CNSS (National Institute of Standards and Technology and National Security Agency) för informationssäkerhet, särskilt ramverket som presenteras i NIST Special Publication 800-53, är inte organiserad på ett strikt hierarkiskt eller linjärt sätt som vissa andra modeller. Istället är det organiserat kring en uppsättning
säkerhetskontroller Kategoriserad av
säkerhetsfunktioner och mappas till olika
säkerhetsdomäner . Tänk på det som en flerdimensionell matris snarare än en enkel pyramid.
Här är en uppdelning av dess viktigaste organisatoriska element:
* Säkerhetskontroller: Dessa är de specifika åtgärder, mekanismer och förfaranden som används för att uppnå säkerhetsmål. De är kärnan i ramverket. Dessa kontroller grupperas i familjer baserat på deras funktion (t.ex. åtkomstkontroll, revision, kryptografi).
* Säkerhetsfunktioner: Dessa är grupper på högre nivå av säkerhetskontroller. De representerar de övergripande säkerhetsmålen och målen. Exempel inkluderar:
* Identifiering och autentisering: Verifiera identiteten hos användare och system.
* Åtkomstkontroll: Hantera vem som kan komma åt vilka resurser.
* Revision: Spåra säkerhetsrelaterade evenemang.
* System och informationsintegritet: Att upprätthålla noggrannheten och fullständigheten av data.
* Säkerhetsmedvetenhetsutbildning: Utbilda användare om bästa praxis för säkerhet.
* Incident Response: Hantering av säkerhetsincidenter.
* Säkerhetsdomäner: Dessa definieras inte uttryckligen som styva strukturerade nivåer, utan representerar snarare områden i en organisation där säkerhetskontroller måste implementeras. De kan anpassas efter en specifik organisations struktur och behov. Exempel inkluderar:
* Nätverkssäkerhet: Skydda nätverksinfrastruktur.
* Applikationssäkerhet: Skydda programvaruapplikationer.
* Databasesäkerhet: Skydda databaser.
* Fysisk säkerhet: Skydda fysiska tillgångar.
* personalsäkerhet: Hantera åtkomst och bakgrundskontroller för anställda.
Hur de relaterar: En säkerhetsdomän (t.ex. nätverkssäkerhet) kräver implementering av olika säkerhetskontroller kategoriserade under olika säkerhetsfunktioner (t.ex. åtkomstkontroll, intrångsdetektering, kryptografi). De specifika kontrollerna som valts beror på organisationens riskbedömning och säkerhetsmål för den domänen.
Sammanfattningsvis: CNSS -modellen är inte en enkel hierarki utan en omfattande ram som kategoriserar säkerhetskontroller efter funktion och gör det möjligt att skräddarsy till olika organisatoriska domäner. Den prioriterar en omfattande strategi för säkerhet snarare än en enda linjär struktur. Fokus ligger på att välja lämpliga kontroller baserat på ett riskbaserat tillvägagångssätt.
