Blueprints, Frameworks, and Security
Models
Framework merupakan garis besar dari blueprint yang
lebih menyeluruh, yang mana menetapkan model yang harus diikuti dalam
menciptakan desain, seleksi, implementasi awal dan berkelanjutan dari semua
kontrol keamanan berikutnya termasuk information security policies, security
education, dan training programs, serta technological controls.
Security model merupakan blueprint generic yang ditawarkan oleh service
organization. Cara lain untuk menciptakan blueprint adalah dengan melihat jalur
yang diambil oleh organisasi (benchmarking-mengikuti praktek rekomendasi atau
standar industri).
Access Control Model
Access control mengatur user memasuki trusted area
organisasi logical access ke information systems dan physical access ke
organization’s facilities.
·
Aplikasi umum dari access control terdiri dari 4
proses:
1. Identification
2. Authentication
3. Authorization
4. Accountability
· Access control memungkinkan organisasi untuk membatasi
akses terhadap informasi, informasi asset, dan asset tak berwujud lainnya to
those with a bona fide business need.
·
Access control terdiri dari beberapa prinsip:
1. Least
privilege:
2. Keperluan
untuk mengetahui
3. Pembagian
tugas
· Pendekatan pertama yang digunakan untuk
mengkategorikan metodologi akses kontrol.
1. Preventive:
kontrol yang membantu organisasi menghindari insiden
2. Deterrent:
kontrol yang menghambat atau menghalangi insiden yang baru mulai
3. Detective:
kontrol yang mendeteksi atau mengidentifikasi insiden ketika kejadian terjadi
4. Corrective:
kontrol yang mengurangi kerusakan yang dilakukan pada saa kejadian
5. Recovery:
kontrol yang memulihkan kembalik kondisi operasi menjadi normal
6. Compensating:
kontrol yang mengatasi kekurangan
· Pendekatan kedua, digambarkan dalam NIST Special
Publication Series, mengkategorikan kontrol berdasarkan dampak operasionalnya
terhadap organisasi:
1. Management:
kontrol yang mencakup proses keamanan yang dirancang oleh strategic planner.
2. Operational:
kontrol yang berhubungan dengan fungsi operasional.
3. Technical:
kontrol yang mendukung bagian taktis dari suatu program keamanan.
Security Architecture Models
·
Trusted Computing Based
· The Trusted Computer System Evaluation Criteria
(TCSEC) merupakan standar DoD yang mendefinisikan criteria untuk melakukan
akses terhadap control access di dalam sistem komputer.
· TCSEC mendefinisikan trusted computing base (TCB)
sebagai kombinasi semua hardware, firmware, dan software yang bertanggung jawab
untuk menegakkan security policy.
·
TCB merupakan mekanisme internal control dan
administrasi yang efektif dari sistem yang sedang diatur.
·
ITSEC
1. The
Information System Evaluation Criteria (ITSEC) merupakan suatu set criteria
internasional yang mengevaluasi sistem komputer. Hampir sama dengan TCSEC.
2. The ITSEC
menilai produk pada skala E1 (level yang paling rendah) hingga E6 (level yang
paling tinggi)
·
The Common Criteria (CC)
· Kriteria umum untuk Information Technology Security
Evaluation (biasanya disebut Common Criteria) merupakan internasional standar
(ISO/IEC 15408) untuk sertifikasi keamanan komputer
·
The CC mencari kemungkinan pengakuan mutual yang
terluas dari keamanan produk IT.
· Proses CC menjamin bahwa spesifikasi, implementasi,
dan evaluasi produk keamanan komputer dilakukan secara ketat dan sesuai
standar.
·
Bell-LaPadula Confidentiality Model
· The Bell-LaPadula (BLP) confidentiality model
merupakan model mesin yang membantu untuk memastikan kerahasiaan sistem
informasi melalui MACs, klasifikasi data, dan izin keamanan.
·
Clark-Wilson Integrity Model
1.
The Clark-Wilson integrity model, yang dibangun berdasarkan
prinsip-prinsip kontrol perubahan dibandingkan tingkat integritas, dirancang
untuk lingkungan komersial.
2.
Model ini menetapkan suatu sistem hubungan
subjek-program-objek seperti subjek tidak dapat melakukan akses langsung
terhadap objek.
·
Graham-Denning Access Control Model
1.
The Graham-Denning access control model memiliki 3
bagian: objek, subjek dan hak.
2.
Model ini menggambarkan 8 hak perlindungan primitive
yang disebut commands.
·
Harrison-Ruzzo-Ullman Model
1.
The Harrison-Ruzzo-Ullman (HRU) model mendefinisikan
suatu metoe yang mengizinkan perubahan terhadap hak akses dan penghapusan
subjek dan objek, suatu proses yang tidak terdapat di Bell-LaPadula model.
2.
Dengan mengimplementasikan hak dan command serta membatasi
command menjadi single operation, dimungkinkan untuk menentukan jika dan kapan
subjek tertentu dapat memperoleh hak particular terhadap suatu objek.
·
Brewer-Nash Model (Chinese Wall)
1. The
Brewer-Nash model umumnya dikenal sebagai Chinese wall yang didesain untuk
mencegah konflik kepentingan antara 2 pihak.
2. The
Brewer-Nash model memerlukan user untuk menyeleksi satu dari dua set data yang
bertentangan, setelah itu mereka tidak dapat mengakses data yang bertentangan
tersebut.
·
NIST Security Models
1.
NIST special publication 800-12, Computer
Security Handbook, merupakan referensi terbaik dan panduan untuk manajemen
rutin information security.
2.
NIST special publication 800-14, Generally
Accepted Principles and Practices for Securing Information Technology Systems,
menggambarkan praktek rekomendasi dan menyediakan informasi yang secara umum
diterima oleh prinsip information security yang mana dapat mengarahkan security
team di dalam pembangunan suatu security blueprint.
3.
NIST special publication 800-18 Rev.1, Guide
for Developing Security Plans for Federal Information Systems, menyediakan
metode detail untuk assessing, designing, dan implementing controls, serta
rencana aplikasi untuk berbagai macam ukuran.
4.
NIST special publication 800-26, Security
Self-Assessment Guide for Information Technology Systems, menggambarkan 17
area yang span managerial, operational, dan technical controls.
5.
NIST special publication 800-30, Risk
Management Guide for Information Technology Systems, menyediakan fondasi
untuk pembangunan suatu efektif risk management program, yang terdiri dari
definisi dan panduan praktikal yang diperlukan untuk menilai dan mengurangi
resiko yang teridentifikasi dalam sistem IT.
·
Information Security Governance Framework
1.
The Information Security Governance Framework
merupakan model managerial disediakan oleh industry working group, www.CyberPartnership.org, dan
merupakan hasil dari usaha pengembangan oleh National Cyber Security Summit
Task Force.
2.
Framework ini menetapkan bahwa setiap independent
organizational unit harus mengembangkan, mendokumentasi, dan
mengimplementasikan information security program