Rangkuman

● CobiT: Metode audit untuk semua proses IT
● ITSEC, CC: Pendekatan evaluasi yang sistematik
● BS7799, BSI:
– Evaluasi yang detail dan digunakan sebagai dokumentasi “bestpractice”
– Detailed audit plans, checklists, tools for technical audits (operating
systems, LANs, etc.)
● IT Forensik:
– Ilmu yang berhubungan dengan pengumpulan fakta dan bukti
pelanggaran keamanan sistem informasi serta validasinya menurut
metode yang digunakan (misalnya metode sebab-akibat)
– Memerlukan keahlian dibidang IT ( termasuk diantaranya hacking) –
dan alat bantu (tools) baik hardware maupun software
● Auditor dan Dokter-komputer-forensik: penuh dengan
tanggungjawab dan harus independen, diasses secara formal

Forensik

Prinsip:
– Forensik bukan proses Hacking
– Data yang didapat harus dijaga jgn
berubah
– Membuat image dari HD / Floppy /
USB-Stick / Memory-dump adalah
prioritas tanpa merubah isi, kadang
digunakan hardware khusus
– Image tsb yang diotak-atik
(hacking) dan dianalisis – bukan
yang asli
– Data yang sudah terhapus
membutuhkan tools khusus untuk
merekonstruksi
– Pencarian bukti dengan: tools
pencarian teks khusus, atau
mencari satu persatu dalam image

19 Langkah Umum Audit TSI

● Kontrol lingkungan:
1. Apakah kebijakan keamanan
(security policy) memadai dan
efektif ?
2. Jika data dipegang oleh
vendor, periksa laporan ttg
kebijakan dan prosedural yg
terikini dr external auditor
3. Jika sistem dibeli dari vendor,
periksa kestabilan finansial
4.Memeriksa persetujuan lisen
(license agreement)
● Kontrol keamanan fisik
5. Periksa apakah keamanan fisik
perangkat keras dan
penyimpanan data memadai
6. Periksa apakah backup
administrator keamanan sudah
memadai (trained,tested)
7. Periksa apakah rencana
kelanjutan bisnis memadai dan
efektif
8. Periksa apakah asuransi
perangkat-keras, OS, aplikasi,
dan data memadai
● Kontrol keamanan logikal
9. Periksa apakah password
memadai dan perubahannya
dilakukan reguler
10.Apakah administrator
keamanan memprint akses
kontrol setiap user
11.Memeriksa dan
mendokumentasikan parameter
keamanan default
12.Menguji fungsionalitas sistem
keamanan (password, suspend
userID, etc)
13.Memeriksa apakah password
file / database disimpan dalam
bentuk tersandi dan tidak dapat
dibuka oleh pengguna umum
14.Memeriksa apakah data
sensitif tersandi dalam setiap
phase dalam prosesnya
15.Memeriksa apakah prosedur
memeriksa dan menganalisa
log memadai
16.Memeriksa apakah akses
kontrol remote (dari tempat
yang lain) memadai: (VPN,
CryptoCard, SecureID, etc)
● Menguji Kontrol Operasi
17.Memeriksa apakah tugas dan
job description memadai
dalam semua tugas dalam
operasi tsb
18.Memeriksa apakah ada
problem yang signifikan
19.Memeriksa apakah kontrol
yang menjamin fungsionalitas
sistem informasi telah
memadai

Source : Staffisite.gunadarma.ac.id

ITSEC, Common Criteria

● ITSEC: IT Security Evaluation
Criteria
● Developed by UK, Germany,
France, Netherl. and based primarily
on USA TCSEC (Orange Book)
● Based on systematic, documented
approach for security evaluations of
systems & products

● Common Criteria (CC)
● Developed by USA, EC: based
on ITSEC
● ISO International Standard
● Evaluation steps:
 Definition of functionality
 Assurance: confidence in
functionality

Source : Staffsite.gunadama.ac.id