การประชุมเชิงปฏิบัติการสําหรับหนวยงานควบคุมหรือกํากับดูแลหนวยงาน

ของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
ประจําป พ.ศ.2565 (NCSA Cyber Clinic 2022) ครั้งที่ 1/2565

รองศาสตราจารย ดร.พงษพิสิฐ วุฒิดิษฐโชติ

ภาควิชาการสื่อสารขอมูลและเครือขาย
คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกลาพระนครเหนือ (มจพ.)
Pongpisit.w@itd.kmutnb.ac.th
Line ID: pongpisitw

สํานักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอรแหงชาติ, 28 ตุลาคม 2564

1
Version 1.0 ปรับปรุงลาสุด 28 ตุลาคม 2564 เวลา 01.50 น.
 Outline
แนวทางการจัดทํา/ทบทวนการบริหารความเสียงตามนโยบายการบริหารจัดการ

แนวทางการประเมินความเสียงด้านไซเบอร์ตามประมวลแนวทางการปฏิบตั ิ
(การประเมินความเสียง)

แนวทางการจัดทํา/ทบทวนนโยบายและแนวปฏิบตั ิตามนโยบายการบริหารจัดการ
(นโยบายและแนวปฏิบัต)ิ

2
3
มาตรา 9 คณะกรรมการการรักษาความมั่นคง
ปลอดภัยไซเบอรแหงชาติ (กมช.) มีหนาที่และ
อํานาจ (ราง) นโยบายบริหารจัดการที่เกี่ยวกับ
การรักษาความมั่นคงปลอดภัยไซเบอร
สําหรับหนวยงานของรัฐ และหนวยงาน
(2) กําหนดนโยบายการบริหารจัดการที่ โครงสรางพื้นฐานสําคัญทางสารสนเทศ
เกี่ยวกับการรักษาความมั่นคงปลอดภัย
ไซเบอรสําหรับหนวยงานของรัฐ และ
หนวยงานโครงสรางพืน้ ฐานสําคัญทาง
สารสนเทศ

4
กระบวนการจัดทํา - วิธีการดําเนินงาน

5
นโยบายฯ นี มีผลบังคับใช้ภายในหนึง (1) ปี นับถัดจากวันทีประกาศ
6
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอรสําหรับ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ

3.1.1 ตองจัดโครงสรางองคกรใหมีการถวงดุล โดยจัดโครงสรางองคกร พรอมกําหนด

อํานาจ บทบาทหนาที่ และความรับผิดชอบ (Authorities, Roles and
Responsibilities) ที่ชัดเจนเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไซเบอร
ใหมีการถวงดุลตามหลักการควบคุม กํากับ และตรวจสอบ (Three Lines of
Defense)

3.1.2 การกําหนดใหมีผูรับผิดชอบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
3.1.2.1 หนวยงานของรัฐ ตองจัดใหมีผูบริหารที่ทาํ หนาที่บริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศ (Head of Information Security) หรือเทียบเทาที่ปฏิบัติ
หนาที่ของหนวยงาน
3.1.2.2 หนวยงาน CII จัดใหมีผูบริหารระดับสูงที่ทําหนาที่บริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศ (Chief Information Security Officer : CISO) หรือเทียบเทา
ที่ปฏิบัติหนาที่เสมือน CISO ของหนวยงาน 7
8
9
แนวปฏิบตั ิเรือง การกํากับดูแลและบริหารจัดการความเสียงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวติ / ประกันวินาศภัย พ.ศ. 2564, 10
https://www.oic.or.th/sites/default/files/file_download/oic_it_risk_mgt_guidelinde_2021.pdf
11
12
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอรสําหรับ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ

3.2.1 ตองจัดทํากรอบการบริหารความเสี่ยงดานความมั่นคงปลอดภัยไซเบอรเปนลาย
ลักษณอักษร

3.2.2 ตองเก็บรักษารายการความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร
ที่ระบุไวในทะเบียนความเสี่ยง (Risk register) ที่เกี่ยวของกับบริการที่สําคัญของ
หนวยงานของรัฐ และโครงสรางพื้นฐานสําคัญทางสารสนเทศ

3.2.3 ต อ งติ ด ตามความเสี่ ย งด า นความมั่ น คงปลอดภั ย ไซเบอร ที่ ร ะบุ ไว อ ย า ง
สม่ําเสมอเพื่อใหแนใจวาอยูภายใตเกณฑระดับความเสี่ยงที่ยอมรับไดที่ระบุไวในขอ
3.2.1 (ก)

13
14
 Risk Management

ISO/IEC 27005:2018 ISO 31000:2018 15

ISO 31000 Risk Management – Principles and Guidelines

Implementation of risk management with PECB risk management framework, 16

https://pecb.com/whitepaper/iso-31000-risk-management--principles-and-guidelines
ISO/IEC 27005 Information Technology – Security Techniques
Information Security Risk Management

A framework has been developed by PECB for information security risk management, 17
https://pecb.com/whitepaper/isoiec-27005-information-technology--security-techniques-information-security-risk-management
18
ตัวอยางระดับความรุนแรง (Impact Level)
ระดับความ
ดาน Operation
รุนแรง
สูงมาก (5) กระทบตอการใหบริการ
Data Center เกิน 2 ชั่วโมง
สูง (4) กระทบตอการใหบริการ
Data Center 1-2 ชั่วโมง
ปานกลาง (3) กระทบตอการใหบริการ
Data Center 30-60 นาที
นอย (2) กระทบตอการใหบริการ
Data Center นอยกวา 30
นาที
นอยที่สุด (1) ไมกระทบตอการปฎิบัติงาน
ดาน Reputation ดาน Compliance
กระทบชื่อเสียงขององคกรอยางรุนแรง การฟองรองและเรียกคาเสียหาย
ทําใหเกิดการตอตานอยางรุนแรงจาก
สาธารณะเชน การประทวง
กระทบชื่อเสียงขององคกรอยางมาก มีขอรองเรียนการใชบริการไปยัง
ทําใหเกิดความไมพอใจอยางมากจาก ระดับกระทรวง
สาธารณะเชน การแสดงความคิดเห็น
คัดคาน
กระทบชื่อเสียงขององคกรปานกลาง มีขอรองเรียนการใชบริการไปยัง
ทําใหเกิดความไมพอใจจากสาธารณะ ระดับกรม
หรือมีการรายงานตอผูบริหารระดับสูง
กระทบชื่อเสียงขององคกรนอย มีขอรองเรียนการใชบริการไปยัง
ภายในกลุมงาน ระดับสถาบัน
กระทบชื่อเสียงขององคกรนอยมาก มีขอรองเรียนการใชบริการไปยัง
หรือไมกระทบ ระดับกลุมงาน
19
http://article.sciencepublishinggroup.com/html/10.11648.j.ajomis.20170201.12.html
20
21
22
http://www.slideshare.net/tschraider/iso27001-risk-assessment-approach
23
ตัวอยางระดับโอกาสความเสี่ยงที่จะเกิดขึ้น (Likelihood)
ระดับโอกาสความเสี่ยงที่จะเกิดขึ้น (Likelihood)
สูงมาก (5) โอกาสเกิดปละมากกวา 10 ครั้ง
สูง (4) โอกาสเกิดขึ้นปละ 8 - 10 ครั้ง
ปานกลาง (3) โอกาสเกิดขึ้นปละ 5 - 7 ครั้ง
ต่ํา (2) โอกาสเกิดขึ้นปละ 2 - 4 ครั้ง
ต่ํามาก (1) โอกาสเกิดขึ้น 1 ครั้งตอป

24
25
 ตัวอยางตารางกําหนดระดับความเสี่ยง

ระดับที่โอกาสความเสี่ยงที่จะเกิดขึ้น (Likelihood)
นอยมาก (1) นอย (2) ปานกลาง (3) สูง (4) สูงมาก (5)
ระดับความรุนแรง (Impact Level)

สูงมาก (5) 5 10 15 20 25

สูง (4) 4 8 12 16 20

ปานกลาง (3) 3 6 9 12 15

นอย (2) 2 4 6 8 10

นอยมาก (1) 1 2 3 4 5
26
 ตัวอยางตารางกําหนดระดับความเสี่ยง

สูงมาก (5) M51 H52 H53 E54 E55

ผลกระทบ (Impact)

สูง (4) M41 42 H43 H44 E45

ปานกลาง (3) L31 M32 M33 M34 M35
นอย (2) L21 L22 L23 M24 M25
นอยที่สุด (1) L11 L12 L13 L14 L15
ต่ํามาก (1) ต่ํา (2) ปานกลาง สูง (4) สูงมาก (5)
(3)
โอกาสที่จะเกิด (Likelihood)

27
การจัดลําดับความเสี่ยง (Risk Prioritization)
ระดับความเสี่ยงโดยรวม ความหมาย ระดับความสําคัญ/ระดับความเรงดวน/
(Risk Exposure) แนวทางปฏิบัติ
สูงมาก ไมสามารถยอมรับได จําเปนเรงดวน ระดั บที่ 1
แผนจัด การความเสี่ยง (Risk Treatment Plan: RTP)
ควรดําเนินการแกไขในทันทีและใหแลวเสร็จภายใน 3 เดือน
นับจากวันที่ไดรับอนุมัติแผน RTP
สูง ไม ส ามารถยอมรั บ ได จะต อ งบริ ห ารความเสี่ ย ง ระดับที่ 2
เพื่อใหอยูในระดับที่ยอมรับได แผนจัดการความเสี่ยง (Risk Treatment Plan: RTP)
ดําเนินการแกไขใหแลวเสร็จภายใน 4 เดือน นับจากวันที่ไดรับ
อนุมัติแผน RTP
ปานกลาง ความเสี่ยงอยูในระดับปานกลาง ระดับที่ 3
ต อ งเฝ า ระวั ง/ควบคุ ม /ติ ด ตามผลอย า งต อ เนื่ อ ง แผนโอกาสในการปรับปรุง (Opportunity for
เพื่อใหความเสี่ยงยังคงอยูในระดับที่ยอมรับได Improvement: OFI) ซึ่งควรดําเนินการแกไขใหแลวเสร็จ
ภายใน 6 เดือน นับจากวันที่ไดรับอนุมัติแผน OFI
ต่ํา ยอมรับความเสี่ยงได โดยไมตองมีการจัดการความ ระดับที่ 4
เสี่ยงเพิ่มเติม ควรดําเนินการแกไขเมื่อมีความพรอมทางทรัพยากรในดานตาง ๆ
ควรเฝ า ระวั ง /ควบคุ ม /ติ ดตามผลอย า งต อ เนื่ อ ง หรือเฝาระวังการเปลี่ยนแปลง
เพื่อใหความเสี่ยงยังคงอยูในระดับที่ยอมรับได
28
การติดตามและทบทวนความเสียง

ความเสียง ความเสียง
ทีถูกจัดการ ทีถูกจัดการ

ความเสียง ความเสียง การจัดการ

ก่อนจัดการ ทีเหลือ หลังทบทวน
ระดับความเสียงทียอมรับได้
ความเสียง
ทียอมรับได้

ตอบสนองความเสียง ติดตามทบทวน
29
http://www.slideshare.net/PECBCERTIFICATION/the-significance-of-the-shift-to-risk-management-from-threat-vulnerability-assessment-in-isms 30
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 31
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 32
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 33
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 34
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 35
 36
https://pecb.com/article/key-steps-for-an-effective-iso-27001-risk-assessment-and-treatment
 37
https://csrc.nist.gov/projects/risk-management/about-rmf
38
39
40
41
42
43
44
https://venturebeat.com/2021/08/17/15-top-paying-it-certifications-for-2021/
45
 2017

Cybersecurity Jobs Amongst the Highest Paying in the Industry – New Report Reveals 46
SEPTEMBER 18, 2017, https://cybersecuritybrain.ca/cybersecurity-jobs-amongst-highest-paying/
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอรสําหรับ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ

3.3.1 ตองกําหนด และอนุมัตินโยบาย มาตรฐาน และแนวทางในการจัดการความ

เสี่ยงดานความมั่นคงปลอดภัยไซเบอร และการปองกันบริการที่สาํ คัญของหนวยงาน
ของรัฐ และโครงสรางพื้นฐานสําคัญทางสารสนเทศ จากภัยคุกคามทางไซเบอร

3.3.2 ต องทบทวนนโยบาย มาตรฐาน และแนวทางปฏิบั ติกับ สภาพแวดล อมการ

ปฏิบัติการไซเบอรของบริการที่สําคัญของหนวยงานของรัฐ และโครงสรางพื้นฐาน
สําคัญทางสารสนเทศ และภูมิทัศนภัยคุกคามทางไซเบอรในปจจุ บันอยางนอยปละ
หนึ่งครั้งโดยนับถัดจากวันที่การทบทวนครั้งสุดทายหรือวันที่มีผลบังคับใชของนโยบาย
มาตรฐาน หรือแนวปฏิบัติแตละขอ

47
48
COMPLIANCE

• สกมช.
• กลต.
• ธปท.
ข้อกําหนดทีเกียวข้อง • กสทช.
• หน่วยงานกํากับต่าง ๆ

วิเคราะห์ข้อกําหนด • ต้องทํา/ห้ามทํา

จัดทํา • นโยบาย ระเบียบ

ข้อกําหนดภายใน คําสัง คูม่ ือ

https://risklesssolutions.com/compliance-audit/ 49
50
 มาตรา 13 คณะกรรมการกํากับดูแลดานความมั่นคง
ปลอดภัยไซเบอร (กกม.) มีหนาที่และอํานาจ ประมวลแนวทางปฏิบัติและ
กรอบมาตรฐานดานการรักษา
(4) กําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานดานการรักษา ความมั่นคงปลอดภัยไซเบอร
ความมั่นคงปลอดภัยไซเบอรอนั เปนขอกําหนดขั้นต่ําในการดําเนินการ
ดานการรักษาความมั่นคงปลอดภัยไซเบอร สําหรับหนวยงานของรัฐ
และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ รวมทั้งกําหนด
มาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัย
คุกคามทางไซเบอร เมื่อมีภัยคุกคามทางไซเบอรหรือเหตุการณที่สง ผล
กระทบหรืออาจกอใหเกิดผลกระทบหรือความเสียหายอยางมีนยั สําคัญ
หรืออยางรายแรงตอระบบสารสนเทศของประเทศ เพื่อใหการรักษา
ความมั่นคงปลอดภัยไซเบอรปฏิบตั ิไดอยางรวดเร็ว มีประสิทธิภาพ
และเปนไปในทิศทางเดียวกัน

“กกม.” หมายถึง คณะกรรมการกํากับดูแลดานความมั่นคงปลอดภัยไซเบอร

51
วัตถุประสงคและขอบเขตการใช
วัตถุประสงค
เพื่อใหการรักษาความมั่นคงปลอดภัยไซเบอรปฏิบัตไิ ดอยางรวดเร็ว มีประสิทธิภาพ และเปนไปใน
ทิศทางเดียวกัน สอดคลองกับมาตรฐานสากล

ขอบเขตการใช
ใชกับของหนวยงานของรัฐ หนวยงานควบคุมหรือกํากับดูแล และหนวยงานโครงสรางพื้นฐานสําคัญ
ทางสารสนเทศ)

52
คํานิยาม
คณะกรรมการ หมายถึง คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอรแหงชาติ
กกม. หมายถึง คณะกรรมการกํากับดูแลดานความมั่นคงปลอดภัยไซเบอร
หนวยงานของรัฐ หมายถึง หนวยงานของรัฐที่ถกู ประกาศเปนหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
บริการที่สําคัญ หมายถึง ภารกิจหรือบริการของหนวยงานของรัฐ และหนวยงาน โครงสรางพื้นฐานสําคัญทาง
สารสนเทศ ตามมาตรา 49
สํานักงาน หมายถึง สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอรแหงชาติ
ดัชนีชี้วัดความเสี่ยงที่สําคัญ หมายถึง เครื่องมือที่ใชวัดกิจกรรมที่อาจจะทําใหองคกรมีความเสี่ยง ที่เพิ่มขึ้น
ชวยติดตามความเสี่ยงพรอมทั้งเปนสัญญาณเตือน เพื่อใหหนวยงานสามารถคาดการณเหตุการณและความเสี่ยง
ในอนาคตและเตรียมมาตรการปองกันกอนเกิดเหตุการณความเสียหาย
53
คํานิยาม (ตอ)
ผู ใ หบ ริ ก ารภายนอก หมายถึ ง บุ ค คลหรื อ นิ ติ บุ ค คลผู ใ ห บ ริ ก ารภายนอก ซึ่ง เป น ผู ให บ ริ ก าร ด า นเทคโนโลยี
สารสนเทศ หรือ เปน ผู ที่มี ก ารเชื่ อ มต อ กั บ ระบบเทคโนโลยีสารสนเทศของหน ว ยงานของรั ฐ และ หนว ยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศ หรือ เปนผูที่สามารถเขาถึงขอมูลสําคัญของหนวยงานของรัฐ และหนวยงาน
โครงสร า งพื้ น ฐานสํ าคั ญ ทางสารสนเทศ หรื อ ข อ มู ล ของผู ใช บ ริ ก ารที่ ควบคุ ม ดู แ ลโดยหน วยงานของรัฐ และ
หนวยงานโครงสรางพื้น ฐานสํ าคั ญทางสารสนเทศได ทั้งนี้ ผูใหบริการภายนอกไมครอบคลุมถึ งผูใชบริการ ที่ใช
ผลิตภัณฑและบริการของหนวยงานของรัฐ และหนวยงาน โครงสรางพื้นฐานสําคัญทางสารสนเทศ
คอมไพเลอร หมายถึง โปรแกรมแปลโปรแกรม ตัวแปลโปรแกรม เปนโปรแกรม คอมพิวเตอรที่ทาํ หนาที่แปลง
ชุดคําสั่งภาษาคอมพิวเตอรหนึ่ง ไปเปนชุดคําสั่งที่มีความหมายเดียวกันในภาษาคอมพิวเตอรอ่นื
แพตช หมายถึง โปรแกรมที่ใชในการปรับปรุงแกไขซอฟตแวร โดยสวนใหญ จะอยูในลักษณะของไฟล และใชเพื่อ
แกไขชองโหวเรื่อง ความมั่นคงปลอดภัย หรือเพื่อเพิ่มความสามารถของ ซอฟตแวร ผูพัฒนาซอฟตแวรหลายรายได
เผยแพร แพตชออกมาเปนระยะ เชน บริษัท Microsoft จะเผยแพรแพตชที่แกไขชองโหวของซอฟตแวรผานระบบ
Windows Update
54
คํานิยาม (ตอ)
Recovery Time Objective (RTO) หมายถึง ระยะเวลาในการกูคืนระบบ
Recovery Point Objective (RPO) หมายถึง ระยะเวลาสูงสุดที่ยอมใหขอมูลเสียหาย
Maximum Tolerance Period of Disruption (MTPD) หมายถึง ระยะเวลาสูงสุดที่ยอมใหธุรกิจหยุดชะงัก
เพื่อรองรับ การดําเนินธุรกิจอยางตอเนื่องของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทาง
สารสนเทศและรองรับการเกิดเหตุการณผิดปกติตาง ๆ ที่อาจสงผลใหเกิดการหยุดชะงักหรือเกิดความเสียหายตอ
ระบบ เชน ภัยคุกคามการทํางานไดตามปกติใหเร็วที่สุด

55
 หมายเหตุ
Maximum Tolerance
Period of Disruption
(MTPD) หรือ MTOPD
หรือ MTD
https://www.seekpng.com/ipng/u2w7i1r5r5o0t4i1_recovery-objectives-rto-rpo-and-mtpd-defining-rto/ 56
 ประมวลแนวทางปฏิบัติ การรักษาความมั่นคงปลอดภัยไซเบอร
มาตรา 44 ประมวลแนวทางปฏิบัตดิ านการรักษาความมั่นคงปลอดภัยไซเบอรตามวรรคหนึ่ง อยางนอยตองประกอบดวยเรื่อง ดังตอไปนี้
(1) แผนการตรวจสอบและประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรโดยผูตรวจประเมิน ผูตรวจสอบภายใน หรือ
ผูตรวจสอบอิสระจากภายนอก อยางนอยปละหนึง่ ครั้ง
(2) แผนการรับมือภัยคุกคามทางไซเบอร

แผนการตรวจสอบดาน การประเมินความเสี่ยง แผนการรับมือภัย

การรักษาความมั่นคง ดานการรักษาความ คุกคามทางไซเบอร
ปลอดภัยไซเบอร มั่นคงปลอดภัยไซเบอร
1 2 3

57
 1.แผนการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร
1.1 ต อ งจัด ใหมี ก ารตรวจสอบด า นความมั่ น คงปลอดภั ย ไซเบอร โ ดยผู ต รวจสอบด า นความมั่ น คงปลอดภั ย สารสนเทศ
ทั้งโดยผูตรวจสอบภายใน หรือโดยผูตรวจสอบอิสระภายนอก อยางนอยปละหนึ่ง (๑) ครั้ง โดยมีขอบเขตของการตรวจสอบ
ดังนี้
(ก) กระบวนการจัดทําและผลการวิเคราะหผลกระทบทางธุรกิจ (Business Impact Analysis: BIA)
(ข) บริการที่สําคัญที่หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศเปนเจาของและใชบริการ ตามผลการวิเคราะหใน
ขอ (ก)
(ค) การปฏิบตั ิตามพระราชบัญญัตินี้ และประมวลแนวทางปฏิบัตินี้และหลักปฏิบัติใด ๆ ที่เกี่ยวของกับประมวลแนวทางปฏิบัติ มาตรฐานการ
ปฏิบัติงาน และที่คณะกรรมการประกาศกําหนด
1.2 หนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศจัดสงผลสรุปรายงานการตรวจสอบ ดานความมั่นคงปลอดภัยไซเบอรตอ
สํานักงานภายในสามสิบ (30) วันนับแตวันที่ดําเนินการแลวเสร็จตามที่กําหนดไวในมาตรา ๕๔ พรอมทั้งสําเนาสงใหหนวยงาน
ควบคุมหรือกํากับดูแลดวย
ทั้งนี้ รูปแบบและรายละเอียดผลสรุปรายงานการตรวจสอบดานความมั่นคงปลอดภัยไซเบอร ใหสํานักงานประกาศกําหนด

58
 1.แผนการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
1.3 ในกรณีที่การตรวจสอบดําเนินการภายใตมาตรา 54 ระบุการไมปฏิบัติตามขอ 1.1 เวนแต กกม. จะระบุเปน
ลายลักษณอักษรเปนอยางอื่น ใหหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ สงแผนการดําเนินการแกไข
ไปยังสํานักงานภายในสามสิบ (30) วันนับถัดจากวันที่ไดรับรายงานการตรวจสอบโดยแผนการดําเนินการแกไข
ตองมีรายละเอียดอยางนอย ดังนี้
(ก) ใหรายละเอียดการดําเนินการแกไขที่หนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศจะดําเนินการเพื่อจัดการกับการไม
ปฏิบัติตาม และ
(ข) กําหนดระยะเวลาสําหรับการดําเนินการตามที่ระบุไวในขอยอย (ก)

59
 1.แผนการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
1.4 ในกรณีที่ กกม. เห็นสมควรใหปรับปรุงแผนการดําเนินการแกไข ใหหนวยงานโครงสรางพื้นฐานสําคัญทาง
สารสนเทศดําเนินการและสงแผนการดําเนินการแกไขที่ไดรับการปรับปรุงแลวไปยังสํานักงานภายในระยะเวลา
ที่ กกม. กําหนด พรอมทั้งสําเนาสงใหหนวยงานควบคุมหรือกํากับดูแลดวย

1.5 เมื่อ แผนการดํ าเนิ นการแกไขไดรับ ความเห็ น ชอบจาก กกม. หน ว ยงานโครงสร า งพื้ น ฐานสํ า คั ญ ทาง
สารสนเทศจะดํ า เนินการตามแผนการดํ า เนิน การแก ไขดั งกล า ว และดํ า เนิ น การแก ไขทั้ งหมดให เ สร็ จ สิ้ น
ภายในระยะเวลาตามที่ระบุไว เพื่อใหผานเกณฑการพิจารณาของ กกม.

60
 2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร

เพื่อใหหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศสามารถประเมิน ความเสี่ยงดาน

การรักษาความมั่นคงปลอดภัยไซเบอรไดอยางมีประสิทธิภาพและตอเนื่อง หนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศตองกําหนดนโยบายการบริหารความเสี่ยงดานการรักษาความมั่นคง
ปลอดภัยไซเบอร ตามที่ระบุไวในนโยบายบริหารจัดการที่เกี่ยวกับการรั กษาความมั่นคงปลอดภัยไซเบอร
สําหรับหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศใหครอบคลุมเรื่องโครงสราง
องคกรและบทบาทหนาที่ของผูที่เกี่ยวของในการบริหารความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร
และต อ งนํ า นโยบายดั งกลา วมาจัด ทํ า ระเบี ย บวิ ธี ป ฏิ บั ติ แ ละกระบวนการในการบริ ห าร ความเสี่ ย งด า น
การรัก ษาความมั่น คงปลอดภั ยไซเบอรข องหนว ยงานของรั ฐ และหน วยงานโครงสร างพื้ น ฐานสํา คั ญ ทาง
สารสนเทศ โดยตองจัดใหมีการประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร อยางนอยปละ
หนึ่ง (1) ครั้ง

61
 2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
โดยครอบคลุมอยางนอยในเรื่องดังตอไปนี้
2.1 การประเมินความเสี่ยง (Risk Assessment)
(ก) การระบุความเสี่ยง (Risk Identification)
ตองระบุถึงความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร ซึ่งรวมถึงความเสี่ยงจากภัยคุกคามทางไซเบอร
และชองโหวตาง ๆ โดยความเสี่ยงดังกลาวอาจมีสาเหตุ มาจากกระบวนการปฏิบตั ิงาน ระบบงาน บุคลากร หรือปจจัย
ภายนอก
(ข) การวิเคราะหความเสี่ยง (Risk Analysis)
ตองเขาใจและวิเคราะหความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร เพื่อหาแนวทางในการจัดการความ
เสี่ยงที่เหมาะสม
(ค) การประเมินคาความเสี่ยง (Risk Evaluation)
ตองประเมินถึงโอกาสที่ความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรจะเกิดขึ้นและผลกระทบตอการ
ปฏิบัติงานและการดําเนินธุรกิจ รวมถึงกําหนดระดับความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรที่ยอมรับได
(Risk Appetite) 62
 2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
2.2 การจัดการความเสี่ยง (Risk Treatment)
ตองมีแนวทางจัดการ ควบคุม และปองกันความเสี่ยงที่เหมาะสมสอดคลองกับผลการประเมิน
ความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร เพื่อใหความเสี่ยงที่เหลืออยู (Residual Risk)
อยูในระดับความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรที่ยอมรับได โดยตองคํานึงถึงความสมดุล
ระหวางตนทุนในการปองกันความเสี่ยงและผลประโยชนท่คี าดวาจะไดรับ
นอกจากนี้ตองกําหนดดัชนีชี้วัดความเสี่ยงที่สําคัญ (Key Risk Indicator: KRI) ดานการรักษา
ความมั่นคงปลอดภัยไซเบอรที่เกี่ยวของกับการดําเนินธุรกิจ ใหสอดคลองกับความสําคัญของความมั่นคง
ปลอดภัยไซเบอรแตละงาน เพื่อใชติดตามและทบทวนความเสี่ยง

63
 2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
2.3 การติดตามและทบทวนความเสี่ยง (Risk Monitoring and Review)
ตองมีกระบวนการที่มีประสิทธิภาพในการติดตาม และทบทวนความเสี่ยงดานการรักษา ความมั่นคง
ปลอดภัยไซเบอร เพื่อใหอยูภายใตระดับความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร ที่ยอมรับไดที่
กําหนดไว

64
 2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
2.4 การรายงานความเสี่ยง (Risk Reporting)
ตองรายงานระดับความเสี่ยงและผลการบริหารความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร
ตอคณะกรรมการของหนวยงานที่ไดรับมอบหมายเปนประจํา เชน ตามรอบการประชุมของคณะกรรมการ
ของหนวยงานที่ไดรับมอบหมาย
ทั้งนี้ ตองทบทวนระเบียบวิธีปฏิบัติและกระบวนการบริหารความเสี่ยงดานการรักษาความมั่นคง
ปลอดภัยไซเบอร อยางนอยปละหนึ่ง (1) ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงอยางมีนัยสําคัญ เชน
กรณีที่มีการเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยไซเบอร ความเสี่ยง มาตรฐานสากล อยางมีนัยสําคัญ

65
 3. แผนการรับมือภัยคุกคามทางไซเบอร
3.1 ตองจัดทําแผนการรับมือภัยคุกคามทางไซเบอร (Cybersecurity Incident Response Plan) ที่กําหนดวาควร
ตอบสนองตอเหตุการณท่เี กี่ยวกับความมั่นคงปลอดภัยไซเบอรอยางไร โดยแผนการรับมือภัยคุกคามทางไซเบอร
ตองระบุรายละเอียดอยางนอย ดังนี้
(ก) โครงสรางทีมรับมือเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร (Cyber Incident Response Team: CIRT) รวมถึง
บทบาทและความรับผิดชอบที่กําหนดไวอยางชัดเจนของสมาชิกในทีมแตละคนและรายละเอียดการติดตอ
(ข) โครงสรางการรายงานเหตุการณ (Incident Reporting Structure) ซึ่งกําหนดวา หนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศจะปฏิบัติตามภาระหนาที่ในการรายงานภายใตพระราชบัญญัติ และกฎหมายยอยใด ๆ
ที่ทําขึ้นภายใตกฎหมายดังกลาว ตลอดจนภาระหนาที่ในการรายงานภายใตกฎหมาย และขอกําหนดดานกฎระเบียบที่เกี่ยวของ
กับโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ค) เกณฑและขั้นตอนในการเรียกใชงาน (Activate) การตอบสนองตอเหตุการณและ CIRT
(ง) ขั้นตอนจํากัดขอบเขต (Containment) ผลกระทบของเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร
(จ) ...
66
 3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
(จ) การเรียกใชงานกระบวนการกูค นื (Recovery Process)
(ฉ) ขั้นตอนในการสอบสวน (Investigate) สาเหตุและผลกระทบของเหตุการณ
(ช) ขั้นตอนการเก็บรักษาหลักฐาน (Preservation of Evidence) กอนเริ่มกระบวนการกูคืน ซึ่งรวมถึงการไดมาของ
บันทึกการยึดหลักฐานคอมพิวเตอรที่ไดมา หรืออุปกรณอื่น ๆ เพื่อสนับสนุนการสอบสวน
(ช) ระเบียบวิธีการมีสวนรวม (Engagement Protocols) กับบุคคลภายนอก หรือแนวปฏิบัติ การบริหารจัดการ
บุคคลภายนอก ซึ่งรวมถึงรายละเอียดการติดตอ ตัวอยางเชน ผูขายสําหรับบริการ ดานนิติวิทยาศาสตร/การกูคืนและ
การบังคับใชกฎหมายเพื่อดําเนินคดี และ
(ฌ) กระบวนการทบทวนหลังการดําเนินการ (After-Action Review Process) เพื่อระบุ และแนะนําใหปรับปรุงการ
ดําเนินการเพื่อปองกันการเกิดซ้ํา

67
 3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
3.2 ตองตรวจสอบใหแนใจวาแผนการรับมือภัยคุกคามทางไซเบอรไดรับการสื่อสารอยางมีประสิทธิผลไปยัง
บุคลากรที่เกี่ยวของทั้งหมดที่สนับสนุนบริการสําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ
ทางสารสนเทศ
3.3 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร อยางนอยปละหนึ่ง (๑) ครั้ง โดยนับตั้งแตวันที่แผนไดรับ
การอนุมัติ
3.4 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร เมื่อมีการเปลี่ยนแปลงอยางมีนัยสําคัญ ในสภาพแวดลอม
การปฏิบัติการทางไซเบอรของบริการที่สําคัญของหนวยงานของรัฐและหนวยงาน โครงสรางพื้นฐานสําคัญทาง
สารสนเทศ หรือขอกําหนดในการตอบสนองตอเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร

68
69
 กรอบมาตรฐานดานการรักษาความมั่นคงปลอดภัยไซเบอร
1. การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก
คอมพิวเตอร ขอมูลคอมพิวเตอร ระบบ
คอมพิวเตอร ขอมูลอื่นที่เกี่ยวของกับระบบ
คอมพิวเตอร ทรัพยสินและชีวิตรางกาย
ของบุคคล (Identify)
1.1 การจัดการทรัพยสิน (Asset
Management)
1.2 การประเมินความเสี่ยงและกลยุทธ
ในการจัดการความเสี่ยง (Risk
Assessment and Risk
Management Strategy)
1.3 การประเมินชองโหว และการ
ทดสอบเจาะระบบ (Vulnerability
Assessment and Penetration
Testing)
1.4 การจัดการผูใหบริการภายนอก
(Third Party Management)
2. มาตรการปองกันความเสี่ยงที่
อาจจะเกิดขึ้น (Protect)
2.1 การควบคุมการเขาถึง (Access
Control)
2.2การทําใหระบบมีความแข็งแกรง
(System Hardening)
2.3การเชื่อมตอระยะไกล (Remote
Connection)
2.4สื่อเก็บขอมูลแบบถอดได
(Removable Storage Media)
2.5การสรางความตระหนักรูดาน
ความมั่นคงปลอดภัยไซเบอร
(Cybersecurity Awareness)
2.6การแบงปนขอมูล (Information
Sharing)
3. มาตรการตรวจสอบและเฝาระวังภัยคุกคามทาง
ไซเบอร (Detect)
3.1 การตรวจสอบและเฝาระวังภัยคุกคามทาง
ไซเบอร (Cyber Threat Detection and
Monitoring)
4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคาม
ทางไซเบอร (Respond)
4.1 แผนการรับมือภัยคุกคามทางไซเบอร
(Cybersecurity Incident Response Plan)
4.2 แผนการสื่อสารในภาวะวิกฤต (Crisis
Communication Plan)
4.3 การฝกซอมความมั่นคงปลอดภัยไซเบอร
(Cybersecurity exercise)
5.มาตรการรักษาและฟนฟูความเสียหายที่เกิดจาก
ภัยคุกคามทางไซเบอร (Recover)
5.1 การรักษาและฟนฟูความเสียหายที่เกิดจาก
ภัยคุกคามทางไซเบอร (Cybersecurity
70
Resilience and Recovery
 1.การระบุความเสี่ยงที่อาจจะเกิดขึ้นแกคอมพิวเตอร ขอมูลคอมพิวเตอร ระบบคอมพิวเตอร
ขอมูลอื่นที่เกี่ยวของกับระบบคอมพิวเตอร ทรัพยสินและชีวิตรางกาย ของบุคคล (Identify)
1.1 การจัดการทรัพยสิน (Asset Management)
1.1.1 ตองมีทะเบียนทรัพยสิน (Inventory) ที่ระบุทรัพยสินของบริการที่สําคัญของหนวยงานของรัฐ และหนวยงานโครงสราง
พื้นฐานสําคัญทางสารสนเทศ และดูแลรักษาทะเบียนทรัพยสนิ ใหเปนปจจุบนั โดยทะเบียนทรัพยสินตองมีขอ มูลอยางนอย ดังนี้
(ก) ชื่อ/คําอธิบายของทรัพยสิน ของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ข) ฟงกชันที่สําคัญของทรัพยสิน ของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ค) การระบุและการจัดลําดับความสําคัญของทรัพยสิน บริการที่สําคัญของหนวยงานของรัฐ และโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ง) เจาของและ/หรือผูดําเนินการของทรัพยสินของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(จ) ตําแหนงทางกายภาพของทรัพยสินของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศแตละรายการ และ
(ฉ) การขึ้นตอกันของทรัพยสินของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศบนระบบ/เครือขายภายใน และ/หรือภายนอก

71
 1.การระบุความเสี่ยงที่อาจจะเกิดขึ้นแกคอมพิวเตอร ขอมูลคอมพิวเตอร ระบบคอมพิวเตอร
ขอมูลอื่นที่เกี่ยวของกับระบบคอมพิวเตอร ทรัพยสินและชีวิตรางกาย ของบุคคล (Identify)
1.1 การจัดการทรัพยสิน (Asset Management) (ตอ)
1.1.2 ตองระบุขอบเขตเครือขายของบริการที่สําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
และระบบคอมพิวเตอรที่เชื่อมตอโดยตรงและมีนัยสําคัญ (Direct and Significant Interface)
1.1.3 ตองมีการตรวจสอบทะเบียนทรัพยสินอยางนอยปละหนึ่ง (1) ครั้ง หากมี การเปลี่ยนแปลงใด ๆ กับทรัพยสินของบริการที่
สําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ ใหปรับปรุงทะเบียนทรัพยสินดังกลาวดวย
1.1.4 ตามมาตรา 54 ตองดําเนินการประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรของบริการที่สําคัญของ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ ทางสารสนเทศซึ่งรวมถึงรายการทั้งหมดที่ระบุไวในทะเบียนทรัพยใน
ขอ 1.1.1 อยางนอยปละหนึ่ง (1) ครั้ง

72
ENISA-Methodologies for the identification of Critical Information
Infrastructure assets and services

Steps of Critical Information Infrastructure identification in a CS-dependent approach

73
 1.การระบุความเสี่ยงที่อาจจะเกิดขึ้นแกคอมพิวเตอร ขอมูลคอมพิวเตอร ระบบคอมพิวเตอร
ขอมูลอื่นที่เกี่ยวของกับระบบคอมพิวเตอร ทรัพยสินและชีวิตรางกาย ของบุคคล (Identify)
1.2 การประเมินความเสี่ยงและกลยุทธในการจัดการความเสี่ยง (Risk Assessment and Risk Management Strategy)
1.2.1 ตองประเมินความเสี่ยงดานความมั่นคงปลอดภัยไซเบอร อยางนอยปละหนึ่ง (1) ครั้ง หรือเมื่อมีการเปลี่ยนแปลงที่สําคัญที่กระทบตอโครงสราง
พื้นฐานสําคัญทางสารสนเทศของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ ตามเกณฑประเมินความเสี่ยงดานการรักษา
ความมั่นคงปลอดภัยไซเบอรที่กําหนดไวในการบริหารความเสี่ยง (Risk Management) ตามนโยบายบริหารจัดการ ที่เกี่ยวกับการรักษาความมั่นคง
ปลอดภัยไซเบอรที่คณะกรรมการประกาศกําหนด
1.2.2 ตองปรับปรุงทะเบียนความเสี่ยงทุกครัง้ หลังการประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร ทะเบียนความเสี่ยงตองจัดทํา
เอกสารดังตอไปนี้
(ก) วันที่ระบุความเสี่ยง (Date the Risk is Identified)
(ข) คําอธิบายของความเสี่ยง (Description of the Risk)
(ค) โอกาสที่จะเกิดขึ้น (Likelihood of Occurrence)
(ง) ความรุนแรงของเหตุการณ (Severity of the Occurrence)
(จ) การจัดการความเสี่ยง (Risk Treatment)
(ฉ) เจาของความเสี่ยง (Risk Owner)
(ช) สถานะของการจัดการความเสี่ยง (Status of Risk Treatment) และ
(ซ) ความเสี่ยงที่เหลือ (Residual Risk) 74
 ความสัมพันธของความมั่นคงปลอดภัยและการโจมตี
สูญเสียรายได
สูญเสียทรัพยสนิ
มัลแวร ทรัพยสิน
สูญเสียชื่อเสียง
แฮกเกอร
คนภายใน สูญเสียชีวิต
ภัยธรรมชาติ
ปดกิจการ
Ref: http://www.infocean.com/index.php
• Threat หมายถึง “สิ่งที่อาจจะกอใหเกิดความเสียหายตอคุณสมบัติองขอมูลดานใดดาน
หนึ่งหรือมากกวา”
• Vulnerability หมายถึง “สภาพหรือสภาวะที่เปนขอบกพรองหรือไมสมบูรณ และหาก
ถูกใชใหเปนประโยชนโดยภัยคุกคามก็อาจทําใหทรัพยสินสารสนเทศขององคกรไดรับ
ความเสียหายได” หรือ “ชองโหว”
• Impact หมายถึง ผลกระทบที่เกิดขึ้นหลังจากการถูกโจมตี
75
Ref: http://gaelrisk.com/Gael-Risk/media/Gael-Risk-Content-Images/risk-identification-vulnerabilities.jpg
เปาหมายของ Security :
Confidential (ความลับ) : ขอมูลจะตองไมถกู เปดเผย เก็บบันทึกการใชงาน
โดยไมเหมาะสม หรือเขาถึงโดยผูที่ไมมสี ิทธิ์
Username, email, PID
Integrity (ความสมบูรณ) : ขอมูลจะตองคงความครบถวน
ไมถูกแกไขเปลี่ยนแปลงจากความเปนจริง การตรวจสอบสิทธิ์
การอนุญาต
Availability (ความพรอมใช) : ผูที่มสี ิทธิ์สามารถเขาถึงขอมูล
และระบบไดเมื่อตองการ

Password, PIN, Token,

Fingerprint, Face

ทรัพยสิน

http://www.lacasamorett.com/foxgallery/authentication-and-authorization.html

76
Risk assessment business impact analysis BCM (gmhasia.com) 77
 ตัวอยาง ASSET-BASED RISK ASSESSMENT และ SCENARIO-BASED RISK ASSESSMENT

Asset Threat Vulnerability Existing Controls Impact Probability Risk

Application การโจมตีทางเครือขาย ไมได Patch อยางเหมาะสม และ High High High
Server ไมไดมีการกําหนดคา Firewall
อยางเหมาะสม
บุคลากรที่ปฏิบัติงานขาด มีการกําหนดคาระบบผิดพลาด High Low Medium
ความใสใจ ทําใหผูไมมีสิทธิ์เขาถึงได

Scenario-based Risk Assessment

Risk Scenario Existing Controls Impact Probability Risk
Outsource นํา USB ที่ติดมัลแวรเขามาเชื่อมตอกับ High High High
ระบบสําคัญ ทําใหมัลแวรแพรกระจายไปยังบริการที่
สําคัญ สงผลใหไมสามารถใหบริการได
*หมายเหตุ ในการประเมินความเสี่ยงในสถานการณจริงมีความซับซอนและมีองคประกอบอื่น ๆ ที่เกี่ยวของมากกวานี้ เชน ตองมีพิจารณามาตรการควบคุม (Existing
Controls) ที่มีอยูเดิมภายในองคกรดวย

78
 ตัวอยางการประเมินความเสี่ยงทรัพยสินแตละรายการ
กระทบตอ ผลกระทบแตละดาน
กลุมของรายการ มาตรการควบคุมใน ผล โอกาส คา
ภัยคุกคาม ชองโหว ระดับความเสี่ยง
ทรัพยสิน ปจจุบนั C I A Operation Reputation Compliance กระทบ ทีจ่ ะเกิด ความเสี่ยง

เครื่อง ถูกขโมยทรัพยสิน วางเครื่องไวในพื้นที่ - มีการควบคุมพื้นที่ 5 2 2 5 2 10 ปานกลาง

Notebook โดยไมไดระมัดระวัง เขาออกแตไมมีกลอง
วงจรปด
- มีการเขารหัสขอมูล
ใน HDD
- ตองใสรหัสผาน
กอนเขาเครื่อง
เครื่อง ติดมัลแวร Antivirus ของ องคกรควบคุมการ 1 1 1 1 1 1 ต่ํา
Notebook องคกรหมดอายุ ติดตั้ง Antivirus
และการ update
ผานระบบ NAC และ
มีการตออายุอยาง
ตอเนื่อง

79
ภัยคุกคาม (Threat)
• เหตุการณที่กระทบตอ Confidentiality, Integrity, Availability
• Natural threats
• Human threats
• Malicious
• Accidental
• Environmental threats
• Malicious insider threats

http://www.pearsonitcertification.com/articles/article.aspx?p=418007&seqNum=4
80
https://www.eccouncil.org/threat-modeling/
81
 82
https://dev.to/caffiendkitten/why-you-need-threat-modeling-3n6p
 Root node with three leaf nodes More detailed attack tree

Attack tree with cost estimates

83
http://etutorials.org/Linux+systems/secure+linux-based+servers/Chapter+1.+Threat+Modeling+and+Risk+Management/Section+1.3.+An+Alternative+Attack+Trees/

1. กําหนดจุดประสงค
2. กําหนดขอบเขคทางเทคนิค
3. แตกรายละเอียด Application
4. วิเคราห Threat
5. วิเคราะห Vulnerability และ
Weakness
6. สรางแบบจําลอง Attack
https://www.eccouncil.org/threat-modeling/
7. วิเคราะหความเสี่ยงและผลกระทบ •หาวีธกี ารบรรเทาและปองกัน Risk
https://www.cyfence.com/article/12-way-to-build-threat-modeling/
•กําหนดวัตถุประสงคทางธุรกิจ
•กําหนด Requirement และ Compliance ทาง Security
•จําลองผลกระทบของ Cyber Threats ที่มีตอธุรกิจ
•ระบุ Boundaries ของแตละ Technology
•ทําโครงสรางการ dependencies ของ infrastructure, Application และ Software
•ระบุ entry point และ trust level ของ Application
•ระบุหนาที่และผูรับผิดชอบแตละคน, ระบุ Asset, ระบุ Service, และระบุ Data Source
•สราง data-flow diagrams (DFDs)
•วิเคราะห Attack Scenario ดวยวิธีทางสถิติ
•สรางแบบจําลอง Security Event
•วิเคราะห Threat Intelligence
•ทําสารบัญ Vulnerability ที่มี โดยรวบรวมจาก report และ issue ที่เคยเกิดขึ้น
•สราง Threat Tree เพื่อเชื่อมโยง Threat กับ Vulnerability
•ทํา Flaw Analysis โดยใช Use case
•ทํา scoring (CVSS/CWSS) และ Enumeration (CWE/CVE)
•วิเคราะห Attack Surface
•สราง Attack Tree Development และทํา Attack Library
•นํา Attack Tree มาวิเคราะหจุดออนที่อาจจะถูก Exploit
•วิเคราะหผลกระทบทางธุรกิจทั้งเชิงปริมาณและเชิงคุณภาพ
•สราง Risk Mitigation Strategy
84
https://www.eccouncil.org/threat-modeling/ 85
https://www.eccouncil.org/threat-modeling/ 86
87
 The role of security controls in mitigating threats
Category Considerations
Input validation Is all input data validated?
•Ensures that a malicious user cannot inject commands or malicious data into the application, such
as HTTP headers, input fields, hidden fields, drop-down lists and other web components.
•The proper length checks on all input exist.
•Data is validated on the server side.
•Only well-formed data hits the database.
•That the validation method itself is secure.
Authentication Are all credentials secured as they are passed over the network?
•Are strong password policies used?
•Are strong passwords enforced?
•Are certificates used?
Authorization Are all authorization mechanisms in place and working properly?
•What log-in prompts are used at the entry points of the application?
•Are authorizations checked on every request or session?
Cookie management Is sensitive session information protected?
•Is the proper encryption in use?
•Is session data being validated?
•What cookies are being used by the application and why?
Sensitive data What sensitive data is handled by the application?
•What type of encryption is used?
•How is the data being used?
•How are encryption keys secured?
88
https://resources.infosecinstitute.com/topic/applications-threat-modeling/
 The role of security controls in mitigating threats
Category Considerations
Session How is the session generated?
management •How does the application track sessions?
•How are persistent session states secured as they cross the network?
•Does session inactivity timeout?
•How is multithreaded/multi-user session management performed?
•How does the logout functionality function?
Cryptography Are the proper algorithms and cryptographic techniques used?
•Does the application use encryption properly?
•How often are keys recycled?
•Is any sensitive data transferred internally or externally after encryption?
Secure code Are the proper memory allocations occurring?
environment •Examine the file structure.
•Examine any components that should not be directly accessible to the user.
•Ensure that no development information is contained in the production directories.
Exception How does the application handle error conditions?
management •Ensure that exceptions and error conditions are properly working.
•Ensure resources are released if an error occurs
•Ensure no system errors can be returned to the user.
•Ensure that the application fails securely.
Auditing and Is necessary application audit activity across your enterprise?
logging •How are log files secured?
•What information is logged in the event of an error?
•Are both successful and unsuccessful authentication attempts logged?
89
https://resources.infosecinstitute.com/topic/applications-threat-modeling/
3 องค์ ประกอบทีช่ วยให้ บรรลุเป้ าหมายด้ านความมันคงปลอดภัย

• คนมักจะเปน สิ่งแรกเสมอ ที่จะเปนผูทําใหเกิดเหตุการณไม

People ปลอดภัยขึ้น

• ภัยคุกคามมักจะชอบเกิดกับองคกรที่มีการปองกันที่ออ นแอ และ

Process ละเลยความสําคัญของการลดความเสี่ยง

• เทคโนโลยีไมสามารถปองกันภัยคุกคามได 100 %
Technology

90
ขอขอบคุ ณ ทุ ก ท่ า น

91