การประมวลแนวทางปฏิบัติ และกรอบมาตรฐาน มาตรฐานขั้นต่ำ และแบบตรวจประเมินแนวทางปฏิบัติด้าน Cyber Security ของหน่วยงาน CII

การประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure หรือ CII) ในประเทศไทย มีรากฐานมาจากพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกำหนดให้หน่วยงานที่เกี่ยวข้องต้องปฏิบัติตามมาตรฐานขั้นต่ำเพื่อป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ โดยเฉพาะหน่วยงาน CII ที่ครอบคลุม 7 ด้านหลัก ได้แก่ ความมั่นคงของรัฐ, บริการภาครัฐที่สำคัญ, การเงินการธนาคาร, เทคโนโลยีสารสนเทศและโทรคมนาคม, การขนส่งและโลจิสติกส์, พลังงานและสาธารณูปโภค, และสาธารณสุข

การประมวลแนวทางปฏิบัติและกรอบมาตรฐาน

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ออก "ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. 2564" เพื่อกำหนดแนวทางและข้อกำหนดขั้นต่ำให้หน่วยงาน CII ดำเนินการ ดังนี้:

1. วัตถุประสงค์
   • เพื่อให้มีแนวทางปฏิบัติที่เป็นมาตรฐานและสอดคล้องกับหลักสากล เช่น ISO/IEC 27001
   • ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่มีผลกระทบต่อระบบสารสนเทศของประเทศ
   • สร้างความรวดเร็วและประสิทธิภาพในการดำเนินการเมื่อเกิดเหตุการณ์
2. กรอบมาตรฐานที่กำหนด
   • การระบุทรัพย์สินและกระบวนการสำคัญ: หน่วยงานต้องระบุระบบหรือกระบวนการที่มีความสำคัญต่อการให้บริการ
   • การประเมินความเสี่ยง: ดำเนินการประเมินความเสี่ยงด้านไซเบอร์อย่างน้อยปีละ 1 ครั้ง
   • แผนการรับมือภัยคุกคาม: จัดทำแผนรับมือเมื่อเกิดเหตุการณ์ เช่น การแจ้งเตือน การตรวจสอบ และการแก้ไข
   • การตรวจสอบและประเมิน: ใช้ผู้ตรวจประเมินภายในหรือผู้ตรวจสอบอิสระเพื่อประเมินความสอดคล้องกับมาตรฐาน
   • การฝึกอบรมและสร้างความตระหนัก: พัฒนาบุคลากรให้มีความรู้และทักษะในการจัดการภัยคุกคาม
3. มาตรฐานขั้นต่ำ
   • สกมช. อ้างอิงมาตรฐานสากล เช่น ISO/IEC 27001 ซึ่งเน้นการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงการรักษาความลับ (Confidentiality), ความสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูล
   • หน่วยงาน CII ต้องมีระบบแจ้งเตือนภัยคุกคาม รวมถึงกระบวนการตอบสนองที่ชัดเจนเมื่อเกิดเหตุ

แบบตรวจประเมินแนวทางปฏิบัติ

แบบตรวจประเมินถูกออกแบบมาเพื่อให้หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงาน CII สามารถวัดระดับการปฏิบัติตามประมวลแนวทางปฏิบัติได้ โดยมีตัวอย่างจาก "(ร่าง) แบบประเมินสถานภาพการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์" ซึ่งประกอบด้วยหัวข้อหลักดังนี้:

• การระบุและจัดลำดับความสำคัญของทรัพย์สิน: ตรวจสอบว่าหน่วยงานมีการระบุระบบสำคัญหรือไม่
• การบริหารความเสี่ยง: มีการประเมินความเสี่ยงและจัดทำแผนลดความเสี่ยงหรือไม่
• มาตรการป้องกัน: มีการติดตั้งระบบป้องกัน เช่น Firewall, IDS/IPS หรือไม่
• การตอบสนองต่อเหตุการณ์: มีกระบวนการแจ้งเตือนและแก้ไขเหตุการณ์ที่ชัดเจนหรือไม่
• การทดสอบและฝึกอบรม: มีการทดสอบระบบและฝึกอบรมบุคลากรอย่างสม่ำเสมอหรือไม่

การนำไปปฏิบัติ

หน่วยงาน CII ต้องจัดทำประมวลแนวทางปฏิบัติของตนเองให้สอดคล้องกับกรอบมาตรฐานของ สกมช. และดำเนินการตรวจสอบอย่างน้อยปีละครั้ง หากหน่วยงานไม่สามารถปฏิบัติได้ตามมาตรฐาน สกมช. สามารถให้ความช่วยเหลือด้านบุคลากรหรือเทคโนโลยีตามคำร้องขอ

ข้อสังเกต

ถึงแม้ว่ามาตรฐานขั้นต่ำจะอิงจาก ISO/IEC 27001 แต่ในทางปฏิบัติ หน่วยงาน CII บางแห่งอาจเผชิญความท้าทาย เช่น ขาดบุคลากรที่มีความเชี่ยวชาญ หรืองบประมาณไม่เพียงพอ ซึ่งอาจส่งผลต่อประสิทธิภาพในการปฏิบัติตามกรอบนี้

ความรู้เบื้องต้นเกี่ยวกับ ISO/IEC 27001

ISO/IEC 27001 เป็นมาตรฐานสากลสำหรับการจัดการความมั่นคงปลอดภัยของระบบสารสนเทศ (Information Security Management System: ISMS) ซึ่งพัฒนาโดย International Organization for Standardization (ISO) และ International Electrotechnical Commission (IEC) มาตรฐานนี้เผยแพร่ครั้งแรกในปี 2005 และได้รับการปรับปรุงล่าสุดในปี 2013 (ISO/IEC 27001:2013) โดยมีเป้าหมายเพื่อช่วยองค์กรปกป้องข้อมูลที่มีความสำคัญจากการถูกคุกคามในรูปแบบต่างๆ เช่น การโจมตีทางไซเบอร์ การรั่วไหลของข้อมูล หรือการสูญหาย

โครงสร้างหลักของ ISO/IEC 27001

มาตรฐานนี้ประกอบด้วย 2 ส่วนหลัก:

1. ข้อกำหนด (Clauses): ส่วนที่ระบุข้อกำหนดบังคับสำหรับการจัดตั้ง ISMS (ข้อ 4-10)
2. ภาคผนวก A (Annex A): รายการควบคุม (Controls) ด้านความปลอดภัย 114 ข้อ ที่องค์กรสามารถเลือกนำไปใช้ตามความเหมาะสม

ข้อกำหนดหลัก (Clauses 4-10)

1. บริบทขององค์กร (Clause 4)
   • องค์กรต้องเข้าใจบริบททั้งภายในและภายนอก รวมถึงระบุผู้มีส่วนได้ส่วนเสียและความต้องการที่เกี่ยวข้อง
   • กำหนดขอบเขตของ ISMS
2. การนำ (Clause 5)
   • ผู้บริหารระดับสูงต้องแสดงความมุ่งมั่นในการดำเนินการ ISMS
   • จัดทำนโยบายความมั่นคงปลอดภัยและกำหนดบทบาทหน้าที่
3. การวางแผน (Clause 6)
   • ดำเนินการประเมินความเสี่ยง (Risk Assessment) และกำหนดวิธีการจัดการความเสี่ยง
   • ตั้งวัตถุประสงค์ด้านความมั่นคงปลอดภัย
4. การสนับสนุน (Clause 7)
   • จัดสรรทรัพยากร ฝึกอบรมบุคลากร สร้างการรับรู้ และจัดการเอกสารประกอบ
5. การดำเนินการ (Clause 8)
   • ดำเนินการตามแผนการจัดการความเสี่ยงและควบคุมที่เลือกไว้
6. การประเมินผล (Clause 9)
   • ติดตาม วัดผล วิเคราะห์ และประเมินประสิทธิภาพของ ISMS
   • ดำเนินการตรวจสอบภายใน (Internal Audit)
7. การปรับปรุง (Clause 10)
   • แก้ไขข้อบกพร่องและปรับปรุง ISMS อย่างต่อเนื่อง

ภาคผนวก A (Annex A)

ประกอบด้วย 14 หมวดหมู่ รวม 114 มาตรการควบคุม (Controls) ซึ่งครอบคลุมด้านต่างๆ เช่น:

• A.5 นโยบายความมั่นคงปลอดภัยสารสนเทศ: การจัดทำและทบทวนนโยบาย
• A.6 การจัดการองค์กรด้านความปลอดภัย: การกำหนดบทบาทและความรับผิดชอบ
• A.7 ความปลอดภัยของทรัพยากรบุคคล: การตรวจสอบพนักงานและการฝึกอบรม
• A.9 การควบคุมการเข้าถึง: จำกัดการเข้าถึงข้อมูลตามความจำเป็น
• A.11 ความปลอดภัยทางกายภาพและสิ่งแวดล้อม: ป้องกันการเข้าถึงสถานที่โดยไม่ได้รับอนุญาต
• A.14 การพัฒนาและบำรุงรักษาระบบ: รวมถึงการทดสอบความปลอดภัยของซอฟต์แวร์
• A.17 การจัดการความต่อเนื่องทางธุรกิจ: การวางแผนรับมือเหตุฉุกเฉิน

หลักการสำคัญ

ISO/IEC 27001 เน้นแนวทาง "PDCA" (Plan-Do-Check-Act):

• Plan: วางแผน ISMS และประเมินความเสี่ยง
• Do: ดำเนินการตามแผน
• Check: ตรวจสอบและติดตามผล
• Act: ปรับปรุงและแก้ไข

ประโยชน์ของ ISO/IEC 27001

• การป้องกันข้อมูล: ลดความเสี่ยงจากการถูกโจมตีหรือการรั่วไหลของข้อมูล
• การปฏิบัติตามกฎหมาย: สอดคล้องกับข้อกำหนดทางกฎหมายและระเบียบต่างๆ
• ความน่าเชื่อถือ: เพิ่มความมั่นใจให้ลูกค้าและคู่ค้า
• การจัดการความเสี่ยง: มีกระบวนการที่เป็นระบบในการระบุและจัดการความเสี่ยง

กระบวนการรับรอง (Certification)

1. องค์กรจัดตั้ง ISMS ตามข้อกำหนด
2. ดำเนินการตรวจสอบภายในเพื่อประเมินความพร้อม
3. จ้างหน่วยรับรอง (Certification Body) ที่ได้รับการรับรองให้ตรวจสอบ
4. หากผ่านการตรวจสอบ จะได้รับใบรับรอง ISO/IEC 27001 ซึ่งมีอายุ 3 ปี (ต้องมีการตรวจติดตามทุกปี)

ข้อแตกต่างจากมาตรฐานอื่น

• เมื่อเทียบกับ NIST Cybersecurity Framework: ISO/IEC 27001 เป็นกรอบที่เน้นการจัดการระบบทั้งหมด (Systematic Approach) ในขณะที่ NIST เน้นการปฏิบัติที่ยืดหยุ่นกว่า
• เมื่อเทียบกับ ISO/IEC 27002: ISO/IEC 27002 เป็นแนวปฏิบัติ (Guidelines) ไม่ใช่ข้อกำหนดที่นำไปรับรองได้

การประยุกต์ใช้ในประเทศไทย

ในบริบทของหน่วยงาน CII ตามที่ระบุในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 สกมช. ได้นำ ISO/IEC 27001 มาเป็นกรอบอ้างอิงหลักในการกำหนดมาตรฐานขั้นต่ำ เนื่องจากเป็นที่ยอมรับในระดับสากลและครอบคลุมทุกมิติของการจัดการความปลอดภัย

รายละเอียดของ Annex A

Annex A ของ ISO/IEC 27001:2013 เป็นส่วนที่ระบุรายการควบคุม (Controls) ด้านความมั่นคงปลอดภัยสารสนเทศ จำนวน 114 ข้อ แบ่งออกเป็น 14 หมวดหมู่ (Domains) ซึ่งเป็นแนวทางให้องค์กรเลือกใช้ตามความเหมาะสม โดยขึ้นอยู่กับผลการประเมินความเสี่ยง (Risk Assessment) และบริบทขององค์กร Annex A ไม่ใช่ข้อกำหนดบังคับทั้งหมด แต่เป็นเครื่องมือที่ช่วยให้องค์กรออกแบบการควบคุมที่เหมาะสมกับความเสี่ยงที่เผชิญอยู่

ต่อไปนี้คือรายละเอียดของทั้ง 14 หมวดหมู่ใน Annex A พร้อมตัวอย่างการควบคุมที่สำคัญในแต่ละหมวด:

A.5 Information Security Policies (นโยบายความมั่นคงปลอดภัยสารสนเทศ)

• จำนวน Controls: 2
• วัตถุประสงค์: เพื่อกำหนดทิศทางและนโยบายด้านความปลอดภัย
• ตัวอย่าง:
• A.5.1.1: มีการจัดทำนโยบายความมั่นคงปลอดภัยสารสนเทศที่ชัดเจน
• A.5.1.2: ทบทวนและปรับปรุงนโยบายอย่างสม่ำเสมอ

A.6 Organization of Information Security (การจัดการองค์กรด้านความปลอดภัย)

• จำนวน Controls: 7
• วัตถุประสงค์: จัดโครงสร้างและกำหนดบทบาทหน้าที่เพื่อสนับสนุนความปลอดภัย
• ตัวอย่าง:
• A.6.1.1: กำหนดบทบาทและความรับผิดชอบที่เกี่ยวข้องกับความปลอดภัย
• A.6.1.5: มีนโยบายสำหรับการทำงานระยะไกล (Remote Working)

A.7 Human Resource Security (ความปลอดภัยของทรัพยากรบุคคล)

• จำนวน Controls: 6
• วัตถุประสงค์: รับรองว่าพนักงานและผู้รับเหมาเข้าใจและปฏิบัติตามนโยบายความปลอดภัย
• ตัวอย่าง:
• A.7.1.2: มีการกำหนดเงื่อนไขการจ้างงานที่รวมถึงความรับผิดชอบด้านความปลอดภัย
• A.7.2.2: จัดอบรมความตระหนักด้านความมั่นคงปลอดภัยให้พนักงาน

A.8 Asset Management (การจัดการทรัพย์สิน)

• จำนวน Controls: 10
• วัตถุประสงค์: ระบุและปกป้องทรัพย์สินที่มีความสำคัญ เช่น ข้อมูลและอุปกรณ์
• ตัวอย่าง:
• A.8.1.1: จัดทำบัญชีทรัพย์สินสารสนเทศ (Inventory of Assets)
• A.8.2.1: จำแนกข้อมูลตามระดับความลับ (Classification of Information)

A.9 Access Control (การควบคุมการเข้าถึง)

• จำนวน Controls: 14
• วัตถุประสงค์: จำกัดการเข้าถึงข้อมูลและระบบตามความจำเป็น
• ตัวอย่าง:
• A.9.1.1: มีนโยบายควบคุมการเข้าถึง (Access Control Policy)
• A.9.4.1: จำกัดการเข้าถึงรหัสผ่านและข้อมูลที่ละเอียดอ่อน

A.10 Cryptography (การเข้ารหัส)

• จำนวน Controls: 2
• วัตถุประสงค์: ปกป้องข้อมูลด้วยการเข้ารหัส
• ตัวอย่าง:
• A.10.1.1: มีนโยบายการใช้การเข้ารหัส (Cryptographic Controls)
• A.10.1.2: จัดการกุญแจเข้ารหัสอย่างปลอดภัย

A.11 Physical and Environmental Security (ความปลอดภัยทางกายภาพและสิ่งแวดล้อม)

• จำนวน Controls: 15
• วัตถุประสงค์: ป้องกันการเข้าถึงสถานที่หรืออุปกรณ์โดยไม่ได้รับอนุญาต
• ตัวอย่าง:
• A.11.1.1: มีการควบคุมการเข้าถึงทางกายภาพ (Physical Entry Controls)
• A.11.2.9: มีนโยบาย "โต๊ะสะอาดและหน้าจอว่าง" (Clear Desk and Clear Screen Policy)

A.12 Operations Security (ความปลอดภัยในการปฏิบัติการ)

• จำนวน Controls: 14
• วัตถุประสงค์: รับรองว่าระบบและการปฏิบัติการมีความปลอดภัย
• ตัวอย่าง:
• A.12.2.1: ป้องกันมัลแวร์ (Malware Protection)
• A.12.4.1: บันทึกและตรวจสอบเหตุการณ์ (Event Logging)

A.13 Communications Security (ความปลอดภัยในการสื่อสาร)

• จำนวน Controls: 7
• วัตถุประสงค์: ปกป้องข้อมูลที่ส่งผ่านเครือข่าย
• ตัวอย่าง:
• A.13.1.1: มีการควบคุมเครือข่าย (Network Controls)
• A.13.2.3: มีข้อตกลงรักษาความลับกับบุคคลที่สาม (Confidentiality Agreements)

A.14 System Acquisition, Development and Maintenance (การจัดหา พัฒนา และบำรุงรักษาระบบ)

• จำนวน Controls: 13
• วัตถุประสงค์: รวมความปลอดภัยในวงจรชีวิตของระบบ
• ตัวอย่าง:
• A.14.2.1: มีนโยบายพัฒนาระบบอย่างปลอดภัย (Secure Development Policy)
• A.14.2.7: ควบคุมการพัฒนาที่จ้างบุคคลภายนอก (Outsourced Development)

A.15 Supplier Relationships (ความสัมพันธ์กับผู้จัดหา)

• จำนวน Controls: 5
• วัตถุประสงค์: บริหารความเสี่ยงจากผู้ให้บริการภายนอก
• ตัวอย่าง:
• A.15.1.1: มีนโยบายความปลอดภัยสำหรับซัพพลายเออร์
• A.15.2.1: ติดตามและตรวจสอบการให้บริการจากซัพพลายเออร์

A.16 Information Security Incident Management (การจัดการเหตุการณ์ด้านความปลอดภัย)

• จำนวน Controls: 7
• วัตถุประสงค์: รับมือและเรียนรู้จากเหตุการณ์ความปลอดภัย
• ตัวอย่าง:
• A.16.1.1: มีแผนรับมือเหตุการณ์ (Incident Response Plan)
• A.16.1.5: รายงานเหตุการณ์ตามที่กำหนด

A.17 Information Security Aspects of Business Continuity Management (ความปลอดภัยในความต่อเนื่องทางธุรกิจ)

• จำนวน Controls: 4
• วัตถุประสงค์: รับรองความต่อเนื่องเมื่อเกิดเหตุฉุกเฉิน
• ตัวอย่าง:
• A.17.1.2: จัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan)
• A.17.2.1: ทดสอบแผนความต่อเนื่องอย่างสม่ำเสมอ

A.18 Compliance (การปฏิบัติตามกฎหมายและข้อกำหนด)

• จำนวน Controls: 8
• วัตถุประสงค์: ปฏิบัติตามกฎหมายและข้อกำหนดที่เกี่ยวข้อง
• ตัวอย่าง:
• A.18.1.1: ระบุกฎหมายที่ต้องปฏิบัติตาม (Legal Requirements)
• A.18.2.1: ดำเนินการตรวจสอบความปลอดภัยโดยอิสระ

การนำ Annex A ไปใช้

• การเลือก Controls: องค์กรไม่จำเป็นต้องใช้ทั้ง 114 ข้อ แต่ต้องเลือกตามผลการประเมินความเสี่ยง โดยอธิบายเหตุผลใน "Statement of Applicability" (SoA)
• การปรับแต่ง: สามารถปรับ Controls ให้เหมาะสมกับบริบท เช่น ขนาดขององค์กรหรือประเภทของภัยคุกคาม
• การตรวจสอบ: หน่วยรับรอง (Certification Body) จะตรวจสอบว่า Controls ที่เลือกมานั้นเพียงพอและมีประสิทธิภาพหรือไม่

ตัวอย่างการใช้งานจริง

สมมติหน่วยงาน CII ในประเทศไทย เช่น ระบบธนาคาร อาจเน้น:

• A.9 Access Control: จำกัดการเข้าถึงข้อมูลลูกค้า
• A.10 Cryptography: เข้ารหัสธุรกรรมออนไลน์
• A.12 Operations Security: ป้องกันมัลแวร์ในระบบ ATM