ข้อกำหนดการทดสอบเจาะระบบและ iPentest ของ ธปท.
ธนาคารแห่งประเทศไทยกำหนดให้สถาบันการเงินทุกแห่งต้องผ่านการทดสอบเจาะระบบตามแนวปฏิบัติการบริหารความเสี่ยงด้าน IT และกรอบ iPentest เพื่อยืนยันความมั่นคงปลอดภัยทางไซเบอร์พร้อมรายงานระดับคณะกรรมการ
เกณฑ์หลัก: แนวปฏิบัติการบริหารความเสี่ยงด้าน IT ของ ธปท.
ปรับปรุงเมื่อเดือนพฤศจิกายน 2566 เพื่อรองรับการเปลี่ยนแปลงทางดิจิทัลอย่างรวดเร็วและภัยคุกคามทางไซเบอร์ที่ซับซ้อน แนวปฏิบัตินี้กำหนดมาตรฐานพื้นฐานสำหรับทุกหน่วยงานภายใต้การกำกับของ ธปท. รวมถึงธนาคารพาณิชย์ สถาบันการเงินที่ไม่ใช่ธนาคาร และผู้ให้บริการชำระเงิน
- สถาบันการเงินต้องจัดให้มีกระบวนการและเครื่องมือสำหรับการประเมินช่องโหว่ (VA) และการทดสอบเจาะระบบอย่างสม่ำเสมอ (มาตรา 2.6.7)
- การทดสอบต้องครอบคลุมโครงสร้างพื้นฐานที่สำคัญทั้งหมด: แอปพลิเคชัน Mobile Banking, เว็บแอปพลิเคชัน, API, โครงสร้างพื้นฐานเครือข่าย และสภาพแวดล้อมคลาวด์
- ต้องมีทีมบริหารช่องโหว่เฉพาะทางเพื่อบันทึก จัดลำดับความสำคัญตามความรุนแรง และมอบหมายผู้รับผิดชอบแก้ไขภายในกรอบเวลาที่กำหนด
- รายงานการประเมินความเสี่ยงด้าน IT และผลการตรวจสอบต้องรายงานต่อ ธปท. ภายในระยะเวลาที่กำหนด (30 ถึง 45 วัน ขึ้นอยู่กับประเภทรายงาน)
iPentest: การทดสอบเจาะระบบเชิงข่าวกรอง
เพื่อยกระดับมาตรฐานการทดสอบให้เหนือกว่าการสแกนอัตโนมัติทั่วไป ธปท. ร่วมกับศูนย์ประสานงานด้านความมั่นคงปลอดภัยทางไซเบอร์ภาคธนาคาร (TB-CERT) จัดทำแนวปฏิบัติ iPentest — กรอบการทดสอบแบบ Red Teaming ขั้นสูง
- แนวทาง Red Teaming ที่จำลองการโจมตีทางไซเบอร์ที่ซับซ้อนในสถานการณ์จริงโดยใช้ข่าวกรองภัยคุกคามปัจจุบัน
- การประเมินแบบองค์รวมที่ทดสอบทั้งบุคลากร (Social Engineering, Phishing), กระบวนการ (การตอบสนองต่อเหตุการณ์, ประสิทธิผลของ Blue Team) และเทคโนโลยี
- บังคับให้มีความร่วมมือระหว่างผู้ทดสอบ (Red Team), ผู้ป้องกัน (Blue Team), นักพัฒนาระบบ และเจ้าของธุรกิจ
- สร้างความมั่นใจว่าช่องโหว่ได้รับความเข้าใจและแก้ไขอย่างมีประสิทธิภาพผ่านการแก้ไขร่วมกัน
กรอบการประเมิน Cyber Resilience ของ ธปท.
การทดสอบเจาะระบบเป็นองค์ประกอบสำคัญของกรอบ Cyber Resilience ที่กว้างขึ้นของ ธปท. ซึ่งสอดคล้องกับกรอบ NIST Cybersecurity Framework สากลและขยายออกเป็น 6 โดเมนที่สำคัญ
Governance
การกำกับดูแลระดับคณะกรรมการและโครงสร้างธรรมาภิบาลด้านไซเบอร์
Identification
การบริหารสินทรัพย์ การประเมินความเสี่ยง และการระบุภัยคุกคาม
Protection
การควบคุมการเข้าถึง ความปลอดภัยของข้อมูล และเทคโนโลยีป้องกัน
Detection
การเฝ้าระวังด้านความปลอดภัย การทดสอบเจาะระบบ และการประเมินช่องโหว่
Response
การวางแผนตอบสนองต่อเหตุการณ์ การสื่อสาร และการบรรเทาผลกระทบ
Third-Party Risk Management
การประเมินความปลอดภัยของผู้ให้บริการ IT ภายนอกและผู้ให้บริการ
ใครต้องปฏิบัติตาม?
สถาบันการเงินทุกแห่งที่อยู่ภายใต้การกำกับดูแลของธนาคารแห่งประเทศไทยต้องปฏิบัติตามข้อกำหนดการทดสอบเจาะระบบและ iPentest
ธนาคารพาณิชย์
โดยเฉพาะ D-SIBs (ธนาคารที่มีความสำคัญเชิงระบบในประเทศ) ที่มีการกำกับดูแลเข้มงวดเป็นพิเศษ
บริษัทเงินทุน
บริษัทเงินทุนและบริษัทเครดิตฟองซิเอร์ที่ได้รับอนุญาตภายใต้การกำกับของ ธปท.
ผู้ให้บริการชำระเงินอิเล็กทรอนิกส์
ผู้ให้บริการโอนเงินอิเล็กทรอนิกส์และกระเป๋าเงินดิจิทัล
ผู้ให้บริการ Mobile Banking
สถาบันที่ให้บริการแอปพลิเคชัน Mobile Banking ภายใต้การกำกับดูแลของ ธปท.
บริษัทบัตรเครดิต
ผู้ออกบัตรและผู้รับบัตรที่ดำเนินการระบบบัตรเครดิตและบัตรชำระเงิน
แพลตฟอร์มสินเชื่อดิจิทัล
แพลตฟอร์มสินเชื่อดิจิทัลและ Peer-to-Peer ภายใต้การกำกับดูแลของ ธปท.
ข้อกำหนดที่สำคัญ
ธปท. กำหนดให้สถาบันการเงินต้องดำเนินการทดสอบความปลอดภัยตามเกณฑ์เฉพาะเพื่อรักษาการปฏิบัติตามข้อกำหนด
การประเมินช่องโหว่และทดสอบเจาะระบบสม่ำเสมอ (มาตรา 2.6.7)
สถาบันการเงินต้องจัดให้มีกระบวนการและเครื่องมือสำหรับการประเมินช่องโหว่และทดสอบเจาะระบบอย่างสม่ำเสมอครอบคลุมโครงสร้างพื้นฐานที่สำคัญทั้งหมด
iPentest ประจำปีโดยผู้เชี่ยวชาญอิสระ
สถาบันทุกแห่งต้องว่าจ้างผู้เชี่ยวชาญอิสระจากภายนอกที่มีคุณสมบัติเหมาะสมเพื่อทำ iPentest โดยผู้ประเมินต้องไม่มีผลประโยชน์ทับซ้อนกับสถาบัน
ทีมบริหารช่องโหว่เฉพาะทาง
ธนาคารต้องมีทีมบริหารช่องโหว่เพื่อบันทึก จัดลำดับความสำคัญตามความรุนแรง และมอบหมายผู้รับผิดชอบแก้ไขความเสี่ยงภายในกรอบเวลาที่กำหนด
ขอบเขตการทดสอบที่ครอบคลุม
การทดสอบต้องครอบคลุมโครงสร้างพื้นฐานที่สำคัญทั้งหมด รวมถึงแอปพลิเคชัน Mobile Banking, เว็บแอปพลิเคชัน, API, โครงสร้างพื้นฐานเครือข่าย และสภาพแวดล้อมคลาวด์
รายงานระดับคณะกรรมการ
ผลการทดสอบต้องจัดทำเป็นรายงานสรุประดับ Board ที่สื่อสารระดับความเสี่ยง ลำดับความสำคัญในการแก้ไข และสถานะการปฏิบัติตามข้อกำหนดต่อคณะกรรมการและผู้บริหารระดับสูง
การรายงานต่อ ธปท. ภายในเวลาที่กำหนด
รายงานการประเมินความเสี่ยงด้าน IT และผลการตรวจสอบต้องรายงานต่อ ธปท. ภายในระยะเวลาที่กำหนด โดยทั่วไป 30 ถึง 45 วัน ขึ้นอยู่กับประเภทรายงาน
ขอบเขตการทดสอบตามเกณฑ์ ธปท.
การทดสอบเจาะระบบและ iPentest ต้องครอบคลุมโครงสร้างพื้นฐานดิจิทัลทั้งหมดของสถาบันการเงิน
- แอปพลิเคชัน Mobile Banking (iOS & Android)
- เว็บแอปพลิเคชันและระบบ Internet Banking
- อินเทอร์เฟซ API และระบบธนาคารหลัก
- โครงสร้างพื้นฐานเครือข่ายและการแบ่งส่วนเครือข่าย
- สภาพแวดล้อมคลาวด์
- โครงสร้างพื้นฐาน Payment Gateway
- ระบบ SWIFT และ Local Clearing
- การเชื่อมต่อกับผู้ให้บริการภายนอก
มาตรฐานการทดสอบทางเทคนิคที่ ธปท. คาดหวัง
แม้ ธปท. จะกำหนดข้อบังคับทางกฎระเบียบ แต่สถาบันการเงินต้องดำเนินการทดสอบตามวิธีการที่ได้รับการยอมรับในระดับสากล
OWASP WSTG / MSTG
คู่มือทดสอบความปลอดภัยเว็บและมือถือสำหรับตรวจสอบเว็บพอร์ทัลและแอปพลิเคชันธนาคาร
NIST SP 800-115
คู่มือเทคนิคสำหรับการทดสอบและประเมินความมั่นคงปลอดภัยสารสนเทศ — กรอบมาตรฐานสำหรับการประเมินความปลอดภัย
Secure Code Review
การทดสอบเจาะระบบต้องเสริมด้วยการตรวจสอบโค้ดที่ปลอดภัยตลอดวงจรการพัฒนาแอปพลิเคชัน
ผลกระทบจากการไม่ปฏิบัติตาม
การไม่ปฏิบัติตามข้อกำหนดด้าน Cybersecurity ของ ธปท. ส่งผลกระทบร้ายแรงทั้งด้านกฎระเบียบและการดำเนินงาน
ระงับการให้บริการบางส่วน
ธปท. อาจจำกัดหรือระงับบริการบางประเภท เช่น Mobile Banking, Internet Banking หรือการเปิดตัวผลิตภัณฑ์ใหม่จนกว่าจะปฏิบัติตามข้อกำหนดได้
มาตรการลงโทษทางกฎระเบียบ
การเพิ่มความเข้มข้นในการกำกับดูแล การตักเตือนอย่างเป็นทางการ และมาตรการบังคับที่เข้มงวดขึ้นจากธนาคารแห่งประเทศไทย
สั่งแก้ไขเร่งด่วน
สถาบันอาจถูกสั่งให้ดำเนินการแก้ไขทันทีภายในกรอบเวลาที่กำหนดอย่างเข้มงวด พร้อมรายงานความคืบหน้าต่อหน่วยงานกำกับดูแล
ทบทวนใบอนุญาต
การไม่ปฏิบัติตามอย่างร้ายแรงหรือซ้ำซากอาจนำไปสู่การทบทวนใบอนุญาตประกอบธุรกิจ พร้อมข้อจำกัดในกิจกรรมทางธุรกิจ
พระราชบัญญัติและกฎระเบียบที่เกี่ยวข้อง
แนวปฏิบัติทางเทคนิคของ ธปท. ได้รับการบังคับใช้ทางกฎหมายและสนับสนุนโดยกฎหมายไทยหลายฉบับ
พ.ร.บ.การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562
สถาบันการเงินถูกจัดเป็นโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ผู้ดำเนินการ CII ต้องรักษากรอบความมั่นคงปลอดภัยไซเบอร์ ดำเนินการประเมินความเสี่ยงและตรวจสอบประจำปี และรายงานภัยคุกคามทางไซเบอร์ที่สำคัญต่อ สกมช. ทันที
พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) พ.ศ. 2562
การทดสอบเจาะระบบสนับสนุนการปฏิบัติตาม PDPA โดยตรง โดยการตรวจสอบมาตรการทางเทคนิคที่เหมาะสมในการคุ้มครองข้อมูลส่วนบุคคล ช่องโหว่ที่ไม่ได้รับการแก้ไขที่นำไปสู่การละเมิดข้อมูลอาจส่งผลให้ถูกลงโทษตาม PDPA อย่างรุนแรง
พ.ร.บ.ระบบการชำระเงิน พ.ศ. 2560
ให้อำนาจ ธปท. ในการกำกับดูแลผู้ให้บริการ e-payment ผู้ดำเนินการระบบชำระเงินที่มีความสำคัญสูงต้องผ่านการตรวจสอบความปลอดภัย IT อย่างน้อยปีละครั้ง (รวมถึงการทดสอบเจาะระบบ) และส่งผลการตรวจสอบต่อคณะกรรมการ ธปท.
การประเมินของเราตอบโจทย์ข้อกำหนด ธปท. อย่างไร
การประเมินของเราแมปตรงกับข้อกำหนดของ ธปท. เพื่อให้ครอบคลุมการปฏิบัติตามกฎระเบียบอย่างครบถ้วน
| การประเมิน | ข้อกำหนด ธปท. | ขอบเขต |
|---|---|---|
| การทดสอบความปลอดภัย Mobile App | การบริหารความเสี่ยง IT (มาตรา 2.6.7) | Biometrics, การจัดการ Session, Anti-Fraud, การจัดเก็บข้อมูลปลอดภัย (OWASP MSTG) |
| การประเมินความปลอดภัย API | การปกป้องอินเทอร์เฟซ Core Banking | Authentication, Authorization, Data Validation, Rate Limiting |
| Network Penetration Testing | การตรวจสอบ Infrastructure Segmentation | Firewall Rules, VLAN Segmentation, Lateral Movement Testing |
| Red Team Simulation (iPentest) | การจำลองภัยคุกคามเชิงข่าวกรอง | จำลองสถานการณ์โจมตีจริง, TTP Emulation, Social Engineering, Detection Testing |
| Web Application Testing | ความปลอดภัย Internet Banking | OWASP WSTG, Business Logic, Authentication Flows |
| Third-Party Risk Assessment | การบริหารความเสี่ยงผู้ให้บริการภายนอก (TPRM) | Vendor API Security, Integration Points, Data Flow Analysis |
Checklist การปฏิบัติตามเกณฑ์ ธปท.
ใช้ Checklist นี้ตรวจสอบความพร้อมขององค์กรในการปฏิบัติตามเกณฑ์ ธปท.
- มีตารางการทดสอบเจาะระบบและ VA ประจำปีที่ได้รับอนุมัติจากคณะกรรมการ
- ว่าจ้างผู้ประเมินอิสระจากภายนอกที่ไม่มีผลประโยชน์ทับซ้อน
- ดำเนินการ iPentest (Red Team) ตามกรอบ TB-CERT แล้ว
- ความปลอดภัยของแอปพลิเคชัน Mobile Banking ผ่านการตรวจสอบตาม OWASP MSTG
- จัดตั้งทีมบริหารช่องโหว่พร้อมกรอบเวลาแก้ไขที่กำหนด
- จัดทำรายงานสรุปผู้บริหารระดับ Board และนำเสนอแล้ว
- ช่องโหว่ระดับ Critical และ High ทั้งหมดได้รับการแก้ไขพร้อมหลักฐาน Retest
- รายงานการประเมินความเสี่ยง IT ต่อ ธปท. ภายในเวลาที่กำหนด (30–45 วัน)
- ตรวจสอบการแบ่งส่วนเครือข่ายและการควบคุมโครงสร้างพื้นฐานแล้ว
- ประเมินความเสี่ยงผู้ให้บริการภายนอก (Third-Party) เสร็จสิ้น
- ประเมินความปลอดภัยสภาพแวดล้อมคลาวด์แล้ว
- บูรณาการ Secure Code Review เข้ากับวงจรการพัฒนา
เอกสารส่งมอบตามเกณฑ์ ธปท.
ทุกโครงการจัดทำเอกสารที่เหมาะสมสำหรับการตรวจสอบของ ธปท.
ใบรับรองการทำ iPentest สำเร็จ
ใบรับรองอย่างเป็นทางการเพื่อยื่นต่อหน่วยงานกำกับดูแล
สรุปผลระดับคณะกรรมการ
รายงานความเสี่ยงแบบไม่เทคนิคสำหรับนำเสนอต่อคณะกรรมการ
รายงานทางเทคนิคพร้อมคะแนน CVSS
รายงานช่องโหว่โดยละเอียดพร้อมคะแนนความรุนแรงตามมาตรฐานสากล
แผนการแก้ไขตามลำดับความสำคัญ
แผนดำเนินการแก้ไขจัดลำดับตามความรุนแรงและผลกระทบทางธุรกิจ
หลักฐานการตรวจสอบซ้ำ (Retesting)
เอกสารยืนยันว่าช่องโหว่ที่พบได้รับการแก้ไขสำเร็จแล้ว
รายงานการประเมินตามเกณฑ์ ธปท.
รายงานการประเมินฉบับสมบูรณ์ที่จัดทำตามข้อกำหนด IT Examination ของ ธปท.
เอกสารอ้างอิงอย่างเป็นทางการ
ศึกษาเอกสารกฎระเบียบต้นฉบับสำหรับข้อกำหนดฉบับเต็ม
บริการที่เกี่ยวข้อง
บริการด้านความปลอดภัยทางไซเบอร์ครบวงจรเพื่อสนับสนุนการปฏิบัติตามเกณฑ์ ธปท.
Penetration Testing
บริการทดสอบเจาะระบบครบวงจรสำหรับโครงสร้างพื้นฐานและแอปพลิเคชันขององค์กร
ดูรายละเอียดMobile App Penetration Testing
การทดสอบความปลอดภัยเฉพาะทางสำหรับแอปพลิเคชันธนาคารบน iOS และ Android
ดูรายละเอียดNetwork Penetration Testing
การตรวจสอบโครงสร้างพื้นฐานและการแบ่งส่วนเครือข่ายสำหรับระบบการเงิน
ดูรายละเอียดคำถามที่พบบ่อยเกี่ยวกับการทดสอบเจาะระบบของ ธปท.
คำถามที่พบบ่อยเกี่ยวกับข้อกำหนดการทดสอบเจาะระบบและ iPentest ของธนาคารแห่งประเทศไทย
ปฏิบัติตามเกณฑ์ ธปท. วันนี้
ปกป้องใบอนุญาตธนาคารและความเชื่อมั่นของลูกค้าด้วยการทดสอบเจาะระบบและ iPentest จากผู้เชี่ยวชาญที่สอดคล้องกับข้อกำหนดของ ธปท. พร้อมรายงานระดับ Board และแนวทางการแก้ไข
Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด