ISO / GMP / อย.

ISO/IEC 15408 Common Criteria 2026: คู่มือ Cybersecurity Certification SME ไทย

รู้จักมาตรฐาน ISO/IEC 15408 (Common Criteria) ที่ใช้รับรองความปลอดภัยของ IT Product ทั่วโลก พร้อม EAL Level, Protection Profile และวิธีเตรียมตัวสำหรับ SME ไทยปี 2026

AF
ADS FIT Team
·8 นาที
Share:
ISO/IEC 15408 Common Criteria 2026: คู่มือ Cybersecurity Certification SME ไทย

# ISO/IEC 15408 Common Criteria 2026: คู่มือ Cybersecurity Certification สำหรับ SME ไทย

ในปี 2026 ตลาด Cybersecurity ระดับสากลกำลังเรียกร้องการรับรองที่น่าเชื่อถือมากกว่าเดิม ไม่ว่าจะเป็นการประมูลภาครัฐ การขายผลิตภัณฑ์ IT ข้ามประเทศ หรือการรับงานจากองค์กรขนาดใหญ่ คำว่า "Common Criteria" หรือ ISO/IEC 15408 ปรากฏอยู่ในเอกสาร RFP เพิ่มขึ้นเรื่อย ๆ และกลายเป็นเงื่อนไขขั้นต่ำสำหรับ Hardware/Software Vendor ที่อยากแข่งขันในตลาดโลก

แต่สำหรับ SME ไทยจำนวนมาก มาตรฐานนี้ยังเป็นเรื่องไกลตัว ทั้งเพราะคำศัพท์เฉพาะทางเยอะ (EAL, ST, PP, TOE) และความเข้าใจผิดว่า "ต้องเป็นบริษัทระดับโลกเท่านั้นถึงจะขอ Certificate ได้"

บทความนี้จะอธิบาย Common Criteria แบบเข้าใจง่าย ครอบคลุมหลักการ โครงสร้างเอกสาร EAL Level 1-7 การเตรียมตัวสำหรับ SME ไทย และโร้ดแมปการลงทุนเพื่อให้คุ้มค่าจริง

ISO/IEC 15408 คืออะไร?

ISO/IEC 15408 หรือที่รู้จักกันในชื่อ Common Criteria for Information Technology Security Evaluation (CC) คือมาตรฐานสากลที่ใช้ประเมินและรับรองความปลอดภัยของผลิตภัณฑ์ IT (เช่น Smart Card, Firewall, Operating System, Database, Network Device, IoT Gateway)

มาตรฐานนี้พัฒนาร่วมกันระหว่างหน่วยงานความมั่นคงของหลายประเทศ เช่น สหรัฐฯ แคนาดา สหราชอาณาจักร เยอรมนี ฝรั่งเศส ญี่ปุ่น และเกาหลีใต้ ผ่านข้อตกลง CCRA (Common Criteria Recognition Arrangement) ซึ่งหมายความว่า Certificate ที่ออกในประเทศหนึ่ง สามารถยอมรับได้ในประเทศอื่นโดยไม่ต้องประเมินซ้ำ

แนวคิดหลักของ Common Criteria คือการแยก "สิ่งที่ต้องป้องกัน" ออกจาก "ระดับความเข้มงวดในการประเมิน" ทำให้สามารถปรับใช้ได้กับผลิตภัณฑ์หลายประเภทอย่างยืดหยุ่น

โครงสร้างหลักของ Common Criteria

1. Target of Evaluation (TOE)

TOE คือ "ผลิตภัณฑ์หรือส่วนของผลิตภัณฑ์" ที่ต้องการประเมิน เช่น Firewall รุ่น X, Database Engine รุ่น Y หรือ Smart Card Chip รุ่น Z การกำหนด TOE ที่ชัดเจนจะช่วยให้ขอบเขตของการประเมินไม่บานปลาย

2. Protection Profile (PP)

Protection Profile คือเอกสารกำหนดความต้องการด้านความปลอดภัย "ที่กลุ่มผู้ใช้" ระบุไว้ เช่น PP สำหรับ Firewall, PP สำหรับ Smart Card หรือ PP สำหรับ VPN Gateway เอกสารนี้จะอธิบายความเสี่ยง สมมุติฐาน และเป้าหมายความปลอดภัย โดยอิสระจาก Vendor

3. Security Target (ST)

Security Target คือเอกสารที่ Vendor ต้องเขียนเอง เพื่ออธิบายว่าผลิตภัณฑ์ของตนเองตอบสนอง PP อย่างไร รวมถึงระบุ TOE Boundary, Functional Requirement และ Assurance Requirement ที่อ้างถึง ST เป็นเอกสารที่ใช้เป็นฐานในการประเมินและทดสอบจริง

4. Evaluation Assurance Level (EAL)

EAL คือระดับความเข้มงวดในการประเมิน มีตั้งแต่ EAL1 ถึง EAL7 ยิ่งสูงยิ่งใช้งบประมาณและเวลามาก

ตาราง EAL Level และการใช้งาน

| EAL | คำอธิบาย | ตัวอย่างการใช้งาน | ระยะเวลาประเมินโดยเฉลี่ย |

|-----|---------|-------------------|--------------------------|

| EAL1 | Functionally Tested | ผลิตภัณฑ์ทั่วไป ความเสี่ยงต่ำ | 3-6 เดือน |

| EAL2 | Structurally Tested | Software Commercial ทั่วไป | 6-9 เดือน |

| EAL3 | Methodically Tested & Checked | Enterprise Network Device | 9-12 เดือน |

| EAL4 | Methodically Designed, Tested & Reviewed | Firewall, OS, Database | 12-18 เดือน |

| EAL5 | Semiformally Designed & Tested | Smart Card, HSM | 18-24 เดือน |

| EAL6 | Semiformally Verified Design & Tested | High-Risk Government System | 24-36 เดือน |

| EAL7 | Formally Verified Design & Tested | Military, National Security | 36+ เดือน |

> คำแนะนำ: สำหรับ SME ที่เพิ่งเริ่มต้น EAL2-EAL4 เป็นช่วงที่คุ้มค่าที่สุด ครอบคลุมตลาด Enterprise ส่วนใหญ่โดยไม่ต้องลงทุนมหาศาล

Security Functional Requirements (SFR) — 11 หมวดหลัก

Common Criteria แบ่งความต้องการด้านฟังก์ชันความปลอดภัยออกเป็น 11 หมวด (Class) ที่ Vendor ต้องเลือกใช้ให้เหมาะกับผลิตภัณฑ์

  • **FAU** — Security Audit (การบันทึกเหตุการณ์)
  • **FCO** — Communication (การสื่อสารปลอดภัย)
  • **FCS** — Cryptographic Support (การเข้ารหัส)
  • **FDP** — User Data Protection (การปกป้องข้อมูล)
  • **FIA** — Identification & Authentication (พิสูจน์ตัวตน)
  • **FMT** — Security Management (การจัดการสิทธิ์)
  • **FPR** — Privacy (ความเป็นส่วนตัว)
  • **FPT** — Protection of TSF (ป้องกันตัวระบบเอง)
  • **FRU** — Resource Utilization (การจัดสรรทรัพยากร)
  • **FTA** — TOE Access (การเข้าถึง)
  • **FTP** — Trusted Path/Channel (ช่องทางเชื่อถือได้)

    • ขั้นตอนการขอ Certification (How-to)

    Step 1: Gap Analysis และเลือก EAL Target

    วิเคราะห์ผลิตภัณฑ์ปัจจุบันเทียบกับ PP ที่เกี่ยวข้อง และเลือก EAL Level ตามตลาดเป้าหมาย หากขายภาครัฐส่วนใหญ่จะต้องการ EAL2-EAL4

    Step 2: เขียน Security Target (ST)

    จัดทำเอกสาร ST อย่างละเอียด ระบุ TOE Boundary, Threats, Assumptions, Security Objectives, SFR และ SAR ให้ครบถ้วน ขั้นตอนนี้มักใช้เวลา 2-4 เดือน

    Step 3: เลือก Evaluation Lab (ITSEF)

    เลือกห้องปฏิบัติการที่ได้รับการรับรองภายใต้ CCRA เช่น atsec, Brightsight, SGS, TÜV หรือ Common Criteria Lab ในประเทศที่เข้าร่วม CCRA แล้วทำสัญญาประเมิน

    Step 4: Developer Evidence Submission

    ส่งหลักฐานทั้งหมดให้ Lab ได้แก่ Source Code (กรณี EAL ระดับสูง), Architecture Document, Test Plan/Results, Vulnerability Analysis และ Configuration Management Document

    Step 5: Evaluation & Penetration Testing

    Lab จะทำการทบทวนเอกสาร ทดสอบฟังก์ชัน และทำ Penetration Testing ตามระดับ EAL ที่ขอ

    Step 6: Certification Body Review

    หน่วย Certification Body ของประเทศ (เช่น NIAP ของสหรัฐฯ, BSI ของเยอรมนี, JISEC ของญี่ปุ่น) จะตรวจรายงานและออก Certificate

    Step 7: Maintenance & Re-evaluation

    หลังได้ Certificate แล้ว ต้องบำรุงรักษาผ่านกระบวนการ Assurance Continuity หากมีการอัปเดต Major Version จะต้องประเมินใหม่

    ตารางเปรียบเทียบ Common Criteria vs ISO 27001 vs FIPS 140-3

    | หัวข้อ | Common Criteria | ISO 27001 | FIPS 140-3 |

    |--------|-----------------|-----------|------------|

    | ขอบเขต | ผลิตภัณฑ์ IT | ระบบบริหารความปลอดภัย | โมดูลเข้ารหัส |

    | ประเภทรับรอง | Product Certification | Management System | Cryptographic Module |

    | EAL/Level | EAL1-EAL7 | ไม่มี Level | Level 1-4 |

    | ผู้ใช้งานหลัก | Vendor IT Product | องค์กรทั่วไป | Vendor Crypto Module |

    | งบประมาณเริ่มต้น | 50,000-500,000 USD | 5,000-50,000 USD | 30,000-300,000 USD |

    | ระยะเวลา | 6-36 เดือน | 3-9 เดือน | 6-18 เดือน |

    งบประมาณและการเตรียมตัวสำหรับ SME ไทย

    ค่าใช้จ่ายโดยประมาณสำหรับ Certification ระดับ EAL2-EAL4 ประกอบด้วย ค่าจ้าง Lab ประเมิน 30,000-200,000 USD, ค่าจ้างที่ปรึกษาเขียนเอกสาร 20,000-80,000 USD, ค่าทรัพยากรภายใน (วิศวกรเขียน Test, จัดทำเอกสาร) 6-12 คน-เดือน และค่าใช้จ่ายต่อเนื่องสำหรับ Maintenance

    สำหรับ SME ไทย แนวทางที่คุ้มค่าคือ การจับมือกับที่ปรึกษาที่มีประสบการณ์ทำงานกับ ITSEF ของประเทศใกล้เคียง เช่น มาเลเซีย (CyberSecurity Malaysia) หรือ ญี่ปุ่น (JISEC) ซึ่งมีโครงสร้างต้นทุนต่ำกว่ายุโรปและสหรัฐฯ ประมาณ 30-40%

    สรุปและก้าวต่อไป

    ISO/IEC 15408 Common Criteria เป็นมาตรฐานที่ทรงพลังในการเปิดตลาดต่างประเทศและการประมูลภาครัฐ การเริ่มต้นที่ EAL2-EAL4 เป็นจุดที่คุ้มค่าที่สุดสำหรับ SME ไทย โดยควรเริ่มจาก Gap Analysis และเขียน Security Target ก่อนผูกสัญญา Lab

    ประเด็นสำคัญที่ควรจดจำคือ Common Criteria ไม่ได้แทน ISO 27001 หรือ PCI DSS แต่เป็นการรับรอง "ผลิตภัณฑ์" ส่วนมาตรฐานอื่นรับรอง "องค์กร" หรือ "กระบวนการ" องค์กรที่ทำ Cybersecurity ระดับสูงมักรวมหลายมาตรฐานเข้าด้วยกัน

    ADS FIT พร้อมเป็นที่ปรึกษาตั้งแต่ Gap Analysis เขียน Security Target จัดทำ Test Plan ไปจนถึงประสานงาน Lab และ Certification Body — [ติดต่อทีมเรา](https://www.adsfit.co.th/#contact) หรืออ่านบทความ Compliance อื่น ๆ ได้ที่ [Blog ADS FIT](https://www.adsfit.co.th/blog) เพื่อวางแผน Roadmap Certification ที่เหมาะกับ SME ของคุณ

    Tags

    #ISO/IEC 15408#Common Criteria#Cybersecurity#EAL#Compliance#SME

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🛡️

    PDPA DPA 2026: คู่มือ Data Processing Agreement สัญญาประมวลผลข้อมูลส่วนบุคคล SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 37001 คืออะไร? คู่มือ Anti-Bribery Management ธุรกิจไทย 2026

    7 พฤษภาคม 2569 · 8 นาที
    🛡️

    ISO 14001 Environmental Management System (EMS): คู่มือมาตรฐานสิ่งแวดล้อมสำหรับ SME ไทย 2026

    7 พฤษภาคม 2569 · 9 นาที