ประกาศแล้ว! มาตรฐานความปลอดภัยไซเบอร์บนระบบคลาวด์
ย้อนกลับไปช่วงต้นปีที่ผ่านมา เกิดเหตุการณ์ข้อมูลรั่วไหลครั้งใหญ่ในประเทศไทย มีข้อมูลรั่วไหลมากกว่า 20 ล้านชุด หลุดบน Dark Web เหตุการณ์ครั้งนั้นไม่เพียงก่อให้เกิดการพูดถึงมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพของหน่วยงานรัฐ หากยังนำมาสู่การเรียกร้องให้รัฐเร่งในเรื่องมาตรฐานของระบบคลาวด์ นำมาสู่ Cloud First Policy หรือ มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์
(อ่านบทความที่เกี่ยวข้อง)
- อีกแล้ว! ข้อมูลคนไทยรั่วเกือบ 20 ล้านราย สส.จี้ รัฐต้องเร่ง Cloud First Policy
- องค์กรไทยควรทำอย่างไร เมื่อภัยไซเบอร์ยังน่าห่วง
รายละเอียดของ Cloud First Policy
ร่างมาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ (Cloud First Policy) ได้ผ่านการพิจารณาโดยคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (กมช.) เมื่อวันที่ 31 กรกฎาคม 2567 ล่าสุดได้มีการประกาศในราชกิจจานุเบกษา เมื่อวันที่ 10 กันยายนที่ผ่านมา มีผลบังคับใช้เมื่อพ้นกำหนดสองปี นับตั้งแต่วันที่ประกาศในราชกิจจานุเบกษา
สรุปข้อกำหนด ประกาศ : มาตรฐานความปลอดภัยไซเบอร์ระบบคลาวด์ ได้ดังนี้
- ประกาศดังกล่าวบังคับใช้กับหน่วยงาน GOV, REG, CII (GOV ย่อมาจาก Government, REG ย่อมาจาก Regulator, CII ย่อมาจาก Critical Information Infrastructure) ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงผู้ให้บริการคลาวด์ กับหน่วยงานดังกล่าวด้วย
- กำหนดมาตรฐานสำหรับผู้ใช้บริการคลาวด์ ร่วมกับผู้ให้บริการคลาวด์สาธารณะ (Public Cloud Service Provider) เฉพาะที่ต้องได้รับการรับรองให้เป็นผู้ให้บริการคลาวด์ที่ผ่านเกณฑ์ของ GOV, REG, CII ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 โดยใช้มาตรฐานการรับรองผู้ใช้บริการคลาวด์ที่ผ่านการรับรองแล้ว
- ผู้ให้บริการคลาวด์และหน่วยงานที่ประกอบด้วยหน่วยงาน GOV, REG, CII จะต้องปฏิบัติตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 รวมถึงผู้ตรวจสอบภายนอกด้านความมั่นคงปลอดภัยไซเบอร์และหน่วยงานให้บริการตรวจรับรอง (Certify Body)
โครงสร้างมาตรฐานกำหนดไว้ 2 ส่วนหลัก คือ
1. การกำกับดูแลด้านความมั่นคงปลอดภัยระบบคลาวด์ (Cloud Security Governance)
- นโยบายด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Policies)
- โครงสร้างองค์กรด้านความมั่นคงปลอดภัยสารสนเทศ (Organization of Information Security)
- การปฏิบัติตามกฎ ระเบียบ ข้อบังคับ (Compliance)
2. การปฏิบัติและการรักษาความมั่นคงปลอดภัยโครงสร้างพื้นฐานระบบคลาวด์ (Cloud Infrastructure Security and Operation)
- การบริหารทรัพยากรมนุษย์ (Human Resource Security)
- การจัดการทรัพย์สิน (Asset Management)
- การควบคุมการเข้าถึง (Access Control)
- การเข้ารหัส (Cryptography)
- การรักษาความปลอดภัยทางกายภาพและสภาพแวดล้อม (Physical and Environment Security)
- การรักษาความมั่นคงปลอดภัยการปฏิบัติการ (Operations Security)
- การรักษาความมั่นคงปลอดภัยเครือข่าย (Communication Security)
- การจัดหา การพัฒนา และการบำรุงรักษา (System Acquisition, Development, and Maintenance)
- การจัดการผู้ให้บริการภายนอก (Supplier Relationships)
- การจัดการเหตุคุกคามทางสารสนเทศ (Information Security Incident Management)
อ่านรายละเอียดเพิ่มเติมได้ที่ : มาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์ระบบคลาวด์
นโยบายคลาวด์ในต่างประเทศ
- สหรัฐฯ มี Federal Cloud Computing Strategy (Cloud Smart) เป็นการปรับปรุงจาก Cloud First Policy ของปี 2010 ประกาศใช้ในปี 2011 พัฒนาขึ้นเพื่อเพิ่มประสิทธิภาพการทำงานของ ระบบไอทีภาครัฐ โดยเน้นไปที่การเพิ่มความปลอดภัย (Security), ประสิทธิภาพ (Efficiency), และการดูแลข้อมูล (Data Management) ของระบบคลาวด์
- สหภาพยุโรปมีนโยบาย Cloud First เช่นกัน แต่สิ่งที่เพิ่มมา คือ มีการผลักดันโครงการคลาวด์ภายใต้กรอบงาน European Open Science Cloud (EOSC) เพื่อสนับสนุนการวิจัยและนวัตกรรม โดยให้ความสำคัญกับการแลกเปลี่ยนข้อมูลวิทยาศาสตร์ และการร่วมมือระหว่างประเทศสมาชิก
- อังกฤษ มี Government Cloud Strategy (G-Cloud) มุ่งเน้นการใช้บริการคลาวด์เพื่อประหยัดงบประมาณ และเพิ่มประสิทธิภาพการทำงานของภาครัฐ โดยสร้าง Digital Marketplace ให้กับภาครัฐในการเลือกใช้บริการจากผู้ให้บริการคลาวด์ที่ผ่านการรับรอง
- สิงคโปร์ มี Government Commercial Cloud (GCC) หรือ แผนกลยุทธ์คลาวด์ เพื่อให้หน่วยงานรัฐสามารถใช้ประโยชน์จากโซลูชันคลาวด์สาธารณะที่มีคุณภาพ โดยส่งเสริมความยืดหยุ่น ให้เกิดการปฏิบัติที่รวดเร็ว และลดต้นทุนในการบริหารจัดการไอที
ที่มา : ร่างมาตรฐานความปลอดภัยไซเบอร์บนระบบคลาวด์ , European Commission, U.S. Department of the Interior, Government Cloud Strategy UK, Tech Gov Singapore,
