รู้จักกับพื้นฐานความปลอดภัยสารสนเทศ “CIA TRIAD”

ก่อนอื่นเลย CIA ในที่นี้ไม่ได้หมายถึง Central Intelligence Agency นะครับ แต่มาจากคำว่า

C = Confidentiality

I = Integrity

A =Availability

ซึ่ง 3 ข้อนี้เป็นหลักพื้นฐานที่ผู้ศึกษาด้านความปลอดภัยสารสนเทศต้องรู้จักเลยครับ โดยเป็นขั้นพื้นฐานในการทำให้ เทคโนโลยีสารสนเทศ มีความปลอดภัย หรือก็คือ Information Security ครับ

 

โอเคเกริ่นพอแล้วถ้าผู้อ่านทุกท่านพร้อมแล้วเรามาเริ่มกันเลยละกันครับ กับนิยามของ “CIA TRIAD

1.Confidentiality คือการรักษาความลับของสารสนเทศ กล่าวได้ว่าถ้าข้อมูลสารสนเทศนั้นถูกกำหนดให้เข้าถึงได้เฉพาะคนกลุ่มหนึ่ง ก็จะต้องมีเฉพาะคนกลุ่มนั้นเท่านั้นที่จะสามารถเข้าถึงข้อมูลสารสนเทศนั้นได้ ทั้งนี้ผู้ที่ไม่ได้อยู่ในคนกลุ่มนั้นจะต้องไม่สามารถเข้าถึงข้อมูลได้โดยเด็ดขาด

2.Integrity คือความถูกต้องของข้อมูลสารสนเทศ กล่าวได้ว่าข้อมูลสารสนเทศจะต้องคงความถูกต้องสมบูรณ์เสมอ โดยจะถูกเปลี่ยนแปลง แก้ไข หรือลบได้ด้วยเฉพาะผู้ที่ได้รับสิทธิอย่างถูกต้องเท่านั้น

3.Availability คือความพร้อมใช้งานของเทคโนโลยีสารสนเทศ กล่าวได้ว่าเมื่อผู้มีสิทธิต้องการเข้าถึงสารสนเทศนั้น ๆ ต้องการเข้าถึงหรือใช้งานสารสนเทศ จะต้องเข้าถึงได้ทุกครั้งที่ต้องการ

ที่กล่าวมานี้เป็นนิยามสั้น ๆ นะครับซึ่งผู็อ่านบางท่านอาจจะมีข้อสงสัย ผมจึงขออนุญาตยกตัวอย่างดังนี้นะครับ

ร้านขายของแห่งหนึ่งมีการใช้งานระบบ POS (ระบบขายสินค้า) “โดยจะมีเพียงพนักงานในร้านเท่านั้นที่สามารถเข้าถึงระบบนี้ได้ แต่จะแตกต่างกันไปตามระดับ ดังนี้ เจ้าของร้านจะสามารถเข้าถึงและใช้งานระบบ POS ได้ทั้งหมด พนักงานจะเข้าถึงและใช้งานได้แค่ส่วนการขายสินค้าเท่านั้น เด็กฝึกงานจะไม่สามารถเข้าถึงระบบได้เลย” [ในส่วนนี้คือการกำหนดระดับสิทธิในการเข้าถึงและใช้งานระบบ POS ครับ โดยถ้าทุกอย่างเป็นไปตามนี้ได้จริงก็จะเกิด Confidentiality ขึ้นครับ] โดยผู้มีสิทธิดังกล่าวจะสามารถเข้าใช้งานระบบได้ตามสิทธิของตนในช่วงเวลา 8:00-18:00 น. วันจันทร์-เสาร์ เท่านั้น [ในส่วนนี้คือถ้าผู้มีสิทธิต้องการใช้งานระบบช่วงเวลา 15:00-17:00 น.ในวันอังคารแล้วเข้าใช้ไม่ได้จะถือว่าสูญเสีย Availability แต่ถ้าพนักงานต้องการใช้ระบบ POS ในวันอาทิตย์แต่เข้าไม่ได้ แบบนี้ไม่ถือว่าสูญเสีย Availability นะครับเนื่องจากเป็นช่วงนอกเวลาการเข้าใช้งานที่กำหนดไว้] ทั้งนี้ในวันหนึ่งที่เจ้าของร้านไม่อยู่ร้าน มีพนักงานผู้หนึ่งพยามเข้าไปแก้ไขตัวเลขทางบัญชีในระบบแต่ไม่สามารถทำได้เนื่องจากระบบไม่อนุญาตให้เข้าถึงส่วนบัญชี [ในส่วนนี้จะถือว่ายังคงไว้ซึ่ง Integrity ครับเพราะตอนแรกกำหนดให้ผู้มีสิทธิทำได้มีเพียงเจ้าของร้านเท่านั้น]

 

นอกจากนี้จากภาพหลักทั้ง 3 ข้อควรจะมีความสมดุลกันเพื่อให้เกิดความปลอดภัยต่อสารสนเทศ ทั้งนี้ถ้ามีการ Implement หลักข้อใดข้อหนึ่งสูงเกินไปจะทำให้ข้ออื่นลดลงหรือสูญเสียได้ครับ

ท่านผู้อ่านมีข้อเสนอแนะอย่างไรติชมได้นะครับ ขอบคุณทุกท่านครับ:)

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *