คุณสมบัติสามประการของการปกป้องข้อมูลสารสนเทศประกอบด้วยอะไรบ้าง

ความปลอดภัยของข้อมูลบางครั้งย่อมาจากinfosecคือแนวปฏิบัติในการปกป้องข้อมูลโดยการลดความเสี่ยงของข้อมูล มันเป็นส่วนหนึ่งของการบริหารความเสี่ยงข้อมูล โดยทั่วไปจะเกี่ยวข้องกับการป้องกันหรือลดความน่าจะเป็นของการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต / ไม่เหมาะสมหรือการใช้งานการเปิดเผยการหยุดชะงักการลบการทุจริตการแก้ไขการตรวจสอบการบันทึกหรือการลดค่าของข้อมูลโดยไม่ชอบด้วยกฎหมาย [1]นอกจากนี้ยังเกี่ยวข้องกับการดำเนินการที่มีวัตถุประสงค์เพื่อลดผลกระทบที่ไม่พึงประสงค์จากเหตุการณ์ดังกล่าว ข้อมูลที่ได้รับการคุ้มครองอาจอยู่ในรูปแบบใดก็ได้เช่นอิเล็กทรอนิกส์หรือทางกายภาพจับต้องได้ (เช่นเอกสาร ) หรือจับต้องไม่ได้ (เช่นความรู้). เป้าหมายหลักของการรักษาความปลอดภัยข้อมูลคือการป้องกันที่สมดุลของการรักษาความลับความซื่อสัตย์และความพร้อมของข้อมูล (หรือที่เรียกว่าสามของซีไอเอ) ขณะที่ยังคงมุ่งเน้นไปที่ประสิทธิภาพของนโยบายการดำเนินการทั้งหมดโดยไม่ขัดขวางองค์กรการผลิต สิ่งนี้สามารถทำได้โดยส่วนใหญ่ผ่านกระบวนการบริหารความเสี่ยงที่มีโครงสร้างซึ่งเกี่ยวข้องกับ:

สารบัญ Show

คำจำกัดความ
ภาพรวม
ภัยคุกคาม
ประวัติศาสตร์
หลักการพื้นฐาน
แนวคิดหลัก
การบริหารความเสี่ยง
การควบคุมความปลอดภัย
การป้องกันในเชิงลึก
การจัดประเภทความปลอดภัยสำหรับข้อมูล
การควบคุมการเข้าถึง
การเข้ารหัส
กระบวนการ
การกำกับดูแลความปลอดภัย
แผนการรับมือกับเหตุการณ์
การบริหารการเปลี่ยนแปลง
ต่อเนื่องทางธุรกิจ
กฎหมายและข้อบังคับ
วัฒนธรรมความปลอดภัยของข้อมูล
แหล่งที่มาของมาตรฐาน
ดูสิ่งนี้ด้วย
อ้างอิง
อ่านเพิ่มเติม
บรรณานุกรม
ลิงก์ภายนอก
ข้อใดคือ 3 หลักของการรักษาความปลอดภัยข้อมูล (Information Security)
คุณสมบัติในการรักษาความปลอดภัยของข้อมูลมีอะไรบ้าง
หลักการพื้นฐานของการรักษาความปลอดภัยของข้อมูลทั้ง 3 ด้าน มีอะไรบ้าง
ทรัพย์สินสารสนเทศ มีอะไรบ้าง

ระบุข้อมูลและที่เกี่ยวข้องกับสินทรัพย์รวมทั้งศักยภาพการคุกคาม , ช่องโหว่และผลกระทบ;
การประเมินความเสี่ยง
การตัดสินใจว่าจะจัดการกับความเสี่ยงอย่างไรเช่นหลีกเลี่ยงบรรเทาแบ่งปันหรือยอมรับความเสี่ยงนั้น
ในกรณีที่จำเป็นต้องมีการลดความเสี่ยงการเลือกหรือออกแบบการควบคุมความปลอดภัยที่เหมาะสมและนำไปใช้
ติดตามกิจกรรมการปรับเปลี่ยนตามความจำเป็นเพื่อแก้ไขปัญหาการเปลี่ยนแปลงและโอกาสในการปรับปรุง

ที่จะสร้างมาตรฐานวินัยนี้นักวิชาการและผู้เชี่ยวชาญด้านการทำงานร่วมกันเพื่อให้คำแนะนำข้อเสนอนโยบายและมาตรฐานอุตสาหกรรมในรหัสผ่าน , ซอฟต์แวร์ป้องกันไวรัส , ไฟร์วอลล์ , ซอฟต์แวร์การเข้ารหัส , ความรับผิดตามกฎหมาย , ตระหนักถึงความปลอดภัยและการฝึกอบรมและอื่น ๆ มาตรฐานนี้อาจได้รับการขับเคลื่อนเพิ่มเติมโดยกฎหมายและข้อบังคับต่างๆมากมายที่มีผลต่อวิธีการเข้าถึงประมวลผลจัดเก็บถ่ายโอนและทำลายข้อมูล อย่างไรก็ตามการปฏิบัติตามมาตรฐานและแนวทางใด ๆ ภายในหน่วยงานอาจมีผล จำกัด หากไม่ได้นำวัฒนธรรมการปรับปรุงอย่างต่อเนื่องมาใช้

คำจำกัดความ

ความปลอดภัยของข้อมูลคุณสมบัติหรือคุณภาพคือ การรักษาความลับ , ความซื่อสัตย์และ ความพร้อมใช้งาน (ซีไอเอ) ระบบสารสนเทศประกอบด้วยสามส่วนหลักฮาร์ดแวร์ซอฟต์แวร์และการสื่อสารโดยมีวัตถุประสงค์เพื่อช่วยระบุและใช้มาตรฐานอุตสาหกรรมการรักษาความปลอดภัยข้อมูลเป็นกลไกในการป้องกันและป้องกันในสามระดับหรือชั้น: ทางกายภาพส่วนบุคคลและองค์กร โดยพื้นฐานแล้วขั้นตอนหรือนโยบายจะถูกนำไปใช้เพื่อบอกผู้ดูแลระบบผู้ใช้และผู้ปฏิบัติงานถึงวิธีการใช้ผลิตภัณฑ์เพื่อให้มั่นใจในความปลอดภัยของข้อมูลภายในองค์กร [2]

คำจำกัดความต่างๆของการรักษาความปลอดภัยข้อมูลมีคำแนะนำด้านล่างโดยสรุปจากแหล่งข้อมูลต่างๆ:

"การรักษาความลับความสมบูรณ์และความพร้อมใช้งานของข้อมูลหมายเหตุ: นอกจากนี้คุณสมบัติอื่น ๆ เช่นความถูกต้องความรับผิดชอบการไม่ปฏิเสธและความน่าเชื่อถือก็มีส่วนเกี่ยวข้องด้วย" (ISO / IEC 27000: 2009) [3]
"การปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึงการใช้การเปิดเผยการหยุดชะงักการปรับเปลี่ยนหรือการทำลายโดยไม่ได้รับอนุญาตเพื่อให้เป็นความลับความสมบูรณ์และความพร้อมใช้งาน" (CNSS, 2010) [4]
"ตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาต (การรักษาความลับ) เท่านั้นที่สามารถเข้าถึงข้อมูลที่ถูกต้องและสมบูรณ์ (ความสมบูรณ์) เมื่อจำเป็น (ความพร้อมใช้งาน)" (ISACA, 2008) [5]
"ความปลอดภัยของข้อมูลคือกระบวนการปกป้องทรัพย์สินทางปัญญาขององค์กร" (พิพกิ้น, 2543) [6]
"... ความปลอดภัยของข้อมูลคือวินัยในการบริหารความเสี่ยงซึ่งมีหน้าที่ในการจัดการต้นทุนความเสี่ยงของข้อมูลที่มีต่อธุรกิจ" (McDermott and Geer, 2001) [7]
"ความมั่นใจในข้อมูลที่ดีว่าความเสี่ยงและการควบคุมข้อมูลอยู่ในสมดุล" (แอนเดอร์สัน, เจ., 2546) [8]
"ความปลอดภัยของข้อมูลคือการปกป้องข้อมูลและลดความเสี่ยงในการเปิดเผยข้อมูลต่อบุคคลที่ไม่ได้รับอนุญาต" (Venter และ Eloff, 2003) [9]
"การรักษาความปลอดภัยของข้อมูลเป็นสาขาการศึกษาและกิจกรรมทางวิชาชีพแบบสหสาขาวิชาชีพที่เกี่ยวข้องกับการพัฒนาและการใช้กลไกการรักษาความปลอดภัยทุกประเภทที่มีอยู่ (ทางเทคนิคองค์กรที่มุ่งเน้นบุคคลและกฎหมาย) เพื่อเก็บข้อมูลไว้ในทุกสถานที่ (ภายในและ นอกขอบเขตขององค์กร) และด้วยเหตุนี้ระบบสารสนเทศซึ่งข้อมูลถูกสร้างประมวลผลจัดเก็บส่งและทำลายโดยปราศจากภัยคุกคามอาจมีการแบ่งประเภทภัยคุกคามต่อข้อมูลและระบบข้อมูลและอาจมีการกำหนดเป้าหมายด้านความปลอดภัยที่เกี่ยวข้องสำหรับแต่ละประเภท ภัยคุกคามชุดเป้าหมายด้านความปลอดภัยซึ่งระบุว่าเป็นผลมาจากการวิเคราะห์ภัยคุกคามควรได้รับการแก้ไขเป็นระยะ ๆ เพื่อให้แน่ใจว่ามีความเพียงพอและสอดคล้องกับสภาพแวดล้อมที่เปลี่ยนแปลงไปชุดของเป้าหมายด้านความปลอดภัยที่เกี่ยวข้องในปัจจุบันอาจรวมถึงการรักษาความลับความสมบูรณ์ความพร้อมใช้งานความเป็นส่วนตัว ความน่าเชื่อถือและความน่าเชื่อถือการไม่ปฏิเสธความรับผิดชอบและความสามารถในการตรวจสอบได้ ” (Cherdantseva และฮิลตัน 2013) [2]
การรักษาความปลอดภัยข้อมูลและทรัพยากรสารสนเทศโดยใช้ระบบโทรคมนาคมหรืออุปกรณ์หมายถึงการปกป้องข้อมูลระบบสารสนเทศหรือหนังสือจากการเข้าถึงโดยไม่ได้รับอนุญาตความเสียหายการโจรกรรมหรือการทำลายล้าง (Kurose and Ross, 2010)

ภาพรวม

หัวใจสำคัญของการรักษาความปลอดภัยของข้อมูลคือการประกันข้อมูลการกระทำในการรักษาความลับความสมบูรณ์และความพร้อมใช้งาน (CIA) ของข้อมูลเพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกบุกรุกไม่ว่าด้วยวิธีใด ๆ เมื่อเกิดปัญหาร้ายแรง [10]ปัญหาเหล่านี้รวมถึง แต่ไม่ จำกัด เพียงภัยธรรมชาติความผิดปกติของคอมพิวเตอร์ / เซิร์ฟเวอร์และการโจรกรรมทางกายภาพ ในขณะที่การดำเนินธุรกิจที่ใช้กระดาษยังคงเป็นที่แพร่หลายโดยต้องมีชุดแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลของตนเอง แต่การริเริ่มด้านดิจิทัลขององค์กรได้รับความสำคัญมากขึ้นเรื่อย ๆ[11] [12]โดยปกติแล้วการรับรองข้อมูลจะถูกจัดการโดยผู้เชี่ยวชาญด้านความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT) ผู้เชี่ยวชาญเหล่านี้ใช้ความปลอดภัยของข้อมูลกับเทคโนโลยี (ส่วนใหญ่มักเป็นระบบคอมพิวเตอร์บางรูปแบบ) ควรทราบว่าคอมพิวเตอร์ไม่ได้หมายถึงเดสก์ท็อปที่บ้าน คอมพิวเตอร์คืออุปกรณ์ใด ๆ ที่มีโปรเซสเซอร์และหน่วยความจำบางส่วน อุปกรณ์ดังกล่าวมีตั้งแต่อุปกรณ์แบบสแตนด์อโลนที่ไม่ใช่เครือข่ายเช่นเครื่องคิดเลขไปจนถึงอุปกรณ์คอมพิวเตอร์เคลื่อนที่ในเครือข่ายเช่นสมาร์ทโฟนและคอมพิวเตอร์แท็บเล็ต ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีมักพบได้ในองค์กร / สถานประกอบการขนาดใหญ่เนื่องจากลักษณะและมูลค่าของข้อมูลในธุรกิจขนาดใหญ่ พวกเขามีหน้าที่รับผิดชอบในการรักษาเทคโนโลยีทั้งหมดภายใน บริษัท ให้ปลอดภัยจากการโจมตีทางไซเบอร์ที่เป็นอันตรายซึ่งมักจะพยายามรับข้อมูลส่วนตัวที่สำคัญหรือเข้าควบคุมระบบภายใน

สาขาการรักษาความปลอดภัยของข้อมูลได้เติบโตและพัฒนาขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา มันมีหลายพื้นที่สำหรับความเชี่ยวชาญรวมถึงเครือข่ายการรักษาความปลอดภัยและพันธมิตรโครงสร้างพื้นฐานการรักษาความปลอดภัยการใช้งานและฐานข้อมูล , การทดสอบความปลอดภัยระบบข้อมูลการตรวจสอบ , การวางแผนธุรกิจต่อเนื่องการค้นพบบันทึกอิเล็กทรอนิกส์และนิติดิจิตอลผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลมีความมั่นคงในการจ้างงานมาก ณ ปี 2556ผู้เชี่ยวชาญมากกว่า 80 เปอร์เซ็นต์ไม่มีการเปลี่ยนแปลงนายจ้างหรือการจ้างงานในช่วงเวลาหนึ่งปีและคาดว่าจำนวนผู้เชี่ยวชาญจะเพิ่มขึ้นอย่างต่อเนื่องมากกว่า 11 เปอร์เซ็นต์ต่อปีตั้งแต่ปี 2014 ถึง 2019 [13]

ภัยคุกคาม

ภัยคุกคามด้านความปลอดภัยของข้อมูลมีหลายรูปแบบ ภัยคุกคามที่พบบ่อยที่สุดในปัจจุบัน ได้แก่ การโจมตีซอฟต์แวร์การขโมยทรัพย์สินทางปัญญาการขโมยข้อมูลประจำตัวการขโมยอุปกรณ์หรือข้อมูลการก่อวินาศกรรมและการขู่กรรโชกข้อมูล คนส่วนใหญ่เคยประสบกับการโจมตีของซอฟต์แวร์บางประเภท ไวรัส , [14] เวิร์ม , โจมตีฟิชชิ่งและม้าโทรจันเป็นตัวอย่างที่พบได้บ่อยจากการโจมตีของซอฟแวร์ การขโมยทรัพย์สินทางปัญญายังเป็นปัญหาใหญ่สำหรับหลายธุรกิจในสาขาเทคโนโลยีสารสนเทศ ( IT ) โจรกรรมเป็นความพยายามที่จะทำหน้าที่เป็นคนอื่นมักจะได้รับข้อมูลส่วนบุคคลของบุคคลนั้นหรือจะใช้ประโยชน์จากการเข้าถึงข้อมูลที่สำคัญผ่านทางวิศวกรรมทางสังคม การขโมยอุปกรณ์หรือข้อมูลเป็นที่แพร่หลายมากขึ้นในปัจจุบันเนื่องจากอุปกรณ์ส่วนใหญ่ในปัจจุบันเป็นอุปกรณ์พกพา[15]มีแนวโน้มที่จะถูกโจรกรรมและยังเป็นที่ต้องการมากขึ้นเมื่อปริมาณความจุข้อมูลเพิ่มขึ้น การก่อวินาศกรรมมักประกอบด้วยการทำลายเว็บไซต์ขององค์กรเพื่อพยายามทำให้ลูกค้าสูญเสียความเชื่อมั่น การขู่กรรโชกข้อมูลประกอบด้วยการขโมยทรัพย์สินของ บริษัท หรือข้อมูลเพื่อพยายามรับเงินเพื่อแลกกับการส่งคืนข้อมูลหรือทรัพย์สินคืนให้กับเจ้าของเช่นเดียวกับแรนซัมแวร์ มีหลายวิธีในการช่วยป้องกันตนเองจากการโจมตีเหล่านี้ แต่หนึ่งในข้อควรระวังที่ใช้งานได้ดีที่สุดคือดำเนินการรับรู้ผู้ใช้เป็นระยะ ภัยคุกคามอันดับหนึ่งต่อองค์กรคือผู้ใช้หรือพนักงานภายในเรียกอีกอย่างว่าภัยจากบุคคลภายใน

รัฐบาล , ทหาร , องค์กร , สถาบันการเงิน , โรงพยาบาล , องค์กรที่ไม่แสวงหาผลกำไรและเอกชนธุรกิจรวบรวมจัดการที่ดีของข้อมูลลับเกี่ยวกับพนักงานลูกค้าผลิตภัณฑ์วิจัยและสถานะทางการเงินของพวกเขา หากข้อมูลที่เป็นความลับเกี่ยวกับลูกค้าหรือการเงินของธุรกิจหรือสายผลิตภัณฑ์ใหม่ตกอยู่ในมือของคู่แข่งหรือแฮ็กเกอร์หมวกดำธุรกิจและลูกค้าอาจได้รับความสูญเสียทางการเงินอย่างกว้างขวางและไม่สามารถแก้ไขได้รวมทั้งความเสียหายต่อชื่อเสียงของ บริษัท จากมุมมองทางธุรกิจการรักษาความปลอดภัยของข้อมูลจะต้องสมดุลกับต้นทุน แบบจำลองGordon-Loebเป็นแนวทางทางเศรษฐศาสตร์ทางคณิตศาสตร์สำหรับการจัดการกับข้อกังวลนี้ [16]

สำหรับบุคคลที่รักษาความปลอดภัยข้อมูลที่มีผลกระทบต่อความเป็นส่วนตัวซึ่งถูกมองว่าแตกต่างกันมากในหลายวัฒนธรรม

การตอบสนองต่อภัยคุกคาม

การตอบสนองที่เป็นไปได้ต่อภัยคุกคามด้านความปลอดภัยหรือความเสี่ยงได้แก่ : [17]

ลด / บรรเทา - ใช้มาตรการป้องกันและมาตรการตอบโต้เพื่อกำจัดช่องโหว่หรือปิดกั้นภัยคุกคาม
มอบหมาย / โอน - วางต้นทุนของภัยคุกคามไปยังหน่วยงานหรือองค์กรอื่นเช่นการซื้อประกันหรือการเอาท์ซอร์ส
ยอมรับ - ประเมินว่าต้นทุนของมาตรการตอบโต้นั้นมีมากกว่าต้นทุนที่อาจเกิดขึ้นจากการสูญเสียอันเนื่องมาจากภัยคุกคามหรือไม่

ประวัติศาสตร์

ตั้งแต่วันแรกของการสื่อสารนักการทูตและผู้บัญชาการทหารที่เข้าใจว่ามันเป็นสิ่งจำเป็นเพื่อให้กลไกบางอย่างเพื่อปกป้องความลับของการติดต่อและจะมีวิธีการตรวจสอบบางปลอมแปลง Julius Caesarได้รับเครดิตจากการประดิษฐ์รหัสซีซาร์ c. 50 ปีก่อนคริสตกาลซึ่งสร้างขึ้นเพื่อป้องกันไม่ให้ข้อความลับของเขาถูกอ่านหากข้อความตกไปอยู่ในมือคนผิด อย่างไรก็ตามการป้องกันส่วนใหญ่ทำได้โดยการประยุกต์ใช้การควบคุมการจัดการขั้นตอน [18] [19]ข้อมูลที่ละเอียดอ่อนถูกทำเครื่องหมายขึ้นเพื่อระบุว่าควรได้รับการปกป้องและขนส่งโดยบุคคลที่เชื่อถือได้ปกป้องและจัดเก็บในสภาพแวดล้อมที่ปลอดภัยหรือกล่องที่แข็งแรง เมื่อบริการไปรษณีย์ขยายตัวรัฐบาลต่าง ๆ ได้สร้างองค์กรอย่างเป็นทางการเพื่อสกัดกั้นถอดรหัสอ่านและปิดผนึกจดหมาย (เช่นสำนักงานลับของสหราชอาณาจักรก่อตั้งขึ้นในปี ค.ศ. 1653 [20] )

ในช่วงกลางศตวรรษที่สิบเก้าระบบการจำแนกที่ซับซ้อนมากขึ้นได้รับการพัฒนาเพื่อให้รัฐบาลสามารถจัดการข้อมูลของตนได้ตามระดับความอ่อนไหว ตัวอย่างเช่นรัฐบาลอังกฤษประมวลเรื่องนี้ในระดับหนึ่งด้วยการตีพิมพ์พระราชบัญญัติความลับอย่างเป็นทางการในปีพ. ศ. 2432 [21]มาตรา 1 ของกฎหมายที่เกี่ยวข้องกับการจารกรรมข้อมูลและการเปิดเผยข้อมูลโดยมิชอบด้วยกฎหมายในขณะที่มาตรา 2 จัดการกับการละเมิดความไว้วางใจของทางการ ในไม่ช้าก็มีการเพิ่มการป้องกันผลประโยชน์สาธารณะเพื่อปกป้องการเปิดเผยข้อมูลเพื่อประโยชน์ของรัฐ [22]กฎหมายลักษณะเดียวกันนี้ผ่านในอินเดียในปี พ.ศ. 2432 พระราชบัญญัติความลับของทางการอินเดียซึ่งเกี่ยวข้องกับยุคอาณานิคมของอังกฤษและใช้ในการปราบปรามหนังสือพิมพ์ที่ต่อต้านนโยบายของราช เวอร์ชันที่ใหม่กว่าได้รับการส่งผ่านในปีพ. ศ. [23]

เมื่อถึงช่วงสงครามโลกครั้งที่หนึ่งระบบการจำแนกหลายชั้นถูกนำมาใช้เพื่อสื่อสารข้อมูลไปยังและจากแนวรบต่างๆซึ่งสนับสนุนให้มีการใช้รหัสมากขึ้นและทำลายส่วนต่างๆในสำนักงานใหญ่ทางการทูตและการทหาร การเข้ารหัสมีความซับซ้อนมากขึ้นระหว่างสงครามเนื่องจากเครื่องจักรถูกใช้เพื่อช่วงชิงและถอดรหัสข้อมูล ปริมาณข้อมูลที่แบ่งปันโดยประเทศพันธมิตรในช่วงสงครามโลกครั้งที่สองจำเป็นต้องมีการจัดวางระบบการจำแนกและการควบคุมขั้นตอนอย่างเป็นทางการ ช่วงของเครื่องหมายลึกลับพัฒนาขึ้นเพื่อระบุว่าใครสามารถจัดการเอกสารได้ (โดยปกติจะเป็นเจ้าหน้าที่แทนที่จะเป็นทหารเกณฑ์) และควรเก็บไว้ที่ใดเนื่องจากมีการพัฒนาตู้เซฟและสถานที่จัดเก็บที่ซับซ้อนมากขึ้น เครื่อง Enigmaซึ่งได้รับการว่าจ้างโดยชาวเยอรมันในการเข้ารหัสข้อมูลของสงครามและถูกถอดรหัสประสบความสำเร็จโดยอลันทัวริงสามารถถือได้ว่าเป็นตัวอย่างที่โดดเด่นของการสร้างและใช้ข้อมูลที่มีความปลอดภัย [24]ขั้นตอนการพัฒนาเพื่อให้แน่ใจว่าเอกสารถูกทำลายอย่างถูกต้องและความล้มเหลวในการปฏิบัติตามขั้นตอนเหล่านี้ซึ่งนำไปสู่การรัฐประหารครั้งยิ่งใหญ่ที่สุดของสงคราม (เช่นการยึดU-570 [24] )

ในตอนท้ายของศตวรรษที่ยี่สิบและปีแรกของศตวรรษที่ยี่สิบเอ็ดเห็นความก้าวหน้าอย่างรวดเร็วในการสื่อสารโทรคมนาคม , คอมพิวเตอร์ฮาร์ดแวร์และซอฟแวร์และข้อมูลการเข้ารหัส ความพร้อมใช้งานของอุปกรณ์คอมพิวเตอร์ขนาดเล็กที่ทรงพลังกว่าและราคาไม่แพงทำให้การประมวลผลข้อมูลอิเล็กทรอนิกส์อยู่ในมือของธุรกิจขนาดเล็กและผู้ใช้ตามบ้าน [ ต้องการอ้างอิง ]การจัดตั้ง Transfer Control Protocol / Internetwork Protocol (TCP / IP) ในช่วงต้นทศวรรษ 1980 ทำให้คอมพิวเตอร์ประเภทต่างๆสามารถสื่อสารกันได้ [25]คอมพิวเตอร์เหล่านี้ได้อย่างรวดเร็วกลายเป็นที่เชื่อมต่อกันผ่านทางอินเทอร์เน็ต

การเติบโตอย่างรวดเร็วและการใช้อย่างแพร่หลายในการประมวลผลข้อมูลอิเล็กทรอนิกส์และธุรกิจอิเล็กทรอนิกส์ที่ดำเนินการผ่านอินเทอร์เน็ตพร้อมกับการก่อการร้ายระหว่างประเทศจำนวนมากทำให้เกิดความต้องการวิธีการที่ดีขึ้นในการปกป้องคอมพิวเตอร์และข้อมูลที่พวกเขาจัดเก็บประมวลผลและส่ง [26]สาขาวิชาการรักษาความปลอดภัยคอมพิวเตอร์และการประกันข้อมูลโผล่ออกมาพร้อมกับองค์กรวิชาชีพต่าง ๆ นานาทั้งหมดที่ใช้เป้าหมายร่วมกันในการตรวจสอบความปลอดภัยและความน่าเชื่อถือของระบบสารสนเทศ

หลักการพื้นฐาน

แนวคิดหลัก

โปสเตอร์ส่งเสริมความปลอดภัยของข้อมูลโดยกระทรวงกลาโหมรัสเซีย

CIA สามกลุ่มของการรักษาความลับความซื่อสัตย์และความพร้อมใช้งานเป็นหัวใจสำคัญของความปลอดภัยของข้อมูล [27] (สมาชิกของกลุ่มสามกลุ่มอินโฟเซกแบบคลาสสิก - การรักษาความลับความสมบูรณ์และความพร้อมใช้งาน - ถูกอ้างถึงในเอกสารนี้แทนกันว่าคุณลักษณะด้านความปลอดภัยคุณสมบัติเป้าหมายด้านความปลอดภัยประเด็นพื้นฐานเกณฑ์ข้อมูลลักษณะข้อมูลที่สำคัญและส่วนประกอบพื้นฐาน) อย่างไรก็ตามการถกเถียงยังคงดำเนินต่อไปว่า CIA triad นี้เพียงพอหรือไม่ที่จะจัดการกับเทคโนโลยีและข้อกำหนดทางธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็วพร้อมคำแนะนำในการพิจารณาขยายจุดตัดระหว่างความพร้อมใช้งานและการรักษาความลับตลอดจนความสัมพันธ์ระหว่างความปลอดภัยและความเป็นส่วนตัว [10]บางครั้งมีการเสนอหลักการอื่น ๆ เช่น "ความรับผิดชอบ"; มีการชี้ให้เห็นว่าประเด็นต่างๆเช่นการไม่ปฏิเสธไม่เหมาะสมกับแนวคิดหลักทั้งสาม [28]

กลุ่มสามคนนี้ดูเหมือนจะถูกกล่าวถึงครั้งแรกในสิ่งพิมพ์ของNISTในปีพ. ศ. 2520 [29]

ในปี 1992 และแก้ไขในปี 2545 แนวปฏิบัติของOECD เพื่อความปลอดภัยของระบบข้อมูลและเครือข่าย[30] ได้เสนอหลักการที่เป็นที่ยอมรับโดยทั่วไป 9 ประการ ได้แก่ความตระหนักความรับผิดชอบการตอบสนองจริยธรรมประชาธิปไตยการประเมินความเสี่ยงการออกแบบและการใช้งานด้านความปลอดภัยการจัดการความปลอดภัย และการประเมินใหม่ จากสิ่งเหล่านั้นในปี 2547 หลักการทางวิศวกรรมของNIST เพื่อความปลอดภัยของเทคโนโลยีสารสนเทศ[28] ได้เสนอหลักการ 33 ข้อ จากแนวทางและแนวปฏิบัติที่ได้รับมาเหล่านี้

ในปี 1998 Donn ปาร์กเกอร์ที่นำเสนอรูปแบบทางเลือกสำหรับสามของซีไอเอคลาสสิกที่เขาเรียกว่าหกองค์ประกอบของอะตอมของข้อมูล องค์ประกอบที่มีการรักษาความลับ , ครอบครอง , ความสมบูรณ์ , ความถูกต้อง , ความพร้อมและยูทิลิตี้ ข้อดีของParkerian Hexadเป็นประเด็นที่มีการถกเถียงกันในหมู่ผู้เชี่ยวชาญด้านความปลอดภัย [31]

ในปี 2011 กลุ่ม บริษัท ได้เปิดรับการตีพิมพ์การจัดการความปลอดภัยของข้อมูลมาตรฐานO-ISM3 [32]มาตรฐานนี้เสนอนิยามเชิงปฏิบัติการของแนวคิดหลักของการรักษาความปลอดภัยโดยมีองค์ประกอบที่เรียกว่า "วัตถุประสงค์ด้านความปลอดภัย" ซึ่งเกี่ยวข้องกับการควบคุมการเข้าถึง (9) ความพร้อมใช้งาน (3) คุณภาพของข้อมูล (1) การปฏิบัติตามข้อกำหนดและทางเทคนิค (4) . ในปี 2009 DoD Software Protection Initiative ได้เปิดตัวหลักการสามประการของความปลอดภัยทางไซเบอร์ซึ่ง ได้แก่ ความอ่อนไหวของระบบการเข้าถึงข้อบกพร่องและความสามารถในการใช้ประโยชน์จากข้อบกพร่อง [33] [34] [35]ทั้งสองรุ่นนี้ไม่ได้รับการยอมรับอย่างกว้างขวาง

การรักษาความลับ

ในการรักษาความปลอดภัยของข้อมูลการรักษาความลับเป็นทรัพย์สินข้อมูลนั้นจะไม่เปิดเผยหรือเปิดเผยต่อบุคคลหน่วยงานหรือกระบวนการที่ไม่ได้รับอนุญาต " [36]แม้ว่าจะคล้ายกับ "ความเป็นส่วนตัว" แต่ทั้งสองคำไม่สามารถใช้แทนกันได้ แต่การรักษาความลับเป็นองค์ประกอบหนึ่งของความเป็นส่วนตัวที่ใช้ในการปกป้องข้อมูลของเราจากผู้ชมที่ไม่ได้รับอนุญาต ตัวอย่างของการรักษาความลับของข้อมูลอิเล็กทรอนิกส์ที่ถูกบุกรุก ได้แก่ การขโมยแล็ปท็อปการขโมยรหัสผ่านหรืออีเมลที่ละเอียดอ่อนที่ส่งไปยังบุคคลที่ไม่ถูกต้อง [37]

ความซื่อสัตย์

ในการรักษาความปลอดภัยไอทีความสมบูรณ์ของข้อมูลหมายถึงการรักษาและรับรองความถูกต้องและความสมบูรณ์ของข้อมูลตลอดอายุการใช้งานทั้งหมด [38]ซึ่งหมายความว่าไม่สามารถแก้ไขข้อมูลในลักษณะที่ไม่ได้รับอนุญาตหรือตรวจไม่พบ นี้ไม่ได้เป็นสิ่งเดียวกับการอ้างอิงในฐานข้อมูลแม้ว่ามันจะถูกมองว่าเป็นกรณีพิเศษของความมั่นคงเป็นที่เข้าใจกันในคลาสสิกกรดรูปแบบของการประมวลผลธุรกรรม โดยทั่วไประบบรักษาความปลอดภัยข้อมูลจะรวมการควบคุมเพื่อให้มั่นใจในความสมบูรณ์ของตัวเองโดยเฉพาะอย่างยิ่งการปกป้องเคอร์เนลหรือฟังก์ชันหลักจากภัยคุกคามทั้งโดยเจตนาและโดยบังเอิญ ระบบคอมพิวเตอร์อเนกประสงค์และผู้ใช้หลายคนมีจุดมุ่งหมายเพื่อแบ่งส่วนข้อมูลและการประมวลผลที่ไม่มีผู้ใช้หรือกระบวนการใดสามารถส่งผลเสียต่อระบบอื่นได้: การควบคุมอาจไม่ประสบความสำเร็จตามที่เราเห็นในเหตุการณ์ต่างๆเช่นการติดมัลแวร์การแฮ็กการขโมยข้อมูลการฉ้อโกง และการละเมิดความเป็นส่วนตัว

ในวงกว้างมากขึ้นความสมบูรณ์เป็นหลักการด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องกับความสมบูรณ์ของมนุษย์ / สังคมกระบวนการและความสมบูรณ์ทางการค้าตลอดจนความสมบูรณ์ของข้อมูล ด้วยเหตุนี้จึงให้ความสำคัญกับแง่มุมต่างๆเช่นความน่าเชื่อถือความสม่ำเสมอความจริงความสมบูรณ์ความถูกต้องตรงเวลาและความมั่นใจ

ความพร้อมใช้งาน

สำหรับระบบสารสนเทศใด ๆ ที่จะตอบสนองวัตถุประสงค์ของระบบข้อมูลจะต้องพร้อมใช้งานเมื่อจำเป็น ซึ่งหมายความว่าระบบคอมพิวเตอร์ที่ใช้ในการจัดเก็บและประมวลผลข้อมูลการควบคุมความปลอดภัยที่ใช้ในการป้องกันและช่องทางการสื่อสารที่ใช้ในการเข้าถึงจะต้องทำงานได้อย่างถูกต้อง ระบบที่มีความพร้อมใช้งานสูงมีเป้าหมายที่จะยังคงใช้งานได้ตลอดเวลาป้องกันการหยุดชะงักของบริการเนื่องจากไฟฟ้าดับความล้มเหลวของฮาร์ดแวร์และการอัปเกรดระบบ การตรวจสอบความพร้อมใช้งานยังเกี่ยวข้องกับการป้องกันการโจมตีแบบปฏิเสธการให้บริการเช่นข้อความขาเข้าจำนวนมากไปยังระบบเป้าหมายโดยบังคับให้ปิดระบบ [39]

ในขอบเขตของการรักษาความปลอดภัยของข้อมูลความพร้อมใช้งานมักถูกมองว่าเป็นส่วนที่สำคัญที่สุดส่วนหนึ่งของโปรแกรมรักษาความปลอดภัยข้อมูลที่ประสบความสำเร็จ ในที่สุดผู้ใช้ปลายทางจะต้องสามารถปฏิบัติหน้าที่การงานได้ โดยการสร้างความมั่นใจว่าองค์กรสามารถดำเนินการได้ตามมาตรฐานที่ผู้มีส่วนได้ส่วนเสียขององค์กรคาดหวัง ซึ่งอาจเกี่ยวข้องกับหัวข้อต่างๆเช่นการกำหนดค่าพร็อกซีการเข้าถึงเว็บภายนอกความสามารถในการเข้าถึงไดรฟ์ที่แชร์และความสามารถในการส่งอีเมล ผู้บริหารมักไม่เข้าใจด้านเทคนิคของการรักษาความปลอดภัยข้อมูลและมองว่าความพร้อมใช้งานเป็นวิธีแก้ไขที่ง่าย แต่มักต้องอาศัยความร่วมมือจากทีมงานในองค์กรต่างๆเช่นการดำเนินงานเครือข่ายการดำเนินการพัฒนาการตอบสนองต่อเหตุการณ์และการจัดการนโยบาย / การเปลี่ยนแปลง ทีมรักษาความปลอดภัยข้อมูลที่ประสบความสำเร็จเกี่ยวข้องกับบทบาทหลักที่แตกต่างกันมากมายในการเชื่อมโยงและจัดตำแหน่งเพื่อให้ CIA ทั้งสามได้รับอย่างมีประสิทธิภาพ

การไม่ปฏิเสธ

ในทางกฎหมายการไม่ปฏิเสธแสดงถึงความตั้งใจที่จะปฏิบัติตามภาระผูกพันที่มีต่อสัญญา นอกจากนี้ยังบอกเป็นนัยว่าฝ่ายหนึ่งของธุรกรรมไม่สามารถปฏิเสธการได้รับธุรกรรมและอีกฝ่ายหนึ่งไม่สามารถปฏิเสธการส่งธุรกรรมได้ [40]

สิ่งสำคัญคือต้องทราบว่าในขณะที่เทคโนโลยีเช่นระบบการเข้ารหัสสามารถช่วยในความพยายามที่จะไม่ปฏิเสธ แต่แนวคิดนี้เป็นแนวคิดหลักของแนวคิดทางกฎหมายที่ก้าวข้ามขอบเขตของเทคโนโลยี ตัวอย่างเช่นไม่เพียงพอที่จะแสดงให้เห็นว่าข้อความตรงกับลายเซ็นดิจิทัลที่ลงนามด้วยคีย์ส่วนตัวของผู้ส่งดังนั้นจึงมีเพียงผู้ส่งเท่านั้นที่สามารถส่งข้อความได้และไม่มีใครสามารถเปลี่ยนแปลงข้อความได้ในระหว่างการส่ง ( ความสมบูรณ์ของข้อมูล ) ผู้ส่งที่ถูกกล่าวหาสามารถกลับมาแสดงให้เห็นว่าอัลกอริทึมลายเซ็นดิจิทัลมีช่องโหว่หรือมีข้อบกพร่องหรือกล่าวหาหรือพิสูจน์ว่าคีย์การลงนามของเขาถูกบุกรุก ความผิดสำหรับการละเมิดเหล่านี้อาจอยู่กับผู้ส่งหรือไม่ก็ได้และการยืนยันดังกล่าวอาจหรือไม่อาจบรรเทาความรับผิดของผู้ส่งได้ แต่การยืนยันจะทำให้การอ้างสิทธิ์เป็นโมฆะว่าลายเซ็นจำเป็นต้องพิสูจน์ความถูกต้องและความสมบูรณ์ ด้วยเหตุนี้ผู้ส่งอาจปฏิเสธข้อความ (เนื่องจากความถูกต้องและความสมบูรณ์เป็นข้อกำหนดเบื้องต้นสำหรับการไม่ปฏิเสธ)

การบริหารความเสี่ยง

กล่าวโดยกว้างความเสี่ยงคือความเป็นไปได้ที่สิ่งที่ไม่ดีจะเกิดขึ้นซึ่งก่อให้เกิดอันตรายต่อสินทรัพย์ที่ให้ข้อมูล (หรือการสูญหายของสินทรัพย์) ช่องโหว่คือจุดอ่อนที่อาจใช้เพื่อทำอันตรายหรือก่อให้เกิดอันตรายต่อเนื้อหาที่ให้ข้อมูล ภัยคุกคามคืออะไรก็ได้ (ที่มนุษย์สร้างขึ้นหรือการกระทำจากธรรมชาติ ) ที่มีโอกาสก่อให้เกิดอันตรายได้ ความเป็นไปได้ที่ภัยคุกคามจะใช้ช่องโหว่เพื่อก่อให้เกิดอันตรายก่อให้เกิดความเสี่ยง เมื่อภัยคุกคามใช้ช่องโหว่ในการสร้างความเสียหายมันจะมีผลกระทบ ในบริบทของความปลอดภัยของข้อมูลผลกระทบคือการสูญเสียความพร้อมใช้งานความสมบูรณ์และการรักษาความลับและความสูญเสียอื่น ๆ (รายได้ที่สูญเสียชีวิตการสูญเสียทรัพย์สินที่แท้จริง) [41]

ได้รับการรับรองระบบสารสนเทศของผู้สอบบัญชี (CISA) ทบทวนคู่มือการใช้งาน 2006กำหนดจัดการความเสี่ยงเป็น "กระบวนการในการระบุช่องโหว่และภัยคุกคามไปยังแหล่งข้อมูลที่ใช้โดยองค์กรในการบรรลุวัตถุประสงค์ทางธุรกิจและตัดสินใจเลือกสิ่งที่ตอบโต้ถ้ามีที่จะใช้ในการลดความเสี่ยงที่จะ ระดับที่ยอมรับได้โดยพิจารณาจากคุณค่าของทรัพยากรสารสนเทศที่มีต่อองค์กร " [42]

มีสองสิ่งในคำจำกัดความนี้ที่อาจต้องการคำชี้แจง ก่อนที่กระบวนการของการบริหารความเสี่ยงเป็นอย่างต่อเนื่องซ้ำกระบวนการ จะต้องทำซ้ำไปเรื่อย ๆ สภาพแวดล้อมทางธุรกิจมีการเปลี่ยนแปลงตลอดเวลาและมีภัยคุกคามและช่องโหว่ใหม่ ๆเกิดขึ้นทุกวัน ประการที่สองทางเลือกของมาตรการตอบโต้ ( การควบคุม ) ที่ใช้ในการจัดการความเสี่ยงจะต้องสร้างความสมดุลระหว่างผลผลิตต้นทุนประสิทธิผลของมาตรการตอบโต้และมูลค่าของสินทรัพย์ที่ให้ข้อมูลที่ได้รับการคุ้มครอง นอกจากนี้กระบวนการเหล่านี้ยังมีข้อ จำกัด เนื่องจากการละเมิดความปลอดภัยมักเกิดขึ้นน้อยมากและเกิดขึ้นในบริบทเฉพาะซึ่งอาจไม่สามารถทำซ้ำได้โดยง่าย ดังนั้นกระบวนการและมาตรการตอบโต้ใด ๆ จึงควรได้รับการประเมินช่องโหว่ [43]เป็นไปไม่ได้ที่จะระบุความเสี่ยงทั้งหมดและไม่สามารถกำจัดความเสี่ยงทั้งหมดได้ ความเสี่ยงที่เหลือเรียกว่า "ความเสี่ยงที่เหลือ"

การประเมินความเสี่ยงดำเนินการโดยทีมงานที่มีความรู้เฉพาะด้านของธุรกิจ การเป็นสมาชิกของทีมอาจแตกต่างกันไปตามช่วงเวลาเนื่องจากมีการประเมินส่วนต่างๆของธุรกิจ การประเมินอาจใช้การวิเคราะห์เชิงคุณภาพแบบอัตนัยตามความเห็นที่มีข้อมูลหรือในกรณีที่มีตัวเลขดอลลาร์ที่เชื่อถือได้และข้อมูลในอดีตการวิเคราะห์อาจใช้การวิเคราะห์เชิงปริมาณ

การวิจัยพบว่าจุดที่เปราะบางที่สุดในระบบสารสนเทศส่วนใหญ่คือผู้ใช้ที่เป็นมนุษย์ผู้ปฏิบัติงานนักออกแบบหรือมนุษย์คนอื่น ๆ [44]หลักปฏิบัติISO / IEC 27002: 2005สำหรับการจัดการความปลอดภัยของข้อมูลแนะนำให้ตรวจสอบสิ่งต่อไปนี้ในระหว่างการประเมินความเสี่ยง:

นโยบายการรักษาความปลอดภัย ,
การจัดระเบียบความปลอดภัยของข้อมูล
การจัดการสินทรัพย์ ,
ความมั่นคงของทรัพยากรมนุษย์
ทางกายภาพและการรักษาความปลอดภัยด้านสิ่งแวดล้อม ,
การจัดการการสื่อสารและการปฏิบัติการ
การควบคุมการเข้าถึง ,
การจัดหาระบบสารสนเทศการพัฒนาและการบำรุงรักษา
ข้อมูลความปลอดภัยการจัดการเหตุการณ์ ,
การจัดการความต่อเนื่องทางธุรกิจ
การปฏิบัติตามกฎข้อบังคับ

ในแง่กว้างกระบวนการบริหารความเสี่ยงประกอบด้วย: [45] [46]

การระบุสินทรัพย์และการประเมินมูลค่า รวมถึงบุคคลอาคารฮาร์ดแวร์ซอฟต์แวร์ข้อมูล (อิเล็กทรอนิกส์สิ่งพิมพ์อื่น ๆ ) วัสดุสิ้นเปลือง
ดำเนินการประเมินภัยคุกคาม รวมถึง: การกระทำในลักษณะการกระทำสงครามอุบัติเหตุการกระทำที่เป็นอันตรายที่เกิดจากภายในหรือภายนอกองค์กร
ทำการประเมินช่องโหว่และสำหรับแต่ละช่องโหว่ให้คำนวณความน่าจะเป็นที่จะถูกใช้ประโยชน์ ประเมินนโยบายขั้นตอนมาตรฐานการฝึกอบรมความปลอดภัยทางกายภาพ , การควบคุมคุณภาพ , การรักษาความปลอดภัยทางเทคนิค
คำนวณผลกระทบที่ภัยคุกคามแต่ละอย่างจะมีต่อสินทรัพย์แต่ละรายการ ใช้การวิเคราะห์เชิงคุณภาพหรือการวิเคราะห์เชิงปริมาณ
ระบุเลือกและใช้การควบคุมที่เหมาะสม ให้การตอบสนองตามสัดส่วน พิจารณาผลผลิตความคุ้มทุนและมูลค่าของสินทรัพย์
ประเมินประสิทธิผลของมาตรการควบคุม ตรวจสอบให้แน่ใจว่าการควบคุมให้การป้องกันที่คุ้มค่าตามที่ต้องการโดยไม่สูญเสียผลผลิตที่มองเห็นได้

สำหรับความเสี่ยงใด ๆ ผู้บริหารสามารถเลือกที่จะยอมรับความเสี่ยงโดยพิจารณาจากมูลค่าต่ำของสินทรัพย์ความถี่ที่ต่ำสัมพัทธ์ของการเกิดเหตุการณ์และผลกระทบที่ต่ำโดยสัมพัทธ์ต่อธุรกิจ หรือผู้นำอาจเลือกที่จะลดความเสี่ยงโดยการเลือกและใช้มาตรการควบคุมที่เหมาะสมเพื่อลดความเสี่ยง ในบางกรณีความเสี่ยงสามารถโอนไปยังธุรกิจอื่นได้โดยการซื้อประกันหรือจ้างให้ธุรกิจอื่น [47]ความเป็นจริงของความเสี่ยงบางอย่างอาจถูกโต้แย้ง ในกรณีเช่นนี้ผู้นำอาจเลือกที่จะปฏิเสธความเสี่ยง

การควบคุมความปลอดภัย

การเลือกและใช้การควบคุมความปลอดภัยที่เหมาะสมในขั้นต้นจะช่วยให้องค์กรลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ การเลือกการควบคุมควรปฏิบัติตามและควรขึ้นอยู่กับการประเมินความเสี่ยง การควบคุมอาจแตกต่างกันไปตามธรรมชาติ แต่โดยพื้นฐานแล้วพวกเขาเป็นวิธีการปกป้องความลับความสมบูรณ์หรือความพร้อมใช้งานของข้อมูล ISO / IEC 27001ได้กำหนดการควบคุมในพื้นที่ต่างๆ องค์กรสามารถดำเนินการควบคุมเพิ่มเติมตามความต้องการขององค์กร [48] ISO / IEC 27002เสนอแนวทางสำหรับมาตรฐานการรักษาความปลอดภัยข้อมูลขององค์กร

ธุรการ

การควบคุมการดูแลระบบ (เรียกอีกอย่างว่าการควบคุมขั้นตอน) ประกอบด้วยนโยบายที่เป็นลายลักษณ์อักษรขั้นตอนมาตรฐานและแนวทางปฏิบัติที่ได้รับอนุมัติ การควบคุมการบริหารเป็นกรอบสำหรับการดำเนินธุรกิจและการจัดการคน พวกเขาแจ้งให้ผู้คนทราบถึงวิธีการดำเนินธุรกิจและวิธีดำเนินการในแต่ละวัน กฎหมายและข้อบังคับที่สร้างขึ้นโดยหน่วยงานของรัฐยังเป็นการควบคุมการบริหารประเภทหนึ่งเนื่องจากเป็นข้อมูลที่แจ้งให้ธุรกิจทราบ ภาคอุตสาหกรรมบางส่วนมีนโยบายขั้นตอนมาตรฐานและแนวทางปฏิบัติที่ต้องปฏิบัติตามเช่นมาตรฐานการรักษาความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน[49] (PCI DSS) ที่VisaและMasterCard กำหนดไว้เป็นตัวอย่าง ตัวอย่างอื่น ๆ ของการควบคุมการดูแลระบบ ได้แก่ นโยบายความปลอดภัยขององค์กรนโยบายรหัสผ่านนโยบายการจ้างงานและนโยบายด้านวินัย

การควบคุมการบริหารเป็นพื้นฐานสำหรับการเลือกและการใช้การควบคุมทางตรรกะและทางกายภาพ การควบคุมทางตรรกะและทางกายภาพเป็นอาการของการควบคุมการดูแลระบบซึ่งมีความสำคัญยิ่ง

ตรรกะ

การควบคุมเชิงตรรกะ (เรียกอีกอย่างว่าการควบคุมทางเทคนิค) ใช้ซอฟต์แวร์และข้อมูลเพื่อตรวจสอบและควบคุมการเข้าถึงข้อมูลและระบบคอมพิวเตอร์ รหัสผ่านเครือข่ายและไฟร์วอลล์โฮสต์ที่ใช้เครือข่ายตรวจจับการบุกรุกระบบรายการควบคุมการเข้าถึงและการเข้ารหัสข้อมูลเป็นตัวอย่างของการควบคุมตรรกะ

การควบคุมเชิงตรรกะที่สำคัญซึ่งมักถูกมองข้ามคือหลักการของสิทธิพิเศษขั้นต่ำซึ่งกำหนดให้บุคคลโปรแกรมหรือกระบวนการของระบบไม่ได้รับสิทธิ์การเข้าถึงใด ๆ มากเกินความจำเป็นในการปฏิบัติงาน [50]ตัวอย่างที่ชัดเจนของความล้มเหลวในการปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุดคือการเข้าสู่ระบบ Windows ในฐานะผู้ดูแลระบบของผู้ใช้เพื่ออ่านอีเมลและท่องเว็บ นอกจากนี้การละเมิดหลักการนี้อาจเกิดขึ้นได้เมื่อบุคคลใดบุคคลหนึ่งรวบรวมสิทธิ์การเข้าถึงเพิ่มเติมเมื่อเวลาผ่านไป สิ่งนี้เกิดขึ้นเมื่อหน้าที่การงานของพนักงานเปลี่ยนไปพนักงานได้รับการเลื่อนตำแหน่งไปยังตำแหน่งใหม่หรือพนักงานถูกย้ายไปยังแผนกอื่น สิทธิ์การเข้าถึงที่จำเป็นสำหรับหน้าที่ใหม่มักจะถูกเพิ่มเข้าไปในสิทธิ์การเข้าถึงที่มีอยู่แล้วซึ่งอาจไม่จำเป็นหรือเหมาะสมอีกต่อไป

ทางกายภาพ

การควบคุมทางกายภาพจะตรวจสอบและควบคุมสภาพแวดล้อมของสถานที่ทำงานและอุปกรณ์คอมพิวเตอร์ พวกเขายังตรวจสอบและควบคุมการเข้าถึงและออกจากสิ่งอำนวยความสะดวกดังกล่าวรวมถึงประตูล็อคเครื่องทำความร้อนและเครื่องปรับอากาศสัญญาณเตือนควันและไฟระบบดับเพลิงกล้องเครื่องกีดขวางรั้วยามรักษาความปลอดภัยสายเคเบิล ฯลฯ แยกเครือข่ายและสถานที่ทำงาน ในพื้นที่ทำงานยังเป็นการควบคุมทางกายภาพ

การควบคุมทางกายภาพที่สำคัญซึ่งมักถูกมองข้ามคือการแบ่งแยกหน้าที่ซึ่งทำให้มั่นใจได้ว่าแต่ละคนไม่สามารถทำงานที่สำคัญได้ด้วยตัวเอง ตัวอย่างเช่นพนักงานที่ยื่นคำร้องขอการชำระเงินคืนจะไม่สามารถอนุมัติการชำระเงินหรือพิมพ์เช็คได้ โปรแกรมเมอร์โปรแกรมประยุกต์ที่ไม่ควรจะเป็นผู้ดูแลระบบเซิร์ฟเวอร์หรือผู้ดูแลฐานข้อมูล ; บทบาทและความรับผิดชอบเหล่านี้จะต้องแยกออกจากกัน [51]

การป้องกันในเชิงลึก

รุ่นหอมของการป้องกันในเชิงลึก

ความปลอดภัยของข้อมูลจะต้องปกป้องข้อมูลตลอดอายุการใช้งานตั้งแต่การสร้างข้อมูลครั้งแรกจนถึงการกำจัดข้อมูลขั้นสุดท้าย ข้อมูลจะต้องได้รับการปกป้องในขณะเคลื่อนไหวและขณะอยู่นิ่ง ในช่วงชีวิตของมันข้อมูลอาจผ่านระบบประมวลผลข้อมูลที่แตกต่างกันและผ่านส่วนต่างๆของระบบประมวลผลข้อมูล มีหลายวิธีที่ระบบข้อมูลและสารสนเทศสามารถถูกคุกคามได้ เพื่อปกป้องข้อมูลอย่างเต็มที่ตลอดอายุการใช้งานองค์ประกอบของระบบประมวลผลข้อมูลแต่ละส่วนต้องมีกลไกการป้องกันของตนเอง การสร้างการแบ่งชั้นและการทับซ้อนกันของมาตรการรักษาความปลอดภัยเรียกว่า "การป้องกันในเชิงลึก" ในทางตรงกันข้ามกับโซ่โลหะซึ่งมีชื่อเสียงในด้านความแข็งแกร่งพอ ๆ กับการเชื่อมโยงที่อ่อนแอที่สุดกลยุทธ์การป้องกันในเชิงลึกมีเป้าหมายที่โครงสร้างหากมาตรการป้องกันหนึ่งล้มเหลวมาตรการอื่น ๆ จะยังคงให้ความคุ้มครองต่อไป [52]

นึกถึงการสนทนาก่อนหน้านี้เกี่ยวกับการควบคุมการดูแลระบบการควบคุมเชิงตรรกะและการควบคุมทางกายภาพ การควบคุมทั้งสามประเภทสามารถใช้เพื่อสร้างพื้นฐานในการสร้างการป้องกันในกลยุทธ์เชิงลึก ด้วยวิธีนี้การป้องกันในเชิงลึกสามารถกำหนดแนวความคิดเป็นสามชั้นที่แตกต่างกันหรือเครื่องบินวางทับอีกชั้นหนึ่ง ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการป้องกันในเชิงลึกสามารถรับได้โดยคิดว่ามันเป็นการสร้างชั้นของหัวหอมโดยมีข้อมูลอยู่ที่แกนกลางของหัวหอมคนชั้นนอกถัดไปของหัวหอมและการรักษาความปลอดภัยเครือข่ายการรักษาความปลอดภัยบนโฮสต์และแอปพลิเคชัน ความปลอดภัยขึ้นรูปชั้นนอกสุดของหัวหอม มุมมองทั้งสองมีความถูกต้องเท่าเทียมกันและแต่ละมุมมองให้ข้อมูลเชิงลึกที่มีคุณค่าเกี่ยวกับการนำกลยุทธ์การป้องกันที่ดีไปใช้ในเชิงลึก

การจัดประเภทความปลอดภัยสำหรับข้อมูล

สิ่งสำคัญของการรักษาความปลอดภัยของข้อมูลและการจัดการความเสี่ยงคือการตระหนักถึงคุณค่าของข้อมูลและการกำหนดขั้นตอนและข้อกำหนดการป้องกันที่เหมาะสมสำหรับข้อมูล ข้อมูลบางอย่างไม่เท่ากันและไม่ใช่ข้อมูลทั้งหมดที่ต้องการการป้องกันในระดับเดียวกัน เรื่องนี้ต้องมีข้อมูลที่จะได้รับมอบหมายการจัดหมวดหมู่การรักษาความปลอดภัย ขั้นตอนแรกในการจำแนกประเภทข้อมูลคือการระบุสมาชิกของผู้บริหารระดับสูงเป็นเจ้าของข้อมูลเฉพาะที่จะจัดประเภท จากนั้นพัฒนานโยบายการจัดหมวดหมู่ นโยบายควรอธิบายป้ายกำกับการจำแนกประเภทต่างๆกำหนดเกณฑ์สำหรับข้อมูลที่จะกำหนดป้ายกำกับเฉพาะและแสดงรายการการควบคุมความปลอดภัยที่จำเป็นสำหรับแต่ละประเภท [53]

ปัจจัยบางประการที่มีผลต่อการกำหนดข้อมูลการจำแนกประเภท ได้แก่ ข้อมูลที่มีคุณค่าต่อองค์กรข้อมูลนั้นเก่าเพียงใดและข้อมูลนั้นล้าสมัยหรือไม่ กฎหมายและข้อกำหนดด้านกฎระเบียบอื่น ๆ ยังเป็นข้อพิจารณาที่สำคัญในการจัดประเภทข้อมูล สมาคมการตรวจสอบและควบคุมระบบสารสนเทศ (ISACA) และรูปแบบธุรกิจเพื่อความปลอดภัยของข้อมูลยังทำหน้าที่เป็นเครื่องมือสำหรับผู้เชี่ยวชาญด้านความปลอดภัยในการตรวจสอบความปลอดภัยจากมุมมองของระบบสร้างสภาพแวดล้อมที่สามารถจัดการความปลอดภัยแบบองค์รวมทำให้สามารถจัดการกับความเสี่ยงที่แท้จริงได้ [54]

ประเภทของป้ายการจำแนกประเภทความปลอดภัยของข้อมูลที่เลือกและใช้จะขึ้นอยู่กับลักษณะขององค์กรโดยมีตัวอย่างดังนี้: [53]

ในภาคธุรกิจจะมีป้ายกำกับเช่น Public, Sensitive, Private, Confidential
ในส่วนราชการจะมีป้ายกำกับเช่น Unclassified, Unofficial, Protected, Confidential, Secret, Top Secret และสิ่งที่เทียบเท่าที่ไม่ใช่ภาษาอังกฤษ
ในการก่อตัวข้ามภาคส่วนพิธีสารสัญญาณไฟจราจรซึ่งประกอบด้วยสีขาวสีเขียวสีเหลืองอำพันและสีแดง

พนักงานทุกคนในองค์กรตลอดจนพันธมิตรทางธุรกิจจะต้องได้รับการฝึกอบรมเกี่ยวกับแผนผังการจำแนกประเภทและทำความเข้าใจเกี่ยวกับการควบคุมความปลอดภัยและขั้นตอนการจัดการที่จำเป็นสำหรับแต่ละประเภท การจัดประเภทของสินทรัพย์ข้อมูลเฉพาะที่ได้รับมอบหมายควรได้รับการทบทวนเป็นระยะเพื่อให้แน่ใจว่าการจัดประเภทยังคงเหมาะสมกับข้อมูลและเพื่อให้แน่ใจว่ามีการควบคุมการรักษาความปลอดภัยที่กำหนดโดยการจัดประเภทและปฏิบัติตามขั้นตอนที่ถูกต้อง

การควบคุมการเข้าถึง

การเข้าถึงข้อมูลที่ได้รับการป้องกันจะต้อง จำกัด เฉพาะผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูล โปรแกรมคอมพิวเตอร์และในหลาย ๆ กรณีคอมพิวเตอร์ที่ประมวลผลข้อมูลจะต้องได้รับอนุญาตด้วย สิ่งนี้ต้องการให้มีกลไกในการควบคุมการเข้าถึงข้อมูลที่ได้รับการคุ้มครอง ความซับซ้อนของกลไกการควบคุมการเข้าถึงควรมีความเท่าเทียมกันกับคุณค่าของข้อมูลที่ได้รับการปกป้อง ยิ่งข้อมูลมีความอ่อนไหวหรือมีค่ามากเท่าไหร่กลไกการควบคุมก็จะต้องมีความเข้มแข็งมากขึ้นเท่านั้น รากฐานที่กลไกการควบคุมการเข้าถึงที่ถูกสร้างขึ้นเริ่มต้นด้วยการระบุและการตรวจสอบ

การควบคุมการเข้าถึงโดยทั่วไปถือว่าอยู่ในขั้นตอนที่สาม: ประชาชน, การตรวจสอบและอนุมัติ [37]

การระบุ

การระบุตัวตนคือการยืนยันว่าใครเป็นใครหรือเป็นอะไร หากมีผู้กล่าวว่า "สวัสดีฉันชื่อจอห์นโด " พวกเขาจะอ้างว่าเป็นใคร อย่างไรก็ตามคำกล่าวอ้างของพวกเขาอาจเป็นจริงหรือไม่ก็ได้ ก่อนที่ John Doe จะได้รับสิทธิ์ในการเข้าถึงข้อมูลที่ได้รับการคุ้มครองจำเป็นต้องตรวจสอบว่าบุคคลที่อ้างว่าเป็น John Doe คือ John Doe จริงๆ โดยปกติการอ้างสิทธิ์จะอยู่ในรูปแบบของชื่อผู้ใช้ การป้อนชื่อผู้ใช้นั้นแสดงว่าคุณอ้างว่า "ฉันเป็นคนที่ชื่อผู้ใช้เป็นของ"

การรับรองความถูกต้อง

การพิสูจน์ตัวตนคือการยืนยันการอ้างสิทธิ์ในตัวตน เมื่อ John Doe เข้าไปที่ธนาคารเพื่อทำการถอนเงินเขาบอกกับพนักงานธนาคารว่าเขาคือ John Doe ซึ่งเป็นการอ้างว่ามีตัวตน หมอดูธนาคารขอให้ดูภาพ ID ดังนั้นเขามือหมอดูเขาใบอนุญาตขับรถ พนักงานธนาคารจะตรวจสอบใบอนุญาตเพื่อให้แน่ใจว่ามีการพิมพ์ John Doe ไว้และเปรียบเทียบรูปถ่ายบนใบอนุญาตกับบุคคลที่อ้างว่าเป็น John Doe หากรูปถ่ายและชื่อตรงกับบุคคลดังกล่าวแสดงว่าเจ้าหน้าที่ตรวจสอบสิทธิ์แล้วว่า John Doe คือคนที่เขาอ้างว่าเป็น ในทำนองเดียวกันโดยการป้อนรหัสผ่านที่ถูกต้องผู้ใช้จะต้องแสดงหลักฐานว่าเขา / เธอเป็นบุคคลที่ชื่อผู้ใช้เป็นเจ้าของ

มีข้อมูลสามประเภทที่แตกต่างกันที่สามารถใช้ในการพิสูจน์ตัวตน:

สิ่งที่คุณรู้: สิ่งต่างๆเช่น PIN รหัสผ่านหรือนามสกุลเดิมของแม่ของคุณ
สิ่งที่คุณมี: ใบขับขี่หรือบัตรรูดแม่เหล็ก
สิ่งที่คุณ: ชีวภาพรวมทั้งพิมพ์ปาล์ม , ลายนิ้วมือ , พิมพ์เสียงและจอประสาทตา (ตา) สแกน

การพิสูจน์ตัวตนที่แข็งแกร่งจำเป็นต้องให้ข้อมูลการพิสูจน์ตัวตนมากกว่าหนึ่งประเภท (การพิสูจน์ตัวตนด้วยสองปัจจัย) ชื่อผู้ใช้เป็นรูปแบบที่พบมากที่สุดของประชาชนในระบบคอมพิวเตอร์ในวันนี้และรหัสผ่านเป็นรูปแบบที่พบมากที่สุดของการตรวจสอบ ชื่อผู้ใช้และรหัสผ่านได้ตอบสนองจุดประสงค์ของพวกเขา แต่ก็ไม่เพียงพอมากขึ้นเรื่อย ๆ [55]ชื่อผู้ใช้และรหัสผ่านจะค่อยๆถูกแทนที่หรือเสริมด้วยกลไกการตรวจสอบที่มีความซับซ้อนมากขึ้นเช่นเวลาตามขั้นตอนวิธีการรหัสผ่านครั้งเดียว

หลังจากที่บุคคลโปรแกรมหรือคอมพิวเตอร์ได้รับการระบุและรับรองความถูกต้องเรียบร้อยแล้วจะต้องมีการพิจารณาว่าทรัพยากรข้อมูลใดที่ได้รับอนุญาตให้เข้าถึงและการดำเนินการใดที่พวกเขาจะได้รับอนุญาตให้ดำเนินการ (เรียกใช้ดูสร้างลบหรือเปลี่ยนแปลง) นี้เรียกว่าการอนุมัติ การอนุญาตให้เข้าถึงข้อมูลและบริการคอมพิวเตอร์อื่น ๆ เริ่มต้นด้วยนโยบายและขั้นตอนการดูแลระบบ นโยบายกำหนดว่าข้อมูลและบริการคอมพิวเตอร์ใดบ้างที่สามารถเข้าถึงได้โดยใครและภายใต้เงื่อนไขใด จากนั้นกลไกการควบคุมการเข้าถึงจะได้รับการกำหนดค่าเพื่อบังคับใช้นโยบายเหล่านี้ ระบบคอมพิวเตอร์ที่แตกต่างกันมีกลไกการควบคุมการเข้าถึงที่แตกต่างกัน บางคนอาจเสนอทางเลือกของกลไกการควบคุมการเข้าถึงที่แตกต่างกัน กลไกการควบคุมการเข้าถึงที่ระบบนำเสนอจะขึ้นอยู่กับหนึ่งในสามแนวทางในการควบคุมการเข้าถึงหรืออาจได้มาจากการผสมผสานระหว่างสามแนวทาง [37]

แนวทางที่ไม่ใช้ดุลพินิจจะรวมการควบคุมการเข้าถึงทั้งหมดไว้ภายใต้การบริหารแบบรวมศูนย์ การเข้าถึงข้อมูลและทรัพยากรอื่น ๆ มักขึ้นอยู่กับหน้าที่ของแต่ละบุคคล (บทบาท) ในองค์กรหรืองานที่แต่ละบุคคลต้องดำเนินการ แนวทางการใช้ดุลยพินิจช่วยให้ผู้สร้างหรือเจ้าของทรัพยากรข้อมูลสามารถควบคุมการเข้าถึงทรัพยากรเหล่านั้นได้ ในแนวทางการควบคุมการเข้าถึงที่บังคับการเข้าถึงจะได้รับหรือปฏิเสธโดยขึ้นอยู่กับการจำแนกประเภทความปลอดภัยที่กำหนดให้กับทรัพยากรข้อมูล

ตัวอย่างของกลไกการควบคุมการเข้าถึงที่ใช้กันทั่วไปในปัจจุบัน ได้แก่การควบคุมการเข้าถึงตามบทบาทซึ่งมีอยู่ในระบบการจัดการฐานข้อมูลขั้นสูงจำนวนมาก สิทธิ์ไฟล์อย่างง่ายที่มีให้ในระบบปฏิบัติการ UNIX และ Windows วัตถุนโยบายกลุ่มที่มีให้ในระบบเครือข่าย Windows และKerberos , RADIUS , TACACSและรายการเข้าถึงแบบง่ายที่ใช้ในไฟร์วอลล์และเราเตอร์จำนวนมาก

เพื่อให้มีประสิทธิภาพนโยบายและการควบคุมความปลอดภัยอื่น ๆ จะต้องบังคับใช้และยึดถือ นโยบายที่มีประสิทธิผลทำให้มั่นใจได้ว่าประชาชนต้องรับผิดชอบต่อการกระทำของตน กระทรวงการคลังสหรัฐแนวทาง 's สำหรับระบบการประมวลผลข้อมูลที่สำคัญหรือเป็นกรรมสิทธิ์เช่นรัฐที่ล้มเหลวและการตรวจสอบและการเข้าถึงที่ประสบความสำเร็จความพยายามที่ต้องลงทะเบียนและการเข้าถึงทุกข้อมูลที่ต้องออกจากชนิดของบางเส้นทางการตรวจสอบ [56]

นอกจากนี้หลักการที่จำเป็นต้องรู้จะต้องมีผลบังคับใช้เมื่อพูดถึงการควบคุมการเข้าถึง หลักการนี้ให้สิทธิ์ในการเข้าถึงบุคคลเพื่อปฏิบัติหน้าที่ในการทำงาน หลักการนี้ใช้ในรัฐบาลเมื่อต้องรับมือกับการฝึกปรือที่แตกต่างกัน แม้ว่าพนักงานสองคนในแผนกต่างๆจะมีการกวาดล้างเป็นความลับสุดยอดแต่ก็ต้องมีความจำเป็นที่จะต้องรู้เพื่อแลกเปลี่ยนข้อมูลกัน ตามหลักการที่จำเป็นต้องรู้ผู้ดูแลระบบเครือข่ายจะให้สิทธิ์แก่พนักงานน้อยที่สุดเพื่อป้องกันไม่ให้พนักงานเข้าถึงมากกว่าที่ควรจะเป็น สิ่งที่ต้องรู้ช่วยในการบังคับใช้กลุ่มสามความพร้อมในการรักษาความลับ - ความสมบูรณ์ - ความพร้อมใช้งาน สิ่งที่ต้องรู้ส่งผลโดยตรงต่อพื้นที่ที่เป็นความลับของทั้งสามกลุ่ม

การเข้ารหัส

การรักษาความปลอดภัยของข้อมูลใช้การเข้ารหัสเพื่อเปลี่ยนข้อมูลที่ใช้งานได้ให้อยู่ในรูปแบบที่ทำให้บุคคลอื่นที่ไม่ใช่ผู้ใช้ที่ได้รับอนุญาตใช้ไม่ได้ ขั้นตอนนี้จะเรียกว่าการเข้ารหัส ข้อมูลที่ถูกเข้ารหัส (ไม่สามารถใช้งานได้) สามารถเปลี่ยนกลับเป็นรูปแบบเดิมที่ใช้งานได้โดยผู้ใช้ที่ได้รับอนุญาตซึ่งครอบครองคีย์การเข้ารหัสผ่านกระบวนการถอดรหัส การเข้ารหัสใช้ในการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันข้อมูลจากการเปิดเผยโดยไม่ได้รับอนุญาตหรือโดยบังเอิญในขณะที่ข้อมูลอยู่ระหว่างการขนส่ง (ทางอิเล็กทรอนิกส์หรือทางกายภาพ) และในขณะที่ข้อมูลอยู่ในการจัดเก็บ [37]

การเข้ารหัสให้ความปลอดภัยของข้อมูลกับแอปพลิเคชันที่มีประโยชน์อื่น ๆ เช่นกันรวมถึงวิธีการตรวจสอบสิทธิ์ที่ได้รับการปรับปรุงไดเจสข้อความลายเซ็นดิจิทัลการไม่ปฏิเสธและการสื่อสารผ่านเครือข่ายที่เข้ารหัส แอปพลิเคชันที่เก่ากว่าและมีความปลอดภัยน้อยกว่าเช่นTelnetและFile Transfer Protocol (FTP) จะถูกแทนที่อย่างช้าๆด้วยแอปพลิเคชันที่ปลอดภัยกว่าเช่นSecure Shell (SSH) ที่ใช้การสื่อสารผ่านเครือข่ายที่เข้ารหัส การสื่อสารไร้สายสามารถเข้ารหัสโดยใช้โปรโตคอลเช่นWPA / WPA2หรือเก่า (และมีความปลอดภัยน้อยกว่า) WEP การสื่อสารแบบใช้สาย (เช่นITU ‑ T G.hn ) ได้รับการรักษาความปลอดภัยโดยใช้AESสำหรับการเข้ารหัสและX.1035สำหรับการพิสูจน์ตัวตนและการแลกเปลี่ยนคีย์ แอปพลิเคชันซอฟต์แวร์เช่นGnuPGหรือPGPสามารถใช้เพื่อเข้ารหัสไฟล์ข้อมูลและอีเมล

การเข้ารหัสอาจทำให้เกิดปัญหาด้านความปลอดภัยเมื่อไม่ได้นำไปใช้อย่างถูกต้อง จำเป็นต้องใช้โซลูชันการเข้ารหัสโดยใช้โซลูชันที่ได้รับการยอมรับในอุตสาหกรรมซึ่งผ่านการตรวจสอบอย่างเข้มงวดโดยผู้เชี่ยวชาญอิสระด้านการเข้ารหัส ความยาวและความแข็งแรงของคีย์การเข้ารหัสลับนอกจากนี้ยังมีการพิจารณาที่สำคัญ คีย์ที่อ่อนแอหรือสั้นเกินไปจะทำให้เกิดการเข้ารหัสที่อ่อนแอ คีย์ที่ใช้ในการเข้ารหัสและถอดรหัสจะต้องได้รับการปกป้องด้วยความเข้มงวดระดับเดียวกับข้อมูลลับอื่น ๆ ต้องได้รับการปกป้องจากการเปิดเผยและการทำลายโดยไม่ได้รับอนุญาตและจะต้องพร้อมใช้งานเมื่อจำเป็น โครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) โซลูชั่นที่อยู่หลายปัญหาที่ล้อมรอบการจัดการที่สำคัญ [37]

กระบวนการ

คำว่า "บุคคลที่มีเหตุผลและรอบคอบ" " การดูแลเนื่องจาก " และ "การตรวจสอบสถานะ" ถูกนำมาใช้ในด้านการเงินหลักทรัพย์และกฎหมายเป็นเวลาหลายปี ในช่วงไม่กี่ปีที่ผ่านมาคำศัพท์เหล่านี้ได้ค้นพบในสาขาคอมพิวเตอร์และความปลอดภัยของข้อมูล [46]สหรัฐพิจารณาแนวทางของรัฐบาลกลางในขณะนี้ทำให้มันเป็นไปได้ที่จะถือเจ้าหน้าที่ขององค์กรรับผิดชอบต่อความล้มเหลวในการใช้ความระมัดระวังเนื่องจากและเนื่องจากความขยันในการบริหารจัดการระบบข้อมูลของพวกเขา [57]

ในโลกธุรกิจผู้ถือหุ้นลูกค้าพันธมิตรทางธุรกิจและรัฐบาลมีความคาดหวังว่าเจ้าหน้าที่ขององค์กรจะดำเนินธุรกิจตามแนวทางปฏิบัติทางธุรกิจที่เป็นที่ยอมรับและเป็นไปตามกฎหมายและข้อกำหนดด้านกฎระเบียบอื่น ๆ สิ่งนี้มักถูกอธิบายว่าเป็นกฎ "บุคคลที่มีเหตุผลและรอบคอบ" บุคคลที่รอบคอบจะดูแลอย่างเหมาะสมเพื่อให้แน่ใจว่าทุกสิ่งที่จำเป็นจะดำเนินการในการดำเนินธุรกิจตามหลักการทางธุรกิจที่ดีและถูกต้องตามกฎหมายและจริยธรรม คนที่รอบคอบยังมีความขยันหมั่นเพียร (มีสติ, เอาใจใส่, ต่อเนื่อง) ในการดูแลธุรกิจอย่างเหมาะสม

ในด้านการรักษาความปลอดภัยข้อมูลแฮร์ริส[58]เสนอคำจำกัดความของการดูแลเนื่องจากและการตรวจสอบสถานะดังต่อไปนี้:

"การดูแลอย่างเหมาะสมเป็นขั้นตอนที่ใช้เพื่อแสดงให้เห็นว่า บริษัท ได้รับผิดชอบต่อกิจกรรมที่เกิดขึ้นภายใน บริษัท และได้ดำเนินการตามขั้นตอนที่จำเป็นเพื่อช่วยปกป้อง บริษัท ทรัพยากรและพนักงาน" และ [การตรวจสอบสถานะเป็น] "กิจกรรมต่อเนื่องที่ทำให้แน่ใจว่ากลไกการป้องกันได้รับการบำรุงรักษาและดำเนินการอย่างต่อเนื่อง"

ควรให้ความสนใจกับประเด็นสำคัญสองประการในคำจำกัดความเหล่านี้ ประการแรกด้วยความระมัดระวังขั้นตอนต่างๆจะถูกนำไปแสดง; ซึ่งหมายความว่าขั้นตอนต่างๆสามารถตรวจสอบวัดผลหรือแม้แต่สร้างสิ่งประดิษฐ์ที่จับต้องได้ ประการที่สองในการตรวจสอบสถานะมีกิจกรรมที่ต่อเนื่อง นั่นหมายความว่าผู้คนกำลังทำสิ่งต่างๆเพื่อตรวจสอบและรักษากลไกการป้องกันและกิจกรรมเหล่านี้กำลังดำเนินอยู่

องค์กรมีความรับผิดชอบโดยปฏิบัติหน้าที่ในการดูแลเมื่อใช้การรักษาความปลอดภัยข้อมูล The Duty of Care Risk Analysis Standard (DoCRA) [59]ให้หลักการและแนวปฏิบัติในการประเมินความเสี่ยง โดยพิจารณาจากทุกฝ่ายที่อาจได้รับผลกระทบจากความเสี่ยงเหล่านั้น DoCRA ช่วยประเมินการป้องกันว่าเหมาะสมหรือไม่ในการปกป้องผู้อื่นจากอันตรายในขณะที่มีภาระที่สมเหตุสมผล ด้วยการดำเนินคดีเกี่ยวกับการละเมิดข้อมูลที่เพิ่มขึ้น บริษัท ต่างๆต้องสร้างความสมดุลระหว่างการควบคุมความปลอดภัยการปฏิบัติตามข้อกำหนดและภารกิจของ บริษัท

การกำกับดูแลความปลอดภัย

สถาบันวิศวกรรมซอฟต์แวร์ที่Carnegie Mellon University , ในสิ่งพิมพ์หัวข้อปกครองสำหรับองค์กรรักษาความปลอดภัย (GES) การดำเนินการตามคู่มือลักษณะกำหนดของการกำกับดูแลที่มีประสิทธิภาพการรักษาความปลอดภัย ซึ่งรวมถึง: [60]

ปัญหาทั่วทั้งองค์กร
ผู้นำมีความรับผิดชอบ
มองว่าเป็นความต้องการทางธุรกิจ
ขึ้นอยู่กับความเสี่ยง
บทบาทความรับผิดชอบและการแบ่งแยกหน้าที่ที่กำหนดไว้
ระบุและบังคับใช้ในนโยบาย
มุ่งมั่นทรัพยากรที่เพียงพอ
พนักงานตระหนักและได้รับการฝึกอบรม
ข้อกำหนดของวงจรชีวิตการพัฒนา
วางแผนจัดการวัดผลได้และวัดผลได้
ตรวจสอบและตรวจสอบแล้ว

แผนการรับมือกับเหตุการณ์

แผนรับมือเหตุการณ์คือกลุ่มนโยบายที่กำหนดให้องค์กรตอบสนองต่อการโจมตีทางไซเบอร์ เมื่อระบุการละเมิดความปลอดภัยแล้วแผนจะเริ่มขึ้น สิ่งสำคัญคือต้องทราบว่าอาจมีผลทางกฎหมายต่อการละเมิดข้อมูล การรู้กฎหมายท้องถิ่นและของรัฐบาลกลางเป็นสิ่งสำคัญ ทุกแผนไม่ซ้ำกันตามความต้องการขององค์กรและอาจเกี่ยวข้องกับชุดทักษะที่ไม่ได้เป็นส่วนหนึ่งของทีมไอที ตัวอย่างเช่นอาจมีทนายความรวมอยู่ในแผนรับมือเพื่อช่วยนำทางผลทางกฎหมายไปสู่การละเมิดข้อมูล [61]

ดังที่ได้กล่าวไว้ข้างต้นทุกแผนไม่ซ้ำกัน แต่แผนส่วนใหญ่จะรวมถึงสิ่งต่อไปนี้: [62]

การเตรียมการ

การเตรียมการที่ดีรวมถึงการพัฒนาทีมรับมือเหตุการณ์ (IRT) ทีมนี้ต้องใช้ทักษะเช่นการทดสอบการเจาะระบบนิติคอมพิวเตอร์การรักษาความปลอดภัยเครือข่าย ฯลฯ ทีมนี้ควรติดตามแนวโน้มด้านความปลอดภัยทางไซเบอร์และกลยุทธ์การโจมตีสมัยใหม่ โปรแกรมการฝึกอบรมสำหรับผู้ใช้ปลายทางมีความสำคัญเช่นเดียวกับกลยุทธ์การโจมตีที่ทันสมัยส่วนใหญ่กำหนดเป้าหมายผู้ใช้บนเครือข่าย [62]

การระบุ

ส่วนนี้ของแผนรับมือเหตุการณ์ระบุว่ามีเหตุการณ์ด้านความปลอดภัยหรือไม่ เมื่อผู้ใช้ปลายทางรายงานข้อมูลหรือผู้ดูแลระบบสังเกตเห็นความผิดปกติการตรวจสอบจะเริ่มขึ้น บันทึกเหตุการณ์เป็นส่วนสำคัญของขั้นตอนนี้ สมาชิกทุกคนในทีมควรอัปเดตบันทึกนี้เพื่อให้แน่ใจว่าข้อมูลจะไหลเร็วที่สุด หากมีการระบุว่าเกิดการละเมิดความปลอดภัยขั้นตอนต่อไปควรเปิดใช้งาน [63]

บรรจุ

ในขั้นตอนนี้ IRT จะแยกพื้นที่ที่เกิดการละเมิดเพื่อ จำกัด ขอบเขตของเหตุการณ์ด้านความปลอดภัย ในระหว่างขั้นตอนนี้สิ่งสำคัญคือต้องเก็บรักษาข้อมูลทางนิติวิทยาศาสตร์เพื่อให้สามารถวิเคราะห์ได้ในภายหลังในกระบวนการ การกักกันอาจทำได้ง่ายเพียงแค่มีห้องเซิร์ฟเวอร์หรือซับซ้อนพอ ๆ กับการแบ่งกลุ่มเครือข่ายเพื่อไม่ให้แพร่กระจายของไวรัส [64]

การกำจัด

นี่คือที่ที่ภัยคุกคามที่ระบุจะถูกลบออกจากระบบที่ได้รับผลกระทบ ซึ่งอาจรวมถึงการใช้การลบไฟล์ที่เป็นอันตรายการยกเลิกบัญชีที่ถูกบุกรุกหรือการลบส่วนประกอบอื่น ๆ เหตุการณ์บางอย่างไม่จำเป็นต้องใช้ขั้นตอนนี้ แต่สิ่งสำคัญคือต้องเข้าใจเหตุการณ์อย่างถ่องแท้ก่อนที่จะก้าวไปสู่ขั้นตอนนี้ วิธีนี้จะช่วยให้มั่นใจได้ว่าภัยคุกคามจะถูกลบออกอย่างสมบูรณ์ [64]

การกู้คืน

ขั้นตอนนี้เป็นขั้นตอนที่ระบบจะกู้คืนกลับสู่การดำเนินการดั้งเดิม ขั้นตอนนี้อาจรวมถึงการกู้คืนข้อมูลการเปลี่ยนแปลงข้อมูลการเข้าถึงของผู้ใช้หรือการอัปเดตกฎหรือนโยบายของไฟร์วอลล์เพื่อป้องกันการละเมิดในอนาคต หากไม่ดำเนินการตามขั้นตอนนี้ระบบอาจเสี่ยงต่อภัยคุกคามด้านความปลอดภัยในอนาคต [64]

บทเรียนที่ได้เรียนรู้

ในขั้นตอนนี้ข้อมูลที่รวบรวมระหว่างขั้นตอนนี้จะใช้ในการตัดสินใจเกี่ยวกับความปลอดภัยในอนาคต ขั้นตอนนี้มีความสำคัญอย่างยิ่งเพื่อให้แน่ใจว่าเหตุการณ์ในอนาคตจะได้รับการป้องกัน การใช้ข้อมูลนี้เพื่อฝึกอบรมผู้ดูแลระบบต่อไปมีความสำคัญต่อกระบวนการนี้ ขั้นตอนนี้ยังสามารถใช้เพื่อประมวลผลข้อมูลที่แจกจ่ายจากเอนทิตีอื่น ๆ ที่ประสบกับเหตุการณ์ด้านความปลอดภัย [65]

การบริหารการเปลี่ยนแปลง

การจัดการการเปลี่ยนแปลงเป็นกระบวนการที่เป็นทางการในการกำกับและควบคุมการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล ซึ่งรวมถึงการเปลี่ยนแปลงคอมพิวเตอร์เดสก์ท็อปเครือข่ายเซิร์ฟเวอร์และซอฟต์แวร์ วัตถุประสงค์ของการจัดการการเปลี่ยนแปลงคือเพื่อลดความเสี่ยงที่เกิดจากการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูลและปรับปรุงเสถียรภาพและความน่าเชื่อถือของสภาพแวดล้อมการประมวลผลเมื่อมีการเปลี่ยนแปลง ไม่ใช่วัตถุประสงค์ของการจัดการการเปลี่ยนแปลงเพื่อป้องกันหรือขัดขวางการเปลี่ยนแปลงที่จำเป็นจากการนำไปใช้ [66]

การเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูลทำให้เกิดความเสี่ยง แม้แต่การเปลี่ยนแปลงง่ายๆที่เห็นได้ชัดก็อาจส่งผลที่ไม่คาดคิดได้ ความรับผิดชอบหลายประการประการหนึ่งของผู้บริหารคือการจัดการความเสี่ยง การจัดการการเปลี่ยนแปลงเป็นเครื่องมือในการจัดการความเสี่ยงที่เกิดจากการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล ส่วนหนึ่งของกระบวนการจัดการการเปลี่ยนแปลงช่วยให้มั่นใจได้ว่าการเปลี่ยนแปลงจะไม่ถูกนำไปใช้ในช่วงเวลาที่ไม่เหมาะสมซึ่งอาจขัดขวางกระบวนการทางธุรกิจที่สำคัญหรือขัดขวางการเปลี่ยนแปลงอื่น ๆ ที่กำลังดำเนินการอยู่

ไม่ใช่ว่าจะต้องมีการจัดการการเปลี่ยนแปลงทุกครั้ง การเปลี่ยนแปลงบางประเภทเป็นส่วนหนึ่งของกิจวัตรประจำวันของการประมวลผลข้อมูลและเป็นไปตามขั้นตอนที่กำหนดไว้ล่วงหน้าซึ่งจะช่วยลดระดับความเสี่ยงโดยรวมต่อสภาพแวดล้อมการประมวลผล การสร้างบัญชีผู้ใช้ใหม่หรือการปรับใช้คอมพิวเตอร์เดสก์ท็อปเครื่องใหม่เป็นตัวอย่างของการเปลี่ยนแปลงที่โดยทั่วไปไม่จำเป็นต้องมีการจัดการการเปลี่ยนแปลง อย่างไรก็ตามการย้ายการแชร์ไฟล์ของผู้ใช้หรือการอัปเกรดเซิร์ฟเวอร์อีเมลทำให้เกิดความเสี่ยงต่อสภาพแวดล้อมการประมวลผลในระดับที่สูงขึ้นมากและไม่ใช่กิจกรรมในชีวิตประจำวันตามปกติ ขั้นตอนแรกที่สำคัญในการจัดการการเปลี่ยนแปลงคือ (ก) การกำหนดการเปลี่ยนแปลง (และการสื่อสารคำจำกัดความนั้น) และ (ข) การกำหนดขอบเขตของระบบการเปลี่ยนแปลง

โดยปกติการจัดการการเปลี่ยนแปลงจะดูแลโดยคณะกรรมการตรวจสอบการเปลี่ยนแปลงซึ่งประกอบด้วยตัวแทนจากส่วนธุรกิจหลักความปลอดภัยระบบเครือข่ายผู้ดูแลระบบการดูแลฐานข้อมูลผู้พัฒนาแอปพลิเคชันการสนับสนุนเดสก์ท็อปและฝ่ายช่วยเหลือ งานของคณะกรรมการตรวจสอบการเปลี่ยนแปลงสามารถอำนวยความสะดวกได้ด้วยการใช้แอปพลิเคชันลำดับงานอัตโนมัติ ความรับผิดชอบของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามขั้นตอนการจัดการการเปลี่ยนแปลงที่เป็นเอกสารขององค์กร กระบวนการจัดการการเปลี่ยนแปลงมีดังต่อไปนี้[67]

คำขอ:ทุกคนสามารถขอเปลี่ยนแปลงได้ ผู้ที่ทำการร้องขอการเปลี่ยนแปลงอาจเป็นหรือไม่ใช่คนเดียวกับที่ทำการวิเคราะห์หรือดำเนินการเปลี่ยนแปลง เมื่อได้รับการร้องขอการเปลี่ยนแปลงอาจได้รับการตรวจสอบเบื้องต้นเพื่อพิจารณาว่าการเปลี่ยนแปลงที่ร้องขอนั้นเข้ากันได้กับรูปแบบธุรกิจและแนวทางปฏิบัติขององค์กรหรือไม่และเพื่อกำหนดจำนวนทรัพยากรที่จำเป็นในการดำเนินการเปลี่ยนแปลง
อนุมัติ:ฝ่ายบริหารดำเนินธุรกิจและควบคุมการจัดสรรทรัพยากรดังนั้นฝ่ายบริหารต้องอนุมัติคำขอสำหรับการเปลี่ยนแปลงและกำหนดลำดับความสำคัญสำหรับการเปลี่ยนแปลงทุกครั้ง ฝ่ายบริหารอาจเลือกที่จะปฏิเสธคำขอเปลี่ยนแปลงหากการเปลี่ยนแปลงไม่เข้ากันได้กับรูปแบบธุรกิจมาตรฐานอุตสาหกรรมหรือแนวทางปฏิบัติที่ดีที่สุด ผู้บริหารอาจเลือกที่จะปฏิเสธคำขอเปลี่ยนแปลงหากการเปลี่ยนแปลงนั้นต้องการทรัพยากรมากกว่าที่จะจัดสรรให้กับการเปลี่ยนแปลงได้
แผน:การวางแผนการเปลี่ยนแปลงเกี่ยวข้องกับการค้นหาขอบเขตและผลกระทบของการเปลี่ยนแปลงที่เสนอ การวิเคราะห์ความซับซ้อนของการเปลี่ยนแปลง การจัดสรรทรัพยากรและการพัฒนาการทดสอบและการจัดทำเอกสารทั้งการนำไปใช้และแผนสำรอง จำเป็นต้องกำหนดเกณฑ์ในการตัดสินใจที่จะกลับออกไป
การทดสอบ:การเปลี่ยนแปลงทุกครั้งต้องได้รับการทดสอบในสภาพแวดล้อมการทดสอบที่ปลอดภัยซึ่งสะท้อนให้เห็นถึงสภาพแวดล้อมการผลิตจริงอย่างใกล้ชิดก่อนที่การเปลี่ยนแปลงจะถูกนำไปใช้กับสภาพแวดล้อมการผลิต แผนสำรองจะต้องได้รับการทดสอบด้วย
กำหนดการ:ส่วนหนึ่งของความรับผิดชอบของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการช่วยในการกำหนดเวลาการเปลี่ยนแปลงโดยการตรวจสอบวันที่ดำเนินการที่เสนอสำหรับความขัดแย้งที่อาจเกิดขึ้นกับการเปลี่ยนแปลงตามกำหนดเวลาอื่น ๆ หรือกิจกรรมทางธุรกิจที่สำคัญ
สื่อสาร:เมื่อกำหนดเวลาการเปลี่ยนแปลงแล้วจะต้องแจ้งให้ทราบ การสื่อสารคือการให้โอกาสผู้อื่นในการเตือนคณะกรรมการตรวจสอบการเปลี่ยนแปลงเกี่ยวกับการเปลี่ยนแปลงอื่น ๆ หรือกิจกรรมทางธุรกิจที่สำคัญซึ่งอาจถูกมองข้ามไปเมื่อกำหนดเวลาการเปลี่ยนแปลง การสื่อสารยังช่วยให้แผนกช่วยเหลือและผู้ใช้ทราบว่ากำลังจะมีการเปลี่ยนแปลงเกิดขึ้น ความรับผิดชอบอีกประการหนึ่งของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการตรวจสอบให้แน่ใจว่ามีการสื่อสารการเปลี่ยนแปลงตามกำหนดเวลาอย่างเหมาะสมกับผู้ที่จะได้รับผลกระทบจากการเปลี่ยนแปลงหรือมีความสนใจในการเปลี่ยนแปลง
การนำไปใช้:เมื่อถึงวันและเวลาที่ได้รับการแต่งตั้งจะต้องดำเนินการเปลี่ยนแปลง ส่วนหนึ่งของกระบวนการวางแผนคือการพัฒนาแผนการดำเนินงานแผนการทดสอบและแผนสำรอง หากการดำเนินการเปลี่ยนแปลงควรล้มเหลวหรือการทดสอบหลังการนำไปใช้งานล้มเหลวหรือตรงตามเกณฑ์ "หยุดชะงัก" อื่น ๆ ควรดำเนินการตามแผนสำรอง
เอกสาร:การเปลี่ยนแปลงทั้งหมดจะต้องจัดทำเป็นเอกสาร เอกสารประกอบไปด้วยคำขอเริ่มต้นสำหรับการเปลี่ยนแปลงการอนุมัติลำดับความสำคัญที่ได้รับมอบหมายการนำไปใช้การทดสอบและแผนสำรองผลลัพธ์ของการวิจารณ์ของคณะกรรมการตรวจสอบการเปลี่ยนแปลงวันที่ / เวลาที่ดำเนินการเปลี่ยนแปลงใครเป็นผู้ดำเนินการและ ไม่ว่าการเปลี่ยนแปลงจะดำเนินการสำเร็จล้มเหลวหรือเลื่อนออกไป
การตรวจสอบหลังการเปลี่ยนแปลง:คณะกรรมการตรวจสอบการเปลี่ยนแปลงควรจัดให้มีการตรวจสอบการเปลี่ยนแปลงหลังการใช้งาน เป็นสิ่งสำคัญอย่างยิ่งในการตรวจสอบการเปลี่ยนแปลงที่ล้มเหลวและได้รับการสนับสนุนจากการเปลี่ยนแปลง คณะกรรมการตรวจสอบควรพยายามทำความเข้าใจปัญหาที่พบและมองหาจุดที่ควรปรับปรุง

การเปลี่ยนแปลงขั้นตอนการจัดการที่ง่ายต่อการปฏิบัติตามและใช้งานง่ายสามารถลดความเสี่ยงโดยรวมที่เกิดขึ้นได้อย่างมากเมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล ขั้นตอนการจัดการการเปลี่ยนแปลงที่ดีช่วยปรับปรุงคุณภาพโดยรวมและความสำเร็จของการเปลี่ยนแปลงเมื่อดำเนินการ สิ่งนี้ทำได้โดยการวางแผนการทบทวนโดยเพื่อนเอกสารและการสื่อสาร

ISO / IEC 20000 , คู่มือ OPS ที่มองเห็นได้: การนำ ITIL ไปใช้ใน 4 ขั้นตอนที่ใช้ได้จริงและตรวจสอบได้[68] (บทสรุปของหนังสือฉบับเต็ม), [69]และITILล้วนให้คำแนะนำที่มีประโยชน์ในการใช้การรักษาความปลอดภัยข้อมูลโปรแกรมการจัดการการเปลี่ยนแปลงที่มีประสิทธิภาพและประสิทธิผล

ต่อเนื่องทางธุรกิจ

การจัดการความต่อเนื่องทางธุรกิจ ( BCM ) เกี่ยวข้องกับการเตรียมการเพื่อปกป้องการทำงานที่สำคัญขององค์กรจากการหยุดชะงักเนื่องจากเหตุการณ์หรืออย่างน้อยก็ลดผลกระทบ BCM มีความจำเป็นอย่างยิ่งต่อองค์กรใด ๆ ในการรักษาเทคโนโลยีและธุรกิจให้สอดคล้องกับภัยคุกคามในปัจจุบันต่อการดำเนินธุรกิจอย่างต่อเนื่องตามปกติ BCM ควรรวมอยู่ในแผนการวิเคราะห์ความเสี่ยงขององค์กรเพื่อให้แน่ใจว่าหน้าที่ทางธุรกิจที่จำเป็นทั้งหมดมีสิ่งที่จำเป็นสำหรับการดำเนินการต่อไปในกรณีที่มีภัยคุกคามต่อหน้าที่ทางธุรกิจใด ๆ [70]

มันครอบคลุม:

การวิเคราะห์ข้อกำหนดเช่นการระบุหน้าที่ทางธุรกิจที่สำคัญการพึ่งพาและจุดที่อาจเกิดความล้มเหลวภัยคุกคามที่อาจเกิดขึ้นและด้วยเหตุนี้เหตุการณ์หรือความเสี่ยงที่เกี่ยวข้องกับองค์กร
ข้อมูลจำเพาะเช่นระยะเวลาไฟดับสูงสุดที่ยอมรับได้ วัตถุประสงค์จุดกู้คืน (ระยะเวลาสูงสุดที่ข้อมูลสูญหายได้);
สถาปัตยกรรมและการออกแบบเช่นการผสมผสานแนวทางที่เหมาะสมรวมถึงความยืดหยุ่น (เช่นระบบและกระบวนการไอทีทางวิศวกรรมเพื่อความพร้อมใช้งานสูงหลีกเลี่ยงหรือป้องกันสถานการณ์ที่อาจขัดขวางธุรกิจ) การจัดการเหตุการณ์และเหตุฉุกเฉิน (เช่นการอพยพสถานที่การเรียกหน่วยบริการฉุกเฉิน การประเมินสถานการณ์ / การประเมินสถานการณ์และการเรียกใช้แผนการกู้คืน) การกู้คืน (เช่นการสร้างใหม่) และการจัดการสถานการณ์ฉุกเฉิน (ความสามารถทั่วไปในการจัดการในเชิงบวกกับสิ่งที่เกิดขึ้นโดยใช้ทรัพยากรที่มีอยู่)
การนำไปใช้งานเช่นการกำหนดค่าและกำหนดเวลาการสำรองข้อมูลการถ่ายโอนข้อมูล ฯลฯ การทำซ้ำและเสริมสร้างองค์ประกอบที่สำคัญ การทำสัญญากับซัพพลายเออร์บริการและอุปกรณ์
การทดสอบเช่นแบบฝึกหัดความต่อเนื่องทางธุรกิจประเภทต่างๆต้นทุนและระดับการประกัน
การจัดการเช่นการกำหนดกลยุทธ์การกำหนดวัตถุประสงค์และเป้าหมาย การวางแผนและกำกับงาน การจัดสรรเงินผู้คนและทรัพยากรอื่น ๆ การจัดลำดับความสำคัญที่สัมพันธ์กับกิจกรรมอื่น ๆ การสร้างทีมความเป็นผู้นำการควบคุมแรงจูงใจและการประสานงานกับหน้าที่และกิจกรรมทางธุรกิจอื่น ๆ (เช่นไอทีสิ่งอำนวยความสะดวกทรัพยากรบุคคลการจัดการความเสี่ยงความเสี่ยงและความปลอดภัยของข้อมูลการดำเนินงาน) ติดตามสถานการณ์ตรวจสอบและปรับปรุงการเตรียมการเมื่อมีการเปลี่ยนแปลง การบรรลุแนวทางด้วยการปรับปรุงอย่างต่อเนื่องการเรียนรู้และการลงทุนที่เหมาะสม
การประกันเช่นการทดสอบตามข้อกำหนดที่ระบุ การวัดวิเคราะห์และรายงานพารามิเตอร์หลัก ทำการทดสอบทบทวนและตรวจสอบเพิ่มเติมเพื่อความมั่นใจยิ่งขึ้นว่าการเตรียมการจะเป็นไปตามแผนหากมีการเรียกใช้

ในขณะที่ BCM ใช้แนวทางกว้าง ๆ ในการลดความเสี่ยงที่เกี่ยวข้องกับภัยพิบัติโดยการลดทั้งความน่าจะเป็นและความรุนแรงของเหตุการณ์แผนกู้คืนระบบ (DRP) มุ่งเน้นไปที่การกลับมาดำเนินธุรกิจโดยเร็วที่สุดหลังจากเกิดภัยพิบัติ แผนการกู้คืนระบบที่เรียกใช้ไม่นานหลังจากเกิดภัยพิบัติจะวางขั้นตอนที่จำเป็นในการกู้คืนโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ที่สำคัญ การวางแผนการกู้คืนจากภัยพิบัติรวมถึงการจัดตั้งกลุ่มการวางแผนการประเมินความเสี่ยงการจัดลำดับความสำคัญการพัฒนากลยุทธ์การกู้คืนการจัดเตรียมสินค้าคงเหลือและเอกสารของแผนการพัฒนาเกณฑ์และขั้นตอนการตรวจสอบและการดำเนินการตามแผนในขั้นสุดท้าย [71]

กฎหมายและข้อบังคับ

Privacy International 2007 อันดับความเป็นส่วนตัว
สีเขียว: การป้องกันและการป้องกัน
สีแดง: สมาคมเฝ้าระวังเฉพาะถิ่น

ด้านล่างนี้เป็นรายชื่อบางส่วนของกฎหมายและข้อบังคับของรัฐบาลในส่วนต่างๆของโลกที่มีหรือจะมีผลกระทบอย่างมีนัยสำคัญต่อการประมวลผลข้อมูลและความปลอดภัยของข้อมูล นอกจากนี้ยังรวมถึงกฎระเบียบภาคอุตสาหกรรมที่สำคัญเมื่อมีผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของข้อมูล

พระราชบัญญัติคุ้มครองข้อมูลของสหราชอาณาจักร1998 ได้กำหนดบทบัญญัติใหม่สำหรับการควบคุมการประมวลผลข้อมูลที่เกี่ยวข้องกับบุคคลซึ่งรวมถึงการได้รับการถือครองการใช้หรือการเปิดเผยข้อมูลดังกล่าว คำสั่งคุ้มครองข้อมูลของสหภาพยุโรป (EUDPD) กำหนดให้สมาชิกสหภาพยุโรปทุกคนต้องใช้ข้อบังคับระดับชาติเพื่อสร้างมาตรฐานการปกป้องความเป็นส่วนตัวของข้อมูลสำหรับพลเมืองทั่วทั้งสหภาพยุโรป[72]
คอมพิวเตอร์ผิดพระราชบัญญัติ 1990 การกระทำของสหราชอาณาจักรรัฐสภาอาชญากรรมทางคอมพิวเตอร์ทำ (เช่นการแฮ็ค) ความผิดทางอาญา การกระทำดังกล่าวกลายเป็นต้นแบบที่ประเทศอื่น ๆ รวมทั้งแคนาดาและสาธารณรัฐไอร์แลนด์ได้รับแรงบันดาลใจจากการร่างกฎหมายความปลอดภัยข้อมูลของตนเองในเวลาต่อมา [73]
คำสั่งการเก็บรักษาข้อมูลของสหภาพยุโรป(ยกเลิก) กำหนดให้ผู้ให้บริการอินเทอร์เน็ตและ บริษัท โทรศัพท์เก็บข้อมูลในทุกข้อความอิเล็กทรอนิกส์ที่ส่งและการโทรติดต่อระหว่างหกเดือนถึงสองปี [74]
ครอบครัวสิทธิการศึกษาและความเป็นส่วนตัวพระราชบัญญัติ (FERPA) ( 20 USC § 1232กรัม 34 CFR Part 99) เป็นกฎหมายของรัฐบาลกลางสหรัฐที่ช่วยปกป้องความเป็นส่วนตัวของระเบียนการศึกษาของนักเรียน กฎหมายมีผลบังคับใช้กับโรงเรียนทุกแห่งที่ได้รับเงินภายใต้โครงการที่เกี่ยวข้องของกระทรวงศึกษาธิการของสหรัฐอเมริกา โดยทั่วไปโรงเรียนจะต้องได้รับอนุญาตเป็นลายลักษณ์อักษรจากผู้ปกครองหรือนักเรียนที่มีสิทธิ์เพื่อที่จะเปิดเผยข้อมูลใด ๆ จากบันทึกการศึกษาของนักเรียน [75]
แนวทางการรักษาความปลอดภัยของ Federal Financial Institutions Examination Council (FFIEC) สำหรับผู้ตรวจสอบระบุข้อกำหนดสำหรับการรักษาความปลอดภัยของธนาคารออนไลน์ [76]
ประกันสุขภาพ Portability และ Accountability Act (HIPAA) ของปี 1996 ต้องมีการยอมรับของมาตรฐานแห่งชาติสำหรับการทำธุรกรรมทางอิเล็กทรอนิกส์ในการดูแลสุขภาพและตัวบ่งชี้ระดับชาติสำหรับผู้ให้บริการแผนประกันสุขภาพและนายจ้าง นอกจากนี้ยังกำหนดให้ผู้ให้บริการด้านการดูแลสุขภาพผู้ให้บริการประกันภัยและนายจ้างต้องปกป้องความปลอดภัยและความเป็นส่วนตัวของข้อมูลสุขภาพ [77]
พระราชบัญญัติ Gramm-Leach-Blileyของปี 1999 (GLBA) ยังเป็นที่รู้จักในฐานะผู้ให้บริการทางการเงินทันสมัยพระราชบัญญัติของปี 1999 ช่วยปกป้องความเป็นส่วนตัวและความปลอดภัยของข้อมูลทางการเงินเอกชนที่สถาบันการเงินรวบรวมไว้และขั้นตอนการ [78]
มาตรา 404 ของSarbanes – Oxley Act of 2002 (SOX)กำหนดให้ บริษัท ที่ซื้อขายสาธารณะต้องประเมินประสิทธิภาพของการควบคุมภายในสำหรับการรายงานทางการเงินในรายงานประจำปีที่พวกเขาส่งเมื่อสิ้นปีบัญชีของแต่ละปี หัวหน้าเจ้าหน้าที่ข้อมูลมีหน้าที่รับผิดชอบในการรักษาความปลอดภัยความถูกต้องและความน่าเชื่อถือของระบบที่จัดการและรายงานข้อมูลทางการเงิน การกระทำนี้ยังกำหนดให้ บริษัท ที่ซื้อขายในตลาดหลักทรัพย์ต้องมีส่วนร่วมกับผู้ตรวจสอบอิสระซึ่งต้องรับรองและรายงานความถูกต้องของการประเมินของพวกเขา [79]
การชำระเงินด้วยบัตรอุตสาหกรรม Data Security Standard (PCI DSS)กำหนดความต้องการที่ครอบคลุมการชำระเงินสำหรับการเสริมสร้างความปลอดภัยของข้อมูลบัญชี ได้รับการพัฒนาโดยแบรนด์การชำระเงินของ PCI Security Standards Council ซึ่งรวมถึงAmerican Express , Discover Financial Services , JCB, MasterCard Worldwide และVisa Internationalเพื่อช่วยอำนวยความสะดวกในการนำมาตรการรักษาความปลอดภัยของข้อมูลที่สอดคล้องกันไปใช้ในวงกว้างทั่วโลก PCI DSS เป็นมาตรฐานการรักษาความปลอดภัยหลายแง่มุมซึ่งรวมถึงข้อกำหนดสำหรับการจัดการความปลอดภัยนโยบายขั้นตอนสถาปัตยกรรมเครือข่ายการออกแบบซอฟต์แวร์และมาตรการป้องกันที่สำคัญอื่น ๆ [80]
กฎหมายการแจ้งเตือนการละเมิดความปลอดภัยของรัฐ(แคลิฟอร์เนียและอื่น ๆ อีกมากมาย) กำหนดให้ธุรกิจองค์กรไม่แสวงหาผลกำไรและสถาบันของรัฐต้องแจ้งให้ผู้บริโภคทราบเมื่อ "ข้อมูลส่วนบุคคล" ที่ไม่ได้เข้ารหัสอาจถูกบุกรุกสูญหายหรือถูกขโมย [81]
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ ( PIPEDA ) ของแคนาดาสนับสนุนและส่งเสริมพาณิชย์อิเล็กทรอนิกส์โดยการปกป้องข้อมูลส่วนบุคคลที่รวบรวมใช้หรือเปิดเผยในบางสถานการณ์โดยจัดให้มีการใช้วิธีการทางอิเล็กทรอนิกส์ในการสื่อสารหรือบันทึกข้อมูลหรือธุรกรรมและโดย การแก้ไขพระราชบัญญัติหลักฐานของแคนาดาพระราชบัญญัติเครื่องมือทางกฎหมายและพระราชบัญญัติการแก้ไขธรรมนูญ [82]
หน่วยงาน Hellenic เพื่อความปลอดภัยในการสื่อสารและความเป็นส่วนตัวของกรีซ (ADAE) (กฎหมาย 165/2011) กำหนดและอธิบายการควบคุมความปลอดภัยของข้อมูลขั้นต่ำที่ บริษัท ทุกแห่งควรนำไปใช้ซึ่งให้บริการเครือข่ายการสื่อสารทางอิเล็กทรอนิกส์และ / หรือบริการในกรีซเพื่อปกป้องความลับของลูกค้า . ซึ่งรวมถึงการควบคุมทั้งด้านการจัดการและด้านเทคนิค (เช่นบันทึกบันทึกควรเก็บไว้เป็นเวลาสองปี) [83]
หน่วยงาน Hellenic เพื่อความปลอดภัยในการสื่อสารและความเป็นส่วนตัวของกรีซ (ADAE) (กฎหมาย 205/2013) มุ่งเน้นไปที่การปกป้องความสมบูรณ์และความพร้อมใช้งานของบริการและข้อมูลที่นำเสนอโดย บริษัท โทรคมนาคมของกรีก กฎหมายบังคับให้ บริษัท เหล่านี้และ บริษัท อื่น ๆ ที่เกี่ยวข้องต้องสร้างปรับใช้และทดสอบแผนความต่อเนื่องทางธุรกิจที่เหมาะสมและโครงสร้างพื้นฐานที่ซ้ำซ้อน [84]

วัฒนธรรมความปลอดภัยของข้อมูล

การอธิบายมากกว่าเพียงว่าพนักงานที่ตระหนักถึงความปลอดภัยเป็นอย่างไรวัฒนธรรมความปลอดภัยของข้อมูลคือความคิดประเพณีและพฤติกรรมทางสังคมขององค์กรที่ส่งผลกระทบต่อความปลอดภัยของข้อมูลทั้งในทางบวกและทางลบ [85]แนวความคิดทางวัฒนธรรมสามารถช่วยให้ส่วนต่างๆขององค์กรทำงานได้อย่างมีประสิทธิภาพหรือต่อต้านประสิทธิผลที่มีต่อความปลอดภัยของข้อมูลภายในองค์กร วิธีคิดและความรู้สึกของพนักงานเกี่ยวกับความปลอดภัยและการกระทำที่พวกเขาทำอาจส่งผลกระทบอย่างมากต่อความปลอดภัยของข้อมูลในองค์กร Roer & Petric (2017) ระบุเจ็ดมิติหลักของวัฒนธรรมความปลอดภัยของข้อมูลในองค์กร: [86]

ทัศนคติ: ความรู้สึกและอารมณ์ของพนักงานเกี่ยวกับกิจกรรมต่างๆที่เกี่ยวข้องกับความปลอดภัยของข้อมูลขององค์กร
พฤติกรรม: กิจกรรมที่เกิดขึ้นจริงหรือตามความมุ่งหมายและการดำเนินการกับความเสี่ยงของพนักงานที่มีผลกระทบโดยตรงหรือโดยอ้อมต่อความปลอดภัยของข้อมูล
ความรู้ความเข้าใจ: การรับรู้ของพนักงานความรู้ที่ตรวจสอบได้และความเชื่อเกี่ยวกับการปฏิบัติกิจกรรมและความสัมพันธ์ด้านการรับรู้ความสามารถของตนเองที่เกี่ยวข้องกับความปลอดภัยของข้อมูล
การสื่อสาร: วิธีที่พนักงานสื่อสารกันความรู้สึกเป็นเจ้าของการสนับสนุนปัญหาด้านความปลอดภัยและการรายงานเหตุการณ์
การปฏิบัติตาม: การปฏิบัติตามนโยบายความปลอดภัยขององค์กรการตระหนักถึงการมีอยู่ของนโยบายดังกล่าวและความสามารถในการระลึกถึงเนื้อหาของนโยบายดังกล่าว
บรรทัดฐาน: การรับรู้พฤติกรรมและการปฏิบัติขององค์กรที่เกี่ยวข้องกับความปลอดภัยซึ่งพนักงานและเพื่อนร่วมงานถือว่าเป็นเรื่องปกติหรือเบี่ยงเบนเช่นความคาดหวังที่ซ่อนเร้นเกี่ยวกับพฤติกรรมการรักษาความปลอดภัยและกฎเกณฑ์ที่ไม่ได้เขียนไว้เกี่ยวกับการใช้เทคโนโลยีการสื่อสารข้อมูล
ความรับผิดชอบ: ความเข้าใจของพนักงานเกี่ยวกับบทบาทและความรับผิดชอบที่พวกเขามีเป็นปัจจัยสำคัญในการรักษาความปลอดภัยของข้อมูลหรือเป็นอันตรายต่อองค์กร

Andersson and Reimers (2014) พบว่าพนักงานมักไม่มองว่าตัวเองเป็นส่วนหนึ่งของ "ความพยายาม" ในการรักษาความปลอดภัยข้อมูลขององค์กรและมักดำเนินการที่ละเลยผลประโยชน์สูงสุดด้านความปลอดภัยของข้อมูลขององค์กร [87] การวิจัยแสดงให้เห็นว่าวัฒนธรรมความปลอดภัยของข้อมูลจำเป็นต้องได้รับการปรับปรุงอย่างต่อเนื่อง ในวัฒนธรรมความปลอดภัยของข้อมูลจากการวิเคราะห์สู่การเปลี่ยนแปลงผู้เขียนแสดงความคิดเห็นว่า "มันเป็นกระบวนการที่ไม่สิ้นสุดวงจรของการประเมินผลและการเปลี่ยนแปลงหรือการบำรุงรักษา" ในการจัดการวัฒนธรรมการรักษาความปลอดภัยของข้อมูลควรดำเนินการ 5 ขั้นตอน ได้แก่ การประเมินล่วงหน้าการวางแผนเชิงกลยุทธ์การวางแผนการปฏิบัติการนำไปใช้และหลังการประเมินผล [88]

การประเมินล่วงหน้า: เพื่อระบุความตระหนักถึงความปลอดภัยของข้อมูลภายในพนักงานและเพื่อวิเคราะห์นโยบายความปลอดภัยในปัจจุบัน
การวางแผนเชิงกลยุทธ์: เพื่อสร้างโปรแกรมการรับรู้ที่ดีขึ้นเราจำเป็นต้องกำหนดเป้าหมายที่ชัดเจน การรวมกลุ่มคนเป็นประโยชน์ในการบรรลุเป้าหมายดังกล่าว
การวางแผนเชิงปฏิบัติการ: สร้างวัฒนธรรมการรักษาความปลอดภัยที่ดีโดยอาศัยการสื่อสารภายในการซื้อในการจัดการการรับรู้ด้านความปลอดภัยและโปรแกรมการฝึกอบรม
การนำไปปฏิบัติ: ควรมีความมุ่งมั่นในการบริหารการสื่อสารกับสมาชิกในองค์กรหลักสูตรสำหรับสมาชิกในองค์กรทั้งหมดและความมุ่งมั่นของพนักงาน[88]
หลังการประเมิน: เพื่อวัดประสิทธิผลของขั้นตอนก่อนหน้าได้ดีขึ้นและสร้างการปรับปรุงอย่างต่อเนื่อง

แหล่งที่มาของมาตรฐาน

องค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) เป็นกลุ่มของสถาบันมาตรฐานแห่งชาติจาก 157 ประเทศประสานงานผ่านสำนักเลขาธิการในเจนีวาประเทศสวิสเซอร์แลนด์ ISO เป็นผู้พัฒนามาตรฐานที่ใหญ่ที่สุดในโลก ISO 15443: "เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - กรอบสำหรับการประกันความปลอดภัยด้านไอที", ISO / IEC 27002 : "เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - หลักปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล", ISO-20000 : "เทคโนโลยีสารสนเทศ - การจัดการบริการ" และISO / IEC 27001 : "เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด" เป็นที่สนใจของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเป็นพิเศษ

สหรัฐสถาบันมาตรฐานและเทคโนโลยี (NIST) เป็นหน่วยงานของรัฐบาลกลางที่ไม่ใช่กฎระเบียบภายในกระทรวงพาณิชย์ของสหรัฐฯ แผนกรักษาความปลอดภัยคอมพิวเตอร์ NIST พัฒนามาตรฐานตัวชี้วัดการทดสอบและโปรแกรมการตรวจสอบความถูกต้องตลอดจนเผยแพร่มาตรฐานและแนวทางเพื่อเพิ่มความปลอดภัยในการวางแผนการนำไปใช้การจัดการและการดำเนินงานด้านไอที NIST ยังเป็นผู้ดูแลสิ่งพิมพ์ของ US Federal Information Processing Standard (FIPS)

Internet Societyเป็นสังคมสมาชิกมืออาชีพที่มีมากกว่า 100 องค์กรและสมาชิกแต่ละคนมากกว่า 20,000 คนในกว่า 180 ประเทศ เป็นผู้นำในการแก้ไขปัญหาที่เผชิญหน้ากับอนาคตของอินเทอร์เน็ตและเป็นที่ตั้งขององค์กรสำหรับกลุ่มที่รับผิดชอบด้านมาตรฐานโครงสร้างพื้นฐานอินเทอร์เน็ตรวมถึงInternet Engineering Task Force (IETF) และInternet Architecture Board (IAB) ISOC เจ้าภาพการร้องขอสำหรับข้อคิดเห็น (RFCs) ซึ่งรวมถึงการอย่างเป็นทางการมาตรฐานโปรโตคอลอินเทอร์เน็ตและ RFC-2196 ระบบรักษาความปลอดภัยคู่มือ

รักษาความปลอดภัยข้อมูลฟอรั่ม (ISF) เป็นองค์กรไม่แสวงหาผลกำไรทั่วโลกหลายร้อยองค์กรชั้นนำในการให้บริการทางการเงิน, การผลิต, การสื่อสารโทรคมนาคม, สินค้าอุปโภคบริโภค, รัฐบาลและพื้นที่อื่น ๆ ดำเนินการวิจัยเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลและให้คำแนะนำในมาตรฐานการปฏิบัติที่ดีทุกปีและคำแนะนำโดยละเอียดสำหรับสมาชิก

สถาบันผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ (IISP) เป็นอิสระ, ร่างกายไม่แสวงหาผลกำไรภายใต้การควบคุมโดยสมาชิกของตนกับเงินต้นวัตถุประสงค์ของการก้าวหน้าเป็นมืออาชีพของผู้ปฏิบัติงานรักษาความปลอดภัยข้อมูลและจึงเป็นมืออาชีพของอุตสาหกรรมโดยรวม สถาบันได้พัฒนา IISP Skills Framework กรอบนี้อธิบายถึงช่วงของความสามารถที่คาดหวังของผู้เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูลและการประกันข้อมูลในการปฏิบัติหน้าที่อย่างมีประสิทธิผล ได้รับการพัฒนาโดยความร่วมมือระหว่างองค์กรภาคเอกชนและภาครัฐนักวิชาการที่มีชื่อเสียงระดับโลกและผู้นำด้านความปลอดภัย [89]

เยอรมันแห่งชาติสำนักงานรักษาความปลอดภัยข้อมูล (เยอรมันBundesamt für Sicherheit in der Informationstechnik (BSI) ) BSI มาตรฐาน 100-1 100-4 จะเป็นชุดของคำแนะนำรวมถึง "วิธีการกระบวนการขั้นตอนแนวทางและมาตรการที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูล ". [90]ระเบียบวิธี BSI-Standard 100-2 IT-Grundschutzอธิบายถึงวิธีการนำไปใช้และดำเนินการจัดการความปลอดภัยของข้อมูล มาตรฐานนี้มีคู่มือที่เฉพาะเจาะจงมากคือ IT Baseline Protection Catalogs (หรือที่เรียกว่า IT-Grundschutz Catalogs) ก่อนปี 2548 แคตตาล็อกเดิมเรียกว่า " IT Baseline Protection Manual" แค็ตตาล็อกคือชุดเอกสารที่มีประโยชน์สำหรับการตรวจจับและต่อสู้กับจุดอ่อนที่เกี่ยวข้องกับความปลอดภัยในสภาพแวดล้อมไอที (คลัสเตอร์ไอที) คอลเลกชันดังกล่าวครอบคลุมข้อมูล ณ เดือนกันยายน 2013 มากกว่า 4,400 หน้าโดยมีการแนะนำและแคตตาล็อก แนวทาง IT-Grundschutz สอดคล้องกับตระกูล ISO / IEC 2700x

มาตรฐานโทรคมนาคมยุโรปสถาบันมาตรฐานแคตตาล็อกของตัวชี้วัดด้านความปลอดภัยข้อมูลโดยที่ข้อมูลจำเพาะกลุ่มอุตสาหกรรม (ISG) เอส

ดูสิ่งนี้ด้วย

การสำรองข้อมูล
ความปลอดภัยตามความสามารถ
การละเมิดข้อมูล
ความปลอดภัยของข้อมูลเป็นศูนย์กลาง
สถาปัตยกรรมการรักษาความปลอดภัยข้อมูลองค์กร
การรักษาความปลอดภัยตามข้อมูลประจำตัว
โครงสร้างพื้นฐานข้อมูล
การตรวจสอบความปลอดภัยของข้อมูล
ตัวบ่งชี้ความปลอดภัยของข้อมูล
การจัดการความปลอดภัยของข้อมูล
มาตรฐานความปลอดภัยของข้อมูล
เทคโนโลยีสารสนเทศ
การตรวจสอบความปลอดภัยของเทคโนโลยีสารสนเทศ
ความเสี่ยงด้านไอที
การจัดการความปลอดภัย ITIL
ฆ่าโซ่
รายชื่อใบรับรองความปลอดภัยของคอมพิวเตอร์
ความปลอดภัยมือถือ
บริการรักษาความปลอดภัยเครือข่าย
วิศวกรรมความเป็นส่วนตัว
ซอฟต์แวร์ความเป็นส่วนตัว
เทคโนโลยีเพิ่มความเป็นส่วนตัว
ข้อบกพร่องด้านความปลอดภัย
การรวมกันของความปลอดภัย
การจัดการข้อมูลความปลอดภัย
การจัดการระดับความปลอดภัย
พระราชบัญญัติการรักษาความปลอดภัยของข้อมูล
บริการรักษาความปลอดภัย (โทรคมนาคม)
เข้าสู่ระบบเดียวใน
การตรวจสอบและการตรวจสอบความถูกต้อง

อ้างอิง

^ "สถาบัน SANS: ข้อมูลการรักษาความปลอดภัยข้อมูล" www.sans.org . สืบค้นเมื่อ2020-10-31 .
^ a b Cherdantseva Y. และ Hilton J: "ความปลอดภัยของข้อมูลและการประกันข้อมูลการอภิปรายเกี่ยวกับความหมายขอบเขตและเป้าหมาย" ใน: องค์กร, กฎหมาย, และเทคโนโลยีขนาดของข้อมูลผู้ดูแลระบบ Almeida F. , Portela, I. (eds.). สำนักพิมพ์ IGI Global (พ.ศ. 2556)
^ ISO / IEC 27000: 2009 (E) (2552). เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ภาพรวมและคำศัพท์ ISO / IEC
^ คณะกรรมการระบบความมั่นคงแห่งชาติ : อภิธานศัพท์ National Information Assurance (IA), CNSS Instruction เลขที่ 4009, 26 เมษายน 2010
^ ISACA (2551). อภิธานศัพท์ 2551. สืบค้นจาก http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
^ พิพกิน ดี. (2543). การรักษาความปลอดภัยข้อมูล: ปกป้ององค์กรระดับโลก นิวยอร์ก: บริษัท Hewlett-Packard
^ B. , McDermott, E. , & Geer, D. (2001). ความปลอดภัยของข้อมูลคือการจัดการความเสี่ยงของข้อมูล ใน Proceedings of the 2001 Workshop on New Security Paradigms NSPW '01, (หน้า 97 - 104) ACM. ‹ดู Tfd›ดอย : 10.1145 / 508171.508187
^ แอนเดอร์สัน, JM (2003). "เหตุใดเราจึงต้องการคำจำกัดความใหม่ของการรักษาความปลอดภัยข้อมูล" คอมพิวเตอร์และการรักษาความปลอดภัย22 (4): 308–313 ดอย : 10.1016 / S0167-4048 (03) 00407-3 .
^ Venter, HS; Eloff, JHP (2003). "อนุกรมวิธานสำหรับเทคโนโลยีการรักษาความปลอดภัยข้อมูล". คอมพิวเตอร์และการรักษาความปลอดภัย22 (4): 299–307 ดอย : 10.1016 / S0167-4048 (03) 00406-1 .
^ ก ข Samonas, S.; Coss, D. (2014). "ซีไอเอโต้กลับ: การรักษาความลับ Redefining และความซื่อสัตย์ในการรักษาความปลอดภัย" วารสารความปลอดภัยของระบบสารสนเทศ . 10 (3): 21–45. สืบค้นจากต้นฉบับเมื่อวันที่ 2018-09-22 . สืบค้นเมื่อ2018-01-25 .
^ "Gartner Says ดิจิตอล Disruptors มีผลกระทบต่อทุกอุตสาหกรรม; ดิจิตอลตัวชี้วัดมีความสำคัญต่อการวัดความสำเร็จ" Gartner 2 ตุลาคม 2560 . สืบค้นเมื่อ25 มกราคม 2561 .
^ "การแสดง Gartner สำรวจร้อยละ 42 ของซีอีโอได้เริ่มการเปลี่ยนแปลงทางธุรกิจดิจิตอล" Gartner 24 เมษายน 2560 . สืบค้นเมื่อ25 มกราคม 2561 .
^ "ความปลอดภัยของข้อมูลคุณสมบัติเทพธารินทร์" (PDF)การกำกับดูแลด้านไอทีสืบค้นเมื่อ16 มีนาคม 2561 .
^ สจ๊วตเจมส์ (2555). คู่มือการศึกษา CISSP แคนาดา: John Wiley & Sons, Inc. หน้า 255–257 ISBN 978-1-118-31417-3.
^ Enge, เอริค "วิหารหิน" . โทรศัพท์มือถือ
^ กอร์ดอนลอว์เรนซ์; Loeb, Martin (พฤศจิกายน 2545). "เศรษฐศาสตร์การลงทุนด้านความปลอดภัยของข้อมูล". ธุรกรรม ACM สารสนเทศและระบบรักษาความปลอดภัย 5 (4): 438–457 ดอย : 10.1145 / 581271.581274 . S2CID 1500788
^ สจ๊วตเจมส์ (2555). CISSP ได้รับการรับรองความปลอดภัยระบบข้อมูลการศึกษามืออาชีพคู่มือรุ่นที่หก แคนาดา: John Wiley & Sons, Inc. หน้า 255–257 ISBN 978-1-118-31417-3.
^ Suetonius Tranquillus, Gaius (2008). ชีวิตของซีซาร์ (ฟอร์ดคลาสสิกของโลก) นิวยอร์ก: สำนักพิมพ์มหาวิทยาลัยออกซ์ฟอร์ด น. 28. ISBN 978-0-19-953756-3.
^ ซิงห์ไซมอน (2000). หนังสือรหัส สมอ. ได้ pp. 289-290 ISBN 978-0-385-49532-5.
^ จอห์นสัน, จอห์น (1997). วิวัฒนาการของอังกฤษ SIGINT: 1653-1939 สำนักงานเครื่องเขียนสมเด็จพระนางเจ้าฯ . มิดชิด B00GYX1GX2
^ รัพเพิร์ทพ. (2554). "ราชการลับ (1889; ใหม่ 1911; แก้ไขเพิ่มเติมปี 1920 1939 1989)" ใน Hastedt, GP (ed.) สายลับ wiretaps และการดำเนินงานลับ: สารานุกรมของหน่วยสืบราชการลับอเมริกัน 2 . ABC-CLIO. หน้า 589–590 ISBN 9781851098088.
^ มาเออร์, ลูซินด้า; เกย์ (30 ธันวาคม 2551). "ความลับอย่างเป็นทางการ" (PDF) สหพันธ์นักวิทยาศาสตร์อเมริกัน
^ "ราชการลับ: สิ่งที่ครอบคลุมเมื่อมันถูกนำมาใช้ถาม" อินเดียเอ็กซ์เพรส2019-03-08 . สืบค้นเมื่อ2020-08-07 .
^ ก ข Sebag – Montefiore, H. (2011). Enigma: การต่อสู้สำหรับรหัส กลุ่มดาวนายพราน. น. 576. ISBN 9781780221236.
^ "ประวัติโดยย่อของอินเทอร์เน็ต" . www.usg.edu . สืบค้นเมื่อ2020-08-07 .
^ เดนาร์ดิส, แอล. (2550). "บทที่ 24: ประวัติความปลอดภัยทางอินเทอร์เน็ต" ใน de Leeuw, KMM; Bergstra, J. (eds.). ประวัติความเป็นมาของการรักษาความปลอดภัยข้อมูล: ครอบคลุมคู่มือ เอลส์เวียร์. หน้า 681 –704 ISBN 9780080550589.
^ Perrin, ชาด "ซีไอเอสาม" . สืบค้นเมื่อ31 พฤษภาคม 2555 .
^ ก ข "หลักวิศวกรรมเพื่อความปลอดภัยของเทคโนโลยีสารสนเทศ" (PDF) . csrc.nist.gov
^ AJ Neumann, N. Statland และ RD Webb (1977) "โพสต์การประมวลผลการตรวจสอบเครื่องมือและเทคนิค" (PDF)กระทรวงพาณิชย์สหรัฐสำนักงานมาตรฐานแห่งชาติ น. 11-3--11-4
^ "oecd.org" (PDF)ที่เก็บไว้จากเดิม (PDF)เมื่อวันที่ 16 พฤษภาคม 2011 สืบค้นเมื่อ2014-01-17 .
^ สเลดร็อบ "(ICS) 2 บล็อก"
^ Aceituno, Vicente "Open Information Security Maturity Model" . สืบค้นเมื่อ12 กุมภาพันธ์ 2560 .
^ http://www.dartmouth.edu/~gvc/ThreeTenetsSPIE.pdf
^ ฮิวจ์, เจฟฟ์; Cybenko, George (21 มิถุนายน 2018). "ปริมาณการวัดและการประเมินความเสี่ยง: สามหลักการรูปแบบของ Cybersecurity" การทบทวนการจัดการนวัตกรรมเทคโนโลยี . 3 (8).
^ Teplow, ลิลลี่ "เป็นลูกค้าของคุณล้มเหล่านี้ตำนานความปลอดภัยไอที [CHART]" ต่อเนื่อง .
^ Beckers, K. (2015). รูปแบบและการรักษาความปลอดภัยที่ต้องการ: วิศวกรรมตามการจัดตั้งมาตรฐานความปลอดภัย สปริงเกอร์. น. 100. ISBN 9783319166643.
^ a b c d e Andress, J. (2014). พื้นฐานของการรักษาความปลอดภัยข้อมูล: การทำความเข้าใจพื้นฐานของความมั่นคงสารสนเทศในทฤษฎีและการปฏิบัติ ซินเกรส. น. 240. ISBN 9780128008126.
^ บอริทซ์เจ. เอฟริม (2548). "มุมมองของผู้ปฏิบัติงาน IS เกี่ยวกับแนวคิดหลักของความสมบูรณ์ของข้อมูล" International Journal of Accounting Information Systems . เอลส์เวียร์. 6 (4): 260–279. ดอย : 10.1016 / j.accinf.2005.07.001 .
^ ลูคัสช.; Oke, G. (กันยายน 2553) [สิงหาคม 2552]. "การป้องกันการปฏิเสธการโจมตีบริการ: การสำรวจ" (PDF)คอมพิวเตอร์ ญ. 53 (7): 1020–1037 ดอย : 10.1093 / comjnl / bxp078 . สืบค้นจากต้นฉบับ (PDF)เมื่อ 2012-03-24 . สืบค้นเมื่อ2015-08-28 .
^ McCarthy, C. (2549). "ห้องสมุดดิจิตอล: การรักษาความปลอดภัยและการดูแลรักษาการพิจารณา" ใน Bidgoli, H. (ed.) คู่มือการรักษาความปลอดภัยข้อมูลภัยคุกคามช่องโหว่, การป้องกัน, การตรวจสอบและการจัดการ 3 . จอห์นไวลีย์แอนด์ซันส์ หน้า 49–76 ISBN 9780470051214.
^ Grama, JL (2014). ปัญหาทางกฎหมายในการรักษาความปลอดภัยข้อมูล การเรียนรู้ของ Jones & Bartlett น. 550. ISBN 9781284151046.
^ ISACA (2549). CISA ตรวจสอบด้วยตนเอง 2006 สมาคมตรวจสอบและควบคุมระบบสารสนเทศ. น. 85. ISBN 978-1-933284-15-6.
^ สปาญโญเลต์ติ, เปาโล; Resca A. (2008). "การเป็นคู่ของการบริหารจัดการความปลอดภัยของข้อมูล: การต่อสู้กับภัยคุกคามที่คาดการณ์และคาดเดาไม่ได้" วารสารความปลอดภัยของระบบสารสนเทศ . 4 (3): 46–62.
^ Kiountouzis, EA; Kokolakis, SA (2539-05-31). ระบบรักษาความปลอดภัยข้อมูล: หันหน้าไปทางสังคมข้อมูลของศตวรรษที่ ลอนดอน: Chapman & Hall, Ltd. ISBN 978-0-412-78120-9.
^ Newsome, B. (2013). ปฏิบัติเบื้องต้นเกี่ยวกับการรักษาความปลอดภัยและการบริหารความเสี่ยงสิ่งพิมพ์ SAGE น. 208. ISBN 9781483324852.
^ ก ข วิทแมนฉัน; Mattord, HJ (2016). การจัดการความปลอดภัยของข้อมูล (ฉบับที่ 5) การเรียนรู้ Cengage น. 592. ISBN 9781305501256.
^ "NIST SP 800-30 คู่มือการบริหารความเสี่ยงสำหรับระบบสารสนเทศเทคโนโลยี" (PDF)สืบค้นเมื่อ2014-01-17 .
^ จอห์นสัน, L. (2015). การรักษาความปลอดภัยการควบคุมการประเมินผลการทดสอบและการประเมินคู่มือ ซินเกรส. น. 678. ISBN 9780128025642.
^ 44 ยูเอส § 3542 (ข) (1)
^ Ransome, J.; Misra, A. (2013). คอร์ซอฟแวร์รักษาความปลอดภัย: การรักษาความปลอดภัยที่มา CRC Press. หน้า 40–41 ISBN 9781466560956.
^ "การแบ่งแยกหน้าที่ควบคุมเมทริกซ์" ISACA 2551. สืบค้นจากต้นฉบับเมื่อ 3 กรกฎาคม 2554 . สืบค้นเมื่อ2008-09-30 .
^ Kakareka, A. (2013). "บทที่ 31: การประเมินช่องโหว่คืออะไร" . ใน Vacca, JR (ed.) คู่มือการรักษาความปลอดภัยคอมพิวเตอร์และข้อมูล (ฉบับที่ 2) เอลส์เวียร์. หน้า 541–552 ISBN 9780123946126.
^ ก ข บายูคเจ. (2552). "บทที่ 4: การจัดประเภทข้อมูล" . ใน Axelrod, CW; บายูค JL; Schutzer, D. (eds.). ความปลอดภัยและความเป็นส่วนตัวของข้อมูลองค์กร บ้านอาร์เทค. หน้า 59–70 ISBN 9781596931916.
^ "รูปแบบธุรกิจเพื่อความปลอดภัยของข้อมูล (BMIS)" . ISACA สืบค้นเมื่อ25 มกราคม 2561 .
^ Akpeninor, James Ohwofasa (2013). แนวคิดที่ทันสมัยของการรักษาความปลอดภัย Bloomington, IN: AuthorHouse น. 135. ISBN 978-1-4817-8232-6. สืบค้นเมื่อ18 มกราคม 2561 .
^ "การใช้เส้นทางการตรวจสอบในการตรวจสอบเครือข่ายที่สำคัญและระบบจะยังคงเป็นส่วนหนึ่งของความอ่อนแอคอมพิวเตอร์วัสดุความปลอดภัย" www.treasury.gov . สืบค้นเมื่อ2017-10-06 .
^ วัลลภาณีนี, SR (2008). องค์กรบริหารการกำกับดูแลกิจการและจริยธรรมปฏิบัติที่ดีที่สุด จอห์นไวลีย์แอนด์ซันส์ น. 288. ISBN 9780470255803.
^ ชอนแฮร์ริส (2546). คู่มือการสอบใบรับรอง CISSP แบบ All-in-one (ฉบับที่ 2) เอเมอรีวิลล์แคลิฟอร์เนีย : McGraw-Hill / Osborne ISBN 978-0-07-222966-0.
^ "หน้าที่ในการดูแลมาตรฐานการวิเคราะห์ความเสี่ยง" . DoCRAสืบค้นจากต้นฉบับเมื่อวันที่ 2018-08-14 . สืบค้นเมื่อ2018-08-15 .
^ Westby, JR; Allen, JH (สิงหาคม 2550). "การปกครองสำหรับองค์กรรักษาความปลอดภัย (GES) ดำเนิน Guide" (PDF)สถาบันวิศวกรรมซอฟต์แวร์. สืบค้นเมื่อ25 มกราคม 2561 .
^ "Iltanget.org" . iltanet.org . 2558.
^ ก ข Leonard, Wills (2019). บทสรุปคู่มือการจัดการ Cyber เหตุการณ์ หน้า 17–18
^ แอร์ลังเจอร์, Leon (2002). กลยุทธ์การป้องกันนิตยสารพีซี. น. 70.
^ ก ข ค "รักษาความปลอดภัยคอมพิวเตอร์เหตุการณ์การจัดการ Guide" (PDF)Nist.gov . 2555.
^ เหอ, หญิง (1 ธันวาคม 2017). "ความท้าทายของการเรียนรู้เหตุการณ์การรักษาความปลอดภัยข้อมูล: กรณีศึกษาอุตสาหกรรมในองค์การการดูแลสุขภาพของจีน" (PDF)สารสนเทศเพื่อการดูแลสุขภาพและสังคม . 42 (4): 394–395 ดอย : 10.1080 / 17538157.2016.1255629 . PMID 28068150 S2CID 20139345
^ แคมป์เบล, T. (2016). "บทที่ 14: การพัฒนาระบบที่ปลอดภัย" . การจัดการความปลอดภัยของข้อมูลเชิงปฏิบัติ: คู่มือฉบับสมบูรณ์สำหรับการวางแผนและการนำไปใช้งาน Apress. น. 218. ISBN 9781484216859.
^ เทย์เลอร์, J. (2008). "บทที่ 10: การทำความเข้าใจกระบวนการเปลี่ยนแปลงโครงการ". โครงการการจัดตารางเวลาและการควบคุมค่าใช้จ่าย: การวางแผนการตรวจสอบและการควบคุมพื้นฐาน สำนักพิมพ์ J. Ross. หน้า 187–214 ISBN 9781932159110.
^ itpi.org เก็บถาวรเมื่อวันที่ 10 ธันวาคม 2013 ที่ Wayback Machine
^ "สรุปหนังสือที่มองเห็น Ops: คู่มือการใช้ ITIL ใน 4 ปฏิบัติและตรวจสอบขั้นตอน" wikisummaries.org . สืบค้นเมื่อ2016-06-22 .
^ Hotchkiss, Stuart Business Continuity Management: การในทางปฏิบัติอังกฤษสารสนเทศสังคม จำกัด 2010 ProQuest Ebook กลางhttps://ebookcentral.proquest.com/lib/pensu/detail.action?docID=634527
^ “ แผนฟื้นฟูภัยพิบัติ” . Sans สถาบัน สืบค้นเมื่อ7 กุมภาพันธ์ 2555 .
^ "พระราชบัญญัติคุ้มครองข้อมูล พ.ศ. 2541" . legislation.gov.ukหอจดหมายเหตุแห่งชาติ. สืบค้นเมื่อ25 มกราคม 2561 .
^ “ พรบ. คอมพิวเตอร์ 2533” . legislation.gov.ukหอจดหมายเหตุแห่งชาติ. สืบค้นเมื่อ25 มกราคม 2561 .
^ "Directive 2006/24 / EC ของรัฐสภายุโรปและของสภา 15 มีนาคม 2006" EUR-Lexอียู สืบค้นเมื่อ25 มกราคม 2561 .
^ ประมวลกฎหมายที่ 20 USC § 1232gกับกฎระเบียบของการดำเนินการในชื่อ 34, 99 ส่วนหนึ่งของรหัสของกฎระเบียบของรัฐบาลกลาง
^ "จุลสารการตรวจสอบ" . คู่มือแนวข้อสอบเทคโนโลยีสารสนเทศ . FFIEC . สืบค้นเมื่อ25 มกราคม 2561 .
^ "กฎหมายมหาชน 104-191 - ประกันสุขภาพ Portability และ Accountability Act ของปี 1996" สำนักพิมพ์ของรัฐบาลสหรัฐฯ. สืบค้นเมื่อ25 มกราคม 2561 .
^ "กฎหมายมหาชน 106-102 - Gramm-Leach-Bliley พระราชบัญญัติของปี 1999" (PDF)สำนักพิมพ์ของรัฐบาลสหรัฐฯ. สืบค้นเมื่อ25 มกราคม 2561 .
^ "กฎหมายมหาชน 107 - 204 - Sarbanes-Oxley Act of 2002" . สำนักพิมพ์ของรัฐบาลสหรัฐฯ. สืบค้นเมื่อ25 มกราคม 2561 .
^ "การชำระเงินด้วยบัตรอุตสาหกรรม (PCI) Data Security Standard: ความต้องการและวิธีการประเมินความปลอดภัย - รุ่น 3.2" (PDF)สภามาตรฐานความปลอดภัย. เมษายน 2559 . สืบค้นเมื่อ25 มกราคม 2561 .
^ "ความปลอดภัยกฎหมายละเมิดการแจ้งเตือน" การประชุมสภานิติบัญญัติแห่งชาติ 12 เมษายน 2560 . สืบค้นเมื่อ25 มกราคม 2561 .
^ "การคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ตามพระราชบัญญัติ" (PDF)แคนาดารัฐมนตรีว่าการกระทรวงยุติธรรม สืบค้นเมื่อ25 มกราคม 2561 .
^ "กฎระเบียบสำหรับการประกันของการรักษาความลับในการติดต่อสื่อสารทางอิเล็กทรอนิกส์" (PDF)ราชกิจจานุเบกษาของสาธารณรัฐเฮลเลนิก . หน่วยงาน Hellenic เพื่อความปลอดภัยในการสื่อสารและความเป็นส่วนตัว 17 พฤศจิกายน 2554 . สืบค้นเมื่อ25 มกราคม 2561 .
^ "Αριθμ. απόφ. 205/2013" (PDF)ราชกิจจานุเบกษาของสาธารณรัฐเฮลเลนิก . หน่วยงาน Hellenic เพื่อความปลอดภัยในการสื่อสารและความเป็นส่วนตัว 15 กรกฎาคม 2556 . สืบค้นเมื่อ25 มกราคม 2561 .
^ https://securitycultureframework.net (09/04/2014) “ นิยามวัฒนธรรมความมั่นคง” . กรอบวัฒนธรรมการรักษาความปลอดภัย
^ Roer, Kai; Petric, Gregor (2017). 2017 รายงานวัฒนธรรมความปลอดภัย - ในเชิงลึกเชิงลึกในปัจจัยมนุษย์ CLTRe North America, Inc. หน้า 42–43 ISBN 978-1544933948.
^ เดอร์สัน, D. , Reimers พและ Barretto, C. (มีนาคม 2014) ความปลอดภัยของเครือข่ายการศึกษาหลังมัธยมศึกษา: ผลลัพธ์ของการจัดการกับความท้าทายของผู้ใช้ปลายทางวันที่เผยแพร่ 11 มีนาคม 2014 คำอธิบายของสิ่งพิมพ์ INTED2014 (การประชุมเทคโนโลยีนานาชาติการศึกษาและการพัฒนา)
^ ก ข ชลิเอนเกอร์, โธมัส; Teufel, Stephanie (ธันวาคม 2546). "วัฒนธรรมความปลอดภัยของข้อมูล - จากการวิเคราะห์สู่การเปลี่ยนแปลง". แอฟริกาใต้สมาคมคอมพิวเตอร์ (SAICSIT) 2546 (31): 46–52. hdl : 10520 / EJC27949 .
^ "IISP Skills Framework" .
^ “ BSI-Standards” . BSI . สืบค้นเมื่อ29 พฤศจิกายน 2556 .

อ่านเพิ่มเติม

Anderson, K. , " ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีต้องมีวิวัฒนาการเพื่อการเปลี่ยนแปลงของตลาด ", นิตยสาร SC , 12 ตุลาคม 2549
Aceituno, V. , "On Information Security Paradigms", ISSA Journal , กันยายน 2548
Dhillon, G. , Principles of Information Systems Security: text and cases , John Wiley & Sons , 2007
Easttom, C. , Computer Security Fundamentals (2nd Edition) Pearson Education , 2011
Lambo, T. , "ISO / IEC 27001: อนาคตของการรับรอง infosec", ISSA Journal , พฤศจิกายน 2549
Dustin, D. , "การรับรู้ว่าข้อมูลของคุณถูกนำไปใช้อย่างไรและจะทำอย่างไรกับมัน ", "CDR Blog", พฤษภาคม 2017

บรรณานุกรม

Allen, Julia H. (2001). CERT Guide to System and Network Security Practices . บอสตันแมสซาชูเซตส์: แอดดิสัน - เวสลีย์ ISBN 978-0-201-73723-3.
ครูทซ์, โรนัลด์แอล; รัสเซลดีนวีนส์ (2546). คู่มือการเตรียม CISSP (Gold ed.) อินเดียแนโพลิส, IN: Wiley ISBN 978-0-471-26802-4.
เลย์ตันทิโมธีพี (2550). ความปลอดภัยของข้อมูล: การออกแบบ, การดำเนินการการวัดและการปฏิบัติตาม Boca Raton, FL: สิ่งพิมพ์ของ Auerbach ISBN 978-0-8493-7087-8.
McNab, คริส (2004). การประเมินการรักษาความปลอดภัยเครือข่ายSebastopol, CA: O'Reilly ISBN 978-0-596-00611-2.
Peltier, Thomas R. (2001). ความปลอดภัยของข้อมูลการวิเคราะห์ความเสี่ยงBoca Raton, FL: สิ่งพิมพ์ของ Auerbach ISBN 978-0-8493-0880-2.
Peltier, Thomas R. (2002). นโยบายการรักษาความปลอดภัยข้อมูลวิธีการและมาตรฐาน: แนวทางการบริหารจัดการความปลอดภัยของข้อมูลที่มีประสิทธิภาพ Boca Raton, FL: สิ่งพิมพ์ของ Auerbach ISBN 978-0-8493-1137-6.
ขาวเกรกอรี (2546) All-in-One Security + Certification Exam คู่มือ Emeryville, CA: McGraw-Hill / Osborne ISBN 978-0-07-222633-1.
Dhillon, Gurpreet (2007). หลักการของระบบสารสนเทศเพื่อการรักษาความปลอดภัย: ข้อความและกรณี นิวยอร์ก: John Wiley & Sons ISBN 978-0-471-45056-6.

ลิงก์ภายนอก

แผนภูมินโยบาย DoD IAบนเว็บไซต์ DoD Information Assurance Technology Analysis Center
รูปแบบและแนวทางปฏิบัติวิศวกรรมความปลอดภัยอธิบาย
เปิดสถาปัตยกรรมความปลอดภัย - การควบคุมและรูปแบบเพื่อรักษาความปลอดภัยระบบไอที
IWS - บทความปลอดภัยของข้อมูล
หนังสือ "วิศวกรรมความปลอดภัย" ของ Ross Anderson

ข้อใดคือ 3 หลักของการรักษาความปลอดภัยข้อมูล (Information Security)

Information Security ความมั่นคงปลอดภัยของข้อมูลสารสนเทศ.

การรักษาความลับ (Confidentiality) ... .

การรักษาความถูกต้องครบถ้วน (Integrity) ... .

สภาพความพร้อมใช้ (Availability).

คุณสมบัติในการรักษาความปลอดภัยของข้อมูลมีอะไรบ้าง

ความลับ Confidentiality. • เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ ... .

ความสมบูรณ์ Integrity. • ... .

ความพร้อมใช้ Availability. • ... .

ความถูกต้องแม่นยำ Accuracy. • ... .

เป็นของแท้ Authenticity. • ... .

ความเป็นส่วนตัว Privacy. •.

หลักการพื้นฐานของการรักษาความปลอดภัยของข้อมูลทั้ง 3 ด้าน มีอะไรบ้าง

ความปลอดภัยของข้อมูลสารสนเทศ (Information Security).

การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control) โดยมีระดับวิธีการ 3 วิธีคือ ... .

การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control) ... .

การใช้นโยบายในการควบคุม (Policies) ... .

การป้องกันทางกายภาพ (Physical Control).

ทรัพย์สินสารสนเทศ มีอะไรบ้าง

🔖 สินทรัพย์สารสนเทศ หมายถึง ข้อมูล ระบบข้อมูล และทรัพย์สินด้านเทคโนโลยีสารสนเทศและการสื่อสารของหน่วยงาน ได้แก่ ระบบเครือข่าย ระบบคอมพิวเตอร์ ซอฟต์แวร์ลิขสิทธิ์ เป็นต้น มีวัตถุประสงค์เพื่อบริหารกิจกรรมของมหาวิทยาลัย ให้บรรลุพันธกิจของมหาวิทยาลัย ไม่ควรนำไปใช้ผอดวัตถุประสงค์ หรือนำไปใช้ส่วนตัวเพราะอาจส่งผลกระทบต่อ ...