ringkasan iss
TRANSCRIPT
INTRODUCTION TO THE MANAGEMENT OF INFORMATION SECURITY 1st Meeting Security:
“Kualitas atau keadaan menjadi aman-bebas dari bahaya” menjadi aman adalah dilindungi dari musuh atau bahaya lain. Beberapa area spesialisasi keamanan :
Physical Security Strategi utk melindungi orang, aset fisik, dan tempat kerja dari berbagai ancaman. Operations Security Fokus pada mengamankan kemampuan organisasi utk menjalankan kegiatan
operasionalnya. Communications Security Perlindungan sebuah media komunikasi, teknologi, dan konten organisasi. Network Security Perlindungan alat data networking, koneksi dan konten sebuah organisasi.
Information Security (InfoSec):
“perlindungan informasi dan karakteristik kritis nya (confidentiality, integrity, dan availability), termasuk sistem dan hardware yang menggunakan, menyimpan, dan mengirimkan informasi melalui kebijakan aplikasi, pelatihan, dan program kepedulian dan teknologi. Figure 1-1. shows that InfoSec includes the broad area of InfoSec
management.
• KEY CONCEPTS OF INFORMATION SECURITY The CIA triangle, the basis of CNSS model of InfoSec. The CIA triangle didasarkan pada tiga karakteristik yang diinginkan dari informasi :
confidentiality, integrity and availability. The CIA triangle telah dikembangkan menjadi daftar yg lebih komprehensif tentang
karakteristik kritis dan proses, termasuk privacy, identifikasi, otentikasi, otorisasi, dan akuntabilitas.
• CNSS SECURITY MODEL
Committee on National Security Systems (CNSS) formerly known as the National Security Telecommunications and Information Systems Security Committee (NSTISSC).
The CNSS security model, also known as the McCumber Cube. Cepat menjadi standar untuk banyak aspek dari sistem keamanan informasi. Figure 1-2, CNSS security model, shows the three dimensions central to the discussion of
information security. 3 x 3 x 3 cube with 27 cells, setiap sel merupakan area persimpangan antara ketiga
dimensi yang harus diatasi untuk mengamankan sistem informasi. Tujuan utama dari model ini adalah untuk mengidentifikasi kesenjangan dalam cakupan
program keamanan informasi.
Confidentiality Karakteristik informasi dimana mrk yg hanya dengan cukup hak dan kebutuhan yang perlu dipenuhi dapat mengakses informasi tertentu.
Integrity Kualitas atau keadaan yang utuh, lengkap, dan tidak rusak. Integritas informasi terancam ketika terkena korupsi, kerusakan, kehancuran, atau gangguan lain dari keadaan aslinya.
Availability karakteristik informasi yang memungkinkan pengguna mengakses informasi dalam format yg berguna tanpa interfensi atau obstruksi.
Privacy informasi yg dikumpulkan, digunakan dan disimpan oleh sebuah organisasi ditujukan hanya utk tujuan yg dinyatakan oleh pemilik data pada saat dikumpulkan. Privacy berarti bahwa informasi akan digunakan hanya dalam cara yg diketahui oleh orang yg menyediakannya.
Identification Sistem informasi memiliki karakteristik identifikasi ketika mampu mengenali pengguna individu. (username atau ID lainnya)
Authentication terjadi ketika kontrol membuktikan bahwa pengguna memiliki identitas yg ia klaim.
Authorization Menjamin bahwa pengguna (orang atau komputer) telah secara khusus dan secara eksplisit disahkan oleh otoritas yang tepat untuk mengakses, memperbarui, atau menghapus isi dari aset informasi.
Accountability Informasi ada ketika kontrol memberikan jaminan bahwa setiap kegiatan yang dilakukan dapat dikaitkan dengan seseorang bernama atau proses otomatis. Management: Proses mencapai tujuan menggunakan seperangkat sumbe daya tertentu.
• BEHAVIORAL TYPES OF LEADERS There are three basic behavioral types of leaders:
The Autocratic: Menyimpan semua tanggun jawab pengambilan keputusan bagi diri mereka sendiri, dan jenis manajer
yg “lakukan apa yg saya katakan”. The Democratic:
biasanya mencari masukan dari semua pihak yang berkepentingan, meminta ide dan saran, dan kemudian merumuskan posisi yang dapat didukung oleh mayoritas. The Laissez-Faire: Sering hanya duduk dan membiarkan proses berjalan sebagaimana mestinya, hanya membuat sedikit keputusan to menghindari membawa proses pada perhentian sempurna.
• MANAGEMENT CHARACTERISTICS The two basic approaches to management are:
Traditional management theory, yg menggunakan prinsip utama planning, organizing, staffing, directing, and controlling (POSDC).
Popular management theory, yg mengkategorikan prinsip manajemen kedalam planning, organizing, leading and controlling (POLC)
Planning Proses mengembangkan, menciptakan, dan mengimplementasikan strategi utk mencapai objektif. There three level of planning are:
Strategic Planning Tactical Planning Operational Planning
Organizing Fungsi Manajemen yg didedikasikan untuk penataan sumber daya untuk mendukung pencapaian tujuan.
Leading Mendorong pelaksanaan fungsi perencanaan dan pengorganisasian. Ini termasuk mengawasi perilaku karyawan, kinerja, kehadiran, dan sikap. Controlling Pemantauan kemajuan penyelesaian, dan melakukan penyesuaian yang diperlukan untuk mencapai tujuan yang diinginkan. Secara umum, fungsi kontrol menjamin validitas organisasi dari rencana.
• SOLVING PROBLEMS Apakah masalah adalah profil rendah atau tinggi, proses dasar yang sama dapat digunakan untuk menyelesaikannya. Metodologi yang dijelaskan dalam langkah-langkah berikut dapat digunakan sebagai landasan dasar untuk menyelesaikan masalah operasional banyak.
Step 1: mengenali dan mendefinisikan masalah. Step 2: mengumpulkan data dan membuta asumsi. Step 3: mengembangkan solusi yg mungkin Step 4: menganalisa dan membandingkan solusi yg mungkin Step 5: memilih, mengimplementasi, dan evaluasi solusi.
Principles of Information Security Management Karakteristik lebih lanjut dari keamanan informasi dikenal sebagai the six Ps – perencanaan, kebijakan, program, perlindungan, orang, dan manajemen proyek.
• PLANNING Planning necessary to:
Mendukung desain Penciptaan dan implementasi
When all plans are fullfilled: Semua rencana taktis menyelesaikan tujuan operasional. Semua tujuan operasional menyelesaikan tujuan strategis di bawahnya.
Several types of InfoSec plans exist:
Incident response planning Business continuity planning Disaster recovery planning Policy planning Personnel planning Technology rollout planning Risk management planning and Security program planning Including education, training and awareness.
• POLICY Kumpulan pedoman organisasi yang mendikte perilaku tertentu dalam organisasi. Three general of policy:
Enterprise information security policy (EISP) menetapkan nada untuk departemen Keamanan Informasi Keamanan Informasi dan iklim di seluruh organisasi.
Issue-specific security policies (ISSP) adalah kumpulan aturan yang mendefinisikan perilaku yang dapat diterima dalam suatu teknologi yang spesifik.
System-specific policies (SysSP) bersifat teknis dan / atau manajerial scr alamiah dan mengendalikan konfigurasi dan / atau menggunakan sebuah peralatan atau teknologi.
PROGRAMS Program adalah operasi Keamanan Informasi yang secara khusus dikelola
sebagai entitas yang terpisah. Sebuah pendidikan keamanan pelatihan dan kesadaran (SETA) program adalah
salah satu entiti tersebut. PROTECTION
Fungsi perlindungan dilaksanakan melalui serangkaian kegiatan manajemen risiko, termasuk penilaian risiko dan kontrol, serta mekanisme perlindungan, teknologi, dan alat-alat.
PEOPLE orang adalah mata rantai paling penting dalam program keamanan informasi. area keamanan informasi ini meliputi personil keamanan dan keamanan dari personil.
PROJECT MANAGEMENT Komponen terakhir adalah penerapan disiplin manajemen proyek secara
menyeluruh untuk semua elemen dari program keamanan informasi. Manajemen proyek meliputi mengidentifikasi dan mengendalikan sumber daya
yang diterapkan pada proyek, serta mengukur kemajuan dan menyesuaikan proses kemajuan dibuat ke arah tujuan.
Pertemuan 2 PLANNING FOR SECURITY Membuat rencana strategi -Membuat rencana strategis secara keseluruhan dengan memperluas strategi umum dalam rencana strategis khusus untuk divisi utama. -Untuk melaksanakan strategi yang luas dan mengubah pernyataan umum ke dalam tindakan, tim eksekutif harus terlebih dahulu menetapkan tanggung jawab individu. -Mengkonversikan tujuan dari level strategis ke level berikutnya yang lebih rendah adalah mungkin lebih berseni dari ilmu pengetahuan. Tingkat perencanaan Perencanaan strategis dimulai dengan sebuah transformasi dari umum, laporan ke arah tujuan yang lebih spesifik dan diterapkan. Rencana Strategis yang digunakan untuk membuat rencana taktis, dimana rencana itu juga digunakan untuk mengembangkan rencana operasional. The CISO (Chief of Information Security Officer) dan manajer keamanan menggunakan rencana taktis untuk mengatur , memprioritaskan, dan mendapatkan sumber daya yang diperlukan untuk proyek-proyek besar dan untuk memberikan dukungan bagi rencana strategis secara keseluruhan. Manajer dan karyawan menggunakan rencana, yang berasal dari rencana taktis, untuk mengatur, tugas-tugas kerja sehari-hari.
• PLANNING AND THE CISO • Elements of a strategic plan:
• Executive Summary • Mission Statement and Vision Statement • Organizational Profile and History • Strategic Issues and Core Values
• Program Goals and Objectives • Management/Operations Goals and Objectives • Appendices
Information Security Governments The Governance of Information Security Adalah tanggung jawab perencanaan strategis. Menurut the Information Technology Governance Institute (ITGI), keamanan informasi pemerintahan mencakup semua akuntabilitas, dan metode yang dilakukan oleh dewan direksi dan manajemen eksekutif ke arah strategis, penetapan tujuan, pengukuran kemajuan terhadap tujuan tersebut, verifikasi bahwa manajemen risiko praktek yang tepat, dan validasi bahwa aset organisasi digunakan dengan benar. HASIL DIINGINKAN Lima hasil dasar tata Keamanan Informasi harus mencakup: Strategis penyelarasan Keamanan Informasi dengan strategi bisnis. Manajemen Risiko Manajemen Sumberdaya Pengukuran Kinerja Pengiriman nilai Benefit of Infosec Government Tata kelola keamanan informasi menghasilkan manfaat yang signifikan, termasuk: - Peningkatan nilai saham untuk organisasi - Peningkatan prediktabilitas dan mengurangi ketidakpastian - Perlindungan dari potensi meningkatnya tuntutan perdata atau hukum - Optimasi alokasi sumber daya keamanan yang terbatas - Jaminan Keamanan Informasi kebijakan yang efektif dan kebijakan - Sebuah landasan yang kokoh bagi manajemen risiko yang efisien dan efektif, perbaikan proses, dan respon cepat kejadian - Tingkat jaminan bahwa keputusan penting tidak didasarkan pada informasi yang salah - Akuntabilitas untuk menjaga informasi selama kegiatan bisnis penting Informasi keamanan kerangka tata umumnya terdiri dari: - Sebuah metodologi manajemen risiko keamanan informasi - Sebuah strategi keamanan yang menyeluruh secara eksplisit dikaitkan dengan tujuan bisnis dan TI - Sebuah struktur organisasi keamanan yang efektif - Sebuah strategi keamanan yang berbicara tentang nilai informasi yang dilindungi dan disampaikan. - Kebijakan keamanan yang membahas setiap aspek strategi, kontrol, dan regulasi - Sebuah set lengkap standar keamanan untuk setiap kebijakan untuk memastikan bahwa prosedur dan pedoman sesuai dengan kebijakan - Melembagakan proses pemantauan untuk memastikan kepatuhan dan memberikan umpan balik tentang efektivitas dan mitigasi risiko
- Sebuah proses untuk memastikan evaluasi lanjutan dan pemutakhiran kebijakan keamanan, standar, prosedur, dan risiko IMPLEMENTING INFOSEC GOVERNANCE According to the Corporate Governance Task Force (CGTF), it by engaging in a core set of activities.
- Melakukan evaluasi keamanan informasi tahunan - Melakukan penilaian risiko aset informasi secara berkala - Menerapkan kebijakan dan prosedur berdasarkan penilaian risiko - Menetapkan struktur manajemen keamanan untuk memberikan peran individual
eksplisit, tanggung jawab, wewenang, dan akuntabilitas - Mengembangkan, rencana, dan memulai tindakan untuk menyediakan keamanan informasi
yang memadai untuk jaringan, fasilitas, sistem, dan informasi - Perlakukan informasi keamanan sebagai bagian integral dari siklus hidup sistem - Memberikan informasi kesadaran keamanan, pelatihan, dan pendidikan untuk personil - Secara berkala melakukan pengujian dan evaluasi efektivitas kebijakan dan prosedur
keamanan informasi - Membuat dan melaksanakan rencana untuk tindakan perbaikan untuk mengatasi
kekurangan informasi keamanan apapun - Mengembangkan dan menerapkan prosedur insiden respon - Menetapkan rencana, prosedur, dan tes untuk menyediakan kesinambungan operasi - Gunakan panduan praktik keamanan terbaik, seperti ISO 17799, untuk mengukur
kinerja keamanan informasi
Planning for Information Security Implementation Implementasi Keamanan Informasi dapat dicapai dengan dua cara: bottom-up atau top-down. Kedua pendekatan dasar diilustrasikan pada Gambar 2-5. - Pendekatan Bottom-Up mungkin mulai sebagai upaya akar rumput di mana sistem administrator mencoba untuk meningkatkan keamanan sistem mereka. Keuntunganutama dari pendekatan ini adalah bahwa pendekatan ini memanfaatkan keahlian teknis dari administrator individu yang bekerja dengan sistem informasi setiap hari. -Pendekatan Top-Down , sebaliknya, fitur dukungan kuat atas manajemen, juara berdedikasi, biasanya dana terjamin, perencanaan yang jelas dan proses pelaksanaan, dan kemampuan untuk mempengaruhi budaya organisasi. INTRODUCTION TO THE SECURITY SYSTEMS DEVELOPMENT LIFE CYCLE Sebuah pengembangan sistem siklus hidup (SDCL) sebagai metodologi untuk desain dan implementasi sistem informasi dalam suatu organisasi. Sebuah variasi dari metodologi ini, digunakan untuk membuat postur keamanan yang menyeluruh, yang disebut security systems development life cycle (SecSDLC).
Investigation in The SecSDLC
Tahap penyelidikan SecSDLC dimulai dengan arahan dari manajemen atas menetapkan proses, hasil, dan tujuan proyek, serta anggaran dan kendala lainnya.
Seringkali, tahap ini dimulai dengan penegasan atau penciptaan kebijakan keamanan di mana program keamanan organisasi sedang atau akan didirikan.
Analysis in The SecSDLC Pada tahap analisis, tim mempelajari dokumen dari tahap investigasi. Fase ini juga mencakup analisis atau isu hukum yang relevan yang dapat
mempengaruhi desain solusi keamanan. Untuk lebih memahami tahap analisis SecSDLC, Anda harus tahu sesuatu tentang
jenis ancaman yang dihadapi organisasi sekarang ini, menghubungkan teknologi informasi yang ada di dunia.
Tugas selanjutnya adalah untuk menilai risiko relatif untuk masing-masing aset informasi melalui proses yang disebut penilaian risiko atau analisis risiko.
Design in The SecSDLC
- Tahap The SecSDLC terdiri dari 2 fase yang berbeda: the logical design and the physical design. - Pada tahap desain logis, anggota tim menciptakan dan mengembangkan blueprint untuk keamanan dan mereka memeriksa dan menerapkan kebijakan kunci yang mempengaruhi keputusan nanti. - Pada tahap desain fisik, anggota tim mengevaluasi teknologi yang dibutuhkan untuk mendukung blueprint keamanan, menghasilkan solusi alternatif, dan menyetujui desain akhir. - Manajer keamanan mungkin berusaha untuk menggunakan model keamanan untuk membimbing proses desain. Model Keamanan memberikan kerangka untuk memastikan bahwa semua bidang keamanan juga dibahas. - Tahap desain dilanjutkan dengan perumusan dari kontrol dan pengamanan yang digunakan untuk melindungi informasi dari serangan ancaman. - Ada tiga kategori kontrol: kontrol manajerial, pengendalian operasional, danpengendalian teknis
Implementation in The SecSDLC Tahap implementasi SecSDLC mirip dengan tahap yang sesuai dari SDLC tradisional. Solusi keamanan yang diperoleh, diuji, dilaksanakan, dan diuji ulang. Seperti dalam implementasi sistem TI, adalah penting untuk menetapkan spesifikasi
yang jelas dan uji ketat rencana untuk menjamin implementasi berkualitas tinggi. Ketika menerapkan keamanan informasi dalam sebuah organisasi, banyak masalah
sumber daya manusia harus ditangani Maintenance in The SecSDLC
Sistem keamanan informasi membutuhkan pemantauan konstan, pengujian, memodifikasi, memperbarui , dan memperbaiki.
Setelah implementasi program keamanan dilaksanakan, maka harus dioperasikan, dikelola dengan baik, dan terus up-to-date dengan menggunakan prosedur yang ditetapkan.
Model sistem manajemen dirancang untuk mengelola dan mengoperasikan sistem, model pemeliharaan dimaksudkan untuk melengkapi model sistem manajemen organisasi dan fokus pada upaya pemeliharaan sistem.
Figure 2-7 present one recommended approach for dealing with information security maintenance.
Pert 3- Fundamental of Contingency Planning Contingency Planning (CP): Proses keseluruhan untuk mempersiapkan kejadian tak terduga. Tujuan utama dari CP adalah untuk mengembalikan operasi pada mode normal yang disebabkan gangguan dengan biaya minimal, ke kegiatan usaha normal setelah kejadian tak terduga. CP terdiri dari empat komponen utama:
Business Impact Analysis (BIA) Persiapan kegiatan yang umum untuk CP dan manajemen risiko
Incident Response Plan (IRP) Berfokus pada respon langsung terhadap kejadian
Disaster Recovery Plan (DRP) Fokus pada operasi pemulihan di situs utama, ketika diminta
Business Continuity Plan (Rencana SM) memungkinkan bisnis dilanjutkan pada alternatif site
Unsur-unsur yang dibutuhkan untuk memulai proses CP adalah:
Sebuah Metodologi Perencanaan
Policy Lingkungan untuk membuat proses perencanaan
Sebuah Pemahaman tentang penyebab dan dampak dari inti kegiatan awal (dikenal sebagai BIA)
Akses ke sumber daya keuangan dan lainnya sebagai artikulasi dan outline
diartikulasikan dan diuraikan dalam perencanaan anggaran
BUSINESS IMPACT ANALYSIS
Business impact analysis (BIA),merupakan fase pertama dalam proses CP,yang memberikan tim CP dengan informasi tentang sebuah ancaman yang mereka hadapi dalam sistem.
identifikasi dan prioritas Serangan Ancaman
Untuk melakukan BIA, organisasi-organisasi ini memperbarui daftar ancaman dan menambahkan informasi, profil attack.
Profil attack adalah adalah deskripsi rinci tentang kegiatan yang terjadi selama serangan.
Hal ini digunakan untuk menentukan tingkat kerusakan yang dapat terjadi pada unit bisnis jika serangan itu berhasil.
Analisis Bisnis Unit
Analisis dan prioritas fungsi bisnis dalam organisasi.
Setiap departemen bisnis, unit, atau divisi harus dievaluasi secara independen untuk menentukan seberapa penting fungsinya bagi organisasi secara keseluruhan.
Pengembangan Skenario suksesnya serangan
Tim perencanaan BIA harus membuat serangkaian skenario yang menggambarkan efek dari terjadinya setiap ancaman di setiap area fungsional yang diprioritaskan.
Keberhasilan skenario Attack dengan lebih rinci ditambahkan ke profil serangan, termasuk hasil-alternatif terbaik, terburuk dan kemungkinan besar.
Potensi penilaian kerusakan
Tim perencanaan BIA harus memperkirakan biaya yang terbaik, terburuk,dan hasil yang memungkinkan dengan mempersiapkan skenario kasus serangan akhir.
Surbodinasi rencana klasifikasi
Setelah potensi kerusakan telah dinilai dan setiap skenario dan serangan dan kasus telah
dievaluasi, Surbodinasi rencana klasifikasi harus dikembangkan atau diidentifikasi dari
rencana yang sudah ada. INCIDENT RESPONSE PLAN Terdiri dari sekumpulan proses dan prosedur yang rinci yang mengantisipasi, mendeteksi, dan mengurangi dampak dari suatu peristiwa tak terduga yang terdiri dari sumber informasi dan aset. IRP digunakan untuk persiapan kegiatan sbb: Incident Response Policy
Memberikan panduan mengenai struktur tim bawahan dan filosofi organisasi, dan membantu dalam menyusun rencana.
Harus mendapatkan dukungan penuh dari manajemen puncak dan secara jelas dipahami oleh semua pihak yang terkena dampak.
Incident Response Plan: Permulaan
Penting untuk memahami bahwa IR adalah pengukuran reaktif, tidak pencegahan.
Peran dan tanggung jawab anggota tim IR harus secara jelas didokumentasikan dan dikomunikasikan ke seluruh organisasi.
Persiapan Rencana Perencanaan untuk suatu kejadian dan tanggapan untuk mendapatkan pemahaman rinci tentang sistem informasi dan ancaman yg dihadapi Incident Detection
Tantangan bagi setiap tim IR adalah menentukan apakah suatu kejadian merupakan penggunaan sistem secara rutin atau kejadian yang sebenarnya.
Insiden klasifikasi adalah proses pemeriksaan insiden yang mungkin, atau calon insiden, dan menentukan apakah itu merupakan kejadian yang sebenarnya
Untuk membantu membuat deteksi insiden yang sebenarnya agar lebih dapat diandalkan, DL Pipkin telah mengidentifikasi tiga kategori indikator kejadian:
1. Possible Indicators 2. Probable Indicators 3. Definite Indicators
Insiden Respon
Langkah-langkah IR dirancang untuk menghentikan insiden, mengurangi dampaknya, dan menyediakan informasi untuk pemulihan dari insiden.
Langkah-langkah ini termasuk notifikasi key personel, tugas tugas, dan dokumentasi kejadian.
Insiden Recovery
Setelah kejadian itu telah ada dan sistem kontrol telah kembali, pemulihan kejadian bisa dimulai.
Setiap individu yang terlibat harus memulai operasi pemulihan didasarkan pada bagian pemulihan kejadian sesuai rencana IR.
DISASTER RECOVERY PLAN Disaster recovery plan diperlukan untuk persiapan dan pemulihan dari bencana, baik alami buatan manusia.
Disaster Recovery Policy Kebijakan ini menyajikan gambaran filosofi organisasi pada pelaksanaan operasi pemulihan bencana dan server sebagai panduan untuk pengembangan rencana DR.
Disaster Classification
Metode umum untuk mengklasifikasikan bencana oleh alam dan buatan manusia.
Cara lain untuk mengklasifikasi bencana adalah dengan kecepatan pengembangan, rapid-onset dan slow-onset disaster.
Planning for Disaster Untuk merencanakan bencana, tim CP bergerak dalam bidang pengembangan skenario
dan analisis dampak.
Saat membuat skenario pemulihan bencana, memulai dengan aset paling penting yaitu manusia
Sejumlah opsi yang tersedia untuk organisasi untuk melindungi informasi mereka dan membantu dalam mendapatkan operasi bangun dan berjalan cepat: Traditional data backups Electronic vaulting Remote journaling Database shadowing
Responding to Disaster
Jika fasilitas fisik yang utuh, tim DR harus memulai pemulihan sistem dan data untuk bekerja terhadap kemampuan operasional penuh.
BUSINESS CONTINUITY PLAN Memastikan bahwa fungsi bisnis yang penting dapat dilanjutkan jika bencana terjadi. Rencana BC yang paling baik dikelola oleh CEO. BC Planning Policy Statement
perencanaan BC dimulai dengan pengembangan kebijakan BC, yang mencerminkan filosofi organisasi pada pelaksanaan operasi kelangsungan usaha dan berfungsi sebagai dokumen pedoman untuk pengembangan perencanaan BC.
Continuity Strategies Sebuah tim CP dapat memilih dari beberapa strategi dalam perencanaan untuk kelangsungan bisnis. Tiga pilihan penggunaan eksklusif yang ada:
Hot Site: dikonfigurasi sepenuhnya ke fasilitas komputer, dengan semua layanan, link komunikasi, dan operasi fisik.
Warm site: menyediakan banyak layanan yang sama dan pilihan sebagai hot site, tetapi biasanya aplikasi perangkat lunak ini tidak disertakan.
Cold Site: hanya menyediakan layanan dasar dan fasilitas. Ada juga 3 opsi share use kontigensi, yaitu :
Timeshare: beroperasi seperti salah satu dari tiga lokasi yang dijelaskan di atas,
tetapi disewakan dalam hubungannya dengan mitra bisnis atau organisasi cabang.
Service bureau: adalah lembaga layanan yang menyediakan layanan berupa
service.
Mutual agrement: adalah kontrak antara dua organisasi di mana setiap pihak
setuju untuk membantu yang lain dalam hal terjadi bencana.
Timing and Sequence of CP Elements
Rencana IR berfokus pada respon langsung, tetapi jika insiden tersebut meningkat menjadi bencana, rencana IR dapat memberikan cara untuk merencanakan DR dan rencana BC.
Rencana BC terjadi bersamaan dengan rencana DR ketika kerusakan besar atau jangka panjang, memerlukan lebih dari pemulihan sederhana dari sumber informasi dan informasi.
Crisis Management
Langkah-langkah tindakan yang mempengaruhi orang-orang baik di dalam dan di luar organisasi yang diambil selama dan setelah bencana.
Tim manajemen krisis bertanggung jawab untuk mengelola kejadian dari perspektif perusahaan.
Tim manajemen krisis harus mendirikan basis operasi atau pusat komando dekat lokasi bencana sesegera mungkin.
Business Resumption Plan (BR Plan): Karena rencana DR dan BC berkaitan erat, sebagian besar organisasi menyiapkan dua pada saat yang sama, dan dapat menggabungkan mereka ke dalam dokumen perencanaan tunggal yang disebut Business Resumption Plan Testing Contingency Plans Setiap rencana harus diuji untuk mengidentifikasi kerentanan, kesalahan, dan proses tidak efisien. Lima strategi yang dapat digunakan untuk menguji rencana darurat:
Desk Check: jenis validasi sederhana yang melibatkan distribusi salinan dari rencana yang tepat untuk semua individu yang akan diberikan kepada peran dalam suatu insiden yang sebenarnya.
Structured Walk-Through: semua individu yang terlibat menjalankan sesuai dengan langkah-langkah yang mereka ambil selama peristiwa aktual.
Simulation: setiap orang bekerja secara individu, bukan dalam pengaturan kelompok, untuk mensimulasikan kinerja setiap tugas.
Parallel Testing: individu bertindak seolah-olah sebuah insiden yang sebenarnya terjadi, dan mulai menjalankan tugas yang diperlukan mereka dan melaksanakan prosedur yang diperlukan, tanpa mengganggu operasi usaha normal.
Full Interruption: setiap individu mengikuti setiap prosedur termasuk layanan interupsi, pemulihan data dari backup, dan pemberitahuan ke individu yang tepat.
Per 4 ISS INFORMATION SECURITY POLICY
Information security policy
Jelaskan mengenai fungsi manajemen organisasi dalam mengendalikan perilaku karyawan. Kebijakan ini dirancang untuk menciptakan lingkungan kerja yang produktif dan efektif, bebas dari gangguan yang tidak perlu dan tindakan tidak pantas. Beberapa aturan dasar yang harus diikuti ketika membentuk kebijakan: -Kebijakan harus tidak pernah bertentangan dengan hukum. -Kebijakan harus mampu berdiri di pengadilan jika ditantang. -Kebijakan mus dengan benar didukung dan dikelola. -Kebijakan seringkali sulit untuk diterapkan. Pedoman berikut ini dapat membantu dalam perumusan teknologi informasi (TI) kebijakan serta kebijakan keamanan informasi. -harus member kontribusi bagi keberhasilan organisasi -penggunaan yg cukup bertanggung jawab untuk penggunaan yg tpat pada si. -hrus terlibat dlm langkah2 perumusan kebijakan. Salah satu implementasi model yang menekankan peran kebijakan dalam program keamanan informasi adalah model bull's- eye ,dimana ada 4 lapisan : -Kebijakan: Lapisan luar dalam diagram bull's-mata. -Jaringan: Tempat dimana ancaman dari jaringan publik memenuhi infrastruktur jaringan organisasi. -Sistem: Komputer digunakan sebagai server, komputer desktop, dan sistem yang digunakan untuk pengendalian proses dan sistem manufaktur. -Aplikasi: Semua sistem aplikasi, mulai dari aplikasi dikemas, seperti otomatisasi kantor dan program e-mail, untuk sumber daya perusahaan high-end planning (ERP) paket, perangkat lunak aplikasi khusus yang dikembangkan oleh organisasi. POLICY, STANDARDS, AND PRACTICES -Kebijakan secara umum didefinisikan sebagai suatu rencana atau tindakan, pada pemerintah, partai politik, atau bisnis, dimaksudkan untuk mempengaruhi dan menentukan keputusan, tindakan, dan hal-hal lain. -Standar adalah pernyataan yang lebih rinci tentang apa yang harus dilakukan untuk mematuhi kebijakan. Untuk menghasilkan kebijakan keamanan informasi yang lengkap, manajemen harus menentukan tiga jenis kebijakan keamanan informasi. Ketiga jenis kebijakan adalah sebagai berikut: -Kebijakan keamanan informasi perusahaan -Isu-spesifik kebijakan keamanan -Sistem-spesifik kebijakan keamanan.
Enterprise Information Security Policy (EISP): EISP panduan pengembangan, implementasi, dan persyaratan pengelolaan program keamanan informasi, yang harus dipenuhi oleh manajemen informasi keamanan, pengembangan IT, IT Operasi, dan fungsi-fungsi keamanan tertentu. 1.Mengintegrasikan Organisasi Misi dan Tujuan ke EISP 2.Elemen EISP Kebanyakan EISP dokumen harus memasukkan unsur-unsur berikut: Tinjauan tentang filosofi perusahaan mengenai keamanan Informasi tentang struktur organisasi keamanan informasi dan individu yang memenuhi peran keamanan informasi 3.Contoh EISP Komponen Perumusan EISP menetapkan lingkungan informasi keamanan secara keseluruhan. Contoh kebijakan keamanan informasi (EISP) dokumen komponen: -Perlindungan Informasi -Penggunaan Informasi -Penanganan informasi, akses, dan Penggunaan -Data dan Program Penyangkalan Kerusakan -Hukum Konflik -Pengecualian terhadap Kebijakan -Kebijakan Nonenforcement -Pelanggaran Hukum -Pencabutan Keistimewaan Akses -Keamanan Informasi Standar Industri-Spesifik -Penggunaan Kebijakan Keamanan Informasi dan Prosedur -Keamanan Kontrol Penegakkan Issue-Specific Security Policy (ISSP): Menyediakan rinci, panduan ditargetkan untuk menginstruksikan semua anggota organisasi dalam penggunaan teknologi, proses, atau sistem yang digunakan oleh organisasi. Setiap organisasi memiliki tiga karakteristik ISSP: - alamat sistem berbasis teknologi spesifik. - membutuhkan sering update. - berisi pernyataan yang menjelaskan masalah posisi organisasi pada isu tertentu
KOMPONEN ISSP
-Pernyataan Tujuan: pernyataan yang jelas tujuan yang mencantumkan lingkup dan penerapan
kebijakan.
-Authorized uses: pernyataan kebijakan yang bisa menggunakan teknologi diatur oleh kebijakan
dan untuk tujuan apa.
-Prohibited Uses: Bagian ini garis-garis apa yang tidak dapat digunakan untuk.
-Sistem Manajemen: harus menentukan user dan tanggung jawab sistem administrator ', sehingga
semua pihak tahu apa yang mereka bertanggung jawab atas sesuatu.
-Pelanggaran Kebijakan: menentukan hukuman dan akibat melanggar penggunaan dan kebijakan
sistem manajemen. -Tinjauan Kebijakan dan Modifikasi: metodologi yang spesifik untuk review dan modifikasi dari ISSP, sehingga untuk memastikan bahwa pengguna selalu memiliki pedoman yang mencerminkan teknologi organisasi saat ini serta kebutuhannya. -Keterbatasan viabilitas: Bagian terakhir menawarkan pernyataan umum kewajiban
Implementasi issp : Buat sejumlah dokumen ISSP independen, Buat dokumen komprehensif tunggal ISSP yang mencakup semua masalah , dan Buat dokumen ISSP modular yang menyatukan penyusunan kebijakan dan administrasi. Sistem-Spesifik Kebijakan Keamanan (SysSPs): SysSPs sering berfungsi sebagai standar atau prosedur yang akan digunakan ketika mengkonfigurasi atau memelihara sistem. SysSPs dapat dipisahkan menjadi dua kelompok umum 1.pedoman manajerial 2.spesifikasi teknis. Dibagi 2 : access control lists dan configuration rules DEVELOPING INFOSEC POLICY -fase investigasi , dukungan dari manejemen senior,keterlibatan manajement it ,jelas tujuannya -fase analisis , Sebuah penilaian risiko baru atau terbaru atau dokumentasi IT audit keamanan informasi saat ini kebutuhan organisasi dan pengumpulan data referensi. -fase desain, membuat rencana untuk mendistribusikan, dan memverifikasi distribusi, kebijakan. -Fase implementasi , Selama tahap implementasi, tim pengembangan kebijakan memastikan bahwa kebijakan tersebut disiapkan dengan benar, didistribusikan, dibaca dan dipahami oleh mereka yang itu berlaku. -fase maintain , tim pengembangan kebijakan memantau, memelihara, dan mengubah kebijakan yang diperlukan untuk memastikan bahwa hal itu tetap efektif sebagai alat untuk memenuhi ancaman perubahan :
1. Kebijakan/policy distribusi , Metode lain diseminasi umum adalah dengan cara elektronik-e-mail, intranet, atau sistem manajemen dokumen. 2. kebijakan /policy reading , Hambatan kebijakan membaca karyawan dapat timbul dari masalah literacy atau bahasa. 3.policy comprehension , Untuk menjadi yakin bahwa karyawan memahami kebijakan, dokumen harus ditulis pada tingkat membaca wajar 4.policy compliance , pernyataan kebijakan konfirmasi kontrak kerja, evaluasi tahunan, atau dokumen lainnya yang diperlukan untuk pekerjaan lanjutan individu. 5.policy enforcement , kebijakan afektif dalam penegakan secara adil dan tidak memihak.
ISS Pertemuan 5
Organizing for Security
KEAMANAN DI ORGANISASI BESAR
Organisasi yang memiliki lebih dari 1000 perangkat memerlukan manajemen
keamanan.
Fungsi kemungkinan akan dikelompokkan dalam organisasi besar. Gambar 5-1 dan 5-2, masing-masing, organisasi-organisasi besar dan sangat besar
biasanya memiliki staf khusus untuk mendukung program keamanan. Waktu penyebaran personil keamanan penuh tergantung pada sejumlah factor,
termasuk kepekaan informasi yang akan dilindungi, peraturan industri, dan
profitabilitas umum.
KEAMANAN DI ORGANISASI MENENGAH
Organisasi menengah memiliki antara 100 dan 1000 mesin memerlukan manajemen
keamanan.
Gambar 5.3 mengilustrasikan staff full time dan part time dari organisasi menengah.
Organisasi ini mungkin hanya memiliki 1 karyawan keamanan full time, mungkin
dengan 3 orang karyawan part time yang bertanggung jawab terhadap keamanan
informasi.
KEAMANAN DI ORGANISASI KECIL
Organisasi kecil yang memiliki kurang dari 100 sistem memerlukan pengawasan.
Gambar 5.4 menunjukkan tantangan yang dihadapi dalam organisasi kecil, biasanya
mereka memiliki 1 karyawan full time untuk keamanan informasi.
Menempatkan Keamanan Informasi dalam Organisasi
Dalam organisasi besar departemen Keamanan Informasi sering berada di dalam
departemen IT
Visi yang terpisah dari IT dan fungsi keamanan informasi dibagikan oleh banyak
eksekutif
Tantangannya adalah untuk mendesain sebuah struktur laporan untuk program keamanan
informasi yang menyeimbangkan kebutuhan bersaing dan hal yang menarik di
masyarakat.
Ada banyak cara untuk posisi program keamanan informasi, Charles Cresson Wood telah
menyusun praktek terbaik tentang program keamanan informasi dari berbagai grup
industry.
Pilihan 1 : IT
Pilihan 2 : Security
Pilihan 3 : Administrative Services
Pilihan 4 : Insurance and risk management
Pilihan 5 : strategy and planning
Pilihan lain: Departemen Hukum
Departemen Internal Auditing
Di bawah Help Desk
Di bawah Departemen Akuntansi dan Keuangan
Di bawah Departemen Sumber Daya Manusia
Pelaporan kepada Departemen Manajemen Fasilitas
Pendekatan Operasi
Komponen Program Keamanan :
Program keamanan informasi beroperasi tergantung pada rencana strategis
organisasi, dan khususnya pada visi dan misi.
Dua dokumen dari National Institute of Standards and Technology (NIST) juga
menyediakan pedoman untuk mengembangkan program keamanan informasi. SP 800-14, berlaku umum Prinsip dan Praktik untuk Mengamankan Teknologi
Sistem Informasi
SP 800-12, Sebuah Pengantar Keamanan Komputer: Buku Panduan NIST
Tabel 5-1 meringkas elemen-elemen program yang sangat penting disajikan dalam dua
dokumen NIST
Information Security Roles and Titles
Chief Information Security Offices
The CISO (or CSO) terutama bertanggung jawab atas penilaian, manajemen, dan
implementasi program yang mengamankan informasi organisasi. CISO biasanya melapor langsung kepada CIO. Gambar 5-10 menunjukkan CISO sebagai peran keamanan informasi paling
senior.
Security Managers
Security managers bertanggung jawab untuk operasi sehari-hari dari program
keamanan informasi. Mengelola teknologi yang membutuhkan pemahaman, tetapi belum tentu
penguasaan teknis.
Security Administrators and Analysts
Security administrator adalah hibrida dari seorang teknisi keamanan dan
manajer keamanan. Ia memiliki dua pengetahuan, teknis dan keterampilan
manajerial. Security analyst adalah seorang administrator keamanan khusus. Security administrator sesuai untuk administrator sistem atau administrator
database, dan analis keamanan sebagai analis sistem.
Security Technicians
Security technicians adalah individu yang memenuhi syarat teknis untuk
mengkonfigurasi firewall dan IDPSs, mengimplementasikan perangkat lunak
keamanan, mendiagnosa, dan mengatasi masalah, dan berkoordinasi dengan
system dan administrator jaringan untuk memastikan bahwa teknologi keamanan
benar dilaksanakan. Security technicians biasanya di posisi entry-level.
Staf Keamanan dan Watchstanders Security staf adalah catchall title yang berlaku bagi individu yang melakukan
kegiatan rutin watchstanding. Wacthstanders biasanya di entry-level keamanan informasi profesional yang
bertanggung jawab untuk memantau beberapa aspek keamanan organisasi.
Security Consultants Information security consultants biasanya seorang ahli independen dalam
beberapa aspek keamanan informasi (pemulihan bencana, rencana kelangsungan
bisnis, arsitektur keamanan, dll) Security Officers and Investigators
Para penjaga, gerbang dan aspek senjata keamanan yang terkait erat dengan
penegakan hukum.
Help Desk Personnel
Help desk technicians melakukan peran khusus dalam keamanan informasi
Para anggota staf harus siap untuk menidentifikasi dan mendiagnosa kedua
masalah teknis tradisional dan ancaman terhadap keamanan informasi.
Implementing Security Education, Training and Awareness Program :
Pendidikan Keamanan, pelatihan, dan kesadaran (SETA) program adalah tanggung jawab
CISO dan dirancang untuk mengurangi pelanggaran keamanan disengaja oleh anggota
organisasi. Security awareness, training and education menawarkan tiga manfaat utama:
Mereka dapat memperbaiki perilaku karyawan. Mereka dapat memberitahu anggota organisasi di mana untuk melaporkan
pelanggaran kebijakan.
Mereka memungkinkan organisasi agar karyawan bertanggung jawab atas
tindakan mereka. Program SETA meningkatkan pendidikan umum dan program pelatihan dengan
berfokus pada keamanan informasi. Tujuan dari SETA adalah untuk meningkatkan keamanan dalam tiga cara: Dengan membangun pengetahuan yang mendalam, seperti yang diperlukan,
untuk merancang, mengimplementasikan,atau menjalankan program keamanan
untuk organisasi dan system
Dengan mengembangkan keterampilan dan pengetahuan sehingga pengguna
computer dapat melakukan pekerjaan mereka lebih aman menggunakan sistem TI
Dengan meningkatkan kesadaran akan untuk melindungi sumber daya sistem
Table 5-2 menunjukkan fitur dari security education, training, and awareness dalam
organisasi.
Figure 5-11 menunjukkan proses kompleks pemetaan posisi keamanan informasi untuk
peran yang mereka lakukan dan pengetahuan yang sesuai persyaratan inti dari peran
tersebut
Pertemuan 6 Information System Security
SECURITY MANAGEMENT MODELS
1. Blueprints, Frameworks, and Security Models
Framework merupakan garis besar dari blueprint yang lebih menyeluruh, yang mana
menetapkan model yang harus diikuti dalam menciptakan desain, seleksi, implementasi
awal dan berkelanjutan dari semua kontrol keamanan berikutnya termasuk information
security policies, security education, dan training programs, serta technological controls.
Security model merupakan blueprint generic yang ditawarkan oleh service organization.
Cara lain untuk menciptakan blueprint adalah dengan melihat jalur yang diambil oleh
organisasi (benchmarking-mengikuti praktek rekomendasi atau standar industri)
2. Access Control Models
Access control mengatur user memasuki trusted area organisasi logical access ke
information systems dan physical access ke organization’s facilities.
Aplikasi umum dari access control terdiri dari 4 proses:
1. Identification
2. Authentication
3. Authorization
4. Accountability
Access control memungkinkan organisasi untuk membatasi akses terhadap informasi,
informasi asset, dan asset tak berwujud lainnya to those with a bona fide business need.
Access control terdiri dari beberapa prinsip:
1. Least privilege:
2. Keperluan untuk mengetahui
3. Pembagian tugas
Categories of Access Control
Pendekatan pertama yang digunakan untuk mengkategorikan metodologi akses
kontrol.
1. Preventive: kontrol yang membantu organisasi menghindari insiden
2. Deterrent: kontrol yang menghambat atau menghalangi insiden yang baru mulai
3. Detective: kontrol yang mendeteksi atau mengidentifikasi insiden ketika kejadian
terjadi
4. Corrective: kontrol yang mengurangi kerusakan yang dilakukan pada saa kejadian
5. Recovery: kontrol yang memulihkan kembalik kondisi operasi menjadi normal
6. Compensating: kontrol yang mengatasi kekurangan
Pendekatan kedua, digambarkan dalam NIST Special Publication Series,
mengkategorikan kontrol berdasarkan dampak operasionalnya terhadap organisasi:
1. Management: kontrol yang mencakup proses keamanan yang dirancang oleh
strategic planner.
2. Operational: kontrol yang berhubungan dengan fungsi operasional.
3. Technical: kontrol yang mendukung bagian taktis dari suatu program keamanan.
Table 6-1 menggambarkan contoh kontrol yang dikategorikan dari kedua pendekatan
diatas.
Mandatory Access Control
Mandatory access controls (MAC) diperlukan dan terstruktur serta terkoordinasi
dalam skema klasifikasi data yang menilai tiap informasi sebagaimana tiap user.
Ketika MACs diimplementasikan, user dan pemilik data memiliki kontrol yang
terbatas terhadap akses sumber informasi.
3. Security Architecture Models
Trusted Computing Based
The Trusted Computer System Evaluation Criteria (TCSEC) merupakan standar DoD
yang mendefinisikan criteria untuk melakukan akses terhadap control access di dalam
sistem komputer.
TCSEC mendefinisikan trusted computing base (TCB) sebagai kombinasi semua
hardware, firmware, dan software yang bertanggung jawab untuk menegakkan
security policy.
The TCB merupakan mekanisme internal control dan administrasi yang efektif dari
sistem yang sedang diatur.
ITSEC
The Information System Evaluation Criteria (ITSEC) merupakan suatu set criteria
internasional yang mengevaluasi sistem komputer. Hampir sama dengan TCSEC.
The ITSEC menilai produk pada skala E1 (level yang paling rendah) hingga E6 (level
yang paling tinggi)
The Common Criteria (CC)
Kriteria umum untuk Information Technology Security Evaluation (biasanya disebut
Common Criteria) merupakan internasional standar (ISO/IEC 15408) untuk
sertifikasi keamanan komputer.
Successor untuk TCSEC and ITSEC.
The CC mencari kemungkinan pengakuan mutual yang terluas dari keamanan
produk IT.
Proses CC menjamin bahwa spesifikasi, implementasi, dan evaluasi produk
keamanan komputer dilakukan secara ketat dan sesuai standar.
Bell-LaPadula Confidentiality Model
The Bell-LaPadula (BLP) confidentiality model merupakan model mesin yang
membantu untuk memastikan kerahasiaan sistem informasi melalui MACs,
klasifikasi data, dan izin keamanan.
BLP security rules mencegah dipindahkan dari level kemanan yang tinggi ke level
keamanan yang rendah.
BLP menggunakan matrix izin akses dan security lattice untuk access control.
Biba Integrity Model
The Biba integrity model hampir sama dengan BLP.
The Biba model memberikan tingkat integritas kepada subjek ataupun objek dengan
menggunakan 2 sifat: the simple integrity (read) property atau the integrity *
property (write).
The Biba model memastikan tidak ada informasi dari subjek yang dapat dikirimkan
ke objek di dalam level keamanan yang tinggi.
Clark-Wilson Integrity Model
The Clark-Wilson integrity model, yang dibangun berdasarkan prinsip-prinsip
kontrol perubahan dibandingkan tingkat integritas, dirancang untuk lingkungan
komersial.
Model ini menetapkan suatu sistem hubungan subjek-program-objek seperti subjek
tidak dapat melakukan akses langsung terhadap objek.
Graham-Denning Access Control Model
The Graham-Denning access control model memiliki 3 bagian: objek, subjek dan
hak.
Model ini menggambarkan 8 hak perlindungan primitive yang disebut commands.
Harrison-Ruzzo-Ullman Model
The Harrison-Ruzzo-Ullman (HRU) model mendefinisikan suatu metoe yang
mengizinkan perubahan terhadap hak akses dan penghapusan subjek dan objek,
suatu proses yang tidak terdapat di Bell-LaPadula model.
Dengan mengimplementasikan hak dan command serta membatasi command
menjadi single operation, dimungkinkan untuk menentukan jika dan kapan subjek
tertentu dapat memperoleh hak particular terhadap suatu objek.
Brewer-Nash Model (Chinese Wall)
The Brewer-Nash model umumnya dikenal sebagai Chinese wall yang didesain
untuk mencegah konflik kepentingan antara 2 pihak.
The Brewer-Nash model memerlukan user untuk menyeleksi satu dari dua set data
yang bertentangan, setelah itu mereka tidak dapat mengakses data yang bertentangan
tersebut.
4. Security Management Models
The ISO 27000 Series
Dokumen ini direvisi pada tahun 2005 (menjadi ISO 17799:2005) dan berganti nama
menjadi ISO 27002 in 2007 sejajar dengan dokumen ISO 27001.
Tujuan sebenarnya dari ISO/IEC 17799 adalah untuk “memberikan rekomendasi
untuk information security management yang digunakan oleh pihak yang
bertanggung jawab atas initiating, implementing, or maintaining keamanan di
organisasi”.
ISO/IEC 27001 menyediakan informasi bagaimana mengimplementasikan ISO/IEC
27002 dan bagaimana membuat information security management system (ISMS).
Tabel 6-2 menunjukkan bagian dari ISO/IEC 27002
1. Risk Assessment and Treatment
2. Security Policy
3. Organization of Information Security
4. Asset Management
5. Human Resource Security
6. Physical and Environmental Security
7. Communications and Operations
8. Access Control
9. Information Systems Acquisition, Development, and Maintenance
10. Information Security Incident Management
11. Business Continuity Management
12. Compliance
Figure 6-1 menunjukkan langkah proses utama ISO/IEC 27001
NIST Security Models
NIST special publication 800-12, Computer Security Handbook, merupakan referensi
terbaik dan panduan untuk manajemen rutin information security.
NIST special publication 800-14, Generally Accepted Principles and Practices for
Securing Information Technology Systems, menggambarkan praktek rekomendasi dan
menyediakan informasi yang secara umum diterima oleh prinsip information security
yang mana dapat mengarahkan security team di dalam pembangunan suatu security
blueprint.
NIST special publication 800-18 Rev.1, Guide for Developing Security Plans for
Federal Information Systems, menyediakan metode detail untuk assessing, designing,
dan implementing controls, serta rencana aplikasi untuk berbagai macam ukuran.
NIST special publication 800-26, Security Self-Assessment Guide for Information
Technology Systems, menggambarkan 17 area yang span managerial, operational, dan
technical controls.
NIST special publication 800-30, Risk Management Guide for Information
Technology Systems, menyediakan fondasi untuk pembangunan suatu efektif risk
management program, yang terdiri dari definisi dan panduan praktikal yang
diperlukan untuk menilai dan mengurangi resiko yang teridentifikasi dalam sistem IT.
SP 800-53A
Guide for Assessing the Security Controls in Federal Information Systems: Building
Effective Security Assessment Plans.
SP 800-53A berfungsi sebagai panduan pendamping untuk SP 800-53: Recommended
Security Controls for Federal Information Systems.
Dokumen ini menyediakan pendekatan system developmental lifecycle terhadap
penilaian keamanan sistem informasi.
COBIT
Control Objectives for Information and Related Technology (COBIT) menyediakan
advice mengenai implementasi sound control dan tujuan kontrol untuk keamanan
informasi.
COBIT diciptakan oleh Information System Audit and Control Association (ISACA)
dan IT Governance Institute (ITGI) pada tahun 1992.
COBIT 34 high-level objectives yang menyediakan 215 control objectives. Control
objectives dikategorikan ke dalam 4 domain, plan and organize, acquire and
implement, deliver and support, and monitor and evaluate.
COSO
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
merupakan model yang berbasiskan kontrol.
Tujuan utamanya adalah untuk mengidentifikasikan faktor-faktor yang dapat
menyebabkan kecurangan laporan keuangan dan membuat rekomendasi untuk
mengurangi kejadian.
The COSO framework dibangun atas 5 komponen yang saling berkaitan: control
environment, risk assessment, control activities, information and communication, and
monitoring.
Information Technology Infrastructure Library
The Information Technology Infrastructure Library (ITIL) merupakan kumpulan
metode dan praktek untuk mengelola pengembangan dan operasional dari
infrastruktur teknologi informasi.
Information Security Governance Framework
The Information Security Governance Framework merupakan model managerial
disediakan oleh industry working group, www.CyberPartnership.org, dan merupakan
hasil dari usaha pengembangan oleh National Cyber Security Summit Task Force.
Framework ini menetapkan bahwa setiap independent organizational unit harus
mengembangkan, mendokumentasi, dan mengimplementasikan information security
program.
Dokumen ini juga merekomendasikan bahwa setiap organisasi seharusnya dapat
membuat dengan jelas, efektif, laporan periodik dari setiap unit organisasi mengenai
information security program.
Information System security – Pert 7 1. Benchmarking
Membantu untuk menentukan dimana kontrol seharusnya dipertimbangkan, tetapi tidak bisa ditentukan bagaimana kontrol-kontrol ini seharusnya diimplementasikan ke dalam organisasi.
Standard of Due Care / Due Diligence Organisasi yang mengambil tingkat security yang minimum mendirikan suatu pertahanan legal masa depan mungkin perlu verifikasi yang mereka lakukan apakah kebijaksanaan di dalam organisasi akan terjadi di keadaan yang mirip. Hal ini dikenal dengan Standard of Due Care. Implementasi control di standar minimum dan memelihara demonstrasi di dalam organisasi akan melakukan Due Diligence.
Security Practices yang direkomendasi Upaya security yang digunakan di industri-industri terbaik dinamakan BSPs (Best Security Practices. Practices ini menseimbangkan keperluan dari akses informasi dengan keperluan perlindungan ketika secara serentak mendemonstrasikan tanggung jawab fiskal.
Gold Standard The Gold Standard merupakan level model dari kinerja yang mendemonstrasikan kepemimpinan industri, kualitas, dan konsep untuk melindungi informasi. Implementasi dari Gold Standard Security memerlukan investasi yang besar di finansial dan sumber daya personal.
Memilih Practices yang direkomendasi Practices yang direkomendasi hanya relevan apabila organisasi kita mirip dengan organisasi tersebut datangnya dari mana. Strategi yang bekerja baik si sektor pabrik mungkin memiliki relevansi kecil untuk organisasi non profit. Practices yang direkomendasi mengusulkan kantor kecil tidak sesuai dengan perusahaan multinasional. Practices yang direkomendasi yang permintaan keuangannya di luar kemampuan organisasi tersebut merupakan suatu nilai yang terbatas. Practices yang direkomendasi yang lamanya bulan atau minggu mungkin tidak menjawab ancaman lingkungan yang sedang berjalan.
Keterbatasan dari Benchmarking dan Practises yang dierekomendasi Penghalang terbesar dari benchmarking terhadap security informasi adalah fakta bahwa organisasi tidak saling berbicara satu sama lain. Masalah lain dengan benchmarking adalah tidak ada 2 organisasi yang identik. Masalah ketiga adalah practices yang direkomendasi adalah suatu target yang berpindah.
Baselining Practices yang berhubungan dengan benchmarking adalah Baselining. Baselining merupakan suaru nilai atau profil dari metric kinerja terhadap perubahan di metric kinerja sehingga berguna untuk dibandingkan. Baselining merupakan proses pengukuran terhadap standar pendirian
2. Performance Measures in Information Security Management
InfoSec Performance Management Information Security Performance Management merupakan proses mendesain, implementasi, dan mengelola penggunaan dari elemen data yang dinamakan pengukuran untuk menentukan efektivitas dari program security secara keseluruhan.
Pengukuran merupakan poin data atau tren perhitungan yang mengidentifikasikan efektivitas timbal balik pengukuran security atau kontol secara teknik dan managerial, yang diimplementasikan di dalam organisasi. Empat faktor yang kritis dalam kesuksesan suatu Information Security Performance Management :
a. Dukungan managemen level atas yang kuat b. Kebijakan dan Prosedur dari Practices Information Security c. Diukur pengukuran kinerjanya d. Analisa pengukuran result oriented (berorientasi hasil)
InfoSec Metrics Memberlakukan bentuk statistik dan kuantitatif dari analisa matematika untuk pengumpulan poin data guna mengukur aktivitas dan hasil dari program InfoSec. InfoSec Metrik memungkinkan organisasi untuk mengukur upaya tingkatan dari upaya yang diperlukan untuk bertemu dengan tujuan lain dari program InfoSec.
Building the Performance Measures Program Manfaat penggunaan Information Security Performance Management seperti : - Meningkatkan akuntabilitas untuk kinerja security informasi. - Meningkatkan efektivitas dari aktivitas security informasi. - Mendemonstrasikan pemenuhan dengan hukum, aturan, dan regulasi. - Menyediakan inputan yang diukur untuk penentuan alokasi sumber daya. Pendekatan popular yang ada, yaitu NIST(National Institute of Standards and Technology) special publication 800-55 revision 1, Performance Measurement Guide for Information Security, dimana membagi menjadi 2 aktivitas besar : - Mengidentifikasi dan mendefinisikan program security informasi berjalan. - Mengembangkan dan memilih ukuran yang spesifik untuk menaksir implementasi,
efektivitas, efesiensi, dan timbal balik dari control security.
Specifying InfoSec Measures
Harus memperoleh lebih detil ukuran-ukuran ketika menaksir upaya letih untuk melengkapi tugas produksi dan proyek Organisasi-organisasi lain memerlukan metrik yang lebih mendetil
Collecting InfoSec Measures Prospek dari mengumpulkan ukuran –ukuran yaitu menakutkan beberapa organisasi. Mendesign proses pengumpulan memerlukan pertimbangan dari maksud metrik dengan melalui pengetahuan bagaimana layanan produksi diterima.
Information Security Performance Measurement Implementation Information Security Performance Management harus diimplementasikan dan diintegrasikan ke dalam operasi dari managemen security informasi. Kinerja ukurannya adalah sedang berjalan, melanjutkan peningkatan operasi berjalan. Proses dari implementasi ukuran kinerja direkomendasikan dengan NIST (National Institute of Standards and Technology), termasuk 6 tugas yang di bawah pengaruhnya.
Reporting InfoSec Performance Measures
Bisa menggunakan pie, line, bar, scatter (awur), atau barcharts. CISO juga harus memperhatikan untuk siapa hasil dari program ukuran kinerja akan disebarkan dan bagaimana mereka menerimanya.
3. Emerging Trends in Certification and Accreditation
Certification and Accreditation Di managemen security, akreditasi merupakan suatu autorisasi dari sistem IT untuk proses, menyimpan, dan mentransmisikan informasi. Akreditasi di isukan berdasarkan pelayanan dan peresmian managemen, yang artinya menjamin bahwa sistem kualitasnya memuaskan. Sertifikasi didefinisikan sebagai kontrol security secara teknik dan non teknik dari evaluasi yang cukup luas sebuah sistem IT untuk mendukung proses akreditasi yang membuktikan jangkauan ke implementasi dan design yang luas untuk bertemu dengan 1 set kebutuhan security yang spesifik. Akreditasi dan Sertifikasi tidak permanen.
SP 800-37: Guidelines for the Security Certification and Accreditation of Federal Information Technology Security NIST telah mengembangkan dan mempromosikan sebuah desain proyek akreditasi dan sertifikasi sistem untuk menghasilkan 3 goal : - Mengembangkan prosedur dan pedoman standard. - Mendefinisikan control keamanan minimum yang mendasar - Mempromosikan pengembangan taksiran organisasi sektor umum dan private Inisiatif security dari Certification and Accreditation (C&A) menawarkan beberapa keuntungan spesifik, seperti : - Lebih konsisten, dapat ditandingi, dan sertifikasi berulang dari sistem IT. - Lebih lengkap, informasi lebih lebih dipercaya, untuk autorisasi official.
- Ketersediaan yang lebih besar terhadap layanan taksiran dan evaluasi security yang kompeten.
- Sistem IT yang lebih aman di dalam pemerintahan federal. Hubungan antara publikasi primary SP 800-37 dan NIST yg lain dijelaskan pada gambar berikut :
3 step dari proses pemilihan control security SP 800-37 : Step 1 : Karakterkan sistem Step 2 : Pilih kontrol security minimum yang paling cocok untuk Sistem Step 3 : Sesuaikan diri kontrol security berdasarkan Sistem Exposure (Paparan) dan Perkiraan
Resiko
SP 800-53 Rev.3: Recommended Security Controls for Federal Information Systems and Organizations Tujuannya untuk membuktikan sebuah set dari standarisasi, control security minimum untuk menujukan level lemah, sedang, dan lebih tinggi terhadap sistem IT dari urusan ketersediaan, kemandirian, dan integritas. Security control in SP 800-53 diklasiffikasikan ke dalam 3 kategori yang familiar : - Managemen - Operasional - Teknikal
The Future of Certification and Accreditation Dokumen NIST yang lebih baru fokus pada strategi akreditasi dan sertifikasi, dan lebih holistik kepada strategi managemen resiko menemani strategi autorisasi daripada akreditasi. NIST mempromosikan sebuah Framework Management Resiko yang simple dalam 6 step :
