ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ.2568

by | Sep 17, 2025 | ข่าวQDnews

ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ พ.ศ. 2568

ซึ่งเป็นการกำหนดมาตรฐานขั้นต่ำเพื่อให้การดำเนินงานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของเว็บไซต์เป็นไปอย่างมีประสิทธิภาพ

สาระสำคัญของประกาศ

การบังคับใช้: ประกาศนี้จะมีผลบังคับใช้เมื่อพ้นกำหนดหนึ่งปีนับแต่วันที่ประกาศในราชกิจจานุเบกษา (ประกาศ ณ วันที่ 16 กันยายน 2568)

ผู้ที่ต้องปฏิบัติตาม: 

  • กลุ่มที่ต้องปฏิบัติตาม: หน่วยงานของรัฐ, หน่วยงานควบคุมหรือกำกับดูแล, และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ
  • กลุ่มที่ส่งเสริมให้ปฏิบัติตาม: หน่วยงานเอกชน โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) จะดำเนินการส่งเสริมและสนับสนุนให้นำไปปรับใช้

ข้อบังคับหลัก: หน่วยงานที่เกี่ยวข้องจะต้องประเมินตนเอง (Self-Assessment) อย่างน้อยปีละหนึ่งครั้ง ตามแบบฟอร์มที่กำหนด (แบบฟอร์ม ค1) และหากพบข้อบกพร่อง จะต้องจัดทำแผนการปรับปรุง (แบบฟอร์ม ค2)

การรายงานผล:

  • ผลกระทบระดับต่ำหรือกลาง: รายงานผลต่อผู้บริหารสูงสุดของหน่วยงานและเก็บไว้เพื่อการตรวจสอบ
  • ผลกระทบระดับสูง: รายงานผลต่อผู้บริหารสูงสุดของหน่วยงาน, หน่วยงานควบคุมหรือกำกับดูแล, และส่งสำเนาให้ สกมช.

ขอบเขตของมาตรฐาน

มาตรฐานนี้ครอบคลุมเว็บไซต์ทุกประเภท ทั้งที่อยู่บนระบบขององค์กรเอง (On-Premises), บนระบบคลาวด์ (Cloud Service), และบริการเว็บโฮสติ้ง (Web Hosting)  โดยมีองค์ประกอบหลัก 2 ส่วนคือ

การกำกับดูแลด้านความมั่นคงปลอดภัย (Governance): การบริหารจัดการ, นโยบาย, และมาตรการควบคุมเชิงบริหารและเทคนิค
การรักษาความมั่นคงปลอดภัยทางเทคนิค (Technical Security):

  • เครื่องบริการเว็บ (Web Server): ครอบคลุม เว็บไซต์, ซอฟต์แวร์ Web Server, Web Application, ระบบ CMS, ระบบปฏิบัติการ และ SSL/TLS
  • เครื่องบริการฐานข้อมูล (Database Server): ครอบคลุม ระบบฐานข้อมูล, ระบบปฏิบัติการ และซอฟต์แวร์จัดการฐานข้อมูล (DBMS)

หมายเหตุ: องค์ประกอบแวดล้อมอื่น ๆ เช่น Firewall, WAF, DNSSEC, EDR ถือเป็นองค์ประกอบนอกขอบเขตที่หน่วยงานควรพิจารณาดำเนินการเพิ่มเติม

ข้อกำหนดหลักของมาตรฐาน

ข้อกำหนดแบ่งออกเป็น 2 ส่วนหลัก โดยอ้างอิงจากกรอบการทำงาน NIST Cybersecurity Framework (CSF 2.0) และประมวลแนวทางปฏิบัติของคณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์

ข้อกำหนดด้านการกำกับดูแล (Website Security Governance)

  • บริบทองค์กร: ต้องทำความเข้าใจภารกิจ, ผู้มีส่วนได้ส่วนเสีย, และข้อกฎหมายที่เกี่ยวข้องกับการจัดการความเสี่ยง
  • นโยบาย: ต้องกำหนด, ทบทวน, และบังคับใช้นโยบายความมั่นคงปลอดภัยสำหรับเว็บไซต์เป็นลายลักษณ์อักษร
  • การจัดการความเสี่ยง: ต้องกำหนดกลยุทธ์, เกณฑ์ประเมินความเสี่ยง, และระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite)
  • บทบาทและความรับผิดชอบ: ต้องกำหนดโครงสร้างองค์กร, อำนาจหน้าที่, และความรับผิดชอบที่ชัดเจน
  • การวางแผน: ต้องกำหนดความต้องการด้านความมั่นคงปลอดภัยตั้งแต่ขั้นตอนการวางแผนจัดทำเว็บไซต์
  • แนวทางความมั่นคงปลอดภัย: 
    • ต้องมีแนวทางพื้นฐาน 3 ด้าน: การรักษาความลับ (Confidentiality), ความครบถ้วนสมบูรณ์ (Integrity), และความพร้อมใช้งาน (Availability)
    • ต้องมีการจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Log) ตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
    • ต้องมีแนวทางการสำรองข้อมูล (Backup) และหลักปฏิบัติในการเลิกใช้งานเว็บไซต์ (Decommissioning)

ข้อกำหนดด้านการดำเนินการและการรักษาความมั่นคงปลอดภัย (Security and Operation)

  • การระบุความเสี่ยง (Identification): ต้องมีการจัดการทรัพย์สิน (Asset Management), ประเมินความเสี่ยง, และประเมินช่องโหว่และทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing)
  • การป้องกันความเสี่ยง (Protection):
    • ต้องมีแนวทางการพัฒนา Web Application อย่างมั่นคงปลอดภัย โดยอาจพิจารณาใช้หลักการ DevSecOps และปัจจัยเสี่ยงของ OWASP
    • ต้องออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย เช่น การแบ่งส่วนเครือข่าย
    • ต้องมีการควบคุมการเข้าถึง (Access Control), ทำให้ระบบมีความแข็งแกร่ง (System Hardening), และสร้างความตระหนักรู้ให้บุคลากร
    • ต้องพิจารณาใช้การพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA)
  • การตรวจสอบและเฝ้าระวัง (Detection): ต้องมีกระบวนการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์
  • การเผชิญเหตุ (Response): ต้องจัดทำแผนการรับมือภัยคุกคามทางไซเบอร์สำหรับเว็บไซต์ (Incident Response Plan) และมีการฝึกซ้อมอย่างสม่ำเสมอ
  • การฟื้นฟู (Recovery): ต้องจัดทำแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP)

ภาคผนวก

เอกสารประกอบด้วยภาคผนวก 3 ส่วน ได้แก่:
ภาคผนวก ก และ ข: ข้อเสนอแนะและคำอธิบายเพิ่มเติมสำหรับข้อกำหนดในแต่ละหัวข้อ
ภาคผนวก ค: แบบฟอร์มที่ใช้ในการตรวจสอบและรายงานผล ได้แก่

  • แบบฟอร์ม ค1: แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสำหรับเว็บไซต์
  • แบบฟอร์ม ค2: แบบรายงานการแก้ไขรายการที่ยังต้องปรับปรุง

ที่มา : https://ratchakitcha.soc.go.th/documents/86192.pdf 

Loading

Shares