ตรวจสอบความปลอดภัยของข้อมูล: วัตถุประสงค์วิธีการและเครื่องมือตัวอย่าง การตรวจสอบความปลอดภัยของข้อมูลของธนาคาร

วันนี้ทุกคนรู้วลีที่เกือบจะศักดิ์สิทธิ์ที่เป็นเจ้าของข้อมูลที่เป็นเจ้าของโลก นั่นคือเหตุผลที่ในเวลาของเราที่จะขโมย ข้อมูลลับ กำลังพยายามที่จะทั้งเพ ในเรื่องนี้ดำเนินการขั้นตอนเป็นประวัติการณ์และการดำเนินการตามวิธีการของการป้องกันการโจมตีที่เป็นไปได้ แต่บางครั้งคุณอาจจะต้องดำเนินการตรวจสอบความปลอดภัยของข้อมูลองค์กร มันคืออะไรและทำไมมันทั้งหมดในขณะนี้และพยายามที่จะเข้าใจ

การตรวจสอบความปลอดภัยของข้อมูลในความหมายทั่วไปคืออะไร?

ที่จะไม่ส่งผลกระทบต่อเงื่อนไขทางวิทยาศาสตร์ที่ลึกซึ้งและพยายามที่จะตรวจสอบสำหรับตัวเองแนวคิดพื้นฐานอธิบายในภาษาที่ง่ายที่สุด (คนมันอาจจะเรียกว่าการตรวจสอบสำหรับ "หุ่น")

ชื่อของเหตุการณ์ที่ซับซ้อนพูดสำหรับตัวเอง การตรวจสอบความปลอดภัยของข้อมูลเป็นอิสระในการตรวจสอบหรือ ทบทวน เพื่อให้แน่ใจว่าการรักษาความปลอดภัยของระบบสารสนเทศ (IS) ของ บริษัท ใด ๆ สถาบันการศึกษาหรือองค์กรบนพื้นฐานของเกณฑ์การพัฒนาเป็นพิเศษและตัวชี้วัด

ในแง่ง่ายเช่นการตรวจสอบความปลอดภัยของข้อมูลของธนาคารเดือดลงไปเพื่อประเมินระดับของการป้องกันของฐานข้อมูลของลูกค้าที่จัดขึ้นโดยการดำเนินงานของธนาคารที่ความปลอดภัยของเงินอิเล็กทรอนิกส์, การเก็บรักษาความลับของธนาคารและอื่น ๆ ง. ในกรณีของการรบกวนในกิจกรรมของบุคคลที่ไม่ได้รับอนุญาตสถาบันการศึกษาจากภายนอกโดยใช้ สิ่งอำนวยความสะดวกอิเล็กทรอนิกส์และคอมพิวเตอร์

แน่นอนว่าในหมู่ผู้อ่านมีอย่างน้อยหนึ่งคนที่เรียกว่าบ้านหรือโทรศัพท์มือถือที่มีข้อเสนอของการประมวลผลเงินกู้หรือเงินฝากธนาคารที่มีที่มันมีอะไรที่ต้องทำ เช่นเดียวกับการซื้อสินค้าและบริการจากร้านค้าบางร้าน เหตุอะไรขึ้นมาที่ห้องของคุณหรือไม่

มันง่าย ถ้าคนที่ก่อนหน้านี้เอาเงินให้สินเชื่อหรือลงทุนในบัญชีเงินฝากของหลักสูตรข้อมูลที่ถูกเก็บไว้ในที่พบบ่อย ฐานลูกค้า เมื่อคุณโทรจากธนาคารหรือร้านค้าอื่นอาจจะเป็นข้อสรุปเพียงหนึ่ง: ข้อมูลเกี่ยวกับเรื่องนี้มาอย่างผิดกฎหมายกับบุคคลที่สาม อย่างไร? โดยทั่วไปมีสองตัวเลือก: ทั้งมันถูกขโมยหรือโอนไปยังพนักงานของธนาคารต่อบุคคลที่สามอย่างมีสติ เพื่อให้สิ่งดังกล่าวไม่ได้เกิดขึ้นและคุณจะต้องใช้เวลาในการดำเนินการตรวจสอบความปลอดภัยของข้อมูลของธนาคารและนี้ใช้ไม่เพียง แต่กับคอมพิวเตอร์หรือ "เหล็ก" หมายถึงการป้องกัน แต่พนักงานทั้งหมดของสถาบัน

ทิศทางหลักของการตรวจสอบความปลอดภัยของข้อมูล

ที่เกี่ยวกับขอบเขตของการตรวจสอบที่เป็นกฎที่พวกเขามีหลาย:

• การตรวจสอบอย่างเต็มรูปแบบของวัตถุที่มีส่วนร่วมในกระบวนการของข้อมูล (ระบบคอมพิวเตอร์อัตโนมัติหมายของการสื่อสาร, การรับส่งข้อมูลและการประมวลผล, ห้องประชุม, สถานที่สำหรับการประชุมที่เป็นความลับระบบการตรวจสอบ ฯลฯ );
• การตรวจสอบความน่าเชื่อถือของการปกป้องข้อมูลที่เป็นความลับกับการ จำกัด การเข้าถึงที่ (ความมุ่งมั่นของการรั่วไหลไปได้และศักยภาพช่องหลุมการรักษาความปลอดภัยที่ช่วยให้เข้าถึงได้จากภายนอกที่มีการใช้วิธีการมาตรฐานและไม่ได้มาตรฐาน);
• ตรวจสอบทั้งหมดของฮาร์ดแวร์และท้องถิ่นระบบคอมพิวเตอร์อิเล็กทรอนิกส์สำหรับการสัมผัสกับรังสีแม่เหล็กไฟฟ้าและการรบกวนช่วยให้พวกเขาที่จะปิดหรือนำเข้ามาในสภาพทรุดโทรม;
• ส่วนโครงการซึ่งรวมถึงการทำงานในการสร้างและการประยุกต์ใช้แนวคิดของการรักษาความปลอดภัยในการดำเนินการในทางปฏิบัติของมัน (การป้องกันของระบบคอมพิวเตอร์, ห้องประชุม, สิ่งอำนวยความสะดวกในการสื่อสารอื่น ๆ )

เมื่อมันมาถึงการตรวจสอบ?

ไม่ต้องพูดถึงสถานการณ์ที่สำคัญที่ป้องกันเสียแล้วการตรวจสอบความปลอดภัยของข้อมูลในองค์กรสามารถดำเนินการได้และในกรณีอื่น ๆ

โดยปกติเหล่านี้รวมถึงการขยายตัวของ บริษัท ที่ควบรวมกิจการการซื้อกิจการ, การรัฐประหารโดย บริษัท อื่น ๆ ที่เปลี่ยนหลักสูตรของแนวคิดธุรกิจหรือแนวทางการเปลี่ยนแปลงในกฎหมายระหว่างประเทศหรือในการออกกฎหมายภายในประเทศ, การเปลี่ยนแปลงค่อนข้างรุนแรงในโครงสร้างพื้นฐานข้อมูล

ประเภทของการตรวจสอบ

วันนี้การจัดหมวดหมู่มากของประเภทของการตรวจสอบนี้ตามที่นักวิเคราะห์หลายคนและผู้เชี่ยวชาญจะไม่เป็นที่ยอมรับ ดังนั้นการแบ่งเป็นชั้นเรียนในบางกรณีสามารถ arbitrary ค่อนข้าง แต่โดยทั่วไปการตรวจสอบความปลอดภัยของข้อมูลที่สามารถแบ่งออกเป็นภายในและภายนอก

การตรวจสอบภายนอกดำเนินการโดยผู้เชี่ยวชาญอิสระที่มีสิทธิที่จะทำคือมักจะมีการตรวจสอบเพียงครั้งเดียวซึ่งอาจจะเริ่มต้นโดยการจัดการของผู้ถือหุ้นหน่วยงานบังคับใช้กฎหมายอื่น ๆ เป็นที่เชื่อว่าการตรวจสอบภายนอกของการรักษาความปลอดภัยข้อมูลที่จะแนะนำ ( แต่ไม่จำเป็น) เพื่อดำเนินการอย่างสม่ำเสมอเป็นระยะเวลาที่กำหนดของเวลา แต่สำหรับบางองค์กรและรัฐวิสาหกิจตามกฎหมายจะบังคับ (ตัวอย่างเช่นสถาบันการเงินและองค์กร บริษัท ร่วมทุนและอื่น ๆ .)

รักษาความปลอดภัยข้อมูลการตรวจสอบภายในเป็นกระบวนการที่ต่อเนื่อง มันขึ้นอยู่กับว่า "กฎระเบียบเกี่ยวกับการตรวจสอบภายใน" พิเศษ มันคืออะไร? ในความเป็นจริงกิจกรรมการรับรองนี้ดำเนินการในองค์กรในแง่ได้รับการอนุมัติจากผู้บริหาร การตรวจสอบความปลอดภัยของข้อมูลโดยการแบ่งโครงสร้างพิเศษขององค์กร

การจำแนกทางเลือกของการตรวจสอบ

นอกจากนี้ส่วนดังอธิบายในชั้นเรียนในกรณีทั่วไปเราสามารถแยกแยะองค์ประกอบหลายอย่างที่เกิดขึ้นในการจำแนกระหว่างประเทศ:

• ผู้เชี่ยวชาญด้านการตรวจสอบสถานะของการรักษาความปลอดภัยข้อมูลและระบบสารสนเทศบนพื้นฐานของประสบการณ์ส่วนตัวของผู้เชี่ยวชาญด้านการดำเนินการของตน;
• ระบบการรับรองและมาตรการรักษาความปลอดภัยเพื่อให้สอดคล้องกับมาตรฐานสากล (ISO 17799) และเครื่องมือทางกฎหมายแห่งชาติควบคุมข้อมูลของกิจกรรมนี้;
• การวิเคราะห์การรักษาความปลอดภัยของระบบสารสนเทศที่มีการใช้วิธีการทางเทคนิคมุ่งเป้าไปที่การระบุช่องโหว่ที่อาจเกิดขึ้นในซอฟต์แวร์และฮาร์ดแวร์ที่ซับซ้อน

บางครั้งก็สามารถนำมาใช้และที่เรียกว่าการตรวจสอบที่ครอบคลุมซึ่งรวมถึงทุกประเภทดังกล่าวข้างต้น โดยวิธีการที่เขาจะช่วยให้ผลวัตถุประสงค์มากที่สุด

เป้าหมายและวัตถุประสงค์ของการจัดฉาก

การตรวจสอบใด ๆ ไม่ว่าภายในหรือภายนอกเริ่มต้นด้วยการตั้งค่าเป้าหมายและวัตถุประสงค์ ใส่เพียงแค่คุณจำเป็นต้องตรวจสอบทำไมอย่างไรและสิ่งที่จะได้รับการทดสอบ นี้จะกำหนดขั้นตอนต่อไปของการดำเนินการตามกระบวนการทั้งหมด

งานขึ้นอยู่กับโครงสร้างที่เฉพาะเจาะจงขององค์กรองค์กรสถาบันการศึกษาและกิจกรรมของมันสามารถค่อนข้างมาก อย่างไรก็ตามท่ามกลางข่าวประชาสัมพันธ์ฉบับนี้มีเป้าหมายแบบครบวงจรของการตรวจสอบความปลอดภัยของข้อมูล:

• การประเมินของรัฐความปลอดภัยของข้อมูลและระบบสารสนเทศนั้น
• การวิเคราะห์ความเสี่ยงที่เกี่ยวข้องกับความเสี่ยงของการรุกเข้าสู่ IP ภายนอกและรังสีที่เป็นไปได้ของการรบกวนดังกล่าว
• การแปลของหลุมและช่องว่างในระบบรักษาความปลอดภัย;
• การวิเคราะห์ระดับที่เหมาะสมของการรักษาความปลอดภัยของระบบสารสนเทศเพื่อมาตรฐานปัจจุบันและทำหน้าที่กำกับดูแลและกฎหมาย
• การพัฒนาและการส่งมอบคำแนะนำที่เกี่ยวข้องกับการกำจัดของปัญหาที่มีอยู่เช่นเดียวกับการปรับปรุงของการเยียวยาที่มีอยู่และการแนะนำของการพัฒนาใหม่

วิธีการและการตรวจสอบเครื่องมือ

ตอนนี้คำไม่กี่คำเกี่ยวกับวิธีการตรวจสอบและขั้นตอนและวิธีการที่เกี่ยวข้องกับการ

การตรวจสอบความปลอดภัยของข้อมูลประกอบด้วยหลายขั้นตอน:

• เริ่มต้นขั้นตอนการตรวจสอบ (นิยามที่ชัดเจนของสิทธิและความรับผิดชอบของผู้สอบบัญชีของผู้สอบบัญชีตรวจสอบการจัดทำแผนและประสานงานกับผู้บริหารที่คำถามของขอบเขตของการศึกษาการจัดเก็บภาษีในสมาชิกของความมุ่งมั่นขององค์กรในการดูแลและการให้ทันเวลาของข้อมูลที่เกี่ยวข้อง);
• การเก็บรวบรวมข้อมูลครั้งแรก (โครงสร้างการรักษาความปลอดภัยการกระจายของคุณลักษณะด้านความปลอดภัยระดับการรักษาความปลอดภัยของวิธีการวิเคราะห์ประสิทธิภาพของระบบสำหรับการได้รับและการให้ข้อมูลการกำหนดช่องทางการสื่อสารและการมีปฏิสัมพันธ์ IP กับโครงสร้างอื่น ๆ ลำดับชั้นของผู้ใช้เครือข่ายคอมพิวเตอร์โปรโตคอลกำหนด ฯลฯ );
• ดำเนินการตรวจสอบที่ครอบคลุมหรือบางส่วน;
• การวิเคราะห์ข้อมูล (วิเคราะห์ความเสี่ยงของชนิดใด ๆ และการปฏิบัติตาม);
• การออกคำแนะนำเพื่อแก้ไขปัญหาที่อาจเกิดขึ้น
• การสร้างรายงาน

ขั้นตอนแรกคือการที่ง่ายที่สุดเพราะการตัดสินใจที่จะทำ แต่เพียงผู้เดียวระหว่างผู้บริหาร บริษัท และผู้สอบบัญชี ขอบเขตของการวิเคราะห์ได้รับการพิจารณาในการประชุมสามัญของพนักงานหรือผู้ถือหุ้น ทั้งหมดนี้และเกี่ยวข้องกับด้านกฎหมาย

ขั้นตอนที่สองของการเก็บรวบรวมข้อมูลพื้นฐานไม่ว่าจะเป็นการตรวจสอบภายในของการรักษาความปลอดภัยข้อมูลหรือการรับรองอิสระภายนอกเป็นส่วนใหญ่ทรัพยากรมาก เพราะนี่คือความจริงที่ว่าในขั้นตอนนี้คุณต้องตรวจสอบไม่ได้เป็นเพียงเอกสารทางเทคนิคที่เกี่ยวข้องกับฮาร์ดแวร์และซอฟต์แวร์ทั้งหมด แต่ยังแคบสัมภาษณ์พนักงานของ บริษัท และในกรณีส่วนใหญ่แม้จะมีการกรอกแบบสอบถามพิเศษหรือการสำรวจ

สำหรับเอกสารทางเทคนิคก็เป็นสิ่งสำคัญที่จะได้รับข้อมูลเกี่ยวกับโครงสร้าง IC และระดับความสำคัญของสิทธิในการเข้าถึงให้กับพนักงานในการระบุทั้งระบบและซอฟต์แวร์ประยุกต์ (ระบบปฏิบัติการสำหรับการใช้งานธุรกิจการจัดการและการบัญชีของพวกเขา) เช่นเดียวกับการป้องกันที่จัดตั้งขึ้นของซอฟแวร์ และประเภทที่ไม่ใช่โปรแกรม (ซอฟต์แวร์ป้องกันไวรัสไฟร์วอลล์ ฯลฯ ) นอกจากนี้รวมถึงการตรวจสอบอย่างเต็มรูปแบบของเครือข่ายและผู้ให้บริการโทรคมนาคม (องค์กรเครือข่ายโปรโตคอลที่ใช้สำหรับการเชื่อมต่อประเภทของช่องทางการสื่อสารที่ส่งและรับวิธีการของกระแสข้อมูลและอื่น ๆ ) เป็นที่ชัดเจนก็จะใช้เวลามากเวลา

ในขั้นตอนต่อไปวิธีการของการตรวจสอบความปลอดภัยข้อมูล พวกเขาเป็นที่สาม:

• การวิเคราะห์ความเสี่ยง (เทคนิคที่ยากที่สุดขึ้นอยู่กับการตัดสินใจของผู้สอบบัญชีในการรุกของการละเมิดทรัพย์สินทางปัญญาและความสมบูรณ์ของการใช้วิธีการที่เป็นไปได้ทั้งหมดและเครื่องมือที่);
• การประเมินการปฏิบัติตามมาตรฐานและการออกกฎหมาย (วิธีที่ง่ายและในทางปฏิบัติมากที่สุดตามข้อเปรียบเทียบของสถานะปัจจุบันของกิจการและความต้องการของมาตรฐานสากลและเอกสารภายในประเทศในด้านการรักษาความปลอดภัยข้อมูลที่);
• วิธีการรวมที่รวมสองคนแรก

หลังจากที่ได้รับผลการตรวจสอบของการวิเคราะห์ของพวกเขา ตรวจสอบเงินทุน ของการรักษาความปลอดภัยข้อมูล ที่ใช้สำหรับการวิเคราะห์จะมีการเปลี่ยนแปลงค่อนข้าง ทั้งหมดขึ้นอยู่กับรายละเอียดขององค์กรประเภทของข้อมูล, ซอฟต์แวร์ที่คุณใช้ป้องกันและอื่น ๆ . อย่างไรก็ตามในขณะที่สามารถเห็นได้ในวิธีแรกของผู้สอบบัญชีส่วนใหญ่ต้องพึ่งพาประสบการณ์ของตัวเอง

และนั่นหมายความว่ามันจะต้องมีคุณสมบัติครบถ้วนในด้านของเทคโนโลยีสารสนเทศและการป้องกันข้อมูล บนพื้นฐานของการวิเคราะห์นี้ผู้สอบบัญชีและคำนวณความเสี่ยงที่เป็นไปได้

โปรดทราบว่าควรจะจัดการไม่เพียง แต่ในระบบปฏิบัติการหรือโปรแกรมที่ใช้เช่นสำหรับธุรกิจหรือบัญชี แต่ยังเข้าใจอย่างชัดเจนว่าผู้โจมตีสามารถเจาะเข้าไปในระบบข้อมูลสำหรับวัตถุประสงค์ของการโจรกรรมความเสียหายและการทำลายของข้อมูลการสร้างปัจจัยพื้นฐานสำหรับการละเมิด ในคอมพิวเตอร์, การแพร่กระจายของไวรัสหรือมัลแวร์

การประเมินผลของผลการตรวจสอบและข้อเสนอแนะในการแก้ไขปัญหา

จากการวิเคราะห์ผู้เชี่ยวชาญสรุปเกี่ยวกับสถานะการป้องกันและให้คำแนะนำเพื่อแก้ไขปัญหาที่มีอยู่หรือที่มีศักยภาพการอัพเกรดการรักษาความปลอดภัยอื่น ๆ แนะนำไม่ควรเป็นธรรม แต่ยังเชื่อมโยงอย่างชัดเจนกับความเป็นจริงของข้อมูลเฉพาะองค์กร ในคำอื่น ๆ และเคล็ดลับในการอัพเกรดการตั้งค่าของเครื่องคอมพิวเตอร์หรือซอฟแวร์จะไม่ได้รับการยอมรับ นี้อย่างเท่าเทียมกันนำไปใช้กับคำแนะนำของการเลิกจ้างของบุคลากร "ไม่น่าเชื่อถือ" ที่ติดตั้งระบบติดตามใหม่โดยไม่ต้องระบุปลายทางของพวกเขาที่ตั้งและความเหมาะสม

จากการวิเคราะห์ที่เป็นกฎที่มีความเสี่ยงหลายกลุ่ม ในกรณีนี้จะรวบรวมรายงานสรุปใช้สองตัวชี้วัดสำคัญ (. การสูญเสียของสินทรัพย์ที่ลดลงของชื่อเสียง, การสูญเสียของภาพและอื่น ๆ ) น่าจะเป็นของการโจมตีและความเสียหายที่เกิดกับ บริษัท เป็นผลที่ตามมา แต่ประสิทธิภาพการทำงานของกลุ่มที่ไม่เหมือนกัน ยกตัวอย่างเช่นตัวบ่งชี้ระดับต่ำสำหรับความน่าจะเป็นของการโจมตีที่ดีที่สุดคือ สำหรับความเสียหาย - ในทางตรงกันข้าม

เท่านั้นแล้วรวบรวมรายงานว่ารายละเอียดทั้งหมดทาสีขั้นตอนวิธีการและวิธีการของการวิจัย เขาเห็นด้วยกับความเป็นผู้นำและลงนามโดยทั้งสองฝ่าย - บริษัท และผู้สอบบัญชี หาก ตรวจสอบภายใน เป็นรายงานหัวหน้าหน่วยโครงสร้างตามลำดับหลังจากที่เขาอีกครั้งที่ลงนามโดยหัว

การตรวจสอบความปลอดภัยของข้อมูล: ตัวอย่าง

สุดท้ายเราพิจารณาตัวอย่างที่ง่ายที่สุดของสถานการณ์ที่เกิดขึ้นแล้ว หลายคนโดยวิธีการที่มันอาจจะดูเหมือนคุ้นเคยมาก

ยกตัวอย่างเช่นพนักงานจัดซื้อจัดจ้างของ บริษัท ในประเทศสหรัฐอเมริกาก่อตั้งขึ้นในคอมพิวเตอร์ ICQ Messenger ได้ทันที (ชื่อของพนักงานและชื่อ บริษัท ที่ไม่ได้รับการตั้งชื่อด้วยเหตุผลที่ชัดเจน) การเจรจาต่อรองได้ดำเนินการได้อย่างแม่นยำโดยวิธีการของโปรแกรมนี้ แต่ "ICQ" ค่อนข้างมีความเสี่ยงในแง่ของการรักษาความปลอดภัย พนักงานเองที่ตัวเลขการลงทะเบียนในเวลาหรือไม่ได้มีที่อยู่อีเมลหรือเพียงแค่ไม่ต้องการที่จะให้มัน แต่เขาชี้ไปที่บางสิ่งบางอย่างเช่น e-mail, และแม้กระทั่งโดเมนที่ไม่มีอยู่จริง

สิ่งที่ผู้โจมตีจะ? ที่แสดงโดยการตรวจสอบความปลอดภัยของข้อมูลก็จะได้รับการจดทะเบียนว่าโดเมนเดียวกันและสร้างจะอยู่ในนั้นขั้วลงทะเบียนอื่นแล้วสามารถส่งข้อความไปยัง บริษัท Mirabilis ที่เป็นเจ้าของบริการ ICQ, ขอกู้คืนรหัสผ่านเนื่องจากการสูญเสีย (ที่จะทำได้ ) ในฐานะที่เป็นผู้สืบทอดของเซิร์ฟเวอร์อีเมลที่ไม่ได้มันก็รวมถึงการเปลี่ยนเส้นทาง - เปลี่ยนเส้นทางไปยังอีเมลผู้บุกรุกที่มีอยู่

เป็นผลให้เขาได้รับการเข้าถึงการติดต่อที่มีหมายเลข ICQ ที่กำหนดและแจ้งให้ผู้จัดจำหน่ายในการเปลี่ยนแปลงที่อยู่ของผู้รับสินค้าในบางประเทศ ดังนั้นสินค้าที่ส่งไปยังปลายทางที่ไม่รู้จัก และมันก็เป็นตัวอย่างที่ไม่เป็นอันตรายมากที่สุด ดังนั้น ระเบียบปฏิบัติ และสิ่งที่เกี่ยวกับแฮกเกอร์ที่รุนแรงมากขึ้นที่มีความสามารถอื่น ๆ อีกมากมาย ...

ข้อสรุป

นี่คือช่วงสั้น ๆ และทุกคนที่เกี่ยวข้องกับการตรวจสอบความปลอดภัย IP แน่นอนว่ามันจะไม่ได้รับผลกระทบจากทุกแง่มุมของมัน เหตุผลก็คือเพียงแค่ว่าในการกำหนดปัญหาและวิธีการของการดำเนินการของมันส่งผลกระทบต่อหลายปัจจัยดังนั้นวิธีการในแต่ละกรณีเป็นรายบุคคลอย่างเคร่งครัด นอกจากนี้วิธีการและวิธีการตรวจสอบความปลอดภัยของข้อมูลจะแตกต่างกันสำหรับการที่แตกต่างกันของวงจรรวม แต่ผมคิดว่าหลักการทั่วไปของการทดสอบดังกล่าวสำหรับหลาย ๆ คนกลายเป็นที่ชัดเจนแม้ในระดับประถมศึกษา