Tags

,

Pendahuluan

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”.Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Survey Information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.Kesadaran akan masalah keamanan masih rendah.

1988. Keamanan sistem mail sendmail  dieksploitasi oleh Robert Tapan Morris sehingga melumpuhkan sistem Internet. Kegiatan  ini dapat diklasifikasikan sebagai “denial of service attack”. Diperkirakan biaya yang digunakan untuk  memperbaiki dan hal-hal lain yang hilang adalah sekitar $100 juta. Di tahun 1990 Morris dihukum (convicted) dan hanya didenda $10.000.

10 Maret 1997. Seorang hacker dari Massachusetts berhasil mematikan sistem telekomunikasi sebuah airport lokal (Worcester, Mass.) sehingga memutuskan komunikasi di control tower dan menghalau pesawat yang hendak mendarat.

Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus  dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat.

1999 Computer Security Institute (CSI) / FBI Computer Crime Survey menunjukkan beberapa statistik yang menarik, seperti misalnya ditunjukkan bahwa “disgruntled worker” merupakan potensi attack / abuse. Http://www.gocsi.comPada tahun 2000beberapa situs web di Indonesia dijebol. Contoh terakhir: Bank BCA, Bank Lippo, Bank Bali.Cracker Indonesia ditangkap di Singapura

 

Keamanan Sistem Informasi

Definisi computer security:

Garfinkel & Spafford)

A computer is secure if you can depend on it and its software to behave as you expect

G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik

Keamanan informasi berarti melindungi informasi dan sistem informasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, teliti, inspeksi, rekaman atau kehancuran.

Informasi hal keamanan, keamanan komputer dan jaminan informasi yang sering digunakan secara bergantian. Bidang-bidang ini saling terkait sering dan berbagi tujuan bersama untuk melindungi kerahasiaan , integritas dan ketersediaan informasi, namun ada beberapa perbedaan yang halus antara mereka.

Perbedaan ini terletak terutama dalam pendekatan untuk subjek, metodologi yang digunakan, dan bidang konsentrasi. Keamanan informasi berkaitan dengan kerahasiaan, integritas dan ketersediaan data yang terlepas dari bentuk data dapat mengambil: formulir elektronik, cetak, atau lainnya. Keamanan komputer dapat fokus pada memastikan ketersediaan dan operasi yang benar dari sistem komputer tanpa memperhatikan informasi yang disimpan atau diproses oleh komputer. Kepastian informasi berfokus pada alasan untuk jaminan bahwa informasi dilindungi, dan dengan demikian penalaran tentang keamanan informasi.

Pemerintah , militer , perusahaan , lembaga keuangan , rumah sakit , dan swasta bisnis mengumpulkan banyak informasi rahasia tentang karyawan mereka, pelanggan, produk, penelitian, dan status keuangan. Sebagian besar informasi ini sekarang dikumpulkan, diproses dan disimpan pada elektronik komputer dan ditransmisikan di seluruh jaringan ke komputer lain.

Jika informasi rahasia tentang pelanggan bisnis ‘atau keuangan atau produk jatuh baris baru ke tangan pesaing, seperti pelanggaran keamanan bisa menimbulkan konsekuensi negatif. Melindungi informasi rahasia merupakan kebutuhan bisnis, dan dalam banyak kasus juga merupakan persyaratan etika dan hukum.

Untuk individu, keamanan informasi memiliki dampak yang signifikan terhadap privasi , yang dipandang sangat berbeda di berbagai budaya .

Bidang keamanan informasi telah tumbuh dan berkembang secara signifikan dalam beberapa tahun terakhir. Ada banyak cara untuk mendapatkan masuk ke lapangan sebagai karier. Menawarkan banyak daerah untuk spesialisasi termasuk: mengamankan jaringan (s) dan sekutu infrastruktur , mengamankan aplikasi dan database , pengujian keamanan , sistem informasi audit , perencanaan kelangsungan bisnis dan digital forensik ilmu pengetahuan, dll

Jika kita berbicara tentang keamanan sistem informasi,selalu kata kunci yang dirujuk adalah pencegahan dari adanya virus,hacker,cracker dll. Padahal baerbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resikoyang muncul atas sistem tersebut. Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan bebicara masalah 2 utama yaitu :

  1. Thearts ( keamanan ) atas sistem

2. Vulnerability ( Kelemahan ) atas sistem

Masalah tersebut pada gilirannya berdampak kepada 6 hal utama dalam sistem informasi yaitu :

1. efektifitas

2. efisiensi

3. kerahasiaan

4. integritas

5. keberadaan(availability)

6. kepatuhan (compliance)

7. keandalan (reability)

Ancaman (Threats)

Ancaman adalah suatu aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

1. ancaman alam

Yang termasuk dalam kategori ancaman alam terdiri dari :

– ancaman air,seperti : banjir,tsunami,intrusi air laut,kelembaban tinggi,badai,pencairan salju.

– ancaman tanah seperti : longsor,gempabumi,gunung meletus,

2. ancaman manusia

Yang dapat dikategorikan sebagai ancaman manusia adalah :

-malicious code

-virus,logic bombs,trojan horse,worm,active contents,countermeasures

-social engineering

-hacking,cracking,akses ke sistem oleh orang yang tidak berhak,DDS,backdoors

3. ancaman lingkungan

Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

-penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama.

-polusi

-efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api dll

-kebocoran seperti A/C ,atap bocor saat hujan

Kelemahan (Vurnerability)

Merupakan cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain,menetapkan prosedur,mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup pada sistem tersebut.

Cacat sistem bisa terjadi pada prosedur,peralatan,maupun perangkat lunak yang dimiliki,contoh yang mungkin terjadi seperti : seting firewall yang membuka telnet sehingga dapat diakses dari luar atau setting VPN yang tidak diikuti oleh penerapan kerberos atau NAT

Suatu pendekatan Sistem Informasi minimal menggunakan 3 pendekatan,yaitu :

1. Pendekatan Preventif yang bersifat mencegah dari kemungkinan terjadinya ancaman dan keamanan.

2. Pendekatan Detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal.

3. Pendekatan Corrective yang bersifatmengoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalika

 

gambaran umum mengenai keamanan informasi dan konsep intinya.

a1

Atribut Keamanan Informasi: atau kualitas, yaitu Kerahasiaan , Integritas dan Ketersediaan . (CIA) Sistem Informasi yang membusuk dalam tiga bagian utama, perangkat keras, perangkat lunak dan komunikasi dengan tujuan untuk mengidentifikasi dan menerapkan standar keamanan informasi industri, sebagai mekanisme perlindungan dan pencegahan , pada tiga tingkat atau lapisan: fisik , pribadi dan organisasi. Pada dasarnya, prosedur atau kebijakan yang dilaksanakan untuk memberitahu orang (administrator, pengguna dan operator) bagaimana menggunakan produk untuk menjamin keamanan informasi dalam organisasi.

 

Prinsip Dasar

 -Konsep-konsep kunci

Selama lebih dari dua puluh tahun, keamanan informasi telah diselenggarakan kerahasiaan, integritas dan ketersediaan (dikenal sebagai tiga serangkai CIA) menjadi prinsip-prinsip inti dari keamanan informasi.

Ada perdebatan yang berkelanjutan tentang trio ini memperpanjang klasik Lainnya prinsip seperti Akuntabilitas  terkadang telah diusulkan untuk penambahan – itu telah ditunjukkan bahwa isu-isu seperti Non-Talak tidak sesuai dengan baik dalam tiga konsep inti, dan sebagai pengaturan sistem komputer telah meningkat (terutama di antara negara-negara Barat) Legalitas menjadi pertimbangan utama untuk instalasi keamanan praktis.

Pada tahun 1992 dan direvisi pada tahun 2002 OECD Pedoman itu untuk Keamanan Sistem Informasi dan Jaringan mengusulkan sembilan prinsip yang berlaku umum: Pengetahuan, Tanggung Jawab, Respon, Etika, Demokrasi, Penilaian Risiko, Keamanan Desain dan Implementasi, Manajemen Keamanan, dan Penilaian Ulang. Membangun di atas mereka, pada tahun 2004 NIST Prinsip Engineering untuk Keamanan Teknologi Informasi yang diusulkan 33 prinsip. Dari masing-masing pedoman yang diturunkan dan praktek.

Pada tahun 2002, Donn Parker mengusulkan model alternatif untuk klasik CIA triad bahwa ia disebut enam elemen atom informasi . Unsur-unsur adalah kerahasiaan , kepemilikan , integritas , keaslian , ketersediaan , dan utilitas . Manfaat dari hexad Parkerian adalah subyek perdebatan di antara profesional keamanan.

-Kerahasiaan

Kerahasiaan adalah istilah yang digunakan untuk mencegah pengungkapan informasi kepada individu yang tidak sah atau sistem. Sebagai contoh, sebuah kartu kredit transaksi di Internet membutuhkan nomor kartu kredit yang akan dikirim dari pembeli untuk pedagang dan dari pedagang ke proses transaksi jaringan. Sistem ini berusaha untuk menegakkan kerahasiaan dengan mengenkripsi nomor kartu selama transmisi, dengan membatasi tempat-tempat itu mungkin muncul (dalam database, file log, backup, penerimaan dicetak, dan sebagainya), dan dengan membatasi akses ke tempat di mana disimpan . Jika pihak yang tidak berhak memperoleh nomor kartu dengan cara apapun, pelanggaran kerahasiaan telah terjadi.

Pelanggaran kerahasiaan mengambil banyak bentuk. Memungkinkan seseorang untuk melihat melewati bahu Anda di layar komputer Anda saat Anda memiliki data rahasia yang ditampilkan di atasnya bisa menjadi pelanggaran kerahasiaan. Jika komputer laptop berisi informasi sensitif tentang karyawan perusahaan dicuri atau dijual, itu bisa mengakibatkan pelanggaran kerahasiaan. Memberikan informasi rahasia melalui telepon merupakan pelanggaran kerahasiaan jika pemanggil tidak berwenang untuk memiliki informasi.

Kerahasiaan diperlukan (tetapi tidak cukup) untuk menjaga privasi dari orang-orang yang pribadi sistem informasi memegang.

-Integritas

Dalam keamanan informasi, integritas berarti bahwa data tidak dapat dimodifikasi tanpa jejak Ini bukan hal yang sama seperti integritas referensial dalam database , meskipun dapat dipandang sebagai kasus khusus dari Konsistensi seperti yang dipahami dalam klasik ASAM model proses transaksi . Integritas dilanggar bila pesan secara aktif diubah dalam perjalanan. Informasi sistem keamanan biasanya menyediakan integritas pesan di samping kerahasiaan data.

-Ketersediaan

Untuk setiap sistem informasi untuk mencapai tujuannya, informasi harus tersedia saat dibutuhkan. Ini berarti bahwa sistem komputasi digunakan untuk menyimpan dan memproses informasi, keamanan mengontrol digunakan untuk melindunginya, dan saluran komunikasi yang digunakan untuk mengaksesnya harus berfungsi dengan benar. Ketersediaan tinggi sistem bertujuan untuk tetap tersedia setiap saat, mencegah gangguan pelayanan karena terhadap pemadaman listrik, kegagalan perangkat keras, dan upgrade sistem. Memastikan ketersediaan juga melibatkan mencegah penolakan-of-service serangan .

-Keaslian

Dalam komputasi, E-bisnis keamanan, dan informasi, perlu untuk memastikan bahwa data, transaksi, komunikasi atau dokumen (elektronik atau fisik) yang asli. Hal ini juga penting untuk keaslian untuk memvalidasi bahwa kedua belah pihak yang terlibat adalah yang mereka klaim mereka.

-Non-repudiation

Dalam hukum, non-repudiation menyiratkan niat seseorang untuk memenuhi kewajiban mereka untuk kontrak. Ini juga berarti bahwa satu pihak dari transaksi tidak dapat menyangkal telah menerima transaksi juga tidak bisa pihak lain menyangkal telah mengirim transaksi.

Electronic commerce menggunakan teknologi seperti tanda tangan digital dan enkripsi kunci publik untuk menetapkan keaslian dan non-penolakan.

 

Pengendalian keamanan sistem informasi

Berkaitan dengan keamanan sistem informasi,diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol kontrol untuk pengamana sistem informasi antara lain :

a) kontrol administratif

b) kontrol pengembangan dan pemeliharaan sistem

c) kontrol operasi

d) proteksi fisik terhadap pusat data

e) kontrol perangkat keras

f) kontrol akses terhadap sistem komputer

g) konrol terhadap akses informasi

h) kontrol terhadap bencana

i) kontrol terhadap perlindungan terakhir

j) kontrol aplikasi

 

Berkaitan dengan keamanan system informasi, diperlukan tindakan berupa pengendalian terhadap sistem informasi. Kontrol-kontrol yang dapat dilakukan untuk pengamanan sistem informasi antara lain:

  1. a. Kontrol Administratif

Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas. Kontrol ini mencakup hal-hal berikut:

  • Mempublikasikan kebijakan control yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
  • Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
  • Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
  • Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
  • Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
  1. b. Kontrol Pengembangan dan Pemeliharaan Sistem

Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting. Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri.

 

  1. c. Kontrol Operasi

Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan. Termasuk dalam kontrol ini:

  • Pembatasan akan akses terhadap data

Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa saja yang pernah memilikinya.

  • Kontrol terhadap personel pengoperasi

Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log) benar-benar terpelihara.

  • Kontrol terhadap peralatan

Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan peralatan dapat diminimumkan.

  • Kontrol terhadap penyimpanan arsip

Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang sesuai.

  • Pengendalian terhadap virus

Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga kontrol berupa preventif, detektif, dan korektif.

 

Kontrol Contoh
Preventif
  • Menggunakan salinan perangkat lunak atau berkas yang berisi makro yang benar-benar bersih.
  • Mengindari pemakaian perangkat lunak freeware atau shareware dari sumber yang belum bisa dipercaya.
  • Menghindari pengambilan berkas yang mengandung makro dari sembarang tempat.
  • Memeriksa program baru atau berkas-berkas baru yang mengandung makro dengan program anti virus sebelum dipakai.
  • Menyadarkan pada setiap pemakai untuk waspada terhadap virus.
Detektif
  • Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus.
  • Melakukan pembandingan ukuran-ukuran berkas untuk mendeteksi perubahan ukuran pada berkas
  • Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan tanggal berkas.
Korektif
  • Memastikan pem-backup-an yang bersih
  • Memiliki rencana terdokumentasi tentang pemulihan infeksi virus.
  • Menjalankan program antivirus untuk menghilangkan virus dan program yang tertular.

 

  1. d. Proteksi Fisik terhadap Pusat Data

Untuk menjaga hal-hal yangtidak diinginkan terhadap pusat data, factor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar. Peralatan-peralatan yang berhubungan dengan faktor-faktor tersebut perlu dipantau dengan baik.

Untuk mengantisipasi segala kegagalan sumber daya listrik, biasa digunakan UPS. Dengan adanya peralatan ini, masih ada kesempatan beberapa menit sampai satu jam bagi personil yang bertanggung jawab untuk melakukan tindakan-tindakan seperti memberikan peringatan pada pemakai untuk segera menghentikan aktivitas yang berhubungan dengan sistem komputer. Sekiranya sistem memerlukan operasi yang tidak boleh diputus, misalnya pelayanan dalam rumah sakit, sistem harus dilengkapi generator listrik tersendiri.

  1. e. Kontrol Perangkat Keras

Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem ini dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat melanjutkan operasinya tanpa atau dengan sedikit interupsi.

Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada komunikasi jaringan, prosesor, penyimpan eksternal, catu daya, dan transaksi. Toleransi kegagalan terhadap jaringan dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi. Redundasi prosesor dilakukan antaralain dengan teknik watchdog processor, yang akan mengambil alih prosesor yang bermasalah.

Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih bai. Toleransi kegagalan pada catu daya diatasi melalui UPS. Toleransi kegagalan pada level transaksi ditanganimelalui mekanisme basis data yang disebut rollback, yang akan mengembalikan ke keadaan semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di pertengahan pemrosesan transaksi terjadi kegagalan.

  1. f. Kontrol Akses terhadap Sistem computer

untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang tahu password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang, pemakai juga dibatasi oleh waktu. Kontrol akses juga bisa berbentuk kontrol akses berkas. Sebagai contoh, administrator basis data mengatur agar pemakai X bisa mengubah data A, tetapi pemakai Y hanya bisa membaca isi berkas tersebut.

Jika pendekatan tradisional hanya mengandalkan pada password, sistem-sistem yang lebih maju mengombinasikan dengan teknologi lain. Misalnya, mesin ATM (anjungan tunai mandiri) menggunakan kartu magnetic atau bahkan kartu cerdas sebagai langkah awal untuk mengakses sistem dan kemudian baru diikuti dengan pemasukan PIN (personal identification number). Teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci untuk mengakses sistem.

Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet) dapat dicegar dengan menggunakan firewall. Firewall dapat berupa program ataupun perangkat keras yang memblokir akses dari luar intranet.

  1. g. Kontrol terhadap Akses Informasi

Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain dikenal dengan istilah kriptografi. Adapun sistemnya disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi cleratext, disebut dekrpisi. Keamanan informasi menggunakan kriptografi untuk mengubah informasi yang dapat digunakan menjadi bentuk yang membuat itu tidak dapat digunakan oleh pihak lain selain dari pengguna yang berwenang; proses ini disebut enkripsi . Informasi yang telah dienkripsi (tidak dapat digunakan lagi) dapat diubah kembali ke bentuk aslinya dapat digunakan oleh pengguna yang berwenang, yang memiliki bagian kunci kriptografi , melalui proses dekripsi. Kriptografi digunakan dalam keamanan informasi untuk melindungi informasi dari pengungkapan yang tidak sah atau tidak disengaja sedangkan informasi adalah dalam perjalanan (baik secara elektronik atau secara fisik) dan sementara informasi dalam penyimpanan.

Kriptografi menyediakan keamanan informasi dengan aplikasi yang berguna lainnya juga termasuk metode otentikasi ditingkatkan, mencerna pesan, tanda tangan digital, non-repudiation , dan komunikasi jaringan dienkripsi. Aplikasi kurang aman Lama seperti telnet dan ftp secara perlahan digantikan dengan aplikasi yang lebih aman seperti ssh yang menggunakan jaringan komunikasi terenkripsi. Komunikasi nirkabel bisa dienkripsi dengan menggunakan protokol seperti WPA/WPA2 atau lebih tua (dan kurang aman) WEP . Komunikasi kabel (seperti ITU-TG.hn ) dijamin menggunakan AES untuk enkripsi dan X.1035 untuk otentikasi dan pertukaran kunci. Software aplikasi seperti GnuPG atau PGP dapat digunakan untuk mengenkripsi file data dan Email.

Kriptografi dapat memperkenalkan masalah keamanan jika tidak diterapkan dengan benar. Solusi kriptografi harus diimplementasikan dengan menggunakan solusi industri diterima yang telah mengalami peer review ketat oleh para ahli independen dalam kriptografi. Para panjang dan kekuatan dari kunci enkripsi juga merupakan pertimbangan penting. Sebuah kunci yang lemah atau terlalu pendek akan menghasilkan enkripsi lemah. Tombol yang digunakan untuk enkripsi dan dekripsi harus dilindungi dengan derajat yang sama kekakuan sebagai informasi rahasia lainnya. Mereka harus dilindungi dari pengungkapan yang tidak sah dan perusakan dan mereka harus tersedia saat diperlukan. PKI solusi mengatasi banyak masalah yang mengelilingi manajemen kunci .

Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key encryption.

DES merupakan teknik untuk melakukan enskripsi dan deskripsi yang dikembangkan oleh IBM  pada tahun 1970-an. Kunci yang digunakan berupa kunci privat yang bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit. Algoritma yang digunakan mengonversi satu blok berukuran 64 bit (8karakter) menjadi blok data berukuran 64 bit.

Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang menjadi titik rawan untuk diketahui oleh pihak penyadap.

Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim S mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R melakukan dekripsi dengan menggunakan kunci privat R.

  1. h. Kontrol terhadap Bencana

Sementara rencana kelangsungan bisnis (BCP) mengambil pendekatan yang luas untuk berurusan dengan organisasi-lebar dampak bencana, pemulihan bencana perencanaan (DRP), yang adalah bagian dari rencana kelangsungan bisnis, adalah bukan terfokus pada mengambil langkah yang diperlukan untuk melanjutkan operasi bisnis normal secepat mungkin. Sebuah rencana pemulihan bencana yang dilakukan segera setelah bencana terjadi dan rincian langkah-langkah apa yang harus diambil dalam rangka untuk memulihkan infrastruktur teknologi informasi kritis.  Perencanaan pemulihan bencana termasuk mendirikan kelompok perencanaan, melakukan penilaian risiko, menetapkan prioritas, mengembangkan strategi pemulihan , mempersiapkan persediaan dan dokumentasi dari rencana, mengembangkan kriteria dan prosedur verifikasi, dan terakhir melaksanakan rencana tersebut.

Zwass (1998) membagi rencana pemulihan terhadap bencana ke dalam 4 komponen:

  • Rencana darurat (emergency plan) menentukan tidakan-tindakan yang harus dilakukan oleh para pegawai manakala bencana terjadi.
  • Rencana cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
  • Rencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasu mencakup tanggung jawab masing-masing personil.
  • Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau disimulasikan.
  1. i. Kontrol Terhadap Perlidungan Terakhir

Kontrol terhadap perlindungan terakhir dapat berupa:

  • Rencana pemulihan terhadap bencana.
  • Asuransi.

Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengansurasikan gedung atau asset-aset tertentu dengan tujuan kalau bencana terjadi, klaim asuransi dapat digunakan untuk meringankan beban organisasi.

  1. j. Kontrol Aplikasi

Kontrol aplikasi adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi sistem informasi. Wilayah yang dicakup oleh kontrol ini meliputi:

  • Kontrol Masukan

Kontrol masukan digunakan untuk menjamin keakurasian data, kelengkapan masukan, dan validasi terhadap masukan. Digit pemeriksaan (check digit) yang ditambahkan dalam suatu kode masukan merupakan suatu contoh teknik yang digunakan untk menjamin keakurasian dan keabsahan data.

  • Kontrol Pemrosesan

Kesalahan salam pemrosesan bisa terjadi sekalipun program dibuat dengan hati-hati agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran hasil pemrosesan kadang-kadang perlu dilakukan sehingga kalaku terjadi hal-hal yang tidak benar segera bisa diketahui.

Kontrol proses antara lain dilakukan dengan mencantumkan total kontrol, berupa nilai total semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan maksud untuk dicocokkan dengan jumlah transaksi.

  • Kontrol Keluaran

Kontrol keluaran dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan dengan melaksanakan pengamatan terhadap dokumen-dokumen dan laporan-laporan yang dihasilkan oleh komputer didasarkan pada kebenaran informasi, otorisasi, dan kerahasiaan informasi.

  • Kontrol Basis Data

Kontrol terhadap basis data antara lain dengan cara:

  • Penerapan kebijakan backup dan recovery.
  • Penanganan transaksi melalui mekanisme rollback dan commit. (rollback adalah kemampuan basis data yang memungkinkan pengembalian ke keadaan sebelum sebuah transaksi dimulai jika suatu transaksi tidak berjalan dengan sempurna, sedangkan commit digunakan untuk memastikan bahwa data benar-benar teah dimutakhirkan pada basis data sekiranya sebuah transaksi berlangsung dengan sempurna.
  • Otorisasi akses, yang mengatur orang tertentu hanya bisa melakukan tindakan tertentu pada berkas tertentu.
  • Kontrol Telekomunikasi

Telekmunikasi merupakan komponen yang paling lemah dalam sistem informasi. Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik dalam jaringan. Untuk mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat membaca informasi yang sesungguhnya. Teknik checksum juga bisa diterapkan pada data yang vital untuk mendeteksi apakah telah terjadi perubahan pada data atau tidak.

 

Proses

Istilah orang yang wajar dan bijaksana, hati-hati dan due diligence telah digunakan dalam bidang Keuangan, Efek, dan Hukum selama bertahun-tahun. Dalam beberapa tahun terakhir istilah-istilah ini telah menemukan cara mereka ke dalam bidang keamanan komputasi dan informasi. Amerika Serikat federal Pedoman Hukuman sekarang memungkinkan untuk menahan pejabat perusahaan bertanggung jawab karena gagal ketelitian dan due diligence dalam pengelolaan sistem informasi mereka.

Dalam dunia bisnis, pemegang saham, pelanggan, mitra bisnis dan pemerintah memiliki harapan bahwa pejabat perusahaan akan menjalankan bisnis sesuai dengan praktik bisnis yang berlaku dan sesuai dengan hukum dan peraturan lainnya. Hal ini sering digambarkan sebagai aturan “yang wajar dan bijaksana orang”. Seorang yang bijaksana membutuhkan perawatan karena untuk memastikan bahwa semuanya perlu dilakukan untuk menjalankan bisnis dengan prinsip-prinsip bisnis yang sehat dan secara etika hukum. Seorang yang bijaksana juga rajin (sadar, penuh perhatian, dan berkelanjutan) dalam perawatan karena mereka bisnis.

Di bidang Keamanan Informasi, Harris  menawarkan definisi berikut dari hati-hati dan due diligence:

“Karena perawatan adalah langkah-langkah yang diambil untuk menunjukkan bahwa perusahaan telah mengambil tanggung jawab atas kegiatan yang berlangsung dalam perusahaan dan telah mengambil langkah yang diperlukan untuk membantu melindungi perusahaan, sumber daya, dan karyawan.” Dan, [Due diligence adalah itu] “kegiatan terus menerus yang memastikan mekanisme perlindungan secara terus menerus dipelihara dan operasional.”

Perhatian harus dilakukan untuk dua poin penting dalam definisi ini. Pertama, dalam perawatan karena, langkah yang diambil untuk menunjukkan – ini berarti bahwa langkah-langkah dapat diverifikasi, diukur, atau bahkan menghasilkan artefak nyata. Kedua, dalam due diligence, ada kegiatan terus-menerus – ini berarti bahwa orang yang benar-benar melakukan sesuatu untuk memantau dan memelihara mekanisme perlindungan, dan kegiatan ini berlangsung.

Keamanan pemerintahan

Lihat juga: Pemerintahan Keamanan Informasi

The Software Engineering Institute di Carnegie Mellon University , dalam publikasi berjudul “Pemerintahan untuk Enterprise Keamanan (GES)”, mendefinisikan karakteristik tata kelola keamanan yang efektif. Ini termasuk:

  • Sebuah isu perusahaan-lebar
  • Pemimpin bertanggung jawab
  • Dilihat sebagai persyaratan bisnis
  • Berbasis risiko
  • Peran, tanggung jawab dan pemisahan tugas didefinisikan
  • Ditangani dan ditegakkan dalam kebijakan
  • Sumber daya yang memadai berkomitmen
  • Staf sadar dan terlatih
  • Sebuah siklus hidup pengembangan persyaratan
  • Direncanakan, dikelola, terukur, dan diukur
  • Diulas dan diaudit

Insiden rencana respon

1 sampai 3 ayat (non teknis) yang membahas:

  • Memilih anggota tim
  • Menentukan peran, tanggung jawab dan jalur kewenangan
  • Tentukan insiden keamanan
  • Tentukan kejadian dilaporkan
  • Latihan
  • Deteksi
  • Klasifikasi
  • Eskalasi
  • Penahanan
  • Pemberantasan
  • Dokumentasi

Manajemen perubahan

Manajemen perubahan adalah proses formal untuk memimpin dan mengendalikan perubahan dengan lingkungan pemrosesan informasi. Ini termasuk perubahan untuk komputer desktop, jaringan, server dan perangkat lunak. Tujuan dari manajemen perubahan adalah untuk mengurangi risiko yang ditimbulkan oleh perubahan lingkungan pengolahan informasi dan meningkatkan stabilitas dan kehandalan dari lingkungan pengolahan sebagai perubahan yang dibuat. Ini bukan tujuan dari manajemen perubahan untuk mencegah atau menghambat perubahan yang diperlukan dari sedang dilaksanakan.

Setiap perubahan lingkungan pengolahan informasi memperkenalkan unsur risiko. Bahkan tampaknya perubahan sederhana dapat memiliki efek yang tak terduga. Salah satu tanggung jawab Manajemen banyak adalah manajemen risiko. Manajemen perubahan adalah alat untuk mengelola risiko yang diperkenalkan oleh perubahan pada lingkungan pemrosesan informasi. Bagian dari proses manajemen perubahan memastikan bahwa perubahan tidak dilakukan pada waktu yang tidak tepat ketika mereka dapat mengganggu proses bisnis penting atau mengganggu perubahan lain sedang dilaksanakan.

Tidak setiap perubahan perlu dikelola. Beberapa jenis perubahan adalah bagian dari rutinitas sehari-hari pengolahan informasi dan mematuhi prosedur yang telah ditetapkan, yang mengurangi keseluruhan tingkat risiko terhadap lingkungan pengolahan. Membuat akun user baru atau menjalankan sebuah komputer desktop baru adalah contoh dari perubahan yang tidak umumnya memerlukan manajemen perubahan. Namun demikian, memindahkan saham pengguna file, atau upgrade server Email menimbulkan tingkat yang lebih tinggi risiko kepada lingkungan pengolahan dan bukan merupakan kegiatan normal sehari-hari. Langkah-langkah pertama penting dalam manajemen perubahan adalah (a) perubahan terdefinisi (dan berkomunikasi definisi itu) dan (b) menetapkan ruang lingkup sistem perubahan.

Manajemen perubahan biasanya diawasi oleh Dewan Tinjauan Perubahan terdiri dari perwakilan dari bidang bisnis utama, keamanan, jaringan, administrator sistem, administrasi database, pengembangan aplikasi, dukungan desktop dan meja bantuan. Tugas Review Dewan Perubahan dapat difasilitasi dengan penggunaan aplikasi alur kerja otomatis. Tanggung jawab Review Dewan Perubahan adalah untuk memastikan organisasi didokumentasikan perubahan prosedur manajemen diikuti. Proses manajemen perubahan adalah sebagai berikut:

  • Diminta: Siapapun dapat meminta perubahan. Orang yang membuat permintaan perubahan mungkin atau mungkin tidak menjadi orang yang sama yang melakukan analisis atau menerapkan perubahan. Ketika sebuah permintaan untuk perubahan diterima, mungkin menjalani review awal untuk menentukan apakah perubahan yang diminta kompatibel dengan organisasi model bisnis dan praktek, dan untuk menentukan jumlah sumber daya yang diperlukan untuk melaksanakan perubahan.
  • Disetujui: Manajemen menjalankan bisnis dan mengontrol alokasi sumber daya oleh karena itu, Manajemen harus menyetujui permintaan untuk perubahan dan menetapkan prioritas untuk setiap perubahan. Manajemen mungkin memilih untuk menolak permintaan perubahan jika perubahan itu tidak kompatibel dengan model bisnis, standar industri atau praktik terbaik. Manajemen juga mungkin memilih untuk menolak permintaan perubahan apakah perubahan ini membutuhkan daya yang lebih dapat dialokasikan untuk perubahan.
  • Direncanakan: Perencanaan melibatkan menemukan perubahan ruang lingkup dan dampak perubahan yang diusulkan; menganalisis kompleksitas perubahan; alokasi sumber daya dan, mengembangkan, menguji dan mendokumentasikan baik pelaksanaan dan rencana backout. Perlu mendefinisikan kriteria yang keputusan untuk mundur akan dibuat.
  • Diuji: Setiap perubahan harus diuji di lingkungan tes yang aman, yang erat mencerminkan lingkungan produksi yang sebenarnya, sebelum perubahan diterapkan pada lingkungan produksi. Rencana backout juga harus diuji.
  • Dijadwalkan: Bagian dari tanggung jawab perubahan tinjauan dewan adalah membantu dalam penjadwalan dengan meninjau perubahan tanggal pelaksanaan yang diusulkan untuk potensi konflik dengan perubahan jadwal lain atau kegiatan bisnis penting.
  • Komunikasikan: Setelah perubahan telah dijadwalkan harus dikomunikasikan. Komunikasi adalah untuk memberikan orang lain kesempatan untuk mengingatkan badan review tentang perubahan perubahan lain atau kegiatan bisnis penting yang mungkin telah diabaikan saat menjadwalkan perubahan. Komunikasi juga berfungsi untuk membuat Help Desk dan pengguna menyadari bahwa perubahan akan segera terjadi. Lain tanggung jawab dewan peninjau perubahan adalah untuk memastikan bahwa perubahan dijadwalkan sudah benar dikomunikasikan kepada mereka yang akan dipengaruhi oleh perubahan atau memiliki kepentingan dalam perubahan.
  • Diimplementasikan: Pada tanggal yang ditentukan dan waktu, perubahan harus dilaksanakan. Bagian dari proses perencanaan adalah untuk mengembangkan rencana pelaksanaan, rencana pengujian dan, kembali rencana. Jika pelaksanaan perubahan itu harus gagal atau, pengujian implementasi pasca gagal atau, lain “drop mati” kriteria telah dipenuhi, kembali rencana harus dilaksanakan.
  • Didokumentasikan: Semua perubahan harus didokumentasikan. Pencatatannya meliputi permintaan awal untuk perubahan, persetujuan, prioritas yang ditugaskan untuk itu, implementasi, pengujian dan kembali rencana, hasil kritik perubahan tinjauan dewan, tanggal / waktu perubahan sudah dilaksanakan, yang dilaksanakan, dan apakah perubahan tersebut dilaksanakan dengan sukses, gagal atau ditunda.
  • Posting review perubahan: Dewan Tinjauan perubahan harus terus review post implementasi perubahan. Hal ini terutama penting untuk meninjau perubahan gagal dan mundur. Badan review harus mencoba untuk memahami permasalahan yang dihadapi, dan mencari daerah untuk perbaikan.

Mengubah prosedur manajemen yang sederhana untuk mengikuti dan mudah digunakan dapat sangat mengurangi risiko secara keseluruhan dibuat jika ada perubahan pada lingkungan pemrosesan informasi. Prosedur manajemen perubahan yang baik meningkatkan seluruh kualitas dan keberhasilan perubahan seperti yang diterapkan. Hal ini dicapai melalui perencanaan, peer review, dokumentasi dan komunikasi.

ISO / IEC 20000 , The OPS Terlihat Handbook: Pelaksana ITIL dalam 4 Langkah Praktis dan auditable (ringkasan buku penuh),  Teknologi Informasi Infrastructure Library semua memberikan panduan yang berharga pada menerapkan perubahan manajemen yang efisien dan efektif program keamanan informasi .

kontinuitas Bisnis

Kelangsungan bisnis adalah mekanisme dengan mana organisasi terus beroperasi unit kritis bisnis, selama gangguan direncanakan atau tidak direncanakan yang mempengaruhi operasi bisnis normal, dengan menerapkan prosedur direncanakan dan dikelola.

Tidak seperti apa yang kebanyakan orang berpikir kelangsungan bisnis belum tentu sebuah sistem TI atau proses, hanya karena itu adalah tentang bisnis. Hari ini bencana atau gangguan bisnis kenyataan. Apakah bencana adalah alam atau buatan manusia, hal itu mempengaruhi kehidupan normal dan bisnis. Jadi mengapa perencanaan begitu penting? Mari kita menghadapi kenyataan bahwa “semua bisnis sembuh”, apakah mereka berencana untuk pemulihan atau tidak, hanya karena bisnis adalah tentang mendapatkan uang untuk bertahan hidup.

Perencanaan ini hanya mendapatkan lebih siap menghadapinya, tahu sepenuhnya dengan baik bahwa rencana terbaik mungkin gagal. Perencanaan membantu mengurangi biaya pemulihan, overhead operasional dan yang paling penting berlayar melalui beberapa yang lebih kecil dengan mudah.

Untuk bisnis untuk membuat rencana yang efektif yang mereka butuhkan untuk fokus pada beberapa pertanyaan utama. Sebagian besar adalah pengetahuan umum, dan siapa saja bisa melakukan BCP.

  1. Jika serangan bencana, apa saja hal pertama yang harus saya lakukan? Apakah saya harus memanggil orang-orang untuk menemukan jika mereka OK atau menelepon bank untuk mencari tahu uang saya aman? Ini adalah Tanggap Darurat. Layanan Darurat Tanggap membantu mengambil hit pertama ketika terjadi bencana dan jika bencana cukup serius tim Tanggap Darurat kebutuhan untuk cepat mendapatkan tim Manajemen Krisis di tempat.
  2. Apa bagian dari bisnis saya harus saya sembuh dulu? Salah satu yang membawa saya paling uang atau yang mana saya menghabiskan sebagian besar, atau salah satu yang akan memastikan aku akan bisa mendapatkan pertumbuhan masa depan yang berkelanjutan? Bagian diidentifikasi merupakan unit bisnis penting. Tidak ada peluru ajaib di sini, tidak ada jawaban yang memuaskan semua. Bisnis perlu untuk menemukan jawaban yang memenuhi kebutuhan bisnis.
  3. Berapa lama saya harus menargetkan untuk memulihkan unit kritis bisnis saya? Dalam jargon BCP teknis ini disebut Pemulihan Sisa Tujuan, atau RTO . Tujuan ini akan menentukan apa biaya bisnis akan perlu menghabiskan untuk pulih dari gangguan seorang. Sebagai contoh, lebih murah untuk memulihkan bisnis dalam 1 hari dari dalam 1 jam.
  4. Apa semua yang saya perlukan untuk memulihkan bisnis? TI, mesin, catatan … makanan, air, manusia … aspek Begitu banyak berkutat pada. Faktor biaya menjadi lebih jelas sekarang … Para pemimpin bisnis perlu drive kelangsungan bisnis. Bertahanlah. TI manajer saya menghabiskan $ 200.000 bulan lalu dan menciptakan sebuah DRP ( Disaster Recovery Plan ), apapun yang terjadi dengan itu? DRP adalah tentang melanjutkan sistem TI, dan merupakan salah satu bagian dari Business Continuity Plan yang komprehensif. Lihat di bawah untuk lebih lanjut tentang ini.
  5. Dan di mana cara memulihkan bisnis saya dari … Apakah pusat bisnis memberikan saya ruang untuk bekerja, atau akan dibanjiri oleh banyak orang mengantri untuk alasan yang sama bahwa saya.
  6. Tapi begitu aku pulih dari bencana dan bekerja dalam kapasitas produksi berkurang, karena situs utama saya operasional tidak tersedia, berapa lama hal ini akan berlangsung. Berapa lama saya bisa lakukan tanpa situs asli saya, sistem, orang? ini mendefinisikan jumlah ketahanan bisnis bisnis mungkin memiliki.
  7. Sekarang saya tahu bagaimana memulihkan bisnis saya. Bagaimana cara memastikan rencana saya bekerja? Kebanyakan pakar BCP akan merekomendasikan pengujian rencana setidaknya setahun sekali, untuk meninjau kecukupan dan menulis ulang atau memperbarui rencana baik setiap tahun atau ketika bisnis berubah.

Hukum dan peraturan

Di bawah ini adalah daftar parsial dari Eropa, Inggris, Kanada dan Amerika Serikat hukum dan peraturan pemerintah yang memiliki atau akan memiliki, dampak yang signifikan terhadap pengolahan data dan keamanan informasi. Peraturan industri sektor penting juga telah disertakan saat mereka memiliki dampak yang signifikan terhadap keamanan informasi.

  • UK Data Protection Act 1998 membuat ketentuan baru untuk pengaturan pengolahan informasi yang berkaitan dengan individu, termasuk penggunaan, mendapatkan memegang, atau pengungkapan informasi tersebut. Uni Eropa Data Protection Directive (EUDPD) mensyaratkan bahwa semua anggota Uni Eropa harus mengadopsi peraturan nasional untuk standarisasi perlindungan privasi data untuk warga di seluruh Uni Eropa.
  • Para UU Penyalahgunaan Komputer 1990 adalah Undang-undang dari Parlemen Inggris membuat kejahatan komputer (misalnya retak – kadang-kadang salah disebut sebagai hacking) tindak pidana. UU ini telah menjadi model di mana beberapa negara lain termasuk Kanada dan Republik Irlandia telah menarik inspirasi ketika kemudian merancang undang-undang informasi keamanan mereka sendiri.
  • Uni Eropa data hukum Retensi memerlukan penyedia layanan Internet dan perusahaan telepon untuk menyimpan data pada setiap pesan elektronik yang dikirim dan panggilan telepon yang dibuat selama antara enam bulan dan dua tahun.
  • Para Hak Keluarga Pendidikan dan Privacy Act (FERPA) ( 20 USC§ 1232 g; 34 CFR Part 99) adalah Amerika Serikat federal hukum yang melindungi privasi catatan pendidikan siswa. Hukum berlaku untuk semua sekolah yang menerima dana di bawah program yang berlaku dari Departemen Pendidikan Amerika Serikat. Umumnya, sekolah harus memiliki izin tertulis dari orang tua atau siswa memenuhi syarat untuk melepaskan informasi dari catatan pendidikan siswa.
  • Asuransi Kesehatan Portabilitas dan Akuntabilitas Act (HIPAA) Tahun 1996 membutuhkan penerapan standar nasional untuk transaksi elektronik perawatan kesehatan dan pengenal nasional bagi penyedia, rencana asuransi kesehatan, dan pengusaha. Dan, itu membutuhkan penyedia layanan kesehatan, penyedia asuransi dan pengusaha untuk menjaga keamanan dan privasi data kesehatan.
  • Gramm-Leach-Bliley Undang-Undang Tahun 1999 (GLBA), juga dikenal sebagai UU Modernisasi Jasa Keuangan Tahun 1999, melindungi privasi dan keamanan informasi keuangan swasta yang mengumpulkan lembaga keuangan, tahan, dan proses.
  • Sarbanes-Oxley Act of 2002 (SOX) . Bagian 404 dari undang-undang tersebut mengharuskan perusahaan publik untuk menilai efektivitas pengendalian internal mereka untuk pelaporan keuangan dalam laporan tahunan mereka mengajukan pada akhir setiap tahun fiskal. Petugas informasi kepala bertanggung jawab atas akurasi, keamanan dan keandalan sistem yang mengelola dan melaporkan data keuangan. Tindakan itu juga mengharuskan perusahaan publik untuk terlibat auditor independen yang harus membuktikan, dan melaporkan, validitas penilaian mereka.
  • Data Industri Kartu Pembayaran Standar Keamanan (PCI DSS) menetapkan persyaratan yang komprehensif untuk rekening pembayaran meningkatkan keamanan data. Ini dikembangkan oleh merek pembayaran pendiri PCI Standar Keamanan Dewan, termasuk American Express , Discover Jasa Keuangan , JCB, MasterCard Worldwide dan Visa International , untuk membantu memfasilitasi adopsi luas langkah-langkah keamanan data pada basis global yang konsisten. DSS PCI adalah standar keamanan segi yang mencakup persyaratan untuk manajemen keamanan, kebijakan, prosedur, arsitektur jaringan , desain perangkat lunak dan lain upaya perlindungan kritis.
  • Negara Hukum Keamanan Pemberitahuan Pelanggaran (California dan banyak lainnya) memerlukan usaha, organisasi nirlaba, dan lembaga negara untuk memberitahukan konsumen ketika tidak terenkripsi “informasi pribadi” mungkin telah dikompromikan, hilang, atau dicuri.
  • Informasi Pribadi Perlindungan dan Dokumen Elektronik Act ( aturan PIPEDA ) – Sebuah UU untuk mendukung dan mempromosikan perdagangan elektronik dengan melindungi informasi pribadi yang dikumpulkan, digunakan atau diungkapkan dalam keadaan tertentu, dengan menyediakan untuk penggunaan sarana elektronik untuk berkomunikasi atau merekam informasi atau transaksi dan oleh amandemen Undang-Undang Bukti Kanada , UU Instrumen Hukum dan UU Revisi Statuta.

Sumber-sumber standar

Artikel utama: Cyber ​​Standar Keamanan

Organisasi Internasional untuk Standardisasi (ISO) adalah konsorsium nasional lembaga standar dari 157 negara, dikoordinasikan melalui sekretariat di Jenewa, Swiss. ISO adalah pengembang terbesar di dunia standar. ISO 15443: “Teknologi informasi – Teknik keamanan – Sebuah kerangka untuk jaminan keamanan TI”, ISO / IEC 27002 : “Teknologi informasi – teknik Keamanan – Kode praktek untuk manajemen informasi keamanan”, ISO-20000 : “Teknologi informasi – Manajemen layanan” , dan ISO/IEC27001 : “Teknologi informasi – Teknik keamanan – sistem manajemen keamanan informasi – Persyaratan” adalah menarik bagi para profesional keamanan informasi.

Amerika Serikat Institut Nasional Standar dan Teknologi ( NIST ) adalah lembaga non-peraturan federal yang dalam Departemen Perdagangan AS . NIST Komputer Divisi Keamanan mengembangkan standar, metrik, tes dan program validasi serta menerbitkan standar dan pedoman untuk meningkatkan mengamankan TI perencanaan, pelaksanaan, pengelolaan dan operasi. NIST juga penjaga Amerika Serikat Federal Information Processing Standard publikasi (FIPS).

Internet Society adalah masyarakat keanggotaan profesional dengan lebih dari 100 organisasi dan lebih dari 20.000 anggota individu di lebih dari 180 negara. Ini menyediakan kepemimpinan dalam mengatasi masalah yang menghadang masa depan Internet, dan merupakan organisasi rumah bagi kelompok yang bertanggung jawab untuk infrastruktur Internet standar, termasuk Internet Engineering Task Force (IETF) dan Internet Architecture Board (IAB). ISOC Para host Permintaan untuk Komentar (RFC) yang meliputi Standar Internet Protocol Resmi dan RFC-2196 Situs Buku Pegangan Keamanan .

The Forum Keamanan Informasi adalah sebuah organisasi nirlaba global beberapa ratus organisasi terkemuka dalam jasa keuangan, manufaktur, telekomunikasi, barang konsumen, pemerintah, dan daerah lainnya. CSIS melaksanakan penelitian ke dalam praktek keamanan informasi dan menawarkan saran dalam dua tahunan yang Standar Praktek yang Baik dan nasihat yang lebih rinci untuk anggota.

Para TI Katalog Perlindungan baseline , atau IT-Grundschutz Katalog, (” TI baseline Perlindungan Manual “sebelum 2005) adalah kumpulan dokumen dari Jerman Kantor Federal untuk Keamanan dalam Teknologi Informasi (FSI), berguna untuk mendeteksi dan memerangi keamanan yang relevan lemah poin dalam lingkungan TI (TI cluster). Koleksi ini meliputi lebih dari 3000 halaman dengan pengenalan dan katalog.

Profesionalisme

Informasi profesionalisme keamanan adalah seperangkat pengetahuan, keterampilan dan etos kerja bahwa orang yang bekerja di bidang keamanan informasi dan serupa ( Informasi Jaminan dan keamanan Komputer ) harus memiliki. Beberapa advokat yang karakteristik ini harus ditunjukkan melalui sertifikasi dari organisasi dihormati. Lainnya mempertanyakan kematangan dan efektivitas sertifikasi yang ada saat ini.

Kesimpulan

 

Keamanan sistem informasi tidak dilihat dari kaca mata timbulnya serangan dari virus,mallware,spy ware,dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan dengan domain keamanan sistem itu sendiri.

 

Daftar Pustaka :

Budi Raharjo, Keamanan Sistem Informasi berbasis Internet, ismailzone.com/download/ cryptography/Rahardi-sec-handbook.pdf, Juli 2009

http://www.slideshare.net/andiazka/chapter-7-keamanan-sistem-informasi