ความพร้อมใช้งาน
ความสามารถในการใช้ข้อมูลเมื่อต้องการ เป็นส่วนหนึ่งของความมั่นคงของระบบเพราะการที่ระบบไม่พร้อมใช้งานก็จะแย่พอ ๆ กับการที่ไม่มีระบบเลยความพร้อมใช้งานที่เกี่ยวกับการรักษาความปลอดภัย กล้องวงจรปิดคืออาจมีผู้ไม่ประสงค์ดีพยายามที่จะทำให้ไม่สามารถเข้าถึงข้อมูลได้
โดยการทำให้ระบบไม่สามารถใช้งานได้ การออกแบบระบบส่วนใหญ่จะถูกออกแบบเพื่อให้เหมาะสมกับสภาพแวดล้อมด้านสถิติหรือพฤติกรรมในการใช้งาน
ดังนั้นกลไกในการรักษาความพร้อมใช้งานของกล้องนั้นจะทำงานในกรณีระบบไม่ได้ทำงานในสภาพที่ปกติหรือที่ออกแบบไว้ ถ้ากลไกนี้ไม่ทำงานส่วนใหญ่ระบบจะล่มหรือไม่พร้อมใช้งาน
นอกจากคุณสมบัติที่กล่าวมาแล้วยังมีหลักการอื่น ๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูลอีก ดังนี้
การควบคุมการเข้าถึง
การรักษาความลับ ความถูกต้อง ความพร้อมใช้งานของข้อมูล จะไม่สามารถทำได้ถ้าไม่มีการควบคุมว่าใครมีสิทธิ์ทำอะไรกับข้อมูลนั้น ๆ
ดังนั้นกลไกในการรักษาความพร้อมใช้งานของกล้องนั้นจะทำงานในกรณีระบบไม่ได้ทำงานในสภาพที่ปกติหรือที่ออกแบบไว้ ถ้ากลไกนี้ไม่ทำงานส่วนใหญ่ระบบจะล่มหรือไม่พร้อมใช้งาน
นอกจากคุณสมบัติที่กล่าวมาแล้วยังมีหลักการอื่น ๆ เกี่ยวกับการรักษาความปลอดภัยข้อมูลอีก ดังนี้
การควบคุมการเข้าถึง
การรักษาความลับ ความถูกต้อง ความพร้อมใช้งานของข้อมูล จะไม่สามารถทำได้ถ้าไม่มีการควบคุมว่าใครมีสิทธิ์ทำอะไรกับข้อมูลนั้น ๆ
ได้บ้างซึ่งกระบวนการนี้เราเรียกว่า “การควบคุมการเข้าถึง” ประกอบด้วย 3 กระบวนการ คือ การระบุตัวตน การพิสูจน์ทราบตัวตน และการอนุญาตตามสิทธิ์
ไม่ว่าจะเป็นการควบคุมการเข้าถึงทั้งทางกายภาพและทางลอจิกคอล และเหตุที่ต้องประกอบด้วยทั้ง 3 ขั้นตอนนี้ก็คือ การทำให้แน่ใจว่าเป็นตัวจริงและการอนุญาตให้ทำตามสิทธิ์ที่มี
การระบุตัวตน
การระบุตัวตัวเป็นขั้นตอนแรกในการเข้าถึงข้อมูลที่มีชั้นความลับ และเป็นพื้นฐานต่อไปของการพิสูจน์ทราบตัวตน และการพิสูจน์สิทธิ์การอนุญาต
การระบุตัวตนและการพิสูจน์ทราบตัวตนร่วมเป็นส่วนสำคัญในการสร้างระดับในการเข้าถึงระบบ รูปแบบของการระบุตัวตนที่นิยมใช้ในระบบคอมพิวเตอร์มากที่สุด ด้วยการใช้ยูสเซอร์แนม เป็นต้น
การพิสูจน์ทราบตัวตน
ระบบควบคุมจะทำการพิสูจน์ว่าผู้ใช้ใช่คนที่ผู้ใช้บอกหรือไม่โดยเมื่อผู้ใช้ระบุยูสเซอร์เนมแล้วก็ต้องสามารถใส่รหัสผ่านที่คู่กับยูสเซอร์เนมได้ด้วย เพื่อพิสูจน์ว่าเซิรฟเวอร์ที่เชื่อมต่ออยู่นั้นใช่เครื่องที่ต้องการเชื่อมต่อจริง ๆ
การอนุญาตใช้งาน
การตรวจสอบสิทธิ์ของผู้ใช้ว่าได้มีการกำหนดสิทธิ์ให้ใช้งานระบบได้ในระดับไหน ซึ่งประกอบไปด้วยการเข้าถึงหรือการอ่าน การแก้ไข และการลบข้อมูล เช่น กลุ่มผู้ใช้ในระดับดูแลระบบจะมีสิทธิ์สูงสุดหรือสามารถทำอะไรก็ได้ในระบบ
การพิสูจน์ทราบตัวตน
ระบบควบคุมจะทำการพิสูจน์ว่าผู้ใช้ใช่คนที่ผู้ใช้บอกหรือไม่โดยเมื่อผู้ใช้ระบุยูสเซอร์เนมแล้วก็ต้องสามารถใส่รหัสผ่านที่คู่กับยูสเซอร์เนมได้ด้วย เพื่อพิสูจน์ว่าเซิรฟเวอร์ที่เชื่อมต่ออยู่นั้นใช่เครื่องที่ต้องการเชื่อมต่อจริง ๆ
การอนุญาตใช้งาน
การตรวจสอบสิทธิ์ของผู้ใช้ว่าได้มีการกำหนดสิทธิ์ให้ใช้งานระบบได้ในระดับไหน ซึ่งประกอบไปด้วยการเข้าถึงหรือการอ่าน การแก้ไข และการลบข้อมูล เช่น กลุ่มผู้ใช้ในระดับดูแลระบบจะมีสิทธิ์สูงสุดหรือสามารถทำอะไรก็ได้ในระบบ
แต่ถ้าเป็นผู้ใช้ทั่วไปจะมีสิทธิ์ที่ต่ำลงมาแล้วแต่จะกำหนด ในขั้นตอนต่อไปก็เป็นการตรวจสอบสิทธิ์ว่าผู้ใช่คนนั้นมีสิทธิ์ในการอ่าน เขียน สร้าง และลบหรือไม่
การตรวจสอบได้
ระบบที่มีความปลอดภัยจะต้องสามารถตรวจสอบได้ ถ้าเกิดเหตุด้านความมั่นคงปลอดภัยจะต้องสามารถตรวจพิสูจน์ได้ว่าเกิดอะไรขึ้นรู้ว่าใคร ทำอะไร ที่ไหน เมื่อไหร่ อย่างไร
การตรวจสอบได้
ระบบที่มีความปลอดภัยจะต้องสามารถตรวจสอบได้ ถ้าเกิดเหตุด้านความมั่นคงปลอดภัยจะต้องสามารถตรวจพิสูจน์ได้ว่าเกิดอะไรขึ้นรู้ว่าใคร ทำอะไร ที่ไหน เมื่อไหร่ อย่างไร
การตรวจสอบขึ้นอยู่กับหลักฐานที่มี ระบบคอมพิวเตอร์ทั่วไปจะมีการจัดเก็บล็อกซึ่งเป็นที่บันทึกเกี่ยวกับกิจกรรมต่าง ๆ ที่ผู้ใช้แต่ละคนใช้งานระบบหรือโปรแกรม
หลังการระบบทำการพิสูจน์ทราบตัวตนแล้วก็เป็นการตรวจสอบสิทธิ์ว่าผู้ใช้นั้นมีสิทธิ์ในการอ่าน เขียน สร้าง และลบได้หรือไม่
การไม่สามารถปฏิเสธการกระทำ
การสื่อสารที่ผู้ส่งได้รับหลักฐานว่าได้มีการส่งข้อมูลแล้วและผู้รับก็ได้ยืนยันว่าผู้ส่งเป็นใครซึ่งต่อไปทั้งผู้ส่งและผู้รับจะไม่สามารถปฏิเสธได้ว่าไม่มีความเกี่ยวข้องกับข้อมูลดังกล่าว
การไม่สามารถปฏิเสธการกระทำ
การสื่อสารที่ผู้ส่งได้รับหลักฐานว่าได้มีการส่งข้อมูลแล้วและผู้รับก็ได้ยืนยันว่าผู้ส่งเป็นใครซึ่งต่อไปทั้งผู้ส่งและผู้รับจะไม่สามารถปฏิเสธได้ว่าไม่มีความเกี่ยวข้องกับข้อมูลดังกล่าว
หรือในทางกฎหมายเรียกว่า “หลักฐานมัดตัว” การปฏิเสธว่าไม่ได้มีการรับหรือส่งข้อมูลจากฝ่ายต่าง ๆ ที่เกี่ยวข้อง และการป้องกันการอ้างที่เป็นเท็จว่าได้รับหรือส่งข้อมูล
การป้องกันการปฏิเสธนี้สามารถนำไปใช้ประโยชน์ในการป้องกันการปฏิเสธการสั่งซื้อสินค้าได้ เป็นต้น
ความเป็นส่วนตัว
องค์กรได้จัดเก็บรวบรวมข้อมูล และใช้งานเพื่อวัตถุประสงค์ที่เจ้าของข้อมูลระบุไว้ตอนที่เก็บรวบรวมเท่านั้น แต่ถ้าเพื่อวัตถุประสงค์อื่นถือว่าเป็นการละเมิดสิทธิส่วนบุคคลของเจ้าของข้อมูล
ความเป็นส่วนตัว
องค์กรได้จัดเก็บรวบรวมข้อมูล และใช้งานเพื่อวัตถุประสงค์ที่เจ้าของข้อมูลระบุไว้ตอนที่เก็บรวบรวมเท่านั้น แต่ถ้าเพื่อวัตถุประสงค์อื่นถือว่าเป็นการละเมิดสิทธิส่วนบุคคลของเจ้าของข้อมูล
บางองค์กรมีการใช้ข้อมูลส่วนบุคคลในทางที่ผิดหรือบางทีมีการขายข้อมูลเหล่านี้ให้กับบุคคลหรือองค์กรอื่นโดยที่เจ้าของข้อมูลไม่รู้
ปัจจุบันข้อมูลส่วนบุคคลสามารถค้นหาได้จากหลาย ๆ แหล่งและอาจถูกใช้ในทางที่เจ้าของข้อมูลนั้นไม่เห็นด้วยหรือไม่อนุญาต
ซึ่งหลายคนก็เริ่มให้ความสำคัญกับกิจกรรประเภทนี้ และคาดหวังว่าองค์กรหรือเจ้าหน้าที่ของรัฐจะมีมาตรการในการควบคุมสิทธิส่วนบุคคลนี้
ซึ่งหลายคนก็เริ่มให้ความสำคัญกับกิจกรรประเภทนี้ และคาดหวังว่าองค์กรหรือเจ้าหน้าที่ของรัฐจะมีมาตรการในการควบคุมสิทธิส่วนบุคคลนี้
ไม่มีความคิดเห็น:
แสดงความคิดเห็น