เมนู

NIST ประกาศเปิดตัว Cybersecurity Framework 2.0

01 มีนาคม 2567 | วรเมธ บุญทศ

NIST ประกาศเปิดตัว Cybersecurity Framework V.2.0

สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ประกาศอัพเดท Cybersecurity Framework ฉบับปรับปรุงใหม่ 2.0

   เมื่อวันที่ 26 กุมภาพันธ์ 2567 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ได้อัปเดต Cybersecurity Framework (CSF) ที่มีการใช้งานอย่างแพร่หลาย ซึ่งเป็นเอกสารแนวทางสำคัญในการลดความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ฉบับปรับปรุงใหม่ 2.0 ได้รับการออกแบบมาเพื่อให้ผู้ใช้ในทุกกลุ่ม ทั้งภาคอุตสาหกรรมต่างๆ รวมถึงองค์กรทุกประเภท ตั้งแต่โรงเรียนขนาดเล็กและองค์กรไม่แสวงหาผลกำไร ไปจนถึงหน่วยงานและบริษัทต่างๆ โดยไม่คำนึงถึงความซับซ้อนด้านความปลอดภัยทางไซเบอร์โดย NIST ได้ขยายแนวทางหลักของ Cybersecurity Framework (CSF) และได้พัฒนาแหล่งข้อมูลต่างๆ เพื่อช่วยให้ผู้ใช้สามารถใช้ประโยชน์จากกรอบการทำงานนี้ได้อย่างเต็มที่ แหล่งข้อมูลเหล่านี้ได้รับการออกแบบมาเพื่อให้เส้นทางที่ปรับแต่งให้เหมาะกับผู้ใช้ที่หลากหลายเข้าสู่ Cybersecurity Framework (CSF) และทำให้กรอบการทำงานนี้สามารถนำไปปฏิบัติใช้ได้ง่ายขึ้น

  “Cybersecurity Framework (CSF) เป็นเครื่องมือที่สำคัญสำหรับองค์กร เพื่อช่วยให้พวกเขารับมือกับภัยคุกคามด้านความปลอดภัยทางไซเบอร์ได้” Laurie E. Locascio รัฐมนตรีช่วยว่าการกระทรวงพาณิชย์ด้านมาตรฐานและเทคโนโลยีและผู้อำนวยการ NIST กล่าว Cybersecurity Framework (CSF) 2.0 ซึ่งต่อยอดจากเวอร์ชันก่อนหน้า ไม่ได้เป็นเพียงแค่เอกสารเดียว แต่เป็นชุดทรัพยากรที่สามารถปรับแต่งและใช้งานได้ทั้งแบบรายบุคคลหรือใช้ร่วมกัน โดยยืดหยุ่นตามการเปลี่ยนแปลงของความต้องการด้านความปลอดภัยทางไซเบอร์และความสามารถที่พัฒนาขึ้นขององค์กร
   CSF 2.0 สนับสนุนการปฏิบัติตามยุทธศาสตร์ความปลอดภัยทางไซเบอร์แห่งชาติ (National Cybersecurity Strategy) ซึ่งได้ขยายขอบเขตจากเดิมที่เน้นแค่การปกป้องโครงสร้างพื้นฐานที่สำคัญ เช่น โรงพยาบาลและโรงไฟฟ้า โดยให้ครอบคลุมองค์กรทุกแห่งในทุกภาคส่วน นอกจากนี้ยังมีการเพิ่มจุดเน้นใหม่ในเรื่องของการกำกับดูแล (governance) ซึ่งครอบคลุมถึงวิธีการที่องค์กรตัดสินใจและดำเนินการตามกลยุทธ์ด้านความปลอดภัยทางไซเบอร์อย่างชาญฉลาด องค์ประกอบเรื่องการกำกับดูแลของ CSF เน้นย้ำว่าความปลอดภัยทางไซเบอร์ถือเป็นแหล่งความเสี่ยงหลักขององค์กรที่ผู้นำอาวุโสควรพิจารณาควบคู่กับเรื่องอื่นๆ เช่น การเงินและชื่อเสียง

  NIST ได้เผยแพร่ Cybersecurity Framework (CSF) ครั้งแรกในปี 2014 เพื่อช่วยให้องค์กรต่างๆ เข้าใจ ลดความเสี่ยง และสื่อสารเกี่ยวกับความปลอดภัยทางไซเบอร์ได้ดียิ่งขึ้น แกนหลักของกรอบการทำงานนี้แบ่งออกเป็น 6 ส่วนสำคัญ ได้แก่ การระบุตัวตน (Identify) การป้องกัน (Protect) การตรวจจับ (Detect) การตอบสนอง (Respond) การกู้คืน (Recover) และการกำกับดูแล (Govern) ซึ่งเป็นฟังก์ชั่นที่เพิ่มเข้ามาใหม่ใน CSF 2.0 เมื่อทำงานร่วมกัน ฟังก์ชั่นเหล่านี้จะมอบมุมมองที่ครอบคลุมเกี่ยวกับวงจรสำหรับการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์

    นอกจากนี้ CSF 2.0 ยังมีแคตตาล็อกที่สามารถค้นหาได้ ซึ่งแสดงแหล่งข้อมูลอ้างอิง (informative references) เพื่อแสดงให้เห็นว่าการดำเนินการปัจจุบันขององค์กรสอดคล้องกับแนวทางของ CSF อย่างไร แคตตาล็อกนี้อนุญาตให้องค์กรสามารถอ้างอิงแนวทางของ CSF กับเอกสารความปลอดภัยทางไซเบอร์อื่นๆ ได้มากกว่า 50 รายการ รวมถึงเอกสารอื่น ๆ จาก NIST เช่น SP 800-53 Rev. 5 โดยองค์กรยังสามารถใช้เครื่องมือ Cybersecurity and Privacy Reference Tool (CPRT) ซึ่งประกอบด้วยชุดเอกสารแนวทางของ NIST ที่สามารถเรียกดูและดาวน์โหลดได้ นอกจากนี้ CPRT ยังเสนอวิธีการสื่อสารแนวคิดเหล่านี้ให้กับทั้งผู้เชี่ยวชาญด้านเทคนิคและผู้บริหารระดับสูง (C-suite) เพื่อให้ทุกระดับขององค์กรสามารถประสานงานกันได้อย่างมีประสิทธิภาพ “ในขณะที่ผู้ใช้ปรับแต่ง CSF ให้เหมาะกับความต้องการ เราหวังว่าพวกเขาจะแบ่งปันตัวอย่างและความสำเร็จของพวกเขา เพราะจะช่วยให้เราสามารถขยายประสบการณ์ของพวกเขาและช่วยเหลือผู้อื่นได้ สิ่งนี้จะช่วยให้องค์กร ภาคธุรกิจ และแม้แต่ประเทศต่างๆ เข้าใจและจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ได้ดียิ่งขึ้น”

Cybersecurity Framework (CSF) มีการใช้งานอย่างแพร่หลายในระดับนานาชาติ โดยเวอร์ชัน 1.1 และ 1.0 ได้รับการแปลเป็น 13 ภาษา และ NIST คาดว่า Cybersecurity Framework (CSF) 2.0 จะได้รับการแปลเช่นกันโดยอาสาสมัครทั่วโลก การแปลเหล่านี้จะถูกเพิ่มเข้าไปในทรัพยากร Cybersecurity Framework (CSF) ที่กำลังขยายตัวของ NIST ตลอด 11 ปีที่ผ่านมา ความร่วมมือของ NIST กับองค์การระหว่างประเทศว่าด้วยการมาตรฐาน (ISO) โดยควบคู่ไปกับคณะกรรมการไฟฟ้าระหว่างประเทศ (IEC) ได้ช่วยปรับแนวทางเอกสารความปลอดภัยทางไซเบอร์หลายฉบับเข้าด้วยกัน
ปัจจุบัน แหล่งข้อมูลของ ISO/IEC ช่วยให้องค์กรต่างๆ สร้างกรอบการทำงานด้านความปลอดภัยทางไซเบอร์และจัดระเบียบการควบคุมโดยใช้ฟังก์ชันของ Cybersecurity Framework (CSF) โดย NIST ได้วางแผนที่จะทำงานร่วมกับ ISO/IEC ต่อไปเพื่อรักษาการทำงานร่วมกันในระดับสากลนี้

สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ | คลิก

อ้างอิง

NIST Releases Version 2.0 of Landmark Cybersecurity Framework | คลิก