การประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) สำหรับหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical Information Infrastructure หรือ CII) ในประเทศไทย มีรากฐานมาจากพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกำหนดให้หน่วยงานที่เกี่ยวข้องต้องปฏิบัติตามมาตรฐานขั้นต่ำเพื่อป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ โดยเฉพาะหน่วยงาน CII ที่ครอบคลุม 7 ด้านหลัก ได้แก่ ความมั่นคงของรัฐ, บริการภาครัฐที่สำคัญ, การเงินการธนาคาร, เทคโนโลยีสารสนเทศและโทรคมนาคม, การขนส่งและโลจิสติกส์, พลังงานและสาธารณูปโภค, และสาธารณสุข
การประมวลแนวทางปฏิบัติและกรอบมาตรฐาน
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ได้ออก "ประกาศคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ พ.ศ. 2564" เพื่อกำหนดแนวทางและข้อกำหนดขั้นต่ำให้หน่วยงาน CII ดำเนินการ ดังนี้:
- วัตถุประสงค์
- เพื่อให้มีแนวทางปฏิบัติที่เป็นมาตรฐานและสอดคล้องกับหลักสากล เช่น ISO/IEC 27001
- ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่มีผลกระทบต่อระบบสารสนเทศของประเทศ
- สร้างความรวดเร็วและประสิทธิภาพในการดำเนินการเมื่อเกิดเหตุการณ์
- กรอบมาตรฐานที่กำหนด
- การระบุทรัพย์สินและกระบวนการสำคัญ: หน่วยงานต้องระบุระบบหรือกระบวนการที่มีความสำคัญต่อการให้บริการ
- การประเมินความเสี่ยง: ดำเนินการประเมินความเสี่ยงด้านไซเบอร์อย่างน้อยปีละ 1 ครั้ง
- แผนการรับมือภัยคุกคาม: จัดทำแผนรับมือเมื่อเกิดเหตุการณ์ เช่น การแจ้งเตือน การตรวจสอบ และการแก้ไข
- การตรวจสอบและประเมิน: ใช้ผู้ตรวจประเมินภายในหรือผู้ตรวจสอบอิสระเพื่อประเมินความสอดคล้องกับมาตรฐาน
- การฝึกอบรมและสร้างความตระหนัก: พัฒนาบุคลากรให้มีความรู้และทักษะในการจัดการภัยคุกคาม
- มาตรฐานขั้นต่ำ
- สกมช. อ้างอิงมาตรฐานสากล เช่น ISO/IEC 27001 ซึ่งเน้นการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ รวมถึงการรักษาความลับ (Confidentiality), ความสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) ของข้อมูล
- หน่วยงาน CII ต้องมีระบบแจ้งเตือนภัยคุกคาม รวมถึงกระบวนการตอบสนองที่ชัดเจนเมื่อเกิดเหตุ
แบบตรวจประเมินแนวทางปฏิบัติ
แบบตรวจประเมินถูกออกแบบมาเพื่อให้หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงาน CII สามารถวัดระดับการปฏิบัติตามประมวลแนวทางปฏิบัติได้ โดยมีตัวอย่างจาก "(ร่าง) แบบประเมินสถานภาพการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์" ซึ่งประกอบด้วยหัวข้อหลักดังนี้:
- การระบุและจัดลำดับความสำคัญของทรัพย์สิน: ตรวจสอบว่าหน่วยงานมีการระบุระบบสำคัญหรือไม่
- การบริหารความเสี่ยง: มีการประเมินความเสี่ยงและจัดทำแผนลดความเสี่ยงหรือไม่
- มาตรการป้องกัน: มีการติดตั้งระบบป้องกัน เช่น Firewall, IDS/IPS หรือไม่
- การตอบสนองต่อเหตุการณ์: มีกระบวนการแจ้งเตือนและแก้ไขเหตุการณ์ที่ชัดเจนหรือไม่
- การทดสอบและฝึกอบรม: มีการทดสอบระบบและฝึกอบรมบุคลากรอย่างสม่ำเสมอหรือไม่
การนำไปปฏิบัติ
หน่วยงาน CII ต้องจัดทำประมวลแนวทางปฏิบัติของตนเองให้สอดคล้องกับกรอบมาตรฐานของ สกมช. และดำเนินการตรวจสอบอย่างน้อยปีละครั้ง หากหน่วยงานไม่สามารถปฏิบัติได้ตามมาตรฐาน สกมช. สามารถให้ความช่วยเหลือด้านบุคลากรหรือเทคโนโลยีตามคำร้องขอ
ข้อสังเกต
ถึงแม้ว่ามาตรฐานขั้นต่ำจะอิงจาก ISO/IEC 27001 แต่ในทางปฏิบัติ หน่วยงาน CII บางแห่งอาจเผชิญความท้าทาย เช่น ขาดบุคลากรที่มีความเชี่ยวชาญ หรืองบประมาณไม่เพียงพอ ซึ่งอาจส่งผลต่อประสิทธิภาพในการปฏิบัติตามกรอบนี้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น