การรักษาความปลอดภัยทางข้อมูล

การรักษาความปลอดภัยทางข้อมูล (อังกฤษ: Information Security) แยกออกเป็นสองคำ ได้แก่ Information หรือสารสนเทศ คือข้อมูลในรูปแบบของตัวเลข ข้อความ หรือภาพกราฟิก ที่ได้นำมารวบรวม จัดเป็นระบบ และนำเสนอในรูปแบบที่ผู้ใช้สามารถเข้าใจได้อย่างแจ่มชัด ไม่ว่าจะเป็นรายงาน ตาราง หรือแผนภูมิต่างๆ และ Security หรือความปลอดภัย คือสภาพที่เกิดขึ้นจากการจัดตั้งและดำรงไว้ซึ่งมาตรการการป้องกันที่ทำให้เกิดความมั่นใจว่าจะไม่มีผู้ที่ไม่หวังดีจะบุกรุกเข้ามาได้ เมื่อรวมสองคำก็จะได้ "Information Security" จึงหมายถึง การศึกษาถึงความไม่ปลอดภัยในการใช้งานสารสนเทศที่เกี่ยวข้องกับคอมพิวเตอร์ การวางแผนและการจัดระบบความปลอดภัยในคอมพิวเตอร์ โดยศึกษาถึงสิ่งต่างๆ ดังนี้

1. การรักษาความปลอดภัยในคอมพิวเตอร์ส่วนบุคคล
2. การรักษาความปลอดภัยในระบบฐานข้อมูล
3. การรักษาความปลอดภัยในเครือข่ายการสื่อสารข้อมูล
4. การป้องกันทางกายภาพ
5. การวิเคราะห์ความเสี่ยง
6. ประเด็นในแง่กฎหมาย
7. จรรยาบรรณในเรื่อง "ความปลอดภัยในระบบคอมพิวเตอร์"

คำจำกัดความ

 

องค์ประกอบความมั่นคงปลอดภัยของข้อมูลสารสนเทศ: หรือ คุณภาพ เช่น การรักษาความลับ, ความซื่อสัตย์สุจริต และ ความพร้อมใช้งาน (CIA). ระบบสารสนเทศ ประกอบด้วยสามส่วนหลัก ได้แก่ ฮาร์ดแวร์ ซอฟต์แวร์ และการสื่อสาร โดยมีวัตถุประสงค์เพื่อช่วยระบุและประยุกต์ใช้มาตรฐานอุตสาหกรรมความมั่นคงปลอดภัยสารสนเทศ เป็นกลไกในการป้องกันและป้องกันในสามระดับหรือชั้น: กายภาพ, ส่วนบุคคล และองค์กร โดยพื้นฐานแล้ว ขั้นตอนหรือนโยบายจะถูกนำไปใช้เพื่อบอกผู้ดูแลระบบ ผู้ใช้ และผู้ปฏิบัติงานถึงวิธีการใช้ผลิตภัณฑ์เพื่อรับรองความปลอดภัยของข้อมูลภายในองค์กร^[1]

คำจำกัดความต่าง ๆ ของความปลอดภัยของข้อมูลมีการแนะนำด้านล่าง โดยสรุปจากแหล่งข้อมูลต่าง ๆ ดังนี้

1. "การรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูล หมายเหตุ: นอกจากนี้ คุณสมบัติอื่นๆ เช่น ความถูกต้อง ความรับผิดชอบ การไม่ปฏิเสธ และความน่าเชื่อถือ ก็อาจเกี่ยวข้องได้เช่นกัน" (ISO/IEC 27000:2018)^[2]
2. "การปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึง การใช้ การเปิดเผย การหยุดชะงัก การแก้ไข หรือการทำลายโดยไม่ได้รับอนุญาต เพื่อให้การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน" (CNSS, 2010)^[3]
3. "ตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาต (การรักษาความลับ) เท่านั้นที่สามารถเข้าถึงข้อมูลที่ถูกต้องและครบถ้วน (ความสมบูรณ์) เมื่อจำเป็น (ความพร้อมใช้งาน)" (ISACA, 2008)^[4]
4. "ความปลอดภัยของข้อมูลเป็นกระบวนการในการปกป้องทรัพย์สินทางปัญญาขององค์กร" (Pipkin, 2000)^[5]
5. "...การรักษาความปลอดภัยของข้อมูลเป็นวินัยในการบริหารความเสี่ยงซึ่งมีหน้าที่จัดการต้นทุนความเสี่ยงด้านข้อมูลให้กับธุรกิจ" (McDermott and Geer, 2001)^[6]
6. "ความรู้สึกมั่นใจว่าข้อมูลความเสี่ยงและการควบคุมมีความสมดุล" (Anderson, J., 2003)^[7]
7. "การรักษาความปลอดภัยของข้อมูลคือการปกป้องข้อมูลและลดความเสี่ยงในการเปิดเผยข้อมูลแก่บุคคลที่ไม่ได้รับอนุญาต" (Venter and Eloff, 2003)^[8]
8. "ความปลอดภัยของข้อมูลเป็นสาขาการศึกษาและกิจกรรมวิชาชีพที่เกี่ยวข้องกับการพัฒนาและการดำเนินการตามกลไกการรักษาความปลอดภัยทุกประเภทที่มีอยู่ (ด้านเทคนิค องค์กร มุ่งเน้นมนุษย์ และกฎหมาย) เพื่อเก็บข้อมูลไว้ในสถานที่ทั้งหมด (ภายในและภายนอก) ขอบเขตขององค์กร) และผลที่ตามมาคือระบบสารสนเทศที่ข้อมูลถูกสร้าง ประมวลผล จัดเก็บ ส่งผ่าน และทำลาย โดยปราศจากภัยคุกคาม^[9] ภัยคุกคามต่อข้อมูลและระบบสารสนเทศอาจถูกจัดหมวดหมู่ และอาจกำหนดเป้าหมายด้านความปลอดภัยที่สอดคล้องกันสำหรับภัยคุกคามแต่ละประเภท^[10] ชุดเป้าหมายด้านความปลอดภัย ซึ่งระบุได้จากการวิเคราะห์ภัยคุกคาม ควรได้รับการแก้ไขเป็นระยะๆ เพื่อให้มั่นใจว่ามีความเพียงพอและสอดคล้องกับสภาพแวดล้อมที่เปลี่ยนแปลงไป^[11] ชุดเป้าหมายด้านความปลอดภัยที่เกี่ยวข้องในปัจจุบันอาจรวมถึง: การรักษาความลับ ความซื่อสัตย์ ความพร้อมใช้งาน ความเป็นส่วนตัว ความถูกต้องและความน่าเชื่อถือ การไม่ปฏิเสธ ความรับผิดชอบ และการตรวจสอบ" (Cherdantseva และ Hilton, 2013)^[1]
9. การรักษาความมั่นคงปลอดภัยสารสนเทศและทรัพยากรสารสนเทศโดยใช้ระบบโทรคมนาคมหรืออุปกรณ์ หมายถึง การปกป้องข้อมูล ระบบสารสนเทศ หรือหนังสือจากการเข้าถึงโดยไม่ได้รับอนุญาต ความเสียหาย การโจรกรรม หรือการทำลาย (Kurose และ Ross, 2010).^[12]

ดูเพิ่มเติม

• การจัดการความเสี่ยง
• การระบุความเสี่ยง

1. Cherdantseva Y. and Hilton J.: "Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals". In: Organizational, Legal, and Technological Dimensions of Information System Administrator. Almeida F., Portela, I. (eds.). IGI Global Publishing. (2013)
2. ISO/IEC 27000:2018 (E). (2018). Information technology – Security techniques – Information security management systems – Overview and vocabulary. ISO/IEC.
3. Committee on National Security Systems: National Information Assurance (IA) Glossary, CNSS Instruction No. 4009, 26 April 2010.
4. ISACA. (2008). Glossary of terms, 2008. Retrieved from http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
5. Pipkin, D. (2000). Information security: Protecting the global enterprise. New York: Hewlett-Packard Company.
6. B., McDermott, E., & Geer, D. (2001). Information security is information risk management. In Proceedings of the 2001 Workshop on New Security Paradigms NSPW ‘01, (pp. 97 – 104). ACM. doi:10.1145/508171.508187
7. Anderson, J. M. (2003). "Why we need a new definition of information security". Computers & Security. 22 (4): 308–313. doi:10.1016/S0167-4048(03)00407-3.
8. Venter, H. S.; Eloff, J. H. P. (2003). "A taxonomy for information security technologies". Computers & Security. 22 (4): 299–307. doi:10.1016/S0167-4048(03)00406-1.
9. Gold, S (December 2004). "Threats looming beyond the perimeter". Information Security Technical Report. 9 (4): 12–14. doi:10.1016/s1363-4127(04)00047-0. ISSN 1363-4127.
10. Parker, Donn B. (January 1993). "A Comprehensive List of Threats To Information". Information Systems Security. 2 (2): 10–14. doi:10.1080/19393559308551348. ISSN 1065-898X. S2CID 30661431.
11. Sullivant, John (2016), "The Evolving Threat Environment", Building a Corporate Culture of Security, Elsevier, pp. 33–50, doi:10.1016/b978-0-12-802019-7.00004-3, ISBN 978-0-12-802019-7, สืบค้นเมื่อ 2021-05-28
12. Бучик, С. С.; Юдін, О. К.; Нетребко, Р. В. (2016-12-21). "The analysis of methods of determination of functional types of security of the information-telecommunication system from an unauthorized access". Problems of Informatization and Management. 4 (56). doi:10.18372/2073-4751.4.13135. ISSN 2073-4751.