O modelo CNSS (Instituto Nacional de Padrões e Tecnologia e Agência de Segurança Nacional) para segurança da informação, especificamente a estrutura apresentada na publicação especial do NIST 800-53, não é organizada de maneira estritamente hierárquica ou linear, como alguns outros modelos. Em vez disso, está organizado em torno de um conjunto de controles de segurança Categorizado por Funções de segurança e mapeado para diferentes domínios de segurança . Pense nisso como uma matriz multidimensional, em vez de uma simples pirâmide.

Aqui está um colapso de seus principais elementos organizacionais:

* Controles de segurança: Essas são as ações, mecanismos e procedimentos específicos usados ​​para atingir os objetivos de segurança. Eles são o núcleo da estrutura. Esses controles são agrupados em famílias com base em sua função (por exemplo, controle de acesso, auditoria, criptografia).

* Funções de segurança: Estes são agrupamentos de nível mais alto de controles de segurança. Eles representam os objetivos e objetivos de segurança abrangentes. Exemplos incluem:
* Identificação e autenticação: Verificando a identidade de usuários e sistemas.
* Controle de acesso: Gerenciando quem pode acessar quais recursos.
* Auditoria: Rastreando eventos relevantes para a segurança.
* Integridade do sistema e da informação: Mantendo a precisão e a integridade dos dados.
* Treinamento de conscientização sobre segurança: Educar os usuários sobre as melhores práticas de segurança.
* Resposta de incidentes: Manuseio de incidentes de segurança.


* Domínios de segurança: Estes não são explicitamente definidos como níveis rigidamente estruturados, mas representam áreas de uma organização em que os controles de segurança precisam ser implementados. Eles podem ser adaptados à estrutura e às necessidades de uma organização específica. Exemplos incluem:
* Segurança de rede: Protegendo a infraestrutura de rede.
* Segurança do aplicativo: Proteção de aplicativos de software.
* Segurança do banco de dados: Proteção de bancos de dados.
* Segurança física: Proteger ativos físicos.
* Segurança do pessoal: Gerenciando o acesso e verificações de antecedentes para os funcionários.

Como eles se relacionam: Um domínio de segurança (por exemplo, segurança de rede) requer a implementação de vários controles de segurança categorizados sob diferentes funções de segurança (por exemplo, controle de acesso, detecção de intrusões, criptografia). Os controles específicos selecionados dependem dos objetivos de avaliação de risco e segurança da organização para esse domínio.

em resumo: O modelo CNSS não é uma hierarquia simples, mas uma estrutura abrangente que categoriza os controles de segurança por função e permite a adaptação para vários domínios organizacionais. Ele prioriza uma abordagem abrangente para a segurança, em vez de uma única estrutura linear. O foco é a seleção de controles apropriados com base em uma abordagem baseada em risco.