+การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น+
ระบบสารสนเทศเป็นระบบที่สนับสนุนการทำงานของทุกหน่วยงานในองค์กร ดังนั้นหากเกิดความเสี่ยงในด้านต่างๆ กับระบบสารสนเทศขององค์กรอาจส่งผลให้องค์กรได้รับความเสียหายอย่างร้ายแรงได้
ความหมายของความเสี่ยงของระบบสารสนเทศ (Information system risk)
หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสีย หรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูล เช่น การใช้ USB อาจทำให้เครื่องคอมพิวเตอร์ติดไวรัสได้, การติดไวรัสจากการเข้าไปในเว็บไซต์ต่างๆ ซึ่งปัญหาของระบบสารสนเทศส่วนใหญ่มักเกิดจากกลุ่ม Gen Y
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
• Hacker : บุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย แต่แฮกเกอร์เชื่อว่าการกระทำดังกล่าวยอมรับได้ เพราะมีวัตถุประสงค์ในการแสดงให้เจ้าของระบบสารสนเทศทราบช่องโหว่ของการรักษาความปลอดภัยของระบบสารสนเทศ โดยแฮกเกอร์พวกนี้เรียกตนเองว่า แฮกเกอร์ที่มีจรรยาบรรณ (Ethical hackers)
• Cracker : บุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย โดยแครกเกอร์จะเป็นผู้ที่มีความรู้ทางคอมพิวเตอร์อย่างมากเช่นเดียวกับแฮกเกอร์ ต่างกันที่แครกเกอร์จะทำลายข้อมูลและทำให้ระบบสารสนเทศและเครือข่ายของกิจการมีปัญหาอย่างมาก
• Script Kiddies : เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ มือใหม่เป็นบุคคลที่อาจก่อให้เกิดภัยกับกิจการอย่างใหญ่หลวง เนื่องจากบุคคลพวกนี้มักเป็นคนที่มีอายุน้อยซึ่งมีเวลาอย่างไม่จำกัด
• Spies : เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
• Employees : เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
• Cyberterrorist : ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว
ประเภทของความเสี่ยงของระบบสารสนเทศ
v การโจมตีระบบเครือข่าย (Network attack)
§ การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
§ การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing
§ การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service)
§ การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses), เวิร์ม (Worms), โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- โปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware), พิชชิง (Phishing), คีลอกเกอะ (Keyloggers), การเปลี่ยนการปรับแต่งระบบ (Configuration Changers), การต่อหมายเลข (Dialers) และแบ็คดอร์ (Backdoors)
*ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา เช่น ล้างข้อมูลออกจากที่จัดเก็บ ขยายขนาดของโปรแกรมเพื่อให้ใช้พื้นที่ของเครื่องคอมพิวเตอร์เป็นจำนวนมาก หรืออนุญาตให้ผู้โจมตีสามารถเข้าถึงเครื่องคอมพิวเตอร์ในระยะไกลได้ เป็นต้น
*เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีความแตกต่างกัน 2 ประการคือ ประการแรก ไวรัสเป็นโปรแกรมที่ติดตัวเองไปกับเอกสารทางคอมพิวเตอร์ ในขณะที่เวิร์มสามารถที่จะไปยังที่ต่างๆ ได้ด้วยตัวเอง ประการที่สอง ไวรัสต้องอาศัยผู้ใช้งานสั่งให้ประมวลผลโปรแกรม แต่เวิร์ม สามารถประมวลผลได้ด้วยตนเอง
*โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม เป็นต้น
*ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
*แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
*พิชชิง คือการเข้าลิงค์ของเว็บเพจหนึ่งแต่ไปอีกเว็บเพจหนึ่ง กล่าวคือการส่งอีเมลไปให้ผู้ใช้ เมื่อผู้ใช้เข้าไปในเว็บไซด์ที่แสดงในอีเมลก็จะแสดงเว็บเพจปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป
*พาร์มมิง (Pharming) มีเป้าหมายเพื่อต้องการข้อมูลส่วนตัวเช่นเดียวกับฟิชชิง แตกต่างกันที่แทนที่จะขอให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing วิธีตรวจสอบคือ หน้าเว็บที่ทำปลอมขึ้นมาจะพยายามให้คุณกรอกข้อมูลให้มากที่สุด โดยเฉพาะพาสส์เวิร์ดที่เกี่ยวข้อง ให้คุณติดต่อกับทางธนาคารโดยตรงเลยว่ามีการขอข้อมูลแบบนี้ผ่านเว็บไซต์จริงหรือไม่ หรือเปิดหน้าเว็บนั้นขึ้นมาบ่อย ๆ เพื่อตรวจสอบดูว่าแท้ที่จริงแล้วในระหว่างที่เว็บบราวเซอร์กำลังวิ่งไปตามที่อยู่ของ URL นั้น มันวิ่งไปที่เดิมตลอดหรือไม่? เพราะหากเราไปเจอกับวิธีการ “ตอบสนองก่อน แสดงผลก่อน” แฮคเกอร์ให้เว็บปลอมที่สร้างขึ้นแสดงผลขึ้นมาก่อน และมักจะ Active อยู่ด้านหน้าเว็บจริง หากคุณลองหดเว็บไปมา ก็อาจจะพบว่ามีหน้าเว็บอีกอันหนึ่งซ่อนอยู่ด้านหลังหรือถูกเรียกขึ้นมาในระหว่างนั้นด้วย
*คีลอกเกอะ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
*แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
v การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฏระเบียบของกิจการหรือการกระทำที่ผิดกฏหมาย เช่น พนักงานใช้เครื่องคอมพิวเตอร์ของกิจการทำงานส่วนตัว หรือการเข้าระบบคอมพิวเตอร์ของทางธนาคารเพื่อโอนเงินของผู้อื่นเข้าบัญชีตนเอง
v การขโมย (Theft)
§ การขโมยฮาร์ดแวร์และการทำลายฮาร์ดแวร์มักอยู่รูปของการตัดสายเชื่อมต่อระบบเครือข่ายคอมพิวเตอร์
§ ขโมยซอฟต์แวร์อาจอยู่ในรูปของการขโมยสื่อจัดเก็บซอฟต์แวร์ การลบโปรแกรมโดยตั้งใจ และการทำสำเนาโปรแกรมอย่างผิดกฏหมาย
§ การขโมยสารสนเทศ มักอยู่ในรูปของการขโมยข้อมูลที่เป็นความลับส่วนบุคคล
v ความล้มเหลวของระบบสารสนเทศ (System failure)
§ เสียง (Noise): สัญญาณที่ไม่ต้องการซึ่งมักแทรกมากับแรงดันไฟฟ้าที่ถูกส่งเข้าเครื่อง อาจเกิดจากอุปกรณ์ภายนอกเครื่องคอมพิวเตอร์เช่น หลอดไฟ วิทยุ และโทรทัศน์ แต่ไม่ก่อให้เกิดความเสี่ยงกับฮาร์ดแวร์ ซอฟต์แวร์ และข้อมูล เนื่องจากตัวจ่ายกระแสไฟ (Computer power supplies) สามารถกรองเสียงออกได้
§ แรงดันไฟฟ้าต่ำ (Undervoltages):เกิดขึ้นเมื่อกระแสไฟตก กล่าวคือแรงดันไฟฟ้าต่ำกว่า 240 โวลต์ (สำหรับประเทศไทย ส่วนประเทศสหรัฐอเมริกาแรงดันไฟฟ้าปกติจะอยู่ที่ 120 โวลต์) โดยแรงด้นไฟฟ้าอาจต่ำเป็นเวลานาน (Brownout) หรือไม่มีกระแสไฟเลย (Blackout) ก็ได้ ผลของกระแสไฟตกจะส่งผลให้ข้อมูลหายได้แต่ไม่ทำให้อุปกรณ์คอมพิวเตอร์เสียหาย
§ แรงดันไฟฟ้าสูง (overvoltages): เกิดขึ้นเมื่อกระแสไฟมีกำลังสูงกว่าปกติ (สูงกว่า 240 โวลต์ สำหรับประเทศไทย) โดยฟ้าผ่าเป็นสาเหตุประการหนึ่งที่ทำให้เกิดแรงดันไฟฟ้าสูงได้ ผลของแรงดันไฟฟ้าสูงจะทำให้ฮาร์ดแวร์ถูกทำลายอย่างถาวร
การรักษาความปลอดภัยของระบบสารสนเทศ
v การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
§ ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition
§ ติดตั้งไฟร์วอลล์ (Firewall) : วัตถุประสงค์หลักเพื่อควบคุมไม่ให้บุคคลภายนอกที่ไม่ได้รับอนุญาตเข้ามาในระบบเครือข่าย ป้องกันการส่งข้อมูลที่ไม่ได้รับอนุมัติจากภายในหน่วยธุรกิจออกไปสู่อินเทอร์เน็ต
§ ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) ส่วนมากจะติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก : เพิ่มเติมจากไฟร์วอลล์เพื่อให้ซอฟต์แวร์ตรวจดูว่ามีการบุกรุกเข้ามาในระบบเครือข่ายของกิจการโดยทำการวิเคราะห์การจราจรในเครือข่าย (Network traffic) ประเมินช่องโหว่ของระบบ (Vulnerabilities) ระบุการเข้าถึงระบบโดยไม่ได้รับอนุญาต และแจ้งให้ผู้ดูแลระบบเครือข่ายทราบถึงพฤติกรรมที่สงสัย
§ ติดตั้ง Honeypot : เป็นระบบที่ติดตั้งให้เหมือนระบบจริงแต่แยกออกมาจากระบบที่กิจการใช้งานอยู่ กิจการ Web hosting ขนาดใหญ่ เช่น Yahoo และ AT&T
v การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
§ การระบุตัวตน (Identification)
§ การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
- ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
- ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตร ATM เป็นต้น
- ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
เช่น วิธีการสำหรับการระบุตัวตนทำโดยการใช้ชื่อผู้ใช้ (User name)/ บัตร ATM/ PIN ส่วนวิธีการพิสูจน์ตัวจริงทำได้ทำได้หลายวิธีแต่ที่นิยมใช้คือ รหัสผ่าน(Password)/ scan ม่านตา
v การควบคุมการขโมย
§ ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
§ กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ เช่น ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
§ การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
§ ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
v การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้ (Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
§ องค์ประกอบของการเข้ารหัส
- Plaintext
- Algorithm
- Secure key
§ ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร เนื่องจากปัญหาที่สำคัญของการเข้ารหัสแบบสมมาตรคือการเก็บรักษาคีย์ที่ใช้ในการเข้ารหัสและถอดรหัสซึ่งเป็นคีย์ตัวเดียวกันให้เป็นความลับ นอกจากนี้ผู้ส่งและผู้รับจะมั่นใจได้อย่างไรว่าคีย์ที่แลกเปลี่ยนกันนั้นไม่ถูกเปิดเผยให้ผู้ใดทราบ
- การเข้ารหัสแบบไม่สมมาตร กระจายคีย์สาธารณะไปยังคนต่างๆ ที่ต้องการติดต่อด้วยโดยเก็บคีย์ส่วนตัวเอาไว้โดยไม่เปิดเผยให้ผู้อื่นทราบ แต่ก็มีปัญหาด้านการจัดส่งคีย์สาธารณะว่า ผู้ส่งจะทราบได้อย่างไรว่าคีย์สาธารณะเป็นของผู้ส่งจริงๆ จึงใช้บุคคลที่สามที่ได้รับความเชื่อถือ (Trusted Third Party) ออกใบรับรองอิเลคทรอนิคก์ เมื่อผู้ส่งจัดส่งข้อมูลไปให้ผู้รับพร้อมด้วยใบรับรองอิเล็กทรอนิกส์ ผู้รับก็จะมั่นใจได้ว่าคีย์สาธารณะที่ได้รับเป็นของผู้ส่งจริง
§ การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
§ การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
*Secure sockets layer (SSL) เป็นการเข้ารหัสข้อมูลทั้งหมดที่จัดส่งระหว่างเครื่องไคลเอ็นต์ (Client) และ Internet server โดย SSL จะกำหนดให้เครื่องไคลเอ็นต์ต้องมีใบรับรองอิเล็กทรอนิกส์ เมื่อเครื่องเซิร์ฟเวอร์ได้รับใบรับรองอิเล็กทรอนิกส์แล้วจะทำให้โปรแกรม Web browser สื่อสารกับเครื่องไคลเอ็นต์อย่างปลอดภัย โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย https แทนที่จะเป็น http
*Secure HTTP (S-HTTP) จะอนุญาตให้ผู้ใช้เลือกการเข้ารหัสข้อมูลที่สื่อสารกันระหว่างเครื่องไคลเอ็นต์และเครื่องเซิร์ฟเวอร์ ในกรณีที่ใช้ S-HTTP เครื่องไคลเอ็นต์และเครื่องเซิร์ฟเวอร์ต้องมีใบรับรองอิเล็กทรอนิกส์ โดย S-HTTP จะใช้งานยากกว่า SSL แต่จะมีความปลอดภัยมากกว่า เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
*VPN ผู้ใช้เครื่อง Mobile ส่วนมากจะเข้าถึงระบบเครือข่ายคอมพิวเตอร์ของกิจการผ่านทาง Virtual private network (VPN) ซึ่งจะทำให้การเชื่อมต่อมีความปลอดภัยสูงเหมือนผู้ใช้มีสายส่วนตัว (Private line) - อาจใช้ Hardware-Based VPN เช่น Blackbox VPN, Software-Based VPN เช่น Frees/Wan, OpenVPN
v การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
v การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
§ ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
§ กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
§ การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
§ จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
§ การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server (ไม่กล่าวในรายละเอียด)
§ การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย (ไม่กล่าวในรายละเอียด)
MORALITY
+จรรยาบรรณ+
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
Ø การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
Ø การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
Ø ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
Ø สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
Ø หลักปฏิบัติ (Code of conduct)
Ø ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
คำถามอย่างกว้างขวางเกี่ยวกับลิขสิทธิ์ดังนี้
- บุคคลสามารถ Download ส่วนประกอบของเว็บไซด์ ต่อจากนั้นปรับปรุง แล้วนำไปแสดงบนเว็บในนามของตนเองได้หรือไม่
- เจ้าหน้าที่ของมหาวิทยาลัยสามารถพิมพ์เอกสารบนเว็บและกระจายให้นักศึกษาเพื่อใช้สำหรับการเรียนการสอนได้หรือไม่
- บุคคลสามารถสแกนรูปภาพหรือหนังสือ ต่อจากนั้นนำไปลงในเว็บซึ่งอนุญาตให้คน Download ได้หรือไม่
- บุคคลสามารถสามารถนำเพลงใส่ในเว็บได้หรือไม่
- นักศึกษาสามารถนำข้อสอบหรือโครงการต่างๆ ที่อาจารย์กำหนดในชั้นเรียนเข้าไปใส่ในเว็บเพื่อให้นักศึกษาคนอื่นๆ ลอกโครงการนั้นแล้วส่งอาจารย์ว่าเป็นงานของตนได้หรือไม่
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
Ø ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
Ø ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
Ø ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
Ø ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
Ø ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
Ø ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
Ø ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
Ø ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
Ø ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
Ø ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
Ø ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
Ø ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
Ø แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
Ø ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
Ø ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
Ø ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
Ø ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
Ø กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
Ø ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
Ø ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
Ø ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
Ø ติดตั้งไฟร์วอลล์ส่วนบุคคล
Ø ติดตั้งโปรแกรม Anti-spam
*Cookie คือ Text file ขนาดเล็กที่เครื่อง Web server นำมาติดตั้งที่เครื่องคอมพิวเตอร์ (ฮาร์ดดิสก์) ของผู้เรียกเว็บไซด์นั้นๆ โดย Cookie จะมีข้อมูลเกี่ยวกับผู้ใช้ ประกอบด้วย ชื่อหรือเว็บไซด์ที่ชอบเข้า เมื่อผู้ใช้ติดต่อกับเว็บไซด์ โปรแกรมเบาวร์เซอร์จะจัดส่งข้อมูลใน Cookie ไปยังเว็บไซด์
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
Ø จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
Ø จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
Ø แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
