© 2011 TISA All Rights Reserved

คร ัง้ที ่1/2554

"ความส าคัญของมาตรา 25 กับ National Critical Infrastructure"

โดย

อ.ไชยกร อภวัิฒโนกุล CISSP, CSSLP, GCFA, (IRCA:ISMS)

ประธานเจ้าหน้าที่บริหารบริษัท เอส เจเนอเรช่ัน จ ากัด

กรรมการสมาคมความมั่นคงปลอดภัยระบบสารสนเทศแห่งประเทศไทย

อนุกรรมการด้านความมั่นคง ภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

P R O - T AL K

© 2011 TISA All Rights Reserved

© 2011 TISA All Rights Reserved

Agenda

• เกีย่วกบัมาตรา 25

• ความสัมพนัธ์และล าดบัช้ันของกฎหมาย • สาระส าคัญ

• การประกาศใช้ • มาตรา 25 กบั ISO27001

• เกีย่วกบั National Critical Infrastructure

© 2011 TISA All Rights Reserved

พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544

© 2011 TISA All Rights Reserved

โครงสร้างของพระราชบัญญัตฯิ

© 2011 TISA All Rights Reserved

โครงสร้างของพระราชบัญญัตฯิ หมวดที่ 1

© 2011 TISA All Rights Reserved

โครงสร้างพืน้ฐานส าคญั Critical Infrastructure

ประกาศคณะกรรมการธุรกรรมทางอเิลก็ทรอนิกส์ เร่ือง แนวนโยบายและแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้าน

สารสนเทศของหน่วยงานของรัฐ พ.ศ. ๒๕๕๓

© 2011 TISA All Rights Reserved

มาตรา ๒๕ ธุรกรรมทางอเิล็กทรอนิกส์ใดที่ได้กระท าตามวิธีการแบบปลอดภยัที่ก าหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เช่ือถือได้

© 2011 TISA All Rights Reserved

โครงสร้างของพระราชบัญญัตฯิ หมวดที่ 1: มาตรา 25

© 2011 TISA All Rights Reserved

© 2011 TISA All Rights Reserved

พ.ร.ฎ. ว่าด้วยวธีิการแบบปลอดภัยฯ (มาตรา 25)

•พ.ร.ฎ. ฉบับนี ้(อ้างมาตรา 25 ใน พ.ร.บ.ธุรกรรมฯ) ประกาศในราชกจิจาฯ เมือ่วนัที่ 3 กนัยายน 2553 • มผีลบังคับใช้ใน 180 วนัหลงัประกาศ •พ.ร.ฎ. ให้มีการประเมนิหน่วยงานที่เป็น Critical Infra ว่าควรใช้วธีิการแบบปลอดภัยระดบัใด (คณะกรรมการธุรกรรมฯ ต้องออกประกาศเกณฑ์ ตามอออกมา) • วธีิการแบบปลอดภัยม ี3 ระดบั

• ระดบัเคร่งครัด • ระดบักลาง • ระดบัพืน้ฐาน

• ในแต่ละระดบัต้องมีหลกัเกณฑ์ อ้างองิ 11 หัวข้อตาม ISO27001

© 2011 TISA All Rights Reserved

นิยาม “โครงสร้างพืน้ฐานส าคัญของประเทศ”

มาตรา ๓ ...

... “โครสร้างพืน้ฐานส าคัญของประเทศ” (critical infrastructure) หมายความว่า บรรดาหน่วยงานหรือองค์กร หรือส่วนงานใดของหน่วยงานหรือองค์กร ซึ่งธุรกรรมทางอิเล็กทรอนิกส์ของหน่วยงานหรือองค์กร หรือส่วนงานของหน่วยงานหรือองค์กรนัน้ มีผลเกี่ยวเน่ืองส าคัญต่อความม่ันคงหรือความสงบเรียบร้อยของประเทศ หรือต่อสาธารณชน

© 2011 TISA All Rights Reserved

ระดับของวิธีการแบบปลอดภยั

มาตรา ๔ วิธีการแบบปลอดภยัมีสามระดบั ดงัต่อไปนี ้

(๑) ระดบัเคร่งครัด

(๒) ระดบักลาง

(๓) ระดบัพืน้ฐาน

© 2011 TISA All Rights Reserved

ยงัไม่มีประกาศออกมา ณ วนัที่ บรรยาย (30 เม.ย. 54)

หน่วยงานใดต้องท าระดบัใด ?

© 2011 TISA All Rights Reserved

11 Domain of ISO27001

(Appendix A)

© 2011 TISA All Rights Reserved

To claim conformity to ISO27001:2005

1.2 Application The requirements set out in this International

Standard are generic and are intended to be applicable to all organizations, regardless of type, size and nature. Excluding any of the requirements specified in Clauses 4,5, 6, 7, and 8 is not acceptable when an organization claims conformity to this International Standard.

© 2011 TISA All Rights Reserved

Heart of the Standards is Here!

4 Information security management system 4.1 General requirements

4.2 Establishing and managing the ISMS

4.3 Documentation requirements

5 Management responsibility

5.1 Management commitment

5.2 Resource management

6 Internal ISMS audits

7 Management review of the ISMS

7.1 General

7.2 Review input

7.3 Review output

8 ISMS improvement

8.1 Continual improvement

8.2 Corrective action

8.3 Preventive action

© 2011 TISA All Rights Reserved

P-D-C-A Model

© 2011 TISA All Rights Reserved

Copyright © 2011 TISA and its respective author (Thailand Information Security Association)

Please contact : info@tisa.or.th

http://www.TISA.or.th