Senin, 10 Desember 2012

Model Keamanan Manajemen


SECURITY MANAGEMENT MODELS
  1. Blueprints, Frameworks, and Security Models
Framework merupakan garis besar dari blueprint yang lebih menyeluruh, yang mana menetapkan model yang harus diikuti dalam menciptakan desain, seleksi, implementasi awal dan berkelanjutan dari semua kontrol keamanan berikutnya termasuk information security policies, security education, dan training programs, serta technological controls.
Security model merupakan blueprint generic yang ditawarkan oleh service organization. Cara lain untuk menciptakan blueprint adalah dengan melihat jalur yang diambil oleh organisasi (benchmarking-mengikuti praktek rekomendasi atau standar industri)
  1. Access Control Models
  • Access control mengatur user memasuki trusted area organisasi logical access ke information systems dan physical access ke organization’s facilities.
  • Aplikasi umum dari access control terdiri dari 4 proses:
      1. Identification
      2. Authentication
      3. Authorization
      4. Accountability
  • Access control memungkinkan organisasi untuk membatasi akses terhadap informasi, informasi asset, dan asset tak berwujud lainnya to those with a bona fide business need.
  • Access control terdiri dari beberapa prinsip:
      1. Least privilege:
      2. Keperluan untuk mengetahui
      3. Pembagian tugas
  • Pendekatan pertama yang digunakan untuk mengkategorikan metodologi akses kontrol.
Preventive: kontrol yang membantu organisasi menghindari insiden
Deterrent: kontrol yang menghambat atau menghalangi insiden yang baru mulai
Detective: kontrol yang mendeteksi atau mengidentifikasi insiden ketika kejadian terjadi
Corrective: kontrol yang mengurangi kerusakan yang dilakukan pada saa kejadian
Recovery: kontrol yang memulihkan kembalik kondisi operasi menjadi normal
Compensating: kontrol yang mengatasi kekurangan
  • Pendekatan kedua, digambarkan dalam NIST Special Publication Series, mengkategorikan kontrol berdasarkan dampak operasionalnya terhadap organisasi:
  1. Management: kontrol yang mencakup proses keamanan yang dirancang oleh strategic planner.
  2. Operational: kontrol yang berhubungan dengan fungsi operasional.
  3. Technical: kontrol yang mendukung bagian taktis dari suatu program keamanan.
  1. Security Architecture Models
  • Trusted Computing Based
  • The Trusted Computer System Evaluation Criteria (TCSEC) merupakan standar DoD yang mendefinisikan criteria untuk melakukan akses terhadap control access di dalam sistem komputer.
  • TCSEC mendefinisikan trusted computing base (TCB) sebagai kombinasi semua hardware, firmware, dan software yang bertanggung jawab untuk menegakkan security policy.
TCB merupakan mekanisme internal control dan administrasi yang efektif dari sistem  yang sedang diatur.
  • ITSEC
      • The Information System Evaluation Criteria (ITSEC) merupakan suatu set criteria internasional yang mengevaluasi sistem komputer. Hampir sama dengan TCSEC.
      • The ITSEC menilai produk pada skala E1 (level yang paling rendah) hingga E6 (level yang paling tinggi)
  • The Common Criteria (CC)
  • Kriteria umum untuk Information Technology Security Evaluation (biasanya disebut Common Criteria) merupakan internasional standar (ISO/IEC 15408) untuk sertifikasi keamanan komputer
  • The CC mencari kemungkinan pengakuan mutual yang terluas dari keamanan produk IT.
  • Proses CC menjamin bahwa spesifikasi, implementasi, dan evaluasi produk keamanan komputer dilakukan secara ketat dan sesuai standar.
  • Bell-LaPadula Confidentiality Model
  • The Bell-LaPadula (BLP) confidentiality model merupakan model mesin yang membantu untuk memastikan kerahasiaan sistem informasi melalui MACs, klasifikasi data, dan izin keamanan.
  • Clark-Wilson Integrity Model
    • The Clark-Wilson integrity model, yang dibangun berdasarkan prinsip-prinsip kontrol perubahan dibandingkan tingkat integritas, dirancang untuk lingkungan komersial.
    • Model ini menetapkan suatu sistem hubungan subjek-program-objek seperti subjek tidak dapat melakukan akses langsung terhadap objek.
  • Graham-Denning Access Control Model
    • The Graham-Denning access control model memiliki 3 bagian: objek, subjek dan hak.
    • Model ini menggambarkan 8 hak perlindungan primitive yang disebut commands.
  • Harrison-Ruzzo-Ullman Model
    • The Harrison-Ruzzo-Ullman (HRU) model mendefinisikan suatu metoe yang mengizinkan perubahan terhadap hak akses dan penghapusan subjek dan objek, suatu proses yang tidak terdapat di Bell-LaPadula model.
    • Dengan mengimplementasikan hak dan command serta membatasi command menjadi single operation, dimungkinkan untuk menentukan jika dan kapan subjek tertentu dapat memperoleh hak particular terhadap suatu objek.
  • Brewer-Nash Model (Chinese Wall)
    • The Brewer-Nash model umumnya dikenal sebagai Chinese wall yang didesain untuk mencegah konflik kepentingan antara 2 pihak.
    • The Brewer-Nash model memerlukan user untuk menyeleksi satu dari dua set data yang bertentangan, setelah itu mereka tidak dapat mengakses data yang bertentangan tersebut.
  • NIST Security Models
    • NIST special publication 800-12, Computer Security Handbook, merupakan referensi terbaik dan panduan untuk manajemen rutin information security.
    • NIST special publication 800-14, Generally Accepted Principles and Practices for Securing Information Technology Systems, menggambarkan praktek rekomendasi dan menyediakan informasi yang secara umum diterima oleh prinsip information security yang mana dapat mengarahkan security team di dalam pembangunan suatu security blueprint.
    • NIST special publication 800-18 Rev.1, Guide for Developing Security Plans for Federal Information Systems, menyediakan metode detail untuk assessing, designing, dan implementing controls, serta rencana aplikasi untuk berbagai macam ukuran.
    • NIST special publication 800-26, Security Self-Assessment Guide for Information Technology Systems, menggambarkan 17 area yang span managerial, operational, dan technical controls.
    • NIST special publication 800-30, Risk Management Guide for Information Technology Systems, menyediakan fondasi untuk pembangunan suatu efektif risk management program, yang terdiri dari definisi dan panduan praktikal yang diperlukan untuk menilai dan mengurangi resiko yang teridentifikasi dalam sistem IT.
  • Information Security Governance Framework
    • The Information Security Governance Framework merupakan model managerial disediakan oleh industry working group, www.CyberPartnership.org, dan merupakan hasil dari usaha pengembangan oleh National Cyber Security Summit Task Force.
    • Framework ini menetapkan bahwa setiap independent organizational unit harus mengembangkan, mendokumentasi, dan mengimplementasikan information security program


Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)