B2 55
Transcript of B2 55
แนวทางปฏบตเพอปองกนการกระท�าความผด
เกยวกบคอมพวเตอร
เอกสารความร สดร.ล�าดบท ๒ / ปงบประมาณ ๒๕๕๕
สถาบนด�ารงราชานภาพ
ส�านกงานปลดกระทรวงมหาดไทย
ʶҺѹ ÓçÃÒªÒ¹ØÀÒ¾
2 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 3
แนวทางปฏบตเพอปองกนการกระท�าความผดเกยวกบคอมพวเตอร
วไลภรณ ศรไพศาล๑
เนองจากเทคโนโลยดานการสอสารและโทรคมนาคมขยายตวมากขน
คอมพวเตอรถกออกแบบใหมความหลากหลายรปแบบ เพอให
ตอบสนองความตองการของผใชหลากหลายลกษณะ จงท�าใหเกดการใชงาน
แพรหลายมากยงขน และการใชงานผานเครอขายอนเทอรเนต ท�าใหเรา
สามารถคนหาและเขาถงขอมลไดอยางไมจ�ากดระยะเวลา และสถานท ดงนน
จงมการกระจายขอมลขาวสารแบบทกทศทาง มการสอสารแบบสองทศทาง
ทมตอบสนองอยางรวดเรว ชวยลดอปสรรคเรองสถานทและเวลาในการด�าเนน
กจกรรมตางๆ ดวยเหตนจงสงผลกระทบตอการเปลยนแปลงทางดาน
เศรษฐกจ การเมอง และสงคมอยางรวดเรวและกวางขวาง
๑ นกวชาการคอมพวเตอร ช�านาญการ ศนยเทคโนโลยสารสนเทศและการสอสาร ส�านกงานปลด
กระทรวงมหาดไทย
4 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
เมอคอมพวเตอรและเครอขายอนเทอรเนตกลายเปนสวนส�าคญของ
การประกอบกจการและการด�ารงชวต หากมผกระท�าการใดๆ ทเกยวของกบ
การใชคอมพวเตอรและท�าใหผเสยหายไดรบความเสยหาย หรอผกระท�าความ
ผดไดรบผลประโยชน เชน การบดเบอนขอมล การฟอกเงน การฉอโกง
การเผยแพรรปลามกอนาจาร การขโมยขอมลของผอน การถอดรหสโปรแกรม
คอมพวเตอรโดยไมไดรบอนญาตแลวเผยแพรใหผอนดาวนโหลดได การน�า
ภาพไปตดตอเขาสระบบคอมพวเตอรท�าใหผอนเสยหาย การปลอมแปลง
เอกสาร เปนตน สงเหลานยอมกอใหเกดความเสยหาย กระทบกระเทอนตอ
เศรษฐกจ สงคม และความมนคงของรฐ รวมทงความสงบสขและศลธรรม
อนดของประชาชน จงไดก�าหนดมาตรการเพอปองกนและปราบปรามการ
กระท�าดงกลาว โดยตราพระราชบญญตวาดวยการกระท�าความผดเกยวกบ
คอมพวเตอร พ.ศ. ๒๕๕๐ ซงมผลบงคบใชตงแตวนท ๑๘ กรกฎาคม ๒๕๕๐
๑. แนวทางปฏบตเพอปองกนการกระท�าความผดเกยวกบคอมพวเตอร
เมอมการบงคบใชพระราชบญญตวาดวยการกระท�าความผดเกยวกบ
คอมพวเตอร พ.ศ. ๒๕๕๐ ประชาชนและหนวยงานทกภาคสวนตองปฏบต
ตาม ดงนน จงจ�าเปนทจะตองท�าความเขาใจในสาระส�าคญของพระราช
บญญตฉบบน เพอน�ามา
เปนแนวทางในการปฏบต
ตามกฎหมาย และปอง
การกระท�าผดกฎหมาย
โดยม ลกษณะความผด
ดงน
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 5
๑.๑ การเขาถงระบบคอมพวเตอรโดยมชอบ เชน การเจาะระบบ
คอมพวเตอรหรอการบกรกทางคอมพวเตอรโดยทเจาของไมรตว การใชบญช
ผใช (Log In) และรหสผาน (Password) ของผอน
๑.๒ การเปดเผยมาตรการปองกนการเขาถงระบบคอมพวเตอร
ไมวาจะไดมาโดยชอบ เชน Log In และ Password ของหนวยงานทมหนาท
ดแลอย หรอการไดมาโดยไมชอบ เชน การแอบบนทกการกด Password
ของผอน แลวน�าไปเปดเผยใหบคคลทสามร
๑.๓ การเขาถงขอมลคอมพวเตอรโดยมชอบ เชน การเขาถงแฟม
ขอมลทมชนความลบโดยไมไดรบอนญาต การเขาไปดขอมลในเครอง
คอมพวเตอรของผ อนโดยไมไดรบ
อนญาต รวมถงการน�าแผนซด หรอ
แผนดสกมาเกบหรอสงขอมลผานระบบ
คอมพวเตอร
๑.๔ การดกรบขอมลโดย
มชอบเพอลกลอบดกฟง ตรวจสอบ
หรอตดตามเนอหาสาระของขาวสาร
ทสอสารถงกนระหวางบคคล (ไมใช
สาธารณะ) เพอใหไดมาซงเนอหาของ
ขอมลโดยตรง หรอโดยทางออมดวยการแอบบนทกขอมลสอสารถงกนดวย
อปกรณอเลกทรอนกส ไมวาอปกรณอเลกทรอนกสทใชบนทกขอมลดงกลาว
จะเชอมตอเขากบสายสญญาณส�าหรบสงผานขอมล หรอโดยใชเทคโนโลย
ไรสาย (Wireless LAN) กตาม นอกจากนยงรวมถงกรณใชซอฟตแวรหรอ
รหสผานตางๆ เพอท�าการแอบบนทกขอมลทสงผานถงกนดวย
6 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
๑.๕ การท�าใหเสยหาย ท�าลาย แกไข เปลยนแปลงขอมล
คอมพวเตอร เชน การแพรกระจายไวรส (Virus) การตดตงโปรแกรม
ไมประสงคด เชน สแปมเมล (Spam Mail) มาโทรจน (Trojan Horse)
๑.๖ การท�าใหระบบไมสามารถท�างานไดตามปกต แมจะยงท�างาน
ได แตถาไมสามารถท�างานไดอยางสมบรณ เชน การแพรกระจายไวรส (Virus)
ท�าใหระบบคอมพวเตอรท�างานไดชาลง การวนาศกรรมเพอใหมผลการท�าลาย
การท�างานของระบบคอมพวเตอร
๑.๗ สแปมเมล (Spam Mail) คอ การสงอเมลจ�านวนมากๆ ใน
ครงหนง หรอทยอยสงเพอวตถประสงคในการโฆษณาสนคา การโจมตระบบ
การกลนแกลงใหร�าคาญ ฯลฯ
๑.๘ การกระท�าซงกอใหเกดผลกระทบตอความมนคง เชน การเจาะ
เขาไปในระบบคอมพวเตอรและลกลอบเตมหรอท�าลายขอมลคอมพวเตอร
ทกอใหเกดความเสยหายตอประเทศชาตหรอสรางความตนตระหนกแก
ประชาชนในวงกวาง กรณเปนเหตใหผอนถงแกความตายนน หากผกระท�าม
เจตนาฆา ตองมความผดตามประมวลกฎหมายอาญา ซงมอตราโทษจ�าคก
สงสด คอ ประหารชวต หากกระท�าโดยประมาท กตองถอวาเปนกรรมเดยว
ผดกฎหมายหลายบท กตองรบโทษตามกฎหมายฉบบทมบทลงโทษหนกทสด
๑.๙ การจ�าหนาย/เผยแพรชดค�าสง หรอโปรแกรมคอมพวเตอร
ทน�าไปใชเปนเครองมอในการกระท�าความผด
๑.๑๐ การน�าเขา/เผยแพรเนอหาอนไมเหมาะสม เชน ในกระดาน
ขาว (Web Board) หรอการสงตออเมล (E-mail) ทมขอความ เนอหา หรอ
รปภาพไมเหมาะสม เปนเทจ กระทบความมนคง หรอลามกอนาจาร
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 7
๑.๑๑ ความรบผดชอบของ
ผใหบรการ เชน เจาของเวบบอรด
หรอเวบไซต ซงมการพจารณาวา
ควรตองมหนาทลบเนอหาอนไม
เหมาะสมดวย หากทราบวากระท�า
ผดแลวปลอยใหมการกระท�าผด
แสดงวาใหการสนบสนนใหขอมล
คอมพวเตอรนนอยในระบบคอมพวเตอรของตน หรอยนยอมใหมการกระท�า
ความผด จงมความผดและตองรบโทษเชนเดยวกบผกระท�าความผด
ตารางสรปลกษณะความผดและบทก�าหนดโทษ
ลกษณะความผด โทษจ�าคก โทษปรบ
มาตรา ๕ การเขาถงระบบคอมพวเตอรโดยมชอบ
ไมเกน ๖ เดอน ไมเกน ๑๐,๐๐๐ บาท
มาตรา ๖ การเปดเผยมาตรการปองกน
ไมเกน ๑ ป ไมเกน ๒๐,๐๐๐ บาท
มาตรา ๗ การเขาถงขอมลคอมพวเตอรโดยมชอบ
ไมเกน ๒ ป ไมเกน ๔๐,๐๐๐ บาท
มาตรา ๘ การดกขอมลคอมพวเตอรโดยมชอบ
ไมเกน ๓ ป ไมเกน ๖๐,๐๐๐ บาท
มาตรา ๙ การท�าใหเสยหาย ท�าลาย แกไข เปลยนแปลง
ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๐ การท�าใหระบบ ไมสามารถท�างานไดตามปกต
ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
8 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
ลกษณะความผด โทษจ�าคก โทษปรบ
มาตรา ๑๑ สแปมเมล (Spam Mail)
ไมม ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๒ กระท�าผดมาตรา ๙ หรอมาตรา ๑๐(๑) กอใหเกดความเสยหายแกประชาชน(๒) กระทบตอความมนคงของประเทศ/เศรษฐกจวรรคทาย เปนเหตใหผอนถงแกชวต
ไมเกน ๑๐ ป
๓ ป ถง ๑๕ ป
๑๐ ป ถง ๒๐ ป
-
ไมเกน ๒๐๐,๐๐๐ บาท
๖๐,๐๐๐-๓๐๐,๐๐๐ บาท
ไมม
-
มาตรา ๑๓ การจ�าหนาย/เผยแพรชดค�าสง
ไมเกน ๑ ป ไมเกน ๒๐,๐๐๐ บาท
มาตรา ๑๔ การเผยแพรเนอหา อนไมเหมาะสม
ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๕ ความรบผดชอบของ ผใหบรการ
ไมเกน ๕ ป ไมเกน ๑๐๐,๐๐๐ บาท
มาตรา ๑๖ การตดตอภาพผอน ไมเกน ๓ ป ไมเกน ๖๐,๐๐๐ บาท
มาตรา ๑๗ การกระท�าความผดนอกราชอาณาจกร
- -
มาตรา ๒๖ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรไวไมนอยกวา ๙๐ วน
- ไมเกน ๕๐๐,๐๐๐ บาท
๑.๑๒ การเผยแพรภาพซงตดตอในลกษณะหมนประมาท และน�าไป
เผยแพรในระบบคอมพวเตอรโดยเจตนา เชน เผยแพรบนเวบบอรด เวบไซต
อเมล
๑.๑๓ การกระท�าความผดนอกราชอาณาจกรทตองรบโทษในราช
อาณาจกร ไมวาจะเปนการเขาถง (Access) การเขาแทรกแซง ท�าลาย การน�า
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 9
เขาสระบบคอมพวเตอร แมวาจะไมไดกระท�าในประเทศไทย แตถา ผรบขอมล
สามารถเปดรบขอมลคอมพวเตอรนนในประเทศไทยได ยอมถอวาการกระท�า
ความผดนนไดกระท�าในประเทศไทยดวย
๑.๑๔ ผใหบรการตองเกบรกษาขอมลจราจรทางคอมพวเตอรของ
ผใชบรการเทาทจ�าเปน เพอใหสามารถระบตวผใชบรการนบตงแตเรมใช
บรการและตองเกบรกษาไวเปนเวลาไมนอยกวา ๙๐ วน นบตงแตการใช
บรการสนสดลง ตวอยางเชน ขอมลเกยวกบวนและเวลาการตดตอของเครอง
ทเขามาใชบรการและเครองใหบรการ ขอมลหมายเลขชดอนเทอรเนต (IP
Address) ขอมลทเกดจากการโตตอบกนบนเครอขายอนเทอรเนต เชน
Facebook, Yahoo, Hotmail, MSN
๒. ขอปฏบตการใชงานระบบสารสนเทศของส�านกงานปลดกระทรวง
มหาดไทย
๒.๑ ค�านยาม
๒.๑.๑ “ส�านกงาน” หมายความวา ส�านกงานปลดกระทรวง
มหาดไทย
๒.๑.๒ “หนวยงานในสงกด” หมายความวา สวนราชการและ
หนวยงานในสงกดส�านกงานปลดกระทรวงมหาดไทย ระดบส�านก สถาบน
ศนยหรอกองหรอเทยบเทา
๒.๑.๓ “ระบบเทคโนโลยสารสนเทศ”หมายความวา ระบบ
เครอขายคอมพวเตอร ระบบคอมพวเตอรและอปกรณตอพวง ระบบ
สารสนเทศ ชดค�าสงงานคอมพวเตอรส�าหรบการบนทกประมวลผล เรยกด
พมพออก รายงานในระบบของส�านกงาน และโปรแกรมการใชงานทเจาหนาท
ท�าการตดตงประจ�าเครองคอมพวเตอร
10 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
๒.๑.๔ “ขอมล” หมายความวา สงทสอความหมายใหรเรอง
ราว ขอเทจจรง หรอสงใดๆ ไมวาการสอสารความหมายนนจะท�าไดโดยสภาพ
ของสงนนเองหรอโดยการผานวธการใดๆ และไดจดท�าไวในรปแบบเอกสาร
แฟม รายงาน หนงสอ แผนผง แผนท ภาพวาด ภาพถาย ฟลม ภาพเคลอนไหว
เสยงการบนทกโดยเครองคอมพวเตอร หรอวธการอนใดทท�าใหสงทท�าการ
บนทกไวปรากฏได
๒.๑.๕ “เครองคอมพวเตอร ” หมายความว า เครอง
คอมพวเตอรแมขาย (Server) และรวมถงเครองคอมพวเตอรลกขาย (Client)
ชนดตงโตะ (Personal Computer) และชนดพกพา (Notebook, Palm,
PDA)
๒.๑.๖ “เครอขายคอมพวเตอร” หมายความวา เครอขาย
คอมพวเตอรและการสอสารของส�านกงานปลดกระทรวงมหาดไทย
๒.๑.๗ “เจาหนาท” หมายความวา ผซงไดรบมอบหมายให
ดแลการใชงานระบบเทคโนโลยสารสนเทศของส�านกงานปลดกระทรวง
มหาดไทย
๒.๑.๘ “ผใชงาน” หมายความวา ขาราชการ พนกงาน และ
ลกจางของส�านกงานปลดกระทรวงมหาดไทย
๒.๒ การใชงานระบบเทคโนโลยสารสนเทศ
๒.๒.๑ ผ ใชงานมสทธใชระบบเทคโนโลยสารสนเทศของ
ส�านกงานไดภายใตขอปฏบตการใชงานนรวมทงตองปฏบตตามแนวทางหรอ
หลกเกณฑอนใดจะออกตอไป
๒.๒.๒ การใชงานเครองคอมพวเตอรและอปกรณตอพวงของ
ส�านกงานใหปฏบตดงน
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 11
(๑) ใหใชงานเพอภารกจของส�านกงานเทานน
(๒) หนวยงานในสงกดตองจดใหมเจาหนาทผดแล
รบผดชอบเปนผประสานการปฏบตดานระบบเทคโนโลยสารสนเทศ การจดท�า
ระเบยนครภณฑเครองคอมพวเตอรและอปกรณตอพวงรวมถงการตดตาม
ปรบปรงและแกไขทะเบยนครภณฑอยางตอเนอง
(๓) หามน�าเครองคอมพวเตอรหรออปกรณตอพวง
ของส�านกงานไปใชงานนอกสถานทเวนแตจะน�าไปใชงานภารกจของส�านกงาน
โดยจะตองไดรบอนญาตเปนหนงสอจากหวหนาหนวยงานในสงกดทผใชงาน
สงกด
(๔) ห ามผ ใช งานและบคคลภายนอกน�าเครอง
คอมพวเตอรหรออปกรณตอพวงจากภายนอกส�านกงานเขามาเชอมตอ
ระบบเครอขายคอมพวเตอรของส�านกงาน เวนแตจะไดรบความเหนชอบจาก
ผอ�านวยการศนยเทคโนโลยสารสนเทศและการสอสารหรอผทไดรบมอบหมาย
(๕) หามผใชงานท�าการตดตอเพม ลบ แกไข หรอ
เปลยนแปลงโปรแกรมใดๆ บนเครองคอมพวเตอรของส�านกงานนอกเหนอ
จากทเจาหนาทไดท�าการตดตงและใชงานไวแลว
(๖) ตองจดวางเครองคอมพวเตอรและอปกรณไว
ในสถานททปลอดภย หามเปดฝา ถอด เพม หรอเปลยนชนสวน เครอง
คอมพวเตอรหรออปกรณตอพวง เวนแตเปนการด�าเนนการเพอซอมแซมบ�ารง
รกษาโดยเจาหนาท
(๗) หามผใชงานแกไข เปลยนแปลง หรอปรบคาตางๆ
ทก�าหนดไวในเครองคอมพวเตอร เพอใหท�างานไดในระบบเครอขาย
(Network Configuration/IP Address) เวนแตเปนการด�าเนนการโดยเจา
หนาท
12 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
(๘) กรณมการยายจดตดตงเครองคอมพวเตอรหรอ
อปกรณตอพวง ผใชงานตองไดรบความเหนชอบจากผบงคบบญชาระดบ
หวหนาหนวยงานในสงกด และแจงใหศนยเทคโนโลยสารสนเทศแลกสอสาร
ทราบเปนหนงสอ
(๙) หามผใชงานตดตงเครองคอมพวเตอรแมขาย
(Server) เพอใชงานในระบบเครอขายคอมพวเตอรของส�านกงาน หรอเปด
การใชแฟมขอมลรวมกน (Share File/ Directory) ใหผอนสามารถเขาถง
(Access) ขอมลทไมใชเพอประโยชน หรอภารกจในการปฏบตงาน
(๑๐) ใหปดเครองคอมพวเตอรและอปกรณทกครงท
เลกใชงาน หรอเมอไมไดใชงาน เครองคอมพวเตอรเกนกวา ๑ ชวโมง
๒.๒.๓ ผใชงานพงใชทรพยากรเครอขายคอมพวเตอรใหเกด
ประสทธภาพและประโยชนในการปฏบตงานสวนรวม โดยใหปฏบต ดงน
(๑) ไมใชเครอขายคอมพวเตอรโดยมวตถประสงค
ตอไปน
- กระท�าผดกฎหมายหรอเพอกอใหเกดความ
เสยหายแกบคคลอน
- กระท�าขดตอความสงบเรยบรอยหรอศลธรรม
อนดของประชาชน
- เพอการพาณชย
- เปดเผยขอมลทเปนความลบซงไดจากการ
ปฏบตงาน
- เปนการละเมดทรพยสนทางปญญา
- รบหรอสงขอมลซงกอใหเกดความเสยหายแก
ส�านกงาน เชน การรบหรอสงจดหมายทมลกษณะเปนจดหมายลกโซ
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 13
- ขดขวางการใชงานเครอขายคอมพวเตอรของ
ผใชงานอน หรอเพอใหเครอขายคอมพวเตอรของส�านกงานไมสามารถใชงาน
ไดตามปกต
- รบร รบทราบขอมล สงตอ ประกาศ หรอแสดง
ความคดเหนในเรองทไมเกยวของกบการด�าเนนงานของศาลและส�านกงาน
ในลกษณะทจะกอหรออาจกอใหเกดความเขาใจทคลาดเคลอนไปจากความ
เปนจรง
(๒) ไมถายโอนขอมลทมขนาดใหญทไมเกยวของกบ
การปฏบตงานโดยไมจ�าเปน และไมควรปฏบตในระหวางเวลาท�างาน
(๓) ไมน�าเครองคอมพวเตอรของส�านกงาน ไปตดตง
หรอเชอมโยงกบเครอขายคอมพวเตอรภายนอกโดยผานทางชองทางโทรศพท
หรอชองทางอนทส�านกงานไมไดก�าหนดไว
(๔) ไมควรตดตงและใชงานโปรแกรมการสนทนาผาน
เครอขายคอมพวเตอร เชน โปรแกรม IRC, ICQ, MSN เปนตน
๒.๓ การรกษาความปลอดภยของขอมล
เพอความปลอดภยในการใชระบบเทคโนโลยสารสนเทศของ
ส�านกงาน ใหผใชปฏบตงานดงน
๒.๓.๑ ส�ารวจแฟมขอมลตางๆ ทไดบนทกไวในแผนบนทก
ขอมลเครองคอมพวเตอร (Hard Disk) อยางสม�าเสมอและลบแฟมขอมลหรอ
ขอมลทไมจ�าเปนออกไปเพอใหมเนอทในการบนทกขอมลอนๆ เพมมากขน
และเปนการเพมสมรรถนะในการประมวลผลขอมลของเครองคอมพวเตอรให
เรวยงขนได
14 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
๒.๓.๒ ขอมลทเปนความลบ หรอขอมลทไมพงเปดเผย
ใหบนทกขอมลลงในแผนบนทกขอมลทสามารถแยกเกบไวตางหากในท
ปลอดภย กรณมขอมลทมความส�าคญใหส�ารองของมล (Back Up) และ
จดเกบแยกตางหากในททปลอดภย
๒.๓.๓ กรณมความจ�าเปน
ตองน�าข อมลจากแหลงจดเกบขอมล
ภายนอกมาใชงานกบเครองคอมพวเตอร
ของส�านกงาน ใหตรวจไวรสคอมพวเตอร
กอนทกครงโดยใชโปรแกรมตรวจสอบ
ไวรสคอมพวเตอรทเจาหนาทไดตดตงไวกบ
เครองคอมพวเตอรนน และหากตรวจพบ
ไวรสคอมพวเตอรฝงอยในขอมลสวนใดจะตองรบจดการท�าลายไวรสหรอ
ขอมลนนโดยเรวทสด
๒.๓.๔ ลงทะเบยนการใชงานระบบงานสารสนเทศของ
ส�านกงาน โดยหวหนาหนวยงานในสงกดทผใชงานสงกดอยเปนผพจารณา
๒.๓.๕ กรณผใชงานโอนยาย เปลยนแปลงหนาท หรอไมม
ความจ�าเปนในการใชงานระบบงานสารสนเทศใด ใหหวหนาหนวยงานใน
สงกดแจงใหศนยเทคโนโลยสารสนเทศและการสอสารทราบ เพอปรบปรง
เปลยนแปลงสทธหรอยกเลกชอหรอรหสของผใชงานนนตอไป
๒.๓.๖ ในการใชงานระบบสารสนเทศของส�านกงาน ผใชจะ
ตองใสชอผใชงาน (Log In Name) และก�าหนดรหสผาน (Password) เพอ
เชอมตอเขาสระบบงานสารสนเทศ และเมอเสรจสนการใชงานใหปดระบบ
(Exit) ทนท
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 15
๒.๓.๗ ดแล และใชรหสผานทไดรบ ความระมดระวงและรกษา
เปนความลบ มใหแจงรหสผานของตนเองใหกบบคคลภายนอกหรอบคคลอน
ทไมเกยวของกบการปฏบตงานเพอปองกนมใหผอนน�าชอรหสผานไปใชงาน
ในระบบงานสารสนเทศของส�านกงาน ซงอาจกอใหเกดความเสยหายขนได
๒.๓.๘ ไมทงเอกสารหรอสอ
บนทกข อมลทส�าคญไว ในททสามารถ
พบเหนไดงาย โดยใหมการจดเกบไวในท
ปลอดภย
๒.๓.๙ ตองปองกนขอมล
และอปกรณทอย ในเครองคอมพวเตอร
ชนดพกพาเมอปฏบตงานนอกสถานท เชน
การใสรหสผานปองกนการเขาถงหนาจอ การใชกญแจลอกเครองคอมพวเตอร
ชนดพกพา หรอการเขารหสแฟมขอมลทส�าคญ
๒.๓.๑๐ กรณทตรวจสอบหรอพบเหนเหตการณหรอการ
กระท�าอนใดทเปนผลเสยตอการรกษาความมนคงปลอดภยระบบเทคโนโลย
สารสนเทศของส�านกงานรวมถงการตรวจพบจดออนหรอภยทพบในระบบ
งานสารสนเทศทใชงานอย ใหรายงานใหศนยเทคโนโลยสารสนเทศและ
การสอสารทราบเพอปองกนแกไขตอไปโดยเรว
๒.๓.๑๑ กรณพบปญหา หรอขอบกพรองของระบบงาน
สารสนเทศของส�านกงาน ผใชงานรายงานปญหาหรอขอบกพรองทพบให
ส�านกเทคโนโลยสารสนเทศทราบ เพอแกปญหาโดยเรวทสด
16 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
๒.๔ การดแล บ�ารงรกษา และการปฏบตของเจาหนาท
เจาหนาทตองดแล บ�ารงรกษา ระบบเทคโนโลยสารสนเทศ
ใหใชงานไดดอยเสมอ และจะตองตรวจสอบดแลการใชงานระบบเทคโนโลย
สารสนเทศใหเปนไปตามขอปฏบต ดงน
๒.๔.๑ เจ าหน าทต องด�าเนนการจดเกบข อมลจลาจล
คอมพวเตอร (Log File) ตามทกฎหมายก�าหนดไว
๒.๔.๒ เจาหนาทตองไมใชสทธหรออ�านาจหนาทของตนใน
การเขาถงขอมลทรบหรอสงผานเครอขายคอมพวเตอรซงตนไมมสทธในการ
เขาถงขอมลนน เวนแตกรณทไดรบมอบหมายใหด�าเนนการเพอแกไขปญหา
ทเกยวของ และจะตองไมเปดเผยหรอเผยแพรขอมลทไดรบจากการปฏบต
หนาท
๒.๔.๓ เจาหนาทตองจดใหมวธการปองกนขอมลสวนตวของ
ผใชงาน เชน ขอมลในระบบไปรษณยอเลกทรอนกส ขอมลในระบบบรหาร
งานบคคล
๒.๔.๔ เจาหนาทตองบนทกเหตการณทมการละเมดความ
มนคงปลอดภย จดออน ภยคกคาม หรอการท�างานบกพรองของระบบ
สารสนเทศ รวมทงวธการแกไขปญหาทเกดขน
๒.๔.๕ เจาหนาทตองตดตงซอฟตแวรหรออปกรณปองกนไวรส
คอมพวเตอร และตรวจสอบไวรสคอมพวเตอรทอาจบกรกเขามาทางเครอขาย
คอมพวเตอรอยางสม�าเสมอหากตรวจพบตองรบจดการท�าลายไวรส
คอมพวเตอรนนโดยเรวทสด
๒.๔.๖ เจาหนาทตองส�ารองขอมลในระบบสารสนเทศ โดย
ตองมขอมลการส�ารองขอมลและจดท�าบนทกรายละเอยดการส�ารองขอมล
รวมถงการายงานขอผดพลาดจากการส�ารองขอมลทเกดขนและวธการแกไข
ปญหาทเกดขน
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 17
๒.๔.๗ เจาหนาทตองจดการใหมระบบการบรหารจดการเกยว
กบการก�าหนดสทธการใชงานระบบงานสารสนเทศและท�าการก�าหนดสทธ
ของผใชงานในการเขาถงระบบงานสารสนเทศแตละระบบ
๒.๔.๘ เจาหนาทตองจดใหมการควบคมการใชงานของชดค�า
สงงานคอมพวเตอร (Program source library) ไมเกบซอรสโคด (source
code) ไวในเครองทใชปฏบตงานระบบงานสารสนเทศ ไมเกบซอรสโคดทอย
ระหวางท�าการทดสอบรวมไวกบไลบรารทใชงานไดจรงแลว และตองเกบ
ซอรสโคดไวในททปลอดภย
เจาหนาทหรอผใชงานฝาฝนหรอไมปฏบตตามขอปฏบตนและกอ
หรออาจกอใหเกดความเสยหายแกส�านกงานหรอบคคลหนงบคคลใด
ส�านกงานปลดจะพจารณาระงบสทธการใชงานระบบเทคโนโลยสารสนเทศ
๓. นโยบายดานความมนคงปลอดภยระบบสารสนเทศของส�านกงานปลด
กระทรวงมหาดไทย
๓.๑ นโยบายการใชงานอยางถกตอง (Acceptable Use Policy
Solution) ไดก�าหนดขอปฏบตการใชงานระบบเทคโนโลยสารสนเทศ
๓ ดาน คอ
๑) การใช งานระบบเทคโนโลย
สารสนเทศ
๒) การรกษาความปลอดภยของ
ขอมล
๓) การดแล บ�ารงรกษา และการ
ปฏบตของเจาหนาท
18 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
๓.๒ นโยบายดาน การเชอมโยงเครอขายแบบไรสาย (Wireless
Policy)
ศนยเทคโนโลยสารสนเทศและการสอสาร สป. ผใหบรการ
ระบบสารสนเทศของส�านกงานปลดกระทรวงมหาดไทย มการใหบรการเชอม
โยงเครอขายแบบไรสายในบางจดทการใหบรการเชอมโยงแบบ ใชสาย (LAN)
ไมเหมาะสม โดยมขอก�าหนดในการใหบรการแบบไรสาย (Wireless LAN)
ดงน
ขอ ๑ มการควบคมสญญาณของอปกรณกระจายสญญาณ
(Access Point) ใหรวไหลออกนอกพนท ใชงานระบบเครอขายไรสายนอย
ทสด
ขอ ๒ มการเปลยนคา SSID (Service Set Identifier) ทถก
ก�าหนดเปนคาโดยปรยาย (Default) มาจากผผลตทนททน�าอปกรณกระจาย
สญญาณ (Access Point) มาใชงาน
ขอ ๓ มการก�าหนดคา WEP (Wired Equivalent Privacy)
หรอ WPA (Wi-Fi Protected Access) ในการเขารหสขอมลระหวาง Wireless
LAN Client และ อปกรณกระจายสญญาณ (Access Point) และควรก�าหนด
คาใหไมแสดงชอระบบเครอขายไรสาย
ขอ ๔ มการใชวธการควบคม MAC Address (Media Access
Control Address) และชอผใช (Username) รหสผาน (Password) ของ
ผใชบรการทมสทธในการเขาใชงานระบบเครอขายไรสาย โดยจะอนญาต
เฉพาะอปกรณทม MAC address (Media Access Control Address) และ
ชอผใช (Username) และรหสผาน (Password) ตามทก�าหนดไวเทานน
ใหเขาใชระบบเครอขายไรสายไดอยางถกตอง
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 19
ขอ ๕ มการตดตงไฟรวอลล (Firewall) ระหวางระบบเครอขาย
ไรสายกบระบบเครอขายภายในหนวยงาน
ขอ ๖ มการใชซอฟตแวรหรอฮารดแวรตรวจสอบความมนคง
ปลอดภยของระบบเครอขายไรสาย เพอคอยตรวจสอบและบนทกเหตการณ
ทนาสงสยเกดขนในระบบเครอขายไรสาย
ขอ ๗ การควบคมดแลไมใหบคคลหรอหนวยงานภายนอกท
ไมไดรบอนญาต ใชงานระบบเครอขาย ไรสายในการเขาสระบบอนทราเนต
(Intranet) และฐานขอมลภายในตางๆ ของหนวยงาน
๓.๓ นโยบายดาน Firewall (Firewall Policy)
ในการปองกนและรกษาความปลอดภยของขอมล ส�านกงาน
ปลดกระทรวงมหาดไทย มนโยบายในการก�าหนดสทธการใชงานเครองแม
ขายระบบงาน Application Server และเครองแมขายฐานขอมล Database
Server ทตดตง ณ ศนยเทคโนโลยสารสนเทศและการสอสาร สป. ท�าหนาท
ขอ ๑ การบรหารจดการ การตดตง และก�าหนดคาของ
ไฟรวอลลทงหมด
ขอ ๒ การก�าหนดคาเรมตนพนฐานของทกเครอขายจะตอง
เปนการปฏเสธทงหมด
ขอ ๓ ทกเสนทางเชอมตออนเทอรเนตและบรการอนเทอรเนต
ทไมอนญาตตามนโยบาย จะตองถกบลอก (Block) โดยไฟรวอลล
ขอ ๔ คาการเปลยนแปลงทงหมดในไฟรวอลล เชน คา
พารามเตอร การก�าหนดคาใชบรการ และการเชอมตอทอนญาต จะตองมการ
บนทกการเปลยนแปลงทกครง
20 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
ขอ ๕ การเขาถงตวอปกรณไฟรวอลล จะตองสามารถเขาถงได
เฉพาะผทไดรบมอบหมายใหดแลจดการเทานน
ขอ ๖ ขอมลจราจรทางคอมพวเตอรท เข าออกอปกรณ
ไฟรวอลล จะตองสงคาไปจดเกบทอปกรณจดเกบขอมลจราจรทาง
คอมพวเตอร โดยจะตองจดเกบขอมลจราจรไมนอยกวา ๙๐ วน
ขอ ๗ การก�าหนดนโยบายในการใหบรการอนเทอรเนตกบ
เครองคอมพวเตอรลกขายจะเปดพอรตการเชอมตอพนฐานของโปรแกรม
ทวไป ททางส�านกงานปลดกระทรวงมหาดไทยอนญาตใหใชงาน ซงหากม
ความจ�าเปนทจะใชงานพอรตการเชอมตอนอกเหนอทก�าหนด จะตองไดรบ
ความความยนยอมจากส�านกงานปลดกระทรวงมหาดไทย
ขอ ๘ การก�าหนดคาการใหบรการของเครองคอมพวเตอรแม
ขายในแตละสวนของเครอขาย จะตองก�าหนดคาอนญาตเฉพาะพอรตการ
เชอมตอทจ�าเปนตอการใหบรการเทานน โดยขอนโยบายจะตองถกระบใหกบ
เครองคอมพวเตอรแมขายเปนรายเครองทใหบรการจรง
ขอ ๙ จะตองมการส�ารองขอมลการก�าหนดคาตางๆ ของ
อปกรณไฟรวอลลเปนประจ�าทกเดอน หรอทกครงทมการเปลยนแปลงคา
ขอ ๑๐ เครองคอมพวเตอรแมขายทใหบรการระบบงาน
สารสนเทศตางๆ จะตองไมอนญาตใหมการเชอมตอเพอใชงานอนเทอรเนต
เวนแตมความจ�าเปน โดยจะตองก�าหนดเปนกรณไป
ขอ ๑๑ ส�านกงานปลดกระทรวงมหาดไทย มสทธทจะระงบ
หรอบลอกการใชงานของเครองคอมพวเตอรลกขายทมพฤตกรรมการใชงาน
ทผดนโยบาย หรอเกดจากการท�างานของโปรแกรมทมความเสยงตอความ
ปลอดภย จนกวาจะไดรบการแกไข
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 21
ขอ ๑๒ การเชอมตอในลกษณะของการ Remote Log In
จากภายนอกมายงเครองแมขาย หรออปกรณเครอขายภายใน จะตองบนทก
รายการของการด�าเนนการตามแบบการขออนญาตด�าเนนการเกยวกบเครอง
คอมพวเตอรแมขายและอปกรณเครอขาย และจะตองไดรบความเหนชอบ
จาก ส�านกงานปลดกระทรวงมหาดไทยกอน
ขอ ๑๓ ผละเมดนโยบายดานความปลอดภยของไฟรวอลล
จะถกระงบการใชงานในระบบการสบคนขอมลสารสนเทศทนท
๓.๔ นโยบายดานการใชจดหมายอเลกทรอนกส (E-mail Policy)
การตดตอราชการในส�านกงานปลดกระทรวงมหาดไทยทาง
จดหมายอเลกทรอนกส (E-mail) ใหใชอเมลของกระทรวงมหาดไทยคอ
[email protected] ซงขาราชการ ลกจางประจ�า และพนกงานราชการ
ในสงกดส�านกงานปลดกระทรวงมหาดไทย มสทธในการใชงานโดยลงทะเบยน
ขอใชงานไดท http://mail.moi.go.th/newmail.php และสรางรหสผาน
ดวยตนเอง หลงจากนน ผดแลระบบเมล คอ สวนเทคโนโลยสารสนเทศ
ศนยเทคโนโลยสารสนเทศและการสอสาร จะเปนผตรวจสอบ และอนมตการ
เขาใชงาน พรอมก�าหนดพนทใหจ�านวน ๑ Gigabyte ในการจดเกบจดหมาย
โดยผใชตองบรหารจดการพนทใชงาน และเปลยนรหสผานของตนเองได
ดวยตนเอง และก�าหนดใหการสงจดหมายถงผรบไดครงละไมเกน ๑๐๐ ฉบบ
๓.๕ นโยบายดานการใชอนเทอรเนต (Internet Security Policy)
ขอ ๑ ไมใชระบบอนเทอรเนต (Internet) ของหนวยงาน
เพอหาประโยชนในเชงพาณชยเปนการสวนบคคล และท�าการเขาสเวบไซต
ทไมเหมาะสม เชน เวบไซตทขดตอศลธรรม เวบไซตทมเนอหาอนอาจกระทบ
22 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
กระเทอนหรอเปนภยตอความมนคงตอชาต ศาสนา พระมหากษตรย หรอ
เวบไซตทเปนภยตอสงคม หรอละเมดสทธของผอน หรอขอมลทอาจกอใหเกด
ความเสยหายใหกบหนวยงาน
ขอ ๒ หามเปดเผยขอมลส�าคญทเปนความลบเกยวกบงาน
ของหนวยงานทยงไมไดประกาศอยางเปนทางการผานระบบอนเทอรเนต
(Internet)
ขอ ๓ ระมดระวงการดาวนโหลด โปรแกรมใชงานจากระบบ
อนเทอรเนต (Internet) การดาวนโหลดการอพเดท (Update) โปรแกรม
ตางๆ ตองเปนไปโดยไมละเมดลขสทธ
ขอ ๔ ในการใชงานกระดานสนทนาอเลกทรอนกส (Web
Board) ไมเปดเผยขอมลทส�าคญและเปนความลบของหนวยงาน
ขอ ๕ ในการใชงานกระดานสนทนาอเลกทรอนกส ไมเสนอ
ความคดเหน หรอใชขอความทยวย ใหราย ทจะท�าใหเกดความเสอมเสยตอ
ชอเสยงของหนวยงาน การท�าลายความสมพนธกบบคลากรของหนวยงาน
อนๆ
ขอ ๖ หลงจากใชงานระบบอนเทอรเนตเสรจแลว ใหปดเวบ
เบราเซอร (Web Browser) เพอปองกนการเขาใชงานโดยบคคลอนๆ
ขอ ๗ ผใชงานใหมจะตองลงทะเบยนขอใชบรการอนเทอรเนต
ผานหนาเวบไซตสงใหผดแลระบบจดท�าบญชผใช และตองพมพหนาจอทได
ลงทะเบยนไวใหหวหนาหนวยงานลงนามรบรองบคคล พรอมบนทกน�าสง
อยางเปนทางการหลงไดรบการอนมตใหใชบรการอนเทอรเนตแลว ผดแล
ระบบจงเปดสทธใหผใชรายนนใชงานได โดยก�าหนดหมายเลขประจ�าตว
ประชาชน ๑๓ หลกเปนรหสผใช
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 23
ขอ ๘ กอนการเรยกใชทกครงจะตองมการใสรหสผใชและ
รหสผานทไดลงทะเบยนไวกบศนยเทคโนโลยสารสนเทศและการสอสาร
เพอจดเกบประวตการใชไว ๙๐ วนตามพระราชบญญตการกระท�าความผด
เกยวกบคอมพวเตอร
ขอ ๙ เมอผใชงานรายใดไมไดเปนขาราชการ ลกจาง พนกงาน
ราชการ เจาหนาทบรษทตามสญญาตางๆ ทเขามาท�างานในเครอขายมหาดไทย
หรอเปนนกศกษาฝกงานของส�านกงานปลดกระทรวงมหาดไทยทหมดชวง
ระยะเวลาฝกงานกบส�านกงานปลดกระทรวงมหาดไทยจะหมดสทธในการใช
บรการอนเทอรเนตทนท
ขอ ๑๐ ไมอนญาตใหเปดเวบไซตทไมเหมาะสม เชน เวบไซต
เกยวกบลามกอนาจาร การพนน และจ�ากดเวลาการใชงานเวบทท�าใหระบบ
การสบคนขอมลสารสนเทศแออดลาชา เชน การใชงาน MSN, IRC, ICQ, MSN
เปนตน
ขอ ๑๑ ไมอนญาตใหเปดเวบทมการมการสงผานขอมล
ปรมาณมากๆ เชน การ download ภาพยนตร วดโอตางๆ
๓.๖ นโยบายดานการเขาถงขอมลการใชเครองแมขาย และการ
ใชเครอขาย (Access Control Policy)
ขอ ๑ ส�านกงานปลดกระทรวงมหาดไทยก�าหนดมาตรการ
ควบคมการเขา-ออกหองควบคมเครองคอมพวเตอรแมขาย (Server)
ขอ ๒ ผใชบรการจะน�าเครองคอมพวเตอรและอปกรณมา
เชอมตอกบเครองคอมพวเตอรและระบบเครอขายของหนวยงาน ตองไดรบ
อนญาตจากส�านกงานปลดกระทรวงมหาดไทย และตองปฏบตตามนโยบายน
โดยเครงครด
24 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
ขอ ๓ การขออนญาตใชงานพนท Web Server และชอโดเมน
ยอย (Sub Domain Name) ทหนวยงานรบผดชอบอย จะตองท�าหนงสอ
ขออนญาตตอส�านกงานปลดกระทรวงมหาดไทย และจะตองไมตดตงโปรแกรม
ใดๆ ทสงผลกระทบตอการกระท�าของระบบและผใชบรการอนๆ
ขอ ๔ หามผใดกระท�าการเคลอนยาย ตดตงเพมเตมหรอท�า
การใดๆ ตออปกรณสวนกลาง ไดแก อปกรณจดเสนทาง (Router) อปกรณ
กระจายสญญาณขอมล (Switch) อปกรณทเชอมตอกบระบบเครอขายหลก
โดยไมไดรบอนญาตจากผดแลระบบ (System Administrator)
ขอ ๕ มการควบคมการเขาถงระบบเครอขาย เพอบรหาร
จดการระบบเครอขายไดอยางมประสทธภาพ ดงตอไปน
- ตองมวธการจ�ากดสทธการใชงานเพอควบคมผใช
บรการใหสามารถใชงานเฉพาะระบบเครอขายทไดรบอนญาตเทานน
- ตองมวธการจ�ากดเสนทางการเขาถงระบบเครอขาย
ทมการใชงานรวมกน
- ตองก�าหนดใหมวธเพอจ�ากดการใชเสนทางบน
เครอขายจากเครองคอมพวเตอรไปยงเครองคอมพวเตอรแมขาย เพอไมให
ผใชบรการสามารถใชเสนทางอนๆ ได
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 25
- ระบบเครอขายทงหมดของหนวยงานทมการเชอม
ตอไปยงระบบเครอขายอนๆ ภายนอกหนวยงานควรเชอมตอผานอปกรณ
ปองกนการบกรก รวมทงตองมความสามารถในการตรวจจบโปรแกรม
ประสงคราย (Malware) ดวย
- ระบบเครอขายตองตดตงระบบตรวจจบการบกรก
(Intrusion Prevention System/Intrusion Detection System) เพอตรวจ
สอบการใชงานของบคคลทเขาใชงานระบบเครอขายของหนวยงานในลกษณะ
ทผดปกต
- การเขาสระบบเครอขายภายในหนวยงาน โดยผาน
ทางระบบอนเทอรเนตจ�าเปนตองมการลงบนทกเขา (Log In) และตองมการ
พสจนยนยนตวตน (Authentication) เพอตรวจสอบความถกตองของ
ผใชบรการ
- เลขทอยไอพ (IP Address) ภายในของระบบเครอขาย
ภายในของหนวยงาน จ�าเปนตองมการปองกนมใหหนวยงานภายนอกท
เชอมตอสามารถมองเหนได
- ตองจดท�าแผนผงระบบเครอขาย (Network
Diagram) ซงมรายละเอยดเกยวกบขอบเขตของระบบเครอขายภายในและ
เครอขายภายนอก และอปกรณตางๆ พรอมทงปรบปรงใหเปนปจจบนอยเสมอ
- การใชเครองมอตางๆ เพอการตรวจสอบระบบ
เครอขาย ควรไดรบการอนมตจากผดแลระบบ (System Administrator)
และจ�ากดการใชงานเฉพาะเทาทจ�าเปน
ขอ ๖ มการบรหารควบคมเครองคอมพวเตอรแมข าย
(Server) และรบผดชอบในการดแลระบบคอมพวเตอรแมขาย (Server) ในการ
ก�าหนดแกไข หรอเปลยนแปลงคาตางๆ ของซอฟตแวรระบบ (Systems Software)
26 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
ขอ ๗ ส�านกงานปลดกระทรวงมหาดไทยก�าหนดมาตรการ
ควบคมการจดเกบขอมลจราจรทางคอมพวเตอร (Log) เพอใหขอมลจราจร
ทางคอมพวเตอร (Log) มความถกตองและสามารถระบถงตวบคคลไดตาม
แนวทาง ดงตอไปน
- ควรจดเกบขอมลจราจรทางคอมพวเตอร (Log) ไว
ในสอเกบขอมลทสามารถรกษาความครบถวน ถกตอง แทจรง และระบตว
บคคลทเขาถงสอดงกลาวได และ
ขอมลทใชในการจดเกบ ตองก�าหนด
ชนความลบในการเขาถงขอมลและผ
ดแลระบบไมไดรบอนญาตในการ
แกไขขอมลทเกบรกษาไว ยกเวนผ
ตรวจสอบระบบสารสนเทศของหนวย
งาน (IT Auditor) หรอบคคลทหนวย
งานมอบหมาย
- ควรก�าหนดใหมการบนทกการท�างานของระบบ
บนทกการปฏบตงานของผใชงาน (Application Logs) และบนทกราย
ละเอยดของระบบปองกนการบกรก เชน บนทกการเขา-ออกระบบ บนทก
การพยายามเขาสระบบ บนทกการใชงาน Command Line และ Firewall
Log เปนตน เพอประโยชนในการใชตรวจสอบและตองเกบบนทกดงกลาวไว
อยางนอย ๙๐ วน นบตงแตการใชบรการสนสดลง
- ควรตรวจสอบบนทกการปฏบตงานของผใชงาน
ระบบอยางสม�าเสมอ
- ตองมวธการปองกนการแกไขเปลยนแปลงบนทกตางๆ
และจ�ากดสทธการเขาถงบนทกเหลานนใหเฉพาะบคคลทเกยวของเทานน
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 27
ขอ ๘ ส�านกงานปลดกระทรวงมหาดไทยก�าหนดมาตรการ
ควบคมการใชงานระบบเครอขายและเครองคอมพวเตอรแมขาย (Server)
เพอดแลรกษาความปลอดภยของระบบจากภายนอกตามแนวทาง ดงตอไปน
- บคคลจากหนวยงานภายนอกทตองการสทธในการ
เขาใชงานระบบเครอขายและเครองคอมพวเตอรแมขาย (Server) ของ
หนวยงานจะตองท�าเรองขออนญาตเปนลายลกษณอกษร เพอขออนญาต
จากส�านกงานปลดกระทรวงมหาดไทย
- มการควบคมชองทาง (Port) ทใชในการเขาสระบบ
อยางรดกม
- วธการใดๆ ทสามารถเขาสขอมลหรอระบบขอมลได
จากระยะไกลตองไดรบการอนญาตจากส�านกงานปลดกระทรวงมหาดไทย
- การเขาสระบบจากระยะไกล ผใชงานตองแสดง
หลกฐาน ระบเหตผลหรอความจ�าเปน ในการด�าเนนงานกบหนวยงานอยาง
เพยงพอ
- การเขาใชงานระบบตองผานการพสจนตวตนจาก
ระบบของหนวยงาน
ขอ ๙ เครองแมขายทกระบบงานจะอยภายในหองเครองแม
ขาย ซงมระบบรกษาความปลอดภยคอมระบบตรวจสอบการเขาออกหอง
ตองมการตรวจสอบกอนวามสทธในการเขาหองหรอไม โดยมประกาศเงอนไข
การเขาใชหองตดไวทหนาหองเครอง แมขายใหทกคนทราบ
28 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
๓.๗ นโยบายดานการปองกนการบกรกเครอขาย (Intrusion
Detection System (IDS) and Intrusion Prevention System (IPS)
Policy)
ขอ ๑ IDS/IPS
Policy เปนนโยบายการ
ตดตงระบบตรวจสอบการ
บกรก และตรวจสอบความ
ปลอดภ ยของเครอข าย
เพอปองกนทรพยากร ระบบ
สารสนเทศ และขอมลบน
เครอขายภายในส�านกงาน
ปลดกระทรวงมหาดไทยใหม
ความมนคงปลอดภย เปนแนวทางการปฏบตเกยวกบการตรวจสอบการบกรก
เครอขาย พรอมกบบทบาทและความรบผดชอบทเกยวของ
ขอ ๒ IDS/IPS Policy ครอบคลมทกโฮสต (Host) ใน
เครอขายของส�านกงานปลดกระทรวงมหาดไทยและเครอขายขอมลทงหมด
รวมถงเสนทางทขอมลอาจเดนทาง ซงไมอยในเครอขายอนเทอรเนตทกเสนทาง
ขอ ๓ ระบบทงหมดทสามารถเขาถงไดจากอนเทอรเนตหรอ
ทสาธารณะจะตองผานการตรวจสอบจากระบบ IDS/IPS
ขอ ๔ ระบบทงหมดใน DMZ จะตองไดรบการตรวจสอบ
รปแบบการใหบรการกอนการตดตงและเปดใหบรการ
ขอ ๕ โฮสตและเครอขายทงหมดทมการสงผานขอมลผาน
IDS/IPS จะตองมการบนทกผลการตรวจสอบ
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 29
ขอ ๖ มการตรวจสอบและ Update Patch/Signature
ของ IDS/IPS เปนประจ�า
ขอ ๗ มการตรวจสอบเหตการณ ขอมลจราจร พฤตกรรม
การใชงาน กจกรรม และบนทกปรมาณขอมลเขาใชงานเครอขายเปนประจ�า
โดยผดแลระบบ
ขอ ๘ IDS/IPS จะท�างานภายใตกฎควบคมพนฐานของ
ไฟรวอลล ทใชในการเขาถงเครอขายของระบบสารสนเทศตามปกต
ขอ ๙ เครองแมขายทมการตดตง host-based IDS จะตอง
มการตรวจสอบขอมลอยางนอยสปดาหละ ๑ ครง
ขอ ๑๐ พฤตกรรมการใชงาน กจกรรม หรอเหตการณทงหมด
ทมความเสยงตอการบกรก การโจมตระบบ พฤตกรรมทนาสงสย หรอ
การพยายามเขาระบบ ทงทประสบความส�าเรจและไมประสบความส�าเรจ
จะตองมการรายงานใหผบงคบบญชาทราบทนททตรวจพบ
ขอ ๑๑ พฤตกรรม กจกรรมทนาสงสย หรอระบบการท�างาน
ทผดปกต ทถกคนพบ จะตองมการรายงานใหผบงคบบญชาทราบ
ขอ ๑๒ การตรวจสอบการบกรกทงหมดจะตองเกบบนทก
ขอมลไวไมนอยกวา ๙๐ วน
ขอ ๑๓ มรปแบบการตอบสนองตอเหตการณทเกดขน ไดแก
รายงานผลการตรวจพบของเหตการณตางๆ ด�าเนนการตามขนตอนเพอลด
ความเสยหาย ลบซอฟตแวรมงรายทตรวจพบ ปองกนเหตการณทอาจเกดอก
ในอนาคต และด�าเนนการตามแผน
ขอ ๑๔ ส�านกงานปลดกระทรวงมหาดไทยมสทธในการยต
การเชอมตอเครอขายของเครองคอมพวเตอรทมพฤตกรรมเสยงตอการบกรก
ระบบ โดยไมตองมการแจงแกผใชงานลวงหนา
30 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
ขอ ๑๕ ผ ทถกตรวจสอบวาพยายามกระท�าการอนใดท
เปนการละเมดนโยบายของส�านกงานปลดกระทรวงมหาดไทย การพยายาม
เขาถงระบบโดยมชอบ การโจมตระบบ หรอมพฤตกรรมเสยงตอการท�างาน
ของระบบสารสนเทศ จะถกระงบการใชเครอขายทนท หากการกระท�า
ดงกลาวเปนการกระท�าความผดทสอดคลองกบ พระราชบญญตวาดวยการ
กระท�าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐ หรอเปนการกระท�าทสง
ผลใหเกดความเสยหายตอขอมล และทรพยากรระบบของส�านกงานปลด
กระทรวงมหาดไทยจะตองถกด�าเนนคด ตามขนตอนของกฎหมาย
๓.๘ นโยบายดานการปองกนไวรสแบบองคการ
ส�านกงานปลดกระทรวงมหาดไทยมการตดตงเครองแมขาย
ปองกนไวรส ท�าหนาท Update signature หรอตวปองกนและท�าลายไวรส
ชนดใหมโดยจะท�าการ
update ฐานขอมล
ไวรสตลอดเวลาทมการ
เปล ยนแปลงข อมล
ส�าหรบเครองลกขายท
อยทสวนกลางทมการ
ตดตงโปรแกรมปองกน
ไวรสโดยเจาหนาทของ
ศนยเทคโนโลยสารสนเทศและการสอสาร จะมการก�าหนดคาของโปรแกรม
ใหท�าการ update ฐานขอมลไวรสของเครองลกขายทกครงทเปดเครองจาก
เครองแมขายทก�าหนดไว ส�าหรบจงหวดตางๆ ศนยเทคโนโลยสารสนเทศและ
การสอสาร มการตดตงเครองแมขายปองกนไวรสคอมพวเตอรทศนย
เทคโนโลยสารสนเทศและการสอสารเขต ๑-๑๒ เครองลกขายของจงหวด
แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร 31
ทอยภายใตการดแลของศนยเทคโนโลยสารสนเทศและการสอสารเขตใด
กจะตดตอกบเครอง แมขายเขตนน โดยจะท�าการ update ฐานขอมลไวรสของ
เครองลกขายทกครงทเปดและเวลาเทยงวน (๑๒.๐๐ น) จะท�าการตรวจสอบ
(scan) หาไวรสคอมพวเตอรในเครองลกขายโดยอตโนมต และโปรแกรม
ปองกนไวรสจะฆาไวรสทตดในเครอง รวมทงปองกนและตรวจจบไวรสทมา
กบระบบอนเทอรเนตดวย
นอกจากน ส�านกงานปลดกระทรวงมหาดไทยมการมอบหมาย
เจาหนาทรบผดชอบในการแกไขปญหาจากความเสยง รวมทงผท�าหนาท
Backup and Recovery ทกระบบ
เอกสารอางอง
๑. พระราชบญญตว าดวยการกระท�าความผดเกยวกบคอมพวเตอร
พ.ศ.๒๕๕๐
๒. ส�านกก�ากบการใชเทคโนโลยสารสนเทศ กระทรวงเทคโนโลยสารสนเทศ
และการสอสาร. ๒๕๕๑. ค มอการปฏบตแนวทางการปองกนเพอ
หลกเลยงการกระท�าความผดเกยวกบคอมพวเตอร. กระทรวงเทคโนโลย
สารสนเทศและการสอสาร, กรงเทพฯ.
๓. นายพรเพชร วชตชลชย. ค�าอธบายพระราชบญญตวาดวยการกระท�า
ความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐. (๒๖ สงหาคม ๒๕๕๔).
http://www.mict.go.th/download/law/38_.pdf
๔. ศนยเทคโนโลยสารสนเทศและการสอสาร ส�านกงานปลดกระทรวง
มหาดไทย. ๒๕๕๔. ระบบการบรหารความเสยงระบบสารสนเทศ
ส�านกงานปลดกระทรวงมหาดไทย. กระทรวงมหาดไทย, กรงเทพฯ.
32 แนวทางปฏบตเพอปองกนการกระทำาผดเกยวกบคอมพวเตอร
พมพท บรษท บพธการพมพ จำากด 70 ถ.ราชบพธ แขวงวดราชบพธ เขตพระนคร กทม. 10200โทร. 0-2222-5555, 0-221-9781 โทรสาร 0-2221-6433 นายยอดยง โสภณ ผพมพผโฆษณา พ.ศ. 2555
E-mail Address : [email protected]
คณะผจดท�า
บรรณาธการบรหาร
นายทรรศนะ วชยธนพฒน ผอ�านวยการสถาบนด�ารงราชานภาพ
ทปรกษากองบรรณาธการ นายสงวน ธระกล ผเชยวชาญเฉพาะดานนโยบายและแผน
หวหนากองบรรณาธการ นางณทฐา แสวงทอง ผอ�านวยการสวนพฒนาและบรหารจดการความร
กองบรรณาธการ นางวนเพญ ทรงววฒน นางณรมล เกดแกว
น.ส.สพตรา บญถง นางกาญจนา แจมมนทร
ศลปกรรม/จดท�ารปเลม นางสาวอจนา เตชะพนธ
สวนพฒนาและบรหารจดการความร สถาบนด�ารงราชานภาพ
ส�านกงานปลดกระทรวงมหาดไทย โทร. ๐-๒๒๒๑-๕๙๕๘, ๕๐๕๕๖ (สอสาร สป.มท.)
“บทความหรอขอคดเหนใดๆ ทปรากฏในเอกสารความร สดร.
เปนวรรณกรรมของผเขยนโดยเฉพาะ
สถาบนด�ารงราชานภาพและกองบรรณาธการไมจ�าเปนตองเหนดวย”