การพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) ของกระทรวงกลาโหม

การศึกษาเรื่อง “การพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ (Cyber Security) ของกระทรวงกลาโหม” มีวัตถุประสงค์เพื่อศึกษานโยบายการรักษาความมั่นคงปลอดภัยไซเบอร์ของ กห. ศึกษามาตรฐานการดำเนินงานด้านการรักษา ความมั่นคงปลอดภัยไซเบอร์ในระดับสากล และเพื่อเสนอแนวทางในการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ของ กห. ให้ได้มาตรฐานระดับสากล โดยการศึกษาครั้งนี้ใช้วิธีการสัมภาษณ์กลุ่มผู้ให้ข้อมูลสำคัญ (Key Informants) และการค้นคว้าข้อมูลจากเอกสารทางวิชาการต่างๆ ที่มีเนื้อหาเกี่ยวข้องกับการรักษาความมั่นคงปลอดภัยไซเบอร์ของ กห. และมาตรฐาน การดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับสากล

ผลการศึกษา พบว่า ๑) กรอบนโยบาย ยุทธศาสตร์ และการดำเนินงานด้านความมั่งคงปลอดภัยไซเบอร์ของกระทรวง กลาโหม ได้แก่ พ.ร.บ.ว่าด้วยการจัดระเบียบราชการด้านเทคโนโลยีสารสนเทศและการสื่อสารของ กห. พ.ศ. ๒๕๕๑, นโยบาย และแนวปฏิบัติในการรักษาความมั่นคงปลอดภัยด้านสารสนเทศของ กห. พ.ศ. ๒๕๕๔, ยุทธศาสตร์ กห. อิเล็กทรอนิกส์ (e-Defence), แผนแม่บทเทคโนโลยีสารสนเทศและการสื่อสารของ กห. ฉบับที่ ๓ พ.ศ. ๒๕๕๗ – ๒๕๖๑, การจัดตั้งศูนย์บัญชาการไซเบอร์ กห. ๒) มาตรฐานการดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ในระดับสากล ได้แก่ มาตรฐาน U.S. DoD, มาตรฐาน ISO 27001: 2005, มาตรฐาน FIPS PUB 200, มาตรฐาน NIST 800 – 14, มาตรฐาน COBIT, และ มาตรฐาน IT BPM ๓) แนวทางในการพัฒนามาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ของ กห. ให้ได้มาตรฐานใน ระดับสากล เชิงนโยบาย ได้แก่ ส่วนบังคับการ ต้องเปิดอัตรานายทหารสงครามข้อมูลข่าวสาร เพื่อดำเนินการตอบสนองต่อปัญหา/เหตุการณ์บุกรุกระบบของหน่วยขึ้นตรงได้อย่างรวดเร็ว ส่วนนโยบายและแผน ต้องมีการบรรจุข้อกำหนดในกระบวน การจัดซื้อจัดจ้าง อุปกรณ์ฮาร์ดแวร์/ซอฟต์แวร์ เพื่อให้อุปกรณ์มีความปลอดภัยในระดับสากล ส่วนปฏิบัติการไซเบอร์ จะต้องมีหน่วยปฏิบัติการเชิงรับสงครามข้อมูลข่าวสาร และ หน่วยปฏิบัติการเชิงรุก สงครามข้อมูลข่าวสาร ส่วนวิจัยและพัฒนาไซเบอร์ จะต้องจัดตั้งส่วนงาน Information Warfare System Research เพื่อพัฒนาระบบการรักษาความปลอดภัย ของข้อมูลข่าวสารให้มีประสิทธิภาพมากยิ่งขึ้น และต้องบรรจุ อัตราจเรทหารที่มีความเชี่ยวชาญเฉพาะด้านการรักษาความ มั่นคงปลอดภัยไซเบอร์ เพื่อดำเนินการตรวจสอบตามหลักการ ICT Audit เชิงปฏิบัติได้แก่ ๑) ควรจัดทำหลักสูตร Cyber Training เพื่ออบรมความรู้เกี่ยวกับการใช้งานซอฟต์แวร์ (Software) และฮาร์ดแวร์ (Hardware) รวมทั้งการให้ทุน การศึกษาต่อในด้านการรักษาความมั่นคงปลอดภัยไซเบอร์แก่ บุคลากรทุกระดับ ๒) ควรมีการจัดการองค์ความรู้ด้านไซเบอร์ (Cyber Knowledge Management: KM) ในหน่วยงาน และ ควรนำ E-Document มาใช้ในการปฏิบัติราชการมากยิ่งขึ้น

Standards Development; Cyber Security of the Ministry of Defence

This work, “Standards Development; cyber security of the Ministry of Defence”, is to study the Ministry of Defence (MOD)’s cyber security policy, to study the international standards involved, and, to propose ways to enhance the MOD’s Standards to meet those international standards. The work conducted interviews with experts and key informants, also, studied academic research and important documents involved; especially, those documents involving with the MOD’s cyber security, also, the documents and standards with well recognized international levels within the matters.

This work studied the MOD’s documents involved; including the Acts of the year 2008, namely, “the MOD’s directives for Internet communications and technology”, the MOD’s policies and guidelines of the year 2011, the MOD’s e-Defence strategy for the year 2014-2018, and, the MOD’s cyber command establishments. This work also analyzed the international standards involved; including, the U.S. DoD’s security policy, ISO 27001: 2005, FIPS PUB 200, NIST 800-14, COBIT, IT BPM.

The results for ways to improve or enhance the MOD’s cyber security are, for the commanding structure to set up new official positions for “the information warfare officers”, to enable effectiveness and fast operations, also, capabilities in effective/ fast defensive or offensive operations involved, for policy and planning structure to set up regulations to ensure information security requirements since the beginning of procurements and acquisitions of any hardware or software involved, for the cyber security operational structure to set up new operational units for both offence and defence, and, for the cyber security research and development to set up new “Information Warfare System research” to develop or maintain secure information system to be most effective. Also, there should have expert inspectors who have sufficient expertise, knowledge, and skills to perform security audits up to information standards, or, military standards, to ensure secure deployment, usage, and maintenance of secure information system for the MOD, at all time.

In additions, there should be Cyber Security training courses for people involved at all levels, scholarship for higher education regarding Cyber Security, also, setting up Cyber Security knowledge management (KM) within each unit involved, and, implementing secure E- Document system in practices.