ความมั่นคงของเทคโนโลยีสารสนเทศ
⭐ จริยธรรมในการใช้เทคโนโลยีสารสนเทศ ⭐
⭐ ภัยคุกคามของระบบสารสนเทศ ⭐
⭐ พระราชบัญญัติว่าด้วยการกระทำ ความผิดเกี่ยวกับคอมพิวเตอร์ ⭐
⭐ เครื่องมือสำหรับรักษา ความปลอดภัยของระบบสารสนเทศ ⭐
มีทั้งหมด 21 มาตรา แต่มี 6 มาตราที่เราควรรู้ ดังนี้
จริยธรรมเกี่ยวกับโปรแกรมคอมพิวเตอร์
จริยธรรมเกี่ยวกับการใช้เทคโนโลยีสารสนเทศ
โปรแกรมป้องกันและกําจัดไวรัสคอมพิวเตอร์ (software antivirus)
การพิสูจน์ตัวจริง (authentication)
ไฟร์วอลล์ (firewall)
⭐ ความหมายของ ความมั่นคงปลอดภัยของสารสนเทศ ⭐
การป้องกันข้อมูลสารสนเทศของตนเอง และข้อมูลสารสนเทศของหน่วยงานต่างๆ ไม่ให้ได้รับความเสียหายที่เกิดจากการเปลี่ยนแปลงแก้ไขจากบุคคลโดยไม่ได้รับอนุญาต การขโมย การขัดขวางและการทําลายระบบเทคโนโลยีสารสนเทศของหน่วยงานต่างๆ ด้วยการกําหนดนโยบายและขั้นตอน การปฏิบัติงานสําหรับรักษาความปลอดภัยข้อมูลสารสนเทศ
⭐ การกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ⭐
การกระทําความผิดเกี่ยวกับคอมพิวเตอร์ในปัจจุบันเกิดขึ้นหลายรูปแบบทําให้ผู้ที่ ตก เป็นเหยื่อจะได้รับความเสียหายแตกต่างกันไป จึงขอยกตัวอย่างการกระทําความผิด เกี่ยวกับคอมพิวเตอร์ที่มักจะเกิดขึ้นบ่อย
อีเซิร์ต (The european computer security incident response team: eCSIRT) ได้แบ่งภัยคุกคามด้านเทคโนโลยีสารสนเทศและการสื่อสารออกเป็น 8 ประเภท ดังนี้
โปรแกรมไม่พึงประสงค์
ความพยายามรวบรวมข้อมูลของระบบ
เนื้อหาที่ไม่เหมาะสมเป็นภัยคุกคามที่เกิดจากการเผยแพร่
วอร์ม (worm)
ม้าโทรจัน (trojan horse)
สปายแวร์ (spyware)
ไวรัสคอมพิวเตอร์ (Computer virus)
ความพยายามจะบุกรุกเข้าระบบ
การบุกรุกหรือเจาะระบบได้สําเร็จ
การโจมตีสภาพความพร้อมใช้งานของระบบ
การหลอกลวงเพื่อผลประโยชน์
การเข้าถึงโดยไม่ได้รับอนุญาต
⭐ การจัดการความมั่นคงของระบบสารสนเทศ ⭐
ความเป็นส่วนตัว (privacy)
การรับรองว่าเจ้าของสิทธิ์ ซึ่งอาจเป็นบุคคล
กลุ่มงาน หรือองค์กรต้องเป็นผู้ตัดสินใจว่าข้อมูลข่าวสารของตนเองนั้นจะถูก เปิดเผยต่อบุคคลอื่น เมื่อใด อย่างไร และมีขอบเขตมากน้อยเพียงใด
สิทธิส่วนบุคคลทางด้านสารสนเทศ (Information privacy)
การส่งจดหมายขยะ
การใช้เทคโนโลยีในการติดตามความเคลื่อนไหวหรือ
พฤติกรรมของบุคคลต่างๆ
การส่งข่าวขยะ
สิทธิส่วนบุคคลทางด้านกายภาพ (physical privacy)
หมายเลขบัตรเครดิต
หมายเลขบัตรประจําตัวประชาชน
ความลับ (confidentiality)
การรับรองว่าหน่วยงาน องค์กร หรือเว็บไซต์ของผู้ให้บริการต่างๆ จะดําเนินการเก็บรักษาข้อมูลไว้เป็นความลับ โดยการเข้าถึงข้อมูล สามารถทําได้เฉพาะผู้มีสิทธิเท่านั้น
การจัดแบ่งลําดับชั้นความลับของข้อมูล
ข้อมูลทั่วไป
ข้อมูลลับมากที่สุด
ข้อมูลลับ
ข้อมูลลับมาก
การพิสูจน์สิทธิ (authenticity)
การรับรองว่าผู้ที่มีสิทธิจะสามารถเข้าไปใช้
ข้อมูลของระบบสารสนเทศด้วยวิธีการพิสูจน์และยืนยันความเป็นบุคคลพร้อมกับ สิทธิที่บุคคลนั้นได้รับ
บูรณภาพ (integrity)
การรับรองว่าข้อมูลที่จัดเก็บในระบบฐานข้อมูลจะไม่ถูก
กระทําการใดๆ อันมีผลให้เกิดการเปลี่ยนแปลง ผิดปกติ หรือเสียหายจากผู้ที่ไม่มี สิทธิ ไม่ว่าผู้กระทําจะมีเจตนาหรือไม่ก็ตาม
ความถูกต้องแม่นยํา (accuracy)
การรับรองว่าระบบสารสนเทศขององค์กรจะไม่มีความผิดพลาดในประมวลผล และแสดงผลลัพธ์ในรูปแบบที่ตรงกับความคาดหวังของผู้ใช้เสมอ
ความพร้อมใช้ (availability)
การรับรองได้ว่าข้อมูล หรือระบบเทคโนโลยี
สารสนเทศพร้อมที่จะให้บริการแก่ผู้ใช้ทุกเวลาที่ต้องการใช้งาน
การสำรองข้อมูล
การพิสูจน์ตัวจริงของผู้ใช้งาน (user authentication)
การพิสูจน์ตัวจริงของข้อความ (message authentication)
การยืนยันตัวตนจากสิ่งที่ตนมีอยู่หรือ ชีวมิติ (biometric factor)
การยืนยันตัวตนจากสิ่งที่ตนรู้ (knowledge factor)
การยืนยันตัวตนจากสิ่งที่ตนมีอยู่ (possession factor)
การใช้ลายเซ็นดิจิทัล (digital signature)
บัตรแม่เหล็ก (magnetic card)
บัตรสมาร์ตการ์ด (smart card)
บัตรเครดิต (credit card)
รหัสผ่าน (password) :
รหัสประจําตัว (PIN)
ชีวมิติทางสรีรวิทยา (physiological biometrics)
ชีวมิติเชิงพฤติกรรม (behavioral biometrics)
การสแกนลายพิมพ์นิ้วมือ (fingerprint scan)
การรู้จําใบหน้า (face recognition)
ลายเซ็น (handwritten signature)
การรู้จําจากการพูด (speech recognition)
เป็นการสร้างสําเนาของชุดข้อมูลปัจจุบันไว้ในหน่วย
เก็บรองต่างๆ เพื่อป้องกันการสูญหาย
ตรวจสอบ ติดตามแพ็กเก็ตที่จะเข้าและออกจากระบบ
หรือป้องกันผู้บุกรุกบนอินเทอร์เน็ต
ป้องกัน ตรวจสอบไวรัสคอมพิวเตอร์ที่ฝังตัวอยู่ในหน่วยความจํา หรือหน่วยเก็บรองของ เครื่องคอมพิวเตอร์
ความถูกต้องเกี่ยวกับการใช้เทคโนโลยีสารสนเทศ
ความเป็นส่วนตัวของเจ้าของสิทธิ
ทําธุรกิจผ่านเว็บไซต์ เพื่อรวบรวมข้อมูลไปขาย
ใช้โปรแกรมสเนปเปอร์ (sniffer) เป็นโปรแกรมดักอ่านข้อมูลที่วิ่งอยู่บน
เส้นทางการจราจรระบบเครือข่าย
เข้าไปอ่านจดหมายอิเล็กทรอนิกส์ของผู้อื่นโดยไม่ได้รับอนุญาต
ความเป็นเจ้าของกรรมสิทธิ์ในการถือครองทรัพย์สิน
ความลับทางการค้า
การเข้าถึงข้อมูลโดยวิธีการกําหนดสิทธิ และระดับสิทธิของผู้ใช้
ลิขสิทธิ์
สิทธิบัตร
การละเมิดสิทธิ
การปลอมแปลงโปรแกรมคอมพิวเตอร์
การสําเนาโปรแกรมคอมพิวเตอร์จากเพื่อน
การซื้อโปรแกรมคอมพิวเตอร์ที่สําเนามาจากผู้อื่น
มาตรา 8
มาตรา 9
มาตรา 7
มาตรา 10
มาตรา 5
มาตรา 4
เข้าถึงระบบ/ ข้อมูลด้านความมั่นคงโดยมิชอบ
จําหน่ายหรือเผยแพร่ชุดคําสั่งเพื่อนําไปใช้กระทําความผิด
นําข้อมูลที่ผิด พรบ. เข้าสู่คอมพิวเตอร์
เข้าถึงระบบหรือข้อมูลคอมพิวเตอร์
ส่งข้อมูลหรืออีเมลก่อกวนผู้อื่น
ส่งโดยปกปิดหรือปลอมแปลงแหล่งที่มา
ส่งโดยไม่เปิดโอกาสให้ปฏิเสธการตอบรับได้โดยง่าย
บทลงโทษ: ปรับไม่เกิน 1 แสนบาท
บทลงโทษ: จําคุกไม่เกิน 2 ปี/ ปรับไม่เกิน 4 หมื่นบาท/ ทั้งจําทั้งปรับ
ล่วงรู้มาตรการการป้องกันการเข้าถึงระบบคอมพิวเตอร์และนําไปเปิดเผย
click to edit
กรณีไม่เกิดความเสียหาย
จําคุก 1-7 ปี และปรับ 2 หมื่น-1.4 แสนบาท
กรณีเป็นเหตุให้ผู้อื่นถึงแก่ความตาย
จําคุก 5-20 ปี และปรับ 1 แสน – 4 แสนบาท
กรณีเกิดความเสียหาย
จําคุก 1-10 ปี และปรับ 2 หมื่น – 2 แสนบาท
กรณีทําเพื่อเป็นเครื่องมือในการ กระทําความผิดทางคอมพิวเตอร์
บทลงโทษ: จําคุกไม่เกิน 2 ปี/ ปรับไม่เกิน 4 หมื่นบาท/ ทั้งจําทั้งปรับ หากมีผู้นําไปใช้กระทําความผิดผู้จําหน่าย/ เผยแพร่ต้องรับผิดชอบด้วย (ทุกกรณี)
บทลงโทษ: จําคุกไม่เกิน 1 ปี/ปรับไม่เกิน 2 หมื่นบาท/ ทั้งจําทั้งปรับ หากมีผู้นําไปใช้กระทําความผิด ผู้จําหน่าย/เผยแพร่ต้องรับผิดชอบทางอาญาด้วย (เมื่อมีส่วนรู้เห็น)
เผยแพร่/ ส่งต่อข้อมูลต่าง ๆโดยรู้อยู่แล้วว่าผิด
เข้าถึงระบบ/ข้อมูล ของผู้อื่นโดยมิชอบ
เข้าถึงข้อมูลคอมพิวเตอร์
ล่วงรู้มาตรการป้องกันการเข้าถึงระบบคอมพิวเตอร์และนําไปเปิดเผย
เข้าถึงระบบคอมพิวเตอร์
ดักรับข้อมูลคอมพิวเตอร์
กรณีการกระทํานั้นส่งผลถึงประชาชน
จําคุกไม่เกิน 5 ปี/ ปรับไม่เกิน 1 แสนบาท/ ทั้งจําทั้งปรับ
กรณีการกระทํานั้นส่งผลต่อบุคคลใดบุคคลหนึ่ง
จําคุกไม่เกิน 3 ปี/ ปรับไม่เกิน 6 หมื่นบาท/ ทั้งจําทั้งปรับ (ยอมความได้)
บทลงโทษ: จําคุกไม่เกิน 6 เดือน/ ปรับไม่เกิน 1 หมื่นบาท/ ทั้งจําทั้งปรับ
บทลงโทษ: จําคุกไม่เกิน 2 ปี/ ปรับไม่เกิน 4 หมื่นบาท/ ทั้งจําทั้งปรับ
บทลงโทษ: จําคุกไม่เกิน 1 ปี/ ปรับไม่เกิน 2 หมื่นบาท/ ทั้งจําทั้งปรับ
บทลงโทษ: จําคุกไม่เกิน 2 ปี/ ปรับไม่เกิน 4 หมื่นบาท/ ทั้งจําทั้งปรับ
ให้ความร่วมมือ ยินยอม รู้เห็นเป็นใจ
ผู้ให้บริการที่ให้ความร่วมมือ ยินยอม รู้เห็นเป็นใจให้มีการกระทำความผิดตามมาตรา 8 ต่อระบบคอมพิวเตอร์ของตน
หากผู้ให้บริการพิสูจน์ได้ว่าตนได้ปฏิบัติตามขั้นตอนการแจ้งเตือนแล้วไม่ต้องรับโทษ
ผู้ให้บริการมีหน้าที่เก็บข้อมูลการใช้งานไว้ไม่น้อยกว่า 90 วัน กรณีจําเป็น ศาลอาจสั่งให้เก็บเพิ่มได้ไม่เกิน 2 ปี
บทลงโทษ: ต้องระวางโทษเช่นเดียวกับผู้กระทําผิดมาตรา 8
ตัดต่อ เติม ดัดแปลงภาพ
แก้ไข/ ดัดแปลง/ ทําให้ข้อมูลเสียหาย
ตัดต่อ เติม ดัดแปลงภาพ ผู้อื่น/ ผู้ตาย นําเข้าสู่ระบบคอมพิวเตอร์ที่ประชาชนทั่วไปเข้าถึงได้
ศาลอาจสั่งให้ทําลายข้อมูล/ เผยแพร่คําพิพากษา/ ดําเนินการอื่นเพื่อบรรเทาความเสียหายที่เกิดการกระทํา
ผู้ที่ครอบครองข้อมูลคอมพิวเตอร์ที่ศาลสั่งให้ทําลาย แต่ไม่ทําลายตามคําสั่งต้องรับโทษกึ่งหนึ่ง
ทําให้เสียชื่อเสียง ถูกดูหมิ่น
ทําให้ถูกเกลียดชัง ได้รับความอับอาย
ทําให้เสียหาย ทําลาย แก้ไข เปลี่ยนแปลง เพิ่มเติม ข้อมูลของผู้อื่นโดยมิชอบ
ทําให้ระบบคอมพิวเตอร์ของผู้อื่นไม่สามารถทํางานได้ตามปกติ
ถ้าเป็นเหตุก่อให้เกิดอันตรายแก่บุคคลอื่น
จําคุกไม่เกิน 10 ปี และปรับ 2 แสนบาท
ถ้าเป็นเหตุให้บุคคลอื่นถึงแก่ความตาย
จําคุก 5 – 20 ปี และปรับ 1 แสน – 2 แสนบาท
กรณีเป็นการกระทําต่อระบบหรือข้อมูลคอมพิวเตอร์
จําคุกไม่เกิน 3 – 15 ป และปรับ 6 หมื่น – 3 แสนบาท
บทลงโทษ: จําคุกไม่เกิน 3 ปี และปรับไม่เกิน 2 แสนบาท
บทลงโทษ: จําคุกไม่เกิน 5 ปี/ ปรับไม่เกิน 1 แสนบาท/ ทั้งจําทั้งปรับ
การกระทําโพสต์ข้อมูลปลอม หรือข้อมูลเท็จ
การกระทําผิดของกลุ่มโซเชียลเน็ตเวิร์ค
การหมิ่นประมาททางอินเทอร์เน็ต
การกระทําผิดของผู้ดูแลเว็บไซต์
การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล
การกําหนดนโยบายรักษาความมั่นคงปลอดภัย
เป็นการแสดงเปาหมายที่จะต้องปกปอง ระบบสารสนเทศและขั้นตอนทั่วไปของกระบวนการรักษาความมั่นคง ปลอดภัย
เป็นการตรวจสอบ ควบคุมและ
ตูแลอุปกรณ์ที่ใช้จัดเก็บข้อมูลให้มีความปลอดภัยจากบุคคลที่ไม่ได้รับอนุญาต
003 Kirati Sittirak
