การรักษาความปลอดภัยทางข้อมูล

การรักษาความปลอดภัยทางข้อมูล (อังกฤษ: Information Security) แยกออกเป็นสองคำ ได้แก่ Information หรือสารสนเทศ คือข้อมูลในรูปแบบของตัวเลข ข้อความ หรือภาพกราฟิก ที่ได้นำมารวบรวม จัดเป็นระบบ และนำเสนอในรูปแบบที่ผู้ใช้สามารถเข้าใจได้อย่างแจ่มชัด ไม่ว่าจะเป็นรายงาน ตาราง หรือแผนภูมิต่าง ๆ และ Security หรือความปลอดภัย คือสภาพที่เกิดขึ้นจากการจัดตั้งและดำรงไว้ซึ่งมาตรการการป้องกันที่ทำให้เกิดความมั่นใจว่าจะไม่มีผู้ที่ไม่หวังดีจะบุกรุกเข้ามาได้ เมื่อรวมสองคำก็จะได้ "Information Security" จึงหมายถึง การศึกษาถึงความไม่ปลอดภัยในการใช้งานสารสนเทศที่เกี่ยวข้องกับคอมพิวเตอร์ การวางแผนและการจัดระบบความปลอดภัยในคอมพิวเตอร์ โดยศึกษาถึงสิ่งต่าง ๆ ดังนี้

1. การรักษาความปลอดภัยในคอมพิวเตอร์ส่วนบุคคล
2. การรักษาความปลอดภัยในระบบฐานข้อมูล
3. การรักษาความปลอดภัยในเครือข่ายการสื่อสารข้อมูล
4. การป้องกันทางกายภาพ
5. การวิเคราะห์ความเสี่ยง
6. ประเด็นในแง่กฎหมาย
7. จรรยาบรรณในเรื่อง "ความปลอดภัยในระบบคอมพิวเตอร์"

คำจำกัดความ

องค์ประกอบความมั่นคงปลอดภัยของข้อมูลสารสนเทศ: หรือ คุณภาพ เช่น การรักษาความลับ, ความซื่อสัตย์สุจริต และ ความพร้อมใช้งาน (CIA). ระบบสารสนเทศ ประกอบด้วยสามส่วนหลัก ได้แก่ ฮาร์ดแวร์ ซอฟต์แวร์ และการสื่อสาร โดยมีวัตถุประสงค์เพื่อช่วยระบุและประยุกต์ใช้มาตรฐานอุตสาหกรรมความมั่นคงปลอดภัยสารสนเทศ เป็นกลไกในการป้องกันและป้องกันในสามระดับหรือชั้น: กายภาพ, ส่วนบุคคล และองค์กร โดยพื้นฐานแล้ว ขั้นตอนหรือนโยบายจะถูกนำไปใช้เพื่อบอกผู้ดูแลระบบ ผู้ใช้ และผู้ปฏิบัติงานถึงวิธีการใช้ผลิตภัณฑ์เพื่อรับรองความปลอดภัยของข้อมูลภายในองค์กร^[1]

คำจำกัดความต่าง ๆ ของความปลอดภัยของข้อมูลมีการแนะนำด้านล่าง โดยสรุปจากแหล่งข้อมูลต่าง ๆ ดังนี้

1. "การรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูล หมายเหตุ: นอกจากนี้ คุณสมบัติอื่นๆ เช่น ความถูกต้อง ความรับผิดชอบ การไม่ปฏิเสธ และความน่าเชื่อถือ ก็อาจเกี่ยวข้องได้เช่นกัน" (ISO/IEC 27000:2018)^[2]
2. "การปกป้องข้อมูลและระบบสารสนเทศจากการเข้าถึง การใช้ การเปิดเผย การหยุดชะงัก การแก้ไข หรือการทำลายโดยไม่ได้รับอนุญาต เพื่อให้การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน" (CNSS, 2010)^[3]
3. "ตรวจสอบให้แน่ใจว่าเฉพาะผู้ใช้ที่ได้รับอนุญาต (การรักษาความลับ) เท่านั้นที่สามารถเข้าถึงข้อมูลที่ถูกต้องและครบถ้วน (ความสมบูรณ์) เมื่อจำเป็น (ความพร้อมใช้งาน)" (ISACA, 2008)^[4]
4. "ความปลอดภัยของข้อมูลเป็นกระบวนการในการปกป้องทรัพย์สินทางปัญญาขององค์กร" (Pipkin, 2000)^[5]
5. "...การรักษาความปลอดภัยของข้อมูลเป็นวินัยในการบริหารความเสี่ยงซึ่งมีหน้าที่จัดการต้นทุนความเสี่ยงด้านข้อมูลให้กับธุรกิจ" (McDermott and Geer, 2001)^[6]
6. "ความรู้สึกมั่นใจว่าข้อมูลความเสี่ยงและการควบคุมมีความสมดุล" (Anderson, J., 2003)^[7]
7. "การรักษาความปลอดภัยของข้อมูลคือการปกป้องข้อมูลและลดความเสี่ยงในการเปิดเผยข้อมูลแก่บุคคลที่ไม่ได้รับอนุญาต" (Venter and Eloff, 2003)^[8]
8. "ความปลอดภัยของข้อมูลเป็นสาขาการศึกษาและกิจกรรมวิชาชีพที่เกี่ยวข้องกับการพัฒนาและการดำเนินการตามกลไกการรักษาความปลอดภัยทุกประเภทที่มีอยู่ (ด้านเทคนิค องค์กร มุ่งเน้นมนุษย์ และกฎหมาย) เพื่อเก็บข้อมูลไว้ในสถานที่ทั้งหมด (ภายในและภายนอก) ขอบเขตขององค์กร) และผลที่ตามมาคือระบบสารสนเทศที่ข้อมูลถูกสร้าง ประมวลผล จัดเก็บ ส่งผ่าน และทำลาย โดยปราศจากภัยคุกคาม^[9] ภัยคุกคามต่อข้อมูลและระบบสารสนเทศอาจถูกจัดหมวดหมู่ และอาจกำหนดเป้าหมายด้านความปลอดภัยที่สอดคล้องกันสำหรับภัยคุกคามแต่ละประเภท^[10] ชุดเป้าหมายด้านความปลอดภัย ซึ่งระบุได้จากการวิเคราะห์ภัยคุกคาม ควรได้รับการแก้ไขเป็นระยะๆ เพื่อให้มั่นใจว่ามีความเพียงพอและสอดคล้องกับสภาพแวดล้อมที่เปลี่ยนแปลงไป^[11] ชุดเป้าหมายด้านความปลอดภัยที่เกี่ยวข้องในปัจจุบันอาจรวมถึง: การรักษาความลับ ความซื่อสัตย์ ความพร้อมใช้งาน ความเป็นส่วนตัว ความถูกต้องและความน่าเชื่อถือ การไม่ปฏิเสธ ความรับผิดชอบ และการตรวจสอบ" (Cherdantseva และ Hilton, 2013)^[1]
9. การรักษาความมั่นคงปลอดภัยสารสนเทศและทรัพยากรสารสนเทศโดยใช้ระบบโทรคมนาคมหรืออุปกรณ์ หมายถึง การปกป้องข้อมูล ระบบสารสนเทศ หรือหนังสือจากการเข้าถึงโดยไม่ได้รับอนุญาต ความเสียหาย การโจรกรรม หรือการทำลาย (Kurose และ Ross, 2010).^[12]