การปฏิบัติตามมาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ...
TRANSCRIPT
การปฏิบัติตามมาตรฐาน
การรักษาความมั่นคง
ปลอดภัยของระบบ
สารสนเทศ ของ
คณะกรรมการธุรกรรม
ทางอิเล็กทรอนิกส์
นพ.นวนรรน ธีระอัมพรพันธุ์ฝ่ายเวชสารสนเทศ
คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี
สําหรับการประชุมคณะกรรมการบริหารคณะฯ
วันที่ 5 ก.พ. 2556
ภัยคุกคามด้านความปลอดภัยสารสนเทศ
Malware
• Hackers
• Virus & Malware
• ซอฟต์แวร์ที่ออกแบบอย่างไม่ปลอดภัย
• Insiders (Employees)
• ความรู้เท่าไม่ถึงการณ์ของบุคลากร
• ภัยพิบัติหรือเหตุการณ์อื่นที่ส่งผลต่อระบบสารสนเทศ
ที่มาของภัยคุกคามด้าน Information Security
Confidentiality
• การรักษาความลับของข้อมูล
Integrity
• การรักษาความครบถ้วนและความถูกต้องของข้อมูล
• ปราศจากการเปลี่ยนแปลงแก้ไข ทําให้สูญหาย ทําให้เสียหาย หรือถูกทําลายโดยมิชอบ
Availability
• การรักษาสภาพพร้อมใช้งาน
หลักการของ Information Security
• พรบ.ว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550– กําหนดการกระทําทีถ่ือเป็นความผิด และหน้าที่ของผู้ให้บริการ
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544
• พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ (ฉบับที่ 2) พ.ศ. 2551– รองรับสถานะทางกฎหมายของข้อมูลทางอิเล็กทรอนิกส์
– รับรองวิธีการส่งและรับข้อมูลอิเลก็ทรอนิกส ์การใช้ลายมือชื่ออิเล็กทรอนิกส ์(electronic signature) และการรับฟงัพยานหลักฐานที่เป็นข้อมูลอิเล็กทรอนิกส ์เพื่อส่งเสริมการทาํ e-transactions ให้น่าเชื่อถือ
– กําหนดให้มีคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส ์และอํานาจหน้าที่
กฎหมายด้านเทคโนโลยีสารสนเทศของไทย
• ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ (มาตรา 7)
• ให้ถือว่าข้อมูลอิเล็กทรอนิกส์ มีการลงลายมือชื่อแล้ว ถ้า (1) ใช้วิธีการที่ระบุตัวเจ้าของลายมือชื่อ และ (2) เป็นวิธีการที่เชื่อถือได้ (มาตรา 9)
• ธุรกรรมทางอิเล็กทรอนิกส์ที่ได้กระทําตามวิธีการแบบปลอดภัยที่กําหนดใน พรฎ. ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้ (มาตรา 25)
• คําขอ การอนุญาต การจดทะเบียน คําสั่งทางปกครอง การชําระเงิน การประกาศ หรือการดําเนินการใดๆ ตามกฎหมายกับหน่วยงานของรัฐหรือโดยหน่วยงานของรัฐ ถ้าได้กระทําในรูปของข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์และวิธีการที่กําหนดโดย พรฎ.
• ให้ถือว่ามีผลโดยชอบด้วยกฎหมาย (มาตรา 35)
ผลทางกฎหมายของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กําหนดประเภทธุรกรรมในทางแพ่งและพาณิชย์ที่ยกเว้นมิหนํากฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์มาใช้บังคับ พ.ศ. 2549
• ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์– เรื่อง การรับรองสิ่งพิมพ์ออก พ.ศ. 2555
• กําหนดหลักเกณฑ์และวิธีการรับรองสิ่งพิมพ์ออก (Print-Out) ของข้อมูลอิเล็กทรอนิกส์ เพื่อให้สามารถใช้อ้างอิงแทนข้อมูลอิเล็กทรอนิกส์ และมีผลใช้แทนต้นฉบับได้
– เรื่อง หลักเกณฑ์และวิธีการในการจัดทาํหรือแปลงเอกสารและข้อความให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส ์พ.ศ. 2553
• กําหนดหลักเกณฑ์และวิธีการในการจัดทําหรือแปลงเอกสารและข้อความที่ได้มีการจัดทําหรือแปลงให้อยู่ในรูปของข้อมูลอิเล็กทรอนิกส์ในภายหลัง
– เรื่อง แนวทางการจัดทาํแนวนโยบาย (Certificate Policy) และแนวปฏิบัติ (Certification Practice Statement) ของผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส ์(Certificate Authority) พ.ศ. 2552
• ว่าด้วยการให้บริการออกใบรับรองอเิล็กทรอนิกส์ (Certificate)
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ พ.ศ. 2549– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคง
ปลอดภัยด้านสารสนเทศของหน่วยงานของรัฐ พ.ศ. 2553• กําหนดมาตรฐาน Security Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทาง
อิเล็กทรอนิกส์ภาครัฐ
– ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการคุ้มครองข้อมูลสว่นบุคคลของหน่วยงานของรัฐ พ.ศ. 2553
• กําหนดมาตรฐาน Privacy Policy ของหน่วยงานของรัฐที่มีการทําธุรกรรมทางอิเล็กทรอนิกส์ภาครัฐ
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยการควบคุมดูแลธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2551
• ประกาศ เรื่อง หลักเกณฑ์การพิจารณาลงโทษปรับทางปกครองสําหรับผู้ประกอบธุรกิจให้บริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศ เรื่อง หลักเกณฑ์ วิธีการ และเงื่อนไขในการประกอบธุรกิจบริการการชําระเงินทางอิเล็กทรอนิกส์ พ.ศ. 2552
• ประกาศ ธปท. ที่เกี่ยวข้อง
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– ประกาศ เรื่อง ประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์และหลักเกณฑ์การ
ประเมินระดับผลกระทบของธุรกรรมทางอิเลก็ทรอนิกส์ตามวิธีการแบบปลอดภัย พ.ศ. 2555
• หลักเกณฑ์การประเมินเพื่อกําหนดระดับวิธีการแบบปลอดภัยขั้นต่ํา
– ประกาศ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. 2555
• กําหนดมาตรฐานความปลอดภัยตามวิธีการแบบปลอดภัยแต่ละระดับ
กฎหมายลําดับรองของ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
สรุปความเชื่อมโยงของกฎหมาย พรบ.ธุรกรรมทางอิเล็กทรอนิกส์• พรบ.ว่าด้วยธรุกรรมทางอิเล็กทรอนิกส์
• พรฎ.วา่ด้วยวธิกีารแบบปลอดภัยในการทํา
ธุรกรรมทางอิเล็กทรอนิกส์ (+ ประกาศ
2 ฉบับ)
ประกาศ เรื่อง หลักเกณฑ์และวิธีการในการ
จัดทําหรือแปลงเอกสารและข้อความให้อยู่
ในรูปของข้อมูลอิเล็กทรอนิกส์
หน่วยงานของรัฐ
• พรฎ.กําหนดหลักเกณฑ์และวิธีการในการทาํธุรกรรม
ทางอิเล็กทรอนิกส์ภาครัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
รักษาความมัน่คงปลอดภัยด้านสารสนเทศของ
หน่วยงานของรัฐ
• ประกาศ เรื่อง แนวนโยบายและแนวปฏิบัติในการ
คุ้มครองข้อมูลส่วนบุคคลของหน่วยงานของรัฐ
• คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์
• สํานักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ สํานักงานปลัดกระทรวง กระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร
• สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ.– Electronic Transactions Development Agency (Public
Organization) - ETDA
หน่วยงานที่เกี่ยวข้องกับ พรบ.ธุรกรรมทางอิเล็กทรอนิกส์
• มาตรา 25 ของ พรบ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์– “ธุรกรรมทางอิเล็กทรอนิกสใ์ดที่ได้กระทาํตามวิธีการแบบปลอดภัยที่
กําหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการทีเ่ชื่อถือได้
• พรฎ.ว่าด้วยวิธีการแบบปลอดภัยในการทําธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2553– วิธีการแบบปลอดภัย มี 3 ระดับ (พื้นฐาน, กลาง, เคร่งครัด)
– จําแนกตามประเภทของธุรกรรมทางอิเลก็ทรอนิกส ์(ธุรกรรมที่มีผลกระทบต่อความมั่นคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน) หรือจําแนกตามหน่วยงาน (ธุรกรรมของหน่วยงานหรือองค์กรที่ถือเป็นโครงสร้างพื้นฐานสําคญัของประเทศ หรือ Critical Infrastructure)
“วิธีการแบบปลอดภัย”
ธุรกรรมทางอิเล็กทรอนิกส์ ประเภทต่อไปนี้
• ด้านการชําระเงินทางอิเล็กทรอนิกส์
• ด้านการเงินของธนาคารพาณิชย์
• ด้านประกันภัย
• ด้านหลักทรัพย์ของผู้ประกอบธุรกิจหลักทรัพย์
• ธุรกรรมที่จัดเก็บ รวบรวม และให้บริการข้อมูลของบุคคลหรือทรัพย์สินหรือทะเบียนต่างๆ ที่เป็นเอกสารมหาชนหรือที่เป็นข้อมูลสาธารณะ
• ธุรกรรมในการให้บริการด้านสาธารณูปโภคและบริการสาธารณะที่ต้องดําเนินการอย่างต่อเนื่องตลอดเวลา
วิธีการแบบปลอดภัยในระดับเคร่งครัด
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบด้านมูลค่าความเสียหายทางการเงิน– ต่ํา: ≤ 1 ล้านบาท
– ปานกลาง: 1 ล้านบาท < มูลค่า ≤ 100 ล้านบาท
– สูง: > 100 ล้านบาท
ระดับผลกระทบกบัวธิีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับอันตรายต่อชีวิต ร่างกาย หรืออนามัย– ต่ํา: ไม่มี
– ปานกลาง: ผลกระทบต่อร่างกายหรืออนามัย 1-1,000 คน
– สูง: ผลกระทบต่อร่างกายหรืออนามัย > 1,000 คน หรือต่อชีวิตตั้งแต่ 1 คน
ระดับผลกระทบกบัวธิีการแบบปลอดภัย
ให้หน่วยงานยึดถือหลักการประเมินความเสี่ยงของระบบเทคโนโลยีสารสนเทศซึ่งเป็นที่ยอมรับเป็นการทั่วไป เป็นแนวทางในการประเมินระดับผลกระทบ ซึ่งต้องประเมินผลกระทบในด้านต่อไปนี้ด้วย (ผลกระทบจาก Worst Case Scenario ใน 1 วัน)
• ผลกระทบต่อจํานวนผู้ใช้บริการหรือผู้มีส่วนได้เสียที่อาจได้รับความเสียหายอื่นใด– ต่ํา: ≤ 10,000 คน
– ปานกลาง: 10,000 < จํานวนผู้ได้รับผลกระทบ ≤ 100,000 คน
– สูง: > 100,000 คน
• ผลกระทบด้านความมั่นคงของรัฐ– ต่ํา: ไม่มีผลกระทบต่อความมั่นคงของรัฐ
– สูง: มีผลกระทบต่อความมั่นคงของรัฐ
ระดับผลกระทบกบัวธิีการแบบปลอดภัย
• พิจารณาตามประเภทของธุรกรรมทางอิเล็กทรอนิกส์
• พิจารณาตามระดับผลกระทบ– ถ้ามีผลประเมินทีเ่ป็นผลกระทบในระดับสงู 1 ด้าน ให้ใช้วิธีการแบบปลอดภัย
ระดับเคร่งครัด
– ระดับกลางอย่างน้อย 2 ด้าน ให้ใช้วิธีการแบบปลอดภัยระดับกลาง
– นอกจากนี้ ให้ใช้วิธีการแบบปลอดภัยในระดับพื้นฐาน
สรุปวิธีการประเมินระดับวิธีการแบบปลอดภัย
• อ้างอิงมาตรฐาน ISO/IEC 27001:2005 - Information technology -Security techniques - Information security management systems - Requirements
• มีผลใช้บังคับเมื่อพ้น 360 วัน นับแต่วันประกาศในราชกิจจานุเบกษา (19 ธ.ค. 2555) คือ 14 ธ.ค. 2556
• ไม่มีบทกําหนดโทษ เป็นเพียงมาตรฐานสําหรับ “วิธีการที่เชื่อถือได้” ในการพิจารณาความน่าเชื่อถือในทางกฎหมายของธุรกรรมทางอิเล็กทรอนิกส์ แต่มีผลในเชิงภาพลักษณ์และน้ําหนักการนําข้อมูลอิเล็กทรอนิกส์ไปเป็นพยานหลักฐานในการต่อสู้คดีในศาลหรือการดําเนินการทางกฎหมาย
• คณะกรรมการธรุกรรมทางอิเล็กทรอนิกส์อาจพิจารณาประกาศเผยแพร่รายชื่อหน่วยงานที่มีการจัดทํานโยบายและแนวปฏิบัติโดยสอดคล้องกับวิธีการแบบปลอดภัย เพื่อให้สาธารณชนทราบเป็นการทั่วไปก็ได้
ประกาศ เรื่อง มาตรฐาน Security ตามวิธีการแบบปลอดภัย
• แบ่งเป็น 11 หมวด (Domains)– Security policy
– Organization of information security
– Asset management
– Human resources security
– Physical and environmental security
– Communications and operations management
– Access control
– Information systems acquisition, development and maintenance
– Information security incident management
– Business continuity management
– Regulatory compliance
มาตรฐาน Security ตามวิธีการแบบปลอดภัย
มาตรฐาน Security ตามวิธีการแบบปลอดภัย แต่ละระดับ
หมวด (Domain) ระดับพืน้ฐาน ระดับกลาง
(เพิ่มเติมจากระดบัพืน้ฐาน)
ระดับสงู
(เพิ่มเติมจากระดบักลาง)
Security policy 1 ข้อ 1 ข้อ -
Organization of information security 5 ข้อ 3 ข้อ 3 ข้อ
Asset management 1 ข้อ 4 ข้อ -
Human resources security 6 ข้อ 1 ข้อ 2 ข้อ
Physical and environmental security 5 ข้อ 2 ข้อ 6 ข้อ
Communications & operations management 18 ข้อ 5 ข้อ 9 ข้อ
Access control 9 ข้อ 8 ข้อ 8 ข้อ
Information systems acquisition,
development and maintenance
2 ข้อ 6 ข้อ 8 ข้อ
Information security incident management 1 ข้อ - 3 ข้อ
Business continuity management 1 ข้อ 3 ข้อ 1 ข้อ
Regulatory compliance 3 ข้อ 5 ข้อ 2 ข้อ
รวม 52 ข้อ 38 ข้อ (รวม 90 ข้อ) 42 ข้อ (รวม 132 ข้อ)
• ประกาศคณะฯ เรื่อง นโยบายความปลอดภัยสารสนเทศ คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี พ.ศ. 2551
• ประกาศคณะฯ เรื่อง หลักเกณฑ์การปฏิบัติของผู้ได้รับอนุญาตให้เข้าถึงข้อมูลทางอิเล็กทรอนิกส์ พ.ศ. 2554
• ประกาศคณะฯ เรื่อง การขอคัดถ่ายสําเนาเวชระเบียนผู้ป่วย พ.ศ. 2556
ระเบียบต่างๆ ของคณะฯ ด้าน Information Security
• ภัยคุกคามด้านความปลอดภัยสารสนเทศ เพิ่มขึ้นมากในปัจจุบัน
• มีการกําหนดมาตรฐานด้านความปลอดภัยขององค์กรในกฎหมาย IT ของไทย
• คณะฯ จําเป็นจะต้องปฏิบัติตามมาตรฐานดังกล่าวและกฎหมายที่เกี่ยวข้อง โดยมีทั้งเรื่องการดําเนินการทางนโยบาย และการดําเนินการในทางปฏิบัติ
สรุป
• รับทราบและเห็นความสําคัญถึงความจําเป็นในการปฏิบัติตามมาตรฐานด้านความปลอดภัยสารสนเทศ
• ตระหนักว่า การขับเคลื่อนเรื่องมาตรฐานความปลอดภัยสารสนเทศ เป็นความรับผิดชอบของผู้บริหารและบุคลากรทุกคน
• เห็นชอบให้รองคณบดีฝ่ายสารสนเทศเป็นผู้ดําเนินการเรื่องมาตรฐานด้านความปลอดภัยสารสนเทศ โดยให้ประสานงานกับผู้บริหารและหน่วยงานที่เกี่ยวข้อง โดยขอให้ทุกหน่วยงานให้ความร่วมมือในการดําเนินการอย่างเต็มที่ เพื่อให้เป็นไปตามมาตรฐาน
ข้อเสนอเชิงนโยบายสําหรับคณะกรรมการบริหารคณะฯ