NIST Cybersecurity Framework

3/Jun/2021
Audit and Compliance


    ปัจจุบันมีมาตรฐานมากมายที่สามารถนำมาประยุกต์ใช้ในการออกแบบระบบรักษาความปลอดภัยทำให้องค์กรปลอดภัยจากภัยคุกคามทางไซเบอร์ได้หลากหลายวิธีการ วันนี้ผู้เขียนจะนำ Cyber Security Frameworks 1 ตัวมาแนะนำ ของทาง NIST Cybersecurity Framework หรือหลายท่านอาจจะอ่านออกเสียงว่า “นิช” และปัจจุบันแนวทางการออกแบบพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่เพิ่งออกมาก็มีกรอบการพัฒนาและเขียนมาจากการยกมาตรฐานของ NIST มาใช้อ้างอิงเช่นกัน

    โดยหน่วยงาน NIST คือ เป็นหน่วยงานหนึ่งของกระทรวงพาณิชย์สหรัฐ ที่สนับสนุนและรักษามาตรฐานความปลอดภัยในหลายๆ ด้านเพื่อปกป้องระบบขององค์กรโดยเป้าหมายหลักเพื่อส่งเสริมนวัตกรรมและการแข่งขันในอุตสาหกรรม โดยความก้าวหน้าทางวิทยาศาสตร์ การวัดมาตรฐานและเทคโนโลยีในรูปแบบที่ช่วยเพิ่มความมั่นคงทางเศรษฐกิจ และการปรับปรุงคุณภาพชีวิตของเราให้ดียิ่งขึ้น

    ในช่วงปี 2018 ได้มีการออกเอกสาร หรือแนวทางการออกแบบความปลอดภัยออกมาภายใต้ชื่อเอกสาร NIST Cybersecurity Framework 1.1 เพื่อเป็นกรอบการออกแบบและวางกลยุทธิ์ให้ระบบรักษาความปลอดภัยทางไซเบอร์ โดยเป็นที่ยอมรับอย่างแพร่หลายด้วยแนวทางการปฏิบัติที่เข้าใจง่ายและเป็นขั้นตอน สามารถปฏิบัติตามได้อย่างทันที ดังนั้นหากองค์กรไหนจะเริ่มออกแบบมาตรฐานหรือยกระดับความปลอดภัยในหน่วยงานให้มีความมั่นคงปลอดภัยด้านไซเบอร์ NIST Cybersecurity Framework 1.1 ถือเป็นแนวทางที่ดีในการนำมาใช้

    โดยหลักการของการออกแบบนั้นได้แบ่งขั้นตอนและแผนการออกเป็น 5 ขั้นตอนหลัก

  • Identify – การระบุและเข้าใจถึงบริบทต่างๆ เพื่อการบริหารจัดการความเสี่ยง
  • Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร
  • Detect – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อตรวจจับสถานการณ์ที่ผิดปกติ
  • Respond – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อรับมือกับสถานการณ์ผิดปกติที่เกิดขึ้น
  • Recovery – การกำหนดขั้นตอนและกระบวนการต่างๆ เพื่อให้ธุรกิจสามารถดำเนินได้อย่างต่อเนื่อง และฟื้นฟูระบบให้กลับคืนมาเหมือนเดิม

    โดยแต่ละขั้นตอนนั้นในเชิงรายละเอียดได้มีการแนะนำแนวทางปฏิบัติที่เป็นการช่วยให้องค์กรสามารถวางแนวทางการยืนยันตัวตน ปกป้อง ตรวจสอบ และตอบสนองต่อภัยคุกคาม และฟื้นฟูระบบหลังจากได้รับผลกระทบไว้ได้อย่างดี พร้อมทั้งกำหนดบทบาทให้คนที่ออกแบบสามารถนำแนวทางปฏิบัติมาใช้ได้ทันที หากลองดูภาพประกอบแล้วจะเข้าใจการออกแบบมากขึ้นว่าจำเป็นต้องเพิ่มมาตรการอะไรเพิ่มเข้าไปในหน่วยงานเพื่อยกระดับเพิ่มบ้างในแต่ละขั้นตอน

    จากภาพที่ยกตัวอย่างจะเห็นได้ชัดเจนว่าการนำ NIST Cybersecurity Framework มาใช้เป็นแนวทางการพัฒนาพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ตามแต่ละขั้นตอนของ NIST เลย ดังนั้นการทำให้ระบบของหน่วยงานมีความพร้อมและสามารถตรวจสอบรับมือต่อภัยคุกคามได้นั้นสามารถใช้แนวทางการออกแบบโดยใช้ NIST Cybersecurity Framework 1.1 มาประยุกต์เพื่อพัฒนาต่อได้ทันที

    ที่สนใจนำ NIST Cybersecurity Framework เข้ามาประยุกต์ในภายในองค์กร สามารถดูรายละเอียดเพิ่มเติมและดาวน์โหลดเอกสารฟรีได้ที่ : https://www.nist.gov/cyberframework
NIST Cybersecurity Framework
3/Jun/2021
ปัจจุบันมีมาตรฐานมากมายที่สามารถนำมาประยุกต์ใช้ในการออกแบบระบบรักษาความปลอดภัยทำให้องค์กรปลอดภัยจากภัยคุกคามทางไซเบอร์ได้หลากหลายวิธีการ วันนี้ผู้เขียนจะนำ Cyber Security Frameworks 1 ตัวมาแนะนำ ของทาง NIST Cybersecurity Framework หรือหลายท่านอาจจะอ่านออกเสียงว่า “นิช” และปัจจุบันแนวทางการออกแบบพระราชบัญญัติ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ที่เพิ่งออกมาก็มีกรอบการพัฒนาและเขียนมาจากการยกมาตรฐานของ NIST มาใช้อ้างอิงเช่นกัน
NIST SP 800-88 Media Erasure
3/Jun/2021
การออกแบบระบบเพื่อให้รองรับมาตรฐานการลบข้อมูล เป็นเรื่องที่พูดเพิ่มเติมขึ้นมาหลังจากได้มีกฎหมายหรือข้อบังคับเพื่อปกป้องการทำลายข้อมูลให้ไม่สามารถนำกลับมาใช้ใหม่ได้ หรือ ไม่ให้สามารถนำไปกู้คืนได้นั้นเอง ธุรกิจอย่างธนาคารที่จำเป็นต้องทำการทำลายข้อมูลทันทีหลังจากที่มีการขอบริการจากภายนอกเพื่อทำการทดสอบ หรือ จ้างวานเพียงชั่วคราวหรือในลักษณะคู่สัญญา เพื่อปกป้องความลับของการพัฒนาหรือข้อมูลระหว่างการใช้งานจึงจำเป็นต้องทำลายข้อมูลทิ้งทันทีหลังจากที่หมดสัญญา หรือ หลังจากที่การทดสอบต่างๆสิ้นสุดลง และปัจจ
การรับมือทาง Cyber ของฝั่งโรงพยาบาลและธุรกิจด้านสุขภาพ
8/Jun/2021
ช่วงนี้หลายประเทศคงวุ่นวายในการจัดหาวัคซีนโควิด-19 กันอยู่เป็นแน่ แต่ในขณะที่หลายองค์กรกำลังให้ความสนใจกับวัคซีนเหล่าอาชญากรไซเบอร์เองก็ให้ความสนใจกับบริษัทหรือธุรกิจที่ทำวัคซีนหรือผลิตยามากขึ้น
Mitre Engenuity Part 1 คืออะไร
12/Jun/2021
MITRE Engenuity หรือ หลายๆ บทความและเอกสารด้านความมั่นคงปลอดภัยทางไซเบอร์ได้อ้างถึงอยู่บ่อยๆอย่าง MITRE ATT&CK เป็นองค์กรไม่แสวงหาผลกำไรที่ก่อตั้งขึ้นเมื่อปี ค.ศ. 1958 โดยมีจุดประสงค์เพื่อ “แก้ไขปัญหาเพื่อโลกที่ปลอดภัยกว่าเดิม”