ความรู้พื้นฐานเกี่ยวกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ พุทธคุณ สกุลอึ้ง

การอบรมหลักสูตรความรูพื้นฐานเกี่ยวกับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร พ.ศ. ๒๕๖๒ วิทยากร พุทธคุณ ÿกุลอึ้ง โครงการซื้อพัฒนาระบบรักþาคüามปลอดภัยโครงÿรางพื้นฐานทางÿารÿนเทýและฐานขอมูล (Cyber Security) ÿัญญาเลขที่ ๑/๒๕๖๔ ลงวันที่ ๓๐ มีนาคม ๒๕๖๔ 1 บริษัท เน็กซเทค เอเชีย จํากัด

● ไซเบอร์สเปซ ● หลักการด้านความมั่นคงปลอดภัยไซเบอร์ ● แนวทางการบริหารจัดการแบบ NIST Cybersecurity Framework ● นิยามที่เกี่ยวข้องตามบัญญัติใน พ.ร.บ.ฯ ● คณะกรรมการผู้เกี่ยวข้องและบทบาทหน้าที่ ● การกําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคง ปลอดภัยไซเบอร์ตามหลักการบริหารความเสี่ยง ● โครงสร้างสําหรับการกํากับดูแลสําหรับการบริหารจัดการและการรักษาความมั่นคง ปลอดภัยไซเบอร์ ● โครงสร้างพื้นฐานสําคัญทางสารสนเทศ ● การกําหนดแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ ● แนวทางการการรับมือกับภัยคุกคามทางไซเบอร์ ● บทกําหนดโทษตามพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ● เครื่องมือ Contents หัวข้อการฝึกอบรม 2

เวลา หัวข้อฝึกอบรม ๐๙:๐๐ – ๐๙:๓๐ ทําแบบทดสอบก่อนเรียน ๐๙:๓๐ – ๑๐:๐๐ Ø ไซเบอร์สเปซ Ø หลักการด้านความมั่นคงปลอดภัยไซเบอร์ ๑๐:๓๐ – ๑๐:๔๕ พัก Break ๑๐:๔๕ - ๑๒:๐๐ Ø แนวทางการบริหารจัดการแบบ NIST Cybersecurity Framework Ø นิยามที่เกี่ยวข้องตามบัญญัติใน พ.ร.บ.ฯ Ø คณะกรรมการผู้เกี่ยวข้องและบทบาทหน้าที่ ๑๒:๐๐ – ๑๓:๐๐ พักกลางวัน ๑๓:๐๐ – ๑๔:๓๐ Ø การกําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตาม หลักการบริหารความเสี่ยง Ø โครงสร้างสําหรับการกํากับดูแลสําหรับการบริหารจัดการและการรักษาความมั่นคงปลอดภัยไซเบอร์ ๑๔:๓๐ – ๑๔:๔๕ พัก Break ๑๔:๔๕ – ๑๕:๓๐ Ø โครงสร้างพื้นฐานสําคัญทางสารสนเทศ Ø การกําหนดแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ Ø แนวทางการการรับมือกับภัยคุกคามทางไซเบอร์ Ø บทกําหนดโทษตามพระราชบัญญัติว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ Ø Workshop กระบวนการรองรับอุบัติการณ์ด้านไซเบอร์ ๑๕:๓๐ – ๑๖:๐๐ ทําแบบทดสอบหลังเรียน Agenda / Schedule 3

การรักษาความมั่นคง ปลอดภัยทางไซเบอร์คือ หน้าที่และความรับผิดชอบ ความรู้พื้นฐานเกี่ยวกับ พระราชบัญญัติการรักษาความมั่นคง ปลอดภัยทางไซเบอร์ พ.ศ. ๒๕๖๒ Cybersecurity Act BE ๒๕๖๒ ดาวนโĀลดไดที่: http://www.ratchakitcha.soc.go.th/DATA/PDF/๒๕๖๒/A/๐๖๙/T_๐๐๒๐.PDF 4

ประเด็นยุทธศาสตร์ที่๑ เสริมสร้างความเชื่อมั่นและไว้วางในทุกภาคส่วน ประเด็นยุทธศาสตร์ที่๒ ปกป้องโครงสร้างพื้นฐานสําคัญที่บริหารจัดการโดย ระบบสารสนเทศ ประเด็นยุทธศาสตร์ที่๓ ปกป้องผลประโยชน์และความมั่นคงของชาติ ประเด็นยุทธศาสตร์ที่๔ เสริมสร้างระบบเศรษฐกิจดิจิทัล ประเด็นยุทธศาสตร์ที่๕ สร้างความตระหนักและส่งเสริมความร่วมมือภายใน ประเทศ ประเด็นยุทธศาสตร์ที่๖ เพื่อส่งเสริมวัฒนธรรมการใช้ไซเบอร์สเปซในทางที่ เหมาะสม ประเด็นยุทธศาสตร์ที่๗ ส่งเสริมงานด้านการป้องกันและปราบปราม อาชญากรรม ประเด็นยุทธศาสตร์ที่๘ ส่งเสริมบทบาทที่สร้างสรรค์ของไทยในระดับภูมิภาค และระดับนานาชาติ National Cybersecurity Strategy ๒๐๑๗- ๒๐๒๑ ดาวนโĀลดไดที่: NATIONAL CYBERSECURITY STRATEGY ๒๐๑๗ - ๒๐๒๑ 5

มาตรการหรือการดําเนินการที่กําหนดขึ้น เพื่อป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคาม ทางไซเบอร์ทั้งจากภายในและภายนอกประเทศ อันกระทบต่อความมั่นคงของรัฐ ความมั่นคงทาง เศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ ดังนั้นเพื่อให้สามารถ ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างทันท่วงที พระราชบัญญัติการรักษาความมั่นคงปลอดภัยทางไซ เบอร์ พ.ศ. ๒๕๖๒ ๒๐๑ ๘ ร่าง พ.ร.บ. ความมั่นคง ปลอดภัยไซเบอร์ ปี๒๕๖๑ ๒๐๑ ๙ พ.ร.บ. ความมั่นคงปลอดภัยไซ เบอร์ ปี๒๕๖๒ ๒๐๑๕ ร่าง พ.ร.บ. ความมั่นคง ปลอดภัยไซเบอร์ ปี๒๕๕๘ ๒๐๑ ๗ ร่าง พ.ร.บ. ความมั่นคง ปลอดภัยไซเบอร์ ปี๒๕๖๐ ความเป็นมา ของ Cybersecurity Act BE ๒๕๖๒ 6

ไซเบอร์สเปซ 7

Cybersecurity ความหมาย มาตรการการรักษาความปลอดภัยของ Cyberspace ขีดความสามารถในการวางแผน รับมือ ยืนหยัด ตอบโต้และฟื้ นตัว อย่างทันท่วงที จากผลกระทบของภัยคุกคามทาง Cyberspace Cyberspace Cyberspace is a concept describing a widespread, interconnected digital technology. "The expression dates back from the first decade of the diffusion of the internet. It refers to the online world as a world 'apart', as distinct from everyday reality. source: https://medium.com/morality-chip/hidden-meaning-in-ready-player-one๒b๑๐๐๔๘d๒๒๘๑ Cybersecurity “ปริภูมิไซเบอร์ เป็นภาวะนามธรรมเชิงอุปลักษณ์ ใช้ในด้านปรัชญา หรือ คอมพิวเตอร์ เป็นความจริงเสมือนซึ่ง แทนโลกในทฤษฎีทางปรัชญาของ คารล์ ปอปเปอร์ (Karl Popper) ซึ่งรวมทั้งสิ่งต่างๆ ในคอมพิวเตอร์จนถึง ระบบเครือข่าย” 8

ภัยคุกคาม (Threats) ภัยคุกคาม (Threats) หรือการสร้างความเสียหายให้กับระบบคอมพิวเตอร์ที่เกิดขึ้นในปัจจุบันนั้น เป้าหมายในการสร้างความเสียหายของกลุ่มอาชญากรไซเบอร์ส่วนใหญ่มุ่งเน้น การนําความลับไป เปิดเผย (Data confidentiality) การเปลี่ยนแปลงข้อมูล (Data integrity) เช่น การปลอมหน้าเว็บไซต์ (Phishing) เป็นการปลอมแปลงหรือเปลี่ยนแปลงข้อมูลบนหน้าเว็บไซต์ เพื่อให้เกิดการเข้าใจผิด หรือ เกิดความเสื่อมเสีย และอาจเชื่อมโยงไปสู่การขโมยข้อมูลสําคัญ และ การติดตั้งโปรแกรมประสงค์ร้าย (Malware) เพื่อขโมยข้อมูลและโจรกรรมเงินในบัญชีและการทําให้ระบบคอมพิวเตอร์หยุดบริการหรือไม่ สามารถใช้งานได้ (System availability) Threats 9

Cyber Crime Cyber Crime Techniques • Data Scavenging • Shoulder Surfing • Piggy Backing • Man In the middle • Social Engineering • Buffer overruns • SQL injections Cookies • Cross Site Scripting • SPAM • Denial Of Service • Virus / Worms/ Trojans • Spyware / Adware • Phishing • Spoofing Cyber crime 10

หลักการด้านความมั่นคง ปลอดภัยไซเบอร์ 11

หลักการด้านความมั่นคงปลอดภัยสารสนเทศ หลักการด้านความมั่นคงปลอดภัยไซ เบอร์ C-I-A approach A preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability source: https://comtact.co.uk/blog/what-is-the-cia-triad/ 12

Information Security Property Explained Confidentiality the property that information is not made available or disclosed to unauthorized individuals, entities, or processes. Integrity the property of safeguarding the accuracy and completeness of assets. Availability the property of being accessible and usable upon demand by an authorized entity. Safety “Digital Safety becomes a new force and Responsibility” Digital Safety, frequently referred to as internet safety, media safety, online safety, or cyber safety encompasses many things. At the core of digital safety is protecting ourselves, our families and others as we connect through digital devices. source: https://joshshipp.com/internet-safety-teens/ 13

Lifecycle of Information ข้อมูลสารสนเทศมีวัฎจักรชีวิต ของเขา.. “เกิด แจก เก็บ ทําลาย” ความมั่นคงปลอดภัยสารสนเทศ ต้องมีอยู่ตลอดวัฎจักรของข้อมูล สารสนเทศ 14

นโยบายและแนวปฏิบัติในการรักษาความ มั่นคงปลอดภัยด้านสารสนเทศ ของ สํานักงานเศรษฐกิจการเกษตร 15

ภาพรวมการโจมตีทางไซเบอรของประเทศไทย ที่มีการโจมตีหนักในชวงเดือนพฤษภาคม ๒๕๖๔ Cybersecurity Stat รับชมการถ่ายทอดสดได้ที่: https://www.fireeye.com/cyber-map/threat-map.html 16

source: https://www.varonis.com/blog/cybersecurity-statistics/ Cybersecurity Stat 17

source: https://www.thaicert.or.th/statistics/statistics๒๐๒๐.html Cybersecurity Stat (Thailand) 18

ความมั่นคงปลอดภัยไซเบอร์ และภัยใกล้ตัว กว่าที่คุณคิด ไม่เชื่อก็ลองดู…. ทดสอบ “ความรั่ว” ของตนเองง่ายๆที่บ้าน ได้แล้ววันนี้ https://haveibeenpwned.com/ 19

ความมั่นคงปลอดภัยไซเบอร์ และภัยใกล้ตัว กว่าที่คุณคิด ถ้าโดนเข้าแล้ว…. ข้อมูลของเราเขาจะเอาไปไหน? Deepweb is ๕๐๐x greater than the Surface web The deep web, invisible web, or hidden web are parts of the World Wide Web whose contents are not indexed by standard search engines i.e 20

ความมั่นคงปลอดภัยไซเบอร์ และภัยใกล้ตัว กว่าที่คุณคิด ถ้าโดนเข้าแล้ว…. ข้อมูลของเราเขาจะเอาไปไหน? ÿนับÿนุนความนากลัวโดย ● https://www.beartai.com/news/itnews/๗๐๓๒๕ ● https://siamblockchain.com/๒๐๒๐/๐๖/๒๔/debit-ca rd-provider-was-attacked-sensitive-info-leaked-on-d ark-web/ 21

Date: February/March ๒๐๑๔ Iความเสียหาย ๑๔๕ล้าน บัญชี ตุลาคม ๒๐๑๓ ความเสียหาย ๑๕๒ล้าน บัญชี กลางปี ๒๐๑๒ ความเสียหาย ๖๙ล้าน บัญชี ปี ๒๐๑๖ ความเสียหาย ๕๗ล้าน บัญชี เมษายน ๒๐๒๐  ความเสียหาย ๕๐๐,๐๐๐ บัญชี ตุลาคม ๒๐๑๗ ความเสียหาย ๓พันล้าน บัญชี เมษายน ๒๐๑๙ ความเสียหาย ๕๔๐ล้าน บัญชี พฤษภาคม ๒๐๑๘ ความเสียหาย ๓๓๐ล้าน บัญชี มิถนายน ๒๐๑๒ ความเสียหาย ๑๖๕ล้าน บัญชี ตุลาคม ๒๐๑๖ ความเสียหาย ๘๕ล้าน บัญชี กุมภาพันธ์ ๒๐๑๓ ความเสียหาย ๖๖ล้าน บัญชี เมษายน ๒๐๒๐ ความเสียหาย ๓๐๐,๐๐๐ บัญชี Source: https://www.upguard.com/blog/biggest-data-breaches รายงานการละเมิดข้อมูลในศตวรรศที่ ๒๑ ความมั่นคงปลอดภัยไซเบอร์ และภัยใกล้ตัว กว่าที่คุณคิด 22

NIST Cybersecurity Framework 23

NIST Cybersecurity Framework source: https://cyberwatching.eu/nist-cybersecurity-framework NIST Cybersecurity Framework เป็นหนึ่งในกรอบทํา งานด้านความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นที่นิยมใช้ อย่างมากในปัจจุบัน ไม่เพียงแค่องค์กรในสหรัฐฯ เท่านั้น Framework ดังกล่าวยังเป็นที่แพร่หลายไปยัง ทุกภูมิภาคทั่วโลก รวมไปถึงประเทศไทย หลายองค์กร เริ่มนํา Framework นี้ประยุกต์ใช้เพื่อรับมือกับภัย คุกคามไซเบอร์ Framework นี้นําเสนอหลักการและแนวทางปฏิบัติที่ดีที่สุดของการบริหาร จัดการความเสี่ยง เพื่อยกระดับความมั่นคงปลอดภัยขององค์กรทุกระดับ รวมไปถึงช่วยให้องค์กรสามารถวางแผนป้องกัน ตรวจจับ และตอบสนอง ต่อภัยคุกคามได้อย่างรวดเร็วและเป็นระบบ ในขณะที่ธุรกิจยังคงดําเนินต่อ ไปได้อย่างเนื่อง โดยหัวใจสําคัญของ Framework แบ่งออกเป็น ๕ ฟังก์ชันหลัก คือ Identify – การระบุและเข้าใจถึงบริบทต่างๆ เพื่อการบริหารจัดการความ เสี่ยง Protect – การวางมาตรฐานควบคุมเพื่อปกป้องระบบขององค์กร Detect – การกําหนดขั้นตอนและกระบวนการต่างๆ เพื่อตรวจจับ สถานการณ์ที่ผิดปกติ Respond – การกําหนดขั้นตอนและกระบวนการต่างๆ เพื่อรับมือกับ สถานการณ์ผิดปกติที่เกิดขึ้น Recovery – การกําหนดขั้นตอนและกระบวนการต่างๆ เพื่อให้ธุรกิจ สามารถดําเนินได้อย่างต่อเนื่อง และฟื้ นฟูระบบให้กลับคืนมาเหมือนเดิม ซึ่งแต่ละฟังก์ชันหลักจะแบ่งออกเป็นฟังก์ชันย่อยๆ พร้อมระบุเอกสาร อ้างอิง เช่น ISO/IEC ๒๗๐๐๑:๒๐๑๓ , COBIT ๕, NIST SP๘๐๐-๕๓ เพื่อให้ผู้อ่านนํากระบวนหรือแนวทางปฏิบัติจากเอกสารเหล่านั้นมาใช้เพื่อ ดําเนินการตามฟังก์ชันย่อยๆ เหล่านี้ได้ทันที 24

1. Framework Core: เป็นหลักการต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยเทคโนโลยีสารสนเทศ ที่ทางองค์กรจะต้องนํามาปฏิบัติ เพื่อให้ได้ผลลัพธ์ตามที่คาดหวังไว้ สามารถแบ่งย่อยออกได้เป็น ๕ ส่วน ได้แก่ การระบุความเสี่ยง การป้องกัน การตรวจจับ การตอบสนอง และการกู้คืน 2. Framework Implementation Tiers: เป็นส่วนที่ระบุสถานะขององค์กรนั้น ๆ ว่ามีกระบวนการ บริหารและควบคุมความเสี่ยงทางไซเบอร์อยู่ในขั้นใด โดยแต่ละองค์กรอาจมีเป้าหมายในการ กําหนดระดับขั้นแตกต่างกัน ไม่จําเป็นว่าจะต้องอยู่ในระดับสูงสุดเสมอไป ซึ่งจะแบ่งได้เป็น ๔ ระดับ ดังนี้ Tier ๑ – Partial คือ องค์กรยังไม่มีการบริหารจัดการความเสี่ยงด้านความมั่นคง ปลอดภัยไซเบอร์อย่างเป็นระบบ เป็นเพียงการแก้ไขสถานการณ์เฉพาะหน้า Tier ๒ – Risk Informed คือ องค์กรมีการบริหารจัดการด้านความมั่นคงปลอดภัยไซ เบอร์ แต่ยังไม่มีนโยบายหรือการประกาศใช้อย่างเป็นทางการ Tier ๓ – Repeatable คือ องค์กรจะมีการบริหารจัดการด้านความมั่นคงปลอดภัยไซ เบอร์อย่างเป็นทางการ ได้รับการอนุมัติจากผู้บริหารและนํานโยบายไปใช้ทั่วทั้งองค์กร Tier ๔ – Adaptive คือ องค์กรจะมีการบริหารจัดการด้านความมั่นคงปลอดภัยไซ เบอร์อย่างเป็นทางการ ได้รับการอนุมัติจากผู้บริหารและนํานโยบายไปใช้ทั่วทั้งองค์กร ซึ่งจะต้องมีการพัฒนาแนวทางการปฏิบัติอย่างต่อเนื่อง เพื่อเตรียมพร้อมรับมือกับ การเปลี่ยนแปลงของเทคโนโลยีและภัยคุกคามรูปแบบใหม่ ๆ อยู่เสมอ 3. Framework Profiles: เป็นส่วนที่ระบุถึงเอกลักษณ์ขององค์กร ได้แก่ ประเภทของธุรกิจ วัตถุ ประสงค์และวัฒนธรรมขององค์กร นอกจากนี้ยังรวมถึงโอกาสในการพัฒนาเกี่ยวกับความ ปลอดภัยเทคโนโลยีสารสนเทศ โดยเปรียบเทียบภาพในปัจจุบันกับสิ่งที่คาดหวัง NIST Cybersecurity Framework ดาวน์โหลดเอกสารได้ที่ https://www.nist.gov/cyberframework องค์ประกอบของกรอบแนวทาง 25

หลักการสําคัญ ๕ ประการของ Cyber Resilience Cyber Resilience Cores IDENTIFY เป็นสิ่งที่ควรทําเป็นอันดับแรก เนื่องจากเป็นการทําความ เข้าใจในการบริหารจัดการภายในองค์กร ตั้งแต่เรื่องบุคลากร ความสามารถ ข้อมูลและระบบภายในต่าง ๆ ตลอดจน ทรัพย์สินทั้งหมดขององค์กร เพื่อที่จะได้นํามาประเมินความ เสี่ยงและวางแผนในการจัดการภัยคุกคามทางไซเบอร์ที่อาจ ส่งผลกระทบต่อองค์กรได้อย่างเหมาะสม PROTECT เป็นส่วนที่มีความสําคัญมากที่สุดจากทั้ง ๕ หลักการ การ ป้องกันจะเริ่มตั้งแต่การวางกลไกและขั้นตอนเพื่อรักษาความ ปลอดภัย การติดตั้งอุปกรณ์ เช่น Firewall การบํารุงรักษา อุปกรณ์ กระบวนการจัดการข้อมูล และการควบคุมการเข้าถึง และการใช้ระบบ นอกจากนี้ยังรวมถึงการฝึกอบรมและสร้าง ความตระหนักให้บุคลากรถึงเรื่องความสําคัญของความ ปลอดภัยเทคโนโลยีสารสนเทศอีกด้วย DETECT จุดสําคัญของส่วนนี้คือ การเฝ้าระวังและติดตามเหตุการณ์หรือ กิจกรรมน่าสงสัยที่อาจก่อให้เกิดภัยคุกคามทางไซเบอร์ซึ่งมีผลก ระทบต่อองค์กร รวมถึงการตรวจสอบหาช่องโหว่ของระบบ เพื่อที่ จะได้พัฒนาระบบให้มีความต้านทานต่อภัยคุกคามทางไซเบอร์ได้ มากขึ้น RESPOND หลังจากตรวจพบความผิดปกติที่อาจส่งผลต่อความปลอดภัยเทคโนโลยี สารสนเทศแล้ว ทางองค์กรจําเป็นต้องมีการตอบสนองต่อเหตุการณ์ดัง กล่าวอย่างเหมาะสม โดยการวางแนวทางปฏิบัติให้ชัดเจน มีการวิเคราะห์หา สาเหตุ และมีการสื่อสารกันระหว่างองค์กร ในกรณีที่อาจต้องขอความ ช่วยเหลือจากหน่วยงานภายนอก เพื่อที่จะได้หาแนวทางการป้องกันและลด โอกาสเกิดปัญหาแบบเดิมได้ในอนาคต RECOVER เมื่อถูกโจมตีทางไซเบอร์ ทางองค์กรจําเป็นต้องทําให้ระบบกลับมาใช้งาน ได้เป็นปกติอย่างรวดเร็วที่สุด เพื่อให้ธุรกิจดําเนินต่อไปได้อย่างต่อเนื่อง และลดความสูญเสียทั้งด้านการเงินและด้านชื่อเสียงขององค์กร ดังนั้น จึงต้องมีการวางแผนการกู้คืนอย่างมีระบบ และมีการติดต่อสื่อสารที่ดีทั้ง ภายในและภายนอกองค์กร 26

NIST Function and Category Unique Identifiers 27

Cyber Resilience Cores 28

What is cybersecurity all about? คน (People) ● ถ้าคนที่ไม่มีความรู้ความเข้าใจในเรื่องของการรักษาความปลอดภัย (Security) จะนําพามาซึ่งความเสี่ยง (Risk) ในทางตรงข้ามถ้ามีการให้ ความรู้ความเข้าใจจะทําให้มีความเสี่ยงลดลง กระบวนการ (Processes) ● องค์กรทุกๆ องค์กรมีความต้องในการเก็บสารสนเทศที่ต่างกันออกไป ซึ่งสารสนเทศต่างๆ เหล่านี้มีความสําคัญอย่างยิ่งต่อองค์กร เพื่อไม่ให้ สารสนเทศเกิดความเสี่ยงจะต้องมีการดําเนินการทํานโยบายความ ปลอดภัย (Security Policies) ให้กับองค์กร ถ้าไม่มีนโยบายก็จะไม่มี แผนสําหรับองค์กรที่จะทําให้การรักษาความปลอดภัยขององค์กรมี ประสิทธิภาพได้ นโยบายรักษาความปลอดภัยนั้น มีวัตถุประสงค์เพื่อให้ ผู้ใช้งานและบุคคลที่เกี่ยวข้องได้ตระหนักถึงความสําคัญของการรักษา ความปลอดภัย รวมทั้งได้รับทราบเกี่ยวกับหน้าที่และความรับผิดชอบ เทคโนโลยี (Technology) ● เทคโนโลยีกับความปลอดภัยนั้น การออกแบบ Infrastructure ก็เป็น สิ่งสําคัญที่ต้องคํานึงถึงให้มีความสามารถในการสนับสนุนเทคโนโลยี ใหม่ (New Technology)ให้ได้ดีที่สุดเท่าที่จะทําได้ แต่ก็ยังมีปัจจัย หลายๆอย่างเช่นกัน ซึ่งในส่วนที่ว่าท าไมต้องทําความปลอดภัยให้กับ เทคโนโลยีนั้นก็เนื่องมาจากการที่เรานําเอาเทคโนโลยีใหม่ๆ เข้ามาใช้แต่ ขาดการปรับแต่งให้เข้ากับระบบ (Configuration)การปิดช่องโหว่ (Hardening) หรือติดตั้งที่ไม่ถูกต้องให้มีความปลอดภัยก็อาจจะไม่มี ประโยชน์อะไร ซึ่งไม่ได้ต่างอะไรจากเดิมที่เป็นอยู่ ในการทําเทคโนโลยีที่ มีอยู่ให้มีความปลอดภัย (Security) จะต้องอาศัยผู้ที่มีความเชี่ยวชาญ มีความรู้และมีประสบการณ์ทางด้านนี้โดยเฉพาะในการท างาน Source: https://helical-inc.com/blog/people-process-and-technology-the-trifecta-of-cybersecurity-program/ Cybersecurity (cont.) 29

แนวทางการการรับมือกับภัยคุกคามทางไซเบอร์ เป้าหมาย 1. สร้างขีดความสามารถในการคาดการณ์(Anticipation) : อะไรบ้างที่สามารถเป็นไปได้, อะไรคือสิ่งที่น่าจะเป็น และ อะไรคือสิ่งที่อยากให้เป็น 2. สร้างขีดความสามารถในการยืนหยัด (Withstanding) : การทนต่อภัยคุกคามแม้ถูก โจมตีต้องสามารถดําเนินการตามภารกิจได้ 3. สร้างขีดความสามารถในการฟื้ นตัว (Recovery) : เมื่อเกิดความเสียหายขึ้นยังคง สามารถดําเนินการตามภารกิจได้ ในขณะเดียวกันต้องสามารถฟื้ นตัวสู่สภาพปกติได้ 4. สร้างขีดความสามารถในการปรับและก้าวข้ามขีดความสามารถเดิม (Evolution) : ความสามารถในการปรับตัวจากการป้องกันภัยคุกคามแบบเดิมๆ สู่การเปลี่ยนแปลง ทั้ง คน องค์กร โครงสร้างกระบวนการ ตลอดจนนโยบายต่างๆ ตั้งแต่สร้างความ สามารถในการคาดการณ์ ความสามารถในการยืนหยัด และ ความสามารถในการฟื้ นตัว Cyber Resilience เพื่อก้าวข้ามขีดความสามารถเดิม 30

นิยามที่เกี่ยวข้องตามบัญญัติ ใน พ.ร.บ.ฯ 31

“การรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า มาตรการหรือการดําเนินการที่กําหนดขึ้นเพื่อ ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ทั้งจากภายในและภายนอกประเทศอันกระทบต่อ ความมั่นคงของรัฐ ความมั่นคงทางเศรษฐกิจ ความมั่นคงทางทหาร และความสงบเรียบร้อยภายในประเทศ “ภัยคุกคามทางไซเบอร์” หมายความว่า การกระทําหรือการดําเนินการใด ๆ โดยมิชอบโดยใช้คอมพิวเตอร์หรือ ระบบคอมพิวเตอร์หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูล คอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึงที่จะก่อให้เกิดความเสียหายหรือส่งผลกระ ทบต่อการทํางานของคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง “ไซเบอร์” หมายความรวมถึง ข้อมูลและการสื่อสารที่เกิดจากการให้บริการหรือการประยุกต์ใช้เครือข่าย คอมพิวเตอร์ ระบบอินเทอร์เน็ต หรือโครงข่ายโทรคมนาคม รวมทั้งการให้บริการโดยปกติของดาวเทียมและ ระบบเครือข่ายที่คล้ายคลึงกัน ที่เชื่อมต่อกันเป็นการทั่วไป นิยามตามมาตรา ๓ Cybersecurity Act BE ๒๕๖๒ 32

“หน่วยงานของรัฐ” หมายความว่า ราชการส่วนกลาง ราชการส่วนภูมิภาคราชการส่วนท้องถิ่นรัฐวิสาหกิจ องค์กร ฝ่ายนิติบัญญัติ องค์กรฝ่ายตุลาการ องค์กรอิสระองค์การมหาชน และหน่วยงานอื่นของรัฐ “ประมวลแนวทางปฏิบัติ” หมายความว่า ระเบียบหรือหลักเกณฑ์ที่คณะกรรมการกํากับดูแลด้านความมั่นคง ปลอดภัยไซเบอร์กําหนด “เหตุการณ์ที่เกี่ยวกับความมั่นคงปลอดภัยไซเบอร์” หมายความว่าเหตุการณ์ที่เกิดจากการกระทําหรือการดําเนิน การใด ๆ ที่มิชอบซึ่งกระทําการผ่านทางคอมพิวเตอร์หรือระบบคอมพิวเตอร์ ซึ่งอาจเกิดความเสียหายหรือผลกระทบ ต่อการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือความมั่นคงปลอดภัยไซเบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ “มาตรการที่ใช้แก้ปัญหาเพื่อรักษาความมั่นคงปลอดภัยไซเบอร์” หมายความว่า การแก้ไขปัญหาความมั่นคง ปลอดภัยไซเบอร์โดยใช้บุคลากร กระบวนการ และเทคโนโลยี โดยผ่านคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรม คอมพิวเตอร์ หรือบริการที่เกี่ยวกับคอมพิวเตอร์ใด ๆ เพื่อสร้างความมั่นใจและเสริมสร้างความมั่นคงปลอดภัยไซ เบอร์ของคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้องกับระบบคอมพิวเตอร์ “โครงสร้างพื้นฐานสําคัญทางสารสนเทศ” หมายความว่า คอมพิวเตอร์หรือระบบคอมพิวเตอร์ซึ่งหน่วยงานของรัฐ หรือหน่วยงานเอกชน ใช้ในกิจการของตนที่เกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยของรัฐ ความปลอดภัย สาธารณะ ความมั่นคงทางเศรษฐกิจของประเทศ หรือโครงสร้างพื้นฐานอันเป็นประโยชน์สาธารณะ Cybersecurity Act BE ๒๕๖๒ 33

“หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ” หมายความว่า หน่วยงานของรัฐหรือหน่วยงานเอกชน ซึ่งมี ภารกิจหรือให้บริการโครงสร้างพื้นฐานสําคัญทางสารสนเทศ “หน่วยงานควบคุมหรือกํากับดูแล"” หมายความว่า หน่วยงานของรัฐ หน่วยงานเอกชน หรือบุคคลซึ่งมีกฎหมาย กําหนดให้มีหน้าที่และอํานาจในการควบคุมหรือกํากับดูแลการดําเนินกิจการของหน่วยงานของรัฐหรือหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ “คณะกรรมการ” หมายความ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ “พนักงานเจ้าหน้าที่” หมายความว่า ผู้ซึ่งรัฐมนตรีแต่งตั้งให้ปฏิบัติการตามพระราชบัญญัตินี้ “เลขาธิการ” หมายความว่า เลขาธิการคณะกรรมการกรรักษาความมั่นคงปลอดภัยไซเบอร์ "สํานักงาน" หมายความว่า สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ "รัฐมนตรี" หมายความว่า รัฐมนตรีผู้รักษาการตามพระราชบัญญัตินี้ Cybersecurity Act BE ๒๕๖๒ 34

คณะกรรมการผู้เกี่ยวข้อง และบทบาทหน้าที่ 35

โครงสร้างสําหรับการกํากับดูแลสําหรับการบริหารจัดการและการรักษาความ มั่นคงปลอดภัยไซเบอร์ หน่วยงาน A,B,C,... X อาจเป็นหน่วยงาน โครงสร้างพื้นฐานสําคัญทางสารสนเทศ หรือ อาจเป็นหน่วยงานรัฐทั่วไป ก็ต้องปฎิบัติตาม พ. ร.บ. ฉบับนี้ การปฎิบัติของหน่วยงานต่างๆ ในยามปกติ ศูนย์ประสานงานการรักษาความ มั่นคงปลอดภัยของตนเอง บริหารและประสานงานให้ เป็นไปตาม พ.ร.บ. หน่วยงานควบคุมและกํากับดูแล หน่วยงาน A หน่วยงาน B หน่วยงาน ... หน่วยงาน X ศูนย์ประสานการรักษาความมั่นคง ปลอดภัยระบบคอมพิวเตอร์แห่ง ชาติ คณะกรรมการกํากับดูแลด้าน ความมั่นคงปลอดภัยไซเบอร์ (กกม.) คณะกรรมการไซเบอร์แห่งชาติ (กมช.) ● ปฎิบัติตามกรอบแนวทางปฎิบัติและกรอบ มาตรฐานที่กําหนด ● ตรวจสอบและประเมินความเสี่ยงปีละ ๑ ครั้ง ● ตรวจสอบการรักษาความมั่นคงปลอดภัยปีละ ๑ ครั้ง ● รายงานผลการดําเนินงานขึ้นไปตามลําดับขั้น ● เฝ้าระวังเหตุการณ์ความมั่นคงปลอดภัยไซ เบอร์ Cybersecurity Act BE ๒๕๖๒ 36

คณะกรรมการผู้เกี่ยวข้อง คณะกรรมการการรักษาความมั่นคง ปลอดภัยไซเบอร์แห่งชาติ (กมช.) National Cyber Security Committee (NCSC) มีหน้าที่ กําหนด เสนอ จัดทําแผนปฏิบัติกําหนด มาตรการและแนวทางต่าง ๆ ที่มีส่วนเกี่ยวข้อง กับ พ.ร.บ. คณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.) มีหน้าที่ กํากับดูแลการดําเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบ คอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและนิติวิทยาศาสตร์ทางคอมพิวเตอร์ รวมถึง กําหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน คณะกรรมการบริหารสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ (กบส.) ทําหน้าที่ดูแลงานด้านการบริหารงานทั่วไป Cybersecurity Act BE ๒๕๖๒ 37

องค์ประกอบคณะกรรมการการรักษาความมั่นคงปลอดภัยไซ เบอร์แห่งชาติ (กมช.) National Cyber Security Committee 38

คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ แห่งชาติ (กมช.) อํานาจและหน้าที่ (ม.๙,๔๒,๔๓) ● เสนอนโยบายและแผนว่าด้วยการรักษาความมั่นคง ปลอดภัยไซเบอร์ ● กําหนดนโยบายการบริหารจัดการที่เกี่ยวกับการรักษา ความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐ และ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ● จัดทําแผนปฏิบัติการเพื่อการรักษาความมั่นคงปลอดภัย ไซเบอร์ ● กําหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้ บริการเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้าง และกําหนดมาตรฐานขั้นตํ่าเกี่ยวกับการรักษาความ มั่นคงปลอดภัยไซเบอร์ (กล่าวคือ ประมวลแนวทางปฏิบัติ และกรอบ มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซ เบอร์) ● กําหนดกรอบการประสานความร่วมมือกับหน่วยงานอื่นทั้ง ในประเทศและต่างประเทศ ที่เกี่ยวข้องกับการรักษาความ มั่นคงปลอดภัยไซเบอร์ องค์ประกอบ (ม.๕) (๑) นายกรัฐมนตรี เป็นประธานกรรมการ (๒) กรรมการโดยตําแหน่ง ๖ คน (๓) กรรมการผู้ทรงคุณวุฒิ ไม่เกิน ๗ คน วาระ ๔ ปี National Cyber Security Committee 39

องค์ประกอบคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซ เบอร์แห่งชาติ “กกม. Cybersecurity Regulating Committee 40

มาตรา ๑๓ กําหนดให้ กกม. มีหน้าที่และอํานาจ ดังต่อไปนี้ 1. ติดตามการดําเนินการตามนโยบายและแผนตามมาตรา ๙ (๑) และมาตรา ๔๒ 2. ดูแลและดําเนินการเพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับร้ายแรง ตามมาตรา ๖๑ มาตรา ๖๒ มาตรา ๖๓ มาตรา ๖๔ มาตรา ๖๕ และมาตรา ๖๖ 3. กํากับดูแลการดําเนินงานของศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ และการเผชิญเหตุและ นิติวิทยาศาสตร์ทางคอมพิวเตอร์ 4. กําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์อันเป็นข้อกําหนดขั้นตํ่าในการดําเนินการ ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ รวมทั้ง กําหนดมาตรการในการประเมินความเสี่ยง การตอบสนองและรับมือกับภัยคุกคามทางไซเบอร์ เมื่อมีภัยคุกคามทางไซเบอร์หรือ เหตุการณ์ที่ส่งผลกระทบหรืออาจก่อให้เกิดผลกระทบหรือความเสียหายอย่างมีนัยสําคัญหรืออย่างร้ายแรงต่อระบบสารสนเทศของ ประเทศ เพื่อให้การรักษาความมั่นคงปลอดภัยไซเบอร์ปฏิบัติได้อย่างรวดเร็ว มีประสิทธิภาพ และเป็นไปในทิศทางเดียวกัน 5. กําหนดหน้าที่ของหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และหน้าที่ของหน่วยงานควบคุมหรือกํากับดูแล โดยอย่างน้อยต้อง กําหนดหน้าที่ให้หน่วยงานควบคุมหรือกํากับดูแลต้องกําหนดมาตรฐานที่เหมาะสมเพื่อรับมือกับภัยคุกคามทางไซเบอร์ของแต่ละหน่วย งานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ และหน่วยงานของรัฐ 6. กําหนดระดับของภัยคุกคามทางไซเบอร์ พร้อมทั้งรายละเอียดของมาตรการป้องกัน รับมือ ประเมิน ปราบปราม และระงับภัยคุกคามทาง ไซเบอร์ในแต่ละระดับเสนอต่อคณะกรรมการ 7. วิเคราะห์สถานการณ์ และประเมินผลกระทบจากภัยคุกคามทางไซเบอร์ เพื่อเสนอต่อคณะกรรมการพิจารณาสั่งการ เมื่อมีหรือคาดว่าจะมี ภัยคุกคามทางไซเบอร์ในระดับร้ายแรงขึ้นในการกําหนดกรอบมาตรฐานตามวรรคหนึ่ง (ข้อ ๔) ให้คํานึงถึงหลักการบริหารความเสี่ยง โดยอย่างน้อยต้องประกอบด้วยวิธีการและมาตรการ ดังต่อไปนี้ (๑) การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบคอมพิวเตอร์ ข้อมูลอื่นที่เกี่ยวข้องกับระบบ คอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของบุคคล (๒) มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น (๓) มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (๔) มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ (๕) มาตรการรักษาและฟื้ นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ Cybersecurity Regulating Committee 41

การกําหนดประมวลแนวทางปฏิบัติ และกรอบมาตรฐานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ตาม หลักการบริหารความเสี่ยง 42

การกําหนดประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความ มั่นคงปลอดภัยไซเบอร์ตามหลักการบริหารความเสี่ยง 1. การระบุความเสี่ยงที่อาจจะเกิดขึ้นแก่ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ระบบ คอมพิวเตอร์ข้อมูลอื่นที่เกี่ยวข้องกับระบบ คอมพิวเตอร์ ทรัพย์สินและชีวิตร่างกายของ บุคคล (Identity) 2. มาตรการป้องกันความเสี่ยงที่อาจจะเกิดขึ้น (Protect) 3. มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทาง ไซเบอร์(Detect) 4. มาตรการเผชิญเหตุเมื่อมีการตรวจพบภัย คุกคามทางไซเบอร์ (Respond) 5. มาตรการรักษาและฟื้ นฟูความเสียหายที่เกิด จากภัยคุกคามทางไซเบอร์ (Recover) NIST The Cybersecurity Framework Version ๑.๑ Cybersecurity Act BE ๒๕๖๒ 43

การกําหนดแนวทางการรักษาความมั่นคงปลอดภัยไซเบอร์ ส่วนที่ ๓ โครงสร้างพื้นฐานสาคัญทางสารสนเทศ ๓ มาตรา ๔๘-๕๗ ส่วนที่ ๔ การรับมือกับภัย คุกคามทางไซเบอร์ มาตรา ๕๘-๖๙ ๔ ส่วนที่ ๑ นโยบายและแผน ๑ มาตรา ๔๑-๔๔ ส่วนที่ ๒ การบริหารจัดการ มาตรา ๔๕-๔๗ ๒ แบ่งเป็น ๔ ส่วนดังนี้ หมวด ๔ บทกําหนดโทษ หมวด ๓ การรักษาความมั่นคงปลอดภัยไซเบอร์ Cybersecurity Act BE ๒๕๖๒ 44

คณะกรรมการไซเบอร์จัดทํา นโยบายและแผนว่าด้วยการ รักษาความมั่นคงปลอดภัย ไซเบอร์เพื่อเสนอ คณะรัฐมนตรีให้ความเห็น ชอบและประกาศใน ราชกิจจานุเบกษาและเมื่อได้ ประกาศแล้ว ให้หน่วยงาน ของรัฐ หน่วยงานควบคุม หรือกํากับดูแล และ หน่วยงานโครงสร้าง พื้นฐานสําคัญทาง สารสนเทศตามที่กําหนดไว้ ในแผนว่าด้วยการรักษา ความมั่นคง ปลอดภัยไซเบอร์ ดําเนิน การให้เป็นไปตามนโยบาย และแผนดังกล่าว ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือ กํากับดูแล และหน่วย งาน โครงสร้างพื้นฐาน สําคัญทางสารสนเทศ จัดทําประมวลแนวทาง ปฏิบัติและกรอบ มาตรฐานด้านการรักษา ความมั่นคงปลอดภัยไซ เบอร์ของตนเอง หรือ ปฏิบัติตามประมวล แนวทางปฏิบัติและ กรอบมาตรฐานที่สํานัก งานเป็นผู้จัดทํา ประมวลแนวทางปฏิบัติด้าน การรักษาความมั่นคง ปลอดภัยไซเบอร์อย่างน้อย ต้องประกอบด้วยเรื่อง ดัง ต่อไปนี้ 1. แผนการตรวจสอบ และประเมินความ เสี่ยงด้านการรักษา ความมั่นคง ปลอดภัยไซเบอร์ โดยผู้ตรวจประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบ อิสระจากภายนอก อย่างน้อยปีละหนึ่ง ครั้ง 2. แผนการรับมือภัย คุกคามทางไซเบอร์ นโยบายและแผน ม.๔๓ ม.๔๔ ให้สํานักงานโดยความเห็นชอบของ คณะกรรมการจัดทําประมวล แนวทางปฏิบัติและกรอบ มาตรฐานสําหรับให้หน่วยงาน ของรัฐ หน่วยงานควบคุมหรือ กํากับดูแล หรือหน่วยงาน โครงสร้างพื้นฐานสําคัญทาง สารสนเทศนําไปใช้เป็นแนวทางใน การจัดทําหรือนําไปใช้เป็นประมวล แนวทางปฏิบัติของหน่วยงานของ รัฐ หน่วยงานควบคุมหรือกํากับ ดูแล หรือหน่วยงานโครงสร้าง พื้นฐานสําคัญทางสารสนเทศของ ตน และในกรณีที่หน่วยงานดัง กล่าวยังไม่มีหรือมีแต่ไม่ ครบถ้วนหรือไม่สอดคล้องกับ ประมวลแนวทางปฏิบัติและ กรอบมาตรฐาน ให้นําประมวล แนวทางปฏิบัติและกรอบ มาตรฐานดังกล่าวไปใช้บังคับ ม.๔๔ ม.๔๔ ม.๔๒ Cybersecurity Act BE ๒๕๖๒ 45

นโยบายและแผน (มาตรา ๔๑ - ๔๔) มาตรา ๔๑ การรักษาความมั่นคงปลอดภัยไซเบอร์ต้องคํานึงถึงความเป็นเอกภาพและการ บูรณาการในการดําเนินงานของหน่วยงานของรัฐและหน่วยงานเอกชน และต้องสอดคล้อง กับนโยบายและแผนระดับชาติว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคมตาม กฎหมายว่าด้วยการพัฒนาดิจิทัลเพื่อเศรษฐกิจและสังคม และนโยบายและแผนแม่บทที่ เกี่ยวกับการรักษาความมั่นคงของสภาความมั่นคงแห่งชาติการดําเนินการด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ ต้องมุ่งหมายเพื่อสร้างศักยภาพในการป้องกัน รับมือ และลด ความเสี่ยงจากภัยคุกคามทางไซเบอร์ โดยเฉพาะอย่างยิ่งในการปกป้องโครงสร้างพื้นฐาน สําคัญทางสารสนเทศของประเทศ Cybersecurity Act BE ๒๕๖๒ 46

มาตรา ๔๒ นโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ต้องมีเป้าหมายและแนวทาง อย่างน้อย ดังต่อไปนี้ 1. การบูรณาการการจัดการในการรักษาความมั่นคงปลอดภัยไซเบอร์ของประเทศ 2. การสร้างมาตรการและกลไกเพื่อพัฒนาศักยภาพในการป้องกัน รับมือ และลดความเสี่ยงจาก ภัยคุกคามทางไซเบอร์ 3. การสร้างมาตรการในการปกป้องโครงสร้างพื้นฐานสําคัญทางสารสนเทศของประเทศ 4. การประสานความร่วมมือระหว่างภาครัฐ เอกชน และประสานความร่วมมือระหว่างประเทศเพื่อ การรักษาความมั่นคงปลอดภัยไซเบอร์ 5. การวิจัยและพัฒนาเทคโนโลยีและองค์ความรู้ที่เกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ 6. การพัฒนาบุคลากรและผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ทั้งภาครัฐและ เอกชน 7. การสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ 8. การพัฒนาระเบียบและกฎหมายเพื่อการรักษาความมั่นคงปลอดภัยไซเบอร์ นโยบายและแผน (มาตรา ๔๑ - ๔๔) Cybersecurity Act BE ๒๕๖๒ 47

มาตรา ๔๓ ให้คณะกรรมการจัดทํานโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซ เบอร์ขึ้นตามแนวทางในมาตรา ๔๒ เพื่อเสนอคณะรัฐมนตรีให้ความเห็นชอบ โดยให้ประกาศใน ราชกิจจานุเบกษา และเมื่อได้ประกาศแล้ว ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับ ดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศตามที่กําหนดไว้ในแผนว่าด้วยการ รักษาความมั่นคงปลอดภัยไซเบอร์ ดําเนินการให้เป็นไปตามนโยบายและแผนดังกล่าว ในการจัดทํานโยบายและแผนตามวรรคหนึ่ง ให้สํานักงานจัดให้มีการรับฟังความเห็นหรือ ประชุมร่วมกับหน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้าง พื้นฐานสําคัญทางสารสนเทศ นโยบายและแผน (มาตรา ๔๑ - ๔๔) Cybersecurity Act BE ๒๕๖๒ 48

มาตรา ๔๔ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทาง สารสนเทศจัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไชเบอร์ของ แต่ละหน่วยงานให้สอดคล้องกับนโยบายและแผนว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์โดยเร็ว ประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามวรรคหนึ่ง อย่างน้อยต้อง ประกอบด้วยเรื่อง ดังต่อไปนี้ ๑.แผนการตรวจสอบและประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ โดยผู้ตรวจ ประเมิน ผู้ตรวจสอบภายใน หรือผู้ตรวจสอบอิสระจากภายนอก อย่างน้อยปีละหนึ่งครั้ง ๒. แผนการรับมือภัยคุกคามทางไซเบอร์ เพื่อประโยชน์ในการจัดทําประมวลแนวทางปฏิบัติด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ตามวรรค หนึ่ง ให้สํานักงานโดยความเห็นชอบของคณะกรรมการจัดทําประมวลแนวทางปฏิบัติและกรอบมาตรฐานสําหรับ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ นําไปใช้เป็นแนวทางในการจัดทําหรือนําไปใช้เป็นประมวลแนวทางปฏิบัติของหน่วยงานของรัฐ หน่วยงาน ควบคุมหรือกํากับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศของตน และในกรณีที่หน่วยงาน ดังกล่าวยังไม่มีหรือมีแต่ไม่ครบถ้วนหรือไม่สอดคล้องกับประมวลแนวทางปฏิบัติและกรอบมาตรฐาน ให้นํา ประมวลแนวทางปฏิบัติและกรอบมาตรฐานดังกล่าวไปใช้บังคับ นโยบายและแผน (มาตรา ๔๑ - ๔๔) Cybersecurity Act BE ๒๕๖๒ 49

กําหนดให้หน่วยงานของรัฐ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ หน่วยงานกํากับ ดูแล มีหน้าที่ป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ ตามแนวปฏิบัติด้าน การรักษา ความมั่นคงปลอดภัยไซเบอร์ของแต่ละหน่วยงานที่เป็นไปตามกรอบมาตรฐานด้าน การรักษาความมั่นคงปลอดภัยไซเบอร์ รวมถึง แจ้งรายชื่อเจ้าหน้าที่ระดับบริหารและระดับ ปฏิบัติการ เพื่อประสานงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ไปยังสํานักงานคณะ กรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ม.๔๕ ว.๒ ในกรณีที่หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล หรือหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศไม่อาจ ดําเนินการหรือปฏิบัติตามวรรคหนึ่งได้ สํานักงานอาจให้ความช่วยเหลือด้านบุคลากรหรือเทคโนโลยีแก่หน่วยงานนั้นตามที่ร้องขอ ได้ การบริหารจัดการ (โดยสรุป) Cybersecurity Act BE ๒๕๖๒ 50