MAKALAH
AUDIT TEKNOLOGI SISTEM INFORMASI
DISUSUN OLEH
ARYA DWI PRAMUDITA (11115069)
MOHAMMAD FAISAL .H (14115280)
RIZKI APRILIA DWIJAYANTI (16115138)
SISTEM INFORMASI
UNIVERSITAS GUNADARMA
PTA 2018/2019
DAFTAR ISI
1.1 FIPS 200
Federal Information Processing Standard (atau dapat disebut sebagai FIPS) adalah sebuah framework yang pertama kali diterbitkan pada Maret 2006, dengan pengembang dan penerbit dari standar ini adalah organisasi bernama The National Institute of Standard and Technology (atau disingkat sebagai NIST). Framework ini dirancang sebagai framework audit teknologi informasi (TI) di lembaga-lembaga milik pemerintah Amerika Serikat, yang artinya adalah penerapan framework ini hanya dapat dilakukan di dalam wilayah Amerika Serikat itu sendiri.
Salah satu framework FIPS yang
diterbitkan oleh NIST adalah FIPS Publication 200 (sering disebut sebagai FIPS PUB
200 atau FIPS 200 saja), dengan standar yang didefinisikan merupakan standar audit
TI untuk kategori keamanan yang diaplikasikan dalam proses pengembangan,
penerapan serta pengoperasian dari sistem TI yang aman. Cakupan dari FIPS 200
meliputi 17 area berikut ini:
Meskipun begitu, FIPS 200 memberikan
syarat bahwa semua lembaga yang ingin menerapkan standar ini harus mengacu
kepada NIST Special Publication 800-53 (seringkali disebut sebagai NIST 800-53)
sebagai kendali minimum yang wajib diterapkan dalam proses penerapan standar
yang diberikan oleh FIPS 200. Ini dikarenakan NIST 800-53 memiliki fungsi
sebagai standar dan panduan praktik keamanan dalam penerapan keamanan dunia
siber yang bersesuaian dengan peraturan hukum. Ini menjadikan FIPS 200 (bersama
dengan NIST 800-53) sebagai framework audit TI yang disarankan dalam dunia
industri maupun lembaga pemerintahan di Amerika Serikat.
1) Kendali terhadap akses (Access Control)
2) Kewaspadaan dan pelatihan (Awareness and Training)
3) Audit dan akuntabilitas (Audit and Accountability)
4) Sertifikasi, akreditasi dan penilaian keamanan (Certification, Accreditation and Security Assessments)
5) Pengelolaan konfigurasi (Configuration Management)
6) Perencanaan hal tak terprediksi (Contingency Planning)
7) Identifikasi dan otentikasi (Identification and Authentication)
8) Respon terhadap insiden (Incident Response)
9) Perawatan (Maintenance)
10) Perlindungan media (Media Protection)
11) Perlindungan fisik dan lingkungan (Physical and Environmental Protection)
12) Perencanaan (Planning)
13) Keamanan personil (Personnel Security)
14) Penilaian risiko (Risk Assessment)
15) Akuisisi sistem dan pelayanan (Systems and Services Acquisition)
16) Perlindungan sistem dan komunikasi (System and Communications Protection)
17) Integritas sistem dan informasi (System and Information Integrity)
3) Audit dan akuntabilitas (Audit and Accountability)
4) Sertifikasi, akreditasi dan penilaian keamanan (Certification, Accreditation and Security Assessments)
5) Pengelolaan konfigurasi (Configuration Management)
6) Perencanaan hal tak terprediksi (Contingency Planning)
7) Identifikasi dan otentikasi (Identification and Authentication)
8) Respon terhadap insiden (Incident Response)
9) Perawatan (Maintenance)
10) Perlindungan media (Media Protection)
11) Perlindungan fisik dan lingkungan (Physical and Environmental Protection)
12) Perencanaan (Planning)
13) Keamanan personil (Personnel Security)
14) Penilaian risiko (Risk Assessment)
15) Akuisisi sistem dan pelayanan (Systems and Services Acquisition)
16) Perlindungan sistem dan komunikasi (System and Communications Protection)
17) Integritas sistem dan informasi (System and Information Integrity)
1.2 ISO/IEC 19770-1
Framework ISO/IEC 19770-1 adalah salah
satu dari sekian banyak framework yang didefinisikan oleh ISO untuk bidang TI.
Secara dasar framework ini menjelaskan tentang persyaratan untuk pembentukan,
penerapan, perawatan dan perbaikan dari sistem pengelolaan terhadap aset TI.
Dalam versi terbarunya yang dirilis pada Desember 2017 (umumnya disebut sebagai
ISO/IEC 19770-1:2017), framework ISO/IEC 19770-1 membutuhkan penerapan dari framework
ISO 55001 versi 2014 (dikenal sebagai ISO 55001:2014) yang menjelaskan persyaratan
terhadap sebuah sistem pengelolaan aset dan berbagai persyaratan lainnya yang
dianggap perlu untuk melakukan pengelolaan terhadap aset TI. Hanya saja yang
menjadi pembeda dari ISO/IEC 19770-1 dengan ISO 55001:2014 adalah adanya persyaratan
untuk melakukan pengelolaan aset perangkat lunak dengan karakteristik
masing-masing yang terperinci.
Dalam framework ini dijelaskan bahwa sistem pengelolaan aset TI harus dapat menangani hal-hal berikut:
1) Kendali atas perubahan, penggandaan dan penyebaran dari perangkat lunak dengan penekanan khusus terhadap kendali akses dan integritas
2) Jejak dari audit terhadap otorisasi dan perubahan yang dilakukan kepada aset TI
3) Kendali atas lisensi (berikut dengan underlicensing dan overlicensing) serta kepatuhan terhadap persyaratan dan ketentuan dari lisensi tersebut
4) Kendali atas situasi yang melibatkan kepemilikan campuran dan tanggungjawab
5) Rekonsiliasi dari data pengelolaan aset IT dengan data dari sistem informasi lainnya saat dicocokkan oleh nilai bisnis, terutama dengan sistem informasi bisnis yang merekam aset dan pengeluaran
3) Kendali atas lisensi (berikut dengan underlicensing dan overlicensing) serta kepatuhan terhadap persyaratan dan ketentuan dari lisensi tersebut
4) Kendali atas situasi yang melibatkan kepemilikan campuran dan tanggungjawab
5) Rekonsiliasi dari data pengelolaan aset IT dengan data dari sistem informasi lainnya saat dicocokkan oleh nilai bisnis, terutama dengan sistem informasi bisnis yang merekam aset dan pengeluaran
Umumnya framework ISO/IEC 19770-1 ditujukan untuk penggunaan oleh mereka yang terlibat dalam hal-hal berikut:
1) Pembentukan, penerapan, perawatan dan perbaikan dari sistem pengelolaan aset TI
2) Aktivitas yang berkaitan dengan pengelolaan aset TI, termasuk pula mereka yang bertugas sebagai penyedia layanan
3) Pihak dalam dan luar yang ingin melakukan penilaian terhadap kemampuan dari sebuah organisasi dalam memenuhi persyaratan yang diberikan oleh organisasi tersebut maupun persyaratan hukum, peraturan dan kontrak yang berlaku.
1) Pembentukan, penerapan, perawatan dan perbaikan dari sistem pengelolaan aset TI
2) Aktivitas yang berkaitan dengan pengelolaan aset TI, termasuk pula mereka yang bertugas sebagai penyedia layanan
3) Pihak dalam dan luar yang ingin melakukan penilaian terhadap kemampuan dari sebuah organisasi dalam memenuhi persyaratan yang diberikan oleh organisasi tersebut maupun persyaratan hukum, peraturan dan kontrak yang berlaku.
1.3 NIST 800-14
Framework NIST 800-14 adalah sebuah
framework buatan NIST yang didesain untuk memberikan panduan dasar terhadap
berbagai lembaga maupun perusahaan untuk melakukan penyusunan dan peninjauan
strategi keamanan sistem TI milik lembaga dan perusahaan tersebut. Isi dari
framework ini meliputi berbagai persyaratan keamanan khusus yang wajib untuk
dipatuhi oleh semua lembaga dan perusahaan dalam rangka mengamankan sumber daya
TI secara benar.
Berikut ini adalah beberapa persyaratan kunci
dari NIST 800-14 yang wajib dipatuhi oleh lembaga dan perusahaan:
1)
Akuntabilitas perorangan dengan melacak tindakan pengguna
Berdasarkan peraturan yang diberikan oleh NIST, setiap
pengguna dalam suatu sistem memiliki tanggungjawab atas seluruh tindakan yang
mereka lakukan dalam penggunaan sumber daya yang terdapat pada sistem tersebut.
2)
Rekonstruksi tindakan pengguna dengan investigasi pasca
kejadian
NIST mewajibkan bagi setiap perusahaan atau lembaga untuk
merekam setiap aktivitas yang terjadi dalam sistem, dengan setiap rekam jejak
tersebut memiliki informasi yang cukup untuk mengetahui kejadian apa saja yang
terjadi serta siapa atau apa yang menjadi penyebab dari kejadian tersebut,
termasuk dalam hal ini kejadian pembobolan data dalam sistem.
3)
Deteksi intrusi saat terjadi kejadian atau pasca kejadian
Rekam jejak aktivitas dari seorang penguna dalam suatu sistem
akan berguna pada proses untuk mendeteksi terjadinya intrusi pada sistem
tersebut. Kecepatan dan ketepatan dalam mendeteksi dan menghapus intrusi
tersebut akan mencegah data yang terdapat di dalam sistem dari bahaya terkena
masalah akibat intrusi tersebut. Jika gagal, maka ini akan menimbulkan
kerusakan pada data yang bahkan berdampak pada masalah dari lembaga atau
perusahaan itu sendiri.
4)
Identifikasi masalah melalui audit dan pengawasan
Perangkat keamanan yang dipergunakan dalam melindungi sistem
dari masalah seperti pembobolan data dan serangan-serangan siber dapat pula
dipergunakan untuk membantu proses audit dan pengawasan yang berfungsi untuk
melakukan identifikasi masalah pada sistem seperti tidak berjalannya integrasi
dengan baik dan perubahan pada kode.
Dalam framework ini dijelaskan berbagai
praktik yang umumnya dipergunakan dalam rangka mewujudkan keamanan dalam sistem
TI. Tujuan dari berbagai praktik tersebut adalah untuk memberikan standar minimum
dari program keamanan sistem TI yang efektif untuk diaplikasikan dalam sistem
yang telah ada di dalam sebuah lembaga atau perusahaan. Berikut ini adalah
daftar dari praktik keamanan sistem TI yang dijadikan sebagai standar minimum
oleh NIST dalam framework NIST 800-14:
1) Kebijakan2) Pengelolaan program
3) Pengelolaan risiko
4) Perencanaan siklus hidup
5) Masalah pengguna
6) Persiapan terhadap hal tak terprediksi dan bencana
7) Penanganan insiden keamanan komputer
8) Kewaspadaan dan pelatihan
9) Pertimbangan keamanan dalam dukungan komputer dan operasi
10) Keamanan fisik dan lingkungan
11) Identifikasi dan otentikasi
12) Kendali akses logis
13) Jejak audit
14) Kriptografi
BAB 2. PERBANDINGAN
Berikut ini adalah tabel berisi
perbandingan dari ketiga framework yang telah dibahas di bab 1, dengan
masing-masing framework tersebut memiliki cakupan standar tersendiri.
Kategori
|
FIPS 200
|
ISO/IEC 19770-1
|
NIST 800-14
|
Fungsi
|
Framework untuk penerapan audit keamanan TI
|
Framework standar pengelolaan aset TI
|
Framework standar persyaratan dan praktik keamanan sistem
TI
|
Area
|
17 pedoman standar audit keamanan
|
5 syarat pengelolaan aset
|
4 syarat dan 14 pedoman standar praktik keamanan
|
Penerbit
|
The National Institute of Standards and Technology (NIST)
|
The International Organization for Standardization (ISO)
|
The National Institute of Standards and Technology (NIST)
|
Pelaksanaan
|
Menetapkan standar yang dibutuhkan dalam melakukan audit
terhadap keamanan dari sebuah sistem TI
|
Menjabarkan syarat apa saja yang harus dipenuhi untuk
mengelola aset-aset TI dengan baik
|
Memberikan syarat-syarat serta praktik terbaik dalam
penerapan keamanan sistem TI pada tingkat paling minimal
|
Konsultan
|
Perusahaan konsultan keamanan TI
|
Perusahaan konsultan TI
|
Perusahaan konsultan keamanan TI
|
BAB 3. CONTOH KASUS
Software Assets Managment: A Cost Saving Factor
Software Assets Managment (SAM) adalah sebuah praktek yang mengatur dan mengelola aset software pada suatu perusahaan secara efisien.Lisensi software saat ini sudah memakan 20% dari biaya IT pada suatu perusahaan, dan akan terus meningkat di masa yang akan datang. SAM merupakan kunci untuk kesuksesan pada pengelolaan aset software suatu perusahaan. SAM membantu untuk mengelola pengeluaran biaya software, diskon, kontrak lisensi, dan peluncuran software secara efisien.
Tujuan dari SAM adalah untuk mengurangi biaya IT dan operasionalnya, finansial, dan resiko terhadap lisensi suatu software. Tidak perlu diingatkan lagi bahwa implementasi SAM yang baik dapat memberikan keuntungan kepada perusahaan. Keuntungan – keuntungan ini harus melebihi biaya implementasi.
SAM mengacu pada framework ISO/IEC 19770-1, sehingga kategori aset software SAM sama seperti ISO/IEC 19770-1, yaitu:
1. Software yang memiliki mempunyai hak (rights).
2. Software yang memiliki the intellectual property value of sotware.
3. Media yang memegang software sejenis yang digunakan untuk kepentingan media.
Saat suatu perusahaan atau organisasi membuat baru SAM, ada perlunya SAM yang baru ini di audisi terlebih dahulu untuk memastikan keefektivitas dan maturitas yang dimiliki SAM yang baru. Salah satu SAM yang sudah ada adalah Microsoft Software Assets Managment (SAM) Optimization Model.
Microsoft mendesain SAM Optimization Model dengan menggunakan standar ISO/IEC 19770-1. Microsoft SAM Optimization Model membantu sebuah perusahaan atau organisasi mengevaluasi SAM mereka tanpa harus mengintepretasi dan mengadaptasi ISO 19770-1 secara langsung.
Setelah SAM lolos dari audisi Microsoft SAM Optimization Model, suatu organisasi atau perusahaan dapat mengimplementasikan SAM mereka untuk mengelola aset software mereka.
Pada gambar dibawah menunjukkan hasil dari penggunaan SAM untuk mengontrol penggunaan aset software dalam organisasi.
Gambar (a) menunjukkan catatan untuk aset software yang dibeli, Gambar (b) menunjukkan catatan untuk software yang digunakan pada organisasi.
Gambar (c) dan (d) menunjukkan laporan untuk software yang tidak terlisensi dan date expiration.
Gambar (e) memberikan laporan untuk total biaya yang dikeluarkan untuk aset software yang dibeli. Laporan – laporan diatas akan membantu untuk memilih keputusan dalam pembelian aset software. Gambar (f) menampilkan rangkuman dari penggunaan software dan rangkuman ini membantu untuk mengidentifikasi redundansi software.
DAFTAR PUSTAKA
[1] The National Institute of Standards and Technology, 2006. Minimum Security Requirements for Federal Information and Information Systems (FIPS 200), Department of Commerce, USA.
[2] Anonim, 2017. ISO/IEC 19770-1:2017(en) Information Technology – IT asset management, [online], (https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-1:ed-3:v1:en, diakses tanggal 14 Januari 2019)
[3] Friedlander, Gaby, 2015. NIST 800-14–Principles and Practices for Securing IT Systems, [online], (https://www.observeit.com/blog/nist-800-14-principles-and-practices-securing-it-systems/, diakses tanggal 14 Januari 2019)
[4] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
[5] Okide, Samuel. Dkk. 2017. Software Assest Managment: A Cost Saving Factor. International Journal of Innovative Research in Science, Engineering and Technology.
[2] Anonim, 2017. ISO/IEC 19770-1:2017(en) Information Technology – IT asset management, [online], (https://www.iso.org/obp/ui/#iso:std:iso-iec:19770:-1:ed-3:v1:en, diakses tanggal 14 Januari 2019)
[3] Friedlander, Gaby, 2015. NIST 800-14–Principles and Practices for Securing IT Systems, [online], (https://www.observeit.com/blog/nist-800-14-principles-and-practices-securing-it-systems/, diakses tanggal 14 Januari 2019)
[4] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
[5] Okide, Samuel. Dkk. 2017. Software Assest Managment: A Cost Saving Factor. International Journal of Innovative Research in Science, Engineering and Technology.
Casino Resort NJ - Get up to $600 | JT Hub
BalasHapusLocated in the 경상북도 출장마사지 heart 전라북도 출장마사지 of the beautiful 오산 출장안마 New 원주 출장마사지 Jersey Shore, Casino Resort is your ideal place to spend your day and spend a little time at 속초 출장마사지 a relaxing or relaxing