سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش اول

 چکیده: هدف این مقاله، آشنایی متخصصان و محققان حوزه امنیت اطلاعات با سیر تکامل زمانی امنیت اطلاعات تاکنون در قالب چهار موج مفهومی آن است. در حالی که در موج اول- فنی تمرکز بر حفظ امنیت اطلاعات از طریق ابزارهای فنی بود، با کمی تأخیر توجه به نقش مدیریت سازمانی مورد توجه قرار گرفت و مبتنی بر آن موج دوم- مدیریتی ایجاد شد. پس از آن در موج سوم- نهادینه سازی، توجه به به روش‌ها و رهنمودها، گواهینامه‌ها، فرهنگ و ارزیابی دائمی و پویای امنیت اطلاعات در سازمان مورد توجه قرار گرفت. در انتها نیز در موج چهارم- حاکمیت امنیت اطلاعات، رویکرد بالا به پایینی در سازمان مبتنی تأثیر حاکمیت سازمانی بر امنیت اطلاعات از طریق ایجاد تعهد هیئت مدیره و مدیران سازمان، ایجاد ساختار سازمانی مناسب، ایجاد راهبردهای آگاهی‌رسانی مناسب و پشتیبانی از طریق خط‏ مشی‏های ضروری، رویه ‏ها، فرآیندها، فناوری‏ها و سازوکارهای پیروی از قوانین مورد توجه قرار گرفت.

۱- مقدمه
با پررنگ‏تر شدن نقش اطلاعات و میزان اهمیت اطلاعات برای سازمان‌های مختلف رفته‌رفته موضوع امنیت اطلاعات و لزوم دستیابی به یک سیستم مدیریت امنیت اطلاعات اهمیت بیشتری یافت. تا جایی که توسعه امنیت اطلاعات در طول ۵۰ سال اخیر، به‏ شکل‎های مختلفی نمود پیدا کرده‏ است. یکی از این اشکال، بیانگر سیر تکامل و پیشرفت‏ امنیت اطلاعات در چهار موج فنی، مدیریتی، نهادینه ‏سازی و حاکمیت امنیت اطلاعات است. سیر تکاملی امنیت اطلاعات در شکل ۱ به تصویر کشیده شده‏ است.
• تا اوایل دهه ۸۰، موج اول به‏‌عنوان “موج فنی” شناخته می‏شد و به‏ طورعمده یک رویکرد فنی جهت تأمین امنیت اطلاعات را مورد توجه قرار داده بود.
• از اوایل دهه ۸۰ تا اواسط دهه ۹۰، موج دوم به‏‌عنوان “موج مدیریتی” شناخته می‏شد. درگیرشدن مدیریت در مسائل امنیتی و اهمیت نقش مدیریت در امنیت اطلاعات، تکمیل‏ کننده موج فنی بود. این موج تا اواخر دهه ۹۰ به موازات موج فنی پیش رفت و زمینه ایجاد موج سوم فراهم گیرد.
• از سال‏های پس از دهه ۹۰، موج سوم به‏‌عنوان “موج نهادینه‏ سازی” ایجاد شد. این موج توسط جنبه‏ هایی از جمله توجه به ‏روش‏ها ، رهنمودهایی‏ برای مدیریت امنیت اطلاعات، گواهینامه بین‏ المللی امنیت اطلاعات، ترویج امنیت اطلاعات به‏‌عنوان یک فرهنگ سازمانی، و سنجش پویا و مستمر امنیت اطلاعات مشخص شده است.
• از اواخر دهه اول قرن ۲۱، موج چهارم به‏‌عنوان “موج حاکمیت امنیت اطلاعات” ایجاد شد. این موج بازتابی از توسعه حاکمیت امنیت اطلاعات است و به‏‌عنوان نتیجه‏ ای حاصل از تأکید بر حاکمیت سازمانی مناسب مطرح شده ‏است.
در ادامه، مرور اجمالی بر سیر تکاملی امنیت اطلاعات در طول دهه ‏های مختلف (شکل ۱) و در قالب چهار موج فنی، مدیریتی، نهادینه‏ سازی و حاکمیت امنیت اطلاعات خواهیم داشت.

سیر تکاملی امنیت اطلاعاتشکل ۱: شکل سیر تکاملی امنیت اطلاعات

۲- موج اول- فنی

این موج، به‏ طورعمده بر مین‏فریم‌ها/ پردازنده‌های مرکزی استوار بود. در این موج، سعی می‌شد تا امنیت اطلاعات با استفاده از امکانات موجود در رایانه‏ ها ( مانند فهرست‏های کنترل‏ دسترسی، شناسه ‏های‏ کاربر و کلمه ‏های‏ عبور) در سیستم‏های‏ عامل پردازنده مرکزی آدرس‏ دهی شود. مسائلی از جمله خط‏ مشی‏های امنیت اطلاعات، آگاهی‏ از وضعیت امنیت اطلاعات کاربران و… در این موج مورد توجه نبودند. با این حال حتی در همان اوایل دهه ۸۰، افراد فنی که مسئول پیاده ‏سازی/ اجرای امنیت اطلاعات بودند، به این موضوع پی بردند که در برخی از مواقع مدیریت می‏تواند نقش قابل‏ توجهی در این حوزه داشته باشد. با این وجود، امنیت اطلاعات یک مسئله/ موضوع کاملا فنی بود که به‏ طورکامل به افراد فنی تخصیص داده شده ‏بود.

 ۳- موج دوم- مدیریتی

توسعه رایانش توزیع ‏شده ، اینترنت، شبکه جهانی اطلاعات/ وب و تجارت ‏الکترونیکی ازجمله عواملی بودند که دریچه‌ه‏ای جدید نسبت به موضوع امنیت اطلاعات باز کردند. در این موج، مدیر ارشد/ سطح بالا درگیر مسائل امنیتی شده و مسائل مطرح در امنیت اطلاعات به‏ طور چشمگیری افزایش یافت. خط‏ مشی‏های امنیت اطلاعات، مدیران امنیت اطلاعات و ساختارهای سازمانی برای امنیت اطلاعات به‏‌عنوان مسائل مهم در این موج مورد توجه قرار گرفتند. نتایج حاصل از این موج به موازات موج فنی آن بود که خواسته‏‌ های مدیران در امنیت اطلاعات محور اصلی قرار گرفت و در نهایت مدیران امنیت اطلاعات منصوب شدند. سپس این مدیران منصوب شده نسبت به تهیه پیش‏نویس خط‏ مشی‏ها، رویه‏ ها و ارائه گزارش‏ به مدیران سطح

بالا از طریق ساختارهای سازمان‏ یافته اقدام کردند و این به طور کلی موجب اصلاح امنیت اطلاعات شد. پس از مدتی نیازهای جدیدی توسط سازمانها احساس شد نسبت به اینکه:

۱- امنیت اطلاعات آنها چقدر خوب است؟

۲- چگونه می‏توان امنیت سازمان را با دیگر سازمان‏ها مقایسه کرد؟ و

۳- بعد انسانی امنیت اطلاعات همچنان می‌تواند به‏‌عنوان مشکلی بزرگ باقی ماند. این‏ نیازها به همراه دو موج اول و دوم، موج سوم را تشکیل دادند.

از جمله نمودهای این موج می‏توان به شکل‌گیری استاندارد ISO/IEC 27001 اشاره نمود که یک استاندارد معروف در حوزه مدیریت امنیت اطلاعات است. در واقع، اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نامBS 7799 ارائه شده‏است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به‏صورت جداگانه منتشر شده‏اند:

• بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال ۱۹۹۵ منتشر شد. این استاندارد در سال ۱۹۹۸ بازنویسی شده و در سال ۲۰۰۰ تحت‏ نظر مؤسسه بین‏ المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور “فناوری اطلاعات-رهنمودهایی برای مدیریت امنیت اطلاعات” است که در سال ۲۰۰۵ بازنگری شده و سرانجام در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 براساس آن در جولای ۲۰۰۷ عرضه شد. نسخه اصلاح شده این استاندارد نیز در سال ۲۰۱۳ منتشر شده است.
• بخش دوم BS 7799 برای اولین بار در سال ۱۹۹۹ توسط BSI با عنوان “سیستم‏های مدیریت امنیت اطلاعات-مشخصات با راهنمایی برای استفاده” ارائه شد و تمرکز آن بر روی پیاده‏‌سازی سیستم‏های مدیریت امنیت اطلاعات‏(ISMS) بود. نسخه دوم استاندارد BS 7799-2 که در سال ۲۰۰۲ ارائه شد یک مدل جدید به‌‏نام برنامه- اجرا- کنترل- عمل (PDCA)را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. براساس خط‏ مشی‏ها و ساختارهای مدیریت امنیت اطلاعات ارائه‏ شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال ۲۰۰۵ منتشر شد و در سال ۲۰۱۳ مورد بازنگری قرار گرفت.
• بخش سوم BS 7799 در سال ۲۰۰۵، با موضوع تحلیل و مدیریت مخاطره‏ها منتشر شد. این بخش همچنین به عنوان یک استاندارد بین‌المللی درسال ۲۰۰۵ و در قالب استانداردISO/IEC 27005 ارائه شد.

نسخه‌های توسعه یافته این استاندارد نیز توسط ایزو در سال های ۲۰۱۳ و ۲۰۱۸ منتشر شده است. در واقع، سازمان می‏تواند با استفاده از این استاندارد مخاطره‌‏های که متوجه امنیت اطلاعات است را شناسایی و ارزیابی نموده و کنترل‏های مناسبی جهت حفظ محرمانگی، صحت و دردسترس ‏بودن این سرمایه ‏های مهم اتخاذ نماید.

سیر تکامل امنیت اطلاعات : موج های چهارگانه – بخش دوم

ایمیل خود را وارد کنید و عضو خبرنامه شوید.

محصولات شرکت

سامانه مدیریت یکپارچه تهدیدات
سامانه مرورگر امن (RBI)
سامانه مدیریت وقایع و امنیت اطلاعات

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.