ความมั่นคงปลอดภัย (Security) คืออะไร
การทำให้รอดพ้นจากอันตรายหรืออยู่ในสถานะที่มีความปลอดภัยไร้ความกังวลและความกลัวและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือโดยบังเอิญ
ความมั่นคงปลอดภัยของระบบสารสนเทศ (Information
System Security)
คือการป้องกันข้อมูลสารสนเทศรวมถึงองค์ประกอบอื่นๆที่เกี่ยวข้องเช่นระบบและฮาร์ดแวร์ที่ใช้ในการจัดเก็บและถ่ายโอนข้อมูลสารสนเทศนั้นให้รอดพ้นจากอันตรายอยู่ในสถานะที่มีความปลอดภัยไร้ความกังวลและความกลัว
ประวัติของการรักษาความปลอดภัยของข้อมูล
การรักษาความปลอดภัยด้านกายภาพ
(Physical
Security)ในอดีตข้อมูลที่สำคัญจะอยู่ในรูปแบบวัตถุโดยจะถูกบันทึกไว้บนแผ่นหินแผ่นหนังหรือกระดาษแต่บุคคลสำคัญส่วนใหญ่ไม่นิยมบันทึกข้อมูลที่สำคัญมากๆลงบนสื่อถาวรและไม่สนทนาเกี่ยวกับข้อมูลกับคนที่ไม่ไว้ใจถ้าต้องส่งข้อมูลไปที่อื่นต้องมีผู้คุ้มกันติดตามไปด้วยเพราะภัยอันตรายจะอยู่ในรูปแบบทางกายภาพเช่นการขโมย
องค์ประกอบของความมั่นคงปลอดภัยของข้อมูล
แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศกลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์
ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้นประกอบด้วย
1.
ความลับ Confidentiality
เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้
องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น
การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล
กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน
มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า
โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง
ๆ โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก
2.ความสมบูรณ์
Integrity
ความสมบูรณ์ คือ
ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม
สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
ทำให้เสียหาย
ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง
3.ความพร้อมใช้
Availability
ความพร้อมใช้ หมายถึง
สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น
โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต
การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลงในที่สุด
4.ความถูกต้องแม่นยำ
Accuracy
ความถูกต้องแม่นยำ
หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้
ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”
5.เป็นของแท้
Authenticity
สารสนเทศที่เป็นของแท้
คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต
หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
เทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง
ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต
หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
6.ความเป็นส่วนตัว
Privacy
ความเป็นส่วนตัว คือ
สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร
จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ
ขณะที่มีการรวบรวมสารสนเทศนั้ฯ
มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
5.องค์ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย
1.Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลา ต้นทุน
และกำลังคนที่จำกัด ซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว
3.Data ข้อมูล/สารสนเทศ
เป็นทรัพยากรที่มีค่าขององค์กร
การป้องกันที่แน่นหนาก็มีความจำเป็นสำหรับข้อมูลที่เป็นความลับ
ซึ่งต้องอาศัยนโยบายความปลอดภัยและกลไกป้องกันที่ดีควบคู่กัน
4.People บุคลากร
คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมากที่สุด
โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็เป็นจุดอ่อนต่อการโจมตีได้
จึงได้มีการศึกษากันอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกหลวงบุคลากร
เพื่อเปิดเผยข้อมูลบางอย่างเข้าสู่ระบบได้
5.Procedure ขั้นตอนการทำงาน
เป็นอีกหนึ่งองค์ประกอบที่ถูกมองข้าม
หากมิจฉาชีพทราบขั้นตอนการทำงาน
ก็จะสามารถค้นหาจุดอ่อนเพื่อนกระทำการอันก่อนให้เกิดความเสียหายต่อองค์กรและลูกค้าขององค์กรได้
6.Network เครือข่ายคอมพิวเตอร์
การเชื่อมต่อระหว่างคอมพิวเตอร์และระหว่างเครือข่ายคอมพิวเตอร์
ทำให้เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร์
โดยเฉพาะการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายอินเตอร์เน็ต
6.อุปสรรคของงานความมั่นคงปลอดภัยของสารสนเทศ
ความมั่นคงปลอดภัย
คือ ความไม่สะดวก
เนื่องจากต้องเสียเวลาในการป้อน password และกระบวนการอื่น
ๆ ในการพิสูจน์ตัวผู้ใช้
มีความซับซ้อนบางอย่างในคอมพิวเตอร์ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service ที่เหล่านี้จะทราบในแวดวงของ Programmer หรือผู้ดูแลระบบ
ผู้ใช้คอมไม่ระแวดระวัง
การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยภายหลัง
แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่ การป้องกัน
มีการเข้าถึงข้อมูลได้จากทุกสถานที่
ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียงอย่างเดียว
มิจฉาชีพมีความเชี่ยวชาญ
(ในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ)
ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
7.บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย
7.1.ผู้บริการระดับสูง
Senior
Manager
7.1.2. ผู้บริหารสารสนเทศระดับสูง chief
Information Officer: CIO มีหน้าที่ให้คำแนะนำและแสดงความคิดเห็นแก่
ผู้บริหารระดับสูง.
7.1.2.
ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสูง
Chief
Information Security Officer: CISO ทำหน้าที่ในการประเมิน จัดการ
และพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศในองค์กรโดยเฉพาะ
-ผู้สนับสนุน Champion
-หัวหน้าทีม Team Leader
-นักพัฒนานโยบายความมั่นคงปลอดภัย Security
Policy Development
-ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist
-ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ Security Professional
-ผู้ดูแลระบบ System
Administrator
-ผู้ใช้ระบบ End User
7.3.การเป็นเจ้าของข้อมูล
Data
Ownership ประกอบด้วย
7.3.1
เจ้าของข้อมูล Data Owners ผู้มีสิทธิในการใช้ข้อมูล
และมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลด้วย
7.3.2
ผู้ดูแลข้อมูล Data Cusodians เป็นผู้ที่ต้องทำงานร่วมกับ
Data Owners โดยตรง
ทำหน้าที่จัดเก็บและบำรุงรักษาข้อมูล
7.3.3
ผู้ใช้ข้อมูล Data
Users เป็นผู้ที่ทำงานกับข้อมูล
โดยตรง
ไม่มีความคิดเห็น:
แสดงความคิดเห็น