ราชกิจจานุเบกษา
เล่ม ๑๔๒ ตอนพิเศษ ๓๐๕ ง
หน้า ๓๓ - ๓๕
๑๖ กันยายน ๑๕๖๘
ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์
พ.ศ. ๒๕๖๘
โดยที่พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ กําหนดให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติมีหน้าที่และอํานาจสร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกําหนดมาตรฐานขั้นต่ำที่เกี่ยวข้องกับคอมพิวเตอร์ ระบบคอมพิวเตอร์หรือโปรแกรมคอมพิวเตอร์ จึงสมควรมีมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ เพื่อให้การดําเนินงานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์เป็นไปอย่างมีประสิทธิภาพ
อาศัยอํานาจตามความในมาตรา ๙ (๔) มาตรา ๒๒ (๑๓) และ (๑๖) แห่งพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ ประกอบกับมติคณะกรรมการบริหารสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์ ในคราวการประชุมครั้งที่ ๖/๒๕๖๕ เมื่อวันที่ ๔ พฤศจิกายน ๒๕๖๕ มติคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ในคราวการประชุมครั้งที่ ๔/๒๕๖๖ เมื่อวันที่ ๒๖ พฤศจิกายน ๒๕๖๖ และมติคณะกรรมการ การรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ในคราวการประชุมครั้งที่ ๓/๒๕๖๘ เมื่อวันที่ ๒๙ สิงหาคม ๒๕๖๘ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ จึงออกประกาศไว้ ดังต่อไปนี้
ข้อ ๑ ประกาศนี้เรียกว่า "ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ พ.ศ. ๒๕๖๔"
ข้อ ๒ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกําหนดหนึ่งปีนับแต่วันประกาศในราชกิจจานุเบกษา เป็นต้นไป
ข้อ ๓ ให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้าง พื้นฐานสําคัญทางสารสนเทศ ดําเนินการให้เว็บไซต์ของตน เป็นไปตามมาตรฐานการรักษาความมั่นคง ปลอดภัยสําหรับเว็บไซต์ ที่กําหนดท้ายประกาศนี้
ให้สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ดําเนินการส่งเสริม และสนับสนุนให้หน่วยงานเอกชนนํามาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ตามแนบท้ายประกาศนี้ ไปปรับใช้เป็นแนวทางในสร้างมาตรฐานการรักษาความมั่นคงปลอดภัยเว็บไซต์ของตนด้วย
ข้อ ๔ เพื่อประโยชน์ในการดําเนินการตามมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ ตามข้อ ๓ วรรคหนึ่ง ให้หน่วยงานควบคุมหรือกํากับดูแลและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ ดําเนินการ ดังต่อไปนี้
(๑) กําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้แก่ข้อมูลหรือระบบสารสนเทศ ของเว็บไซต์
(๒) ประเมินและจัดระดับผลกระทบในแต่ละด้าน
(๓) ระบุข้อกําหนดขั้นต่ำที่ต้องดําเนินการ และระบุการปฏิบัติตามมาตรฐานการรักษา
ความมั่นคงปลอดภัยสําหรับเว็บไชต์
(๔) ประเมินตนเอง (Self-Assessment) เพื่อตรวจสอบการดําเนินการตามมาตรฐาน การรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์
การดําเนินการตามวรรคหนึ่ง ให้เป็นไปตามแบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสําหรับเว็บไซต์ ท้ายประกาศนี้ โดยให้หน่วยงานดําเนินการอย่างน้อยปีละ ๑ ครั้ง
ข้อ ๕ เมื่อหน่วยงานดําเนินการกําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ และประเมินและจัดระดับผลกระทบตามข้อ ๔ วรรคหนึ่ง (๑) และ (๒) แล้ว ให้ดําเนินการ ดังนี้
(๑) กรณีผลกระทบระดับต่ําหรือระดับกลาง ให้หน่วยงานรายงานผลการประเมินตนเอง ตามแบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสําหรับเว็บไซต์ ท้ายประกาศนี้ พร้อมแนบเอกสารหลักฐานที่เกี่ยวข้อง เสนอต่อผู้บริหารระดับสูงสุดของหน่วยงานและเก็บรักษาไว้ที่หน่วยงานเพื่อให้สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติตรวจสอบ
(๒) กรณีผลกระทบระดับสูง ให้หน่วยงานรายงานผลการประเมินตนเอง ตามแบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสําหรับเว็บไซต์ ท้ายประกาศนี้ พร้อมแนบเอกสารหลักฐานที่เกี่ยวข้อง เสนอต่อผู้บริหารสูงสุดของหน่วยงาน และหน่วยงานควบคุม หรือกํากับดูแล พร้อมส่งสําเนาให้สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
ข้อ ๖ กรณีที่หน่วยงานดําเนินการประเมินตนเองตามข้อ ๔ วรรคหนึ่ง (๔) แล้วปรากฏว่า หน่วยงานยังมิได้ดําเนินการตามมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ ของหน่วยงานหรือดําเนินการแล้วแต่ยังไม่สอดคล้องกับมาตรฐานการรักษาความมั่นคงปลอดภัย สําหรับเว็บไซต์ตามประกาศนี้ ทั้งหมดหรือบางส่วน หน่วยงานต้องดําเนินการปรับปรุงให้สอดคล้องกับ มาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ตามประกาศนี้กําหนด แล้วแต่กรณี
ก่อนการดําเนินการตามวรรคหนึ่ง ให้หน่วยงานจัดทําแบบฟอร์ม ค๒ แบบรายงานรายการที่ยังต้องปรับปรุง ท้ายประกาศนี้ แล้วแจ้งต่อผู้บริหารระดับสูงสุดของหน่วยงานเพื่อใช้อํานาจในทางบริหารสั่งการไปยังผู้ที่เกี่ยวข้องเพื่อดําเนินการให้สอดคล้องกับมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ตามประกาศนี้กําหนด
ข้อ ๗ ให้เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ รักษาการตามประกาศนี้ และให้มีอํานาจออกประกาศ คําสั่ง หลักเกณฑ์และวิธีการเพื่อปฏิบัติ ตามประกาศนี้
ในกรณีที่มีปัญหาเกี่ยวกับการปฏิบัติตามประกาศนี้ หรือประกาศนี้ไม่ได้กําหนดเรื่องใดไว้ ให้เลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ มีอํานาจตีความและวินิจฉัยชี้ขาด แล้วรายงานให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ ทั้งนี้ การตีความและคําวินิจฉัย ของเลขาธิการคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติให้เป็นที่สุด
ประกาศ ณ วันที่ ๑๐ กันยายน พ.ศ. ๒๕๖๘
ประเสริฐ จันทรรวงทอง
รองนายกรัฐมนตรี
ประธานกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
มาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์
เว็บไซต์เป็นองค์ประกอบที่สําคัญเพราะเป็นช่องทางในการเข้าถึงข้อมูล ผลิตภัณฑ์ หรือ บริการของหน่วยงาน ถือเป็นประตูที่ใช้เชื่อมหน่วยงานกับอินเทอร์เน็ต หากเกิดภัยคุกคามทางไซเบอร์ เพื่อขโมย แก้ไข หรือลบข้อมูลที่สําคัญของหน่วยงาน เช่น ข้อมูลลูกค้า และข้อมูลทางการเงิน เป็นต้น จะส่งผลกระทบต่อการดําเนินการของหน่วยงาน จากสถิติในการรับมือภัยคุกคามทางไซเบอร์ ปี ๒๕๖๖ - ๒๕๖๗ พบว่า ร้อยละ ๔๔ ของภัยคุกคามไซเบอร์ทั้งหมด เกิดขึ้นกับเว็บไซต์ ประกอบด้วย Hacked Website (Defacement และ Gambling) และ Fake Website (๔) อย่างไรก็ตาม นอกจากภัยคุกคามทางไซเบอร์จะส่งผลกระทบต่อข้อมูลหรือระบบสารสนเทศของหน่วยงานแล้ว ยังส่งผลกระทบต่อการดําเนินงาน การให้บริการของหน่วยงาน อาจทําให้หน่วยงานสูญเสียรายได้ เสียชื่อเสียง และขาดความน่าเชื่อถืออีกด้วย ตัวอย่างเช่น การโจมตีเว็บไซต์เพื่อเปลี่ยนแปลงข้อมูล หน้าเว็บ (Web Defacement) การโจมตีเว็บไซต์เพื่อใช้เป็นฐานในการเผยแพร่มัลแวร์ (Malware Distribution) หรือการใช้เว็บไซต์เพื่อการหลอกลวง (Phishing Website) ซึ่งอาจทําให้มีหน่วยงาน มีความเสี่ยงทางกฎหมาย และสําคัญที่สุดอาจส่งผลกระทบต่อความมั่นคงปลอดภัยในระดับประเทศ
สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สมช.) ได้เล็งเห็นถึงความสําคัญในการป้องกัน รับมือ และบรรเทาผลกระทบจากภัยคุกคามที่จะเกิดขึ้นกับเว็บไซต์หน่วยงานข้างต้น จึงอาศัยหน้าที่และอํานาจในพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ (๕) มาตรา ๙ (๔) ซึ่งกําหนดให้คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) มีหน้าที่และอํานาจในการกําหนดมาตรฐานและแนวทางส่งเสริมพัฒนาระบบการให้บริการรักษาความมั่นคงปลอดภัยไซเบอร์ สร้างมาตรฐานเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ และกําหนดมาตรฐานขั้นต่ำที่เกี่ยวกับคอมพิวเตอร์ ระบบคอมพิวเตอร์ โปรแกรมคอมพิวเตอร์ รวมถึงส่งเสริมการรับรองมาตรฐานการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับ หน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานเอกชน และ มาตรา ๒๒ (๑๓) และได้กําหนดให้ สกมช. มีหน้าที่และอํานาจในการศึกษาและวิจัยข้อมูลที่จําเป็นสําหรับการรักษาความมั่นคงปลอดภัยไซเบอร์ เพื่อจัดทําข้อเสนอแนะเกี่ยวกับมาตรการด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ รวมทั้งดําเนินการอบรม และฝึกซ้อมการรับมือกับภัยคุกคามทางไซเบอร์ให้แก่หน่วยงานที่เกี่ยวข้องเป็นประจํา ดังนั้น สกมช. จึงได้แต่งตั้งคณะทํางานเพื่อจัดทํามาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ โดยมีหน้าที่ในการจัดทํา "มาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ เวอร์ชัน ๑.๐ หรือ Website Security Standard Version 1.0" เพื่อใช้เป็นข้อกําหนดด้านความมั่นคงปลอดภัยทางเว็บไซต์ขั้นต่ำให้หน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศต้องปฏิบัติตาม รวมถึงส่งเสริมและสนับสนุนให้หน่วยงานเอกชน นําไปปรับใช้เป็นแนวทางการรักษาความมั่นคงปลอดภัยเว็บไซต์ต่อไป
๑. ขอบเขต (Scope)
มาตรฐานฉบับนี้ มีวัตถุประสงค์เพื่อรักษาความมั่นคงปลอดภัยให้กับเว็บไซต์ของหน่วยงานของรัฐ หน่วยงานควบคุมหรือกํากับดูแล และหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ รวมถึงหน่วยงานเอกชน ตามพระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. ๒๕๖๒ (๕) ซึ่งใช้เป็นข้อกําหนดขั้นต่ำให้เว็บไซต์ที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) เว็บไซต์ที่มีข้อมูลสําคัญ เว็บไซต์ที่ให้บริการข้อมูลประชาชน เว็บไซต์ให้บริการเกี่ยวกับโครงสร้างพื้นฐานสําคัญของประเทศ และเว็บไซต์ของหน่วยงานที่มีการดําเนินการธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งมาตรฐานฉบับนี้ ครอบคลุมถึงเว็บไซต์บนระบบขององค์กร (On-Premises) เว็บไซต์บนระบบคลาวด์ (Cloud Service) และเว็บไซต์ที่ใช้บริการเว็บโฮสติ้ง (Web Hosting) โดยขอบเขตของมาตรฐาน ฉบับนี้ แบ่งเป็น ๒ องค์ประกอบ ดังนี้
๑.๑ องค์ประกอบตามขอบเขต ประกอบด้วย
๑.๑.๑ การกํากับดูแลด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์
เป็นการบริหารจัดการและการดูแลด้านอื่น ๆ ที่เกี่ยวข้อง รวมถึงการบริหารจัดการ และมาตรการควบคุมเชิงบริหาร เช่น นโยบายการพัฒนาและจัดการเว็บไซต์ และมาตรการควบคุมเชิงเทคนิค เช่น การควบคุมการเข้าถึงเว็บไซต์และข้อมูล เป็นต้น
๑.๑.๒ การรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์
เป็นการดําเนินการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ ใน ๒ ส่วน ดังนี้
๑.๑.๒.๑ เครื่องบริการเว็บ (Web Server) ซึ่งประกอบด้วย เว็บไซต์ (Website) โปรแกรมสําหรับให้บริการเว็บ (Web Server Software) โปรแกรมประยุกต์บนเว็บ (Web Application) ระบบบริหารจัดการเว็บไซต์ (Content Management System: CMS) ระบบปฏิบัติการ (Operating System) และ โพรโทคอลสร้างความมั่นคงปลอดภัยในการสื่อสาร SSL/TLS
๑.๑.๒.๒ เครื่องบริการฐานข้อมูล (Database Server) ซึ่งประกอบด้วย ระบบฐานข้อมูล (Database System) ระบบปฏิบัติการ (Operating System) และระบบการจัดการฐานข้อมูล (DBMS Software)
๑.๒ องค์ประกอบอื่นๆ นอกเหนือขอบเขต เป็นองค์ประกอบที่เกี่ยวข้องกับสภาพแวดล้อม ความมั่นคงปลอดภัยของโครงสร้างพื้นฐานทางเทคโนโลยีสารสนเทศของหน่วยงาน ประกอบด้วย ซอฟต์แวร์ด้านความมั่นคงปลอดภัย Endpoint Detection and Response (EDR) ระบบ Extended Detection and Response (XDR) ไฟร์วอลล์ (Firewall) การให้บริการป้องกัน Web Application (Web Application Firewall: WAF) เครื่องคอมพิวเตอร์แม่ข่าย Domain Name System (DNS Server) และ Domain Name System Security Extensions (DNSSEC) รวมถึงมาตรการควบคุมเชิงกายภาพ เช่น การควบคุมการเข้าถึงเครื่องบริการเว็บ (Web Server) ทางกายภาพ เป็นต้น ซึ่งเป็นองค์ประกอบที่หน่วยงานพิจารณาดําเนินการเพื่อให้เว็บไซต์มีความมั่นคงปลอดภัยจากภัยคุกคามทางไซเบอร์
ซึ่งขอบเขตของมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ แสดงได้ดังภาพที่ ๑
มาตรฐานฉบับนี้ อ้างอิงข้อกําหนด ข้อเสนอแนะ และแนวปฏิบัติฯ จากมาตรฐานอื่นๆ ที่เกี่ยวข้อง ตามหัวข้อ ๔ เอกสารอ้างอิง (Normative Reference) โดยมีรูปแบบของคําที่ใช้แสดง ในมาตรฐานฉบับนี้ ดังนี้
"จะต้อง" (shall) ใช้ระบุสิ่งที่เป็นข้อกําหนด (Requirement) ซึ่งจะต้องปฏิบัติตาม
"ควรจะ" (should) ใช้ระบุสิ่งที่เป็นข้อเสนอแนะ (Recommendation) ซึ่งควรจะปฏิบัติตาม
"อาจจะ" (may) ใช้ระบุสิ่งที่ยินยอมหรืออนุญาตให้ทําได้ (Permission) ซึ่งอาจจะปฏิบัติตาม
๒. โครงสร้างเอกสาร (Documents Structure)
มาตรฐานฉบับนี้ มีโครงสร้างเอกสาร ดังแสดงในภาพที่ ๒ ประกอบด้วย
๒.๑. ข้อกําหนดในการกํากับดูแลด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Website Security Governance) โดยอ้างอิงจากกรอบทํางานด้านความมั่นคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework: CSF 2.0) (๒) (หัวข้อที่ ๕)
๒.๒. ข้อกําหนดในการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Website Security Operation) โดยอ้างอิงจากประกาศคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (๓) (หัวข้อที่ (๖) ประกอบด้วย
๒.๒.๑ การระบุความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Identification)
๒.๒.๒ การป้องกันความเสี่ยงที่อาจจะเกิดขึ้นกับเว็บไซต์ (Website Security Protection)
๒.๒.๓ การตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Website Security Detection)
๒.๒.๔ การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์ (Website Incident Respond)
๒.๒.๕ การรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ (Website Recovery)
๒.๓. การดําเนินการตามข้อกําหนดขั้นต่ำและแนวทางในการตรวจสอบให้เป็นไปตามมาตรฐานฉบับนี้ (หัวข้อที่ ๗) ประกอบด้วย
๒.๓.๑ การดําเนินการตามข้อกําหนดขั้นต่ำ
๒.๓.๒ แนวทางในการตรวจสอบและปฏิบัติเพื่อให้เป็นไปตามมาตรฐานฉบับนี้
๒.๔. ข้อเสนอแนะนําและคําอธิบายเพิ่มเติม (ภาคผนวก ก และ ข) ซึ่งเป็นข้อเสนอแนะและ เป็นการให้ข้อมูลเพิ่มเติมเพื่อการดําเนินการตามหัวข้อที่ ๕ และหัวข้อที่ ๖ ประกอบด้วย
๒.๔.๑ ข้อเสนอแนะนําและคําอธิบายเพิ่มเติมตามข้อกําหนด (หัวข้อ ๕) ในการกํากับดูแล ด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ (ภาคผนวก ก)
๒.๔.๒ ข้อเสนอแนะนําและคําอธิบายเพิ่มเติมตามข้อกําหนด (หัวข้อ ๖) ในการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ (ภาคผนวก ข)
๒.๕. แบบฟอร์มเพื่อใช้ในการตรวจสอบให้เป็นไปตามมาตรฐานฉบับนี้ (ภาคผนวก ค)
๒.๕.๑ แบบฟอร์ม ค๑ แบบตรวจรายการเพื่อตรวจสอบสถานะการรักษาความมั่นคงปลอดภัยของเว็บไซต์
๒.๕.๒ แบบฟอร์ม ค๒ แบบรายงานการแก้ไขรายการที่ยังต้องปรับปรุง
ซึ่งโครงสร้างของเอกสารมาตรฐานฉบับนี้ แสดงได้ดังภาพที่ ๒
๓. นิยาม (Definitions)
ความหมายของศัพท์และศัพท์ทางเทคนิคที่ใช้กับมาตรฐานฉบับนี้ ฉบับนี้
๓.๑ การรักษาความมั่นคงปลอดภัย (Security) (๖) หมายถึง การทําให้มั่นใจได้ว่าทรัพยากรสารสนเทศที่มีอยู่มีความถูกต้องสมบูรณ์ และพร้อมใช้งานสําหรับผู้ใช้งานที่ได้รับสิทธิ์ในการเข้าถึงทรัพยากรนั้น ๆ ประกอบด้วย ความมั่นคงปลอดภัยเชิงกายภาพ การดําเนินงาน การสื่อสาร เครือข่าย ข้อมูลข่าวสาร และส่วนบุคคล
๓.๒ เว็บไซต์ (Website) (๗, ๘) หมายถึง การรวบรวมหน้าเว็บเพจหลายหน้าที่แสดงข้อมูลบนอินเทอร์เน็ตเกี่ยวกับเรื่องใดเรื่องหนึ่ง เผยแพร่โดยบุคคลหรือองค์กรเดียว โดยมีการเชื่อมโยงกันผ่านทางไฮเปอร์ลิงก์ (Hyperlink) และเปิดด้วยโปรแกรมที่เรียกว่า เว็บเบราว์เซอร์ (Web Browser) โดยจัดเก็บไว้ในเวิลด์ไวด์เว็บ (WWW) เว็บเพจแรกที่พบ เรียกว่า โฮมเพจ (Homepage) ที่มีหัวข้อของข้อมูลในเว็บไซต์ จึงเปรียบเหมือนสารบัญที่ใช้ค้นหาข้อมูลต่อไป
๓.๓ เว็บเพจ (Webpage) (๘) หมายถึง เอกสารเว็บที่สร้างด้วยภาษา HTML หรือ Hypertext Markup Language ซึ่งเป็นภาษามาตรฐานที่ใช้ในการสร้างเว็บเพจ เพื่อแสดงข้อมูลบนอินเทอร์เน็ตเกี่ยวกับหัวข้อใดหัวข้อหนึ่ง ซึ่งประกอบเป็นส่วนหนึ่งของเว็บไซต์
๓.๔ เว็บเบราว์เซอร์ (Web Browser) (๘) หมายถึง โปรแกรมคอมพิวเตอร์ที่ใช้เรียกข้อมูล เว็บจากเครื่องบริการเว็บผ่านระบบเครือข่าย ทําให้สามารถแสดงข้อมูลบนอินเทอร์เน็ตได้
๓.๕ เว็บไซต์ที่ใช้ระบบขององค์กร (On-Premises) (๙, ๑๐) หมายถึง เว็บไซต์ที่เนื้อหา โปรแกรมสําหรับให้บริการเว็บ และโปรแกรมที่เกี่ยวข้องกับการให้บริการเว็บของเว็บไซต์ ถูกเก็บอยู่ในเครือข่ายของผู้ให้บริการเว็บไซต์
๓.๖ เว็บไซต์ที่ใช้บริการกับเว็บโฮสติ้ง (Web Hosting) (๙) หมายถึง เว็บไซต์ที่เนื้อหา โปรแกรมสําหรับให้บริการเว็บ และโปรแกรมที่เกี่ยวข้องกับการให้บริการเว็บของเว็บไซต์ ถูกเก็บอยู่ในเครือข่ายของผู้ให้บริการเครื่องบริการเว็บ
๓.๗ เว็บไซต์ที่ใช้ระบบคลาวด์ (Cloud Service) (๙, ๑๐) หมายถึง เว็บไซต์ที่มีเนื้อหา โปรแกรมสําหรับให้บริการเว็บ และโปรแกรมที่เกี่ยวข้องกับการให้บริการเว็บของเว็บไซต์ ถูกเก็บอยู่ในเครื่องบริการเสมือนบนคลาวด์
๓.๔ เครื่องบริการเว็บ (Web Server) (๘, ๑๑) หมายถึง ระบบคอมพิวเตอร์ที่ให้บริการ เวิลด์ไวด์เว็บ บนอินเทอร์เน็ต ซึ่งประกอบด้วย ฮาร์ดแวร์ ระบบปฏิบัติการ โปรแกรมคอมพิวเตอร์ สําหรับให้บริการเว็บ และเนื้อหาเว็บไซต์ (เว็บเพจ) ที่ให้บริการเว็บไซต์และข้อมูลไปยังผู้ใช้อินเทอร์เน็ต ผ่านระบบเครือข่าย
๓.๙ โปรแกรมสําหรับให้บริการเว็บ (Web Server Software) (๑๒) หมายถึง โปรแกรมคอมพิวเตอร์ที่ติดตั้งบนเครื่องบริการเว็บเพื่อจัดการคําร้องขอข้อมูลเว็บจากผู้ใช้งาน เช่น โปรแกรม Apache โปรแกรม nginx และโปรแกรม Internet Information Service (IS) เป็นต้น
๓.๑๐ โปรแกรมประยุกต์บนเว็บ (Web Application) หมายถึง โปรแกรมประยุกต์ ที่มีความสามารถในการประมวลผลข้อมูลและการทํางานต่าง ๆ โดยเข้าถึงได้ผ่านเว็บเบราว์เซอร์ บนอินเทอร์เน็ต หรืออินทราเน็ต ซึ่งเขียนด้วยภาษาต่าง ๆ เช่น ภาษา HTML ภาษา JavaScript หรือ ภาษา Java และต้องอาศัยเว็บเบราว์เซอร์ในการเข้าถึง และเรียกใช้งานผ่านระบบเครือข่าย
๓.๑๑ ระบบบริหารจัดการเว็บไซต์ (Content Management System: CMS) หมายถึง โปรแกรมที่ใช้ในการดูแลบริหารจัดการเว็บไซต์ผ่านส่วนต่อประสานแบบเว็บ ซึ่งง่ายต่อการบริหารจัดการเว็บเพจและการปรับปรุงค่าติดตั้งต่าง ๆ ที่เกี่ยวข้อง
๓.๑๒ ระบบปฏิบัติการ (Operating System) (๑๓) หมายถึง ชุดของซอฟต์แวร์ที่บริหารจัดการทรัพยากรฮาร์ดแวร์ของคอมพิวเตอร์ และให้บริการทั่วไปกับโปรแกรมคอมพิวเตอร์
๓.๑๓ โพรโทคอลสร้างความมั่นคงปลอดภัยในการสื่อสาร Secure Sockets Layer (SSL) และ Transport Layer Security (TLS) (๑๔) หมายถึง โปรโตคอลปกป้องความมั่นคงปลอดภัย การสื่อสารผ่านระบบเครือข่าย ในการตรวจสอบสิทธิ์และความมั่นคงปลอดภัยที่ใช้กันอย่างแพร่หลาย ในเบราว์เซอร์และเว็บเซิร์ฟเวอร์ โดยมีแนวทางการเลือกและใช้งานการใช้งาน Transport Layer Security (TLS) ตาม NIST SP 800-52 ซึ่งระบุถึงวิธีการใช้ TLS ในโปรแกรมประยุกต์ของหน่วยงานภาครัฐ ในปัจจุบันควรใช้โพรโทคอล TLS เวอร์ชันที่มีความมั่นคงปลอดภัยและไม่พบช่องโหว่ หรือการโจมตี
๓.๑๔ เครื่องบริการฐานข้อมูล (Database Server) (๑๕) หมายถึง คอมพิวเตอร์หรืออุปกรณ์ บนเครือข่ายที่ประมวลผลการร้องขอข้อมูลในฐานข้อมูล
๓.๑๕ ระบบฐานข้อมูล (Database System) หมายถึง โครงสร้างหรือชุดของข้อมูล ที่ถูกจัดเก็บและจัดการเพื่อการเข้าถึง แก้ไข และประมวลผลข้อมูลอย่างมีประสิทธิภาพ ระบบนี้มักใช้เพื่อจัดเก็บข้อมูลที่ใช้ในการดําเนินธุรกรรมหรือการจัดการข้อมูลต่าง ๆ ในรูปแบบที่สามารถเข้าถึงได้อย่างรวดเร็วและปลอดภัย สามารถแบ่งได้เป็น ๒ ประเภท ได้แก่ ระบบฐานข้อมูลเชิงสัมพันธ์ (Relational Database) และระบบฐานข้อมูลแบบไม่มีโครงสร้าง (NoSQL Database)
๓.๑๖ ระบบการจัดการฐานข้อมูล (DBMS Software) (๑๖) หมายถึง ซอฟต์แวร์ ที่ถูกออกแบบมาเพื่อช่วยในการบํารุงรักษาและใช้ประโยชน์ชุดข้อมูลที่มีขนาดใหญ่
๓.๑๗ เครื่องคอมพิวเตอร์แม่ข่าย Domain Name System (DNS Server) (๑๕, ๑๗) หมายถึง คอมพิวเตอร์หรืออุปกรณ์บนเครือข่ายที่เก็บรักษารายชื่อโดเมนเนม และให้บริการแปลง ชื่อโดเมนเป็นเลขที่อยู่ไอพี
๓.๑๘ ส่วนขยายโปรโตคอล DNS (Domain Name System Security Extensions :DNSSEC (๑๘) หมายถึง ส่วนขยายที่ช่วยในการยืนยันความถูกต้องของที่มาและความสมบรูณ์ (Integrity) ของข้อมูลที่ส่งผ่านโพรโตคอล DNS
๓.๑๙ ไฟร์วอลล์ (Firewall) (๑๙) หมายถึง ฮาร์ดแวร์หรือซอฟต์แวร์ที่ป้องกันการเข้าถึง ข้อมูลภายในเครือข่ายขององค์กรจากอินเตอร์เน็ตโดยไม่ได้รับอนุญาตเครื่องบริการเว็บ (Web Server)
๓.๒๐ การให้บริการป้องกัน Web Application (Web Application Firewall: WAF) (๒๐) หมายถึง ไฟร์วอลล์สําหรับโปรแกรมประยุกต์ที่ใช้โพรโตคอล HTTP โดยจะใช้กฎการกรองกับการติดต่อสื่อสารผ่านโพรโตคอล HTTP
๓.๒๑ ซอฟต์แวร์ด้านความมั่นคงปลอดภัย Endpoint Detection and Response (EDR) (๒๑) หมายถึง เครื่องมือบันทึกและจัดเก็บพฤติกรรมในระดับของระบบของอุปกรณ์ปลายทางและวิเคราะห์ข้อมูลเหล่านั้น เพื่อตรวจจับพฤติกรรมต้องสงสัย ให้ข้อมูลเกี่ยวกับบริบทของอุปกรณ์ปลายทาง ยับยั้งกิจกรรมที่มุ่งร้ายต่อระบบและให้คําแนะนําในการแก้ปัญหาระบบที่โดนโจมตี
๓.๒๒ ระบบ Extended Detection and Response (XDR) (๒๒) หมายถึง แพลตฟอร์ม ผสานการตรวจจับและตอบสนองเหตุการณ์ทางด้านความมั่นคงปลอดภัย โดยจะรวบรวมและ หาความสัมพันธ์ของข้อมูลจากอุปกรณ์รักษาความมั่นคงปลอดภัยแต่ละประเภทโดยอัตโนมัติ
๔. เอกสารอ้างอิง (Normative References)
เอกสารที่ระบุต่อไปนี้ ให้ถือเป็นส่วนหนึ่งของมาตรฐานฉบับนี้ด้วย เอกสารที่มีการอ้างอิง โดยระบุปีให้ใช้เอกสารฉบับตามปีที่ระบุไว้ สําหรับเอกสารที่มีการอ้างอิงโดยไม่ระบุปี ให้ใช้เอกสาร ล่าสุด (รวมถึงการเพิ่มเติมต่าง ๆ)
๔.๑ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐาน การกําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ. ๒๕๖๖ (๒๓)
๔.๒ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐาน ขั้นต่ำของข้อมูลหรือระบบสารสนเทศ พ.ศ.๒๕๖๖ (๒๔)
๔.๓ ประกาศคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวล แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (๓)
๔.๔ ประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐาน ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. ๒๕๖๗ (๒๕)
๔.๕ คําแนะนําของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง แนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (๒๖)
๔.๖ ข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จําเป็นต่อธุรกรรม ทางอิเล็กทรอนิกส์ ว่าด้วยมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับโปรแกรมประยุกต์บนเว็บ สํานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (๒๗)
๔.๗ มาตรฐานเว็บไซต์ภาครัฐ เวอร์ชัน ๓.๐ (Government Website Standard Version 3.0) สํานักงานพัฒนารัฐบาลดิจิทัล (๒๘)
๔.๘ ประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ (๒๙)
๔.๙ คําแนะนําของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง แนวทางปฏิบัติในการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ สําหรับหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (๓๐)
๔.๑๐ กรอบการทํางานด้านความมั่นคงปลอดภัยไซเบอร์ของ NIST Cybersecurity Framework (CSF) 2.0 (๒)
๔.๑๓ ข้อเสนอแนะของ NIST Special Publication 800-88 Guidelines for Media Sanitization (๓๐)
๔.๑๒ ปัจจัยเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ที่พบได้บ่อยที่ ของมูลนิธิ Open Worldwide Application Security Project (OWASP) (๓๒)
๕. ข้อกําหนดการกํากับดูแลด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Website Security Governance Requirement)
หน่วยงานจะต้องดําเนินการกํากับดูแลด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ โดยดําเนินการในส่วนที่เกี่ยวข้อง [1] [2] อ้างอิงกรอบทํางานด้านความมั่นคงปลอดภัยไซเบอร์ (NIST Cybersecurity Framework: CSF 2.0) (๒) และประกาศคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ สําหรับหน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (๓) ดังนี้
๕.๑. การสํารวจบริบทของหน่วยงาน (Organization Context)
๕.๑.๑. หน่วยงานจะต้องมีการทําความเข้าใจสถานการณ์ต่าง ๆ ประกอบด้วย ภารกิจ ความคาดหวังของผู้มีส่วนได้ส่วนเสีย การขึ้นต่อกัน และกฎหมาย กฎระเบียบ และข้อกําหนดของสัญญาที่เกี่ยวข้องกับการตัดสินใจในการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ของหน่วยงาน ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๒. นโยบายด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Website Security Policies)
๕.๒.๑. หน่วยงานจะต้องมีการกําหนดนโยบายความมั่นคงปลอดภัยสําหรับเว็บไซต์ ตามบริบทขององค์กรและกลยุทธ์ด้านความมั่นคงปลอดภัยเว็บไซต์ โดยมีการจัดลําดับความสําคัญ มีการสื่อสาร รวมถึงมีการบังคับใช้ ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๒.๒. หน่วยงานจะต้องมีการทบทวน ปรับปรุง สื่อสาร และบังคับใช้นโยบายความมั่นคง ปลอดภัยสําหรับเว็บไซต์ เพื่อสะท้อนการเปลี่ยนแปลงความต้องการ ภัยคุกคาม เทคโนโลยี รวมถึงภารกิจของหน่วยงาน
๕.๓. กลยุทธ์การจัดการความเสี่ยง (Risk Management Strategy)
๕.๓.๑. หน่วยงานจะต้องกําหนดวัตถุประสงค์การบริหารความเสี่ยงโดยได้รับความเห็นชอบจากผู้มีส่วนได้ส่วนเสียของหน่วยงาน และจะต้องมีการจัดทํากรอบการบริหารความเสี่ยงด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์เป็นลายลักษณ์อักษร โดยกรอบรวมถึงเกณฑ์ประเมินความเสี่ยงด้านความมั่นคงปลอดภัยและระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) ค่าเบี่ยงเบนของระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) วิธีการประเมินความเสี่ยง การเฝ้าระวังและติดตามความเสี่ยง ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๓.๒. หน่วยงานจะต้องพิจารณาดําเนินการตามคําแนะนําของสํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง แนวทางปฏิบัติในการประเมินความเสี่ยงด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ และการตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ ในกรณีที่เป็นหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (๓๐)
๕.๓.๓. หน่วยงานจะต้องมีการจัดทํา สื่อสาร และมีการเก็บรักษารายการความเสี่ยงที่ระบุไว้ ในทะเบียนความเสี่ยง (Risk Register) ระดับความเสี่ยงที่ยอมรับได้ (Risk Appetite) และค่าเบี่ยงเบนของระดับความเสี่ยงที่ยอมรับได้ (Risk Tolerance) ให้เป็นปัจจุบัน และติดตามระดับความเสี่ยงให้อยู่ในเกณฑ์ที่ยอมรับได้
๕.๔. บทบาทและความรับผิดชอบด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ (Information Security Roles and Responsibilities)
๕.๔.๑. หน่วยงานจะต้องมีการจัดโครงสร้างองค์กรให้มีการถ่วงดุล พร้อมกําหนดอํานาจ บทบาทหน้าที่ และความรับผิดชอบ (Authorities, Roles and Responsibilities) ที่ชัดเจน ในการบริหารจัดการความมั่นคงปลอดภัยสําหรับเว็บไซต์ ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและ รายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๔.๒. หน่วยงานจะต้องกําหนดให้มีผู้ความรับผิดชอบในการจัดทํา และบริการจัดการเว็บไซต์ของหน่วยงาน รวมถึงการดําเนินการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ ซึ่งต้องเป็น นิติบุคคล หรือเป็นส่วนหนึ่งของนิติบุคคลที่สามารถรับผิดตามกฎหมายได้ และมีการมอบหมายหน้าที่จะต้องทําโดยไม่ขาดช่วง
๕.๔.๓. หน่วยงานจะต้องมีการกําหนด สื่อสาร ทําความเข้าใจ และบังคับใช้บทบาท ความรับผิดชอบ และอํานาจที่เกี่ยวข้องกับการจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ รวมถึงจัดสรรทรัพยากรให้เพียงพอตามกลยุทธ์ บทบาท ความรับผิดชอบ และนโยบายความเสี่ยงด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์
๕.๕. การวางแผนกําหนดความต้องการด้านความมั่นคงปลอดภัยของเว็บไซต์
๕.๕.๑. หน่วยงานจะต้องมีการกําหนดวัตถุประสงค์และความต้องการในการจัดทําเว็บไซต์ ด้านฟังก์ชัน ด้านประสิทธิภาพ และที่สําคัญความต้องการด้านความมั่นคงปลอดภัย ซึ่งมาตรฐาน ฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๖. การกําหนดแนวทางด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์
๕.๖.๑. หน่วยงานจะต้องมีแนวทางด้านความมั่นคงปลอดภัยในระดับพื้นฐาน ตามคุณลักษณะด้านความมั่นคงปลอดภัยพื้นฐาน ๓ ด้าน คือ การรักษาความลับ (Confidentiality) การรักษาความครบถ้วนสมบูรณ์ (Integrity) และการเตรียมความพร้อมใช้งาน (Availability) ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๖.๒. หน่วยงานจะต้องกําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้กับข้อมูลหรือ สารสนเทศของเว็บไซต์ ให้ประเมินและจัดระดับผลกระทบที่อาจจะเกิดขึ้น ๓ ระดับ ตามประกาศ คณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานการกําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้แก่ข้อมูลหรือระบบสารสนเทศ พ.ศ. ๒๕๖๖ (๒๓) เพื่อระบุข้อกําหนด ขั้นต่ำในการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์
๕.๖.๓. หน่วยงานจะต้องดําเนินการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ ตามข้อเสนอแนะมาตรฐานด้านเทคโนโลยีสารสนเทศและการสื่อสารที่จําเป็นต่อธุรกรรมทางอิเล็กทรอนิกส์ ว่าด้วยมาตรฐานการรักษาความมั่นคงปลอดภัยสําหรับโปรแกรมประยุกต์บนเว็บ (๒๗) รวมถึงประกาศคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศตามวิธีการแบบปลอดภัย พ.ศ. ๒๕๕๕ (๒๙) ในกรณีที่เว็บไซต์หน่วยงานมีการดำเนินการธุรกรรมทางอิเล็กทรอนิกส์
๕.๖.๔. หน่วยงานจะต้องดําเนินการตามมาตรฐานเว็บไซต์ภาครัฐ เวอร์ชัน ๓.๐ (Government Website Standard Version 3.0) หัวข้อที่ ๗ ความมั่นคงปลอดภัยสําหรับเว็บไซต์ ในกรณีที่เป็นเว็บไซต์หน่วยงานภาครัฐ (๒๘)
๕.๖.๕. หน่วยงานจะต้องดําเนินการรักษาความมั่นคงปลอดภัยไซเบอร์สําหรับเว็บไซต์ ที่ใช้บริการคลาวด์ (Cloud Service) ให้เป็นไปตามประกาศคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง มาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ พ.ศ. ๒๕๖๗ (๒๕)
๕.๖.๖. หน่วยงานจะต้องพิจารณาเลือกผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์สําหรับเว็บไซต์ เช่น การดำเนินการประเมินช่องโหว่ (Vulnerability Assessment) การทดสอบเจาะระบบ (Penetration Testing) ของเว็บไซต์ ที่ได้รับการรับรองและได้รับประกาศนียบัตร (Accreditations and Certifications) ที่เป็นที่ยอมรับในอุตสาหกรรม
๕.๖.๗. หน่วยงานจะต้องปฏิบัติตามคําแนะนําของสํานักงานคณะกรรมการการรักษา ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ เรื่อง แนวปฏิบัติการรักษาความมั่นคงปลอดภัยเว็บไซต์ (Website Security Guideline) ในกรณีที่เป็นเว็บไซต์หน่วยงานของรัฐและหน่วยงานโครงสร้างพื้นฐานสําคัญทางสารสนเทศ (๒๖)
๕.๖.๔. หน่วยงานจะต้องมีการกําหนดแนวทางในการสํารองข้อมูลเพื่อลดผลกระทบที่เกิดขึ้น หากเว็บไซต์ของหน่วยงานโดนโจมตีจากภัยคุกคามทางไซเบอร์ รวมถึงความเสียหายจากภัยธรรมชาติหรือข้อผิดพลาดจากมนุษย์ ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๖.๔. หน่วยงานจะต้องมีการจัดการข้อมูลจราจรทางคอมพิวเตอร์ (Log Management) ให้เป็นไปตามพระราชบัญญัติว่าด้วยการกระทําความผิดเกี่ยวกับคอมพิวเตอร์ และที่แก้ไขเพิ่มเติม ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๕.๖.๓๐. หน่วยงานจะต้องกําหนดหลักปฏิบัติในการเลิกใช้งานเว็บไซต์ เพื่อป้องกัน ภัยคุกคามไซเบอร์ที่อาจจะเกิดกับผู้ใช้บริการเว็บไซต์ ผู้ใช้งานอินเตอร์เน็ตทั่วไป ผู้ให้บริการ โดยหน่วยงานอาจจะพิจารณาปฏิบัติตามข้อเสนอแนะของ NIST Special Publication 800-88 Guidelines for Media Sanitization (๓๑) ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ก
๖. ข้อกําหนดการดําเนินการและการรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Security and Operation Requirement)
หน่วยงานจะต้องดําเนินการและรักษาความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Website Security and Operation Requirement) โดยดําเนินการในส่วนที่เกี่ยวข้อง [3] อ้างอิงประกาศคณะกรรมการกํากับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ เรื่อง ประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (๓) ดังนี้
๖.๑. การระบุความเสี่ยงที่จะเกิดขึ้นกับเว็บไซต์ (Website Security Identification)
๖.๒.๑. หน่วยงานจะต้องมีการจัดการทรัพย์สิน (Asset Management) การประเมินความเสี่ยง (Risk Assessment) การประเมินช่องโหว่และการทดสอบเจาะระบบ (Vulnerability Assessment and Penetration Testing) และการจัดการผู้ให้บริการภายนอก (Third Party Management) ให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (๓) ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒. การป้องกันความเสี่ยงที่อาจจะเกิดขึ้นกับเว็บไซต์ (Website Security Protection)
๖.๒.๑. หน่วยงานจะต้องกําหนดแนวทางในการพัฒนาโปรแกรมประยุกต์บนเว็บ (Web Application) อย่างมั่นคงปลอดภัย เช่น พิจารณาใช้หลักการ DevSecOps ตั้งแต่ขั้นตอนการพัฒนาจนถึงการใช้งานจริงโดยมีการคํานึงถึงสิ่งสําคัญในการรักษามั่นคงปลอดภัยในการพัฒนาโปรแกรมประยุกต์บนเว็บ และอาจจะพิจารณาตัวอย่างการออกแบบเว็บไซต์ที่มีความมั่นคงปลอดภัย ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๒. หน่วยงานจะต้องพิจารณาถึงปัจจัยเสี่ยงด้านความมั่นคงปลอดภัยของเว็บไซต์ที่พบได้บ่อย ของมูลนิธิ OWASP (๓๒) ในการพัฒนาโปรแกรมประยุกต์บนเว็บ (Web Application) ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๓. หน่วยงานจะต้องพิจารณาการออกแบบสถาปัตยกรรมเว็บไซต์อย่างมั่นคงปลอดภัย ในส่วนของโครงสร้างของเว็บไซต์หรือเว็บแอปพลิเคชัน โดยอาจจะมีส่วนประกอบของการออกแบบที่คํานึงถึงการแบ่งส่วนเครือข่าย (Network segmentation) มีการจัดวางเครื่องบริการเว็บ (Web Server) และเครื่องบริการฐานข้อมูล (Database Server) ร่วมกับอุปกรณ์รักษาความมั่นคงปลอดภัย เช่น
(๑) ไฟร์วอลล์ (Firewall)
(๒) ระบบตรวจจับการบุกรุกและระบบป้องกันการบุกรุก (Intrusion Detection Systems: IDS/Intrusion Prevention Systems: IPS)
(๓) ซอฟต์แวร์ตรวจจับและตอบสนองภัยคุกคาม เช่น ซอฟต์แวร์ป้องกันไวรัส (Antivirus) ซอฟต์แวร์ EDR
(๔) การให้บริการป้องกัน Web Application (WAF)
หากหน่วยงานที่มีทรัพยากรเพียงพออาจจะพิจารณาผลิตภัณฑ์การรักษาความมั่นคงปลอดภัยเพิ่มเติม ดังนี้
(๕) ระบบการจัดการเหตุการณ์และตอบสนองด้านความมั่นคงปลอดภัย (Security Information and Event Management: SIEM)
(๖) ระบบ XDR
(๗) ระบบ SOAR (Security Orchestration, Automation, and Response)
ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๔. หน่วยงานจะต้องมีการควบคุมการเข้าถึง (Access Control) การทําให้ระบบมีความแข็งแกร่ง (System Hardening) มีการบริหารจัดการเชื่อมต่อระยะไกล (Remote Connection) การบริหารจัดการสื่อเก็บข้อมูลแบบถอดได้ (Removable Storage Media) และมีบริหารจัดการแบ่งปันข้อมูล (Information Sharing) และมีการสร้างความตระหนักรู้ ด้านความมั่นคงปลอดภัยสําหรับเว็บไซต์ (Website Security Awareness) ให้เป็นไปตามประมวล แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๕. หน่วยงานจะต้องพิจารณาการพิสูจน์ตัวตนแบบหลายปัจจัย (Multi-Factor Authentication: MFA) หรือพิจารณาการพิสูจน์ตัวตนจากระบบเชื่อมโยงข้อมูลเพื่อการพิสูจน์ และยืนยันตัวตนทางดิจิทัล (Digital ID) ตามข้อเสนอแนะของ สพร. นอกเหนือจากการควบคุม การเข้าถึง (Access Control) ข้อ ๖.๒.๔ เพื่อเพิ่มความมั่นคงปลอดภัยให้กับเว็บไซต์ โดยอาจจะพิจารณาเลือกจากสิ่งที่ผู้ใช้รู้ (Something they know) เช่น รหัสผ่าน สิ่งที่ผู้ใช้มี (Something they have) เช่น โทเค็นการตรวจสอบ หรือสิ่งที่ผู้ใช้เป็น (Something they are) เช่น ลายนิ้วมือ ลายฝ่ามือ หรือข้อมูลชีวมิติอื่น ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๖. หน่วยงานจะต้องตั้งค่าความมั่นคงปลอดภัยพื้นฐานของโปรแกรมสําหรับ ให้บริการเว็บ (Web Server Software) โปรแกรมประยุกต์บนเว็บ (Web Application) ระบบบริหารจัดการเว็บไซต์ (CMS) ระบบปฏิบัติการ (Operating System) และการตั้งค่าฐานข้อมูล ซึ่งมาตรฐานฉบับนี้มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๗. หน่วยงานจะต้องกําหนดแนวทางและการเลือกบริการที่เกี่ยวข้องกับเว็บไซต์ ประกอบด้วย เครื่องบริการเว็บ (Web Server) ระบบบริหารจัดการเว็บไซต์ (CMS) เลือกบริการ โดเมนและชื่อโดเมน และขั้นตอนวิธีการเข้ารหัส Cipher Suite ของ TLS Certificate ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๒.๔. หน่วยงานจะต้องตั้งค่าไฟร์วอลล์เพื่อควบคุมและป้องกันการบุกรุกต่าง ๆ ที่เกิดขึ้น กับเว็บไซต์ โดยควรจะพิจารณาหลักการตั้งค่าอย่างน้อย ดังนี้ การกําหนดนโยบายความมั่นคงปลอดภัย (Define Security Policies) การตั้งค่ากฎการกรอง (Configure Filtering Rules) การจํากัดการเข้าถึงโดยภูมิศาสตร์ (Geographic Restrictions) การป้องกันการโจมตี (Protect Against Attacks) การตรวจสอบและบันทึก (Monitoring and Logging) และการปรับปรุงและอัปเดตเป็นประจํา (Regular Updates) ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๓. มาตรการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์สําหรับเว็บไซต์ (Website Security Detection)
๖.๓.๑. หน่วยงานจะต้องมีการตรวจสอบและเฝ้าระวังภัยคุกคามทางไซเบอร์ (Cyber Threat Detection and Monitoring) ให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (๓) ซึ่งมาตรฐานฉบับนี้ มีข้อเสนอแนะและรายละเอียดเพิ่มเติม ตามภาคผนวก ข
๖.๔. การเผชิญเหตุเมื่อมีการตรวจพบภัยคุกคามทางไซเบอร์สําหรับเว็บไซต์ (Website Incident Response)
๖.๔.๑. หน่วยงานจะต้องจัดทําแผนการรับมือภัยคุกคามทางไซเบอร์สําหรับเว็บไซต์ (Website security Incident Response Plan) และมีการสื่อสาร ฝึกซ้อม ทบทวน และปรับปรุง แผนการรับมือภัยคุกคามทางไซเบอร์ของเว็บไซต์ รวมถึงแผนการสื่อสารในภาวะวิกฤต (Crisis Communication Plan) และการฝึกซ้อมความมั่นคงปลอดภัยไซเบอร์สําหรับเว็บไซต์ (Website Security Exercise) ให้เป็นไปตามประมวลแนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (๓) ซึ่งมาตรฐานฉบับนี้ มีคําอธิบายเพิ่มเติม ตามภาคผนวก ข
๖.๕. การรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์สําหรับเว็บไซต์ (Website Recovery)
๖.๕.๑. หน่วยงานจะต้องมีการรักษาและฟื้นฟูความเสียหายที่เกิดจากภัยคุกคามทางไซเบอร์ สําหรับเว็บไซต์ (Website Security Resilience and Recovery) โดยจะต้องจัดทําแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan: BCP) โดยอาจจะพิจารณารายละเอียดของแผนให้เป็นไปตามการบริหารความพร้อมต่อสภาวะวิกฤติ (การทําแผน BCP) ของสํานักงานคณะกรรมการพัฒนาระบบราชการ (๓๓) และจะต้องจัดให้มีการฝึกซ้อมให้เป็นไปตามประมวล แนวทางปฏิบัติและกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ (๓)
๗. แนวทางในการดําเนินการตามข้อกําหนดขั้นต่ำ และแนวทางในตรวจสอบและปฏิบัติให้เป็นไปตามมาตรฐานฉบับนี้
๗.๑ แนวทางในการดําเนินการตามข้อกําหนดขั้นต่ำ
๗.๑.๑ ให้หน่วยงานกําหนดคุณลักษณะความมั่นคงปลอดภัยไซเบอร์ให้กับข้อมูลหรือสารสนเทศของเว็บไซต์ของหน่วยงานครบทั้ง ๓ ด้าน ซึ่งประกอบด้วย ด้านการรักษาความลับ (Confidentiality) การรักษาความถูกต้องครบถ้วน (Integrity) และการรักษาสภาพพร้อมใช้ (Availability) ตามส่วนที่ ๒ (ตาราง ค๑-ตาราง ค๕) ของแบบตรวจรายการเพื่อตรวจสอบสถานะ ความมั่นคงปลอดภัยสําหรับเว็บไซต์ (แบบฟอร์ม ค๑) ในภาคผนวก ค
๗.๑.๒ ให้หน่วยงานนําผลที่ได้ (ตาราง ค๑-ตาราง ค๕) มาระบุเกณฑ์การดําเนินการตามข้อกําหนดขั้นต่ำในการปฏิบัติตามมาตรฐานฉบับนี้ ในตาราง ค๖
๗.๑.๓ ให้หน่วยงานตรวจสอบหน่วยงานตนเพื่อ "ต้องปฏิบัติตาม" หรือ "ส่งเสริมให้ปฏิบัติตาม" ข้อกําหนดขั้นต่ำ ตามตาราง ค๗ จากนั้นดําเนินการตามแนวทางในการตรวจสอบและปฏิบัติให้เป็นไปตามมาตรฐาน ข้อ ๗.๒
๗.๒ แนวทางในการตรวจสอบและปฏิบัติเพื่อให้เป็นไปตามมาตรฐานฉบับนี้
๗.๒.๑ กรณีที่หน่วยงานยังไม่ได้รับรอง ISO27001 หรือที่ได้รับการรับรองแต่ขอบเขตของการรับรองไม่ครอบคลุมถึงเว็บไซต์ของหน่วยงาน จะต้องดําเนินการ ดังนี้
๗.๒.๑.๑ หน่วยงานกลุ่มที่ ๑ (หน่วยงานที่ต้องปฏิบัติตาม) หน่วยงานจะต้องประเมินตนเอง (Self-Assessment) ตามแบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสําหรับเว็บไซต์ (แบบฟอร์ม ค๑) ในภาคผนวก ค อย่างน้อยปีละ ๑ ครั้ง เพื่อตรวจสอบการดําเนินการให้เป็นไปตามข้อกําหนดขั้นต่ำของมาตรฐานฉบับนี้ ดังนี้
๑) เว็บไซต์ของหน่วยงานที่มีผลกระทบระดับต่ํา หรือระดับกลาง ให้หน่วยงานจัดทํารายงานผลการประเมินตนเอง (Self-Assessment) (แบบฟอร์ม ค๒) ในภาคผนวก ค และรายงานผลการแก้ไขรายการที่ยังต้องปรับปรุง (แบบฟอร์ม ค๒) ในภาคผนวก ค พร้อมแนบหลักฐาน เสนอต่อผู้บริหารสูงสุดของหน่วยงาน และเก็บรักษาไว้ที่หน่วยงาน
๒) หากเว็บไชต์ของหน่วยงานมีผลกระทบระดับสูง ให้ให้หน่วยงานจัดทํารายงานผลการประเมินตนเอง (Self-Assessment) (แบบฟอร์ม ค๑) ในภาคผนวก ค และ รายงานผลการแก้ไขรายการที่ยังต้องปรับปรุง (แบบฟอร์ม ค๒) ในภาคผนวก ค พร้อมแนบหลักฐานเสนอต่อผู้บริหารสูงสุดของหน่วยงาน หน่วยงานควบคุมหรือกํากับดูแล และส่งสําเนาให้สํานักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ
๓) หากหน่วยงานประเมินตนเองแล้ว พบว่า เว็บไซต์ของหน่วยงานมีข้อกําหนดที่มีผลการประเมิน "ยังต้องปรับปรุง" ให้หน่วยงานดําเนินการปรับปรุงตามแบบรายงาน รายการที่ยังต้องปรับปรุง (แบบฟอร์ม ค๒) ในภาคผนวก ค
๗.๒.๑.๒ หน่วยงานกลุ่มที่ ๒ (หน่วยงานที่ส่งเสริมให้ปฏิบัติตาม) หน่วยงานจะต้องประเมินตนเอง (Self-Assessment) ตามแบบตรวจรายการเพื่อตรวจสอบสถานะความมั่นคงปลอดภัยสําหรับเว็บไซต์ (แบบฟอร์ม ค๑) ในภาคผนวก ค ซึ่งหากมีข้อกําหนดที่มีผลการประเมิน "ยังต้องปรับปรุง" หน่วยงานอาจจะพิจารณาดําเนินการปรับปรุงตามรายการที่ยังต้องปรับปรุง (แบบฟอร์ม ค๒) ในภาคผนวก ค ตามความเหมาะสมและเห็นสมควรของผู้บริหารสูงสุดของหน่วยงาน
๗.๒.๒ กรณีหน่วยงานได้รับการรับรอง ISO27001 ที่มีขอบเขตในการรับรองที่ครอบคลุมถึงเว็บไซต์ของหน่วยงานแล้ว หน่วยงานอาจจะพิจารณาดําเนินการตามมาตรฐานฉบับนี้ เฉพาะส่วนที่ยังไม่ได้ดําเนินการตามมาตรฐาน ISO27001 ตามที่หน่วยงานได้รับการรับรองนั้น โดยพิจารณาตามความจําเป็นและเหมาะสม
หน่วยงานสามารถศึกษาแนวทางในการปฏิบัติเพื่อให้เป็นไปตามมาตรฐานฉบับนี้ ได้จากแผนผังในภาพที่ ๓
หมายเหตุ: ข้อความตัวอักษรในโพสต์นี้ ใช้ระบบ OCR ถอดตัวอักษรออกมา หากต้องการอ้างอิง โปรดใช้ไฟล์เอกสารต้นฉบับ
- Log in to post comments
