CCA Preparation for Organization

1,350 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,350
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • CCA Preparation for Organization

    1. 1. พ . ร . บ . ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ . ศ . ๒๕๕๐ Computer Crime Act B.E. 2550 (2007) “ บุคคล​จะ​แก้ตัวว่า​ไม่​รู้กฎหมาย​ ​เพื่อ​ให้​พ้น​จาก​ความ​รับผิดทางอาญา​ไม่​ได้ ...... ”  ประมวลกฎหมายอาญา​   มาตรา​ ๖๔ โดย ไชยกร อภิวัฒโนกุล , CISSP, IRCA:ISMS Chief Security Officer , PTT ICT Solutions Co., Ltd. Disclaimer: เนื้อหาที่แสดงในเอกสารนี้เป็นเพียงตัวอย่างแนวคิดและการดำเนินงานเท่านั้น ไม่สามารถนำไปใช้อ้างอิงเป็นความถูกผิดทางกฎหมายได้ กรุณาปรึกษาที่ปรึกษาทางกฎหมายหรือพนักงานเจ้าหน้าที่ที่เกี่ยวข้องเพื่อความถูกต้องและอ้างอิงได้ ผู้บรรยายและบริษัทจะไม่รับผิดชอบใดๆจากความเสียหายที่เกิดขึ้นจากการนำเอาข้อความหรือแนวทางที่ปรากฏอยู่ในเอกสารนี้ไปปรับใช้ทั้งสิ้น รูปภาพและเนื้อหาบางส่วนได้นำมาจากเอกสารเผยแพร่ของหน่วยงานที่ไม่แสวงกำไรและมีวัตถุประสงค์เพื่อการถ่ายทอดความรู้เท่านั้น ทั้งนี้ผู้บรรยายไม่ขออ้างสิทธิ์ครอบครองใดๆ ในรูปภาพและเนื้อหาเหล่านั้น
    2. 2. PTT ICT Solutions Company Limited
    3. 3. Agenda <ul><li>การเตรียมความพร้อมทางเทคนิค </li></ul><ul><ul><li>สำรวจ / ประเมิน </li></ul></ul><ul><ul><li>ปรับปรุง </li></ul></ul><ul><li>การเตรียมความพร้อมด้านบริหาร </li></ul><ul><ul><li>จัดเตรียมองค์กร </li></ul></ul><ul><ul><li>จัดเตรียมกระบวนการ </li></ul></ul>
    4. 4. พ . ร . บ . ว่าด้วยการกระทำความผิด เกี่ยวกับคอมพิวเตอร์ พ . ศ . ๒๕๕๐ <ul><li>ประกาศเมื่อวันที่ 18 มิถุนายน 2550 </li></ul><ul><li>เริ่มมีผลบังคับใช้ 18 กรกฎาคม 2550 </li></ul><ul><li>กำหนดฐานความผิด อำนาจพนักงานเจ้าหน้าที่ และหน้าที่ ผู้ให้บริการ </li></ul><ul><li>ทุกบริษัทต้อง เก็บ Log ของระบบตามข้อกำหนดไม่น้อยกว่า 90 วัน ( ปรับ 5 แสน ) </li></ul><ul><li>ผ่อนผันให้เริ่มเก็บ Log ตั้งแต่ 23 สิงหาคม 2551 </li></ul><ul><li>แต่ละบริษัทต้องแต่งตั้งมอบหมายหน้าที่ </li></ul><ul><ul><li>ผู้ประสานงาน </li></ul></ul><ul><ul><li>ผู้มีสิทธิเข้าถึง Log </li></ul></ul><ul><li>18 ก . ค . 50 - PTT ICT แต่งตั้ง Computer Crime Coordination Committee </li></ul><ul><li>PTT ICT สื่อความและให้คำแนะนำบริษัทในกลุ่มเพื่อดำเนินการเตรียมพร้อมและจัดตั้งคณะกรรมการประสานงาน ประกอบด้วย OCIO+Legal+PR ของบริษัทนั้นๆ </li></ul>
    5. 5. <ul><li>การสื่อความต่อพนักงาน </li></ul><ul><li>ระดับบริหาร </li></ul><ul><ul><li>นำเสนอเป็นสาระเพื่อทราบในที่ประชุม RMC, Board และ Management Meeting อื่นๆ </li></ul></ul><ul><li>ระดับปฏิบัติการ และพนักงานทั่วไป </li></ul><ul><ul><li>สื่อความผ่าน email Intranet และ Poster </li></ul></ul><ul><ul><li>งาน PTT Security Awareness Day 2007 ( และ 2008) </li></ul></ul><ul><ul><li>Internal Security Awareness Training Course </li></ul></ul><ul><ul><ul><li>รู้เฟื่องเรื่อง พ . ร . บ . ( Computer Crime ) </li></ul></ul></ul><ul><ul><ul><li>ใช้ ICT อย่างปลอดภัย </li></ul></ul></ul>พ . ร . บ . ว่าด้วยการกระทำความผิด เกี่ยวกับคอมพิวเตอร์ พ . ศ . ๒๕๕๐
    6. 6. Agenda <ul><li>การเตรียมความพร้อมทางเทคนิค </li></ul><ul><ul><li>สำรวจ / ประเมิน </li></ul></ul><ul><ul><li>ปรับปรุง </li></ul></ul><ul><li>การเตรียมความพร้อมด้านบริหาร </li></ul><ul><ul><li>จัดเตรียมองค์กร </li></ul></ul><ul><ul><li>จัดเตรียมกระบวนการ </li></ul></ul>
    7. 7. การเตรียมการทางเทคนิค <ul><li>Highlight </li></ul><ul><ul><li>มาตรา ๒๖ ผู้ให้บริการต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ไว้ไม่น้อยกว่าเก้าสิบวัน ... ไม่ปฏิบัติตามมาตรานี้ ต้องระวางโทษปรับไม่เกินห้าแสนบาท </li></ul></ul><ul><ul><ul><li>ประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ . ศ . ๒๕๕๐ </li></ul></ul></ul><ul><ul><ul><ul><li>เก็บอะไร ที่ไหน เมื่อไหร่ อย่างไร ใครเป็นผู้ดูแลและประสาน </li></ul></ul></ul></ul>
    8. 8. การเตรียมการทางเทคนิค <ul><li>ประเมิน - ระบุจุดเชื่อมต่อ และจุดเข้าออกระบบเครือข่าย </li></ul>Outbound Traffic
    9. 9. Inbound Traffic การเตรียมการทางเทคนิค
    10. 10. <ul><li>ประเมินความสามารถในการจัดเก็บ Log ตามข้อกำหนด เพื่อให้เป็นไปตามวัตถุประสงค์ ( มาตรา ๒๖ :… ผู้ให้บริการจะต้องเก็บรักษาข้อมูลของผู้ใช้บริการ เท่าที่จำเป็นเพื่อให้สามารถระบุตัวผู้ใช้บริการ ... ) </li></ul><ul><ul><li>เก็บที่ Server แต่ละตัว ( น้ำหนักหลักฐานอ่อน ) </li></ul></ul><ul><ul><li>เก็บแบบ Centralize  SOC (SIEM) </li></ul></ul><ul><ul><li>พื้นที่จัดเก็บเพียงพอถึง 90 วันหรือไม่ </li></ul></ul><ul><ul><li>แผนสำหรับการจัดเก็บกรณีพิเศษ หากพนักงานเจ้าหน้าที่สั่งให้ต้องเก็บ 1 ปี ( เฉพาะกรณี ) </li></ul></ul><ul><ul><li>ระบุความสัมพันธ์ของ Log เพื่อระบุตัวบุคคล ในกรณีที่ไม่สามารถระบุได้จาก Log ของตัวเอง </li></ul></ul>การเตรียมการทางเทคนิค 23 สิงหาคม 2551 Deadline!!!
    11. 11. การเตรียมการทางเทคนิค 23 สิงหาคม 2551 Deadline!!!
    12. 12. การเตรียมการทางเทคนิค 23 สิงหาคม 2551 Deadline!!! Must Have (Common) Entries 1. Log ของ web proxy ทุกตัวของ 5 บริษัท ส่งมาที่ SOC 2. Log ของ web proxy ดังกล่าวมีข้อมูล credential หรือบอกได้ว่าแต่ละ session เป็นของ user คนใด 3. Log ของ email server ของทั้ง 5 บริษัท ส่งมาที่ SOC 4. Log ของ Corporate Internet web server ทุกตัว ส่งมาที่ SOC [OS <security+system event> +IIS] 5. Access log ของ VPN และ RADIUS ของทั้ง 5 บริษัท
    13. 13. <ul><li>ปรับปรุงมาตรการและสถาปัตยกรรมของเครือข่ายหากจำเป็น </li></ul><ul><ul><li>User ต้อง login ก่อนเข้าใช้งานระบบ </li></ul></ul><ul><ul><li>User ต้อง login ก่อนออก Internet </li></ul></ul><ul><ul><li>DHCP, NAT, Proxy and etc. </li></ul></ul><ul><li>จัดทำมาตรการด้านความปลอดภัยในการเก็บรักษาข้อมูล Log </li></ul><ul><ul><li>Integrity </li></ul></ul><ul><ul><li>Identification and Authentication </li></ul></ul><ul><ul><li>Confidentiality with access control (authorization) </li></ul></ul>การเตรียมการทางเทคนิค
    14. 14. <ul><ul><li>เก็บ Log ( พ . ร . บ .) </li></ul></ul><ul><ul><li>รวมศูนย์ </li></ul></ul><ul><ul><li>Analysis </li></ul></ul>การเตรียมการทางเทคนิค
    15. 15. Log Consolidate
    16. 16. Correlation Engines
    17. 17. Real-Time Monitoring
    18. 18. <ul><li>จัดทำมาตรฐานและบังคับใช้ เรื่องการตั้งค่าเวลาของเครื่องคอมพิวเตอร์ </li></ul><ul><ul><li>Sync จากข้างนอก </li></ul></ul><ul><ul><li>ตั้ง NTP Server </li></ul></ul>การเตรียมการทางเทคนิค
    19. 19. Time <ul><li>1 วินาที = ? </li></ul><ul><li>= 1/(24x60x60) ของ 1 วัน </li></ul><ul><li> Astronomical Definition ( until 1956) </li></ul><ul><li>แต่ 1 วันยาวไม่เท่ากัน ??? </li></ul><ul><li>ทำให้ 1 วินาทียาวไม่เท่ากันตามคำนิยามแบบนี้ </li></ul>
    20. 20. Time <ul><li>[Since 1967] </li></ul><ul><li>Astronomical Definition  Atomic Definition </li></ul><ul><li>1 Second (SI Unit) = ? </li></ul><ul><li>Resolution No. 1of The 13th CGPM: The second is the duration of 9 192 631 770 periods of the radiation corresponding to the transition between the two hyperfine levels of the ground state of the caesium-133atom . </li></ul><ul><li>http://www.bipm.org </li></ul><ul><li>1 วัน = 24x60x60 = 86400 วินาที  WRONG!! </li></ul><ul><li>=86400+[Leap Seconds]  Correct!! </li></ul>ที่มาของ Atomic Clock หรือ Caesium Atomic Clock
    21. 21. เรื่องของเวลาในระบบคอมพิวเตอร์ <ul><li>เอกสารอ้างอิง : http :// www . bipm . org / en / scientific / tai / tai . html </li></ul>การคำนวณหาค่า International Atomic Time (TAI) >250 Caesium Atomic Clock จากสถาบันมาตรฐานแห่งชาติมากกว่า 50 ประเทศทั่วโลก ส่งค่าไปร่วมคำนวณ TAI ที่ BIPM ใน Paris NIMT  yes NECTEC  no Navy  no (until 2007) NIST NIMT
    22. 22. Caesiums  TAI  UTC <ul><li>TAI = International Atomic Time </li></ul><ul><li>UTC=TAI ± Leap Second (since 1972) </li></ul><ul><li>UTC – TAI = -33 sec. (since 1 Jan. 2006) </li></ul>
    23. 23. Time <ul><li>เวลามาตรฐานประเทศไทย </li></ul><ul><li>โดยกรมอุทกศาสตร์ กองทัพเรือ CS-133 ตั้งแต่ 2515 </li></ul><ul><li>( ไม่ได้ร่วมคำนวณ TAI กับ BIPM เพิ่งทำ MOU กับ NIMT ปี 2550 เพื่อส่งค่าไปร่วมคำนวณที่ Paris) http://www.navy.mi.th/hydro/time/ </li></ul><ul><li>โดยสถาบันมาตรวิทยา (NIMT) CS-133 </li></ul><ul><li>( พ ​ . ​ ร ​ . ​ บ ​ . ​ พัฒนาระบบมาตรวิทยา​แห่งชาติ​ ​พ ​ . ​ ศ ​ . 2540 ) </li></ul><ul><li>http://www.nimt.or.th </li></ul>
    24. 24. Thailand Stratum-1 NTP Servers Institute Stratum-1 (NTP Server) Stratum-0 (Clock Device) NIMT time1.nimt.or.th [CS-133] Royal Thai Navy time.navy.mi.th [CS-133] NECTEC clock.nectec.or.th [GPS] ThaiCERT clock.thaicert.org [GPS]
    25. 25. Computer Time Synchronization Scheme time.pttgrp.com DC(PTT,EP,TOP,AR,CH) Client
    26. 26. Agenda <ul><li>การเตรียมความพร้อมทางเทคนิค </li></ul><ul><ul><li>สำรวจ / ประเมิน </li></ul></ul><ul><ul><li>ปรับปรุง </li></ul></ul><ul><li>การเตรียมความพร้อมด้านบริหาร </li></ul><ul><ul><li>จัดเตรียมองค์กร </li></ul></ul><ul><ul><li>จัดเตรียมกระบวนการ </li></ul></ul>
    27. 27. <ul><li>Who: โครงสร้าง คำสั่ง หน้าที่ การประสานงาน </li></ul><ul><ul><li>ภายใน </li></ul></ul><ul><ul><li>ภายนอก </li></ul></ul><ul><li>How: กระบวนการ </li></ul><ul><li>Competency </li></ul>การเตรียมการทางบริหาร
    28. 28. การพิจารณาจัดตั้งและดำเนินการ Computer Crime Coordination Organization <ul><li>ประเด็นในการพิจารณา </li></ul><ul><ul><li>Speed </li></ul></ul><ul><ul><ul><li>Pre-defined Org + Adequate Competency </li></ul></ul></ul><ul><ul><ul><li>Pre-defined Process </li></ul></ul></ul><ul><ul><li>Competency </li></ul></ul><ul><ul><ul><li>To close the gap between technical and legal issue </li></ul></ul></ul><ul><ul><ul><li>To mind human right and employee right and discipline </li></ul></ul></ul><ul><ul><li>Impact </li></ul></ul><ul><ul><ul><li>แพ่ง / อาญา / ลิขสิทธิ์ / เศรษฐกิจ / เยาวชน / สิทธิมนุษยชน / ระหว่างประเทศ </li></ul></ul></ul><ul><ul><ul><li>Group/Company  LG </li></ul></ul></ul><ul><ul><ul><li>Image/Reputation  PR </li></ul></ul></ul><ul><ul><ul><li>Management Executives </li></ul></ul></ul><ul><ul><ul><li>Employees  HR </li></ul></ul></ul>
    29. 29. ประโยชน์ในการจัดตั้งคณะกรรมการฯ <ul><li>Clear Role & Responsibility มีการมอบหมายภาระหน้าที่รับผิดชอบที่ชัดเจน </li></ul><ul><li>Clear Direction & Methodology มีแนวทางและวิธีดำเนินการที่ชัดเจน และเป็นทิศทางเดียวกันทั้ง Group </li></ul><ul><li>Structured Collaboration มีแนวทางในการประสานงานที่ชัดเจน </li></ul><ul><li>Maintain Competency and Readiness to Respond มีการบริหารจัดการองค์ความรู้ที่จำเป็นให้ ครบถ้วน เพื่อความพร้อมในการดำเนินการอย่างทันท่วงที </li></ul>
    30. 30. Baseline of Competency <ul><li>PTT Group Computer Crime Handling Policy & Direction </li></ul><ul><li>Related Legislations </li></ul><ul><li>Type of Computer Crimes </li></ul><ul><li>Law Enforcement Decision Matrix </li></ul><ul><li>Evidence Chain of Custody </li></ul><ul><li>Computer Crime Response Procedure </li></ul>
    31. 31. PTT Group Computer Crime Bureau of Advisory Legal Security Expert/CSO PR HR OICO+ICT PTT PTTEP PTTCH PTTAR TOP Committee รกญ . RMC
    32. 32. PTT Group Computer-Crime Coordinative Organization <ul><li>PTT ICT's CSO </li></ul><ul><li>PTT's Legal </li></ul><ul><li>PTT's PR </li></ul><ul><li>PTT's HR </li></ul>Computer-Crime Bureau of Advisory <ul><li>Computer-Crime </li></ul><ul><li>Coordination Committee </li></ul><ul><ul><li>OCIO, Legal, PR, HR </li></ul></ul><ul><li>Computer-Crime </li></ul><ul><li>Coordination Committee </li></ul><ul><ul><li>OCIO, Legal, PR, HR </li></ul></ul><ul><li>Computer-Crime </li></ul><ul><li>Coordination Committee </li></ul><ul><ul><li>CSO, PR, HR </li></ul></ul>Computer-Crime Coordinator OCIO <ul><li>Computer-Crime </li></ul><ul><li>Coordination Committee </li></ul><ul><ul><li>OCIO, Legal, PR, HR </li></ul></ul><ul><li>Computer-Crime </li></ul><ul><li>Coordination Committee </li></ul><ul><ul><li>OCIO, Legal, PR, HR </li></ul></ul>พนักงาน เจ้าหน้าที่ ของรัฐ ประสานงานหรือขอข้อมูลไปยัง แต่ละบริษัท โดยตรง ตามอำนาจที่ได้ให้ไว้ใน พ . ร . บ .
    33. 33. Accessing to Security Log Computer-Crime Coordinator Authorized Access ICT Security Log Manager ICT Security Log Analyst Security Log Subsidiary Company PTT Group Risk Management Committee SOC S ecurity O peration C enter CSIRT C omputer S ecurity I ncident R esponse T eam    Required by Computer Crime Act 2007
    34. 34. Security Log Access Chain of Authority Company Assign Senior Officer by - Company order or - Job description Security Operators or MSSP Assign/ Transfer by - Memo/MOU or - Service Agreement (attachment) Request for authority Access Access MSSP= M anaged S ecurity S ervice P rovider <ul><li>Access Required for </li></ul><ul><li>Analysis </li></ul><ul><li>Security Monitoring </li></ul><ul><li>Back up/Archiving </li></ul>Security Log
    35. 35. Security Log Access Chain of Authority Company X Assign IT Dept. Manager or Internal Audit and etc. by - Company order or - Job description by - Memo/MOU or - Service Agreement (attachment) Access <ul><li>Access Required for </li></ul><ul><li>Analysis </li></ul><ul><li>Security Monitoring </li></ul><ul><li>Back up/Archiving </li></ul>MSSP Assign SOC Access Security Log
    36. 36. Contact Decision Matrix
    37. 37. <ul><li>Computer Crime Response Process </li></ul><ul><li>Phase 1: Information Gathering (Checklist) </li></ul><ul><li>Phase 2: Incident Assessment </li></ul><ul><li>Phase 3: Law Enforcement Response </li></ul>
    38. 38. <ul><li>คำถาม ? </li></ul>
    39. 39. <ul><li>Thank You </li></ul>

    ×