเครือขาย ขอมลู ท้งั หมด รวมถึงเสน ทางท่ขี อมลู อาจเดนิ ทาง ซ่ึงไมอ ยใู นเครือขา ยอนิ เตอรเ น็ตทุกเสนทาง ขอ ๑๕๘. ระบบทั้งหมดท่ีสามารถเขาถึงไดจากอินเตอรเน็ตหรือท่ีสาธารณะจะตองผานการ ตรวจสอบจากระบบ IDS/IPS ขอ ๑๕๙. ระบบท้งั หมดใน DMZ (Demilitarized zone) จะตองไดรับการตรวจสอบรูปแบบการ ใหบ ริการกอ นการติดต้ังและเปดใหบริการ ขอ ๑๖๐. โฮสต (Host) และเครอื ขา ยท้ังหมดทีม่ ีการสง ผานขอ มูลผา น IDS/IPS จะตองมีการบันทึก ผลการตรวจสอบ ขอ ๑๖๑. ระบบ IDS/IPS จะตองมีการตรวจสอบและ Update Patch/Signature เปนประจาํ ขอ ๑๖๒. ตองมีการตรวจสอบเหตกุ ารณ ขอมูลจราจร พฤตกิ รรมการใชงาน กิจกรรม และบันทึก ปรมิ าณขอ มูลเขา ใชง านเครือขา ยเปน ประจําทกุ วันโดยผดู แู ลระบบ ขอ ๑๖๓. IDS/IPS จะทํางานภายใตกฎควบคุมพื้นฐานของ Firewall ท่ีใชในการเขาถึงเครือขาย ของระบบสารสนเทศตามปกติ ขอ ๑๖๔. เครอื่ งแมขา ยทม่ี ีการตดิ ตั้ง host-based IDS จะตอ งมกี ารตรวจสอบขอ มูลประจําวนั ขอ ๑๖๕. พฤติกรรมการใชงาน กิจกรรม หรือเหตุการณท้ังหมด ที่มีความเส่ียงตอการบุกรุก การโจมตีระบบ พฤติกรรมท่ีนาสงสัย หรอื การพยายามเขาระบบ ทั้งท่ีประสบความสําเร็จและไมประสบ ความสาํ เร็จ จะตอ งมีการรายงานใหห ัวหนา หนว ยงานทราบทนั ทีที่ตรวจพบ ขอ ๑๖๖. พฤติกรรม กิจกรรมทีน่ าสงสัย หรือระบบการทํางานท่ีผิดปกติ ท่ีถูกคนพบ จะตองมีการ รายงานใหหัวหนา หนวยงานทราบ ภายใน ๑ ชว่ั โมงที่ตรวจพบ ขอ ๑๖๗. การตรวจสอบการบกุ รุกทง้ั หมดจะตอ งเกบ็ บันทึกขอมลู ไวไมน อยกวา ๙๐ วัน ขอ ๑๖๘. ระบบ IDS/IPS มีรูปแบบการตอบสนองตอเหตุการณที่เกิดขึ้น ไดแก รายงานผลการ ตรวจพบของเหตุการณตาง ๆ ดําเนินการตามข้ันตอนเพื่อลดความเสียหาย ลบซอฟตแวรมุงรายที่ตรวจพบ ปองกันเหตกุ ารณที่อาจเกิดอกี ในอนาคต และดาํ เนนิ การตามแผน ขอ ๑๖๙. หนวยงานมีสิทธ์ิในการยุติการเช่ือมตอเครือขายของเครื่องคอมพิวเตอรท่ีมีพฤติกรรม เส่ยี งตอ การบกุ รกุ ระบบ โดยไมตอ งมกี ารแจง แกผ ใู ชงานลว งหนา 61
ขอ ๑๗๐. ผูท่ีถูกตรวจสอบวาพยายามกระทําการอันใดที่เปนการละเมิดนโยบายของกระทรวง สาธารณสุข การพยายามเขา ถึงระบบโดยมชิ อบ การโจมตีระบบ หรอื มีพฤติกรรมเส่ียงตอการทํางานของระบบ สารสนเทศ จะถูกระงับการใชเครือขายทันที หากการกระทําดังกลาวเปนการกระทําความผิดที่สอดคลองกับ กฎหมายวาดวยการกระทําความผิดเกี่ยวกับคอมพิวเตอร หรือเปนการกระทําท่ีสงผลใหเกิดความเสียหายตอ ขอ มูล และทรัพยากรระบบของหนวยงาน จะตอ งถูกดาํ เนนิ คดตี ามขน้ั ตอนของกฎหมาย สว นท่ี ๑๗ การตดิ ตั้งและกําหนดคา ของระบบ (System Installation and Configuration) ขอ ๑๗๑. การปรับปรงุ ระบบปฏิบัตกิ าร (Operating System Update) (๑) ตรวจสอบเครอื่ งแมข าย และอุปกรณร ะบบ (๒) ติดต้ังระบบปฏบิ ัติการตรงตามความตองการการใชงาน (๓) กําหนดชือ่ และรหสั ผาน ผดู แู ลระบบ และชื่อผใู ชงาน (User) (๔) กาํ หนดคา ติดต้ัง ชอ่ื เคร่อื ง (Computer Name) / IP Address (๕) ปรับปรุง / กาํ หนดคา ระดบั ความปลอดภยั ของระบบปฏิบัตกิ าร (กรณที ี่ ระบบปฏิบัตกิ ารทมี่ ี ServicePatch Update) (๖) ติดตง้ั โปรแกรม Antivirus / ปรบั ปรุง Virus Definition และกาํ หนดคาการ ตรวจสอบระบบการสแกนและปรบั ปรงุ โปรแกรม ขอ ๑๗๒. การบริหารบัญชีผูใชงาน/สิทธิ์การเขาถึงและการใชงานระบบ (User Account Management) (๑) กาํ หนดช่อื และรหสั ผา น ผดู ูแลระบบ (System Adminstrator) (๒) กาํ หนดชอ่ื ผูใชง าน (User Name) และรหัสผาน (Password) (๓) บันทึกบญั ชผี ูใชงานและสิทธิการเขา ใชร ะบบ ขอ ๑๗๓. การปรับปรุงการรักษาความปลอดภัย / Anti Virus (System Security & Antivirus Upadte) (๑) ติดตาม เฝา ระวงั ระบบการทํางานของคอมพิวเตอร การเขาใชระบบ (๒) Performance ของระบบ หรือตรวจสอบจากระบบรักษาความปลอดภยั ที่ตดิ ต้ัง (๓) ปรบั ปรงุ / กาํ หนดคา ระบบความปลอดภยั ใหเ หมาะสมกบั ปญหา (๔) ปรับปรุงโปรแกรม Antivirus และ Definition ใหทันสมัยเปน ประจําทุกสปั ดาห (๕) ดําเนินการ Scan ตรวจหาไวรสั คอมพิวเตอร เปนประจาํ ขอ ๑๗๔. ตดิ ตง้ั / ปรบั ปรงุ ระบบจัดการฐานขอ ลู (Database Management Operation) (๑) ตดิ ตง้ั ระบบจัดการฐานขอมูล ตามความตองการของระบบงานทหี่ นว ยงานใช 62
(๒) กําหนดคา ระบบหรอื โปรแกรมฐานขอมูล ใหทาํ งานรว มกบั ระบบปฏบิ ตั กิ ารไดอ ยา ง ถกู ตอง และมีประสทิ ธิภาพ ตามระบบฐานขอมูลนัน้ กําหนด (๓) สรา ง และกําหนดรายชื่อผบู รหิ ารระบบฐานขอมูล (Database Admin) ช่อื ผูใ ชงานอืน่ และสทิ ธ์ิการใช (๔) ปรบั ปรุง / กาํ หนดคา ระบบใหเ หมาะสม ทันสมัย หรอื ปองกนั การเกิดปญ หาอยู เสมอ ขอ ๑๗๕. ติดต้งั ฐานขอมูลโปรแกรมระบบงานตาง ๆ / กําหนดคาระบบของโปรแกรมและกําหนด ผใู ชและสิทธ์กิ ารเขา ใชบริการ หรอื เขาถงึ ฐานขอ มลู (๑) ติดต้ังโปรแกรมระบบงานตามความตองการ หรือการพฒั นา (๒) กาํ หนดคา หรอื โปรแกรม หรอื บรกิ าร ใหทํางานรวมกบั ระบบปฏิบัตกิ าร เปนไป ตามโปรแกรมหรือระบบงานน้ันอยางถูกตองและมปี ระสิทธิภาพ (๓) ติดตั้งฐานขอมลู และเช่ือมตอระบบงาน และทาํ การทดสอบการใหบริการตาม ระบบงานน้นั กําหนด (๔) แจงผูใชงาน หรอื เจาของระบบงาน ใหส ามารถเริ่มใชงานได โดยแจงรายชอ่ื รหสั ผา น และสิทธกิ์ ารเขา ใชระบบและฐานขอ มลู ตามที่กาํ หนดไว (๕) กําหนดเกณฑการสาํ รอง / สาํ เนา / ทดสอบกูคนื (Restore Test) (๖) บันทกึ ขอกาํ หนด คาตดิ ตั้ง และบัญชชี อ่ื ผูใชงานแตละระดับของระบบทุกครัง้ ท่มี ี การสราง / ปรับปรงุ สวนท่ี ๑๘ การจัดเกบ็ ขอ มูลจราจรคอมพิวเตอร (Log) ขอ ๑๗๖. จัดเก็บขอมูลจราจรทางคอมพิวเตอร (Log) ไวในสื่อเก็บขอมูลท่ีสามารถรักษาความ ครบถวน ถูกตอง แทจริง ระบุตัวบุคคลที่เขาถึงส่ือดังกลาวได และขอมูลท่ีใชในการจัดเก็บ ตองกําหนดช้ัน ความลับในการเขา ถึง ขอ ๑๗๗. หามแกไขขอมูลจราจรคอมพวิ เตอร (Log) ทีเ่ ก็บรักษาไว ขอ ๑๗๘. กําหนดใหมีการบันทึกการทํางานของระบบบันทึกการปฏิบัติงานของผูใชงาน (Application Logs) และบันทึกรายละเอียดของระบบปองกันการบุกรุก เชน บันทึกการเขา – ออกระบบ บันทึกการพยายามเขาสูระบบ เปนตน เพื่อประโยชนในการใชตรวจสอบและตองเก็บบันทึกไวอ ยางนอย ๙๐ วัน นับตงั้ แตการใชงานส้นิ สุดลง โดยปฏิบตั ติ ามกฎหมายวาดว ยการกระทําความผดิ เกี่ยวกบั คอมพิวเตอร ขอ ๑๗๙. ตองมีวธิ ีการปองกันการแกไขเปล่ียนแปลงบันทึกตา ง ๆ และจํากัดสิทธ์ิการเขาถึงบันทึก เหลา นัน้ ใหเฉพาะบุคคลที่เกย่ี วของเทานั้น 63
หมวดที่ ๒ การรกั ษาความปลอดภัยฐานขอมูลและสาํ รองขอมูล วตั ถุประสงค ๑. เพอ่ื ใหระบบสารสนเทศของหนว ยงานสามารถใหบรกิ ารไดอ ยางตอ เนื่อง ๒. เพื่อใหเปน มาตรฐาน แนวทางปฏบิ ัติและความรบั ผิดชอบของผดู ูแลระบบในการปฏิบัตงิ านใหก ับ หนวยงานอยางเครงครัด และตระหนกั ถึงความสําคญั ของการรกั ษาความม่นั คงปลอดภยั ๓. เพื่อใหผ ูใ ชง านไดร บั รเู ขา ใจและสามารถปฏบิ ัติตามแนวทางที่กาํ หนดโดยเครงครดั และตระหนกั ถึงความสําคัญของการรักษาความมน่ั คงปลอดภยั ของระบบสารสนเทศ แนวปฎิบตั ิ สว นที่ ๑ การรักษาความปลอดภยั ฐานขอ มูล ขอ ๑. กําหนดสิทธแ์ิ ละความสําคัญของขอมูลและฐานขอมูล (๑) จัดทําบัญชีฐานขอมูล การจําแนกกลุมทรัพยากรของระบบหรือการทํางาน โดยให กําหนดกลมุ ผูใชงานและสิทธิของกลมุ ผูใชง าน (๒) กําหนดเกณฑในการอนุญาตใหเขาถึงการใชงานสารสนเทศ ท่ีเก่ียวของกับการอนุญาต การกาํ หนดสิทธ์ิ หรอื การมอบอาํ นาจ ดังนี้ (๒.๑) กาํ หนดสิทธข์ิ องผูใชงานแตละกลุมทเี่ ก่ยี วขอ ง - อานอยา งเดยี ว - สรา งขอมูล - ปอนขอ มลู - แกไข - อนุมัติ - ไมม ีสิทธิ์ (๒.๒) กําหนดเกณฑการระงับสิทธ์ิม การมอบอํานาจ ใหเปนไปตามการบริหารจัดการ การเขาถึงของผูใชง าน (User Access Management) ท่ไี ดกาํ หนดไว (๒.๓) ผูใชงานที่ตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนุญาต เปนลายลักษณอักษรและไดรับการพิจารณาอนุญาตจากหัวหนาหนวยงานหรือ ผูดแู ลระบบที่ไดร ับมอบหมาย 64
(๓) ข้ันตอนปฏบิ ัตเิ พ่ือการจดั เกบ็ ขอ มลู (๓.๑) จัดแบง ประเภทของขอ มลู ออกเปน - ขอมลู สารสนเทศดานการบริหาร เชน ขอมูลนโยบาย ขอมูลยุทธศาสตรและ คํารับรอง ขอมูลบุคลากร ขอ มูลงบประมาณการเงินและบัญชี เปนตน - ขอ มูลสารสนเทศดา นการพาณชิ ยท ี่ใหบ รกิ าร เชน ขอมลู ดัชนีเศรษฐกิจการคา ขอมูลการคา ระหวางประเทศของไทย ขอ มลู เศรษฐกจิ การคา จังหวัด เปน ตน (๓.๒) จดั แบง ระดับความสาํ คญั ของขอ มูล ออกเปน ๓ ระดบั คอื - ขอมลู ทีม่ ีระดับความสาํ คัญมากทีส่ ดุ - ขอมูลทม่ี ีระดบั ความสาํ คัญปานกลาง - ขอ มูลทีม่ รี ะดบั ความสําคัญนอย (๓.๓) จัดแบงลําดับช้ันความลับของขอมูล - ขอมูลลับท่ีสุด หมายถึง หากเปดเผยท้ังหมดหรือเพียงบางสวนจะกอใหเกิด ความเสียหายอยางรา ยแรงทสี่ ดุ - ขอมูลลับมาก หมายถึง หากเปดเผยทั้งหมดหรือเพียงบางสวนจะกอใหเกิด ความเสียหายอยา งรายแรง - ขอมูลลับ หมายถึง หากเปดเผยท้ังหมดหรือเพียงบางสวนจะกอใหเกิดความ เสยี หาย - ขอ มลู ท่วั ไป หมายถึง ขอมลู ท่ีสามารถเปดเผยหรือเผยแพรท ว่ั ไปได (๓.๔) จดั แบงระดับช้ันการเขา ถึง - ระดับชัน้ สําหรบั ผบู ริหาร - ระดับช้นั สาํ หรับผูใชงานทัว่ ไป - ระดบั ช้ันสําหรบั ผูดูแลระบบหรอื ผทู ี่ไดมอบหมาย (๓.๕) การกาํ หนดเวลาท่ีไดเขาถึง (๓.๖) การกาํ หนดจาํ นวนชองทางทส่ี ามารถเขา ถึง ขอ ๒. ขอ มูล ขาวสารสารสนเทศทกุ ประเภทในฐานขอมลู ตองไดร ับการจัดระดับการปองกนั ผูมีสทิ ธ์ิ เขาใชหรอื ดาํ เนินการ รวมทัง้ รายละเอียดอื่น ๆ ทจ่ี ําเปนตอมาตรการรักษาความปลอดภยั ขอ ๓. การปฏบิ ตั เิ ก่ียวกบั ขอ มลู ท่ีเปนความลับใหปฏิบตั ติ ามระเบียบวาดว ยการรกั ษาความลบั ทาง ราชการ พ.ศ. ๒๕๔๔ และแนวปฏบิ ตั ิการรักษาความมั่นคงปลอดภัยดา นสารสนเทศ หมวดที่ ๑ ขอ ๑๒ ขอ ๔. หนว ยงานเจา ของฐานขอ มลู ผูมสี ิทธแิ์ ละอาํ นาจในสายงาน เปน ผพู ิจารณาคุณสมบัตขิ อง ผใู ชงานและโปรแกรมทไ่ี ดร บั อนญุ าตใหกระทําการใด ๆ กับขอมลู นนั้ ไดต ามสิทธแิ ละจดั ใหม แี ฟมลงบันทึกเขา ออก (Log File) การใชงานสาํ หรบั ฐานขอ มูลตามความจําเปน เพื่อประโยชนในการตรวจสอบความถูกตองของ การใชง านฐานขอมูล 65
ขอ ๕. ในกรณฐี านขอมลู ท่ีมีการใชร ว มกนั ระหวา งสวนราชการ หรือแลกเปลยี่ น หรือขอใชข อ มลู จากสวนราชการใหจ ดั ทําขอตกลงการใชข อมลู หรือสําหรบั การแลกเปลย่ี นสารสนเทศระหวา งหนวยงานกับ หนวยงานภายนอก ดงั ตอไปน้ี (๑) กําหนดนโยบาย ขั้นตอนปฏิบตั ิ และมาตรฐานเพ่ือปองกนั ขอมูลและส่ือบันทึกขอมูลที่ จะมีการขนยา ยหรอื สง ไปยงั อีกสถานทห่ี นงึ่ (๒) กาํ หนดหนา ทีค่ วามรับผดิ ชอบของผูท่ีเกีย่ วของและข้นั ตอนปฏิบัติในการใชขอมลู รวมกัน หรือแลกเปลย่ี นขอมูล เชน วิธีการสง การรบั เปนตน (๓) กาํ หนดหนา ที่ความรบั ผิดชอบในการปองกันขอ มลู (๔) กาํ หนดขั้นตอนปฏิบตั สิ ําหรบั ตรวจสอบวาใครเปน ผสู งขอมูลและใครเปนผรู ับขอมูลเพ่ือ เปนการปอ งกนั การปฏเิ สธ (๕) กําหนดความรบั ผดิ ชอบสําหรับกรณที ่ีขอ มูลทแ่ี ลกเปลย่ี นกันเกิดการสูญหายหรอื เกดิ เหตกุ ารณค วามเสยี หายอื่น ๆ กับขอ มลู น้ัน (๖) กําหนดสิทธก์ิ ารเขา ถงึ ขอ มลู (๗) กําหนดมาตรฐานทางเทคนิคทใี่ ชในการเขาถึงขอ มูลหรอื ซอฟตแวร (๘) กาํ หนดมาตรการพเิ ศษสาํ หรับปองกนั เอกสาร ขอมูล ซอฟตแ วร หรืออนื่ ๆ ทม่ี ี ความสําคัญ เชน กญุ แจทใี่ ชในการเขา รหสั เปนตน สว นที่ ๒ การสาํ รองขอ มลู ขอ ๖. พิจารณาคัดเลอื กระบบสารสนเทศท่สี ําคัญและจัดทําระบบสาํ รองทเ่ี หมาะสมใหอยใู นสภาพ พรอมใชง าน โดยเรียงลําดับความจําเปนมากไปนอย ขอ ๗. กาํ หนดหนาทแ่ี ละความรับผิดชอบของเจา หนา ท่ีในการสํารองขอมลู ขอ ๘. มกี ารจดั ทําบัญชรี ะบบสารสนเทศทม่ี ีความสําคัญทัง้ หมดของหนวยงาน พรอมทง้ั กาํ หนด ระบบสารสนเทศทจี่ ะจัดทําระบบสํารอง และจดั ทําระบบแผนเตรยี มพรอ มกรณีฉุกเฉนิ อยางนอยปล ะ ๑ ครงั้ ขอ ๙. กาํ หนดใหม ีการสาํ รองขอ มลู ของระบบสารสนเทศแตละระบบ และกาํ หนดความถใี่ น การสํารองขอมลู หากระบบใดทม่ี ีการเปล่ียนแปลงบอ ยกาํ หนดใหม ีความถี่ในการสาํ รองขอ มูลมากขึน้ โดยให มวี ิธกี ารสํารองขอมูล ดงั นี้ (๑) กาํ หนดประเภทของขอ มูลท่ตี องทาํ การสาํ รองเกบ็ ไว และความถ่ีในการสาํ รอง (๒) กาํ หนดรูปแบบการสํารองขอมลู ใหเ หมาะสมกับขอ มูลทจี่ ะทาํ การสํารองขอมลู (๓) บันทึกขอมูลท่ีเกี่ยวของกับกิจกรรมการสํารองขอมูล ไดแก ผูดาํ เนินการ วัน/เวลาช่ือ ขอมลู ท่ีสํารอง สําเรจ็ /ไมส าํ เรจ็ เปนตน (๔) ตรวจสอบคา คอนฟกกเู รชันตาง ๆ ของระบบการสาํ รองขอมลู 66
(๕) จัดเก็บขอมูลที่สํารองนั้นในสื่อเก็บขอมูล โดยมีการพิมพชื่อบนส่ือเก็บขอมูลนั้นให สามารถแสดงถึงระบบซอฟตแวร วันท่ี เวลาที่สํารองขอมูล และผูรับผิดชอบในการ สํารองขอ มูลไวอ ยา งชัดเจน (๖) จัดเก็บขอมูลท่ีสํารองไวนอกสถานท่ี ระยะทางระหวางสถานท่ีท่ีจัดเก็บขอมูลสํารอง กับหนวยงานตองหางกันเพียงพอ เพ่ือไมใหสงผลกระทบตอขอมูลที่จัดเก็บไวนอก สถานทีน่ ้นั ในกรณีทีเ่ กิดภัยพิบตั กิ บั หนวยงาน (๗) ดําเนินการปองกันทางกายภาพอยางเพียงพอตอสถานท่ีสํารองที่ใชจัดเก็บขอมูลนอก สถานที่ (๘) ทดสอบบันทึกขอ มูลสาํ รองอยา งสมา่ํ เสมอ เพื่อตรวจสอบวายังคงสามารถเขาถึงขอมูล ไดต ามปกติ (๙) จัดทําขน้ั ตอนปฏิบัติสาํ หรับการกคู นื ขอมูลท่ีเสยี หายจากขอมลู ที่ไดส าํ รองเกบ็ ไว (๑๐) ตรวจสอบและทดสอบประสิทธิภาพและประสิทธิผลของขั้นตอนปฏิบัติในการกูคืน ขอมลู อยา งสมํ่าเสมอ อยา งนอยปละ ๑ ครั้ง หรอื ตามความเหมาะสมโดยคํานึงถึง ความเสย่ี งตา งๆ ทจี่ ะเกิดข้ึน (๑๑) กําหนดใหม ีการใชง านการเขา รหัสขอมลู กบั ขอ มูลลับทีไ่ ดสํารองเก็บไว ขอ ๑๐. ตองจัดทาํ แผนเตรยี มความพรอมกรณฉี กุ เฉินในกรณีท่ีไมส ามารถดาํ เนนิ การดว ยวิธีการ ทางอเิ ล็กทรอนิกส เพ่ือใหสามารถใชงานสารสนเทศไดตามปกตอิ ยา งตอเนื่อง โดย (๑) มกี ารกาํ หนดหนา ท่ี และความรับผดิ ชอบของผูทเี่ กีย่ วขอ งทง้ั หมด (๒) มีการประเมินความเส่ียงสําหรับระบบที่มีความสําคัญเหลานั้น และกําหนดมาตรการ เพื่อลดความเส่ียงเหลาน้ัน เชน ไฟดับเปนระยะเวลานาน ไฟไหม แผนดินไหว การชุมนมุ ประทวงทาํ ใหไ มส ามารถเขามาใชร ะบบงานได เปนตน (๓) มกี ารกาํ หนดขัน้ ตอนปฏบิ ตั ิในการกคู ืนระบบสารสนเทศ (๔) มีการกาํ หนดขนั้ ตอนปฏบิ ัติในการสํารองขอมลู และทดสอบกคู ืนขอ มูลที่สํารองไว (๕) มีการกําหนดชองทางในการติดตอกับผูใหบริการภายนอก เชน ผูใหบริการเครือขาย ฮารด แวร ซอฟตแ วร เปนตน เม่อื เกิดเหตจุ าํ เปนทีจ่ ะตอ งตดิ ตอ (๖) การสรางความตระหนัก หรือใหความรูแกเจาหนาท่ีผูท่ีเกี่ยวของกับขั้นตอนการปฏิบัติ หรอื สงิ่ ที่ตอ งทาํ เมอ่ื เกดิ เหตเุ รง ดวน เปนตน ขอ ๑๑. มีการทบทวนเพื่อปรบั ปรงุ แผนเตรียมความพรอ มกรณีฉกุ เฉนิ ดังกลา วใหสามารถปรบั ใชได อยางเหมาะสมและสอดคลองกบั การใชง านตามภารกิจ อยางนอ ยปล ะ ๑ ครั้ง ขอ ๑๒. ตองมกี ารกําหนดหนาทแี่ ละความรับผิดชอบของบุคลากรซึง่ ดแู ลรบั ผดิ ชอบระบบสารสนเทศ ระบบสาํ รอง และการจัดทาํ แผนเตรยี มพรอ มกรณีฉุกเฉินในกรณีที่ไมส ามารถดําเนินการดวยวธิ ีการทาง อิเล็กทรอนิกส 67
ขอ ๑๓. ตองมกี ารทดสอบสภาพพรอ มใชง านของระบบสารสนเทศ ระบบสํารอง และระบบแผน เตรียมพรอมกรณีฉุกเฉนิ อยางนอยปละ ๑ คร้ัง หรือตามความเหมาะสมโดยคํานงึ ถงึ ความเสยี่ งตาง ๆ ที่จะเกิดขน้ึ เพ่ือใหร ะบบมีสภาพพรอมใชงานอยูเสมอ ขอ ๑๔. มกี ารทบทวนระบบสารสนเทศ ระบบสาํ รอง และระบบแผนเตรยี มพรอมกรณฉี กุ เฉนิ ท่เี พยี งพอตอ สภาพความเส่ียงท่ียอมรบั ไดของแตล ะหนวยงาน อยา งนอยปล ะ ๑ ครง้ั หมวดที่ ๓ การตรวจสอบและประเมินความเส่ยี งดานสารสนเทศ วตั ถุประสงค ๑. เพอื่ ใหมีการตรวจสอบและประเมินความเสีย่ งของระบบสารสนเทศหรอื สถานการณด านความ มั่นคงปลอดภัยทีไ่ มพึงประสงคห รอื ไมอาจคาดคดิ ได ๒. เพอ่ื เปน การปองกันและลดระดับความเส่ยี งที่อาจจะเกิดข้ึนไดก บั ระบบสารสนเทศ ๓. เพอ่ื เปนแนวทางในการปฏบิ ตั ิหากเกดิ ความเสี่ยงท่เี ปนอตั รายตอระบบสารสนเทศ แนวปฎิบตั ิ สวนที่ ๑ การตรวจสอบและประเมินความเสี่ยง ตรวจสอบและประเมนิ ความเสีย่ งดานสารสนเทศหรือสถานการณดานความมน่ั คงปลอดภัยที่ไมพึง ประสงคห รือไมอาจคาดคดิ ได ทอ่ี าจเกดิ ขึ้นกบั ระบบเทคโนโลยีสารสนเทศ โดยผูตรวจสอบภายในของ หนว ยงาน (Internal Auditor) หรอื โดยผตู รวจสอบอิสระดานความมน่ั คงปลอดภัยจากภายนอก (External Auditor) อยา งนอ ยปล ะ ๑ ครงั้ เพื่อใหหนวยงานไดทราบถึงระดับความเส่ียงและระดับความมั่นคงปลอดภัย สารสนเทศ โดยมแี นวทางในตรวจสอบและประเมินความเสย่ี งท่ตี อ งคํานึงถึง ดังนี้ ขอ ๑. จัดลําดับความสําคัญของความเส่ยี ง ขอ ๒. คนหาวิธีการดําเนินการเพ่ือลดความเสีย่ ง ขอ ๓. ศึกษาขอ ดีขอเสยี ของวิธีการดําเนินการเพื่อลดความเสีย่ ง ขอ ๔. สรุปผลขอเสนอแนะและแนวทางแกไขเพ่ือลดความเส่ียงท่ีตรวจสอบได ขอ ๕. มีการตรวจสอบและประเมินความเสี่ยงและใหจ ัดทํารายงานพรอ มขอเสนอแนะ ขอ ๖. มมี าตรการในการตรวจประเมนิ ระบบสารสนเทศ อยางนอย ดงั นี้ 68
(๑) กําหนดใหผูตรวจสอบสามารถเขาถึงขอมูลท่ีจําเปนตองตรวจสอบไดแบบอานได อยางเดยี ว (๒) ในกรณีท่ีจําเปนตองเขาถึงขอมลู ในแบบอ่ืน ๆ ใหสรางสําเนาสําหรับขอมูลน้ัน เพ่ือให ผูตรวจสอบใชงาน รวมทั้งตองทําลายหรือลบโดยทันทีท่ีตรวจสอบเสร็จ หรือตอง จัดเก็บไวโดยมกี ารปอ งกันเปน อยา งดี (๓) กาํ หนดใหมกี ารระบุและจดั สรรทรพั ยากรท่ีจําเปนตองใชในการตรวจสอบระบบบริหาร จดั การความมัน่ คงปลอดภัย (๔) กําหนดใหมีการเฝาระวังการเขาถึงระบบโดยผูตรวจสอบ รวมท้ัง บันทึกขอมูลล็อก แสดงการเขาถงึ นน้ั ซ่งึ รวมถึงวันและเวลาทีเ่ ขาถงึ ระบบงานทีส่ ําคญั ๆ (๕) ในกรณีท่ีมีเครื่องมือสําหรับการตรวจประเมินระบบสารสนเทศ กําหนดใหแยกการ ติดตั้งเครื่องมือที่ใชในการตรวจสอบ ออกจากระบบใหบริการจริงหรือระบบที่ใชใน การพัฒนา และมีการจัดเก็บปองกันเครอ่ื งมือนัน้ จากการเขาถึงโดยไมไดร บั อนุญาต สวนท่ี ๒ ความเสี่ยงที่อาจเปนอันตรายตอระบบเทคโนโลยีสารสนเทศ จากการติดตามตรวจสอบความเส่ียงตาง ๆ รวมถงึ เหตุการณดา นความมนั่ คงปลอดภัยในระบบ เทคโนโลยีสารสนเทศ สามารถแยกเปน ภยั ตาง ๆ ได ๔ ประเภท ดงั นี้ ประเภทที่ ๑ ภัยทีเ่ กิดจากเจาหนาท่ีหรือบุคลากรของหนวยงาน (Human Error) เชน เจา หนาทีห่ รือบคุ ลากรของหนว ยงานขาดความรูความเขา ใจในเครอ่ื งมอื อปุ กรณค อมพวิ เตอร ทัง้ ดาน Hardware และ Software ซ่งึ อาจทาํ ใหร ะบบเทคโนโลยสี ารสนเทศเสยี หาย ใชง านไมได เกดิ การชะงกั งัน หรือหยดุ ทาํ งาน และสงผลให ไมสามารถใชงานระบบเทคโนโลยีสารสนเทศไดอ ยา งเตม็ ประสทิ ธภิ าพ ไดก ําหนดแนวทางการดาํ เนนิ การเบื้องตนเพ่ือลดปญหาความเสยี่ งท่ีจะเกิดข้ึนกับระบบเทคโนโลยีสารสนเทศ ไว ดงั นี้ (๑) จัดหลักสตู รอบรมเจาหนาท่ีของหนวยงาน ใหมีความรูค วามเขาใจในดาน Hardware และ Software เบอื้ งตน เพื่อลดความเส่ียงดาน Human error ใหนอยที่สุด ทําให เจาหนาที่มีความรูความเขาใจการใชและบริหารจัดการเคร่ืองมืออุปกรณทางดาน สารสนเทศ ท้ังทางดาน Hardware และ Software ไดม ีประสิทธิภาพยิ่งขึ้น ทําให ความเสีย่ งทเี่ กิดจาก Human error ลดนอ ยลง (๒) จัดทําหนงั สอื แจงเวยี นหนว ยงานทั้งสวนกลางและสวนภูมิภาค เร่ือง การใชและการ ประหยัดพลงั งานใหกบั เครื่องคอมพวิ เตอรและอุปกรณ เพ่ือเปนแนวทางปฏบิ ัติไดอ ยา ง ถูกตอง 69
ประเภทท่ี ๒ ภยั ทีเ่ กดิ จาก Software ท่สี รางความเสียหายใหแ กเคร่ืองคอมพวิ เตอรห รอื ระบบเครือขา ยคอมพวิ เตอรประกอบดวย ไวรัสคอมพิวเตอร (Computer Virus), หนอนอินเตอรเนต็ (Internet Worm), มา โทรจนั (Trojan Horse), และขา วไวรัสหลอกลวง (Hoax) พวก Software เหลา นีอ้ าจ รบกวนการทํางาน และกอใหเกิดความเสยี หายใหแกร ะบบเทคโนโลยีสารสนเทศ ถงึ ขน้ั ทําใหร ะบบเครือขาย คอมพิวเตอรใชงานไมไ ด ไดก ําหนดแนวทางปฏิบตั เิ พ่ือเตรียมรบั สถานการณภ ยั จาก Software ดงั นี้ (๑) ติดตัง้ Firewall ที่เครื่องคอมพิวเตอรแมขาย ทําหนาทใ่ี นการกําหนดสทิ ธกิ์ ารเขาใช งานเครอ่ื งคอมพิวเตอรแ มขา ย และปอ งกันการบุกรกุ จากภายนอก (๒) ติดต้ังซอฟตแวร Anti virus ดกั จับไวรัสท่ีเขามาในระบบเครือขาย และสามารถ ตรวจสอบไดวา มไี วรสั ชนิดใดเขามาทาํ ความเสยี หายกับระบบเครอื ขายคอมพิวเตอร ประเภทท่ี ๓ ภัยจากไฟไหม หรือ ระบบไฟฟา จัดเปน ภัยรา ยแรงทีท่ าํ ความเสียหายใหแก ระบบเทคโนโลยสี ารสนเทศ ไดกําหนดแนวทางปฏิบตั เิ พอ่ื เตรียมรบั สถานการณ ดังนี้ (๑) ติดต้ังอุปกรณส าํ รองไฟฟา (UPS) เพ่ือควบคุมการจายกระแสไฟฟาใหกับระบบเครื่อง แมขาย (Server) ในกรณีเกิดกระแสไฟฟาขัดของ ระบบเครือขายคอมพิวเตอรจะ สามารถใหบรกิ ารไดในระยะเวลาทส่ี ามารถจัดเกบ็ และสาํ รองขอ มลู ไวอ ยางปลอดภยั (๒) ติดต้ังอุปกรณตรวจจับควัน กรณีที่เกิดเหตุการณกระแสไฟฟาขัดของหรือมีควันไฟ เกิดขึ้นภายในหองควบคุมระบบเครือขาย อุปกรณดังกลา วจะสงสัญญาณแจงเตือนท่ี หนวยรักษาความปลอดภัยเพ่ือทราบ และรีบเขามาระงับเหตุฉุกเฉินอยางทันทวงที ซึ่ง มกี ารตรวจสอบความพรอ มของอปุ กรณอยางสมํ่าเสมอ (๓) ติดตงั้ อุปกรณด ับเพลงิ ชนิดกาซ ท่ีหองควบคุมระบบคอมพิวเตอรเพื่อไวใชในกรณเี หตุ ฉุกเฉิน (ไฟไหม) โดยมีการตรวจสอบความพรอมของอุปกรณแ ละทดลองใชงานโดย สมาํ่ เสมอ ประเภทที่ ๔ ภัยจากนํ้าทวม (อุทกภัย) ความเสยี่ งตอความเสียหายจากนํา้ ทวม จัดเปนภยั รายแรงที่ทําความเสียหายใหแกระบบเทคโนโลยสี ารสนเทศ ไดก าํ หนดแนวทางปฏบิ ัตเิ พ่อื เตรียมรบั สถานการณ ดงั นี้ (๑) เฝาระวังภัยอันเกิดจากนา้ํ ทวมโดยติดตามจากพยากรณอากาศของกรมอุตุนิยมวิทยา ตลอดเวลา 70
(๒) ถอดเทป Back up ขอ มลู ท้งั หมด ไปเกบ็ ไวในทีป่ ลอดภัย (๓) ดําเนินการตัดระบบไฟฟาในหองควบคุม โดยปดเบรคเกอรเคร่ืองปรับอากาศ เพ่ือ ปองกันเครอ่ื งควบคุมเสียหาย และปอ งกันภัยจากไฟฟา (๔) เจาหนาทช่ี ว ยกันเคลือ่ นยายเครอ่ื งคอมพวิ เตอรแมขา ย และอุปกรณเ ครอื ขายไวในท่ีสูง (๕) กรณีน้ําลดลงเรียบรอยแลวใหชางไฟฟาตรวจสอบระบบไฟฟาในหองควบคุมเครือขาย วา สามารถใชงานไดปกติหรือไม และเตรียมความพรอมหองควบคุมระบบเครือขาย สาํ หรบั ตดิ ตัง้ เครื่องคอมพวิ เตอร แมขายและอุปกรณเ ครือขาย (๖) ทําการติดต้ังเครอ่ื งคอมพิวเตอรแมขายและอุปกรณเครือขาย พรอมทง้ั ทดสอบการใช งานของเครอื่ งคอมพิวเตอรแมขายแตละเครื่องวาสามารถใหบริการไดตามปกติหรือไม ตรวจสอบระบบ Network วา สามารถเชอ่ื มตอและใหบรกิ ารกับเคร่อื งคอมพิวเตอรลูก ขา ยไดห รอื ไม (๗) เมื่อตรวจสอบแลววาเคร่ืองคอมพิวเตอรแมขายและระบบเครือขายสามารถใหบริการ ขอมูลไดเรียบรอยแลว แจงใหหนวยงานท่ีเกี่ยวของทราบ เพ่ือเขามาใชบริการได ตามปกติ หมวดท่ี ๔ การรกั ษาความปลอดภัยดา นกายภาพ สถานท่ี และสภาพแวดลอม วตั ถปุ ระสงค เพอ่ื กําหนดมาตรการในการควบคมุ และปองกันการรกั ษาความมนั่ คงปลอดภัยในการเขา ใชงานหรอื เขา ถึงพนื้ ท่ีใชงานในระบบสารสนเทศ โดยพจิ ารณาตามความสําคัญของอปุ กรณ ระบบเทคโนโลยสี ารสนเทศ ขอมูล ซงึ่ มีผลบงั คบั ใชก บั ผใู ชง านและรวมถึงบุคคล และหนวยงานภายนอกท่ีมสี วนเก่ียวของกับการใชงาน ระบบเทคโนโลยสี ารสนเทศของหนว ยงาน แนวปฎิบตั ิ ขอ ๑. อาคาร สถานที่ และพื้นท่ีใชงานระบบสารสนเทศ หมายถงึ ทซ่ี งึ่ เปน ท่ีตง้ั ของระบบ คอมพวิ เตอร ระบบเครอื ขาย หรือระบบสารสนเทศอนื่ ๆ พ้ืนท่เี ตรยี มขอมูลจัดเกบ็ คอมพิวเตอรและอุปกรณ พนื้ ท่ีปฏบิ ัตงิ านของบุคลากรทางคอมพวิ เตอร รวมท้งั เครือ่ งคอมพวิ เตอรส ว นบคุ คลและอุปกรณประกอบที่ ติดตง้ั ประจําโตะทาํ งาน ขอ ๒. หอ งควบคมุ ระบบเครอื ขา ยคอมพิวเตอร ตอ งมีลกั ษณะ ดังนี้ 71
(๑) กําหนดเปนเขตหวงหามเดด็ ขาด หรอื เขตหวงหา มเฉพาะโดยพิจารณาตาม ความสาํ คญั แลว แตกรณี (๒) ตอ งเปนพนื้ ที่ที่ไมตั้งอยูใ นบรเิ วณท่ีมีการผา นเขา –ออก ของบุคคลเปน จํานวนมาก (๓) จะตอ งไมม ีปา ยหรือสญั ลักษณท บี่ งบอกถึงการมีระบบสาํ คัญอยูภายในสถานทด่ี งั กลา ว (๔) จะตองปด ล็อก หรือใสก ุญแจประตหู นา ตางหรือหองเสมอเมื่อไมม ีเจาหนาทป่ี ระจาํ อยู (๕) หากจําเปนตองใชเ ครื่องโทรสารหรือเครื่องถา ยเอกสาร ใหต ดิ ตง้ั แยก ออกมาจาก บรเิ วณดงั กลา ว (๖) ไมอนุญาตใหถายรปู หรอื บันทึกภาพเคลื่อนไหวในบรเิ วณดังกลา ว เปนอันขาด (๗) จัดพน้ื ทส่ี ําหรับการสง มอบผลิตภัณฑ โดยแยกจากบริเวณทมี่ ีทรัพยากรสารสนเทศ จัดต้ังไว เพ่ือปอ งกันการเขาถึงระบบจากผไู มไดรบั อนุญาต ขอ ๓. การกําหนดบริเวณทต่ี องมกี ารรกั ษาความมนั่ คงปลอดภัย (๑) มีการจําแนกและกําหนดพื้นที่ของระบบเทคโนโลยีสารสนเทศตา ง ๆ อยางเหมาะสม เพอ่ื จุดประสงคในการเฝาระวัง ควบคมุ การรกั ษาความม่นั คงปลอดภยั จากผูท ี่ไมไดร ับ อนุญาต รวมทั้งปอ งกันความเสยี หายอื่น ๆ ทอี่ าจเกดิ ขึ้นได (๒) กาํ หนดและแบง แยกบรเิ วณพ้ืนทใี่ ชงานระบบเทคโนโลยสี ารสนเทศใหชดั เจน รวมทั้ง จดั ทาํ แผนผงั แสดงตําแหนงของพน้ื ท่ีใชงานและประกาศใหรบั ทราบทว่ั กัน โดยการ กําหนดพนื้ ทีด่ ังกลาวอาจแบง ออกไดเ ปน พืน้ ท่ีทาํ งานทั่วไป (General Working Area) พนื้ ท่ีทํางานของผดู แู ลระบบ (System Administrator Area) พื้นทีต่ ิดตั้งอุปกรณ ระบบเทคโนโลยีสารสนเทศ (IT Equipment Area) พน้ื ท่ีจัดเก็บขอมูลคอมพวิ เตอร (Data Storage Area) และพื้นทใ่ี ชง านเครอื ขา ยไรส าย (Wireless LAN Coverage Area) เปนตน ขอ ๔. การควบคุมการเขาออก อาคารสถานที่ (๑) กาํ หนดสทิ ธผ์ิ ใู ชงาน ทมี่ ีสทิ ธิ์ผา นเขา-ออก และชวงเวลาท่ีมีสิทธใ์ิ นการผานเขาออก ใน แตล ะ “พนื้ ท่ใี ชงานระบบ” อยา งชัดเจน (๒) การเขา ถงึ อาคารของหนว ยงาน ของบุคคลภายนอก หรือผมู าติดตอ เจาหนา ท่รี กั ษา ความปลอดภัย จะตอ งใหมีการแลกบตั รทใ่ี ชระบตุ วั ตนของบุคคลน้นั ๆ เชน บัตร ประชาชน ใบอนุญาตขบั ขี่ เปนตน แลวทําการลงบันทึกขอมลู บัตรในสมุดบันทึกและ รบั แบบฟอรมการเขาออกพรอ มกับบตั รผตู ดิ ตอ (Visitor) (๓) ใหม ีการบนั ทึกวันและเวลาการเขา -ออกพื้นทส่ี ําคัญของผทู ี่มาตดิ ตอ (Visitors) (๔) ผมู าตดิ ตอ ตอ งติดบัตรใหเ ห็นเดนชัดตลอดระยะเวลาท่อี ยภู ายในหนว ยงาน (๕) บรษิ ทั ผูไดรบั การวา จา งตองติดบัตรใหเห็นเดน ชัดตลอดระยะเวลาการทํางาน 72
(๖) จดั เก็บบันทึกการเขา-ออกสาํ หรับพน้ื ที่หรอื บรเิ วณทมี่ ีความสาํ คัญ เชน (Data Center) เปนตน เพอ่ื ใชในการตรวจสอบในภายหลงั เมือ่ มคี วามจาํ เปน (๗) ดแู ลผทู ม่ี าติดตอในพ้นื ท่ีหรอื บริเวณท่ีมีความสําคัญจนกระทั่งเสร็จสนิ้ ภารกจิ และ จากไป เพอื่ ปองกนั การสูญหายของทรัพยส ินหรือปองกนั การเขา ถึงทางกายภาพโดย ไมไ ดร บั อนญุ าต (๘) มกี ลไกการอนญุ าตการเขา ถึงพื้นท่หี รือบริเวณทีม่ ีความสําคัญของบุคคลภายนอก และ ตองมีเหตุผลทเ่ี พยี งพอในการเขาถงึ บรเิ วณดงั กลาว (๙) สรา งความตระหนักใหผทู ่มี าติดตอ จากภายนอกเขา ใจในกฎเกณฑหรือขอกาํ หนดตา งๆ ทต่ี องปฏบิ ัตริ ะหวางที่อยใู นพื้นที่หรือบรเิ วณที่มีความสาํ คัญ (๑๐) มีการควบคมุ การเขา ถึงพนื้ ที่ทมี่ ีขอมูลสาํ คัญจัดเก็บหรือประมวลผลอยู (๑๑) ไมอ นุญาตใหผ ไู มม ีกจิ เขาไปในพ้ืนท่หี รอื บริเวณทม่ี คี วามสาํ คัญเวนแตไ ดรบั การอนุญาต (๑๒) มีการพิสูจนตวั ตน เชน การใชบตั รรูด การใชรหสั ผา น เปน ตน เพ่ือควบคมุ การเขา -ออก ในพื้นทีห่ รือบริเวณที่มคี วามสําคัญ (Data Center) (๑๓) จดั ใหมกี ารดแู ลและเฝาระวงั การปฏบิ ัติงานของบุคคลภายนอกในขณะทป่ี ฏบิ ตั งิ านใน พืน้ ทห่ี รอื บริเวณที่มีความสาํ คัญ (๑๔) จดั ใหมกี ารทบทวน หรอื ยกเลิกสิทธกิ์ ารเขา ถึงพ้ืนทหี่ รือบริเวณทีม่ คี วามสําคัญ อยางนอยปล ะ ๑ ครั้ง ขอ ๕. ระบบและอปุ กรณส นบั สนนุ การทาํ งาน (Supporting Utilities) (๑) มีระบบสนบั สนุนการทํางานของระบบเทคโนโลยสี ารสนเทศของหนวยงานทเ่ี พยี งพอ ตอความตองการใชง านโดยใหมรี ะบบดังตอ ไปนี้ - ระบบสํารองกระแสไฟฟา (UPS) - เครือ่ งกาํ เนิดกระแสไฟฟาสํารอง (Generator) - ระบบระบายอากาศ - ระบบปรบั อากาศ และควบคมุ ความช้ืน (๒) ใหม ีการตรวจสอบหรอื ทดสอบระบบสนับสนุนเหลานนั้ อยางนอ ยปล ะ ๑ คร้ัง เพอ่ื ให ม่นั ใจไดว า ระบบทํางานตามปกติ และลดความเสยี่ งจากการลม เหลวในการทาํ งานของ ระบบ (๓) ตดิ ตัง้ ระบบแจงเตือน เพื่อแจงเตอื นกรณีทีร่ ะบบสนับสนนุ การทาํ งานภายในหองเครื่อง ทาํ งานผิดปกตหิ รอื หยุดการทํางาน 73
ขอ ๖. การเดนิ สายไฟ สายส่ือสาร และสายเคเบลิ้ อ่ืนๆ (Cabling Security) (๑) หลีกเล่ียงการเดินสายสัญญาณเครือขายของหนวยงานในลักษณะทีต่ องผานเขาไปใน บริเวณท่ีมีบคุ คลภายนอกเขา ถึงได (๒) ใหมีการรอยทอสายสัญญาณตาง ๆ เพ่ือปองกันการดักจับสัญญาณ หรือการตัด สายสัญญาณเพือ่ ทําใหเกิดความเสียหาย (๓) ใหเดินสายสัญญาณสื่อสารและสายไฟฟาแยกออกจากกัน เพื่อปองกันการแทรกแซง รบกวนของสัญญาณซึง่ กันและกัน (๔) ทาํ ปา ยชอื่ สาํ หรับสายสัญญาณและบนอปุ กรณเ พือ่ ปองกนั การตดั ตอสัญญาณผิดเสน (๕) จัดทําผงั สายสัญญาณส่ือสารตาง ๆ ใหค รบถว นและถกู ตอ ง (๖) หองท่ีมีสายสัญญาณสื่อสารตาง ๆ ปดใสสลักใหสนิท เพ่ือปองกันการเขาถึงของ บุคคลภายนอก (๗) พิจารณาใชงานสายไฟเบอรออฟติก แทนสายสัญญาณสื่อสารแบบเดิม (เชน สายสญั ญาณแบบ coaxial cable) สาํ หรับระบบสารสนเทศท่สี าํ คญั (๘) ดําเนินการสํารวจระบบสายสญั ญาณส่ือสารทั้งหมดเพ่ือตรวจหาการติดต้ังอุปกรณดัก จับสญั ญาณโดยผูไมประสงคด ี ขอ ๗. การบาํ รงุ รกั ษาอุปกรณ (Equipment Maintenance) (๑) ใหม กี ําหนดการบํารงุ รกั ษาอปุ กรณต ามรอบระยะเวลาที่แนะนําโดยผผู ลิต (๒) ปฏบิ ัตติ ามคาํ แนะนําในการบาํ รุงรักษาตามทผี่ ูผลติ แนะนํา (๓) จัดเก็บบันทึกกิจกรรมการบํารุงรักษาอุปกรณสําหรับการใหบริการทุกครง้ั เพ่ือใชใน การตรวจสอบหรือประเมินในภายหลงั (๔) จัดเก็บบันทึกปญหาและขอบกพรองของอุปกรณที่พบ เพื่อใชในการประเมินและ ปรบั ปรงุ อปุ กรณด งั กลา ว (๕) ควบคุมและสอดสองดูแลการปฏบิ ัติงานของผใู หบ ริการภายนอกท่ีมาทําการบํารงุ รกั ษา อุปกรณภ ายในหนวยงาน (๖) จัดใหมีการอนุมัติสิทธิ์การเขาถึงอุปกรณท่ีมีขอมูลสําคัญโดยผูรับจางใหบริการจาก ภายนอก (ที่มาทําการบํารุงรักษาอุปกรณ) เพ่ือปองกันการเขาถึงขอมูลโดยไมไดรับ อนุญาต ขอ ๘. การนาํ ทรพั ยสนิ ของหนวยงานออกนอกหนวยงาน (Removal of Property) (๑) ใหม ีการขออนุญาตกอนนําอปุ กรณหรอื ทรพั ยสินน้ันออกไปใชง านนอกหนว ยงาน (๒) กาํ หนดผรู บั ผดิ ชอบในการเคลื่อนยายหรือนาํ อุปกรณอ อกนอกหนวยงาน (๓) กําหนดระยะเวลาของการนาํ อปุ กรณออกไปใชง านนอกหนว ยงาน 74
(๔) เม่ือมีการนําอุปกรณสงคืน ใหตรวจสอบวาสอดคลองกับระยะเวลาท่ีอนุญาตและ ตรวจสอบการชาํ รุดเสียหายของอปุ กรณด วย (๕) บันทกึ ขอมูลการนําอุปกรณของหนวยงานออกไปใชงานนอกหนวยงาน เพื่อเอาไวเปน หลกั ฐานปองกันการสญู หาย รวมทั้งบนั ทึกขอมลู เพิม่ เติมเม่อื นําอุปกรณสง คนื ขอ ๙. การปองกันอุปกรณท่ใี ชง านอยูน อกหนว ยงาน (Security of Equipment off-premises) (๑) กําหนดมาตรการความปลอดภัยเพอื่ ปองกันความเสี่ยงจากการนาํ อุปกรณหรือ ทรัพยสนิ ของหนวยงานออกไปใชงาน เชน การขนสง การเกดิ อบุ ัติเหตกุ ับอุปกรณ (๒) ไมท งิ้ อปุ กรณหรือทรัพยสินของหนวยงานไวโ ดยลําพังในทีส่ าธารณะ (๓) เจาหนา ทมี่ ีความรับผดิ ชอบดูแลอปุ กรณหรอื ทรัพยสนิ เสมือนเปนทรพั ยส ินของตนเอง ขอ ๑๐. การกาํ จดั อุปกรณหรือการนําอุปกรณกลบั มาใชงานอีกคร้ัง (Secure Disposal or re-use of Equipment) (๑) ใหท ําลายขอมลู สําคัญในอปุ กรณก อ นที่จะกําจัดอปุ กรณดงั กลาว (๒) มีมาตรการหรือเทคนิคในการลบหรือเขยี นขอมลู ทบั บนขอมูลท่ีมคี วามสาํ คัญในอปุ กรณ สาํ หรบั จัดเก็บขอมลู กอนที่จะอนญุ าตใหผอู ่ืนนาํ อุปกรณน ัน้ ไปใชง านตอ เพ่ือปอ งกัน ไมใหม ีการเขาถงึ ขอมลู สําคญั น้นั ได 75
หมวดที่ ๕ การดาํ เนนิ การตอบสนองเหตุการณความมน่ั คงปลอดภัย ทางระบบสารสนเทศ วตั ถปุ ระสงค เพื่อกําหนดมาตรการในการปองกนั การบุกรุกและการโจมตี หรือเหตุการณละเมดิ ความปลอดภัย ระบบสารสนเทศใหมคี วามม่ันคงปลอดภยั แนวปฎิบตั ิ ขอ ๑. ระบบปองกนั ผูบกุ รุก (๑) ดาํ เนนิ การตรวจสอบ Log File หรือรายงงานของระบบปองกันการบุกรุก สิง่ ทท่ี าํ การ ตรวจสอบมี ดงั ตอ ไปน้ี - มีการโจมตีมากนอ ยเพียงใด และเปน การโจมตปี ระเภทใดมากท่สี ุด - ลักษณะของการโจมตีทีเ่ กดิ ขน้ึ มีรปู แบบทส่ี ามารถคาดเดาไดห รือไม - ระดับความรนุ แรงมากนอยเพียงใด - หมายเลขไอพีของเครือขา ยทเี่ ปนผโู จมตี ขอ ๒. ระบบไฟรวอลล (๑) ดาํ เนินการตรวจระบบปองกนั การบุกรกุ อยางนอยเดือนละ ๑ ครง้ั (๒) ดําเนินการตรวจสอบบันทึกของ Log File และรายงานของไฟรว อลล สิง่ ทีต่ อ ง ตรวจสอบมดี งั ตอไปนี้ - Packet ทีไ่ ฟรวอลลไ ดทาํ การ Block - ลักษณะของ Packet ที่ถกู Block - Packet ของหมายเลขไอพี ของเครือขา ยใดถูก Block เปน จํานวนมาก (๓) กรณีตรวจพบการโจมตรี ะบบหรือเหตกุ ารณละเมิดความปลอดภยั ระบบสารสนเทศให แจงหวั หนา หนวยงาน เพอ่ื ตดั สนิ ใจดําเนินการแกไขปญหา ขอ ๓. ระบบปองกันภยั คกุ คามทางอินเตอรเ นต็ ภัยคุกคามทางอินเตอรเ น็ตหรอื มัลแวร (Malware) ประกอบดวย ไวรสั หนอนอินเตอรเนต็ โทรจนั รวมถงึ สปายแวร (๑) ดาํ เนินการตรวจสอบ Log File และรายงานของอุปกรณทีเ่ ก่ยี วของกับระบบปองกัน ภยั คกุ คามทางอินเตอรเ นต็ ส่งิ ที่ตอ งตรวจสอบมดี ังนี้ - มัลแวรประเภทใดถกู พบเปนจํานวนมาก 76
- มลั แวรถกู สง มาจากเครือขายใด และถกู สงไปยังทใี่ ด - มีการสง มลั แวรจ ากเครอื ขา ยภายในกระทรวงสาธารณสุขไปยงั ภายนอกหรือไม (๒) ศกึ ษาหาวธิ แี กไ ขเครอ่ื งคอมพิวเตอรท ตี่ ดิ มัลแวร โดยเฉพาะมัลแวรป ระเภททตี่ รวจ พบวา กระจาย อยใู นเครอื ขา ยของกระทรวงสาธารณสขุ (๓) ตรวจสอบพบวา เคร่ืองคอมพิวเตอรภ ายในเครือขา ยติดมลั แวรหรือสง มัลแวรอ อกไปขา ง นอก ตอ งระงับการเช่ือมตอของเครื่องทต่ี ิดมัลแวรก ับระบบเครอื ขาย แลว ทําการแกไข เครอ่ื งนน้ั ทันที หมวดท่ี ๖ การสรา งความตระหนักในเร่อื งการรักษาความปลอดภยั ของ ระบบเทคโนโลยีสารสนเทศ วตั ถปุ ระสงค ๑. เพื่อสรางความรูความเขา ใจ ในการใชระบบสารสนเทศและระบบคอมพิวเตอรใ หแกผใู ชงาน ของกระทรวงสาธารณสขุ ๒. เพือ่ ใหก ารใชงานระบบสารสนเทสศและระบบคอมพิวเตอรเกดิ ความม่ันคงปลอดภยั ๓. เพื่อปองกนั และลดการกระทาํ ความผดิ ท่ีเกดิ ขน้ึ จากการใชร ะบบสารสนเทศและระบบ คอมพวิ เตอรโ ดยไมค าดคิด แนวปฎิบตั ิ ขอ ๑. จดั ใหมีการทบทวน ปรบั ปรุงนโยบายและแนวปฏิบัตใิ หเปนปจ จุบันอยูเสมอ อยา งนอยปล ะ ๑ ครง้ั ขอ ๒. จัดฝกอบรมแนวปฏบิ ตั ติ ามแนวนโยบายอยา งสม่ําเสมอ โดยการจัดฝกอบรมโดยใชวิธีการ เสรมิ เนอ้ื หาแนวปฏิบตั ิตามแนวนโยบายเขากบั หลักสตู รอบรมตา ง ๆ ตามแผนการฝก อบรมของหนว ยงาน ขอ ๓. จัดสัมมนาเพ่ือเผยแพรนโยบายและแนวปฏิบตั ิในการรกั ษาความมน่ั คงปลอดภัยดาน สารสนเทศ และสรา งความตระหนักถึงความสําคญั ของการปฏิบตั ใิ หก ับบุคลากร โดยการจดั สัมมนามแี ผนการ ดาํ เนนิ งานปละไมนอยกวา ๑ คร้ัง โดยจะจัดรว มกับการสัมมนาท่เี ก่ยี วของกับดา นเทคโนโลยีสารสนเทศ และมี 77
การเชิญวทิ ยากรจากภายนอกทีม่ ปี ระสบการณด า นการรักษาความมั่นคงปลอดภัยดา นสารสนเทศมาถายทอด ความรู ขอ ๔. ติดประกาศประชาสัมพนั ธ ใหค วามรเู ก่ยี วกบั แนวปฏิบตั ิ ในลักษณะเกรด็ ความรู หรือขอ ระวงั ในรูปแบบท่สี ามารถเขาใจและนาํ ไปปฏิบัติไดงาย โดยมกี ารปรบั เปล่ียนเกร็ดความรูอยูเ สมอ ขอ ๕. ระดมการมีสวนรว มและลงสูภาคปฏบิ ัติดว ยการกาํ กับ ติดตาม ประเมินผล และสํารวจความ ตอ งการของผใู ชง าน ขอ ๖. ใหม ีการสรา งความตระหนักเกย่ี วกับโปรแกรมไมป ระสงคด ี เพ่อื ใหเจา หนาที่มีความรคู วาม เขาใจและสามารถปองกันตนเองไดและใหรบั ทราบขนั้ ตอนปฏิบัตเิ มอื่ พบเหตโุ ปรแกรมไมประสงคดวี า ตอง ดาํ เนนิ การอยางไร ขอ ๗. สรา งความรูความเขา ใจใหแ กผใู ชงานใหตระหนักถงึ เหตุการณด านความม่ันคงปลอดภยั ที่ เกิดขน้ึ และสถานการณด า นความมนั่ คงปลอดภัยท่ไี มพึงประสงคห รอื ไมอาจคาดคิด เพ่ือใหผ ใู ชงานปฏบิ ัติตาม นโยบายและแนวปฏบิ ัตใิ นการรกั ษาความมน่ั คงปลอดภยั ของหนว ยงาน ขอ ๘. ผูใชงานตอ งตระหนกั และปฏิบตั ติ ามกฎหมายใด ๆ ทไ่ี ดประกาศใชในประเทศไทยรวมท้งั กฎระเบียบของกระทรวงสาธารณสุข และขอ ตกลงระหวา งประเทศอยา งเครงครดั ทัง้ น้หี ากผใู ชงานไมปฏบิ ตั ิ ตามกฎหมายดงั กลา ว ถอื วา ความผดิ น้นั เปนความผดิ สวนบุคคลซึ่งผูใชง านจะตองรับผิดชอบตอความผดิ ท่ี เกิดขนึ้ เอง หมวดท่ี ๗ หนาท่แี ละความรบั ผดิ ชอบ วัตถุประสงค เพือ่ กําหนดหนาที่ความรบั ผิดชอบของผูบรหิ ารระดบั สงู ผูอ ํานวยการ หัวหนา เจา หนาท่ี ตลอดจนผทู ่ี ไดรับมอบหมายใหด ูแลรับผดิ ชอบดา นสารสนเทศ แนวปฏิบตั ิ ขอ ๑. ระดับนโยบาย ผูรับผดิ ชอบ ไดแ ก - ผบู รหิ ารเทคโนโลยสี ารสนเทศระดบั สูง (CSO/CIO) - ผอู ํานวยการศนู ยเทคโนโลยีสารสนเทศ หรอื เทยี บเทาระดับผอู ํานวยการ (๑) รบั ผดิ ชอบในการกาํ หนดนโยบาย ใหข อ เสนอแนะ คาํ ปรึกษา ตลอดจนติดตาม กํากับ ดูแล ควบคมุ ตรวจสอบเจา หนา ท่ีในระดับปฏิบตั ิ 78
(๒) รับผิดชอบตอความเส่ียง ความเสียหาย หรอื อนั ตรายทเ่ี กิดขน้ึ กรณีระบบ คอมพิวเตอร หรือขอ มูลสารสนเทศเกิดความเสยี หาย หรอื อนั ตรายใด ๆ แกองคกรหรือผหู นง่ึ ผูใด อันเนือ่ งมาจากความบกพรอง ละเลย หรอื ฝาฝน การปฏบิ ตั ิตามแนวนโยบายและแนว ปฏบิ ัตใิ นการรกั ษาความมั่นคงปลอดภัยดานสารสนเทศ ขอ ๒. ระดบั บรหิ าร ผรู บั ผิดชอบ ไดแก หัวหนา กลมุ /หวั หนาศูนยเ ทคโนโลยสี ารสนเทศ หรอื เทียบเทา หัวหนา กลุม (๑) รบั ผิดชอบ กาํ กับ ดูแลการปฏิบัติงานของผปู ฏิบัติ ตลอดจนศกึ ษา ทบทวน วางแผน ตดิ ตามการบรหิ ารความเสย่ี ง และระบบรักษาความปลอดภัยฐานขอ มูลและเทคโนโลยี สารสนเทศ (๒) รับผิดชอบในการควบคมุ ดแู ล รักษาความปลอดภัย ระบบสารสนเทศและระบบ ฐานขอมูล ขอ ๓. ระดบั ปฏบิ ัติ ผรู ับผิดชอบ ไดแก - ผูท่ไี ดรบั มอบหมายใหป ฏบิ ัตหิ นา ทจี่ ากหัวหนาสวนราชการกระทรวงสาธารณสขุ เชน นักวิชาการคอมพวิ เตอร เจา หนาทเ่ี คร่อื งคอมพิวเตอร (๑) ปฏิบัติตามนโยบายและแนวปฏิบัติในการรักษาความม่นั คงปลอดภัยดา นสารสนเทศ (๒) ประสานการปฏิบัติงานตามแผนปอ งกนั และแกไ ขปญหาระบบความมนั่ คงปลอดภยั ของ ฐานขอ มูลและสารสนเทศจากสถานการณความไมแนน อนและภัยพบิ ตั ิ (๓) รบั ผิดชอบควบคุม ดแู ล รักษาความปลอดภยั และบาํ รุงรักษา ระบบเครอ่ื งคอมพิวเตอร ระบบเครือขาย หอ งควบคุมระบบเครือขายและเคร่ืองคอมพิวเตอรแมขาย (๔) ทําการสํารองขอมลู และเรยี กคืนขอมลู (Backup and Recovery) ตามรอบระยะเวลาท่ี กาํ หนด (๕) ปองกนั การถูกเจาะระบบ และแกไขปญหาการถูกเจาะเขา ระบบฐานขอมลู จาก บุคคลภายนอก (Hacker) โดยไมไดร บั อนญุ าต (๖) รับผิดชอบในการักษาความปลอดภยั ระบบอินเตอรเน็ต (๗) ปฏิบัติงานอื่น ๆ ตามทีไ่ ดร ับมอบหมายในการรักษาความม่ันคงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ 79
ISBN : 978-616-11-2841-8 สสำำนนกกัั งนาโนยปบลายดั แกลระะยททุ รธวศงสาสาธตารร์ ณสขุ กระทรวงสาธารณสขุ
Search
