NIST Cybersecurity Framework ก่อนการเปลี่ยนผ่านสู่ Version 2.0 (EP.2)

จากบทความครั้งที่แล้ว (ทำความรู้จัก NIST Cybersecurity Framework ก่อนการเปลี่ยนผ่านสู่ Version 2.0 (EP.1) Link: https://cutt.ly/uwW9D1TJ) ได้พูดถึง NIST Cybersecurity Framework ไปบางส่วนแล้วนั้น

วันนี้เราจะมาดูกันว่า ใน Version 2 ที่ได้มีการประกาศ Initial Public Draft เมื่อวันที่ 8 สิงหาคม 2566 ซึ่งเป็น Version ที่สามารถแก้ไขได้ก่อนการประกาศจริง โดยกำหนดวันสุดท้ายของการเสนอแก้ไข คือ วันที่ 4 พฤศจิกายน 2566 มีอะไรเปลี่ยนแปลงไปบ้าง เราจะนำทุกท่านไปดูรายละเอียดกันครับ

โดยสำหรับ NIST Cybersecurity Framework Version 2 นี้ได้มีการอัปเดตเนื้อหาและข้อกำหนดเข้ามาใหม่พอสมควร รวมถึงได้เพิ่ม Framework Core ส่วนของ Function เข้ามาอีก 1 หมวดคือ GOVERN จากเดิมที่มีเพียง 5 หมวด คือ IDENTIFY, PROTECT, DETECT, RESPOND and RECOVER ในวันนี้เราจะมารู้จักในส่วนของฉบับกันว่ามีอะไรน่าสนบ้างนะครับ

NIST Cybersecurity Framework V2.0

ตามที่ได้บอกไปแล้วนะครับว่าสำหรับ Version ใหม่นั้นมีการเพิ่ม Core function เข้ามาคือ GOVERN โดยจากเอกสารจะมีคำอธิบายของ function ว่า

GOVERN (GV) คือ การจัดทำและติดตามกลยุทธ์การบริหารความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ความคาดหวัง และนโยบายขององค์กร การกำกับดูแลหน่วยงานที่เชื่อมโยงกันและให้ผลลัพธ์เพื่อแจ้งให้ทราบว่าองค์กรจะบรรลุผลสำเร็จและจัดลำดับความสำคัญของผลลัพธ์ของหน่วยงานอีก 5 รูปแบบการทำงานอย่างไรในบริบทของภารกิจและความคาดหวังของผู้มีส่วนได้ส่วนเสีย กิจกรรมการกำกับดูแลมีความสำคัญอย่างยิ่งต่อการผสมผสานการรักษาความปลอดภัยทางไซเบอร์เข้ากับกลยุทธ์การบริหารความเสี่ยงระดับองค์กรในวงกว้างขององค์กร GOVERN กำหนดทิศทางความเข้าใจในบริบทขององค์กร การจัดตั้งกลยุทธ์ความปลอดภัยทางไซเบอร์และการบริหารความเสี่ยงในห่วงโซ่อุปทานด้านความปลอดภัยทางไซเบอร์ บทบาท ความรับผิดชอบ และอำนาจหน้าที่ นโยบาย กระบวนการ และขั้นตอนปฏิบัติ และการกำกับดูแลกลยุทธ์การรักษาความมั่นคงปลอดภัยไซเบอร์

Ref: NIST Cybersecurity Framework V2.0

จากรูปนี้จะแสดงให้เห็นได้ว่า function ที่เพิ่มเข้ามานั้นจะบอกได้ถึงการกำกับดูแลในทุกหัวข้อที่มีอยู่เดิม ซึ่งจะแตกต่างจาก V1.1 ที่ยังไม่มีในส่วนนี้ ดังนั้นถ้าหากจะบอกถึงความสำคัญของการเพิ่มเข้ามาในครั้งนี้ อาจจะบอกได้ว่า เพื่อทำให้การปฏิบัติตามแนวปฏิบัติฉบับนี้ทำงานได้อย่างมีประสิทธิภาพมากขึ้น

สำหรับข้อกำหนดใหม่นี้ จะมีทั้ง 6 functions, 22 categories และ 106 subcategories ที่นี้เราจะมาดูกันต่อว่า ข้อกำหนดอะไรบ้างที่เพิ่มเข้ามาบ้าง

1. GOVERN (GV)

Establish and monitor the organization’s cybersecurity risk management strategy, expectations, and policy

• Organizational Context (GV.OC): The circumstances — mission, stakeholder expectations, and legal, regulatory, and contractual requirements — surrounding the organization’s cybersecurity risk management decisions are understood
• Risk Management Strategy (GV.RM): The organization’s priorities, constraints, risk tolerance and appetite statements, and assumptions are established, communicated, and used to support operational risk decisions.
• Cybersecurity Supply Chain Risk Management (GV.SC): Cyber supply chain risk management processes are identified, established, managed, monitored, and improved by organizational stakeholders.
• Roles, Responsibilities, and Authorities (GV.RR): Cybersecurity roles, responsibilities, and authorities to foster accountability, performance assessment, and continuous improvement are established and communicated
• Policies, Processes, and Procedures (GV.PO): Organizational cybersecurity policies, processes, and procedures are established, communicated, and enforced.
• Oversight (GV.OV): Results of organization-wide cybersecurity risk management activities and performance are used to inform, improve, and adjust the risk management strategy

2. IDENTIFY (ID)

Help determine the current cybersecurity risk to the organization

• Asset Management (ID.AM): Assets (e.g., data, hardware software, systems, facilities, services, people) that enable the organization to achieve business purposes are identified and managed consistent with their relative importance to organizational objectives and the organization’s risk strategy
• Risk Assessment (ID.RA): The organization understands the cybersecurity risk to the organization, assets, and individuals.
• Improvement (ID.IM): Improvements to organizational cybersecurity risk management processes, procedures and activities are identified across all Framework Functions

3. PROTECT (PR)

— Use safeguards to prevent or reduce cybersecurity risk

• Identity Management, Authentication, and Access Control (PR.AA): Access to physical and logical assets is limited to authorized users, services, and hardware, and is managed commensurate with the assessed risk of unauthorized access.
• Awareness and Training (PR.AT): The organization’s personnel are provided cybersecurity awareness and training so they can perform their cybersecurity-related tasks.
• Data Security (PR.DS): Data is managed consistent with the organization’s risk strategy to protect the confidentiality, integrity, and availability of information
• Platform Security (PR.PS): The hardware, software (e.g., firmware, operating systems, applications), and services of physical and virtual platforms are managed consistent with the organization’s risk strategy to protect their confidentiality, integrity, and availability
• Technology Infrastructure Resilience (PR.IR): Security architectures are managed with the organization’s risk strategy to protect asset confidentiality, integrity, and availability, and organizational resilience

4. DETECT (DE)

Find and analyze possible cybersecurity attacks and compromises

• Continuous Monitoring (DE.CM): Assets are monitored to find anomalies, indicators of compromise, and other potentially adverse events
• Adverse Event Analysis (DE.AE): Anomalies, indicators of compromise, and other potentially adverse events are analyzed to characterize the events and detect cybersecurity incidents

5. RESPOND (RS)

Take action regarding a detected cybersecurity incident

• Incident Management (RS.MA): Responses to detected cybersecurity incidents are managed
• Incident Analysis (RS.AN): Investigation is conducted to ensure effective response and support forensics and recovery activities
• Incident Response Reporting and Communication (RS.CO): Response activities are coordinated with internal and external stakeholders as required by laws, regulations, or policies
• Incident Mitigation (RS.MI): Activities are performed to prevent expansion of an event and mitigate its effects

6. RECOVER (RC)

Restore assets and operations that were impacted by a cybersecurity incident

• Incident Recovery Plan Execution (RC.RP): Restoration activities are performed to ensure operational availability of systems and services affected by cybersecurity incidents
• Incident Recovery Communication (RC.CO): Restoration activities are coordinated with internal and external parties

สำหรับ EP.2 นี้ได้พูดถึงสิ่งที่เพิ่มเข้ามาใน Version 2.0 และส่วนของข้อกำหนดต่าง ๆ และสำหรับในครั้งหน้า เราจะมาลงเจาะลึกกันว่า แท้จริงแล้วการทำตามมาตรฐาน NIST Cybersecurity Framework Version 2 นั้น มีอะไรบ้าง จะมีเกณฑ์หรือโครงสร้างเป็นอย่างไร ยังไงไว้พบกันใน EP หน้าครับ สวัสดีครับ