สกมช. ออกประกาศด้าน Cloud Security Framework สนับสนุนความพร้อมยกระดับ Ecosystem

นโยบาย Cloud First ที่เกิดขึ้นทำให้การเปลี่ยนถ่ายสู่ยุคของคลาวด์ต้องมีมาตรฐานรองรับ ซึ่งในปีที่ผ่านมา สำนักงานคณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ สกมช. ได้ออกมาตรฐานด้าน Cloud Security พ.ศ. 2567 ออกมาแล้ว โดยเมื่อครบ 2 ปี ราชกิจจาฯดังกล่าวจะถูกบังคับใช้แล้ว นั่นหมายความว่าผู้เกี่ยวข้องจะต้องเร่งดำเนินการแล้ว โดยประกาศฉนับนี้ก็เป็นแนวทางหนึ่งที่จะกล่าวถึงแนวทางและแผนงานของการดำเนินงาน ซึ่งในรายงานมีการกล่าวถึงหลายหัวข้อดังนี้

ในรายงานจำนวน 46 หน้าได้แบ่งออกเป็นหลายหัวข้อ โดยส่วนแรกจะกล่าวถึงวัตถุประสงค์และแผนการดำเนินงาน จากนั้นจะพาผู้อ่านไปดูสรุปผลการศึกษานโยบายและแนวทางของประเทศคู่เทียบอย่าง สิงค์โปร์ อเมริกา อินเดีย ออสเตรเลีย ว่าพวกเขามีการกำหนดมาตรฐานอย่างไร เช่น หน่วยงานที่รับผิดชอบ จำนวนผู้ปฏิบัติงาน ผลลัพธ์ มาตรฐานตั้งต้น นโยบายที่คลอดออกใช้จริง พร้อมวิเคราะห์ข้อดี-ข้อเสีย ของแต่ละแนวทาง ไปจนถึงการรับรองมาตรฐาน ตลอดจนการเจาะลึกแยกในหมวดผู้ใช้บริการคลาวด์ ผู้ให้บริการคลาวด์ การบังคับใช้กฏหมายข้ามประเทศ และอุปสรรคต่างๆ

ถัดมาภายในประกาศก็จะประมวลและวิเคราะห์ว่าในแผนงานควรมีกิจกรรมอะไรบ้าง เช่น

• ต้องกำหนดหน่วยงานดูแล พร้อมกรอบการทำงานที่ชัดเจน
• จัดการความเสี่ยงตามในมุมของผู้ให้บริการคลาวด์ ผู้ใช้บริการคลาวด์ ผลกระทบต่อระบบไอที และความสำคัญของระดับข้อมูล
• กำหนดมาตรฐานครอบคลุมในการบริหารจัดการ การระบุ ป้องกัน ติดตาม ตอบสนอง และกู้คืนระบบ
• ต้องมีการตรวจสอบต่อเนื่อง ซึ่งต้องมีการออกรับรอง ตรวจสอบ และแผนตอบสนองที่ชัดเจน

ต่อมาก็จะชี้ไปถึงว่าหน้าที่ของ สกมช. ควรทำอะไรตามแผนงาน แต่ประเด็นคือผู้ให้บริการไม่ใช่หน่วยงานของรัฐจึงกำกับโดยตรงไม่ได้ตามอำนาจของ พรบ.คุ้มครองไซเบอร์ 2562 จะต้องทำแบบอ้อม

ส่วนสุดท้ายบทที่ 5 จึงว่าด้วยเรื่องกรอบการทำงาน ซึ่งอย่างที่กล่าวไปคือ Framework นี้จะช่วยสนับสนุนมาตรฐาน Cloud Security 2567 ให้มีประสิทธิภาพ บูรณาการระหว่าง สกมช.และหน่วยงานต่างๆ ยกระดับความมั่นคงปลอดภัยในผู้ให้บริการและผู้รับบริการคลาวด์ จากนั้นก็มีการกำหนดผู้เกี่ยวข้อง 10 ฝ่ายพร้อมอธิบายหน้าที่และอำนาจ ประกอบด้วย

• สกมช.
• คณะกรรมการรักษาความมั่นคงปลอดภัยทางไซเบอร์(กมช.)
• คณะกรรมการเฉพาะด้านการขับเคลื่อนตามนโยบายการใช้คลาวด์เป็นหลัก (Cloud First)
• คณะกรรมการพัฒนารัฐบาลดิจิทัล
• คณะกรรมการกำกับดูแลด้านความมั่นคงปลอดภัยไซเบอร์ (กกม.)
• ผู้ให้บริการคลาวด์ (Cloud Service Provider)
• ผู้ใช้บริการคลาวด์ (Cloud Service Customer)
• หน่วยงานให้บริการตรวจรับรอง
• ผู้ตรวจสอบด้านความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ (Cloud Security Auditor)
• ผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์ (Cloud Security Professional)

นอกจากนี้ยังกล่าวถึงองค์ประกอบต่างๆที่จำเป็นต่อการปฏิบัติตามมาตรฐานด้าน Cloud Security เช่น การมีหลักเกณฑ์และวิธีการกำหนดคุณลักษณะของ Cybersecurity และความรับผิดชอบ การประเมินและรับรองโดยหลายๆทาง ตลอดจนเครื่องมือ บุคคลากร แพลตฟอร์มกลาง เป็นต้น แต่แน่นอนว่าระยะเวลา 2 ปี อาจจะยากที่จะทำให้ทุกฝ่ายพร้อมจึงต้องมีการลำดับควาวามสำคัญ ซึ่งสกมช.อาจกำหนดความต้องการขั้นต้นร่วมกันให้ได้ภาพรวม หรือมีเจ้าภาพร่วม และพยายามสื่อสารกับผู้บริหารองค์กร และหน่วยงานต่างๆก่อน

ที่น่าสนใจในรายงานฉนับนี้คือแผน 5 ปีของสกมช. ที่กำหนดยุทธศาสตร์ 3 ขั้นคือ การสร้างเครือข่ายผู้เชี่ยวชาญจากรัฐและเอกชนเข้ามาช่วยกันกำหนดคุณลักษณะของ Cybersecurity ให้มีส่วนร่วมกัน ขั้นที่สอง คือการสร้าง Ecosystem อย่างการตรวจรับรอง การจัดอบรม ความร่วมมือระดับประเทศ และกลไกการกำกับดูแลที่ไม่เป็นอุปสรรคต่อการให้บริการคลาวด์ ขั้นสุดท้าย คือการพัฒนาระดับบุคลากรและหน่วยงานผ่านการจัดอบรม บริการให้คำปรึกษาเกี่ยวกับการประเมินตนเอง โดยสกมช.อาจมีการจัดตั้งทีมสำหรับการดำเนินงานและประสานงานเพื่อแก้ไขแต่มีอำนาจภายใต้คำสั่งของเลขาธิการ สกมช. และการกำกับจาก กกม. และ กมช. ให้สอดคล้องกับ Cloud First Policy สุดท้ายคือต้องประเมินผลอย่างต่อเนื่องและปรับแผนได้ตามความจำเป็นในอนาคต

สนใจดาวน์โหลดเอกสารได้ที่ https://drive.ncsa.or.th/s/Lx4N82PMxqwZ64Z

ที่มา : https://www.facebook.com/jadetk/posts/pfbid0UPzEW28nJ8fD4m6ZmvVfSAU6VjTXLfNem5xVU9R2L8JWLfpeKHXPd5YRoPVzAW5dl