امنیت اطلاعات

سیر تکامل امنیت اطلاعات : موج های چهارگانه - بخش اول

سیر تکامل امنیت  اطلاعات

 چکیده: هدف این مقاله، آشنایی متخصصان و محققان حوزه امنیت اطلاعات با سیر تکامل زمانی امنیت اطلاعات تاکنون در قالب چهار موج مفهومی آن است. در حالی که در موج اول- فنی تمرکز بر حفظ امنیت اطلاعات از طریق ابزارهای فنی بود، با کمی تأخیر توجه به نقش مدیریت سازمانی مورد توجه قرار گرفت و مبتنی بر آن موج دوم- مدیریتی ایجاد شد. پس از آن در موج سوم- نهادینه سازی، توجه به به روش‌ها و رهنمودها، گواهینامه‌ها، فرهنگ و ارزیابی دائمی و پویای امنیت اطلاعات در سازمان مورد توجه قرار گرفت. در انتها نیز در موج چهارم- حاکمیت امنیت اطلاعات، رویکرد بالا به پایینی در سازمان مبتنی تأثیر حاکمیت سازمانی بر امنیت اطلاعات از طریق ایجاد تعهد هیئت مدیره و مدیران سازمان، ایجاد ساختار سازمانی مناسب، ایجاد راهبردهای آگاهی‌رسانی مناسب و پشتیبانی از طریق خط‏ مشی‏های ضروری، رویه ‏ها، فرآیندها، فناوری‏ها و سازوکارهای پیروی از قوانین مورد توجه قرار گرفت.

1- مقدمه
با پررنگ‏تر شدن نقش اطلاعات و ميزان اهميت اطلاعات براي سازمان‌های مختلف رفته‌رفته موضوع امنيت اطلاعات و لزوم دستيابی به يک سيستم مديريت امنيت اطلاعات اهميت بيشتری يافت. تا جایی که توسعه امنیت اطلاعات در طول 50 سال اخیر، به‏ شکل‎های مختلفی نمود پیدا کرده‏ است. یکی از این اشکال، بیانگر سیر تکامل و پیشرفت‏ امنیت اطلاعات در چهار موج فنی، مدیریتی، نهادینه ‏سازی و حاکمیت امنیت اطلاعات است. سیر تکاملی امنیت اطلاعات در شکل 1 به تصویر کشیده شده‏ است.
• تا اوایل دهه 80، موج اول به‏‌عنوان "موج فنی" شناخته می‏شد و به‏ طورعمده یک رویکرد فنی جهت تأمین امنیت اطلاعات را مورد توجه قرار داده بود.
• از اوایل دهه 80 تا اواسط دهه 90، موج دوم به‏‌عنوان "موج مدیریتی" شناخته می‏شد. درگیرشدن مدیریت در مسائل امنیتی و اهمیت نقش مدیریت در امنیت اطلاعات، تکمیل‏ کننده موج فنی بود. این موج تا اواخر دهه 90 به موازات موج فنی پیش رفت و زمینه ایجاد موج سوم فراهم گیرد.
• از سال‏های پس از دهه 90، موج سوم به‏‌عنوان "موج نهادینه‏ سازی" ایجاد شد. این موج توسط جنبه‏ هایی از جمله توجه به ‏روش‏ها ، رهنمودهایی‏ برای مدیریت امنیت اطلاعات، گواهینامه بین‏ المللی امنیت اطلاعات، ترویج امنیت اطلاعات به‏‌عنوان یک فرهنگ سازمانی، و سنجش پویا و مستمر امنیت اطلاعات مشخص شده است.
• از اواخر دهه اول قرن 21، موج چهارم به‏‌عنوان "موج حاکمیت امنیت اطلاعات" ایجاد شد. این موج بازتابی از توسعه حاکمیت امنیت اطلاعات است و به‏‌عنوان نتیجه‏ ای حاصل از تأکید بر حاکمیت سازمانی مناسب مطرح شده ‏است.
در ادامه، مرور اجمالی بر سیر تکاملی امنیت اطلاعات در طول دهه ‏های مختلف (شکل 1) و در قالب چهار موج فنی، مدیریتی، نهادینه‏ سازی و حاکمیت امنیت اطلاعات خواهیم داشت.


سیر تکاملی امنیت اطلاعاتشکل 1: شکل سیر تکاملی امنیت اطلاعات


2- موج اول- فنی


این موج، به‏ طورعمده بر مین‏فریم‌ها/ پردازنده‌های مرکزی استوار بود. در این موج، سعی می‌شد تا امنیت اطلاعات با استفاده از امکانات موجود در رایانه‏ ها ( مانند فهرست‏های کنترل‏ دسترسی، شناسه ‏های‏ کاربر و کلمه ‏های‏ عبور) در سیستم‏های‏ عامل پردازنده مرکزی آدرس‏ دهی شود. مسائلی از جمله خط‏ مشی‏های امنیت اطلاعات، آگاهی‏ از وضعیت امنیت اطلاعات کاربران و... در این موج مورد توجه نبودند. با این حال حتی در همان اوایل دهه 80، افراد فنی که مسئول پیاده ‏سازی/ اجرای امنیت اطلاعات بودند، به این موضوع پی بردند که در برخی از مواقع مدیریت می‏تواند نقش قابل‏ توجهی در این حوزه داشته باشد. با این وجود، امنیت اطلاعات یک مسئله/ موضوع کاملا فنی بود که به‏ طورکامل به افراد فنی تخصیص داده شده ‏بود.

 3- موج دوم- مدیریتی


توسعه رایانش توزیع ‏شده ، اینترنت، شبکه جهانی اطلاعات/ وب و تجارت ‏الکترونیکی ازجمله عواملی بودند که دریچه‌ه‏ای جدید نسبت به موضوع امنیت اطلاعات باز کردند. در این موج، مدیر ارشد/ سطح بالا درگیر مسائل امنیتی شده و مسائل مطرح در امنیت اطلاعات به‏ طور چشمگیری افزایش یافت. خط‏ مشی‏های امنیت اطلاعات، مدیران امنیت اطلاعات و ساختارهای سازمانی برای امنیت اطلاعات به‏‌عنوان مسائل مهم در این موج مورد توجه قرار گرفتند. نتایج حاصل از این موج به موازات موج فنی آن بود که خواسته‏‌ های مدیران در امنیت اطلاعات محور اصلی قرار گرفت و در نهایت مدیران امنیت اطلاعات منصوب شدند. سپس این مدیران منصوب شده نسبت به تهیه پیش‏نویس خط‏ مشی‏ها، رویه‏ ها و ارائه گزارش‏ به مدیران سطح

بالا از طریق ساختارهای سازمان‏ یافته اقدام کردند و این به طور کلی موجب اصلاح امنیت اطلاعات شد. پس از مدتی نیازهای جدیدی توسط سازمانها احساس شد نسبت به اینکه:

1- امنیت اطلاعات آنها چقدر خوب است؟

2- چگونه می‏توان امنیت سازمان را با دیگر سازمان‏ها مقایسه کرد؟ و

3- بعد انسانی امنیت اطلاعات همچنان می‌تواند به‏‌عنوان مشکلی بزرگ باقی ماند. این‏ نیازها به همراه دو موج اول و دوم، موج سوم را تشکیل دادند.


از جمله نمودهای این موج می‏توان به شکل‌گیری استاندارد ISO/IEC 27001 اشاره نمود که یک استاندارد معروف در حوزه مدیریت امنیت اطلاعات است. در واقع، اولین استاندارد مدیریت امنیت اطلاعات توسط مؤسسه استانداردهای انگلستان (BSI) و با نامBS 7799 ارائه شده‏است. این استاندارد توسط دپارتمان دولتی تجارت و صنعت انگلستان (DTI) نوشته شده و دارای چندین بخش است که به‏صورت جداگانه منتشر شده‏اند:


• بخش اول استاندارد مذکور که در رابطه با مدیریت امنیت اطلاعات است، در سال 1995 منتشر شد. این استاندارد در سال 1998 بازنویسی شده و در سال 2000 تحت‏ نظر مؤسسه بین‏ المللی استاندارد (ISO) با نام ISO/IEC 17799 ارائه شد. عنوان کامل استاندارد مذکور "فناوری اطلاعات-رهنمودهایی برای مدیریت امنیت اطلاعات" است که در سال 2005 بازنگری شده و سرانجام در زیر گروه استانداردهای امنیتی ISO 27000 قرار گرفت و استاندارد ISO/IEC 27002 براساس آن در جولای 2007 عرضه شد. نسخه اصلاح شده این استاندارد نیز در سال 2013 منتشر شده است.
• بخش دوم BS 7799 برای اولین بار در سال 1999 توسط BSI با عنوان "سیستم‏های مدیریت امنیت اطلاعات-مشخصات با راهنمایی برای استفاده" ارائه شد و تمرکز آن بر روی پیاده‏‌سازی سیستم‏های مدیریت امنیت اطلاعات‏(ISMS) بود. نسخه دوم استاندارد BS 7799-2 که در سال 2002 ارائه شد یک مدل جدید به‌‏نام برنامه- اجرا- کنترل- عمل (PDCA)را معرفی کرد که در رابطه با تضمین کیفیت ارائه شد. ارائه مدل PDCA استاندارد مذکور را به استانداردهای کیفیتی ISO 9000 نزدیک کرد. براساس خط‏ مشی‏ها و ساختارهای مدیریت امنیت اطلاعات ارائه‏ شده در دو نسخه مذکور، استاندارد ISO/IEC 27001 در نوامبر سال 2005 منتشر شد و در سال 2013 مورد بازنگری قرار گرفت.
• بخش سوم BS 7799 در سال 2005، با موضوع تحلیل و مدیریت مخاطره‏ها منتشر شد. این بخش همچنین به عنوان یک استاندارد بین‌المللی درسال 2005 و در قالب استانداردISO/IEC 27005 ارائه شد.

نسخه‌های توسعه یافته این استاندارد نیز توسط ایزو در سال های 2013 و 2018 منتشر شده است. در واقع، سازمان می‏تواند با استفاده از این استاندارد مخاطره‌‏های که متوجه امنیت اطلاعات است را شناسایی و ارزیابی نموده و کنترل‏های مناسبی جهت حفظ محرمانگی، صحت و دردسترس ‏بودن این سرمایه ‏های مهم اتخاذ نماید.

سیر تکامل امنیت اطلاعات : موج های چهارگانه - بخش دوم


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
امنیت اطلاعات

هوش تهدید[1] اطلاعاتی است که از جمع‌آوری، پردازش و تحلیل داده

امنیت اطلاعات

شرکت‌ها باید سیاست‌هایی مستند شده برای محافظت از اطلاعات محرمانه کلاینت‌های خ

امنیت اطلاعات

 هشدار مایکروسافت به کاربران ویندوز 10 برای مراقبت در مقابل تهدیدهای جدیدی که ر

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search

>