N Nama /NPM : Tasya Ayu Hapsari

NPM : 2006509970
Mata Kuliah : Manajemen Sekuriti Informasi
Dosen : Basir
Hari Tanggal : Jumat, 15 Oktober 2021

SECURITY PLAN
1. SP development guidelines
1.1 The Security Planning Process

Tujuan dari rencana keamanan untuk sistem informasi adalah untuk

menentukan persyaratan keamanan untuk jangka panjang. Persyaratan keamanan
tersebut akan ditentukan tergantung pada kekritisan sistem informasi, yang sering
dinyatakan dalam hal sensitivitas informasi dan persyaratan ketersediaannya. Sistem
informasi tersebut dikategorikan sebagai sistem berdampak rendah, berdampak
sedang, atau berdampak tinggi untuk tujuan keamanan kerahasiaan, integritas, dan
ketersediaan.

Proses perencanaan keamanan, seperti yang digambarkan pada Gambar

4.1, bergantung pada beberapa standar eral federasi mendefinisikan keamanan
minimal persyaratan FIPS 199 dan 200, Federal Information Security Management
Act (FISMA), dan publikasi resmi beberapa NIST dengan spesialisasi, NIST SP 800-
53 [5] dan NIST SP 800-18 [3] untuk mempelajari sistem target dan menentukan
persyaratan keamanannya untuk jangka panjang, biasanya, untuk jangka waktu 3
tahun. Hasil utama dari proses perencanaan keamanan adalah SP untuk sistem
target.

SP akan terdiri dari kebutuhan keamanan organisasi dari segi manajerial,

operasional, dan kontrol keamanan teknis yang mampu memberikan keamanan yang
memadai bagi organisasi untuk 3 tahun ke depan. NIST SP 800-53 [5] menyajikan
konsep dasar tentang pemilihan dan spesifikasi kontrol keamanan. SP disetujui oleh
pejabat yang berwenang yang ditunjuk oleh manajemen atas sebelum dianalisis,
diperbarui, dan diterima untuk tujuan disertifikasi dan diakreditasi. SP juga akan
menyertakan jadwal tinjauan berkala, modifikasi, dan rencana tindakan serta
pencapaian untuk menerapkan kontrol keamanan yang direncanakan.
 Panduan ini menjelaskan proses komprehensif yang direkomendasikan yang
harus diikuti oleh organisasi untuk memilih dan menentukan kontrol keamanan untuk
sistem informasi.

1.2 System Categorization in Security Planning

Setiap sistem yang diidentifikasi dalam inventarisasi aset organisasi harus

dikategorikan menggunakan FIPS 199 (Gambar 4.2). Publikasi Khusus NIST 800-60,
Panduan Pemetaan Jenis Informasi dan Sistem Informasi ke Kategori Keamanan,
memberikan panduan implementasi untuk menyelesaikan kegiatan ini.

Mengklasifikasikan sistem ini, bagian pertama dari sistem diklasifikasikan

sebagai "berdampak rendah," menurut kategorisasi FIPS 199. Bagian kedua dari
sistem diklasifikasikan sebagai "berdampak tinggi," menurut kategorisasi FIPS 199.
Menerapkan prinsip tautan lemah, seluruh sistem harus diklasifikasikan sebagai
"berdampak tinggi."

1.3 Risk Management in Security Planning

Manajemen risiko sangat penting dalam mengembangkan rencana
keamanan. Ini harus menyediakan kerangka kerja yang efektif untuk pemilihan
kontrol keamanan yang tepat. Pendekatan berbasis risiko memungkinkan organisasi
untuk melindungi sistem informasi yang menyimpan, memproses, dan mengirimkan
informasi organisasi, untuk membuat keputusan manajemen risiko yang terinformasi
dengan baik, dan untuk menerapkan otorisasi sistem dan proses akreditasi.
1.4 System SP Responsibilities
Untuk mendistribusikan tanggung jawab pengembangan SP, kita perlu
mengetahui proses perencanaan keamanan dan semua prosedur atau aktivitas yang
terlibat dalam produksi rencana keamanan. Biasanya, organisasi memiliki divisi
manajemen proyek yang mengawasi semua proses manajemen proyek yang dimulai
dalam organisasi atau memiliki kebijakan manajemen proyek yang menjelaskan
metodologi manajemen proyek yang harus digunakan.
1.5 System AP Aprproval

Kebijakan keamanan perusahaan harus menetapkan siapa yang menyetujui

rencana keamanan sistem apa pun. Sebelum proses sertifikasi dan akreditasi,
pejabat berwenang yang ditunjuk menyetujui rencana tersebut. Pejabat yang
berwenang harus berbeda dari pemilik sistem.

1.6 Certification and Accreditation Process

 Selama proses sertifikasi dan akreditasi keamanan, SP sistem dianalisis,
diperbarui, dan diterima. Agen sertifikasi memverifikasi bahwa kontrol keamanan
yang dijelaskan dalam SP sistem konsisten dengan kategori keamanan FIPS 199
yang ditentukan untuk sistem informasi, dan bahwa identifikasi ancaman dan
kerentanan serta penentuan risiko awal diidentifikasi dan didokumentasikan dalam
rencana keamanan sistem, penilaian risiko , atau dokumen yang setara.

Hasil sertifikasi keamanan dapat digunakan untuk menilai kembali risiko,

mengembangkan rencana tindakan dan pencapaian yang diperlukan untuk melacak
tindakan perbaikan, dan memperbarui rencana keamanan sistem.

1.7 SP Scope and Sytem Boundaries

FIPS 199 mendefinisikan kategori keamanan untuk sistem informasi
berdasarkan dampak potensial pada organisasi, aset, atau individu jika ada
pelanggaran keamanan yang mengakibatkan hilangnya kerahasiaan, integritas, atau
ketersediaan. Kategori keamanan FIPS 199 dapat memainkan peran penting dalam
menentukan batasan sistem informasi dengan membagi sistem informasi organisasi
menurut kekritisan atau sensitivitas sistem informasi dan informasi dan pentingnya
sistem tersebut dalam mencapai misi organisasi.
1.8 What Is a Security Plan?
Program keamanan informasi seimbang berbasis luas yang membahas
aspek manajerial, operasional, dan teknis untuk melindungi kerahasiaan, integritas,
dan ketersediaan informasi dan sistem informasi.
1.9 SP Analysis
 Scoping Guidance
Pertimbangan yang harus ditangani ketika panduan pelingkupan yaitu
(1) pertimbangan terkait teknologi, (2) pertimbangan terkait kontrol keamanan
umum, (3) pertimbangan terkait sistem informasi akses publik, (4 )
pertimbangan terkait infrastruktur, (5) pertimbangan terkait skalabilitas, dan
(6) pertimbangan terkait risiko.
 Compensating Controls
Kontrol kompensasi merupakan kontrol manajerial, operasional, dan
teknis yang digunakan oleh organisasi sebagai pengganti kontrol yang
direkomendasikan. Penggunaan kontrol keamanan kompensasi harus
ditinjau, didokumentasikan dalam rencana keamanan sistem, dan disetujui
oleh pejabat yang berwenang untuk sistem informasi.
 Common Security Control
 Tujuan mengadopsi kontrol keamanan umum adalah untuk mengurangi
biaya keamanan dengan mengelola pengembangan, implementasi, dan
penilaian kontrol keamanan umum yang dipilih oleh organisasi secara
terpusat.
1.10 Securiry Control Selection
Ada tiga kelas umum kontrol keamanan yaitu manajerial, operasional, dan
teknis. Kontrol manajerial fokus pada manajemen sistem informasi dan manajemen
risiko untuk suatu sistem. Mereka adalah teknik dan masalah yang biasanya
ditangani oleh manajemen. Kontrol keamanan operasional menyangkut mekanisme
yang diterapkan dan dijalankan oleh orang-orang (sebagai lawan dari sistem).
Kontrol ini dilakukan untuk meningkatkan keamanan sistem tertentu (atau kelompok
sistem). Kontrol teknis fokus pada kontrol keamanan yang dijalankan oleh sistem
komputer. Kontrol ini dapat memberikan perlindungan otomatis terhadap akses atau
penyalahgunaan yang tidak sah, memfasilitasi deteksi pelanggaran keamanan, dan
mendukung persyaratan keamanan untuk aplikasi dan data.
1.11 Ongoing System SP Maintenance
Menilainya secara berkala, meninjau setiap perubahan dalam status sistem,
fungsionalitas, desain, dll. Semua rencana harus ditinjau dan diperbarui, jika sesuai,
setidaknya setiap tahun.

2. SP Methodology
SP adalah proses yang hemat biaya untuk mengidentifikasi dan menerapkan
serangkaian kontrol keamanan sebagai respons terhadap aktivitas analisis risiko
keamanan yang menyeluruh. SP berisi informasi teknis terperinci tentang sistem,
persyaratan keamanannya, dan kontrol yang diterapkan untuk memberikan
perlindungan terhadap risiko dan kerentanannya. SP harus menetapkan seperangkat
aturan perilaku mengenai penggunaan sistem, keamanannya, dan tingkat risiko yang
dapat diterima.

2.1 Main Phases of the SP Methodology

2.1.1 Strategic Security Definition

Fase definisi keamanan strategis merupakan aktivitas pengumpulan informasi

untuk memahami lingkungan komputasi dan jaringan yang ada di organisasi yang
sedang dikembangkan SP. Fase ini setidaknya harus mengumpulkan informasi yang
dapat memberikan jawaban atas selusin set pertanyaan yang tercantum pada
subbagian berikut. Setiap rangkaian pertanyaan dijawab dalam dokumen terpisah.

2.1.2 Strategic Security Analysis

Tujuan dari analisis keamanan strategis adalah untuk menganalisis

keamanan sistem yang ada. Hasil analisis ini akan membantu dalam pemilihan
kontrol keamanan yang akan diterapkan oleh organisasi sesuai dengan
jadwal/mekanisme kontrol SP yang ditetapkan dalam SP yang mencakup siklus
hidup ekonomi 3 tahun. Langkah-langkah ini sebenarnya adalah langkah-langkah
yang sama yang diikuti ketika merancang program keamanan. Namun, untuk SP di
mana sistem target adalah aplikasi utama, atau sistem pendukung umum, langkah-
langkahnya lebih komprehensif dan strategis, dan siklus hidupnya lebih lama.

System criticality Bagian ini menjelaskan jenis perlindungan yang diperlukan

untuk sistem. Perlindungan dari kebocoran informasi yang tidak sah dan korupsi
informasi (modifikasi yang tidak sah, tidak terduga, atau tidak disengaja); dan
informasi serta layanan pemilik memerlukan ketersediaan terus-menerus tanpa
gangguan atau penolakan. Dua komponen yang dapat mendefinisikan yaitu (1)
Sensitivitas informasi yang diproses oleh sumber informasi (2) Ketersediaan sumber
informasi yang memproses informasi

Review of security controls Tujuan dari tinjauan ini adalah untuk memberikan
verifikasi bahwa kontrol yang dipilih atau dipasang cukup untuk memberikan tingkat
perlindungan yang sesuai dengan tingkat risiko yang dapat diterima untuk sistem.
Oleh karena itu, bagian ini harus mencakup informasi tentang audit independen
terakhir atau tinjauan sistem dan siapa yang melakukan tinjauan.

Risk Assessment and Management dilakukan dengan dua komponnen yaitu

Risk Assessment Approach dan Periodic reviews.

2.1.3 Strategic Security Design

Fase desain keamanan strategis adalah fase terpenting dalam rencana

keamanan. Ini akan menggunakan semua informasi yang dikumpulkan pada fase
sebelumnya. Anggota tim SP harus terbiasa dengan semua praktik keamanan
terbaik yang tersedia dan mengetahui semua kemungkinan kontrol keamanan.
Konsultasi dengan ahli keamanan eksternal dan vendor direkomendasikan pada
tahap ini.

2.1.4 Strategic Security Choice

Tujuan dari pilihan keamanan strategis adalah untuk memastikan bahwa

semua rekomendasi yang disertakan dalam versi final SP adalah yang paling sesuai.
Pemilik sistem telah menyetujui semua kontrol keamanan yang diadopsi dalam
rencana keamanan. Penulis SP bertanggung jawab untuk memahami kekhawatiran
pemilik sistem dan meyakinkan mereka bahwa kontrol keamanan yang diadopsi
adalah satu-satunya yang dapat secara efisien mengurangi risiko yang ditentukan
dalam fase analisis keamanan dari rencana keamanan.

2.1.5 Strategic Security Review

Tujuannya memastikan bahwa sistem atau aplikasi berfungsi sesuai dengan

manual desain yang berisi solusi keamanan yang disertakan dalam rencana
keamanan. SP diatur untuk 3 tahun. Sistem secara berkala mengevaluasi risiko dan
validitas kontrol keamanan yang disertakan dalam keamanan rencana. Setiap
perubahan dalam risiko keamanan atau dalam kontrol keamanan harus
menghasilkan tindakan korektif yang diterapkan. Kontrol keamanan menjadi tidak
valid atau kehilangan efisiensi atau efektivitas saat terjadi perubahan organisasi, saat
teknologi baru muncul, saat kebijakan keamanan berubah, dll.

Tim keamanan harus memiliki cara sendiri untuk memastikan bahwa SP saat
ini masih efektif. Tinjauan strategis harus menggunakan teknik evaluasi yang sangat
sederhana dan cepat untuk memantau bagaimana sistem atau aplikasi berperilaku
sehubungan dengan rencana keamanan saat ini.

Kualitas tinjauan keamanan strategis bergantung pada banyak faktor,

termasuk kinerja anggota tim keamanan, dukungan manajemen, kesadaran
keamanan staf dan pengguna, konten dan struktur rencana keamanan , pemahaman
tentang rekomendasi yang disajikan dalam rencana keamanan, dll