THOUSANDS OF FREE BLOGGER TEMPLATES
Selamat datang di blog etika profesi IT !!!!!!!!!

Jumat, 20 November 2009

STUDI ISO 17799:2005 DAN SYSTEMS SECURITY ENGINEERING CAPABILITY MATURITY MODEL (SSE-CMM) UNTUK KEAMANAN APLIKASI WEB Hendro Gunawan hendro1979@yahoo.com, R. Driana Lusmiarwan, Suhono H. S.,

1. ISO 17799:2005
ISO 17799 adalah standar internasional yang menyediakan petunjuk dan kontrol untuk mengatur keamanan informasi. ISO 17799 berasal dari standar yang dikembangkan Department of Trade and Industry (DIT) tahun 1993. British Standards Institute (BSI) kemudian mengambil alih dan memperbaikinya kemudian disebut BS 7799 tahun 1995. Keamanan informasi didefinisikan sebagai perlindungan kerahasiaan, integritas, dan ketersediaan. Ini dapat dicapai dengan menerapkan kontrol yang dapat berupa kebijakan, praktek, prosedur, struktur organisasi atau software. ISO 17799:2005 berisi 133 kontrol dari 11 area yang dapat diterapkan dapat tingkat organisasi atau tingkat aplikasi. Kontrol tingkat organisasi berlaku pada batas dimana organisasi berada dan dibutuhkan agar aplikasi web aman. Kontrol tingkat aplikasi berlaku pada tiap aplikasi web. ISO 17799 memberikan kontrol keamanan tetapi tidak bagaimana kontrol itu dikembangkan atau diatur. Ini disebabkan ISO bukan standar teknis juga bukan untuk teknologi tertentu. Oleh karena itu tidak ada mekanisme penilaian atau metoda evaluasi. ISO 17799 menyarankan bahwa pemilihan control yang akan digunakan berdasarkan oleh 1) resiko 2) peraturan, hukum dan undang-undang 3) prinsip, tujuan dan kebutuhan informasi organisasi.
1.1. Konsep ISO 1799 diterapkan pada metodologi vektor S
Bagian ini berisi area ISO 17799:2005 yang dapat digabungkan dengan vektor S dan matrik penilaian
vektor S dengan menggunakan kontrol ISO 17799.
Area ISO 17799 yang sesuai Tabel 1 berisi 11 area ISO 17799 yang sesuai untuk vektor S. Rekomendasi kontrol termasuk tingkat organisasi dan tingkat aplikasi yang berpengaruh terhadap keamanan aplikasi web. Kontrol yang tidak sesuai dapat diterapkan untuk semua aplikasi. Vektor S tidak digunakan untuk menentukan
kebijakan dan kontrol ISO 17799 yang digunakan. Sebaliknya, vektor S dapat digunakan untuk mengevaluasi keperluan, kualitas atau kematangan kebijakan dan kontrol keamanan.

Matriks penilaian kontrol ISO 1799:2005
Skala 5 tingkat (1-5) digunakan untuk menandakan kualitas kontrol yang digunakan. Kontrol yang tidak
digunakan diberi nilai 0. Kontrol dapat digolongkan menurut cakupan dan topik: komponen prosedur _
kontrol tingkat organisasi _ kontrol sistem operasi _ pemisahan sistem utilitas dari aplikasi. Nilai dapat
ditotal untuk masing-masing kelompok tersebut.

2. SSE-CMM
SSE-CMM dimulai tahun 1993 oleh NSA. SSECMM versi 1 dikeluarkan Oktober 1996, dan metoda penilaiannya tahun 1997. SSE-CMM menjadi standar ISO tahun 2001 sebagai ISO/IEC 21827. SSE-CMM versi 3 adalah versi terbaru dan dikembangkan Juni 2003. Model SSE-CMM berasal dari Software Engineering Institute CMM (SW-CMM) dan Systems Enineering CMM (SE-CMM). SSE-CMM adalah capability maturity model (CMM) untuk system security engineering (SSE). CMM adalah kerangka untuk
mengembangkan proses – seperti proses teknis baik informal maupun formal. SSE-CMM terdiri dari dua bagian 1) model untuk teknik keamanan proses, proyek dan organisasi, dan 2) metoda penilaian untuk mengetahui kematangan proses. Area proses tidak menggunakan metodologi, kontrol atau petunjuk tertentu. Metoda penilaian SSE-CMM dengan tingkat kematangan yang digunakan untuk menilai pematangan proses, bukan kualitas output. SSE-CMM dapat diterapkan dalam tiga cara: 1) peningkatan proses 2) evaluasi kemampuan 3) garansi. Peningkatan proses dipenuhi dengan mencapai tingkat kemampuan yang lebih tinggi. Konsumen yang mencari tingkat kemampuan dari
organisasi untuk menyediakan konsumen dengan produk atau jasa yang sesuai dipenuhi dengan
evaluasi kemampuan. Garansi dipenuhi dengan menyediakan bukti bahwa proses telah mencapai kematangan yang ditentukan.
2.1. Model SSE-CMM
SSE-CMM mempunyai dua bagian yaitu domain dan tingkat kemampuan. Bagian domain terdiri atas
semua praktek yang secara kolektif menegaskan teknik keamanan. Praktek ini disebut praktek dasar dikelompokkan oleh topik sesuai dengan area proses. Tingkat kemampuan diberikan untuk setiap area proses dan digunakan untuk menunjukkan tingkat kematangan yang telah dicapai proses. Tingkat kemampuan ditentukan oleh pemenuhan praktek umum. Latihan dasar dari area proses dievaluasi terhadap praktek umum untuk menentukkan tingkat kemampuan. Praktek umum berlaku untuk semua area proses dan dikelompokkan ke dalam fitur umum. SSE-CMM mempunyai 22 area proses (PA) dan 129 praktek dasar. Sebelas area proses (PA01-PA11) berhubungan dengan praktek teknik keamanan. Sebelas area proses (PA12-PA22) diadaptasi dari SECMM dan fokus pada organisasi dan praktek teknik sistem. Setiap PA mempunyai tujuan, kumpulan praktek dasar dan contoh output dari PA. Makalah ini hanya fokus pada area proses teknik keamanan. SSE-CMM mempunyai lima tingkat kemampuan untuk menunjukkan tingkat kematangan proses. Tingkat kemampuan dimulai dari yang terendah menuju yang tertinggi, dengan tingkat terendah adalah tingkat 1. Setiap tingkat kemampuan berisi
antara 1-4 fitur umum seperti digambar 2. Fitur umum menunjukkan kelompok praktek umum atau aktivitas yang harus dilakukan untuk mencapai tingkat kemampuan tersebut. Tingkat kemampuan dicapai secara berurutan.
Tingkat 0 menandakan tidak semua praktek dasar yang dilakukan. Tingkat 1 menandakan semua praktek dasar dilakukan walaupun secara informal. Informal berarti tidak ada dokumentasi, tidak ada standar dan secara terpisah-pisah. Semua praktek dasar dalam area proses harus dilakukan agar dapat dianggap diimplementasi oleh organisasi. Proses pada tingkat 1 umumnya hanya dilakukan pada satu proyek. Ketika proses mencapai tingkat yang lebih tinggi proses mulai didokumentasi, dimonitor, dilacak dan dilaksanakan pada seluruh organisasi. Tingkat 1 dan 2 berhubungan dengan proyek tertentu, sedang tingkat 3-5 berhubungan dengan praktek seluruh organisasi. Semua fitur umum pada tingkat kemampuan harus dipenuhi sebelum tingkat kemampuan dicapai.

SSE-CMM Apprisal Method (SSAM)
SSAM berisi bagaimana merencanakan, menyiapkan, melakukan dan melaporkan penilaian SSE-CMM.
Metode yang digunakan adalah kuesioer untuk mendapat respon dan bukti 22 kematangan area
proses.
2.2. Konsep SSE-CMM diterapkan pada metodologi vektor S
Seperti dijelaskan pada bagian sebelumnya, SSECMM terdiri dari area proses dan tingkat kemampuan
yang salah satu atau keduanya dapat diterapkan pada vektor S. Sebagai solusi, 11 area proses digunakan sebagai komponen prosedur dengan menggunakan matrik yang berbeda dengan tingkat kemampuan SSE-CMM. Solusi lain, menggunakan tingkat kemampuan SSE-CMM sebagai matrik untuk menilai kematangan semua komponen prosedur vektor S.
Area proses yang dapat diterapkan
Sebelas area proses (PA01-PA11) berhubungan dengan kontrol keamanan di proyek atau organisasi.
Sebelas area proses (PA12-PA22) adalah praktek umum yang berlaku pada semua teknis sistem dan
berada diluar cakupan vektor S, sehinga tidak direkomendasi untuk implementasi vektor S. Tabel 2
berisi pemetaan sebelas area proses SSE-CMM ke vektor S.
Area proses SSE-CMM menyediakan kerangka karena merupakan abstraksi dengan tidak adanya
metodologi yang direkomendasikan atau disediakan. Area proses membantu membuat kerangka dengan
kebutuhan untuk mengetahui, menentukan, memprioritaskan dan monitor praktek keamanan proyek atau organisasi. Detil lengkap bagaimana mencapai praktek ini tidak disediakan. Setelah praktek dasar area proses telah dilakukan, kematangan proses dapat diketahui dari praktek umum yang berhubungan dengan tingkat kemampuan.
Tingkat kemampuan yang dapat diterapkan
Tingkat kemampuan digunakan untuk menilai kematangan proses. Penerapan tingkat kemampuan
tergantung pada nilai dari tujuan komponen vektor S. Jika tujuan adalah untuk menilai kualitas output
prosrs, tingkat kemampuan tidak sesuai karena tidak dirancang untuk hal itu. Bagaimanapun, tingkat
kemampuan dapat diterapkan pada vektor S jika komponen tujuan nilai adalah menentukan bahwa
komponen telah ditentukan dan dilacak dan dimonitor. Kebutuhan vektor S dapat dihasilkan dengan target tingkat kemampuan. Penilaian kemudian dilakukan untuk menentukan tingkat kemampuan sebenarnya. Tingkat kemampuan dapat dinilai secara ketat sesuai dengan petunjuk SSE-CMM melalui praktek umum untuk setiap tingkat kemampuan. Atau penilaian tingkat kemampuan dapat disesuaikan dengan kebutuhan vektor S.Jika tingkat kemampuan diterapkan pada vektor S, itu akan lebih mudah jika menggunakan SSAM untuk melakukan penilaian karena metoda penilaian telah ada. Secara umum, SSAM menilai setiap praktek dasar tingkat kemampuan 1 untuk menentukan jika setiap praktek dasar dilakukan walaupun secara informal. Untuk tingkat 2-5, semua area proses dinilai untuk menentukan kematangan semua area proses. Ini berarti bahwa SSAM tidak menilai tingkat kematangan tiap-tiap praktek dasar dalam area proses. Sebagai akibatnya, mungkin terjadi untuk area proses dinilai tingkat kemampuan tinggi, sedang ada praktek dasar di suatu area proses dinilai rendah. Selain itu, SSAM menggunakan asumsi bahwa penilaian SSECMM dilakukan bersama dengan penilaian SE-CMM
atau yang sejenis.

0 komentar: