บทนำ

เอกสารนี้จัดทำขึ้นเพื่อเผยแพร่และให้ความรู้แก่องค์กรต่างๆ ที่ต้องจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ตามข้อกำหนดของกฎหมาย เพื่อให้การจัดเก็บนั้นทำได้อย่างถูกต้องครบถ้วน ประหยัดค่าใช้จ่าย และมีประสิทธิภาพ เนื้อหาของเอกสารนี้มีรากฐานมาจากการตีความกฎหมายและการทำงานจริงของที่ปรึกษาของเอซีอินโฟเทค กรณีที่เกิดข้อโต้แย้งหรือความไม่แน่ใจ องค์กรควรยึดถือข้อกฎหมายเป็นหลัก

แนวปฏิบัติและการตีความ

ข้อ 1 ชื่อของประกาศ

ข้อ 2 วันบังคับใช้

ข้อ 3 รัฐมนตรีรักษาการ

ข้อ 4 คำจำกัดความ

“ผู้ให้บริการ” หมายความว่า

          (1) ผู้ให้บริการแก่บุคคลอื่นในการเข้าสู่อินเทอร์เน็ต หรือให้สามารถติดต่อถึงกันได้โดยประการอื่น โดยผ่านทางระบบคอมพิวเตอร์ ทั้งนี้ ไม่ว่าจะเป็นการให้บริการในนามของตนเองหรือเพื่อประโยชน์ของบุคคลอื่น

          (2) ผู้ให้บริการเก็บรักษาข้อมูลคอมพิวเตอร์เพื่อประโยชน์ของบุคคลอื่น

“ข้อมูลจราจรคอมพิวเตอร์” หมายความว่า ข้อมูลเกี่ยวกับการติดต่อสื่อสารของระบบคอมพิวเตอร์ ซึ่งแสดงถึงแหล่งกำเนิด ต้นทาง ปลายทาง เส้นทาง เวลา วันที่ ปริมาณ ระยะเวลา ชนิดของบริการ หรืออื่นๆ ที่เกี่ยวข้องกับการติดต่อสื่อสารของระบบคอมพิวเตอร์

“ระบบคอมพิวเตอร์” หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ที่เชื่อมการทำงานเข้าด้วยกันโดยได้มีการกำหนด คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ

“ผู้ใช้บริการ” หมายความว่า ผู้ใช้บริการของผู้ให้บริการไม่ว่าต้องเสียค่าใช้บริการหรือไม่ก็ตาม

ข้อ 5 ภายใต้ข้อบังคับของมาตรา 26 แห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ประเภทของผู้ให้บริการซึ่งมีหน้าที่ต้องเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์แบ่งได้ ดังนี้

IT Traffic

ข้อ 6 ข้อมูลจราจรทางคอมพิวเตอร์ที่ผู้ให้บริการต้องเก็บรักษา (ให้ดูจากภาคผนวก ข.)

ข้อ 7 กำหนดรายละเอียดของข้อมูลจราจรคอมพิวเตอร์ที่ต้องจัดเก็บแยกตามประเภทของผู้ให้บริการ (ให้ดูจากภาคผนวก ข.)

ข้อ 8 การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ผู้ให้บริการต้องใช้วิธีการที่มั่นคงปลอดภัย ดังต่อไปนี้

          (1) เก็บในสื่อ (Media) ที่สามารถรักษาความครบถ้วนถูกต้องแท้จริง (Integrity) และระบุตัวบุคคล (Identification) ที่เข้าถึงสื่อดังกล่าวได้

ระบบที่เกี่ยวข้องMedia ที่ใช้ในการจัดเก็บ Log ตาม พรบ.สิ่งที่ต้องดำเนินการเพิ่มเติม

  • จัดเก็บ Log ใน Media ที่เชื่อถือได้
  • กำหนดตัวบุคคลที่เข้าถึง Media ได้
  • จัดทำเอกสาร Chain of custody กรณีที่การเปลี่ยนถ่ายผู้ถือครอง Media

¥ ข้อควรระวัง

  • Media ในที่นี้หมายรวมถึง Disk ของ Log Server ด้วย
  • ผู้ที่เข้าถึง Log ได้ไม่ควรเป็นบุคคลเดียวกันกับผู้ดูแลระบบที่ถูกกำหนดให้จัดเก็บ Log ตาม พรบ.

          (2) มีระบบการเก็บรักษาความลับของข้อมูลที่จัดเก็บ และกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือทำ Data Hashing เป็นต้น เว้นแต่ ผู้มีหน้าที่เกี่ยวข้องที่เจ้าของหรือผู้บริหารองค์กร กำหนดให้สามารถเข้าถึงข้อมูลดังกล่าวได้ เช่น ผู้ตรวจสอบระบบสารสนเทศขององค์กร (IT Auditor)หรือบุคคลที่องค์กรมอบหมาย เป็นต้น รวมทั้งพนักงานเจ้าหน้าที่ตามพระราชบัญญัตินี้

ระบบที่เกี่ยวข้องทุกระบบที่ต้องจัดเก็บ Log ตาม พรบ.สิ่งที่ต้องดำเนินการเพิ่มเติม

  • กำหนดตัวผู้ถือรหัสผ่านของ Log Server เช่น ให้ IT Auditor / Internal Auditor เป็นผู้ถือรหัสผ่าน
  • ทำการบีบอัด (Compress) Log หรือทำ Data Archiving (Optional)
  • ทำการเข้ารหัส (Encrypt) Log ด้วย Algorithm แบบ AES โดยใช้ key length ระหว่าง512 ถึง 1024 bits
  • จัดเก็บ Signature ของ Log ด้วยการทำ Data Hashing เช่น ใช้ Algorithm MD5 หรือSHA-1
  • Backup Log ที่เข้ารหัสแล้วลง Tape หรือ Media อื่นๆ พร้อมทั้งไฟล์ Signature
  • ทำการ Backup Key Pair ที่ใช้ในการเข้ารหัส (Public Key & Private Key)
  • ทำการ Clear Log เก่าที่เลยกำหนดระยะเวลาการจัดเก็บแล้ว (เลย 90 วัน หรือ 1 ปี) ด้วยการตั้งค่าในระบบ เขียน Script หรือ ทำ Log Rotation

¥ ข้อควรระวัง

ผู้ที่เข้าถึง Log ได้ไม่ควรเป็นบุคคลเดียวกันกับผู้ดูแลระบบที่ถูกกำหนดให้จัดเก็บ Log ตาม พรบ.

          (3) จัดให้มีผู้ประสานงานและให้ข้อมูลกับพนักงานเจ้าหน้าที่ซึ่งได้รับการแต่งตั้ง ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 เพื่อให้การส่งมอบข้อมูลนั้น เป็นไปด้วยความรวดเร็ว

ระบบที่เกี่ยวข้องทุกระบบที่ต้องจัดเก็บ Log ตาม พรบ.สิ่งที่ต้องดำเนินการเพิ่มเติม

จัดทำเอกสารแต่งตั้งผู้ประสานงาน

¥ ข้อควรระวัง

ผู้ที่เข้าถึง Log ได้ไม่ควรเป็นบุคคลเดียวกันกับผู้ดูแลระบบที่ถูกกำหนดให้จัดเก็บ Log ตาม พรบ.

          (4) ในการเก็บข้อมูลจราจรนั้น ต้องสามารถระบุรายละเอียดผู้ใช้บริการเป็นรายบุคคลได้ (Identification and Authentication) เช่น ลักษณะการใช้บริการ Proxy Server, Network Address Translation (NAT) หรือ Proxy Cache หรือ Cache Engine หรือบริการ Free Internet หรือ บริการ 1222 หรือ Wi-Fi Hotspot ต้องสามารถระบุตัวตนของผู้ใช้บริการเป็นรายบุคคลได้จริง

ระบบที่เกี่ยวข้องปกติองค์กรต่างๆ มักใช้งานระบบ Proxy หรือ NAT เพื่อซ่อน Private IP Address และเพื่อเพิ่มประสิทธิภาพในการเรียกดูหน้าเว็บไซต์ต่างๆ โดย Server ที่เกี่ยวข้องก็คือ Gateway Serverเช่น Squid หรือ ISAสิ่งที่ต้องดำเนินการเพิ่มเติม

ทำ Authentication เพื่อให้ผู้ใช้งานทุกคนต้อง Log on เข้าสู่ระบบ และจัดเก็บ Log ไว้ที่ตัวเครื่องและ Forward Log ไปที่ Log Server

          (5) ในกรณีที่ผู้ให้บริการประเภทหนึ่งประเภทใด ได้ให้บริการในนามตนเอง แต่บริการดังกล่าวเป็นบริการที่ใช้ระบบของผู้ให้บริการซึ่งเป็นบุคคลที่สาม เป็นเหตุให้ผู้ให้บริการไม่สามารถรู้ได้ว่า ผู้ใช้บริการที่เข้ามาในระบบนั้นเป็นใคร ผู้ให้บริการเช่นว่านั้นต้องดำเนินการให้มีวิธีระบุและยืนยันตัวบุคคล (Identification and Authentication) ของผู้ใช้บริการผ่านบริการของตนเองด้วย

ระบบที่เกี่ยวข้องระบบบริการที่เกี่ยวข้องกับผู้ให้บริการมากกว่า 1 รายขึ้นไป เช่น ระบบ Web/File Hosting ที่ให้บริการในประเทศไทย แต่ Server อยู่ในต่างประเทศ หรือระบบงานขององค์กรที่มีสาขาหรือบริษัทแม่อยู่ในต่างประเทศแล้วให้บริการแก่บริษัทลูกหรือลูกค้าที่อยู่ในประเทศไทยสิ่งที่ต้องดำเนินการเพิ่มเติม

จัดทำระบบลงทะเบียนหรือระบบสมาชิก เพื่อให้สามาถระบุตัวผู้ใช้บริการได้

ข้อ 9 เพื่อให้ข้อมูลจราจรมีความถูกต้องและนำมาใช้ประโยชน์ได้จริงผู้ให้บริการต้องตั้งนาฬิกาของอุปกรณ์บริการทุกชนิดให้ตรงกับเวลาอ้างอิงสากล (Stratum 0) โดยผิดพลาดไม่เกิน 10 มิลลิวินาที

ระบบที่เกี่ยวข้อง

  • ทุกระบบที่ต้องจัดเก็บ Log ตาม พรบ. รวมถึงเครื่อง Client ทั้งหมดที่เกี่ยวข้องด้วย
  • Time Server (NTP Server)

สิ่งที่ต้องดำเนินการเพิ่มเติม

จัดทำ Time Server เพื่อใช้ในการเทียบเวลากับเวลาอ้างอิงสากล (Stratum 0) แล้วทำหน้าที่เป็นเครื่องให้บริการเทียบเวลาแก่อุปกรณ์ภายในองค์กรอีกทอดหนึ่ง

สำหรับองค์กรที่มีเครื่อง Client จำนวนมาก อาจใช้งานระบบ Directory Service (เช่น Microsoft Active Directory) ทำการเทียบเวลากับ Time Server แล้วจึงจ่ายเวลาที่ถูกต้องให้แก่เครื่องClient

¥ ข้อควรระวัง

  • นอกจากตั้ง Time Sever แล้ว องค์กรยังต้องระมัดระวังไม่ให้เครื่อง Server และ Client ที่เข้าข่ายต้องจัดเก็บ Log ตาม พรบ. ทำการ Sync Time กับ Time Server ตามรอบระยะเวลาที่เหมาะสม เพื่อป้องกันไม่ให้ความคลาดเคลื่อน (Delay หรือ Slip) นั้นเกิน 10 มิลลิวินาที อนึ่ง เครื่อง Server และ Client ที่เป็น Windows-based จะมีรอบการ Sync Time (Default Poll Interval) ทุกๆ 7 วัน ซึ่งต้องได้รับการปรับแต่งให้เหมาะสม เช่น วันละ 2ครั้ง เป็นต้น
  • ต้องเปิด Port 123 ที่ Firewall ด้วย เนื่องจากการ Sync Time จะทำผ่าน UDP port 123
  • เครื่อง Notebook ที่ถูกนำออกไปใช้งานนอกองค์กรเป็นประจำ อาจเกิดความคลาดเคลื่อนได้ เนื่องจากการที่ไม่สามารถ Sync Time กับ Time Server ขององค์กรได้จากภายนอก ดังนั้นอุปกรณ์เหล่านี้ควรได้รับการตั้งค่าให้ Sync Time กับ Time Server ที่น่าเชื่อถือผ่านอินเทอร์เน็ตโดยตรง

รายการ Time Server ที่น่าเชื่อถือและเป็นไปตามข้อกำหนดของ พรบ.

  • time1.nimt.or.th (Stratum-1)
  • time2.nimt.or.th (Stratum-1)
  • time3.nimt.or.th (Stratum-1)
  • time.navy.mi.th (Stratum-1)
  • clock.nectec.or.th (Stratum-1)
  • time.nist.gov (Stratum-1)

รายละเอียดเพิ่มเติมสำหรับการทำ Time Synchronization สามารถดูได้ที่เว็บไซต์ www.nimt.or.th

nimt website

หรืออ่านข้อมูลเพิ่มเติมได้ที่ www.thaicert.org/paper/basic/time_server.pdf

ข้อ 10 กำหนดการเริ่มเก็บข้อมูลจราจรทางคอมพิวเตอร์ แยกตามประเภทของผู้ให้บริการ

ขณะนี้ครบกำหนดการเริ่มเก็บข้อมูลจราจรคอมพิวเตอร์แล้ว (23 สิงหาคม 2551) ผู้ให้บริการทุกประเภทต้องเก็บข้อมูลให้ถูกต้องตามพรบ. ในทันที!!!