ความปลอดภัยของข้อมูลบางครั้งย่อมาจากinfosecคือแนวปฏิบัติในการปกป้องข้อมูลโดยการลดความเสี่ยงของข้อมูล มันเป็นส่วนหนึ่งของการบริหารความเสี่ยงข้อมูล
โดยทั่วไปจะเกี่ยวข้องกับการป้องกันหรือลดความน่าจะเป็นของการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต / ไม่เหมาะสมหรือการใช้งานการเปิดเผยการหยุดชะงักการลบการทุจริตการแก้ไขการตรวจสอบการบันทึกหรือการลดค่าของข้อมูลโดยไม่ชอบด้วยกฎหมาย
[1]นอกจากนี้ยังเกี่ยวข้องกับการดำเนินการที่มีวัตถุประสงค์เพื่อลดผลกระทบที่ไม่พึงประสงค์จากเหตุการณ์ดังกล่าว ข้อมูลที่ได้รับการคุ้มครองอาจอยู่ในรูปแบบใดก็ได้เช่นอิเล็กทรอนิกส์หรือทางกายภาพจับต้องได้ (เช่นเอกสาร ) หรือจับต้องไม่ได้
(เช่นความรู้). เป้าหมายหลักของการรักษาความปลอดภัยข้อมูลคือการป้องกันที่สมดุลของการรักษาความลับความซื่อสัตย์และความพร้อมของข้อมูล (หรือที่เรียกว่าสามของซีไอเอ) ขณะที่ยังคงมุ่งเน้นไปที่ประสิทธิภาพของนโยบายการดำเนินการทั้งหมดโดยไม่ขัดขวางองค์กรการผลิต
สิ่งนี้สามารถทำได้โดยส่วนใหญ่ผ่านกระบวนการบริหารความเสี่ยงที่มีโครงสร้างซึ่งเกี่ยวข้องกับ: ที่จะสร้างมาตรฐานวินัยนี้นักวิชาการและผู้เชี่ยวชาญด้านการทำงานร่วมกันเพื่อให้คำแนะนำข้อเสนอนโยบายและมาตรฐานอุตสาหกรรมในรหัสผ่าน , ซอฟต์แวร์ป้องกันไวรัส , ไฟร์วอลล์ , ซอฟต์แวร์การเข้ารหัส ,
ความรับผิดตามกฎหมาย , ตระหนักถึงความปลอดภัยและการฝึกอบรมและอื่น ๆ มาตรฐานนี้อาจได้รับการขับเคลื่อนเพิ่มเติมโดยกฎหมายและข้อบังคับต่างๆมากมายที่มีผลต่อวิธีการเข้าถึงประมวลผลจัดเก็บถ่ายโอนและทำลายข้อมูล
อย่างไรก็ตามการปฏิบัติตามมาตรฐานและแนวทางใด ๆ ภายในหน่วยงานอาจมีผล จำกัด หากไม่ได้นำวัฒนธรรมการปรับปรุงอย่างต่อเนื่องมาใช้ คำจำกัดความความปลอดภัยของข้อมูลคุณสมบัติหรือคุณภาพคือ การรักษาความลับ , ความซื่อสัตย์และ ความพร้อมใช้งาน (ซีไอเอ) ระบบสารสนเทศประกอบด้วยสามส่วนหลักฮาร์ดแวร์ซอฟต์แวร์และการสื่อสารโดยมีวัตถุประสงค์เพื่อช่วยระบุและใช้มาตรฐานอุตสาหกรรมการรักษาความปลอดภัยข้อมูลเป็นกลไกในการป้องกันและป้องกันในสามระดับหรือชั้น: ทางกายภาพส่วนบุคคลและองค์กร โดยพื้นฐานแล้วขั้นตอนหรือนโยบายจะถูกนำไปใช้เพื่อบอกผู้ดูแลระบบผู้ใช้และผู้ปฏิบัติงานถึงวิธีการใช้ผลิตภัณฑ์เพื่อให้มั่นใจในความปลอดภัยของข้อมูลภายในองค์กร [2] คำจำกัดความต่างๆของการรักษาความปลอดภัยข้อมูลมีคำแนะนำด้านล่างโดยสรุปจากแหล่งข้อมูลต่างๆ:
ภาพรวมหัวใจสำคัญของการรักษาความปลอดภัยของข้อมูลคือการประกันข้อมูลการกระทำในการรักษาความลับความสมบูรณ์และความพร้อมใช้งาน (CIA) ของข้อมูลเพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกบุกรุกไม่ว่าด้วยวิธีใด ๆ เมื่อเกิดปัญหาร้ายแรง [10]ปัญหาเหล่านี้รวมถึง แต่ไม่ จำกัด เพียงภัยธรรมชาติความผิดปกติของคอมพิวเตอร์ / เซิร์ฟเวอร์และการโจรกรรมทางกายภาพ ในขณะที่การดำเนินธุรกิจที่ใช้กระดาษยังคงเป็นที่แพร่หลายโดยต้องมีชุดแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลของตนเอง แต่การริเริ่มด้านดิจิทัลขององค์กรได้รับความสำคัญมากขึ้นเรื่อย ๆ[11] [12]โดยปกติแล้วการรับรองข้อมูลจะถูกจัดการโดยผู้เชี่ยวชาญด้านความปลอดภัยด้านเทคโนโลยีสารสนเทศ (IT) ผู้เชี่ยวชาญเหล่านี้ใช้ความปลอดภัยของข้อมูลกับเทคโนโลยี (ส่วนใหญ่มักเป็นระบบคอมพิวเตอร์บางรูปแบบ) ควรทราบว่าคอมพิวเตอร์ไม่ได้หมายถึงเดสก์ท็อปที่บ้าน คอมพิวเตอร์คืออุปกรณ์ใด ๆ ที่มีโปรเซสเซอร์และหน่วยความจำบางส่วน อุปกรณ์ดังกล่าวมีตั้งแต่อุปกรณ์แบบสแตนด์อโลนที่ไม่ใช่เครือข่ายเช่นเครื่องคิดเลขไปจนถึงอุปกรณ์คอมพิวเตอร์เคลื่อนที่ในเครือข่ายเช่นสมาร์ทโฟนและคอมพิวเตอร์แท็บเล็ต ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีมักพบได้ในองค์กร / สถานประกอบการขนาดใหญ่เนื่องจากลักษณะและมูลค่าของข้อมูลในธุรกิจขนาดใหญ่ พวกเขามีหน้าที่รับผิดชอบในการรักษาเทคโนโลยีทั้งหมดภายใน บริษัท ให้ปลอดภัยจากการโจมตีทางไซเบอร์ที่เป็นอันตรายซึ่งมักจะพยายามรับข้อมูลส่วนตัวที่สำคัญหรือเข้าควบคุมระบบภายใน สาขาการรักษาความปลอดภัยของข้อมูลได้เติบโตและพัฒนาขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา มันมีหลายพื้นที่สำหรับความเชี่ยวชาญรวมถึงเครือข่ายการรักษาความปลอดภัยและพันธมิตรโครงสร้างพื้นฐานการรักษาความปลอดภัยการใช้งานและฐานข้อมูล , การทดสอบความปลอดภัยระบบข้อมูลการตรวจสอบ , การวางแผนธุรกิจต่อเนื่องการค้นพบบันทึกอิเล็กทรอนิกส์และนิติดิจิตอลผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลมีความมั่นคงในการจ้างงานมาก ณ ปี 2556ผู้เชี่ยวชาญมากกว่า 80 เปอร์เซ็นต์ไม่มีการเปลี่ยนแปลงนายจ้างหรือการจ้างงานในช่วงเวลาหนึ่งปีและคาดว่าจำนวนผู้เชี่ยวชาญจะเพิ่มขึ้นอย่างต่อเนื่องมากกว่า 11 เปอร์เซ็นต์ต่อปีตั้งแต่ปี 2014 ถึง 2019 [13] ภัยคุกคามภัยคุกคามด้านความปลอดภัยของข้อมูลมีหลายรูปแบบ ภัยคุกคามที่พบบ่อยที่สุดในปัจจุบัน ได้แก่ การโจมตีซอฟต์แวร์การขโมยทรัพย์สินทางปัญญาการขโมยข้อมูลประจำตัวการขโมยอุปกรณ์หรือข้อมูลการก่อวินาศกรรมและการขู่กรรโชกข้อมูล คนส่วนใหญ่เคยประสบกับการโจมตีของซอฟต์แวร์บางประเภท ไวรัส , [14] เวิร์ม , โจมตีฟิชชิ่งและม้าโทรจันเป็นตัวอย่างที่พบได้บ่อยจากการโจมตีของซอฟแวร์ การขโมยทรัพย์สินทางปัญญายังเป็นปัญหาใหญ่สำหรับหลายธุรกิจในสาขาเทคโนโลยีสารสนเทศ ( IT ) โจรกรรมเป็นความพยายามที่จะทำหน้าที่เป็นคนอื่นมักจะได้รับข้อมูลส่วนบุคคลของบุคคลนั้นหรือจะใช้ประโยชน์จากการเข้าถึงข้อมูลที่สำคัญผ่านทางวิศวกรรมทางสังคม การขโมยอุปกรณ์หรือข้อมูลเป็นที่แพร่หลายมากขึ้นในปัจจุบันเนื่องจากอุปกรณ์ส่วนใหญ่ในปัจจุบันเป็นอุปกรณ์พกพา[15]มีแนวโน้มที่จะถูกโจรกรรมและยังเป็นที่ต้องการมากขึ้นเมื่อปริมาณความจุข้อมูลเพิ่มขึ้น การก่อวินาศกรรมมักประกอบด้วยการทำลายเว็บไซต์ขององค์กรเพื่อพยายามทำให้ลูกค้าสูญเสียความเชื่อมั่น การขู่กรรโชกข้อมูลประกอบด้วยการขโมยทรัพย์สินของ บริษัท หรือข้อมูลเพื่อพยายามรับเงินเพื่อแลกกับการส่งคืนข้อมูลหรือทรัพย์สินคืนให้กับเจ้าของเช่นเดียวกับแรนซัมแวร์ มีหลายวิธีในการช่วยป้องกันตนเองจากการโจมตีเหล่านี้ แต่หนึ่งในข้อควรระวังที่ใช้งานได้ดีที่สุดคือดำเนินการรับรู้ผู้ใช้เป็นระยะ ภัยคุกคามอันดับหนึ่งต่อองค์กรคือผู้ใช้หรือพนักงานภายในเรียกอีกอย่างว่าภัยจากบุคคลภายใน รัฐบาล , ทหาร , องค์กร , สถาบันการเงิน , โรงพยาบาล , องค์กรที่ไม่แสวงหาผลกำไรและเอกชนธุรกิจรวบรวมจัดการที่ดีของข้อมูลลับเกี่ยวกับพนักงานลูกค้าผลิตภัณฑ์วิจัยและสถานะทางการเงินของพวกเขา หากข้อมูลที่เป็นความลับเกี่ยวกับลูกค้าหรือการเงินของธุรกิจหรือสายผลิตภัณฑ์ใหม่ตกอยู่ในมือของคู่แข่งหรือแฮ็กเกอร์หมวกดำธุรกิจและลูกค้าอาจได้รับความสูญเสียทางการเงินอย่างกว้างขวางและไม่สามารถแก้ไขได้รวมทั้งความเสียหายต่อชื่อเสียงของ บริษัท จากมุมมองทางธุรกิจการรักษาความปลอดภัยของข้อมูลจะต้องสมดุลกับต้นทุน แบบจำลองGordon-Loebเป็นแนวทางทางเศรษฐศาสตร์ทางคณิตศาสตร์สำหรับการจัดการกับข้อกังวลนี้ [16] สำหรับบุคคลที่รักษาความปลอดภัยข้อมูลที่มีผลกระทบต่อความเป็นส่วนตัวซึ่งถูกมองว่าแตกต่างกันมากในหลายวัฒนธรรม การตอบสนองต่อภัยคุกคามการตอบสนองที่เป็นไปได้ต่อภัยคุกคามด้านความปลอดภัยหรือความเสี่ยงได้แก่ : [17]
ประวัติศาสตร์ตั้งแต่วันแรกของการสื่อสารนักการทูตและผู้บัญชาการทหารที่เข้าใจว่ามันเป็นสิ่งจำเป็นเพื่อให้กลไกบางอย่างเพื่อปกป้องความลับของการติดต่อและจะมีวิธีการตรวจสอบบางปลอมแปลง Julius Caesarได้รับเครดิตจากการประดิษฐ์รหัสซีซาร์ c. 50 ปีก่อนคริสตกาลซึ่งสร้างขึ้นเพื่อป้องกันไม่ให้ข้อความลับของเขาถูกอ่านหากข้อความตกไปอยู่ในมือคนผิด อย่างไรก็ตามการป้องกันส่วนใหญ่ทำได้โดยการประยุกต์ใช้การควบคุมการจัดการขั้นตอน [18] [19]ข้อมูลที่ละเอียดอ่อนถูกทำเครื่องหมายขึ้นเพื่อระบุว่าควรได้รับการปกป้องและขนส่งโดยบุคคลที่เชื่อถือได้ปกป้องและจัดเก็บในสภาพแวดล้อมที่ปลอดภัยหรือกล่องที่แข็งแรง เมื่อบริการไปรษณีย์ขยายตัวรัฐบาลต่าง ๆ ได้สร้างองค์กรอย่างเป็นทางการเพื่อสกัดกั้นถอดรหัสอ่านและปิดผนึกจดหมาย (เช่นสำนักงานลับของสหราชอาณาจักรก่อตั้งขึ้นในปี ค.ศ. 1653 [20] ) ในช่วงกลางศตวรรษที่สิบเก้าระบบการจำแนกที่ซับซ้อนมากขึ้นได้รับการพัฒนาเพื่อให้รัฐบาลสามารถจัดการข้อมูลของตนได้ตามระดับความอ่อนไหว ตัวอย่างเช่นรัฐบาลอังกฤษประมวลเรื่องนี้ในระดับหนึ่งด้วยการตีพิมพ์พระราชบัญญัติความลับอย่างเป็นทางการในปีพ. ศ. 2432 [21]มาตรา 1 ของกฎหมายที่เกี่ยวข้องกับการจารกรรมข้อมูลและการเปิดเผยข้อมูลโดยมิชอบด้วยกฎหมายในขณะที่มาตรา 2 จัดการกับการละเมิดความไว้วางใจของทางการ ในไม่ช้าก็มีการเพิ่มการป้องกันผลประโยชน์สาธารณะเพื่อปกป้องการเปิดเผยข้อมูลเพื่อประโยชน์ของรัฐ [22]กฎหมายลักษณะเดียวกันนี้ผ่านในอินเดียในปี พ.ศ. 2432 พระราชบัญญัติความลับของทางการอินเดียซึ่งเกี่ยวข้องกับยุคอาณานิคมของอังกฤษและใช้ในการปราบปรามหนังสือพิมพ์ที่ต่อต้านนโยบายของราช เวอร์ชันที่ใหม่กว่าได้รับการส่งผ่านในปีพ. ศ. [23] เมื่อถึงช่วงสงครามโลกครั้งที่หนึ่งระบบการจำแนกหลายชั้นถูกนำมาใช้เพื่อสื่อสารข้อมูลไปยังและจากแนวรบต่างๆซึ่งสนับสนุนให้มีการใช้รหัสมากขึ้นและทำลายส่วนต่างๆในสำนักงานใหญ่ทางการทูตและการทหาร การเข้ารหัสมีความซับซ้อนมากขึ้นระหว่างสงครามเนื่องจากเครื่องจักรถูกใช้เพื่อช่วงชิงและถอดรหัสข้อมูล ปริมาณข้อมูลที่แบ่งปันโดยประเทศพันธมิตรในช่วงสงครามโลกครั้งที่สองจำเป็นต้องมีการจัดวางระบบการจำแนกและการควบคุมขั้นตอนอย่างเป็นทางการ ช่วงของเครื่องหมายลึกลับพัฒนาขึ้นเพื่อระบุว่าใครสามารถจัดการเอกสารได้ (โดยปกติจะเป็นเจ้าหน้าที่แทนที่จะเป็นทหารเกณฑ์) และควรเก็บไว้ที่ใดเนื่องจากมีการพัฒนาตู้เซฟและสถานที่จัดเก็บที่ซับซ้อนมากขึ้น เครื่อง Enigmaซึ่งได้รับการว่าจ้างโดยชาวเยอรมันในการเข้ารหัสข้อมูลของสงครามและถูกถอดรหัสประสบความสำเร็จโดยอลันทัวริงสามารถถือได้ว่าเป็นตัวอย่างที่โดดเด่นของการสร้างและใช้ข้อมูลที่มีความปลอดภัย [24]ขั้นตอนการพัฒนาเพื่อให้แน่ใจว่าเอกสารถูกทำลายอย่างถูกต้องและความล้มเหลวในการปฏิบัติตามขั้นตอนเหล่านี้ซึ่งนำไปสู่การรัฐประหารครั้งยิ่งใหญ่ที่สุดของสงคราม (เช่นการยึดU-570 [24] ) ในตอนท้ายของศตวรรษที่ยี่สิบและปีแรกของศตวรรษที่ยี่สิบเอ็ดเห็นความก้าวหน้าอย่างรวดเร็วในการสื่อสารโทรคมนาคม , คอมพิวเตอร์ฮาร์ดแวร์และซอฟแวร์และข้อมูลการเข้ารหัส ความพร้อมใช้งานของอุปกรณ์คอมพิวเตอร์ขนาดเล็กที่ทรงพลังกว่าและราคาไม่แพงทำให้การประมวลผลข้อมูลอิเล็กทรอนิกส์อยู่ในมือของธุรกิจขนาดเล็กและผู้ใช้ตามบ้าน [ ต้องการอ้างอิง ]การจัดตั้ง Transfer Control Protocol / Internetwork Protocol (TCP / IP) ในช่วงต้นทศวรรษ 1980 ทำให้คอมพิวเตอร์ประเภทต่างๆสามารถสื่อสารกันได้ [25]คอมพิวเตอร์เหล่านี้ได้อย่างรวดเร็วกลายเป็นที่เชื่อมต่อกันผ่านทางอินเทอร์เน็ต การเติบโตอย่างรวดเร็วและการใช้อย่างแพร่หลายในการประมวลผลข้อมูลอิเล็กทรอนิกส์และธุรกิจอิเล็กทรอนิกส์ที่ดำเนินการผ่านอินเทอร์เน็ตพร้อมกับการก่อการร้ายระหว่างประเทศจำนวนมากทำให้เกิดความต้องการวิธีการที่ดีขึ้นในการปกป้องคอมพิวเตอร์และข้อมูลที่พวกเขาจัดเก็บประมวลผลและส่ง [26]สาขาวิชาการรักษาความปลอดภัยคอมพิวเตอร์และการประกันข้อมูลโผล่ออกมาพร้อมกับองค์กรวิชาชีพต่าง ๆ นานาทั้งหมดที่ใช้เป้าหมายร่วมกันในการตรวจสอบความปลอดภัยและความน่าเชื่อถือของระบบสารสนเทศ หลักการพื้นฐานแนวคิดหลักโปสเตอร์ส่งเสริมความปลอดภัยของข้อมูลโดยกระทรวงกลาโหมรัสเซีย CIA สามกลุ่มของการรักษาความลับความซื่อสัตย์และความพร้อมใช้งานเป็นหัวใจสำคัญของความปลอดภัยของข้อมูล [27] (สมาชิกของกลุ่มสามกลุ่มอินโฟเซกแบบคลาสสิก - การรักษาความลับความสมบูรณ์และความพร้อมใช้งาน - ถูกอ้างถึงในเอกสารนี้แทนกันว่าคุณลักษณะด้านความปลอดภัยคุณสมบัติเป้าหมายด้านความปลอดภัยประเด็นพื้นฐานเกณฑ์ข้อมูลลักษณะข้อมูลที่สำคัญและส่วนประกอบพื้นฐาน) อย่างไรก็ตามการถกเถียงยังคงดำเนินต่อไปว่า CIA triad นี้เพียงพอหรือไม่ที่จะจัดการกับเทคโนโลยีและข้อกำหนดทางธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็วพร้อมคำแนะนำในการพิจารณาขยายจุดตัดระหว่างความพร้อมใช้งานและการรักษาความลับตลอดจนความสัมพันธ์ระหว่างความปลอดภัยและความเป็นส่วนตัว [10]บางครั้งมีการเสนอหลักการอื่น ๆ เช่น "ความรับผิดชอบ"; มีการชี้ให้เห็นว่าประเด็นต่างๆเช่นการไม่ปฏิเสธไม่เหมาะสมกับแนวคิดหลักทั้งสาม [28] กลุ่มสามคนนี้ดูเหมือนจะถูกกล่าวถึงครั้งแรกในสิ่งพิมพ์ของNISTในปีพ. ศ. 2520 [29] ในปี 1992 และแก้ไขในปี 2545 แนวปฏิบัติของOECD เพื่อความปลอดภัยของระบบข้อมูลและเครือข่าย[30] ได้เสนอหลักการที่เป็นที่ยอมรับโดยทั่วไป 9 ประการ ได้แก่ความตระหนักความรับผิดชอบการตอบสนองจริยธรรมประชาธิปไตยการประเมินความเสี่ยงการออกแบบและการใช้งานด้านความปลอดภัยการจัดการความปลอดภัย และการประเมินใหม่ จากสิ่งเหล่านั้นในปี 2547 หลักการทางวิศวกรรมของNIST เพื่อความปลอดภัยของเทคโนโลยีสารสนเทศ[28] ได้เสนอหลักการ 33 ข้อ จากแนวทางและแนวปฏิบัติที่ได้รับมาเหล่านี้ ในปี 1998 Donn ปาร์กเกอร์ที่นำเสนอรูปแบบทางเลือกสำหรับสามของซีไอเอคลาสสิกที่เขาเรียกว่าหกองค์ประกอบของอะตอมของข้อมูล องค์ประกอบที่มีการรักษาความลับ , ครอบครอง , ความสมบูรณ์ , ความถูกต้อง , ความพร้อมและยูทิลิตี้ ข้อดีของParkerian Hexadเป็นประเด็นที่มีการถกเถียงกันในหมู่ผู้เชี่ยวชาญด้านความปลอดภัย [31] ในปี 2011 กลุ่ม บริษัท ได้เปิดรับการตีพิมพ์การจัดการความปลอดภัยของข้อมูลมาตรฐานO-ISM3 [32]มาตรฐานนี้เสนอนิยามเชิงปฏิบัติการของแนวคิดหลักของการรักษาความปลอดภัยโดยมีองค์ประกอบที่เรียกว่า "วัตถุประสงค์ด้านความปลอดภัย" ซึ่งเกี่ยวข้องกับการควบคุมการเข้าถึง (9) ความพร้อมใช้งาน (3) คุณภาพของข้อมูล (1) การปฏิบัติตามข้อกำหนดและทางเทคนิค (4) . ในปี 2009 DoD Software Protection Initiative ได้เปิดตัวหลักการสามประการของความปลอดภัยทางไซเบอร์ซึ่ง ได้แก่ ความอ่อนไหวของระบบการเข้าถึงข้อบกพร่องและความสามารถในการใช้ประโยชน์จากข้อบกพร่อง [33] [34] [35]ทั้งสองรุ่นนี้ไม่ได้รับการยอมรับอย่างกว้างขวาง การรักษาความลับในการรักษาความปลอดภัยของข้อมูลการรักษาความลับเป็นทรัพย์สินข้อมูลนั้นจะไม่เปิดเผยหรือเปิดเผยต่อบุคคลหน่วยงานหรือกระบวนการที่ไม่ได้รับอนุญาต " [36]แม้ว่าจะคล้ายกับ "ความเป็นส่วนตัว" แต่ทั้งสองคำไม่สามารถใช้แทนกันได้ แต่การรักษาความลับเป็นองค์ประกอบหนึ่งของความเป็นส่วนตัวที่ใช้ในการปกป้องข้อมูลของเราจากผู้ชมที่ไม่ได้รับอนุญาต ตัวอย่างของการรักษาความลับของข้อมูลอิเล็กทรอนิกส์ที่ถูกบุกรุก ได้แก่ การขโมยแล็ปท็อปการขโมยรหัสผ่านหรืออีเมลที่ละเอียดอ่อนที่ส่งไปยังบุคคลที่ไม่ถูกต้อง [37] ความซื่อสัตย์ในการรักษาความปลอดภัยไอทีความสมบูรณ์ของข้อมูลหมายถึงการรักษาและรับรองความถูกต้องและความสมบูรณ์ของข้อมูลตลอดอายุการใช้งานทั้งหมด [38]ซึ่งหมายความว่าไม่สามารถแก้ไขข้อมูลในลักษณะที่ไม่ได้รับอนุญาตหรือตรวจไม่พบ นี้ไม่ได้เป็นสิ่งเดียวกับการอ้างอิงในฐานข้อมูลแม้ว่ามันจะถูกมองว่าเป็นกรณีพิเศษของความมั่นคงเป็นที่เข้าใจกันในคลาสสิกกรดรูปแบบของการประมวลผลธุรกรรม โดยทั่วไประบบรักษาความปลอดภัยข้อมูลจะรวมการควบคุมเพื่อให้มั่นใจในความสมบูรณ์ของตัวเองโดยเฉพาะอย่างยิ่งการปกป้องเคอร์เนลหรือฟังก์ชันหลักจากภัยคุกคามทั้งโดยเจตนาและโดยบังเอิญ ระบบคอมพิวเตอร์อเนกประสงค์และผู้ใช้หลายคนมีจุดมุ่งหมายเพื่อแบ่งส่วนข้อมูลและการประมวลผลที่ไม่มีผู้ใช้หรือกระบวนการใดสามารถส่งผลเสียต่อระบบอื่นได้: การควบคุมอาจไม่ประสบความสำเร็จตามที่เราเห็นในเหตุการณ์ต่างๆเช่นการติดมัลแวร์การแฮ็กการขโมยข้อมูลการฉ้อโกง และการละเมิดความเป็นส่วนตัว ในวงกว้างมากขึ้นความสมบูรณ์เป็นหลักการด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องกับความสมบูรณ์ของมนุษย์ / สังคมกระบวนการและความสมบูรณ์ทางการค้าตลอดจนความสมบูรณ์ของข้อมูล ด้วยเหตุนี้จึงให้ความสำคัญกับแง่มุมต่างๆเช่นความน่าเชื่อถือความสม่ำเสมอความจริงความสมบูรณ์ความถูกต้องตรงเวลาและความมั่นใจ ความพร้อมใช้งานสำหรับระบบสารสนเทศใด ๆ ที่จะตอบสนองวัตถุประสงค์ของระบบข้อมูลจะต้องพร้อมใช้งานเมื่อจำเป็น ซึ่งหมายความว่าระบบคอมพิวเตอร์ที่ใช้ในการจัดเก็บและประมวลผลข้อมูลการควบคุมความปลอดภัยที่ใช้ในการป้องกันและช่องทางการสื่อสารที่ใช้ในการเข้าถึงจะต้องทำงานได้อย่างถูกต้อง ระบบที่มีความพร้อมใช้งานสูงมีเป้าหมายที่จะยังคงใช้งานได้ตลอดเวลาป้องกันการหยุดชะงักของบริการเนื่องจากไฟฟ้าดับความล้มเหลวของฮาร์ดแวร์และการอัปเกรดระบบ การตรวจสอบความพร้อมใช้งานยังเกี่ยวข้องกับการป้องกันการโจมตีแบบปฏิเสธการให้บริการเช่นข้อความขาเข้าจำนวนมากไปยังระบบเป้าหมายโดยบังคับให้ปิดระบบ [39] ในขอบเขตของการรักษาความปลอดภัยของข้อมูลความพร้อมใช้งานมักถูกมองว่าเป็นส่วนที่สำคัญที่สุดส่วนหนึ่งของโปรแกรมรักษาความปลอดภัยข้อมูลที่ประสบความสำเร็จ ในที่สุดผู้ใช้ปลายทางจะต้องสามารถปฏิบัติหน้าที่การงานได้ โดยการสร้างความมั่นใจว่าองค์กรสามารถดำเนินการได้ตามมาตรฐานที่ผู้มีส่วนได้ส่วนเสียขององค์กรคาดหวัง ซึ่งอาจเกี่ยวข้องกับหัวข้อต่างๆเช่นการกำหนดค่าพร็อกซีการเข้าถึงเว็บภายนอกความสามารถในการเข้าถึงไดรฟ์ที่แชร์และความสามารถในการส่งอีเมล ผู้บริหารมักไม่เข้าใจด้านเทคนิคของการรักษาความปลอดภัยข้อมูลและมองว่าความพร้อมใช้งานเป็นวิธีแก้ไขที่ง่าย แต่มักต้องอาศัยความร่วมมือจากทีมงานในองค์กรต่างๆเช่นการดำเนินงานเครือข่ายการดำเนินการพัฒนาการตอบสนองต่อเหตุการณ์และการจัดการนโยบาย / การเปลี่ยนแปลง ทีมรักษาความปลอดภัยข้อมูลที่ประสบความสำเร็จเกี่ยวข้องกับบทบาทหลักที่แตกต่างกันมากมายในการเชื่อมโยงและจัดตำแหน่งเพื่อให้ CIA ทั้งสามได้รับอย่างมีประสิทธิภาพ การไม่ปฏิเสธในทางกฎหมายการไม่ปฏิเสธแสดงถึงความตั้งใจที่จะปฏิบัติตามภาระผูกพันที่มีต่อสัญญา นอกจากนี้ยังบอกเป็นนัยว่าฝ่ายหนึ่งของธุรกรรมไม่สามารถปฏิเสธการได้รับธุรกรรมและอีกฝ่ายหนึ่งไม่สามารถปฏิเสธการส่งธุรกรรมได้ [40] สิ่งสำคัญคือต้องทราบว่าในขณะที่เทคโนโลยีเช่นระบบการเข้ารหัสสามารถช่วยในความพยายามที่จะไม่ปฏิเสธ แต่แนวคิดนี้เป็นแนวคิดหลักของแนวคิดทางกฎหมายที่ก้าวข้ามขอบเขตของเทคโนโลยี ตัวอย่างเช่นไม่เพียงพอที่จะแสดงให้เห็นว่าข้อความตรงกับลายเซ็นดิจิทัลที่ลงนามด้วยคีย์ส่วนตัวของผู้ส่งดังนั้นจึงมีเพียงผู้ส่งเท่านั้นที่สามารถส่งข้อความได้และไม่มีใครสามารถเปลี่ยนแปลงข้อความได้ในระหว่างการส่ง ( ความสมบูรณ์ของข้อมูล ) ผู้ส่งที่ถูกกล่าวหาสามารถกลับมาแสดงให้เห็นว่าอัลกอริทึมลายเซ็นดิจิทัลมีช่องโหว่หรือมีข้อบกพร่องหรือกล่าวหาหรือพิสูจน์ว่าคีย์การลงนามของเขาถูกบุกรุก ความผิดสำหรับการละเมิดเหล่านี้อาจอยู่กับผู้ส่งหรือไม่ก็ได้และการยืนยันดังกล่าวอาจหรือไม่อาจบรรเทาความรับผิดของผู้ส่งได้ แต่การยืนยันจะทำให้การอ้างสิทธิ์เป็นโมฆะว่าลายเซ็นจำเป็นต้องพิสูจน์ความถูกต้องและความสมบูรณ์ ด้วยเหตุนี้ผู้ส่งอาจปฏิเสธข้อความ (เนื่องจากความถูกต้องและความสมบูรณ์เป็นข้อกำหนดเบื้องต้นสำหรับการไม่ปฏิเสธ) การบริหารความเสี่ยงกล่าวโดยกว้างความเสี่ยงคือความเป็นไปได้ที่สิ่งที่ไม่ดีจะเกิดขึ้นซึ่งก่อให้เกิดอันตรายต่อสินทรัพย์ที่ให้ข้อมูล (หรือการสูญหายของสินทรัพย์) ช่องโหว่คือจุดอ่อนที่อาจใช้เพื่อทำอันตรายหรือก่อให้เกิดอันตรายต่อเนื้อหาที่ให้ข้อมูล ภัยคุกคามคืออะไรก็ได้ (ที่มนุษย์สร้างขึ้นหรือการกระทำจากธรรมชาติ ) ที่มีโอกาสก่อให้เกิดอันตรายได้ ความเป็นไปได้ที่ภัยคุกคามจะใช้ช่องโหว่เพื่อก่อให้เกิดอันตรายก่อให้เกิดความเสี่ยง เมื่อภัยคุกคามใช้ช่องโหว่ในการสร้างความเสียหายมันจะมีผลกระทบ ในบริบทของความปลอดภัยของข้อมูลผลกระทบคือการสูญเสียความพร้อมใช้งานความสมบูรณ์และการรักษาความลับและความสูญเสียอื่น ๆ (รายได้ที่สูญเสียชีวิตการสูญเสียทรัพย์สินที่แท้จริง) [41] ได้รับการรับรองระบบสารสนเทศของผู้สอบบัญชี (CISA) ทบทวนคู่มือการใช้งาน 2006กำหนดจัดการความเสี่ยงเป็น "กระบวนการในการระบุช่องโหว่และภัยคุกคามไปยังแหล่งข้อมูลที่ใช้โดยองค์กรในการบรรลุวัตถุประสงค์ทางธุรกิจและตัดสินใจเลือกสิ่งที่ตอบโต้ถ้ามีที่จะใช้ในการลดความเสี่ยงที่จะ ระดับที่ยอมรับได้โดยพิจารณาจากคุณค่าของทรัพยากรสารสนเทศที่มีต่อองค์กร " [42] มีสองสิ่งในคำจำกัดความนี้ที่อาจต้องการคำชี้แจง ก่อนที่กระบวนการของการบริหารความเสี่ยงเป็นอย่างต่อเนื่องซ้ำกระบวนการ จะต้องทำซ้ำไปเรื่อย ๆ สภาพแวดล้อมทางธุรกิจมีการเปลี่ยนแปลงตลอดเวลาและมีภัยคุกคามและช่องโหว่ใหม่ ๆเกิดขึ้นทุกวัน ประการที่สองทางเลือกของมาตรการตอบโต้ ( การควบคุม ) ที่ใช้ในการจัดการความเสี่ยงจะต้องสร้างความสมดุลระหว่างผลผลิตต้นทุนประสิทธิผลของมาตรการตอบโต้และมูลค่าของสินทรัพย์ที่ให้ข้อมูลที่ได้รับการคุ้มครอง นอกจากนี้กระบวนการเหล่านี้ยังมีข้อ จำกัด เนื่องจากการละเมิดความปลอดภัยมักเกิดขึ้นน้อยมากและเกิดขึ้นในบริบทเฉพาะซึ่งอาจไม่สามารถทำซ้ำได้โดยง่าย ดังนั้นกระบวนการและมาตรการตอบโต้ใด ๆ จึงควรได้รับการประเมินช่องโหว่ [43]เป็นไปไม่ได้ที่จะระบุความเสี่ยงทั้งหมดและไม่สามารถกำจัดความเสี่ยงทั้งหมดได้ ความเสี่ยงที่เหลือเรียกว่า "ความเสี่ยงที่เหลือ" การประเมินความเสี่ยงดำเนินการโดยทีมงานที่มีความรู้เฉพาะด้านของธุรกิจ การเป็นสมาชิกของทีมอาจแตกต่างกันไปตามช่วงเวลาเนื่องจากมีการประเมินส่วนต่างๆของธุรกิจ การประเมินอาจใช้การวิเคราะห์เชิงคุณภาพแบบอัตนัยตามความเห็นที่มีข้อมูลหรือในกรณีที่มีตัวเลขดอลลาร์ที่เชื่อถือได้และข้อมูลในอดีตการวิเคราะห์อาจใช้การวิเคราะห์เชิงปริมาณ การวิจัยพบว่าจุดที่เปราะบางที่สุดในระบบสารสนเทศส่วนใหญ่คือผู้ใช้ที่เป็นมนุษย์ผู้ปฏิบัติงานนักออกแบบหรือมนุษย์คนอื่น ๆ [44]หลักปฏิบัติISO / IEC 27002: 2005สำหรับการจัดการความปลอดภัยของข้อมูลแนะนำให้ตรวจสอบสิ่งต่อไปนี้ในระหว่างการประเมินความเสี่ยง:
ในแง่กว้างกระบวนการบริหารความเสี่ยงประกอบด้วย: [45] [46]
สำหรับความเสี่ยงใด ๆ ผู้บริหารสามารถเลือกที่จะยอมรับความเสี่ยงโดยพิจารณาจากมูลค่าต่ำของสินทรัพย์ความถี่ที่ต่ำสัมพัทธ์ของการเกิดเหตุการณ์และผลกระทบที่ต่ำโดยสัมพัทธ์ต่อธุรกิจ หรือผู้นำอาจเลือกที่จะลดความเสี่ยงโดยการเลือกและใช้มาตรการควบคุมที่เหมาะสมเพื่อลดความเสี่ยง ในบางกรณีความเสี่ยงสามารถโอนไปยังธุรกิจอื่นได้โดยการซื้อประกันหรือจ้างให้ธุรกิจอื่น [47]ความเป็นจริงของความเสี่ยงบางอย่างอาจถูกโต้แย้ง ในกรณีเช่นนี้ผู้นำอาจเลือกที่จะปฏิเสธความเสี่ยง การควบคุมความปลอดภัยการเลือกและใช้การควบคุมความปลอดภัยที่เหมาะสมในขั้นต้นจะช่วยให้องค์กรลดความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ การเลือกการควบคุมควรปฏิบัติตามและควรขึ้นอยู่กับการประเมินความเสี่ยง การควบคุมอาจแตกต่างกันไปตามธรรมชาติ แต่โดยพื้นฐานแล้วพวกเขาเป็นวิธีการปกป้องความลับความสมบูรณ์หรือความพร้อมใช้งานของข้อมูล ISO / IEC 27001ได้กำหนดการควบคุมในพื้นที่ต่างๆ องค์กรสามารถดำเนินการควบคุมเพิ่มเติมตามความต้องการขององค์กร [48] ISO / IEC 27002เสนอแนวทางสำหรับมาตรฐานการรักษาความปลอดภัยข้อมูลขององค์กร ธุรการการควบคุมการดูแลระบบ (เรียกอีกอย่างว่าการควบคุมขั้นตอน) ประกอบด้วยนโยบายที่เป็นลายลักษณ์อักษรขั้นตอนมาตรฐานและแนวทางปฏิบัติที่ได้รับอนุมัติ การควบคุมการบริหารเป็นกรอบสำหรับการดำเนินธุรกิจและการจัดการคน พวกเขาแจ้งให้ผู้คนทราบถึงวิธีการดำเนินธุรกิจและวิธีดำเนินการในแต่ละวัน กฎหมายและข้อบังคับที่สร้างขึ้นโดยหน่วยงานของรัฐยังเป็นการควบคุมการบริหารประเภทหนึ่งเนื่องจากเป็นข้อมูลที่แจ้งให้ธุรกิจทราบ ภาคอุตสาหกรรมบางส่วนมีนโยบายขั้นตอนมาตรฐานและแนวทางปฏิบัติที่ต้องปฏิบัติตามเช่นมาตรฐานการรักษาความปลอดภัยของข้อมูลในอุตสาหกรรมบัตรชำระเงิน[49] (PCI DSS) ที่VisaและMasterCard กำหนดไว้เป็นตัวอย่าง ตัวอย่างอื่น ๆ ของการควบคุมการดูแลระบบ ได้แก่ นโยบายความปลอดภัยขององค์กรนโยบายรหัสผ่านนโยบายการจ้างงานและนโยบายด้านวินัย การควบคุมการบริหารเป็นพื้นฐานสำหรับการเลือกและการใช้การควบคุมทางตรรกะและทางกายภาพ การควบคุมทางตรรกะและทางกายภาพเป็นอาการของการควบคุมการดูแลระบบซึ่งมีความสำคัญยิ่ง ตรรกะการควบคุมเชิงตรรกะ (เรียกอีกอย่างว่าการควบคุมทางเทคนิค) ใช้ซอฟต์แวร์และข้อมูลเพื่อตรวจสอบและควบคุมการเข้าถึงข้อมูลและระบบคอมพิวเตอร์ รหัสผ่านเครือข่ายและไฟร์วอลล์โฮสต์ที่ใช้เครือข่ายตรวจจับการบุกรุกระบบรายการควบคุมการเข้าถึงและการเข้ารหัสข้อมูลเป็นตัวอย่างของการควบคุมตรรกะ การควบคุมเชิงตรรกะที่สำคัญซึ่งมักถูกมองข้ามคือหลักการของสิทธิพิเศษขั้นต่ำซึ่งกำหนดให้บุคคลโปรแกรมหรือกระบวนการของระบบไม่ได้รับสิทธิ์การเข้าถึงใด ๆ มากเกินความจำเป็นในการปฏิบัติงาน [50]ตัวอย่างที่ชัดเจนของความล้มเหลวในการปฏิบัติตามหลักการของสิทธิพิเศษน้อยที่สุดคือการเข้าสู่ระบบ Windows ในฐานะผู้ดูแลระบบของผู้ใช้เพื่ออ่านอีเมลและท่องเว็บ นอกจากนี้การละเมิดหลักการนี้อาจเกิดขึ้นได้เมื่อบุคคลใดบุคคลหนึ่งรวบรวมสิทธิ์การเข้าถึงเพิ่มเติมเมื่อเวลาผ่านไป สิ่งนี้เกิดขึ้นเมื่อหน้าที่การงานของพนักงานเปลี่ยนไปพนักงานได้รับการเลื่อนตำแหน่งไปยังตำแหน่งใหม่หรือพนักงานถูกย้ายไปยังแผนกอื่น สิทธิ์การเข้าถึงที่จำเป็นสำหรับหน้าที่ใหม่มักจะถูกเพิ่มเข้าไปในสิทธิ์การเข้าถึงที่มีอยู่แล้วซึ่งอาจไม่จำเป็นหรือเหมาะสมอีกต่อไป ทางกายภาพการควบคุมทางกายภาพจะตรวจสอบและควบคุมสภาพแวดล้อมของสถานที่ทำงานและอุปกรณ์คอมพิวเตอร์ พวกเขายังตรวจสอบและควบคุมการเข้าถึงและออกจากสิ่งอำนวยความสะดวกดังกล่าวรวมถึงประตูล็อคเครื่องทำความร้อนและเครื่องปรับอากาศสัญญาณเตือนควันและไฟระบบดับเพลิงกล้องเครื่องกีดขวางรั้วยามรักษาความปลอดภัยสายเคเบิล ฯลฯ แยกเครือข่ายและสถานที่ทำงาน ในพื้นที่ทำงานยังเป็นการควบคุมทางกายภาพ การควบคุมทางกายภาพที่สำคัญซึ่งมักถูกมองข้ามคือการแบ่งแยกหน้าที่ซึ่งทำให้มั่นใจได้ว่าแต่ละคนไม่สามารถทำงานที่สำคัญได้ด้วยตัวเอง ตัวอย่างเช่นพนักงานที่ยื่นคำร้องขอการชำระเงินคืนจะไม่สามารถอนุมัติการชำระเงินหรือพิมพ์เช็คได้ โปรแกรมเมอร์โปรแกรมประยุกต์ที่ไม่ควรจะเป็นผู้ดูแลระบบเซิร์ฟเวอร์หรือผู้ดูแลฐานข้อมูล ; บทบาทและความรับผิดชอบเหล่านี้จะต้องแยกออกจากกัน [51] การป้องกันในเชิงลึกรุ่นหอมของการป้องกันในเชิงลึก ความปลอดภัยของข้อมูลจะต้องปกป้องข้อมูลตลอดอายุการใช้งานตั้งแต่การสร้างข้อมูลครั้งแรกจนถึงการกำจัดข้อมูลขั้นสุดท้าย ข้อมูลจะต้องได้รับการปกป้องในขณะเคลื่อนไหวและขณะอยู่นิ่ง ในช่วงชีวิตของมันข้อมูลอาจผ่านระบบประมวลผลข้อมูลที่แตกต่างกันและผ่านส่วนต่างๆของระบบประมวลผลข้อมูล มีหลายวิธีที่ระบบข้อมูลและสารสนเทศสามารถถูกคุกคามได้ เพื่อปกป้องข้อมูลอย่างเต็มที่ตลอดอายุการใช้งานองค์ประกอบของระบบประมวลผลข้อมูลแต่ละส่วนต้องมีกลไกการป้องกันของตนเอง การสร้างการแบ่งชั้นและการทับซ้อนกันของมาตรการรักษาความปลอดภัยเรียกว่า "การป้องกันในเชิงลึก" ในทางตรงกันข้ามกับโซ่โลหะซึ่งมีชื่อเสียงในด้านความแข็งแกร่งพอ ๆ กับการเชื่อมโยงที่อ่อนแอที่สุดกลยุทธ์การป้องกันในเชิงลึกมีเป้าหมายที่โครงสร้างหากมาตรการป้องกันหนึ่งล้มเหลวมาตรการอื่น ๆ จะยังคงให้ความคุ้มครองต่อไป [52] นึกถึงการสนทนาก่อนหน้านี้เกี่ยวกับการควบคุมการดูแลระบบการควบคุมเชิงตรรกะและการควบคุมทางกายภาพ การควบคุมทั้งสามประเภทสามารถใช้เพื่อสร้างพื้นฐานในการสร้างการป้องกันในกลยุทธ์เชิงลึก ด้วยวิธีนี้การป้องกันในเชิงลึกสามารถกำหนดแนวความคิดเป็นสามชั้นที่แตกต่างกันหรือเครื่องบินวางทับอีกชั้นหนึ่ง ข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการป้องกันในเชิงลึกสามารถรับได้โดยคิดว่ามันเป็นการสร้างชั้นของหัวหอมโดยมีข้อมูลอยู่ที่แกนกลางของหัวหอมคนชั้นนอกถัดไปของหัวหอมและการรักษาความปลอดภัยเครือข่ายการรักษาความปลอดภัยบนโฮสต์และแอปพลิเคชัน ความปลอดภัยขึ้นรูปชั้นนอกสุดของหัวหอม มุมมองทั้งสองมีความถูกต้องเท่าเทียมกันและแต่ละมุมมองให้ข้อมูลเชิงลึกที่มีคุณค่าเกี่ยวกับการนำกลยุทธ์การป้องกันที่ดีไปใช้ในเชิงลึก การจัดประเภทความปลอดภัยสำหรับข้อมูลสิ่งสำคัญของการรักษาความปลอดภัยของข้อมูลและการจัดการความเสี่ยงคือการตระหนักถึงคุณค่าของข้อมูลและการกำหนดขั้นตอนและข้อกำหนดการป้องกันที่เหมาะสมสำหรับข้อมูล ข้อมูลบางอย่างไม่เท่ากันและไม่ใช่ข้อมูลทั้งหมดที่ต้องการการป้องกันในระดับเดียวกัน เรื่องนี้ต้องมีข้อมูลที่จะได้รับมอบหมายการจัดหมวดหมู่การรักษาความปลอดภัย ขั้นตอนแรกในการจำแนกประเภทข้อมูลคือการระบุสมาชิกของผู้บริหารระดับสูงเป็นเจ้าของข้อมูลเฉพาะที่จะจัดประเภท จากนั้นพัฒนานโยบายการจัดหมวดหมู่ นโยบายควรอธิบายป้ายกำกับการจำแนกประเภทต่างๆกำหนดเกณฑ์สำหรับข้อมูลที่จะกำหนดป้ายกำกับเฉพาะและแสดงรายการการควบคุมความปลอดภัยที่จำเป็นสำหรับแต่ละประเภท [53] ปัจจัยบางประการที่มีผลต่อการกำหนดข้อมูลการจำแนกประเภท ได้แก่ ข้อมูลที่มีคุณค่าต่อองค์กรข้อมูลนั้นเก่าเพียงใดและข้อมูลนั้นล้าสมัยหรือไม่ กฎหมายและข้อกำหนดด้านกฎระเบียบอื่น ๆ ยังเป็นข้อพิจารณาที่สำคัญในการจัดประเภทข้อมูล สมาคมการตรวจสอบและควบคุมระบบสารสนเทศ (ISACA) และรูปแบบธุรกิจเพื่อความปลอดภัยของข้อมูลยังทำหน้าที่เป็นเครื่องมือสำหรับผู้เชี่ยวชาญด้านความปลอดภัยในการตรวจสอบความปลอดภัยจากมุมมองของระบบสร้างสภาพแวดล้อมที่สามารถจัดการความปลอดภัยแบบองค์รวมทำให้สามารถจัดการกับความเสี่ยงที่แท้จริงได้ [54] ประเภทของป้ายการจำแนกประเภทความปลอดภัยของข้อมูลที่เลือกและใช้จะขึ้นอยู่กับลักษณะขององค์กรโดยมีตัวอย่างดังนี้: [53]
พนักงานทุกคนในองค์กรตลอดจนพันธมิตรทางธุรกิจจะต้องได้รับการฝึกอบรมเกี่ยวกับแผนผังการจำแนกประเภทและทำความเข้าใจเกี่ยวกับการควบคุมความปลอดภัยและขั้นตอนการจัดการที่จำเป็นสำหรับแต่ละประเภท การจัดประเภทของสินทรัพย์ข้อมูลเฉพาะที่ได้รับมอบหมายควรได้รับการทบทวนเป็นระยะเพื่อให้แน่ใจว่าการจัดประเภทยังคงเหมาะสมกับข้อมูลและเพื่อให้แน่ใจว่ามีการควบคุมการรักษาความปลอดภัยที่กำหนดโดยการจัดประเภทและปฏิบัติตามขั้นตอนที่ถูกต้อง การควบคุมการเข้าถึงการเข้าถึงข้อมูลที่ได้รับการป้องกันจะต้อง จำกัด เฉพาะผู้ที่ได้รับอนุญาตให้เข้าถึงข้อมูล โปรแกรมคอมพิวเตอร์และในหลาย ๆ กรณีคอมพิวเตอร์ที่ประมวลผลข้อมูลจะต้องได้รับอนุญาตด้วย สิ่งนี้ต้องการให้มีกลไกในการควบคุมการเข้าถึงข้อมูลที่ได้รับการคุ้มครอง ความซับซ้อนของกลไกการควบคุมการเข้าถึงควรมีความเท่าเทียมกันกับคุณค่าของข้อมูลที่ได้รับการปกป้อง ยิ่งข้อมูลมีความอ่อนไหวหรือมีค่ามากเท่าไหร่กลไกการควบคุมก็จะต้องมีความเข้มแข็งมากขึ้นเท่านั้น รากฐานที่กลไกการควบคุมการเข้าถึงที่ถูกสร้างขึ้นเริ่มต้นด้วยการระบุและการตรวจสอบ การควบคุมการเข้าถึงโดยทั่วไปถือว่าอยู่ในขั้นตอนที่สาม: ประชาชน, การตรวจสอบและอนุมัติ [37] การระบุการระบุตัวตนคือการยืนยันว่าใครเป็นใครหรือเป็นอะไร หากมีผู้กล่าวว่า "สวัสดีฉันชื่อจอห์นโด " พวกเขาจะอ้างว่าเป็นใคร อย่างไรก็ตามคำกล่าวอ้างของพวกเขาอาจเป็นจริงหรือไม่ก็ได้ ก่อนที่ John Doe จะได้รับสิทธิ์ในการเข้าถึงข้อมูลที่ได้รับการคุ้มครองจำเป็นต้องตรวจสอบว่าบุคคลที่อ้างว่าเป็น John Doe คือ John Doe จริงๆ โดยปกติการอ้างสิทธิ์จะอยู่ในรูปแบบของชื่อผู้ใช้ การป้อนชื่อผู้ใช้นั้นแสดงว่าคุณอ้างว่า "ฉันเป็นคนที่ชื่อผู้ใช้เป็นของ" การรับรองความถูกต้องการพิสูจน์ตัวตนคือการยืนยันการอ้างสิทธิ์ในตัวตน เมื่อ John Doe เข้าไปที่ธนาคารเพื่อทำการถอนเงินเขาบอกกับพนักงานธนาคารว่าเขาคือ John Doe ซึ่งเป็นการอ้างว่ามีตัวตน หมอดูธนาคารขอให้ดูภาพ ID ดังนั้นเขามือหมอดูเขาใบอนุญาตขับรถ พนักงานธนาคารจะตรวจสอบใบอนุญาตเพื่อให้แน่ใจว่ามีการพิมพ์ John Doe ไว้และเปรียบเทียบรูปถ่ายบนใบอนุญาตกับบุคคลที่อ้างว่าเป็น John Doe หากรูปถ่ายและชื่อตรงกับบุคคลดังกล่าวแสดงว่าเจ้าหน้าที่ตรวจสอบสิทธิ์แล้วว่า John Doe คือคนที่เขาอ้างว่าเป็น ในทำนองเดียวกันโดยการป้อนรหัสผ่านที่ถูกต้องผู้ใช้จะต้องแสดงหลักฐานว่าเขา / เธอเป็นบุคคลที่ชื่อผู้ใช้เป็นเจ้าของ มีข้อมูลสามประเภทที่แตกต่างกันที่สามารถใช้ในการพิสูจน์ตัวตน:
การพิสูจน์ตัวตนที่แข็งแกร่งจำเป็นต้องให้ข้อมูลการพิสูจน์ตัวตนมากกว่าหนึ่งประเภท (การพิสูจน์ตัวตนด้วยสองปัจจัย) ชื่อผู้ใช้เป็นรูปแบบที่พบมากที่สุดของประชาชนในระบบคอมพิวเตอร์ในวันนี้และรหัสผ่านเป็นรูปแบบที่พบมากที่สุดของการตรวจสอบ ชื่อผู้ใช้และรหัสผ่านได้ตอบสนองจุดประสงค์ของพวกเขา แต่ก็ไม่เพียงพอมากขึ้นเรื่อย ๆ [55]ชื่อผู้ใช้และรหัสผ่านจะค่อยๆถูกแทนที่หรือเสริมด้วยกลไกการตรวจสอบที่มีความซับซ้อนมากขึ้นเช่นเวลาตามขั้นตอนวิธีการรหัสผ่านครั้งเดียว หลังจากที่บุคคลโปรแกรมหรือคอมพิวเตอร์ได้รับการระบุและรับรองความถูกต้องเรียบร้อยแล้วจะต้องมีการพิจารณาว่าทรัพยากรข้อมูลใดที่ได้รับอนุญาตให้เข้าถึงและการดำเนินการใดที่พวกเขาจะได้รับอนุญาตให้ดำเนินการ (เรียกใช้ดูสร้างลบหรือเปลี่ยนแปลง) นี้เรียกว่าการอนุมัติ การอนุญาตให้เข้าถึงข้อมูลและบริการคอมพิวเตอร์อื่น ๆ เริ่มต้นด้วยนโยบายและขั้นตอนการดูแลระบบ นโยบายกำหนดว่าข้อมูลและบริการคอมพิวเตอร์ใดบ้างที่สามารถเข้าถึงได้โดยใครและภายใต้เงื่อนไขใด จากนั้นกลไกการควบคุมการเข้าถึงจะได้รับการกำหนดค่าเพื่อบังคับใช้นโยบายเหล่านี้ ระบบคอมพิวเตอร์ที่แตกต่างกันมีกลไกการควบคุมการเข้าถึงที่แตกต่างกัน บางคนอาจเสนอทางเลือกของกลไกการควบคุมการเข้าถึงที่แตกต่างกัน กลไกการควบคุมการเข้าถึงที่ระบบนำเสนอจะขึ้นอยู่กับหนึ่งในสามแนวทางในการควบคุมการเข้าถึงหรืออาจได้มาจากการผสมผสานระหว่างสามแนวทาง [37] แนวทางที่ไม่ใช้ดุลพินิจจะรวมการควบคุมการเข้าถึงทั้งหมดไว้ภายใต้การบริหารแบบรวมศูนย์ การเข้าถึงข้อมูลและทรัพยากรอื่น ๆ มักขึ้นอยู่กับหน้าที่ของแต่ละบุคคล (บทบาท) ในองค์กรหรืองานที่แต่ละบุคคลต้องดำเนินการ แนวทางการใช้ดุลยพินิจช่วยให้ผู้สร้างหรือเจ้าของทรัพยากรข้อมูลสามารถควบคุมการเข้าถึงทรัพยากรเหล่านั้นได้ ในแนวทางการควบคุมการเข้าถึงที่บังคับการเข้าถึงจะได้รับหรือปฏิเสธโดยขึ้นอยู่กับการจำแนกประเภทความปลอดภัยที่กำหนดให้กับทรัพยากรข้อมูล ตัวอย่างของกลไกการควบคุมการเข้าถึงที่ใช้กันทั่วไปในปัจจุบัน ได้แก่การควบคุมการเข้าถึงตามบทบาทซึ่งมีอยู่ในระบบการจัดการฐานข้อมูลขั้นสูงจำนวนมาก สิทธิ์ไฟล์อย่างง่ายที่มีให้ในระบบปฏิบัติการ UNIX และ Windows วัตถุนโยบายกลุ่มที่มีให้ในระบบเครือข่าย Windows และKerberos , RADIUS , TACACSและรายการเข้าถึงแบบง่ายที่ใช้ในไฟร์วอลล์และเราเตอร์จำนวนมาก เพื่อให้มีประสิทธิภาพนโยบายและการควบคุมความปลอดภัยอื่น ๆ จะต้องบังคับใช้และยึดถือ นโยบายที่มีประสิทธิผลทำให้มั่นใจได้ว่าประชาชนต้องรับผิดชอบต่อการกระทำของตน กระทรวงการคลังสหรัฐแนวทาง 's สำหรับระบบการประมวลผลข้อมูลที่สำคัญหรือเป็นกรรมสิทธิ์เช่นรัฐที่ล้มเหลวและการตรวจสอบและการเข้าถึงที่ประสบความสำเร็จความพยายามที่ต้องลงทะเบียนและการเข้าถึงทุกข้อมูลที่ต้องออกจากชนิดของบางเส้นทางการตรวจสอบ [56] นอกจากนี้หลักการที่จำเป็นต้องรู้จะต้องมีผลบังคับใช้เมื่อพูดถึงการควบคุมการเข้าถึง หลักการนี้ให้สิทธิ์ในการเข้าถึงบุคคลเพื่อปฏิบัติหน้าที่ในการทำงาน หลักการนี้ใช้ในรัฐบาลเมื่อต้องรับมือกับการฝึกปรือที่แตกต่างกัน แม้ว่าพนักงานสองคนในแผนกต่างๆจะมีการกวาดล้างเป็นความลับสุดยอดแต่ก็ต้องมีความจำเป็นที่จะต้องรู้เพื่อแลกเปลี่ยนข้อมูลกัน ตามหลักการที่จำเป็นต้องรู้ผู้ดูแลระบบเครือข่ายจะให้สิทธิ์แก่พนักงานน้อยที่สุดเพื่อป้องกันไม่ให้พนักงานเข้าถึงมากกว่าที่ควรจะเป็น สิ่งที่ต้องรู้ช่วยในการบังคับใช้กลุ่มสามความพร้อมในการรักษาความลับ - ความสมบูรณ์ - ความพร้อมใช้งาน สิ่งที่ต้องรู้ส่งผลโดยตรงต่อพื้นที่ที่เป็นความลับของทั้งสามกลุ่ม การเข้ารหัสการรักษาความปลอดภัยของข้อมูลใช้การเข้ารหัสเพื่อเปลี่ยนข้อมูลที่ใช้งานได้ให้อยู่ในรูปแบบที่ทำให้บุคคลอื่นที่ไม่ใช่ผู้ใช้ที่ได้รับอนุญาตใช้ไม่ได้ ขั้นตอนนี้จะเรียกว่าการเข้ารหัส ข้อมูลที่ถูกเข้ารหัส (ไม่สามารถใช้งานได้) สามารถเปลี่ยนกลับเป็นรูปแบบเดิมที่ใช้งานได้โดยผู้ใช้ที่ได้รับอนุญาตซึ่งครอบครองคีย์การเข้ารหัสผ่านกระบวนการถอดรหัส การเข้ารหัสใช้ในการรักษาความปลอดภัยของข้อมูลเพื่อป้องกันข้อมูลจากการเปิดเผยโดยไม่ได้รับอนุญาตหรือโดยบังเอิญในขณะที่ข้อมูลอยู่ระหว่างการขนส่ง (ทางอิเล็กทรอนิกส์หรือทางกายภาพ) และในขณะที่ข้อมูลอยู่ในการจัดเก็บ [37] การเข้ารหัสให้ความปลอดภัยของข้อมูลกับแอปพลิเคชันที่มีประโยชน์อื่น ๆ เช่นกันรวมถึงวิธีการตรวจสอบสิทธิ์ที่ได้รับการปรับปรุงไดเจสข้อความลายเซ็นดิจิทัลการไม่ปฏิเสธและการสื่อสารผ่านเครือข่ายที่เข้ารหัส แอปพลิเคชันที่เก่ากว่าและมีความปลอดภัยน้อยกว่าเช่นTelnetและFile Transfer Protocol (FTP) จะถูกแทนที่อย่างช้าๆด้วยแอปพลิเคชันที่ปลอดภัยกว่าเช่นSecure Shell (SSH) ที่ใช้การสื่อสารผ่านเครือข่ายที่เข้ารหัส การสื่อสารไร้สายสามารถเข้ารหัสโดยใช้โปรโตคอลเช่นWPA / WPA2หรือเก่า (และมีความปลอดภัยน้อยกว่า) WEP การสื่อสารแบบใช้สาย (เช่นITU ‑ T G.hn ) ได้รับการรักษาความปลอดภัยโดยใช้AESสำหรับการเข้ารหัสและX.1035สำหรับการพิสูจน์ตัวตนและการแลกเปลี่ยนคีย์ แอปพลิเคชันซอฟต์แวร์เช่นGnuPGหรือPGPสามารถใช้เพื่อเข้ารหัสไฟล์ข้อมูลและอีเมล การเข้ารหัสอาจทำให้เกิดปัญหาด้านความปลอดภัยเมื่อไม่ได้นำไปใช้อย่างถูกต้อง จำเป็นต้องใช้โซลูชันการเข้ารหัสโดยใช้โซลูชันที่ได้รับการยอมรับในอุตสาหกรรมซึ่งผ่านการตรวจสอบอย่างเข้มงวดโดยผู้เชี่ยวชาญอิสระด้านการเข้ารหัส ความยาวและความแข็งแรงของคีย์การเข้ารหัสลับนอกจากนี้ยังมีการพิจารณาที่สำคัญ คีย์ที่อ่อนแอหรือสั้นเกินไปจะทำให้เกิดการเข้ารหัสที่อ่อนแอ คีย์ที่ใช้ในการเข้ารหัสและถอดรหัสจะต้องได้รับการปกป้องด้วยความเข้มงวดระดับเดียวกับข้อมูลลับอื่น ๆ ต้องได้รับการปกป้องจากการเปิดเผยและการทำลายโดยไม่ได้รับอนุญาตและจะต้องพร้อมใช้งานเมื่อจำเป็น โครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) โซลูชั่นที่อยู่หลายปัญหาที่ล้อมรอบการจัดการที่สำคัญ [37] กระบวนการคำว่า "บุคคลที่มีเหตุผลและรอบคอบ" " การดูแลเนื่องจาก " และ "การตรวจสอบสถานะ" ถูกนำมาใช้ในด้านการเงินหลักทรัพย์และกฎหมายเป็นเวลาหลายปี ในช่วงไม่กี่ปีที่ผ่านมาคำศัพท์เหล่านี้ได้ค้นพบในสาขาคอมพิวเตอร์และความปลอดภัยของข้อมูล [46]สหรัฐพิจารณาแนวทางของรัฐบาลกลางในขณะนี้ทำให้มันเป็นไปได้ที่จะถือเจ้าหน้าที่ขององค์กรรับผิดชอบต่อความล้มเหลวในการใช้ความระมัดระวังเนื่องจากและเนื่องจากความขยันในการบริหารจัดการระบบข้อมูลของพวกเขา [57] ในโลกธุรกิจผู้ถือหุ้นลูกค้าพันธมิตรทางธุรกิจและรัฐบาลมีความคาดหวังว่าเจ้าหน้าที่ขององค์กรจะดำเนินธุรกิจตามแนวทางปฏิบัติทางธุรกิจที่เป็นที่ยอมรับและเป็นไปตามกฎหมายและข้อกำหนดด้านกฎระเบียบอื่น ๆ สิ่งนี้มักถูกอธิบายว่าเป็นกฎ "บุคคลที่มีเหตุผลและรอบคอบ" บุคคลที่รอบคอบจะดูแลอย่างเหมาะสมเพื่อให้แน่ใจว่าทุกสิ่งที่จำเป็นจะดำเนินการในการดำเนินธุรกิจตามหลักการทางธุรกิจที่ดีและถูกต้องตามกฎหมายและจริยธรรม คนที่รอบคอบยังมีความขยันหมั่นเพียร (มีสติ, เอาใจใส่, ต่อเนื่อง) ในการดูแลธุรกิจอย่างเหมาะสม ในด้านการรักษาความปลอดภัยข้อมูลแฮร์ริส[58]เสนอคำจำกัดความของการดูแลเนื่องจากและการตรวจสอบสถานะดังต่อไปนี้:
ควรให้ความสนใจกับประเด็นสำคัญสองประการในคำจำกัดความเหล่านี้ ประการแรกด้วยความระมัดระวังขั้นตอนต่างๆจะถูกนำไปแสดง; ซึ่งหมายความว่าขั้นตอนต่างๆสามารถตรวจสอบวัดผลหรือแม้แต่สร้างสิ่งประดิษฐ์ที่จับต้องได้ ประการที่สองในการตรวจสอบสถานะมีกิจกรรมที่ต่อเนื่อง นั่นหมายความว่าผู้คนกำลังทำสิ่งต่างๆเพื่อตรวจสอบและรักษากลไกการป้องกันและกิจกรรมเหล่านี้กำลังดำเนินอยู่ องค์กรมีความรับผิดชอบโดยปฏิบัติหน้าที่ในการดูแลเมื่อใช้การรักษาความปลอดภัยข้อมูล The Duty of Care Risk Analysis Standard (DoCRA) [59]ให้หลักการและแนวปฏิบัติในการประเมินความเสี่ยง โดยพิจารณาจากทุกฝ่ายที่อาจได้รับผลกระทบจากความเสี่ยงเหล่านั้น DoCRA ช่วยประเมินการป้องกันว่าเหมาะสมหรือไม่ในการปกป้องผู้อื่นจากอันตรายในขณะที่มีภาระที่สมเหตุสมผล ด้วยการดำเนินคดีเกี่ยวกับการละเมิดข้อมูลที่เพิ่มขึ้น บริษัท ต่างๆต้องสร้างความสมดุลระหว่างการควบคุมความปลอดภัยการปฏิบัติตามข้อกำหนดและภารกิจของ บริษัท การกำกับดูแลความปลอดภัยสถาบันวิศวกรรมซอฟต์แวร์ที่Carnegie Mellon University , ในสิ่งพิมพ์หัวข้อปกครองสำหรับองค์กรรักษาความปลอดภัย (GES) การดำเนินการตามคู่มือลักษณะกำหนดของการกำกับดูแลที่มีประสิทธิภาพการรักษาความปลอดภัย ซึ่งรวมถึง: [60]
แผนการรับมือกับเหตุการณ์แผนรับมือเหตุการณ์คือกลุ่มนโยบายที่กำหนดให้องค์กรตอบสนองต่อการโจมตีทางไซเบอร์ เมื่อระบุการละเมิดความปลอดภัยแล้วแผนจะเริ่มขึ้น สิ่งสำคัญคือต้องทราบว่าอาจมีผลทางกฎหมายต่อการละเมิดข้อมูล การรู้กฎหมายท้องถิ่นและของรัฐบาลกลางเป็นสิ่งสำคัญ ทุกแผนไม่ซ้ำกันตามความต้องการขององค์กรและอาจเกี่ยวข้องกับชุดทักษะที่ไม่ได้เป็นส่วนหนึ่งของทีมไอที ตัวอย่างเช่นอาจมีทนายความรวมอยู่ในแผนรับมือเพื่อช่วยนำทางผลทางกฎหมายไปสู่การละเมิดข้อมูล [61] ดังที่ได้กล่าวไว้ข้างต้นทุกแผนไม่ซ้ำกัน แต่แผนส่วนใหญ่จะรวมถึงสิ่งต่อไปนี้: [62] การเตรียมการการเตรียมการที่ดีรวมถึงการพัฒนาทีมรับมือเหตุการณ์ (IRT) ทีมนี้ต้องใช้ทักษะเช่นการทดสอบการเจาะระบบนิติคอมพิวเตอร์การรักษาความปลอดภัยเครือข่าย ฯลฯ ทีมนี้ควรติดตามแนวโน้มด้านความปลอดภัยทางไซเบอร์และกลยุทธ์การโจมตีสมัยใหม่ โปรแกรมการฝึกอบรมสำหรับผู้ใช้ปลายทางมีความสำคัญเช่นเดียวกับกลยุทธ์การโจมตีที่ทันสมัยส่วนใหญ่กำหนดเป้าหมายผู้ใช้บนเครือข่าย [62] การระบุส่วนนี้ของแผนรับมือเหตุการณ์ระบุว่ามีเหตุการณ์ด้านความปลอดภัยหรือไม่ เมื่อผู้ใช้ปลายทางรายงานข้อมูลหรือผู้ดูแลระบบสังเกตเห็นความผิดปกติการตรวจสอบจะเริ่มขึ้น บันทึกเหตุการณ์เป็นส่วนสำคัญของขั้นตอนนี้ สมาชิกทุกคนในทีมควรอัปเดตบันทึกนี้เพื่อให้แน่ใจว่าข้อมูลจะไหลเร็วที่สุด หากมีการระบุว่าเกิดการละเมิดความปลอดภัยขั้นตอนต่อไปควรเปิดใช้งาน [63] บรรจุในขั้นตอนนี้ IRT จะแยกพื้นที่ที่เกิดการละเมิดเพื่อ จำกัด ขอบเขตของเหตุการณ์ด้านความปลอดภัย ในระหว่างขั้นตอนนี้สิ่งสำคัญคือต้องเก็บรักษาข้อมูลทางนิติวิทยาศาสตร์เพื่อให้สามารถวิเคราะห์ได้ในภายหลังในกระบวนการ การกักกันอาจทำได้ง่ายเพียงแค่มีห้องเซิร์ฟเวอร์หรือซับซ้อนพอ ๆ กับการแบ่งกลุ่มเครือข่ายเพื่อไม่ให้แพร่กระจายของไวรัส [64] การกำจัดนี่คือที่ที่ภัยคุกคามที่ระบุจะถูกลบออกจากระบบที่ได้รับผลกระทบ ซึ่งอาจรวมถึงการใช้การลบไฟล์ที่เป็นอันตรายการยกเลิกบัญชีที่ถูกบุกรุกหรือการลบส่วนประกอบอื่น ๆ เหตุการณ์บางอย่างไม่จำเป็นต้องใช้ขั้นตอนนี้ แต่สิ่งสำคัญคือต้องเข้าใจเหตุการณ์อย่างถ่องแท้ก่อนที่จะก้าวไปสู่ขั้นตอนนี้ วิธีนี้จะช่วยให้มั่นใจได้ว่าภัยคุกคามจะถูกลบออกอย่างสมบูรณ์ [64] การกู้คืนขั้นตอนนี้เป็นขั้นตอนที่ระบบจะกู้คืนกลับสู่การดำเนินการดั้งเดิม ขั้นตอนนี้อาจรวมถึงการกู้คืนข้อมูลการเปลี่ยนแปลงข้อมูลการเข้าถึงของผู้ใช้หรือการอัปเดตกฎหรือนโยบายของไฟร์วอลล์เพื่อป้องกันการละเมิดในอนาคต หากไม่ดำเนินการตามขั้นตอนนี้ระบบอาจเสี่ยงต่อภัยคุกคามด้านความปลอดภัยในอนาคต [64] บทเรียนที่ได้เรียนรู้ในขั้นตอนนี้ข้อมูลที่รวบรวมระหว่างขั้นตอนนี้จะใช้ในการตัดสินใจเกี่ยวกับความปลอดภัยในอนาคต ขั้นตอนนี้มีความสำคัญอย่างยิ่งเพื่อให้แน่ใจว่าเหตุการณ์ในอนาคตจะได้รับการป้องกัน การใช้ข้อมูลนี้เพื่อฝึกอบรมผู้ดูแลระบบต่อไปมีความสำคัญต่อกระบวนการนี้ ขั้นตอนนี้ยังสามารถใช้เพื่อประมวลผลข้อมูลที่แจกจ่ายจากเอนทิตีอื่น ๆ ที่ประสบกับเหตุการณ์ด้านความปลอดภัย [65] การบริหารการเปลี่ยนแปลงการจัดการการเปลี่ยนแปลงเป็นกระบวนการที่เป็นทางการในการกำกับและควบคุมการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล ซึ่งรวมถึงการเปลี่ยนแปลงคอมพิวเตอร์เดสก์ท็อปเครือข่ายเซิร์ฟเวอร์และซอฟต์แวร์ วัตถุประสงค์ของการจัดการการเปลี่ยนแปลงคือเพื่อลดความเสี่ยงที่เกิดจากการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูลและปรับปรุงเสถียรภาพและความน่าเชื่อถือของสภาพแวดล้อมการประมวลผลเมื่อมีการเปลี่ยนแปลง ไม่ใช่วัตถุประสงค์ของการจัดการการเปลี่ยนแปลงเพื่อป้องกันหรือขัดขวางการเปลี่ยนแปลงที่จำเป็นจากการนำไปใช้ [66] การเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูลทำให้เกิดความเสี่ยง แม้แต่การเปลี่ยนแปลงง่ายๆที่เห็นได้ชัดก็อาจส่งผลที่ไม่คาดคิดได้ ความรับผิดชอบหลายประการประการหนึ่งของผู้บริหารคือการจัดการความเสี่ยง การจัดการการเปลี่ยนแปลงเป็นเครื่องมือในการจัดการความเสี่ยงที่เกิดจากการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล ส่วนหนึ่งของกระบวนการจัดการการเปลี่ยนแปลงช่วยให้มั่นใจได้ว่าการเปลี่ยนแปลงจะไม่ถูกนำไปใช้ในช่วงเวลาที่ไม่เหมาะสมซึ่งอาจขัดขวางกระบวนการทางธุรกิจที่สำคัญหรือขัดขวางการเปลี่ยนแปลงอื่น ๆ ที่กำลังดำเนินการอยู่ ไม่ใช่ว่าจะต้องมีการจัดการการเปลี่ยนแปลงทุกครั้ง การเปลี่ยนแปลงบางประเภทเป็นส่วนหนึ่งของกิจวัตรประจำวันของการประมวลผลข้อมูลและเป็นไปตามขั้นตอนที่กำหนดไว้ล่วงหน้าซึ่งจะช่วยลดระดับความเสี่ยงโดยรวมต่อสภาพแวดล้อมการประมวลผล การสร้างบัญชีผู้ใช้ใหม่หรือการปรับใช้คอมพิวเตอร์เดสก์ท็อปเครื่องใหม่เป็นตัวอย่างของการเปลี่ยนแปลงที่โดยทั่วไปไม่จำเป็นต้องมีการจัดการการเปลี่ยนแปลง อย่างไรก็ตามการย้ายการแชร์ไฟล์ของผู้ใช้หรือการอัปเกรดเซิร์ฟเวอร์อีเมลทำให้เกิดความเสี่ยงต่อสภาพแวดล้อมการประมวลผลในระดับที่สูงขึ้นมากและไม่ใช่กิจกรรมในชีวิตประจำวันตามปกติ ขั้นตอนแรกที่สำคัญในการจัดการการเปลี่ยนแปลงคือ (ก) การกำหนดการเปลี่ยนแปลง (และการสื่อสารคำจำกัดความนั้น) และ (ข) การกำหนดขอบเขตของระบบการเปลี่ยนแปลง โดยปกติการจัดการการเปลี่ยนแปลงจะดูแลโดยคณะกรรมการตรวจสอบการเปลี่ยนแปลงซึ่งประกอบด้วยตัวแทนจากส่วนธุรกิจหลักความปลอดภัยระบบเครือข่ายผู้ดูแลระบบการดูแลฐานข้อมูลผู้พัฒนาแอปพลิเคชันการสนับสนุนเดสก์ท็อปและฝ่ายช่วยเหลือ งานของคณะกรรมการตรวจสอบการเปลี่ยนแปลงสามารถอำนวยความสะดวกได้ด้วยการใช้แอปพลิเคชันลำดับงานอัตโนมัติ ความรับผิดชอบของคณะกรรมการตรวจสอบการเปลี่ยนแปลงคือการตรวจสอบให้แน่ใจว่ามีการปฏิบัติตามขั้นตอนการจัดการการเปลี่ยนแปลงที่เป็นเอกสารขององค์กร กระบวนการจัดการการเปลี่ยนแปลงมีดังต่อไปนี้[67]
การเปลี่ยนแปลงขั้นตอนการจัดการที่ง่ายต่อการปฏิบัติตามและใช้งานง่ายสามารถลดความเสี่ยงโดยรวมที่เกิดขึ้นได้อย่างมากเมื่อมีการเปลี่ยนแปลงสภาพแวดล้อมการประมวลผลข้อมูล ขั้นตอนการจัดการการเปลี่ยนแปลงที่ดีช่วยปรับปรุงคุณภาพโดยรวมและความสำเร็จของการเปลี่ยนแปลงเมื่อดำเนินการ สิ่งนี้ทำได้โดยการวางแผนการทบทวนโดยเพื่อนเอกสารและการสื่อสาร ISO / IEC 20000 , คู่มือ OPS ที่มองเห็นได้: การนำ ITIL ไปใช้ใน 4 ขั้นตอนที่ใช้ได้จริงและตรวจสอบได้[68] (บทสรุปของหนังสือฉบับเต็ม), [69]และITILล้วนให้คำแนะนำที่มีประโยชน์ในการใช้การรักษาความปลอดภัยข้อมูลโปรแกรมการจัดการการเปลี่ยนแปลงที่มีประสิทธิภาพและประสิทธิผล ต่อเนื่องทางธุรกิจการจัดการความต่อเนื่องทางธุรกิจ ( BCM ) เกี่ยวข้องกับการเตรียมการเพื่อปกป้องการทำงานที่สำคัญขององค์กรจากการหยุดชะงักเนื่องจากเหตุการณ์หรืออย่างน้อยก็ลดผลกระทบ BCM มีความจำเป็นอย่างยิ่งต่อองค์กรใด ๆ ในการรักษาเทคโนโลยีและธุรกิจให้สอดคล้องกับภัยคุกคามในปัจจุบันต่อการดำเนินธุรกิจอย่างต่อเนื่องตามปกติ BCM ควรรวมอยู่ในแผนการวิเคราะห์ความเสี่ยงขององค์กรเพื่อให้แน่ใจว่าหน้าที่ทางธุรกิจที่จำเป็นทั้งหมดมีสิ่งที่จำเป็นสำหรับการดำเนินการต่อไปในกรณีที่มีภัยคุกคามต่อหน้าที่ทางธุรกิจใด ๆ [70] มันครอบคลุม:
ในขณะที่ BCM ใช้แนวทางกว้าง ๆ ในการลดความเสี่ยงที่เกี่ยวข้องกับภัยพิบัติโดยการลดทั้งความน่าจะเป็นและความรุนแรงของเหตุการณ์แผนกู้คืนระบบ (DRP) มุ่งเน้นไปที่การกลับมาดำเนินธุรกิจโดยเร็วที่สุดหลังจากเกิดภัยพิบัติ แผนการกู้คืนระบบที่เรียกใช้ไม่นานหลังจากเกิดภัยพิบัติจะวางขั้นตอนที่จำเป็นในการกู้คืนโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ที่สำคัญ การวางแผนการกู้คืนจากภัยพิบัติรวมถึงการจัดตั้งกลุ่มการวางแผนการประเมินความเสี่ยงการจัดลำดับความสำคัญการพัฒนากลยุทธ์การกู้คืนการจัดเตรียมสินค้าคงเหลือและเอกสารของแผนการพัฒนาเกณฑ์และขั้นตอนการตรวจสอบและการดำเนินการตามแผนในขั้นสุดท้าย [71] กฎหมายและข้อบังคับPrivacy International 2007 อันดับความเป็นส่วนตัว
ด้านล่างนี้เป็นรายชื่อบางส่วนของกฎหมายและข้อบังคับของรัฐบาลในส่วนต่างๆของโลกที่มีหรือจะมีผลกระทบอย่างมีนัยสำคัญต่อการประมวลผลข้อมูลและความปลอดภัยของข้อมูล นอกจากนี้ยังรวมถึงกฎระเบียบภาคอุตสาหกรรมที่สำคัญเมื่อมีผลกระทบอย่างมีนัยสำคัญต่อความปลอดภัยของข้อมูล
วัฒนธรรมความปลอดภัยของข้อมูลการอธิบายมากกว่าเพียงว่าพนักงานที่ตระหนักถึงความปลอดภัยเป็นอย่างไรวัฒนธรรมความปลอดภัยของข้อมูลคือความคิดประเพณีและพฤติกรรมทางสังคมขององค์กรที่ส่งผลกระทบต่อความปลอดภัยของข้อมูลทั้งในทางบวกและทางลบ [85]แนวความคิดทางวัฒนธรรมสามารถช่วยให้ส่วนต่างๆขององค์กรทำงานได้อย่างมีประสิทธิภาพหรือต่อต้านประสิทธิผลที่มีต่อความปลอดภัยของข้อมูลภายในองค์กร วิธีคิดและความรู้สึกของพนักงานเกี่ยวกับความปลอดภัยและการกระทำที่พวกเขาทำอาจส่งผลกระทบอย่างมากต่อความปลอดภัยของข้อมูลในองค์กร Roer & Petric (2017) ระบุเจ็ดมิติหลักของวัฒนธรรมความปลอดภัยของข้อมูลในองค์กร: [86]
Andersson and Reimers (2014) พบว่าพนักงานมักไม่มองว่าตัวเองเป็นส่วนหนึ่งของ "ความพยายาม" ในการรักษาความปลอดภัยข้อมูลขององค์กรและมักดำเนินการที่ละเลยผลประโยชน์สูงสุดด้านความปลอดภัยของข้อมูลขององค์กร [87] การวิจัยแสดงให้เห็นว่าวัฒนธรรมความปลอดภัยของข้อมูลจำเป็นต้องได้รับการปรับปรุงอย่างต่อเนื่อง ในวัฒนธรรมความปลอดภัยของข้อมูลจากการวิเคราะห์สู่การเปลี่ยนแปลงผู้เขียนแสดงความคิดเห็นว่า "มันเป็นกระบวนการที่ไม่สิ้นสุดวงจรของการประเมินผลและการเปลี่ยนแปลงหรือการบำรุงรักษา" ในการจัดการวัฒนธรรมการรักษาความปลอดภัยของข้อมูลควรดำเนินการ 5 ขั้นตอน ได้แก่ การประเมินล่วงหน้าการวางแผนเชิงกลยุทธ์การวางแผนการปฏิบัติการนำไปใช้และหลังการประเมินผล [88]
แหล่งที่มาของมาตรฐานองค์การระหว่างประเทศเพื่อการมาตรฐาน (ISO) เป็นกลุ่มของสถาบันมาตรฐานแห่งชาติจาก 157 ประเทศประสานงานผ่านสำนักเลขาธิการในเจนีวาประเทศสวิสเซอร์แลนด์ ISO เป็นผู้พัฒนามาตรฐานที่ใหญ่ที่สุดในโลก ISO 15443: "เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - กรอบสำหรับการประกันความปลอดภัยด้านไอที", ISO / IEC 27002 : "เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - หลักปฏิบัติสำหรับการจัดการความปลอดภัยของข้อมูล", ISO-20000 : "เทคโนโลยีสารสนเทศ - การจัดการบริการ" และISO / IEC 27001 : "เทคโนโลยีสารสนเทศ - เทคนิคการรักษาความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด" เป็นที่สนใจของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเป็นพิเศษ สหรัฐสถาบันมาตรฐานและเทคโนโลยี (NIST) เป็นหน่วยงานของรัฐบาลกลางที่ไม่ใช่กฎระเบียบภายในกระทรวงพาณิชย์ของสหรัฐฯ แผนกรักษาความปลอดภัยคอมพิวเตอร์ NIST พัฒนามาตรฐานตัวชี้วัดการทดสอบและโปรแกรมการตรวจสอบความถูกต้องตลอดจนเผยแพร่มาตรฐานและแนวทางเพื่อเพิ่มความปลอดภัยในการวางแผนการนำไปใช้การจัดการและการดำเนินงานด้านไอที NIST ยังเป็นผู้ดูแลสิ่งพิมพ์ของ US Federal Information Processing Standard (FIPS) Internet Societyเป็นสังคมสมาชิกมืออาชีพที่มีมากกว่า 100 องค์กรและสมาชิกแต่ละคนมากกว่า 20,000 คนในกว่า 180 ประเทศ เป็นผู้นำในการแก้ไขปัญหาที่เผชิญหน้ากับอนาคตของอินเทอร์เน็ตและเป็นที่ตั้งขององค์กรสำหรับกลุ่มที่รับผิดชอบด้านมาตรฐานโครงสร้างพื้นฐานอินเทอร์เน็ตรวมถึงInternet Engineering Task Force (IETF) และInternet Architecture Board (IAB) ISOC เจ้าภาพการร้องขอสำหรับข้อคิดเห็น (RFCs) ซึ่งรวมถึงการอย่างเป็นทางการมาตรฐานโปรโตคอลอินเทอร์เน็ตและ RFC-2196 ระบบรักษาความปลอดภัยคู่มือ รักษาความปลอดภัยข้อมูลฟอรั่ม (ISF) เป็นองค์กรไม่แสวงหาผลกำไรทั่วโลกหลายร้อยองค์กรชั้นนำในการให้บริการทางการเงิน, การผลิต, การสื่อสารโทรคมนาคม, สินค้าอุปโภคบริโภค, รัฐบาลและพื้นที่อื่น ๆ ดำเนินการวิจัยเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยของข้อมูลและให้คำแนะนำในมาตรฐานการปฏิบัติที่ดีทุกปีและคำแนะนำโดยละเอียดสำหรับสมาชิก สถาบันผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสารสนเทศ (IISP) เป็นอิสระ, ร่างกายไม่แสวงหาผลกำไรภายใต้การควบคุมโดยสมาชิกของตนกับเงินต้นวัตถุประสงค์ของการก้าวหน้าเป็นมืออาชีพของผู้ปฏิบัติงานรักษาความปลอดภัยข้อมูลและจึงเป็นมืออาชีพของอุตสาหกรรมโดยรวม สถาบันได้พัฒนา IISP Skills Framework กรอบนี้อธิบายถึงช่วงของความสามารถที่คาดหวังของผู้เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูลและการประกันข้อมูลในการปฏิบัติหน้าที่อย่างมีประสิทธิผล ได้รับการพัฒนาโดยความร่วมมือระหว่างองค์กรภาคเอกชนและภาครัฐนักวิชาการที่มีชื่อเสียงระดับโลกและผู้นำด้านความปลอดภัย [89] เยอรมันแห่งชาติสำนักงานรักษาความปลอดภัยข้อมูล (เยอรมันBundesamt für Sicherheit in der Informationstechnik (BSI) ) BSI มาตรฐาน 100-1 100-4 จะเป็นชุดของคำแนะนำรวมถึง "วิธีการกระบวนการขั้นตอนแนวทางและมาตรการที่เกี่ยวข้องกับการรักษาความปลอดภัยข้อมูล ". [90]ระเบียบวิธี BSI-Standard 100-2 IT-Grundschutzอธิบายถึงวิธีการนำไปใช้และดำเนินการจัดการความปลอดภัยของข้อมูล มาตรฐานนี้มีคู่มือที่เฉพาะเจาะจงมากคือ IT Baseline Protection Catalogs (หรือที่เรียกว่า IT-Grundschutz Catalogs) ก่อนปี 2548 แคตตาล็อกเดิมเรียกว่า " IT Baseline Protection Manual" แค็ตตาล็อกคือชุดเอกสารที่มีประโยชน์สำหรับการตรวจจับและต่อสู้กับจุดอ่อนที่เกี่ยวข้องกับความปลอดภัยในสภาพแวดล้อมไอที (คลัสเตอร์ไอที) คอลเลกชันดังกล่าวครอบคลุมข้อมูล ณ เดือนกันยายน 2013 มากกว่า 4,400 หน้าโดยมีการแนะนำและแคตตาล็อก แนวทาง IT-Grundschutz สอดคล้องกับตระกูล ISO / IEC 2700x มาตรฐานโทรคมนาคมยุโรปสถาบันมาตรฐานแคตตาล็อกของตัวชี้วัดด้านความปลอดภัยข้อมูลโดยที่ข้อมูลจำเพาะกลุ่มอุตสาหกรรม (ISG) เอส ดูสิ่งนี้ด้วย
อ้างอิง
อ่านเพิ่มเติม
บรรณานุกรม
ลิงก์ภายนอก
ข้อใดคือ 3 หลักของการรักษาความปลอดภัยข้อมูล (Information Security)Information Security ความมั่นคงปลอดภัยของข้อมูลสารสนเทศ. การรักษาความลับ (Confidentiality) ... . การรักษาความถูกต้องครบถ้วน (Integrity) ... . สภาพความพร้อมใช้ (Availability). คุณสมบัติในการรักษาความปลอดภัยของข้อมูลมีอะไรบ้าง ความลับ Confidentiality. • เป็นการรับประกันว่าผู้มีสิทธิ์และได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลได้ ... . ความสมบูรณ์ Integrity. • ... . ความพร้อมใช้ Availability. • ... . ความถูกต้องแม่นยำ Accuracy. • ... . เป็นของแท้ Authenticity. • ... . ความเป็นส่วนตัว Privacy. •. หลักการพื้นฐานของการรักษาความปลอดภัยของข้อมูลทั้ง 3 ด้าน มีอะไรบ้างความปลอดภัยของข้อมูลสารสนเทศ (Information Security). การควบคุมรักษาความปลอดภัยโดยตัวซอฟต์แวร์ (Software Control) โดยมีระดับวิธีการ 3 วิธีคือ ... . การควบคุมความปลอดภัยของระบบโดยฮาร์ดแวร์ (Hardware Control) ... . การใช้นโยบายในการควบคุม (Policies) ... . การป้องกันทางกายภาพ (Physical Control). ทรัพย์สินสารสนเทศ มีอะไรบ้าง🔖 สินทรัพย์สารสนเทศ หมายถึง ข้อมูล ระบบข้อมูล และทรัพย์สินด้านเทคโนโลยีสารสนเทศและการสื่อสารของหน่วยงาน ได้แก่ ระบบเครือข่าย ระบบคอมพิวเตอร์ ซอฟต์แวร์ลิขสิทธิ์ เป็นต้น มีวัตถุประสงค์เพื่อบริหารกิจกรรมของมหาวิทยาลัย ให้บรรลุพันธกิจของมหาวิทยาลัย ไม่ควรนำไปใช้ผอดวัตถุประสงค์ หรือนำไปใช้ส่วนตัวเพราะอาจส่งผลกระทบต่อ ...
|