บทนำ
เอกสารนี้จัดทำขึ้นเพื่อเผยแพร่และให้ความรู้แก่องค์กรต่างๆ ที่ต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดของกฎหมาย เพื่อให้การจัดเก็บนั้นทำได้อย่างถูกต้องครบถ้วน ประหยัดค่าใช้จ่าย และมีประสิทธิภาพ เนื้อหาของเอกสารนี้มีรากฐานมาจากการตีความกฎหมายและการทำงานจริงของที่ปรึกษาของเอซีอินโฟเทค กรณีที่เกิดข้อโต้แย้งหรือความไม่แน่ใจ องค์กรควรยึดถือข้อกฎหมายเป็นหลัก
แนวปฏิบัติและการตีความ
ข้อ 1 ชื่อของประกาศ
ข้อ 2 วันบังคับใช้
ข้อ 3 รัฐมนตรีรักษาการ
ข้อ 4 คำจำกัดความ
“ผู้ให้บริการ” หมายความว่า
(1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันได้โดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น
(2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น
“ข้อมูลจราจรคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์
“ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ที่เชื่อมการทำงานเข้าด้วยกันโดยได้มีการกำหนด คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
“ผู้ใช้บริการ” หมายความว่า ผู้ใช้บริการของผู้ให้บริการไม่ว่าต้องเสียค่าใช้บริการหรือไม่ก็ตาม
ข้อ 5 ภายใต้ข้อบังคับของมาตรา 26 แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประเภทของผู้ให้บริการซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์แบ่งได้ ดังนี้
ข้อ 6 ข้อมูลจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการต้องเก็บรักษา (ให้ดูจากภาคผนวก ข.)
ข้อ 7 กำหนดรายละเอียดของข้อมูลจราจรคอมพิวเตอร์ที่ต้องจัดเก็บแยกตามประเภทของผู้ให้บริการ (ให้ดูจากภาคผนวก ข.)
ข้อ 8 การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไปนี้
(1) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้
: ระบบที่เกี่ยวข้องMedia ที่ใช้ในการจัดเก็บ Log ตาม พรบ.? สิ่งที่ต้องดำเนินการเพิ่มเติม
¥ ข้อควรระวัง
|
(2) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น เว้นแต่ ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กร กำหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor)หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้
: ระบบที่เกี่ยวข้องทุกระบบที่ต้องจัดเก็บ Log ตาม พรบ.? สิ่งที่ต้องดำเนินการเพิ่มเติม
¥ ข้อควรระวังฺ ผู้ที่เข้าถึง Log ได้ไม่ควรเป็นบุคคลเดียวกันกับผู้ดูแลระบบที่ถูกกำหนดให้จัดเก็บ Log ตาม พรบ. |
(3) จัดให้มีผู้ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้ง ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 เพื่อให้การส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว
: ระบบที่เกี่ยวข้องทุกระบบที่ต้องจัดเก็บ Log ตาม พรบ.? สิ่งที่ต้องดำเนินการเพิ่มเติม
จัดทำเอกสารแต่งตั้งผู้ประสานงาน ¥ ข้อควรระวัง ผู้ที่เข้าถึง Log ได้ไม่ควรเป็นบุคคลเดียวกันกับผู้ดูแลระบบที่ถูกกำหนดให้จัดเก็บ Log ตาม พรบ. |
(4) ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้ (Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222 หรือ Wi-Fi Hotspot ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง
: ระบบที่เกี่ยวข้องปกติองค์กรต่างๆ มักใช้งานระบบ Proxy หรือ NAT เพื่อซ่อน Private IP Address และเพื่อเพิ่มประสิทธิภาพในการเรียกดูหน้าเว็บไซต์ต่างๆ โดย Server ที่เกี่ยวข้องก็คือ Gateway Serverเช่น Squid หรือ ISA? สิ่งที่ต้องดำเนินการเพิ่มเติม
ทำ Authentication เพื่อให้ผู้ใช้งานทุกคนต้อง Log on เข้าสู่ระบบ และจัดเก็บ Log ไว้ที่ตัวเครื่องและ Forward Log ไปที่ Log Server |
(5) ในกรณีที่ผู้ให้บริการประเภทหนึ่งประเภทใด ได้ให้บริการในนามตนเอง แต่บริการดังกล่าวเป็นบริการที่ใช้ระบบของผู้ให้บริการซึ่งเป็นบุคคลที่สาม เป็นเหตุให้ผู้ให้บริการไม่สามารถรู้ได้ว่า ผู้ใช้บริการที่เข้ามาในระบบนั้นเป็นใคร ผู้ให้บริการเช่นว่านั้นต้องดำเนินการให้มีวิธีระบุและยืนยันตัวบุคคล (Identification and Authentication) ของผู้ใช้บริการผ่านบริการของตนเองด้วย
: ระบบที่เกี่ยวข้องระบบบริการที่เกี่ยวข้องกับผู้ให้บริการมากกว่า 1 รายขึ้นไป เช่น ระบบ Web/File Hosting ที่ให้บริการในประเทศไทย แต่ Server อยู่ในต่างประเทศ หรือระบบงานขององค์กรที่มีสาขาหรือบริษัทแม่อยู่ในต่างประเทศแล้วให้บริการแก่บริษัทลูกหรือลูกค้าที่อยู่ในประเทศไทย? สิ่งที่ต้องดำเนินการเพิ่มเติม
จัดทำระบบลงทะเบียนหรือระบบสมาชิก เพื่อให้สามาถระบุตัวผู้ใช้บริการได้ |
ข้อ 9 เพื่อให้ข้อมูลจราจรมีความถูกต้องและนำมาใช้ประโยชน์ได้จริงผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน 10 มิลลิวินาที
: ระบบที่เกี่ยวข้อง
? สิ่งที่ต้องดำเนินการเพิ่มเติม จัดทำ Time Server เพื่อใช้ในการเทียบเวลากับเวลาอ้างอิงสากล (Stratum 0) แล้วทำหน้าที่เป็นเครื่องให้บริการเทียบเวลาแก่อุปกรณ์ภายในองค์กรอีกทอดหนึ่ง สำหรับองค์กรที่มีเครื่อง Client จำนวนมาก อาจใช้งานระบบ Directory Service (เช่น Microsoft Active Directory) ทำการเทียบเวลากับ Time Server แล้วจึงจ่ายเวลาที่ถูกต้องให้แก่เครื่องClient ¥ ข้อควรระวัง
|
รายการ Time Server ที่น่าเชื่อถือและเป็นไปตามข้อกำหนดของ พรบ.
- time1.nimt.or.th (Stratum-1)
- time2.nimt.or.th (Stratum-1)
- time3.nimt.or.th (Stratum-1)
- time.navy.mi.th (Stratum-1)
- clock.nectec.or.th (Stratum-1)
- time.nist.gov (Stratum-1)
รายละเอียดเพิ่มเติมสำหรับการทำ Time Synchronization สามารถดูได้ที่เว็บไซต์ www.nimt.or.th
หรืออ่านข้อมูลเพิ่มเติมได้ที่ www.thaicert.org/paper/basic/time_server.pdf
ข้อ 10 กำหนดการเริ่มเก็บข้อมูลจราจรทางคอมพิวเตอร์ แยกตามประเภทของผู้ให้บริการ
ขณะนี้ครบกำหนดการเริ่มเก็บข้อมูลจราจรคอมพิวเตอร์แล้ว (23 สิงหาคม 2551) ผู้ให้บริการทุกประเภทต้องเก็บข้อมูลให้ถูกต้องตามพรบ. ในทันที!!!