Professional Documents
Culture Documents
NCSA-Cyber-Clinic-2022-1-v1-28Oct2021
NCSA-Cyber-Clinic-2022-1-v1-28Oct2021
ของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
ประจําป พ.ศ.2565 (NCSA Cyber Clinic 2022) ครั้งที่ 1/2565
แนวทางการประเมินความเสียงด้านไซเบอร์ตามประมวลแนวทางการปฏิบตั ิ
(การประเมินความเสียง)
แนวทางการจัดทํา/ทบทวนนโยบายและแนวปฏิบตั ิตามนโยบายการบริหารจัดการ
(นโยบายและแนวปฏิบัต)ิ
2
3
มาตรา 9 คณะกรรมการการรักษาความมั่นคง
ปลอดภัยไซเบอรแหงชาติ (กมช.) มีหนาที่และ
อํานาจ (ราง) นโยบายบริหารจัดการที่เกี่ยวกับ
การรักษาความมั่นคงปลอดภัยไซเบอร
สําหรับหนวยงานของรัฐ และหนวยงาน
(2) กําหนดนโยบายการบริหารจัดการที่ โครงสรางพื้นฐานสําคัญทางสารสนเทศ
เกี่ยวกับการรักษาความมั่นคงปลอดภัย
ไซเบอรสําหรับหนวยงานของรัฐ และ
หนวยงานโครงสรางพืน้ ฐานสําคัญทาง
สารสนเทศ
4
กระบวนการจัดทํา - วิธีการดําเนินงาน
5
นโยบายฯ นี มีผลบังคับใช้ภายในหนึง (1) ปี นับถัดจากวันทีประกาศ
6
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอรสําหรับ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
3.1.2 การกําหนดใหมีผูรับผิดชอบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
3.1.2.1 หนวยงานของรัฐ ตองจัดใหมีผูบริหารที่ทาํ หนาที่บริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศ (Head of Information Security) หรือเทียบเทาที่ปฏิบัติ
หนาที่ของหนวยงาน
3.1.2.2 หนวยงาน CII จัดใหมีผูบริหารระดับสูงที่ทําหนาที่บริหารจัดการความมั่นคง
ปลอดภัยสารสนเทศ (Chief Information Security Officer : CISO) หรือเทียบเทา
ที่ปฏิบัติหนาที่เสมือน CISO ของหนวยงาน 7
8
9
แนวปฏิบตั ิเรือง การกํากับดูแลและบริหารจัดการความเสียงด้านเทคโนโลยีสารสนเทศของบริษัทประกันชีวติ / ประกันวินาศภัย พ.ศ. 2564, 10
https://www.oic.or.th/sites/default/files/file_download/oic_it_risk_mgt_guidelinde_2021.pdf
11
12
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอรสําหรับ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
3.2.1 ตองจัดทํากรอบการบริหารความเสี่ยงดานความมั่นคงปลอดภัยไซเบอรเปนลาย
ลักษณอักษร
3.2.2 ตองเก็บรักษารายการความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร
ที่ระบุไวในทะเบียนความเสี่ยง (Risk register) ที่เกี่ยวของกับบริการที่สําคัญของ
หนวยงานของรัฐ และโครงสรางพื้นฐานสําคัญทางสารสนเทศ
3.2.3 ต อ งติ ด ตามความเสี่ ย งด า นความมั่ น คงปลอดภั ย ไซเบอร ที่ ร ะบุ ไว อ ย า ง
สม่ําเสมอเพื่อใหแนใจวาอยูภายใตเกณฑระดับความเสี่ยงที่ยอมรับไดที่ระบุไวในขอ
3.2.1 (ก)
13
14
Risk Management
A framework has been developed by PECB for information security risk management, 17
https://pecb.com/whitepaper/isoiec-27005-information-technology--security-techniques-information-security-risk-management
18
ตัวอยางระดับความรุนแรง (Impact Level)
ระดับความ
ดาน Operation ดาน Reputation ดาน Compliance
รุนแรง
สูงมาก (5) กระทบตอการใหบริการ กระทบชื่อเสียงขององคกรอยางรุนแรง การฟองรองและเรียกคาเสียหาย
Data Center เกิน 2 ชั่วโมง ทําใหเกิดการตอตานอยางรุนแรงจาก
สาธารณะเชน การประทวง
สูง (4) กระทบตอการใหบริการ กระทบชื่อเสียงขององคกรอยางมาก มีขอรองเรียนการใชบริการไปยัง
Data Center 1-2 ชั่วโมง ทําใหเกิดความไมพอใจอยางมากจาก ระดับกระทรวง
สาธารณะเชน การแสดงความคิดเห็น
คัดคาน
ปานกลาง (3) กระทบตอการใหบริการ กระทบชื่อเสียงขององคกรปานกลาง มีขอรองเรียนการใชบริการไปยัง
Data Center 30-60 นาที ทําใหเกิดความไมพอใจจากสาธารณะ ระดับกรม
หรือมีการรายงานตอผูบริหารระดับสูง
นอย (2) กระทบตอการใหบริการ กระทบชื่อเสียงขององคกรนอย มีขอรองเรียนการใชบริการไปยัง
Data Center นอยกวา 30 ภายในกลุมงาน ระดับสถาบัน
นาที
นอยที่สุด (1) ไมกระทบตอการปฎิบัติงาน กระทบชื่อเสียงขององคกรนอยมาก มีขอรองเรียนการใชบริการไปยัง
หรือไมกระทบ ระดับกลุมงาน
19
http://article.sciencepublishinggroup.com/html/10.11648.j.ajomis.20170201.12.html
20
21
22
http://www.slideshare.net/tschraider/iso27001-risk-assessment-approach
23
ตัวอยางระดับโอกาสความเสี่ยงที่จะเกิดขึ้น (Likelihood)
ระดับโอกาสความเสี่ยงที่จะเกิดขึ้น (Likelihood)
สูงมาก (5) โอกาสเกิดปละมากกวา 10 ครั้ง
สูง (4) โอกาสเกิดขึ้นปละ 8 - 10 ครั้ง
ปานกลาง (3) โอกาสเกิดขึ้นปละ 5 - 7 ครั้ง
ต่ํา (2) โอกาสเกิดขึ้นปละ 2 - 4 ครั้ง
ต่ํามาก (1) โอกาสเกิดขึ้น 1 ครั้งตอป
24
25
ตัวอยางตารางกําหนดระดับความเสี่ยง
ระดับที่โอกาสความเสี่ยงที่จะเกิดขึ้น (Likelihood)
นอยมาก (1) นอย (2) ปานกลาง (3) สูง (4) สูงมาก (5)
ระดับความรุนแรง (Impact Level)
สูงมาก (5) 5 10 15 20 25
สูง (4) 4 8 12 16 20
ปานกลาง (3) 3 6 9 12 15
นอย (2) 2 4 6 8 10
นอยมาก (1) 1 2 3 4 5
26
ตัวอยางตารางกําหนดระดับความเสี่ยง
27
การจัดลําดับความเสี่ยง (Risk Prioritization)
ระดับความเสี่ยงโดยรวม ความหมาย ระดับความสําคัญ/ระดับความเรงดวน/
(Risk Exposure) แนวทางปฏิบัติ
สูงมาก ไมสามารถยอมรับได จําเปนเรงดวน ระดั บที่ 1
แผนจัด การความเสี่ยง (Risk Treatment Plan: RTP)
ควรดําเนินการแกไขในทันทีและใหแลวเสร็จภายใน 3 เดือน
นับจากวันที่ไดรับอนุมัติแผน RTP
สูง ไม ส ามารถยอมรั บ ได จะต อ งบริ ห ารความเสี่ ย ง ระดับที่ 2
เพื่อใหอยูในระดับที่ยอมรับได แผนจัดการความเสี่ยง (Risk Treatment Plan: RTP)
ดําเนินการแกไขใหแลวเสร็จภายใน 4 เดือน นับจากวันที่ไดรับ
อนุมัติแผน RTP
ปานกลาง ความเสี่ยงอยูในระดับปานกลาง ระดับที่ 3
ต อ งเฝ า ระวั ง/ควบคุ ม /ติ ด ตามผลอย า งต อ เนื่ อ ง แผนโอกาสในการปรับปรุง (Opportunity for
เพื่อใหความเสี่ยงยังคงอยูในระดับที่ยอมรับได Improvement: OFI) ซึ่งควรดําเนินการแกไขใหแลวเสร็จ
ภายใน 6 เดือน นับจากวันที่ไดรับอนุมัติแผน OFI
ต่ํา ยอมรับความเสี่ยงได โดยไมตองมีการจัดการความ ระดับที่ 4
เสี่ยงเพิ่มเติม ควรดําเนินการแกไขเมื่อมีความพรอมทางทรัพยากรในดานตาง ๆ
ควรเฝ า ระวั ง /ควบคุ ม /ติ ดตามผลอย า งต อ เนื่ อ ง หรือเฝาระวังการเปลี่ยนแปลง
เพื่อใหความเสี่ยงยังคงอยูในระดับที่ยอมรับได
28
การติดตามและทบทวนความเสียง
ความเสียง ความเสียง
ทีถูกจัดการ ทีถูกจัดการ
ตอบสนองความเสียง ติดตามทบทวน
29
http://www.slideshare.net/PECBCERTIFICATION/the-significance-of-the-shift-to-risk-management-from-threat-vulnerability-assessment-in-isms 30
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 31
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 32
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 33
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 34
Source: RISK IT FRAMEWORK, 2ND EDITION, ISACA 35
36
https://pecb.com/article/key-steps-for-an-effective-iso-27001-risk-assessment-and-treatment
37
https://csrc.nist.gov/projects/risk-management/about-rmf
38
39
40
41
42
43
44
https://venturebeat.com/2021/08/17/15-top-paying-it-certifications-for-2021/
45
2017
Cybersecurity Jobs Amongst the Highest Paying in the Industry – New Report Reveals 46
SEPTEMBER 18, 2017, https://cybersecuritybrain.ca/cybersecurity-jobs-amongst-highest-paying/
นโยบายบริหารจัดการที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอรสําหรับ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
47
48
COMPLIANCE
• สกมช.
• กลต.
• ธปท.
ข้อกําหนดทีเกียวข้อง • กสทช.
• หน่วยงานกํากับต่าง ๆ
วิเคราะห์ข้อกําหนด • ต้องทํา/ห้ามทํา
https://risklesssolutions.com/compliance-audit/ 49
50
มาตรา 13 คณะกรรมการกํากับดูแลดานความมั่นคง
ปลอดภัยไซเบอร (กกม.) มีหนาที่และอํานาจ ประมวลแนวทางปฏิบัติและ
กรอบมาตรฐานดานการรักษา
(4) กําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานดานการรักษา ความมั่นคงปลอดภัยไซเบอร
ความมั่นคงปลอดภัยไซเบอรอนั เปนขอกําหนดขั้นต่ําในการดําเนินการ
ดานการรักษาความมั่นคงปลอดภัยไซเบอร สําหรับหนวยงานของรัฐ
และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ รวมทั้งกําหนด
มาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัย
คุกคามทางไซเบอร เมื่อมีภัยคุกคามทางไซเบอรหรือเหตุการณที่สง ผล
กระทบหรืออาจกอใหเกิดผลกระทบหรือความเสียหายอยางมีนยั สําคัญ
หรืออยางรายแรงตอระบบสารสนเทศของประเทศ เพื่อใหการรักษา
ความมั่นคงปลอดภัยไซเบอรปฏิบตั ิไดอยางรวดเร็ว มีประสิทธิภาพ
และเปนไปในทิศทางเดียวกัน
ขอบเขตการใช
ใชกับของหนวยงานของรัฐ หนวยงานควบคุมหรือกํากับดูแล และหนวยงานโครงสรางพื้นฐานสําคัญ
ทางสารสนเทศ)
52
คํานิยาม
คณะกรรมการ หมายถึง คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอรแหงชาติ
กกม. หมายถึง คณะกรรมการกํากับดูแลดานความมั่นคงปลอดภัยไซเบอร
หนวยงานของรัฐ หมายถึง หนวยงานของรัฐที่ถกู ประกาศเปนหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
บริการที่สําคัญ หมายถึง ภารกิจหรือบริการของหนวยงานของรัฐ และหนวยงาน โครงสรางพื้นฐานสําคัญทาง
สารสนเทศ ตามมาตรา 49
สํานักงาน หมายถึง สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอรแหงชาติ
ดัชนีชี้วัดความเสี่ยงที่สําคัญ หมายถึง เครื่องมือที่ใชวัดกิจกรรมที่อาจจะทําใหองคกรมีความเสี่ยง ที่เพิ่มขึ้น
ชวยติดตามความเสี่ยงพรอมทั้งเปนสัญญาณเตือน เพื่อใหหนวยงานสามารถคาดการณเหตุการณและความเสี่ยง
ในอนาคตและเตรียมมาตรการปองกันกอนเกิดเหตุการณความเสียหาย
53
คํานิยาม (ตอ)
ผู ใ หบ ริ ก ารภายนอก หมายถึ ง บุ ค คลหรื อ นิ ติ บุ ค คลผู ใ ห บ ริ ก ารภายนอก ซึ่ง เป น ผู ให บ ริ ก าร ด า นเทคโนโลยี
สารสนเทศ หรือ เปน ผู ที่มี ก ารเชื่ อ มต อ กั บ ระบบเทคโนโลยีสารสนเทศของหน ว ยงานของรั ฐ และ หนว ยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศ หรือ เปนผูที่สามารถเขาถึงขอมูลสําคัญของหนวยงานของรัฐ และหนวยงาน
โครงสร า งพื้ น ฐานสํ าคั ญ ทางสารสนเทศ หรื อ ข อ มู ล ของผู ใช บ ริ ก ารที่ ควบคุ ม ดู แ ลโดยหน วยงานของรัฐ และ
หนวยงานโครงสรางพื้น ฐานสํ าคั ญทางสารสนเทศได ทั้งนี้ ผูใหบริการภายนอกไมครอบคลุมถึ งผูใชบริการ ที่ใช
ผลิตภัณฑและบริการของหนวยงานของรัฐ และหนวยงาน โครงสรางพื้นฐานสําคัญทางสารสนเทศ
คอมไพเลอร หมายถึง โปรแกรมแปลโปรแกรม ตัวแปลโปรแกรม เปนโปรแกรม คอมพิวเตอรที่ทาํ หนาที่แปลง
ชุดคําสั่งภาษาคอมพิวเตอรหนึ่ง ไปเปนชุดคําสั่งที่มีความหมายเดียวกันในภาษาคอมพิวเตอรอ่นื
แพตช หมายถึง โปรแกรมที่ใชในการปรับปรุงแกไขซอฟตแวร โดยสวนใหญ จะอยูในลักษณะของไฟล และใชเพื่อ
แกไขชองโหวเรื่อง ความมั่นคงปลอดภัย หรือเพื่อเพิ่มความสามารถของ ซอฟตแวร ผูพัฒนาซอฟตแวรหลายรายได
เผยแพร แพตชออกมาเปนระยะ เชน บริษัท Microsoft จะเผยแพรแพตชที่แกไขชองโหวของซอฟตแวรผานระบบ
Windows Update
54
คํานิยาม (ตอ)
Recovery Time Objective (RTO) หมายถึง ระยะเวลาในการกูคืนระบบ
Recovery Point Objective (RPO) หมายถึง ระยะเวลาสูงสุดที่ยอมใหขอมูลเสียหาย
Maximum Tolerance Period of Disruption (MTPD) หมายถึง ระยะเวลาสูงสุดที่ยอมใหธุรกิจหยุดชะงัก
เพื่อรองรับ การดําเนินธุรกิจอยางตอเนื่องของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทาง
สารสนเทศและรองรับการเกิดเหตุการณผิดปกติตาง ๆ ที่อาจสงผลใหเกิดการหยุดชะงักหรือเกิดความเสียหายตอ
ระบบ เชน ภัยคุกคามการทํางานไดตามปกติใหเร็วที่สุด
55
หมายเหตุ
Maximum Tolerance
Period of Disruption
(MTPD) หรือ MTOPD
หรือ MTD
https://www.seekpng.com/ipng/u2w7i1r5r5o0t4i1_recovery-objectives-rto-rpo-and-mtpd-defining-rto/ 56
ประมวลแนวทางปฏิบัติ การรักษาความมั่นคงปลอดภัยไซเบอร
มาตรา 44 ประมวลแนวทางปฏิบัตดิ านการรักษาความมั่นคงปลอดภัยไซเบอรตามวรรคหนึ่ง อยางนอยตองประกอบดวยเรื่อง ดังตอไปนี้
(1) แผนการตรวจสอบและประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรโดยผูตรวจประเมิน ผูตรวจสอบภายใน หรือ
ผูตรวจสอบอิสระจากภายนอก อยางนอยปละหนึง่ ครั้ง
(2) แผนการรับมือภัยคุกคามทางไซเบอร
57
1.แผนการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร
1.1 ต อ งจัด ใหมี ก ารตรวจสอบด า นความมั่ น คงปลอดภั ย ไซเบอร โ ดยผู ต รวจสอบด า นความมั่ น คงปลอดภั ย สารสนเทศ
ทั้งโดยผูตรวจสอบภายใน หรือโดยผูตรวจสอบอิสระภายนอก อยางนอยปละหนึ่ง (๑) ครั้ง โดยมีขอบเขตของการตรวจสอบ
ดังนี้
(ก) กระบวนการจัดทําและผลการวิเคราะหผลกระทบทางธุรกิจ (Business Impact Analysis: BIA)
(ข) บริการที่สําคัญที่หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศเปนเจาของและใชบริการ ตามผลการวิเคราะหใน
ขอ (ก)
(ค) การปฏิบตั ิตามพระราชบัญญัตินี้ และประมวลแนวทางปฏิบัตินี้และหลักปฏิบัติใด ๆ ที่เกี่ยวของกับประมวลแนวทางปฏิบัติ มาตรฐานการ
ปฏิบัติงาน และที่คณะกรรมการประกาศกําหนด
1.2 หนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศจัดสงผลสรุปรายงานการตรวจสอบ ดานความมั่นคงปลอดภัยไซเบอรตอ
สํานักงานภายในสามสิบ (30) วันนับแตวันที่ดําเนินการแลวเสร็จตามที่กําหนดไวในมาตรา ๕๔ พรอมทั้งสําเนาสงใหหนวยงาน
ควบคุมหรือกํากับดูแลดวย
ทั้งนี้ รูปแบบและรายละเอียดผลสรุปรายงานการตรวจสอบดานความมั่นคงปลอดภัยไซเบอร ใหสํานักงานประกาศกําหนด
58
1.แผนการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
1.3 ในกรณีที่การตรวจสอบดําเนินการภายใตมาตรา 54 ระบุการไมปฏิบัติตามขอ 1.1 เวนแต กกม. จะระบุเปน
ลายลักษณอักษรเปนอยางอื่น ใหหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ สงแผนการดําเนินการแกไข
ไปยังสํานักงานภายในสามสิบ (30) วันนับถัดจากวันที่ไดรับรายงานการตรวจสอบโดยแผนการดําเนินการแกไข
ตองมีรายละเอียดอยางนอย ดังนี้
(ก) ใหรายละเอียดการดําเนินการแกไขที่หนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศจะดําเนินการเพื่อจัดการกับการไม
ปฏิบัติตาม และ
(ข) กําหนดระยะเวลาสําหรับการดําเนินการตามที่ระบุไวในขอยอย (ก)
59
1.แผนการตรวจสอบดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
1.4 ในกรณีที่ กกม. เห็นสมควรใหปรับปรุงแผนการดําเนินการแกไข ใหหนวยงานโครงสรางพื้นฐานสําคัญทาง
สารสนเทศดําเนินการและสงแผนการดําเนินการแกไขที่ไดรับการปรับปรุงแลวไปยังสํานักงานภายในระยะเวลา
ที่ กกม. กําหนด พรอมทั้งสําเนาสงใหหนวยงานควบคุมหรือกํากับดูแลดวย
1.5 เมื่อ แผนการดํ าเนิ นการแกไขไดรับ ความเห็ น ชอบจาก กกม. หน ว ยงานโครงสร า งพื้ น ฐานสํ า คั ญ ทาง
สารสนเทศจะดํ า เนินการตามแผนการดํ า เนิน การแก ไขดั งกล า ว และดํ า เนิ น การแก ไขทั้ งหมดให เ สร็ จ สิ้ น
ภายในระยะเวลาตามที่ระบุไว เพื่อใหผานเกณฑการพิจารณาของ กกม.
60
2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร
61
2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
โดยครอบคลุมอยางนอยในเรื่องดังตอไปนี้
2.1 การประเมินความเสี่ยง (Risk Assessment)
(ก) การระบุความเสี่ยง (Risk Identification)
ตองระบุถึงความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร ซึ่งรวมถึงความเสี่ยงจากภัยคุกคามทางไซเบอร
และชองโหวตาง ๆ โดยความเสี่ยงดังกลาวอาจมีสาเหตุ มาจากกระบวนการปฏิบตั ิงาน ระบบงาน บุคลากร หรือปจจัย
ภายนอก
(ข) การวิเคราะหความเสี่ยง (Risk Analysis)
ตองเขาใจและวิเคราะหความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร เพื่อหาแนวทางในการจัดการความ
เสี่ยงที่เหมาะสม
(ค) การประเมินคาความเสี่ยง (Risk Evaluation)
ตองประเมินถึงโอกาสที่ความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรจะเกิดขึ้นและผลกระทบตอการ
ปฏิบัติงานและการดําเนินธุรกิจ รวมถึงกําหนดระดับความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรที่ยอมรับได
(Risk Appetite) 62
2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
2.2 การจัดการความเสี่ยง (Risk Treatment)
ตองมีแนวทางจัดการ ควบคุม และปองกันความเสี่ยงที่เหมาะสมสอดคลองกับผลการประเมิน
ความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร เพื่อใหความเสี่ยงที่เหลืออยู (Residual Risk)
อยูในระดับความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรที่ยอมรับได โดยตองคํานึงถึงความสมดุล
ระหวางตนทุนในการปองกันความเสี่ยงและผลประโยชนท่คี าดวาจะไดรับ
นอกจากนี้ตองกําหนดดัชนีชี้วัดความเสี่ยงที่สําคัญ (Key Risk Indicator: KRI) ดานการรักษา
ความมั่นคงปลอดภัยไซเบอรที่เกี่ยวของกับการดําเนินธุรกิจ ใหสอดคลองกับความสําคัญของความมั่นคง
ปลอดภัยไซเบอรแตละงาน เพื่อใชติดตามและทบทวนความเสี่ยง
63
2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
2.3 การติดตามและทบทวนความเสี่ยง (Risk Monitoring and Review)
ตองมีกระบวนการที่มีประสิทธิภาพในการติดตาม และทบทวนความเสี่ยงดานการรักษา ความมั่นคง
ปลอดภัยไซเบอร เพื่อใหอยูภายใตระดับความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร ที่ยอมรับไดที่
กําหนดไว
64
2. การประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร (ตอ)
2.4 การรายงานความเสี่ยง (Risk Reporting)
ตองรายงานระดับความเสี่ยงและผลการบริหารความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอร
ตอคณะกรรมการของหนวยงานที่ไดรับมอบหมายเปนประจํา เชน ตามรอบการประชุมของคณะกรรมการ
ของหนวยงานที่ไดรับมอบหมาย
ทั้งนี้ ตองทบทวนระเบียบวิธีปฏิบัติและกระบวนการบริหารความเสี่ยงดานการรักษาความมั่นคง
ปลอดภัยไซเบอร อยางนอยปละหนึ่ง (1) ครั้ง และทุกครั้งที่มีการเปลี่ยนแปลงอยางมีนัยสําคัญ เชน
กรณีที่มีการเปลี่ยนแปลงของระบบความมั่นคงปลอดภัยไซเบอร ความเสี่ยง มาตรฐานสากล อยางมีนัยสําคัญ
65
3. แผนการรับมือภัยคุกคามทางไซเบอร
3.1 ตองจัดทําแผนการรับมือภัยคุกคามทางไซเบอร (Cybersecurity Incident Response Plan) ที่กําหนดวาควร
ตอบสนองตอเหตุการณท่เี กี่ยวกับความมั่นคงปลอดภัยไซเบอรอยางไร โดยแผนการรับมือภัยคุกคามทางไซเบอร
ตองระบุรายละเอียดอยางนอย ดังนี้
(ก) โครงสรางทีมรับมือเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร (Cyber Incident Response Team: CIRT) รวมถึง
บทบาทและความรับผิดชอบที่กําหนดไวอยางชัดเจนของสมาชิกในทีมแตละคนและรายละเอียดการติดตอ
(ข) โครงสรางการรายงานเหตุการณ (Incident Reporting Structure) ซึ่งกําหนดวา หนวยงานของรัฐ และหนวยงาน
โครงสรางพื้นฐานสําคัญทางสารสนเทศจะปฏิบัติตามภาระหนาที่ในการรายงานภายใตพระราชบัญญัติ และกฎหมายยอยใด ๆ
ที่ทําขึ้นภายใตกฎหมายดังกลาว ตลอดจนภาระหนาที่ในการรายงานภายใตกฎหมาย และขอกําหนดดานกฎระเบียบที่เกี่ยวของ
กับโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ค) เกณฑและขั้นตอนในการเรียกใชงาน (Activate) การตอบสนองตอเหตุการณและ CIRT
(ง) ขั้นตอนจํากัดขอบเขต (Containment) ผลกระทบของเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร
(จ) ...
66
3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
(จ) การเรียกใชงานกระบวนการกูค นื (Recovery Process)
(ฉ) ขั้นตอนในการสอบสวน (Investigate) สาเหตุและผลกระทบของเหตุการณ
(ช) ขั้นตอนการเก็บรักษาหลักฐาน (Preservation of Evidence) กอนเริ่มกระบวนการกูคืน ซึ่งรวมถึงการไดมาของ
บันทึกการยึดหลักฐานคอมพิวเตอรที่ไดมา หรืออุปกรณอื่น ๆ เพื่อสนับสนุนการสอบสวน
(ช) ระเบียบวิธีการมีสวนรวม (Engagement Protocols) กับบุคคลภายนอก หรือแนวปฏิบัติ การบริหารจัดการ
บุคคลภายนอก ซึ่งรวมถึงรายละเอียดการติดตอ ตัวอยางเชน ผูขายสําหรับบริการ ดานนิติวิทยาศาสตร/การกูคืนและ
การบังคับใชกฎหมายเพื่อดําเนินคดี และ
(ฌ) กระบวนการทบทวนหลังการดําเนินการ (After-Action Review Process) เพื่อระบุ และแนะนําใหปรับปรุงการ
ดําเนินการเพื่อปองกันการเกิดซ้ํา
67
3. แผนการรับมือภัยคุกคามทางไซเบอร (ตอ)
3.2 ตองตรวจสอบใหแนใจวาแผนการรับมือภัยคุกคามทางไซเบอรไดรับการสื่อสารอยางมีประสิทธิผลไปยัง
บุคลากรที่เกี่ยวของทั้งหมดที่สนับสนุนบริการสําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ
ทางสารสนเทศ
3.3 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร อยางนอยปละหนึ่ง (๑) ครั้ง โดยนับตั้งแตวันที่แผนไดรับ
การอนุมัติ
3.4 ตองทบทวนแผนการรับมือภัยคุกคามทางไซเบอร เมื่อมีการเปลี่ยนแปลงอยางมีนัยสําคัญ ในสภาพแวดลอม
การปฏิบัติการทางไซเบอรของบริการที่สําคัญของหนวยงานของรัฐและหนวยงาน โครงสรางพื้นฐานสําคัญทาง
สารสนเทศ หรือขอกําหนดในการตอบสนองตอเหตุการณที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร
68
69
กรอบมาตรฐานดานการรักษาความมั่นคงปลอดภัยไซเบอร
3. มาตรการตรวจสอบและเฝาระวังภัยคุกคามทาง
1. การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก 2. มาตรการปองกันความเสี่ยงที่ ไซเบอร (Detect)
คอมพิวเตอร ขอมูลคอมพิวเตอร ระบบ อาจจะเกิดขึ้น (Protect) 3.1 การตรวจสอบและเฝาระวังภัยคุกคามทาง
คอมพิวเตอร ขอมูลอื่นที่เกี่ยวของกับระบบ 2.1 การควบคุมการเขาถึง (Access ไซเบอร (Cyber Threat Detection and
คอมพิวเตอร ทรัพยสินและชีวิตรางกาย Control) Monitoring)
ของบุคคล (Identify) 2.2การทําใหระบบมีความแข็งแกรง 4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคาม
1.1 การจัดการทรัพยสิน (Asset (System Hardening) ทางไซเบอร (Respond)
Management) 2.3การเชื่อมตอระยะไกล (Remote
4.1 แผนการรับมือภัยคุกคามทางไซเบอร
1.2 การประเมินความเสี่ยงและกลยุทธ Connection)
(Cybersecurity Incident Response Plan)
ในการจัดการความเสี่ยง (Risk 2.4สื่อเก็บขอมูลแบบถอดได
4.2 แผนการสื่อสารในภาวะวิกฤต (Crisis
Assessment and Risk (Removable Storage Media)
Communication Plan)
Management Strategy) 2.5การสรางความตระหนักรูดาน
4.3 การฝกซอมความมั่นคงปลอดภัยไซเบอร
1.3 การประเมินชองโหว และการ ความมั่นคงปลอดภัยไซเบอร
(Cybersecurity exercise)
ทดสอบเจาะระบบ (Vulnerability (Cybersecurity Awareness)
Assessment and Penetration 2.6การแบงปนขอมูล (Information 5.มาตรการรักษาและฟนฟูความเสียหายที่เกิดจาก
Testing) Sharing) ภัยคุกคามทางไซเบอร (Recover)
1.4 การจัดการผูใหบริการภายนอก 5.1 การรักษาและฟนฟูความเสียหายที่เกิดจาก
(Third Party Management) ภัยคุกคามทางไซเบอร (Cybersecurity
70
Resilience and Recovery
1.การระบุความเสี่ยงที่อาจจะเกิดขึ้นแกคอมพิวเตอร ขอมูลคอมพิวเตอร ระบบคอมพิวเตอร
ขอมูลอื่นที่เกี่ยวของกับระบบคอมพิวเตอร ทรัพยสินและชีวิตรางกาย ของบุคคล (Identify)
1.1 การจัดการทรัพยสิน (Asset Management)
1.1.1 ตองมีทะเบียนทรัพยสิน (Inventory) ที่ระบุทรัพยสินของบริการที่สําคัญของหนวยงานของรัฐ และหนวยงานโครงสราง
พื้นฐานสําคัญทางสารสนเทศ และดูแลรักษาทะเบียนทรัพยสนิ ใหเปนปจจุบนั โดยทะเบียนทรัพยสินตองมีขอ มูลอยางนอย ดังนี้
(ก) ชื่อ/คําอธิบายของทรัพยสิน ของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ข) ฟงกชันที่สําคัญของทรัพยสิน ของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ค) การระบุและการจัดลําดับความสําคัญของทรัพยสิน บริการที่สําคัญของหนวยงานของรัฐ และโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(ง) เจาของและ/หรือผูดําเนินการของทรัพยสินของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
(จ) ตําแหนงทางกายภาพของทรัพยสินของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศแตละรายการ และ
(ฉ) การขึ้นตอกันของทรัพยสินของบริการที่สําคัญหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศบนระบบ/เครือขายภายใน และ/หรือภายนอก
71
1.การระบุความเสี่ยงที่อาจจะเกิดขึ้นแกคอมพิวเตอร ขอมูลคอมพิวเตอร ระบบคอมพิวเตอร
ขอมูลอื่นที่เกี่ยวของกับระบบคอมพิวเตอร ทรัพยสินและชีวิตรางกาย ของบุคคล (Identify)
1.1 การจัดการทรัพยสิน (Asset Management) (ตอ)
1.1.2 ตองระบุขอบเขตเครือขายของบริการที่สําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ
และระบบคอมพิวเตอรที่เชื่อมตอโดยตรงและมีนัยสําคัญ (Direct and Significant Interface)
1.1.3 ตองมีการตรวจสอบทะเบียนทรัพยสินอยางนอยปละหนึ่ง (1) ครั้ง หากมี การเปลี่ยนแปลงใด ๆ กับทรัพยสินของบริการที่
สําคัญของหนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญทางสารสนเทศ ใหปรับปรุงทะเบียนทรัพยสินดังกลาวดวย
1.1.4 ตามมาตรา 54 ตองดําเนินการประเมินความเสี่ยงดานการรักษาความมั่นคงปลอดภัยไซเบอรของบริการที่สําคัญของ
หนวยงานของรัฐ และหนวยงานโครงสรางพื้นฐานสําคัญ ทางสารสนเทศซึ่งรวมถึงรายการทั้งหมดที่ระบุไวในทะเบียนทรัพยใน
ขอ 1.1.1 อยางนอยปละหนึ่ง (1) ครั้ง
72
ENISA-Methodologies for the identification of Critical Information
Infrastructure assets and services
ทรัพยสิน
http://www.lacasamorett.com/foxgallery/authentication-and-authorization.html
76
Risk assessment business impact analysis BCM (gmhasia.com) 77
ตัวอยาง ASSET-BASED RISK ASSESSMENT และ SCENARIO-BASED RISK ASSESSMENT
78
ตัวอยางการประเมินความเสี่ยงทรัพยสินแตละรายการ
กระทบตอ ผลกระทบแตละดาน
กลุมของรายการ มาตรการควบคุมใน ผล โอกาส คา
ภัยคุกคาม ชองโหว ระดับความเสี่ยง
ทรัพยสิน ปจจุบนั C I A Operation Reputation Compliance กระทบ ทีจ่ ะเกิด ความเสี่ยง
79
ภัยคุกคาม (Threat)
• เหตุการณที่กระทบตอ Confidentiality, Integrity, Availability
• Natural threats
• Human threats
• Malicious
• Accidental
• Environmental threats
• Malicious insider threats
http://www.pearsonitcertification.com/articles/article.aspx?p=418007&seqNum=4
80
https://www.eccouncil.org/threat-modeling/
81
82
https://dev.to/caffiendkitten/why-you-need-threat-modeling-3n6p
Root node with three leaf nodes More detailed attack tree
83
http://etutorials.org/Linux+systems/secure+linux-based+servers/Chapter+1.+Threat+Modeling+and+Risk+Management/Section+1.3.+An+Alternative+Attack+Trees/
•กําหนดวัตถุประสงคทางธุรกิจ
1. กําหนดจุดประสงค •กําหนด Requirement และ Compliance ทาง Security
•จําลองผลกระทบของ Cyber Threats ที่มีตอธุรกิจ
•ระบุ Boundaries ของแตละ Technology
2. กําหนดขอบเขคทางเทคนิค
•ทําโครงสรางการ dependencies ของ infrastructure, Application และ Software
•ระบุ entry point และ trust level ของ Application
3. แตกรายละเอียด Application •ระบุหนาที่และผูรับผิดชอบแตละคน, ระบุ Asset, ระบุ Service, และระบุ Data Source
•สราง data-flow diagrams (DFDs)
•วิเคราะห Attack Scenario ดวยวิธีทางสถิติ
4. วิเคราห Threat •สรางแบบจําลอง Security Event
•วิเคราะห Threat Intelligence
•ทําสารบัญ Vulnerability ที่มี โดยรวบรวมจาก report และ issue ที่เคยเกิดขึ้น
5. วิเคราะห Vulnerability และ •สราง Threat Tree เพื่อเชื่อมโยง Threat กับ Vulnerability
Weakness •ทํา Flaw Analysis โดยใช Use case
•ทํา scoring (CVSS/CWSS) และ Enumeration (CWE/CVE)
•วิเคราะห Attack Surface
6. สรางแบบจําลอง Attack •สราง Attack Tree Development และทํา Attack Library
•นํา Attack Tree มาวิเคราะหจุดออนที่อาจจะถูก Exploit
https://www.eccouncil.org/threat-modeling/
•วิเคราะหผลกระทบทางธุรกิจทั้งเชิงปริมาณและเชิงคุณภาพ
7. วิเคราะหความเสี่ยงและผลกระทบ •หาวีธกี ารบรรเทาและปองกัน Risk
•สราง Risk Mitigation Strategy
https://www.cyfence.com/article/12-way-to-build-threat-modeling/ 84
https://www.eccouncil.org/threat-modeling/ 85
https://www.eccouncil.org/threat-modeling/ 86
87
The role of security controls in mitigating threats
Category Considerations
Input validation Is all input data validated?
•Ensures that a malicious user cannot inject commands or malicious data into the application, such
as HTTP headers, input fields, hidden fields, drop-down lists and other web components.
•The proper length checks on all input exist.
•Data is validated on the server side.
•Only well-formed data hits the database.
•That the validation method itself is secure.
Authentication Are all credentials secured as they are passed over the network?
•Are strong password policies used?
•Are strong passwords enforced?
•Are certificates used?
Authorization Are all authorization mechanisms in place and working properly?
•What log-in prompts are used at the entry points of the application?
•Are authorizations checked on every request or session?
Cookie management Is sensitive session information protected?
•Is the proper encryption in use?
•Is session data being validated?
•What cookies are being used by the application and why?
Sensitive data What sensitive data is handled by the application?
•What type of encryption is used?
•How is the data being used?
•How are encryption keys secured?
88
https://resources.infosecinstitute.com/topic/applications-threat-modeling/
The role of security controls in mitigating threats
Category Considerations
Session How is the session generated?
management •How does the application track sessions?
•How are persistent session states secured as they cross the network?
•Does session inactivity timeout?
•How is multithreaded/multi-user session management performed?
•How does the logout functionality function?
Cryptography Are the proper algorithms and cryptographic techniques used?
•Does the application use encryption properly?
•How often are keys recycled?
•Is any sensitive data transferred internally or externally after encryption?
Secure code Are the proper memory allocations occurring?
environment •Examine the file structure.
•Examine any components that should not be directly accessible to the user.
•Ensure that no development information is contained in the production directories.
Exception How does the application handle error conditions?
management •Ensure that exceptions and error conditions are properly working.
•Ensure resources are released if an error occurs
•Ensure no system errors can be returned to the user.
•Ensure that the application fails securely.
Auditing and Is necessary application audit activity across your enterprise?
logging •How are log files secured?
•What information is logged in the event of an error?
•Are both successful and unsuccessful authentication attempts logged?
89
https://resources.infosecinstitute.com/topic/applications-threat-modeling/
3 องค์ ประกอบทีช่ วยให้ บรรลุเป้ าหมายด้ านความมันคงปลอดภัย
• เทคโนโลยีไมสามารถปองกันภัยคุกคามได 100 %
Technology
90
ขอขอบคุ ณ ทุ ก ท่ า น
91