20211217 สไลด์ สกมช ประชุม สป.สธ

ประชมุ ชแ้ี จงแนวทางการดาเนินงานของโรงพยาบาล ทเ่ี ป็นหนว่ ยงานโครงสรา้ งพื้นฐานท่ีสาคญั ทางสารสนเทศ วนั ศุกรท์ ่ี 17 ธันวาคม 2564 เวลา 09.30 – 12.00 น. โดย นาวาอากาศเอก จเด็ด คหู ะกอ้ งกจิ ผู้อานวยการสานักบรหิ ารโครงสรา้ งพื้นฐานสาคญั ทางสารสนเทศ สกมช. CISSP, IRCA ISO 27001 Lead Auditor, CompTIA Security+

Agenda 2.1 หน้าทแ่ี ละความสัมพันธข์ องแต่ละหนว่ ยงาน 2.4 แนวทางการกาหนดเกณฑร์ อง และบริการท่ีสาคญั ตามประกาศ มาตรา 49 โดยใชห้ ลกั การวิเคราะหผ์ ลกระทบทางธุรกจิ (Business Impact Analysis) 2

2.1 หน้าท่ีและความสัมพันธข์ องแต่ละหน่วยงาน 3

สาระสาคัญ พระราชบัญญัติการรักษาความม่นั คงปลอดภัยไซเบอร์ พ.ศ. 2562 - ประกาศในราชกจิ จานุเบกษา เม่ือวันท่ี 27 พฤษภาคม 2562 - มีผลใช้บงั คบั ตง้ั แตว่ ันที่ 28 พฤษภาคม 2562 เปน็ ต้นไป ป้องกนั รับมือ ลดความเส่ียง 4

สาระสาคญั หลักการสาคัญของพระราชบัญญัติ ปอ้ งกนั รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ (เช่น ไวรัส หรือมัลแวร์) ที่จะทาให้เกิดผลกระทบต่อภารกิจหรือ บริการท่ีมีควา มสาคัญเป็นโครงสร้างพ้ื นฐานสาคัญทา ง สารสนเทศ ทั้งหนว่ ยงานของรฐั และหนว่ ยงานเอกชน ให้มีหน่วยงานเพ่ื อรับผิดชอบในการดาเนินการประสานการ ปฏิบัติงานร่วมกันทั้งภาครัฐและเอกชน ไม่ว่าในสถานการณ์ ท่วั ไปหรอื สถานการณอ์ นั เป็นภัยต่อความมน่ั คงอย่างร้ายแรง ตลอดจนกาหนดให้มีแผนปฏิบัติการและมาตรการด้านการ รักษาความม่ันคงปลอดภัยไซเบอร์ อย่างมีเอกภาพและต่อเน่ือง อันจะทาใหก้ ารป้องกันและรับมือกับภัยคุกคามทางไซเบอร์เป็นไป อย่างมปี ระสิทธิภาพ 5

เน้อื หา หมวด 1 หมวด 3 รวมจานวน 83 มาตรา คณะกรรมการ การรักษา ความมั่นคงปลอดภัยไซเบอร์ บททั่วไป กมช. นรม. เปน็ ประธาน (วนั บงั คับใช้/นิยาม/ผ้รู กั ษาการ) กกม. คณะกรรมการ ส่วนที่ 1 ส่วนท่ี 2 ส่วนท่ี 3 ส่วนที่ 4 บทเฉพาะกาล รมว.ดศ. 3 คน รับมอื เป็นประธานฯ เร่งดว่ นได้ทันที นโยบาย การ โครงสรา้ ง การรบั มือ และแผน บริหาร พ้ืนฐาน ภัยคุกคาม จดั การ สาคญั ฯ ฯ หมวด 2 หมวด 4 สานักงาน บทกาหนดโทษ 6

คานยิ ามทสี่ าคญั ➢ “ภยั คกุ คามทางไซเบอร์” หมายความว่า การกระทาหรือการดาเนินการใดๆ โดยมิชอบ โดยใช้คอมพิวเตอร์หรือระบบ คอมพิ วเตอร์หรือโปรแกรมไม่พึ งประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอ่ืนที่เก่ียวข้อง และเป็นภยันตรายท่ีใกล้จะถึงท่ีจะ ก่อให้เกิดความเสียหายหรือส่งผลกระทบต่อการทางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือขอ้ มลู อ่นื ที่เก่ียวข้อง ➢ “โครงสร้างพื้นฐานสาคญั ทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งหน่วยงานของรัฐหรือหน่วยงานเอกชน ใช้ในกิจการของตน ที่เก่ียวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัย สาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพ้ืนฐานอันเป็นประโยชน์ สาธารณะ ➢ “หนว่ ยงานโครงสร้างพื้นฐานสาคญั ทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชนซึ่งมีภารกิจหรือให้บริการโครงสร้าง พื้นฐานสาคญั ทางสารสนเทศ 7

คานยิ ามท่สี าคัญ Cyber Threats Threat actors Critical Information Infrastructure • National security Organizations of Critical Information Infrastructure • Public security • National economic security • Infra. in the public interest 8

สรปุ ภาพรวม หนว่ ยงานท่เี ก่ียวข้อง มาตรา 9 มาตรา 9(8) หนว่ ยงานควบคุม หรือกากับดแู ล มาตรา 49 คณะกรรมการการรกั ษาความมน่ั คง ปลอดภัยไซเบอรแ์ หง่ ชาติ (กมช.) มาตรา 12 ความมน่ั คง บรกิ ารภาครัฐ การเงิน เทคโนโลยีและ ขนส่งและ พลังงานและ สาธารณสุข ของรัฐ ท่สี าคญั การธนาคาร โทรคมนาคม โลจสิ ตกิ ส์ สาธารณูปโภค คณะกรรมการกากับดูแล ดา้ นความมนั่ คงปลอดภยั ไซเบอร์ (กกม.) หนว่ ยงานโครงสรา้ งพื้นฐานสาคญั ทางสารสนเทศ Critical Information Infrastructure (CII) มาตรา 25 มาตรา 22 วรรคสอง มาตรา 50 คณะกรรมการ สานักงานคณะกรรมการการรกั ษา ศูนยป์ ระสานการรักษาความม่นั คงปลอดภัยระบบคอมพิวเตอร์ บริหาร ความม่นั คงปลอดภยั ไซเบอร์แห่งชาติ สาหรับหนว่ ยงาน CII หรอื “Sectorial CERT” สานกั งาน คณะกรรมการ (สกมช.) มาตรา 60 การรกั ษาความ ม่ันคงปลอดภยั ศูนยป์ ระสานการรักษาความมัน่ คง รายละเอียดของลกั ษณะภยั คกุ คามทางไซเบอร์ มาตรการปอ้ งกนั ไซเบอร์ (กบส.) ปลอดภัยระบบคอมพิวเตอร์แหง่ ชาติ รับมอื ประเมิน ปราบปราม และระงบั ภยั คกุ คามทางไซเบอร์ แตล่ ะระดบั (“National CERT”) 9

สรปุ ภาพรวม การบริหารจดั การด้านไซเบอรต์ าม พ.ร.บ.ไซเบอร์ 62 คณะกรรมการการรกั ษาความม่นั คงปลอดภยั ไซเบอรแ์ ห่งชาติ (กมช.) ส่งเสรมิ /พัฒนาขีดความสามารถ กากบั ดูแล 9(1) นโยบายและแผนว่าดว้ ยการรกั ษาความม่นั คงปลอดภยั ไซเบอร์ 9(2) นโยบายการบริหารจดั การฯ 9(3) แผนปฏิบัตกิ ารเพื่อการรกั ษาความม่นั คงปลอดภัยไซเบอร์ 9(4) มาตรฐานและแนวทาง รวมถึงมาตรฐานขนั้ ต่า 9(5) มาตรการและแนวทางในการยกระดับทกั ษะความรู้และความ 9(8) ข้อกาหนด วตั ถปุ ระสงค์ หนา้ ทีแ่ ละอานาจ เช่ยี วชาญ 49 หลกั เกณฑ์ ลักษณะหนว่ ยงานท่ีมภี ารกิจหรอื ให้บรกิ าร 9(6) กรอบการประสานความร่วมมือกับหนว่ ยงานอน่ื ท้งั ในประเทศและ 50 ลักษณะหนา้ ทแ่ี ละความรบั ผดิ ชอบของ Sectorial CERT ตา่ งประเทศ คณะกรรมการกากบั ดแู ลด้านความม่นั คงปลอดภัยไซเบอร์ (กกม.) กากับดูแล 13(4) ประมวลแนวทางปฏิบตั ิและกรอบมาตรฐาน 13(5) หนา้ ทีข่ องหนว่ ยงาน CII และหนา้ ท่ขี องหน่วยงานควบคมุ หรือกากบั ดูแล 13(6) ระดบั ของภัยคกุ คามทางไซเบอร์ หมายเหตุ • สีแดง หมายถงึ ร่างเอกสาร/ระหว่างรอลงประกาศในราชกจิ จานเุ บกษา / สีเขียว หมายถงึ ลงประกาศในราชกิจจานุเบกษาแล้ว 10

สรปุ ภาพรวม หน้าทแี่ ละความสัมพันธ์ของแต่ละหนว่ ยงาน หน่วยงานควบคมุ หรอื กากับดูแล กากบั ดแู ล ป้องกนั รับมอื 13(5) กาหนดมาตรฐานทเี่ หมาะสม 43 ดาเนินการตามนโยบายและแผน 57-58 รบั แจง้ เหตภุ ัยคุกคามทางไซเบอร์ 9(8), 49 กาหนดเกณฑ์รอง, รายงาน 44-45 ประมวลแนวทางปฏบิ ัติและกรอบมาตรฐาน 59 รว่ มกบั Sectorial CERT รวบรวม 53 ตรวจสอบมาตรฐานขัน้ ต่า 46 แจ้งรายชอ่ื บริหารและปฏบิ ตั ิการไปยงั สกมช. ขอ้ มลู ตรวจสอบ ... ช่วยเหลือ CII 54 ตรวจสอบความม่ันคงปลอดภยั 52 รับแจ้งรายชอ่ื และขอ้ มลู ตดิ ต่อจาก CII Sectorial CERT รับมอื 50 ลกั ษณะ หน้าทแี่ ละความรับผดิ ชอบของ Sectorial CERT 52 รบั แจง้ รายช่อื และขอ้ มูลติดตอ่ ฯ จาก CII 59 ร่วมกับ Reg รวบรวมขอ้ มูล ตรวจสอบ ... ชว่ ยเหลือ CII หนว่ ยงาน CII ปอ้ งกัน (ต่อ) รบั มือ 43 ดาเนนิ การตามนโยบายและแผน 52 แจง้ รายชอื่ และขอ้ มูลตดิ ต่อเจา้ ของ 56 กลไกหรอื ขน้ั ตอนเพ่ือการเฝา้ ระวัง 44-45 ประมวลแนวทางปฏิบัติและกรอบมาตรฐาน กรรมสิทธ์ิ ผู้ครอบครอง ผู้ดูแลระบบ 57 รายงานเหตตุ อ่ สกมช. และ Reg 46 แจง้ รายชอ่ื บรหิ ารและปฏิบัติการไปยงั สกมช. ไปยงั สกมช., Reg, Sectorial CERT 58 ป้องกนั รบั มอื ลดความเสี่ยง 54 ประเมนิ ความเสี่ยง และตรวจสอบ 11

2.4 แนวทางการกาหนดเกณฑร์ อง และบริการท่ีสาคัญ ตามประกาศ มาตรา 49 โดยใชห้ ลักการวเิ คราะห์ผลกระทบทางธุรกจิ (Business Impact Analysis) 12

ประกาศ ม.49 เมอ่ื 23 ส.ค.64 • สานักงานมีหนังสือ สกมช. ลง 16 ส.ค.64 ขอให้หน่วยงาน ควบคุมหรือกากับดูแลส่งผลการดาเนินการฯ ให้สานักงาน ภายใน 20 ก.ย.64 • เน่ืองจาก ม.52 ทาใหห้ นว่ ยงาน CII จะต้องแจ้งรายชอื่ และขอ้ มูล การติดต่อของเจ้าของกรรมสิทธิ์ ผู้ครอบครองคอมพิวเตอร์ และผู้ดูแลระบบคอมพิ วเตอร์ไปยังสานักงาน หน่วยงาน Regulator และหน่วยงานตาม ม.50 ภายใน 22 ก.ย.64 • ขอใหห้ น่วยงาน Regulator ประสานหน่วยงาน CII ทันทีที่ทราบ ว่าหน่วยงานดังกล่าวเป็นหน่วยงาน CII เพื่ อให้หน่วยงาน ดังกล่าวมีเวลาเพียงพอในการดาเนนิ การตามเอกสารแนบ 3 13

หนังสือแจง้ เตือน Reg ให้เร่มิ จดั ทาเกณฑ์รองและกาหนดหน่วยงาน CII 14

ภายใน 22 ก.ย.2564 จาก …?…. หนว่ ยงาน CII จาก 19 regulators หมายเหตุ รายละเอียดการบนั ทึกสามารถศึกษาได้จากเอกสารแนบ 2 และ 3 15

การวิเคราะห์ผลกระทบทางธรุ กิจ (Business Impact Analysis หรอื BIA) เปน็ กระบวนการวิเคราะห์กจิ กรรม กระบวนการในการดาเนนิ งานในองคก์ ร วิเคราะหผ์ ลกระทบที่อาจ เกดิ ขึ้นหากการดาเนนิ การดงั กลา่ วหยดุ ชะงัก รวมทงั้ การวเิ คราะหผ์ ลกระทบทางธรุ กจิ ซึง่ ประกอบด้วย 4 ขน้ั ตอน ดงั นี้ 1) การระบกุ ระบวนการทส่ี าคญั พิจารณารว่ มกบั ผู้มสี ่วนเกย่ี วขอ้ ง เพื่อระบุ critical processes / services ขององค์กร 2) การพิจารณาผลกระทบจากการหยุดชะงัก พิจารณาประเภทผลกระทบ และ ระดับผลกระทบ ทีอ่ าจเกดิ ขนึ้ กรณไี ม่สามารถดาเนนิ การภารกจิ หรอื บริการได้ 3) การประเมินเวลาหยดุ ชะงักที่ยอมรับได้ กาหนดระยะเวลาสูงสุดท่ยี อมใหธ้ รุ กจิ หยุดชะงัก (Maximum Tolerance Downtime : MTD) ระยะเวลาในการกคู้ ืนระบบ (Recovery Time Objective : RTO) และระยะเวลาสูงสุดที่ยอมให้ ขอ้ มูลเสียหาย (Recovery Point Objective : RPO) 4) การระบุทรัพยากรท่ีสาคญั พิจารณาทรัพย์สินสารสนเทศท่จี าเปน็ ต่อการดาเนินกระบวนการทส่ี าคัญ 16

1) การระบกุ ระบวนการท่สี าคญั (Determine critical processes/services) อา้ งอิง: NIST SP 800-34 Rev. 1 17

1) การระบกุ ระบวนการที่สาคัญ (Determine critical processes/services) 18

ตัวอยา่ งหนว่ ยงาน Luis Carlos Herrera Velasquez, “A Comprehensive Instrument for Identifying Critical Information Infrastructure Services”, Master Thesis, University of Tartu, 2016 19

ตัวอยา่ ง Business Process Luis Carlos Herrera Velasquez, “A Comprehensive Instrument for Identifying Critical Information Infrastructure Services”, Master Thesis, University of Tartu, 2016 20

2) การพิจารณาผลกระทบจากการหยดุ ชะงกั ของกระบวนการทสี่ าคัญ (Identify outage impacts) อ้างอิง: NIST SP 800-34 Rev. 1 21

2) การพิจารณาผลกระทบจากการหยุดชะงกั ของกระบวนการท่ีสาคัญ (Identify outage impacts) 22

ตัวอย่าง การพิจารณาผลกระทบจากการหยุดชะงกั ของกระบวนการที่ สาคัญ (Identify outage impacts) 23

Identify CII operators based on dependency In addition, cyber dependence may help to identify services as critical because their connections can demonstrate that one CII service may cause disruption on others by its cascading effects. For example, if airport operations depend on electricity distribution, and electricity distribution has a high risk of disruption, the probability of airport operation disruption is correspondingly higher; because the airport operations has a high dependence (H) on electricity distribution. 24

2) การพิจารณาผลกระทบจากการหยุดชะงกั ของกระบวนการท่ีสาคัญ (Identify outage impacts) 25

3) การประเมนิ เวลาการหยุดชะงกั ทย่ี อมรับได้ (Estimated downtime) Estimated Downtime Working directly with mission/business process owners, departmental staff, managers, and other stakeholders, estimate the downtime factors for consideration as a result of a disruptive event. • Maximum Tolerable Downtime (MTD). The MTD represents the total amount of time leaders/managers are willing to accept for a mission/business process outage or disruption and includes all impact considerations. อา้ งอิงภาพจาก: L. C. H. Velasquez’s Thesis Determining MTD is important because it could leave continuity planners with imprecise direction on (1) selection of an appropriate recovery method, and (2) the depth of detail which will be required when developing recovery procedures, including their scope and content. • Recovery Time Objective (RTO). RTO defines the maximum amount of time that a system resource can remain unavailable before there is an unacceptable impact on other system resources, supported mission/business processes, and the MTD. Determining the information system resource RTO is important for selecting appropriate technologies that are best suited for meeting the MTD. • Recovery Point Objective (RPO). The RPO represents the point in time, prior to a disruption or system outage, to which mission/business process data must be recovered (given the most recent backup copy of the data) after an outage. อ้างอิง: NIST SP 800-34 Rev. 1 26

3) การประเมนิ เวลาการหยดุ ชะงกั ท่ียอมรบั ได้ (Estimated downtime) 27

3) Establish requirements for business service recovery 28

4) เลือกกระบวนการทส่ี าคัญและการระบุทรพั ย์สินสารสนเทศ (System Resource/Component) 29

การระบหุ นว่ ยงานโครงสรา้ งพื้นฐานสาคัญทางสารสนเทศ 30

การระบหุ นว่ ยงานโครงสรา้ งพื้นฐานสาคัญทางสารสนเทศ 31

การระบหุ นว่ ยงานโครงสรา้ งพื้นฐานสาคัญทางสารสนเทศ 32

ตอบข้อซักถาม 33

สานกั บรหิ ารโครงสรา้ งพ้ืนฐานสาคญั ทางสารสนเทศ อีเมล [email protected] สารบรรณกลาง อเี มล [email protected] โทรศัพท์ 02 142 6888 โทรสาร 02 143 7593