-ภัยคุกคามที่เพิ่มมากขึ่นในปัจจุบันมี สาเหตุมาจากความก้าวหน้า ทางเทคโนโลยีประกอบกับ ความต้องการความสะดวกสบายในการสั่งซื่อสินค้าของลูกค้า โดยการยอมให ้สารสนเทศส่วน Show บุคคคลแก่ website เพื่อสิทธิ์ สนการทา ธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์ เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก -ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน -สารสนเทศจะขาดความสมบูรณ์ก็ต่อเมื่อสารสนเทศน้ันถูกนำไปเปลื่ยนแปลงปลอมปนด้วยสารสนเทศอนื่ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง -ภัยคุกคามสำคัญที่มีต่อความสมบูรณ์ของสารสนเทศ คือ ไวรัส และ เวิร์ม เนื่องจากถูกพัฒนำมาเพื่อปลอมปนข้อมูลที่กาลัง เคลื่อนย้ายไปมาในเคือข่าย ความพร้อมใช้ Availability -ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งาน ได้อย่างราบรื่น โดยผู้ใช้ หรือระบบอนื่ ที่ได้รับอนุญาตเท่าน้ัน -หากเป็นผู้ใช้ หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลวในที่สุด ความถูกต้องแม่นยำ Accuracy -ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาดและต้องมีค่าตรงกับความคาดหวัง ของผู้ใช้เสมอ -เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของ ผู้ใช้ไม่ว่าจะเกิดจากการแก้ไขด้วยความต้ังใจหรือไม่ก็ตามเมื่อ นั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ” ความเป็นของแท้ Authenticity -สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้าโดยแหล่งนื่่ที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่ได้คุ้นเคยและไม่เคยทราบมาก่อน -ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวมเรียกใช้ และ จัดเก็บโดยองค์กรจะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเจ้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น -มิฉะน้ันจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตาม มาตรฐาน NSTISSC -NSTISSC (Nation Security Telecommunications and Information Systems Security) -คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบ สารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่ง ได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ -สิ่งสำคัญในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ นั้น นอกจากจะมีความคิดหลักในด้านต่างๆ แล้ว ยังรวมถึงการ กำหนดนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่ จะนำมาใช ้ เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการ จัดการความมั่นคงปลอดภัยของสารสนเทศด้วย องค์ประกอบของระบบสารสนเทศ กับ ความมั่นคงปลอดภัย 1. Software ย่อมต้องอยู่ภายใต้เงื่อนไขของการบริหารโครงการ ภายใต้เวลาต้นทุน และกำลังคนที่จำกัดซึ่งมักจะทำภายหลังจากการพัฒนาซอฟต์แวร์เสร็จแล้ว 2. Hardware จะใช้นโยบายเดียวกับสินทรัพยที่จับต้องได้ขององค์กร คือการป้องกันจากการลักขโมยหรือภัยอันตรายต่าง ๆ รวมถึงการจัดสถานที่ ที่ปลอดภัยให้กับอุปกรณ์ หรือฮาร์ดแวร์ 3. Data ข้อมูล/สารสนเทศเป็นทรัพยากรที่มีค่าขององค์กรการ ป้องกันที่แน่นหนาก็ มี ความจำ เป็นสำหรับข้อมูลที่เป็นความลับซึ่งต้องอาศัยนโยบายความปลอดภัย และกลไกป้องกัน ที่ดี ควบคู่กัน 4. People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้ามมาก ที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็ เป็น จุดอ่อนต่อการโจมตีได้จึงได้มีการศึกษากนัอย่างจริงจัง เรียกว่า Social Engineering ซึ่งเป็นการป้องการการหลอกลวงบุคลากร เพื่อเปิดเผยข้อมูลบางอย่างเข้าสู่ระบบได ้ 5. Procedure ขั้นตอนการทำงานเป็นอีกหนึ่องค์ประกอบที่ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทำงาน ก็จะสามารถ ค้นหาจุดอ่อนเพื่อกระทำการอันก่อให้เกิดความเสียหายต่อ องค์กรและลูกค้าขององค์กรได้ 6. Network เครือข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่าง คอมพิวเตอร์ และระหว่างเครือข่ายคอมพิวเตอร์ ทำให้ เกิดอาชญากรรมและภัยคุกคามคอมพิวเตอร ์โดยเฉพาะการเชื่อมต่อ ระบบสารสนเทศเข้า กับ เครือข่ายอินเตอร์ เน็ต อุปสรรคของงานความมันคงปลอดภัยของสารสนเทศ -ความมั่นคงปลอดภัย คือ ความไม่สะดวก เนื่องจากต้องเสียเวลาในการ ป้อน password และกระบวนการอื่นๆในการพิสูน์ ตัวผู้ใช้ -มีความซับซ้อนบางอย่างในคอมพิวเตอร์ ที่ผู้ใช้ทั่วไปไม่ทราบ เช่น Registry , Port, Service ที่เหล่านี้จะทราบในแวดวงของ Programmer หรือผู้ดูแลระบบ -การพัฒนาซอฟต์แวร์ไม่คำนึงถึงความปลอดภัยภายหลัง -แนวโน้มเทคโนโลยีสารสนเทศคือการแบ่งปัน ไม่ใช่ การป้องกัน -มีการเข้าถึงข้อมูลได้จากทุกสถานที่ -ความมั่นคงปลอดภัยไม่ได้เกิดขึ้นที่ซอฟแวร์และฮาร์ดแวร์เพียง อย่างเดียว -มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้อมูลของผู้อื่นมากเป็นพิเศษ) -ฝ่ายบริหารมักจะไม่ให้ความสำคัญแก่ความมั่นคงปลอดภัย แนวทางในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศ -Bottom - Up Approach เป็นแนวทางที่ผู้ดูแลระบบหรือเจ้าหน้าที่ ที่รับผิดชอบ ด้านความมั่นคงปลอดภัยโดยตรง เป็นผู้ริเริ่มหรือกำหนดมาตรการรักษาความปลอดภัยขึ้นมาระหว่างการพัฒนาระบบ -ข้อดี คือ เจ้าหน้าที่จะสามารถดูแลงานด้วยตนเองในทุก ๆ วัน และใช้ความรู้ ความสามารถ ความเชี่ยวชาญที่มีการปรับปรุงกลไกควบคุมความปลอดภัยให้มี ประสิทธิภาพอย่างเต็มที่ -ข้อเสีย แนวทางนี้โดยทั่วไปมักจะทำให้การดำเนินงานความมั่นคงปลอดภัยของ สารสนเทศไม่ประสบผลสำเร็จเนื่องจากขาดปัจจัยความสำเร็จ เช่น ขาดการสนับสนุนจากผู้เกี่ยวข้อง หรือขาดอำนาจหน้าที่ในการสั่งการ -Top - down Approach การดำเนินงานความมั่นคงปลอดภัยจะเริ่มต้น โดยผู้บริหารหรือผู้มีอำนาจหน้าที่โดยตรง ซึ่งสามารถ บังคับใช้นโยบาย บุคลากรที่รับผิดชอบ -ข้อดี ขั้นตอนกระบวนการมั่นคงได้อย่างเต็มที่เนื่องจากได้รับการสนับสนุนจากผู้ที่เกี่ยวข้องเป็นอย่างดี มี การวางแผน กำหนด เป้าหมายและกระบวนการทำงานอย่างชัดเจนและเป็นทางการ วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ -วงจรการพัฒนาระบบ System Development life Cycle: SDLC โดยแต่ละPhase ของ SDLC สามารถนำมาปรับใช้กับการดำเนินโครงการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้เรียกว่า Security Systems Development Life Cycle : SecSDLC -บางองค์กร สามารถใช้วิธีการจัดการความเสี่ยง Risk Management เป็นกระบวนการหลักในการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศได้ -การสำรวจ Investigation เริ่มจากได้รับคำสั่งจากผู้บริการระดับสูงให้ดำเนินการพัฒนาระบบความมั่นคงปลอดภัย โดยมีการกำหนดเป้าหมาย กระบวนการ ผลลัพธ์ที่ต้องการ บุคลากร งบประมาณ และระยะเวลายังมีการกำหนด นโยบายความมั่น คงปลอดภัยในระดับองค์กรมาพร้อมกันด้วย -ทีมงานที่รับผิดชอบจะนำรายละเอียดทำการสำรวจ เพื่อนำมาวิเคราะห์ปัญหากำหนดขอบเขต เป้าหมายและวัตถุประสงค์ของโครงการ -การวิเคราะห์ Analysis เป็นเฟสที่ทีมงานจะได้นำเอกสารมาทำการศึกษาเพิ่มเติมศึกษาถึงภัยคุกคาม และวิธีป้องกันรวมถึง กฎหมายสิทธิส่วนบุคคล การจัดการความเสี่ยง (ระบุความเสี่ยง) -ประเมินหาความเสี่ยงที่มีผลกระทบในระดับร้ายแรง พร้อมกับเตรียมป้องกันไม่ให้เกิดความเสี่ยงต่างๆ ได้อีก -การออกแบบระดับตรรกะ Logical Design เป็นเฟสที่ต้องจัดทำโครงร่างของระบบความมั่นคงปลอดภัยของสารสนเทศ ตรวจสอบและจัดทำนโยบายหลักที่จะนำไปใช้ -การออกแบบระดับกายภาพ Physical Design เป็นเฟสการกำหนดเทคโนโลยีสารสนเทศที่จะนำมาสนับสนุนโครงร่างระบบความมั่นคงปลอดภัยที่ได้ออกแบบไว้ในเฟสที่ผ่านมามีการประเมิน เทคโนโลยีพร้อมกับสร้างทางเลือกของเทคโนโลยีที่จะนำมาใช้ -การพัฒนา Implementation ดำเนินงานพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศที่ได้ออกแบบไว้ให้เกิดขึ้นจริง และทำการทดสอบจนกว่าจะไม่พบข้อผิดพลาด -การบำรุงรักษาและเปลี่ยนแปลง Maintenance and Change การติดตามทดสอบแก้ไขขและซ่อมบำรุงอยู่ตลอดเวลาควรมีการอัพเดทภัยคุกคาม รายละเอียดให้ทันสมัยอยู่อย่างสม่ำเสมอ บทบาทของบุคลากรสารสนเทศในด้านความมั่นคงปลอดภัย 1.ผู้บริการระดับสูงSenior Manager 1.1. ผู้บริหารสารสนเทศระดับสงchief Information Officer : CIO มีหน้าที่ให้คำแนะนำและแสดงความคิดเห็นแก่ผู้บริหารระดับสูง 1.2. ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสูง Chief Information Security Officer : CISO ทำหน้าที่ในการประเมิน จัดการ และพัฒนาระบบความมั่นคง ปลอดภัยของสารสนเทศในองค์กรโดยเฉพาะ 2.ทีมงานดำเนินโครงการความมั่นคงปลอดภัยของสารสนเทศ (Information Security Project Team) -ทีมงานดำเนินโครงการควรเป็นผู้ที่มีความรู้ ความสามารถในด้าน เทคโนโลยีอย่างลึกซึ่ง และควรจะมีความรู้ในด้านอื่นๆที่เกี่ยวข้องควบคู่ไปด้วย ทีมงานดำเนินโครงการประกอบไปด้วย -นักพัฒนานโยบายความมั่นคงปลอดภัย Security Policy Development -ผู้ชำนาญการประเมินความเสี่ยง Risk Assessment Specialist -ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของสารสนเทศ Security Professional -ผู้ดูแลระบบ System Administrator 3.การเป็นเจ้าของข้อมูล Data Ownership ประกอบด้วย 3.1 เจ้าของข้อมูล Data Owners ผู้มีสิทธิในการใช้ข้อมูลและมีหน้าที่ในการรักษาความมั่นคงปลอดภัยของข้อมูลด้วย 3.2 ผู้ดูแลข้อมูล Data Custodians เป็นผู้ที่ต้องทำงานร่วมกับ Data Owners โดยตรงทำหน้าที่จัดเก็บและบำรุงรักษาข้อมูล 3.3 ผู้ใช้ข้อมูล Data Users เป็นผู้ที่ทำงานกับข้อมูลโดยตรง -ความมั่นคงปลอดภัยของสารสนเทศ Information Security : IS คือการป้องกันสารสนเทศและองค์ประกอบ อื่น ๆ ที่เกี่ยวข้อง CIA Security คืออะไรส่วนประกอบหนึ่งของ INFOSEC (Information Security) ซึ่งมากจากคำว่า Confidentiality (การรักษาความลับของข้อมูล) Integrity (ความแท้จริงของข้อมูล) และ Availability (การใช้งานได้ของระบบ) ซึ่งเป็นส่งที่ Security Professional ต้องรู้และสามารถอธิบายได้
Confidentiality มีอะไรบ้างConfidentiality หมายถึง ความสามารถในการรักษาความลับของระบบ การควบคุมการเข้าถึงข้อมูลเพื่อไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงความลับใดๆ เช่น หากเรามีการเก็บข้อมูลส่วนบุคคลไว้ เช่น เลขบัตรประชาชน เบอร์โทร โรคประจำตัว หน้าที่ของระบบคือการจัดการความปลอดภัยไม่ให้คนที่ไม่มีสิทธิเข้ามาดูข้อมูลของเราไปได้
Security Goal มีอะไรบ้างSecurity Goal : (CIA)
รักษาบูรณภาพ (Integrity) เน้นที่ตัวข้อมูล ผู้ที่มีสิทธิเท่านั้นที่เปลี่ยนแปลงแก้ไขได้ การป้องกัน (Prevention) สามารถใช้การพิสูจน์ตัวตน (Authentication) และการควบคุมการเข้าถึง (Access Control) ในการป้องกันผู้ไม่มีสิทธิมาแก้ไขตัวข้อมูลได้
C.i.a Triangle ประกอบด้วยอะไรบ้างและมีแนวคิดอื่นเพิ่มเติมหรือไม่อะไรบ้างแนวคิด C.I.A Triangle ประกอบไปด้วย -ความลับ Confidentiality. -ความสมบูรณ์ Integrity.. การจัดประเภทของสารสนเทศ. การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล. กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้. ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้. |