บทที่ 3 บรรยายวิชาระเบียบ ทอ. ว่าด้วยการรัก

ระเบยี บ ทอ.วา่ ดว้ ย
การรกั ษาความปลอดภยั
ระบบสารสนเทศของ ทอ.

ผู้บรรยาย ร.ต.พงษว์ รนิ ทร์ ต๋งึ พนั ธุ์
นายทหารรกั ษาความปลอดภยั ระบบสารสนเทศ
นรภส.ผรภส.กคซ.สบค.ทสส.ทอ.

กองสงครามไซเบอร์ สานกั ระบบบญั ชาการและควบคุม กรมเทคโนโลยีสารสนเทศและการส่อื สารทหารอากาศ

หวั ข้อการบรรยาย

 ระบบสารสนเทศและไซเบอร์
 รปู แบบภัยคุกคาม
 หลักการดา้ นการรกั ษาความม่ันคงปลอดภยั ระบบสารสนเทศ
 ระเบียบ ทอ.วา่ ด้วยการรักษาความปลอดภัยระบบสารสนเทศ พ.ศ.๒๕๖๓
 แนวปฏบิ ตั ิของขา้ ราชการ ทอ. เพือ่ ความม่นั คงปลอดภัยฯ

INFORMATION

 สารสนเทศ (Information) เป็นการนาขอ้ มลู ดิบมาเข้ากระบวนการประมวลผล วิเคราะห์ คานวณและมกี ารแปล
ความหมายที่สามารถนาไปใช้ต่อได้ และมีประโยชน์ต่อด้านต่าง ๆ ได้ เช่น ข้อมูลการฝาก ถอนเงินของธนาคาร
ข้อมูลการจองต๋ัวของรถไฟ เป็นต้น สารสนเทศจึงหมายถึง ความรู้หรือข้อมูลท่ีผ่านการประมวลผลของข้อมูล
มาแล้วโดยขอ้ มลู นนั้ จะสามารถสือ่ ความหมายให้เข้าใจได้ และยังสามารถนาไปใช้ประโยชน์ตอ่ การดาเนินชีวิตของ
ผใู้ ช้ได้

INFORMATION SYSTEM & CYBER

 ระบบสารสนเทศ (Information System) หมายถงึ ระบบที่ประกอบดว้ ย บคุ คล ระบบคอมพวิ เตอร์ ซอฟตแ์ วร์
ฐานข้อมลู เครอื ขา่ ยสารสนเทศ และกระบวนการ ได้แก่ วธิ กี ารสรา้ งขอ้ มูล วธิ กี ารประมวลผลขอ้ มูล วธิ กี ารเกบ็
ข้อมูล และวิธกี ารแสดงผล

 ไซเบอร์ (Cyber) หมายถงึ ขอ้ มลู การสอ่ื สารท่ีเกิดจากการให้บริการหรอื การประยกุ ต์ใชเ้ ครือข่ายคอมพวิ เตอร์
เครือขา่ ยอินเทอร์เนต็ หรือโครงขา่ ยโทรคมนาคม รวมทั้งการให้บริการโดยปกตขิ องดาวเทียมและระบบเครือขา่ ย
ท่คี ล้ายคลงึ กัน ทีเ่ ชอื่ มต่อกันเปน็ การทัว่ ไป





ในประเทศไทยมผี ู้ใชง้ าน INTERNET โดยเฉล่ยี อยู่ท่ปี ระมาณ 9 ช่วั โมง/ คน / วนั

สถาปัตยกรรมเทคโนโลยสี ารสนเทศและการส่อื สาร ทอ.

ระบบงานสือ่ สารและสารสนเทศ ทอ. (SIS)

บรกิ ารบนอนิ เทอรเ์ น็ต บรกิ ารภายในอินทราเน็ต

RTAF eMail eLibrary RTAF Line Wing App E-Armory HRIS
RTAF Web KM RTAF Box eAdmin eHospital GIS Portal
eFinance
Pay Slip eLearning GFMIS

Web App Firewall Virtual Private Network

HTTPS

การเข้าถึงผา่ นอินเทอร์เน็ต

ภยั คุกคามทางไซเบอร์

 ภยั คกุ คามทางไซเบอร์ (Cyber Threat) หมายถงึ การกระทาหรอื การดาเนินการใด ๆ โดยมิชอบ โดยใช้
คอมพวิ เตอร์หรือระบบคอมพิวเตอร์หรอื โปรแกรมไมพ่ งึ ประสงค์โดยมุง่ หมายใหเ้ กดิ การประทษุ ร้ายตอ่ ระบบ
คอมพวิ เตอร์ ขอ้ มูลคอมพิวเตอร์ หรือข้อมูลอืน่ ทเี่ ก่ียวข้อง และเป็นภยนั ตรายทใ่ี กลจ้ ะถึงทีจ่ ะกอ่ ให้เกดิ ความ
เสียหายหรือส่งผลกระทบต่อการทางานของคอมพวิ เตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอนื่ ทเี่ กยี่ วขอ้ ง

พระราชบญั ญัตกิ ารรกั ษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ.๒๕๖๒

ภาพรวม : ภัยคุกคาม

 ข้อผิดพลาดทางเทคนิคของฮาร์ดแวร์  การบกุ รุก การก่อวนิ าศกรรมหรอื การทาลาย การ
 ขอ้ ผิดพลาดทางเทคนคิ ของซอฟตแ์ วร์ โจรกรรม
 ข้อผดิ พลาดจากการกระทาของมนษุ ย์
 เทคโนโลยีลา้ สมัย  การโจมตีซอฟต์แวร์
 ภัยธรรมชาติ
 คณุ ภาพของบรกิ าร

ผลกระทบจากภยั คกุ คามทางไซเบอร์

 Disclosure - ขอ้ มูลสารสนเทศถูกเปิดเผยหรอื รั่วไหลส่ภู ายนอก
 Modification - ขอ้ มลู สารสนเทศถูกดัดแปลงแกไ้ ข
 Denial of Service - ระบบสารสนเทศสูญเสยี ความสามารถในการให้บรกิ าร

การโจมตีเกดิ ขึ้นไดต้ ลอดเวลา

https://threatmap.checkpoint.com/

ลักษณะของภยั คกุ คามใน ทอ.ทผ่ี ่านมา

 มลั แวร์ (Malicious Software : Malware) : Virus, Worm, Trojan
 อเี มลขยะ (SPAM Mail Attack)
 อีเมลหลอกลวง (Phishing)
 การโจมตรี ะบบฯ ทาให้ใช้การไม่ได้ (Denial of Services and Distributed Danial of Services Attack) โดยอาจใช้ Botnet
 การ HACK หรือ การโจมตี Web Server และ Web Application เพื่อเปล่ยี นหนา้ เวบ็ ไซต์
 การขาดความระมดั ระวงั ในการจดั เกบ็ ข้อมลู ลับ
 การโจมตรี ะบบไรส้ าย (Mobile and Wireless Attack)
 การถูกดกั จบั ข้อมลู (sniffer) เช่น wireshark

ตวั อย่าง : WEBSITE ของ ทอ. ถูกโจมตี

 เม่อื ๒๗ มี.ค.๕๕ เวบ็ ไซตข์ อง ทอ. ทีอ่ ยภู่ ายใต้โดเมนเนม rtaf.mi.th ถูกโจมตจี าก Hacker ท่ีใชช้ ่อื วา่ Game_OveR

ตัวอยา่ ง : WEBSITE ของ ทอ. ถกู โจมตี

 เม่อื ๙ ม.ิ ย.๕๕ เวบ็ ไซตข์ อง ทอ.ถกู โจมตีจาก Hacker อกี ครงั้ โดยถูกทาการเปล่ียนหน้าตาของเวบ็ ไซต์

ภยั คกุ คามจาก E-MAIL หลอกลวง (PHISHING)

 เม่อื ๙ ม.ิ ย.๕๕ เวบ็ ไซต์ของ ทอ.ถกู โจมตจี าก Hacker อีกครง้ั โดยถูกทาการเปลี่ยนหน้าตาของเว็บไซต์

ภยั คกุ คามจาก E-MAIL หลอกลวง (PHISHING)

 เม่อื ๙ ม.ิ ย.๕๕ เวบ็ ไซต์ของ ทอ.ถกู โจมตจี าก Hacker อีกครง้ั โดยถูกทาการเปลี่ยนหน้าตาของเว็บไซต์

CYBER SECURITY PRINCIPLES

IT & Cyber
Security

CYBER SECURITY PRINCIPLES

 Confidentiality : การรักษาความลบั
 Integrity : การรักษาความสมบรู ณ์
 Availability : การดารงความพร้อมใช้งาน

CIA

CIA

Confidentiality

 การรักษาข้อมูลสารสนเทศใหเ้ ป็นความลับ ใหเ้ ขา้ ถึงไดเ้ ฉพาะผทู้ ่มี สี ิทธ์ิ
 มุง่ เนน้ การประยุกตเ์ ทคโนโลยีการเข้ารหัสลับกบั เทคโนโลยีอนื่ ๆ
 ปอ้ งกันการดกั จบั ข้อมลู แลว้ นาไปใช้ประโยชน์
 อลั กอริทึมในการเขา้ รหสั เช่น DES, 3DES, RSA, AES ฯลฯ
 การประยุกตใ์ ช้งาน

 IP Security
 SSH
 SSL/TLS
 VPN

CIA

Integrity
 การตรวจสอบและคงความถูกต้อง หรอื บรู ณภาพของขอ้ มูลสารสนเทศ
 มุ่งเนน้ การนาทฤษฎีทางคณติ ศาสตรม์ าสร้างขอ้ มลู เพ่ิมเตมิ เพ่ือตรวจสอบความถูกตอ้ งของข้อมลู หลกั
 ป้องกนั การเปลี่ยนแปลงข้อมลู ระหวา่ งทาง หรือการปลอมแปลงไฟลข์ ้อมูลตา่ ง ๆ โดยแก้ไขเปลย่ี นแปลงไดเ้ ฉพาะผ้ทู ่มี ีสทิ ธ์ิ
 เชน่

 Check Digit, Checksum
 Hashing
 Message Authentication Code
 Digital Signature

CIA

Availability
 การออกแบบและบริหารระบบสารสนเทศใหม้ คี วามพรอ้ มในการใหบ้ รกิ าร
 มงุ่ เนน้ การออกแบบ และสร้างระบบทส่ี ามารถทนทานตอ่ ความเสยี หาย หรอื รองรบั ความเสียหายได้
 การวางแผนเพอื่ รบั มอื ภัยพบิ ัติ หรือการขยายตัวของภาระงานตา่ ง ๆ
 เช่น

 Load Balancer , Fault Tolerant Configuration
 การทาแผนภยั พิบตั ิ (Contingency Plan)
 Disaster Recover Center
 Security Awareness Training

CYBER SECURITY PRINCIPLES

 Authentication : การพิสจู น์ตวั ตน
 Authorization : การจดั สรรสิทธิ
 Accounting : การตรวจสอบการใช้งาน

AAA

AAA

Authentication
 การพสิ ูจนต์ วั ตน ซง่ึ จะใหค้ วามมนั่ ใจวา่ บคุ คล services หรอื object ใด ๆ ทเ่ี กย่ี วขอ้ งนั้น คอื สิ่งท่หี มายความถงึ จริงหรอื ไม่
 ป้องกันการลักลอบใชง้ าน การปลอมแปลงต่าง ๆ
 เชน่

 การใช้ Username Password , Credential
 Biometric Authentication
 Two Factors Authentication
 Certification

AAA

Authorization
 การพสิ ูจน์สทิ ธิ หรือการใหส้ ทิ ธใิ น บคุ คล, System, Service, โพรเซส หรอื object ใด ๆ ใหส้ ามารถเขา้ ถงึ ทรัพยากรไดต้ รงตามสิทธิ

ของตนเอง
 เพ่ือลดความเส่ียงจากการใช้งานทรัพยากรเกนิ สทิ ธิ หรอื ความเสียหายอนั เกิดจากการใหส้ ิทธเิ กนิ ภาระงาน
 ปอ้ งกนั การใช้งานเกนิ กว่าหนา้ ทีร่ บั ผดิ ชอบ
 มกั เป็นข้ันตอนที่เกิดขึ้นภายหลังจาก Authentication
 เช่น

 การกาหนดสทิ ธกิ ารเข้าถึงเครือข่าย
 การกาหนดสิทธิการใชง้ านไฟล์ต่าง ๆ หรอื ข้อมูลสารสนเทศ

AAA

Accounting
 เหตกุ ารณห์ รอื ความเสยี หายต่าง ๆ ที่เกิดข้นึ ในระบบ จะตอ้ งสามารถตรวจสอบได้ว่ามีท่มี าทไ่ี ปอยา่ งไร
 มงุ่ เนน้ การเกบ็ ข้อมลู รายละเอยี ดเหตุการณ์ท่ีเกิดข้ึนตามเวลา การเกี่ยวเน่อื งสอดคล้องกันของเหตกุ ารณต์ า่ ง ๆ
 เพ่ือตรวจสอบการทางานว่ายังอยู่ในภาวะปกติหรือไม่ หรอื ตรวจสอบย้อนหลัง
 เชน่

 ระบบตรวจวดั ต่าง ๆ (Monitoring System)
 ระบบตดิ ตามการทางาน (Tracking System)

AUTHENTICATION PRINCIPLES

 Something you know
 Something you have
 Something you are

AUTHENTICATION FACTORS

CYBER SECURITY GOAL

 Prevent : การป้ องกนั
 Detect : การตรวจจบั
 Response : การตอบสนอง

PDR

PDR

Prevent
 เปน็ หลักการในการป้องกนั ภยั คกุ คามที่จะเกดิ ขนึ้
 ภยั คกุ คามดงั กลา่ วจะเปน็ ภัยคกุ คามทผ่ี ดู้ ูแลมักจะทราบว่าจะมีการเกดิ ข้ึนแน่นอนหากไม่ดาเนินการป้องกัน
 ม่งุ เนน้ การใชน้ โยบาย และใชเ้ คร่ืองมอื ในการบงั คบั ใชน้ โยบาย
 เครอื่ งมือทใี่ ชเ้ ชน่

 นโยบายควบคุมการทางานของผู้ใชง้ าน
 การใช้ Firewall เพ่อื กาหนดนโยบายทางเครือขา่ ย
 การใช้ Active Directory ในการกาหนดทรพั ยากรต่าง ๆ ในระบบสารสนเทศ

PDR

Detect
 เปน็ การตรวจจบั เหตกุ ารณฉ์ ุกเฉินต่าง ๆ ทเี่ ฝ้าระวัง หรอื สญั ญาณของภยั คกุ คามตา่ ง ๆ
 เพ่ือให้ผูด้ ูแลระบบรปู้ ญั หา และสามารถตอบสนองต่อปัญหาไดอ้ ย่างรวดเร็ว ไม่ทาให้เกดิ ความเสียหายรุนแรง
 เครอื่ งมอื ท่ีใช้

 Network Monitoring System
 IDS/IPS
 การดาเนนิ การตามแผนรับมือเหตุฉกุ เฉิน (Incident Response Plan)

PDR

Response
 เป็นกระบวนการตอบโตเ้ หตุการณ์ฉุกเฉินตา่ ง ๆ
 ควรมกี ารเตรียมตวั เพื่อรับมอื เหตกุ ารฉุกเฉนิ ตามแผนรับมือเหตุฉุกเฉนิ
 เครอ่ื งมือทใี่ ช้

 ใช้ Firewall ในการปิดกน้ั ภยั คุกคามทางเครือขา่ ย
 ใชร้ ะบบ Anti-Virus เพื่อจดั การกบั Malware ตา่ ง ๆ
 การปรบั แต่งคา่ ระบบให้รับมือกบั ภัยคุกคาม

ISO/IEC
27001:2013

NIST CYBERSECURITY FRAMEWORK

 เปน็ กรอบการทางานเพื่อความ
มน่ั คงปลอดภยั ไซเบอรท์ น่ี ิยมใช้
อยา่ งแพร่หลายตามองค์กรต่าง ๆ
ทวั่ โลก

 นาเสนอหลักการและแนวทางการ
ปฏิบัตทิ ีด่ ใี นการบรหิ ารจัดการ
ความเส่ียงดา้ นไซเบอร์

กฎหมายทเี่ กยี่ วข้อง

พ.ร.บ.การรักษาความม่นั คงปลอดภยั ไซเบอร์ พ.ศ.๒๕๖๒

 ทอ.จดั อยใู่ นหนว่ ยงานโครงสรา้ งพื้นฐานสาคัญทางสารสนเทศ ด้านความมั่นคงของรัฐ (มีทง้ั หมด ๗ ดา้ น)

 จัดทาประมวลแนวทางปฏบิ ตั ิและกรอบมาตรฐานการรกั ษาความมัน่ คงปลอดภยั ไซเบอรข์ องหน่วย (ประกอบดว้ ยแผน
ตรวจสอบและประเมนิ ความเสย่ี ง และแผนรบั มือภยั คกุ คาม)

 ปอ้ งกัน ลดความเสีย่ ง เฝา้ ระวังและรับมือจากภยั คุกคามตามแผนทวี่ างไว้

กฎหมายทเ่ี กีย่ วขอ้ ง (ต่อ)

พ.ร.บ.คมุ้ ครองขอ้ มลู ส่วนบุคคล พ.ศ.๒๕๖๒

 ใหห้ น่วยงานปฏิบตั ิตามมาตรการหรือแนวทางการดาเนินการ ประกาศหรอื ระเบยี บ หลักเกณฑ์ ทีจ่ ะออกประกาศ
โดย คณก.คมุ้ ครองข้อมูลส่วนบคุ คล

 ทอ.สามารถดาเนนิ การเพ่ือเตรียมความพรอ้ มก่อนการบงั คบั ใช้ พ.ร.บ.ฯ

 อนมุ ตั ิ ผบ.ทอ.เมอื่ ๒๗ ธ.ค.๖๒ เร่อื งแนวทางเตรียมความพร้อมการบงั คับใชพ้ ระราชบญั ญตั ิคุม้ ครองข้อมลู สว่ นบคุ คล
พ.ศ.๒๕๖๒

ระเบยี บ ฉบับปัจจุบนั

ระเบียบ ทอ.วา่ ด้วยการรกั ษาความปลอดภยั ระบบสารสนเทศ พ.ศ.๒๕๖๓

http://dict.km.rtaf.mi.th/Home/Page/19?menuID=4736&contentID=30257

เหตผุ ลความจาเป็นของการปรับปรงุ ระเบียบ ทอ.ฯ
(ฉบับ พ.ศ.๒๕๕๒)

 มาตรฐานเดมิ ล้าสมยั (ISO/IEC27001:2005) ปจั จุบัน เปน็ ISO/IEC27001:2013
 กฎหมายใหมเ่ พ่ิมเตมิ ที่เก่ียวข้องกับสารสนเทศและไซเบอร์

- พ.ร.บ.การรกั ษาความมัน่ คงปลอดภัยไซเบอร์ พ.ศ.๒๕๖๒ (กาหนดให้บังคบั ใชเ้ มือ่ ๒๘ พ.ค.๖๒)
- พ.ร.บ.คุม้ ครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (กาหนดใหใ้ ชบ้ งั คบั ใน ๒๘ พ.ค.๖๓)
 การจัดตัง้ หนว่ ยงานดา้ นไซเบอรข์ อง ทอ.
– ศูนย์ไซเบอรก์ องทัพอากาศ ตง้ั แต่ ๑ ต.ค.๖๒
 ภยั คุกคามในรูปแบบตา่ ง ๆ ในระบบสารสนเทศในปจั จุบัน

หนว่ ยงานดา้ นไซเบอรข์ อง ทอ.

 การแบ่งมอบหน้าท่ีการปฏิบัตกิ ารดา้ นไซเบอร์ ระหวา่ ง กองสงครามไซเบอร์ และ ศซบ.ทอ. แบง่ มอบหนา้ ที่ เม่ือ
๑๘ พ.ย.๖๒

 ภารกิจ กคซ.สบค.ทสส.ทอ.เปน็ ฝา่ ยอานวยการ (เสนาธกิ าร) และหวั หนา้ หนว่ ยวิทยาการสารสนเทศและ
สงครามอิเล็กทรอนกิ ส์ ซง่ึ รวมถงึ ดา้ นไซเบอร์

 ภารกจิ ศซบ.ทอ.เป็นหน่วยปฏบิ ตั ิ (สว่ นกาลังรบ) ในสว่ นเตรียมกาลัง (อตั ราปกติ) เช่นเดียวกบั กองบิน สาหรับ
ส่วนใชก้ าลงั (อัตราเพ่ือพลาง) อยใู่ นระหวา่ งการขออนมุ ัติจดั ต้ัง ชดุ /ศูนยป์ ฏิบัติการ ศปก.ทอ.ตอ่ ไป เบอื้ งตน้ ให้
ศซบ.ทอ.ปฏบิ ตั หิ น้าท่ไี ปพลางกอ่ น

หน่วยงานดา้ นไซเบอร์ของ ทอ. (ต่อ)

กองทพั อากาศ ส่วนบัญชาการ ทสส.ทอ.
ส่วนกาลังรบ ศซบ.ทอ.
สว่ นส่งกาลังบารุง สอ.ทอ.
สว่ นการศึกษา
สว่ นกิจการพเิ ศษ

หน่วยรบั ผดิ ชอบและหนว่ ยเก่ียวขอ้ งด้านไซเบอร์ตามโครงสร้างการเตรียมกาลงั

โครงสร้างระเบยี บ ทอ.ฯ

หมวด ๑ กลา่ วท่วั ไป

สว่ นท่ี ๑ ความมงุ่ หมาย
สว่ นท่ี ๒ แนวทางการบริหารจัดการความมนั่ คงปลอดภัย

หมวด ๒ โครงสร้างการบรหิ ารความมัน่ คงปลอดภัยสารสนเทศและไซเบอร์

สว่ นที่ ๑ บทบาทและหน้าท่ีความรบั ผิดชอบดา้ นการรกั ษาความม่ันคงปลอดภัย
ส่วนท่ี ๒ อุปกรณ์พกพาและการปฏบิ ัติงานจากระยะไกล

หมวด ๓ การรักษาความม่นั คงปลอดภัยด้านบคุ คล

สว่ นท่ี ๑ กอ่ นการบรรจเุ ขา้ ปฏิบัตงิ าน
ส่วนท่ี ๒ ระหว่างดารงสถานภาพการปฏิบัติงาน
ส่วนท่ี ๓ การส้ินสดุ สถานภาพและการเปล่ยี นหนา้ ท่ปี ฏบิ ตั งิ าน

หมวด ๔ การบรหิ ารจัดการทรัพย์สนิ

สว่ นท่ี ๑ ความรับผดิ ชอบตอ่ ทรัพยส์ ิน
ส่วนท่ี ๒ การจดั ชั้นความลบั ของสารสนเทศ
สว่ นท่ี ๓ การจดั การสื่อบันทึกขอ้ มูล

โครงสรา้ งระเบยี บ ทอ.ฯ (ตอ่ )

หมวด ๕ การควบคุมการเข้าถงึ

สว่ นที่ ๑ หลักการควบคมุ การเขา้ ถงึ
สว่ นที่ ๒ การจัดการเขา้ ถึงระบบของผูใ้ ช้งาน
ส่วนท่ี ๓ หนา้ ท่ีความรับผดิ ชอบของผูใ้ ชง้ าน
ส่วนที่ ๔ การควบคมุ การเขา้ ถงึ ระบบและแอปพลิเคชนั

หมวด ๖ การเขา้ รหัสสารสนเทศ
หมวด ๗ ความมัน่ คงปลอดภัยทางกายภาพและสภาพแวดล้อม

ส่วนที่ ๑ พน้ื ทค่ี มุ คมุ ความมน่ั คงปลอดภยั
สว่ นท่ี ๒ ความมั่นคงปลอดภัยของอุปกรณ์

หมวด ๘ ความมน่ั คงปลอดภัยสาหรับการปฏบิ ตั ิงาน

สว่ นที่ ๑ ข้ันตอนการปฏิบตั งิ านและหนา้ ที่ความรบั ผดิ ชอบ
สว่ นที่ ๒ การป้องกันโปรแกรมประสงคร์ า้ ย (Malware
ส่วนท่ี ๓ การสารองขอ้ มลู
ส่วนท่ี ๔ การบันทกึ ขอ้ มูลลอ็ กและการเฝา้ ระวัง (Logging and Monitoring)
ส่วนท่ี ๕ การควบคมุ การติดตัง้ ซอฟต์แวรบ์ นระบบให้บรกิ าร
ส่วนท่ี ๖ การบรหิ ารจัดการช่องโหวท่ างเทคนิค

โครงสรา้ งระเบยี บ ทอ.ฯ (ต่อ)

หมวด ๙ ความมนั่ คงปลอดภัยสาหรบั การส่ือสารขอ้ มลู

สว่ นท่ี ๑ การบริหารจดั การการรกั ษาความปลอดภัยระบบเครอื ข่าย
ส่วนที่ ๒ การถ่ายโอนสารสนเทศ (Information Transfer)

หมวด ๑๐ การจดั หา การพัฒนา และการบารุงรักษาระบบ

สว่ นที่ ๑ การกาหนดความตอ้ งการดา้ นความมนั่ คงปลอดภัยระบบสารสนเทศ
ส่วนที่ ๒ ความมน่ั คงปลอดภยั สาหรบั กระบวนการในการสนับสนนุ และการพฒั นาระบบ

หมวด ๑๑ ความสัมพนั ธก์ ับผู้ใหบ้ รกิ ารภายนอก

สว่ นท่ี ๑ ความม่ันคงปลอดภยั สารสนเทศดา้ นความสัมพนั ธก์ ับผู้ให้บรกิ ารภายนอก
ส่วนท่ี ๒ การบริหารจดั การการให้บริการโดยผใู้ ห้บริการภายนอก

หมวด ๑๒ การบรหิ ารจัดการสถานการณ์ (Incident) ความมนั่ คงปลอดภยั สารสนเทศ
หมวด ๑๓ การปฏบิ ตั เิ ม่อื เกดิ การละเมดิ การรักษาความปลอดภัยสารสนเทศ

ผนวก ก หนา้ ท่กี ารรกั ษาความปลอดภยั ระบบสารสนเทศแบ่งตามบทบาท
ผนวก ข คาศพั ทค์ อมพิวเตอร์ท่เี กี่ยวขอ้ ง

หมวด ๑ กลา่ วทว่ั ไป

จดั ทาเพอ่ื รกั ษาไว้ซ่งึ CIA ของสารสนเทศ จัดทาแผนบริหารความเส่ยี งเพือ่ รองรบั ตรวจสอบ ทบทวน และประเมนิ แนวทาง
ทอ. บริหารความมั่นคงปลอดภยั อยา่ งน้อยปลี ะ

๑ ครง้ั

หมวด ๒ โครงสร้างการบริหารความมั่นคงปลอดภัยสารสนเทศและไซเบอร์

บทบาทหนา้ ทีค่ วามรบั ผดิ ชอบดา้ น รปภ.

ทสส.ทอ. ศซบ.ทอ. นขต.ทอ.

กาหนดมาตรการ แนวทางปฏิบัติ ประเมนิ ปอ้ งกัน ป้องปราม และตอบสนองภยั คุกคาม แตง่ ตงั้
ตรวจสอบการรักษาความมั่นคงปลอดภัย - น.รักษาความมนั่ คงปลอดภยั ระบบสารสนเทศ
สอ.ทอ. - คณก.รกั ษาความมั่นคงปลอดภยั ระบบสารสนเทศ

พฒั นาหลกั การ แจง้ ผลการตรวจสอบ ดารงรักษาสภาพการใชง้ านสารสนเทศและ
สนบั สนนุ
สนบั สนนุ การศึกษา
รปภ.ไซเบอร์

หมวด ๒ โครงสรา้ งการบริหารความมนั่ คงปลอดภัยสารสนเทศและไซเบอร์
(ตอ่ )

อุปกรณ์พกพาและการปฏบิ ตั งิ านจากระยะไกล

นขต.ทอ.

กาหนดมาตรการรองรบั การนาอปุ กรณ์มา
เชอ่ื มต่อกับเครือขา่ ยสารสนเทศหน่วย ดว้ ย

การลงทะเบียน

การปฏบิ ัตงิ านจากภายนอก ทอ.ใหป้ ฏบิ ัติ
ตามหมวด ๕

หมวด ๓ การรกั ษาความมน่ั คงปลอดภยั ดา้ นบุคคล

กอ่ นบรรจุ ระหว่างปฏิบตั ิ สน้ิ สุดหนา้ ทปี่ ฏบิ ตั ิ

ตรวจสอบความไวว้ างใจบุคคล อบรมความรู้ น.รมปภ ตัดชือ่ ออกจากทะเบยี น
ความไวว้ างใจ
นขต.ทอ. ขว.ทอ. น.รมปภ ชแี้ จงโทษและ
ทณั ฑท์ างวินัย

ใหม้ กี ารกาหนดมาตรการ
ควบคมุ ดแู ล และ

ตรวจสอบสิทธ์ิการเขา้ ถงึ
ระบบสารสนเทศ

หมวด ๔ การบริหารจัดการทรัพยส์ ิน

นขต.ทอ. กาจัดหรอื ทาลายทง้ิ สือ่ บนั ทกึ ขอ้ มลู โดย ห้าม
ปฏิบัตติ ามกระบวนการทาลายขอ้ มูลของทาง
ทาบัญชีระบุทรัพยส์ นิ และกากับดแู ลการใช้ ใช้สือ่ บนั ทกึ ขอ้ มูลแบบเคล่อื นยา้ ยได้ ใน
หรือการย้าย ราชการ ระบบสารสนเทศทมี่ ชี นั้ ความลบั และที่

กาหนดชนั้ ความลับใหเ้ ป็นไปตามกฎหมาย เกย่ี วกับงานดา้ นยทุ ธการ
และมีการจัดทาป้ายชอื่ ของข้อมูล

หมวด ๕ การควบคุมการเข้าถงึ

หลกั การ การบรหิ ารจัดการ หน้าที่ความรบั ผิดชอบของผู้ใช้ การควบคุมการเข้าถงึ และโปรแกรมประยุกต์

กาหนดนโยบายควบคมุ การเขา้ ถงึ การใช้ การลงทะเบยี นผู้ใชใ้ หม่ ตอ้ งกาหนดใหม้ ี ตอ้ งเก็บ username password เป็น มกี ารควบคมุ โดยกาหนดสทิ ธ์ิ กาหนดกล่มุ
งานระบบสารสนเทศ มีการทาบันทึกติดตาม ระเบยี บปฏบิ ัติเปน็ ทางการ ความลบั บัญชที ี่มสี ทิ ธิ์ admin ต้องได้รบั มอบหมาย

ควบคุมการเข้าถึงเครือข่ายและบริการบน กาหนดสิทธ์ิในการเขา้ ถงึ ระบบสารสนเทศ กาหนดให้มกี ารเปลยี่ นรหัสเริม่ ตน้ เป็นของ และมีเวลากาหนด
เครือขา่ ยโดยเฉพาะ และมกี ารยืนยนั ตัวตนทกุ คร้ัง ผูใ้ ชง้ านทนั ที
บคุ คลภายนอกต้องแสดงความยินยอมในการ
ปฏบิ ัติตามระเบยี บน้ี

ปฏเิ สธการใหบ้ ริการเมื่อใส่รหัสผา่ นผดิ เกิน ๓ ควบคมุ โปรแกรมประยกุ ตต์ ามมาตรการ และ
ครงั้ กาหนดการเข้าถึง Souce Code

หมวด ๖ การเข้ารหัสสารสนเทศ

สารสนเทศที่มีชน้ั ความลบั ต้องได้รบั อนุมตั ิ เม่ือได้รบั อนมุ ัติ สารสนเทศนนั้ ตอ้ งถูกสง่ ดว้ ยการเข้ารหสั
จากเจ้าของ ผู้มีสิทธแ์ิ ละอานาจในสายงาน โดยมาตรฐานทไ่ี ด้รับการรับรองแล้ว จาก

ทสส.ทอ.

หากมกี ารใชเ้ ครือขา่ ยไร้สายทงั้ ดา้ นยทุ ธการ
และธุรการตอ้ งมีการป้องกันท้งั การพิสจู น์
ทราบและเขา้ รหสั ที่ได้รบั การยนื ยนั จาก

ทสส.ทอ.

ข้อมลู ข่าวสาร สารสนเทศทุกประเภท ที่
จัดเก็บในระบบฐานขอ้ มลู ต้องได้รับการจดั

ระดบั การปอ้ งกนั

กญุ แจเพือ่ เข้ารหัสและถอดรหสั ตอ้ งจากัด
การเขา้ ถงึ เท่าท่จี าเปน็