Tujuan Audit dan Prosedurnya
1. Tujuan perencanaan pemulihan bencana
Romney (2000:298-301) berpendapat bahwa perencanaan pemulihan dari bencana bertujuan untuk mempermudahkan dan mempercepat kapasitas proses data sebelum, pada waktu dan sesudah bencana. tujuan dari perencanaan pemulihan adalah untuk mencegah perpanjangan interupsi proses data dan operasi bisnis akibat kebakaran, bencana alam, sabotase dan vandalisme. perencanaan pemulihandari bencana terdiri dari :
Backup data berfungsi menghindari kerusakan permanen pada files. semua program dan data harus sering di Backup secara teratur dan disimpan dalam tempat yang aman untuk menghindari penggandaan hardware dan software
Prosedur Pengendalian :
* Otorisasi manajemen atas pengembangan program dan persetujuannya untuk spesifikasi pemrograman
* –Persetujuan pemakai atas spesifikasi pemrograman
* –Pengujian keseluruhan atas program yang baru
* –Pengujian penerimaan oleh pemakai
* –Dokumentasi sistem yang lengkap
2. Pengendalian toleransi kegagalan sistem:
Berkaitan dengan keamanan system informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol yang dapat dilakukan untuk pengamanan sistem informasi antara lain: 1. Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal berikut:
• Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
• Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
• Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
• Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
• Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
2. Kontrol Pengembangan dan Pemeliharaan Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.
3. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan. Termasuk dalam kontrol ini:
• Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya.
• Kontrol terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.
• Kontrol terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.
• Kontrol terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
• Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.
3. Pengendalian Keseluruhan Sistem
Tujuan yaitu:
* Pengendalian keamanan fisik memadai untuk secara wajar melindungi perusahan dari eksposur fisik.
* jaminan atas perlengkapan telah memadai untuk dapat memberikan kompensasi pada perusahaan jika terjadi kehancuran atau kerusakan atas pusat komputer terkait.
* dokumentasi operator memadai untuk dapat menagani kegagalan sistem.
prosedur audit:
* Pengujian konstruksi fisik
* Pengujian Sistem deteksi kebakaran
* Pengujian pengendalian akses
* Pengujian pasokan listrik cadangan
* Pengujian cakupan asuransi
* Pengujian Pengendalian Dokumentasi operator
4. Kebijakan password/kata sandi:
1. memverifikasi bahwa semua pengguna diharuskan memiliki kata sandi.
2. memverifikasi bahwa semua pengguna diberikan arahan dalam penggunaan kata sandi mereka dan peran penting pengendalian kata sandi.
3. nilai kecukupan standar kata sandi seperti dalam hal panjangnya dan interval kadaluwarsanya.
5. Pengendalian jejak audit elektronik:
Daftar yang dapat didesain untuk mencatat berbagai aktivitas dalam tingkat sistem, aplikasi, dan pengguna. Jika diimplementasikan dengan benar, jejak audit memberikan pengendalian deteksi yang penting untuk membantu mewujudkan tujuan kebijakan keamanan. Jejak audit biasanya terdiri dari dua jenis data audit yaitu daftar terperinci mengenai tiap ketikan dan daftar yang berorientasi pada peristiwa.
6. Pengembang Sistem dan Prosedur Pemeliharaan yang tidak memadai
Tujuan:
* Memverifikasi bahwa ada pengendalian untuk melindungi data, program, dan komputer dari akses secara tidak sah, manipulasi penghancuran dan pencurian.
* Memverifikasi kecukupan supervisi dan prosedur operasi untuk mengimbangi kurangnya pemisahan berbagai pekerjaan antara pengguna, programer, dan operator.
* Memverifikasi bahwa prosedur pemilihan dan pengadaan sistem menghasilkan aplikasi yang berkualitas tinggi, dan melindungi dari perubahan yang tidak sah.
* Memverifikasi bahwa ada prosedur pembuatan cadangan untuk mencegah kehilangan data serta program karena kegagalan sistem, kesalahan, dan sebagainya.
* Memverifikasi bahwa sistem bebas dari virus dan cukup terlindungi untuk meminimalkan resiko terinfeksi virus atau objek yang hampir sama lainnya.
Prosedur Audit :
* Auditor harus memverifikasi bahwa mikrokomputer serta file-nya secara fisik terkendali. Komputer desktop seharusnya di buat permanen unutuk mengurangi peluang terjadinya pemindahan. kunci harus ada untuk menutup kemungkinan input dari keyboard dan drive A.
* Auditor harus mengkonfirmasikan bahwa laporan transaksi yang di proses, daftar akun yang diperbarui, dan total pengendalian dibuat, disebarluaskan, dan direkonsiliasi oleh pihak manajemen yang terkait secara reguler dan tepat waktu.
* Auditor harus memverifikasi dari struktur organisasi, deskripsi pekerjaan, dan observasinya bahwa para programer palikasi yang melakukan fungsi keuangan yang signifikan tidak mengoperasi pula berbagai sitem tersebut. Dalam unit perusahaan yang lebih kecil di mana pemisahan fungsi akan menjadi tidak praktis, auditor harus memverifikasi bahwa ada supervisi yang memadai atas berbagai pekerjaan ini.
* Jika dibutuhkan, auditor harus menentukan apakan pengendalian kata sandi multitingkat digunakan untuk membatasi akses ke data dan aplikasi.
* Jika digunakan hard drive yang dapat dipindahkan, auditor harus memverifikasi bahwa drive terkait dipindahkan dan disimpan dalam sebuah lokasi yang aman ketika digunakan.
* Dengan memilih satu sample file cadangan, auditor dapat memverifikasi bahwa prosedur pembuatan cadangan dapat ditaati. Degan memmbandingkan nilai data dan tanggal disket cadangan, untuk file produksi, auditor dapat menilai frekuensi dan kecukupan prosedur pembuatan cadangan.
* Auditor harus memverifikasi bahwa kode sumber aplikasi secara fisik aman (seperti disimpan dalam lemari besi) dan bahwa hanya versi kompilasinya saja yang disimpan di mikrokomputer.
* Dengan mengkaji pengendalian pemilihan dan pengendalian sistem, auditor harus memverifikasi bahwa peranti lunak komersial yang digunakan dalam mikrikomputer dibeli dari vendor yang bereputasi untuk memastikan bahwa kebutuhan pengguna telah dipertimbangkan penuh dan bahwa peranti lunak yang dibeli memenuhi kebutuhan tersebut.
* Auditor harus mengkaji berbagai teknik mengendalikan virus.
Senin, 22 November 2010
Kebijakan Biometrics,Computer Forensics,Computer Security dan Networking Biometrics
*Biometric Consortium Conference 2008 Will Be Held Sept. 23-25/Biometric Konsorsium Conference 2008 Akan Dimiliki 23-25 September
Biometric Konsorsium Conference 2008, yang akan diadakan di Tampa, Florida, 23-25 September, akan berfokus pada teknologi biometrik untuk keamanan tanah air, manajemen identitas, perbatasan, perdagangan elektronik dan aplikasi lainnya. Ini akan mencakup dua setengah hari presentasi, seminar dan diskusi panel dengan partisipasi para ahli yang diakui secara internasional dalam teknologi biometrik, sistem dan pengembang aplikasi, TI strategi bisnis, dan pemerintahan dan petugas komersial.
Lokakarya, diskusi panel sesi dan menampilkan lebih dari 100 pembicara akan fokus pada peran penting bahwa biometrik bisa bermain di identifikasi dan verifikasi individu di pemerintahan dan aplikasi komersial di seluruh dunia.
Lebih dari 1000 peserta diharapkan untuk hadir, termasuk perwakilan dari 60 lembaga federal, negara bagian dan lokal, 25 universitas, industri biometrik, system integrator dan pengguna. Topik akan menyertakan laporan baru-baru ini diterbitkan dari Sains dan Teknologi Nasional Dewan Task Force on Identity Management. Duane Blackburn, analis kebijakan dari Gedung Putih Kantor Sains dan Teknologi, akan moderat diskusi panel tentang laporan tersebut dan menyampaikan pidato pembukaan pada kebijakan pemerintah biometrik.
Konferensi ini sedang disponsori oleh Institut Nasional Standar dan Teknologi, Badan Keamanan Nasional, Departemen Keamanan Dalam Negeri, Departemen Pertahanan Biometric Task Force, National Institute of Justice, Kantor Teknologi Strategi Layanan Umum Administrasi, Departemen Pusat Volpe Transportasi dan Angkatan Bersenjata Komunikasi dan Asosiasi Electronics.
http://www.nist.gov/itl/csd/biometric_090308.cfm - 19k - 2010-10-05
Computer Forensics
Salah satu kebijakan Computer Forensics :
*Computer Forensics Tool Testing (CFTT)/ Forensik Komputer Alat Testing
Ada kebutuhan kritis dalam komunitas penegakan hukum untuk menjamin kehandalan alat komputer forensik. Tujuan dari proyek (CFTT) Komputer Forensik Alat Pengujian di Institut Nasional Standar dan Teknologi (NIST) adalah untuk menetapkan metodologi untuk pengujian perangkat lunak komputer forensik dengan pengembangan spesifikasi alat umum, prosedur pengujian, kriteria uji, set uji, dan uji perangkat keras. Hasil menyediakan informasi yang diperlukan untuk toolmakers untuk meningkatkan alat, bagi pengguna untuk membuat pilihan informasi tentang mendapatkan dan menggunakan alat komputer forensik, dan bagi pihak yang berkepentingan untuk memahami kemampuan alat. kemampuan A diperlukan untuk memastikan bahwa perangkat lunak forensik secara konsisten menghasilkan hasil tes yang akurat dan obyektif. Pendekatan kami untuk pengujian alat komputer forensik didasarkan pada metodologi internasional yang diakui untuk menguji kesesuaian dan pengujian kualitas.
http://www.nist.gov/itl/ssd/cs/forensics-tool-testing.cfm - 19k - 2010-10-05
Computer Security Division
Salah satu kebijakan Computer Forensics :
*Access Control Policy Tool/Access Control Kebijakan Tool (ACPT)
Kontrol akses (AC) sistem adalah yang paling penting komponen keamanan informasi. kebijakan yang salah, misconfigurations, atau kelemahan dalam implementasi perangkat lunak dapat mengakibatkan kerentanan serius. Spesifikasi kebijakan kontrol akses sering menjadi masalah yang menantang. Adalah umum bahwa privasi dan keamanan sistem terganggu karena misconfiguration kebijakan kontrol akses bukan kegagalan primitif kriptografi atau protokol. Masalah ini menjadi semakin parah sebagai sistem perangkat lunak menjadi lebih dan lebih kompleks, dan dikerahkan untuk mengelola sejumlah besar informasi sensitif dan sumber daya yang disusun dalam struktur yang canggih. Mengidentifikasi perbedaan antara spesifikasi kebijakan dan sifat mereka (fungsi dimaksud) adalah penting karena pelaksanaan yang benar dan penegakan kebijakan oleh aplikasi ini didasarkan pada premis bahwa spesifikasi kebijakan sudah benar. Akibatnya, spesifikasi kebijakan harus menjalani verifikasi dan validasi yang ketat melalui pengujian sistematis untuk memastikan bahwa spesifikasi kebijakan yang benar-benar merangkum keinginan penulis kebijakan. Untuk memberikan keyakinan tersebut, proyek ini akan mengembangkan generasi baru Access Control Kebijakan Pengujian (ACPT) alat. ACPT ini memungkinkan penulis kebijakan untuk mudah menentukan model kontrol akses (seperti RBAC dan model Multi-Level) dan aturan serta sifat akses kontrol. Dari model tertentu dan aturan, ACPT otomatis mensintesis kebijakan deployable dan komprehensif tes dan memverifikasi kebijakan terhadap sifat-sifat tertentu, kemudian melaporkan ke penulis kebijakan tentang masalah terdeteksi dalam kebijakan untuk mencegah meninggalkan lubang keamanan dalam kebijakan sebelum penyebaran. ACPT ini akan tersedia untuk penulis kebijakan nasional dalam memberikan tingkat keamanan keyakinan tinggi untuk kebijakan mereka.
Dalam prakteknya, kebijakan kontrol akses yang sama dapat menyatakan model kontrol akses ganda berbeda atau mengekspresikan model tunggal di samping keterbatasan akses kontrol tambahan di luar model. Memastikan kesesuaian model kontrol akses dan kebijakan merupakan tugas non-sepele dan kritis. Namun, spesifikasi yang sesuai kebijakan kontrol akses adalah masalah yang sangat menantang. Masalah ini menjadi semakin parah sebagai suatu sistem menjadi lebih dan lebih kompleks, dan dikerahkan untuk mengelola sejumlah besar informasi yang sensitif atau pribadi dan sumber daya.
ACPT adalah implementasi referensi proyek penelitian NIST: "Verifikasi Generik Access Control Model" dengan kemampuan lebih diperpanjang.
Gambar berikut menunjukkan arsitek ACPT tersebut.
kebijakan kontrol akses alat diagram
http://www.nist.gov/itl/csd/set/acpt.cfm - 27k - 2010-10-05
Networking
Salah satu kebijakan Networking :
*Cyber and Network Security/Cyber dan Keamanan Jaringan
Cyber dan keamanan jaringan difokuskan pada tujuan memastikan keamanan tiga sistem teknologi informasi: kerahasiaan, integritas, dan ketersediaan. Cyber dan Jaringan Program Jaminan alamat tanggung jawab hukum NIST dalam domain dan isu-isu ilmiah dekat dan jangka panjang dalam beberapa blok bangunan TI dan keamanan jaringan - kriptografi, keamanan pengujian dan evaluasi, kontrol akses, internetworking layanan dan protokol ( Domain Name System, Border Gateway Protocol, IPv6, Wi-Max, dll), keamanan metrik, analisis kerentanan, otomatisasi keamanan, dan sifat keamanan. Upaya ini akan memberikan landasan yang lebih ilmiah untuk cybersecurity, tetap menjaga fokus pada isu-isu keamanan jangka dekat dalam teknologi muncul.
http://www.nist.gov/itl/cns/index.cfm - 20k - 2010-10-05
Biometric Konsorsium Conference 2008, yang akan diadakan di Tampa, Florida, 23-25 September, akan berfokus pada teknologi biometrik untuk keamanan tanah air, manajemen identitas, perbatasan, perdagangan elektronik dan aplikasi lainnya. Ini akan mencakup dua setengah hari presentasi, seminar dan diskusi panel dengan partisipasi para ahli yang diakui secara internasional dalam teknologi biometrik, sistem dan pengembang aplikasi, TI strategi bisnis, dan pemerintahan dan petugas komersial.
Lokakarya, diskusi panel sesi dan menampilkan lebih dari 100 pembicara akan fokus pada peran penting bahwa biometrik bisa bermain di identifikasi dan verifikasi individu di pemerintahan dan aplikasi komersial di seluruh dunia.
Lebih dari 1000 peserta diharapkan untuk hadir, termasuk perwakilan dari 60 lembaga federal, negara bagian dan lokal, 25 universitas, industri biometrik, system integrator dan pengguna. Topik akan menyertakan laporan baru-baru ini diterbitkan dari Sains dan Teknologi Nasional Dewan Task Force on Identity Management. Duane Blackburn, analis kebijakan dari Gedung Putih Kantor Sains dan Teknologi, akan moderat diskusi panel tentang laporan tersebut dan menyampaikan pidato pembukaan pada kebijakan pemerintah biometrik.
Konferensi ini sedang disponsori oleh Institut Nasional Standar dan Teknologi, Badan Keamanan Nasional, Departemen Keamanan Dalam Negeri, Departemen Pertahanan Biometric Task Force, National Institute of Justice, Kantor Teknologi Strategi Layanan Umum Administrasi, Departemen Pusat Volpe Transportasi dan Angkatan Bersenjata Komunikasi dan Asosiasi Electronics.
http://www.nist.gov/itl/csd/biometric_090308.cfm - 19k - 2010-10-05
Computer Forensics
Salah satu kebijakan Computer Forensics :
*Computer Forensics Tool Testing (CFTT)/ Forensik Komputer Alat Testing
Ada kebutuhan kritis dalam komunitas penegakan hukum untuk menjamin kehandalan alat komputer forensik. Tujuan dari proyek (CFTT) Komputer Forensik Alat Pengujian di Institut Nasional Standar dan Teknologi (NIST) adalah untuk menetapkan metodologi untuk pengujian perangkat lunak komputer forensik dengan pengembangan spesifikasi alat umum, prosedur pengujian, kriteria uji, set uji, dan uji perangkat keras. Hasil menyediakan informasi yang diperlukan untuk toolmakers untuk meningkatkan alat, bagi pengguna untuk membuat pilihan informasi tentang mendapatkan dan menggunakan alat komputer forensik, dan bagi pihak yang berkepentingan untuk memahami kemampuan alat. kemampuan A diperlukan untuk memastikan bahwa perangkat lunak forensik secara konsisten menghasilkan hasil tes yang akurat dan obyektif. Pendekatan kami untuk pengujian alat komputer forensik didasarkan pada metodologi internasional yang diakui untuk menguji kesesuaian dan pengujian kualitas.
http://www.nist.gov/itl/ssd/cs/forensics-tool-testing.cfm - 19k - 2010-10-05
Computer Security Division
Salah satu kebijakan Computer Forensics :
*Access Control Policy Tool/Access Control Kebijakan Tool (ACPT)
Kontrol akses (AC) sistem adalah yang paling penting komponen keamanan informasi. kebijakan yang salah, misconfigurations, atau kelemahan dalam implementasi perangkat lunak dapat mengakibatkan kerentanan serius. Spesifikasi kebijakan kontrol akses sering menjadi masalah yang menantang. Adalah umum bahwa privasi dan keamanan sistem terganggu karena misconfiguration kebijakan kontrol akses bukan kegagalan primitif kriptografi atau protokol. Masalah ini menjadi semakin parah sebagai sistem perangkat lunak menjadi lebih dan lebih kompleks, dan dikerahkan untuk mengelola sejumlah besar informasi sensitif dan sumber daya yang disusun dalam struktur yang canggih. Mengidentifikasi perbedaan antara spesifikasi kebijakan dan sifat mereka (fungsi dimaksud) adalah penting karena pelaksanaan yang benar dan penegakan kebijakan oleh aplikasi ini didasarkan pada premis bahwa spesifikasi kebijakan sudah benar. Akibatnya, spesifikasi kebijakan harus menjalani verifikasi dan validasi yang ketat melalui pengujian sistematis untuk memastikan bahwa spesifikasi kebijakan yang benar-benar merangkum keinginan penulis kebijakan. Untuk memberikan keyakinan tersebut, proyek ini akan mengembangkan generasi baru Access Control Kebijakan Pengujian (ACPT) alat. ACPT ini memungkinkan penulis kebijakan untuk mudah menentukan model kontrol akses (seperti RBAC dan model Multi-Level) dan aturan serta sifat akses kontrol. Dari model tertentu dan aturan, ACPT otomatis mensintesis kebijakan deployable dan komprehensif tes dan memverifikasi kebijakan terhadap sifat-sifat tertentu, kemudian melaporkan ke penulis kebijakan tentang masalah terdeteksi dalam kebijakan untuk mencegah meninggalkan lubang keamanan dalam kebijakan sebelum penyebaran. ACPT ini akan tersedia untuk penulis kebijakan nasional dalam memberikan tingkat keamanan keyakinan tinggi untuk kebijakan mereka.
Dalam prakteknya, kebijakan kontrol akses yang sama dapat menyatakan model kontrol akses ganda berbeda atau mengekspresikan model tunggal di samping keterbatasan akses kontrol tambahan di luar model. Memastikan kesesuaian model kontrol akses dan kebijakan merupakan tugas non-sepele dan kritis. Namun, spesifikasi yang sesuai kebijakan kontrol akses adalah masalah yang sangat menantang. Masalah ini menjadi semakin parah sebagai suatu sistem menjadi lebih dan lebih kompleks, dan dikerahkan untuk mengelola sejumlah besar informasi yang sensitif atau pribadi dan sumber daya.
ACPT adalah implementasi referensi proyek penelitian NIST: "Verifikasi Generik Access Control Model" dengan kemampuan lebih diperpanjang.
Gambar berikut menunjukkan arsitek ACPT tersebut.
kebijakan kontrol akses alat diagram
http://www.nist.gov/itl/csd/set/acpt.cfm - 27k - 2010-10-05
Networking
Salah satu kebijakan Networking :
*Cyber and Network Security/Cyber dan Keamanan Jaringan
Cyber dan keamanan jaringan difokuskan pada tujuan memastikan keamanan tiga sistem teknologi informasi: kerahasiaan, integritas, dan ketersediaan. Cyber dan Jaringan Program Jaminan alamat tanggung jawab hukum NIST dalam domain dan isu-isu ilmiah dekat dan jangka panjang dalam beberapa blok bangunan TI dan keamanan jaringan - kriptografi, keamanan pengujian dan evaluasi, kontrol akses, internetworking layanan dan protokol ( Domain Name System, Border Gateway Protocol, IPv6, Wi-Max, dll), keamanan metrik, analisis kerentanan, otomatisasi keamanan, dan sifat keamanan. Upaya ini akan memberikan landasan yang lebih ilmiah untuk cybersecurity, tetap menjaga fokus pada isu-isu keamanan jangka dekat dalam teknologi muncul.
http://www.nist.gov/itl/cns/index.cfm - 20k - 2010-10-05
Issue-Specific Security Policy (Isu-kebijakan keamanan sistem khusus)
Definisi Dasar Isu Kebijakan Khusus
Kebijakan arti yang berbeda untuk orang yang berbeda. The "Kebijakan" digunakan dalam bab ini secara luas untuk merujuk kepada keputusan-keputusan penting komputer yang berhubungan dengan keamanan.
Kebijakan jangka keamanan komputer didefinisikan sebagai "dokumentasi keputusan keamanan komputer"-yang mencakup semua jenis kebijakan. Dalam mengambil keputusan ini, manajer menghadapi pilihan sulit menyangkut alokasi sumber daya, tujuan bersaing, dan strategi organisasi terkait untuk melindungi kedua sumber daya teknis dan informasi serta pedoman perilaku karyawan. Manajer di semua tingkatan membuat pilihan yang dapat menghasilkan kebijakan, dengan lingkup penerapan kebijakan itu bervariasi sesuai dengan lingkup kewenangan manajer. keputusan manajerial tentang isu-isu keamanan komputer sangat bervariasi. Untuk membedakan antara berbagai macam kebijakan, bab ini mengkategorikan mereka ke dalam tiga tipe dasar:
* Kebijakan Program digunakan untuk membuat program komputer keamanan organisasi.
Isu-kebijakan khusus * isu-isu khusus yang menjadi perhatian organisasi.
* Sistem-spesifik kebijakan fokus pada keputusan yang diambil oleh manajemen
untuk melindungi system.
Prosedur, standar, dan pedoman yang digunakan untuk menggambarkan bagaimana kebijakan ini akan diimplementasikan dalam sebuah organisasi. Alat untuk Menerapkan Kebijakan:
Standar, Pedoman, dan Prosedur
Kebijakan dan pelaksanaannya. Hal ini dapat membantu dalam mempromosikan fleksibilitas dan efektivitas biaya dengan menawarkan alternatif pendekatan implementasi untuk mencapai tujuan kebijakan.
Secara umum, kebijakan masalah-spesifik dan sistem-spesifik, penerbit adalah seorang pejabat senior; itu, lebih global, kontroversial, atau sumber daya intensif yang lebih senior penerbit
Elemen Dasar Isu Kebijakan Khusus
Elemen-elemen organisasi dan pejabat yang bertanggung jawab untuk implementasi dan kesinambungan keamanan komputer policy.
Kepatuhan. Program kebijakan biasanya akan membahas dua isu kepatuhan:
1. kepatuhan Umum untuk memastikan memenuhi persyaratan untuk membentuk program dan tanggung jawab yang ditugaskan di dalamnya untuk komponen berbagai organisasi. Seringkali kantor pengawasan (misalnya, Inspektur Jenderal) diberikan tanggung jawab untuk pemantauan kepatuhan, termasuk seberapa baik organisasi menerapkan manajemen prioritas untuk program tersebut.
2. Penggunaan hukuman yang ditetapkan dan tindakan disipliner. Karena kebijakan keamanan adalah dokumen tingkat tinggi, hukuman yang spesifik untuk berbagai pelanggaran biasanya tidak rinci di sini, melainkan kebijakan dapat memberikan wewenang pembentukan struktur kepatuhan yang termasuk pelanggaran dan tindakan disiplin tertentu .
Mereka kebijakan kepatuhan berkembang harus ingat bahwa pelanggaran kebijakan bisa tidak disengaja pada bagian dari karyawan. Sebagai contoh, nonconformance sering bisa karena kurangnya pengetahuan atau pelatihan.
-Isu Kebijakan Khusus
Sedangkan kebijakan program ini dimaksudkan untuk mengatasi program komputer keamanan yang luas organizationwide, mengeluarkan kebijakan khusus dikembangkan untuk fokus pada bidang relevansi saat ini dan kepedulian (dan kadang-kadang kontroversi) untuk organisasi. Manajemen mungkin perlu, misalnya, untuk mengeluarkan kebijakan tentang bagaimana organisasi akan pendekatan perencanaan kontinjensi (sentralisasi vs desentralisasi) atau penggunaan metodologi tertentu untuk mengelola risiko sistem. Suatu kebijakan juga bisa dikeluarkan, misalnya, pada penggunaan yang tepat atas suatu teknologi mutakhir (kerentanan keamanan yang sebagian besar masih tidak diketahui) dalam organisasi. Isu kebijakan khusus juga mungkin tepat ketika isu baru muncul, seperti ketika mengimplementasikan undang-undang yang baru saja disahkan membutuhkan perlindungan tambahan informasi tertentu. Program kebijakan biasanya cukup luas yang tidak memerlukan banyak modifikasi dari waktu ke waktu, sedangkan mengeluarkan kebijakan spesifik cenderung memerlukan revisi lebih sering sebagai perubahan teknologi dan faktor yang berhubungan berlangsung.
.
- Contoh Topik untuk Policy Edisi Khusus
Kedua teknologi baru dan munculnya ancaman baru sering membutuhkan penciptaan mengeluarkan kebijakan khusus.
Akses internet. Banyak organisasi mencari di internet sebagai sarana untuk memperluas riset mereka peluang dan komunikasi. Tidak diragukan lagi, menghubungkan ke Internet menghasilkan banyak manfaat - dan beberapa kekurangan. Beberapa isu kebijakan akses Internet dapat alamat termasuk yang akan memiliki akses, yang jenis sistem dapat dihubungkan ke jaringan, apa jenis informasi dapat dikirim melalui jaringan, persyaratan untuk otentikasi pengguna untuk sistem yang tersambung ke Internet, dan penggunaan firewall dan gateway aman.
.
Komponen Dasar Isu Kebijakan Khusus
Seperti yang diusulkan untuk kebijakan program, struktur berguna untuk kebijakan isu-spesifik adalah memecah kebijakan tersebut ke dalam komponen dasar.
Program menetapkan arah kebijakan strategis organisasi untuk keamanan dan memberikan sumber daya untuk pelaksanaannya
1. Komponen Dasar Kebijakan Program
Komponen kebijakan program harus alamat:
Tujuan. Program kebijakan biasanya mencakup pernyataan yang menjelaskan
mengapa
program ini sedang dibangun. Ini mungkin termasuk mendefinisikan tujuan
program.
kebutuhan Keamanan-terkait, seperti integritas, ketersediaan, dan kerahasiaan,
dapat
membentuk dasar dari tujuan organisasi didirikan pada kebijakan
Ruang Lingkup. Program kebijakan harus jelas sebagai mana sumber daya-termasuk fasilitas, perangkat keras, dan perangkat lunak, informasi, dan personil - program keamanan komputer mencakup.
Tanggung Jawab. Setelah program keamanan komputer didirikan, manajemen biasanya ditugaskan untuk baik yang baru diciptakan atau yang sudah ada office.
Program kebijakan menetapkan program keamanan dan memberikan manajemen program dan tanggung jawab yang mendukung
Penerapan. Isu-kebijakan khusus juga perlu untuk memasukkan laporan penerapan. Ini berarti mengklarifikasi di mana, bagaimana, kapan, kepada siapa, dan apa kebijakan tertentu berlaku. Sebagai contoh, bisa saja bahwa kebijakan hipotetis pada perangkat lunak tidak resmi dimaksudkan untuk hanya berlaku untuk sumber daya sendiri organisasi on-situs dan karyawan dan tidak kepada kontraktor dengan kantor-kantor di lokasi lain. Selain itu, penerapan kebijakan untuk karyawan perjalanan antara lokasi yang berbeda dan / atau bekerja di rumah yang perlu untuk mengangkut dan menggunakan disk di beberapa situs mungkin perlu diperjelas.
Poin dari Kontak dan Informasi Tambahan. Untuk setiap kebijakan isu-spesifik, individu-individu yang sesuai dalam organisasi untuk menghubungi untuk informasi lebih lanjut, bimbingan, dan kepatuhan harus ditunjukkan. Karena posisi cenderung berubah lebih sering daripada orang-orang yang menduduki mereka, posisi tertentu mungkin lebih disukai sebagai titik kontak. Sebagai contoh, untuk beberapa masalah titik kontak mungkin manajer lini, untuk masalah lain mungkin manajer fasilitas, dukungan orang teknis, administrator sistem, atau perwakilan program keamanan. Menggunakan contoh di atas sekali lagi, karyawan perlu mengetahui apakah titik kontak untuk pertanyaan dan informasi prosedural akan atasan langsung mereka, seorang administrator sistem, atau pejabat keamanan komputer.
Pedoman dan prosedur sering menyertai kebijakan. Kebijakan isu-spesifik pada perangkat lunak tidak resmi, misalnya, mungkin termasuk panduan prosedural untuk memeriksa disk dibawa ke pekerjaan yang telah digunakan oleh karyawan di lokasi lain.
- Sistem Kebijakan Khusus
Untuk mengembangkan seperangkat kohesif dan komprehensif kebijakan keamanan, para pejabat dapat menggunakan proses manajemen yang berasal aturan-aturan keamanan dari tujuan keamanan. Hal ini membantu untuk mempertimbangkan model dua-tingkat kebijakan sistem keamanan: tujuan keamanan dan aturan keamanan operasional, yang bersama-sama terdiri dari kebijakan sistem-spesifik. Berhubungan erat dan sering sulit untuk membedakan, bagaimanapun, adalah penerapan kebijakan dalam teknologi.
Contoh Keamanan Tujuan
Langkah pertama dalam proses manajemen untuk menentukan tujuan keamanan untuk sistem tertentu. Meskipun, proses ini bisa dimulai dengan analisis kebutuhan integritas, ketersediaan, dan kerahasiaan, seharusnya tidak berhenti di situ. Tujuan keamanan perlu lebih spesifik, melainkan harus konkret dan terdefinisi dengan baik. Hal ini juga harus dinyatakan sedemikian rupa sehingga jelas bahwa tujuan dapat dicapai. Proses ini juga akan memanfaatkan kebijakan organisasi lainnya yang berlaku.
Tujuan Keamanan terdiri dari serangkaian pernyataan yang menjelaskan tindakan yang berarti tentang sumber daya eksplisit. Tujuan ini harus didasarkan pada kebutuhan sistem fungsional atau misi, tapi harus menyatakan tindakan keamanan yang mendukung persyaratan
Kebijakan arti yang berbeda untuk orang yang berbeda. The "Kebijakan" digunakan dalam bab ini secara luas untuk merujuk kepada keputusan-keputusan penting komputer yang berhubungan dengan keamanan.
Kebijakan jangka keamanan komputer didefinisikan sebagai "dokumentasi keputusan keamanan komputer"-yang mencakup semua jenis kebijakan. Dalam mengambil keputusan ini, manajer menghadapi pilihan sulit menyangkut alokasi sumber daya, tujuan bersaing, dan strategi organisasi terkait untuk melindungi kedua sumber daya teknis dan informasi serta pedoman perilaku karyawan. Manajer di semua tingkatan membuat pilihan yang dapat menghasilkan kebijakan, dengan lingkup penerapan kebijakan itu bervariasi sesuai dengan lingkup kewenangan manajer. keputusan manajerial tentang isu-isu keamanan komputer sangat bervariasi. Untuk membedakan antara berbagai macam kebijakan, bab ini mengkategorikan mereka ke dalam tiga tipe dasar:
* Kebijakan Program digunakan untuk membuat program komputer keamanan organisasi.
Isu-kebijakan khusus * isu-isu khusus yang menjadi perhatian organisasi.
* Sistem-spesifik kebijakan fokus pada keputusan yang diambil oleh manajemen
untuk melindungi system.
Prosedur, standar, dan pedoman yang digunakan untuk menggambarkan bagaimana kebijakan ini akan diimplementasikan dalam sebuah organisasi. Alat untuk Menerapkan Kebijakan:
Standar, Pedoman, dan Prosedur
Kebijakan dan pelaksanaannya. Hal ini dapat membantu dalam mempromosikan fleksibilitas dan efektivitas biaya dengan menawarkan alternatif pendekatan implementasi untuk mencapai tujuan kebijakan.
Secara umum, kebijakan masalah-spesifik dan sistem-spesifik, penerbit adalah seorang pejabat senior; itu, lebih global, kontroversial, atau sumber daya intensif yang lebih senior penerbit
Elemen Dasar Isu Kebijakan Khusus
Elemen-elemen organisasi dan pejabat yang bertanggung jawab untuk implementasi dan kesinambungan keamanan komputer policy.
Kepatuhan. Program kebijakan biasanya akan membahas dua isu kepatuhan:
1. kepatuhan Umum untuk memastikan memenuhi persyaratan untuk membentuk program dan tanggung jawab yang ditugaskan di dalamnya untuk komponen berbagai organisasi. Seringkali kantor pengawasan (misalnya, Inspektur Jenderal) diberikan tanggung jawab untuk pemantauan kepatuhan, termasuk seberapa baik organisasi menerapkan manajemen prioritas untuk program tersebut.
2. Penggunaan hukuman yang ditetapkan dan tindakan disipliner. Karena kebijakan keamanan adalah dokumen tingkat tinggi, hukuman yang spesifik untuk berbagai pelanggaran biasanya tidak rinci di sini, melainkan kebijakan dapat memberikan wewenang pembentukan struktur kepatuhan yang termasuk pelanggaran dan tindakan disiplin tertentu .
Mereka kebijakan kepatuhan berkembang harus ingat bahwa pelanggaran kebijakan bisa tidak disengaja pada bagian dari karyawan. Sebagai contoh, nonconformance sering bisa karena kurangnya pengetahuan atau pelatihan.
-Isu Kebijakan Khusus
Sedangkan kebijakan program ini dimaksudkan untuk mengatasi program komputer keamanan yang luas organizationwide, mengeluarkan kebijakan khusus dikembangkan untuk fokus pada bidang relevansi saat ini dan kepedulian (dan kadang-kadang kontroversi) untuk organisasi. Manajemen mungkin perlu, misalnya, untuk mengeluarkan kebijakan tentang bagaimana organisasi akan pendekatan perencanaan kontinjensi (sentralisasi vs desentralisasi) atau penggunaan metodologi tertentu untuk mengelola risiko sistem. Suatu kebijakan juga bisa dikeluarkan, misalnya, pada penggunaan yang tepat atas suatu teknologi mutakhir (kerentanan keamanan yang sebagian besar masih tidak diketahui) dalam organisasi. Isu kebijakan khusus juga mungkin tepat ketika isu baru muncul, seperti ketika mengimplementasikan undang-undang yang baru saja disahkan membutuhkan perlindungan tambahan informasi tertentu. Program kebijakan biasanya cukup luas yang tidak memerlukan banyak modifikasi dari waktu ke waktu, sedangkan mengeluarkan kebijakan spesifik cenderung memerlukan revisi lebih sering sebagai perubahan teknologi dan faktor yang berhubungan berlangsung.
.
- Contoh Topik untuk Policy Edisi Khusus
Kedua teknologi baru dan munculnya ancaman baru sering membutuhkan penciptaan mengeluarkan kebijakan khusus.
Akses internet. Banyak organisasi mencari di internet sebagai sarana untuk memperluas riset mereka peluang dan komunikasi. Tidak diragukan lagi, menghubungkan ke Internet menghasilkan banyak manfaat - dan beberapa kekurangan. Beberapa isu kebijakan akses Internet dapat alamat termasuk yang akan memiliki akses, yang jenis sistem dapat dihubungkan ke jaringan, apa jenis informasi dapat dikirim melalui jaringan, persyaratan untuk otentikasi pengguna untuk sistem yang tersambung ke Internet, dan penggunaan firewall dan gateway aman.
.
Komponen Dasar Isu Kebijakan Khusus
Seperti yang diusulkan untuk kebijakan program, struktur berguna untuk kebijakan isu-spesifik adalah memecah kebijakan tersebut ke dalam komponen dasar.
Program menetapkan arah kebijakan strategis organisasi untuk keamanan dan memberikan sumber daya untuk pelaksanaannya
1. Komponen Dasar Kebijakan Program
Komponen kebijakan program harus alamat:
Tujuan. Program kebijakan biasanya mencakup pernyataan yang menjelaskan
mengapa
program ini sedang dibangun. Ini mungkin termasuk mendefinisikan tujuan
program.
kebutuhan Keamanan-terkait, seperti integritas, ketersediaan, dan kerahasiaan,
dapat
membentuk dasar dari tujuan organisasi didirikan pada kebijakan
Ruang Lingkup. Program kebijakan harus jelas sebagai mana sumber daya-termasuk fasilitas, perangkat keras, dan perangkat lunak, informasi, dan personil - program keamanan komputer mencakup.
Tanggung Jawab. Setelah program keamanan komputer didirikan, manajemen biasanya ditugaskan untuk baik yang baru diciptakan atau yang sudah ada office.
Program kebijakan menetapkan program keamanan dan memberikan manajemen program dan tanggung jawab yang mendukung
Penerapan. Isu-kebijakan khusus juga perlu untuk memasukkan laporan penerapan. Ini berarti mengklarifikasi di mana, bagaimana, kapan, kepada siapa, dan apa kebijakan tertentu berlaku. Sebagai contoh, bisa saja bahwa kebijakan hipotetis pada perangkat lunak tidak resmi dimaksudkan untuk hanya berlaku untuk sumber daya sendiri organisasi on-situs dan karyawan dan tidak kepada kontraktor dengan kantor-kantor di lokasi lain. Selain itu, penerapan kebijakan untuk karyawan perjalanan antara lokasi yang berbeda dan / atau bekerja di rumah yang perlu untuk mengangkut dan menggunakan disk di beberapa situs mungkin perlu diperjelas.
Poin dari Kontak dan Informasi Tambahan. Untuk setiap kebijakan isu-spesifik, individu-individu yang sesuai dalam organisasi untuk menghubungi untuk informasi lebih lanjut, bimbingan, dan kepatuhan harus ditunjukkan. Karena posisi cenderung berubah lebih sering daripada orang-orang yang menduduki mereka, posisi tertentu mungkin lebih disukai sebagai titik kontak. Sebagai contoh, untuk beberapa masalah titik kontak mungkin manajer lini, untuk masalah lain mungkin manajer fasilitas, dukungan orang teknis, administrator sistem, atau perwakilan program keamanan. Menggunakan contoh di atas sekali lagi, karyawan perlu mengetahui apakah titik kontak untuk pertanyaan dan informasi prosedural akan atasan langsung mereka, seorang administrator sistem, atau pejabat keamanan komputer.
Pedoman dan prosedur sering menyertai kebijakan. Kebijakan isu-spesifik pada perangkat lunak tidak resmi, misalnya, mungkin termasuk panduan prosedural untuk memeriksa disk dibawa ke pekerjaan yang telah digunakan oleh karyawan di lokasi lain.
- Sistem Kebijakan Khusus
Untuk mengembangkan seperangkat kohesif dan komprehensif kebijakan keamanan, para pejabat dapat menggunakan proses manajemen yang berasal aturan-aturan keamanan dari tujuan keamanan. Hal ini membantu untuk mempertimbangkan model dua-tingkat kebijakan sistem keamanan: tujuan keamanan dan aturan keamanan operasional, yang bersama-sama terdiri dari kebijakan sistem-spesifik. Berhubungan erat dan sering sulit untuk membedakan, bagaimanapun, adalah penerapan kebijakan dalam teknologi.
Contoh Keamanan Tujuan
Langkah pertama dalam proses manajemen untuk menentukan tujuan keamanan untuk sistem tertentu. Meskipun, proses ini bisa dimulai dengan analisis kebutuhan integritas, ketersediaan, dan kerahasiaan, seharusnya tidak berhenti di situ. Tujuan keamanan perlu lebih spesifik, melainkan harus konkret dan terdefinisi dengan baik. Hal ini juga harus dinyatakan sedemikian rupa sehingga jelas bahwa tujuan dapat dicapai. Proses ini juga akan memanfaatkan kebijakan organisasi lainnya yang berlaku.
Tujuan Keamanan terdiri dari serangkaian pernyataan yang menjelaskan tindakan yang berarti tentang sumber daya eksplisit. Tujuan ini harus didasarkan pada kebutuhan sistem fungsional atau misi, tapi harus menyatakan tindakan keamanan yang mendukung persyaratan
Minggu, 31 Oktober 2010
Langganan:
Postingan (Atom)