หลักสำคัญของการรักษาความมั่นคงปลอดภัยสารสนเทศ คือ การปกป้องทรัพย์สินสารสนเทศตามสภาพความเสี่ยงขององค์กร การสร้างความตระหนักรู้เกี่ยวกับความจำเป็น และความสำคัญในการรักษาความมั่นคงปลอดภัยสารสนเทศ การกำหนดความรับผิดชอบ และนโยบายสำหรับการรักษาความมั่นคงปลอดภัยสารสนเทศ ความต่อเนื่องในการให้บริการข้อมูล สารสนเทศ ระบบ และทรัพย์สินสารสนเทศ พร้อมทั้งประสิทธิผลของมาตรการควบคุม ทั้งมาตรการด้านบริหารจัดการ (Administrative security) มาตรการด้านเทคนิค (Technical security) และมาตรการทางกายภาพ (Physical security) ตอบสนองความต้องการทางธุรกิจและกลุ่มผู้มีส่วนได้เสีย และภายใต้การบริหารจัดการความเสี่ยงตามระดับความเสี่ยงที่ยอมรับได้ขององค์กร

คุณสมบัติและองค์ประกอบหลักด้านความมั่นคงปลอดภัยสารสนเทศ

1. การรักษาความลับ (Confidentiality)

ข้อมูล สารสนเทศ เข้าถึงได้เฉพาะผู้ที่มีสิทธิ์ หรือได้รับอนุญาตเท่านั้น จะต้องไม่มีการเปิดเผยโดยมิชอบ หรือโดยบุคคลที่ไม่มีสิทธิ์ หรือไม่ได้รับอนุญาต มาตรการที่นำมาใช้ เช่น การจำแนก หรือจัดชั้นข้อมูล (Data/information classification) การตั้งค่ารหัสไฟล์/แฟ้มข้อมูล (Password)

2. การรักษาความถูกต้องครบถ้วน (Integrity)

ข้อมูล สารสนเทศ มีความถูกต้อง จะมีการแก้ไข เปลี่ยนแปลง ได้เฉพาะผู้ที่มีสิทธิ์หรือได้รับอนุญาตเท่านั้น มาตรการที่นำมาใช้ เช่น การจัดการสิทธิ์ (access rights)

3. สภาพความพร้อมใช้ (Availability)

ข้อมูล สารสนเทศ มีความพร้อมในการใช้งานอยู่เสมอ สามารถเข้าถึงได้เมื่อต้องการ เฉพาะ
ผู้มีสิทธิ์ หรือได้รับอนุญาต มาตรการที่นำมาใช้ เช่น การควบคุมการเข้าถึง (Access control)

คุณสมบัติและองค์ประกอบอื่นที่เกี่ยวข้องด้านความมั่นคงปลอดภัยสารสนเทศ

• การยืนยันความถูกต้องแท้จริง (Authenticity): คุณลักษณะเฉพาะเพื่อยืนยัน
  ความถูกต้องแท้จริงถึงตัวตนผู้ใช้งาน
• การห้ามปฏิเสธความรับผิด (Non-repudiation): วิธีการที่ผู้ส่ง และผู้รับข้อความ
  จะไม่สามารถปฏิเสธการส่งหรือการรับข้อความนั้นได้ หากได้ดำเนินการนั้นไปแล้ว
• Accountability): ความรับผิดชอบที่สามารถตรวจสอบได้

• ความน่าเชื่อถือ (Reliability): ความสามารถในการให้บริการได้ตามที่กำหนดไว้

ความสัมพันธ์ของสามเหลี่ยมด้านความมั่นคงปลอดภัย การทำงาน และการใช้งาน

การกำหนดระดับความมั่นคงปลอดภัยของสารสนเทศหรือระบบใด ๆ นั้น ต้องพิจารณา
การรักษาความสมดุลขององค์ประกอบ 3 ด้าน ที่เรียกว่าความสัมพันธ์ของสามเหลี่ยมด้านความมั่นคงปลอดภัย ด้านฟังก์ชั่นการทำงาน และด้านการใช้งาน (The Security, Functionality, and Usability Triangle)

ซึ่งจะต้องยืดหยุ่นหรือปรับไปตามจุดประสงค์จากข้อกำหนดด้านความมั่นคงปลอดภัย (requirements /restrictions) คุณลักษณะ (features) และความต้องการใช้งาน (GUI) โดยในบางครั้งเพื่อตอบสนองความสะดวกในการใช้งาน ก็อาจจำเป็นต้องลดระดับมาตรการด้านความมั่นคงปลอดภัย

ลักษณะของภัยคุกคามทางไซเบอร์

ภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์ หรือ ภัยคุกคามทางไซเบอร์ หมายถึง
การกระทำหรือการดำเนินการใด ๆ โดยมิชอบโดยใช้คอมพิวเตอร์ หรือระบบคอมพิวเตอร์ หรือโปรแกรมไม่พึงประสงค์โดยมุ่งหมายให้เกิดการประทุษร้ายต่อระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ หรือข้อมูลอื่นที่เกี่ยวข้อง และเป็นภยันตรายที่ใกล้จะถึง

ทั้งนี้ ลักษณะของภัยคุกคามทางไซเบอร์ (อ้างอิงตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562) แบ่งออกเป็น 3 ระดับ ดังนี้

ภัยคุกคามทางไซเบอร์ในระดับไม่ร้ายแรง

ภัยคุกคามทางไซเบอร์ที่มีความเสี่ยงอย่างมีนัยสำคัญถึงระดับที่ทำให้ระบบคอมพิวเตอร์ของหน่วยงานโครงสร้างพื้นฐานสำคัญของประเทศ (CII) หรือการให้บริการของรัฐด้อยประสิทธิภาพลง

ภัยคุกคามทางไซเบอร์ในระดับร้ายแรง

ภัยคุกคามที่มีลักษณะการเพิ่มขึ้นอย่างมีนัยสำคัญของการโจมตีระบบคอมพิวเตอร์  คอมพิวเตอร์ หรือข้อมูลคอมพิวเตอร์ โดยมุ่งหมายเพื่อโจมตีโครงสร้างพื้นฐานสำคัญของประเทศ และการโจมตีดังกล่าวมีผลทำให้ระบบคอมพิวเตอร์ หรือโครงสร้างสำคัญทางสารสนเทศที่เกี่ยวข้องกับการให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศ ความมั่นคงของรัฐ ความสัมพันธ์ระหว่างประเทศ การป้องกันประเทศ  เศรษฐกิจ การสาธารณสุข ความปลอดภัยสาธารณะ หรือความสงบเรียบร้อยของประชาชนเสียหาย จนไม่สามารถทำงาน หรือให้บริการได้

ภัยคุกคามทางไซเบอร์ในระดับวิกฤติ

1. เป็นภัยคุกคามทางไซเบอร์ที่เกิดจากการโจมตีระบบคอมพิวเตอร์ คอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ในระดับที่สูงขึ้นกว่าภัยคุกคามทางไซเบอร์ในระดับร้ายแรง โดยส่งผลกระทบรุนแรงต่อโครงสร้างพื้นฐานสำคัญทางสารสนเทศของประเทศในลักษณะที่เป็นวงกว้าง จนทำให้การทำงานของหน่วยงานรัฐหรือการให้บริการของโครงสร้างพื้นฐานสำคัญของประเทศที่ให้กับประชาชนล้มเหลวทั้งระบบ จนไม่สามารถควบคุมการทำงานส่วนกลางของระบบคอมพิวเตอร์ของได้
2. เป็นภัยคุกคามทางไซเบอร์อันกระทบ หรืออาจกระทบต่อความสงบเรียบร้อยของประชาชน หรือเป็นภัยต่อความมั่นคงของรัฐ หรืออาจทำให้ประเทศ หรือส่วนใดส่วนหนึ่งของประเทศตกอยู่ในภาวะคับขันหรือมีการกระทำความผิดเกี่ยวกับการก่อการร้ายตามประมวลกฎหมายอาญา การรบ หรือการสงคราม ซึ่งจำเป็นต้องมีมาตรการเร่งด่วน เพื่อรักษาไว้ซึ่งการปกครองระบอบประชาธิปไตยอันมีพระมหากษัตริย์ทรงเป็นประมุขตามรัฐธรรมนูญแห่งราชอาณาจักรไทย เอกราชและบูรณภาพแห่งอาณาเขต ผลประโยชน์ของชาติ การปฏิบัติตามกฎหมาย ความปลอดภัยของประชาชน การดำรงชีวิตโดยปกติสุขของประชาชน การคุ้มครองสิทธิเสรีภาพ ความสงบเรียบร้อย หรือประโยชน์ส่วนรวม หรือการป้องปัด หรือแก้ไขเยียวยาความเสียหายจากภัยพิบัติสาธารณะอันมีมาอย่างฉุกเฉินและร้ายแรง

หมายเหตุ หน่วยงานโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (Critical information infrastructure: CII) จะต้องมีการประเมิน และตรวจสอบว่ามีภัยคุกคามทางไซเบอร์เกิดขึ้น หรือคาดว่าจะเกิดขึ้นหรือไม่ ให้ดำเนินการป้องกัน รับมือ และลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ตามประมวลแนวทางปฏิบัติ และกรอบมาตรฐานด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ของหน่วยงาน

ดังนั้นให้ระวัง! ตื่นตัวอยู่ตลอดเวลา! ว่าสิ่งนั้นเป็นสิ่งที่น่าสงสัย! ให้ปฏิบัติตามกฎการรักษาความปลอดภัยเครือข่ายที่ยอมรับโดยทั่วไปเป็นอย่างน้อย อย่างไรก็ตามโปรดจำไว้ว่าอาชญากรไซเบอร์มีวิธีการที่พลิกแพลงมากขึ้นเรื่อย ๆ ในการพยายามเข้ามาขโมยข้อมูลและดึงข้อมูลจากคุณ