Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

TUGAS RINGKASAN MATERI KEAMANAN KOMPUTER OLEH

advertisement 
TUGAS RINGKASAN MATERI KEAMANAN KOMPUTER
OLEH : GIYARTO
NIM : 010905573125001
TEKNIK/ SISTEM INFORMASI
”KEAMANAN KOMPUTER”
Bab 1
PENDAHULUAN
1.1 Tujuan
Buku panduan ini menyediakan bantuan dalam mengamankan sumber daya berbasis komputer
(termasuk perangkat keras,perangkat lunak, dan informasi) dengan menjelaskan konsep-konsep
penting, pertimbangan biaya, dan hubungan kontrol keamananReferensi umum diberikan pada
akhir bab, dan referensi dari "bagaimana-untuk" buku dan artikel yang disediakan pada akhir setiap
bab di Bagian II, III dan IV
Definisi Informasi Sensitif
Banyak orang berpikir bahwa hanya informasi yang sensitif memerlukan perlindungan dari
pengungkapan yang tidak sah. Namun, UU Keamanan Komputer menyediakan definisi yang lebih
luas dari istilah "sensitif" informasi:
kehilangan, penyalahgunaan, atau akses informasi yang tidak sah atau modifikasi yang dapat
merugikan kepentingan nasional atau pelaksanaan program federal, atau privasi individu yang
berhak di bawah bagian 552a kepemilikan 5, United States Code (Privasi Undang-undang), tetapi
yang belum secara khusus berwenang di bawah kriteria yang ditetapkan oleh Executive Order atau
Undang-undang Kongres untuk dirahasiakan untuk kepentingan pertahanan nasional atau kebijakan
luar negeri. Definisi di atas dapat dibandingkan dengan lama kerahasiaan informasi berbasis
sistem klasifikasi keamanan nasional informasi (i.e., RAHASIA, RAHASIA, dan TOP RAHASIA). Sistem
ini hanya didasarkan atas kebutuhan untuk melindungi informasi rahasia dari yang tidak sah
pengungkapan; the U. S. Pemerintah tidak memiliki sistem serupa untuk informasi yang tidak
terklaisifikasi.
1,3 Organisasi
Tiga bagian utama menangani kontrol keamanan:
Manajemen Controls (II), Operasional Controls (III), dan Teknik Kontrol (IV). Sebagian besar kontrol
menyeberangi batas-batas antara manajemen, operasional, dan teknis
Kontrol Pengelolaan. dapat dicirikan sebagai manajerial. Mereka adalah teknik dan kekhawatiran
yang biasanya ditangani oleh manajemen dalam organisasi program keamanan komputer. Secara
umum, mereka fokuskan pada manajemen keamanan komputer program dan manajemen risiko
dalam organisasi.
Bagian Pengendalian Operasional. kontrol keamanan yang fokus pada kontrol yang luas,
diimplementasikan dan dilaksanakan oleh orang-orang yang dianggap oposisi. guna meningkatkan
keamanan sistem tertentu (atau kelompok sistem). Mereka sering memerlukan keahlian teknis atau
khusus dan seringkali berpegang pada kegiatan pengelolaan serta kontrol teknis.
1,4 Terminologi Penting
Komputer Keamanan: Perlindungan yang diberikan kepada sistem informasi otomatis untuk
mencapai tujuan yang berlaku menjaga integritas, ketersediaan dan kerahasiaan sistem informasi
sumber daya (termasuk hardware, software, firmware, informasi / data, dan telekomunikasi).
Integritas: Dalam berbaring penggunaan, informasi memiliki integritas bila tepat waktu, akurat,
lengkap, dan konsisten. Namun, komputer tidak dapat memberikan atau melindungi
semua kualitas ini.
Ketersediaan: Sebuah persyaratan dimaksudkan untuk menjamin bahwa sistem bekerja dengan
segera dan layanan tidak ditolak untuk pihak pengguna.
Kerahasiaan: Suatu persyaratan bahwa informasi pribadi atau rahasia tidak boleh diungkapkan
kepada individu yang tidak sah.
Bab 2
ELEMEN KEAMANAN KOMPUTER
Buku panduan ini pendekatan umum keamanan komputer didasarkan pada delapan elemen utama:
1. Keamanan komputer harus mendukung misi organisasi.
2. Keamanan komputer adalah elemen integral pengelolaan.
3. Seharusnya keamanan komputer hemat biaya.
4. Keamanan komputer tanggung jawab dan akuntabilitas harus dibuat eksplisit.
5. Pemilik sistem memiliki tanggung jawab keamanan komputer mereka sendiri di luar organisasi.
6. Keamanan komputer memerlukan pendekatan komprehensif dan terpadu.
7. Keamanan komputer harus secara berkala ulang.
8. Keamanan komputer dibatasi oleh faktor-faktor sosial.
2,1 Mendukung Misi Organisasi. Tujuan keamanan komputer adalah untuk melindungi organisasi
sumber daya berharga, seperti informasi, perangkat keras, dan perangkat lunak. Melalui seleksi dan
penerapan yang sesuai perlindungan, keamanan membantu misi organisasi dengan melindungi fisik dan
keuangan sumber daya, reputasi, posisi hukum, karyawan, dan lain berwujud dan aset tidak berwujud.
2,2 Keamanan Komputer adalah merupakan suara Manajemen.
Informasi dan sistem computer sering kritis aset yang mendukung misi organisasi. Melindungi
mereka bisa menjadi sama pentingnya dengan melindungi sumber daya organisasi lainnya, seperti
uang, aset fisik, atau karyawan. Namun, termasuk keamanan pertimbangan dalam pengelolaan
informasi dan komputer tidak sepenuhnya menghilangkan kemungkinan bahwa aset ini akan dirugikan.
Akhirnya manajer organisasi harus memutuskan apa yang tingkat risiko yang mereka bersedia
menerima, dengan mempertimbangkan rekening biaya kontrol keamanan. Seperti dengan banyak
sumber daya lainnya, pengelolaan informasi dan komputer dapat melampaui batas-batas organisasi.
Ketika sebuah organisasi informasi dan sistem komputer dihubungkan dengan sistem eksternal, juga
tanggung jawab manajemen memperpanjang luar organisasi. Ini mungkin mengharuskan manajemen (1)
tahu apa tingkat umum atau jenis keamanan yang dipekerjakan di sistem eksternal (s) atau (2) mencari
jaminan bahwa sistem eksternal menyediakan keamanan yang memadai untuk penggunaan kebutuhan
organisasi
ORECD
:
Akuntabilitas - Tanggung jawab dan akuntabilitas pemilik, penyedia dan pengguna sistem informasi dan
lain pihak ... harus dinyatakan secara eksplisit.
Kesadaran - Pemilik, penyedia, pengguna dan pihak lain harus mudah dapat, konsisten dengan menjaga
keamanan, untuk mendapatkan pengetahuan yang sesuai dan diberitahu tentang keberadaan dan
sejauh mana langkah-langkah umum ... untuk keamanan informasi sistem.
Etika - Sistem Informasi dan keamanan informasi sistem harus disediakan dan digunakan sedemikian
rupa
sehingga
hak
dan
kepentingan
sah
orang
lain
yang
dihormati.
Multi disiplin ukuran, praktek dan prosedur untuk keamanan sistem informasi harus
mempertimbangkan dan alamat semua pertimbangan dan sudut pandang yang relevan ....
Proporsionalitas - tingkat Keamanan, biaya, ukuran, praktek dan harus sesuai prosedur dan proporsional
dengan nilai dari dan tingkat ketergantungan pada sistem informasi dan kepada keparahan, probabilitas
dan sejauh mana potensi bahaya ....
Penyatuan,
ukuran,
praktek
dan
prosedur
untuk
keamanan
sistem informasi harus dikoordinasikan dan diintegrasikan dengan satu sama lain dan langkah-langkah
lain, praktek dan prosedur organisasi sehingga menciptakan sistem yang koheren keamanan.
Ketepatan waktu - publik dan swasta, di baik nasional maupun tingkat internasional, harus bertindak
secara tepat waktu terkoordinasi untuk mencegah dan untuk menanggapi pelanggaran keamanan
informasi sistem.
Penilaian ulang - keamanan sistem informasi harus ulang secara periodik, seperti sistem informasi dan
persyaratan
untuk
keamanan
mereka
bervariasi
dari
waktu
ke
waktu.
Demokrasi - The keamanan sistem informasi harus kompatibel dengan penggunaan yang sah dan aliran
data dan informasi dalam masyarakat demokratis.
2,3 Keamanan Komputer harus mengefektifkan biaya
Biaya dan manfaat keamanan harus hati-hati menguji di kedua moneter dan nonmoneter istilah untuk
memastikan bahwa kontrol biaya tidak melebihi keuntungan yang diharapkan. Keamanan harus sesuai
dan proporsional dengan nilai dan tingkat ketergantungan pada komputer sistem dan keparahan,
probabilitas dan luasnya potensi kerugian. Keamanan, seperti meningkatkan sistem kontrol akses, dapat
secara signifikan mengurangi kerugian Meliputi biaya langsung pembelian, instalasi, dan mengelola
keamanan,
seperti
kontrol
akses
perangkat
lunak
atau
api-sistem penindasan.
2,4 Tanggung jawab dan Akuntabilitas keamana computer harus dibuat jelas.
Harus Jelas antara pemilik dan penyedia dari sisi akuntabilitas dan tanggung jawab.Bahwa dala
mnyediakan keamanan komputer yang efektif memerlukan pendekatan komprehensif yang
mempertimbangkan berbagai daerah-daerah baik di dalam maupun di luar bidang keamanan komputer.
Pendekatan komprehensif ini meluas di seluruh siklus hidup informasi.
2.6.1 Kontrol Keamanan saling dan ketergantungan
Bekerja secara efektif, mengontrol keamanan seringkali tergantung pada berfungsinya kontrol lain.
Bahkan, banyak seperti ada saling ketergantungan. Jika tepat dipilih, manajerial, operasional, dan
kontrol teknis dapat bekerja sama secara sinergis. Di sisi lain, tanpa suatu perusahaan pemahaman
tentang saling ketergantungan kontrol keamanan, mereka dapat benar-benar merusak satu lainnya.
Sebagai contoh, tanpa pelatihan yang memadai tentang bagaimana dan kapan harus menggunakan
pendeteksi virus paket, pengguna dapat menerapkan paket tidak benar dan, karena itu, tidak efektif.
Sebagai hasilnya,pengguna dapat secara keliru percaya bahwa sistem mereka akan selalu bebas dari
virus dan mungkin secara tidak sengaja menyebarkan virus. Pada kenyataannya, saling ketergantungan
ini biasanya lebih rumit dan sulit untuk memastikan.
2.6.2 saling ketergantungan Lainnya
Efektivitas kontrol keamanan juga tergantung pada faktor-faktor seperti pengelolaan sistem, hukum
isu, jaminan mutu, dan manajemen internal dan kontrol. Keamanan komputer perlu bekerja dengan
disiplin keamanan tradisional termasuk fisik dan personel keamanan. Banyak ada saling ketergantungan
penting yang sering unik bagi organisasi atau sistem lingkungan. Manajer harus mengenali bagaimana
keamanan komputer berkaitan dengan bidang lain sistem
dan organisasi manajemen.
2,8 Keamanan Komputer Terbatas pada Faktor Masyarakat
Kemampuan keamanan untuk mendukung misi organisasi dapat dibatasi oleh berbagai faktor-faktor,
seperti isu-isu sosial. Sebagai contoh, keamanan dan privasi tempat kerja dapat konflik. Umumnya,
keamanan diimplementasikan pada sebuah sistem komputer dengan mengidentifikasi pengguna dan
pelacakan mereka tindakan. Namun, harapan privasi bervariasi dan dapat dilanggar oleh tindakan
keamanan. (Dalam beberapa kasus, mungkin privasi diamanatkan oleh undang-undang.)
Walaupun privasi adalah masalah sosial sangat penting, ini bukan satu-satunya. Aliran informasi,
terutama antara pemerintah dan warga negaranya, adalah situasi lain di mana keamanan mungkin perlu
dimodifikasi untuk mendukung suatu tujuan sosial.
Bab 3
PERAN DAN TANGGUNG JAWAB
Salah satu persoalan mendasar yang muncul dalam diskusi tentang keamanan komputer adalah: "siapa
yang bertanggung jawab ? "Tentu saja, pada tingkat dasar Jawabannya sederhana: keamanan komputer
adalah tanggung jawab setiap orang yang dapat mempengaruhi keamanan dari sebuah sistem
komputer. Namun, tugas spesifik dan tanggung jawab dari berbagai individu dan organisasi entitas
bervariasi.
3,1 Manajemen Senior
Pada akhirnya, tanggung jawab atas keberhasilan suatu organisasi terletak dengan manajer senior.
Mereka mendirikan organisasi computer program jaminan dan program secara keseluruhan tujuan,
sasaran, dan prioritas dalam rangka untuk mendukung misi organisasi. Manajemen senior memiliki
tanggung jawab utama untuk keamanan organisasi sistem komputer.
3,2 Manajemen Keamanan Komputer
Manajer dalam kesehariannya selalu menarahkan pada level fungsional agar selalu pada jalur atau
mengikut pada prosedur keamaan computer. Selain itu, program atau fungsional pengelola / pemilik
aplikasi sering dibantu oleh Petugas Keamanan (sering didedikasikan untuk sistem itu, terutama jika
besar atau sangat penting bagi organisasi) dalam mengembangkan dan menerapkan persyaratan
keamanan.
3,4 Teknologi Providers
System Management / System Administrator. Personil ini adalah manajer dan teknisi yang merancang
dan mengoperasikan sistem komputer. Mereka bertanggung jawab atas pelaksanaan teknis keamanan
pada sistem komputer dan untuk menjadi akrab dengan teknologi keamanan yang berhubungan dengan
mereka sistem. Mereka juga perlu untuk menjamin kesinambungan pelayanan mereka untuk memenuhi
kebutuhan fungsional manajer dan juga menganalisis kelemahan teknis dalam sistem mereka (dan
keamananimplikasi). Mereka sering merupakan bagian dari Manajemen Sumber Daya Informasi lebih
besar (IRM)organisasi.
Komunikasi / Telekomunikasi Staff. Kantor ini biasanya bertanggung jawab untuk menyediakan layanan
komunikasi, termasuk suara, data, video, dan layanan faks. Tanggung jawab mereka untuk sistem
komunikasi yang serupa dengan Para pejabat manajemen sistem untuk sistem mereka. Staf tidak boleh
terpisah dari penyedia layanan teknologi lain atau kantor IRM. Keamanan Sistem Manager / Petugas.
Seringkali manajemen sistem membantu para pejabat dalam upaya ini adalah sebuah sistem security
manager / petugas yang bertanggung jawab untuk sehari-hari keamanan pelaksanaan / tugas
administrasi. Walaupun biasanya tidak bagian dari pengelolaan program keamanan komputer kantor,
petugas ini bertanggung jawab untuk mengkoordinasikan upaya keamanan sistem tertentu (s). Orang ini
bekerja sama dengan system manajemen personil, para manajer program keamanan komputer, dan
program atau manajer fungsional petugas keamanan. Pada kenyataannya, tergantung pada organisasi,
ini mungkin individu yang sama seperti program atau fungsional manajer petugas keamanan. Orang ini
mungkin atau mungkin tidak menjadi bagian dari keseluruhan organisasi kantor keamanan. Help Desk.
Apakah suatu Help Desk bertugas dengan penanganan insiden, perlu untuk dapat mengenali insiden
keamanan dan merujuk penelepon orang yang tepat atau organisasi untuk tanggapan.
3,5 Fungsi Pendukung
Tanggung jawab keamanan manajer, penyedia teknologi dan petugas keamanan yang didukung oleh
normal fungsi yang ditugaskan kepada orang lain. Beberapa yang lebih penting ini dijelaskan di bawah
ini.
Audit. Auditor bertanggung jawab untuk memeriksa sistem untuk melihat apakah sistem dinyatakan
memenuhi persyaratan keamanan, termasuk sistem dan kebijakan organisasi, dan apakah kontrol
keamanan sesuai. Informal audit dapat dilakukan oleh mereka yang mengoperasikan sistem yang itinjau
atau, jika tidak memihak adalah penting, oleh auditors.18 luar
Keamanan Fisik. Kantor keamanan fisik biasanya bertanggung jawab untuk mengembangkan dan
melaksanakan kontrol keamanan fisik yang sesuai, dalam konsultasi dengan manajemen keamanan
komputer, program dan manajer fungsional, dan lain-lain, sebagai tepat. Keamanan fisik tidak hanya
harus membahas instalasi komputer pusat, tetapi juga fasilitas backup dan lingkungan kantor. Dalam
pemerintah, kantor ini sering bertanggung jawab atas proses pemeriksaan latar belakang personil dan
security clearance.
Disaster Recovery / Contingency Planning Staff. Beberapa organisasi memiliki bencana terpisah
pemulihan / kontingensi staf perencanaan. Dalam hal ini, mereka biasanya bertanggung jawab atas
perencanaan kontingensi bagi organisasi secara keseluruhan, dan biasanya bekerja dengan program dan
fungsional mangers / aplikasi pemilik, keamanan komputer staf, dan lain-lain untuk memperoleh
tambahan dukungan perencanaan kontinjensi, sebagaimana diperlukan.
Quality Assurance. Banyak organisasi telah membentuk sebuah program jaminan kualitas untuk
meningkatkan produk dan layanan yang mereka berikan kepada pelanggan mereka. Kualitas perwira
harus memiliki pengetahuan dasar tentang keamanan komputer dan bagaimana hal itu dapat digunakan
untuk meningkatkan kualitas program, misalnya, dengan meningkatkan integritas informasi berbasis
komputer, ketersediaan layanan, dan kerahasiaan informasi pelanggan, yang sesuai.
Pengadaan. Kantor pengadaan bertanggung jawab untuk memastikan bahwa organisasi pengadaan
telah ditinjau oleh pejabat yang sesuai. Kantor pengadaan tidak dapat bertanggung jawab untuk
memastikan bahwa barang dan jasa memenuhi harapan keamanan komputer, karena tidak memiliki
keahlian teknis. Namun demikian, kantor ini harus mengetahui tentang komputer standar keamanan
dan harus membawa mereka ke perhatian dari mereka yang meminta teknologi tersebut.
Pelatihan Office. Sebuah organisasi harus memutuskan apakah tanggung jawab utama untuk pelatihan
pengguna, operator, dan manajer dalam keamanan komputer terletak dengan pelatihan atau komputer
kantor program keamanan kantor. Dalam kedua kasus, kedua organisasi harus bekerja sama untuk
mengembangkan suatu pelatihan yang efektif.
Personil. Kantor personalia biasanya titik pertama kontak dalam membantu manajer menentukan
apakah latar belakang keamanan penyelidikan sangat diperlukan untuk posisi tertentu. Itu personil dan
kantor-kantor keamanan biasanya bekerja sama mengenai isu-isu yang melibatkan latar belakang
penyelidikan. Kantor personalia mungkin juga bertanggung jawab untuk memberikan keamanan yang
berhubungan dengan keluar prosedur ketika karyawan meninggalkan sebuah organisasi. Risk
Management / Planning Staff. Beberapa organisasi memiliki staf penuh waktu didedikasikan untuk
mempelajari semua jenis risiko yang organisasi dapat terpapar. Fungsi ini harus mencakup berkaitan
dengan keamanan komputer risiko, walaupun kantor ini biasanya berfokus pada "makro" masalah.
Khusus analisis risiko untuk sistem komputer tertentu biasanya tidak dilakukan oleh kantor ini.
Physical Plant. Kantor ini bertanggung jawab untuk menjamin penyediaan layanan seperti listrik
kekuasaan dan kontrol lingkungan, diperlukan untuk operasi yang aman dan aman dari sistem
organisasi. Seringkali mereka ditambah oleh medis terpisah, kebakaran, limbah berbahaya, atau
keselamatan kehidupan personil.
3,6 Pengguna
Pengguna juga memiliki tanggung jawab untuk keamanan komputer. Dua jenis pengguna, dan yang
berhubungan tanggung jawab, dijelaskan di bawah ini :
Informasi pengguna. Individu yang menggunakan informasi yang disediakan oleh komputer dapat
dianggap sebagai "konsumen" dari aplikasi. Kadang-kadang mereka langsung berinteraksi dengan sistem
(misalnya, untuk menghasilkan sebuah laporan pada layar) dalam hal ini mereka juga pengguna dari
sistem (seperti dibahas di bawah). Lain kali, mereka mungkin hanya membaca laporan disiapkan
komputer atau hanya diberikan pengarahan pada bahan tersebut. Beberapa pengguna informasi dapat
sangat jauh dari sistem komputer. Pengguna informasi yang bertanggung jawab karena membiarkan
fungsional mangers / aplikasi pemilik (atau wakil-wakil mereka) tahu apa kebutuhan mereka untuk
melindungi informasi, terutama untuk integritas dan ketersediaan.
Pengguna of Systems. Individu yang secara langsung menggunakan sistem komputer (biasanya melalui
keyboard) adalah bertanggung jawab untuk prosedur keamanan berikut, untuk melaporkan masalah
keamanan, dan untuk menghadiri diperlukan keamanan komputer dan pelatihan fungsional.
Bab 4
ANCAMAN UMUM: GAMBARAN SINGKAT
Komputer yang rentan terhadap berbagai ancaman yang dapat menimbulkan berbagai jenis kerusakan
mengakibatkan kerugian yang signifikan. Kerusakan ini dapat berkisar dari kesalahan membahayakan
integritas database kebakaran menghancurkan seluruh pusat komputer. Kerugian dapat batang,
misalnya, dari tindakan-tindakan konon dipercaya karyawan menipu sistem, dari luar hacker, atau dari
data ceroboh entri panitera. Presisi dalam komputer memperkirakan kerugian yang berkaitan dengan
keamanan tidak mungkin karena banyak kerugian yang pernah ditemukan, dan lain-lain adalah menyapu
di bawah karpet" untuk menghindari tidak menguntungkan publisitas.
4,1 kesalahan dan kelalaian
Kesalahan dan kelalaian merupakan ancaman penting untuk sistem data dan integritas. Kesalahan ini
disebabkan tidak hanya oleh panitera entri data ratusan pengolahan transaksi per hari, tetapi juga oleh
semua jenis pengguna yang membuat dan mengedit data. Banyak program, terutama yang dirancang
oleh pengguna untuk komputer pribadi, kurangnya pengendalian kualitas. Instalasi dan pemeliharaan
kesalahan sumber lain masalah keamanan. Sebagai contoh, sebuah audit oleh Presiden Dewan untuk
Integritas dan Efisiensi (PCIE) pada tahun 1988 menemukan bahwa setiap orang dari sepuluh situs
komputer mainframe telah mempelajari kesalahan instalasi dan pemeliharaan yang diperkenalkan
kerentanan keamanan yang signifikan
4,2 Penipuan dan Pencurian
Sistem komputer dapat dieksploitasi untuk kedua penipuan dan pencurian baik oleh "mengotomatisasi"
tradisional metode penipuan dan dengan menggunakan metode baru. Sebagai contoh, individu dapat
menggunakan komputer untuk skim dalam jumlah kecil dari sejumlah besar laporan keuangan, dengan
asumsi bahwa kecil perbedaan mungkin tidak dapat diselidiki. Sistem keuangan bukan satu-satunya yang
beresiko.
4,3 Sabotase Karyawan
Karyawan yang paling akrab dengan mereka majikan komputer dan aplikasi, termasuk mengetahui
tindakan apa yang mungkin menyebabkan paling kerusakan, kejahatan, atau sabotase. Itu perampingan
organisasi baik di publik dan sektor swasta telah membuat grup dari organisasi individu dengan
pengetahuan, yang mungkin mempertahankan sistem potensi akses (e.g., sistem jika account tidak akan
terhapus secara tepat waktu cara)
>>Contoh umum yang berkaitan dengan komputer karyawan
sabotase meliputi:
menghancurkan hardware atau fasilitas,logika penanaman bom yang menghancurkan program atau
data,memasukkan data yang salah,"tabrakan" sistem,menghapus data,data memegang sandera, dan
perubahan data
4,4 Kehilangan Fisik dan Prasarana pendukungan
Hilangnya
infrastruktur
pendukung
termasuk
gangguan
listri
padam,
kehilangan komunikasi, air padam dan kebocoran, masalah saluran pembuangan, kurangnya layanan
transportasi, kebakaran, banjir, kerusuhan sipil, dan pemogokan. Hilangnya infrastruktur sering
mengakibatkan sistem downtime, kadang-kadang secara tak terduga. Sebagai contoh, karyawan dapat
tidak akan bisa bekerja selama badai musim dingin, meskipun sistem komputer mungkin
fungsional.
4,5 Haker Jahat
Istilah hacker jahat, kadang-kadang disebut kerupuk, mengacu kepada mereka yang masuk ke computer
tanpa otorisasi. Mereka dapat mencakup luar dan dalam. Sebagian besar munculnya hacker Kegiatan ini
sering dikaitkan dengan peningkatan konektivitas baik dalam pemerintah dan industri. Satu 1992 studi
situs internet tertentu (yaitu, satu sistem komputer) menemukan bahwa hacker berusaha untuk
istirahat sekurang-kurangnya sekali setiap day.30 studi ini menekankan kemampuan hacker untuk
menyebabkan serius damage.31, 32 Ancaman si hacker sering menerima lebih banyak perhatian
daripada lebih umum dan ancaman berbahaya. Itu US Department of Justice's Computer Crime Unit
menyarankan tiga alasan untuk ini.
Pertama, ancaman hacker yang lebih baru-baru ini ditemukan ancaman. Organisasi selalu harus
khawatir tentang tindakan karyawan mereka sendiri dan dapat menggunakan tindakan disiplin untuk
mengurangi ancaman itu. Namun, tindakan ini efektif melawan orang asing yang tidak tunduk pada
aturan-aturan
dan
peraturan
majikan.
Kedua, organisasi tidak tahu tujuan hacker beberapa hacker menelusuri, beberapa mencuri, beberapa
kerusakan. Ketidakmampuan untuk mengidentifikasi tujuan dapat menyarankan bahwa serangan hacker
tidak memiliki keterbatasan.
Ketiga, serangan hacker membuat orang merasa rentan, terutama karena mereka identitas tidak
diketahui. Misalnya, seorang pelukis yang direkrut untuk melukis sebuah rumah dan, sekali di dalam,
mencuri sebuah perhiasan. Pemilik rumah lainnya di lingkungan dapat tidak merasa terancam oleh
kejahatan ini dan akan melindungi diri dengan tidak melakukan bisnis dengan pelukis. Tetapi jika
seorang pencuri menerobos masuk ke dalam rumah yang sama dan mencuri sama
4,6 Industrial Espionage
Spionase industri adalah tindakan mengumpulkan data eksklusif dari perusahaan swasta atau
government34 untuk tujuan membantu perusahaan lain (ies). Spionase industri dapat dilakukan baik
oleh perusahaan yang ingin meningkatkan keunggulan kompetitif mereka atau dengan pemerintah
berusaha untuk membantu industri dalam negeri mereka. Spionase industri asing yang dilakukan oleh
pemerintah sering disebut sebagai spionase ekonomi. Karena informasi diproses dan
tersimpan pada sistem komputer, keamanan komputer dapat membantu melindungi terhadap ancaman
seperti itu, tetapi dapat melakukan sedikit, namun, untuk mengurangi ancaman karyawan yang
berwenang menjual informasi tersebut.
4,7 Kode jahat/ berbahaya
Kode berbahaya mengacu pada virus, worm, trojan horse, logika bom, dan lain "tanpa diundang"
Kadang-kadang keliru hanya dikaitkan dengan komputer pribadi, kode berbahaya dapat
menyerang platform lainnya.
>>>Perangkat Lunak Berbahaya: Beberapa Key Terms
Virus: Sebuah segmen kode yang mereplikasi dengan melampirkan salinan dari dirinya sendiri untuk
executable yang ada. Salinan baru virus dijalankan ketika pengguna mengeksekusi program host baru.
Virus mungkin termasuk tambahan "muatan" yang memicu ketika kondisi tertentu terpenuhi. Sebagai
contoh, beberapa virus menampilkan teks string pada tanggal tertentu. Ada banyak jenis virus, termasuk
varian, timpa,penduduk, diam-diam, dan polimorfik.
Trojan Horse: Program yang melakukan tugas yang dikehendaki, tetapi juga termasuk tak terduga (dan
tidak dikehendaki) fungsi. Pertimbangkan sebagai pengeditan contoh program untuk sistem multiuser.
Program dapat dimodifikasi untuk secara acak menghapus salah satu pengguna 'file masing-masing
waktu mereka melakukan fungsi yang berguna (mengedit), tetapi penghapusan adalah tak terduga dan
jelas tidak diinginkan!
Worm: Sebuah program replikasi diri yang mengandung-dirinya sendiri dan tidak tidak memerlukan
program inang. Program membuat salinan dirinya sendiri dan menyebabkannya untuk mengeksekusi,
tidak ada intervensi pengguna diperlukan
4,8 Spionase Pemerintah Asing
Dalam beberapa kasus, ancaman yang ditimbulkan oleh badan intelijen pemerintah asing dapat hadir. Di
Selain mungkin spionase ekonomi, layanan intelijen asing dapat menargetkan unclassifiedsistem untuk
lebih lanjut misi intelijen mereka. Beberapa unclassified informasi yang mungkin dari bunga termasuk
rencana perjalanan para pejabat senior, pertahanan sipil dan kesiapan darurat, teknologi manufaktur,
data satelit, data personalia dan penggajian, dan penegakan hukum, investigasi, dan keamanan file.
Bimbingan harus dicari dari kantor keamanan sadar mengenai ancaman tersebut.
Bab 5
KEBIJAKAN KEAMANAN KOMPUTER
Dalam diskusi keamanan komputer, istilah kebijakan memiliki lebih dari satu penertian. Kebijakan
manajemen senior adalah untuk menciptakan program keamanan komputer, menetapkan tujuan, dan
menetapkan tanggung jawab dalam membuat keputusan ini, para manajer menghadapi pilihan sulit
yang melibatkan alokasi sumber daya, bersaing tujuan, dan strategi organisasi terkait untuk melindungi
baik teknis dan sumber daya informasi serta pedoman perilaku karyawan. Keputusan manajerial pada
masalah keamanan komputer sangat bervariasi. Untuk membedakan antara berbagai macam kebijakan,
bab ini mengkategorikan mereka ke dalam tiga tipe dasar:


Kebijakan program digunakan untuk menciptakan sebuah organisasi program keamanan
komputer.
Isu-kebijakan khusus beberapa isu yang menjadi perhatian bagi organisasi.

Sistem-kebijakan khusus berfokus pada keputusan yang diambil oleh manajemen untuk
melindungi system tertentu.
Prosedur, standar, dan pedoman yang digunakan untuk menjelaskan bagaimana kebijakan ini akan
dilaksanakan dalam sebuah organisasi. (Lihat kotak berikut.)
>>>Alat untuk Melaksanakan Kebijakan:
Standar, Pedoman, dan Prosedur
Karena kebijakan ini ditulis pada tingkat luas, organisasi juga mengembangkan standar, pedoman, dan
prosedur yang menawarkan pengguna, manajer, dan lain-lain yang lebih jelas pendekatan kebijakan
pelaksanaan dan memenuhi tujuan organisasi. Standar dan pedoman menentukan teknologi dan
metodologi yang akan digunakan untuk mengamankan sistem. Prosedur yang belum lebih rinci langkahlangkah yang harus diikuti untuk mencapai securityrelated tertentu tugas. Standar, pedoman, dan
prosedur yang mungkin akan diumumkan secara resmi di seluruh organisasi melalui buku-buku
pedoman, peraturan, atau manual.
Organisasi standar (jangan dikelirukan dengan American National Standards, FIPS, Federal Standar, atau
standar nasional atau internasional) seragam menentukan penggunaan teknologi tertentu, parameter,
atau prosedur ketika menggunakan seragam seperti itu akan menguntungkan organisasi. Standardisasi
organizationwide identifikasi lencana adalah contoh yang khas, memberikan kemudahan mobilitas
karyawan dan otomatisasi masuk / keluar sistem. Standar biasanya wajib dalam sebuah organisasi.
Panduan membantu pengguna, sistem personel, dan lain-lain secara efektif mengamankan sistem
mereka. Sifat pedoman, bagaimanapun, segera mengakui bahwa sistem sangat bervariasi, dan
penerapan standar tidak selalu dapat dicapai, sesuai, atau biaya efektif. Sebagai contoh, sebuah
pedoman organisasi dapat digunakan untuk membantu mengembangkan sistem-prosedur standar
tertentu. Pedoman sering digunakan untuk membantu memastikan bahwa langkah-langkah keamanan
spesifik tidak diabaikan, meskipun mereka dapat diterapkan, dan benar begitu, dalam lebih dari satu
cara. Prosedur biasanya membantu dalam memenuhi kebijakan keamanan yang berlaku, standar, dan
pedoman. Mereka rinci langkah-langkah yang harus diikuti oleh pengguna, sistem operasi personalia,
atau orang lain untuk menyelesaikan tugas tertentu (misalnya, menyiapkan account user baru dan
menentukan hak-hak istimewa yang sesuai).
Beberapa masalah organisasi secara keseluruhan keamanan komputer manual, peraturan, buku
panduan, atau dokumen sejenis. Ini mungkin campuran kebijakan, pedoman, standar, dan prosedur,
karena mereka berhubungan erat. Sementara manual dan peraturan dapat berfungsi sebagai alat yang
penting, sering berguna jika mereka dengan jelas membedakan antara kebijakan dan pelaksanaannya.
Ini dapat membantu dalam meningkatkan fleksibilitas dan efektivitas biaya dengan menawarkan
alternatif pendekatan implementasi untuk mencapai tujuan-tujuan kebijakan.
--------5,1 Kebijakan Program
Seorang pejabat manajemen, biasanya kepala organisasi atau pejabat administrasi senior, program isuisu kebijakan untuk membangun (atau restrukturisasi) organisasi program keamanan komputer dan
struktur dasar. Menetapkan kebijakan program arah strategis organisasi untuk keamanan dan
memberikan sumber daya untuk pelaksanaan.
5.1.1 Komponen Dasar Kebijakan Program
Komponen kebijakan program harus membahas:
Tujuan. Kebijakan program biasanya mencakup sebuah pernyataan yang menjelaskan mengapa program
sedang didirikan. Ini mungkin termasuk mendefinisikan tujuan program. Kebutuhan yang berkaitan
dengan keamanan, seperti integritas, ketersediaan, dan kerahasiaan, dapat membentuk dasar dari
tujuan organisasi yang didirikan tahun kebijakan. Sebagai contoh, dalam sebuah organisasi yang
bertanggung jawab untuk menjaga mission-critical besar database, pengurangan kesalahan, kehilangan
data, data korupsi, dan pemulihan mungkin secara khusus stres. Dalam organisasi yang bertanggung
jawab untuk menjaga kerahasiaan data pribadi, bagaimanapun, tujuan mungkin menekankan
perlindungan yang lebih kuat pengungkapan yang tidak sah.
Lingkup. Kebijakan program harus jelas sebagai mana sumber daya - termasuk fasilitas, hardware, dan
perangkat lunak, informasi, dan personil - keamanan komputer meliputi program. Dalam banyak kasus,
Program ini akan mencakup semua sistem dan personel organisasi, tetapi hal ini tidak selalu benar. Di
beberapa kasus, mungkin cocok untuk organisasi program keamanan komputer untuk lebih terbatas
cakupannya.
Tanggung jawab. Setelah program keamanan komputer didirikan, manajemen biasanya ditugaskan
untuk baik yang baru diciptakan atau yang sudah ada office.50
Pada tingkat program, tanggung jawab harus secara khusus ditugaskan kepada mereka elemen-elemen
organisasi dan pejabat bertanggung jawab atas pelaksanaan dan kesinambungan policy.
1 keamanan komputer Penyesuaian. Kebijakan program biasanya akan membahas dua isu
Penyesuaian:
Umum untuk memastikan Penyesuaian memenuhi persyaratan untuk mendirikan program tanggung
jawab dan ditugaskan di dalamnya ke berbagai komponen organisasi. Sering sebuah kantor
pengawas (misalnya, Inspektur Jenderal) adalah tanggung jawab ditugaskan pemantauan
Penyesuaian, termasuk seberapa baik organisasi pelaksana manajemen prioritas untuk program.
2
Penggunaan ditentukan hukuman dan tindakan disiplin. Karena kebijakan keamanan adalah
tingkat tinggi dokumen, hukuman yang spesifik untuk berbagai pelanggaran biasanya tidak
rinci di sini, melainkan kebijakan dapat mengotorisasi penciptaan Penyesuaian struktur yang spesifik
termasuk pelanggaran dan tindakan disipliner (s).
Mereka mengembangkan kebijakan Penyesuaian seharusnya ingat bahwa pelanggaran kebijakan dapat
tidak disengaja di pihak karyawan. Sebagai contoh, sering dapat nonconformance karena kurangnya
pengetahuan atau pelatihan.
5,2 Isu Kebijakan Khusus
Sedangkan kebijakan program ini dimaksudkan untuk mengatasi kemanan komputer pada organisasi
yang luas, isu-kebijakan khusus dikembangkan untuk bidang-bidang fokus pada relevansi dan perhatian
saat ini (dan kadang-kadang kontroversi) untuk sebuah organisasi. Manajemen dapat menemukannya
dengan tepat, misalnya, untuk mengeluarkan kebijakan tentang bagaimana organisasi akan pendekatan
perencanaan kontingensi (sentralisasi vs desentralisasi) atau penggunaan metodologi tertentu untuk
mengelola risiko pada sistem.Secara umum, untuk isu-spesifik-sistem dan kebijakan khusus, penerbit
adalah seorang pejabat senior; yang lebih global, kontroversial, atau sumber daya-intensif, yang lebih
senior penerbit.
5.2.1 Contoh permasalahan untuk Isu kebijakan khusus
Ada banyak daerah yang mengeluarkan kebijakan spesifik mungkin sesuai. Dua contoh dijelaskan di
bawah ini.
Akses internet. Banyak organisasi mencari di Internet sebagai sarana untuk memperluas riset mereka
kesempatan dan komunikasi. Tidak diragukan lagi, menghubungkan ke Internet menghasilkan banyak
manfaat dan beberapa kelemahan. Beberapa isu-isu kebijakan akses Internet alamat mungkin termasuk
yang akan memiliki akses, jenis sistem yang dapat dihubungkan ke jaringan, jenis informasi apa yang
mungkin dapat ditularkan melalui jaringan, persyaratan untuk otentikasi pengguna
Sistem terhubung internet, dan penggunaan gateway firewall dan aman.
E-Mail Privasi. Pengguna komputer sistem e-mail datang untuk bergantung pada layanan itu untuk
komunikasi informal dengan rekan dan orang lain. misalnya, untuk memastikan bahwa hal itu digunakan
hanya untuk tujuan bisnis atau jika mereka dicurigai mendistribusikan virus, mengirim e-mail
menyinggung, atau mengungkapkan organisasi rahasia.)
>>>Kedua teknologi baru dan penampilan baru ancaman sering membutuhkan penciptaan-isu spesifik
kebijakan.
>>>Calon potensial lainnya untuk mengeluarkan kebijakan khusus meliputi: pendekatan pengelolaan
risiko dan contingency planning, perlindungan rahasia / kepemilikan informasi, perangkat lunak tidak
sah, akuisisi perangkat lunak, melakukan computer bekerja di rumah, membawa dalam disk dari luar
tempat kerja, akses ke karyawan lain 'file, enkripsi file dan e-mail, hak privasi, tanggung jawab untuk
ketepatan data, dugaan kode berbahaya, dan keadaan darurat fisik
5.2.2 Komponen Dasar pada Isu Kebijakan Khusus
Seperti yang disarankan untuk kebijakan program, struktur yang berguna untuk mengeluarkan kebijakan
spesifik adalah menghancurkan kebijakan ke dalam komponen dasar.
Pernyataan masalah/isu. Untuk merumuskan kebijakan pada masalah, manajer pertama harus
menentukan masalah dengan istilah yang relevan, perbedaan, dan kondisi termasuk. Hal ini juga sering
bermanfaat untuk menentukan tujuan atau pembenaran bagi kebijakan yang dapat membantu dalam
mendapatkan sesuai dengan kebijakan.
Pernyataan Organisasi Posisi. Setelah isu terkait dinyatakan dan persyaratan dan ketentuan yang
dibahas, bagian ini digunakan untuk menyatakan dengan jelas posisi organisasi (yaitu, manajemen
keputusan) pada masalah. Untuk melanjutkan contoh sebelumnya, berarti ini menyatakan apakah
penggunaan perangkat lunak tidak resmi seperti yang didefinisikan dilarang di semua atau beberapa
kasus, apakah ada pedoman lebih lanjut untuk mendapatkan persetujuan dan penggunaan, atau apakah
kasus demi kasus pengecualian akan diberikan, oleh siapa, dan atas dasar apa.
Penerapan. Isu-kebijakan khusus juga perlu untuk memasukkan pernyataan diterapkan. Ini berarti
memperjelas di mana, bagaimana, kapan, untuk siapa, dan untuk apa kebijakan tertentu berlaku.
Sebagai contoh, bisa jadi bahwa kebijakan hipotetis perangkat lunak tidak resmi ini dimaksudkan untuk
hanya berlaku untuk organisasi itu sendiri pada situs-sumber daya dan karyawan dan bukan kepada
kontraktor dengan kantor-kantor di lain lokasi
Peran dan Tanggung Jawab. Penugasan dari peran dan tanggung jawab juga biasanya termasuk dalam
isu-kebijakan khusus. Sebagai contoh, jika kebijakan memungkinkan perangkat lunak tidak resmi milik
pribadi oleh karyawan untuk digunakan di tempat kerja dengan persetujuan yang sesuai, maka
kewenangan pemberian persetujuan izin tersebut perlu dinyatakan. (Kebijakan yang akan menetapkan,
yang, dengan posisi, memiliki seperti otoritas.) Demikian pula, akan perlu diperjelas siapa yang akan
bertanggung jawab untuk memastikan bahwa hanya perangkat lunak yang digunakan pada organisasi
sumber daya komputer dan, mungkin, untuk memantau pengguna dalam kaitannya dengan perangkat
lunak tidak resmi.
Penyesuaian. Untuk beberapa tipe kebijakan, hal itu mungkin cocok untuk menggambarkan, dalam
beberapa detail, yang pelanggaran yang tidak dapat diterima, dan konsekuensi dari perilaku tersebut.
Mungkin hukuman secara eksplisit dinyatakan dan harus konsisten dengan personel organisasi
kebijakan dan praktek.
Titik Kontak dan Tambahan Informasi. Untuk setiap isu-kebijakan tertentu, yang sesuai individu dalam
organisasi untuk kontak untuk informasi lebih lanjut, bimbingan, dan Penyesuaian harus ditunjukkan.
Sejak posisi cenderung berubah kurang sering daripada orang-orang menduduki mereka, mungkin posisi
tertentu disukai sebagai titik kontak. Misalnya untuk beberapa masalah titik kontak mungkin manajer
lini, karena isu-isu lain mungkin fasilitas manajer, dukungan teknis orang, administrator sistem, atau
program jaminan perwakilan.
>>> Beberapa Petunjuk Bantuan Kebijakan
Agar efektif, kebijakan memerlukan visibilitas. Bantu visibilitas pelaksanaan kebijakan dengan
membantu untuk memastikan kebijakan ini sepenuhnya dikomunikasikan ke seluruh organisasi.
Manajemen presentasi, video, diskusi panel, pembicara tamu, pertanyaan / jawaban forum, dan
newsletter meningkatkan visibilitas. Organisasi keamanan komputer
Pelatihan dan program kesadaran memberitahu pengguna dapat secara efektif kebijakan baru. Hal ini
juga dapat digunakan untuk mengenalkan karyawan baru dengan kebijakan organisasi. Kebijakan
keamanan komputer harus diperkenalkan dengan cara yang memastikan bahwa dukungan tidak
memenuhi syarat manajemen jelas, terutama di lingkungan di mana karyawan merasa dibanjiri dengan
kebijakan, arahan, pedoman, dan prosedur. Kebijakan organisasi adalah sarana untuk menekankan
komitmen manajemen keamanan komputer dan membuat jelas ekspektasi mereka untuk kinerja
karyawan, perilaku, dan akuntabilitas.
Agar efektif, kebijakan harus konsisten dengan petunjuk yang ada, hukum, budaya organisasi, pedoman,
prosedur, dan misi keseluruhan organisasi. Itu juga harus diintegrasikan ke dalam dan konsisten dengan
kebijakan organisasi (misalnya, kebijakan personalia). Salah satu cara untuk membantu memastikan ini
adalah untuk mengkoordinasikan kebijakan selama perkembangan dengan kantor organisasi lain.
5,3 Sistem Kebijakan Khusus
Kebijakan dan program-isu kebijakan khusus alamat baik kebijakan dari tingkat yang luas, biasanya
mencakup seluruh organisasi. Namun, mereka tidak memberikan informasi yang cukup atau arah,
misalnya, untuk digunakan dalam membangun sebuah daftar kontrol akses atau dalam pelatihan
pengguna pada tindakan apa yang diizinkan. Sistem-kebijakan khusus memenuhi kebutuhan ini. Jauh
lebih terfokus, karena hanya satu sistem alamat. Banyak keputusan-keputusan kebijakan keamanan
mungkin berlaku hanya pada level sistem dan mungkin berbeda dari sistem sistem dalam organisasi
yang sama. Walaupun keputusan ini mungkin tampak terlalu rinci untuk kebijakan, mereka dapat
menjadi sangat penting, dengan dampak yang signifikan pada penggunaan sistem dan keamanan.
Jenis keputusan yang dapat dibuat oleh pejabat manajemen, bukan oleh sistem teknis administrator.54
(Dampak dari keputusan ini, bagaimanapun, sering dianalisis oleh administrator sistem teknis.)
Untuk mengembangkan dan komprehensif kohesif kebijakan keamanan, para pejabat mungkin
menggunakan proses manajemen keamanan yang berasal aturan dari tujuan keamanan. Hal ini
membantu mempertimbangkan tingkat dua model untuk keamanan sistem
kebijakan: tujuan keamanan dan operasional aturan keamanan, yang bersama-sama membentuk
sistem-kebijakan khusus. Berkaitan erat dan seringkali sulit untuk membedakan, bagaimanapun, adalah
pelaksanaan kebijakan teknologi.
5.3.1 Tujuan Keamanan
Langkah pertama dalam proses manajemen adalah untuk menetapkan tujuan keamanan yang spesifik
sistem. Meskipun, proses ini dapat mulai dengan analisis kebutuhan integritas, ketersediaan, dan
kerahasiaan, seharusnya tidak berhenti di situ. Sebuah tujuan keamanan perlu lebih spesifik; itu harus
konkret dan terdefinisi dengan baik. Hal ini juga harus dinyatakan sehingga jelas bahwa Tujuannya
adalah dapat dicapai. Proses ini juga akan memanfaatkan kebijakan organisasi lain yang berlaku.
Tujuan keamanan terdiri dari serangkaian pernyataan yang menjelaskan tindakan-tindakan bermakna
tentang eksplisit daya. Tujuan ini harus didasarkan pada sistem misi fungsional atau persyaratan, namun
harus menyatakan tindakan keamanan yang mendukung persyaratan. Pembangunan sistem-kebijakan
khusus akan meminta manajemen untuk membuat trade-off, karena hal ini mungkin bahwa semua
tujuan keamanan yang diinginkan akan dapat sepenuhnya dipenuhi. Manajemen akan menghadapi
biaya, operasional, teknis, dan kendala lainnya.
5.3.2 Aturan Keamanan Operasional
Setelah manajemen menentukan tujuan keamanan, aturan-aturan untuk sistem operasi dapat
diletakkan keluar, misalnya, untuk menentukan modifikasi yang berwenang dan tidak sah. Yang (oleh
kategori pekerjaan, organisasi penempatan, atau nama) dapat melakukan apa (misalnya, mengubah,
menghapus) yang kelas tertentu dan catatan data, dan di bawah apa kondisi. Tingkat kekhususan
diperlukan untuk aturan keamanan operasional sangat bervariasi. Yang lebih rinci aturan-aturan
tersebut, sampai suatu titik, semakin mudah untuk mengetahui kapan seseorang telah dilanggar. Hal ini
juga, sampai titik tertentu, lebih mudah untuk mengotomatisasi penegakan kebijakan. Namun, aturan
yang terlalu rinci dapat membuat tugas memerintahkan komputer untuk melaksanakan komputasi
mereka sulit atau kompleks. Selain menentukan tingkat detail, manajemen harus menentukan derajat
formalitas dalam mendokumentasikan sistem-kebijakan khusus. Sekali lagi, yang lebih formal
dokumentasi, semakin mudah untuk menerapkan kebijakan dan mengikuti. Di sisi lain, kebijakan pada
level sistem yang terlalu rinci dan formal juga dapat menjadi beban administrasi. Secara umum, praktek
yang baik menunjukkan yang cukup rinci pernyataan resmi dari hak akses untuk sebuah sistem.
Mendokumentasikan akses kebijakan kontrol secara substansial akan membuatnya lebih mudah untuk
mengikuti dan untuk menegakkan.
5.3.3 Pelaksanaan Sistem Kebijakan Khusus
Teknologi memainkan peran yang penting tetapi bukan satu-satunya peran dalam sistem penegakan
kebijakan-kebijakan khusus. Kapan Teknologi ini digunakan untuk menegakkan kebijakan, adalah
penting untuk tidak mengabaikan metode berbasis nontechnology. Sebagai contoh, sistem teknis yang
berbasis kontrol dapat digunakan untuk membatasi pencetakan rahasia laporan ke printer tertentu.
Namun, langkah-langkah keamanan fisik yang terkait juga harus berada di tempat untuk membatasi
akses ke printer keluaran atau tujuan keamanan yang dikehendaki tidak dicapai.
Metode teknis yang sering digunakan untuk mengimplementasikan kebijakan keamanan sistemkemungkinan untuk menyertakan penggunaan kontrol akses logis. Namun, ada cara otomatis lainnya
menegakkan atau mendukung kebijakan keamanan yang biasanya suplemen kontrol akses logis.
Misalnya teknologi dapat digunakan untuk memblokir pengguna telepon dari menelepon nomor-nomor
tertentu. Manajemen kontrol juga memainkan peranan penting dan tidak boleh diabaikan. Selain itu,
penyimpangan dari kebijakan kadang-kadang dapat perlu dan tepat;
penyimpangan semacam itu mungkin akan sulit untuk menerapkan dengan mudah dengan beberapa
kontrol teknis. Situasi sering terjadi jika implementasi dari kebijakan keamanan terlalu kaku (yang dapat
terjadi ketika analis sistem untuk mengantisipasi kemungkinan gagal dan menyiapkan bagi mereka).
5,4 Saling ketergantungan
Kebijakan ini terkait dengan banyak topik yang dibahas dalam buku ini:
Manajemen Program. Kebijakan ini digunakan untuk mendirikan organisasi program keamanan
komputer, dan karena itu terkait erat dengan pengelolaan program dan administrasi. Kedua sistem
program dan kebijakan khusus dapat dibentuk dalam salah satu daerah dibahas dalam buku ini. Untuk
contoh, sebuah organisasi mungkin ingin memiliki pendekatan yang konsisten untuk penanganan
insiden untuk semua sistem dan akan mengeluarkan kebijakan program yang tepat untuk
melakukannya. Di sisi lain, mungkin memutuskan bahwa aplikasi yang cukup independen satu sama lain
bahwa aplikasi manajer harus berurusan dengan insiden secara individual.
Kontrol Akses. Sistem-kebijakan tertentu sering dilaksanakan dengan menggunakan kontrol akses.
Misalnya, ini mungkin merupakan keputusan kebijakan bahwa hanya ada dua individu dalam sebuah
organisasi yang berwenang untuk menjalankan cek-program pencetakan. Kontrol akses yang digunakan
oleh sistem untuk melaksanakan (atau menegakkan) kebijakan ini.
Link ke Kebijakan Organisasi yang lebih luas. Bab ini berfokus pada jenis dan komponen kebijakan
keamanan komputer. Namun, penting untuk menyadari bahwa komputer kebijakan keamanan sering
perpanjangan dari sebuah organisasi keamanan informasi kebijakan untuk penanganan informasi dalam
bentuk lain (misalnya, kertas dokumen). Sebagai contoh, sebuah organisasi email kebijakan mungkin
akan diikat pada kebijakan yang lebih luas privasi. Kebijakan keamanan komputer mungkin juga
perluasan dari kebijakan lain, seperti tentang penggunaan peralatan yang sesuai dan fasilitas.
5,5 Pertimbangan Biaya
Sejumlah biaya potensial yang berhubungan dengan mengembangkan dan menerapkan keamanan
komputer kebijakan. Secara keseluruhan, biaya utama kebijakan adalah biaya pelaksanaan kebijakan
dan dampaknya pada organisasi. Sebagai contoh, mendirikan program keamanan komputer, dicapai
melalui kebijakan, tidak datang pada biaya diabaikan. Biaya lain yang mungkin akan timbul melalui
proses pengembangan kebijakan. Banyak kegiatan pengelolaan administrasi dan mungkin diperlukan
untuk penyusunan, meninjau, koordinasi, kliring, sosialisasi, dan publikasi kebijakan. Di banyak
organisasi, kebijakan sukses pelaksanaan mungkin memerlukan staf tambahan dan pelatihan dan dapat
memakan waktu. Secara umum, biaya untuk sebuah organisasi untuk mengembangkan kebijakan
keamanan komputer dan pelaksanaan akan tergantung pada seberapa luas perubahan yang diperlukan
untuk mencapai tingkat risiko yang dapat diterima untuk manajemen.
Related documents
13.Keamanan Komputer
13.Keamanan Komputer
BAB IV ISU SOSIAL DAN ETIKA DALAM SI
BAB IV ISU SOSIAL DAN ETIKA DALAM SI
etika profesi seorang (hacker/it security) yang bekerja di
etika profesi seorang (hacker/it security) yang bekerja di
keamanan sistem operasi
keamanan sistem operasi
aspek hukum internasional dalam penggunaan
aspek hukum internasional dalam penggunaan
Pengantar Sistem Informasi
Pengantar Sistem Informasi
HACKERS Vs CRACKERS
HACKERS Vs CRACKERS
HACKERS Vs CRACKERS
HACKERS Vs CRACKERS
3. Kerahasiaan Informasi Pegawai wajib: 1. menyimpan rahasia
3. Kerahasiaan Informasi Pegawai wajib: 1. menyimpan rahasia
Konteks Metode Analisis dan Desain System
Konteks Metode Analisis dan Desain System
mk etika profesi
mk etika profesi
KEAMANAN SISTEM KOMPUTER
KEAMANAN SISTEM KOMPUTER
Download
advertisement