Ako je usporiadaný model CNSS modelu informačnej bezpečnosti?

Model CNSS (Národný inštitút štandardov a technológií a národná bezpečnostná agentúra) pre bezpečnosť informácií, konkrétne rámec prezentovaný v NIST Special Publikácia 800-53, nie je organizovaný prísne hierarchickým alebo lineárnym spôsobom ako niektoré iné modely. Namiesto toho je organizovaný okolo sady bezpečnostných ovládacích prvkov kategorizované podľa bezpečnostných funkcií a mapované do rôznych bezpečnostných domén . Predstavte si to skôr ako viacrozmernú matricu ako na jednoduchú pyramídu.

Tu je rozpis jej kľúčových organizačných prvkov:

* Ovládanie bezpečnosti: Toto sú špecifické akcie, mechanizmy a postupy používané na dosiahnutie bezpečnostných cieľov. Sú jadrom rámca. Tieto ovládacie prvky sú zoskupené do rodín na základe ich funkcie (napr. Kontrola prístupu, audit, kryptografia).

* bezpečnostné funkcie: Ide o zoskupenia bezpečnostných kontrol na vyššej úrovni. Predstavujú zastrešujúce bezpečnostné ciele a ciele. Príklady zahŕňajú:

* Identifikácia a autentifikácia: Overenie identity používateľov a systémov.

* Ovládanie prístupu: Riadenie, kto má prístup k zdrojom.

* audit: Sledovanie udalostí relevantných na bezpečnosť.

* Integrita systému a informácií: Udržiavanie presnosti a úplnosti údajov.

* Tréning povedomia o bezpečnosti: Vzdelávanie používateľov o osvedčených postupoch zabezpečenia.

* Odpoveď incidentu: Riešenie bezpečnostných incidentov.

* bezpečnostné domény: Nie sú výslovne definované ako rigidne štruktúrované úrovne, ale skôr predstavujú oblasti organizácie, v ktorej je potrebné implementovať bezpečnostné kontroly. Môžu byť prispôsobené štruktúre a potrebám konkrétnej organizácie. Príklady zahŕňajú:

* Sieťová zabezpečenie: Ochrana sieťovej infraštruktúry.

* Zabezpečenie aplikácie: Ochrana softvérových aplikácií.

* Databázová zabezpečenie: Ochrana databáz.

* Fyzická bezpečnosť: Ochrana fyzického majetku.

* Personál Security: Správa prístupu a kontroly na pozadí pre zamestnancov.

Ako sa vzťahujú: Bezpečnostná doména (napr. Sieťová zabezpečenie) vyžaduje implementáciu rôznych bezpečnostných ovládacích prvkov kategorizovaných podľa rôznych bezpečnostných funkcií (napr. Kontrola prístupu, detekcia vniknutia, kryptografia). Vybrané špecifické ovládacie prvky závisia od cieľov hodnotenia rizika a bezpečnosti organizácie pre túto doménu.

v súhrne: Model CNSS nie je jednoduchou hierarchiou, ale komplexným rámcom, ktorý kategorizuje bezpečnostné ovládacie prvky podľa funkcie a umožňuje prispôsobenie rôznych organizačných domén. Uprednostňuje skôr komplexný prístup k bezpečnosti ako jednej lineárnej štruktúre. Zameriava sa na výber vhodných kontrol na základe prístupu založeného na riziku.

• Predchádzajúca strana: Musia byť všetky protokoly štandardné? 
• Ďalšia strana: Prečo by správca siete používal režim?