Thursday, October 30

หลักเกณฑ์การเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน

เพื่อประโยชน์ต่อเจ้าหน้าที่พนักงาน และตำรวจในการตรวจสอบการเก็บบันทึกข้อมูลจราจรในองค์กร เพื่อใช้ในงานสืบสวนสอบสวนหาผู้กระทำความผิด จึงควรมีแบบตรวจสอบ (Checklist) สำหรับผู้รับผิดชอบดูแลให้มีการเตรียมความพร้อมโดยแบ่งขั้นตอนดังนี้
1. ออกนโยบายมาตราฐานการเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน
1. 1 ข้อมูลจราจรทางคอมพิวเตอร์ควรมีการยืนยันความถูกต้องของข้อมูลที่จัดเก็บบันทึก โดยใช้เทคโนโลยี MD5, SHA-1 หรือการทำ Checksum เพื่อตรวจค่าความถูกต้องของข้อมูลที่จัดเก็บ หรือมีนโยบายการจัดเก็บแบ่งอำนาจหน้าที่การเข้าถึงข้อมูลจราจรที่ได้ถูกเก็บบันทึกไว้ โดยมีผู้บริหารของหน่วยงานเป็นผู้กำหนดและแบ่งบทความหน้าที่ผู้รับผิดชอบเพื่อรักษาข้อมูลจราจรของหน่วยงานไว้
1.2 การจัดเก็บบันทึกข้อมูลจราจร เพื่อต้องการระบุถึงการใช้งานและเก็บเป็นหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำความผิด ข้อมูลจราจรที่เก็บบันทึก อย่างน้อยควร ระบุ Source IP, Destination IP หรือ ชื่อเครื่องคอมพิวเตอร์ ได้เป็นอย่างน้อย รวมถึงลักษณะการใช้งานเช่น การใช้งาน Web, Mail, Chat การ Upload / Download, การแชร์ไฟล์ รวมถึงการใช้ VoIP, P2P เป็นต้น เนื่องจากการใช้งานลักษณะดังกล่าวมีความเสี่ยงภัยที่อาจจะมีผู้ใดผู้หนึ่งในหน่วยงาน กระทำความผิดจากการใช้การสื่อสารดังกล่าว
1.3 การจัดเก็บบันทึกข้อมูลจราจร เพื่อความสะดวกแก่เจ้าหน้าที่พนักงานและเจ้าหน้าที่ตำรวจ ควรมีการแบ่งการเก็บตาม File ตามกฏเกณฑ์การเก็บบันทึกข้อมูลจราจรที่ทางกระทรวงได้กำหนดให้ รวมถึงสร้างความสะดวกแก่เจ้าหน้าที่พนักงานในการสืบสวนสอบสวนได้อีกทางหนึ่ง

2. ขั้นตอนการปฏิบัติงานสำหรับหน่วยงานในการจัดหาระบบจัดเก็บข้อมูลจราจร
2.1 มีการประกาศให้พนักงานในหน่วยงานได้รับทราบถึงพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้รับทราบว่าจะเริ่มมีผลบังคับใช้ในวันที่ 24 สิงหาคม 2551
2.2 พนักงานในหน่วยงานได้มีการเข้าฝึกอบรมเพื่อสร้างความตระหนักในการใช้ของสารสนเทศให้ปลอดภัย และลดความเสี่ยงจากการใช้งานระบบสารสนเทศในองค์กร
2.3 ในหน่วยงานมีการแบ่งบทบาทหน้าที่ในการเก็บบันทึกข้อมูลจราจรโดยกำหนดบุคคลที่ทำการรักษาสิทธิในการเก็บบันทึกข้อมูลจราจร (Data Custodies) โดยมอบหมายจากผู้บริหาร (Data Owner) ของหน่วยงานนั้นและสามารถยืนยันรายชื่อผู้เก็บรักษาการบันทึกข้อมูลจราจรในหน่วยงาน
2.4 มีการจัดเก็บบันทึกข้อมูลจราจรที่ยอมรับได้ว่าไม่สามารถแก้ไขเปลี่ยนแปลงได้โดยง่ายและมีวิธีการตรวจสอบความถูกต้องของการจัดเก็บบันทึกข้อมูลจราจร (Integrity Check)
2.5 หน่วยงานมีการจัดทำนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลตามเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.6 หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.7 หน่วยงานมีระบบป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการใช้งานอินเตอร์เน็ตและระบบสารสนเทศภายในองค์กร เช่น Firewall, Anti virus, Anti Spam และป้องกันการโจรกรรมทางอิเล็คทรอนิกส์ เป็นต้น
2.8 หน่วยงานมีระบบเฝ้าระวังภัยคุกคามและเก็บบันทึกข้อมูลจราจรที่เกิดจากการใช้อินเตอร์เน็ตตาม Protocol ที่สำคัญดังนี้ HTTP, SMTP, POP3, IMAP, Telnet, FTP เป็นอย่างน้อย ที่เป็นกิจกรรมสำคัญในองค์กรที่ควรเก็บบันทึกค่าไว้เพื่อใช้ในการเก็บบันทึกข้อมูลจราจรภายในหน่วยงาน
2.9 หน่วยงานมีระบบคลังเก็บข้อมูล (Inventory) เพื่อระบุเครื่องที่ใช้งานอินเตอร์เน็ตหรือระบบสารสนเทศในองค์กร เช่น การระบุ IP Address, MAC Address, เป็นอย� >9Z O3,vyvf0��อย ที่สามารถยืนยันได้ว่ามีการใช้งานระบบ
2.10 หน่วยงานมีการตั้งค่า Time Server ที่มีมาตราฐานสากล
2.11 หน่วยงานมีการจัดเตรียมแผนฉุกเฉินเมื่อเกิดปัญหาในการจัดเก็บข้อมูลและค่าควบคุม (Configure) ด้านความมั่นคงปลอดภัยข้อมูลบนอุปกรณ์ที่สำคัญต่อการใช้งานระบบสารสนเทศ
2.12 หน่วยงานมีการควบคุมการเข้าถึงระบบจากทางไกล (Remote Access) เช่น ข้อมูลต้องเข้ารหัส และรหัสผ่านต้องยากแก่การเดา

จากนั้นเราก็นำมาทำเป็นตรารางเพื่อใช้ตรวจสอบ (checklist) โดยคำนึงถึง คน กระบวนการและเทคโนโลยีให้สอดคล้องกัน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: