เป็นมาตรฐานที่ สพธอ. จัดทำขึ้นภายใต้ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของการประชุมผ่านสื่ออิเล็กทรอนิกส์ พ. ศ. 2563 ซึ่งครอบคลุมหลักการสำคัญของการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ ได้แก่ การรักษาความลับ (confidentiality) เพื่อป้องกันการเข้าถึง ใช้ หรือเปิดเผยข้อมูลโดยผู้ไม่มีสิทธิ การรักษาความถูกต้องครบถ้วน (integrity) เพื่อป้องกันข้อมูลไม่ให้ถูกแก้ไข สูญหาย เสียหาย หรือถูกทำลายโดยไม่ได้รับอนุญาต การรักษาสภาพพร้อมใช้งาน (availability) เพื่อให้ข้อมูลอิเล็กทรอนิกส์สามารถทำงาน เข้าถึง หรือใช้งานได้ในเวลาที่ต้องการ การคุ้มครองข้อมูลส่วนบุคคล ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคล โดยผู้ให้บริการต้องดำเนินการตามข้อกำหนดด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับการประชุมผ่านสื่ออิเล็กทรอนิกส์ใน 10 วัตถุประสงค์ ดังนี้
การบริหารจัดการความปลอดภัยของระบบสารสนเทศ 1.
เทคโนโลยีสารสนเทศ เป็นส่วนสำคัญในการดำเนินกิจกรรมต่างๆ ทั้งภาคธุรกิจการค้า หน่วยงานของรัฐ และประชาชนทั่วทั้งประเทศ ดังนั้น เทคโนโลยีสารสเทศจึงจำเป็นต้องมีระบบรักษาความปลอดภัย ซึ่งประกอบด้วยหลากหลายวิธีการตามจุดประสงค์การใช้งานที่แตกต่างกัน ตั้งแต่วิธีการป้องกันขั้นพื้นฐาน เช่น การใช้พาสเวิร์ดที่มีความปลอดภัย การติดตั้งโปรแกรมป้องกันไวรัส ไปจนกระทั่งการใช้ระบบป้องกันเครือข่ายที่มีความซับซ้อนมากขึ้น
การโจมตีเครื่องแม่ข่ายเพื่อไม่ให้สามารถใช้การได้ หรือทำให้ประสิทธิภาพลดลง 2. การเข้าถึงคอมพิวเตอร์ลูกข่ายเพื่อขโมย แก้ไข ทำลายข้อมูลผู้ใช้ภายในองค์กร 2. ด้านอุปกรณ์เครือข่าย 2. ป้องกันการโจมตีแบบ MAC Address Spoofing 2. ป้องกันการโจมตีแบบ ARP Spoof / Poisoning 2. ป้องกันการโจมตีแบบ Rogue DHCP 2. ป้องกันการโจมตีระบบ LAN และ WLAN 2. ด้านข้อมูล 2. ข้อมูลองค์กร ข้อมูลพนักงาน ข้อมูลลูกค้า 2. การควบคุมการเข้าถึงจากระยะไกล 2. การป้องกันการโจมตีแบบ Cross-Site Scripting 3. คุณสมบัติ ความปลอดภัยข้อมูล 3. ความลับ (Confidentiality) 3. ความคงสภาพ (Integrity) 3. ความพร้อมใช้งาน (Availability) 4. แนวคิดอื่นๆ เกี่ยวกับการรักษา ความปลอดภัยข้อมูล 4. ความเป็นส่วนบุคคล (Privacy) 4. การระบุตัวตน (Identification) 4. การพิสูจน์ทราบตัวตน (Authentication) 4. สิ่งที่คุณรู้ (Knowledge Factor) 4. สิ่งที่คุณมี (Possession Factor) 4. สิ่งที่คุณเป็น (Biometric Factor) 4. การอนุญาตใช้งาน (Authorization) 4. การตรวจสอบได้ (Accountability) 4. การห้ามปฏิเสธความรับผิดชอบ (Non-repudiation) 5. ภัยคุกคาม (Threat) 5. ประเภทของภัยคุกคาม 5.
ใช้เครือข่ายของที่ทำงานเสมอ หากที่ทำงานให้แลปทอปไว้ใช้ในการทำงานและสามารถเชื่อมต่อเข้าใช้งานเครือข่ายของที่ทำงาน พึงระลึกไว้เสมอว่า ควรใช้ระบบไร้สายผ่านเครือข่ายส่วนตัวแบบเสมือน หรือ Virtual Private Networks (VPNs)เพื่อซ่อนการสื่อสารของเราไว้กับเครือข่ายของที่ทำงาน 2. ทำความสะอาดลิสต์การใช้งานอยู่เสมอ ลิสต์การใช้งานเปรียบเหมือนหน่วยความจำในการเรียกสายอีกครั้งของโทรศัพท์หรือรีไดอัล ซึ่งจะทำการบันทึกการเชื่อมต่อเครือข่ายที่ถูกใช้บ่อยครั้งมากที่สุดดังนั้นหากใช้งานระบบ VPNs ในที่สาธารณะไม่ควรปิดแลปทอปและเดินจากไปเฉยๆ แต่ควรทำการยกเลิกการเชื่อมต่อเมื่อเลิกการใช้งานทันที มิเช่นนั้น แลปทอปจะทำการเชื่อมต่อเข้ากับเครือข่ายของสถานที่นั้นแทนที่ระบบ VPNs เมื่อกลับมาใช้งานยังสถานที่ดังกล่าวอีกครั้ง ซึ่งจะทำให้แลปทอปไม่ปลอดภัย 3. เสริมความปลอดภัยให้กับให้กับเราเตอร์ โดยปกติแล้วเมื่อนำเราเตอร์ที่เพิ่งซ้อมาใช้งาน ระบบความปลอดภัยของเราเตอร์ดังกล่าวจะยังไม่ทำงานโดยอัตโนมัติ ดังนั้น ควรทำการเปิดระบบความปลอดภัยของเร้าเตอร์ก่อนใช้งาน ซึ่งอาจหาได้จากเว็บไซต์ของผู้ผลิตเราเตอร์ดังกล่าว และเมื่อทำการเปิดระบบความปลอดภัยเสร็จสิ้นแล้ว สามารถตรวจสอบความปลอดภัยได้โดยการใช้ Wi-fi Scan ซึ่งเป็นฟรีแวร์จาก McAfee 4.
แนวโน้มการโจมตี 6. เครื่องมือรักษาความปลอดภัย
ใช้รหัสผ่านที่มีประสิทธิภาพ รหัสผ่านถือเป็นปราการด่านสำคัญในการเข้าใช้งานระบบ ดังนั้นหากเลือกใช้รหัสผ่านที่ไม่มีประสิทธิภาพก็เท่ากับเป็นการเปิดช่องโหว่และเชื้อเชิญให้แฮกเกอร์เข้ามาเจาะระบบได้ 5. เสริมความปลอดภัยในการใช้เว็บเมล ควรทำการติดต่อผู้ให้บริการอีเมลของเราเพื่อบอกถึงวิธีในการเสริมความปลอดภัยให้กับเว็บเมลของเรา ซึ่งมีให้เลือกหลายวิธี แต่โดยทั่วไปแล้วผู้ให้บริการอีเมลส่วนมากจะไม่เปิดระบบความปลอดภัยนี้โดยอัตโนมัติ credit