แนวปฏิบตั ิในการรกั ษาความมัน่ คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ ตามประกาศกระทรวงสาธารณสุข เรื่อง นโยบายในการรักษาความมัน่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข กาํ หนดใหม ีการจัดทาํ แนวปฏบิ ัตใิ นการรักษาความม่ันคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข เพื่อใหร ะบบเทคโนโลยีสารสนเทศของกระทรวงสาธารณสขุ เปน ไปอยา งเหมาะสม มปี ระสทิ ธิภาพ มีความม่ันคงปลอดภยั และสามารถดาํ เนินงานไดอยางตอเนือ่ ง รวมท้งั ปองกนั ปญหาท่ีอาจจะ เกิดขึ้นจากการใชงานระบบเทคโนโลยีสารสนเทศในลักษณะที่ไมถูกตอง และจากการถกู คุกคามจากภยั ตาง ๆ ซ่ึงอาจกอใหเกดิ ความเสียหายตอ กระทรวงสาธารณสุขนน้ั กระทรวงสาธารณสขุ จงึ กาํ หนดแนวปฏิบตั ิในการใชระบบสารสนเทศใหม ีความมน่ั คงปลอดภยั ดงั นี้ ขอ ๑ คํานิยาม “หนว ยงาน” หมายถงึ กรม สาํ นัก สถาบัน ศูนย กอง และหนว ยงานท่ีมีฐานะเทยี บเทา กรม/กอง รวมถึงหนว ยงานสวนภูมภิ าค ทอี่ ยูในสงั กัดกระทรวงสาธารณสุข “ผใู ชงาน” หมายถึง ขาราชการ ลกู จา ง และพนักงานราชการ ผูดแู ลระบบ ผูบริหารองคกร ผูรบั บริการ หรือผูท ่ไี ดรับอนุญาตใหใชเ คร่ืองคอมพิวเตอรและระบบเครอื ขา ยของหนว ยงาน “ผูบริหาร” หมายถึง ผูม อี าํ นาจในการบงั คบั บญั ชาในหนวยงาน ไดแ ก ปลัดกระทรวง อธิบดี หรือเทียบเทา ผูอํานวยการสาํ นัก/สถาบนั /ศูนย/กอง เปนตน “ผูบ รหิ ารระดับสูง” หมายถึง ปลดั กระทรวง อธิบดีหรอื เทียบเทา “ผดู ูแลระบบ” (System Administrator) หมายถงึ ผทู ่ีไดรับมอบหมายจากหวั หนาหนวยงาน ใหม หี นาท่รี ับผิดชอบดูแลรกั ษาหรือจดั การระบบคอมพิวเตอรแ ละระบบเครือขา ยไมว า สวนหนงึ่ สวนใด “เจา ของขอมูล” หมายถงึ ผูไดรบั มอบอํานาจจากหวั หนาหนว ยงานใหร ับผดิ ชอบขอมูล ของระบบงาน โดยเจาของขอ มูลเปน ผูร ับผดิ ชอบขอมลู น้ัน ๆ หรือไดรบั ผลกระทบโดยตรงหากขอมลู เหลานั้น เกดิ สญู หาย “สทิ ธขิ องผใู ชงาน” หมายถงึ สทิ ธิทว่ั ไป สทิ ธิจําเพาะ สิทธิพิเศษ และสิทธิอื่นใดท่ี เกยี่ วของกบั ระบบสารสนเทศของหนวยงาน โดยหนวยงานจะเปนผูพิจารณาสิทธิในการใชสนิ ทรัพย “สินทรพั ย” หมายถงึ ขอมูล ระบบขอมูล และทรัพยสินดา นเทคโนโลยีสารสนเทศและการ ส่ือสารของหนว ยงาน เชน เครือ่ งคอมพิวเตอรแ บบต้ังโตะ และแบบพกพา อปุ กรณส ือ่ สารทีส่ ามารถเชอ่ื มตอกบั ระบบเครือขา ย อาทิเชน โทรศัพทเคลือ่ นท่ีที่สามารถเชือ่ มตอกับระบบเครือขายได (Smartphone) อุปกรณร ะบบเครือขา ย ฮารดแวรและซอฟตแ วร รวมถงึ ซอฟตแ วรท ม่ี ลี ขิ สิทธิ์ เปนตน “ระบบเครอื ขาย” หมายถึง ระบบทสี่ ามารถใชใ นการตดิ ตอสื่อสารหรอื การสงขอมูลและ สารสนเทศระหวางระบบเทคโนโลยีสารสนเทศตาง ๆ ของหนวยงานได เชน ระบบเครือขายแบบมสี าย (LAN) และระบบเครอื ขา ยแบบไรสาย (Wireless LAN) เปน ตน “การเขาถงึ หรือควบคุมการใชง านสารสนเทศ” หมายถงึ การอนุญาต การกําหนดสิทธ์ิ หรือการมอบอํานาจใหผ ูใ ชงานเขาถงึ หรือใชง านเครือขา ยหรอื ระบบสารสนเทศ ท้ังทางอิเล็กทรอนกิ สแ ละทาง แนวปฏบิ ัติในการรกั ษาความมน่ั คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑
กายภาพ รวมท้งั การอนุญาตเชน วา นนั้ สําหรับบุคคลภายนอก ตลอดจนอาจกาํ หนดขอปฏิบัตเิ ก่ียวกบั การ เขา ถึงโดยมชิ อบเอาไวด วยกไ็ ด “ความมั่นคงปลอดภัยดานสารสนเทศ” หมายถึง การธาํ รงไวซึ่งความลับ ความถกู ตอ ง ครบถว น และสภาพพรอมใชงานของสารสนเทศ รวมท้ังคุณสมบัติอืน่ ไดแก ความถกู ตอ งแทจรงิ ความรบั ผดิ การหามปฏิเสธความรับผดิ และความนา เชอื่ ถือ “เหตกุ ารณด านความม่นั คงปลอดภัย” หมายถงึ การเกิดเหตุการณ สภาพของบริการ หรอื เครอื ขายทีแ่ สดงใหเ หน็ ความเปนไปได ท่จี ะเกิดการฝา ฝนนโยบายดา นความมน่ั คงปลอดภัย หรอื มาตรการ ปอ งกนั ท่ีลมเหลว หรือเหตกุ ารณอ นั ไมอ าจรไู ดว า อาจเกี่ยวของกบั ความมนั่ คงปลอดภัย “สถานการณดานความม่นั คงปลอดภัยทไ่ี มพึงประสงคห รอื ไมอ าจคาดคิด” หมายถึง สถานการณด านความมั่นคงปลอดภยั ท่ีไมพึงประสงคห รือไมอาจคาดคิด ซ่ึงอาจทําใหระบบของหนวยงานถูก บุกรุกหรอื โจมตี และความมน่ั คงปลอดภัยถูกคุกคาม แนวปฏบิ ตั ิในการรักษาความม่นั คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๒
หมวดที่ ๑ การควบคุมการเขาถงึ และการใชง านระบบสารสนเทศ วตั ถปุ ระสงค ๑ เพอ่ื ควบคุมการเขาถึงขอมลู และอุปกรณใ นการประมวลผลขอ มูลโดยคํานึงถึงการใชง านและ ความมง่ั คงปลอดภัย ๒ เพื่อกาํ หนดกฎเกณฑท ี่เกี่ยวกับการอนญุ าตใหเ ขาถึง การกําหนดสทิ ธิ์ และการมอบอํานาจของ หนว ยงานของรฐั ๓ เพือ่ ใหผใู ชงานไดร ับรเู ขา ใจและสามารถปฏบิ ตั ิตามแนวทางทก่ี ําหนดโดยเครงครัด และตระหนัก ถึงความสําคัญของการรักษาความมัน่ คงปลอดภยั ของระบบสารสนเทศ แนวปฎิบัติ สวนท่ี ๑ การควบคุมการเขาถงึ สารสนเทศ (Access Control) ขอ ๑. ผดู แู ลระบบ จะอนุญาตใหผใู ชง านเขา ถึงระบบสารสนเทศท่ตี องการใชงานได ตอเมือ่ ไดรับ อนุญาตจาก ผรู ับผดิ ชอบ/เจาของขอมูล/เจาของระบบ ตามความจาํ เปนตอการใชง าน เทานน้ั ขอ ๒. บุคคลจากหนว ยงานภายนอกท่ีตองการสิทธิ์ในการเขาใชงานระบบสารสนเทศของหนว ยงาน จะตองขออนญุ าตเปนลายลกั ษณอ ักษรตอหวั หนาหนวยงาน ขอ ๓. ผูดูแลระบบ ตองกาํ หนดสทิ ธิ์การเขาถงึ ขอมลู และระบบขอ มูลใหเ หมาะสมกบั การเขาใชงาน ของผูใชง าน และหนา ท่ีความรับผิดชอบในการปฏิบัติงานของผใู ชงานระบบสารสนเทศ รวมทัง้ มกี ารทบทวน สทิ ธิ์การเขาถึงอยา งสมา่ํ เสมอ ดังนี้ (๑) กาํ หนดเกณฑในการอนญุ าตใหเ ขา ถึงการใชงานสารสนเทศ ท่เี กยี่ วขอ งกับการอนุญาต การกําหนดสทิ ธ์ิ หรือการมอบอาํ นาจ ดังน้ี (๑.๑) กาํ หนดสทิ ธ์ิของผูใชงานแตละกลมุ ทเ่ี ก่ยี วของ เชน - อา นอยา งเดียว - สรา งขอมลู - ปอนขอ มลู - แกไข - อนมุ ัติ - ไมมีสิทธ์ิ (๑.๒) กาํ หนดเกณฑการระงบั สิทธิ์ มอบอํานาจ ใหเปน ไปตามการบรหิ ารจัดการ การเขา ถึงของผูใชงาน (user access management) ทีไ่ ดกําหนดไว แนวปฏบิ ตั ใิ นการรักษาความมั่นคงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๓
(๑.๓) ผูใชงานทต่ี อ งการเขาใชง านระบบสารสนเทศของหนวยงานจะตองขออนุญาต เปนลายลักษณอกั ษรและไดรับการพจิ ารณาอนุญาตจากหัวหนาหนว ยงานหรอื ผดู ูแลระบบท่ีไดรับมอบหมาย (๒) การแบง ประเภทของขอมลู และการจัดลาํ ดบั ความสําคัญหรือลําดบั ชน้ั ความลบั ของ ขอ มูล ใชแนวทางตามระเบยี บวาดวยการรกั ษาความลับของทางราชการ พ.ศ.๒๕๔๔ ซึ่งระเบียบดังกลาวเปน มาตรการที่ละเอยี ด รอบคอบ ถอื วาเปนแนวทางทีเ่ หมาะสม ในการจัดการเอกสารอเิ ล็กทรอนิกส และในการรักษาความปลอดภยั ของเอกสาร อเิ ลก็ ทรอนกิ ส โดยไดกําหนดกระบวนการและกรรมวิธีตอเอกสารทีส่ าํ คัญไว ดงั นี้ (๒.๑) จัดแบง ประเภทของขอมลู ออกเปน - ขอมูลสารสนเทศดานการบริหาร เชน ขอมูลนโยบาย ขอมูลยุทธศาสตร และคํารับรอง ขอมูลบคุ ลากร ขอมูลงบประมาณการเงนิ และบญั ชี เปน ตน - ขอมูลสารสนเทศดานการแพทยและการสาธารณสุข เชน ขอมูลผูปวย ขอมลู ทางการแพทย ขอมลู สถานพยาบาล เปน ตน (๒.๒) จัดแบง ระดบั ความสาํ คัญของขอ มลู ออกเปน ๓ ระดบั คือ - ขอ มูลที่มรี ะดับความสาํ คัญมากทส่ี ดุ - ขอ มลู ทม่ี ีระดับความสาํ คัญปานกลาง - ขอมลู ทม่ี ีระดับความสาํ คญั นอ ย (๒.๓) จดั แบง ลาํ ดบั ชนั้ ความลับของขอ มลู - ขอมูลลับที่สุด หมายถึง หากเปดเผยทั้งหมดหรอื เพียงบางสวนจะกอใหเกิด ความเสียหายอยางรายแรงทีส่ ดุ - ขอ มูลลบั มาก หมายถงึ หากเปด เผยท้ังหมดหรือเพียงบางสวนจะกอใหเกิด ความเสียหายอยา งรายแรง - ขอมูลลับ หมายถึง หากเปดเผยทั้งหมดหรือเพียงบางสวนจะกอใหเกิด ความเสียหาย - ขอ มลู ทวั่ ไป หมายถึง ขอ มลู ทสี่ ามารถเปดเผยหรือเผยแพรทัว่ ไปได (๒.๔) จัดแบงระดับชน้ั การเขาถงึ - ระดบั ชั้นสาํ หรบั ผบู รหิ าร - ระดบั ชน้ั สําหรับผใู ชง านทั่วไป - ระดับช้ันสาํ หรบั ผดู ูแลระบบหรือผทู ่ไี ดม อบหมาย (๒.๕) รปู แบบของเอกสารอเิ ล็กทรอนิกส แบง ไดด งั นี้ - รูปแบบเอกสารขอความ (Text Format) เปน ไฟลท ผ่ี ลติ จากเครื่องมือที่ เปน ซอฟตแ วร ปกติเม่ือเปดไฟลจ ะสามารถเห็นตวั อักษรในไฟลแ ละพอทจี่ ะ อานขอความนนั้ ได ซ่ึงมรี ูปแบบยอ ยอีกหลายรูปแบบ เชน TEXT Format, Document Format, PDF Format (Portable Document Format) แนวปฏบิ ัตใิ นการรักษาความมัน่ คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๔
- รูปแบบเอกสารภาพ (Image Format) เปนไฟลทีผ่ ลติ จากเครอ่ื งมือท่ีเปน ซอฟตแ วร มีรูปแบบท่ีใช เชน JPEG Format, PNG or GIF Format, Bitmapping Format เปนตน ขอ ๔. ผูด แู ลระบบ ตอ งจดั ใหม กี ารตดิ ตง้ั ระบบบันทกึ และติดตามการใชงานระบบสารสนเทศของ หนวยงาน และตรวจตราการละเมิดความปลอดภัยที่มีตอระบบสารสนเทศ ขอ ๕. ผดู แู ลระบบ ตองจัดใหม กี ารบันทึกรายละเอียดการเขาถึงระบบสารสนเทศและการแกไข เปลยี่ นแปลงสทิ ธิ์ตา ง ๆ เพ่ือเปนหลกั ฐานในการตรวจสอบ ขอ ๖. ผดู แู ลระบบ ตอ งจัดใหม ีการบันทกึ การผานเขา-ออกสถานทต่ี ง้ั ของระบบสารสนเทศเพื่อเปน หลักฐานในการตรวจสอบ ขอ ๗. กําหนดเวลาการเขาถงึ ระบบสารสนเทศ ดงั น้ี (๑) ระบบงานบรกิ าร e-Service (Front Office) สาํ หรับผใู ชงานภายนอกสามารถเขา ถึงได ตลอดเวลา (๒) ระบบงานภายใน (Back Office) สําหรบั ผูใ ชง านภายในตามทห่ี นวยงานกําหนด แนวปฏบิ ัตใิ นการรกั ษาความมั่นคงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๕
สว นท่ี ๒ การบริหารจดั การการเขาถงึ ของผใู ชงาน (User Access Management) ขอ ๘. ผดู แู ลระบบ ตอ งกาํ หนดการลงทะเบยี นผใู ชงานใหม ดังน้ี (๑) จดั ทําแบบฟอรม การลงทะเบียนผูใชง าน สาํ หรบั ระบบเทคโนโลยีสารสนเทศ (๒) ผดู แู ลระบบตอ งตรวจสอบบัญชผี ใู ชงาน เพือ่ ไมใ หมีการลงทะเบียนซํ้าซอ น (๓) ผดู ูแลระบบตองตรวจสอบและใหส ทิ ธ์ิในการเขา ถึงที่เหมาะสมตอ หนา ท่ีความ รบั ผิดชอบ (ตามขอ ๓) (๔) ผดู ูแลระบบตองกําหนดใหม กี ารแจกเอกสารหรอื สง่ิ ทแ่ี สดงเปนลายลักษณอกั ษรใหแ ก ผูใชงานเพ่ือแสดงถงึ สิทธิและหนา ทีค่ วามรับผดิ ชอบของผูใชง านในการเขาถึงระบบ เทคโนโลยีสารสนเทศ ขอ ๙. ผูดแู ลระบบ ตองกําหนดการใชงานระบบเทคโนโลยสี ารสนเทศทสี่ ําคัญ เชน ระบบ คอมพิวเตอรโปรแกรมประยกุ ต (Application) จดหมายอิเล็กทรอนิกส (E-Mail) ระบบเครอื ขายไรสาย (Wireless LAN) ระบบอินเตอรเ นต็ (Internet) เปน ตน โดยตอ งใหส ทิ ธิ์เฉพาะการปฏิบัติงานในหนาทแี่ ละ ไดรับความเหน็ ชอบเปนลายลักษณอกั ษร ขอ ๑๐. ผดู ูแลระบบตอ งทบทวนบัญชีผูใชงาน สทิ ธ์ิการใชง าน อยางสมํา่ เสมอ อยางนอย ปล ะ ๑ ครั้ง เพื่อปอ งกนั การเขา ถงึ ระบบโดยไมไดรับอนญุ าต โดยปฏิบัตติ ามแนวทาง ดังน้ี (๑) พมิ พรายช่ือของผูทย่ี งั มีสิทธใิ์ นระบบแยกตามหนวยงาน (๒) จัดสงรายช่อื นนั้ ใหก บั ผบู ังคบั บญั ชาของหนว ยงานเพื่อดาํ เนินการทบทวนรายชอ่ื และ สทิ ธ์ิการเขา ใชงานวา ถูกตองหรือไม (๓) ดําเนนิ การแกไขขอมลู สทิ ธต์ิ าง ๆ ใหถ กู ตองตามที่ไดรบั แจงกลับจากหนว ยงาน (๔) ข้ันตอนปฏบิ ัติสําหรบั การยกเลกิ สทิ ธิ์การใชง าน เมอ่ื ลาออกตอ งดาํ เนนิ การภายใน ๓ วนั หรอื เมอ่ื เปล่ยี นตาํ แหนงงานภายในตองดําเนนิ การภายใน ๗ วนั ขอ ๑๑. การบริหารจดั การรหัสผา น (๑) กําหนดการเปลย่ี นแปลงและการยกเลิกรหัสผา น (Password) เมือ่ ผูใ ชง านลาออก หรือพน จากตําแหนง หรอื ยกเลิกการใชง าน (๒) กาํ หนดชอ่ื ผใู ชงานหรือรหัสผูใ ชงานตอ งไมซ า้ํ กนั (๓) สง มอบรหัสผา น (Password) ช่วั คราวใหกบั ผูใชงานดว ยวิธกี ารทีป่ ลอดภัย หลกี เล่ยี งการใชบ คุ คลอน่ื หรือการสง จดหมายอิเลก็ ทรอนิกส (E-Mail) ท่ไี มม ีการ ปอ งกันในการสงรหัสผาน (Password) (๔) กาํ หนดใหผ ูใชงานตอบยืนยนั การไดร บั รหัสผาน (Password) (๕) กําหนดจาํ นวนครัง้ ทยี่ อมใหผ ูใชง านใสรหสั ผา น (Password) ผดิ พลาดไดไมเ กนิ ๓ ครั้ง (๖) กําหนดใหผใู ชงานไมบ ันทึกหรือเกบ็ รหสั ผาน (Password) ไวในระบบคอมพวิ เตอร ในรปู แบบที่ไมไดปองกันการเขาถงึ (๗) ในกรณีมีความจาํ เปน ตองใหสิทธิ์พิเศษกบั ผูใ ชงานท่ีมสี ทิ ธส์ิ ูงสดุ ผใู ชง านน้นั จะตอง ไดรับความเหน็ ชอบและอนมุ ัติจากหัวหนาหนวยงาน โดยมกี ารกาํ หนดระยะเวลา แนวปฏบิ ตั ิในการรกั ษาความมน่ั คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๖
การใชง านและระงับการใชง านทนั ทีเมื่อพนระยะเวลาดงั กลาวหรอื พน จากตาํ แหนง และมกี ารกําหนดสิทธิ์พิเศษท่ีไดรับ วา สามารถเขา ถงึ ไดถึงระดบั ใดไดบ าง และตอง กําหนดใหร หสั ผูใชง านตา งจากรหสั ผูใชง านตามปกติ ขอ ๑๒. ผูดูแลระบบ ตอ งบรหิ ารจดั การการเขาถึงขอมูลตามประเภทชน้ั ความลบั ในการควบคุม การเขา ถงึ ขอมลู แตล ะประเภทช้นั ความลับทัง้ การเขา ถงึ โดยตรงและการเขาถึงผา นระบบงาน รวมถึงวิธี การทําลายขอมลู แตละประเภทช้ันความลบั มีดงั ตอไปนี้ (๑) ควบคมุ การเขาถึงขอมูลแตล ะประเภทชั้นความลับทั้งการเขาถึงโดยตรงและการ เขา ถงึ ผา นระบบงาน (๒) กําหนดรายชื่อผใู ชงาน (Username) และรหสั ผา น (Password) เพื่อใชในการ ตรวจสอบตัวตนจริงของผใู ชงานขอมูลในแตล ะชน้ั ความลบั ของขอ มลู (๓) กาํ หนดระยะเวลาการใชงานและระงบั การใชง านทนั ทีเมื่อพนระยะเวลาดังกลาว (๔) การรับสงขอมูลสําคญั ผานระบบเครือขา ยสาธารณะ ควรไดร ับการเขา รหัส (Encryption) ทเ่ี ปน มาตรฐานสากล เชน SSL, VPN หรอื XML Encryption เปน ตน (๕) กาํ หนดการเปล่ียนรหสั ผา น (Password) ตามระยะเวลาท่ีกาํ หนดของระดับ ความสาํ คญั ของขอมลู (๖) กําหนดมาตรการรักษาความมน่ั คงปลอดภยั ของขอ มูลในกรณที ่ีนําสนิ ทรัพยออก นอกหนวยงาน เชน บํารงุ รักษา ตรวจซอม ใหด าํ เนินการสํารองและลบขอมลู ท่ีเก็บ อยใู นสือ่ บันทกึ กอ น เปน ตน (๗) เจา ของขอ มูลตองมกี ารตรวจสอบความเหมาะสมของสิทธ์ิในการเขาถึงขอมูลของ ผใู ชง าน อยางนอยปล ะ ๑ ครั้ง เพือ่ ใหมัน่ ใจไดว าสิทธ์ิตาง ๆ ท่ใี หไ วยงั คงมี ความเหมาะสม ขอ ๑๓. ระบบงานสารสนเทศทางธุรกิจท่ีเชอื่ มโยงกนั (Business Information Systems) ใหหัวหนา หนว ยงานพิจารณาประเด็นตาง ๆ ทางดา นความมั่นคงปลอดภัย และจดุ ออนตาง ๆ กอ นตัดสินใจ ใชขอมูลรว มกนั ในระบบงาน หรือระบบเทคโนโลยสี ารสนเทศทจ่ี ะเชื่อมโยงเขาดวยกนั เชน ระหวาง กระทรวงสาธารณสุขหรือหนวยงานท่ีมาขอเชอ่ื มโยง (๑) กาํ หนดนโยบายและมาตรการเพือ่ ควบคมุ ปองกัน และบริหารจัดการการใชขอมลู รวมกนั (๒) พจิ ารณาจาํ กัดหรอื ไมอนุญาตการเขาถงึ ขอมูลสวนบคุ คล (๓) พจิ ารณาวามบี ุคลากรใดบางท่ีมสี ทิ ธหิ์ รือไดร บั อนุญาตใหเขา ใชง าน (๔) พจิ ารณาเร่ืองการลงทะเบยี นผใู ชง าน (๕) ไมอนุญาตใหมีการใชงานขอ มูลสําคญั หรือขอมูลลบั รวมกันในกรณีท่ีระบบไมมี มาตรการปองกันเพียงพอ แนวปฏบิ ตั ิในการรักษาความมนั่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๗
สว นท่ี ๓ การกาํ หนดหนาทีค่ วามรับผดิ ชอบของผูใ ชงาน (User Responsibilities) ขอ ๑๔. การใชง านรหสั ผา น ผใู ชง านตองปฏิบัติ ดังนี้ (๑) ผูใชง านมีหนา ทีใ่ นการปองกัน ดูแล รกั ษาขอมูลบญั ชีชอ่ื ผใู ชง าน (Username) และ รหสั ผา น (Password) โดยผใู ชงานแตล ะคนตอ งมีบญั ชชี ่ือผูใชงาน (Username) ของตนเอง หามใชรวมกบั ผูอื่น รวมทัง้ หามทาํ การเผยแพร แจกจา ย ทําใหผูอื่นลว งรู รหัสผา น (Password) (๒) กําหนดรหัสผานประกอบดว ยตวั อักษรไมนอยกวา ๖ ตัวอักษร ซึง่ ตอ งประกอบดวย ตัวเลข (Numerical character) ตวั อกั ษร (Alphabet) และตวั อักษรพิเศษ (Special character) (๓) ไมกําหนดรหัสผา นสวนบุคคลจากชื่อหรอื นามสกุลของตนเอง หรอื บุคคลใน ครอบครวั (๔) ไมใชรหสั ผา นสว นบุคคลสําหรบั การใชแฟมขอมลู รว มกบั บุคคลอ่ืนผา นเครือขาย คอมพวิ เตอร (๕) ไมใชโ ปรแกรมคอมพิวเตอรช ว ยในการจาํ รหัสผา นสวนบคุ คลอตั โนมัติ (save password) สาํ หรบั เคร่อื งคอมพวิ เตอรสว นบคุ คลท่ีผใู ชงานครอบครองอยู (๖) ไมจ ดหรอื บันทึกรหัสผา นสวนบุคคลไวในสถานท่ี ท่งี า ยตอ การสังเกตเห็นของบคุ คลอื่น (๗) กําหนดรหสั ผานเรม่ิ ตน ใหก ับผูใ ชงานใหย ากตอการเดา และการสงมอบรหสั ผาน ใหก ับผใู ชงานตองเปนไปอยา งปลอดภยั (๘) ผใู ชงานตองเปลยี่ นรหสั ผาน (Password) ไมเ กิน ๑๘๐ วนั หรอื ทุกครง้ั ทีม่ ีการ แจงเตือนใหเ ปลย่ี นรหัสผา น ขอ ๑๕. การนําการเขา รหัส มาใชกับขอมูลทีเ่ ปน ความลบั ผูใชงานจะตองปฏบิ ตั ิตามระเบยี บการ รักษาความลับทางราชการ พ.ศ. ๒๕๔๔ และตอ งใชวธิ ีการเขารหัส (Encryption) ทเ่ี ปนมาตรฐานสากล ขอ ๑๖. การกระทาํ ใด ๆ ทีเ่ กิดจากการใชบัญชีของผูใชงาน (Username) อันมกี ฎหมายกาํ หนดให เปนความผดิ ไมวาการกระทาํ นนั้ จะเกดิ จากผูใชง านหรอื ไมก็ตาม ใหถือวาเปนความรับผดิ ชอบสว นบุคคล ซ่งึ ผใู ชง านจะตองรบั ผดิ ชอบตอความผิดทเ่ี กิดข้ึนเอง ขอ ๑๗. ผใู ชง านตองทําการพิสูจนต ัวตนทุกครง้ั กอนทจี่ ะใชส ินทรัพยหรือระบบสารสนเทศของ หนวยงาน และหากการพสิ ูจนต วั ตนนน้ั มีปญหา ไมวา จะเกิดจากรหัสผานล็อกก็ดี หรอื เกดิ จากความผดิ พลาด ใด ๆ กด็ ี ผูใชง านตอ งแจง ใหผูดแู ลระบบทราบทันที โดยปฏบิ ตั ิตามแนวทาง ดังน้ี (๑) คอมพิวเตอรทุกประเภท กอ นการเขาถงึ ระบบปฏิบตั ิการตองทาํ การพสิ จู นตัวตนทุกครั้ง (๒) การใชง านระบบคอมพวิ เตอรอน่ื ในเครือขายจะตองทําการพสิ ูจนตัวตนทกุ คร้งั (๓) การใชงานอินเตอรเ นต็ (Internet) ตองทาํ การพสิ ูจนตัวตน และตองมีการบนั ทึก ขอ มลู ซึ่งสามารถบงบอกตัวตนบุคคลผใู ชงานได แนวปฏบิ ัติในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๘
(๔) เม่ือผใู ชงานไมอยูท ีเ่ คร่ืองคอมพวิ เตอร ตองทาํ การล็อกหนา จอทกุ คร้งั และตอง ทาํ การพิสูจนต ัวตนกอ นการใชงานทกุ ครง้ั (๕) เครือ่ งคอมพวิ เตอรท ุกเครอ่ื งตองทําการตั้งเวลาพักหนา จอ (screen saver) โดยตง้ั เวลาอยางนอย ๑๕ นาที ขอ ๑๘. ผใู ชง านตองตระหนักและระมัดระวังตอ การใชง านขอ มูล ไมวาขอ มลู นัน้ จะเปนของ กระทรวงสาธารณสขุ หรอื เปนขอมลู ของบุคคลภายนอก ขอ ๑๙. ขอมลู ท่ีเปนความลบั หรือมีระดับความสาํ คญั ท่ีอยูในการครอบครอง/ดูแลของ หนว ยงาน หา มไมใหทําการเผยแพร เปลย่ี นแปลง ทําซ้ํา หรือทําลาย โดยไมไดร ับอนุญาตจากหัวหนา หนว ยงาน ขอ ๒๐. ผูใชง านมสี ว นรวมในการดแู ลรกั ษาและรบั ผิดชอบตอขอมูลของกระทรวงสาธารณสขุ และ ขอมูลของผรู ับบริการ หากเกิดการสญู หาย โดยนาํ ไปใชใ นทางที่ผิด การเผยแพรโดยไมไดรับอนุญาต ผูใชงาน ตองมีสวนรว มในการรบั ผิดชอบตอ ความเสยี หายนน้ั ดวย ขอ ๒๑. ผใู ชง านตอ งปองกัน ดแู ล รักษาไวซงึ่ ความลับ ความถูกตอง และความพรอมใชข องขอมูล ตลอดจนเอกสาร สอื่ บนั ทึกขอมูลคอมพวิ เตอร หรือสารสนเทศตา ง ๆ ที่เส่ยี งตอ การเขา ถึงโดยผซู ง่ึ ไมมสี ิทธิ์ ขอ ๒๒. ผใู ชงานมสี ิทธโิ์ ดยชอบธรรมที่จะเกบ็ รักษา ใชง าน และปองกันขอมูลสวนบุคคลตาม เห็นสมควร กระทรวงสาธารณสขุ จะใหการสนบั สนนุ และเคารพตอสิทธิสวนบุคคล และไมอ นุญาตใหบ ุคคล หนง่ึ บุคคลใดทาํ การละเมดิ ตอขอ มูลสวนบุคคลโดยไมไ ดรบั อนุญาตจากผใู ชง านทคี่ รอบครองขอมลู นัน้ ยกเวน ในกรณที ่ีกระทรวงสาธารณสุขตอ งการตรวจสอบขอมูล หรือคาดวาขอมลู นั้นเกีย่ วขอ งกับกระทรวงสาธารณสุข ซงึ่ กระทรวงสาธารณสุขอาจแตง ต้ังใหผทู าํ หนาทตี่ รวจสอบ ทาํ การตรวจสอบขอมลู เหลาน้นั ไดตลอดเวลา โดย ไมต องแจง ใหผ ใู ชงานทราบ ขอ ๒๓. หา มเปดหรือใชง าน (Run) โปรแกรมประเภท Peer-to-Peer (หมายถงึ วิธีการจดั เครือขาย คอมพวิ เตอรแบบหนึ่ง ที่กาํ หนดใหคอมพวิ เตอรในเครือขายทกุ เคร่ืองเหมือนกนั หรือเทาเทียมกนั หมายความ วา แตละเครอ่ื งตา งมโี ปรแกรมหรือมแี ฟม ขอ มลู เก็บไวเ อง การจัดแบบนท้ี ําใหส ามารถใชโ ปรแกรมหรือ แฟม ขอ มลู ของคอมพวิ เตอรเครอื่ งใดก็ได แทนที่จะตองใชจากเครื่องบริการแฟม (File Server) เทา น้นั ) หรอื โปรแกรมท่มี ีความเสีย่ งในระดับเดียวกนั เชน บทิ เทอรเรนท( Bittorrent), อีมูล (Emule) เปน ตน เวนแตจ ะ ไดรบั อนญุ าตจากหัวหนา หนวยงาน ขอ ๒๔. หา มเปด หรือใชงาน (Run) โปรแกรมออนไลนท ุกประเภท เพือ่ ความบนั เทิง เชน การดหู นงั ฟงเพลง เกมส เปน ตน ในระหวางเวลาปฏิบัตริ าชการ ขอ ๒๕. หามใชส ินทรัพยของหนว ยงาน ทีจ่ ดั เตรียมให เพ่ือการเผยแพร ขอ มลู ขอความ รปู ภาพ หรือสิ่งอน่ื ใด ทีม่ ีลักษณะขัดตอศลี ธรรม ความมัน่ คงของประเทศ กฎหมาย หรือกระทบตอภารกิจของ กระทรวงสาธารณสุข ขอ ๒๖. หา มใชสินทรพั ยของหนวยงาน เพอ่ื การรบกวน กอ ใหเกิดความเสยี หาย หรอื ใชในการ โจรกรรมขอมูล หรอื ส่งิ อื่นใดอนั เปนการขดั ตอกฎหมายและศลี ธรรม หรอื กระทบตอ ภารกจิ ของกระทรวง สาธารณสุข แนวปฏบิ ัติในการรักษาความม่ันคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๙
ขอ ๒๗. หามใชส นิ ทรัพยของกระทรวงสาธารณสุขเพื่อประโยชนทางการคา ขอ ๒๘. หามกระทําการใด ๆ เพื่อการดักขอมูล ไมวาจะเปนขอความ ภาพ เสยี ง หรือส่งิ อื่นใด ในเครือขา ยระบบสารสนเทศของกระทรวงสาธารณสขุ โดยเดด็ ขาด ไมวา จะดวยวิธีการใด ๆ กต็ าม ขอ ๒๙. หา มกระทําการรบกวน ทําลาย หรือทาํ ใหร ะบบสารสนเทศของหนว ยงานตองหยุดชะงกั ขอ ๓๐. หา มใชร ะบบสารสนเทศของกระทรวงสาธารณสขุ เพอ่ื การควบคุมคอมพวิ เตอรหรือระบบ สารสนเทศภายนอก โดยไมไดรับอนุญาตจากหัวหนาหนว ยงานหรือผูดแู ลระบบท่ีไดรับมอบหมาย ขอ ๓๑. หา มกระทําการใด ๆ อนั มลี กั ษณะเปน การลกั ลอบใชง านหรือรับรรู หสั สว นบุคคลของผอู ื่น ไมว าจะเปน กรณใี ด ๆ เพ่ือประโยชนใ นการเขา ถงึ ขอมลู หรือเพ่ือการใชท รพั ยากรกต็ าม ขอ ๓๒. หา มตดิ ตงั้ อปุ กรณหรอื กระทาํ การใด ๆ เพอื่ เขาถงึ ระบบสารสนเทศของกระทรวง สาธารณสขุ โดยไมไดรับอนญุ าตจากหวั หนา หนว ยงานหรอื ผดู ูแลระบบที่ไดร ับมอบหมาย แนวปฏบิ ัติในการรักษาความมน่ั คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๑๐
สวนท่ี ๔ การบรหิ ารจดั การสินทรัพย (Assets Management) ขอ ๓๓. ผใู ชง านตองไมเขาไปในหองปฏิบัตกิ ารเครอื ขา ยคอมพิวเตอร (Operation Center หมายถึง สถานทีท่ ่ีใชส าํ หรบั ติดตัง้ เครอ่ื งคอมพวิ เตอรแมขายและ/หรืออุปกรณบริหารจัดการเครือขา ย) ทเ่ี ปน เขตหวงหา มโดยเดด็ ขาด เวนแตไดร ับอนญุ าตจากผดู ูแลระบบ ขอ ๓๔. ผูใชงานตอ งไมนําอปุ กรณหรอื ชนิ้ สวนใดออกจากหองปฏิบัติการเครือขา ยคอมพวิ เตอร เวน แตจะไดร บั อนญุ าตจากผูดูแลระบบ ขอ ๓๕. ผูใชง านตองไมนําเครื่องมอื หรืออปุ กรณอื่นใด เชือ่ มเขา เครอื ขายเพ่อื การประกอบธรุ กิจ สว นบคุ คล ขอ ๓๖. ผูใชง านตองไมค ดั ลอกหรือทาํ สําเนาแฟมขอมูลทม่ี ลี ิขสิทธิ์กํากบั การใชงาน กอนได รบั อนญุ าต และผูใชงานตอ งไมใ ช หรอื ลบแฟมขอมลู ของผูอื่น ไมวากรณีใด ๆ ขอ ๓๗. ผูใชง านตองทาํ ลายขอมลู สําคัญในอุปกรณส อ่ื บันทกึ ขอมลู แฟม ขอ มูล กอนทีจ่ ะกาํ จดั อุปกรณดงั กลา ว และใชเทคนิคในการลบหรือเขยี นขอมูลทับบนขอ มูลท่ีมคี วามสําคัญในอปุ กรณสาํ หรบั จัดเก็บ ขอ มลู กอนท่ีจะอนุญาตใหผ ูอื่นนําอุปกรณน ้ันไปใชงานตอ เพอ่ื ปองกันไมใหมกี ารเขาถึงขอมูลสาํ คัญนน้ั ได และ พจิ ารณาวธิ ีการทําลายขอ มูลบนส่อื บนั ทึกขอ มูลแตละประเภท ดังน้ี ประเภทส่ือบันทึกขอมูล วิธที ําลาย กระดาษ Flash Drive ใชก ารหั่นดว ยเคร่ืองหนั่ ทําลายเอกสาร แผน CD/DVD - ใหการทาํ ลายขอมลู บน Flash Drive ตามมาตรฐาน DOD เทป 5220.22 M ของกระทรวงกลาโหมสหรฐั อเมรกิ า ซึ่งเปนมาตรฐาน ฮารดดิสก การทาํ ลายขอมลู โดยการเขยี นทับขอ มลู เดมิ หลายรอบ - ใชว ธิ ีการทบุ หรือบดใหเสยี หาย ใชก ารห่ันดวยเครื่องห่นั ทาํ ลายเอกสาร ใชว ิธกี ารทุบหรือบดใหเสียหาย หรือเผาทาํ ลาย - ใชก ารทาํ ลายขอมูลบนฮารดดสิ กตามมาตรฐาน DOD 5220.22 M ของกระทรวงกลาโหมสหรฐั อเมริกา ซึง่ เปนมาตรฐานการทําลาย ขอมูลโดยการเขียนทับขอมลู เดิมหลายรอบ - ใชว ธิ ีการทุบหรอื บดใหเสียหาย ขอ ๓๘. ผูใชง านมีหนาทีต่ องรับผิดชอบตอสนิ ทรพั ยทหี่ นว ยงานมอบไวใ หใ ชงานเสมือนหนึง่ เปน สนิ ทรพั ยของผใู ชงานเอง โดยบรรดารายการสนิ ทรัพย (Asset lists) ที่ผูใ ชงานตองรับผิดชอบ การรับหรือคืน สนิ ทรัพย จะถูกบันทึกและตรวจสอบทุกครง้ั โดยเจา หนา ทที่ ี่หนวยงานมอบหมาย ขอ ๓๙. กรณที ํางานนอกสถานทผี่ ใู ชง านตอ งดูแลและรบั ผิดชอบสนิ ทรัพยของหนว ยงานท่ีไดรับ มอบหมาย แนวปฏบิ ตั ิในการรกั ษาความม่นั คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๑
ขอ ๔๐. ผูใชงานมหี นาที่ตองชดใชค าเสยี หายไมว าทรพั ยส นิ น้ันจะชํารุด หรือสญู หายตามมูลคา ทรัพยสนิ หากความเสยี หายนั้นเกิดจากความประมาทของผูใชง าน ขอ ๔๑. ผูใชงานตองไมใ หผูอ่ืนยืม คอมพวิ เตอร หรอื โนตบคุ ไมวา ในกรณใี ด ๆ เวน แตการยืมน้ัน ไดรบั การอนมุ ตั เิ ปนลายลักษณอกั ษรจากหวั หนาหนว ยงาน ขอ ๔๒. ผใู ชงานมีสิทธใ์ิ ชสินทรพั ยและระบบสารสนเทศตาง ๆ ทหี่ นว ยงานจดั เตรยี มไวใหใชง าน โดยมวี ัตถปุ ระสงคเ พ่ือการใชงานของหนว ยงานเทาน้นั หามมิใหผ ูใชงานนําสินทรัพยและระบบสารสนเทศ ตา ง ๆ ไปใชในกจิ กรรมทหี่ นวยงานไมไ ดก ําหนด หรอื ทําใหเกิดความเสยี หายตอกระทรวงสาธารณสขุ ขอ ๔๓. ความเสียหายใด ๆ ทีเ่ กดิ จากการละเมิดตามขอ ๔๒ ใหถ ือเปน ความผดิ สว นบคุ คลโดย ผูใชงานตองรบั ผิดชอบตอความเสยี หายทีเ่ กดิ ข้นึ แนวปฏบิ ัตใิ นการรักษาความมั่นคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๒
สว นท่ี ๕ การควบคุมการเขาถึงเครอื ขา ย (Network Access Control) ขอ ๔๔. มาตรการควบคุมการเขา -ออกหองควบคมุ เคร่อื งคอมพวิ เตอรแมขาย (Server) (๑) ผตู ิดตอ จากหนวยงานภายนอกทุกคน ตอ งทาํ การแลกบตั รทใ่ี ชระบตุ วั ตน เชน บตั รประชาชน หรอื ใบอนุญาตขบั ขี่ กับเจาหนา ที่รกั ษาความปลอดภยั เพื่อรับบัตร ผตู ดิ ตอ (Visitor) แลว ทาํ การลงบนั ทกึ ขอมลู ลงในสมุดบนั ทึก ตามทร่ี ะบุไวใ นเอกสาร “บันทกึ การเขา ออกพืน้ ท่ี” (๒) ผตู ิดตอ จากหนว ยงานภายนอก ทน่ี าํ อุปกรณคอมพวิ เตอร หรอื อปุ กรณท่ีใชใ นการ ปฏบิ ัตงิ านมาปฏบิ ตั งิ านทหี่ องควบคมุ ระบบเครือขา ย ตอ งลงบนั ทึกรายการอปุ กรณ ในแบบฟอรมการขออนุญาตเขา ออกตามท่ีระบไุ วในเอกสาร “บันทกึ การเขาออก พน้ื ท”ี่ ใหถ ูกตองชดั เจน (๓) ผูด ูแลระบบ ตองตรวจสอบความถูกตองของขอมูลในสมดุ บันทกึ แบบฟอรมการ ขออนุญาตเขา ออกกบั เจาหนาท่ีรกั ษาความปลอดภัยเปน ประจาํ ทุกเดือน ขอ ๔๕. ผูใชง านจะนาํ เคร่ืองคอมพิวเตอร อปุ กรณม าเชื่อมตอกับเคร่ืองคอมพิวเตอร ระบบ เครอื ขายของหนว ยงาน ตองไดรับอนุญาตจากหวั หนา หนว ยงานและตองปฏบิ ตั ิตามนโยบายนโี้ ดยเครงครัด โดยผใู้ ชง้ านตอ้ งกรอกแบบฟอร์ม “การขอเชือมต่อเครือข่าย” โดยดาวน์โหลดผา่ น เวบ็ ไซตข์ องกระทรวง สาธารณสุข หวั ขอ้ Intranet สาธารณสุข ขอ ๔๖. การขออนญุ าตใชง านพื้นท่ี Web Server ชือ่ โดเมนยอ ย (Sub Domain Name) ทีห่ นว ยงานรับผดิ ชอบอยู จะตองทาํ หนังสือขออนุญาตตอหัวหนาหนวยงาน และจะตอ งไมต ดิ ต้ังโปรแกรม ใด ๆ ที่สงผลกระทบตอ การกระทําของระบบและผใู ชงานอื่น ๆ ขอ ๔๗. หา มผูใดกระทําการเคล่ือนยา ย ติดตั้งเพ่ิมเตมิ หรือทาํ การใด ๆ ตอ อุปกรณส วนกลาง ไดแ ก อุปกรณจัดเสน ทาง (Router) อปุ กรณกระจายสญั ญาณขอมลู (Switch) อปุ กรณที่เช่ือมตอกบั ระบบเครือขาย หลกั โดยไมไดร บั อนญุ าตจากผูดแู ลระบบ ขอ ๔๘. ผูดูแลระบบ ตอ งควบคมุ การเขา ถงึ ระบบเครือขา ย เพ่ือบรหิ ารจดั การระบบเครือขา ยได อยา งมปี ระสทิ ธิภาพ ดงั ตอ ไปนี้ (๑) ตองจํากัดสิทธ์ิการใชง านเพื่อควบคุมผใู ชงานใหส ามารถใชงานเฉพาะระบบเครือขา ย ที่ไดร ับอนญุ าตเทานัน้ (๒) ตองจํากัดเสน ทางการเขาถงึ ระบบเครือขา ยทีม่ กี ารใชง านรวมกัน (๓) ตอ งจํากัดการใชเสนทางบนเครอื ขายจากเครื่องคอมพิวเตอรไ ปยังเครื่องคอมพวิ เตอร แมขาย เพอ่ื ไมใ หผใู ชงานสามารถใชเสน ทางอน่ื ๆ ได (๔) ระบบเครือขา ยทง้ั หมดของหนว ยงานท่มี กี ารเช่ือมตอไปยงั ระบบเครือขา ยอ่นื ๆ ภายนอกหนว ยงานตองเชอ่ื มตอผานอปุ กรณปองกนั การบุกรุก รวมทงั้ ตองมี ความสามารถในการตรวจจับโปรแกรมประสงคร า ย (Malware) ดว ย แนวปฏบิ ตั ใิ นการรักษาความมัน่ คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๓
(๕) ระบบเครือขายตองติดตัง้ ระบบตรวจจับการบุกรุก (Intrusion Prevention System/Intrusion Detection System) เพื่อตรวจสอบการใชง านของบุคคลท่ีเขา ใชงานระบบเครือขายของหนวยงานในลกั ษณะทผ่ี ิดปกติ (๖) การเขาสูระบบเครือขายภายในหนวยงาน โดยผานทางระบบอนิ เตอรเน็ตจําเปน ตอง มกี ารลงบันทึกเขาใชงาน (Login) โดยแสดงตัวตนดว ยช่อื ผูใชงาน และตอ งมีการ พิสจู นย ืนยันตัวตน (Authentication) ดวยการใชร หัสผาน เพื่อตรวจสอบความ ถูกตองของผใู ชงานกอนทกุ ครั้ง (๗) ตองปองกันมใิ หหนว ยงานภายนอกทเ่ี ชื่อมตอสามารถมองเหน็ IP Address ภายใน ของระบบเครือขา ยภายในของหนวยงาน (๘) ตอ งจดั ทําแผนผงั ระบบเครอื ขาย (Network Diagram) ซ่ึงมีรายละเอียดเกยี่ วกับ ขอบเขตของระบบเครือขายภายในและเครือขายภายนอก และอปุ กรณต าง ๆ พรอ มทงั้ ปรับปรุงใหเปน ปจ จุบันอยเู สมอ (๙) การระบุอปุ กรณบ นเครือขา ย - ผดู ูแลระบบมกี ารเกบ็ บญั ชีการขอเชือ่ มตอเครือขา ย ไดแ ก รายชอ่ื ผูขอใชบ ริการ รายละเอียด เคร่อื งคอมพวิ เตอรทขี่ อใชบรกิ าร IP Address และสถานทต่ี ิดตัง้ - ผดู แู ลระบบตอ งจํากดั ผใู ชง านท่สี ามารถเขาใชอ ปุ กรณได - กรณอี ปุ กรณท่ีมีการเชอ่ื มตอจากเครือขายภายนอก ตอ งมีการระบุหมายเลข อุปกรณวา สามารถเขา เชื่อมตอกบั เครอื ขา ยภายในไดหรือไมสามารถเช่ือมตอได - อปุ กรณเครอื ขายตองสามารถตรวจสอบ IP Address ของท้ังตน ทางและ ปลายทางได - ผูขอใชบ รกิ ารตองกรอกแบบฟอรม “การขอเช่ือมตอเครือขา ย” โดยดาวนโ หลด ผา น เว็บไซตข องกระทรวงสาธารณสุข หัวขอ Intranet สาธารณสุข - การเขา ใชงานอุปกรณบนเครือขายตองทําการพสิ จู นต ัวตนทกุ ครั้งที่ใชอปุ กรณ ขอ ๔๙. ผูดูแลระบบ ตองบริหารควบคุมเครื่องคอมพิวเตอรแมขา ย (Server) และรับผดิ ชอบในการ ดูแลระบบคอมพิวเตอรแมข า ย (Server) ในการกําหนดแกไข หรือเปล่ียนแปลงคา ตา ง ๆ ของซอฟตแวรระบบ (Systems Software) ขอ ๕๐. การตดิ ต้งั หรือปรบั ปรงุ ซอฟตแวรของระบบงานตองมีการขออนุมตั จิ ากผดู ูแลระบบให ติดตง้ั กอนดําเนนิ การ ขอ ๕๑. กาํ หนดใหม ีการจดั เก็บซอรสโคด ไลบรารี่ และเอกสารสําหรับซอฟตแวรข องระบบงาน ไวใ นสถานท่ที ่ีมีความมั่นคงปลอดภัย ขอ ๕๒. การจัดเกบ็ ขอมูลจราจรทางคอมพิวเตอร (Log) เพ่อื ใหขอมูลจราจรทางคอมพวิ เตอร มคี วามถูกตองและสามารถระบถุ ึงตวั บุคคลไดตามแนวทาง พ.ร.บ. คอมพวิ เตอร ๒๕๕๐ แนวปฏบิ ตั ใิ นการรักษาความมน่ั คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๔
ขอ ๕๓. กาํ หนดมาตรการควบคุมการใชง านระบบเครือขา ยและเคร่ืองคอมพิวเตอรแ มขาย (Server) จากผใู ชงานภายนอกหนวยงาน เพอื่ ดแู ลรักษาความปลอดภัยของระบบ ตามแนวทางปฏบิ ตั ิ ดงั ตอ ไปนี้ (๑) บุคคลจากหนว ยงานภายนอกทีต่ อ งการสทิ ธิ์ในการเขา ใชงานระบบเครือขายและ เคร่ืองคอมพวิ เตอรแมขาย (Server) ของหนว ยงานจะตองทําเรอื่ งขออนุญาตเปน ลายลักษณอกั ษร เพ่ือขออนุญาตจากหัวหนาหนว ยงาน (๒) มกี ารควบคุมชอ งทาง (Port) ที่ใชในการเขา สูระบบอยางรัดกมุ (๓) วธิ ีการใด ๆ ท่ีสามารถเขา สูขอมูล หรือระบบขอมลู ไดจ ากระยะไกลตองไดรับการ อนญุ าตจากหวั หนา หนวยงาน (๔) การเขา สรู ะบบจากระยะไกล ผูใชง านตองแสดงหลักฐาน ระบุเหตุผลหรอื ความ จาํ เปนในการดําเนนิ งานกบั หนว ยงานอยางเพยี งพอ (๕) การเขา สูระบบเครือขา ยภายในและระบบสารสนเทศในหนวยงานจากระยะไกลตอง มกี ารลงบันทึกเขา ใชง าน (Login) โดยแสดงตวั ตนดวยช่อื ผูใชง าน และตอ งมีการ พิสจู นยืนยันตัวตน (Authentication) ดว ยการใชร หัสผาน เพอื่ ตรวจสอบความ ถูกตองของผใู ชง านกอ นทุกคร้ัง ขอ ๕๔. กําหนดใหมีการแบง แยกเครอื ขา ย ดังตอไปนี้ (๑) Internet แบง แยกเครือขา ยเปน เครือขายยอ ย ๆ ตามอาคารตาง ๆ เพื่อควบคุมการ เขาถึงเครอื ขายโดยไมไดร ับอนญุ าต (๒) Intranet แบง เครอื ขายภายในและเครือขายภายนอก เพื่อความปลอดภัยในการใช งานระบบสารสนเทศภายใน ขอ ๕๕. กําหนดการปองกนั เครือขา ยและอปุ กรณตาง ๆ ทีเ่ ชอ่ื มตอกับระบบเครือขายอยา งชัดเจน และตอ งทบทวนการกาํ หนดคา Parameter ตา ง ๆ เชน IP Address อยางนอยปละ ๑ ครั้ง นอกจากนี้ การกาํ หนดแกไ ขหรอื เปล่ียนแปลงคา parameter ตอ งแจงบุคคลท่ีเก่ียวของใหร ับทราบทกุ ครงั้ ขอ ๕๖. ระบบเครือขา ยท้ังหมดทม่ี ีการเช่ือมตอ ไปยงั ระบบเครือขายอน่ื ๆ ภายนอกหนว ยงาน ตอ งเชอ่ื มตอ ผา นอุปกรณป องกนั การบุกรุกหรอื โปรแกรมในการทาํ Packet filtering เชน การใชไฟรวอลล (Firewall) หรอื ฮารดแวรอ ื่น ๆ รวมท้งั ตอ งมีความสามารถในการตรวจจบั มัลแวร (Malware) ดวย ขอ ๕๗. ตองมีการตดิ ต้ังระบบตรวจจับการบกุ รุก (IPS/IDS) เพอ่ื ตรวจสอบการใชง านของบุคคล ทเ่ี ขา ใชงานระบบเครือขายของหนวยงาน ในลกั ษณะท่ีผดิ ปกติ โดยมีการตรวจสอบการบุกรกุ ผา นระบบ เครือขาย การใชง านในลักษณะทผ่ี ิดปกติ และการแกไขเปลยี่ นแปลงระบบเครือขา ย โดยบุคคลท่ีไมมีอาํ นาจ หนาทเี่ ก่ียวของ ขอ ๕๘. IP address ของระบบงานเครอื ขายภายในจําเปนตอ งมีการปองกันมิใหห นว ยงานภายนอก ทเี่ ชื่อมตอสามารถมองเหน็ ได เพื่อเปน การปองกนั ไมใ หบุคคลภายนอกสามารถรูขอ มูลเกย่ี วกับโครงสรา งของ ระบบเครือขา ยไดโดยงา ย แนวปฏบิ ตั ใิ นการรักษาความม่ันคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๕
ขอ ๕๙. การใชเครือ่ งมือตา ง ๆ (Tools) เพอ่ื การตรวจสอบระบบเครอื ขายตองไดร ับการอนมุ ตั ิจาก ผดู ูแลระบบและจาํ กัดการใชงานเฉพาะเทาทจี่ าํ เปน แนวปฏบิ ัตใิ นการรักษาความมัน่ คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๑๖
สวนท่ี ๖ การควบคุมการเขาถงึ ระบบปฏบิ ตั ิการ (Operating System Access Control) ขอ ๖๐. ผดู แู ลระบบ ตอ งกาํ หนดการลงทะเบยี นบุคลากรใหมของหนวยงาน (โดยปฏิบตั ติ ามขอ ๘) ในการใชงานตามความจําเปนรวมทั้งข้นั ตอนปฏบิ ตั สิ ําหรับการยกเลิกสิทธิ์การใชงาน (โดยปฏบิ ัติตามขอ ๑๐) เชน การลาออก หรอื การเปลยี่ นตําแหนง งานภายในหนว ยงาน เปนตน ขอ ๖๑. กําหนดขนั้ ตอนการปฏิบตั ิเพื่อเขาใชง าน (๑) ผูใชง านตองกําหนดรหัสผา นในการใชง านเคร่ืองคอมพวิ เตอรท ี่รบั ผดิ ชอบ (๒) หลงั จากระบบตดิ ตง้ั เสร็จ ตอ งยกเลิกบญั ชีผใู ชง านหรือเปล่ียนรหัสผานของทุกรหัส ผูใ ชงานที่ไดถูกกําหนดไวเ ริ่มตน ทีม่ าพรอ มกบั การตดิ ตง้ั ระบบทันที (๓) ผใู ชงานตอ งตั้งคาการใชง านโปรแกรมถนอมหนา จอ (Screen saver) เพื่อทําการ ล็อกหนา จอภาพเม่ือไมม ีการใชงาน หลังจากน้ันเมือ่ ตองการใชง านผูใชงานตอง ใสรหสั ผาน (Password) เพอ่ื เขา ใชง าน (๔) กอนการเขา ใชระบบปฏบิ ัติการตองทําการลงบันทึกเขา ใชง าน (Login) ทุกครง้ั (๕) ผใู ชง านตองไมอนญุ าตใหผ ูอ่นื ใชชื่อผใู ชงาน (Username) และรหัสผา น (Password) ของตนในการเขาใชงานเครือ่ งคอมพิวเตอรข องหนวยงานรว มกนั (๖) ผใู ชงานตองทาํ การลงบนั ทึกออก (Logout) ทันทีเมื่อเลกิ ใชงานหรอื ไมอยูที่หนา จอ เปนเวลานาน (๗) หา มเปด หรือใชง านโปรแกรมประเภท Peer-to-Peer หรือโปรแกรมท่ีมีความเสย่ี ง เวนแตจ ะไดรบั อนุญาตจากหัวหนา หนวยงานกระทรวงสาธารณสขุ (๘) ซอฟตแวรท ก่ี ระทรวงสาธารณสขุ ใชม ีลขิ สทิ ธ ผใู ชงานสามารถขอใชง านไดตาม หนา ทค่ี วามจําเปน และหามไมใ หผ ูใชง านทาํ การติดตง้ั หรือใชงานซอฟตแ วรอ ื่นใด ท่ไี มมลี ิขสทิ ธ์ิ หากตรวจพบ ถือวา เปน ความผดิ สว นบุคคล ผูใชง านรบั ผิดชอบแต เพยี งผเู ดยี ว (๙) ซอฟทแ วรท ีก่ ระทรวงสาธารณสขุ จดั เตรยี มไวใหผใู ชงาน ถือเปนส่ิงจําเปน หา มมิให ผใู ชงานทาํ การตดิ ตั้ง ถอดถอนเปล่ยี นแปลง แกไ ข หรือทําสาํ เนาเพ่ือนําไปใชงาน ทอี่ ื่น (๑๐) หามใชท รพั ยากรทุกประเภททเ่ี ปนของกระทรวงสาธารณสุข เพื่อประโยชนทาง การคา (๑๑) หา มผใู ชง านนาํ เสนอขอ มลู ทีผ่ ิดกฎหมาย ละเมิดลิขสทิ ธ์ิ แสดงขอความรปู ภาพ ไมเ หมาะสม หรอื ขดั ตอศลี ธรรม กรณีผใู ชง านสรางเวบ็ เพจบนเครือขายคอมพวิ เตอร (๑๒) หา มผูใชงานของหนว ยงาน ควบคุมคอมพวิ เตอรห รอื ระบบสารสนเทศภายนอก โดยไมไ ดรับอนญุ าตจากหวั หนาหนวยงาน ขอ ๖๒. การระบุและยนื ยันตัวตนของผใู ชงาน (User Identification and Authentication) กาํ หนดใหผ ูใชงานแสดงตวั ตนดวยช่ือผใู ชงาน และตองมีการพสิ ูจนยนื ยนั ตวั ตนดวยการใชร หสั ผา น เพือ่ ตรวจสอบความถูกตองของผใู ชง านกอนทุกครง้ั แนวปฏบิ ตั ิในการรักษาความม่ันคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๗
ขอ ๖๓. การใชง านโปรแกรมประเภทยูทลิ ิต้ี (Use of system utilities) ตองจํากดั และควบคุมการ ใชง าน โปรแกรมยูทลิ ติ ้ีสาํ หรับโปรแกรมคอมพิวเตอรทส่ี ําคัญ เนือ่ งจากการใชงานโปรแกรมยทู ิลิต้ีบางชนดิ สามารถทําใหผ ูใ ชห ลกี เลี่ยงมาตรการปองกนั ทางดานความมน่ั คงปลอดภัยของระบบได เพอ่ื ปองกันการละเมดิ หรอื หลีกเล่ยี งมาตรการความมนั่ คงปลอดภยั ท่ไี ดกําหนดไวหรือท่ีมีอยแู ลว ใหดําเนนิ การ ดังนี้ (๑) การใชง านโปรแกรมยูทลิ ิตี้ ตองไดร บั การอนุมัตจิ ากผดู ูแลระบบ และตองมีการพสิ ูจน ยนื ยนั ตัวตนสําหรบั การเขา ไปใชงานโปรแกรมยูทิลิตี้ เพอ่ื จํากัดและควบคุมการ ใชงาน (๒) โปรแกรมยูทลิ ิตที้ นี่ าํ มาใชง านตอ งไมล ะเมดิ ลิขสิทธิ์ (๓) ตองจัดเกบ็ โปรแกรมยูทิลติ ีอ้ อกจากซอฟตแวรส าํ หรบั ระบบงาน (๔) มกี ารจาํ กัดสทิ ธ์ิผูทไี่ ดรับอนญุ าตใหใชง านโปรแกรมยูทลิ ติ ี้ (๕) ตองยกเลิกหรือลบท้ิงโปรแกรมยูทลิ ิตแ้ี ละซอฟตแ วรท ี่เกีย่ วของกบั ระบบงานท่ีไมมี ความจําเปน ในการใชงาน รวมทั้งตองปอ งกันไมใหผใู ชง านสามารถเขาถึงหรือใชงาน โปรแกรมยูทิลิตไ้ี ด ขอ ๖๔. การกําหนดเวลาใชงานระบบสารสนเทศ (Session time-out) (๑) กําหนดใหร ะบบสารสนเทศมีการตัดและหมดเวลาการใชงาน รวมท้งั ปด การใชงาน ดวย หลังจากทีไ่ มมีกิจกรรมการใชงานชว งระยะเวลา ๑๕ นาที (๒) กาํ หนดใหร ะบบสารสนเทศมีการตัดและหมดเวลาการใชง านทส่ี นั้ ขึน้ สาํ หรับระบบ สารสนเทศท่มี ีความเสย่ี งสงู ขอ ๖๕. การจาํ กัดระยะเวลาการเชอ่ื มตอระบบเทคโนโลยีสารสนเทศ (Limitation of connection time) (๑) กาํ หนดใหร ะบบเทคโนโลยีสารสนเทศมกี ารจาํ กัดระยะเวลาการเชอ่ื มตอสําหรับการ ใชงานเพ่ือใหผใู ชงานสามารถใชง านไดนานที่สุดภายในระยะเวลาทกี่ ําหนด และ กําหนดใหใชง านไดต ามชวงเวลาการทํางานท่ีหนวยงานกาํ หนดเทาน้ัน (๒) กําหนดใหร ะบบเทคโนโลยีสารสนเทศ ทม่ี คี วามสาํ คญั สูง ระบบงานที่มกี ารใชงานใน สถานทีท่ ีม่ ีความเส่ยี ง (ในท่สี าธารณะหรือพน้ื ทภ่ี ายนอกหนวยงาน) มีการจํากดั ชวง ระยะเวลาการเชื่อมตอ แนวปฏบิ ัตใิ นการรักษาความมนั่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๘
สวนท่ี ๗ การควบคุมการเขา ถึงโปรแกรมประยกุ ตหรือแอพพลเิ คชั่นและสารสนเทศ (Application and Information Access Control) ขอ ๖๖. ผดู ูแลระบบ ตอ งกาํ หนดการลงทะเบยี นผใู ชงานใหม (โดยปฏิบัติตามขอ ๘) ในการใชงาน ตามความจาํ เปน รวมทั้งข้นั ตอนปฏิบตั ิสาํ หรบั การยกเลิกสิทธ์ิการใชงาน (โดยปฏบิ ัติตามขอ ๑๐) เชน การ ลาออก หรอื การเปล่ยี นตาํ แหนงงานภายในหนวยงาน เปนตน ขอ ๖๗. ผูดแู ลระบบ ตอ งกาํ หนดสทิ ธ์ิการใชง านระบบเทคโนโลยสี ารสนเทศทสี่ าํ คญั เชน ระบบคอมพิวเตอรโปรแกรมประยกุ ต (Application) จดหมายอิเล็กทรอนิกส (E-Mail) ระบบเครือขายไรส าย (Wireless LAN) ระบบอนิ เตอรเ น็ต (Internet) เปน ตน โดยตองใหสิทธ์ิเฉพาะการปฏบิ ัติงานในหนาที่ และตอ งไดร บั ความเห็นชอบจากหัวหนา หนวยงานเปน ลายลกั ษณอักษร รวมท้ังตองทบทวนสทิ ธ์ิดังกลาว อยา งสมา่ํ เสมอ ขอ ๖๘. ผูดูแลระบบ ตองกําหนดระยะเวลาในการเช่อื มตอระบบสารสนเทศ ทใี่ ชใ นการปฏิบตั ิงาน ระบบสารสนเทศตา ง ๆ เมือ่ ผใู ชง านไมม ีการใชงานระบบสารสนเทศ เกนิ ๑๕ นาที ระบบจะยตุ ิการใชงาน ผูใ ชง านตองทําการการลงบันทกึ เขา ใชงาน (Login) กอนเขา ระบบสารสนเทศอีกครั้ง ขอ ๖๙. ผูดแู ลระบบ ตอ งบริหารจดั การสทิ ธิ์การใชงานระบบและรหัสผานของบุคลากรดังตอไปนี้ (๑) กําหนดการเปลย่ี นแปลงและการยกเลกิ รหสั ผาน (Password) เมือ่ ผใู ชง านระบบ ลาออก หรือพน จากตําแหนง หรอื ยกเลิกการใชง าน (๒) กําหนดใหผ ใู ชง านไมบ นั ทึกหรือเก็บรหัสผาน (Password) ไวใ นระบบคอมพวิ เตอร ในรปู แบบท่ีไมไ ดปอ งกนั การเขาถึง (๓) กาํ หนดช่อื ผูใชงานหรือรหัสผใู ชง านตองไมซํา้ กัน (๔) ในกรณมี ีความจาํ เปน ตองใหส ิทธิ์พิเศษกบั ผูใชง านท่ีมสี ิทธสิ์ ูงสดุ ผูใชงานนั้นจะตอง ไดร ับความเห็นชอบและอนุมัตจิ ากหัวหนา หนว ยงาน โดยมีการกาํ หนดระยะเวลา การใชง านและระงับการใชง านทันทเี ม่ือพน ระยะเวลาดงั กลาวหรอื พน จากตาํ แหนง และมีการกําหนดสทิ ธ์ิพเิ ศษที่ไดร บั วาเขา ถึงไดถึงระดบั ใดไดบ า ง และตองกําหนดให รหัสผใู ชง านตางจากรหัสผใู ชงานตามปกติ ขอ ๗๐. ผูด ูแลระบบ ตองบริหารจัดการการเขาถึงขอมูลตามประเภทชั้นความลับในการควบคมุ การ เขา ถึงขอมูลแตละประเภทชัน้ ความลับท้ังการเขาถึงโดยตรงและการเขาถงึ ผานระบบงาน รวมถึงวิธีการทําลาย ขอมลู แตล ะประเภทชั้นความลบั ดังตอ ไปนี้ (๑) ตองควบคุมการเขา ถึงขอมูลแตล ะประเภทชั้นความลบั ทั้งการเขา ถึงโดยตรงและ การเขา ถึงผานระบบงาน (๒) ตอ งกําหนดรายชือ่ ผูใชงาน (Username) และรหัสผาน (Password) เพ่ือใชใน การตรวจสอบตวั ตนจริงของผูใชงานขอ มลู ในแตล ะชน้ั ความลับของขอ มลู (๓) กําหนดระยะเวลาการใชง านและระงบั การใชง านทันทีเม่ือพนระยะเวลาดังกลาว แนวปฏบิ ัตใิ นการรกั ษาความมนั่ คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๑๙
(๔) การรบั สง ขอมูลสําคัญผานระบบเครอื ขายสาธารณะ ควรไดรบั การเขา รหสั (Encryption) ทีเ่ ปนมาตรฐานสากล เชน SSL, VPN หรอื XML Encryption เปนตน (๕) กําหนดการเปลยี่ นรหัสผาน (Password) ตามระยะเวลาท่กี ําหนดของระดบั ความสาํ คัญของขอมลู (๖) กําหนดมาตรการรกั ษาความม่นั คงปลอดภยั ของขอมลู ในกรณีท่นี ําสนิ ทรัพยออก นอกหนว ยงาน เชน บํารงุ รกั ษา ตรวจซอม ใหดําเนนิ การสํารองและลบขอ มูล ท่ีเก็บอยใู นส่อื บนั ทึกกอน เปน ตน ขอ ๗๑. ระบบซ่งึ ไวตอ การรบกวน มีผลกระทบและมีความสําคัญสูง ใหปฏบิ ตั ิดงั น้ี (๑) แยกระบบทีไ่ วตอการรบกวนออกจากระบบงานอน่ื ๆ (๒) มกี ารควบคุมสภาพแวดลอมของตนเอง โดยมีหองปฏิบตั ิงานแยกเปน สัดสวน (๓) มีการกําหนดสิทธิ์ใหเฉพาะผูทม่ี สี ิทธใ์ิ ชระบบเทานน้ั ขอ ๗๒. การใชงานอุปกรณคอมพวิ เตอรแ ละสื่อสารเคลือ่ นที่ ตองปฏบิ ตั ิดงั ตอ ไปนี้ (๑) ตรวจสอบความพรอมของคอมพวิ เตอร และอุปกรณท่จี ะนําไปใชง านวา อยูในสภาพ พรอมใชง านหรือไม และตรวจสอบโปรแกรมมาตรฐานวา ถูกตอ งตามลขิ สิทธ์ิ (๒) ระมดั ระวังไมใหบ คุ คลภายนอกคดั ลอกขอมูลจากคอมพิวเตอรทนี่ ําไปใชได เวนแต ขอ มลู ที่ไดม ีการเผยแพรเ ปน การทว่ั ไป (๓) เม่อื หมดความจําเปนตองใชอุปกรณคอมพวิ เตอรและส่อื สารเคลอื่ นทแ่ี ลว ใหรีบนาํ สง คนื เจา หนา ท่ีทร่ี บั ผิดชอบทันที (๔) เจาหนา ทผ่ี ูรบั ผิดชอบในการรับคืนตอ งตรวจสอบสภาพความพรอมใชง านของ อุปกรณคอมพวิ เตอรและสื่อสารเคลอ่ื นท่ีที่รบั คืนดว ย (๕) หากปรากฎวาความเสยี หายที่เกดิ ขึน้ นน้ั เกดิ จากความประมาทอยางรา ยแรงของ ผนู ําไปใช ผนู าํ ไปใชตองรับผดิ ชอบตอความเสียหายที่เกิดข้ึน แนวปฏบิ ตั ใิ นการรกั ษาความม่นั คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๐
สวนท่ี ๘ การบรหิ ารจดั การซอฟตแวรและลิขสิทธ์ิ และการปองกนั โปรแกรมไมประสงคดี (Software Licensing and intellectual property and Preventing MalWare) ขอ ๗๓. กระทรวงสาธารณสขุ ไดใ หความสาํ คญั ตอเรอ่ื งทรัพยสนิ ทางปญญา ดังน้นั ซอฟตแ วรท่ี หนว ยงานอนุญาตใหใชงานหรือทหี่ นว ยงานมลี ขิ สิทธ์ิ ผใู ชง านสามารถขอใชงานไดตามหนาท่ีความจําเปน และ หา มไมใหผ ใู ชง านทาํ การติดตั้งหรอื ใชงานซอฟตแวรอนื่ ใดที่ไมม ลี ขิ สิทธ์ิ หากมกี ารตรวจสอบพบความผิดฐาน ละเมดิ ลขิ สทิ ธ์ิ ถือวาเปนความผดิ สว นบคุ คล ผใู ชง านจะตองรับผิดชอบแตเ พยี งผเู ดยี ว ขอ ๗๔. ซอฟตแวร (Software) ทหี่ นวยงานไดจ ัดเตรยี มไวใหผใู ชงาน ถือเปนสิ่งจาํ เปนตอการทํางาน หา มมิใหผใู ชงานทาํ การ ถอดถอน เปลย่ี นแปลง แกไ ข หรอื ทําสาํ เนาเพื่อนําไปใชง านทอ่ี ่ืน ๆ ยกเวน ไดรบั การ อนญุ าตจากหัวหนาหนวยงานหรอื ผูทไ่ี ดรับมอบหมายทมี่ ีสิทธิ์ในลิขสิทธิ์ ขอ ๗๕. คอมพวิ เตอรของผใู ชง านติดต้ังโปรแกรมปอ งกันไวรสั คอมพิวเตอร (Anti virus) ตามที่ หนว ยงานไดป ระกาศใหใช เวน แตคอมพวิ เตอรน ้ันเปน เครื่องเพอ่ื การศึกษา โดยตองไดร บั อนญุ าตจากหวั หนา หนวยงาน ขอ ๗๖. บรรดาขอมลู ไฟล ซอฟตแวร หรือสิง่ อื่นใด ท่ไี ดร บั จากผใู ชงานอืน่ ตองไดรบั การตรวจสอบ ไวรัสคอมพวิ เตอรและโปรแกรมไมประสงคด ีกอ นนํามาใชง านหรอื เก็บบันทกึ ทุกครัง้ ขอ ๗๗. ผใู ชง านตองทําการปรบั ปรุงขอมูล สาํ หรบั ตรวจสอบและปรับปรงุ ระบบปฏิบัติการ (Update patch) ใหใหมเสมอ เพ่ือเปน การปองกันความเสียหายทอี่ าจเกดิ ขึ้น ขอ ๗๘. ผใู ชง านตอ งพึงระวงั ไวรสั และโปรแกรมไมประสงคดตี ลอดเวลา รวมทั้งเม่ือพบสง่ิ ผดิ ปกติ ผใู ชง านตองแจงเหตแุ กผ ูดูแลระบบ ขอ ๗๙. เมอ่ื ผใู ชงานพบวาเครื่องคอมพิวเตอรต ิดไวรัส ผูใชงานตองไมเช่อื มตอเครอ่ื งคอมพิวเตอร เขาสูเครอื ขา ย และตอ งแจง แกผ ูดแู ลระบบ ขอ ๘๐. หามลกั ลอบทําสาํ เนา เปลีย่ นแปลง ลบทิ้ง ซง่ึ ขอมูล ขอ ความ เอกสาร หรอื สงิ่ ใด ๆ ที่เปน สินทรัพยของหนวยงาน หรอื ของผูอน่ื โดยไมไดร ับอนุญาตจากหวั หนา หนวยงาน ขอ ๘๑. หามทาํ การเผยแพรไวรัสคอมพิวเตอร มลั แวร หรอื โปรแกรมอันตรายใด ๆ ทอ่ี าจกอใหเ กิด ความเสียหายมาสูสนิ ทรัพยของหนว ยงาน สิทธิ์ทจ่ี ะพฒั นาโปรแกรมหรือฮารด แวรใด ๆ สามารถดําเนนิ การได แตต องไมด าํ เนินการดงั น้ี (๑) พัฒนาโปรแกรมหรือฮารด แวรใ ด ๆ ทจ่ี ะทาํ ลายกลไกรกั ษาความปลอดภยั ระบบ รวมท้ังการกระทําในลกั ษณะเปนการแอบใชรหสั ผา น การลกั ลอบทาํ สําเนาขอมลู บคุ คลอืน่ หรือแกะรหสั ผา นของบคุ คลอน่ื (๒) พฒั นาโปรแกรมหรือฮารดแวรใด ๆ ซึ่งทาํ ใหผ ใู ชง านมีสทิ ธแิ์ ละลําดบั ความสาํ คัญ ในการครอบครองทรัพยากรระบบมากกวา ผูใ ชง านอืน่ (๓) พัฒนาโปรแกรมใดท่ีจะทาํ ซ้ําตัวโปรแกรมหรือแฝงตัวโปรแกรมไปกบั โปรแกรมอน่ื ในลกั ษณะเชนเดยี วกับหนอนหรือไวรัสคอมพวิ เตอร (๔) พัฒนาโปรแกรมหรือฮารด แวรใ ด ๆ ท่จี ะทําลายระบบจํากัดสิทธิการใช (License) ซอฟตแวร แนวปฏบิ ตั ใิ นการรกั ษาความม่ันคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๑
(๕) นําเสนอขอมูลทผี่ ดิ กฎหมาย ละเมดิ ลขิ สทิ ธ์ิแสดงขอ ความรูปภาพไมเ หมาะสม หรอื ขดั ตอศลี ธรรมประเพณอี ันดงี ามของประเทศไทย กรณีทผี่ ใู ชง านสรางเวบ็ เพจ บนเครอื ขายคอมพวิ เตอร ขอ ๘๒. การพฒั นาซอฟตแวรโ ดยหนว ยงานภายนอก (Outsourced software development) (๑) จัดใหมกี ารควบคมุ โครงการพัฒนาซอฟตแวรโดยผูรับจางใหบ ริการจากภายนอก (๒) พจิ ารณาระบุวาใครจะเปนผูมีสิทธิ์ในทรพั ยสนิ ทางปญญาสําหรบั ซอรส โคด ในการพฒั นาซอฟตแ วรโ ดยผรู ับจางใหบ รกิ ารจากภายนอก (๓) พิจารณากําหนดเร่ืองการสงวนสทิ ธิ์ทจ่ี ะตรวจสอบดา นคณุ ภาพและความถูกตองของ ซอฟตแ วรท ่ีจะมีการพฒั นาโดยผูใ หบรกิ ารภายนอก โดยระบไุ วในสัญญาจา งที่ ทํากับผใู หบ ริการภายนอกน้ัน (๔) ใหม ีการตรวจสอบโปรแกรมไมประสงคดี ในซอฟตแวรต า ง ๆ ท่ีจะทาํ การติดต้งั กอ นดาํ เนินการติดต้ัง (๕) หลงั จากการสงมอบการพัฒนาซอฟแวรจากหนว ยงานภายนอก หนวยงานตอง ดําเนนิ การเปลยี่ นรหัสผานตาง ๆ แนวปฏบิ ตั ใิ นการรกั ษาความมน่ั คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๒
สวนที่ ๙ การปฏิบตั ิงานจากภายนอกสํานกั งาน (Teleworking) ขอ ๘๓. ตองมีการตรวจสอบวา อปุ กรณท่ีเปนของสว นตวั ซึง่ ใชใ นการเขา ถึงระบบเทคโนโลยี สารสนเทศของหนว ยงานจากระยะไกลมีการปองกนั ไวรสั และการใชงานไฟรว อลลตามท่ีหนว ยงานกําหนด ขอ ๘๔. ตอ งมีการจัดเตรยี มอุปกรณสําหรับการปฏิบตั ิงานจากระยะไกล การจดั เก็บขอมลู และ อุปกรณส ่ือสารไวใหกับผูใชง านจากระยะไกล ขอ ๘๕. ผูใชงานจากระยะไกลทกุ คน ตองผานการพิสูจนต ัวตน เพื่อเพ่ิมความปลอดภยั จะตองมี การตรวจสอบ เชน รหัสผาน หรอื วธิ กี ารเขา รหสั เปนตน ขอ ๘๖. ไมอนุญาตใหใ ชงานอปุ กรณท่ีเปน ของสว นตวั เพื่อเขาถงึ ระบบเทคโนโลยสี ารสนเทศของ หนว ยงานจากระยะไกล หากอปุ กรณดงั กลาวไมอยูภ ายใตการควบคมุ ตามนโยบายความมนั่ คงปลอดภัยของ หนวยงาน ขอ ๘๗. ตอ งกําหนดชนิดของงาน ช่วั โมงการทํางาน ชั้นความลบั ของขอมลู ระบบงานและบริการ ตางๆ ของหนวยงานท่ีอนุญาตและไมอ นญุ าตใหป ฏบิ ตั งิ านจากระยะไกล ขอ ๘๘. ตอ งกําหนดขน้ั ตอนปฏบิ ัตสิ ําหรบั การขออนมุ ัติ การขอยกเลิก การกําหนดหรือปรับปรุง สทิ ธิ์การเขา ถึงระบบงาน และการคืนอุปกรณทใี่ ชปฏิบตั ิงานจากระยะไกล แนวปฏบิ ัติในการรักษาความม่ันคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๓
สว นที่ ๑๐ การควบคุมการเขา ถึงระบบเครื่อขายไรสาย (Wireless LAN Access Control) ขอ ๘๙. ผดู แู ลระบบ ตอ งควบคุมสญั ญาณของอุปกรณกระจายสญั ญาณแบบไรสาย (Access Point) ใหรว่ั ไหลออกนอกพ้ืนที่ใชงานระบบเครอื ขา ยไรสายนอยที่สดุ ขอ ๙๐. ผดู ูแลระบบ ตอ งทําการเปลีย่ นคา SSID (Service Set Identifier) ท่ีถูกกําหนดเปนคา โดยปริยาย (Default) มาจากผูผ ลิตทันทีท่ีนําอุปกรณกระจายสัญญาณแบบไรส าย (Access Point) มาใชงาน และกาํ หนดใหซอน SSID (Service Set Identifier) ขอ ๙๑. ผดู ูแลระบบ ตองกาํ หนดคา Wireless Security เปน แบบ WEP (Wired Equivalent Privacy) หรือ WPA (Wi-Fi Protected Access) ในการเขารหสั ขอ มลู ระหวาง Wireless LAN Client และ อุปกรณกระจายสญั ญาณแบบไรส าย (Access Point) และกาํ หนดคาใหไมแสดงช่ือระบบเครือขายไรส าย ขอ ๙๒. ผูด ูแลระบบ เลือกใชว ธิ ีการควบคมุ MAC Address (Media Access Control Address) และชือ่ ผใู ชงาน (Username) รหสั ผา น (Password) ของผูใชง านทมี่ สี ทิ ธใ์ิ นการเขา ใชง านระบบเครือขาย ไรส าย โดยจะอนญุ าตเฉพาะอปุ กรณทม่ี ี MAC address (Media Access Control Address) และช่ือผใู ชงาน (Username) และรหัสผา น (Password) ตามทก่ี าํ หนดไวเทานนั้ ใหเ ขา ใชระบบเครือขา ยไรส ายไดอยา งถูกตอง ขอ ๙๓. ผดู แู ลระบบ ตองมีการติดตั้งไฟรว อลล (Firewall) ระหวา งระบบเครือขา ยไรส ายกับระบบ เครอื ขายภายในหนว ยงาน ขอ ๙๔. ผดู แู ลระบบ ควรกําหนดใหผใู ชง านในระบบเครือขายไรส ายติดตอ สอื่ สารกบั เครือขา ย ภายในหนว ยงานผานทาง VPN (Virtual Private Network) เพ่ือชวยปองกนั การบุกรุกในระบบเครือขาย ไรส าย ขอ ๙๕. ผูดแู ลระบบ ตอ งทาํ การลงทะเบียนอปุ กรณท กุ ตวั ที่ใชตดิ ตอระบบเครือขายไรส าย ขอ ๙๖. ผูดแู ลระบบ ตองใชซ อฟตแวรหรือฮารด แวรต รวจสอบความมั่นคงปลอดภัยของระบบ เครือขายไรสายเพอ่ื คอยตรวจสอบและบนั ทึกเหตุการณท ีน่ าสงสัยเกดิ ข้ึนในระบบเครือขายไรส าย และจดั สง รายงานผลการตรวจสอบทุก ๓ เดอื น และในกรณที ่ีตรวจสอบพบการใชง านระบบเครือขายไรส ายทผี่ ิดปกติ ใหผ ูด ูแลระบบ รายงานตอหัวหนา หนวยงานทราบทนั ที ขอ ๙๗. ผูดูแลระบบ ตองควบคุมดูแลไมใ หบ ุคคลหรือหนวยงานภายนอกท่ีไมไดร ับอนญุ าต ใชงาน ระบบเครือขา ยไรสายในการเขา สูระบบอนิ ทราเนต็ (Intranet) และฐานขอ มลู ภายในตา ง ๆ ของหนว ยงาน ขอ ๙๘. ผใู ชงานทต่ี องการเขาถึงระบบเครือขายไรส ายของกระทรวงสาธารณสขุ จะตอ งทําการ ลงทะเบยี นกับผูดูแลระบบและตอ งไดร ับพจิ ารณาอนุญาตจากหัวหนา หนวยงานอยา งเปนลายลกั ษณอกั ษร ขอ ๙๙. ผูด แู ลระบบ ตองทาํ การลงทะเบยี นกาํ หนดสิทธ์ิผูใชงานในการเขาถึงระบบเครือขายไรสาย ใหเ หมาะสมกับหนาท่ีความรับผดิ ชอบในการปฏิบัตงิ าน กอนเขาใชร ะบบเครือขา ยไรส าย รวมท้ัง มกี ารทบทวน สิทธิ์การเขา ถึงอยางสมํ่าเสมอ ทั้งน้ี จะตองไดร บั อนุญาตจากผดู ูแลระบบตามความจําเปนในการใชง าน แนวปฏบิ ตั ใิ นการรกั ษาความมัน่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๔
สวนที่ ๑๑ การควบคุมการใชงานอปุ กรณปองกนั เครือขาย (Firewall Control) ขอ ๑๐๐. หนว ยงานมีหนา ทใี่ นการบริหารจดั การ การตดิ ตั้งและกาํ หนดคา ของ Firewall ท้ังหมด ขอ ๑๐๑. การกาํ หนดคาเริ่มตนของ Firewall ตองกําหนดเปน ปฏิเสธท้ังหมด (Deny) ขอ ๑๐๒. ทุกบรกิ าร (Services) และเสน ทางเชือ่ มตออนิ เตอรเ น็ตท่ีไมอ นุญาตตาม Policy จะตอง ถูกบล็อก (Block) โดย Firewall ขอ ๑๐๓. ผูใชง านอนิ เตอรเ นต็ จะตองทําการลงบนั ทึกเขาใชงาน (Login) กอ นการใชง านทกุ ครงั้ ขอ ๑๐๔. การกําหนดคาบรกิ ารและการเชอื่ มตอทีอ่ นุญาต จะตองมีการบันทึกการเปลย่ี นแปลง ทุกครงั้ หากมีการเปล่ียนแปลงคา ตาง ๆ ของ Firewall ขอ ๑๐๕. การเขา ถึงตัวอุปกรณ Firewall จะตอ งสามารถเขาถึงไดเ ฉพาะผูที่ไดร บั มอบหมายให ดแู ลจดั การเทา น้นั ขอ ๑๐๖. ขอมูลจราจรทางคอมพิวเตอรที่เขา ออกอปุ กรณ Firewall จะตอ งสง คา ไปจดั เกบ็ ที่อุปกรณจดั เก็บขอมูลจราจรทางคอมพิวเตอร โดยจะตอ งจัดเก็บขอมลู จราจรไมน อยกวา ๙๐ วนั ขอ ๑๐๗. การกําหนดนโยบายในการใหบริการอนิ เตอรเนต็ กับเครื่องคอมพิวเตอรล ูกขา ยจะ เปด พอรตการเชื่อมตอพนื้ ฐานของโปรแกรมทวั่ ไป ทีอ่ นญุ าตใหใชง าน ซึ่งหากมีความจําเปน ท่ีจะใชงานพอรต การเชอ่ื มตอนอกเหนือทก่ี ําหนด จะตอ งไดรับความยนิ ยอมจากหนว ยงานกอน ขอ ๑๐๘. การกาํ หนดคาการใหบ ริการของเคร่ืองคอมพิวเตอรแมขายในแตละสว นของเครือขาย จะตอ งกําหนดคา อนุญาตเฉพาะพอรต การเชือ่ มตอทีจ่ าํ เปน ตอการใหบ ริการเทาน้นั ขอ ๑๐๙. จะตอ งมกี ารสาํ รองขอมลู การกาํ หนดคาตา ง ๆ ของอุปกรณ Firewall เปนประจํา ทุกสปั ดาหหรอื ทกุ คร้งั กอนท่ีจะมีการเปลย่ี นแปลงคา ขอ ๑๑๐. เครือ่ งคอมพวิ เตอรแ มขา ยที่ใหบริการระบบงานสารสนเทศตา ง ๆ ภายในหนวยงาน ทมี่ ลี ักษณะทเ่ี ปน อินทราเน็ตจะตอ งไมอนญุ าตใหม ีการเชอื่ มตอเพื่อใชง านอนิ เตอรเ น็ต เวน แตมีความจาํ เปน โดยจะตองกําหนดเปน กรณไี ป ขอ ๑๑๑. หนว ยงานมสี ทิ ธทิ์ ี่จะระงบั หรือบลอ็ กการใชงานของเครื่องคอมพิวเตอรลูกขา ยทม่ี ี พฤติกรรมการใชง านทผี่ ิดนโยบาย หรือเกดิ จากการทาํ งานของโปรแกรมท่ีมีความเสี่ยงตอความปลอดภยั จนกวา จะไดร บั การแกไ ข ขอ ๑๑๒. การเชอื่ มตอในลักษณะของการ Remote Login จากภายนอกมายงั เครื่องแมขาย หรืออุปกรณเ ครือขายภายใน จะตองบันทกึ รายการของการดาํ เนนิ การตามแบบการขออนุญาตดาํ เนนิ การ เกีย่ วกับเครื่องคอมพวิ เตอรแมขา ยและอปุ กรณเครือขาย และจะตองไดร บั ความเห็นชอบจากหวั หนา หนวยงานกอน ขอ ๑๑๓. ผูละเมิดนโยบายดานความปลอดภัยของ Firewall จะถูกระงบั การใชง านอนิ เตอรเน็ตทันที แนวปฏบิ ตั ใิ นการรักษาความม่นั คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๕
สว นท่ี ๑๒ การควบคุมการใชจ ดหมายอเิ ล็กทรอนกิ ส (E-Mail) ขอ ๑๑๔. ในการลงทะเบียนบญั ชีผใู ชง านจดหมายอิเลก็ ทรอนิกส (E-Mail) ตองทําการกรอกขอมูล ขอเขาใชบ รกิ ารจดหมายอเิ ล็กทรอนิกส (E-Mail) โดยยน่ื คําขอกบั เจา หนาที่หนว ยงาน ขอ ๑๑๕. รหัสจดหมายอิเล็กทรอนกิ ส เวลาใสร หสั ผานตองไมปรากฏหรอื แสดงรหสั ผา นออกมา แตต อ งแสดงออกมาในรปู ของสญั ลกั ษณแ ทนตัวอักษรน้ัน เชน “x” หรอื “O” ในการพิมพแตละตัวอกั ษร ขอ ๑๑๖. เม่ือไดรบั รหสั ผาน (Password) คร้ังแรกในการเขาระบบจดหมายอเิ ล็กทรอนิกส (E-Mail) และเมื่อมกี ารเขาสูระบบในคร้ังแรกนัน้ ใหเปล่ยี นรหสั ผาน (Password) โดยทันที ขอ ๑๑๗. ผูดูแลระบบ ตองกําหนดจํานวนคร้ังทยี่ อมใหผ ูใชงานใสรหัสผา นผิดได เชน ไมเ กนิ ๓ ครงั้ ขอ ๑๑๘. ไมบันทึกหรอื เก็บรหัสผาน (Password) ไวใ นระบบคอมพวิ เตอร ขอ ๑๑๙. เปลี่ยนรหัสผาน (Password) ทุก ๓ - ๖ เดอื น ขอ ๑๒๐. ไมใ ชท ่ีอยจู ดหมายอเิ ลก็ ทรอนิกส (E-Mail Address) ของผูอ่นื เพ่ืออานหรือรบั หรือ สงขอ ความ ยกเวนแตจะไดร ับการยนิ ยอมจากเจาของผูใชง านและใหถือวาเจา ของจดหมายอิเล็กทรอนิกส (E-Mail) เปน ผูรับผิดชอบตอ การใชง านในจดหมายอเิ ล็กทรอนิกส (E-Mail) ของตน ขอ ๑๒๑. หลังจากการใชงานระบบจดหมายอิเลก็ ทรอนิกส (E-Mail) เสร็จสิ้นตองลงบนั ทกึ ออก (Logout) ทุกครงั้ ขอ ๑๒๒. การสงขอมลู ที่เปน ความลับ ไมควรระบคุ วามสาํ คัญของขอมูลลงในหัวขอจดหมาย อิเลก็ ทรอนิกส (E-Mail) เวนเสียแตว า จะใชว ธิ ีการเขา รหสั ขอมลู E-Mail ทห่ี นวยงานกําหนดไว ใหใชความ ระมดั ระวงั ในการระบชุ ื่อท่ีอยู E-Mail ของผรู บั ใหถกู ตองเพ่ือปองกนั การสงผดิ ตวั ผรู บั ขอ ๑๒๓. หามสง E-Mail ทีม่ ีลกั ษณะเปนจดหมายขยะ (Spam Mail) ขอ ๑๒๔. หามสง E-Mail ทม่ี ลี กั ษณะเปนจดหมายลกู โซ (Chain Letter) ขอ ๑๒๕. หามสง E-Mail ทีม่ ีลักษณะเปนการละเมดิ ตอ กฏหมาย หรือสทิ ธิของบุคคลอื่น ขอ ๑๒๖. หามสง E-Mail ท่ีมีไวรัสไปใหกับบคุ คลอื่นโดยเจตนา ขอ ๑๒๗. ใหร ะบุช่ือของผูส ง ใน E-Mail ทุกฉบบั ที่สง ไป ขอ ๑๒๘. ใหท ําการสาํ รองขอมูล E-Mail ตามความจาํ เปน อยางสม่าํ เสมอ (แมวา หนว ยงานจะ ทําการสํารองขอมูล E-Mail ไวใ หแตกเ็ พยี งชว งระยะเวลาหนง่ึ เทาน้นั ดงั นนั้ E-Mail ทีเ่ กามาก ๆ และ จาํ เปนตอ งใชงานจึงมีความจําเปน ตองสํารองเกบ็ ไวด ว ยตนเอง) ขอ ๑๒๙. ผูใชงานตองทําการตรวจสอบเอกสารแนบจากจดหมายอิเล็กทรอนิกสก อนการเปด เพอื่ ตรวจสอบไฟลโ ดยใชโปรแกรมปองกันไวรสั เปนการปองกนั ในการเปดไฟลที่เปน Executable file เชน .exe .com เปนตน ขอ ๑๓๐. ผูใชงานตองไมเ ปด หรือสงตอจดหมายอิเลก็ ทรอนิกสห รือขอความที่ไดรับจากผสู ง ทไี่ มรจู ัก แนวปฏบิ ตั ิในการรกั ษาความมน่ั คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๒๖
ขอ ๑๓๑. ผูใชงานตอ งใชข อความทไี่ มส ุภาพหรอื รบั สงจดหมายอิเลก็ ทรอนกิ สท่ีไมเ หมาะสม ขอมูล อันอาจทาํ ใหเสยี ชอื่ เสยี งของหนว ยงาน ทาํ ใหเ กดิ ความแตกแยกระหวางหนว ยงาน ผา นทางจดหมาย อเิ ลก็ ทรอนิกส ขอ ๑๓๒. ผูใชงานตอ งตรวจสอบตเู ก็บจดหมายอเิ ล็กทรอนิกสข องตนเองทุกวัน และควรจดั เก็บ แฟมขอมูลและจดหมายอเิ ลก็ ทรอนิกสของตนใหเ หลอื จํานวนนอยทีส่ ุด และควรลบจดหมายอิเล็กทรอนิกสท ่ี ไมตองการออกจากระบบเพ่ือลดปริมาณการใชเ นื้อท่รี ะบบจดหมายอเิ ล็กทรอนิกส ขอ ๑๓๓. ขอควรระวงั ผูใชงานควรโอนยายจดหมายอิเล็กทรอนิกสท่ีจะใชอา งอิงภายหลงั มายัง เครอ่ื งคอมพิวเตอรของตน เพอ่ื เปน การปองกนั ผอู ่ืนแอบอา นจดหมายได ดังนนั้ ไมควรจดั เก็บขอมูล หรือ จดหมายอิเลก็ ทรอนิกสท ไี่ มไ ดใชแ ลว ไวในตจู ดหมายอิเล็กทรอนกิ ส ขอ ๑๓๔. ผูใชงานตอ งใชจ ดหมายอเิ ล็กทรอนิกสภ าครัฐ สําหรบั ใชร ับ-สงขอ มูลในระบบราชการ ตามมติคณะรัฐมนตรีเมื่อวันที่ ๑๘ ธันวาคม ๒๕๕๐ เร่ือง การพฒั นาระบบจดหมายอิเลก็ ทรอนกิ สกลางเพ่ือ การสื่อสารในภาครัฐ แนวปฏบิ ตั ใิ นการรักษาความมนั่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๗
สวนท่ี ๑๓ การควบคุมการใชอินเตอรเ นต็ (Internet) ขอ ๑๓๕. ผดู ูแลระบบ ตองกาํ หนดเสน ทางการเช่ือมตอระบบคอมพิวเตอรเ พื่อการเขา ใชง าน อินเตอรเ น็ต ทตี่ อ งเช่ือมตอผานระบบรกั ษาความปลอดภยั ที่หนว ยงานจัดสรรไวเทา นั้น เชน Proxy, Firewall, IPS-IDS เปนตน หามผใู ชงานทาํ การเชอ่ื มตอ ระบบคอมพวิ เตอรผา นชอ งทางอื่น เชน Dial-up Modem ยกเวน แตว ามเี หตุผลความจําเปน และตอ งทําการขออนุญาตจากหัวหนาหนว ยงานเปน ลายลกั ษณอักษร ขอ ๑๓๖. เครื่องคอมพิวเตอรสวนบคุ คลและเครื่องคอมพิวเตอรแบบพกพา กอ นทําการเชอื่ มตอ อนิ เตอรเ น็ต ผา นเวบ็ เบราเซอร (Web browser) ตอ งมีการติดตง้ั โปรแกรมปองกนั ไวรสั และทาํ การอุดชอง โหวของระบบปฏิบตั ิการ ขอ ๑๓๗. ในการรบั สงขอมูลคอมพิวเตอรผานทางอนิ เตอรเ น็ตจะตองมกี ารทดสอบไวรัส (Virus scanning) โดยโปรแกรมปอ งกันไวรัสกอนการรับสงขอ มูลทุกครง้ั ขอ ๑๓๘. ไมใ ชร ะบบอนิ เตอรเน็ต (Internet) ของหนว ยงาน เพ่อื หาประโยชนในเชิงพาณิชยเปน การสวนบุคคล และทําการเขาสูเว็บไซตท่ีไมเหมาะสม เชน เว็บไซตท ข่ี ัดตอศีลธรรม เว็บไซตท่มี เี น้ือหาอนั อาจ กระทบกระเทือนหรือเปนภยั ตอ ความมนั่ คงตอชาติ ศาสนา พระมหากษตั รยิ หรือเวบ็ ไซตท เ่ี ปน ภัยตอ สงั คม หรือละเมิดสิทธิของผูอืน่ หรือขอมลู ที่อาจกอใหเกิดความเสียหายใหก ับหนว ยงาน ขอ ๑๓๙. หา มเปดเผยขอมูลสําคัญทเ่ี ปนความลบั เก่ียวกบั งานของหนว ยงานทีย่ ังไมไดประกาศ อยา งเปนทางการผานระบบอินเตอรเ น็ต (Internet) ขอ ๑๔๐. ระมดั ระวงั การดาวนโ หลด โปรแกรมใชงานจากระบบอนิ เตอรเน็ต (Internet) การอัพเดท (Update) โปรแกรมตาง ๆ ตอ งเปนไปโดยไมละเมิดลิขสิทธิ์ ขอ ๑๔๑. ในการใชง านกระดานสนทนาอเิ ลก็ ทรอนิกส ไมเปดเผยขอมลู ท่สี ําคัญและเปน ความลบั ของหนว ยงาน ขอ ๑๔๒. ในการใชง านกระดานสนทนาอเิ ล็กทรอนกิ ส ไมเ สนอความคิดเห็น หรือใชข อความที่ ยว่ั ยุ ใหร าย ทจ่ี ะทําใหเ กดิ ความเสอ่ื มเสียตอช่อื เสยี งของหนว ยงาน การทําลายความสัมพันธกับบุคลากร ของหนวยงานอ่ืน ๆ ขอ ๑๔๓. ผูใ ชงานไมน ําเขาขอมูลคอมพิวเตอรใด ๆ ที่มีลักษณะอันเปนเทจ็ อันเปนความผิด เก่ยี วกับความมั่นคงแหงราชอาณาจักร อนั เปนความผิดเกยี่ วกับการกอการรา ย หรอื ภาพที่มีลักษณะอันลามก และไมทําการเผยแพรหรือสงตอขอมลู คอมพวิ เตอรดังกลาวผานอนิ เตอรเ นต็ ขอ ๑๔๔. หลงั จากใชงานระบบอินเตอรเน็ต (Internet) เสร็จแลว ใหปดเวบ็ เบราเซอรเพือ่ ปองกัน การเขาใชง านโดยบุคคลอน่ื ๆ ขอ ๑๔๕. หลังจากใชงานอนิ เตอรเนต็ เสรจ็ แลว ใหทาํ การออกจากระบบเพอ่ื ปองกนั การเขา ใชงาน โดยบุคคลอ่นื ๆ ขอ ๑๔๖. ผใู ชงานตองปฏิบตั ติ ามกฎหมายวา ดว ยการกระทาํ ความผดิ เกย่ี วกบั คอมพวิ เตอร อยา งเครงครดั แนวปฏบิ ตั ใิ นการรกั ษาความมัน่ คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๘
สว นท่ี ๑๔ การใชง านเครอื่ งคอมพิวเตอรสวนบคุ คล ขอ ๑๔๗. แนวทางปฏิบตั ิการใชงานทวั่ ไป (๑) เครือ่ งคอมพวิ เตอรท่ีหนวยงานอนญุ าตใหใชงาน เปนสินทรัพยของหนวยงานเพ่ือใช ในงานราชการ (๒) โปรแกรมทไี่ ดถ ูกติดต้ังลงบนเครื่องคอมพวิ เตอรข องหนวยงานตองเปนโปรแกรม ทหี่ นวยงานไดซื้อลิขสทิ ธ์ิมาอยางถกู ตองตามกฎหมาย ดังน้ันหามผูใชง านคดั ลอก โปรแกรมตาง ๆ และนาํ ไปติดต้ังบนเครอ่ื งคอมพวิ เตอรส วนตวั หรอื แกไข หรอื นําไปใหผอู ่ืนใชงานโดยผดิ กฎหมาย (๓) ไมอนุญาตใหผใู ชง านทําการติดต้ังและแกไขเปลยี่ นแปลงโปรแกรมในเครอ่ื ง คอมพวิ เตอรสว นบคุ คลของหนวยงาน (๔) การเคลือ่ นยายหรอื สงเครือ่ งคอมพิวเตอรสว นบุคคลตรวจซอมจะตอ งดําเนินการ โดยเจาหนา ทีข่ องหนว ยงานหรือผูร ับจา งเหมาบาํ รุงรักษาเครือ่ งคอมพวิ เตอรแ ละ อปุ กรณทีไ่ ดทําสญั ญากบั กระทรวงสาธารณสุข เทา นั้น (๕) กอ นการใชง านส่ือบนั ทกึ พกพาตาง ๆ ตอ งมีการตรวจสอบเพอื่ หาไวรสั โดย โปรแกรมปองกนั ไวรสั (๖) ผใู ชงาน มีหนาที่และรับผิดชอบตอ การดูแลรักษาความปลอดภยั ของเคร่ือง คอมพิวเตอร (๗) ปดเครื่องคอมพิวเตอรสวนบุคคลทีต่ นเองครอบครองใชงานอยเู มื่อใชง านประจาํ วนั เสรจ็ สน้ิ หรือเมื่อมีการยุติการใชง านเกนิ กวา ๑ ชัว่ โมง (๘) ทําการตงั้ คา Screen Saver ของเครื่องคอมพิวเตอรท ต่ี นเองรบั ผดิ ชอบใหมกี าร ล็อกหนา จอหลงั จากที่ไมไดใชงานเกนิ กวา ๓๐ นาที เพ่ือปองกันบุคคลอื่นมาใชง าน ทเี่ ครอื่ งคอมพิวเตอร (๙) หา มนําเคร่ืองคอมพวิ เตอรสว นตวั ท่ีเจา หนา ทเ่ี ปน เจา ของมาใชกับระบบเครอื ขาย ของหนวยงาน ยกเวนจะไดรับการตรวจสอบจากผดู ูแลระบบของหนว ยงานกอ น การใชง าน ขอ ๑๔๘. การใชรหัสผาน ใหผ ใู ชงานปฏิบตั ติ ามแนวทางการบริหารจัดการรหัสผานที่ระบุไวใ น เอกสาร “การกาํ หนดหนาท่ีความรบั ผิดชอบของผใู ชงาน” ขอ ๑๔๙. การปอ งกันจากโปรแกรมชดุ คําส่งั ไมพึงประสงค (Malware) (๑) ผใู ชงานตอ งตรวจสอบหาไวรัสจากสอ่ื ตา ง ๆ เชน Floppy Disk, Flash Drive และ Data Storage อืน่ ๆ กอนนาํ มาใชง านรว มกบั เคร่ืองคอมพิวเตอร (๒) ผูใ ชงานตองตรวจสอบไฟลที่แนบมากับจดหมายอิเล็กทรอนิกสหรอื ไฟลที่ ดาวนโ หลดมาจากอินเตอรเ น็ตดวยโปรแกรมปองกันไวรสั กอ นใชง าน แนวปฏบิ ตั ใิ นการรักษาความมน่ั คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๒๙
(๓) ผูใชงานตอ งตรวจสอบขอ มลู คอมพวิ เตอรใ ดท่มี ชี ุดคําสง่ั ไมพึงประสงครวมอยดู ว ย ซง่ึ มีผลทําใหขอมลู คอมพิวเตอร หรือระบบคอมพิวเตอรห รือชดุ คาํ สงั่ อืน่ เกิดความ เสียหาย ถกู ทําลาย ถูกแกไขเปลี่ยนแปลง หรอื ปฏิบัตงิ านไมต รงตามคาํ สัง่ ท่ี กําหนดไว ขอ ๑๕๐. การสาํ รองขอ มลู และการกคู นื (๑) ผูใชงานตองรบั ผิดชอบในการสาํ รองขอมูลจากเคร่ืองคอมพิวเตอรไวบ นสอื่ บันทกึ อน่ื ๆ เชน CD, DVD, External Hard Disk เปนตน (๒) ผใู ชงานมหี นาท่ีเก็บรักษาสื่อขอมลู สาํ รอง (Backup Media) ไวในสถานทท่ี ่ี เหมาะสม ไมเส่ยี งตอการรวั่ ไหลของขอมลู และทดสอบการกูคนื ขอมูลท่ีสาํ รองไว อยางสมาํ่ เสมอ (๓) ผูใชงานตอ งประเมนิ ความเสยี่ งวา ขอมูลท่ีเก็บไวบน Hard Disk ไมค วรจะเปน ขอ มลู สาํ คัญเก่ยี วของกบั การทํางาน เพราะหาก Hard Disk เสียไป ก็ไมก ระทบ ตอ การดําเนินการของหนว ยงาน แนวปฏบิ ตั ใิ นการรกั ษาความม่ันคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๓๐
สว นท่ี ๑๕ การใชงานเครอ่ื งคอมพิวเตอรแบบพกพา ขอ ๑๕๑. แนวทางปฏิบัตกิ ารใชง านทว่ั ไป (๑) เคร่อื งคอมพวิ เตอรแบบพกพาทหี่ นวยงานอนุญาตใหใ ชง าน เปนสนิ ทรัพยของ หนว ยงานเพื่อใชในงานราชการ (๒) โปรแกรมทไี่ ดถ ูกตดิ ต้งั ลงบนเครอื่ งคอมพวิ เตอรแ บบพกพาของหนว ยงานตองเปน โปรแกรมท่ีหนว ยงาน ไดซ้ือลิขสิทธมิ์ าอยางถูกตอ งตามกฎหมาย ดังนั้นหาม ผูใชงานคัดลอกโปรแกรมตา ง ๆ และนําไปตดิ ต้งั บนเครื่องคอมพิวเตอรส ว นตวั หรอื แกไข หรอื นําไปใหผ ูอ่ืนใชงานโดยผดิ กฎหมาย (๓) ผใู ชงานตอ งศึกษาและปฏบิ ัติตามคมู ือการใชง านอยางละเอียด เพื่อการใชงานอยา ง ปลอดภยั และมีประสิทธิภาพ (๔) ไมด ัดแปลงแกไขสวนประกอบตา ง ๆ ของคอมพวิ เตอรแ ละรกั ษาสภาพของ คอมพิวเตอรใหมีสภาพเดิม (๕) ในกรณีท่ีตอ งการเคลื่อนยา ยเคร่ืองคอมพวิ เตอรแบบพกพา ควรใสกระเปา สําหรับ เครอื่ งคอมพวิ เตอรแบบพกพา เพือ่ ปองกันอันตรายทเ่ี กดิ จากการกระทบกระเทือน เชน การตกจากโตะทํางาน หรอื หลดุ มอื เปนตน (๖) หลีกเลยี่ งการใชน ิ้วหรอื ของแข็ง เชน ปลายปากกา กดสัมผัสหนา จอ LCD ใหเ ปน รอยขดี ขว นหรือทําใหจ อ LCD ของเคร่อื งคอมพวิ เตอรแบบพกพาแตกเสยี หายได (๗) ไมว างของทับบนหนา จอและแปนพมิ พ (๘) การเชด็ ทําความสะอาดหนาจอภาพตองเชด็ อยางเบามือท่ีสุด และตอ งเชด็ ไปใน แนวทางเดยี วกนั หามเชด็ แบบหมุนวน เพราะจะทําใหหนาจอมีรอยขีดขวนได (๙) การใชเ ครอื่ งคอมพวิ เตอรแ บบพกพาเปน ระยะเวลานานเกินไป ในสภาพที่มีอากาศ รอ นจัด ตองปดเคร่ืองคอมพวิ เตอรเ พื่อเปน การพักเครื่องสกั ระยะหนึง่ กอนเปด ใช งานใหมอีกครง้ั (๑๐) การเคล่อื นยายเครื่อง ขณะทีเ่ ครื่องเปดใชงานอยู ใหทําการยกจากฐานภายใต แปนพิมพ หา มยายเคร่ืองโดยการดึงหนาจอภาพขึน้ ขอ ๑๕๒. ความปลอดภยั ทางดา นกายภาพ (๑) ผูใชงานมีหนา ทรี่ ับผดิ ชอบในการปองกันการสญู หาย เชน ควรลอ คเครื่องขณะท่ี ไมไ ดใชงาน ไมวางเคร่ืองทง้ิ ไวในทสี่ าธารณะ หรือในบรเิ วณที่มีความเสย่ี งตอการ สญู หาย (๒) ผูใชงานไมเก็บหรือใชงานคอมพวิ เตอรแ บบพกพาในสถานท่ีท่ีมีความรอน/ ความชน้ื /ฝุน ละอองสงู และตองระวงั ปองกันการตกกระทบ แนวปฏบิ ัตใิ นการรกั ษาความม่นั คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๓๑
ขอ ๑๕๓. การควบคุมการเขาถึงระบบปฏิบัตกิ าร (๑) ผใู ชงานตองกําหนดชือ่ ผูใ ชงาน (User name) และรหสั ผา น (Password) ในการ เขา ใชง านระบบปฏิบตั กิ ารของเคร่อื งคอมพวิ เตอรแบบพกพา (๒) ผูใชงานตองกําหนดรหสั ผานใหมีคณุ ภาพดีอยางนอยตามท่ีระบุไวในเอกสาร“การ บริหารจัดการสิทธกิ์ ารใชงานระบบและรหัสผาน” (๓) ผูใ ชงานตองตง้ั การใชง านโปรแกรมรักษาจอภาพ (Screen Saver) โดยต้ังเวลา ประมาณ ๑๕ นาที ใหทําการลอ็ กหนาจอเมือ่ ไมมกี ารใชงาน หลังจากนั้นเมื่อ ตอ งการใชงานตองใสร หสั ผา น (๔) ผใู ชงานตองทาํ การ Logout ออกจากระบบทันทีเม่ือเลิกใชงานหรือไมอยูทห่ี นา จอ เปน เวลานาน ขอ ๑๕๔. การใชรหสั ผา นใหผ ูใชงานปฏิบตั ติ ามแนวทางการบริหารจัดการรหัสผานทร่ี ะบุไวใ น เอกสาร “การกําหนดหนา ทค่ี วามรบั ผิดชอบของผใู ชงาน” ขอ ๑๕๕. การสํารองขอมูลและการกูคนื (๑) ผใู ชงานตอ งทําการสํารองขอมูลจากเคร่ืองคอมพิวเตอรแบบพกพา โดยวธิ กี ารและ สอ่ื ตาง ๆ เพื่อปองกนั การสูญหายของขอมูล (๒) ผูใชงานตองจะเก็บรักษาส่ือสาํ รองขอมูล (Backup media) ไวในสถานที่ ท่เี หมาะสม ไมเ ส่ยี งตอการร่วั ไหลของขอมูล (๓) แผน สอ่ื สาํ รองขอมูลตาง ๆ ทเี่ ก็บขอมูลไวจะตองทาํ การทดสอบการกูคืน อยางสมาํ่ เสมอ (๔) แผน สือ่ สํารองขอ มูลที่ไมใ ชง านแลว ตองทําลายไมใ หสามารถนําไปใชง านไดอีก (๕) ผูใชงานตอ งประเมินความเสย่ี งวา ขอมูลท่ีเกบ็ ไวบน Hard Disk ไมควรจะเปน ขอมลู สําคัญเกย่ี วของกบั การทาํ งาน เพราะหาก Hard Disk เสียไป ก็ไมกระทบ ตอการดําเนินการของหนว ยงาน แนวปฏบิ ตั ิในการรักษาความมนั่ คงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๓๒
สว นที่ ๑๖ การตรวจจับการบุกรกุ (Intrusion Detection System / Intrusion Prevention System Policy : IDS/IPS ) ขอ ๑๕๖. IDS/IPS Policy เปน นโยบายการติดตั้งระบบตรวจสอบการบุกรุก และตรวจสอบความ ปลอดภัยของเครือขาย เพอ่ื ปองกนั ทรพั ยากร ระบบสารสนเทศ และขอ มลู บนเครือขายภายในหนว ยงาน ใหม ี ความม่นั คงปลอดภัย เปน แนวทางการปฏิบตั เิ ก่ยี วกบั การตรวจสอบการบกุ รุกเครือขา ย พรอ มกับบทบาทและ ความรบั ผิดชอบท่เี กีย่ วของ ขอ ๑๕๗. IDS/IPS Policy ครอบคลุมทุกโฮสต (Host) ในเครือขายของหนวยงานและเครือขาย ขอมลู ทงั้ หมด รวมถงึ เสน ทางท่ีขอมูลอาจเดินทาง ซ่งึ ไมอ ยูใ นเครือขายอินเตอรเน็ตทุกเสน ทาง ขอ ๑๕๘. ระบบท้ังหมดที่สามารถเขาถึงไดจากอินเตอรเน็ตหรือที่สาธารณะจะตองผานการ ตรวจสอบจากระบบ IDS/IPS ขอ ๑๕๙. ระบบทั้งหมดใน DMZ (Demilitarized zone) จะตองไดรับการตรวจสอบรูปแบบการ ใหบ รกิ ารกอนการติดต้ังและเปดใหบรกิ าร ขอ ๑๖๐. โฮสต (Host) และเครือขายทั้งหมดท่ีมีการสงผานขอมูลผาน IDS/IPS จะตองมีการ บนั ทึกผลการตรวจสอบ ขอ ๑๖๑. ระบบ IDS/IPS จะตองมกี ารตรวจสอบและ Update Patch/Signature เปน ประจาํ ขอ ๑๖๒. ตองมีการตรวจสอบเหตุการณ ขอมูลจราจร พฤติกรรมการใชงาน กิจกรรม และบันทึก ปริมาณขอ มลู เขา ใชง านเครอื ขายเปน ประจาํ ทุกวันโดยผดู ูแลระบบ ขอ ๑๖๓. IDS/IPS จะทํางานภายใตกฎควบคุมพ้ืนฐานของ Firewall ท่ีใชในการเขาถึงเครือขาย ของระบบสารสนเทศตามปกติ ขอ ๑๖๔. เครื่องแมข า ยทม่ี กี ารติดต้งั host-based IDS จะตอ งมีการตรวจสอบขอมลู ประจาํ วัน ขอ ๑๖๕. พฤติกรรมการใชงาน กิจกรรม หรือเหตุการณทั้งหมด ที่มีความเส่ียงตอการบุกรุก การโจมตีระบบ พฤติกรรมที่นาสงสัย หรือการพยายามเขาระบบ ทั้งที่ประสบความสําเร็จและไมประสบ ความสําเรจ็ จะตองมกี ารรายงานใหห วั หนาหนว ยงานทราบทนั ทที ่ีตรวจพบ ขอ ๑๖๖. พฤติกรรม กิจกรรมที่นาสงสัย หรือระบบการทํางานท่ีผิดปกติ ที่ถูกคนพบ จะตองมีการ รายงานใหหวั หนาหนว ยงานทราบ ภายใน ๑ ชั่วโมงทีต่ รวจพบ ขอ ๑๖๗. การตรวจสอบการบุกรุกทั้งหมดจะตองเกบ็ บนั ทึกขอมลู ไวไมน อยกวา ๙๐ วัน ขอ ๑๖๘. ระบบ IDS/IPS มีรูปแบบการตอบสนองตอเหตุการณที่เกิดขึ้น ไดแก รายงานผลการ ตรวจพบของเหตุการณตาง ๆ ดําเนินการตามข้ันตอนเพ่ือลดความเสียหาย ลบซอฟตแวรมุงรายท่ีตรวจพบ ปอ งกนั เหตุการณท ี่อาจเกิดอีกในอนาคต และดําเนินการตามแผน ขอ ๑๖๙. หนวยงานมีสิทธิ์ในการยุติการเช่ือมตอเครือขายของเคร่ืองคอมพิวเตอรท่ีมีพฤติกรรม เส่ียงตอ การบกุ รุกระบบ โดยไมต อ งมกี ารแจง แกผูใ ชง านลวงหนา ขอ ๑๗๐. ผูที่ถูกตรวจสอบวาพยายามกระทําการอันใดที่เปนการละเมิดนโยบายของกระทรวง สาธารณสขุ การพยายามเขาถึงระบบโดยมิชอบ การโจมตีระบบ หรือมีพฤติกรรมเสีย่ งตอ การทาํ งานของระบบ สารสนเทศ จะถูกระงับการใชเครือขายทันที หากการกระทําดังกลาวเปนการกระทําความผิดที่สอดคลองกับ แนวปฏบิ ตั ใิ นการรักษาความมน่ั คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๓๓
กฎหมายวาดวยการกระทําความผิดเก่ียวกับคอมพิวเตอร หรือเปนการกระทําท่ีสงผลใหเกิดความเสียหายตอ ขอ มลู และทรัพยากรระบบของหนวยงาน จะตอ งถกู ดาํ เนินคดตี ามขั้นตอนของกฎหมาย แนวปฏบิ ตั ใิ นการรกั ษาความมน่ั คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๓๔
สวนท่ี ๑๗ การติดตงั้ และกาํ หนดคา ของระบบ (System Installation and Configuration) ขอ ๑๗๑. การปรบั ปรงุ ระบบปฏบิ ตั กิ าร (Operating System Update) (๑) ตรวจสอบเครอ่ื งแมข าย และอุปกรณระบบ (๒) ติดตั้งระบบปฏบิ ตั ิการตรงตามความตองการการใชงาน (๓) กําหนดช่อื และรหสั ผาน ผดู ูแลระบบ และชอ่ื ผูใชงาน (User) (๔) กาํ หนดคาติดตัง้ ชือ่ เครือ่ ง (Computer Name) / IP Address (๕) ปรบั ปรุง / กาํ หนดคาระดับความปลอดภัยของระบบปฏบิ ัติการ (กรณที ่ี ระบบปฏิบตั กิ ารที่มี ServicePatch Update) (๖) ติดตั้งโปรแกรม Antivirus / ปรับปรงุ Virus Definition และกาํ หนดคาการ ตรวจสอบระบบการสแกนและปรบั ปรุงโปรแกรม ขอ ๑๗๒. การบริหารบัญชีผูใชงาน/สิทธิ์การเขาถึงและการใชงานระบบ (User Account Management) (๑) กําหนดชื่อและรหสั ผาน ผูดแู ลระบบ (System Adminstrator) (๒) กําหนดช่ือผูใชงาน (User Name) และรหัสผาน (Password) (๓) บันทกึ บญั ชีผใู ชงานและสิทธิการเขา ใชร ะบบ ขอ ๑๗๓. การปรับปรุงการรักษาความปลอดภัย / Anti Virus (System Security & Antivirus Upadte) (๑) ตดิ ตาม เฝาระวัง ระบบการทํางานของคอมพวิ เตอร การเขาใชระบบ (๒) Performance ของระบบ หรอื ตรวจสอบจากระบบรกั ษาความปลอดภัยท่ตี ดิ ตง้ั (๓) ปรับปรุง / กาํ หนดคาระบบความปลอดภัย ใหเ หมาะสมกับปญ หา (๔) ปรับปรุงโปรแกรม Antivirus และ Definition ใหท ันสมัยเปนประจําทุกสปั ดาห (๕) ดาํ เนนิ การ Scan ตรวจหาไวรสั คอมพวิ เตอร เปน ประจาํ ขอ ๑๗๔. ติดตั้ง / ปรบั ปรงุ ระบบจัดการฐานขอ ูล (Database Management Operation) (๑) ติดตัง้ ระบบจัดการฐานขอมูล ตามความตองการของระบบงานทห่ี นวยงานใช (๒) กาํ หนดคาระบบหรอื โปรแกรมฐานขอ มลู ใหท ํางานรวมกบั ระบบปฏบิ ัติการได อยางถูกตอง และมีประสทิ ธิภาพ ตามระบบฐานขอมูลนั้นกําหนด (๓) สราง และกาํ หนดรายชื่อผูบ รหิ ารระบบฐานขอมลู (Database Admin) ชื่อผูใชงานอนื่ และสทิ ธ์ิการใช (๔) ปรบั ปรงุ / กําหนดคาระบบใหเหมาะสม ทนั สมยั หรอื ปอ งกนั การเกดิ ปญหาอยู เสมอ ขอ ๑๗๕. ติดตั้งฐานขอมูลโปรแกรมระบบงานตาง ๆ / กําหนดคาระบบของโปรแกรมและกําหนด ผใู ชและสทิ ธิ์การเขา ใชบ ริการ หรือเขา ถงึ ฐานขอมลู (๑) ตดิ ตัง้ โปรแกรมระบบงานตามความตองการ หรอื การพฒั นา แนวปฏบิ ัติในการรกั ษาความมั่นคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๓๕
(๒) กําหนดคา หรือโปรแกรม หรือบรกิ าร ใหท ํางานรวมกบั ระบบปฏิบัตกิ าร เปนไป ตามโปรแกรมหรือระบบงานนนั้ อยางถูกตองและมปี ระสิทธิภาพ (๓) ตดิ ตัง้ ฐานขอ มลู และเชื่อมตอระบบงาน และทาํ การทดสอบการใหบรกิ ารตาม ระบบงานนั้นกําหนด (๔) แจงผใู ชงาน หรือเจา ของระบบงาน ใหส ามารถเริ่มใชงานได โดยแจง รายชอื่ รหัสผา น และสทิ ธิ์การเขาใชร ะบบและฐานขอ มลู ตามท่ีกําหนดไว (๕) กําหนดเกณฑการสาํ รอง / สาํ เนา / ทดสอบกูคืน (Restore Test) (๖) บนั ทึกขอกาํ หนด คา ติดต้ัง และบัญชชี ่ือผูใชงานแตล ะระดับของระบบทุกคร้ังที่มี การสราง / ปรบั ปรงุ แนวปฏบิ ตั ใิ นการรกั ษาความมน่ั คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๓๖
สวนท่ี ๑๘ การจดั เกบ็ ขอมูลจราจรคอมพิวเตอร (Log) ขอ ๑๗๖. จัดเก็บขอมูลจราจรทางคอมพิวเตอร (Log) ไวในสื่อเก็บขอมูลที่สามารถรักษาความ ครบถวน ถูกตอง แทจริง ระบุตัวบุคคลที่เขาถึงส่ือดังกลาวได และขอมูลท่ีใชในการจัดเก็บ ตองกําหนดชั้น ความลับในการเขา ถึง ขอ ๑๗๗. หามแกไขขอมลู จราจรคอมพิวเตอร (Log) ท่ีเกบ็ รกั ษาไว ขอ ๑๗๘. กําหนดใหมีการบันทึกการทํางานของระบบบันทึกการปฏิบัติงานของผูใชงาน (Application Logs) และบันทึกรายละเอียดของระบบปองกันการบุกรุก เชน บันทึกการเขา – ออกระบบ บันทึกการพยายามเขาสูระบบ เปนตน เพ่ือประโยชนในการใชตรวจสอบและตองเก็บบันทึกไวอยางนอย ๙๐ วัน นบั ตัง้ แตก ารใชงานสน้ิ สุดลง โดยปฏิบตั ิตามกฎหมายวาดว ยการกระทาํ ความผดิ เกี่ยวกบั คอมพวิ เตอร ขอ ๑๗๙. ตองมีวิธีการปองกันการแกไขเปลี่ยนแปลงบันทึกตาง ๆ และจํากัดสิทธ์ิการเขาถึงบันทึก เหลา นนั้ ใหเ ฉพาะบุคคลทเ่ี กย่ี วขอ งเทา นน้ั แนวปฏบิ ัตใิ นการรกั ษาความมัน่ คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๓๗
หมวดที่ ๒ การรกั ษาความปลอดภัยฐานขอมลู และสํารองขอ มูล วตั ถปุ ระสงค ๑. เพ่ือใหระบบสารสนเทศของหนวยงานสามารถใหบ รกิ ารไดอยา งตอเน่ือง ๒. เพ่อื ใหเปนมาตรฐาน แนวทางปฏิบัตแิ ละความรับผิดชอบของผดู ูแลระบบในการปฏิบัติงานใหกบั หนว ยงานอยา งเครงครัด และตระหนักถึงความสาํ คัญของการรกั ษาความม่นั คงปลอดภัย ๓. เพอื่ ใหผใู ชง านไดรับรเู ขาใจและสามารถปฏบิ ัตติ ามแนวทางทกี่ าํ หนดโดยเครงครดั และตระหนัก ถึงความสําคัญของการรกั ษาความมน่ั คงปลอดภัยของระบบสารสนเทศ แนวปฎิบตั ิ สว นที่ ๑ การรักษาความปลอดภยั ฐานขอมูล ขอ ๑. กําหนดสทิ ธ์ิและความสําคัญของขอมูลและฐานขอมูล (๑) จัดทําบัญชีฐานขอมูล การจําแนกกลุมทรัพยากรของระบบหรือการทํางาน โดยให กําหนดกลมุ ผใู ชงานและสิทธิของกลุม ผใู ชงาน (๒) กําหนดเกณฑในการอนุญาตใหเขาถึงการใชงานสารสนเทศ ที่เกี่ยวของกับการอนุญาต การกําหนดสทิ ธิ์ หรอื การมอบอาํ นาจ ดังน้ี (๒.๑) กาํ หนดสิทธ์ิของผใู ชงานแตละกลุมทีเ่ กี่ยวของ - อานอยา งเดยี ว - สรางขอ มูล - ปอนขอ มูล - แกไ ข - อนมุ ัติ - ไมม สี ิทธิ์ (๒.๒) กําหนดเกณฑการระงับสิทธิ์ม การมอบอํานาจ ใหเปนไปตามการบริหารจัดการ การเขา ถงึ ของผใู ชง าน (User Access Management) ที่ไดกําหนดไว (๒.๓) ผูใชงานท่ีตองการเขาใชงานระบบสารสนเทศของหนวยงานจะตองขออนุญาต เปนลายลักษณอักษรและไดรับการพิจารณาอนุญาตจากหัวหนาหนวยงานหรือ ผดู ูแลระบบท่ไี ดรบั มอบหมาย (๓) ขั้นตอนปฏบิ ตั ิเพอื่ การจัดเกบ็ ขอมูล (๓.๑) จัดแบง ประเภทของขอมูล ออกเปน แนวปฏบิ ัติในการรกั ษาความมน่ั คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๓๘
- ขอมูลสารสนเทศดานการบริหาร เชน ขอมูลนโยบาย ขอมูลยุทธศาสตรและ คํารับรอง ขอ มลู บุคลากร ขอ มลู งบประมาณการเงนิ และบัญชี เปน ตน - ขอมลู สารสนเทศดา นการพาณชิ ยท่ีใหบริการ เชน ขอ มูลดัชนเี ศรษฐกิจการคา ขอมูลการคา ระหวา งประเทศของไทย ขอมูลเศรษฐกิจการคา จงั หวัด เปน ตน (๓.๒) จัดแบงระดับความสําคัญของขอ มลู ออกเปน ๓ ระดับ คือ - ขอ มูลที่มีระดับความสาํ คญั มากทสี่ ดุ - ขอ มลู ทม่ี ีระดบั ความสําคัญปานกลาง - ขอมลู ทีม่ รี ะดับความสําคญั นอย (๓.๓) จดั แบงลําดับช้นั ความลบั ของขอมูล - ขอมูลลับที่สุด หมายถึง หากเปดเผยทั้งหมดหรือเพียงบางสวนจะกอใหเกิด ความเสียหายอยางรายแรงที่สดุ - ขอมูลลับมาก หมายถึง หากเปดเผยท้ังหมดหรือเพียงบางสวนจะกอใหเกิด ความเสยี หายอยางรายแรง - ขอมูลลับ หมายถึง หากเปดเผยทั้งหมดหรือเพียงบางสวนจะกอใหเกิดความ เสยี หาย - ขอมูลทัว่ ไป หมายถงึ ขอมลู ทสี่ ามารถเปด เผยหรอื เผยแพรท ่ัวไปได (๓.๔) จัดแบง ระดบั ชน้ั การเขา ถึง - ระดบั ชนั้ สําหรบั ผูบ รหิ าร - ระดบั ชั้นสําหรบั ผูใชง านท่ัวไป - ระดบั ชัน้ สาํ หรบั ผูดูแลระบบหรอื ผทู ไี่ ดมอบหมาย (๓.๕) การกําหนดเวลาที่ไดเขาถึง (๓.๖) การกําหนดจาํ นวนชองทางทส่ี ามารถเขา ถงึ ขอ ๒. ขอมูล ขา วสารสารสนเทศทุกประเภทในฐานขอมลู ตองไดรับการจดั ระดบั การปองกนั ผูมีสิทธ์ิ เขา ใชหรอื ดําเนินการ รวมทั้งรายละเอียดอ่นื ๆ ท่ีจําเปน ตอมาตรการรกั ษาความปลอดภัย ขอ ๓. การปฏบิ ตั ิเก่ยี วกบั ขอ มูลทีเ่ ปนความลับใหปฏบิ ตั ติ ามระเบียบวา ดวยการรักษาความลับทาง ราชการ พ.ศ. ๒๕๔๔ และแนวปฏบิ ัติการรักษาความมนั่ คงปลอดภยั ดานสารสนเทศ หมวดที่ ๑ ขอ ๑๒ ขอ ๔. หนวยงานเจาของฐานขอมูล ผูมีสิทธแ์ิ ละอาํ นาจในสายงาน เปน ผพู ิจารณาคุณสมบตั ิของ ผูใ ชงานและโปรแกรมท่ไี ดรบั อนญุ าตใหกระทําการใด ๆ กับขอ มลู นัน้ ไดตามสทิ ธิและจัดใหม แี ฟมลงบนั ทึกเขา ออก (Log File) การใชงานสําหรบั ฐานขอมลู ตามความจําเปน เพ่ือประโยชนในการตรวจสอบความถูกตอง ของการใชงานฐานขอมูล ขอ ๕. ในกรณฐี านขอมูลท่ีมีการใชรวมกนั ระหวา งสว นราชการ หรือแลกเปล่ียน หรือขอใชขอมลู จากสวนราชการใหจ ดั ทําขอตกลงการใชข อมูล หรือสําหรับการแลกเปล่ยี นสารสนเทศระหวา งหนวยงานกับ หนวยงานภายนอก ดงั ตอไปน้ี แนวปฏบิ ัติในการรกั ษาความมัน่ คงปลอดภัยดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๓๙
(๑) กําหนดนโยบาย ข้นั ตอนปฏบิ ตั ิ และมาตรฐานเพ่อื ปองกันขอมลู และส่ือบนั ทึกขอมูลที่ จะมกี ารขนยายหรอื สง ไปยังอีกสถานทห่ี นึ่ง (๒) กาํ หนดหนา ทค่ี วามรบั ผดิ ชอบของผทู เี่ กีย่ วของและขนั้ ตอนปฏิบัตใิ นการใชข อมลู รว มกนั หรือแลกเปลีย่ นขอมูล เชน วิธกี ารสง การรบั เปนตน (๓) กาํ หนดหนาทค่ี วามรับผิดชอบในการปองกันขอมูล (๔) กาํ หนดขนั้ ตอนปฏิบตั ิสาํ หรบั ตรวจสอบวาใครเปนผูสงขอมูลและใครเปน ผูรบั ขอมลู เพอ่ื เปน การปองกนั การปฏิเสธ (๕) กาํ หนดความรบั ผิดชอบสําหรับกรณีท่ีขอมลู ทแ่ี ลกเปลย่ี นกันเกดิ การสญู หายหรือเกดิ เหตุการณค วามเสยี หายอน่ื ๆ กับขอมูลนนั้ (๖) กาํ หนดสิทธ์ิการเขาถึงขอ มูล (๗) กาํ หนดมาตรฐานทางเทคนคิ ท่ีใชใ นการเขา ถงึ ขอมูลหรือซอฟตแวร (๘) กําหนดมาตรการพเิ ศษสาํ หรับปอ งกันเอกสาร ขอ มูล ซอฟตแวร หรืออ่นื ๆ ทีม่ ี ความสาํ คญั เชน กญุ แจท่ีใชในการเขา รหัส เปนตน แนวปฏบิ ตั ิในการรักษาความมั่นคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๔๐
สวนที่ ๒ การสาํ รองขอมลู ขอ ๖. พจิ ารณาคัดเลอื กระบบสารสนเทศทส่ี ําคัญและจัดทําระบบสํารองทีเ่ หมาะสมใหอยูใ นสภาพ พรอมใชง าน โดยเรียงลาํ ดบั ความจาํ เปน มากไปนอย ขอ ๗. กําหนดหนาท่ีและความรับผิดชอบของเจาหนาที่ในการสํารองขอมูล ขอ ๘. มกี ารจัดทาํ บัญชรี ะบบสารสนเทศทีม่ ีความสาํ คัญท้ังหมดของหนว ยงาน พรอ มทั้งกาํ หนด ระบบสารสนเทศทจ่ี ะจดั ทําระบบสํารอง และจัดทาํ ระบบแผนเตรยี มพรอมกรณฉี ุกเฉิน อยา งนอยปละ ๑ ครั้ง ขอ ๙. กําหนดใหมีการสาํ รองขอ มลู ของระบบสารสนเทศแตล ะระบบ และกาํ หนดความถีใ่ น การสาํ รองขอ มลู หากระบบใดทมี่ ีการเปลี่ยนแปลงบอ ยกําหนดใหมคี วามถีใ่ นการสาํ รองขอมลู มากขึน้ โดยให มวี ธิ กี ารสํารองขอมูล ดังน้ี (๑) กาํ หนดประเภทของขอ มลู ทตี่ องทําการสาํ รองเก็บไว และความถ่ีในการสาํ รอง (๒) กําหนดรูปแบบการสํารองขอมลู ใหเหมาะสมกับขอ มูลที่จะทาํ การสํารองขอมูล (๓) บันทึกขอมูลท่ีเกี่ยวของกับกิจกรรมการสํารองขอมูล ไดแก ผูดําเนินการ วัน/เวลาชื่อ ขอมูลท่ีสาํ รอง สําเร็จ/ไมสําเร็จ เปนตน (๔) ตรวจสอบคา คอนฟกกูเรชันตาง ๆ ของระบบการสาํ รองขอ มูล (๕) จัดเก็บขอมูลที่สํารองนั้นในส่ือเก็บขอมูล โดยมีการพิมพช่ือบนส่ือเก็บขอมูลน้ันให สามารถแสดงถึงระบบซอฟตแวร วันที่ เวลาท่ีสํารองขอมูล และผูรับผิดชอบในการ สาํ รองขอ มลู ไวอ ยางชัดเจน (๖) จัดเก็บขอมูลท่ีสํารองไวนอกสถานท่ี ระยะทางระหวางสถานที่ที่จัดเก็บขอมูลสํารอง กับหนวยงานตองหางกันเพียงพอ เพื่อไมใหสงผลกระทบตอขอมูลท่ีจัดเก็บไวนอก สถานทน่ี ัน้ ในกรณีท่ีเกิดภยั พบิ ตั กิ บั หนว ยงาน (๗) ดําเนินการปองกันทางกายภาพอยางเพียงพอตอสถานที่สํารองที่ใชจัดเก็บขอมูลนอก สถานท่ี (๘) ทดสอบบันทึกขอมูลสํารองอยางสมํา่ เสมอ เพ่ือตรวจสอบวา ยังคงสามารถเขาถึงขอมูล ไดตามปกติ (๙) จดั ทําขนั้ ตอนปฏิบตั สิ ําหรบั การกูค นื ขอ มูลทเี่ สยี หายจากขอมลู ท่ีไดส าํ รองเกบ็ ไว (๑๐) ตรวจสอบและทดสอบประสิทธิภาพและประสิทธิผลของขั้นตอนปฏิบัติในการกูคืน ขอมูลอยางสมํ่าเสมอ อยางนอยปละ ๑ คร้ัง หรือตามความเหมาะสมโดยคํานึงถึง ความเสี่ยงตางๆ ที่จะเกดิ ขน้ึ (๑๑) กาํ หนดใหม กี ารใชงานการเขา รหัสขอมลู กบั ขอ มูลลบั ที่ไดสํารองเก็บไว ขอ ๑๐. ตอ งจัดทาํ แผนเตรยี มความพรอมกรณฉี กุ เฉนิ ในกรณที ี่ไมส ามารถดําเนินการดวยวธิ กี าร ทางอเิ ล็กทรอนิกส เพื่อใหสามารถใชง านสารสนเทศไดต ามปกติอยางตอเน่ือง โดย (๑) มีการกําหนดหนาท่ี และความรบั ผิดชอบของผทู ี่เก่ยี วขอ งทัง้ หมด แนวปฏบิ ตั ใิ นการรกั ษาความม่ันคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๔๑
(๒) มีการประเมินความเสี่ยงสําหรับระบบท่ีมีความสําคัญเหลาน้ัน และกําหนดมาตรการ เพื่อลดความเสี่ยงเหลาน้ัน เชน ไฟดับเปนระยะเวลานาน ไฟไหม แผนดินไหว การชุมนุมประทว งทาํ ใหไมส ามารถเขา มาใชร ะบบงานได เปนตน (๓) มีการกาํ หนดขน้ั ตอนปฏบิ ตั ใิ นการกูคนื ระบบสารสนเทศ (๔) มีการกาํ หนดขัน้ ตอนปฏบิ ัติในการสาํ รองขอ มูล และทดสอบกูคืนขอ มลู ท่ีสาํ รองไว (๕) มีการกําหนดชองทางในการติดตอกับผูใหบริการภายนอก เชน ผูใหบริการเครือขาย ฮารด แวร ซอฟตแวร เปน ตน เม่ือเกดิ เหตุจาํ เปนท่ีจะตองตดิ ตอ (๖) การสรางความตระหนัก หรือใหความรูแกเจาหนาท่ีผูที่เก่ียวของกับข้ันตอนการปฏิบัติ หรอื สงิ่ ท่ีตองทําเมื่อเกดิ เหตุเรง ดว น เปน ตน ขอ ๑๑. มกี ารทบทวนเพื่อปรับปรงุ แผนเตรียมความพรอมกรณีฉกุ เฉินดงั กลา วใหสามารถปรับใชได อยา งเหมาะสมและสอดคลองกบั การใชงานตามภารกจิ อยางนอ ยปล ะ ๑ ครง้ั ขอ ๑๒. ตอ งมีการกําหนดหนาที่และความรบั ผดิ ชอบของบุคลากรซึ่งดูแลรบั ผดิ ชอบระบบสารสนเทศ ระบบสาํ รอง และการจัดทาํ แผนเตรยี มพรอ มกรณฉี กุ เฉนิ ในกรณที ี่ไมส ามารถดาํ เนนิ การดว ยวธิ ีการทาง อิเลก็ ทรอนิกส ขอ ๑๓. ตอ งมีการทดสอบสภาพพรอ มใชงานของระบบสารสนเทศ ระบบสาํ รอง และระบบแผน เตรียมพรอมกรณฉี ุกเฉนิ อยางนอยปละ ๑ ครง้ั หรอื ตามความเหมาะสมโดยคํานงึ ถึงความเส่ยี งตา ง ๆ ท่ีจะเกิดข้นึ เพ่ือใหร ะบบมีสภาพพรอมใชงานอยเู สมอ ขอ ๑๔. มกี ารทบทวนระบบสารสนเทศ ระบบสํารอง และระบบแผนเตรยี มพรอมกรณฉี กุ เฉิน ที่เพยี งพอตอสภาพความเสี่ยงท่ียอมรบั ไดข องแตล ะหนว ยงาน อยางนอยปล ะ ๑ ครงั้ แนวปฏบิ ัตใิ นการรักษาความมัน่ คงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๔๒
หมวดที่ ๓ การตรวจสอบและประเมินความเสยี่ งดานสารสนเทศ วตั ถุประสงค ๑. เพื่อใหมกี ารตรวจสอบและประเมินความเสยี่ งของระบบสารสนเทศหรือสถานการณดานความ มน่ั คงปลอดภยั ที่ไมพึงประสงคหรือไมอ าจคาดคดิ ได ๒. เพอ่ื เปน การปองกันและลดระดับความเสี่ยงที่อาจจะเกิดข้นึ ไดกบั ระบบสารสนเทศ ๓. เพื่อเปน แนวทางในการปฏิบตั ิหากเกิดความเสย่ี งทเ่ี ปนอตั รายตอระบบสารสนเทศ แนวปฎบิ ัติ สวนที่ ๑ การตรวจสอบและประเมินความเส่ียง ตรวจสอบและประเมนิ ความเส่ียงดา นสารสนเทศหรอื สถานการณด า นความมน่ั คงปลอดภัยทไี่ มพึง ประสงคหรอื ไมอาจคาดคดิ ได ท่ีอาจเกิดขึ้นกบั ระบบเทคโนโลยีสารสนเทศ โดยผูตรวจสอบภายในของ หนว ยงาน (Internal Auditor) หรือโดยผูตรวจสอบอิสระดานความมน่ั คงปลอดภัยจากภายนอก (External Auditor) อยา งนอยปละ ๑ ครัง้ เพื่อใหห นว ยงานไดทราบถึงระดับความเสย่ี งและระดบั ความมัน่ คงปลอดภัย สารสนเทศ โดยมแี นวทางในตรวจสอบและประเมนิ ความเสี่ยงทต่ี อ งคาํ นึงถึง ดงั น้ี ขอ ๑. จัดลําดับความสาํ คัญของความเสย่ี ง ขอ ๒. คนหาวธิ ีการดาํ เนนิ การเพื่อลดความเสย่ี ง ขอ ๓. ศกึ ษาขอดีขอเสียของวิธกี ารดําเนินการเพ่ือลดความเสีย่ ง ขอ ๔. สรุปผลขอเสนอแนะและแนวทางแกไขเพ่ือลดความเส่ยี งท่ีตรวจสอบได ขอ ๕. มีการตรวจสอบและประเมนิ ความเส่ียงและใหจดั ทํารายงานพรอ มขอ เสนอแนะ ขอ ๖. มีมาตรการในการตรวจประเมินระบบสารสนเทศ อยางนอ ย ดังนี้ (๑) กําหนดใหผูตรวจสอบสามารถเขาถึงขอมูลท่ีจําเปนตองตรวจสอบไดแบบอานได อยา งเดยี ว (๒) ในกรณีที่จําเปนตองเขาถึงขอมูลในแบบอ่ืน ๆ ใหสรางสําเนาสําหรับขอมูลน้ัน เพื่อให ผูตรวจสอบใชงาน รวมทั้งตองทําลายหรือลบโดยทันทีท่ีตรวจสอบเสร็จ หรือตอง จัดเก็บไวโ ดยมีการปองกนั เปนอยางดี (๓) กาํ หนดใหมีการระบุและจัดสรรทรัพยากรทจี่ ําเปนตองใชใ นการตรวจสอบระบบบริหาร จดั การความมนั่ คงปลอดภยั (๔) กําหนดใหมีการเฝาระวังการเขาถึงระบบโดยผูตรวจสอบ รวมทั้ง บันทึกขอมูลล็อก แสดงการเขา ถงึ นัน้ ซงึ่ รวมถึงวันและเวลาทเี่ ขาถงึ ระบบงานท่สี าํ คัญ ๆ แนวปฏบิ ตั ใิ นการรกั ษาความม่ันคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๔๓
(๕) ในกรณีที่มีเครื่องมือสําหรับการตรวจประเมินระบบสารสนเทศ กําหนดใหแยกการ ติดตั้งเคร่ืองมือท่ีใชในการตรวจสอบ ออกจากระบบใหบริการจริงหรือระบบที่ใชใน การพัฒนา และมีการจดั เกบ็ ปอ งกนั เครอ่ื งมอื น้ันจากการเขาถึงโดยไมไดร บั อนญุ าต แนวปฏบิ ตั ิในการรกั ษาความมัน่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๔๔
สวนที่ ๒ ความเสี่ยงที่อาจเปนอันตรายตอระบบเทคโนโลยีสารสนเทศ จากการตดิ ตามตรวจสอบความเสี่ยงตาง ๆ รวมถงึ เหตกุ ารณด า นความมน่ั คงปลอดภัยในระบบ เทคโนโลยีสารสนเทศ สามารถแยกเปนภยั ตา ง ๆ ได ๔ ประเภท ดังน้ี ประเภทที่ ๑ ภยั ทเี่ กดิ จากเจาหนา ท่ีหรือบุคลากรของหนว ยงาน (Human Error) เชน เจา หนาที่หรอื บุคลากรของหนว ยงานขาดความรูความเขาใจในเครือ่ งมืออุปกรณคอมพิวเตอร ทงั้ ดา น Hardware และ Software ซง่ึ อาจทาํ ใหระบบเทคโนโลยสี ารสนเทศเสยี หาย ใชง านไมได เกดิ การชะงักงนั หรือหยดุ ทาํ งาน และสง ผลให ไมสามารถใชง านระบบเทคโนโลยีสารสนเทศไดอ ยา งเตม็ ประสิทธิภาพ ไดกาํ หนดแนวทางการดําเนินการเบอ้ื งตนเพื่อลดปญ หาความเสย่ี งทีจ่ ะเกดิ ขึ้นกับระบบเทคโนโลยสี ารสนเทศ ไว ดงั น้ี (๑) จัดหลักสูตรอบรมเจาหนาท่ีของหนวยงาน ใหมีความรูความเขาใจในดาน Hardware และ Software เบ้ืองตน เพื่อลดความเสี่ยงดาน Human error ใหนอยท่ีสุด ทําให เจาหนาที่มีความรูความเขาใจการใชและบริหารจัดการเคร่ืองมืออุปกรณทางดาน สารสนเทศ ท้ังทางดาน Hardware และ Software ไดมีประสิทธิภาพย่ิงขึ้น ทําให ความเส่ยี งทเี่ กดิ จาก Human error ลดนอ ยลง (๒) จัดทําหนังสือแจงเวียนหนวยงานทั้งสวนกลางและสวนภูมิภาค เร่ือง การใชและการ ประหยัดพลงั งานใหกับเครอ่ื งคอมพวิ เตอรแ ละอุปกรณ เพื่อเปนแนวทางปฏบิ ัติไดอยาง ถกู ตอ ง ประเภทท่ี ๒ ภัยทีเ่ กิดจาก Software ท่สี รา งความเสียหายใหแกเ ครื่องคอมพวิ เตอรหรือ ระบบเครือขา ยคอมพวิ เตอรป ระกอบดวย ไวรัสคอมพวิ เตอร (Computer Virus), หนอนอินเตอรเ น็ต (Internet Worm), มา โทรจนั (Trojan Horse), และขาวไวรสั หลอกลวง (Hoax) พวก Software เหลา นอี้ าจ รบกวนการทํางาน และกอใหเ กิดความเสียหายใหแกร ะบบเทคโนโลยีสารสนเทศ ถึงข้นั ทําใหระบบเครือขาย คอมพิวเตอรใชง านไมไ ด ไดก ําหนดแนวทางปฏบิ ตั เิ พ่ือเตรียมรบั สถานการณภยั จาก Software ดงั นี้ (๑) ติดตั้ง Firewall ท่ีเคร่ืองคอมพิวเตอรแมขาย ทําหนาท่ีในการกําหนดสิทธ์ิการเขาใช งานเครือ่ งคอมพิวเตอรแมขา ย และปองกันการบุกรุกจากภายนอก (๒) ติดตั้งซอฟตแวร Anti virus ดักจับไวรัสท่ีเขามาในระบบเครือขาย และสามารถ ตรวจสอบไดว ามไี วรัสชนิดใดเขา มาทาํ ความเสยี หายกับระบบเครอื ขา ยคอมพวิ เตอร ประเภทที่ ๓ ภัยจากไฟไหม หรือ ระบบไฟฟา จดั เปนภยั รา ยแรงทท่ี ําความเสียหายใหแ ก ระบบเทคโนโลยสี ารสนเทศ ไดก ําหนดแนวทางปฏิบตั ิเพอื่ เตรยี มรบั สถานการณ ดังน้ี (๑) ติดตั้งอุปกรณสํารองไฟฟา (UPS) เพื่อควบคุมการจายกระแสไฟฟาใหกับระบบเคร่ือง แมขาย (Server) ในกรณีเกิดกระแสไฟฟาขัดของ ระบบเครือขายคอมพิวเตอรจะ สามารถใหบ รกิ ารไดใ นระยะเวลาท่ีสามารถจัดเกบ็ และสาํ รองขอ มูลไวอ ยางปลอดภัย แนวปฏบิ ตั ิในการรกั ษาความมั่นคงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๔๕
(๒) ติดตั้งอุปกรณตรวจจับควัน กรณีที่เกิดเหตุการณกระแสไฟฟาขัดของหรือมีควันไฟ เกิดข้ึนภายในหองควบคุมระบบเครือขาย อุปกรณดังกลาวจะสงสัญญาณแจงเตือนที่ หนวยรักษาความปลอดภัยเพื่อทราบ และรีบเขามาระงับเหตุฉุกเฉินอยางทันทวงที ซึ่ง มกี ารตรวจสอบความพรอมของอุปกรณอ ยา งสมํา่ เสมอ (๓) ติดต้ังอุปกรณดับเพลิงชนิดกาซ ที่หองควบคุมระบบคอมพิวเตอรเพ่ือไวใชในกรณีเหตุ ฉุกเฉิน (ไฟไหม) โดยมีการตรวจสอบความพรอมของอุปกรณและทดลองใชงานโดย สมา่ํ เสมอ ประเภทท่ี ๔ ภยั จากนํ้าทว ม (อทุ กภัย) ความเสี่ยงตอความเสียหายจากนาํ้ ทว ม จดั เปน ภัย รา ยแรงทที่ าํ ความเสยี หายใหแกระบบเทคโนโลยีสารสนเทศ ไดก ําหนดแนวทางปฏบิ ตั ิเพ่ือเตรียมรับ สถานการณ ดงั น้ี (๑) เฝาระวังภัยอันเกิดจากนํ้าทวมโดยติดตามจากพยากรณอากาศของกรมอุตุนิยมวิทยา ตลอดเวลา (๒) ถอดเทป Back up ขอ มูลทัง้ หมด ไปเก็บไวในทีป่ ลอดภยั (๓) ดําเนินการตัดระบบไฟฟาในหองควบคุม โดยปดเบรคเกอรเครื่องปรับอากาศ เพื่อ ปองกนั เครอื่ งควบคุมเสยี หาย และปอ งกนั ภยั จากไฟฟา (๔) เจา หนา ท่ีชว ยกนั เคลอื่ นยา ยเครือ่ งคอมพวิ เตอรแ มขา ย และอุปกรณเ ครือขา ยไวในทส่ี ูง (๕) กรณีน้ําลดลงเรียบรอยแลวใหชางไฟฟาตรวจสอบระบบไฟฟาในหองควบคุมเครือขาย วา สามารถใชงานไดปกติหรือไม และเตรียมความพรอมหองควบคุมระบบเครือขาย สําหรับตดิ ตั้งเคร่ืองคอมพวิ เตอร แมขา ยและอปุ กรณเ ครือขา ย (๖) ทําการติดต้ังเคร่ืองคอมพิวเตอรแมขายและอุปกรณเครือขาย พรอมทั้งทดสอบการใช งานของเครื่องคอมพิวเตอรแมขายแตละเครื่องวาสามารถใหบริการไดตามปกติหรือไม ตรวจสอบระบบ Network วา สามารถเช่ือมตอและใหบริการกับเครื่องคอมพิวเตอร ลกู ขายไดหรือไม (๗) เม่ือตรวจสอบแลววาเคร่ืองคอมพิวเตอรแมขายและระบบเครือขายสามารถใหบริการ ขอมูลไดเรียบรอยแลว แจงใหหนวยงานที่เกี่ยวของทราบ เพื่อเขามาใชบริการได ตามปกติ แนวปฏบิ ตั ิในการรกั ษาความมนั่ คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๔๖
หมวดท่ี ๔ การรกั ษาความปลอดภัยดานกายภาพ สถานที่ และสภาพแวดลอ ม วตั ถปุ ระสงค เพอ่ื กําหนดมาตรการในการควบคุมและปองกันการรกั ษาความมั่นคงปลอดภัยในการเขาใชงานหรอื เขาถึงพ้นื ที่ใชงานในระบบสารสนเทศ โดยพิจารณาตามความสําคญั ของอปุ กรณ ระบบเทคโนโลยสี ารสนเทศ ขอมลู ซึง่ มผี ลบังคบั ใชกับผูใชงานและรวมถงึ บุคคล และหนว ยงานภายนอกที่มสี ว นเกยี่ วของกับการใชง าน ระบบเทคโนโลยีสารสนเทศของหนว ยงาน แนวปฎบิ ตั ิ ขอ ๑. อาคาร สถานท่ี และพ้นื ทใี่ ชงานระบบสารสนเทศ หมายถึง ทซ่ี ึ่งเปน ทต่ี งั้ ของระบบ คอมพวิ เตอร ระบบเครือขาย หรอื ระบบสารสนเทศอนื่ ๆ พ้ืนทเ่ี ตรยี มขอมลู จดั เก็บคอมพิวเตอรและอปุ กรณ พ้ืนทปี่ ฏบิ ตั ิงานของบุคลากรทางคอมพวิ เตอร รวมทัง้ เคร่อื งคอมพิวเตอรส ว นบคุ คลและอุปกรณประกอบที่ ตดิ ตงั้ ประจําโตะทาํ งาน ขอ ๒. หองควบคุมระบบเครอื ขา ยคอมพวิ เตอร ตองมีลกั ษณะ ดังนี้ (๑) กําหนดเปน เขตหวงหา มเดด็ ขาด หรอื เขตหวงหา มเฉพาะโดยพจิ ารณาตาม ความสําคัญแลว แตกรณี (๒) ตองเปน พ้นื ทีท่ ่ีไมต ั้งอยใู นบริเวณท่ีมกี ารผานเขา –ออก ของบคุ คลเปน จํานวนมาก (๓) จะตอ งไมมีปายหรือสัญลักษณท บ่ี งบอกถงึ การมีระบบสําคัญอยูภ ายในสถานท่ดี ังกลา ว (๔) จะตองปดลอ็ ก หรอื ใสก ุญแจประตูหนา ตางหรือหอ งเสมอเมอ่ื ไมมเี จาหนา ท่ีประจาํ อยู (๕) หากจําเปน ตอ งใชเคร่ืองโทรสารหรือเคร่ืองถา ยเอกสาร ใหตดิ ตง้ั แยก ออกมาจาก บริเวณดังกลา ว (๖) ไมอ นุญาตใหถายรูปหรือบันทึกภาพเคล่ือนไหวในบรเิ วณดังกลา ว เปนอันขาด (๗) จัดพื้นทส่ี าํ หรับการสง มอบผลิตภัณฑ โดยแยกจากบรเิ วณที่มที รพั ยากรสารสนเทศ จัดตัง้ ไว เพื่อปองกันการเขา ถึงระบบจากผูไมไดร บั อนุญาต ขอ ๓. การกาํ หนดบรเิ วณทต่ี องมกี ารรกั ษาความม่นั คงปลอดภัย (๑) มกี ารจําแนกและกําหนดพื้นที่ของระบบเทคโนโลยสี ารสนเทศตา ง ๆ อยางเหมาะสม เพ่อื จุดประสงคในการเฝาระวัง ควบคุม การรักษาความมัน่ คงปลอดภัย จากผทู ี่ไมได รับอนุญาต รวมทง้ั ปองกันความเสียหายอ่ืน ๆ ที่อาจเกิดข้ึนได (๒) กําหนดและแบง แยกบริเวณพ้ืนทีใ่ ชง านระบบเทคโนโลยสี ารสนเทศใหช ัดเจน รวมทัง้ จดั ทําแผนผงั แสดงตําแหนง ของพ้ืนที่ใชงานและประกาศใหรบั ทราบทั่วกัน โดยการ กําหนดพืน้ ท่ีดงั กลาวอาจแบง ออกไดเ ปน พื้นท่ีทาํ งานท่วั ไป (General Working Area) แนวปฏบิ ัตใิ นการรกั ษาความม่ันคงปลอดภยั ดา นสารสนเทศ ของกระทรวงสาธารณสุข หนา ๔๗
พืน้ ทท่ี ํางานของผูดแู ลระบบ (System Administrator Area) พื้นทีต่ ดิ ตั้งอุปกรณ ระบบเทคโนโลยสี ารสนเทศ (IT Equipment Area) พืน้ ที่จัดเก็บขอมูลคอมพิวเตอร (Data Storage Area) และพื้นทีใ่ ชงานเครือขายไรสาย (Wireless LAN Coverage Area) เปนตน แนวปฏบิ ัตใิ นการรักษาความมั่นคงปลอดภยั ดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๔๘
ขอ ๔. การควบคมุ การเขาออก อาคารสถานที่ (๑) กําหนดสทิ ธ์ิผูใชงาน ทมี่ สี ิทธิ์ผานเขา -ออก และชวงเวลาทม่ี ีสิทธใ์ิ นการผานเขาออก ในแตล ะ “พนื้ ทใ่ี ชง านระบบ” อยางชดั เจน (๒) การเขา ถึงอาคารของหนว ยงาน ของบคุ คลภายนอก หรือผูมาตดิ ตอ เจา หนา ที่รกั ษา ความปลอดภัย จะตองใหมกี ารแลกบัตรทใ่ี ชร ะบตุ ัวตนของบุคคลนนั้ ๆ เชน บตั ร ประชาชน ใบอนุญาตขบั ข่ี เปนตน แลว ทาํ การลงบันทึกขอมูลบัตรในสมดุ บันทึกและ รับแบบฟอรม การเขาออกพรอมกับบตั รผูตดิ ตอ (Visitor) (๓) ใหม กี ารบันทึกวนั และเวลาการเขา-ออกพนื้ ท่สี ําคัญของผทู ่ีมาตดิ ตอ (Visitors) (๔) ผมู าติดตอตองติดบตั รใหเหน็ เดนชัดตลอดระยะเวลาทอ่ี ยูภายในหนว ยงาน (๕) บริษัทผูไดร บั การวา จา งตองติดบตั รใหเ ห็นเดน ชัดตลอดระยะเวลาการทํางาน (๖) จัดเกบ็ บันทึกการเขา-ออกสาํ หรบั พ้ืนทีห่ รือบรเิ วณที่มีความสําคญั เชน (Data Center) เปนตน เพ่อื ใชในการตรวจสอบในภายหลังเมอ่ื มีความจําเปน (๗) ดแู ลผูท่ีมาตดิ ตอในพื้นทีห่ รือบริเวณทมี่ คี วามสาํ คัญจนกระทงั่ เสรจ็ สิน้ ภารกิจและ จากไป เพอ่ื ปองกนั การสูญหายของทรัพยสินหรอื ปองกันการเขา ถงึ ทางกายภาพโดย ไมไดรบั อนุญาต (๘) มกี ลไกการอนญุ าตการเขา ถึงพืน้ ทห่ี รือบริเวณที่มีความสําคัญของบุคคลภายนอก และ ตอ งมเี หตุผลท่ีเพยี งพอในการเขา ถงึ บรเิ วณดังกลาว (๙) สรางความตระหนักใหผูทีม่ าติดตอ จากภายนอกเขา ใจในกฎเกณฑหรือขอกาํ หนดตางๆ ท่ีตอ งปฏบิ ัติระหวางที่อยูใ นพื้นทหี่ รือบรเิ วณที่มคี วามสาํ คัญ (๑๐) มกี ารควบคุมการเขา ถึงพืน้ ท่ีท่ีมขี อมลู สําคญั จัดเก็บหรือประมวลผลอยู (๑๑) ไมอนุญาตใหผูไมมีกจิ เขาไปในพื้นที่หรือบริเวณทม่ี ีความสําคัญเวน แตไ ดรับการอนุญาต (๑๒) มีการพสิ ูจนต วั ตน เชน การใชบ ตั รรูด การใชร หัสผา น เปนตน เพือ่ ควบคุมการเขา - ออกในพน้ื ทหี่ รอื บริเวณท่มี ีความสําคัญ (Data Center) (๑๓) จัดใหมกี ารดูแลและเฝาระวังการปฏิบตั งิ านของบุคคลภายนอกในขณะท่ีปฏบิ ัติงานใน พ้นื ท่หี รอื บริเวณทมี่ ีความสาํ คัญ (๑๔) จัดใหม กี ารทบทวน หรอื ยกเลิกสทิ ธิ์การเขา ถึงพื้นที่หรอื บรเิ วณที่มีความสําคญั อยา งนอยปล ะ ๑ ครงั้ ขอ ๕. ระบบและอปุ กรณสนบั สนนุ การทํางาน (Supporting Utilities) (๑) มีระบบสนับสนุนการทํางานของระบบเทคโนโลยสี ารสนเทศของหนว ยงานทเี่ พยี งพอ ตอ ความตองการใชง านโดยใหมีระบบดังตอไปนี้ - ระบบสาํ รองกระแสไฟฟา (UPS) - เครอื่ งกําเนิดกระแสไฟฟาสํารอง (Generator) แนวปฏบิ ตั ิในการรักษาความม่นั คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสุข หนา ๔๙
- ระบบระบายอากาศ - ระบบปรับอากาศ และควบคมุ ความชนื้ (๒) ใหมกี ารตรวจสอบหรือทดสอบระบบสนับสนุนเหลาน้ันอยา งนอยปละ ๑ ครั้ง เพอ่ื ให มั่นใจไดว า ระบบทํางานตามปกติ และลดความเสีย่ งจากการลมเหลวในการทาํ งานของ ระบบ (๓) ติดตั้งระบบแจงเตือน เพื่อแจงเตือนกรณที รี่ ะบบสนับสนุนการทาํ งานภายในหองเครื่อง ทํางานผดิ ปกติหรือหยดุ การทํางาน ขอ ๖. การเดนิ สายไฟ สายสื่อสาร และสายเคเบิ้ลอ่ืนๆ (Cabling Security) (๑) หลีกเลี่ยงการเดินสายสัญญาณเครือขายของหนวยงานในลักษณะท่ีตองผานเขาไปใน บริเวณท่ีมบี คุ คลภายนอกเขาถึงได (๒) ใหมีการรอยทอสายสัญญาณตาง ๆ เพ่ือปองกันการดักจับสัญญาณ หรือการตัด สายสญั ญาณเพ่อื ทาํ ใหเกดิ ความเสยี หาย (๓) ใหเดินสายสัญญาณสื่อสารและสายไฟฟาแยกออกจากกัน เพ่ือปองกันการแทรกแซง รบกวนของสัญญาณซึ่งกนั และกัน (๔) ทําปายชื่อสําหรบั สายสัญญาณและบนอปุ กรณเ พอื่ ปองกันการตดั ตอสญั ญาณผดิ เสน (๕) จัดทําผังสายสญั ญาณสอ่ื สารตาง ๆ ใหค รบถวนและถกู ตอ ง (๖) หองที่มีสายสัญญาณส่ือสารตาง ๆ ปดใสสลักใหสนิท เพ่ือปองกันการเขาถึงของ บคุ คลภายนอก (๗) พิจารณาใชงานสายไฟเบอรออฟติก แทนสายสัญญาณสื่อสารแบบเดิม (เชน สายสญั ญาณแบบ coaxial cable) สาํ หรับระบบสารสนเทศท่สี ําคญั (๘) ดําเนินการสํารวจระบบสายสัญญาณส่ือสารทั้งหมดเพื่อตรวจหาการติดต้ังอุปกรณดัก จบั สญั ญาณโดยผไู มป ระสงคด ี ขอ ๗. การบาํ รุงรกั ษาอุปกรณ (Equipment Maintenance) (๑) ใหมกี าํ หนดการบํารงุ รักษาอุปกรณต ามรอบระยะเวลาท่แี นะนําโดยผูผลติ (๒) ปฏบิ ตั ิตามคาํ แนะนําในการบาํ รงุ รกั ษาตามท่ผี ูผ ลติ แนะนํา (๓) จัดเก็บบันทึกกิจกรรมการบํารุงรักษาอุปกรณสําหรับการใหบริการทุกคร้ัง เพ่ือใชใน การตรวจสอบหรือประเมินในภายหลงั (๔) จัดเก็บบันทึกปญหาและขอบกพรองของอุปกรณท่ีพบ เพื่อใชในการประเมินและ ปรับปรุงอปุ กรณดงั กลา ว (๕) ควบคุมและสอดสองดูแลการปฏิบัติงานของผใู หบริการภายนอกท่มี าทําการบํารงุ รักษา อุปกรณภ ายในหนวยงาน แนวปฏบิ ตั ิในการรักษาความม่นั คงปลอดภัยดานสารสนเทศ ของกระทรวงสาธารณสขุ หนา ๕๐
Search
