System-specific security policies

Definisi

       Kebijakan Keamanan merupakan cara pengamanan untuk sistem, organisasi atau entitas lain. Untuk sebuah organisasi, kendala pada perilaku anggotanya serta kendala yang dikenakan pada mekanisme seperti pintu, kunci dan dinding. Untuk sistem, kendala kebijakan keamanan pada fungsi aliran diantaranya, batasan akses oleh sistem eksternal termasuk program dan akses data oleh manusia.

       Dapat dikatakan bahwa kebijakan keamanan hidup dokumen yang harus sering ditinjau dan direvisi. Sebagai organisasi berkembang, kebutuhan keamanan mereka berkembang juga. Kebijakan tertulis sebelum evolusi organisasi mungkin tidak cukup mencerminkan kebutuhan yang baru dikembangkan. Oleh karena itu, harus dipertimbangkan prosedur standar untuk meninjau kebijakan keamanan yang ada secara sering dan beradaptasi kebijakan yang diperlukan. Ada beberapa macam kebijakan dalam suatu organisasi, dan masing-masing perlu didekati dengan tingkat yang sama ketekunan. 

       Kebijakan keamanan Sistem khusus yang mirip dengan kebijakan keamanan isu-spesifik yang mereka berhubungan dengan teknologi tertentu diterapkan dalam organisasi. Sedangkan kebijakan keamanan isu-khusus dimaksudkan untuk menyampaikan petunjuk penggunaan yang tepat bagi pengguna-akhir, kebijakan keamanan sistem informasi spesifik teknologi langsung profesional dalam konfigurasi keamanan yang sesuai untuk teknologi yang mereka kelola. Misalnya, salah satu kebijakan keamanan sistem-spesifik mungkin menjelaskan bagaimana firewall organisasi harus dikonfigurasi, sementara yang lain mendefinisikan bagaimana akses pengguna harus diberikan pada server mail. Seperti kebijakan keamanan isu-spesifik, sering meninjau kebijakan ini diperlukan untuk menjamin prosedur keamanan terbaru sedang diikuti.

Element pada System-specific security policies 

       Kebijakan keamanan untuk sebuah sistem komputasi menggambarkan hubungan antara lima unsur.Dua yang pertama elemen adalah subjek dan objek pada sistem komputer yang berinteraksi satu sama lain :

• Subjek menyebabkan informasi mengalir antara objek-objek atau mereka mengubah status sistem. Sebuah proses diwakili pada sistem sebagai subjek ketika ada permintaan tindakan.
• Objek adalah bagian-bagian dari sistem komputasi yang mengandung atau menerima informasi. Contoh objek adalah data file, program file, direktori, pipa bernama (juga disebut sebagai FIFOs), pipa yang tidak disebutkan namanya, link simbolik, memori, terminal, lineprinters, disk, kaset, dan, ketika mereka menerima proses informasi.

       Interaksi yang khas adalah untuk menciptakan pelajaran membaca, atau menulis objek. Perhatikan bahwa proses mungkin menjadi subjek atau objek, tergantung pada tindakan meminta atau menerima informasi masing-masing.

       Sisa tiga elemen kebijakan keamanan menentukan cara-cara di mana subjek dan objek berinteraksi. 

• Akses atribut dari subjek atau objek ini menentukan posisinya dalam skema klasifikasi bahwa sistem ini berguna untuk memisahkan pengguna komputer dan informasi pada sistem komputer.
• Aturan akses akan mewujudkan kebijakan yang mensegregasikan informasi untuk sistem.Sistem ini menentukan apakah subjek dapat mengakses objek yang diberikan oleh akses atribut subjek dengan atribut akses yang diperlukan untuk mengakses objek. Hanya jika subjek melewati semua pemeriksaan yang relevan dapat mengakses dengan akses objek.
• Keistimewaan menentukan kemampuan subjek untuk melakukan panggilan sistem tertentu dibatasi, perintah, dan fungsi. Keistimewaan juga memungkinkan beberapa proses untuk menimpa cek akses sewaktu melakukan beberapa panggilan sistem.

       Kebijakan keamanan UnixWare mengatur hubungan antara aturan akses dan atribut akses. akses Atribut memungkinkan sistim untuk mendefinisikan beberapa mode yang berbeda otorisasi, dan aturan akses yang menyediakan mekanisme sistem untuk mencegah akses yang tidak sah terhadap informasi sensitif.

       Dalam menegakkan kebijakan keamanan, sistem ini memberikan akses atribut subyek dan obyek dan kemudian menggunakan aturan akses untuk menjamin bahwa subyek tidak mengakses obyek yang subjek tidak memiliki atribut akses yang tepat.

       Sistem ini lebih lanjut membatasi penggunaan perintah tertentu dan panggilan sistem untuk subyek (proses) yang memiliki hak yang tepat.

Komponen pada System-specific security policies 

       Program kebijakan menetapkan program keamanan. Mereka menyediakan bentuk dan karakter. Bagian-bagian yang membentuk kebijakan program termasuk tujuan, lingkup, tanggung jawab, dan kepatuhan. Berikut ini adalah komponen dasar dari sebuah kebijakan keamanan :

• Purpose mencakup tujuan program, seperti:

1. Peningkatan pemulihan waktu
2. Mengurangi biaya atau downtime karena hilangnya data
3. Pengurangan kesalahan untuk kedua perubahan sistem dan kegiatan operasional
4. Peraturan kepatuhan
5. Pengelolaan keseluruhan kerahasiaan, integritas, dan ketersediaan

• Scope memberikan petunjuk pada siapa dan apa yang dicakup oleh kebijakan. Cakupan meliputi :

1. Fasilitas
2. Jalur bisnis
3. Karyawan atau departemen
4. Teknologi
5. Proses

• Responsibilities untuk pelaksanaan dan pengelolaan kebijakan yang ditetapkan dalam bagian ini. unit organisasi atau individu adalah kandidat tugas potensial.
• Compliance menyediakan untuk penegakan kebijakan itu. Menjelaskan kegiatan pengawasan dan pertimbangan disiplin dengan jelas. Namun isi dari bagian ini berarti di tempat sebuah program penyadaran yang efektif.

       Sistem kebijakan khusus menyediakan kerangka kerja bagi program keamanan sistem dan isu tertentu. Seperti kebijakan program, kebijakan sistem harus cukup fleksibel untuk memungkinkan para manajer untuk membuat keputusan operasional efektif sambil menjaga kerahasiaan, integritas, dan ketersediaan aset informasi. Sistem kebijakan biasanya alamat dua bidang: tujuan keamanan dan standar keamanan operasional.

       Standar keamanan operasional menyediakan sebuah set aturan untuk operasi dan mengelola sistem atau teknologi. Seperti dengan tujuan sistem kebijakan, aturan ini tidak boleh begitu ketat bahwa mereka melumpuhkan organisasi Anda. Selain itu, beban administrasi yang terkait dengan mengelola dan menegakkan kebijakan terlalu ketat organisasi Anda mungkin dikenakan biaya lebih dari dampak bisnis Anda mencoba untuk melindungi. Elemen-elemen dari sistem / isu kebijakan tertentu termasuk tujuan, sasaran, ruang lingkup, peran dan tanggung jawab, kepatuhan, dan pemilik kebijakan dan informasi kontak.

• Purpose mendefinisikan tujuan pengelolaan adalah mengatasi tantangan. Tantangan mungkin termasuk kendala peraturan, perlindungan data yang sangat sensitif, atau penggunaan teknologi yang aman tertentu. Dalam beberapa kasus, mungkin perlu untuk mendefinisikan istilah. Sangat penting bahwa setiap orang dipengaruhi oleh kebijakan tersebut jelas memahami isinya. Akhirnya, jelas menyatakan kondisi di mana kebijakan tersebut berlaku.
• Objectives dapat mencakup tindakan dan konfigurasi dilarang atau dikendalikan. Meskipun mereka umumnya ditetapkan di luar kebijakan, keadaan dan praktek-praktek organisasi mungkin memerlukan menempatkan standar tertentu dan pedoman dalam bagian ini. Dalam kasus apapun, itu di bagian ini bahwa Anda mendefinisikan hasil yang Anda harapkan dari penegakan kebijakan.
• Scope menentukan mana, kapan, bagaimana, dan kepada siapa kebijakan tersebut berlaku.
• Roles and Responsibilities mengidentifikasi unit usaha atau individu yang bertanggung jawab atas berbagai bidang implementasi dan penegakan kebijakan tersebut.
• Compliance sama pentingnya dalam sebuah sistem atau kebijakan tingkat masalah seperti dalam kebijakan program. Anda harus menyatakan dengan jelas konsekuensi yang mungkin tidak sesuai dengan standar dan pedoman yang tercantum dalam Tujuan.
• Policy Owner and Contact Information daftar orang yang bertanggung jawab untuk mengelola kebijakan. Karena pemilik data bertanggung jawab untuk mendefinisikan perlindungan yang diperlukan untuk sistem tertentu, dia mungkin menjadi pilihan yang baik bagi pemilik kebijakan. Pastikan bahwa informasi kontak untuk pemilik kebijakan tetap up to date. Hal ini memungkinkan individu yang bertanggung jawab untuk menerapkan sistem di bawah kebijakan untuk menghubungi pemilik kebijakan untuk klarifikasi pada standar dan pedoman.

       Langkah terakhir dalam pembangunan kebijakan adalah persetujuan oleh manajemen senior. Tanpa persetujuan dan dukungan mereka, kebijakan tidak layak sangat banyak.Salah satu cara untuk memastikan dukungan manajemen adalah melibatkan area yang berhubungan dengan bisnis di setiap kebijakan pembangunan. Ini membantu mencegah persepsi bahwa kebijakan keamanan informasi, dan keamanan informasi secara umum, adalah masalah IS. Hal ini juga memelihara rasa memiliki di seluruh organisasi. Manajer lebih bersedia mendukung pembatasan operasional yang menghasilkan nilai bisnis yang jelas mereka membantu menentukan.

Sumber :

http://www.brighthub.com/computing/smb-security/articles/2259.aspx

http://slaptijack.com/information-systems/security-policies/

http://uw713doc.sco.com/en/SEC_admin/IS_ElementsUWScurPolicy.html

KEBIJAKAN - KEBIJAKAN BIOMETRICS, COMPUTER FORENSICS, COMPUTER SECURITY, CONFORMANCE TESTING, CYBER SECURITY, DATA MINING, HEALTH IT

1. BIOMETRICS

       Biometrics (berasal dari Bahasa Yunani bios yang artinya hidup dan metron yang artinya mengukur) adalah studi tentang metode otomatis untuk mengenali manusia berdasarkan satu atau lebih bagian tubuh manusia atau kelakuan dari manusia itu sendiri yang meiliki keunikan.

       Dalam dunia IT, biometrik relevan dengan teknologi yang digunakan utnuk menganalisa fisik dan kelakuan manusia untuk autentifikasi. Contohnya dalam pengenalan fisik manusia yaitu dengan pengenalan sidik jari, retina, iris, pola dari wajah (facial patterns), tanda tangan dan cara mengetik (typing patterns). Dengan suara adalah kombinasi dari dua yaitu pengenalan fisik dan kelakuannya.

2. COMPUTER FORENSICS

       Computer Forensics yang juga dikenal dengan nama digital forensik, adalah salah satu cabang ilmu forensik yang berkaitan dengan bukti legal yang ditemui pada komputer dan media penyimpanan dijital.

       Tujuan dari komputer forensik adalah untuk menjabarkan keadaan kini dari suatu artefak dijital. Istilah artefak dijital bisa mencakup sebuah sistem komputer, media penyimpanan (seperti flash disk, hard disk, atau CD-ROM), sebuah dokumen elektronik (misalnya sebuah pesan email atau gambar JPEG), atau bahkan sederetan paket yang berpindah dalam jaringan komputer. Penjelasan bisa sekedar "ada informasi apa disini?" sampai serinci "apa urutan peristiwa yang menyebabkan terjadinya situasi kini?".

3. COMPUTER SECURITY

       Computer Security  adalah suatu cabang teknologi yang dikenal dengan nama keamanan Informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan ketersediaan, seperti dijabarkan dalam kebijakan keamanan.

Menurut Garfinkel dan Spafford, ahli dalam computer security, komputer dikatakan aman jika bisa diandalkan dan perangkat lunaknya bekerja sesuai dengan yang diharapkan. Keamanan komputer memiliki 5 tujuan, yaitu:

1. Availability
2. Confidentiality
3. Data Integrity
4. Control
5. Audit

       Keamanan komputer memberikan persyaratan terhadap komputer yang berbeda dari kebanyakan persyaratan keamanan karena sering kali berbentuk pembatasan terhadap apa yang tidak boleh dilakukan komputer. Ini membuat keamanan komputer menjadi lebih menantang karena sudah cukup sulit untuk membuat program komputer melakukan segala apa yang sudah dirancang untuk dilakukan dengan benar. Persyaratan negatif juga sukar untuk dipenuhi dan membutuhkan pengujian mendalam untuk verifikasinya, yang tidak praktis bagi kebanyakan program komputer. Keamanan komputer memberikan strategi teknis untuk mengubah persyaratan negatif menjadi aturan positif yang dapat ditegakkan.

       Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain adalah dengan membatasi akses fisik terhadap komputer, menerapkan mekanisme pada Hardware dan OS untuk keamanan komputer, serta membuat strategi pemrograman untuk menghasilkan program komputer yang dapat diandalkan.

4. CONFORMANCE TESTING

       Kesesuaian pengujian atau tipe pengujian untuk menentukan apakah suatu produk atau sistem memenuhi beberapa standar yang ditetapkan yang telah dikembangkan untuk efisiensi atau interoperabilitas. Untuk membantu dalam hal ini, prosedur tes banyak dan setup uji telah dikembangkan, baik oleh pengelola standar atau organisasi-organisasi eksternal, khusus untuk menguji kesesuaian dengan standar.

       Kesesuaian pengujian sering dilakukan oleh organisasi eksternal, yang kadang-kadang badan standar sendiri, untuk memberikan jaminan yang lebih besar kepatuhan. Produk diuji sedemikian rupa kemudian diiklankan sebagai disertifikasi oleh organisasi eksternal memenuhi standar. Penyedia layanan, produsen peralatan, dan pemasok peralatan mengandalkan data ini untuk memastikan Quality of Service (QoS) melalui proses penyesuaian.

5. CYBER SECURITY

       Keamanan Cyber adalah standar keamanan yang memungkinkan organisasi untuk praktik teknik keamanan aman untuk meminimalkan jumlah serangan keamanan cyber sukses. Panduan ini memberikan garis besar umum serta teknik spesifik untuk menerapkan keamanan cyber. Untuk standar spesifik tertentu, cyber keamanan sertifikasi oleh lembaga terakreditasi dapat diperoleh. Ada banyak keuntungan untuk mendapatkan sertifikasi termasuk kemampuan untuk mendapatkan jaminan keamanan cyber.

       Keamanan Cyber telah diciptakan baru-baru ini karena informasi sensitif sekarang sering disimpan di komputer yang terkait ke Internet. Juga banyak tugas yang dulu dilakukan dengan tangan dilakukan oleh komputer, sehingga ada kebutuhan untuk Informasi Assurance (IA) dan keamanan. Cyber keamanan penting dalam rangka untuk mencegah pencurian identitas. Bisnis juga memiliki kebutuhan untuk keamanan cyber karena mereka butuhkan untuk melindungi rahasia perdagangan mereka, informasi kepemilikan, dan informasi pribadi (PII) dari pelanggan atau karyawan. Pemerintah juga memiliki kebutuhan untuk mengamankan informasinya. Hal ini sangat penting karena beberapa aksi terorisme yang diatur dan difasilitasi dengan menggunakan Internet. (Kutipan diperlukan) Salah satu standar keamanan yang paling banyak digunakan saat ini adalah ISO / IEC 27002 yang dimulai pada tahun 1995. Standar ini terdiri dari dua bagian dasar. BS 7799 bagian 1 dan BS 7799 part 2 baik yang diciptakan oleh (British Standards Institute) BSI. Baru-baru ini standar ini menjadi ISO 27001. Lembaga Nasional Standar dan Teknologi (NIST) telah menerbitkan beberapa publikasi khusus menangani keamanan cyber. Tiga dari kertas khusus sangat relevan dengan cyber keamanan: yang 800-12 berjudul "Buku Pegangan Keamanan Komputer;" 800-14 berjudul "Prinsip yang berlaku umum dan Praktik Mengamankan Teknologi Informasi;" dan 800-26 berjudul "Keamanan Penilaian Diri Panduan untuk Sistem Teknologi Informasi ". Masyarakat Internasional Otomasi (ISA) mengembangkan standar keamanan cyber untuk sistem kontrol otomatisasi industri (IACS) yang berlaku luas di seluruh industri manufaktur. Rangkaian standar keamanan cyber ISA industri dikenal sebagai ISA-99 dan sedang diperluas untuk menangani bidang-bidang baru yang memprihatinkan.

6. DATA MINING

       Data Mining (DM) adalah salah satu bidang yang berkembang pesat karena besarnya kebutuhan akan nilai tambah dari database skala besar yang makin banyak terakumulasi sejalan dengan pertumbuhan teknologi informasi. Definisi umum dari DM itu sendiri adalah serangkaian proses untuk menggali nilai tambah berupa pengetahuan yang selama ini tidak diketahui secara manual dari suatu kumpulan data. Dalam review ini, penulis mencoba merangkum perkembangan terakhir dari teknik-teknik DM beserta implikasinya di dunia bisnis.

Data Mining adalah kegiatan untuk menemukan informasi atau pengetahuan yang berguna secara otomatis dari data yang jumlahnya besar. Data Miningmerupakan salah satu proses dari keseluruhan proses yang ada pada Knowledge Discovery in Databases (KDD). KDD sendiri merupakan sekumpulan proses untuk menemukan pengetahuan yang bermanfaat dari data. KDD terdiri dari serangkaian langkah perubahan, termasuk data preprocessing dan juga post processing. Data preprocessing merupakan langkah untuk mengubah data mentah menjadi format yang sesuai untuk tahap analisis berikutnya.

Proses Data Mining

Disini akan diuraikan tahap-tahap DM dan pengertian data warehouse.

Tahap-Tahap Data Mining :

       Karena DM adalah suatu rangkaian proses, DM dapat dibagi menjadi beberapa tahap yang diilustrasikan di Gambar bawah ini :

1. Pembersihan data (untuk membuang data yang tidak konsisten dan noise)

2. Integrasi data (penggabungan data dari beberapa sumber)

3. Transformasi data (data diubah menjadi bentuk yang sesuai untuk di-mining)

4. Aplikasi teknik DM

5. Evaluasi pola yang ditemukan (untuk menemukan yang menarik/bernilai)

6. Presentasi pengetahuan (dengan teknik visualisasi)

7.HEALTH IT

        Health IT (HIT) menyediakan kerangka kerja untuk menggambarkan pengelolaan yang komprehensif informasi kesehatan dan pertukaran informasi yang aman yang antara konsumen, penyedia, badan pemerintah dan kualitas, dan asuransi. Health IT secara umum semakin dipandang sebagai alat yang paling menjanjikan untuk meningkatkan kualitas keselamatan, secara keseluruhan dan efisiensi dari sistem pelayanan kesehatan.

Beberapa manfaat dari HIT yaitu :

• Meningkatkan kualitas kesehatan;
• Mencegah medis kesalahan;
• Mengurangi biaya perawatan kesehatan;
• Meningkatkan efisiensi administrasi
• Penurunan dokumen, dan
• Memperluas akses pada perawatan yang terjangkau.

Kesehatan Interoperable TI akan meningkatkan perawatan pasien individual, tetapi juga akan membawa banyak manfaat kesehatan publik termasuk:

• Deteksi dini wabah penyakit menular di seluruh negeri;
• Peningkatan pelacakan pengelolaan penyakit kronis, dan
• Evaluasi perawatan kesehatan berdasarkan nilai diaktifkan oleh kumpulan de-harga diidentifikasi dan informasi yang berkualitas yang dapat dibandingkan.

Sumber artikel :

http://en.wikipedia.org/wiki/Biometrics

http://en.wikipedia.org/wiki/Computer_forensics

http://en.wikipedia.org/wiki/Computer_security

http://en.wikipedia.org/wiki/Conformance_testing

http://en.wikipedia.org/wiki/Cyber_security_standards

http://www.ilmukomputer.org/wp-content/uploads/2006/08/iko-datamining.zip

http://ilmukomputer.org/category/datamining/

http://en.wikipedia.org/wiki/Health_information_technology

National Institute of Standards and Technology

   National Institute of Standards and Technology - NIST (Badan Nasional Standar dan Teknologi Amerika Serikat) yang dulunya dikenal sebagai The National Bureau of Standards - NBS (Biro Standar Nasional) adalah sebuah badan non-regulator dari bagian Administrasi Teknologi dari Departemen Perdagangan Amerika Serikat. Misi dari badan ini adalah untk membuat dan mendorong pengukuran, standar, dan teknologi untuk meningkatkan produktivitas, mendukung perdagangan, dan memperbaiki kualitas hidup semua orang.

          Sebagai bagian dari misi ini, ilmuwan-ilmuwan dan insinyur-insinyur NIST secara terus menerus mengembangkan ilmu pengukuran, yang memungkinkan rekayasa dan manufakturing ultra-tepat yang diperlukan oleh teknologi maju zaman sekarang. Mereka pun terlibat secara langsung di dalam pembuatan standar dan pemeriksaan yang dilakukan oleh sektor privat dan badan-badan pemerintah. NIST dulunya dinamakan National Bureau of Standards - NBS (Biro Standar Nasional), sebuah nama yang diberikan dari tahun 1901 sampai 1988. Inovasi dan kemajuan teknologi di Amerika Serikat bergantung pada keahlian dan kemampuan unik dari NIST di empat bidang utama: bioteknologi, nanoteknologi, teknologi informasi, dan manufakturing modern.

Sumber : http://en.wikipedia.org/wiki/National_Institute_of_Standards_and_Technology