Pihak yang tidak
bertanggung-jawab:
– memodifikasi situs Internet.
– memanfaatkan kartu-kredit untuk belanja.
– memalsukan email.
– memalsukan transaksi e-commerce.
– membuat virus komputer.
– menyerang/memacetkan saluran internet.
Hal-hal yang ''teknis''
di atas, bersama yang ''non-teknis'' harus dipahami secara menyeluruh
(holistik)
Isyu Keamanan Sistem Informasi
Keperluan Sistem Informasi
– penjaminan INTEGRITAS informasi.
– pengamanan KERAHASIAN data.
– pemastian KESIAGAAN sistem Informasi.
– pemastian MEMENUHI peraturan, hukum, dan bakuan yang
berlaku.
Bidang /
Domain Keamanan Sistem Informasi
Aspek keamanan Sistem Informasi
sedemikian luasnya, sehingga dapat dibagi
menjadi 11 bidang/domain/sudut pandang.
Ke-11 bidang ini bersifat
universal, sehingga
pada prinsipnya serupa untuk berbagai
sistem operasi dan distribusi (distro).
Selintas yang ''ditinjau''
ialah itu-itu juga;
namun dari sebelas sudut pandang yang
berbeda!
11 Domain Keamanan :
Pelaksanaan Pengelolaan
Keamanan (Security
Management Practices).
Sistem dan Metodologi
Pengendalian Akses
(Access Control Systems and Methodology).
Keamanan Telekomunikasi dan
Jaringan
(Telecommunications and Network Security)
Kriptografi (Cryptography).
Model dan Arsitektur Keamanan
(Security
Architecture & Models).
Keamanan Pengoperasian (Operations Security).
Keamanan Aplikasi dan
Pengembangan
Sistem (Application and Systems Development
Security).
Rencana Kesinambungan Usaha
dan
Pemulihan Bencana (Disaster Recovery and
Business Continuity Plan -- DRP/BCP).
Hukum, Investigasi, dan Etika (Laws,
Investigations and Ethics).
Keamanan Fisik (Physical
Security).
Audit (Auditing).
1. Pelaksanaan Pengelolaan Keamanan
Mempelajari:
– mengidentifikasi asset (informasi) perusahaan
– menentukan
tingkat pengamanan asset
tersebut
– menaksir anggaran keamanan yang diperlukan
– menyelaraskan antara anggaran yang tersedia
dengan asset yang
akan dilindungi.
2. Sistem dan Metodologi Pengendalian Akses
Mempelajari:
– mekanisme/metode pengendalian akses
– identifikasi, otentifikasi dan otorisasi
– pemantauan penggunaan sistem
3. Keamanan Telekomunikasi dan Jaringan
Mempelajari:
– teknologi dan protokol jaringan
– perangkat jaringan terkait
– aspek keamanan terkait yang terkait
4. Kriptografi
Mempelajari:
– metoda dan teknik penyembunyian
5. Model dan Arsitektur Keamanan
Prinsip-prinsip
– hak minimum (least previlage)
– pertahanan berlapis (defense in depth)
– pembatasan gerbang (choke point)
– titik terlemah (weakest link)
– pengamanan kegagalan (fail-safe stance)
– partisipasi total (universal participation)
– aneka pertahanan (diversity of defense)
– kesederhanaan (simplicity)
6. Keamanan Pengoperasian
Cakupan
– pemisahan tugas dan wewenang
– alur pertanggung-jawaban (accountability)
– perekrutan Sumber Daya Manusia
– pengendalian keluaran/masukan
– pengendalian pengelolaan perubahan
– penyerangan (attack)
– penyusupan (intrusion)
– penanggulangan virus
7. Keamanan Aplikasi dan Pengembangan Sistem
Cakupan:
– Tingkatan Kerumitan Fungsi dan Aplikasi
– Data
– Pengelolaan Keamanan BasisData
– SDLC: Systems Development Life Cycle
– metodology pengembangan aplikasi
– pengendalian perubahan perangkat lunak
– program bermasalah
8. Rencana Kesinambungan Usaha dan Pemulihan Bencana
Cakupan:
– Indentifikasi Sumber Daya Bisnis
– Penentuan Nilai Bisnis
– Analisa Kegagalan (impact) Bisnis (BIA)
– Analisa Kerugian
– Pengelolaan Prioritas dan Krisis
– Rencana Pengembangan
– Rencana Implementasi
– Rencana Pemeliharaan
9. Hukum, Investigasi, dan Etika
Cakupan:
– Hukum, Aturan, dan Etika
– Transaksi Elektronis
– Hak Kekayaan Intelektual
– Pembajakan
– Undang-undang keamanan dan eksport
– Penyelidikan Kejahatan Komputer
– Privasi
10. Keamanan Fisik
Cakupan:
– Kawasan Terbatas
– Kamera Pemantau dan Detektor Pergerakan
– Bunker (dalam tanah)
– Pencegahan dan Pemadaman Api
– Pemagaran
– Peralatan Keamaman
– Alarm
– Kunci Pintu
11. Audit
Cakupan:
– Rencana Audit
– Kendali
– Tujuan Kendali
– Metoda Audit
– Testing
– Pengumpulan Bukti
– Teknik Audit Berbantuan Komputer
0 komentar:
Posting Komentar