ราชกิจจาฯ ประกาศมาตรฐานด้านความมั่นคงปลอดภัยด้าน ‘Cloud’ พ.ศ. 2567 ออกแล้ว!

คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติได้ ออกประกาศเกี่ยวกับมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของระบบคลาวด์ ซึ่งมีวัตถุประสงค์เพื่อลดความเสี่ยงของการใช้บริการคลาวด์สาธารณะในหน่วยงานรัฐ หน่วยงานควบคุมหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐาน โดยกล่าวถึงหน้าที่ในฐานะของผู้ให้บริคลาวด์กับหน่วยงานข้างต้น และหน่วยงานทั้งสามส่วนที่เข้าไปใช้งานบริการคลาวด์

Credit: ShutterStock.com

สำหรับผู้ที่เกี่ยวข้องโดยตรงแน่ๆคือ หน่วยงานรัฐ หน่วยงานควบคุมดูแลหรือกำกับดูแล และหน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ รวมไปถึงผู้ให้บริการคลาวด์ที่ให้บริการแก่หน่วยงานดังกล่าว ซึ่งที่มาของประกาศมาจากแรงขับเคลื่อนในนโยบาย Cloud First ประกอบกับความเสี่ยงที่เกิดขึ้นอย่างมากมายที่เป็นที่ประจักษ์ในประเทศไทย แม้ว่าคลาวด์จะช่วยผลักดันนวัตกรรมก็ตามทีและนั่นย่อมมาพร้อมกับความเสี่ยง ทั้งนี้มีการแบ่งมาตรฐานเป็น 2 ส่วน คือในมุมของผู้ใช้บริการคลาวด์ (Cloud Service Customer: CSC) และ ผู้ให้บริการคลาวด์ (Cloud Service Provider : CSP) โดยกำหนดให้ CSP ครอบคลุมถึงหน่วยงานของรัฐหรือเอกชน ที่นำเสนอคลาวด์ให้กับผู้ใช้ในหน่วยงานข้างต้น นอกจากนี้ยังมีนิยามเกี่ยวกับ Cloud Computing และประเภทของบริการอย่าง IaaS, PaaS และ SaaS ด้วย

อย่างไรก็ดีมีการกำหนดเกี่ยวกับความเสี่ยงเป็น 3 ระดับให้เกิดความสอดคล้องกับความเสี่ยงและการลงทุน รวมไปถึงการติดตามประเมินมาตรฐานอย่างต่อเนื่องด้วย ทั้งนี้ Requirement แบ่งออกเป็น 2 มุมมองคือ

  • Cloud Security Governance – นโยบาย โครงสร้างองค์กร และ ระเบียบข้อบังคับ
  • Cloud Infrastructure Security and Operation – ดูเรื่องบุคคล ทรัพยสิน การเข้าถึง การเข้ารหัส ความปลอดภัยเชิงกายภาพ การปฏิบัติการ เครือข่าย ระบบ และ Supplier ตลอดจนการจัดการเหตุ Incident ด้วย

นอกจากนี้ยังมีการพูดถึงวิธีการประเมินมาตรฐานที่เริ่มต้นตั้งแต่ตนเองประเมิน โดยหน่วยงานควบคุมหรือกำกับดูแล และทีม Certified ซึ่งตัวแปรสุดท้ายไม่ได้กล่าวถึงอย่างชัดเจนโดยช่วงแรกเริ่มนี้ยังไม่ได้มอบหมายอำนาจให้ใครอาจจะยึดตามมาตรฐานสากลไว้ก่อน ทั้งนี้การตรวจสอบจะมีการแบ่งระดับความเข้มข้นตามความเสี่ยง

ในส่วนที่เหลือของประกาศก็จะเล่าเกี่ยวกับ Requirement 2 ตามหัวข้อ การควบคุมดูแล ไปเรื่อยๆถึงการดูแลโครงสร้างพื้นฐาน โดยมีการระบุรายละเอียดในหน้าที่ของผู้ให้บริการคลาวด์และผู้ใช้บริการ สำหรับผู้สนใจติดตามเพิ่มเติมได้ที่ https://ratchakitcha.soc.go.th/documents/43184.pdf

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Inflection AI เปลี่ยนมาใช้ Intel Gaudi 3 สำหรับแพลตฟอร์ม AI สำหรับองค์กร

Inflection AI จับมือ Intel เปิดตัวแพลตฟอร์ม AI สำหรับองค์กรใหม่ ใช้ Intel Gaudi 3 แทน NVIDIA GPU เพื่อเพิ่มประสิทธิภาพและลดต้นทุน …

Microsoft เตรียมขึ้นราคา System Center 10%

Microsoft เผยว่า System Center เวอร์ชัน 2025 จะเปิดตัวในวันที่ 1 พฤศจิกายน ด้วยราคาที่สูงขึ้นกว่าปัจจุบัน 10%