มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568

ประกาศ "มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568" นี้เป็นข้อกำหนดสำคัญสำหรับนักพัฒนาเว็บและผู้ดูแลระบบ โดยเฉพาะอย่างยิ่งสำหรับ

หน่วยงานภาครัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ ส่วนหน่วยงานเอกชนก็สามารถนำไปใช้เป็นแนวทางได้

โดยสาระสำคัญของประกาศฉบับนี้มีดังนี้:

ขอบเขตของมาตรฐาน มาตรฐานนี้ไม่ได้ครอบคลุมแค่ตัวเว็บไซต์เท่านั้น แต่รวมไปถึงองค์ประกอบหลัก ๆ ที่เกี่ยวข้องด้วย ได้แก่:

เครื่องบริการเว็บ (Web Server): ครอบคลุมทั้งตัวเว็บไซต์ (Website), โปรแกรมประยุกต์บนเว็บ (Web Application), ระบบบริหารจัดการเว็บไซต์ (CMS), ซอฟต์แวร์สำหรับให้บริการเว็บ (Web Server Software), ระบบปฏิบัติการ (Operating System) และโพรโทคอล SSL/TLS

เครื่องบริการฐานข้อมูล (Database Server): ครอบคลุมระบบฐานข้อมูล (Database System), ระบบปฏิบัติการ (Operating System) และซอฟต์แวร์จัดการฐานข้อมูล (DBMS Software)

การกำกับดูแลด้านความมั่นคงปลอดภัย: ครอบคลุมนโยบายการจัดการและมาตรการควบคุมเชิงบริหารและเชิงเทคนิค เช่น การควบคุมการเข้าถึง

นอกจากนี้ ยังมีองค์ประกอบอื่น ๆ ที่อยู่นอกขอบเขตแต่แนะนำให้พิจารณาใช้เพื่อเพิ่มความปลอดภัย เช่น WAF (Web Application Firewall), DNSSEC, และ Firewall

โครงสร้างการดำเนินการ ประกาศนี้ได้แบ่งการดำเนินการออกเป็น 5 ส่วนหลัก ๆ ตามกรอบ NIST Cybersecurity Framework (CSF 2.0):

การระบุความเสี่ยง (Identification): ทำความเข้าใจและระบุความเสี่ยงที่อาจเกิดขึ้นกับเว็บไซต์

การป้องกัน (Protection): จัดการและใช้มาตรการเพื่อป้องกันความเสี่ยงที่ระบุไว้

การตรวจสอบและเฝ้าระวัง (Detection): ตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์

การเผชิญเหตุ (Respond): มีขั้นตอนการรับมือเมื่อเกิดเหตุการณ์ด้านความมั่นคงปลอดภัย

การรักษาและฟื้นฟู (Recovery): กู้คืนระบบหลังจากได้รับผลกระทบจากภัยคุกคาม

ข้อกำหนดและแนวปฏิบัติ ประกาศนี้ใช้คำ 3 คำเพื่อระบุระดับความสำคัญของการปฏิบัติตามมาตรฐาน:

"จะต้อง" (shall): คือ ข้อกำหนด (Requirement) ที่ต้องปฏิบัติตามอย่างเคร่งครัด

"ควรจะ" (should): คือ ข้อเสนอแนะ (Recommendation) ที่ควรทำตาม

"อาจจะ" (may): คือสิ่งที่อนุญาตให้ทำได้

การประเมินตนเองและการรายงานผล หน่วยงานที่เข้าข่ายจะต้องทำการประเมินตนเอง (Self-Assessment) อย่างน้อย

ปีละครั้ง โดยใช้แบบฟอร์ม ค1

ถ้าผลกระทบเป็นระดับต่ำหรือกลาง: ให้รายงานผลต่อผู้บริหารสูงสุดของหน่วยงานและเก็บเอกสารไว้เพื่อการตรวจสอบ

ถ้าผลกระทบเป็นระดับสูง: ต้องรายงานต่อผู้บริหารสูงสุดของหน่วยงาน และ หน่วยงานควบคุมหรือกำกับดูแล พร้อมส่งสำเนาให้ สกมช.

หากตรวจสอบแล้วพบว่ายังไม่สอดคล้องกับมาตรฐาน หน่วยงานจะต้องดำเนินการปรับปรุงแก้ไข และจัดทำแบบฟอร์ม ค2 เพื่อรายงานรายการที่ต้องปรับปรุงให้ผู้บริหารสูงสุดทราบ

สรุปง่าย ๆ คือ ประกาศนี้กำหนดให้เว็บไซต์ของหน่วยงานภาครัฐและหน่วยงานสำคัญต้องมีเกราะป้องกันที่ได้มาตรฐานตั้งแต่ระดับโครงสร้างพื้นฐานไปจนถึงแอปพลิเคชัน และต้องมีการตรวจสอบ ประเมิน และรายงานผลอย่างสม่ำเสมอ เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์