องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ
Posted by pryn on วันเสาร์ที่ 10 สิงหาคม พ.ศ. 2556 0
ความมั่นคงปลอดภัยของสารสนเทศนั้นมีองค์ประกอบด้วยกัน 3 ประการ คือ ความลับ (Confidentiality) ความถูกต้องสมบูรณ์( Integrity) และความพร้อมใช้งาน (Availability)
ทรัพย์สิน(Asset) ที่มีความมั่นคงปลอดภัยนั้นต้องประกอบด้วยองค์ประกอบทั้งสามอย่างครบถ้วน ไม่ว่าทรัพย์สินนั้นจะเป็นสิ่งที่จับต้องได้ เช่น เครื่องคอมพิวเตอร์ อุปกรณ์เครือข่าย หรือทรัพย์สินที่จับต้องไม่ได้ เช่น ข้อมูล เป็นต้น
- ความลับ (Confidentiality)
การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของสารสนเทศ หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ ภาคธุรกิจให้ความสำคัญกับการรักษาความลับทางธุรกิจ ประชาชนทั่วไปก็ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน
ข่าวการละเมิดมาตรการป้องกันของระบบคอมพิวเตอร์เข้าไปเจาะระบบทั้งในประเทศและต่างประเทศ แสดงให้เห็นว่ามาตรการที่มีอยู่ยังมีจุดอ่อนที่ ผู้ไม่ประสงค์ดีที่มีความรู้บุกรุกผ่านช่องโหว่ดังกล่าว แรงจูงใจของการกระทำการดังกล่าวมีหลายเหตุปัจจัย เช่น ทำเพื่อเงิน เพื่อสร้างชื่อเสียง การยอมรับในกลุ่ม และทำไปด้วยความคึกคะนอง ปฏิเสธไม่ได้ว่าแฮกเกอร์ที่สามารถเจาะทะลุระบบรักษาความปลอดภัยของหน่วยงานสำคัญระดับประเทศ จะกลายเป็นฮีโร่ในสายตาของแฮกเกอร์มือใหม่ทั่วโลก
ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้ กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือการใช้รหัสผ่าน(Password) ในการพิสูจน์ตัวตนและสิทธิที่ได้รับอนุญาต
นอกจากมาตรการตรวจสอบสิทธิแล้วการกำหนดชั้นความลับเป็นระดับต่างๆ ตามความสำคัญช่วยให้บริหารจัดการมีประสิทธิภาพมากขึ้น ในบางหน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วย ระดับชั้นความลับสุดยอด (Top Secret) ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้นสารธารณะ(Public) ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าสารสนเทศลักษณะใดอยู่ในชั้นความลับที่กำหนด พร้อมทั้งกำหนดแนวทางการ การระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่างชัดเจน มาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริมความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด
- ความถูกต้องสมบูรณ์ (Integrity)
การปกป้องสารสนเทศให้มีความถูกต้องสมบูรณ์ (Integrity) เป็นสิ่งสำคัญส่งผลถึงความน่าเชื่อถือของสารสนเทศนั้นๆ ทำอย่างไรให้ข้อมูลมีความถูกต้องและน่าเชื่อถือเป็นสิ่งที่ผู้ดูแลระบบต้องหาคำตอบและดำเนินการให้เกิดขึ้น คำตอบในเชิงหลักการคือระบบต้องมีกลไกการตรวจสอบสิทธิหรือการได้รับอนุญาตให้ดำเนินการเปลี่ยนแปลงแก้ไขหรือกระทำการใดๆ ต่อข้อมูลนั้น
ยิ่งเทคโนโลยีสารสนเทศพัฒนาก้าวหน้าไปมากเท่าไร มนุษย์ก็ยิ่งจำเป็นต้องพึงพาเทคโนโลยีมากขึ้นตามไปด้วย บัตรประชาชนอัจฉริยะเป็นตัวอย่างใกล้ตัวเราที่ชี้ให้เห็นว่า ประชาชนทุกคนไม่ว่าจะยากดีมีจนอย่างไร ก็ต้องเกี่ยวข้องกับเทคโนโลยีสารสนเทศอย่างเลี่ยงไม่ได้ อย่างน้อยข้อมูลส่วนตัวของเราก็ถูกจัดเก็บในฐานข้อมูลของรัฐบาล ลองนึกดูว่าจะเกิดอะไรขึ้นหากชื่อของนาย ก. ถูกลบออกจากบัญชีทะเบียนราษฎร์ นั่นหมายถึง นาย ก. ไม่มีตัวตนและไม่สามารถใช้สิทธิของประชาชนในการรับบริการรัฐได้ จะเห็นได้ว่าข้อมูลนี้มีความสำคัญมากเพราะเป็นหลักฐานในการพิสูจน์ตัวตนของเรา หากมองในแง่ความมั่นคงปลอดภัยของสารสนเทศแล้ว ข้อมูลนี้จำเป็นต้องได้รับการปกป้องดูแลความถูกต้องสมบูรณ์และความน่าเชื่อถือ หากข้อมูลถูกเปลี่ยนแปลงโดยผู้ไม่ประสงค์ดีย่อมส่งผลเสียต่อเจ้าของข้อมูลอย่างหลีกเลี่ยงไม่ได้
- ความพร้อมใช้งาน (Availability)
การทำให้ระบบตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิเข้าถึงระบบได้เมื่อต้องการ อุปสรรคที่บั่นทอนความพร้อมใช้งานของระบบคอมพิวเตอร์จำแนกได้ 2 แบบ คือ
- การที่ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ (Denial of Service)
- ระบบคอมพิวเตอร์ทำงานด้อยประสิทธิภาพในการทำงาน (Loss of data processing capability)
ระบบคอมพิวเตอร์ปฏิเสธการให้บริการ อาจเกิดจากการกระทำของผู้ใช้ระบบ ผู้บุกรุกที่มีเจตนาร้าย หรือเกิดจากภัยธรรมชาติ เช่น น้ำท่วม ไฟไหม้ แผ่นดินไหวทำให้ระบบคอมพิวเตอร์เสียหายก็เป็นได้ องค์กรที่ตระหนักถึงภัยคุกคามดังกล่าวอาจเตรียมแผนกู้คืนจากความเสียหาย (Disaster Recovery Plan)ไว้รองรับ หน่วยงานรัฐที่ให้บริการสารธารณะต่างใช้ระบบคอมพิวเตอร์ควบคุมการทำงาน เช่นไฟฟ้า ประปา โทรศัพท์ เป็นต้น หากคอมพิวเตอร์ที่ควบคุมระบบเหล่านี้เกิดความเสียหายไม่สามารถให้บริการได้ ทำให้บริการต่างๆ หยุดชะงักย่อมส่งผลเสียต่อประชาชนในวงกว้าง นอกจากนี้หากไฟฟ้าดับเป็นเวลานาน ระบบต่างๆ จะเกิดความเสียหายอย่างใหญ่หลวง ตัวอย่างจริงที่เคยเกิดขึ้นในต่างประเทศ เมื่อหลายปีก่อนระบบคอมพิวเตอร์ของศูนย์กระจายสินค้าเกิดความเสียหาย ไม่สามารถจ่ายกระแสไฟฟ้าไปยังคอนเทนเนอร์ที่ติดตั้งระบบทำความเย็นเป็นเวลาหลายวัน ส่งผลให้สินค้าในตู้คอนเทนเนอร์ดังกล่าวเสียหายทั้งหมด นอกจากนี้ยังทำให้ลูกค้าขอยกเลิกสัญญาเนื่องจากไม่ไว้วางใจในการบริการ เกิดความสูญเสียมูลค่ามหาศาล
ผู้เขียน : Pryn Sereepong, CISA, CEH,
ISMS(IRCA)
About the Author
Write admin description here..
Get Updates
Subscribe to our e-mail newsletter to receive updates.