KEAMANAN SISTEM ISO 17799 sebagai standar dalam penyusunan dokumen kebijakan keamanan TI #Agenda • Overview ISO 17799 • Point-point yang tercakup dalam ISO.
Download ReportTranscript KEAMANAN SISTEM ISO 17799 sebagai standar dalam penyusunan dokumen kebijakan keamanan TI #Agenda • Overview ISO 17799 • Point-point yang tercakup dalam ISO.
KEAMANAN SISTEM ISO 17799 sebagai standar dalam penyusunan dokumen kebijakan keamanan TI 1 #Agenda • Overview ISO 17799 • Point-point yang tercakup dalam ISO 17799 2 Dokumen Kebijakan Keamanan • Dokumen kebijakan keamanan perlu dibuat sebagai obyektif kontrol dari kelemahan-kelemahan yang terdapat pada sebuah sistem dan bagaimana mengatasi kelemahan-kelemahan tersebut. • Selain itu dokumen kebijakan keamanan akan berguna sebagai panduan dan petunjuk bagi manajemen perusahaan untuk menerapkan kebijakan keamanan. • http://www.dir.state.tx.us. 3 Referensi Standar Keamanan Informasi • Penyusunan kebijakan keamanan dibuat menggunakan referensi dari beberapa standar keamanan informasi internasional yang disesuaikan dengan kondisi bisnis dan organisasi PT X. • Referensi standar keamanan informasi tersebut adalah: – ISO 17799 – RUSecure Information Security Policy Reference Manual 4 –SANS (SysAdmin, Audit, Network, Security) Institute –The State of Texas Department of Information Resources 5 Overview ISO 17799 • Standar internasional ISO/IEC 17799 sebelumnya dikenal sebagai BS 7799 • Draft ISO 17799 disusun oleh ISO(International Organization for Standardization) dan EIC(International Electrotechnical Commision) • Dalam bidang IT, ISO dan EIC membentuk sebuah joint technical commitee yang disebut ISO/EIC JTC 6 • Setiap draft yang dihasilkan oleh ISO/EIC harus diterima terlebih dahulu oleh JTC dan dikirim kesemua badan nasional untuk dilakukan verifikasi dan pemungutan suara • Untuk meluluskan setiap publikasi ISO/EIC menjadi standar internasional diperlukan persetujuan dari minimal 75% dari seluruh badan nasional 7 Pemilihan Kontrol • Ketika kebutuhan keamanan sudah berhasil diidentifikasi, maka kontrol-kontrol harus dipilih dan dilaksanakan untuk menjamin pengurangan resiko pada level tertentu yang dapat diterima • Kontrol-kontrol dapat dipilih dari dokumen ISO 17799 atau dari kumpulan kontrol lainnya, atau dapat didisain kontrol baru untuk memenuhi kebutuhan yang spesifik 8 • Perlu untuk mengetahui bahwa ada beberapa kontrol yang tidak bisa dilaksanakan disemua lingkungan sistem informasi, misal kontrol objectif 8.1.4 tentang pemisahan tugas untuk mencegah terjadinya tindak kejahatan dan kesalahan • Kontrol harus dipilih berdasarkan biaya implementasi dalam kaitannya dengan resiko yang ingin dikurangi dan potential losses jika terjadi serangan keamanan 9 • Faktor-faktor non-moneter seperti kehilangan reputasi juga harus diperhatikan • Beberapa kontrol dalam dokumen ISO 17799 dapat digunakan sebagai petunjukpetunjuk prinsip untuk manajemen keamanan sistem dan dapat dilakukan pada kebanyakan organisasi 10 Starting Point untuk Keamanan Informasi • Ada sejumlah kontrol yang dapat digunakan sebagai prinsip-prinsip panduan yang memberikan starting point yang baik untuk implementasi keamanan informasi • Kontrol-kontrol tersebut diturunkan dari kebutuhan legislatif yang penting dan best practice yang umum untuk keamanan informasi 11 • Kontrol-kontrol yang dianggap penting bagi organisasi dari sudut pandang legislatif: – Proteksi data dan informasi perorangan yang bersifat pribadi (12.1.4) – Perlindungan terhadap data-data organisasi (12.1.3) – Hal milik intelektual (12.1.2) 12 • Kontrol-kontrol yang diturunkan dari best practice umum untuk keamanan informasi: – Dokumen kebijakan keamanan informasi (3.1) – Alokasi tanggung jawab keamanan informasi (4.1.3) – Pendidikan dan pelatihan tentang keamanan informasi (6.2.1) 13 – Pelaporan kejadian-kejadian yang berhubungan dengan keamanan (6.3.1) – Manajemen kelangsungan bisnis (11.1) 14 • Kontrol-kontrol tersebut diatas dapat diterapkan dikebanyakan organisasi dan lingkungan • Walaupun semua kontrol dalam dokumen ISO 17799 adalah penting, tetapi relevansi dari masing-masing kontrol harus ditentukan berdasarkan resiko tertentu yang dihadapi organisasi. 15 • Oleh karena itu, walaupun kontrol-kontrol diatas dapat dipakai sebagai starting point yang baik, tetapi tidak akan menggantikan pemilihan kontrol berdasarkan penilaian resiko 16 Critical Sucess Factors • Faktor-faktor berikut bersifat kritis sebagai kunci sukses implementasi keamanan informasi dalam sebuah organisasi : – Kebijakan keamanan, tujuan dan aktifitas yang menggambarkan tujuan bisnis – Pendekatan untuk melaksanakan keamanan yang konsisten dengan budaya organisasi 17 – Dukungan dan komitmen yang nyata dari pihak manajemen – Penyampaian yang efektif mengenai keamanan ke semua manager dan karyawan 18 • Distribusi panduan pada kebijakan keamanan informasi dan standarstandarnya kesemua karyawan • Menyediakan pelatihan dan pendidikan yang tepat 19 • Sistem pengukuran yang menyeluruh dan seimbang yang dipakai untuk mengevaluasi performansi manajemen keamanan informasi dan saran-saran umpan balik untuk pengembangan 20 Membangun Panduan Anda Sendiri • Jika ternyata tidak semua panduan dan kontrol dalam dokumen ISO 17799 ini dapat dilaksanakan, maka kontrol-kontrol tambahan dapat dimasukkan dalam dokumen jika dibutuhkan 21 • Jika ini terjadi, maka sangat membantu untuk melakukan cross-reference dokumen lain yang memudahkan pemenuhan pengecekan oleh auditor dan rekan bisnis 22 Point-point yang tercakup dalam ISO 17799 • ISO/IEC 17799:2000 mendefinikan 127 buah kontrol keamanan yang terstruktur dibawah 10 poin utama untuk memudahkan praktisi keamanan informasi mengidentifikasi hal-hal yang dibutuhkan untuk mengamankan bisnis dan organisasi mereka. 23 • Sepuluh poin yang tercakup pada ISO 17799 adalah: – – – – – – – – – – Security Policy Organizational Security Asset Classification and Control Personal Security Physical and Environmental Security Communication and Operations Management Access Control System Development and Maintenance Bussines Continuity Management Compliance 24 • Berikut adalah pembahasan dari kesepuluh poin tersebut. • Security Policy – Bertujuan untuk menyediakan arah manajemen dan dukungan untuk keamanan informasi. – Manajemen harus memberikan arah yang jelas dan memperlihatkan dukungan dan komitmen terhadap keamanan informasi melalui pemeliharaan kebijakan kemanan informasi dari organisasi 25 • Organizational Security – Information Security Infrastruktur • • – Bertujuan untuk mengatur keamanan informasi dalam organisasi. Sebuah kerangka manajemen harus dibuat untuk memulai dan mengontrol implementasi keamanan informasi dalam organisasi Security of Third Party Access • • • Bertujuan untuk menjaga keamanan dari fasilitas pemrosesan informasi dan aset informasi yang diakses oleh pihak ketiga. Akses oleh pihak ketiga terhadap fasilitas pemrosesan informasi sebuah organisasi harus dikontrol. Ketika sebuah bisnis membutuhkan akses dari pihak ketiga, sebuah pengujian risiko harus dilakukan untuk menentukan implikasi keamanan dan kontrol yang perlu dilakukan. Kontrol harus disetujui dan didefinisikan dalam kontrak dengan pihak ketiga. 26 • Pihak ketiga mungkin juga melibatkan pihak lain. Kontrak dengan pihak ketiga juga sebaiknya mencakup hal ini. Standar ini juga dapat digunakan sebagai basis untuk kontrak dan ketika mempertimbangkan outsourcing pemrosesan informasi. – Outsourcing • Bertujuan untuk menjaga keamanan informasi ketika tanggung jawab untuk melakukan proses pengolahan informasi telah di-outsource ke pihak lain. Pengaturan outsourcing harus memperhatikan risiko, kontrol keamanan dan prosedur terhadap sistem informasi, jaringan dan lingkungan desktop dalam kontrak terhadap pihak-pihak yang terkait. 27 • Asset Classification and Control – Accountability for Assests • – Bertujuan untuk memberikan perlindungan yang baik terhadap aset organisasi. Setiap aset informasi utama harus dicatat untuk menjamin perlindungan yang sesuai sudah diberikan terhadap aset tersebut. Pemilik harus mengindentifikaskan setiap aaset utama dan tanggung jawab perawatannya. Information Classification • • • • • Bertujuan untuk menjamin aset informasi mendapatkan perlindungan yang sesuai. Informasi harus diklasifikasikan untuk mengindikasikan kebutuhkan, prioritas dan tingkat perlindungannya. Informasi memiliki beragam tingkat sensitifitas dan kekritisannya. Beberapa item bisa saja membutuhkan perlindungan tambahan atau perlakuan khusus. Klasifikasi informasi harus digunakan untuk mendefinikan tingkat perlindungan yang sesuai, dan kebutuhan perlakuan khusus. 28 • Personal Security – Security in Job Definition and Resourcing • • • • Bertujuan untuk mengurangi kesalahan manusia, pencurian, kejahatan dan penyalahgunaan fasilitas. Tanggung jawab keamanan harus diarahkan pada tahap penerimaan, termasuk dalam kontrak, dan diawasi sepanjang masa kerja karyawan. Kandidat karyawan harus disaring sebaik mungkin dengan memperhatikan faktor keamanan, terutama untuk posisiposisi sensitif. Semua karyawan dan pihak ketiga harus menandatangani sebuah perjanjian kerahasiaan. 29 – User Training • Bertujuan untuk memastikan bahwa pengguna peduli terhadap ancaman keamanan informasi, sehingga para pengguna tersebut dapat bekerja sesuai dengan prosedur keamanan yang ada. • Pengguna harus dilatih mengenai prosedur keamanan dan penggunaan fasilitas pengolahan informasi yang benar untuk mengurangi resiko keamanan. 30 – Responding to Security Incidents and Malfunction • Bertujuan untuk mengurangi kerusakan yang terjadi dari sebuah insiden dan tidak berfungsinya keamanan serta untuk mengawasi dan belajar dari insiden yang terjadi tersebut. • Insiden yang berakibat terhadap keamanan harus dilaporkan melalui jalur manajemen yang sesuai secepat mungkin. • Semua karyawan dan kontraktor harus dibuat peduli terhadap prosedur untuk melaporkan berbagai tipe insiden yang mungkin memiliki efek terhadap keamanan organisasi. • Mereka harus segera melaporkan semua insiden terhadap orang tertentu yang telah ditetapkan. • Perusahaan juga harus menetapkan prosedur tertentu untuk menangani orang yang melakukan pelanggaran keamanan. • Untuk dapat melihat masalahnya secara benar, bisa jadi diperlukan untuk mengumpulkan bukti segera setelah kejadian. 31 • Physical and Environmental Security – Secure Areas • – Equipment Security • – Bertujuan untuk mencegah akses yang tidak diinginkan, kerusakan dan interferensi dengan pernyataan dan informasi Bertujuan untuk mencegah kerugian, kerusakan atau kompromi terhadap aset dan berhentinya aktifitas bisnis. General Control • Bertujuan untuk mencegah kompromi atau pencurian informasi dan fasilitas pengolahan informasi 32 • Communication and Operations Management – Operational Procedure and Responsibilities • • • Untuk menjamin operasi fasilitas pengolahan informasi berjalan dengan benar dan aman. Tanggung jawab dan prosedur untuk pengaturan dan operasi dari semua fasilitas pengolahan informasi harus dibuat. Termasuk pembuatan instruksi operasi dan prosedur penanganan insiden yang sesuai. 33 – System planning and Acceptance • Untuk mengurangi risiko kegagalan sistem. • Perencanaan yang matang dan persiapan dibutuhkan untuk menjamin ketersediaan kapasitas dan sumber daya yang cukup. • Proyek dari kebutuhan kapasitas di masa mendatang harus dibuat, untuk mengurangi resiko dari sistem yang kelebihan beban. kebutuhan dari sistem baru harus dibuat, didokumentasikan dan dilakukan tes untuk penerimaan dan penggunaan. 34 – Protection Againsts Malicious Software • Bertujuan untuk menjaga integritas dari software dan informasi. • Pencegahan dibutuhkan untuk mencegah dan mendeteksi adanya malicious software. • Software dan fasilitas pengolahan informasi rawan terhadap malicious software, seperti virus komputer, network worms, trojan horses, dan logic bomb. • Pengguna harus dibuat waspada terhadap bahwa malicious software dan ketika diperlukan manajer harus mengenalkan kontrol khusus untuk mendeteksi dan mencegah datangnya malicious software tersebut. • Terutama sangat penting melakukan antisipasi untuk mendeteksi dan mencegah virus di komputer. 35 – Housekeeping • Bertujuan untuk menjaga integritas dan ketersediaan dari pengolahan informasi dan layanan komunikasi. • Prosedur rutin harus dibuat untuk menjalankan strategi backup yang disetujui, mengambil salinan data yang di-backup dan mengulangi restorasi, mencatat kejadian-kejadian dan kesalahan dan ketika dibutuhkan mengawasi lingkungan peralatan. 36 – Network management • Bertujuan untuk menjamin perlindungan terhadap informasi di jaringan dan perlindungan terhadap infrastruktur pendukung. • Manajemen keamanan jaringan yang dapat merentangkan batasanbatasan organisasi membutuhkan perhatian khusus. • Kontrol tambahan dapat juga dibutuhkan untuk melindungi datadata yang sensitif yang lewat melalui jaringan publik. – Media handling and security • Bertujuan untuk mencegah kerusakan aset dan berhentinya aktifitas bisnis. • Media harus dikontrol dan dilindungi secara fisik. • Prosedur operasi yang sesuai harus dibuat untuk melindungi dokumen, media komputer, data yang keluar masuk dan dokumentasi sistem dari kerusakan, pencurian dan akses yang tidak berhak. 37 – Exchange of Information and Software • Untuk mencegah kehilangan, modifikasi atau penyalahgunaan dari pertukaran informasi antar organisasi. • Pertukaran informasi dan software antar organisasi harus dikontrol, dan harus sesuai dengan aturan yang relevan. • Pertukaran harus dilakukan berdasarkan kesepakatan. • Prosedur dan standar untuk melindungi informasi dan media dalam pengiriman harus dibuat. • Implikasi bisnis dan keamanan yang berhubungan dengan EDI (electronic data interchange), electronic commerce dan e-mail harus dikontrol. 38 • Access Control – Access Control Policy • • – Bertujuan untuk mengontrol akses terhadap informasi. Akses terhadap informasi dan proses bisnis harus dikontrol dengan dasar kebutuhan bisnis dan keamanan. User Access Management • • • • Bertujuan untuk mencegah akses yang tidak sah ke dalam sistem informasi. Prosedur formal harus ditempatkan untuk mengontrol alokasi hak ases terhadap sistem informasi dan layanan. Prosedur tersebut harus mencakup semua tingkat dari siklushidup akses pengguna, mulai dari pendaftaran pengguna baru sampai deregistrasi pengguna yang tidak lagi membutuhkan akses kedalam sistem informasi dan layanan. Perhatian khusus perlu diberikan untuk mengontrol hak akses khusus yang memungkinkan seorang pengguna untuk mengambil alih kontrol sistem. 39 – User Responsibilities • Bertujuan untuk mencegah akses pengguna yang tidak sah. • Kerjasama dari pengguna yang sah sangat penting untuk keefektifan keamanan. • Pengguna harus disadarkan terhadap tanggung jawabnya untuk menjaga kontrol akses yang efektif, terutama yang berkaitan dengan penggunaan password dan keamanan perangkat pengguna 40 – Network Access Control • Bertujuan untuk mengamankan layanan yang terhubung dengan jaringan. • Akses terhadap layanan yang terhubung jaringan baik itu internal maupun eksternal harus dikontrol. • Hal ini perlu untuk memastikan bahwa pengguna yang memiliki akses kedalam jaringan dan layanan jaringan tidak mengkompromikan keamanan dari jaringan tersebut dengan cara menjamin: – Interface yang sesuai antara jaringan di organisasi dan jaringan yang dimiliki oleh organisasi lain atau jaringan publik. – Mekanisme otentikasi yang sesuai untuk pengguna dan perangkat. – Kontrol terhadap akses pengguna ke dalam sistem informasi. 41 – Operating System Acces Control • Bertujuan untuk mencegah akses yang tidak sah kedalam sistem komputer. • Fasilitas keamanan pada level sistem operasi harus digunakan untuk membatasi akses ke sumberdaya komputer. • Fasilitas ini harus mampu untuk melakukan hal-hal sebagai berikut: – Mengidentifikasi dan mengecek ulang identitas dan jika perlu letak terminal dan lokasi dari setiap user yang sah. – Mencatat akses kedalam sistem, baik yang sukses dan gagal. – Menyediakan otentikasi yang sesuai, apabila sistem menajemen password digunakan, sistem tersebut harus menjamin password yang baik. – Membatasi waktu akses dari pengguna, ketika dibutuhkan. 42 – Application Access Control • Bertujuan untuk mencegah akses tidak sah terhadap informasi yang disimpan dalam sistem informasi. • Fasilitas keamanan harus bisa digunakan untuk membatasi akses dalam sistem aplikasi. • Akses logik ke dalam software dan informasi harus dibatasi terhadap user yang sah. • Sistem aplikasi harus : – Mengontrol akses pengguna terhadap informasi dan fungsi sistem aplikasi, sesuai dengan kebijakan akses kontrol bisnis. – Menyediakan perlindungan dari akses yang tidak sah terhadap utiliti dan software sistem operasi yang mampu untuk mengambil alih sistem atau kontrol aplikasi. – Tidak mengancam keamanan dari sistem yang lain yang menggunakan bersama-sama sumber daya informasi. – Dapat menyediakan akses informasi khusus kepada pemilik, atau sekumpulan pengguna tertentu. 43 – Monitoring System Acces and Use • Bertujuan untuk mendeteksi aktifitas yang tidak sah. • Sistem harus diawasi untuk mendeteksi penyimpangan dari kebijakan akses kontrol dan merekam kejadian-kejadian yang dapat diawasi untuk menyediakan bukti apabila terjadi insiden keamanan. • Pengawasan sistem memungkinkan pengecekan terhadap keefektifan kontrol dan kesesuaian model kebijakan akses diperiksa. 44 – Mobile Computing and Teleworking • Bertujuan untuk menjamin keamanan informasi ketika menggunakan fasilitas mobile computing dan teleworking. • Perlindungan yang diperlukan harus seimbang dengan risiko yang ditimbulkan dari cara kerja ini. • Ketika menggunakan mobile computing, risiko bekerja dalam lingkungan yang tidak terlindungi harus dipertimbangkan dan perlindungan yang sesuai harus diterapkan. • Pada kasus teleworking, organisasi tersebut harus mengaplikasikan perlindungan terhadap tempat teleworking dan menjamin pengaturan yang sesuai dilakukan untuk cara kerja ini. 45 • System Development and Maintenance – Security Requirement of System • • • • • Bertujuan untuk menjamin bahwa keamanan dibangun didalam sistem informasi. Hal ini termasuk infrastruktur, aplikasi bisnis, dan aplikasi yang dibangun oleh pengguna. Disain dan implementasi dari proses bisnis yang mendukung aplikasi atau layanan dapat bersifat vital untuk keamanan. Kebutuhan keamanan harus diidentifikasi dan disetujui dalam pembangunan sistem informasi. Semua kebutuhan keamanan, termasuk kebutuhan untuk pengaturan fallback, harus didentifikaskan pada fase pengumpulan kebutuhan dari sebuah proyek dan dijustifikasi, disetujui dan didokumentasikan sebagai bagian dari kasus bisnis keseluruhan dari sebuah sistem informasi. 46 – Security in Application System • Bertujuan untuk mencegah kehilangan, modifikasi atau penyalahgunaan data pengguna dalam sistem aplikasi. • Kontrol yang sesuai dan catatan audit harus dirancang kedalam sistem aplikasi, termasuk aplikasi yang ditulis oleh pengguna. • Hal ini seharusnya termasuk validasi dari input data, pengolahan internal dan keluaran data. 47 – Cryptographic Controls • Bertujuan untuk menjaga confidentiality, authenticity dan integrity dari informasi. • Sistem dan teknik kriptografi harus digunakan untuk pengamanan informasi yang dianggap berada dalam risiko dan juga untuk yang tidak mendapatkan perlindungan cukup. 48 – Security of System Files • Untuk menjamin bahwa proyek teknologi informasi dan aktifitas pendukungnya dilakukan dengan memperhatikan faktor keamanan. • Akses ke file-file pada sistem harus dikontrol. • Memelihara integritas sistem harus menjadi tanggung jawab dari fungsi pengguna atau grup pengembang yang memiliki sistem aplikasi atau software. 49 – Security in Development and Support Processes • Bertujuan untuk memelihara keamanan dari software sistem aplikasi dan informasi. • Proyek dan lingkungan pendukungnya harus dikontrol secara ketat. • Para manajer yang bertanggung jawab terhadap sistem aplikasi harus juga bertanggung jawab terhadap keamanan proyek dan lingkungan pendukungnya. • Mereka harus menjamin bahwa semua perubahan sistem yang diajukan sudah diperiksa dan dicek, supaya tidak terjadi pelanggaran keamanan pada sistem atau lingkungan operasi. 50 • Bussines Continuity Management – – – – – Bertujuan untuk mengantisipasi berhentinya aktifitas bisnis dan untuk melindungi proses bisnis yang kritis dari efek bencana atau kesalahan yang besar. Sebuah proses manajemen kelangsungan bisnis harus diimplementasikan untuk mengurangi gangguan yang diakibatkan oleh bencana dan kegagalan keamanan sampai ke level yang merupakan kombinasi dari pencegahan dan kontrol pemulihan. Konsekuensi dari bencana, kegagalan keamanan dan hilangnya layanan harus dianalisa. Rencana pemulihan harus dibangun dan diimplementasikan untuk menjamin bahwa proses bisnis dapat dipulihkan dalam waktu yang singkat. Rencana ini harus dipelihara dan dilatih, sehingga menjadi bagian integral dari semua proses manajemen. manajemen kelangsungan bisnis harus meliputi kontrol untuk mengidentifikasikan dan mengurangi resiko, membatasi konsekuensi dari insiden yang merusak, dan menjamin pemulihan operasi berjalan tepat waktu. 51 • Compliance – Compliance with Legal Requirement • Bertujuan untuk mencegah pelanggaran terhadap hukum pidana dan hukum perdata, regulasi dan obligasi kontrak serta kebutuhan keamanan. • Perancangan, operasi,penggunaan dan manajemen sistem informasi harus mengikuti hukum, regulasi dan kebutuhan dari kontrak keamanan. • Saran pada kebutuhan hokum tertentu harus dicari dari penasehat hukum organisasi atau praktisi hukum yang memiliki kualifikasi. • Masalah hukum ini dapat berbeda antara satu negara dengan negara yang lain. 52 – Review of Security Policy and Technical Compliance • Bertujuan untuk menjamin kesesuaian dari sistem dengan kebijakan dan standar keamanan organisasi. • Keamanan sistem informasi harus diperiksa secara berkala. • Pemeriksaan ini harus dilakukan sesuai dengan kebijakan keamanan dan platform teknis dan sistem informasi harus diaudit untuk kesesuaian dengan standar implementasi keamanan. 53 – System Audit Consideration • Bertujuan untuk memaksimalkan efektifitas dan untuk mengurangi interferensi dari/ke proses audit sistem. • Harus ada kontrol untuk mengamankan sistem yang sedang berjalan dan perangkat audit selama audit sistem. • Perlindungan juga dibutuhkan untuk mengamankan integritas dan mencegah penyalahgunaan perangkat audit. 54 #Daftar Pustaka – Dokumen ISO 17799 55