สกมช. ปรับปรุงประกาศมาตรฐานความมั่นคงปลอดภัยเว็บไซต์ แก้ไขคำสะกดและทบทวนความถูกต้องทางวิชาการ
Body
ตามที่ สกมช. ได้มีการเผยแพร่ประกาศ มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ เมื่อวันที่ 16 กันยายน 2568 โดยเอกสารดังกล่าวมีเนื้อหาที่ผิดพลาดอยู่หลายจุด ไม่ว่าจะเป็นคำสะกดหรือความถูกต้องทางวิชาการ ล่าสุดทาง สกมช. ได้ทบทวนแก้ไขเอกสารดังกล่าวแล้ว
อย่างไรก็ตาม เนื่องจากตัวประกาศถูกแก้ไขหลังจากที่รัฐมนตรีเซ็นอนุมัติและเผยแพร่ในราชกิจจาฯ ไปแล้ว จึงทำให้มีเฉพาะเอกสารที่อยู่บนเว็บไซต์ของ สกมช. เท่านั้นที่เป็นเวอร์ชันใหม่ ส่วนเอกสารที่อยู่บนเว็บไซต์ของกระทรวงดิจิทัลฯ ยังคงเป็นเวอร์ชันเดิม
เนื่องจากเอกสารเวอร์ชันใหม่ไม่ได้มีข้อความใดที่บ่งชี้ว่าเป็นเวอร์ชันปรับปรุงแก้ไข รวมถึงไม่ได้มีรายละเอียด track change ว่าถูกแก้ไขตรงไหนไปบ้าง ผู้ที่จะนำประกาศดังกล่าวไปใช้อ้างอิงจึงจำเป็นต้องตรวจสอบเอง ตัวอย่างเนื้อหาที่ถูกปรับปรุงแก้ไข มีดังนี้
เนื่องจากประกาศใดๆ ที่รัฐมนตรีเซ็นอนุมัติแล้ว เผยแพร่ในราชกิจจาฯ แล้ว ยังสามารถถูกแก้ไขเนื้อหาภายหลังเมื่อไหร่ก็ได้ โดยไม่จำเป็นต้องมีการแจ้งประชาสัมพันธ์ และไม่จำเป็นต้องระบุในเอกสารว่าเป็นเวอร์ชันปรับปรุง หน่วยงานใดที่จำเป็นต้องทำตามประกาศ ควรตรวจสอบเวอร์ชันของเอกสารก่อนทุกครั้ง
ที่มา - ไม่พบข่าวประชาสัมพันธ์ใดๆ จากหน่วยงานที่ออกประกาศ ผู้เขียนค้นพบเรื่องนี้ด้วยตนเองเพราะดาวน์โหลดเอกสารมาแล้วเนื้อหาไฟล์ไม่ตรงกัน
Bigta Thu, 20/11/2025 - 20:22
Continue reading...
Body
ตามที่ สกมช. ได้มีการเผยแพร่ประกาศ มาตรฐานการรักษาความมั่นคงปลอดภัยสำหรับเว็บไซต์ เมื่อวันที่ 16 กันยายน 2568 โดยเอกสารดังกล่าวมีเนื้อหาที่ผิดพลาดอยู่หลายจุด ไม่ว่าจะเป็นคำสะกดหรือความถูกต้องทางวิชาการ ล่าสุดทาง สกมช. ได้ทบทวนแก้ไขเอกสารดังกล่าวแล้ว
อย่างไรก็ตาม เนื่องจากตัวประกาศถูกแก้ไขหลังจากที่รัฐมนตรีเซ็นอนุมัติและเผยแพร่ในราชกิจจาฯ ไปแล้ว จึงทำให้มีเฉพาะเอกสารที่อยู่บนเว็บไซต์ของ สกมช. เท่านั้นที่เป็นเวอร์ชันใหม่ ส่วนเอกสารที่อยู่บนเว็บไซต์ของกระทรวงดิจิทัลฯ ยังคงเป็นเวอร์ชันเดิม
เนื่องจากเอกสารเวอร์ชันใหม่ไม่ได้มีข้อความใดที่บ่งชี้ว่าเป็นเวอร์ชันปรับปรุงแก้ไข รวมถึงไม่ได้มีรายละเอียด track change ว่าถูกแก้ไขตรงไหนไปบ้าง ผู้ที่จะนำประกาศดังกล่าวไปใช้อ้างอิงจึงจำเป็นต้องตรวจสอบเอง ตัวอย่างเนื้อหาที่ถูกปรับปรุงแก้ไข มีดังนี้
- หน้า 3 ภาพที่ 1 คำว่า TLS สะกดผิดเป็น TSL, คำว่า Database สะกดผิดเป็น Databas ของใหม่ปรับแก้ไขแล้ว
- หน้า 20 ข้อ 5.6.1 ของเดิมคำว่า encryption ถูกแปลเป็นภาษาไทยทั้ง "เข้ารหัส" และ "เข้ารหัสลับ" ของใหม่ปรับเป็น "เข้ารหัส" (ซึ่งอาจทำให้สับสนกับคำว่า "encoding" ที่ถูกแปลไทยว่า "เข้ารหัส" เหมือนกัน)
- หน้า 29 ข้อ 6.2 ของเดิมคำว่า Threat Modeling ถูกแปลเป็นไทยว่า "การจำแนกภัยคุกคาม" ของใหม่ปรับเป็นคำว่า "การสร้างแบบจำลองภัยคุกคาม"
- หน้า 30 ข้อ 6.2.2 ของเดิมในข้อกำหนดเขียนว่า "ต้องทำ" แต่ในแนวปฏิบัติกลับเขียนว่า "อาจจะ" ของใหม่ปรับให้สอดคล้องกันแล้ว
- หน้า 31 ภาพที่ 1ข ของเดิมอ้างอิงเรื่องการติดตั้ง WAF แต่ในภาพตัวอย่างกลับไม่มี ของใหม่ปรับแก้ไขภาพให้ตรงกับเนื้อหาแล้ว
- หน้า 34 ของเดิมระบุว่า hash คือการทำ encryption ของใหม่ปรับแก้ไขให้ถูกต้องตามหลักวิชาการแล้ว
- หน้า 46 ภาพที่ 2ข ของเดิมถูกเขียนมาโดยไม่สอดคล้องกับ incident response lifecycle ที่เป็นมาตรฐานสากล ของใหม่ถูกทบทวนและปรับให้อ้างอิงตาม NIST SP 800-61 Rev.3 แล้ว
เนื่องจากประกาศใดๆ ที่รัฐมนตรีเซ็นอนุมัติแล้ว เผยแพร่ในราชกิจจาฯ แล้ว ยังสามารถถูกแก้ไขเนื้อหาภายหลังเมื่อไหร่ก็ได้ โดยไม่จำเป็นต้องมีการแจ้งประชาสัมพันธ์ และไม่จำเป็นต้องระบุในเอกสารว่าเป็นเวอร์ชันปรับปรุง หน่วยงานใดที่จำเป็นต้องทำตามประกาศ ควรตรวจสอบเวอร์ชันของเอกสารก่อนทุกครั้ง
ที่มา - ไม่พบข่าวประชาสัมพันธ์ใดๆ จากหน่วยงานที่ออกประกาศ ผู้เขียนค้นพบเรื่องนี้ด้วยตนเองเพราะดาวน์โหลดเอกสารมาแล้วเนื้อหาไฟล์ไม่ตรงกัน
Bigta Thu, 20/11/2025 - 20:22
Continue reading...