กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์

กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์

ปัจจุบันโลกของเราขับเคลื่อนไปด้วยเทคโนโลยีต่าง ๆ มากมาย ที่เกิดขึ้นสำหรับช่วยพัฒนาธุรกิจให้มีความสะดวกสบายและรวดเร็วมากขึ้น

บทความโดย..

รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย 

ภาควิชาการสื่อสารข้อมูลและเครือข่าย

คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล

มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ

HIGHLIGHTS

  • ปัญหาและเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัย
  • การบริหารความมั่นคงปลอดภัยสารสนเทศ
  • กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์

      หลายองค์การขาดการบริหารความมั่นคงปลอดภัยที่ดีเพียงพอ ส่งผลให้มีช่องโหว่ (Vulnerability) ที่ทำให้ภัยคุกคาม (Threat) หรือผู้ไม่ประสงค์ดี (Hacker) สามารถโจมตีเข้ามาจนส่งผลให้เกิดเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยซึ่งเรียกว่า “Security Incident” เกิดขึ้น เช่น ข้อมูลลูกค้าหลุด ระบบใช้งานไม่ได้ ข้อมูลที่ใส่เข้าไปในระบบสูญหายหรือไม่ตรงกับความเป็นจริง จนส่งผลเสียหายต่อธุรกิจทั้งทางการเงิน ชื่อเสียง ความเชื่อมั่น และอาจมีความรับผิดตามกฎหมายทั้งทางแพ่ง ทางอาญา และทางปกครอง จนอาจทำให้ธุรกิจนั้นไม่สามารถดำเนินการต่อไปได้

    เพื่อลดผลกระทบที่เกิดขึ้นนี้ องค์กรควรบริหารความมั่นคงปลอดภัยสารสนเทศโดยประยุกต์ใช้มาตรฐานสากลหรือแนวปฏิบัติที่ดี เช่น ISO/IEC27001 ที่ได้รับความนิยมอย่างมาก นอกจากนี้อาจใช้กรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์ที่ใช้งานอย่างแพร่หลายมาก คือ NIST Cybersecurity Framework หรือเรียก NIST CSF Version 1.1 ซึ่งเผยแพร่โดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (National Institute of Standards and Technology: NIST) ของสหรัฐอเมริกา ซึ่งประเทศไทยเองได้นำ NIST CSF มาเป็นต้นแบบส่วนหนึ่งในการจัดทำ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562

    เมื่อองค์กรนำ NIST CSF มาประยุกต์ใช้ในการบริหารความมั่นคงปลอดภัยสารสนเทศ องค์กรต้องดำเนินการ 5 ฟังก์ชันหลัก คือ 1.ระบุ (Identify) และเข้าใจสภาพแวดล้อมของตนเอง ทรัพย์สิน และความเสี่ยงที่มี 2.หาแนวทางที่เหมาะสมในการปกป้องทรัพย์สิน (Protect) 3.มีการตรวจจับ (Detect) และเฝ้าระวังภัยคุกคามที่อาจจะเกิดขึ้น 4.เมื่อพบภัยคุกคาม สามารถที่จะตอบสนองได้ทันท่วงที (Response) เพื่อลดผลกระทบหรือจำกัดความเสียหายให้อยู่ในวงแคบ และ 5.สามารถกู้คืน (Recover) ระบบขึ้นมาให้บริการตามปกติได้อย่างรวดเร็วภายใต้งบประมาณและหลักการบริหารความเสี่ยงขององค์กร

  • 162998071667
  • รูปที่ 1 NIST CSF 5 ฟังก์ชันหลัก

     รายเอียดเพิ่มเติมของ NIST CSF ทั้ง 5 ฟังก์ชันหลัก มีดังนี้

  • 162998086189
  • รูปที่ 2 รายละเอียดของ NIST CSF 5 ฟังก์ชันหลัก

    1. Identify เป็นการระบุสภาพแวดล้อม ทำความเข้าใจบริบท ทรัพยากร และกิจกรรมงานสำคัญ เพื่อบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์

    1.1 การบริหารจัดการทรัพย์สิน (Asset Management; AM) - ข้อมูล บุคลากร อุปกรณ์ ระบบ ต้องได้รับการระบุและจัดการตามความสำคัญที่สัมพันธ์กับวัตถุประสงค์ขององค์กร

    1.2 การดำเนินการตรวจสอบสภาพแวดล้อม (Business Environment; BE) - ภารกิจ วัตถุประสงค์ ผู้มีส่วนได้ส่วนเสีย และกิจกรรมสำคัญขององค์กร

    1.3 การกำกับดูแล (Governance; GV) - นโยบาย ขั้นตอน และกระบวนการการจัดการและติดตามข้อกำหนดด้านกฎระเบียบ กฎหมาย ความเสี่ยง สิ่งแวดล้อม และการปฏิบัติงาน

    1.4 การตรวจสอบและประเมินความเสี่ยงด้านเครือข่าย (Risk Assessment; RA) - ความเข้าใจในความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีต่อการดำเนินงาน

    1.5 การกำหนดกลยุทธ์บริหารจัดการความเสี่ยง (Risk Management Strategy; RM) - การลำดับความสำคัญ ความเสี่ยงที่ยอมรับได้ขององค์กรใช้เพื่อสนับสนุนหรือตัดสินใจ

    1.6 การบริหารจัดการความเสี่ยงห่วงโซ่อุปทาน (Supply Chain Risk Management; SC) -ลำดับความสำคัญของการยอมรับความเสี่ยง เพื่อสนับสนุนการตัดสินใจในการจัดการความเสี่ยงห่วงโซ่อุปทาน

    2.Protect เป็นมาตรการป้องกันที่เหมาะสมสำหรับการให้บริการที่สำคัญ โดยมีวัตถุประสงค์เพื่อจำกัดระดับผลกระทบและลดโอกาสเกิดความเสี่ยง

    2.1 กำหนดมาตรการควบคุมการเข้าถึง (Access Control; AC) – การเข้าถึงทรัพย์สินและสิ่งอำนวยความสะดวกที่เกี่ยวข้องเฉพาะผู้ใช้ที่ได้รับอนุญาต

    2.2 การสร้างความตระหนักและการฝึกอบรม (Awareness and Training; AT) – บุคลากรขององค์กรได้รับการอบรมหรือสร้างความตระหนักด้านความมั่นคงปลอดภัยไซเบอร์

    2.3 การกำหนดความมั่นคงปลอดภัยของข้อมูล (Data Security; DS): ข้อมูลและบันทึก ได้รับการจัดการที่สอดคล้องกับกลยุทธ์ความเสี่ยงขององค์กรเพื่อปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล

    2.4 กระบวนการบำรุงรักษา (Maintenance; MA): กระบวนการ วิธีการบำรุงรักษาและการซ่อมแซมระบบ

    2.5 จัดหาเทคโนโลยีการป้องกัน (Protective Technology; PT): องค์กรต้องจัดหาระบบสำหรับป้องกันและการรักษาความมั่นคงปลอดภัยเพื่อเพิ่มประสิทธิภาพในการจัดการความมั่นคงปลอดภัย

    3.การตรวจจับ (Detect) เป็นการตรวจหาเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่อาจเกิดขึ้น ครอบคลุมถึงกระบวนการเฝ้าระวัง หรือตรวจติดตามอย่างต่อเนื่อง

    3.1 การตรวจจับเหตุการณ์และความผิดปกติ (Anomalies and Events; AE) - กระบวนการตรวจจับกิจกรรมผิดปกติและสร้างเข้าใจผลกระทบที่อาจเกิดขึ้นจากเหตุการณ์ที่พบ

    3.2 การตรวจสอบด้านความมั่นคงปลอดภัยอย่างต่อเนื่อง (Security Continuous Monitoring; CM) - กระบวนการตรวจสอบระบบ ข้อมูลและทรัพย์สินสำหรับใช้ระบุเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยทางไซเบอร์

    3.3 กระบวนการตรวจจับ (Detection Processes; DP) - กระบวนการและขั้นตอนการตรวจจับได้รับการบำรุงรักษาและทดสอบเพื่อให้แน่ใจว่ามีการตระหนักถึงเหตุการณ์ผิดปกติ

    4.การตอบสนอง (Respond) การดำเนินการตอบสนองต่อเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ

    4.1 การวางแผนการตอบสนอง (Response Planning; RP) - กระบวนการและขั้นตอนการตอบสนองที่ใช้ในการวางแผนสำหรับใช้ในการตอบสนองต่อเหตุการณ์ผิดปกติด้านความมั่นคงปลอดภัยไซเบอร์ที่ตรวจพบ

    4.2 การสื่อสาร (Communications; CO) - เพื่อประสานงานกับหน่วยงานที่เกี่ยวข้อง การตอบสนองการประสานงานกับผู้มีส่วนได้ส่วนเสีย

    4.3 การวิเคราะห์ (Analysis; AN) - การวิเคราะห์ดำเนินการเพื่อให้แน่ใจว่ามีการตอบสนองที่มีประสิทธิภาพและสนับสนุนกิจกรรมการกู้คืน

    4.4 การควบคุมดูแลและจำกัด (Mitigation; MI) - การควบคุมจำกัดขอบเขตและลดผลกระทบที่เกิดขึ้น กิจกรรมต่าง ๆ เพื่อป้องกันและแก้ไขของเหตุการณ์

    4.5 การปรับปรุง (Improvements; IM) - กิจกรรมการตอบสนองขององค์กรได้รับการปรับปรุงโดยการพิจารณาสิ่งได้ที่เรียนรู้จากกิจกรรมการตรวจจับ/การตอบสนองในปัจจุบันและก่อนหน้า

    5.การคืนสภาพ (Recover) เป็นการดำเนินการกู้คืนสภาพระบบสารสนเทศที่ได้รับความเสียหายจากการถูกคุกคามด้านไซเบอร์

    5.1 การวางแผนการกู้คืน (Recovery Planning; RP) - กระบวนการและขั้นตอนการกู้คืนข้อมูล ระบบสารสนเทศที่ได้ผลกระทบได้รับการฟื้นฟู

    5.2 การปรับปรุง (Improvements; IM) - การวางแผนและกระบวนการกู้คืนได้รับการปรับปรุงเข้ากับกับกิจกรรมต่าง ๆ ในอนาคต

    5.3 การสื่อสาร (Communications; CO) - กิจกรรมการฟื้นฟูได้รับการประสานงานกับภายในและภายนอก (เช่น ศูนย์ประสานงาน ผู้ให้บริการอินเทอร์เน็ต เจ้าของระบบโจมตี ผู้ที่ได้รับผลกระทบ CSIRT อื่น ๆ และผู้ขาย)

                   จากหลักการข้างต้น NIST Cybersecurity Framework จึงเป็นกรอบมาตรฐานสากลที่ทุกองค์สามารถนำมาปรับใช้ให้เหมาะสมเพื่อบริหารความมั่นคงปลอดภัยสารสนเทศได้.