Πώς οργανώνεται το μοντέλο CNSS για την ασφάλεια των πληροφοριών;

Το μοντέλο CNSS (Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας και Εθνικής Ασφάλειας) για την ασφάλεια των πληροφοριών, συγκεκριμένα το πλαίσιο που παρουσιάζεται στο NIST Special Publication 800-53, δεν οργανώνεται με αυστηρά ιεραρχικό ή γραμμικό τρόπο όπως κάποια άλλα μοντέλα. Αντ 'αυτού, οργανώνεται γύρω από ένα σύνολο ελέγχων ασφαλείας Κατηγοριοποιήθηκε από Λειτουργίες ασφαλείας και χαρτογραφείται σε διαφορετικούς τομείς ασφαλείας . Σκεφτείτε το ως μια πολυδιάστατη μήτρα και όχι ως απλή πυραμίδα.

Ακολουθεί μια ανάλυση των βασικών οργανωτικών στοιχείων του:

* Έλεγχοι ασφαλείας: Αυτές είναι οι συγκεκριμένες ενέργειες, μηχανισμοί και διαδικασίες που χρησιμοποιούνται για την επίτευξη στόχων ασφαλείας. Είναι ο πυρήνας του πλαισίου. Αυτοί οι έλεγχοι ομαδοποιούνται σε οικογένειες με βάση τη λειτουργία τους (π.χ. έλεγχος πρόσβασης, έλεγχος, κρυπτογραφία).

* Λειτουργίες ασφαλείας: Αυτές είναι ομαδοποιήσεις υψηλότερου επιπέδου ελέγχων ασφαλείας. Αντιπροσωπεύουν τους πρωταρχικούς στόχους και στόχους ασφαλείας. Παραδείγματα περιλαμβάνουν:

* Αναγνώριση και έλεγχος ταυτότητας: Επαλήθευση της ταυτότητας των χρηστών και των συστημάτων.

* Έλεγχος πρόσβασης: Διαχείριση ποιος μπορεί να έχει πρόσβαση σε ποιους πόρους.

* Έλεγχος: Παρακολούθηση εκδηλώσεων σχετικά με την ασφάλεια.

* Ακεραιότητα συστήματος και πληροφοριών: Διατήρηση της ακρίβειας και της πληρότητας των δεδομένων.

* Εκπαίδευση ευαισθητοποίησης ασφαλείας: Εκπαιδεύοντας τους χρήστες σχετικά με τις βέλτιστες πρακτικές ασφαλείας.

* Απόκριση περιστατικών: Χειρισμός περιστατικών ασφαλείας.

* τομείς ασφαλείας: Αυτά δεν καθορίζονται ρητά ως αυστηρά δομημένα επίπεδα, αλλά αντιπροσωπεύουν περιοχές ενός οργανισμού όπου πρέπει να εφαρμοστούν οι έλεγχοι ασφαλείας. Μπορούν να προσαρμοστούν σε δομή και ανάγκες ενός συγκεκριμένου οργανισμού. Παραδείγματα περιλαμβάνουν:

* Ασφάλεια δικτύου: Προστασία της υποδομής δικτύου.

* Ασφάλεια εφαρμογών: Προστασία εφαρμογών λογισμικού.

* Ασφάλεια βάσεων δεδομένων: Προστασία βάσεων δεδομένων.

* Φυσική ασφάλεια: Προστασία των φυσικών περιουσιακών στοιχείων.

* Ασφάλεια προσωπικού: Διαχείριση πρόσβασης και ελέγχων ιστορικού για τους υπαλλήλους.

Πώς σχετίζονται: Ένας τομέας ασφαλείας (π.χ. ασφάλεια δικτύου) απαιτεί την εφαρμογή διαφόρων ελέγχων ασφαλείας που ταξινομούνται υπό διαφορετικές λειτουργίες ασφαλείας (π.χ. έλεγχος πρόσβασης, ανίχνευση εισβολής, κρυπτογραφία). Οι ειδικοί έλεγχοι που επιλέγονται εξαρτώνται από τους στόχους αξιολόγησης κινδύνου και ασφάλειας του οργανισμού για αυτόν τον τομέα.

Συνοπτικά: Το μοντέλο CNSS δεν είναι μια απλή ιεραρχία, αλλά ένα ολοκληρωμένο πλαίσιο που κατηγοριοποιεί τους ελέγχους ασφαλείας κατά τη λειτουργία και επιτρέπει την προσαρμογή σε διάφορους οργανωτικούς τομείς. Δίνει προτεραιότητα σε μια ολοκληρωμένη προσέγγιση της ασφάλειας και όχι μιας ενιαίας γραμμικής δομής. Η εστίαση είναι στην επιλογή κατάλληλων ελέγχων βάσει μιας προσέγγισης που βασίζεται σε κίνδυνο.