mobile-logo

CISA ออกคำสั่ง BOD 25-01: แนวทางการปฏิบัติที่ปลอดภัยสำหรับ Microsoft 365 Cloud

19 Dec

CISA ออกคำสั่ง BOD 25-01: แนวทางการปฏิบัติที่ปลอดภัยสำหรับ Microsoft 365 Cloud

by Monster Online
in Blog
Comments

หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานแห่งสหรัฐฯ (CISA) ได้ออกคำสั่งปฏิบัติภาคบังคับ (Binding Operational Directive – BOD) ฉบับแรกสำหรับปี 2025 เพื่อกำหนดกฎและข้อกำหนดบังคับให้สภาพแวดล้อมคลาวด์ของ Microsoft 365 ปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์

คำสั่งนี้มีชื่อว่า BOD 25-01 และมีผลบังคับใช้กับระบบและทรัพย์สินทั้งหมดของ Federal Civilian Executive Branch (FCEB) โดย CISA ยังสนับสนุนให้องค์กรภาคเอกชนใช้มาตรการเหล่านี้เป็นแนวทางปฏิบัติที่ดี

หัวข้อสำคัญของคำสั่ง

คำสั่งนี้กำหนดให้หน่วยงานต้องดำเนินการดังนี้:

1. ระบุผู้เช่า (tenants) ทั้งหมดที่อยู่ในขอบเขตของคำสั่ง

2. ใช้เครื่องมือประเมิน Secure Cloud Business Applications (SCuBA)

3. แก้ไขการตั้งค่าที่เบี่ยงเบนจากมาตรฐานการตั้งค่าความปลอดภัย

เหตุผลเบื้องหลังคำสั่งนี้

ในช่วงที่ผ่านมา ผู้ไม่หวังดีมีการโจมตีระบบคลาวด์เพิ่มขึ้น พร้อมพัฒนากลยุทธ์ในการเข้าถึงข้อมูลเริ่มต้น โดยการตั้งค่าความปลอดภัยที่ไม่เหมาะสมในระบบคลาวด์ ทำให้เกิดความเสี่ยงและการละเมิดความปลอดภัย

เพื่อตอบสนองต่อภัยคุกคามนี้ CISA ได้ริเริ่มโครงการ Secure Cloud Business Applications (SCuBA) ซึ่งได้พัฒนามาตรฐาน Secure Configuration Baselines เพื่อสร้างความปลอดภัยที่สม่ำเสมอและจัดการได้ง่าย

ขอบเขตของคำสั่ง

คำสั่งนี้ใช้กับระบบคลาวด์ที่ใช้งานจริงของหน่วยงานรัฐบาลกลาง ซึ่งมีมาตรฐาน SCuBA Secure Configuration Baselines ที่เผยแพร่โดย CISA โดยปัจจุบันมาตรฐานที่เผยแพร่ครอบคลุม Microsoft Office 365 และในอนาคตอาจเพิ่มผลิตภัณฑ์อื่นๆ

ข้อกำหนดที่หน่วยงานต้องปฏิบัติ

1. ระบุผู้เช่าคลาวด์

• ส่งรายงานชื่อผู้เช่าและหน่วยงานที่ดูแลภายในวันที่ 21 กุมภาพันธ์ 2025 และอัปเดตรายการนี้ทุกปี

2. ติดตั้งเครื่องมือ SCuBA

• ติดตั้งเครื่องมือประเมิน SCuBA สำหรับผู้เช่าคลาวด์ภายในวันที่ 25 เมษายน 2025 และรายงานผลการประเมินให้ CISA

3. ดำเนินการตามนโยบาย SCuBA บังคับ

• นำนโยบาย SCuBA บังคับไปใช้ภายในวันที่ 20 มิถุนายน 2025

4. ปรับปรุงตามนโยบาย SCuBA ใหม่

• ปฏิบัติตามการปรับปรุงนโยบายที่ CISA กำหนดในอนาคต

5. ติดตั้งการตรวจสอบสำหรับผู้เช่าคลาวด์ใหม่

• ใช้มาตรฐาน SCuBA ก่อนออกใบอนุญาตให้ใช้งาน (Authorization to Operate – ATO)

บทบาทของ CISA

CISA จะทำหน้าที่ดังนี้:

1. ดูแลรายการนโยบายที่เกี่ยวข้องและแจ้งการเปลี่ยนแปลง

2. ให้คำแนะนำการรายงานและการติดตั้งเครื่องมือ SCuBA

3. สนับสนุนด้านเทคนิคและการแก้ไขปัญหาให้กับหน่วยงาน FCEB

คำสั่ง BOD 25-01 นี้เป็นก้าวสำคัญในการยกระดับความปลอดภัยทางไซเบอร์สำหรับหน่วยงานรัฐบาลและองค์กรอื่นๆ ที่ใช้ระบบคลาวด์

แหล่งที่มา : https://www.linkedin.com/pulse/cisa-releases-bod-25-01-implementing-secure-practices-lufee/

เริ่มต้นเสริมความปลอดภัยให้องค์กรของคุณด้วยวันนี้!
ติดต่อเราเพื่อรับคำปรึกษาและบริการที่ดีที่สุดในด้านความปลอดภัยไซเบอร์

สนใจสินค้า ⚡

https://mon.co.th

https://onestopware.com

https://firewallhub.com

สอบถามเพิ่มเติม ⚡️

📞 : 02-026-6665

📩 : [email protected]

LINE : https://page.line.me/?accountId=monsteronline

Tags:
,,
Monster Online
Monster Online