Chrome - Background

Selasa, 04 Desember 2018

Framework FIPS, PMBOK dan ISO/IEC 17799:2005

Pembahasan

FIPS (Federal Information Processing Standard)

FIPS (Federal Information Processing Standard) 140-2 adalah standar pemerintah AS yang menggambarkan enkripsi dan persyaratan keamanan terkait yang harus dipenuhi produk TI untuk penggunaan sensitif namun tidak rahasia (SBU - sensitive but unclassified).

Validasi FIPS 140-2 adalah pengujian dan program sertifikasi yang memverifikasi bahwa produk memenuhi standar FIPS 140-2. National Institute of Standards and Technology (NIST) membuat Cryptographic Module Validation Program (CMVP) untuk memvalidasi berbagai produk guna memenuhi persyaratanpersyaratan ini.

Standar ini memastikan bahwa produk menggunakan praktik keamanan suara, seperti yang disetujui, algoritma dan metode enkripsi yang kuat. Standar ini juga menetapkan bagaimana individu atau proses lainnya harus sah untuk memanfaatkan produk, dan cara merancang modul atau komponen untuk berinteraksi dengan sistem lain secara aman.

FIPS 140-2 menetapkan empat tingkat keamanan. Validasi FIPS 140-2 akan menentukan level keamanan yang melekat pada produk.

  • Level 1, biasanya digunakan untuk produk enkripsi perangkat lunak saja, memberlakukan persyaratan keamanan yang sangat terbatas. Semua komponen harus memiliki kualitas kelas produksi dan tidak boleh ada berbagai jenis ketidakamanan yang sangat parah.
  • Level 2 memerlukan otentikasi berbasis peran. (Otentikasi pengguna individu tidak diperlukan.) Hal ini juga memerlukan kemampuan untuk mendeteksi gangguan fisik dengan menggunakan kunci atau segel fisik anti rusak.
  • Level 3 menambahkan pertahanan fisik tahan rusak dari pembongkaran atau modifikasi, sehingga sangat sulit dibajak. Jika terdeteksi kerusakan, perangkat harus mampu menghapus parameter keamanan kritis. Level 3 juga mencakup perlindungan kriptografi yang kuat dan manajemen kunci, otentikasi berbasis identitas dan pemisahan fisik atau logis antara antarmuka dengan mana parameter keamanan kritis masuk dan keluar.
  • Level 4 termasuk perlindungan kerusakan terdepan dan dirancang untuk produk yang beroperasi di lingkungan yang tak terlindungi secara fisik.


PMBOK (Project Management Body Of Knowledge)

PMBOK (Project Management Body Of Knowledge) adalah kumpulan proses dan bidang pengetahuan umum diterima sebagai praktek terbaik dalam disiplin manajemen proyek. Sebagai standar yang diakui secara internasional (IEEE Std 1490-2003) memberikan dasar-dasar manajemen proyek, terlepas dari jenis proyek baik itu konstruksi, perangkat lunak, teknik, otomotif dll. PMBOK mengakui 5 kelompok proses dasar dan 9 bidang pengetahuan khas dari hampir semua proyek.

Konsep dasar yang berlaku untuk proyek-proyek, program dan kegiatan. Kelima kelompok proses dasar:
1. Initiate
2. Plan
3. Execution
4. Monitoring/Controlling
5. Close

Proses tumpang tindih dan berinteraksi sepanjang proyek atau fase. Proses yang dijelaskan dalam hal:
• Input (dokumen, rencana, desain, dll)
• Alat dan Teknik (mekanisme diterapkan untuk input)
• Keluaran (dokumen, produk, dll)

Sembilan bidang pengetahuan adalah:


1. Proyek Integrasi Manajemen
Yang berfokus pada pengembangan perencanaan, ekseskusi dan kontrol perubahan. Efektif integrasi proses yang diperlukan untuk mencapai tujuan proyek.
Proses termasuk :
1. Proyek Piagam Pembangunan.
2. Proyek Awal Lingkup Pernyataan Pengembangan.
3. Proyek Manajemen Rencana Pembangunan.
4. Proyek Eksekusi.
5. Dan Memantau Pengendalian Pekerjaan Proyek.

2. Proyek Lingkup Manajemen
Menyediakan jaminan bahwa proyek didefinisikan dengan akurat dan lengkap dan semua akan selesai sesuai dengan rencana. Mendefinisikan dan mengontrol apa yang bisa dan tidak termasuk dalam proyek.
Proses termasuk ;
1. Lingkup Perencanaan.
2. Lingkup Definisi.
3. Penciptaan Bahasa Dari Jadwal Kerja Breakdown.
4. Lingkup Verifikasi.
5. Lingkup Terangkan.

3. Proyek Manajemen Waktu
Penting untuk mengembangkan, memantau, dan mengelolah jadwal project. Termasuk proses yang diperlukan untuk menyelesaikan proyek tepat waktu
Proses termasuk ;
1. Mendefinisikan kegiatan.
2. Sequencing kegiatan.
3. Memperkirakan kegiatan sumber daya.
4. Memperkirakan durasi kegiatan.
5. Mengembangkan jadwal proyek.
6. Mengendalikan jadwal proyek.

4. Biaya Proyek Manajemen
Jaminan budget proyek dalam mengembangkan dan melengkapi dalam persetujuan pembuatan proyek. Perencanaan, memperkirakan, penganggaran dan pengendalian biaya untuk memastikan proyek tersebut dapat diselesaikan dalam anggaran yang disetujui.Ø  Proses termasuk ;
1. Biaya memperkirakan
2. Biaya penganggaran
3. Pengendalian biaya

5. Proyek Manajemen Mutu
Berfokus pada perencanaan, pengembangan, dan pengelolaan kualitas lingkungan yang memungkinkan proyek memenuhi atau melampuai kebutuhkan stakeholder atau ekspetasinya. Semua kegiatan yang menentukan kebijakan mutu, sasaran dan tanggung jawab untuk proyek untuk memenuhi kebutuhan yang dilakukan.
Proses termasuk ;
1. Kualitas perencanaan
2. Melakukan penjaminan mutu
3. Melakukan kontrol kualitas

6. Proyek Manajemen Sumber Daya Manusia
Berfokus pada pembuatan dan pengembangan team proyek serta pemahaman dan respon yang tepat untuk perilaku dari sisi proyek management. Proses yang mengatur dan mengelola tim proyek.
Proses meliputi ;
1. Sumber daya manusia perencanaan
2. Memperoleh tim proyek
3. Mengembangkan tim proyek
4. Mengelola tim proyek

7. Proyek Komunikasi Manajemen
Mengomukasikan waktu  dan informasi yang akurat tentang project untuk stakeholder proyek. Kegiatan untuk memastikan informasi proyek tepat waktu dan tepat dihasilkan, dikumpulkan, didistribusikan, disimpan, diambil dan dibuang.
Proses termasuk ;
1. Perencanaan komunikasi
2. Distribusi informasi
3. Pelaporan kinerja
4. Mengelola stakeholder

8. Proyek Manajemen Risiko
Mengomukasikan waktu  dan informasi yang akurat tentang project untuk stakeholder proyek. Proses untuk meningkatkan kemungkinan dan dampak peristiwa positif dan mengurangi probabilitas dan dampak dari kejadian negatif. Diperbarui sepanjang proyek.
Proses termasuk ;
1. Manajemen risiko perencanaan
2. Identifikasi risiko
3. Kualitatif analisis risiko
4. Kuantitatif analisis risiko
5. Risiko respon perencanaan
6. Pemantauan risiko dan pengendalian

9. Proyek Pengadaan Manajemen
Proses untuk membeli / memperoleh produk, servicesor hasil yang dibutuhkan untuk melakukan pekerjaan proyek.Termasuk kontrak controlprocesses manajemen dan perubahan untuk mengelola kontrak atau pesanan pembelian.
Proses meliputi ;
1. Perencanaan pembelian dan akuisisi
2. Kontrak perencanaan
3. Meminta tanggapan penjual
4. Memilih penjual
5. Administrasi kontrak
6. Kontrak penutupan

ISO/IEC 17799:2005

ISO:IEC 17799:2005 merupakan standar keamaman informasi yang digunakan di berbagai organisasi
di seluruh dunia. Implementasi dari standar ini sangat beragam di berbagai macam ukuran dan jenis
organisasi. ISO 17799:2005 menyediakan 133 kendali keamanan informasi yang dapat dipilih sesuai
dengan kebutuhan organisasi. Pada saat ini, terdapat 3 organisasi di Indonesia yang telah tersertifikasi
ISO 27001 yang merupakan sertifikasi keamanan informasi.

ISO/IEC 17799:2005 terdiri dari 11 wilayah keamanan dan mencari kesesuaian keamanan pada level manajemen, level organisasi, level legal, level operasional dan level teknis. ISO/IEC 17799:2005 juga mengikutsertakan 39 tujuan kontrol yang berisi pernyataan umum mengenai tujuan keamanan dari 11 wilayah keamanan. ISO 17799:2000 mengalami perubahan pada tahun 2005 dan secara penomeran diubah menjadi ISO 17799:2005.

ISO/IEC 17799:2005 merupakan kebijakan yang fleksibel dan dapat digunakan pada berbagai macam organisasi. Organisasi sebaiknya menentukan tujuan utama keamanan mereka dan menentukan penggunaan standar yang tepat untuk memenuhi tujuan mereka. Organisasi juga harus mempertimbangkan cara untuk mengimplementasikan ISO/IEC 17799:2005 secara efektif. Walaupun fleksibel, ISO/IEC 17799:2005 adalah standar yang kompleks dan menyentuh berbagai area keamanan yang berbeda.

Hanya beberapa organisasi di Indonesia yang telah mendapatkan sertifikasi ISO 27001 yang merupakan sertifikasi terhadap penerapan ISO 17799:2005. Penelitian ini bertujuan untuk mengkaji kendali-kendali dalam standar keamanan informasi ISO/IEC 17799:2005 dan menghasilkan satu rekomendasi pedoman dasar pengendalian keamanan informasi yang sesuai dengan kondisi di Indonesia.

Analisis Perbandingan

Berdasarkan pemabahasan dari ketiga framework audit TI yaitu FIPS (Federal Information Processing Standard), PMBOK (Project Management Body Of Knowledge) dan ISO/IEC 17799:2005. Dapat disimpulkan bahwa daari ketiga framework tersebut membahas tentang audit IT perbedaannya terletak pada ruang lingkupnya. Untuk framework FIPS membahas tentang enkripsi dan persyaratan keamanan terkait yang harus dipenuhi produk TI untuk penggunaan sensitif namun tidak rahasia (SBU - sensitive but unclassified). Untuk PMBOK membahas tentang proses dan bidang pengetahuan umum diterima sebagai praktek terbaik dalam disiplin manajemen proyek. Sedangkan untuk ISO/IEC 17799:2005 membahas tentang standar keamaman informasi yang digunakan di berbagai organisasi di seluruh dunia.

Contoh Kasus

Studi kasus dilakukan untuk menilai sejauh mana kendali-kendali terpilih dapat mengurangi tingkat risiko terhadap keamanan informasi.
Asumsi-asumsi Profil Model Obyek Penelitian, sebagai berikut.

  1. Nama Model : Model perusahaan ini diberi nama PT. AAA.
  2. Bisnis Utama: PT. AAA ini, diasumsikan mempunyai bisnis utama di bidang konsultasi Teknologi Informasi.
  3. Visi : Menjadi perusahaan konsultan Tata Kelola Teknologi Informasi terdepan di Indonesia.
  4. Jumlah kantor cabang : PT. AAA mempunyai 1 kantor pusat dan 2 perwakilan kantor cabang.
  5. Jumlah karyawan : PT. AAA diasumsikan memiliki jumlah total karyawan sebanyak 40 orang.
  6. Aset informasi: hardware, software, dokumen proyek, dokumen administrasi, sumber daya manusia, perangkat penunjang. 

Dengan mengimplementasi kendali-kendali keamanan informasi, maka diperoleh tingkat risiko akhir keamanan informasi terhadap PT. AAA, sebagai berikut.

Analisis

Berdasarkan hasil observasi pada beberapa perusahaan di Indonesia, penetapan kendali-kendali keamanan informasi belum mengacu pada penilaian risiko yang terstruktur. Pada beberapa perusahaan, seluruh 133 kendali pada ISO:IEC 17799:2005 dipilih dan ditetapkan dalam dokumen kebijakan keamanan informasi.

Berdasarkan analisa terhadap kendali-kendali pada ISO/IEC 17799:2005 terdapat duplikasi kendali dan kendali-kendali dengan risiko yang dapat dimitigasi oleh kendali lainnya. Dari 133 kendali pada ISO 17799:2005, 54 kendali dapat dijadikan sebagai implementasi minimum untuk keamanan informasi.

Berdasarkan studi kasus pada PT. AAA, kendali-kendali yang dipilih berdasarkan analisa kendali, dapat mengurangi tingkat risiko yang dihadapi perusahaan.

Sumber:
https://www.seagate.com/files/www-content/solutions-content/security-and-encryption/id/docs/faq-fips-sed-lr-mb-605-2-1302-id.pdf
http://dausina46.blogspot.com/2012/11/penjelasan-pmbok.html
http://digilib.itb.ac.id/files/disk1/686/jbptitbpp-gdl-harryryana-34282-1-2009ts-1.pdf