แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ มีอะไรบ้าง

·              ความมั่นคงปลอดภัยของสารสนเทศ (Information Security) คือ การป้องกันสารสนเทศและองค์ประกอบอื่นๆที่เกี่ยวข้อง ซึ่งรวมถึงระบบฮาร์แวร์ที่ใฃ้ในการจัดเก็บและโอนสารสนเทศนั้นด้วย

แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ

·              กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดแนวคิดขึ้นเรียกว่าC.I.A.Triangle ดังนี้

·              ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ

1.                         ความลับ (Confidentiality)

2.                         ความถุกต้อง ความสมบูรณ์  (Integrity)

3.                         ความพร้อมใช้  (Availability)

·              ทรัพย์สิน (Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้ง 3 อย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์ อุปกรณ์เครือข่าย หรือทรัพย์สินที่จับต้องไม่ได้ เช่น  ข้อมูล เป็นต้น

ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล  อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ  เช่น ความมั่นคงปลอดภัยของประเทศ ย่อมเกิดขึ้นโดยมีระบบป้องกันหลายระดับ เพื่อปกป้องผู้นำประเทศ ทรัพย์สิน ทรัพยากร และประชาชนของประเทศ

ความมั่นคงปลอดภัยขององค์กร

• ความมั่นคงปลอดภัยทางกายภาย Physical Security
• ความมั่นคงปลอดภัยส่วนบุคคล Personal Security
• ความมั่นคงปลอดภัยในการปฏิบัติงาน Operations Security
• ความมั่นคงปลอดภัยในการติดต่อสื่อสาร Communication Security
• ความมั่นคงปลอดภัยของเครือข่าย Network Security
• ความมั่นคงปลอดภัยของสารสนเทศ Information Security

ความมั่นคงปลอดภัยของสารสนเทศ  (Information Security)

ความมั่นคงปลอดภัยของสารสนเทศ  คือ  การป้องกันสารสนเทศและองค์ประกอบอื่นที่เกี่ยวข้อง

        การรักษาความปลอดภัยทางข้อมูล  Information Security คือ ผลที่เกิดขึ้นจาการใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ  ควบคุม และป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต

แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ

กลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์  ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้นประกอบด้วย

1. ความลับ Confidentiality

• เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้
• องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น  การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล   กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
• ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน  มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง ๆ  โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก

2.ความสมบูรณ์ Integrity

• ความสมบูรณ์  คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
• สารสนเทศจะขาดความสมบูรณ์  ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง

3.ความพร้อมใช้ Availability

• ความพร้อมใช้  หมายถึง  สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
• หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลงในที่สุด

4.ความถูกต้องแม่นยำ Accuracy

• ความถูกต้องแม่นยำ หมายถึง  สารสนเทศต้องไม่มีความผิดพลาด  และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
• เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้  ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”

5.เป็นของแท้ Authenticity

• สารสนเทศที่เป็นของแท้  คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง  ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน

6.ความเป็นส่วนตัว Privacy

• ความเป็นส่วนตัว  คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
• มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ

   แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตาม  มาตรฐานNSTISSC

    NSTISSC (Nation Security Telecommunications and
Information Systems Security

            คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบ

สารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่งได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ

สิ่งสำคัญในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศนั้น นอกจากจะมีความคิดหลักในด้านต่างๆ แล้วยังรวมถึงการกำหนดนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่จะนำมาใช้เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการจัดการความมั่นคงปลอดภัยของสารสนเทศด้วย

ข้อใดคือแนวคิดหลักของความมั่นคงปลอดภัยสารสนเทศ

หลักของ Security มีอะไรบ้าง

เป้าหมายหลักของการรักษาความมั่นคงปลอดภัย คือข้อใด

ความมั่นคงทางเทคโนโลยีสารสนเทศหมายถึงข้อใด