หลักการด้าน Security CIA มีอะไรบ้าง

-ภัยคุกคามที่เพิ่มมากขึ่นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให ้สารสนเทศส่วน

สารบัญ Show

CIA Security คืออะไร
Confidentiality มีอะไรบ้าง
Security Goal มีอะไรบ้าง
C.i.a Triangle ประกอบด้วยอะไรบ้างและมีแนวคิดอื่นเพิ่มเติมหรือไม่อะไรบ้าง

บุคคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก

-ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน

-สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศน้ันถูกนำไปเปลื่ยนแปลงปลอมปนด้วยสารสนเทศอนื่ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง

-ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนำมาเพื่อปลอมปนข้อมูลที่กาลัง เคลื่อนย้ายไปมาในเคือข่าย

ความพร้อมใช้ Availability

-ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่น โดยผู้ใช้ หรือระบบอนื่ ที่ได้รับอนุญาตเท่าน้ัน

-หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด

ความถูกต้องแม่นยำ Accuracy

-ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอ

-เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความต้ังใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

ความเป็นของแท้ Authenticity

-สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้าโดยแหล่งนื่่ที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่ได้คุ้นเคยและไม่เคยทราบมาก่อน

-ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และ จัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น

-มิฉะน้ันจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ

แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตาม มาตรฐาน NSTISSC

-NSTISSC (Nation Security Telecommunications and Information Systems Security)

-คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบ สารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่ง ได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ

-สิ่งสำคัญในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ นั้น นอกจากจะมีความคิดหลักในด้านต่างๆ แล้ว ยังรวมถึงการ กำหนดนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่ จะนำมาใช ้ เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการ จัดการความมั่นคงปลอดภัยของสารสนเทศด้วย

องค์ประกอบของระบบสารสนเทศ กับ ความมั่นคงปลอดภัย

1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว

2. Hardware จะใช้นโยบายเดียวกับสินทรัพยที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์

3. Data ข้อมูล/สารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน

4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้จึงได้มีการศึกษากนัอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างเข้าสู่ระบบได ้

5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่องค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้

6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่าง คอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร ์โดยเฉพาะการเชื่อมต่อ ระบบสารสนเทศเข้า กับ เครือข่ายอินเตอร์ เน็ต

อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ

-ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูน์ ตัวผู้ใช้

-มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service ที่เหล่านี้จะทราบในแวดวงของ Programmer หรือผู้ดูแลระบบ

-การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยภายหลัง

-แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่ การป้องกัน

-มีการเข้าถึงข้อมูลได้จากทุกสถานที่

-ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียง อย่างเดียว

-มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ)

-ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย

แนวทางในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ

-Bottom - Up Approach เป็นแนวทางที่ผู้ดูแลระบบหรือเจ้าหน้าที่ ที่รับผิดชอบ ด้านความมั่นคงปลอดภัยโดยตรง เป็นผู้ริเริ่มหรือกำหนดมาตรการรักษาความปลอดภัยขึ้นมาระหว่างการพัฒนาระบบ

-ข้อดี คือ เจ้าหน้าที่จะสามารถดูแลงานด้วยตนเองในทุก ๆ วัน และใช้ความรู้ ความสามารถ ความเชี่ยวชาญที่มีการปรับปรุงกลไกควบคุมความปลอดภัยให้มี ประสิทธิภาพอย่างเต็มที่

-ข้อเสีย แนวทางนี้โดยทั่วไปมักจะทำให้การดำเนินงานความมั่นคงปลอดภัยของ สารสนเทศไม่ประสบผลสำเร็จเนื่องจากขาดปัจจัยความสำเร็จ เช่น ขาดการสนับสนุนจากผู้เกี่ยวข้อง หรือขาดอำนาจหน้าที่ในการสั่งการ

-Top - down Approach การดำเนินงานความมั่นคงปลอดภัยจะเริ่มต้น โดยผู้บริหารหรือผู้มีอำนาจหน้าที่โดยตรง ซึ่งสามารถ บังคับใช้นโยบาย บุคลากรที่รับผิดชอบ

-ข้อดี ขั้นตอนกระบวนการมั่นคงได้อย่างเต็มที่เนื่องจากได้รับการสนับสนุนจากผู้ที่เกี่ยวข้องเป็นอย่างดี มี การวางแผน กำหนด เป้าหมายและกระบวนการทำงานอย่างชัดเจนและเป็นทางการ

วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ

-วงจรการพัฒนาระบบ System Development life Cycle: SDLC โดยแต่ละPhase ของ SDLC สามารถนำมาปรับใช้กับการดำเนินโครงการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้เรียกว่า Security Systems Development Life Cycle : SecSDLC

-บางองค์กร สามารถใช้วิธีการจัดการความเสี่ยง Risk Management เป็นกระบวนการหลักในการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้

-การสำรวจ Investigation เริ่มจากได้รับคำสั่งจากผู้บริการระดับสูงให้ดำเนินการพัฒนาระบบความมั่นคงปลอดภัย โดยมีการกำหนดเป้าหมาย กระบวนการ ผลลัพธ์ที่ต้องการ บุคลากร งบประมาณ และระยะเวลายังมีการกำหนด นโยบายความมั่น คงปลอดภัยในระดับองค์กรมาพร้อมกันด้วย

-ทีมงานที่รับผิดชอบจะนำรายละเอียดทำการสำรวจ เพื่อนำมาวิเคราะห์ปัญหากำหนดขอบเขต เป้าหมายและวัตถุประสงค์ของโครงการ

-การวิเคราะห์ Analysis เป็นเฟสที่ทีมงานจะได้นำเอกสารมาทำการศึกษาเพิ่มเติมศึกษาถึงภัยคุกคาม และวิธีป้องกันรวมถึง กฎหมายสิทธิส่วนบุคคล การจัดการความเสี่ยง (ระบุความเสี่ยง)

-ประเมินหาความเสี่ยงที่มีผลกระทบในระดับร้ายแรง พร้อมกับเตรียมป้องกันไม่ให้เกิดความเสี่ยงต่างๆ ได้อีก

-การออกแบบระดับตรรกะ Logical Design เป็นเฟสที่ต้องจัดทำโครงร่างของระบบความมั่นคงปลอดภัยของสารสนเทศ ตรวจสอบและจัดทำนโยบายหลักที่จะนำไปใช้

-การออกแบบระดับกายภาพ Physical Design เป็นเฟสการกำหนดเทคโนโลยีสารสนเทศที่จะนำมาสนับสนุนโครงร่างระบบความมั่นคงปลอดภัยที่ได้ออกแบบไว้ในเฟสที่ผ่านมามีการประเมิน เทคโนโลยีพร้อมกับสร้างทางเลือกของเทคโนโลยีที่จะนำมาใช้

-การพัฒนา Implementation ดำเนินงานพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศที่ได้ออกแบบไว้ให้เกิดขึ้นจริง และทำการทดสอบจนกว่าจะไม่พบข้อผิดพลาด

-การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change การติดตามทดสอบแก้ไขขและซ่อมบำรุงอยู่ตลอดเวลาควรมีการอัพเดทภัยคุกคาม รายละเอียดให้ทันสมัยอยู่อย่างสม่ำเสมอ

บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย

1.ผู้บริการระดับสูงSenior Manager

1.1. ผู้บริหารสารสนเทศระดับสงchief Information Officer : CIO มีหน้าที่ให้คำแนะนำและแสดงความคิดเห็นแก่ผู้บริหารระดับสูง

1.2. ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสูง Chief Information Security Officer : CISO ทำหน้าที่ในการประเมิน จัดการ และพัฒนาระบบความมั่นคง ปลอดภัยของสารสนเทศในองค์กรโดยเฉพาะ

2.ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Project Team)

-ทีมงานดำเนินโครงการควรเป็นผู้ที่มีความรู้ ความสามารถในด้าน เทคโนโลยีอย่างลึกซึ่ง และควรจะมีความรู้ในด้านอื่นๆที่เกี่ยวข้องควบคู่ไปด้วย

ทีมงานดำเนินโครงการประกอบไปด้วย

-นักพัฒนานโยบายความมั่นคงปลอดภัย Security Policy Development

-ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist

-ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ Security Professional

-ผู้ดูแลระบบ System Administrator

3.การเป็นเจ้าของข้อมูล Data Ownership ประกอบด้วย

3.1 เจ้าของข้อมูล Data Owners ผู้มีสิทธิในการใช้ข้อมูลและมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลด้วย

3.2 ผู้ดูแลข้อมูล Data Custodians เป็นผู้ที่ต้องทำงานร่วมกับ Data Owners โดยตรงทำหน้าที่จัดเก็บและบำรุงรักษาข้อมูล

3.3 ผู้ใช้ข้อมูล Data Users เป็นผู้ที่ทำงานกับข้อมูลโดยตรง

-ความมั่นคงปลอดภัยของสารสนเทศ Information Security : IS คือการป้องกันสารสนเทศและองค์ประกอบ อื่น ๆ ที่เกี่ยวข้อง

CIA Security คืออะไร

ส่วนประกอบหนึ่งของ INFOSEC (Information Security) ซึ่งมากจากคำว่า Confidentiality (การรักษาความลับของข้อมูล) Integrity (ความแท้จริงของข้อมูล) และ Availability (การใช้งานได้ของระบบ) ซึ่งเป็นส่งที่ Security Professional ต้องรู้และสามารถอธิบายได้

Confidentiality มีอะไรบ้าง

Confidentiality หมายถึง ความสามารถในการรักษาความลับของระบบ การควบคุมการเข้าถึงข้อมูลเพื่อไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงความลับใดๆ เช่น หากเรามีการเก็บข้อมูลส่วนบุคคลไว้ เช่น เลขบัตรประชาชน เบอร์โทร โรคประจำตัว หน้าที่ของระบบคือการจัดการความปลอดภัยไม่ให้คนที่ไม่มีสิทธิเข้ามาดูข้อมูลของเราไปได้

Security Goal มีอะไรบ้าง

Security Goal : (CIA) รักษาบูรณภาพ (Integrity) เน้นที่ตัวข้อมูล  ผู้ที่มีสิทธิเท่านั้นที่เปลี่ยนแปลงแก้ไขได้ การป้องกัน (Prevention) สามารถใช้การพิสูจน์ตัวตน (Authentication) และการควบคุมการเข้าถึง (Access Control) ในการป้องกันผู้ไม่มีสิทธิมาแก้ไขตัวข้อมูลได้