Nella tua prima domanda hai perfettamente ragione a sapere che i controlli di sicurezza possono essere categorizzati in molti modi diversi e che un particolare controllo di sicurezza potrebbe rientrare in molte di queste categorie.
Non esiste un insieme assoluto di categorie universalmente accettate, alcune sono vecchie categorizzazioni che avevano senso negli anni '90 e 2000 e le nuove categorizzazioni si sono evolute per affrontare le attuali strategie di difesa contro le minacce. L'articolo di Wikipedia sui Controlli di sicurezza elenca due schemi di categorizzazione: {Fisico, Procedurale, Tecnico, Legale} e {Persone, Tecnologia, operazioni}. Il manuale IS mostra un altro set {Admin, Logical, Physical}. E puoi trovare su Google ulteriori opinioni su come classificare i controlli di sicurezza.
Suggerirei comunque di non rimanere troppo attaccati alle categorie di controllo di sicurezza. Sono di livello troppo alto e non molto utili nella progettazione e nello sviluppo effettivi di una soluzione di sicurezza per un particolare sistema. Il loro aiuto è nel ricordare a te (il professionista della sicurezza) che i controlli di sicurezza sono più che tecnici .
Una buona soluzione di sicurezza che raggiunge un livello accettabile di rischio residuo è quella che presenta una varietà di controlli sovrapposti, che attingono dalle intuizioni di sicurezza in corso da parte di umani di talento e da procedure operative di routine (da quelle con meno talento) oltre a tecnologie di sicurezza. Tuttavia troppi professionisti della sicurezza si concentrano solo sugli ultimi giocattoli di sicurezza tecnica, ma dimenticano di chiudere la porta all'armadio della rete (per citare un esempio banale).
[Una nota a margine, se stai studiando per una credenziale professionale o una classe di sicurezza, non importa cosa potresti pensare altrimenti, per passare dovrai pappaggere la definizione di categorie di credenziali o classe e dove posizionano controlli di sicurezza all'interno di tali categorie.]
Per la tua seconda domanda di amplificazione, alcuni esempi di controlli di sicurezza nozionali che possono adattarsi a più classificazioni a cui posso pensare in testa:
- "Garantire che le porte alle sale delle apparecchiature informatiche siano bloccate": questo è sia gestionale / fisico (le serrature devono essere installate sulle porte), sia procedurale / operativo (un umano ha bisogno di controllare le serrature su una base continua in genere ogni giorno).
- "I registri di controllo degli eventi critici di sicurezza devono essere rivisti immediatamente": questo è sia tecnico (alcuni software o hardware devono generare tali registri) che procedurale / operativo (un umano ha bisogno di rivedere gli eventi e decidere un corso di azione).
- "Gli amministratori con accesso a server di database sensibili devono sottoporsi a controlli periodici di background": gestione (istituisce un'infrastruttura di sicurezza delle risorse umane e fondi / personale), procedurali / operativi (lo staff delle risorse umane deve periodicamente effettuare tali verifiche), i controlli di background vengono ora eseguiti tramite servizi online).
- "I router di confine devono essere configurati per eseguire Network Intrusion Detection": tecnico (l'hardware del router e il relativo software) e operativo / procedurale (qualcuno non deve solo configurare correttamente il router la prima volta, tale configurazione deve essere controllata periodicamente perché gli amministratori sfortunatamente apportano modifiche non documentate e non appropriate alla configurazione del router "al volo").
Sono sicuro che altri risponditori possono suggerire molti altri esempi.