Page 873 - NEIC_FINAL REPORT
P. 873
โครงการศึกษาการจัดทําแผนยุทธศาสตร์และออกแบบการพัฒนาศูนย์สารสนเทศ พลังงานแห่งชาติเพ่ือรองรับการใช้ข้อมูลขนาดใหญ่ (Big Data) ในการขับเคล่ือน แผนพลังงานของประเทศไทย
รายงานฉบับสมบูรณ์
29
ในการเพิ่มการป้องกันโครงสร้างพื้นฐานที่สําคัญ28 โดยกําหนดกระบวนการดําเนินงาน แบ่งเป็น
5 กระบวนการคือการระบุแยกแยะ การป้องกัน การตรวจสอบ การตอบสนอง และการฟื้นฟู
1) การระบุแยกแยะ(Identify)เป็นมาตรการแยกแยะระบุปัจจัยต่างๆในองค์กรเช่นฐานข้อมูล ทั้งหมด สภาพแวดล้อมขององค์กร ความอ่อนไหวของข้อมูลต่าง ๆ ซึ่งช่วยให้องค์กรเข้าใจตนเอง มากยิ่งขึ้น เพ่ือสามารถจัดการกับการรักษาความ่ันคงปลอดภัยทางไซเบอร์ได้อย่างเหมาะสม
2) การป้องกัน(Protect)เป็นการกําหนดมาตรการป้องกันระบบเพื่อให้ระบบโครงสร้างสามารถ ให้บริการได้ และจํากัดผลกระทบที่อาจเกิดข้ึนจากภัยทางไซเบอร์
ในขั้นตอนนี้รวมไปถึงการมีความปลอดภัยของข้อมูล ซึ่งครอบคลุมม 3 ประการคือการรักษา ความลับ ความถูกต้องของข้อมูล และความพร้อมใช้งานของข้อมูล โดยมาตรการรักษา ความปลอดภัยที่จะจัดให้มีนั้นจะขึ้นอยู่กับความร้ายแรงของผลกระทบที่เกิดขึ้นจากการสูญเสีย การรักษาความลับ ความถูกต้องของข้อมูล หรือความพร้อมใช้งานของข้อมูลไป 30 ความร้ายแรง ของผลกระทบต่างกัน มาตรการที่จะเลือกใช้ก็จะต่างกันออกไปด้วย ขั้นตอนแรกของการทํางาน จึงต้องมีการกําหนดแยกแยะข้อมูลเสียก่อน (โปรดดู...) และเมื่อทราบถึงความร้ายแรงของ ผลกระทบจึงจะกําหนดมาตรการป้องกันที่เหมาะสมต่อไป ซึ่งตามมาตรฐาน NIST ได้กําหนด แนวทางควบคมุ ความปลอดภัยไว้ใน NIST SP 800-53 โดยแบ่งตามระดับผลกระทบ
3) การตรวจสอบ(Detect)เป็นการกําหนดมาตรการตรวจสอบเหตุการณ์ที่เกิดขึ้นเพื่อให้ทราบถึง เหตุการณ์ที่เกิดข้ึน และสามารถรับมือกับภัยทางไซเบอร์ได้อย่างทันท่วงที
4) การตอบสนอง(Respond)เป็นมาตรการที่กําหนดเกี่ยวกับแผนการปฏิบัติเมื่อเกิดเหตุการณ์ขึ้น ช่วยให้สามารถรับมือกับผลกระทบท่ีจะเกิดข้ึนจากภัยทางไซเบอร์ได้
5) การฟื้นฟู(Recover)เป็นมาตรการเกี่ยวกับความสามารถในการฟื้นฟูความสามารถของระบบ ภายหลังเกิดภัยทางไซเบอร์
28 National Institute of Standards and Technology, “New to Framework,” text, NIST, February 5,
ท่ีมา:
2018, https://www.nist.gov/cyberframework/new-framework.
29 National Institute of Standards and Technology, “The Five Functions,” NIST, April 12, 2018, https://www.nist.gov/cyberframework/online-learning/five-functions.
30 NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST SPECIAL PUBLICATION 800-53): SECURITY AND PRIVACY CONTROL FOR FEDERAL INFORMATION SYSTEMS AND ORGANIZATIONS (2013), at 28.
Final Report
รายงานฉบับสมบูรณ์
7.1-79
7 - 79