CH_02 ความมั่นคงปลอดภัยของสารสนเทศ
ความมั่นคงปลอดภัย (Security) คือ สถานะที่มีความปลอดภัย ไร้กังวล อยู่ในสถานะที่ไม่มีอันตรายและได้รับการป้องกันจากภัยอันตรายทั้งที่เกิดขึ้นโดยตั้งใจหรือบังเอิญ เช่น ความมั่นคงปลอดภัยของประเทศ ย่อมเกิดขึ้นโดยมีระบบป้องกันหลายระดับ เพื่อปกป้องผู้นำประเทศ ทรัพย์สิน ทรัพยากร และประชาชนของประเทศ
ความมั่นคงปลอดภัยขององค์กร
• ความมั่นคงปลอดภัยทางกายภาย Physical Security
• ความมั่นคงปลอดภัยส่วนบุคคล Personal Security
• ความมั่นคงปลอดภัยในการปฏิบัติงาน Operations Security
• ความมั่นคงปลอดภัยในการติดต่อสื่อสาร Communication Security
• ความมั่นคงปลอดภัยของเครือข่าย Network Security
• ความมั่นคงปลอดภัยของสารสนเทศ Information Security
ความมั่นคงปลอดภัยของสารสนเทศ (Information Security)
ความมั่นคงปลอดภัยของสารสนเทศ คือ การป้องกันสารสนเทศและองค์ประกอบอื่นที่เกี่ยวข้อง
การรักษาความปลอดภัยทางข้อมูล Information Security คือ ผลที่เกิดขึ้นจาการใช้ระบบของนโยบายและ/ หรือ ระเบียบปฏิบัติที่ใช้ในการพิสูจน์ทราบ ควบคุม และป้องกันการเปิดเผยข้อมูล (ที่ได้รับคำสั่งให้มีการป้องกัน) โดยไม่ได้รับอนุญาต
แนวคิดหลักของความมั่นคงปลอดภัยของสารสนเทศกลุ่มอุตสาหกรรมความมั่นคงปลอดภัยของคอมพิวเตอร์ ได้กำหนดแนวคิดหลักของความมั่นคงปลอดภัยของคอมพิวเตอร์ขึ้นประกอบด้วย
1. ความลับ Confidentiality
•เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้
•องค์กรต้องมีมาตรการป้องกันการเข้าถึงสารสนเทศที่เป็นความลับ เช่น การจัดประเภทของสารสนเทศ การรักษาความปลอดภัยในกับแหล่งจัดเก็บข้อมูล กำหนดนโยบายรักษาความมั่นคงปลอดภัยและนำไปใช้ให้การศึกษาแก่ทีมงานความมั่นคงปลอดภัยและผู้ใช้
• ภัยคุกคามที่เพิ่มมากขึ้นในปัจจุบัน มีสาเหตุมาจากความก้าวหน้าทางเทคโนโลยี ประกอบกับความต้องการความสะดวกสบายในการสั่งซื้อสินค้าของลูกค้า โดยการยอมให้สารสนเทศส่วนบุคคลแก่ website เพื่อสิทธิ์สนการทำธุรกรรมต่าง ๆ โดยลืมไปว่าเว็บไซต์เป็นแหล่งข้อมูลที่สามารถขโมยสารสนเทศไปได้ไม่ยากนัก
2.ความสมบูรณ์ Integrity
•ความสมบูรณ์ คือ ความครบถ้วน ถูกต้อง และไม่มีสิ่งแปลกปลอม สารสนเทศที่มีความสมบูรณ์จึงเป็นสารสนเทศที่นำไปใช้ประโยชน์ได้อย่างถูกต้องครบถ้วน
•สารสนเทศจะขาดความสมบูรณ์ ก็ต่อเมื่อสารสนเทศนั้นถูกนำไปเปลี่ยนแปลง ปลอมปนด้วยสารสนเทศอื่น ถูกทำให้เสียหาย ถูกทำลาย หรือถูกกระทำในรูปแบบอื่น ๆ เพื่อขัดขวางการพิสูจน์การเป็นสารสนเทศจริง
3.ความพร้อมใช้ Availability
•ความพร้อมใช้ หมายถึง สารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น
•หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลงในที่สุด
4.ความถูกต้องแม่นยำ Accuracy
•ความถูกต้องแม่นยำ หมายถึง สารสนเทศต้องไม่มีความผิดพลาด และต้องมีค่าตรงกับความคาดหวังของผู้ใช้เสมอ
•เมื่อใดก็ตามที่สารสนเทศมีค่าผิดเพี้ยนไปจากความคาดหวังของผู้ใช้ ไม่ว่าจะเกิดจากการแก้ไขด้วยความตั้งใจหรือไม่ก็ตาม เมื่อนั้นจะถือว่าสารสนเทศ “ไม่มีความถูกต้องแม่นยำ”
5.เป็นของแท้ Authenticity
•สารสนเทศที่เป็นของแท้ คือ สารสนเทศที่ถูกจัดทำขึ้นจากแหล่งที่ถูกต้อง ไม่ถูกทำซ้ำโดยแหล่งอื่นที่ไม่ได้รับอนุญาต หรือแหล่งที่ไม่คุ้นเคยและไม่เคยทราบมาก่อน
6.ความเป็นส่วนตัว Privacy
•ความเป็นส่วนตัว คือ สารสนเทศที่ถูกรวบรวม เรียกใช้ และจัดเก็บโดยองค์กร จะต้องถูกใช้ในวัตถุประสงค์ที่ผู้เป็นเข้าของสารสนเทศรับทราบ ณ ขณะที่มีการรวบรวมสารสนเทศนั้น
•มิฉะนั้นจะถือว่าเป็นการละเมิดสิทธิส่วนบุคคลด้านสารสนเทศ
แนวคิดของความมั่นคงปลอดภัยของสารสนเทศตาม มาตรฐาน NSTISSCNSTISSC
(Nation Security Telecommunications and Information Systems Security)
คือ คณะกรรมการด้านความมั่นคงโทรคมนาคมและระบบ
สารสนเทศแห่งชาติของต่างประเทศที่ได้รับการยอมรับแห่งหนึ่งได้กำหนดแนวคิดความมั่นคงปลอดภัยขึ้นมา ต่อมาได้กลายเป็นมาตรฐานการประเมินความมั่นคงของระบบสารสนเทศ
สิ่งสำคัญในการดำเนินงานความมั่นคงปลอดภัยของสารสนเทศนั้น นอกจากจะมีความคิดหลักในด้านต่างๆ แล้วยังรวมถึงการกำหนดนโยบายการปฏิบัติงาน การให้การศึกษา และเทคโนโลยีที่จะนำมาใช้เป็นกลไกควบคุมและป้องกัน ที่ต้องเกี่ยวข้องกับการจัดการความมั่นคงปลอดภัยของสารสนเทศด้วย
วิเคราะห์คลิปวีดิโอ
คลิปที่1 คนขับรถตู้
จากคลิปที่คนขับรถตู้ ขณะที่ขับรถได้มีปากเสียงกับลูกค้าคนหนึ่งบนรถตู้ คนขับรถตู้มีความผิดในฐานที่ขับรถเร็ว 140 km/h. ซึ่งอาจเกิดอุบัติเหตุได้ เพราะขับรถเร็วเกินกำหนด ขณะที่พูดคุยกันก็เริ่มมีปากเสียงกับลูกค้า การให้บริการของคนขับรถควรสร้างความพึงพอใจให้กับลูกค้า ส่วนลูกค้าก็ไม่น่ากระทำแบบนี้เพราะคนเรามีหน้าที่ที่ต้องทำไม่เหมือนกันบางครั้งการขับรถตู้ให้บริการก็ต้องทำเวลา เพราะที่คิวให้บริการจะกำหนดระยะเวลาของรถที่วิ่ง ส่วนลูกค้าไปถ่ายคลิปก็ถือเป็นการละเมิดสิทธิ์ส่วนบุคคล แล้วนำไปเผยแพร่โดยที่ตนก็ไม่สามารถควบคุมอารมณ์ของตนไว้ได้ ถามเซ้าซี้ น่ารำคาญ สร้างความเดือดร้อนให้คนอื่น
คลิปที่ 2 สาวนุ่งผ้าขนหนูเข้า 7-11
จากคลิปมีกลุ่มวัยรุ่น 4-5 คน แต่งกายไม่เหมาะสมเดินเข้าไปซื้อของใน 7-11 และในขณะที่ซื้อของก็ถ่ายคลิปไปด้วยการแต่งการของวัยรุ่นกลุ่มนี้สื่อแววอนาจาร เพราะแต่งกายปิดนิดเปิดหน่อยไปในที่สาธารณะโดยไม่สนใจว่าใครจะมองมายังไง การกระทำเช่นนี้ไม่ควรเอาเป็นแบบอย่าง เป็นผู้หญิงทั้งทีควรแต่งกายให้สุภาพและเหมาะกาลเทศะ คนที่มองจะพูดไปในทางที่เสียหายได้ไม่ใช่นึกแต่สนุกทำอะไรไม่คิด พอทำไปแล้วว่าจะส่งผลกระทบอย่างไร
คลิปที่ 3 แก็งสังคมออนไลน์
จากคลิปการใช้โซเชียล เน็ตเวิร์กในปัจจุบันมีในหลายรูปแบบซึ่งอาจส่งผลกระทบทั้งทางตรงและทางลบ ที่เป็นประโยชน์และสร้างความเดือดร้อนให้กับคนอื่น ซึ่งการกระทำบางการกระทำถือเป็นการทำผิดกฎหมายได้ ถ้ามีการแจ้งความก็อาจเป้นคดีใหญ่โตได้ เพราะในปัจจุบันการใช้โซเชียล เน็ตเวิร์กสามารถเข้าถึงได้ง่ายและทุกๆที่ เนื่องจากความทันสมัยของเทคโนโลยีที่มีการปรับเปลี่ยนไปเรื่อยๆ เช่น กรณที่เอารูปภาพของผู้อื่นไปใช้โดยแอบอ้างว่าเป็นเราก็ถือเป็นการผิดจรรยาบรรณแล้วสามารถนำไปเป็นคดีความได้ถ้าคนที่ถูกแอบอ้างเกิดไม่ยอม