NIST Cybersecurity Framework ก่อนการเปลี่ยนผ่านสู่ Version 2.0 (EP.1)

หากพูดถึงมาตรฐานด้าน Cybersecurity หลาย ๆ คนน่าจะนึกถึงมาตฐาน ISO/IEC 27001 เป็นอันดับต้น ๆ แต่ในวันนี้ผมจะพาไปทำความรู้จักกับอีกหนึ่งมาตรฐานที่ได้รับความนิยมเช่นกันคือ Cybersecurity Framework จากทาง National Institute of Standards and Technology หรือ NIST

โดย NIST เป็นหน่วยงานหนึ่งภายใต้กระทรวงพาณิชย์ ประเทศสหรัฐอเมริกา ที่ได้มีการประกาศเอกสาร Cybersecurity Framework Version 1.0 ออกมาอย่างเป็นทางการเมื่อวันที่ 12 กุมภาพันธ์ 2557 และหลังจากนั้นก็ได้มีการอัพเดตเป็น Version 1.1 และประกาศอย่างเป็นทางการเมื่อ 16 เมษายน 2561 ซึ่งเป็นการอัปเดตเพื่อให้สอดคล้องกับลักษณะของภัยคุกคามในยุคปัจจุบัน ส่วนในวันนี้จะขอพูดถึง NIST Cybersecurity Framework กันแบบคร่าว ๆ เพื่อเป็นการเตรียมความพร้อมสำหรับ version ใหม่ที่กำลังมีการพัฒนาอยู่ในขณะนี้

NIST Cybersecurity Framework

สำหรับ NIST Cybersecurity Framework เป็นกรอบการทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่ประกอบไปด้วย 3 องค์ประกอบหลัก ได้แก่

• Framework Core
• Framework Implementation Tiers
• Framework Profile

โดยทั้ง 3 องค์ประกอบเป็นการกำหนดเป็นแนวปฏิบัติเพื่อให้นำไปใช้ในการจัดการด้านความปลอดภัยระบบสารสนเทศภายในองค์กร โดยมีรายละเอียด ดังต่อไปนี้

Framework Core เป็นกิจกรรมเพื่อให้บรรลุผลลัพธ์ทางด้านความมั่นคงปลอดภัยทางไซเบอร์ ซึ่งในส่วนของ Core จะประกอบได้ด้วย 4 องค์ประกอบด้วยกัน คือ

• Functions
• Categories
• Subcategories
• Informative References

Ref: Framework for Improving Critical Infrastructure Cybersecurity v1.1

Functions เป็นส่วนหนึ่งภายใต้ Framework Core และยังมีการแบ่งการทำงานออกเป็น 5 ส่วน ซึ่งเป็นกิจกรรมหลักด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยมีรายละเอียดดังต่อไปนี้

1. การระบุ (Identify) เป็นขั้นตอนแรกในการศึกษาทำความเข้าใจบริบท ทรัพยากร และกิจกรรมงานสำคัญ เพื่อบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ที่มีต่อระบบ ทรัพย์สิน ข้อมูล และขีดความสามารถ
2. การป้องกัน (Protect) เป็นการดำเนินการตามมาตรการป้องกันที่เหมาะสมสำหรับการให้บริการโครงสร้างพื้นฐาน โดยมีวัตถุประสงค์เพื่อลดผลกระทบของเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ ครอบคลุมการฝึกอบรมด้านความตระหนัก มาตรการควบคุมการเข้าถึง และมาตรการด้านความมั่นคงปลอดภัยต่างๆ ทั้งกระบวนการและวิธีปฏิบัติ ตลอดจนเทคโนโลยี
3. การตรวจจับ (Detect) เป็นการดำเนินการเพื่อเฝ้าระวังเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้น ครอบคลุมถึงกระบวนการเฝ้าระวังหรือตรวจติดตามต่อเนื่อง
4. การตอบสนอง (Respond) เป็นการดำเนินการเพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ที่ตรวจพบ ครอบคลุมถึงการวางแผนรับมือ การสื่อสาร การวิเคราะห์ การลดความเสี่ยง และการปรับปรุง
5. การคืนสภาพ (Recover) เป็นการดำเนินการตามแผนงาน เพื่อรองรับการดำเนินงานต่อเนื่อง รวมถึงแผนการกู้คืนทั้งด้านขีดความสามารถและบริการให้ได้ตามที่กำหนด

Road to Version 2.0

สำหรับ NIST Cybersecurity Framework นั้นได้มีการเริ่มการพัฒนา version 2.0 มาตั้งแต่ช่วงเดือนกุมภาพันธ์ 2565 โดยเป็นการระดมความคิดเห็นจากภาครัฐและเอกชนกว่า 134 responses และตาม Roadmap ของทาง NIST กำหนดการประกาศเอกสาร version 2.0 ไว้ในปี 2567

Ref: NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework

การอัปเดตเอกสาร Version 2.0 ในครั้งนี้ทาง NIST มีการมองถึงการเปลี่ยนแปลงที่สำคัญไว้ 6 ข้อหลักด้วยกัน คือ

1. CSF 2.0 will explicitly recognize the CSF’s broad use to clarify its potential applications.

• จะเป็นการปรับเปลี่ยนชื่อจาก “Framework for Improving Critical Infrastructure Cybersecurity.” เป็น “Cybersecurity Framework” เพื่อให้ใช้งานอย่างแพร่หลายมากยิ่งขึ้น รวมถึงขอบเขตที่ชัดเจนมากขึ้นไม่จำกัดเฉพาะธุรกิจหรือขนาดใด

2. CSF 2.0 will remain a framework, providing context and connections to existing standards and resources.

• ยังมีการอ้างอิงเอกสาร Risk Management Framework, Privacy Framework, National Initiative for Cyber Security Education Workforce Framework for Cyber Security, and the Secure Software Development Framework จะเป็นการอ้างอิงประกอบกัน

3. CSF 2.0 (and companion resources) will include updated and expanded guidance on Framework implementation.

• มีการปรับปรุง Template ให้มีการใช้งานที่ง่ายและครอบคลุมและพร้อมใช้งาน อีกทั้งยังเป็นการเพิ่มประสิทธิภาพด้านการดำเนินกิจกรรม เพื่อให้การดำเนินการกิจกรรมด้านความมั่นคงปลอดภัยทางไซเบอร์มีประสิทธิภาพมากยิ่งขึ้น

4. CSF 2.0 will emphasize the importance of cybersecurity governance.

• ข้อนี้จะเป็นการกำหนดฟังก์ชั่นการกำกับดูแลใหม่ เพื่อให้ง่ายและชัดเจนในการประเมินผลการดำเนินกิจกรรม รวมไปถึงฟังก์ชั่นการสนับสนุนอื่น ๆ

5. CSF 2.0 will emphasize the importance of cybersecurity supply chain risk management (C-SCRM).

• การจัดการความเสี่ยงด้านซัพพลายเชนเป็นหนึ่งในการปรับปรุงที่สำคัญของเวอร์ชั่นใหม่ ดังนั้นจะคำนึงถึงการระบุ การประเมิน และการจัดการความเสี่ยงของบุคคลที่สาม

6. CSF 2.0 will advance the understanding of cybersecurity measurement and assessment.

• สำหรับเวอร์ชั่นใหม่นั้น จะมีการกำหนดวิธีการใช้มาตรฐาน ซึ่งองค์กรสามารถวัดและประเมินความปลอดภัยทางไซเบอร์และให้ตัวอย่างการวัดผลที่ใช้งานได้จริง

Ref: https://cyberstartupobservatory.com/nist-cyber-security-framework-2-0/

โดยสรุปแล้วจากการที่ NIST ได้มีการพัฒนาเอกสาร Version 2.0 ในครั้งนี้ เป็นการพัฒนากรอบการทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์เพื่อให้สอดคล้องกับภัยคุกคามที่มีการพัฒนาอย่างมากในปัจจุบัน และมุ่งเน้นไปในส่วนของการจัดการทรัพยากรที่มีให้เข้ากับกรอบการทำงานให้มากยิ่งขึ้น และมีการปรับปรุงในส่วนของการวัดประเมินด้านความมั่นคงปลอดภัยทางไซเบอร์ให้ครอบคลุมกับทุกธุรกิจไม่ได้จำกัดแค่ในส่วนของธุรกิจที่มีความเสี่ยงสูง รวมถึงการกำหนดขอบเขตใหม่ที่จะมีความชัดเจนมากยิ่งขึ้น ทั้งนี้ เอกสารอยู่ในช่วงของการพัฒนาโดยที่จะมีการทำ workshop อีกหลายครั้งเพื่อเป็นการระดมความคิดเห็นนำมาปรับปรุงเอกสาร หากมีการอัปเดตข้อมูลออกมาจากทาง NIST ทางผมก็จะมานำเสนอให้ได้ทราบกันครับ

แหล่งอ้างอิง:

1. NIST Framework for Improving Critical Infrastructure Cybersecurity v1.1
2. NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework
3. https://cyberstartupobservatory.com/nist-cyber-security-framework-2-0/