วันที่มีผลบังคับใช้ - วันที่สิ้นสุดผลบังคับใช้ - สถาบันผู้เกี่ยวข้อง
1.ธนาคารพาณิชย์จดทะเบียนในประเทศ
2.ธนาคารพาณิชย์ที่จดทะเบียนในต่างประเทศ
นอกเหนือจากการวางระบบป้องกันแล้ว การตรวจจับภัยไซเบอร์ที่คุกคามองค์กรเป็นสิ่งจำเป็นในการรับมือภัยไซเบอร์ได้อย่างทันการณ์ การทดสอบเจาะระบบเป็นหนึ่งในขั้นตอนสำคัญของการตรวจจับภัยไซเบอร์ผ่านการตรวจหาช่องโหว่ของระบบและบริหารจัดการเพื่อลดความเสี่ยงจากช่องโหว่ดังกล่าว ธนาคารแห่งประเทศไทยได้ออกประกาศที่ สนส. 19/2560 เรื่อง หลักเกณฑ์การกำกับดูแลความเสี่ยงด้านเทคโนโลยีสารสนเทศ (Information Technology Risk) กำหนดให้สถาบันการเงินทดสอบเจาะระบบงาน (application) และระบบเครือข่าย (network) ที่เชื่อมต่อกับเครือข่ายสื่อสารสาธารณะ (internet facing) เป็นประจำอย่างน้อยปีละ 1 ครั้ง และเมื่อมีการเปลี่ยนแปลงระบบอย่างมีนัยสำคัญ
ธนาคารแห่งประเทศไทยร่วมกับศูนย์ประสานงานการรักษาความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT) จัดทำแนวปฏิบัติการทดสอบเจาะระบบแบบ Intelligence-led (Intelligence-led Penetration Testing Guideline: iPentest) ซึ่งเป็นการทดสอบการเจาะระบบภายใต้สถานการณ์เสมือนจริงในลักษณะ Red Teaming ที่มีการนำข้อมูล Threat Intelligence มากำหนดสถานการณ์จำลอง โดยผู้ทดสอบเจาะระบบใช้ทักษะและประสบการณ์หาแนวทางบุกรุกระบบเพื่อประเมินความพร้อมในการรับมือของสถาบันการเงิน ทั้งด้าน protection detection และ response ครอบคลุมทั้งด้านบุคลากร กระบวนการ และเทคโนโลยี การทดสอบในลักษณะดังกล่าวเป็นสิ่งที่สถาบันการเงินควรดำเนินการเพิ่มเติมจากการทดสอบเจาะระบบเชิงเทคนิคที่ทำอยู่แล้วโดยปกติ เพื่อให้สถาบันการเงินยกระดับความพร้อมในการรับมือภัยคุกคามทางไซเบอร์ ให้มั่นใจว่ามีการป้องกันที่แข็งแรง การตรวจจับและการตอบสนองต่อภัยคุกคามทางไซเบอร์ได้ทันการณ์ และเพื่อเสริมสร้างความมั่นใจให้กับผู้บริหารระดับสูงและคณะกรรมการสถาบันการเงินในการกำกับดูแลรักษาความมั่นคงปลอดภัยไซเบอร์ของสถาบันการเงินด้วย
ที่มา: ธนาคารแห่งประเทศไทย