policy, law and ethics in it - management of information...
TRANSCRIPT
Scope
• National Policy in IT, Broadband, Media
and etc
• Laws related to IT Crimes,
• Ethics related to IT.
2
พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. ๒๕๕๐
• กฎหมายวาดวยธรกรรมทางอเลกทรอนกส
• กฎหมายลายมอชออเลกทรอนกส
• กฎหมายการโอนเงนทางอเลกทรอนกส
• กฎหมายวาดวยอาชญากรรมทางคอมพวเตอร
• รางพระราชบญญตวาดวยการคมครองขอมลสวนบคคล
3
Methini Thepmani
e-Government Promotion and Development Bureau
Ministry of Information and Communication Technology
28 January 2011
Smart Thailand 2020:
Transforming e-Government to i-Government
4
National Policy: Smart Thailand
• 50% of population have knowledge and capacity to access, create and use information-literacy
ICT Human Resources and ICT
Competent Workforce
• Raise ICT Readiness Ranking of country at TOP 25 in NRI by 2013
ICT Infrastructure
• Enhance the role and important of ICT Industry in the economy, by increasing share of GDP to < 15 % by 2013
ICT Industry
5
6
2020
Stronger
Economy
Social
Equality
Environmental
Friendly
Smart
Agriculture
Smart
Services
Smart
Environment
(ICT for Green &
Green IT)
Smart
Health
Smart
Learning
Smart Government
ICT Human Resources and
ICT Competent Workforce ICT Infrastructure ICT Industry
Thai people
to knowledge and wisdom
Thai economy
to sustainable growth
Thai society
to equality
ICT is an important driving force for …
7
Broadband Policy
5 e-Gov e-Industry, e-Commerce, e-Government, e-Education, e-Society
Stronger Economy, Social Equality, Environmental Friendly
Transforming to i-Gov (Intelligence, Integration, Inclusion)
Broadband
Policy
Smart Thailand 2020
8
• Intelligence
• Integration
– Integration of services of central, state and
local government
– Integration of goals of governance
– Integration of various agencies of government
– Integration of public and private sector services
– Integration of services of different departments
• Inclusion
9
นโยบายทส าคญของโครงการบรอดแบนดแหงชาต
• การท าใหบรอดแบนดกลายเปนโครงสรางพนฐานส าหรบประชาชน
• ครอบคลมการใชงาน 80% ของประชากรภายใน 5 ป และ 95% ภายใน 10 ป
• รฐบาลใหความส าคญตอโครงการ e-government, e-health, e-education, e-commerce and e-agricultures
• จดตงคณะท างานเพอรางแผนด าเนนงานอยางเรงดวน
• บรการโทรคมนาคมเขาถงประชาชนไดทวถง ใหบรการครอบคลม 80% ของประชาชนไทยใน 5 ป และ 95% ภายใน 10 ป
• บรการราคาทเปนธรรมจากการแขงขนของผใหบรการ
ประชาชน
ประโยชนสงสดจะตกกบประชาชนผใชบรการ โดยทงภาคเอกชนและภาครฐตางกไดรบประโยชนโดยตรงอกดวย
• รฐวสาหกจโทรคมนาคมมบทบาททยงยนในระยะยาว
• เนนการลงทนใหเกดประโยชนสงสด โดยปรบเปลยนจากการลงทนเพอแขงขนกบภาคเอกชน ไปสการลงทนใหเกดสาธารณปโภคพนฐาน
ภาครฐ
• การใชโครงสรางพนฐานรวมกน ชวยประหยดเงนลงทนไดนบหมนลานบาท
• มโครงสรางอตสาหกรรมทเปดกวาง (Open Access) มการแขงขนทเปนธรรม
• ภาครฐชวยแบงเบาภาระการลงทน โดยเฉพาะการลงทนทไดผลตอบแทนต า
ภาคเอกชน
Supply Side
Citizen can access
broadband services
equally
Private sector
share infrastructure
efficiently
Government provides
USO.
Demand Side
e-Government
Services
e-Healthcare Services
e-Education Services
e-Agriculture
Services
e-Services
12
Physical Infrastructure (Dark Fiber & Towers)
Vertically integrated
model
Dark fiber model
(ie. UK, USA)
Bitstream Model
(ie. Australia)
Network (Backbone & Access)
Legend Arrow: One or Multiple Players Per Layer
Multilayer open access model
(ie. Singapore)
Supply Side: ผลกดนใหประเทศไทยไปสโครงสรางอตสาหกรรมท เปดกวาง เพอสงเสรมใหมการใชโครงสรางพนฐานรวมกนมากขน
Access, Services
& Content 3
2
1
For Big
Players
For Small
Players
ขอมลโครงขายประเทศไทย
1
A
B
C
A-Backhaul
• Core to City (CC)
• Current Supply: เกนความตองการ ตวอยางเชน >200%?
B-Access
• City to Town? or Tower (CT)
• Current Supply: เกอบเพยงพอ ตวอยางเชน 85%?
C-Last Mile
• Town to Home (TH) 5-8 กโลเมตรสดทาย
• Supply: ไมเพยงพอตอความตองการใชงาน ตวอยางเชน 5%?
C
A
B
ภาครฐเนนการลงทนในสวนนเพอใหเปนลกษณะบรการ
สาธารณปโภค
ภาครฐหลกเลยงการลงทนแขงกบภาคเอกชน
15
MICTe-Agriculture
ตรงกบยทธศาสตรท 6 : การใช ICT เพอสนบสนนการเพมขดความสามารถในการแขงขนอยางยงยน
มาตรการท 6.4 สงเสรมการน า ICT มาใชในภาคการผลตและบรการท เ ปนยทธศาสตรของประเทศ และไทยมความไดเปรยบ โดยเฉพาะการเกษตร การบรการดานสขภาพ และการทองเทยว
แผนแมบทเทคโนโลยสารสนเทศและการสอสาร (ฉบบท 2) ของประเทศไทย พ.ศ. 2552-2556
• ใหมโครงสรางพนฐานสารสนเทศและการสอสารเพอสนบสนนการพฒนาคณภาพการศกษาของเยาวชนและสงเสรมการเรยนรตลอดชวตของประชาชน
สถาบนการศกษาระดบมธยมขนไปทกแหง มการเชอมตออนเทอรเนตความเรวสงทความเรวอยางนอย 10 Mbps และมอตราสวนคอมพวเตอรตอนกเรยนอยางนอย 1: 30 ในป 2554 และ 1:20 ในป 2556
หองสมดประชาชนและศนยการเรยนร/ศนยบรการสารสนเทศชมชนในระดบจงหวด อ าเภอ และ ต าบล มการเชอมตออนเทอรเนตความเรวสงทความเรวอยางนอย 4 Mbps
ทมา : แผนแมบทเทคโนโลยสารสนเทศและการสอสาร (ฉบบท 2) ของประเทศไทย พ.ศ. 2552-2556
ยทธศาสตรท 3 : การพฒนาโครงสรางพนฐานเทคโนโลยสารสนเทศและการสอสาร
เปาหมายท 3
สถานพยาบาลตางๆของประเทศไทยมระบบการเชอมตอขอมลเพยง 23% มเพยง 22.5% ของสถานพยาบาลสาธารณะในประเทศไทยทมระบบการเชอมตอขอมล (3,156 จาก 14,000)
มการน ารองใชงาน Application ใหมๆ ทประสบความส าเรจ เชน การเชอมตอร.พ.พระมงกฎกบร.พ.องคยทธ ทปตตาน
Bandwidth: 2M – 8M using ADSL
หมอทดสอบการจบภาพเคลอนไหว 30 ภาพตอวนาท
เพอดการฟนตวของคนไข
หมอทดสอบการดภาพความละเอยดสง (High
definition) เพอตรวจการเคลอนไหวของตาคนไขและรายละเอยดในลกตา
• Connecting all 76 provinces and all 10,000+ local communities (3-5-10 yr?)
e-Government
• Connecting 15,000 hospitals and healthcare centers (3-5-10 yr?)
e-Healthcare
• Connecting 30,000 schools and local community education centers (3-5-10 yr?)
e-Education
• Connecting 70% Thai citizen who are the poor farmers (3-5-10 yr?)
e-Agriculture
Each Ministry with different visions & development stages
But common needs in basic connectivity and key solutions 20
นโยบายดาน ICT และทศทางของแผนแมบทเทคโนโลยสารสนเทศและการสอสารของประเทศ
ไทย (ฉบบท 2) พ.ศ. 2552 - 2556
21
นโยบายดาน ICT และทศทางของแผนแมบทเทคโนโลยสารสนเทศและการสอสารของประเทศไทย (ฉบบท 2)
พ.ศ. 2552 - 2556
22
เอกสารประกอบ จากการบรรยายของ นางเมธน เทพมณ ผตรวจราชการ ส านกงานปลดกระทรวงเทคโนโลยสารสนเทศและการสอสาร
26
ดชนชวดประเทศไทยในเวทโลก
ดชน/ ประเทศ
World Competitiveness
Scoreboard ป 2550
(55 ประเทศ)
Networked Readiness Rankings
ป 2550-2551 (127 ประเทศ)
Digital Opportunity Index
ป 2548-2549 (181 ประเทศ)
e-Readiness Ranking ป 2551
(70 ประเทศ)
E Government Readiness ป 2551
(192 ประเทศ)
IT Industry Benchmarking
ป 2550 (64 ประเทศ)
ไทย 33 40 82 47 64 41
ญป น 24 19 2 18 11 2
เกาหล 29 9 1 15 6 3
ไตหวน 18 17 7 19 NA 6
อนเดย 27 50 124 54 113 46
สงคโปร 2 5 5 6 23 11
มาเลเซย 23 26 57 34 34 36
27
• ปจจยส าคญทฉดรงอนดบการพฒนา ICT ของประเทศไทยในทกๆดชนคอ ความพรอมดาน
โครงสรางพนฐานสารสนเทศ ซงยงมไมเพยงพอและยงแพรกระจายไมทวถง ท าใหการพฒนา
และการใชประโยชนของ ICT เพอตอยอดองคความร การพฒนาธรกจ การใหบรการของ
ภาครฐ ไมสามารถเปนไปอยางมประสทธภาพ
ดชนชวดประเทศไทยในเวทโลก
28
นโยบายรฐบาลดานเทคโนโลยสารสนเทศ
• พฒนาอตสาหกรรมซอฟตแวร ฮารดแวร และอตสาหกรรมทเกยวของดานบรการ
ความรผานสออเลกทรอนกส และจดใหมกลไกสนบสนนแหลงทนส าหรบผประกอบ
ธรกจเทคโนโลยสารสนเทศขนาดกลางและขนาดยอม รวมทงพฒนาบคลากรใหม
ศกยภาพไดมาตรฐานและสอดคลองกบความตองการของตลาด เพอผลกดนให
ประเทศไทยเปนศนยกลางดานเทคโนโลยสารสนเทศและการสอสารในภมภาค
เมอวนท 18 กมภาพนธ 2551
นโยบายรฐบาลดานเทคโนโลยสารสนเทศ
29
รางวสยทศน พนธกจ และประเดนยทธศาสตร ของแผนแมบทเทคโนโลยสารสนเทศและการสอสาร
(ฉบบท 2) ของประเทศไทย
พ.ศ. 2552 - 2556
30
วสยทศน-พนธกจ-วตถประสงค
วสยทศน
“Smart Thailand”
พนธกจ
1. พฒนาก าลงคนทมคณภาพและปรมาณเพยงพอ
2. พฒนาโครงขาย ICT ความเรวสง
3. พฒนาระบบบรหารจดการ ICT ทม ธรรมาภบาล
วตถประสงค
1. เพอเพมปรมาณและศกยภาพของก าลงคน ICT
2. สรางธรรมาภบาลในการบรหารจดการ ICT
3. สนบสนนการปรบโครงสรางการผลต
4. สรางความเขมแขงของชมชนและปจเจกบคคล
5. สรางศกยภาพของธรกจและอตสาหกรรม ICT
… % of Thais to have Information Literacy
Increase ICT industry contribution to GDP
Enhance ICT Readiness, e-Government Performance in international rankings
31
Our Strategies
Human Resources (ICT Professionals and “Information-Literate” People)
National ICT Management Framework (Institutional arrangement, Rules and Regulation, Financing, …)
ICT for Competitiveness
(Strategic industries, SMEs)
SMART Thailand
ICT Infrastructure
E-Governance ICT Industry
32
การใชเทคโนโลยสารสนเทศและการสอสารเพอใหเกดธรรมาภบาลในการบรหารและการบรการของภาครฐ (e-Governance)
ยกระดบขดความสามารถในการแขงขนของอตสาหกรรม ICT (ICT Industry Competitiveness) เพอสรางมลคาทางเศรษฐกจและรายไดเขาประเทศ
การพฒนาก าลงคนดาน ICT และบคลากรในทกวชาชพทมความสามารถในการใชสารสนเทศอยางมวจารณญาณและรเทาทน (Information Literacy)
การพฒนาโครงสรางพนฐานเทคโนโลยสารสนเทศและการสอสาร
ประเดนยทธศาสตร
1
การใช ICT เพอเพมขดความสามารถในการแขงขน (ICT for Competitiveness)
2
3
4
5
6
การสรางธรรมาภบาลในระบบบรหารจดการเทคโนโลยสารสนเทศและการสอสาร (National ICT Management Framework)
33 33
กรอบยทธศาสตร และผลลพธตาม
(ราง) แผนแมบท ICT ประเทศไทย ฉบบท 2 พ.ศ. 2552 -2556
กระจายโอกาส เพอความยงยน
ศกยภาพ และการแขงขน
สงคมคณภาพ ผลลพธในภาคเศรษฐกจอน
ความทวถงและเทาเทยมกนในการเขาถงสารสนเทศ
โอกาสทางการศกษาและสขภาพทดของประชาชน
ทรพยสนทางปญญา
ทนทางปญญา
มลคาเพมในผลตภณฑและบรการทสงขน
Mass customization
ทรพยากรมนษยทมความสามารถ มคณธรรม จรยธรรม
การอ านวยความสะดวกแกประชาชน/ภาคเอกชน
การลดคาใชจายของภาคเอกชน
ลดความสญเสยจากการท างานทขาดความโปรงใส
4. ใช ICT เพอชวยสรางธรรมาภบาลของภาครฐ
2. บรหารจดการ ICT อยางมธรรมาภบาล (ICT Governance)
3. พฒนาโครงสรางพนฐาน
1. พฒนาก าลงคน (ICT Professionals & ICT literate people)
6. ใช ICT ในภาคการผลตและบรการทเปนยทธศาสตรของประเทศ
5. พฒนาอตสาหกรรม ICT
34 34
ยทธศาสตร และมาตรการ (1)
การพฒนาก าลงคนดาน ICT และบคคลทวไปใหมความสามารถในการสรางสรรค ผลต และใชสารสนเทศอยางมวจารณญาณและรเทาทน (Information Literacy)
พฒนา ก าลงคน
ประเดนทครอบคลม เปาหมายทส าคญ
บคลากร ICT สดสวนก าลงคนดาน ICT ทจบการศกษาในระดบทสงกวาปรญญาตร
ในแตละปเกนรอยละ 15 ของผจบการศกษาดาน ICT ทงหมด
มบคลากรดาน ICT ทไดรบการทดสอบผานมาตรฐานวชาชพท
ไดรบการยอมรบในระดบสากลอยางนอยรอยละ 30 ของบคลากร
ทงหมด
นกพฒนาซอฟตแวรของไทยสามารถเขารวมโครงการระดบโลกไดไม
นอยกวาปละ 50 โครงการ
บคลากรในวชาชพอน/
บคคลทวไป
แรงงานในสถานประกอบการไมนอยกวารอยละ 40 สามารถเขาถงและน า ICT มาใชประโยชนในการท างานและการเรยนร
บคลากรภาครฐไมนอยกวารอยละ 50 สามารถเขาถงและน า ICT มาใชประโยชนในการท างานและการเรยนร
กลมผดอยโอกาส สามารถเขาถง ICT และน า ICT มาใชประโยชนในการเรยนร และประยกตใชกบชวตประจ าวนเพมขนไมนอยกวารอย
ละ 10
สดสวนการเขาใชเวบไซตเพอการเรยนรหรอเปนประโยชนในเชงสรางสรรคเกนกวารอยละ 70 ของการใชเวบไซตในภาพรวม
เนนการสรางบคลากรทกษะสง
(highly skilled
professionals) สอดคลองกบความตองการของตลาด
เนนความสามารถในการใชอยาง สรางสรรคและเกดประโยชน
35
ยทธศาสตร และมาตรการ (2)
การบรหารจดการระบบ ICT ของประเทศอยางม ธรรมาภบาล
การบรหาร จดการ ICT
ประเดนทครอบคลม เปาหมายทส าคญ
โครงสรางเชงสถาบน มหนวยงานกลางทท าหนาทเปนองคกรขบเคลอนวาระแหงชาตดาน ICT ในระดบประเทศ ทสามารถประสานใหเกดการพฒนาแบบบรณา
การ
มสภา ICT เพอเปนตวแทนของภาคเอกชนในการประสานนโยบายและท างานรวมกบภาครฐเพอผลกดนนโยบายและมาตรการดาน ICT
กฎหมายและกฎระเบยบ มกฎหมาย กฎระเบยบทเออตอการใช ICT และการท าธรกรรม
ทางอเลกทรอนกส
การจดสรรทรพยากร มการจดสรรงบประมาณทมประสทธภาพมากขน ลดความ
ซ าซอน
36
ยทธศาสตร และมาตรการ (3)
การพฒนาโครงสรางพนฐานเทคโนโลยสารสนเทศ และการสอสาร
โครงสราง พนฐาน ICT
ประเดนทครอบคลม เปาหมายทส าคญ
บรการเครอขายความเรวสง มบรการเครอขายความเรวสง (ความเรวอยางนอย 4 Mbps) กระจายทวถง ราคาเปนธรรม
โครงสรางพนฐานเพอการศกษา สถาบนการศกษาระดบมธยมขนไป เชอมตอทความเรวอยางนอย 10
Mbps
หองสมดประชาชน/ศนยการเรยนชมชน/ศนยสารสนเทศชมชน
เชอมตอทความเรวอยางนอย 4 Mbps
โครงสรางพนฐานเพอการบรการภาค
สงคม
ศนยบรการสารสนเทศชมชนทกแหงมขอมล/สารสนเทศเพอการเรยนร
และอาชพ รวมถงบรการอนเทอรเนต
สถานพยาบาลและสถานอนามยในชนบทหางไกลทวประเทศเชอมตอ
อนเทอรเนตไดทความเรวอยางนอย 4 Mbps และมระบบการแพทย
ทางไกลทมประสทธภาพและใชไดจรง
มการจดสรรทรพยากรโทรคมนาคมและโครงขาย ICT เพอการบรการ
ภาคสงคมทส าคญ เชน การเฝาระวงและการเตอนภยพบต การ
สาธารณสขพนฐาน ฯลฯ
38
ยทธศาสตร และมาตรการ (4)
การใช ICT เพอใหเกดธรรมาภบาลในการบรหารและบรการของรฐ
E- Governance
ประเดนทครอบคลม เปาหมายทส าคญ
บรการของรฐ ประชาชนเปนศนยกลาง
ม e-government interoperability framework
(e-GIF)
บรการทเปน single window ใชบรการไดผานสอหลายประเภท
การมสวนรวมของประชาชน ทกหนวยงานมชองทางส าหรบการมสวนรวมของประชาชนในการ
ตดสนใจเกยวกบนโยบายสาธารณะหรอกฎหมาย
คณภาพและประสทธภาพของ e-government
ยกระดบ e-government performance rankings
39
ยทธศาสตร และมาตรการ (5)
ยกระดบขดความสามารถในการแขงขนของอตสาหกรรม ICT เพอสรางมลคาทางเศรษฐกจและรายไดเขาประเทศ
อตสาหกรรม ICT
ประเดนทครอบคลม เปาหมายทส าคญ
อตสาหกรรมยทธศาสตร อตสาหกรรมซอฟตแวร (รวม embedded system/ embedded software) และ การออกแบบวงจรอเลกทรอนกสขนสง
สดสวนของซอฟตแวรทผลตในประเทศไมนอยกวารอยละ 50 ของมลคาตลาดซอฟตแวรในประเทศโดยรวม
มลคาการสงออกซอฟตแวรของไทยเพมขนจากป พ.ศ. 2551 อยางนอยรอยละ 30 และมลคาของตลาดซอฟตแวรภายในประเทศเตบโตเปนไมต ากวา 150,000 ลานบาท
การวจยพฒนา เพมการลงทนในการวจยดาน ICT ของภาครฐและเอกชนอยางนอยรอยละ 15 จากป พ.ศ. 2551 และ มเมองทเปนศนยกลางการพฒนา ICT ในระดบโลกในประเทศไทย
ตลาดและผประกอบการ ผประกอบการ ICT ไทยไดท าโครงการขนาดใหญของภาครฐเพมขน อยางนอยรอยละ 20 จากป พ.ศ. 2551 มลคาของตลาดดจทลคอนเทนต ในประเทศเตบโตเปนไมนอยกวา 165,000 ลานบาท ภายในป พ.ศ. 2556 โดยมสดสวนทผลตในประเทศไมนอยกวารอยละ 50
40
มาตรการสงเสรม Open Source
ตาม (ราง) แผนแมบทเทคโนโลยสารสนเทศและการสอสาร (ฉบบท 2) ของประเทศไทย
พ.ศ. 2552-2556
“สนบสนนใหเกดชมชนของผพฒนาในสาขาตาง ๆ อาท Open Source
Software/Embedded Software ทงนรวมถงการมกลไกสนบสนนให
บคลากรนกพฒนาของไทย สามารถเขารวมโครงการระดบโลก (International
Forum) ได เพอสรางใหเกดการวจยพฒนาตอยอดเทคโนโลย และท าใหเกดความ
เขมแขงของบคลากร ICT ไทย”
ค าตอบสดทายในการเลอก Open Source Software
• ลดการละเมดลขสทธ
• ลดภาระงบประมาณรายจายในการซอซอฟตแวรลขสทธ
• เพมทางเลอกของการใชซอฟตแวร
• พฒนาฝมอ ทกษะของโปรแกรมเมอรและผใชงาน
• มอสระในการก าหนดทศทางการพฒนาตอยอดซอฟตแวรใหม
42
นโยบายรฐบาลของประเทศตาง ๆ
• ฮองกง BSA ไดท างานรวมกบ Custom & Excise Department
และ the Intellectual Property Department ในการรณรงค
สงเสรมในการตรวจสอบซอฟตแวรทใชในองคการตาง ๆ ของภาครฐ ชวยใหการ
ละเมดลขสทธลดลง
• อนเดย มการผลกดนในการใช Broadband ในการตอเชอม PCs ควบคไป
กบการใหการศกษาและความพยายามในการบงคบใชซอฟตแวรลขสทธ ซงจะเปนการ
ชวยในการผลกดนซอฟตแวรทอนเดยไดพฒนาออกสตลาดซอฟตแวร
43
นโยบายรฐบาลของประเทศตาง ๆ (ตอ)
• ญป น ดวยการสนบสนนของ Ministry of Education, Culture,
Sports and Science & Technology โดยท BSA ไดรวมมอกบ
มหาวทยาลยจดท าโปรแกรมในการชวยสรางความตระหนกเกยวกบ Software
asset management เพอชวยผลกดนซอฟตแวรลขสทธ และสรางความ
ตระหนกในเรองลขสทธ
• มาเลเซย รฐบาลได...กบภาคธรกจทใชซอฟตแวรผดกฎหมาย และไดรณรงคใหม
การศกษารวมกบ BSA ในโครงการ “Sikap Tulen” เพอความพยายามในการ
เปลยนความคดของผบรโภคใหหนมาใชซอฟตแวรลขสทธ
44
หลกเกณฑการพจารณางบประมาณของหนวยงานภาครฐ ปงบประมาณ พ.ศ.
2552
หลกเกณฑและแนวทางการพจารณางบประมาณ ป 2552 การจดซอจด
จางระบบเทคโนโลยสารสนเทศและ การสอสารตามประเดนทเกยวของกบโปรแกรมส านกงาน
ส าเรจรป
....ขอ1.2 ชดโปรแกรมส านกงานส าเรจรป(Office Application)
ในการด าเนนการจดหาชดโปรแกรมส านกงานส าเรจรป ใหพจารณาจดหาซอฟทแวรลขสทธเพยงรอยละ 80 ของจ านวนทขอจดหา โดยในสวนทเหลอรอยละ 20 ใหหนวยงานใชซอฟทแวรรหสเปด (Open Source Software) เพอเปนการลดภาระงบประมาณรายจาย
ทมา : ส านกงบประมาณ
45
การจดตงศนยนโยบายความมนคงปลอดภยดานเทคโนโลยสารสนเทศ
(Thailand Policy and Analysis Center)
การฝกอบรมดานความมนคงปลอดภยของระบบเทคโนโลยสารสนเทศและ
การสอสาร (ICT Security) ส าหรบ CSO (Chief Security Officer)หรอ SO (Security Officer) ขององคกร
การประเมนความพรอมดานความมนคงปลอดภยระบบเทคโนโลยสารสนเทศ
และการสอสาร ของหนวยงานภาครฐ
นโยบายกระทรวงเทคโนโลยสารสนเทศและการสอสาร
ทเกยวของกบความปลอดภยสารสนเทศ
46
การพฒนาผเชยวชาญดาน ICT Security ของไทย เพอรองรบความ
ตองการของตลาดหนวยงานภาครฐ และเอกชน
การวจยและพฒนาระบบการเขารหสขอมลเพอเปนมาตรฐานของชาต
(National Cryptography Data Standard)ดาน
เทคโนโลยสารสนเทศและการสอสาร (ICT)
นโยบายกระทรวงเทคโนโลยสารสนเทศและการสอสาร
ทเกยวของกบความปลอดภยสารสนเทศ
47
ระบบความปลอดภยทางคอมพวเตอร
เพอพฒนาการเตบโตทางธรกจ
• จดท า กรอบนโยบาย แนวทางการด าเนนการ ในเรองการบรหารจดการ PKI แหงชาต (National Public Key Infrastructure Management)
• ด าเนนการก าหนดไวเปนสวนหนงของในแผนแมบท ICT Security แหงชาต
• ผลกดนกฎหมายก ากบดแล CA (Certificate Authority) : พระราชกฤษฎกาวาดวยการก ากบดแลธรกจบรการการใหบรการออกใบรบรอง
อเลกทรอนกส พ.ศ. .... เพอสรางความมนใจตอธรกจและประชาชนในการใชงานระบบ CA ใหเปนไปตามมาตรฐานสากล ทเปนทยอมรบส าหรบการท าธรกรรมทาง
อเลกทรอนกสในประเทศและตางประเทศ
ความมนคงปลอดภยดานสารสนเทศ
ผลพวงจากโลกาภวฒน อนท าใหการสอสารมอสระ ไร
พรมแดน รวดเรวมประสทธภาพและตนทนทต าลง ท าให
ผ ใชงานทวไปอย ในวสยทจะเขาถงขอมลและระบบสารสนเทศ
ไดอยางไมจ ากด ขณะเดยวกน กมผ ฉกฉวยโอกาสไดใช
ชองทางนหาประโยชนเขาตว หรอสรางความเสยหายใหกบ
ผ อนดวยเชนกน ดงนนจงตองมมาตรการในการบรหาร
จดการ รวมถงการปองกน เพอมใหเกดความเสยหายตอ
ระบบสารสนเทศขององคกร
ความมนคงปลอดภยดานสารสนเทศหมายถงอะไร?
• ความมนคงปลอดภย (Security) คอ สถานะทมความ
ปลอดภย ไมมอนตรายและไดรบการปองกนจากภยอนตราย
ทงทเกดขนโดยตงใจหรอบงเอญ เชนความมนคงปลอดภย
ของประเทศ จะเกดขนโดยกจ าเปนตองมระบบปองกนหลาย
ระดบ เพอปกปองผ น าประเทศ ทรพยสน ทรพยากร และ
ประชาชนของประเทศ
• ความมนคงปลอดภยของสารสนเทศ คอ การปองกนระบบ
สารสนเทศขององคกรและองคประกอบอนทเกยวของ
องคประกอบพนฐานของความปลอดภยของขอมล
องคประกอบพนฐานของความปลอดภยของขอมล หลก ๆ
แลวมอย 3 อยาง ซงใชตวยอ CIA มาจากค าวา
Confidentiality, Integrity และ
Availability
• Confidentiality (ความลบของขอมล)
• Integrity (ความคงสภาพของขอมล)
• Availability (ความพรอมใชงานของขอมล)
CIA Triad
To ensure that information and vital services are assessible for use when required
To ensure the accuracy and completeness of information to protect university business processes
To ensure protection against unauthorized access to or use of confidential information
transmission
การรกษาความลบของขอมล หมายถงการปกปองขอมล
โดยมเงอนไขวาขอมลนนใครมสทธทจะลวงร เขาถง และใช
งานได และการท าใหขอมลสามารถเขาถงหรอเปดเผยได
เฉพาะผ ทไดรบอนญาต
ตวอยางเชนขอมลอเมลในเมลบอกซของผ ใช ผ ทมสทธ
เขาถงเมลบอกซและเปดอานจดหมายไดจะตองเปนผ ใชทเปน
เจาของเมลบอกซนน
Confidentiality (ความลบของขอมล)
กลไกในการควบคมการรกษาความลบของขอมล
สามารถท าไดโดยการควบคมการเขาถงระบบ (Access
Control) เชนการลอกอนโดยใช username และ
password การปองกนการเขาถงเครองเซรฟเวอร และ
การปองกนการเขาถงขอมลโดยตรงเปนตน ในกรณ ท ม
การสงขอมลลบผานระบบเครอขายทสามารถดกจบและอาน
ขอมลได จะตองมการเขารหสขอมล (Cryptography
& Encryption) ตวอยางเชนเวบไซตอคอมเมรซทม
การรบสงขอมลระหวางบราวเซอรกบเวบเซรฟเวอรบน
ชองทาง SSL โดยใชโพรโทคอล https ซงมการเขารหส
ขอมลเปนตน
การรกษาความคงสภาพของขอมล (ความสมบรณของ
ขอม ล ) หมายถงการปกปองเ พอใหขอม ล ไมถ กแกไข
เปลยนแปลง หรอถกท าลายได ท าใหขอม ลนนมความ
นาเชอถอ (ความนาเชอถอวาขอมลนนไมไดถกแกไขหรอ
เปลยนแปลงจากแหลงเดมทมา และความนาเชอถอของ
แหลงทมา)
ตวอยางเชนผ ใช Somsri สงไฟล (file) ถง
thawatchai ไฟลนนจะตองไมถกแกไขหรอเปลยนแปลง
โดยบคคลอนในระหวางทางทสงมา เพอใหเชอไดวาไฟลไมถก
ปลอมแปลง รวมทงสามารถเชอไดวาเปนไฟลทสงโดย
somsri จรง ๆ
Integrity (ความคงสภาพของขอมล)
การรกษาความคงสภาพของขอมลสามารถท าไดหลาย
วธเชนการใช Checksum ตวอยางเชนการตรวจสอบ
ไฟลทดาวนโหลดจากเวบไซตวาตรงกบตนฉบบหรอไม
สามารถท าไดโดยตรวจสอบจากคา checksum เชน
การใช MD5 สวนการตรวจสอบการปลอมแปลงไฟลบน
Linux กสามารถตรวจสอบ checksum ไดโดยใช
โปรแกรมชอ Tripwire เปนตน ซงทงหมดนเปนการ
ประยกตใชการเขารหสขอมล (Cryptography &
Encryption)
ความพรอมใชงานของขอมล หมายถงขอมลจะตองมสภาพ
พรอม ใช ง านอย ตลอด เวลา ตวอย าง เชน เมล เ ซ รฟ เวอร
mail.msu.ac.th ทถกโจDoS Attack: Denial of
Service Attack เมอเมลเซรฟเวอรนลม และไมสามารถ
ใหบรการการ ผใชกไมสามารถทจะเขาไปเชคเมลได ตองรอจนกวา
ผดแลระบบจะท าการแกไขเพอใหระบบสามารถกลบมาใชงานได
เหมอนเดม แตถาหากระบบเมลน ออกแบบใหมระบบ Mail
Backup ทสามารถท างานไดแทนเมลเซรฟเวอรตวหลกไดทนท
หากเมลเซรฟเวอรตวหลกไมสามารถใหบรการได ผใชกจะสามารถ
เขาถงขอมลในเมลบอกซเพอเปดอานอเมลไดตลอดเวลา
Availability (ความพรอมใชงานของขอมล)
การปองกนเพอใหเกดความพรอมใชงานของขอมล มกจะตอง
ค านงถงเกยวกบ Load Balanzing, Fail Over,
Back Up, ระบบไฟฟาส ารอง การ Hardening เพอท าให
เครองแมขายและระบบเครอขายมความแขงแกรงและมความ
ทนทานตอการโจมตแบบ DoS
Authentication
Authentication คอการพสจนทราบตวตน เนองจากการ
ระบตวบคคลนนจะตองใชกระบวนการพสจนทราบตวตนเพอใหทราบวา
เปนบคคลผนนจรงหรอไม ตวอยางเชน การลอกอนเขาสเวบไซตระบบ
สมาชกซงจะตองใช username และ password เพอเปนการพสจนทราบวาเปนผใชคนนนจรง ๆ ซงการพสจนทราบตวตนกมอย
หลายวธเชนการใชสงตอไปน
- สงทคณร : เชนการใช username และ password
- สงทคณม: เชนการใชบตรประจ าตว
- สงทคณเปน: เชนการสแกนลายนวมอกอนผานเขาหองเซรฟเวอร
Authorization
Authorization คอการอนญาตใหเขาใชงานและระดบสทธ
ในการเขาถง กลาวคอหลงจากท ได มการการพสจนทราบตวตน
(Authentication) แลว เมอระบบไดท าการตรวจสอบทราบวา
ผใชนมอยจรง กจะมการใหสทธแกผใชนน ซงการใหสทธสามารถ
แบงเปนหลายระดบได ตวอยางเชนผใชทท าการลอกอนเขาสเวบไซต
หากเปนผใชระดบสงสดเชน admin จะสามารถท าการเปลยนแปลง/แกไขขอมลไดทงหมด หากเปนผใชทเปนสมาชกทวไปอาจจะแกไขขอมล
ไดบางสวนเชน สามารถตงกระทในเวบบอรดไดและแกไขกระททตนเอง
ตงได สวนผใชขาจรหรอ Guest จะสามารถเพยงแคอานขอมลไดแตไมสามารถเขยนขอความในเวบบอรดไดเปนตน
Non-repudiation
Non-repudiation คอการหามปฏเสธความรบผดชอบ
หมายถงวธการสอสารซงผสงขอมลไดรบหลกฐานวาไดมการสงขอมล
แลวและผรบกไดรบการยนยนวาผสงเปนใคร ดงนนทงผสงและผรบจะ
ไมสามารถปฏเสธไดวาไมมความเกยวของกบขอมลดงกลาวในภายหลง
ตวอยางเชนสมาชกในเวบบอรดทมการโพส ขอความวารายผอน ระบบ
ซงหมายถงเวบบอรดจะตองมการบนทกและแสดงชอผใช (ซงไดจากการ
พสจนทราบตวตนในขนตอนลอกอน) พรอมกบขอความทโพสเพอใช
ยนยนวาขอความดงกลาวถกโพสโดยบคคลผนนเพอท าใหบคคลผนนไม
สามารถปฏเสธความรบผดชอบ
ในระบบ E-commerce ทจะตองสรางความมนใจในการ
ท าธรกรรมอเลกทรอนกสแกลกคาและคคา กน าองคประกอบ
ขางตนมาใชเชนกน แตจะมการเลอกมาใชเพยงบางองคประกอบ
เทานนเชน
- ความลบของข อมล / การรกษาความลบ
(Confidentiality)
- การระบตวบคคล / การพสจนตวตน (Authentication)
- ความแทจรง / ความคงสภาพของขอมล (Integrity)
- การหามปฏเสธความรบผด (Non-repudiation)
Information Security Domains
1. Access Control
2. Application Security
3. Business Continuity and Disaster Recovery Planning
4. Cryptography
5. Information Security and Risk Management
6. Legal, Regulations, Compliance and Investigations
7. Operations Security
8. Physical (Environmental) Security
9. Security Architecture and Design
10. Telecommunications and Network Security
What is Security Awareness?
Security awareness is the knowledge, skill and attitude an individual possesses regarding the protection of information assets.
Being Security Aware means you understand that there is the potential for some people to deliberately or accidentally steal, damage, or misuse your account, computer or the data stored on your computer.
Awareness of the risks and available safeguards is the first line of defense for the security of information, systems and networks.
Security Awareness
Includes:
• Information about how to
Protect
Detect
React
• Knowledge, Skill and Attitude
The What
The How
The Why
• Culture Change
Include WIIFM What’s in it for me?
Data
Application
Host
Network Anti-Virus Anti-Spyware
Encrypted
Communication
Strong
Passwords
Session
Controls
Limit Use of
“Privileged”
Accounts
Physical
Security
OS and App
Patches
Defense in Depth
Account Access Controls
• Accounts
Limit use of Privileged Accounts
Session Controls
Password protected screensaver
Ctrl-Alt Delete (enter) or Windows L
Passwords
Strong
Not Shared
Storage
มาตรฐานทเกยวของ
• กระบวนการในการด าเนนการทจะท าใหระบบคอมพวเตอร
และเครอขายมความปลอดภย ไดก าหนดไวเปนมาตรฐาน
โดยหนวยงานทเกยวของ ซงมอย หลายมาตรฐานดวยกน
บางมาตรฐานถกดดแปลงมาจากมาตรฐานความปลอดภย
ทว ๆ ไป บางมาตรฐานถกดดแปลงมาจากมาตรฐานการ
ด าเนนธรกจ ซงผ ปฏบตสามารถทจะเลอกมาตรฐานทเหมาะ
กบหนวยงานของตนได และอาจท าการเพมในบางสวนหรอ
ยกเวนการปฏบตในบางสวนไดหากมเหตผล
74
มาตรฐาน และ
หนวยงานทเก ยวกบมาตรฐาน
Source: ทศทางการใชมาตรฐานดานไอท โดย โดยดร.พนธศกด ศรรชตพงษ http://www.nectec.or.th/
76
มาตรฐาน คออะไร • มาตรฐาน คอ ตวอยางของวตถซงสามารถน าสงอนมาวดเทยบได เชน ไม
เมตร หรอกอนน าหนกตวอยางททราบน าหนกทถกตอง
• มาตรฐาน ท าใหเกดความแนนอน ท าใหสงของท างานรวมกนได ท าใหวตถตางๆมคณสมบตทแนนอน ทงน ตองเกดจากการสรางขอก าหนด (specifications) ทสามารถน ามาสอบเทยบได
• ลกษณะการสรางมาตรฐาน
มาตรฐานโดยปรยาย (Defacto standard)
มาตรฐานทเปนทยอมรบกนท วไป
มาตรฐานทบงคบ โดยกฎระเบยบ
(Dejury standards)
มาตรฐานทมการประกาศใชบงคบ (หรอใชอางอง)
โดยหนวยงานก ากบดแลมาตรฐาน
77
ตวอยางมาตรฐานโดยปรยาย (Defacto standard)
• ในวงการ ICT ปจจบน ไดแก Windows, PDF, MS-Office, GSM, GIF ฯลฯ
• บางครง เปนไปตามผลตภณฑหนงใดทเดน หรอวธการบรการใด ทเปนทนยมใชเหมอนๆกนอยางแพรหลาย เชน
– จะซอผงซกฟอก พดวา ซอแฟบ
– ซอ Microsoft Windows ไดแถม Internet Explorerer และ Media Player
– จะสอนใหใช Word Processor พดวาสอน Word®TM
– คนไทยกวา 70% ใช google คนหาขอมลในอนเทอรเนต
– เมอน าเสนอดวยเครองคอมพวเตอร พดกนวา ฉนจะใช PowerPoint
– แฟมขอมลประเภท .DOC .PPT .XLS เปนแฟมขอมลทรจกกนทวไป
78
ตวอยางมาตรฐานทบงคบโดยกฎระเบยบ (Dejury standards)
สวนใหญ ท าขนเพอคมครองผบรโภค เชน • อปกรณไฟฟาในประเทศไทย ตองใชงานไดกบไฟทมแรงดน
220V AC 50 Hz • การเดนสายไฟฟาในอาคารทประเทศองกฤษ บงคบใหมการ
เดนสายดนเปนสายทสามส าหรบเตาเสยบไฟทกเตา • คอมพวเตอรทราชการไทยจดซอ ตองท างานกบรหสอกขระ
ไทย ตามมาตรฐาน มอก.620-2533 และมแปนพมพภาษาไทย ตรงตามมาตรฐาน มอก 820-2538
80
ตวอยางหนวยงานมาตรฐานสากล
ISO - International Organization for
Standardization จดไดวาเปนหนวยงานกลางทมความส าคญทสดในการจดท ามาตรฐานนานาชาต ส าหรบประเทศตางๆ ใชรวมกน
OASIS - Organization for the Advancement of Structured Information Standards ท าหนาทก าหนดมาตรฐาน โดยเนนมาตรฐานเกยวกบ e-Business ซงสวนใหญจะเปนมาตรฐานของ XML และ Web Services
CCITT - The International Telegraph and Telephone Consultative Committee ก าหนดมาตรฐานเฉพาะดานโทรคมนาคม เพราะเปนองคกรภายใต ITU (International Telecommunications Union) ของสหประชาชาต
ระดบนานาชาต ระดบภมภาค ECMA - European Computer Manufacturers
Association ท าหนาทพฒนามาตรฐานเฉพาะดาน ไดแก Information Communication Technology (ICT) และ Consumer Electronics (CE)
หนวยงานหลายชาต
IEEE - Institute of Electrical and Electronic Engineers ท าหนาทพฒนามาตรฐานเฉพาะดานโดยเนนเรองtelecommunications, information technology และ power generation
องคกรระดบชาต สมอ. - ส านกงานมาตรฐานผลตภณฑอตสาหกรรม
ของไทย ท าหนาทก าหนดมาตรฐานของประเทศ และเปนสมาชกของ ISO เพอท าหนาทรบรองมาตรฐานสากลของ ISO
ความรวมมอภาคเอกชน
OSF - Open Software Foundation มผประกอบการตางๆ หลายสบแหงเปนสมาชก รวมทงยกษใหญ IBM ,HP และ Digital กลม OSF มอทธพลส าคญตอการก าหนดมาตรฐานผลตภณฑแบบ'ระบบเปด
81
กระบวนการทวไปในการจดท ามาตรฐาน
Source: Interorganisational Standard, Physica-Verlag, A Springer Company
Development
Generate Compromise
Merge Split Block
Sabotage Switch
Quit
Specification
Competing Specification
Adopting
Adopt Switch Reject Wait
Standard
85
มาตรฐานการรกษาความปลอดภยตางๆ
ทเกยวกบระบบไอท
ทมา : http://www.thaicert.nectec.or.th
1. ขอก าหนด ในการจดท าระบบบรหารจดการความม นคงปลอดภย
[ISO/IEC 27001]
2. แนวทางปฏบต ในการบรหารจดการความม นคงปลอดภย
[ISO/IEC 13335]
3. เทคนคในการประเมน ระบบในเรองของความปลอดภย
[ISO/IEC 15408]
86
1. ขอก าหนดในการจดท า ISMS [ISO/IEC 27001]
Scope
Terms and Definitions
Structure of This Standard
Rick Assessment and Treatment
ISO/IEC27001 ISO/IEC17799-2005
ISMS: ระบบบรหารจดการความม นคงปลอดภย
วาดวยเรอง วธการปฏบต ทจะน าไปส ISMS โดยตองเปนไปตามขอก าหนดของ ISO/IEC27001 ซงมหวขอส าคญ ดงน
ทมา: http://www.thaicert.nectec.or.th/
87
2. แนวทางปฏบต ในการบรหารจดการความม นคงปลอดภย [ISO/IEC13335]
ทมา : http://www.thaicert.nectec.or.th/
1. มการวางโครงรางและแนวคดดาน Security ทงรปแบบสารสนเทศและเทคโนโลยทใชในการตดตอสอสาร
2. การน าไปปฏบตและบรหารจดการ ตองท าดวยวธการทเหมาะสม
3. ผจดท าระบบระบบไอท ตองจดการเทคนดส าหรบบรหารจดการดาน Security ให
4. ตองใหแนวทางปฏบตส าหรบการเลอกวธการรกษาความปลอดภย ซงพจารณาจากประเภทของระบบไอทนนๆ
5. ตองมระบบรกษาความปลอดภยดานเครอขาย กรณทระบบมการรสอสารผานเครอขาย
88
3. เทคนคในการประเมน ระบบในเรองของความปลอดภย [ISO/IEC 15408]
ทมา : http://www.thaicert.nectec.or.th/
เปนเกณฑกลางในการวดระดบความมนคงปลอดภยของระบบ
โดยไดพฒนามาจากมาตรฐานกลางตางๆ ของกลมความรวมมอ ISO/IEC JTC1
มาตรฐานทเกยวของ
• ISO / IEC270001
• ISO/IEC TR 13335
• ISO/IEC 15408:2005/Common Criteria/ ITSEC
• ITIL
• FIPS PUB 200
• NIST 800-14
• IT BPM
• COBIT
• COSO
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
ISO / IEC270001
• ISO / IEC270001 เปนมาตรฐานทมกจะถกน ามาใชเพอ
ยกระดบความปลอดภยใหกบระบบคอมพวเตอรและเครอขายมาก
ทสด
• ประเทศในแถบภมภาคเอเชยแปซฟกหลาย ๆ ประเทศ ไดแก
ประเทศสงคโปร ญปน ออสเตรเลย ไตหวน เกาหลใต มการ
รวมมอกนเพอพฒนาเปนแนวทางพฒนาเพอใหเกดความมนคง
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
ISO/IEC27001 ปจจบนเปนเวอรชน ISO / IEC27001:2005 หรอเรยกวา ISMS (Information Security Management System) เปนมาตรฐานการจดการขอมลทมไวเพอใหธรกจด าเนนไปอยางตอเนอง ขอก าหนดตาง ๆ ถกก าหนดขนโดยองคกรทมความนาเชอถอคอ ISO (The International Organization for Standardization) และ IEC (The International Electrotechnical Commission) การน า ISMS มาใช สามารถชวยใหกจกรรมทางธรกจด าเนนไปอยางตอเนองไมสะดด ชวยปองกนกระบวนการทางธรกจจากภยรายแรงเชนภยธรรมชาต และปองกนความเสยหายของระบบขอมลได ISMS สามารถน ามาใชงานไดครอบคลมทกกลมอตสาหกรรมและทกกลมธรกจ
ISO / IEC270001
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
หวขอส าคญในมาตรฐาน ISO/IEC27001:2005
ประกอบดวย 11 โดเมนหลกไดแก
1) นโยบายความมนคงขององคกร (Security Policy)
2) โครงสรางความมนคงปลอดภยในองคกร (Organization of information security)
3) การจดหมวดหมและการควบคมทรพยสนขององคกร (Asset Management)
4) มาตรฐานของบคลากรเพอสรางความมนคงปลอดภยใหกบองคกร (Human Resources Security)
5) ความมนคงทางดานกายภาพและสงแวดลอมขององคกร (Physical and Environmental Security)
ISO/IEC27001:2005
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
6) การบรหารจดการดานการสอสารและการด าเนนงานของระบบสารสนเทศขององคกร (Communications and Operations Management)
7) การควบคมการเขาถงระบบสารสนเทศขององคกร (Access Control)
8) การพฒนาและดแลระบบสารสนเทศ (Information Systems Acquisition, Development and Maintenance)
9) การบรหารจดการเหตการณละเมดความมนคงปลอดภย (Information Security Incident Management)
10) การบรหารความตอเนองในการด าเนนงานขององคกร (Business Continuity Management)
11) การปฏบตตามขอก าหนดทางดานกฏหมายและบทลงโทษของการละเมดนโยบาย (Compliance)
ISO/IEC27001:2005
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
Interested
Parties
Information
Security
Requirements
&
Expectations
PLAN Establish
ISMS
CHECK Monitor &
Review ISMS
ACT Maintain &
Improve
Management Responsibility
ISMS PROCESS
PDCA Process
Interested
Parties
Managed
Information
Security
DO Implement &
Operate the
ISMS
มาตรฐานนยอมาจาก Guidelines for the
Management of IT Security ซงถกอางองโดย ISO/IEC2007 ในเรองของการ จดท า technical report เพอระบภยคกคาม จดออนและชองโหวของระบบ รวมทงแนวทางของการประเมนความเสยงจนสามารถระบแนวทางการลดความเสยงนนได
ISO/IEC TR 13335
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
มาตรฐานนแบงเปน 5 หวขอหลกดงตอไปน 1. การบรหารจดการหนาทงานตาง ๆ ของความมนคงปลอดภยระบบเทคโนโลยสารสนเทศทไดรบการวางโครงรางไว การจดหาแนวคดดานความมนคงปลอดภยใหเปนไปตามโครงรางและรปแบบเทคโนโลยสารสนเทศทใชในการสอสาร
2. การน าไปปฏบตและบรหารจดการดานความมนคงปลอดภยตองไดท าดวยวธการทเหมาะสมทสด
3. เทคนคส าหรบการบรหารจดการดานความมนคงปลอดภยตองไดรบการจดการใหจากผจดท าระบบเทคโนโลยสารสนเทศ
4. ใหแนวทางการปฏบตส าหรบการเลอกวธการรกษาความมนคงปลอดภย โดยพจารณาจากประเภทของระบบ และค านงถงภยคกคามทจะเกดขนในอนาคต
5. ขอมลทอยบนระบบสารสนเทศหากมการสงผานทางระบบเครอขายจะตองมความมนคงปลอดภยในการจดสง รวมทงระบบเครอขายจะตองมความมนคงปลอดภยดวย
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
มาตรฐานนจดท าขนเพอใชเปนเกณฑกลางในการวดระดบความมนคงปลอดภยวาอยในระดบใด โดยมาตรฐานนเกดจากความรวมมอขององคกรตาง ๆ ซงสวนใหญแลวเปนประเทศในกลมประเทศยโรป ไดแกองคกร Communication Security Establishment จากประเทศแคนาดา องคกร Central Service of the Information จากประเทศฝรงเศส องคกร Federal Office for Security in Information Technology จากประเทศเยอรมน องคกร The Netherlands National Communications Security Agency จากประเทศเ น เ ธ อ ร แ ลนด อ งคก ร Communications-Electronics Security Group จากประเทศสหราชอาณาจกรองกฤษ และองคกร National Institute of Standards and Technology and National Security Agency จากประเทศสหรฐอเมรกา
ISO/IEC 15408:2005/Common Criteria/ ITSEC
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
ITIL ยอมาจาก Information
Technology Infrastructure Library เปนแนวทางปฏบตเรองเกยวกบโครงสรางพนฐานเทคโนโลยสารสนเทศ ไดรบการจดท าเผยแพรโดยหนวยงานรฐบาล CCTA ซงขณะนกลายเปนองคกร OGC แตกมไดประกาศบงคบวาทกองคกรทเกยวของจะตองปฏบตตาม ITIL
ITIL
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
ITIL ไดชอวาเปนแนวทางปฏบตทดเยยมในการบรหารจดการดาน IT Service ใหแกผบรโภค แนวทางปฏบตนเหมาะกบองคกรไมวาจะขนาดเลกหรอใหญ โดยเฉพาะอยางยงองคกรทเนนเรองของการบรการดาน IT Service เนอหาใน ITIL แบงเปน 8 เรอง ดงน
1) การบรหารจดการซอฟตแวรและทรพยสนขององคกร (Software
and Asset Management) 2) การสงมอบผลตภณฑหรอบรการทไดมาตรฐาน (Service Delivery) 3) คณภาพของการบรการหลงสงมอบ (Service Support) 4) การวางแผนส าหรบการบรหารจดการการใหบรการ (Planning to
Implement Service Management) 5) การบรหารจดการโครงสรางพนฐานดานไอซท (ICT Infrastructure
Management) 6) การบรหารจดการแอพพลเคชน (Application Management) 7) การบรหารจดการดานความมนคงปลอดภย (Security
Management) 8) มมมองทางธรกจ (Business Perspective, Volume II)
FIPS PUB 200 ยอมาจาก The Federal
Information Processing Standards Publication 200 กลาวถงเรองของขอก าหนดขนต าส าหรบความตองการดานความมนคงปลอดภย ซงเปนภาคบงคบขององคกรบรหารจดการสารสนเทศและระบบสารสนเทศกลางของประเทศสหรฐอเมรกาทกองคกรทเปนหนวยงานภาครฐจะตองปฏบตตามขอก าหนดดานความมนคงปลอดภยนเปนอยางนอย โดยมาตรฐานนจะมการระบประเภทของระบบสารสนเทศตาง ๆ และวธปฏบตทจ าเปนส าหรบควบคมเพอใหเกดความมนคงปลอดภยของสารสนเทศในระบบนนๆ
FIPS PUB 200
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
FIPS PUB 200 เปนมาตรฐานทไดรบการพมพเผยแพรจากองคกรกลาง FIPS ในประเทศสหรฐอเมรกา เนอหาโดยสรปของมาตรฐานน ไดแก
1) การระบขอก าหนดขนต าของระบบประมวลผลสารสนเทศขององคกรกลางในประเทศสหรฐอเมรกา
2) การจดท าขอก าหนดนเพอสนบสนนการพฒนา 3) การลงมอปฏบต 4) การด าเนนการ เพอสรางความมนคงปลอดภยระบบสารสนเทศ โดยหนวยงานสามารถคดเลอกเฉพาะสวนทเกยวของกบองคกรของตนมาปฏบตตามมาตรฐานนจงไดมการจดท าแนวทางในการคดเลอก และก าหนดมาตรการดานความมนคงปลอดภยทจ าเปนและเหมาะสมส าหรบระบบประมวลผลสารสนเทศของแตละหนวยงาน
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
NIST 800-14 ยอมาจาก National Institute of Standards and Technology 800-14 เปนมาตรฐานทไดรบการพมพเผยแพรจากสถาบนมาตรฐานเทคโนโลยสารสนเทศแหงชาตของสหรฐอเมรกา โดยใชชอหนงสอวา Generally Accepted Principles and Practices for Securing Information Technology Systems มาตรฐานนไดรบการจดท าและเผยแพรขนเพอเสรมสรางความมนคงปลอดภยใหแกระบบเทคโนโลยสารสนเทศขององคกรหรอหนวยงานตางๆ ในประเทศสหรฐอเมรกาใหมากทสด เพอเปนการปองกนภยคกคามดานอาชญากรรมคอมพวเตอรและการละเมดความมนคงปลอดภยขอมลสารสนเทศ โดยเฉพาะอยางยง สารสนเทศบนระบบโครงสรางพนฐานของประเทศ โดยเนอหาของ NIST 800-14 เปนกฎพนฐานดาน Computer Security จ านวน 8 ขอดงน
NIST 800-14
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
1) ในพนธกจขององคกรตองใหการสนบสนนเรองของความมนคงปลอดภยคอมพวเตอร
2) ในการบรหารจดการขององคกรตองผนวกเรองของความมนคงปลอดภยคอมพวเตอรไวเปนสาระส าคญดวย
3) ควรมการลงทนทเหมาะสมในเรองของความมนคงปลอดภยคอมพวเตอร
4) ผเปนเจาของระบบตองแสดงความรบผดชอบตอการรกษาความมนคงปลอดภยของระบบโดยตลอด
5) ความรบผดชอบและการดแลเอาใจใสในเรองของความมนคงปลอดภยคอมพวเตอรตองไดรบการด าเนนการอยางชดแจง
6) การรกษาความมนคงปลอดภยคอมพวเตอรตองการแนวทางทผสมผสานในวธปฏบต เชน การรกษา ความมนคงปลอดภยทางกายภาพ ทางดานฮารดแวร ซอฟตแวร และผใช เปนตน
7) ความมนคงปลอดภยคอมพวเตอรตองไดรบการปรบปรงใหดข นอยางตอเนองและสม าเสมอ
8) ปจจยแวดลอมสามารถสงผลตอการรกษาความมนคงปลอดภยคอมพวเตอรไดเสมอ
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
IT BPM ยอมาจาก Information Technology
Baseline Protection Manual เปนหนงสอคมอทแนะน าการรกษาความมนคงปลอดภยระบบอยางมมาตรฐาน แตอาจก าหนดไวเปนมาตรฐานขนต าคมอนพมพเผยแพรโดยสถาบนมาตรฐานแหงชาตองกฤษ BSI คมอนจะใหการแนะน าวาระบบทยกตวอยางน ควรมเกราะปองกน หรอวธการดานความมนคงปลอดภยอยางนอยตองด าเนนการอยางไรบาง ซงแตละองคกรอาจน าไปประยกตใชดวยวตถประสงคทแตกตางกนออกไป เนอหา IT BPM ประกอบดวย
IT BPM
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
1) ระบบตองมการบรหารจดการดานความมนคงปลอดภยตงแตขนการออกแบบ ประสานงาน และตดตามสถานะของความมนคงปลอดภยของระบบทเกยวกบหนาทงานนน
2) ระบบตองมการวเคราะหและจดท าเปนเอกสารเกยวกบโครงสรางทมอยของทรพยสนทเปนเทคโนโลยสารสนเทศในองคกร
3) ระบบตองไดรบการประเมนถงมาตรการและระบบบรหารจดการดานความมนคงปลอดภยเดมทไดจดท าไวแลวนน วามประสทธภาพเพยงพอและเหมาะสมแลวหรอยง
4) องคกรตางๆ สามารถน าโครงสรางของเครอขายทมความมนคงปลอดภย ซงไดออกแบบไว เหมาะสมแลวตามคมอนมาเปนแนวทางในการจดท าเครอขายขององคกร
5) ระบบตองไดรบการด าเนนการปรบปรงแกไขกรณทพบวามาตรการหรอแนวทางการรกษาความมนคงปลอดภยเหลานนไมเพยงพอ หรอมการด าเนนการบาอยางทยงไมรดกม เปนตน
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
กรอบวธปฏบต COBIT (Control Objetives for Information and related Technology) พฒนาขนโดย ISACA ใชส าหรบการพฒนาเพอใหระบบเทคโนโลยสารสนเทศมความเปน "ไอทภบาล" (IT Governace) เพอให ระบบเทคโนโลยสารสนเทศมประสทธภาพและมความคมทน COBIT ไดรบการใชแพรหลายในกลมธรกจดานการเงนและการธนาคาร เดมท COBIT ไดรบการเผยแพรในรปแบบของ "กระบวนการ" ดานเทคโนโลยสารสนเทศ ภายหลงไดมการเพมเตมแนวทางการปฏบตเพอ "การใหบรการ" ดานเทคโนโลยสารสนเทศทมประสทธภาพมากขน อยางไรกตามกรอบวธปฏบต COBIT มงเนนไปทการยกระดบ "ประสทธภาพ" ของระบบเทคโนโลยสารสนเทศมากกวาการมงเนนทางดานการ "รกษาความปลอดภย"
COBIT
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา
COSO ยอมาจาก The Committee of Sponsoring Organizations of the Treadway Commissoin เปนกรอบปฏบตทชวยสงเสรมใหการตรวจสอบกจการภายในองคกรมความเทยงตรงและโปรงใสโดยเฉพาะองครดานการเงน โดยเนนไปทการจดท างบการเงนเพอใหเกดความนาเชอถอ ความถกตอง เปนไปตามหลกความจรง จรยธรรมตอการตรวจสอบภายใน และประสทธภาพการรายงานตามสงทพบ เนอหาสวนใหญของ COSO มงเนนไปในดานของการจดท ารายงานงบการเงนและจรรยาบรรณในวชาชพผตรวจสอบ
COSO
Source: เอกสารประกอบการสอน อ.เดชสทธ พรรษา