NIST ออกชุดเอกสาร NIST’s cybersecurity framework (CSF) เวอร์ชั่น 2.0 สำหรับการวางโครงสร้างองค์กรให้พร้อมรับมือภัยไซเบอร์ หลังจากออกเวอร์ชั่น 1.0 มาตั้งแต่ปี 2014 ตามคำสั่งฝ่ายบริหารของรัฐบาลโอบามา โดยรอบนี้พยายามทำเอกสารให้ครอบคลุมองค์กรทุกประเภท และทุกระดับความเสี่ยงภัยไซเบอร์
ชุดเอกสาร CSF 2.0 มาพร้อมกับตัวอย่างการอิมพลีเมนต์ในองค์กรจริง, เอกสารแนะนำการเริ่มต้น, และการอ้างอิงถึงมาตรฐานอื่นๆ ของ NIST ที่เกี่ยวข้อง และยังมีเอกสารสำหรับองค์กรธุรกิจขนาดเล็ก NIST-SP-1300 ให้สามารถอ่านและทำตามได้ภายในไม่กี่หน้า
โดยหลักการของ CSF 2.0 จะมี 6 ส่วนหลัก
- การวางนโยบายควบคุม (Govern) มองความเสี่ยงขององค์กร, ผลกระทบหากเกิดภัยไซเบอร์, และเป้าหมายของการรักษาความปลอดภัย
- ระบุจุดเสี่ยง (Identitfy) ทำรายงานซอฟต์แวร์, ฮาร์ดแวร์, และอุปกรณ์ต่างๆ ที่เป็นความเสี่ยง กำหนดมาตรการควบคุมให้เพียงพอต่อแต่ละจุด ระบุชื่อผู้รับผิดชอบ
- วางมาตรการป้องกัน (Protect) กำหนดระดับข้อมูลที่พนักงานแต่ละคนมีสิทธิเข้าถึง วางมาตรการควบคุมให้ปลอดภัยเช่น เปลี่ยนรหัสผ่านเริ่มต้นที่ได้รับมาจากผู้ผลิต, เปิดระบบล็อกอินสองขั้นตอน, เข้ารหัสอุปกรณ์, สำรองข้อมูลและทดสอบข้อมูลสำรอง
- ตรวจจับการโจมตี (Detect) ตรวจสอบพฤติกรรมของระบบภายในและบริการภายนอก, ตรวจจับความพยายามล็อกอินระบบ, ติดตามเมื่อมีอีเมลส่งคืน (bounced) แต่องค์กรไม่ได้ส่งออกไป
- ตอบสนองต่อการโจมตี (Response) วางแผนว่าจะรับมืออย่างไรเมื่อเกิดการโจมตี ทำรายชื่อติดต่อบุคคลต่างๆ ที่เกี่ยวข้อง, วางแผนการทำตามกฎหมายที่กำหนดเมื่อเกิดเหตุภัยไซเบอร์
- กู้คืนระบบ (Recover) วางกระบวนการกู้คืนระบบหากถูกโจมตี, เอกสารกระบวนการกู้คืน และบุคคลต่างๆ ที่เกี่ยวข้อง, รวมถึงแผนการสื่อสารเมื่อเกิดการโจมตี
ที่ผ่านมา CSF ได้รับความนิยมแม้แต่นอกสหรํฐฯ เวอร์ชั่น 1.0 และ 1.1 นั้นแปลไปแล้ว 13 ภาษา
ที่มา - NIST