หลักการพื้นฐานของการรักษาความมั่นคงปลอดภัยของสารสนเทศ มีอะไรบ้าง

ข้ามไปยังเนื้อหา

ความหมายความมั่นคงของระบบสารสนเทศ

ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ เช่น ความมั่นคงปลอดภัยของประเทศ ย่อมเกิดขึ้นโดยมีระบบป้องกันหลายระดับ เพื่อปกป้องผู้นำประเทศ ทรัพย์สิน ทรัพยากร และประชาชนของประเทศ

ความมั่นคงปลอดภัยขององค์กร

ความมั่นคงปลอดภัยทางกายภาย Physical Security
ความมั่นคงปลอดภัยส่วนบุคคล Personal Security
ความมั่นคงปลอดภัยในการปฏิบัติงาน Operations Security
ความมั่นคงปลอดภัยในการติดต่อสื่อสาร Communication Security
ความมั่นคงปลอดภัยของเครือข่าย Network Security
ความมั่นคงปลอดภัยของสารสนเทศ Information Security

ความมั่นคงปลอดภัยของสารสนเทศ (Information Security)

ความมั่นคงปลอดภัยของสารสนเทศ คือ การป้องกันสารสนเทศและองค์ประกอบอื่นที่เกี่ยวข้อง

การรักษาความปลอดภัยทางข้อมูล Information Security คือ ผลที่เกิดขึ้นจาการใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ ควบคุม และป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต

แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ

กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้นประกอบด้วย

1. ความลับ Confidentiality

เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้
องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก

2.ความสมบูรณ์ Integrity

ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง

3.ความพร้อมใช้ Availability

ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลงในที่สุด

4.ความถูกต้องแม่นยำ Accuracy

ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

5.เป็นของแท้ Authenticity

สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน

6.ความเป็นส่วนตัว Privacy

ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ

แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตาม มาตรฐานNSTISSC

NSTISSC (Nation Security Telecommunications and
Information Systems Security

คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบ

สารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่งได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ

สิ่งสำคัญในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศนั้น นอกจากจะมีความคิดหลักในด้านต่างๆ แล้วยังรวมถึงการกำหนดนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่จะนำมาใช้เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการจัดการความมั่นคงปลอดภัยของสารสนเทศด้วย

��ʹ�� Թ��Ѿ��Ӥѭ�ҧ��áԨ ��ͧ��ź��ا�ѡ�� л�ͧ�ѹ��ҧ�� Ѩ�غѹ��ѷ� ��˹��ʹ��к��ʹ�� ¡�ù�෤��դ��ʹ��·��Ӥѭ��ͧ�� ͪ��㹡�÷ӧҹ ��Ŵ��§��ҹ��ʹ�� дѺ�� Դ��Է��Ҿ��͡�÷ӧҹ�٧�ش

��ѷ��˹ѡ�֧��Ӥѭ�ͧ��ʹ�� ա�ú��èѴ��к��ѡɳФ�� C I A ��

1. ��ѡ�Ҥ��Ѻ(Confidentiality) ��ؤ�ż��Է��ҹ�� Ҷ֧��¡�٢�� ͧ�ա�äǺ��Ҷ֧ ��繤��Ѻ��ͧ��Դ�¡Ѻ��Է��

2. ��١��ͧ��ԧ(Integrity) ��л�ͧ�ѹ��١��ͧ�ú��ǹ��ó�ͧ�� Ըա�û��ż� ��ͧ�ա�äǺ��Դ��Ҵ ��Է��¹�ŧ��

3. ��ö��(Availability) ��ؤ�ż��Է��ҹ��Ҷ֧��ء��ͷ��ͧ�� ͧ�ա�äǺ��к�� ö�Ҿ�ӧҹ��ͧ ��Է��ҷ��к��ش��÷ӧҹ

��ʹ��¢ͧ��ʹ�� (Information Security)

��ѷ� �չ�º��ʹ��С��ѡ�Ҥ��Ѻ�ͧ�� º��ѷ� ��к��ѡ�Ҥ��ʹ��·��ҵðҹ�٧��㹴�ҹ෤��С�кǹ��ͻ�ͧ�ѹ��á��ŷ��繤��Ѻ ��ѷ� ��˹��к��ʹ��·��ջ��Է��Ҿ ��䫵��Т��Ţͧ��ѷ� �ա��ѡ�Ҥ��ʹ��·��ҵðҹ ��֧��͡�� Firewall System, Anti-Virus System ��ҵðҹ��ʹ��٧ ��෤�� ʢ��ŷ��дѺ 128 �Է (128 Bit Encryption) ��繡��ʢ��дѺ�٧��Ѻ��÷Ӹ�á��ҹ��ԡ�÷ҧ�Թ�� ͡�ҡ�� ѷ� �ѧ��˹��١��ҵ�ͧŧ��¹��͹�֧��ö��ԡ��

��ѷ� ��ա��͡��෤��к��к��ѡ�Ҥ��ʹ��㹢�鹾�鹰ҹ��ҵðҹ�ҡ�� ¡�÷ӧҹ��ҹ�ػ�ó��ʹ��੾��ա�� ѡ��÷��㹡�äǺ��ѡ�Ҥ��ʹ��Ѻ�к��Ţ�� äǺ��ǹ��ҧ � �ͧ�к��ҧ�Ѵ�� Ըա�÷��㹡�äǺ��մѧ��

1. ��äǺ��ѡ�Ҥ��ʹ��µ�ǫͿ�� (Software Control)
��дѺ�Ըա�� 3 �Ըդ��

- ��äǺ��ҡ�к��㹢ͧ�Ϳ�� (Internal Program Control) ��͡�÷�� ա�äǺ��Է�ԡ��Ҷ֧ ��Է��㹡��к� ��觶١�Ѵ��к��ҹ��к��ͧ

- ��äǺ��ʹ��к��Ժѵԡ�� (Operating System Control) ��͡�äǺ��Է�ԡ��Ҷ֧��С��ǹ��ҧ � ��к��ͧ��餹˹�� Ш�ṡᵡ��ҧ�ҡ��餹��

- ��äǺ��С��͡Ẻ�� (Development Control) ��͡�äǺ��͡Ẻ ��÷��ͺ��͹��ҹ��ԧ

2. ��äǺ��ʹ��¢ͧ�к�� (Hardware Control)
��͡��෤��շҧ��ҹ�� ö�Ǻ��Ҷ֧ ��л�ͧ�ѹ��÷ӧҹ�Դ��Ҵ ��ػ�ó��㹵��ͧ

3. ��º��㹡�äǺ�� (Policies)
��ա�û�С��º�� С�û�Ѻ��ا��º��ա�÷ӧҹ�ʹ��ͧ�Ѻ��ô��Թ��áԨ ��Ҿ�Ǵ��¹�ŧ ��ռźѧ�Ѻ��ͧ��

4. ��û�ͧ�ѹ�ҧ��Ҿ (Physical Control)
��ҵá�á��Ҷ֧�ٹ�� ͧ��Ӥѭ��੾��˹�ҷ��Ǣ�ͧ��ҹ�� к��ͧ��ҧ��

�ҵá��ػ�ó��㹹�º��к��ʹ��

��èѴ��ô�ҹ��ʹ��¢ͧ�к��͢�� Counter Service �л�Сͺ��ͧ��Сͺ 3 ��ǹ�ѧ��

1. �ç��ҧ��鹰ҹ��ҹ��ʹ��

��õԴ��к� Firewall ��ѷ� ��Դ�� Firewall ��෤��շ��ӡ�û�ͧ�ѹ��ء�ء��-�͡�к� ��С�˹�⫹��ԡ�� Ҷ֧��
- ��˹��ͺࢵ ��⫹��÷ӧҹ��
- ��˹��ԡ�� С��Ҷ֧�к��Ѻ��Ѻ͹حҵ��ҹ��
��õԴ��к� Anti-Virus ��ͷӡ�û�ͧ�ѹ ��СӨѴ��ʷ��ա��Ѿവ��ҧ��
��õԴ��к� SSL ��ѷ� ��͡�� SSL ��ش ��觺��ѷ ��и�Ҥ�ê�鹹��ǹ�˭��͡�� ͧ�ҡ�ջ��Է��Ҿ㹡��ѡ�Ҥ��ʹ��¢��٧ ˹�ҷ��ͧ SSL �� Ѻ��ŧ��ʵ��Ţ�� 觤��´㹡��ҡ�� ʹ��¡��٧��ҹ�� дѺ��´�ͧ��˹�� Է ��䫷��ѷ� ��дѺ 128 �Է ��觶��дѺ��ѷ ��и�Ҥ�ê�鹹Ӣͧ�š��
��õԴ��к��Ժѵԡ�÷��дѺ��ʹ��·��дѺ C2 �¡�õԴ�� Դ��੾�к�ԡ�÷�� Ш��ҹ��
��õԴ��к� Web Server ��С�á�˹��Ҿ��