การรักษาความมั่นคงของระบบสารสนเทศ – Information Security

Information-Security

Information Security

ปัจจุบันเครือข่ายอินเตอร์เน็ตเติบโตอย่างรวดเร็ว แทบจะทุกองค์กรจำเป็นต้องเชื่อมต่อเครือข่ายของตนเองเข้ากับเครือข่ายอินเตอร์เน็ต เช่นเดียวกับกรมแพทย์ทหารเรือ เพื่อใช้ประโยชน์จากแหล่งข้อมูลที่ใหญ่ที่สุดในโลก ระบบอินเตอร์เน็ตนั้นมีทั้งในแง่ดีนั้นมีมากมายเกินกว่าจะกล่าวแต่ในแง่ที่ไม่ดีก็มีมากมายเช่นกัน เหตุผลก็เนื่องจากว่าอินเตอร์เน็ตนั้นเป็นห้องสมุดเป็นแหล่งการเรียนรู้สืบค้นที่ใหญ่ที่สุดในโลก เราต้องการทราบข้อมูลอะไรก็สามารถค้นหาได้จากอินเตอร์เน็ต แต่ในแง่ของผู้ประสงค์ร้ายก็ใช้ช่องทางนี้เช่นกันในการสืบค้นข้อมูล เครื่องมือ หรือวิธีการในการเจาะระบบนั้น ซึ่งสามารถค้นหาและดาวน์โหลดจากอินเตอร์เน็ตได้ โดยที่เครื่องมือนั้นก็ใช้งานได้ไม่ยาก ผู้ที่ไม่มีความรู้ทางด้านคอมพิวเตอร์มากนักก็สามารถใช้เครื่องมือโจมตีเครือข่ายเหล่านี้ได้ ดังนั้น แต่ละองค์กรจึงจำเป็นต้องมีระบบรักษาความปลอดภัย เพื่อให้สามารถใช้งานระบบสารสนเทศได้อย่างมีประสิทธิภาพและปลอดภัย

องค์กรที่มีการนำระบบคอมพิวเตอร์มาใช้ในการปฏิบัติงานจำเป็นอย่างยิ่งที่จะต้องกำหนดนโยบายด้านการรักษาความปลอดภัยสาสนเทศ ซึ่งจะกำหนดให้ใครมีสิทธิ์เข้าถึงทั้งทางด้านกายภาพและทางอิเล็กทรอนิกส์ได้บ้าง ใครไม่มีสิทธิ์ในการเข้าถึง และควรที่จะมีระเบียบแบบแผนการปฏิบัติที่ชัดเจนในการใช้ระบบสารสนเทศขององค์กรนอกจากนั้นควรที่จะมีแผนปฏิบัติเมื่อเกิดเหตุการณ์เกี่ยวกับความมั่นคงและความปลอดปลอดภัย แผนปฏิบัติเมื่อเกิดเหตุฉุกเฉิน นอกจากนี้แล้วองค์กรและผู้ใช้เองก็ต้องนำนโยบายด้านการรักษาความปลอดภัยมาใช้อย่างเคร่งครัดด้วย

การรักษาความปลอดภัยของข้อมูลและสารสนเทศถือว่าเป็นกระบวนการอย่างหนึ่ง ไม่ใช่แค่การติดตั้งระบบรักษาความปลอดภัยที่ดีที่สุด แต่จะต้องรวมถึงการวิเคราะห์ระบบและการบริหารความเสี่ยง ( Risk ) ที่เกิดจากภัยคุกคาม ( Threat ) และช่องโหว่หรือจุดอ่อน ( Vulnerability ) ขององค์กร

ปัจจุบันภัยคุกคามด้านไอทีส่วนใหญ่จะเกิดมาจากไวรัสคอมพิวเตอร์ เวิร์ม หรือโทรจันฮอร์ส โปรแกรมอื่นๆที่เป็นภัยคุกคาม อย่างเช่น สปายแวร์ ( Spyware ) ซึ่งเป็นโปรแกรมหนึ่งที่ทำงานบางอย่างบนเครื่องคอมพิวเตอร์ของเราโดยที่ไม่ได้รับอนุญาตจากผู้ใช้ หรือกระทั่งโปรแกรม แอ็ดแวร์ ( Adware) ซึ่งเป็นโปรแกรมที่ใช้สำหรับโฆษณา แต่ถูกติดตั้งไม่รู้ตัวโดยผู้ใช้เองซึ่งก่อให้เกิดความรำคาญและยังใช้ทรัพยากรในเครื่องไปโดยเปล่าประโยชน์

 

ระบบสารสนเทศประกอบด้วย 5 องค์ประกอบ คือ

1. Hardware ? อุปกรณ์

2. Software ? โปรแกรมประยุกต์, ระบบ, OS, DB, Application

3. Data ? ข้อมูลดิบ, Information, Knowledge

4. People (User) ? คน (Personnel)

5. Business Process (Process, Procedure)

องค์ประกอบของความมั่นคงปลอดภัยของสารสนเทศ ประกอบด้วย

1. ความลับ (Confidentiality)

? เป็นการทำให้มั่นใจว่ามีเฉพาะผู้มีสิทธิ์หรือได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้

2. ความถูกต้องสมบูรณ์(Integrity)

? ข้อมูลที่ปกป้องนั้น ต้องมีความถูกต้องสมบูรณ์ ต้องมีกลไกในการตรวจสอบสิทธิ์ การอนุญาตให้เปลี่ยนแปลงหรือแก้ไขข้อมูล

3. ความพร้อมใช้งาน (Availability)

? ต้องสามารถตอบสนองความต้องการของผู้ใช้งานที่มีสิทธิ์เข้าถึงระบบได้เมื่อต้องการ

สิ่งที่ต้องคำนึงถึงในการการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ คือ

1. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศต้องป้องกัน (สม่ำเสมอ) ทุกองค์ประกอบ (ทั้ง 5 องค์ประกอบ) ความเข้มแข็งรวมของระบบนั้นมาจากความอ่อนแอของระบบรักษาความมั่นคงปลอดภัย

2. ระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศป้องกันตามมูลค่า คุ้มครองข้อมูลตามมูลค่า (มูลค่า ? การลงทุนป้องกัน, มูลค่าความเสียหายถ้าไม่ป้องกัน) จัดเกรดข้อมูลว่าอันไหนสำคัญ เพื่อจะได้วางระบบรักษาความปลอดภัยได้ถูก

3. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ ไม่มีระบบที่สมบูรณ์แบบ ไม่มีระบบที่ใช้ได้ตลอดไป

4. การรักษาความมั่นคงปลอดภัยของระบบรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ เป็นกระบวนการที่ต้องทำต่อเนื่องตลอดไป

ในรูปของการปรับปรุงให้ดียิ่งขึ้น ให้ทันต่อภัยคุกคาม โดยใช้ PDCA, PDCA, ? ทำหลายๆ รอบ A ตัวสุดท้ายจะเป็นเหตุให้ต้องทำ P รอบถัดไป วงรอบที่เหมาะสมในการทำ PDCA คือ 1 ปี

โดยที่ PDCA คือ กระบวนการของการทำ P (Plan คือ วางแผน), D (Do คือ ดำเนินการตามแผน), C (Check หรือ ตรวจสอบสอบทานการดำเนินงานตามแผน), A (Act หรือ เมื่อพบข้อผิดพลาดมีการสั่งการหรือหาแนวทางในการดำเนินการแก้ไข)

5. ผู้ที่จะเข้ามาโจมตีระบบสารสนเทศ จะเลือกเข้ามาในทิศทางที่คุณคาดไม่ถึงเสมอ

หลักการของการทำให้ปลอดภัย แบ่งเป็น 3 วิธี คือ

1. Prevention ? ถ้ากันได้กัน ? เป็นวิธีที่ดีที่สุด (เรื่องไม่เคยเกิดขึ้น, ไม่มีวันเกิดขึ้น)

2. Detection ? กันไม่ได้แต่รู้ทันทีที่เกิด ? ทำให้มีปฏิกิริยาได้เร็ว บางครั้งแพง

3. Recovery ? ปล่อยให้เกิดแล้วค่อยไปตามแก้ไข ต้องมีความสามารถเหมือน Detection แต่ช้ากว่า

ขอบคุณ http://www.tistr.or.th/

Tags: ,

About Mag

anything else... me is me!!! any question post for me...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: