-ภัยคุกคามที่เพิ่มมากขึ่นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให ้สารสนเทศส่วน
บุคคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก
-ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
-สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศน้ันถูกนำไปเปลื่ยนแปลงปลอมปนด้วยสารสนเทศอนื่ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง
-ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนำมาเพื่อปลอมปนข้อมูลที่กาลัง เคลื่อนย้ายไปมาในเคือข่าย
ความพร้อมใช้ Availability
-ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่น โดยผู้ใช้ หรือระบบอนื่ ที่ได้รับอนุญาตเท่าน้ัน
-หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด
ความถูกต้องแม่นยำ Accuracy
-ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอ
-เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความต้ังใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”
ความเป็นของแท้ Authenticity
-สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้าโดยแหล่งนื่่ที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่ได้คุ้นเคยและไม่เคยทราบมาก่อน
-ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และ จัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
-มิฉะน้ันจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตาม มาตรฐาน NSTISSC
-NSTISSC (Nation Security Telecommunications and Information Systems Security)
-คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบ สารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่ง ได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ
-สิ่งสำคัญในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ นั้น นอกจากจะมีความคิดหลักในด้านต่างๆ แล้ว ยังรวมถึงการ กำหนดนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่ จะนำมาใช ้ เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการ จัดการความมั่นคงปลอดภัยของสารสนเทศด้วย
องค์ประกอบของระบบสารสนเทศ กับ ความมั่นคงปลอดภัย
1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว
2. Hardware จะใช้นโยบายเดียวกับสินทรัพยที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์
3. Data ข้อมูล/สารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน
4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้จึงได้มีการศึกษากนัอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างเข้าสู่ระบบได ้
5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่องค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้
6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่าง คอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร ์โดยเฉพาะการเชื่อมต่อ ระบบสารสนเทศเข้า กับ เครือข่ายอินเตอร์ เน็ต
อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ
-ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูน์ ตัวผู้ใช้
-มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service ที่เหล่านี้จะทราบในแวดวงของ Programmer หรือผู้ดูแลระบบ
-การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยภายหลัง
-แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่ การป้องกัน
-มีการเข้าถึงข้อมูลได้จากทุกสถานที่
-ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียง อย่างเดียว
-มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ)
-ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย
แนวทางในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ
-Bottom - Up Approach เป็นแนวทางที่ผู้ดูแลระบบหรือเจ้าหน้าที่ ที่รับผิดชอบ ด้านความมั่นคงปลอดภัยโดยตรง เป็นผู้ริเริ่มหรือกำหนดมาตรการรักษาความปลอดภัยขึ้นมาระหว่างการพัฒนาระบบ
-ข้อดี คือ เจ้าหน้าที่จะสามารถดูแลงานด้วยตนเองในทุก ๆ วัน และใช้ความรู้ ความสามารถ ความเชี่ยวชาญที่มีการปรับปรุงกลไกควบคุมความปลอดภัยให้มี ประสิทธิภาพอย่างเต็มที่
-ข้อเสีย แนวทางนี้โดยทั่วไปมักจะทำให้การดำเนินงานความมั่นคงปลอดภัยของ สารสนเทศไม่ประสบผลสำเร็จเนื่องจากขาดปัจจัยความสำเร็จ เช่น ขาดการสนับสนุนจากผู้เกี่ยวข้อง หรือขาดอำนาจหน้าที่ในการสั่งการ
-Top - down Approach การดำเนินงานความมั่นคงปลอดภัยจะเริ่มต้น โดยผู้บริหารหรือผู้มีอำนาจหน้าที่โดยตรง ซึ่งสามารถ บังคับใช้นโยบาย บุคลากรที่รับผิดชอบ
-ข้อดี ขั้นตอนกระบวนการมั่นคงได้อย่างเต็มที่เนื่องจากได้รับการสนับสนุนจากผู้ที่เกี่ยวข้องเป็นอย่างดี มี การวางแผน กำหนด เป้าหมายและกระบวนการทำงานอย่างชัดเจนและเป็นทางการ
วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ
-วงจรการพัฒนาระบบ System Development life Cycle: SDLC โดยแต่ละPhase ของ SDLC สามารถนำมาปรับใช้กับการดำเนินโครงการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้เรียกว่า Security Systems Development Life Cycle : SecSDLC
-บางองค์กร สามารถใช้วิธีการจัดการความเสี่ยง Risk Management เป็นกระบวนการหลักในการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้
-การสำรวจ Investigation เริ่มจากได้รับคำสั่งจากผู้บริการระดับสูงให้ดำเนินการพัฒนาระบบความมั่นคงปลอดภัย โดยมีการกำหนดเป้าหมาย กระบวนการ ผลลัพธ์ที่ต้องการ บุคลากร งบประมาณ และระยะเวลายังมีการกำหนด นโยบายความมั่น คงปลอดภัยในระดับองค์กรมาพร้อมกันด้วย
-ทีมงานที่รับผิดชอบจะนำรายละเอียดทำการสำรวจ เพื่อนำมาวิเคราะห์ปัญหากำหนดขอบเขต เป้าหมายและวัตถุประสงค์ของโครงการ
-การวิเคราะห์ Analysis เป็นเฟสที่ทีมงานจะได้นำเอกสารมาทำการศึกษาเพิ่มเติมศึกษาถึงภัยคุกคาม และวิธีป้องกันรวมถึง กฎหมายสิทธิส่วนบุคคล การจัดการความเสี่ยง (ระบุความเสี่ยง)
-ประเมินหาความเสี่ยงที่มีผลกระทบในระดับร้ายแรง พร้อมกับเตรียมป้องกันไม่ให้เกิดความเสี่ยงต่างๆ ได้อีก
-การออกแบบระดับตรรกะ Logical Design เป็นเฟสที่ต้องจัดทำโครงร่างของระบบความมั่นคงปลอดภัยของสารสนเทศ ตรวจสอบและจัดทำนโยบายหลักที่จะนำไปใช้
-การออกแบบระดับกายภาพ Physical Design เป็นเฟสการกำหนดเทคโนโลยีสารสนเทศที่จะนำมาสนับสนุนโครงร่างระบบความมั่นคงปลอดภัยที่ได้ออกแบบไว้ในเฟสที่ผ่านมามีการประเมิน เทคโนโลยีพร้อมกับสร้างทางเลือกของเทคโนโลยีที่จะนำมาใช้
-การพัฒนา Implementation ดำเนินงานพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศที่ได้ออกแบบไว้ให้เกิดขึ้นจริง และทำการทดสอบจนกว่าจะไม่พบข้อผิดพลาด
-การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change การติดตามทดสอบแก้ไขขและซ่อมบำรุงอยู่ตลอดเวลาควรมีการอัพเดทภัยคุกคาม รายละเอียดให้ทันสมัยอยู่อย่างสม่ำเสมอ
บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย
1.ผู้บริการระดับสูงSenior Manager
1.1. ผู้บริหารสารสนเทศระดับสงchief Information Officer : CIO มีหน้าที่ให้คำแนะนำและแสดงความคิดเห็นแก่ผู้บริหารระดับสูง
1.2. ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสูง Chief Information Security Officer : CISO ทำหน้าที่ในการประเมิน จัดการ และพัฒนาระบบความมั่นคง ปลอดภัยของสารสนเทศในองค์กรโดยเฉพาะ
2.ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Project Team)
-ทีมงานดำเนินโครงการควรเป็นผู้ที่มีความรู้ ความสามารถในด้าน เทคโนโลยีอย่างลึกซึ่ง และควรจะมีความรู้ในด้านอื่นๆที่เกี่ยวข้องควบคู่ไปด้วย
ทีมงานดำเนินโครงการประกอบไปด้วย
-นักพัฒนานโยบายความมั่นคงปลอดภัย Security Policy Development
-ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist
-ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ Security Professional
-ผู้ดูแลระบบ System Administrator
3.การเป็นเจ้าของข้อมูล Data Ownership ประกอบด้วย
3.1 เจ้าของข้อมูล Data Owners ผู้มีสิทธิในการใช้ข้อมูลและมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลด้วย
3.2 ผู้ดูแลข้อมูล Data Custodians เป็นผู้ที่ต้องทำงานร่วมกับ Data Owners โดยตรงทำหน้าที่จัดเก็บและบำรุงรักษาข้อมูล
3.3 ผู้ใช้ข้อมูล Data Users เป็นผู้ที่ทำงานกับข้อมูลโดยตรง
-ความมั่นคงปลอดภัยของสารสนเทศ Information Security : IS คือการป้องกันสารสนเทศและองค์ประกอบ อื่น ๆ ที่เกี่ยวข้อง