Blueprints,
Frameworks, and Security Models
·
Sebuah framework adalah garis besar
cetak biru yang lebih menyeluruh, yang menetapkan model yang harus diikuti
dalam pembuatan desain, pemilihan, dan implementasi awal yang berkelanjutan
dari semua kontrol keamanan berikutnya, termasuk kebijakan keamanan informasi,
pendidikan keamanan, dan program pelatihan, dan kontrol teknologi. Sebuah model
keamanan adalah cetak biru generik yang ditawarkan oleh organisasi jasa. Cara
lain untuk membuat cetak biru adalah untuk melihat jalan yang diambil oleh
organisasi lain.
Access
Control Models
·
Akses kontrol mengatur penerimaan
pengguna ke daerah terpercaya dari organisasi, baik akses logis untuk sistem
informasi dan akses fisik ke fasilitas organisasi.
·
Aplikasi umum kontrol akses terdiri dari
empat proses:
ü identifikasi
ü otentikasi
ü otorisasi
ü akuntabilitas
·
Akses kontrol memungkinkan organisasi
untuk membatasi akses ke informasi, aset informasi, dan aset lainnya agar
organisasi dapat memenuhi data untuk kebutuhan bisnis yang bonafit.
·
Akses kontrol dibangun di atas beberapa
prinsip utama:
ü Least
privilege
ü Need
to Know
ü Separation
of duties
Categories of Access
Control
·
Sejumlah pendekatan yang digunakan untuk
mengkategorikan metodologi kontrol akses.
ü Preventive:
kontrol yang membantu organisasi menghindari insiden
ü Deterrent:
kontrol yang mencegah sebuah insiden baru jadi
ü Detective:
kontrol yang mendeteksi insiden ketika insiden terjadi
ü Corrective:
kontrol yang memperbaiki keadaan atau mengurangi kerusakan yang dilakukan
selama insiden
ü Recovery:
kontrol yang memulihkan kondisi operasi kembali normal
ü Compensating:
kontrol yang mengatasi kekurangan
·
Pendekatan kedua, menjelaskan dalam NIST
Special Publication Series, mengkategorikan kontrol berdasarkan dampak
operasional terhadap organisasi:
ü Manajemen:
kontrol yang mencakup proses keamanan yang dirancang oleh perencana strategis
ü Operasional:
kontrol yang berhubungan dengan fungsi operasional
ü Teknis:
kontrol yang mendukung bagian taktis program keamanan
Mandatory Access
Control
·
Mandatory access controls (MAC) adalah diperlukan
dan terstruktur dan terkoordinasi dalam skema klasifikasi data tingkat setiap
pengumpulan informasi serta setiap pengguna.
·
Ketika MAC diimplementasikan, pengguna
dan pemilik data yang memiliki kontrol terbatas atas akses terhadap sumber
informasi.
Security
Architecture Models
·
Trusted Computing Based
ü The
Trusted Computer System Evaluation Criteria (TCSEC) adalah standar DoD yang
mendefinisikan kriteria untuk mengakses kontrol akses dalam sistem komputer. TCSEC
mendefinisikan trusted computing based (TCB) sebagai gabungan semua hardware,
firmware, dan perangkat lunak yang bertanggung jawab untuk menegakkan kebijakan
keamanan. TCB ini hanya sebagai efektif sebagai mekanisme kontrol internal dan
administrasi sistem yang dikonfigurasi.
·
ITSEC
ü The
Information System Evaluation Criteria (ITSEC) kriteria internasional untuk
mengevaluasi sistem komputer.
·
The Common Criteria
ü The
Common Criteria for Information Technology Security Evaluation (kadang
dipanggil Common Criteria) merupakan standar internasional (ISO / IEC 15408)
untuk sertifikasi keamanan komputer. Bertujuan untuk adanya saling pengakuan
seluas mungkin terhadap produk keamanan IT.
·
Bell-LaPadula Confidentiality Model
ü The
Bell-LaPadula (BLP) confidentiality model adalah model state machine yang
membantu menjamin kerahasiaan sistem informasi melalui MAC, klasifikasi data,
dan izin keamanan. BLP menggunakan akses izin matriks dan kisi keamanan untuk
kontrol akses.
·
Biba Integrity Model
ü The
Biba model memberikan tingkat integritas untuk subjek dan objek menggunakan dua
sifat: integritas sederhana (baca) properti atau integritas * properti
(menulis). The Biba model memastikan bahwa tidak ada informasi dari subjek
dapat diteruskan ke objek dalam tingkat keamanan yang lebih tinggi.
·
Clark-Wilson Integrity Model
ü The
Clark-Wilson integrity model yang dibangun di atas prinsip-prinsip pengendalian
perubahan dan dirancang untuk lingkungan komersial. Model ini menetapkan sistem
hubungan subjek-objek seperti program bahwa subjek tidak memiliki akses
langsung ke objek.
·
Graham-Denning Access Control Model
ü The
Graham-Denning access control model memiliki tiga bagian: satu set objek, satu
set subjek, dan satu set hak. Model ini menjelaskan delapan hak perlindungan
primitif, yang disebut perintah.
·
Harrison-Ruzzo-Ullman Model
ü The
Harrison-Ruzzo-Ullman (HRU) model mendefinisikan metode untuk memungkinkan
perubahan untuk mengakses hak dan dan penghapusan subyek dan obyek. Dengan
menerapkan set hak dan perintah dan membatasi perintah untuk satu operasi
mungkin untuk menentukan jika dan ketika subjek tertentu dapat memperoleh hak
tertentu kepada suatu objek.
·
Brewer-Nash Model (Chinese Wall)
ü The
Brewer-Nash model dirancang untuk mencegah konflik kepentingan antara dua
pihak.The Brewer-Nash Model mengharuskan pengguna untuk memilih salah satu dari
dua set bertentangan data, setelah itu mereka tidak dapat mengakses data yang
bertentangan.
Security
Management Models
Ø The
ISO 27000 Series
ü ISO
/ IEC 27001 memberikan informasi tentang bagaimana menerapkan ISO / IEC 27002
dan bagaimana untuk mendirikan sebuah information security management system
(ISMS).
Ø NIST
Security Models
ü NIST
khusus publikasi 800-12, Computer Security Handbook, merupakan referensi yang
sangat baik dan panduan untuk manajemen rutin keamanan informasi.
ü NIST
publikasi khusus 800-14, Generally Accepted Principles and Practices for
Securing Information Technology Systems, menggambarkan praktik yang direkomendasikan
dan menyediakan informasi mengenai prinsip-prinsip yang diterima secara umum terhadap
keamanan informasi yang dapat mengarahkan tim keamanan dalam pengembangan cetak
biru keamanan.
ü NIST
khusus publikasi 800-18 Rev.1, Guide for Developing Security Plans for
Federal Information Systems, menyediakan metode rinci untuk menilai,
merancang, dan menerapkan kontrol, dan rencana untuk aplikasi berbagai ukuran.
ü NIST
khusus publikasi 800-26 Security Self-Assessment Guide for
Information Technology Systems, menjelaskan 17 daerah
yang mencakup manajerial, operasional, dan teknis kontrol.
ü NIST
khusus publikasi 800-30 Risk Management Guide for Information
Technology Systems, memberikan landasan bagi pengembangan
program manajemen risiko yang efektif, yang mengandung definisi dan panduan
praktis yang diperlukan untuk menilai dan mengurangi risiko diidentifikasi
dalam sistem TI.
Ø SP
800-53A
ü SP
800-53A berfungsi sebagai panduan pendamping untuk SP 800-53: Kontrol Keamanan
Direkomendasikan untuk Sistem Informasi Federal. Dokumen ini menyediakan sistem
pendekatan siklus hidup pengembangan untuk penilaian keamanan sistem informasi.
Ø COBIT
ü Control
Objectives for Information and Related Technology (COBIT) memberikan nasihat
tentang pelaksanaan kontrol suara dan tujuan pengendalian untuk keamanan informasi.
Tujuan pengendalian dikategorikan dalam empat domain: merencanakan dan
mengatur, memperoleh dan melaksanakan, memberikan dan mendukung, dan memonitor
dan mengevaluasi.
Ø COSO
ü Committee
of Sponsoring Organizations of the Treadway Commission (COSO) memiliki tujuan
utama adalah untuk mengidentifikasi faktor-faktor yang menyebabkan kecurangan
pelaporan keuangan dan untuk membuat rekomendasi untuk mengurangi insiden. Kerangka
COSO dibangun di atas lima komponen yang saling terkait: lingkungan pengendalian,
penilaian risiko, aktivitas pengendalian, informasi dan komunikasi, dan
pemantauan.
Ø Information
Technology Infrastructure Library
ü The
Information Technology Infrastructure Library (ITIL) adalah kumpulan metode dan
praktik untuk mengelola pembangunan dan pengoperasian infrastruktur teknologi
informasi.
Ø Information
Security Governance Framework
ü
The Information Security Governance
Framework adalah model manajerial yang disediakan oleh kelompok kerja industri,
www.CyberPartnership.org, dan merupakan hasil dari upaya pembangunan oleh
National Cyber Security Summit Task Force. Kerangka tersebut menetapkan bahwa
setiap unit organisasi independen harus mengembangkan, dokumen, dan menerapkan
program keamanan informasi. Dokumen tersebut juga merekomendasikan bahwa setiap
organisasi harus menetapkan jelas efektif pelaporan,, periodik dari
masing-masing unit organisasi tentang program keamanan informasi.
