Thursday, October 3, 2019

Apakah Information Technology Security Evaluation Criteria (ITSEC) itu?

Kita sadari bahwa kehadiran internet telah merubah cara kita berinteraksi hampir di setiap bidang dalam organisasi profit maupun non-profit. Hal ini menjadikan Teknologi Informasi (IT) menjadi "candu" karena ketergantungan kita terhadapnya. Sehingga, mengharuskan kita menggunakan suatu mekanisme keamanan yang komprehensif dan diterapkan dengan baik dalam produk dan sistem.

Masalah keamanan yang mendasar seperti otentikasi, enkripsi, perlindungan data, hak pengguna, audit dan keamanan jaringan masih mendominasi kebutuhan pengguna saat ini. Pembeli misalnya, mereka perlu mendapatkan produk dan sistem yang memenuhi persyaratan bisnisnya, sementara vendor, mereka pun perlu untuk merancang dan mengembangkan produk dan sistem yang aman mengingat sifat yang berubah dengan cepat dari lingkungan dan ancaman TI.

Pertanyaannya sekarang, bagaimana seorang pembeli dapat membeli sebuah  produk dari perspektif yang sadar akan security? kemudian apa ukuran atau tolok ukur terhadap suatu produk yang dapat diukur dalam hal kekuatan mekanisme keamanannya? lalu apa dan di mana bukti klaim yang dibuat vendor tentang keamanan yang kuat dalam produknya?


Pertanyaan-pertanyaan di atas mungkin akan merasuki kita disaat berada pada posisi tersebut, di sinilah evaluasi keamanan dan penilaian keamanan memainkan peran penting dalam membangun jaminan kelayakan keamanan suatu produk. Evaluasi keamanan memberikan tolok ukur formal yang dengannya produk atau sistem dapat disertifikasi telah memenuhi standar keamanan yang dikembangkan secara internasional dan diakui oleh organisasi independen tetapi resmi dan terakreditasi. Penilaian keamanan adalah praktik evaluasi keamanan yang kurang formal, tetapi sama pentingnya karena memberikan mekanisme yang digunakan vendor menilai secara independen kelayakan keamanan produk mereka, meskipun tidak bertentangan dengan kriteria dan / atau standar evaluasi formal.

Ada banyak standar yang dapat digunakan untuk melakukan evaluasi security, antara lain US TCSEC (US Trusted Computer System Evaluation Criteria) atau yang dikenal dengan Orange Book yang telah digunakan untuk melakukan evaluasi Sistem Operasi (Operating Systems), European ITSEC (Information Technology Security Evaluation Criteria) atau ITSEC yang merupakan hasil harmonisasi dari 4 negara di Eropa yaitu: Prancis, Jerman, Belanda dan Inggris (UK) yang telah menjadi kriteria de facto di negara Eropa, ada juga kriteria North American (Canadian Trusted Computer Product Evaluation Criteria) atau CTCPEC serta standar evaluasi kriteria lainnya. Yang dalam kesempatan kali ini saya coba bahas mengenai ITSEC, mudah mudahan yang lainnya masih bisa dibahasa pada kesempatan lain. just stay here...

Dikutif dari wikipedia ITSEC merupakan kumpulan kriteria yang terstruktur untuk mengevaluasi keamanan komputer dari sisi produk maupun sistem. Produk atau sistem yang sedang dievaluasi, disebut target evaluasi, harus melalui pemeriksaan terperinci fitur keamanannya yang berpuncak pada pengujian fungsional dan penetrasi yang komprehensif dan terinformasi. Tingkat pemeriksaan tergantung pada tingkat kepercayaan yang diinginkan pada target. Untuk memberikan tingkat kepercayaan yang berbeda, ITSEC mendefinisikan tingkat evaluasi, yang dinotasikan E0 hingga E6. Level evaluasi yang lebih tinggi melibatkan pemeriksaan dan pengujian target yang lebih luas.

Produk atau sistem yang sedang dievaluasi, disebut target evaluasi, harus melalui pemeriksaan terperinci fitur keamanannya yang berpuncak pada pengujian fungsional dan penetrasi yang komprehensif dan terinformasi. Tingkat pemeriksaan tergantung pada tingkat kepercayaan yang diinginkan pada target. Untuk memberikan tingkat kepercayaan yang berbeda, ITSEC mendefinisikan tingkat evaluasi, yang dinotasikan E0 hingga E6. Level evaluasi yang lebih tinggi melibatkan pemeriksaan dan pengujian target yang lebih luas.

Tidak seperti kriteria sebelumnya, khususnya TCSEC yang dikembangkan oleh lembaga pertahanan AS, ITSEC tidak memerlukan target yang dievaluasi untuk memuat fitur teknis tertentu untuk mencapai tingkat jaminan tertentu. Misalnya, target ITSEC mungkin menyediakan fitur otentikasi atau integritas tanpa memberikan kerahasiaan atau ketersediaan. Fitur keamanan target tertentu didokumentasikan dalam dokumen Target Keamanan, yang isinya harus dievaluasi dan disetujui sebelum target itu sendiri dievaluasi. Setiap evaluasi ITSEC didasarkan secara eksklusif pada verifikasi fitur keamanan yang diidentifikasi dalam Target Keamanan.

Jenis penilaian yang paling umum dilakukan antara lain:

  1. Penilaian keamanan produk (Product Security Assessment)
  2. Test Penetrasi (Penetration Testing)
  3. Serangan Produk (Product Attacks)
Dalam pelaksanaan assesment, seorang assesor (yang melakukan kegiatan assesment) umumnya melaksanakan:
  • Pemahaman tentang proses pengembangan produk, misalnya:
    • fitur keamanan produk;
    • lingkungan operasi produk;
    • arsitektur produk; dan,
    • penggunaan produk.
  • Meninjau ulang sumber yang tersedia untuk mengetahui kerentanan yang diketahui dan / atau kemungkinan terjadi, misalnya:
    • sumber daya di Internet;
    • hasil studi dan analisis sebelumnya;
    • bug yang dikenal; dan,
    • pengalaman dengan produk dan arsitektur serupa.
  • Merancang tes menggunakan informasi yang dikumpulkan dan memprioritaskannya berdasarkan kemungkinan eksploitasi dan jumlah potensi kerusakan yang disebabkan oleh eksploitasi tersebut.
  • Lakukan tes yang dijelaskan di atas, dan kembangkan tes tambahan jika diperlukan.

Keluarkan dari proses assesment adalah laporan akhir yang merinci sifat tes yang dilakukan dan hasil yang diperoleh.

Demikian dulu ya, yang bisa saya bahas kali ini, lain waktu dilanjut lagi..
Terima Kasih.


Referensi:

  1. ITSEC, Wikipedia (https://en.wikipedia.org/wiki/ITSEC)
  2. M. Gehrke,  Information Technology Security Evaluation Criteria (ITSEC)  

No comments:

Post a Comment