FIPS 200, ISO/IEC 19770-1, dan NIST 800-14

AUDIT TEKNOLOGI SISTEM INFORMASI

 

DISUSUN OLEH

ARYA DWI PRAMUDITA             (11115069)

MOHAMMAD FAISAL .H             (14115280)

RIZKI APRILIA DWIJAYANTI   (16115138)

SISTEM INFORMASI

UNIVERSITAS GUNADARMA

PTA 2018/2019

BAB 1. PENDAHULUAN

Postingan ini bertujuan sebagai revisi tugas 3

1.1       FIPS 200

Federal Information Processing Standard (atau dapat disebut sebagai FIPS) adalah sebuah framework yang pertama kali diterbitkan pada Maret 2006, dengan pengembang dan penerbit dari standar ini adalah organisasi bernama The National Institute of Standard and Technology (atau disingkat sebagai NIST). Framework ini dirancang sebagai framework audit teknologi informasi (TI) di lembaga-lembaga milik pemerintah Amerika Serikat, yang artinya adalah penerapan framework ini hanya dapat dilakukan di dalam wilayah Amerika Serikat itu sendiri.

Salah satu framework FIPS yang diterbitkan oleh NIST adalah FIPS Publication 200 (sering disebut sebagai FIPS PUB 200 atau FIPS 200 saja), dengan standar yang didefinisikan merupakan standar audit TI untuk kategori keamanan yang diaplikasikan dalam proses pengembangan, penerapan serta pengoperasian dari sistem TI yang aman. Cakupan dari FIPS 200 meliputi 17 area berikut ini:

1)      Kendali terhadap akses (Access Control)

2)      Kewaspadaan dan pelatihan (Awareness and Training)

3)      Audit dan akuntabilitas (Audit and Accountability)

4)      Sertifikasi, akreditasi dan penilaian keamanan (Certification, Accreditation and Security Assessments)

5)      Pengelolaan konfigurasi (Configuration Management)

6)      Perencanaan hal tak terprediksi (Contingency Planning)

7)      Identifikasi dan otentikasi (Identification and Authentication)

8)      Respon terhadap insiden (Incident Response)

9)      Perawatan (Maintenance)

10)  Perlindungan media (Media Protection)

11)  Perlindungan fisik dan lingkungan (Physical and Environmental Protection)

12)  Perencanaan (Planning)

13)  Keamanan personil (Personnel Security)

14)  Penilaian risiko (Risk Assessment)

15)  Akuisisi sistem dan pelayanan (Systems and Services Acquisition)

16)  Perlindungan sistem dan komunikasi (System and Communications Protection)

17)  Integritas sistem dan informasi (System and Information Integrity)

Meskipun begitu, FIPS 200 memberikan syarat bahwa semua lembaga yang ingin menerapkan standar ini harus mengacu kepada NIST Special Publication 800-53 (seringkali disebut sebagai NIST 800-53) sebagai kendali minimum yang wajib diterapkan dalam proses penerapan standar yang diberikan oleh FIPS 200. Ini dikarenakan NIST 800-53 memiliki fungsi sebagai standar dan panduan praktik keamanan dalam penerapan keamanan dunia siber yang bersesuaian dengan peraturan hukum. Ini menjadikan FIPS 200 (bersama dengan NIST 800-53) sebagai framework audit TI yang disarankan dalam dunia industri maupun lembaga pemerintahan di Amerika Serikat.

1.2       ISO/IEC 19770-1

Framework ISO/IEC 19770-1 adalah salah satu dari sekian banyak framework yang didefinisikan oleh ISO untuk bidang TI. Secara dasar framework ini menjelaskan tentang persyaratan untuk pembentukan, penerapan, perawatan dan perbaikan dari sistem pengelolaan terhadap aset TI. Dalam versi terbarunya yang dirilis pada Desember 2017 (umumnya disebut sebagai ISO/IEC 19770-1:2017), framework ISO/IEC 19770-1 membutuhkan penerapan dari framework ISO 55001 versi 2014 (dikenal sebagai ISO 55001:2014) yang menjelaskan persyaratan terhadap sebuah sistem pengelolaan aset dan berbagai persyaratan lainnya yang dianggap perlu untuk melakukan pengelolaan terhadap aset TI. Hanya saja yang menjadi pembeda dari ISO/IEC 19770-1 dengan ISO 55001:2014 adalah adanya persyaratan untuk melakukan pengelolaan aset perangkat lunak dengan karakteristik masing-masing yang terperinci.

Dalam framework ini dijelaskan bahwa sistem pengelolaan aset TI harus dapat menangani hal-hal berikut:

1)      Kendali atas perubahan, penggandaan dan penyebaran dari perangkat lunak dengan penekanan khusus terhadap kendali akses dan integritas

2)      Jejak dari audit terhadap otorisasi dan perubahan yang dilakukan kepada aset TI

3)      Kendali atas lisensi (berikut dengan underlicensing dan overlicensing) serta kepatuhan terhadap persyaratan dan ketentuan dari lisensi tersebut

4)      Kendali atas situasi yang melibatkan kepemilikan campuran dan tanggungjawab

5)      Rekonsiliasi dari data pengelolaan aset IT dengan data dari sistem informasi lainnya saat dicocokkan oleh nilai bisnis, terutama dengan sistem informasi bisnis yang merekam aset dan pengeluaran

Umumnya framework ISO/IEC 19770-1 ditujukan untuk penggunaan oleh mereka yang terlibat dalam hal-hal berikut:

1)      Pembentukan, penerapan, perawatan dan perbaikan dari sistem pengelolaan aset TI

2)      Aktivitas yang berkaitan dengan pengelolaan aset TI, termasuk pula mereka yang bertugas sebagai penyedia layanan

3)      Pihak dalam dan luar yang ingin melakukan penilaian terhadap kemampuan dari sebuah organisasi dalam memenuhi persyaratan yang diberikan oleh organisasi tersebut maupun persyaratan hukum, peraturan dan kontrak yang berlaku.

1.3       NIST 800-14

Framework NIST 800-14 adalah sebuah framework buatan NIST yang didesain untuk memberikan panduan dasar terhadap berbagai lembaga maupun perusahaan untuk melakukan penyusunan dan peninjauan strategi keamanan sistem TI milik lembaga dan perusahaan tersebut. Isi dari framework ini meliputi berbagai persyaratan keamanan khusus yang wajib untuk dipatuhi oleh semua lembaga dan perusahaan dalam rangka mengamankan sumber daya TI secara benar.

Berikut ini adalah beberapa persyaratan kunci dari NIST 800-14 yang wajib dipatuhi oleh lembaga dan perusahaan:

1)      Akuntabilitas perorangan dengan melacak tindakan pengguna

Berdasarkan peraturan yang diberikan oleh NIST, setiap pengguna dalam suatu sistem memiliki tanggungjawab atas seluruh tindakan yang mereka lakukan dalam penggunaan sumber daya yang terdapat pada sistem tersebut.

2)      Rekonstruksi tindakan pengguna dengan investigasi pasca kejadian

NIST mewajibkan bagi setiap perusahaan atau lembaga untuk merekam setiap aktivitas yang terjadi dalam sistem, dengan setiap rekam jejak tersebut memiliki informasi yang cukup untuk mengetahui kejadian apa saja yang terjadi serta siapa atau apa yang menjadi penyebab dari kejadian tersebut, termasuk dalam hal ini kejadian pembobolan data dalam sistem.

3)      Deteksi intrusi saat terjadi kejadian atau pasca kejadian

Rekam jejak aktivitas dari seorang penguna dalam suatu sistem akan berguna pada proses untuk mendeteksi terjadinya intrusi pada sistem tersebut. Kecepatan dan ketepatan dalam mendeteksi dan menghapus intrusi tersebut akan mencegah data yang terdapat di dalam sistem dari bahaya terkena masalah akibat intrusi tersebut. Jika gagal, maka ini akan menimbulkan kerusakan pada data yang bahkan berdampak pada masalah dari lembaga atau perusahaan itu sendiri.

4)      Identifikasi masalah melalui audit dan pengawasan

Perangkat keamanan yang dipergunakan dalam melindungi sistem dari masalah seperti pembobolan data dan serangan-serangan siber dapat pula dipergunakan untuk membantu proses audit dan pengawasan yang berfungsi untuk melakukan identifikasi masalah pada sistem seperti tidak berjalannya integrasi dengan baik dan perubahan pada kode.

Dalam framework ini dijelaskan berbagai praktik yang umumnya dipergunakan dalam rangka mewujudkan keamanan dalam sistem TI. Tujuan dari berbagai praktik tersebut adalah untuk memberikan standar minimum dari program keamanan sistem TI yang efektif untuk diaplikasikan dalam sistem yang telah ada di dalam sebuah lembaga atau perusahaan. Berikut ini adalah daftar dari praktik keamanan sistem TI yang dijadikan sebagai standar minimum oleh NIST dalam framework NIST 800-14:

1)      Kebijakan

2)      Pengelolaan program

3)      Pengelolaan risiko

4)      Perencanaan siklus hidup

5)      Masalah pengguna

6)      Persiapan terhadap hal tak terprediksi dan bencana

7)      Penanganan insiden keamanan komputer

8)      Kewaspadaan dan pelatihan

9)      Pertimbangan keamanan dalam dukungan komputer dan operasi

10)  Keamanan fisik dan lingkungan

11)  Identifikasi dan otentikasi

12)  Kendali akses logis

13)  Jejak audit

14)  Kriptografi

BAB 2 PERBANDINGAN

Berikut ini adalah tabel berisi perbandingan dari ketiga framework yang telah dibahas di bab 1, dengan masing-masing framework tersebut memiliki cakupan standar tersendiri.

BAB 3 CONTOH KASUS

Software Assets Managment: A Cost Saving Factor

Software Assets Managment (SAM) adalah sebuah praktek yang mengatur dan mengelola aset software pada suatu perusahaan secara efisien.Lisensi software saat ini sudah memakan 20% dari biaya IT pada suatu perusahaan, dan akan terus meningkat di masa yang akan datang. SAM merupakan kunci untuk kesuksesan pada pengelolaan aset software suatu perusahaan. SAM membantu untuk mengelola pengeluaran biaya software, diskon, kontrak lisensi, dan peluncuran software secara efisien.

Tujuan dari SAM adalah untuk mengurangi biaya IT dan operasionalnya, finansial, dan resiko terhadap lisensi suatu software. Tidak perlu diingatkan lagi bahwa implementasi SAM yang baik dapat memberikan keuntungan kepada perusahaan. Keuntungan – keuntungan ini harus melebihi biaya implementasi.

SAM mengacu pada framework ISO/IEC 19770-1, sehingga kategori aset software SAM sama seperti ISO/IEC 19770-1, yaitu:

1.      Software yang memiliki mempunyai hak (rights).

2.      Software yang memiliki the intellectual property value of sotware.

3.      Media yang memegang software sejenis yang digunakan untuk kepentingan media.

            Saat suatu perusahaan atau organisasi membuat baru SAM, ada perlunya SAM yang baru ini di audisi terlebih dahulu untuk memastikan keefektivitas dan maturitas yang dimiliki SAM yang baru. Salah satu SAM yang sudah ada adalah Microsoft Software Assets Managment (SAM) Optimization Model.

            Microsoft mendesain SAM Optimization Model dengan menggunakan standar ISO/IEC 19770-1. Microsoft SAM Optimization Model membantu sebuah perusahaan atau organisasi mengevaluasi SAM mereka tanpa harus mengintepretasi dan mengadaptasi ISO 19770-1 secara langsung.

            Setelah SAM lolos dari audisi Microsoft SAM Optimization Model, suatu organisasi atau perusahaan dapat mengimplementasikan SAM mereka untuk mengelola aset software mereka.

            Pada gambar dibawah menunjukkan hasil dari penggunaan SAM untuk mengontrol penggunaan aset software dalam organisasi.

Gambar (a) menunjukkan catatan untuk aset software yang dibeli, Gambar (b) menunjukkan catatan untuk software yang digunakan pada organisasi.

Gambar (c) dan (d) menunjukkan laporan untuk software yang tidak terlisensi dan date expiration.

Gambar (e) memberikan laporan untuk total biaya yang dikeluarkan untuk aset software yang dibeli. Laporan – laporan diatas akan membantu untuk memilih keputusan dalam pembelian aset software. Gambar (f) menampilkan rangkuman dari penggunaan software dan rangkuman ini membantu untuk mengidentifikasi redundansi software.

DAFTAR PUSTAKA

[1] The National Institute of Standards and Technology, 2006. Minimum Security Requirements for Federal Information and Information Systems (FIPS 200), Department of Commerce, USA.

[2] Anonim, 2017. ISO/IEC 19770-1:2017(en) Information Technology – IT asset management, [online], (https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-1:ed-3:v1:en, diakses tanggal 14 Januari 2019)

[3] Friedlander, Gaby, 2015. NIST 800-14–Principles and Practices for Securing IT Systems, [online], (https://www.observeit.com/blog/nist-800-14-principles-and-practices-securing-it-systems/, diakses tanggal 14 Januari 2019)

[4] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)

[5] Okide, Samuel. Dkk. 2017. Software Assest Managment: A Cost Saving Factor. International Journal of Innovative Research in Science, Engineering and Technology.