ความมั่นคงปลอดภัยของสารสนเทศ

Download Report

Transcript ความมั่นคงปลอดภัยของสารสนเทศ

ความมัน่ คงปลอดภัยของสารสนเทศ
• ความมั่นคงปลอดภัยของสารสนเทศคืออะไร
• แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศ
• แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตามมาตรฐาน
NSTISSC
• องค์ ประกอบของระบบสารสนเทศกับความมั่นคงปลอดภัย
• แนวทางในการดาเนินงานความมั่นคงปลอดภัยของสารสนเทศ
• วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ
• บทบาทของบุคลากรสารสนเทศในด้ านความมั่นคงปลอดภัย
ความมั่นคงปลอดภัยของสารสนเทศคืออะไร
• ความมั่นคงปลอดภัย (Security) คือ สถานะทีม่ ีความ
ปลอดภัย ไร้ กงั วล อยู่ในสถานะทีไ่ ม่ มีอนั ตรายและได้ รับการ
ป้องกันจากภัยอันตรายทั้งทีเ่ กิดขึน้ โดยตั้งใจหรื อบังเอิญ
• เช่ น ความมั่นคงปลอดภัยของประเทศ ย่ อมเกิดขึน้ โดยมีระบบ
ป้องกันหลายระดับ เพือ่ ปกป้องผู้นาประเทศ ทรัพย์ สิน
ทรัพยากร และประชาชนของประเทศ
ความมั่นคงปลอดภัยขององค์ กร
•
•
•
•
•
•
ความมัน่ คงปลอดภัยทางกายภาย Physical Security
ความมัน่ คงปลอดภัยส่ วนบุคคล Personal Security
ความมัน่ คงปลอดภัยในการปฏิบัติงาน Operations Security
ความมัน่ คงปลอดภัยในการติดต่ อสื่ อสาร Communication Security
ความมัน่ คงปลอดภัยของเครือข่ าย Network Security
ความมัน่ คงปลอดภัยของสารสนเทศ Information Security
Information Security
• ความมั่นคงปลอดภัยของสารสนเทศ คือ การป้องกันสารสนเทศและ
องค์ ประกอบอืน่ ทีเ่ กีย่ วข้ อง
Policy
Information security
Management
Network Security
Computer & Data Security
• การรักษาความปลอดภัยทางข้ อมูล Information
Security คือ ผลทีเ่ กิดขึน้ จาการใช้ ระบบของนโยบายและ/ หรือ
ระเบียบปฏิบัตทิ ใี่ ช้ ในการพิสูจน์ ทราบ ควบคุม และป้ องกันการเปิ ดเผย
ข้ อมูล (ทีไ่ ด้ รับคาสั่ งให้ มีการป้องกัน) โดยไม่ ได้ รับอนุญาต
• นิยามโดย ThaiCERT
(ศูนย์ประสานงานการักษาความปลอดภัย
คอมพิวเตอร์ประเทศไทย
แนวคิดหลักของความมัน่ คงปลอดภัยของสารสนเทศ
• กลุ่มอุตสาหกรรมความมัน่ คงปลอดภัยของคอมพิวเตอร์ ได้กาหนดแนวคิด
หลักของความมัน่ คงปลอดภัยของคอมพิวเตอร์ ข้ ึน
C.I.A Triangle
ประกอบด้วย
1. ความลับ Confidentiality
2.ความสมบูรณ์ Integrity
3.ความพร้อมใช้ Availability
4.ความถูกต้องแม่นยา Accuracy
5.เป็ นของแท้ Authenticity
6.ความเป็ นส่ วนตัว Privacy
ความลับ Confidentiality
• เป็ นการรับประกันว่าผูม้ ีสิทธิ์ และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูล
ได้
• องค์กรต้องมีมาตรการป้ องกันการเข้าถึงสารสนเทศที่เป็ นความลับ เช่น
การจัดประเภทของสารสนเทศ
การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล
กาหนดนโยบายรักษาความมัน่ คงปลอดภัยและนาไปใช้
ให้การศึกษาแก่ทีมงานความมัน่ คงปลอดภัยและผูใ้ ช้
• ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบนั มีสาเหตุมาจากความก้าวหน้า
ทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายใน
การสัง่ ซื้อสิ นค้าของลูกค้า โดยการยอมให้สารสนเทศส่ วนบุคคล
แก่ website เพื่อสิ ทธิ์สนการทาธุรกรรมต่าง ๆ โดยลืมไปว่า
เว็บไซต์เป็ นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยาก
นัก
ความสมบูรณ์ Integrity
• ความสมบูรณ์ คือ ความครบถ้ วน ถูกต้ อง และไม่ มีสิ่งแปลกปลอม
สารสนเทศทีม่ ีความสมบูรณ์ จึงเป็ นสารสนเทศทีน่ าไปใช้ ประโยชน์
ได้ อย่ างถูกต้ องครบถ้ วน
• สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนาไป
เปลีย่ นแปลง ปลอมปนด้ วยสารสนเทศอืน่ ถูกทาให้ เสี ยหาย ถูก
ทาลาย หรือถูกกระทาในรูปแบบอืน่ ๆ เพือ่ ขัดขวางการพิสูจน์ การ
เป็ นสารสนเทศจริง
ความพร้ อมใช้ Availability
• ความพร้ อมใช้ หมายถึง สารสนเทศจะถูกเข้ าถึงหรือเรียกใช้ งาน
ได้ อย่ างราบรื่น โดยผู้ใช้ หรือระบบอืน่ ทีไ่ ด้ รับอนุญาตเท่ านั้น
• หากเป็ นผู้ใช้ หรือระบบทีไ่ ม่ ได้ รับอนุญาต การเข้ าถึงหรือเรียกใช้
งานจะถูกขัดขวางและล้มเหลงในทีส่ ุ ด
ความถูกต้ องแม่ นยา Accuracy
• ความถูกต้ องแม่ นยา หมายถึง สารสนเทศต้ องไม่ มีความผิดพลาด
และต้ องมีค่าตรงกับความคาดหวังของผู้ใช้ เสมอ
• เมื่อใดก็ตามทีส่ ารสนเทศมีค่าผิดเพีย้ นไปจากความคาดหวังของ
ผู้ใช้ ไม่ ว่าจะเกิดจากการแก้ไขด้ วยความตั้งใจหรือไม่ กต็ าม เมื่อนั้น
จะถือว่ าสารสนเทศ “ไม่ มีความถูกต้ องแม่ นยา”
ความเป็ นของแท้ Authenticity
• สารสนเทศทีเ่ ป็ นของแท้ คือ สารสนเทศทีถ่ ูกจัดทาขึน้ จากแหล่งที่
ถูกต้ อง ไม่ ถูกทาซ้าโดยแหล่งอืน่ ทีไ่ ม่ ได้ รับอนุญาต หรือแหล่งทีไ่ ม่
คุ้นเคยและไม่ เคยทราบมาก่อน
ความเป็ นส่ วนตัว Privacy
• ความเป็ นส่ วนตัว คือ สารสนเทศทีถ่ ูกรวบรวม เรียกใช้ และจัดเก็บ
โดยองค์ กร จะต้ องถูกใช้ ในวัตถุประสงค์ ทผี่ ู้เป็ นเข้ าของสารสนเทศ
รับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
• มิฉะนั้นจะถือว่ าเป็ นการละเมิดสิ ทธิส่วนบุคคลด้ านสารสนเทศ
แนวคิดของความมัน่ คงปลอดภัยของสารสนเทศ
ตามมาตรฐาน NSTISSC
• NSTISSC (Nation Security
Telecommunications and Information
Systems Security
• คือ คณะกรรมการด้ านความมั่นคงโทรคมนาคมและระบบสารสนเทศ
แห่ งชาติของต่ างประเทศที่ได้ รับการยอมรับแห่ งหนึ่ง
ได้ กาหนดแนวคิดความมั่นคงปลอดภัยขึน้ มา ต่ อมาได้ กลายเป็ น
มาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ
Technology
Confidentiality
Education
Policy
Confidentiality
Integrity
Availability
Integrity
Availability
แสดงแนวคิดความมัน่ คงปลอดภัยของสารสนเทศตามมาตรฐาน NSTISSC
• สิ่ งสาคัญในการดาเนินงานความมั่นคงปลอดภัยของสารสนเทศนั้น
นอกจากจะมีความคิดหลักในด้ านต่ างๆ แล้ว ยังรวมถึงการกาหนด
นโยบายการปฏิบัติงาน การให้ การศึกษา และเทคโนโลยีที่จะ
นามาใช้ เป็ นกลไกควบคุมและป้องกัน ที่ต้องเกีย่ วข้ องกับการจัดการ
ความมั่นคงปลอดภัยของสารสนเทศด้ วย
องค์ ประกอบของระบบสารสนเทศกับความ
มั่นคงปลอดภัย
1. Software ย่อมต้องอยูภ่ ายใต้เงื่อนไขของการบริ หารโครงการ
ภายใต้เวลา ต้นทุน และกาลังคนที่จากัด ซึ่งมักจะทาภายหลังจากการพัฒนา
ซอฟต์แวร์เสร็ จแล้ว
• Hardware จะใช้นโยบายเดียวกับสิ นทรัพย์ที่จบั ต้องได้
ขององค์กร คือการป้ องกันจากการลักขโมยหรื อภัยอันตรายต่าง ๆ
รวมถึงการจัดสถานที่ที่ปลอดภัยให้กบั อุปกรณ์หรื อฮาร์ดแวร์
• Data ข้อมูล/สารสนเทศ เป็ นทรัพยากรที่มีคา่ ขององค์กร การ
ป้ องกันที่แน่นหนาก็มีความจาเป็ นสาหรับข้อมูลที่เป็ นความลับ ซึ่ง
ต้องอาศัยนโยบายความปลอดภัยและกลไกป้ องกันที่ดีควบคู่กนั
• People บุคลากร คือภัยคุกคามต่อสารสนเทศที่ถูกมองข้าม
มากที่สุด โดยเฉพาะบุคลากรที่ไม่มีจรรยาบรรณในอาชีพ ก็เป็ น
จุดอ่อนต่อการโจมตีได้ จึงได้มีการศึกษากันอย่างจริ งจัง เรี ยกว่า
Social Engineering ซึ่งเป็ นการป้ องการการหลอก
หลวงบุคลากร เพื่อเปิ ดเผยข้อมูลบางอย่างเข้าสู่ระบบได้
• Procedure ขั้นตอนการทางาน เป็ นอีกหนึ่งองค์ประกอบที่
ถูกมองข้าม หากมิจฉาชีพทราบขั้นตอนการทางาน ก็จะสามารถ
ค้นหาจุดอ่อนเพื่อนกระทาการอันก่อนให้เกิดความเสี ยหายต่อ
องค์กรและลูกค้าขององค์กรได้
• Network เครื อข่ายคอมพิวเตอร์ การเชื่อมต่อระหว่าง
คอมพิวเตอร์และระหว่างเครื อข่ายคอมพิวเตอร์ ทาให้เกิด
อาชญากรรมและภัยคุกคามคอมพิวเตอร์ โดยเฉพาะการเชื่อมต่อ
ระบบสารสนเทศเข้ากับเครื อข่ายอินเตอร์เน็ต
อุปสรรคของงานความมัน่ คงปลอดภัย
ของสารสนเทศ
• ความมั่นคงปลอดภัย คือ ความไม่ สะดวก เนื่องจากต้ องเสี ยเวลาใน
การป้อน password และกระบวนการอืน่ ๆ ในการพิสูจน์ ตัว
ผู้ใช้
• มีความซับซ้ อนบางอย่ างในคอมพิวเตอร์ ทผี่ ู้ใช้ ทวั่ ไปไม่ ทราบ เช่ น
Registry , Port, Service ที่เหล่านีจ้ ะทราบใน
แวดวงของ Programmer หรือผู้ดูแลระบบ
• ผู้ใช้ คอมไม่ ระแวดระวัง
• การพัฒนาซอฟต์ แวร์ ไม่ คานึงถึงความปลอดภัยภายหลัง
• แนวโน้ มเทคโนโลยีสารสนเทศคือการแบ่ งปัน ไม่ ใช่ การป้องกัน
• มีการเข้ าถึงข้ อมูลได้ จากทุกสถานที่
• ความมั่นคงปลอดภัยไม่ ได้ เกิดขึน้ ที่ซอฟแวร์ และฮาร์ ดแวร์ เพียง
อย่ างเดียว
• มิจฉาชีพมีความเชี่ยวชาญ (ในการเจาะข้ อมูลของผู้อนื่ มากเป็ น
พิเศษ)
• ฝ่ ายบริหารมักจะไม่ ให้ ความสาคัญแก่ความมั่นคงปลอดภัย
แนวทางในการดาเนินงานความมัน่ คงปลอดภัย
ของสารสนเทศ
• Boottom –Up Approach เป็ นแนวทางที่ผดู้ ูแลระบบหรื อ
เจ้าหน้าที่ ที่รับผิดชอบด้านความมัน่ คงปลอดภัยโดยตรง เป็ นผูร้ ิ เริ่ มหรื อกาหนด
มาตรการรักษาความปลอดภัย ขึ้นมาระหว่างการพัฒนาระบบ
• ข้อดี คือ เจ้าหน้าที่จะสามารถดูแลงานด้วยตนเองในทุก ๆ วัน และใช้ความรู้
ความสามารถ ความเชี่ยวชาญที่มีการปรับปรุ งกลไกควบคุมความปลอดภัยให้มี
ประสิ ทธิ ภาพอย่างเต็มที่
• ข้อเสี ย แนวทางนี้ โดยทัว่ ไปมักจะทาให้การดาเนินงานความมัน่ คงปลอดภัยของ
สารสนเทศไม่ประสบผลสาเร็ จ เนื่องจากขาดปั จจัยความสาเร็ จ เช่น ขาดการ
สนับสนุนจากผูเ้ กี่ยวข้อง หรื อขาดอานาจหน้าที่ในการสั่งการ
• Top-down Approach การดาเนินงานความมัน่ คง
ปลอดภัยจะเริ่ มต้นโดยผูบ้ ริ หารหรื อผูม้ ีอานาจหน้าที่โดยตรง ซึ่ง
สามารถบังคับใช้นโยบาย บุคลากรที่รับผิดชอบ
• ข้อดี ขั้นตอนกระบวนการมัน่ คงได้อย่างเต็มที่ เนื่องจากได้รับการ
สนับสนุนจากผูท้ ี่เกี่ยวข้องเป็ นอย่างดี มีการวางแผน กาหนด
เป้ าหมาย และกระบวนการทางานอย่างชัดเจนและเป็ นทางการ
Bottom-up Approach
Top-down Approach
CEO
CFO
CIO
COO
CFO Chief Finance
Officer
CISO
VP-Sytems
VP-Network
CIO Chief Information
Officeพ
Security
Manager
Systems
Manager
Network
Management
COO Chief Operating
Office
CISO Chief Information
Security
Technician
Systems
Technician
Network
Technician
Security Office
VIP Vice President
วงจรการพัฒนาระบบความมัน่ คงปลอดภัย
ของสารสนเทศ
• วงจรการพัฒนาระบบ System Development life Cycle:
SDLC โดยแต่ละ Phase ของ SDLC สามารถนามาปรับใช้กบั การ
ดาเนินโครงการพัฒนาระบบความมัน่ คงปลอดภัยของสารสนเทศได้ เรี ยกว่า
Security Systems Development Life Cycle :
SecSDLC
• บางองค์กร สามารถใช้วิธีการจัดการความเสี่ ยง Risk Management
เป็ นกระบวนการหลักในการพัฒนาระบบความมัน่ คงปลอดภัยของสารสนเทศได้
SDLC เมื่อถูกนาไปปรับใช้ในองค์กร จะถูก
แบ่ง เฟส phase ในจานวนที่แตกต่างกัน
Investigation
Analysis
Logical
Design
Physical
Design
Implementation
Repeat
Maintenance
And Change
เมือ่ นามาปรับใช้ กบั การพัฒนาระบบความมัน่ คงปลอดภัยของสารสนเทศ
• การสารวจ Investigation เริ่ มจากได้รับคาสัง่ จากผู ้
บริ การระดับสูง ให้ดาเนินการพัฒนาระบบความมัน่ คงปลอดภัย
โดยมีการกาหนดเป้ าหมาย กระบวนการ ผลลัพธ์ที่ตอ้ งการ
บุคลากร งบประมาณ และระยะเวลา ยังมีการกาหนด นโยบายความ
มัน่ คงปลอดภัยในระดับองค์กรมาพร้อมกันด้วย
• ทีมงานที่รับผิดชอบจะนารายละเอียดทาการสารวจ เพื่อนามา
วิเคราะห์ปัญหา กาหนดขอบเขต เป้ าหมายและวัตถุประสงค์ของ
โครงการ
• การวิเคราะห์ Analysis เป็ นเฟสที่ทีมงานจะได้นาเอกสารมา
ทาการศึกษาเพิ่มเติม ศึกษาถึงภัยคุกคาม และวิธีป้องกัน รวมถึง
กฎหมายสิ ทธิส่วนบุคคล การจัดการความเสี่ ยง (ระบุความเสี่ ยง)
• ประเมินหาความเสี่ ยงที่มีผลกระทบในระดับร้ายแรง พร้อมกัน
เตรี ยมป้ องกันไม่ให้เกิดความเสี่ ยงต่างๆ ได้อีก
• การออกแบบระดับตรรกะ Logical Design เป็ นเฟสที่
ต้องจัดทาโครงร่ างของระบบความมัน่ คงปลอดภัยของสารสนเทศ
ตรวจสอบและจัดทานโยบายหลักที่จะนาไปใช้
• การออกแบบระดับกายภาพ Physical Design เป็ น
เฟสการกาหนดเทคโนโลยีสารสนเทศทีจ่ ะนามาสนับสนุนโครงร่ าง
ระบบความมั่นคงปลอดภัยที่ได้ ออกแบบไว้ ในเฟสที่ผ่านมา มีการ
ประเมินเทคโนโลยี พร้ อมกับสร้ างทางเลือกของเทคโนโลยีที่จะ
นามาใช้
• การพัฒนา Implementation ดาเนินงานพัฒนาระบบ
ความมัน่ คงปลอดภัยของสารสนเทศที่ได้ออกแบบไว้ให้เกิดขึ้นจริ ง
และทาการทดสอบ จนกว่าไม่พบข้อผิดพลาด
• การบารุ งรักษาและเปลี่ยนแปลง Maintenance and
Change การติดตาม ทดสอบแก้ไข และซ่อมบารุ งอยู่
ตลอดเวลา ควรมีการอัพเดทภัยคุมคาม รายละเอียดให้ทนั สมัยอยู่
อย่างสม่าเสมอ
การเปรี ยบเทียบกิจกรรมใน SDLC /SecSDLC
เฟส
1
Investigation
กิจกรรมใน SDLCธรรมดา กิจกรรมในSecSDLC
•กาหนดเป้ าหมายและขอบเขต
โครงการ
•ประมาณต้นทุน
•ประเมินทรัพยากร
•ศึกษาความเป็ นไปได้
ผูบ้ ริ หารกาหนดกระบวนการ
ดาเนินโครงการ เป้ าหมาย
และเอกสารแสดงนโยบาย
ความมัน่ คงที่มีอยุ่
เฟส
กิจกรรมใน SDLCธรรมดา กิจกรรมในSecSDLC
•ศึกษาระบบเดิมตามเอกสารที่
Analysis ได้รับในเฟสแรก
•กาหนดความต้องการของ
ระบบ
•ศึกษาการประสานงานระบบ
เก่ากับระบบใหม่
•จัดทาเอกสาร และปรับปรุ ง
ศึกษาความเป็ นไปได้
2
•วิเคราะห์นโยบายความ
มัน่ คงปลอดภัยเดิม
•วิเคราะห์ภยั คุกคาม
•พิจารณาประเด็นกฎหมาย
•วิเคราะห์ความเสี่ ยง
เฟส
3
Logical
Design
กิจกรรมใน SDLC
ธรรมดา
•ประเมินความจาเป็ นทาง
ธุรกิจ
•เลือกข้อมูลสนับสนุนและ
โครงสร้างของระบบ
•สร้างทางเลือกของระบบ
ใหม่
•จัดทาเอกสารและปรับปรุ ง
แก้ไข
กิจกรรมในSecSDLC
•จัดทาโครงร่ างระบบความ
มัน่ คงปลอดภัย
•วางแผนรับมือเหตุการณ์
ไม่คาดคิด
•วางแผนฟื้ นฟูความ
เสี ยหาย
เฟส
4
Physical
Design
กิจกรรมใน SDLCธรรมดา กิจกรรมในSecSDLC
•เลือกเทคโนโลยีที่จะนามา
สนับสนุนระบบ
•เลือกทางเลือกของระบบ
•ตัดสิ นใจว่าจะซื้ อหรื อจะ
พัฒนาระบบเอง
•จัดทาเอกสาร และปรับปรุ ง
แก้ไข รายงานการศึกษาความ
เป็ นไปได้
•เลือกเทคโนโลยีที่จะนา
สนับสนุนโครงการ
•กาหนดนิยาม
•กาหนดเงื่อนไขในการ
คัดเลือกเทคโนโลยีความ
มัน่ คงปลอดภัย
•ทบทวนและพิจารณาอนุมตั ิ
โครงการ
เฟส
5
Implementation
กิจกรรมใน
SDLCธรรมดา
•พัฒนาหรื อระบบใหม่
•สัง่ ซื้ อ component
ของระบบใหม่
•จัดทาเอกสารของระบบ
•ฝึ กอบรมผูใ้ ช้
•นาเสนอระบบต่อผูใ้ ช้
•ทดสอบระบบ
กิจกรรมใน
SecSDLC
•ซื้ อหรื อพัฒนาระบบ
•นาเสนอต่อผูบ้ ริ หารระดับสู ง
เฟส
กิจกรรมใน SDLCธรรมดา กิจกรรมในSecSDLC
•สนับสนุนการใช้งานระบบ ติดตาม ทาสอบ แก้ไข
Maintena
•ทดสอบระบบอยูเ่ ป็ นระยะ อัพเดท และซ่อมบารุ งระบบ
nce and
ทั
น
ที
ท
่
ี
พ
บว่
า
มี
ภ
ย
ั
คุ
ก
คาม
Change •อัดเกรดและซ่อมบารุ งระบบ
ตามความจาเป็ น
6
บทบาทของบุคลากรสารสนเทศใน
ด้านความมัน่ คงปลอดภัย
1.ผู้บริการระดับสู ง Senior Manager
1.2. ผู้บริหารสารสนเทศระดับสู ง chief Information
Officer : CIO มีหน้ าที่ให้ คาแนะนาและแสดงความ
คิดเห็นแก่ ผู้บริหารระดับสู ง
1.2. ผู้บริหารความมัน่ คงปลอดภัยของสารสนเทศระดับสู ง
Chief Information Security Officer :
CISO ทาหน้ าที่ในการประเมิน จัดการ และพัฒนาระบบ
ความมั่นคงปลอดภัยของสารสนเทศในองค์ กรโดยเฉพาะ
2.ทีมงานดาเนินโครงการความมัน่ คงปลอดภัยของสารสนเทศ
Information Securtiy Project Team
ทีมงานดาเนินโครงการ ควรเป็ นผุท้ ี่มีความรู ้ ความสามารถในด้าน
เทคโนโลยีอย่างลึกซึ้ง และควรจะมีความรู ้ในด้านอื่นๆ ที่เกี่ยวข้อง
ควบคู่ไปด้วย
ทีมงานดาเนินโครงการประกอบไปด้ วย
• ผู้สนับสนุน Champion
• หัวหน้ าทีม Team Leader
• นักพัฒนานโยบายความมัน่ คงปลอดภัย Security Policy
Development
• ผู้ชานาญการประเมินความเสี่ ยง Risk Assessment
Specialist
• ผู้เชี่ยวชาญด้ านความมัน่ คงปลอดภัยของสารสนเทศ Security
Professional
• ผู้ดูแลระบบ System Administrator
• ผู้ใช้ ระบบ End User
3.การเป็ นเจ้ าของข้ อมูล Data Ownership ประกอบด้ วย
3.1 เจ้ าของข้ อมูล Data Owners ผู้มสี ิ ทธิในการใช้ ข้อมูล และมีหน้ าทีใ่ นการ
รักษาความมัน่ คงปลอดภัยของข้ อมูลด้ วย
3.2 ผู้ดูแลข้ อมูล Data Cusodians เป็ นผู้ทตี่ ้ องทางานร่ วมกับ Data
Owners โดยตรง ทาหน้ าทีจ่ ัดเก็บและบารุ งรักษาข้ อมูล
3.3 ผู้ใช้ ข้อมูล Data Users เป็ นผู้ทที่ างานกับข้ อมูล โดยตรง
สรุป
• ความมั่นคงปลอดภัยของสารสนเทศ Information
Security คือการป้องกันสารสนเทศและ
องค์ ประกอบอืน่ ๆ ทีเ่ กีย่ วข้ อง
• แนวคิด C.I.A Triangle ประกอบไปด้ วย
ความลับ Confidentiality
ความสมบูรณ์ Integrity
ความพร้ อมใช้ Availability
และยังกาหนดเพิม่ อีก คือ ความถูกต้ องแม่ นยาAccuracy
ความเป็ นของแท้ Authenticity
และความเป็ นส่ วนตัว Privacy
แนวทางในการดาเนินงานความมั่นคงปลอดภัยของสารสนเทศ
มี 2 ลักษณะ คือ
1. Bottom-Up Approach คือผูด้ ูแลระบบหรื อ
ทีมงานเป็ นผูร้ ิ เริ่ มโครงการ
2. Top-down Approach คือผูบ้ ริ หารระดับสูงเป็ น
ผูร้ ิ เริ่ มและกาหนดโครงการ
วงจรการพัฒนาระบบความมั่นคงปลอดภัยของสารสนเทศ
มี 6 เฟส คือ
• การสารวจ Investigation
• การวิเคราะห์ Analysis
• การออกแบบระดับตรรกะ Logical Design
• การออกแบบและพัฒนากายภาพ Physical Design
• การพัฒนา Implementation
• การบารุ งรักษาและเปลี่ยนแปลง Maintenance and Change
บุคคลที่เกี่ยวข้องกับระบบความมัน่ คงปลอดภัยของ
สารสนเทศ
•
•
•
•
ผู้บริหารสารสนเทศระดับสู ง
ผู้บริหารความมั่นคงปลอดภัยของสารสนเทศระดับสู ง
ผู้บริหารโครงการ หรือหัวหน้ าทีม
เจ้ าหน้ าที่เทคนิคด้ านความมั่นคงปลอดภัยของสารสนเทศ
เป็ นต้ น