ISO TR 13335



ISO TR 13335





A.                 Pembahasan
               
Pengertian ISO


Organisasi Standar Internasional (ISO) adalah suatu asosiasi global yang terdiri dari badan-badan standardisasi nasional yang beranggotakan tidak kurang dari 140 negara. ISO merupakan suatu organisasi di luar pemerintahan (Non-Government Organization/NGO) yang berdiri sejak tahun 1947. Misi dari ISO adalah untuk mendukung pengembangan standardisasi dan kegiatan-kegiatan terkait lainnya dengan harapan untuk membantu perdagangan internasional, dan juga untuk membantu pengembangan kerjasama secara global di bidang ilmu pengetahuan, teknologi dan kegiatan ekonomi. Kegiatan pokok ISO adalah menghasilkan kesepakatan-kesepakatan internasional yang kemudian dipublikasikan sebagai standar internasional.


ISO (the International Organization for Standardization) dan IEC (the International Electrotechnical Commission) membentuk sistem khusus untuk standardisasi di seluruh dunia. Badan-badan nasional yang menjadi anggota ISO atau IEC berpartisipasi dalam pengembangan Standar Internasional melalui komite teknis yang dibentuk oleh organisasi masing-masing untuk menangani bidang-bidang tertentu dari aktivitas teknis. Komite teknis ISO dan IEC berkolaborasi dalam bidang kepentingan bersama. Organisasi internasional lainnya, pemerintah dan non-pemerintah, dalam hubungannya dengan ISO dan IEC, juga mengambil bagian dalam pekerjaan. Standar Internasional disusun sesuai dengan aturan yang diberikan dalam Arahan ISO / IEC, Bagian 3.
Di bidang teknologi informasi, ISO dan IEC telah membentuk komite teknis gabungan, ISO / IEC JTC 1. Konsep Standar Internasional yang diadopsi oleh komite teknis gabungan diedarkan ke badan nasional untuk pemungutan suara. Publikasi sebagai Standar Internasional membutuhkan persetujuan oleh setidaknya 75% dari badan nasional yang memberikan suara.
Dalam keadaan luar biasa, ketika komite teknis telah mengumpulkan data dari jenis yang berbeda dari yang biasanya diterbitkan sebagai Standar Internasional ("State of the Art", misalnya), ia dapat memutuskan dengan suara mayoritas sederhana dari anggota yang berpartisipasi untuk mempublikasikan Laporan Teknis. Laporan Teknis sepenuhnya bersifat informatif dan tidak harus ditinjau sampai data yang diberikannya dianggap tidak lagi valid atau berguna.
Perhatian tertarik pada kemungkinan bahwa beberapa elemen dari bagian ISO / IEC TR 13335 ini mungkin merupakan subjek hak paten. ISO dan IEC tidak bertanggung jawab untuk mengidentifikasi salah satu atau semua hak paten tersebut.
ISO / IEC TR 13335-4 disiapkan oleh Panitia Teknis Bersama ISO / IEC JTC 1, Teknologi informasi, Subkomite SC 27, teknik Keamanan TI.
ISO / IEC TR 13335 terdiri dari bagian-bagian berikut, di bawah ini adalah judul umum Teknologi informasi - Panduan untuk pengelolaan Keamanan TI:
- Bagian 1: Konsep dan model untuk Keamanan TI
- Bagian 2: Mengelola dan merencanakan Keamanan TI
- Bagian 3: Teknik untuk manajemen Keamanan TI
- Bagian 4: Pemilihan safeguards
- Bagian 5: Safeguards untuk koneksi eksternal

B.         Tujuan

Tujuan dari Laporan Teknis ini (ISO / IEC TR 13335) adalah untuk memberikan panduan, bukan solusi, pada aspek manajemen keamanan TI. Orang-orang di dalam organisasi yang bertanggung jawab atas keamanan TI harus dapat menyesuaikan materi dalam laporan ini untuk memenuhi kebutuhan khusus mereka.
Tujuan utama dari Laporan Teknis ini adalah:
• untuk mendefinisikan dan menjelaskan konsep yang terkait dengan manajemen keamanan TI,
• untuk mengidentifikasi hubungan antara manajemen keamanan TI dan manajemen TI secara umum,
• untuk menyajikan beberapa model yang dapat digunakan untuk menjelaskan keamanan TI, dan
• untuk memberikan panduan umum tentang manajemen keamanan TI.

c.         Bagian ISO/IEC TR 13335

ISO / IEC TR 13335 diatur menjadi lima bagian :
Bagian 1 memberikan gambaran umum tentang konsep dasar dan model yang digunakan untuk menggambarkan manajemen keamanan TI. Bahan ini cocok untuk manajer yang bertanggung jawab atas keamanan TI dan bagi mereka yang bertanggung jawab untuk keseluruhan program keamanan organisasi.
Bagian 2 menjelaskan aspek manajemen dan perencanaan. Ini relevan untuk manajer dengan tanggung jawab yang berkaitan dengan sistem TI organisasi, yaitu :
• Manajer TI yang bertanggung jawab untuk mengawasi desain, implementasi, pengujian, pengadaan, atau pengoperasian sistem TI, atau
• manajer yang bertanggung jawab atas kegiatan yang memanfaatkan sistem TI secara substansial.
Bagian 3 menjelaskan teknik keamanan yang relevan dengan mereka yang terlibat dengan kegiatan manajemen selama siklus hidup proyek, seperti perencanaan, perancangan, implementasi, pengujian, akuisisi, atau operasi.
Bagian 4 dan 5 memberikan panduan untuk pemilihan safeguards, dan bagaimana ini dapat didukung oleh penggunaan model dan kontrol baseline. Ini juga menjelaskan bagaimana ini melengkapi teknik keamanan yang dijelaskan pada bagian 3, dan bagaimana metode penilaian tambahan dapat digunakan untuk pemilihan pengamanan.


d. Contoh Kasus





Klausa 6 memberikan pengantar untuk mengamankan seleksi dan konsep keamanan garis dasar. Klausul 7 hingga 10 berurusan dengan pembentukan keamanan dasar untuk sistem TI. Untuk memilih perlindungan yang tepat, perlu untuk membuat beberapa penilaian dasar, tidak peduli apakah analisis risiko yang lebih rinci akan mengikuti nanti. Penilaian ini dijelaskan dalam klausul 7 yang mencakup pertimbangan:
• jenis sistem TI apa yang terlibat (misalnya, PC yang berdiri sendiri, atau terhubung ke jaringan),
• apakah lokasi sistem TI itu dan kondisi lingkungan sekitarnya
• safeguards apa yang sudah ada atau direncanakan, dan
• apakah penilaian yang dilakukan memberikan cukup informasi untuk memilih perlindungan garis dasar untuk sistem TI?

Klausul 8 memberikan gambaran umum tentang perlindungan yang akan dipilih, dibagi ke dalam perlindungan organisasi dan fisik (yang dipilih sesuai dengan kebutuhan, kekhawatiran dan kendala keamanan relevan) dan perlindungan khusus sistem TI, keduanya dikelompokkan ke dalam kategori upaya perlindungan. Untuk setiap kategori upaya perlindungan, tipe pengamanan yang paling umum dijelaskan, termasuk penjelasan singkat tentang perlindungan yang ditujukan untuk mereka berikan. Pengaman khusus dalam kategori ini, dan uraian terperinci mereka, dapat ditemukan dalam dokumen keamanan awal yang direferensikan dalam lampiran A sampai H dokumen ini. Untuk memfasilitasi penggunaan dokumen-dokumen ini, referensi silang antara kategori perlindungan dokumen ini dan bab-bab dari berbagai dokumen dalam lampiran disediakan dalam tabel untuk setiap kategori upaya perlindungan.

Jika diputuskan bahwa jenis penilaian yang dijelaskan dalam ayat 7 cukup rinci untuk pemilihan pengamanan, klausul 9 memberikan daftar pengamanan yang berlaku untuk masing-masing sistem TI yang dijelaskan dalam 7.1. Jika kerangka pengaman dipilih berdasarkan jenis sistem TI, baseline terpisah mungkin diperlukan untuk workstation yang berdiri sendiri, workstation jaringan atau server. Untuk mencapai tingkat keamanan yang diperlukan, semua yang diperlukan untuk memilih perlindungan yang berlaku di bawah keadaan tertentu, adalah untuk membandingkannya dengan kerangka pengaman yang sudah ada (atau direncanakan), dan untuk menerapkan yang belum dilaksanakan.

Jika diputuskan bahwa penilaian yang lebih mendalam diperlukan untuk pemilihan pengamanan yang efektif dan sesuai, klausa 10 memberikan dukungan untuk pemilihan tersebut dengan mempertimbangkan pandangan tingkat tinggi masalah keamanan (sesuai dengan pentingnya informasi) dan kemungkinan ancaman. Oleh karena itu, di bagian ini, kerangka pengaman disarankan sesuai dengan masalah keamanan yang diidentifikasi, dengan mempertimbangkan ancaman yang relevan, dan akhirnya jenis sistem TI dipertimbangkan. Gambar 1 memberikan gambaran tentang cara-cara untuk memilih kerangka pengaman yang dijelaskan dalam klausul 7, 9, dan 10.
Klausul 9 dan 10 keduanya menjelaskan cara untuk memilih perlindungan dari dokumen perlindungan keamanan awal, yang dapat diterapkan baik untuk sistem TI, atau untuk membentuk satu set pengamanan yang berlaku untuk berbagai sistem TI dalam keadaan yang ditentukan. Dengan berfokus pada jenis sistem TI yang dipertimbangkan, pendekatan yang diusulkan dalam pasal 9 menghasilkan kemungkinan bahwa beberapa risiko tidak dikelola secara memadai, dan bahwa beberapa upaya perlindungan dipilih yang tidak diperlukan atau tidak sesuai. Pendekatan yang disarankan dalam klausul 10 untuk fokus pada masalah keamanan dan ancaman terkait kemungkinan akan menghasilkan seperangkat pengamanan yang lebih optimal. Pasal 9 dan 10 dapat digunakan untuk mendukung pemilihan upaya perlindungan tanpa penilaian yang lebih rinci dalam semua kasus yang termasuk dalam cakupan perlindungan garis dasar. Namun, jika penilaian yang lebih rinci, yaitu analisis risiko rinci, digunakan, klausul 9 dan 10 masih dapat mendukung pemilihan upaya perlindungan.

Klausul 11 membahas situasi di mana diputuskan bahwa analisis risiko rinci diperlukan karena kekhawatiran dan kebutuhan keamanan yang tinggi. Panduan analisis risiko disediakan dalam ISO / IEC TR 13335-3. Klausul 11 menjelaskan hubungan antara bagian 3 dan 4 ISO / IEC TR 13335 dan bagaimana hasilnya



Comments