چکیده: هدف این مقاله، آشنایی متخصصان و محققان حوزه امنیت اطلاعات با سیر تکامل زمانی امنیت اطلاعات تاکنون در قالب چهار موج مفهومی آن است. در حالی که در موج اول- فنی تمرکز بر حفظ امنیت اطلاعات از طریق ابزارهای فنی بود، با کمی تأخیر توجه به نقش مدیریت سازمانی مورد توجه قرار گرفت و مبتنی بر آن موج دوم- مدیریتی ایجاد شد. پس از آن در موج سوم- نهادینه سازی، توجه به به روشها و رهنمودها، گواهینامهها، فرهنگ و ارزیابی دائمی و پویای امنیت اطلاعات در سازمان مورد توجه قرار گرفت. در انتها نیز در موج چهارم- حاکمیت امنیت اطلاعات، رویکرد بالا به پایینی در سازمان مبتنی تأثیر حاکمیت سازمانی بر امنیت اطلاعات از طریق ایجاد تعهد هیئت مدیره و مدیران سازمان، ایجاد ساختار سازمانی مناسب، ایجاد راهبردهای آگاهیرسانی مناسب و پشتیبانی از طریق خط مشیهای ضروری، رویه ها، فرآیندها، فناوریها و سازوکارهای پیروی از قوانین مورد توجه قرار گرفت.
۱- مقدمه
با پررنگتر شدن نقش اطلاعات و میزان اهمیت اطلاعات برای سازمانهای مختلف رفتهرفته موضوع امنیت اطلاعات و لزوم دستیابی به یک سیستم مدیریت امنیت اطلاعات اهمیت بیشتری یافت. تا جایی که توسعه امنیت اطلاعات در طول ۵۰ سال اخیر، به شکلهای مختلفی نمود پیدا کرده است. یکی از این اشکال، بیانگر سیر تکامل و پیشرفت امنیت اطلاعات در چهار موج فنی، مدیریتی، نهادینه سازی و حاکمیت امنیت اطلاعات است. سیر تکاملی امنیت اطلاعات در شکل ۱ به تصویر کشیده شده است.
• تا اوایل دهه ۸۰، موج اول بهعنوان “موج فنی” شناخته میشد و به طورعمده یک رویکرد فنی جهت تأمین امنیت اطلاعات را مورد توجه قرار داده بود.
• از اوایل دهه ۸۰ تا اواسط دهه ۹۰، موج دوم بهعنوان “موج مدیریتی” شناخته میشد. درگیرشدن مدیریت در مسائل امنیتی و اهمیت نقش مدیریت در امنیت اطلاعات، تکمیل کننده موج فنی بود. این موج تا اواخر دهه ۹۰ به موازات موج فنی پیش رفت و زمینه ایجاد موج سوم فراهم گیرد.
• از سالهای پس از دهه ۹۰، موج سوم بهعنوان “موج نهادینه سازی” ایجاد شد. این موج توسط جنبه هایی از جمله توجه به روشها ، رهنمودهایی برای مدیریت امنیت اطلاعات، گواهینامه بین المللی امنیت اطلاعات، ترویج امنیت اطلاعات بهعنوان یک فرهنگ سازمانی، و سنجش پویا و مستمر امنیت اطلاعات مشخص شده است.
• از اواخر دهه اول قرن ۲۱، موج چهارم بهعنوان “موج حاکمیت امنیت اطلاعات” ایجاد شد. این موج بازتابی از توسعه حاکمیت امنیت اطلاعات است و بهعنوان نتیجه ای حاصل از تأکید بر حاکمیت سازمانی مناسب مطرح شده است.
در ادامه، مرور اجمالی بر سیر تکاملی امنیت اطلاعات در طول دهه های مختلف (شکل ۱) و در قالب چهار موج فنی، مدیریتی، نهادینه سازی و حاکمیت امنیت اطلاعات خواهیم داشت.
شکل ۱: شکل سیر تکاملی امنیت اطلاعات
۲- موج اول- فنی
این موج، به طورعمده بر مینفریمها/ پردازندههای مرکزی استوار بود. در این موج، سعی میشد تا امنیت اطلاعات با استفاده از امکانات موجود در رایانه ها ( مانند فهرستهای کنترل دسترسی، شناسه های کاربر و کلمه های عبور) در سیستمهای عامل پردازنده مرکزی آدرس دهی شود. مسائلی از جمله خط مشیهای امنیت اطلاعات، آگاهی از وضعیت امنیت اطلاعات کاربران و… در این موج مورد توجه نبودند. با این حال حتی در همان اوایل دهه ۸۰، افراد فنی که مسئول پیاده سازی/ اجرای امنیت اطلاعات بودند، به این موضوع پی بردند که در برخی از مواقع مدیریت میتواند نقش قابل توجهی در این حوزه داشته باشد. با این وجود، امنیت اطلاعات یک مسئله/ موضوع کاملا فنی بود که به طورکامل به افراد فنی تخصیص داده شده بود.
۳- موج دوم- مدیریتی
توسعه رایانش توزیع شده ، اینترنت، شبکه جهانی اطلاعات/ وب و تجارت الکترونیکی ازجمله عواملی بودند که دریچههای جدید نسبت به موضوع امنیت اطلاعات باز کردند. در این موج، مدیر ارشد/ سطح بالا درگیر مسائل امنیتی شده و مسائل مطرح در امنیت اطلاعات به طور چشمگیری افزایش یافت. خط مشیهای امنیت اطلاعات، مدیران امنیت اطلاعات و ساختارهای سازمانی برای امنیت اطلاعات بهعنوان مسائل مهم در این موج مورد توجه قرار گرفتند. نتایج حاصل از این موج به موازات موج فنی آن بود که خواسته های مدیران در امنیت اطلاعات محور اصلی قرار گرفت و در نهایت مدیران امنیت اطلاعات منصوب شدند. سپس این مدیران منصوب شده نسبت به تهیه پیشنویس خط مشیها، رویه ها و ارائه گزارش به مدیران سطح
بالا از طریق ساختارهای سازمان یافته اقدام کردند و این به طور کلی موجب اصلاح امنیت اطلاعات شد. پس از مدتی نیازهای جدیدی توسط سازمانها احساس شد نسبت به اینکه:
۱- امنیت اطلاعات آنها چقدر خوب است؟
۲- چگونه میتوان امنیت سازمان را با دیگر سازمانها مقایسه کرد؟ و
۳- بعد انسانی امنیت اطلاعات همچنان میتواند بهعنوان مشکلی بزرگ باقی ماند. این نیازها به همراه دو موج اول و دوم، موج سوم را تشکیل دادند.
از جمله نمودهای این موج میتوان به شکلگیری استاندارد ISO/IEC 27001 اشاره نمود که یک استاندارد معروف در حوزه مدیریت امنیت اطلاعات است. در واقع، اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نامBS 7799 ارائه شدهاست. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که بهصورت جداگانه منتشر شدهاند:
• بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال ۱۹۹۵ منتشر شد. این استاندارد در سال ۱۹۹۸ بازنویسی شده و در سال ۲۰۰۰ تحت نظر مؤسسه بین المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور “فناوری اطلاعات-رهنمودهایی برای مدیریت امنیت اطلاعات” است که در سال ۲۰۰۵ بازنگری شده و سرانجام در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 براساس آن در جولای ۲۰۰۷ عرضه شد. نسخه اصلاح شده این استاندارد نیز در سال ۲۰۱۳ منتشر شده است.
• بخش دوم BS 7799 برای اولین بار در سال ۱۹۹۹ توسط BSI با عنوان “سیستمهای مدیریت امنیت اطلاعات-مشخصات با راهنمایی برای استفاده” ارائه شد و تمرکز آن بر روی پیادهسازی سیستمهای مدیریت امنیت اطلاعات(ISMS) بود. نسخه دوم استاندارد BS 7799-2 که در سال ۲۰۰۲ ارائه شد یک مدل جدید بهنام برنامه- اجرا- کنترل- عمل (PDCA)را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. براساس خط مشیها و ساختارهای مدیریت امنیت اطلاعات ارائه شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال ۲۰۰۵ منتشر شد و در سال ۲۰۱۳ مورد بازنگری قرار گرفت.
• بخش سوم BS 7799 در سال ۲۰۰۵، با موضوع تحلیل و مدیریت مخاطرهها منتشر شد. این بخش همچنین به عنوان یک استاندارد بینالمللی درسال ۲۰۰۵ و در قالب استانداردISO/IEC 27005 ارائه شد.
نسخههای توسعه یافته این استاندارد نیز توسط ایزو در سال های ۲۰۱۳ و ۲۰۱۸ منتشر شده است. در واقع، سازمان میتواند با استفاده از این استاندارد مخاطرههای که متوجه امنیت اطلاعات است را شناسایی و ارزیابی نموده و کنترلهای مناسبی جهت حفظ محرمانگی، صحت و دردسترس بودن این سرمایه های مهم اتخاذ نماید.
سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش دوم