سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش اول

 چکیده: هدف این مقاله، آشنایی متخصصان و محققان حوزه امنیت اطلاعات با سیر تکامل زمانی امنیت اطلاعات تاکنون در قالب چهار موج مفهومی آن است. در حالی که در موج اول- فنی تمرکز بر حفظ امنیت اطلاعات از طریق ابزارهای فنی بود، با کمی تأخیر توجه به نقش مدیریت سازمانی مورد توجه قرار گرفت و مبتنی بر آن موج دوم- مدیریتی ایجاد شد. پس از آن در موج سوم- نهادینه سازی، توجه به به روش‌ها و رهنمودها، گواهینامه‌ها، فرهنگ و ارزیابی دائمی و پویای امنیت اطلاعات در سازمان مورد توجه قرار گرفت. در انتها نیز در موج چهارم- حاکمیت امنیت اطلاعات، رویکرد بالا به پایینی در سازمان مبتنی تأثیر حاکمیت سازمانی بر امنیت اطلاعات از طریق ایجاد تعهد هیئت مدیره و مدیران سازمان، ایجاد ساختار سازمانی مناسب، ایجاد راهبردهای آگاهی‌رسانی مناسب و پشتیبانی از طریق خط‏ مشی‏های ضروری، رویه ‏ها، فرآیندها، فناوری‏ها و سازوکارهای پیروی از قوانین مورد توجه قرار گرفت.

۱- مقدمه
با پررنگ‏تر شدن نقش اطلاعات و میزان اهمیت اطلاعات برای سازمان‌های مختلف رفته‌رفته موضوع امنیت اطلاعات و لزوم دستیابی به یک سیستم مدیریت امنیت اطلاعات اهمیت بیشتری یافت. تا جایی که توسعه امنیت اطلاعات در طول ۵۰ سال اخیر، به‏ شکل‎های مختلفی نمود پیدا کرده‏ است. یکی از این اشکال، بیانگر سیر تکامل و پیشرفت‏ امنیت اطلاعات در چهار موج فنی، مدیریتی، نهادینه ‏سازی و حاکمیت امنیت اطلاعات است. سیر تکاملی امنیت اطلاعات در شکل ۱ به تصویر کشیده شده‏ است.
• تا اوایل دهه ۸۰، موج اول به‏‌عنوان “موج فنی” شناخته می‏شد و به‏ طورعمده یک رویکرد فنی جهت تأمین امنیت اطلاعات را مورد توجه قرار داده بود.
• از اوایل دهه ۸۰ تا اواسط دهه ۹۰، موج دوم به‏‌عنوان “موج مدیریتی” شناخته می‏شد. درگیرشدن مدیریت در مسائل امنیتی و اهمیت نقش مدیریت در امنیت اطلاعات، تکمیل‏ کننده موج فنی بود. این موج تا اواخر دهه ۹۰ به موازات موج فنی پیش رفت و زمینه ایجاد موج سوم فراهم گیرد.
• از سال‏های پس از دهه ۹۰، موج سوم به‏‌عنوان “موج نهادینه‏ سازی” ایجاد شد. این موج توسط جنبه‏ هایی از جمله توجه به ‏روش‏ها ، رهنمودهایی‏ برای مدیریت امنیت اطلاعات، گواهینامه بین‏ المللی امنیت اطلاعات، ترویج امنیت اطلاعات به‏‌عنوان یک فرهنگ سازمانی، و سنجش پویا و مستمر امنیت اطلاعات مشخص شده است.
• از اواخر دهه اول قرن ۲۱، موج چهارم به‏‌عنوان “موج حاکمیت امنیت اطلاعات” ایجاد شد. این موج بازتابی از توسعه حاکمیت امنیت اطلاعات است و به‏‌عنوان نتیجه‏ ای حاصل از تأکید بر حاکمیت سازمانی مناسب مطرح شده ‏است.
در ادامه، مرور اجمالی بر سیر تکاملی امنیت اطلاعات در طول دهه ‏های مختلف (شکل ۱) و در قالب چهار موج فنی، مدیریتی، نهادینه‏ سازی و حاکمیت امنیت اطلاعات خواهیم داشت.

سیر تکاملی امنیت اطلاعاتشکل ۱: شکل سیر تکاملی امنیت اطلاعات

۲- موج اول- فنی

این موج، به‏ طورعمده بر مین‏فریم‌ها/ پردازنده‌های مرکزی استوار بود. در این موج، سعی می‌شد تا امنیت اطلاعات با استفاده از امکانات موجود در رایانه‏ ها ( مانند فهرست‏های کنترل‏ دسترسی، شناسه ‏های‏ کاربر و کلمه ‏های‏ عبور) در سیستم‏های‏ عامل پردازنده مرکزی آدرس‏ دهی شود. مسائلی از جمله خط‏ مشی‏های امنیت اطلاعات، آگاهی‏ از وضعیت امنیت اطلاعات کاربران و… در این موج مورد توجه نبودند. با این حال حتی در همان اوایل دهه ۸۰، افراد فنی که مسئول پیاده ‏سازی/ اجرای امنیت اطلاعات بودند، به این موضوع پی بردند که در برخی از مواقع مدیریت می‏تواند نقش قابل‏ توجهی در این حوزه داشته باشد. با این وجود، امنیت اطلاعات یک مسئله/ موضوع کاملا فنی بود که به‏ طورکامل به افراد فنی تخصیص داده شده ‏بود.

 ۳- موج دوم- مدیریتی

توسعه رایانش توزیع ‏شده ، اینترنت، شبکه جهانی اطلاعات/ وب و تجارت ‏الکترونیکی ازجمله عواملی بودند که دریچه‌ه‏ای جدید نسبت به موضوع امنیت اطلاعات باز کردند. در این موج، مدیر ارشد/ سطح بالا درگیر مسائل امنیتی شده و مسائل مطرح در امنیت اطلاعات به‏ طور چشمگیری افزایش یافت. خط‏ مشی‏های امنیت اطلاعات، مدیران امنیت اطلاعات و ساختارهای سازمانی برای امنیت اطلاعات به‏‌عنوان مسائل مهم در این موج مورد توجه قرار گرفتند. نتایج حاصل از این موج به موازات موج فنی آن بود که خواسته‏‌ های مدیران در امنیت اطلاعات محور اصلی قرار گرفت و در نهایت مدیران امنیت اطلاعات منصوب شدند. سپس این مدیران منصوب شده نسبت به تهیه پیش‏نویس خط‏ مشی‏ها، رویه‏ ها و ارائه گزارش‏ به مدیران سطح

بالا از طریق ساختارهای سازمان‏ یافته اقدام کردند و این به طور کلی موجب اصلاح امنیت اطلاعات شد. پس از مدتی نیازهای جدیدی توسط سازمانها احساس شد نسبت به اینکه:

۱- امنیت اطلاعات آنها چقدر خوب است؟

۲- چگونه می‏توان امنیت سازمان را با دیگر سازمان‏ها مقایسه کرد؟ و

۳- بعد انسانی امنیت اطلاعات همچنان می‌تواند به‏‌عنوان مشکلی بزرگ باقی ماند. این‏ نیازها به همراه دو موج اول و دوم، موج سوم را تشکیل دادند.

از جمله نمودهای این موج می‏توان به شکل‌گیری استاندارد ISO/IEC 27001 اشاره نمود که یک استاندارد معروف در حوزه مدیریت امنیت اطلاعات است. در واقع، اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نامBS 7799 ارائه شده‏است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به‏صورت جداگانه منتشر شده‏اند:

• بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال ۱۹۹۵ منتشر شد. این استاندارد در سال ۱۹۹۸ بازنویسی شده و در سال ۲۰۰۰ تحت‏ نظر مؤسسه بین‏ المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور “فناوری اطلاعات-رهنمودهایی برای مدیریت امنیت اطلاعات” است که در سال ۲۰۰۵ بازنگری شده و سرانجام در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 براساس آن در جولای ۲۰۰۷ عرضه شد. نسخه اصلاح شده این استاندارد نیز در سال ۲۰۱۳ منتشر شده است.
• بخش دوم BS 7799 برای اولین بار در سال ۱۹۹۹ توسط BSI با عنوان “سیستم‏های مدیریت امنیت اطلاعات-مشخصات با راهنمایی برای استفاده” ارائه شد و تمرکز آن بر روی پیاده‏‌سازی سیستم‏های مدیریت امنیت اطلاعات‏(ISMS) بود. نسخه دوم استاندارد BS 7799-2 که در سال ۲۰۰۲ ارائه شد یک مدل جدید به‌‏نام برنامه- اجرا- کنترل- عمل (PDCA)را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. براساس خط‏ مشی‏ها و ساختارهای مدیریت امنیت اطلاعات ارائه‏ شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال ۲۰۰۵ منتشر شد و در سال ۲۰۱۳ مورد بازنگری قرار گرفت.
• بخش سوم BS 7799 در سال ۲۰۰۵، با موضوع تحلیل و مدیریت مخاطره‏ها منتشر شد. این بخش همچنین به عنوان یک استاندارد بین‌المللی درسال ۲۰۰۵ و در قالب استانداردISO/IEC 27005 ارائه شد.

نسخه‌های توسعه یافته این استاندارد نیز توسط ایزو در سال های ۲۰۱۳ و ۲۰۱۸ منتشر شده است. در واقع، سازمان می‏تواند با استفاده از این استاندارد مخاطره‌‏های که متوجه امنیت اطلاعات است را شناسایی و ارزیابی نموده و کنترل‏های مناسبی جهت حفظ محرمانگی، صحت و دردسترس ‏بودن این سرمایه ‏های مهم اتخاذ نماید.

سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش دوم

عضویت در خبرنامه

Start typing to see posts you are looking for.

برای آگاهی از آخرین مطالب، اخبار آسیب‌پذیری و رویدادهای تخصصی، آدرس ایمیل و شماره موبایل خود را وارد نمایید.

دانلود کاتالوگ