KAJIAN ISO/IEC 17799:2005 SEBAGAI KERANGKA DASAR PENGENDALIAN KEAMANAN INFORMASI Sekolah Teknik Elektro dan Informatika, Institut Teknologi Bandung
Harry Ryana, Budi Rahardjo
[email protected],
[email protected] Abstrak ISO:IEC 17799:2005 merupakan standar keamaman informasi yang digunakan di berbagai organisasi di seluruh dunia. Implementasi dari standar ini sangat beragam di berbagai macam ukuran dan jenis organisasi. ISO 17799:2005 menyediakan 133 kendali keamanan informasi yang dapat dipilih sesuai dengan kebutuhan organisasi. Pada saat ini, terdapat 3 organisasi di Indonesia yang telah tersertifikasi ISO 27001 yang merupakan sertifikasi keamanan informasi. Thesis ini menganalisa 133 kendali pada ISO 17799:2005 untuk dianalisa dan direkomendasikan sebagai minimum implementasi untuk keamanan informasi. Metode yang digunakan adalah studi, analisis literatur dan observasi lapangan. Pemilihan kendali dilakukan berdasarkan analisis kondisi keamanan informasi dan implementasi kendali ISO 17799:2005, analisis trend keamanan informasi global serta informasi dari berbagai forum keamanan informasi. Berdasarkan analisis yang dilakukan diperoleh 54 dari 133 kendali sangat direkomendasikan sebagai minimum implementasi keamanan informasi. Kata kunci : keamanan informasi, integritas, ketersediaan, kerahasiaan. Pendahuluan Informasi adalah aset yang mempunyai nilai bagi organisasi seperti aset usaha berharga lainnya dan harus dilindungi. Keamanan informasi melindungi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimumkan laba atas investasi dan kesempatan usaha. ISO/IEC 17799:2005 terdiri dari 11 wilayah keamanan dan mencari kesesuaian keamanan pada level manajemen, level organisasi, level legal, level operasional dan level teknis. ISO/IEC 17799:2005 juga mengikutsertakan 39 tujuan kontrol yang berisi pernyataan umum mengenai tujuan keamanan dari 11 wilayah keamanan. ISO 17799:2000 mengalami perubahan pada tahun 2005 dan secara penomeran diubah menjadi ISO 17799:2005. ISO/IEC 17799:2005 merupakan kebijakan yang fleksibel dan dapat digunakan pada berbagai macam organisasi. Organisasi sebaiknya menentukan tujuan utama keamanan mereka dan menentukan penggunaan standar yang tepat untuk memenuhi tujuan mereka. Organisasi juga harus mempertimbangkan cara untuk mengimplementasikan ISO/IEC
17799:2005 secara efektif. Walaupun fleksibel, ISO/IEC 17799:2005 adalah standar yang kompleks dan menyentuh berbagai area keamanan yang berbeda. Pada saat penelitian ini ditulis, hanya beberapa organisasi di Indonesia yang telah mendapatkan sertifikasi ISO 27001 yang merupakan sertifikasi terhadap penerapan ISO 17799:2005. Penelitian ini bertujuan untuk mengkaji kendali-kendali dalam standar keamanan informasi ISO/IEC 17799:2005 dan menghasilkan satu rekomendasi pedoman dasar pengendalian keamanan informasi yang sesuai dengan kondisi di Indonesia. Proses Sistem Manajemen Informasi (SMKI)
Keamanan
Dalam proses Sistem Manajemen Keamanan Informasi digunakan metoda PDCA (Plan-DoCheck-Act) untuk pendekatan proses penetapan, implementasi, operasi, pengawasan, kaji ulang dan peningkatan dari SMKI sebuah organisasi. Sebuah organisasi harus dapat mengidentifikasi dan mangatur semua aktifitas agar dapat berfungsi secara efektif. Proses PDCA dapat dilihat pada Gambar 1.
1
terjadi. Rencana penanganan risiko. Pada tahap ini, harus ditentukan penanganan risiko yang dihasilkan pada dua proses di atas. Dari tiap risiko harus ditentukan apakah risiko tersebut dapat diterima atau memerlukan penanganan lebih lanjut.
Pemilihan Kendali-kendali ISO 17799:2005 Gambar 1. Metoda Plan-Do-Check-Act (PDCA).
Proses-proses yang terjadi dalam tiap tahapan metoda PDCA dapat dijabarkan sebagai berikut. Tahap Plan (perancangan SMKI). Dalam tahapan Plan, proses-proses yang terjadi adalah menetapkan kebijakan SMKI, tujuan, proses dan prosedur yang berhubungan dengan manajemen risiko. Tahap Do (pengimplementasian dan dan pengoperasian SMKI). Pada tahap ini, kebijakan SMKI, kontrol, prosedur dan proses diimplementasikan dan dioperasikan. Tahap Check (pengawasan dan kaji ulang SMKI). Kebijakan dan tujuan SMKI diawasi dan apabila memungkinkan dilakukan pengukuran sehingga didapatkan tingkat keefektifitasan dari SMKI yang telah diimplementasikan. Hasil dari pengawasan ini dilaporkan kepada manajemen untuk dikaji ulang. Tahap Act (peningkatan SMKI). Pada tahap ini dilakukan langkah-langkah untuk mengkoreksi SMKI dan dilakukan langkah-langkah preventif berdasarkan hasil dari audit SMKI internal dan kaji ulang manajemen untuk mencapai peningkatan kualitas dari SMKI. Dalam tahapan Plan, organisasi harus melakukan risk assessment. Proses risk assesment terbagi dalam 3 tahapan, sebagai berikut. Identifikasi risiko. Pada tahap ini semua aset, ancaman dan kerawanan diidentifikasi. Aset-aset tersebut dapat berupa bangunan dan isinya, peralatan IT dan jaringan, data/informasi, infrastruktur, aplikasi perangkat lunak dan lain-lain. Sedangkan ancaman dapat berupa bencana alam, kegagalan perangkat, hacker, teroris, pencurian dan lain-lain. Evaluasi risiko. Setelah aset diidentifikasi, harus diperhitungkan dampak yang diakibatkan apabila aset tersebut “diserang” dan tingkat risiko yang masih dapat diterima akibat “serangan” tersebut. Selain itu juga harus diperhitungkan seberapa sering “serangan” tersebut
Pada umumnya penentuan kendali-kendali yang diimplementasikan ditentukan berdasarkan parameter-parameter sebagai berikut: ancaman, kerawanan, tingkat efektifitas kendali yang ada, tingkat kemungkinan terjadinya ancaman, dampak dari ancaman terhadap organisasi, tingkat risiko yang dapat diterima organisasi.
Gambar 2. Diagram Analisa Kendali ISO 17799:2005. Ancaman dapat didefinisikan sebagai kondisi atau kejadian yang memiliki kemampuan untuk menyebabkan perubahan yang tidak diinginkan terhadap aset informasi. Sumber dari ancaman dapat berasal dari manusia ataupun alam. Daftar ancaman terhadap keamanan informasi dapat dilihat pada referensi-referensi seperti NIST SP 800-12 dan NIST SP 800-30, ISO/IEC 13355 dan BITS. Selain itu berbagai macam survei oleh beberapa perusahaan internasional seperti Ernst and Young dan Price Water Cooper dapat juga dijadikan referensi untuk menunjukkan ancamanancaman yang merupakan ancaman umum yang terjadi di berbagai perusahaan di dunia. Kerawanan dapat didefinisikan sebagai kelemahan yang dapat diekspolitasi oleh ancaman terkait. Kerawanan dapat dibagi menjadi kerawasan yang bersifat teknis dan kerawan yang bersifat non-teknis. Tingkat efektifitas kendali yang ada diperlukan untuk memastikan risiko yang mungkin terjadi
telah diantisipasi. Namun apabila kendali yang ada tidak mencukupi, maka perlu ditentukan kendali-kendali tambahan untuk memastikan risiko dari ancaman dapat ditangani. Tingkat kemungkinan terjadinya ancaman adalah salah satu komponen penting dalam menentukan kendali-kendali yang diperlukan. Selain itu perlu diperhitungkan dampak terhadap organisasi apabila ancaman tersebut terjadi dan menimpa aset informasi organisasi. Hubungan antara parameter-parameter di atas dapat digambarkan sebagai berikut.
Tabel 2. Contoh penilaian tingkat risiko. Ancaman A B C D E
Nilai Aset 3 3 1 2 2
Tingkat penerapan Direkomendasikan
Gambar 3. Hubungan antara parameter keamanan informaso
Dampak
3
3
4
5
6
2
2
3
4
5
1
1
2
3
4
0
0
1
2
3
0 1 2 3 Tingkat Kemungkinan
Berdasarkan Tabel 3.1, tingkat risiko dapat dibagi menjadi 3, yaitu: Risiko rendah (0-1), Risiko medium (2-3), Risiko tinggi (4-6). Untuk dapat menentukan tingkat risiko digunakan formula sebagai berikut: Tr = Nv x Tk (3.1) Rr = Tr – Ek (3.2) Keterangan: Tr = Tingkat risiko awal (inherent risk 0-9) Nv = Nilai asset informasi (asset value 0-3) Tk = Tingkat kemungkinan (incident probability 0-3) Ek = Efektifitas kendali (control effectiveness 0-9) Rr = Risiko akhir (residual risk -9 s/d 9)
Tingkat Kendali 4 3 2 3 1
Risiko Akhir 2 0 0 3 3
Tabel 3. Peringkat kendali-kendali ISO 17799:2005
Kendali Utama
Tabel 1. Tingkat risiko berdasarkan dampak dan kemungkinan
Tingkat risiko 6 3 2 6 4
Dengan menggunakan parameter-parameter masukan di atas dilakukan pemeringkatan terhadap kendali-kendali ISO 17799:2005. Tabel peringkat dapat dilihat pada Tabel 3.3.
Kategori
Lebih lanjut hubungan antara tingkat risiko, kerawanan dan dampak terlihat pada tabel 1.
Tingkat Kemungkinan 2 1 2 3 2
Kendali tambahan
Disesuaikan
Keterangan Kendali-kendali dengan kategori Kendali Utama sangat direkomendasikan untuk diimplementasikan. Kendali-kendali dengan peringkat ini merupakan kendali fundamental yang menjadi dasar penerapan Keamanan Informasi dan merupakan kendali-kendali yang umum diterapkan. Kendali-kendali dengan kategori kendali tambahan adalah kendali-kendali yang hanya diimplementasikan untuk meningkatkan keamanan informasi.
Survei Implementasi ISO 17799:2005 di Indonesia Berdasarkan penelitian terhadap beberapa perusahaan dan organisasi pemerintahan di Indonesia yang telah menerapkan ISO 17799:2005, kendali-kendali yang digunakan bervariasi. Pemilihan kendali, umumnya didasarkan pada hal-hal berikut, yaitu: berdasarkan Laporan Risk Assesment, diwajibkan oleh peraturan, memenuhi Best Practice. Berdasarkan penelitian, secara kuantitatif penerapan kendali ISO 17799:2005 sangat bervariasi yang dapat dilihat pada tabel berikut. Tabel 4. Implementasi ISO 17799:2005 di beberapa perusahaan di Indonesia. No 1. 2. 3. 4. 5.
Jenis Perusahaan Bank Nasional Perusahaan Telekomunikasi Seluler Nasional Badan Usaha Milik Negara Bank Nasional Perusahaan Telekomunikasi Nasional
Jumlah Kendali 133 63 80 72 133
Berdasarkan analisa terhadap kendali-kendali pada ISO 17799:2005, diketahui bahwa terdapat 54 kendali utama untuk mengimplementasi Keamanan Informasi. Kendali-kendali utama tersebut adalah sebagai berikut. 5.1.1 Dokumen kebijakan keamanan informasi 6.1.1 Komitmen Manajemen pada keamanan informasi 6.1.8 Review Keamanan Informasi oleh pihak independen 6.2.1 Identifikasi risiko terkait pihak luar 7.1.1 Inventarisasi Aset 7.1.3 Penggunaan aset yang dapat diterima 7.2.1 Panduan Klasifikasi 8.1.2 Screening 8.1.3 Batasan dan persyaratan perjanjian kerja 8.2.1 Tanggung jawab manajemen 8.2.2 Kewaspadaan, pendidikan dan pelatihan keamanan informasi. 8.3.1 Tanggung jawab pemberhentian 8.3.2 Pengembalian Aset 8.3.3 Penghapusan hak akses 9.1.1 Lingkup keamanan fisik 9.1.2 Kontrol terhadap akses masuk fisik. 9.1.4 Perlindungan terhadap ancaman eksternal dan ancaman lingkungan 9.2.1 Penempatan dan perlindungan peralatan 9.2.2 Perangkat penunjang 9.2.3 Keamanan pengkabelan 9.2.5 Keamanan untuk perangkat di luar tempat kerja 10.1.1 Prosedur operasi yang terdokumentasi 10.1.2 Manajemen perubahan 10.1.3 Pemisahan tugas 10.1.4 Pemisahan fasilitas pengembangan, pengujian dan operasional. 10.2.1 Penghantaran layanan 10.2.3 Pengaturan perubahan layanan oleh pihak ketiga. 10.3.1 Manajemen kapasitas 10.3.2 Persetujuan sistem 10.4.1 Perlindungan terhadap malicious code 10.5.1 Back-up informasi 10.6.2 Keamanan layanan jaringan 10.7.1 Manajemen media portabel 10.7.3 Prosedur penanganan informasi 10.8.3 Media fisik dalam pemindahan 10.9.3 Informasi yang tersedia untuk publik 10.10.1 Audit logging 10.10.4 Log administrator dan operator 11.1.1 Kebijakan pengendalian hak akses
11.2.1 Registrasi pengguna 11.4.1 Kebijakan penggunaan layanan jaringan 11.4.5. Pemisahan dalam jaringan. 11.7.1 Komputasi dan komunikasi bergerak. 12.1.1 Analisa persyaratan keamanan dan spesifikasi. 12.3.1. Kebijakan penggunaan kendali kriptografi. 12.3.2. Manajemen kunci 12.4.1. Pengendalian perangkat lunak operasional. 12.6.1 Pengendalian kerawanan teknis. 13.1.1. Pelaporan kejadian keamanan informasi. 13.2.1. Tanggung jawab dan prosedur. 14.1.1 Memasukkan keamanan informasi dalam proses manajemen keberlangsungan bisnis. 15.1.1 Identifikasi peraturan yang sesuai 15.1.2 Hak atas kekayaan intelektual 15.3.1 Kendali audit sistem informasi
Studi Kasus Implementasi ISO 17799:2005 Studi kasus dilakukan untuk menilai sejauh mana kendali-kendali terpilih dapat mengurangi tingkat risiko terhadap keamanan informasi. Asumsi-asumsi Profil Model Obyek Penelitian, sebagai berikut. 1. Nama Model : Model perusahaan ini diberi nama PT. AAA. 2. Bisnis Utama: PT. AAA ini, diasumsikan mempunyai bisnis utama di bidang konsultasi Teknologi Informasi. 3. Visi : Menjadi perusahaan konsultan Tata Kelola Teknologi Informasi terdepan di Indonesia. 4. Jumlah kantor cabang : PT. AAA mempunyai 1 kantor pusat dan 2 perwakilan kantor cabang. 5. Jumlah karyawan : PT. AAA diasumsikan memiliki jumlah total karyawan sebanyak 40 orang. 6. Aset informasi: hardware, software, dokumen proyek, dokumen administrasi, sumber daya manusia, perangkat penunjang, Dengan mengimplementasi kendali-kendali keamanan informasi, maka diperoleh tingkat risiko akhir keamanan informasi terhadap PT. AAA, sebagai berikut.
Tabel 5.Penilaian risiko PT. AAP. Ancaman Kurangnya kepedulian manajemen terhadap keamanan informasi Kurangnya pelatihan dan kewaspadaan dari karyawan Virus, spyware dan trojan. Bencana alam seperti banjir, gempa bumi dan kebakaran. Kebocoran data milik klien. Kebocoran rahasia perusahaan. Aplikasi bisnis yang tidak sesuai dan terdapat bug. Akses yang tidak terotorisasi terhadap lingkungan kerja. Kerusakan terhadap fasilitas pengolahan informasi (server, PC dan laptop). Kerusakan perangkat jaringan dan kebocoran melalui jaringan. Layanan pihak ketiga yang tidak sesuai dengan perjanjian
DAFTAR PUSTAKA
Risiko Awal Tinggi
Risiko Akhir Medium
Tinggi
Medium
Tinggi Medium
Medium Rendah
Tinggi Tinggi Medium
Rendah Rendah Rendah
Medium
Rendah
Tinggi
Rendah
Tinggi
Rendah
Medium
Rendah
Kesimpulan dan Saran Kesimpulan yang diperoleh dari penelitian ini adalah sebagai berikut. Berdasarkan hasil observasi pada beberapa perusahaan di Indonesia, penetapan kendali-kendali keamanan informasi belum mengacu pada penilaian risiko yang terstruktur. Pada beberapa perusahaan, seluruh 133 kendali pada ISO:IEC 17799:2005 dipilih dan ditetapkan dalam dokumen kebijakan keamanan informasi. Berdasarkan analisa terhadap kendalikendali pada ISO/IEC 17799:2005 terdapat duplikasi kendali dan kendali-kendali dengan risiko yang dapat dimitigasi oleh kendali lainnya. Dari 133 kendali pada ISO 17799:2005, 54 kendali dapat dijadikan sebagai implementasi minimum untuk keamanan informasi. Berdasarkan studi kasus pada PT. AAA, kendali-kendali yang dipilih berdasarkan analisa kendali, dapat mengurangi tingkat risiko yang dihadapi perusahaan. Sejumlah saran dapat diberikan berdasarkan hasil penelitian yang telah dilakukan adalah sebagai berikut. Hasil penelitian ini perlu dikembangkan lebih lanjut dengan mengacu pada data statistik insiden keamanan di berbagai perusahaan di Indonesia. Hasil penelitian ini dapat digunakan sebagai rekomendasi acuan dasar implementasi keamanan informasi di berbagai organisasi di Indonesia.
[1] __________, Information Security Management Understanding ISO 17799: A benchmark for building organizational information security, Lucent Technologies, 2004 [2] _______________, Teknologi Informasi – Panduan Manajemen Keamanan Informasi, Standar Nasional Indonesia (SNI), 2005. [3] Anderson, Frederick M., ISO/IEC 17799 Compliant, Department of Computer and Systems Sciences Stockholm University & Royal Institute of Technology, http://www.dsv.su.se/research/seclab/page s/pdf-files/2004-x-227.pdf, 17 Februari 2006. [4] Bjork, Fredrik J., Discovering Information Security Management, Department of Computer and Systems Sciences Stockholm University & Royal Institute of Technology, November 2005, http://www.dsv.su.se/research/seclab/page s/pdf-files/05-010.pdf, 17 Februari 2006. [5] Carlson, Tom, Information Security Management: Understanding ISO 17799, http://www.netbotz.com/library/ISO_1779 9.pdf, 20 Desember 2005. [6] Demetis, Dionis, An Analysis of standards, certification, and their connections and a study of the international success of BS 17799, http://www.geocities.com/demetis2002/ES SAY.pdf, 17 Februari 2006. [7] Humpreys, Ted; ISO ISMS Standard, ETSI Securtity Workshop. 2006. [8] Layton, Timothy P, Information Security : Design, Implementation, Measurement and Compliance, Auerbach Publications, 2007. [9] Rahardjo, Budi, Keamanan Sistem Informasi Berbasis Internet, PT Insan Indonesia & PT INDOCISC, 2005 [10] Saint-Germain, Rene, Information Security Management Best Practice Based on ISO/IEC 17799, The Information Management Journal, July/August 2005, 61-66, 2005. ; http://www.sis.pitt.edu/~dtipper/2825/ISO _Article.pdf, 3 Desember 2005. [11] Thiagrajan, Val, Information Security Management BS 7799:2002 Audit Checklist, http://www.sans.org/score/checklists/ISO_ 17799_checklist.pdf, 21 Desember 2005.
STUDY OF ISO/IEC 17799:2005 AS INFORMATION SECURITY CONTROL BASELINE School of Electrical Engineering and Informatics, Bandung Institute of Technology
Harry Ryana, Budi Rahardjo
[email protected],
[email protected] Abstract ISO:IEC 17799:2005 is an information security standard that has been implemented in various organizations around the world. This standard is adopted by organizations in different sizes and core business. ISO 17799:2005 provide 133 information security controls that organization can select based on their requirement. At the moment, there are three organizations in Indonesia that has been certified for ISO 27001 which is Certification of Information Security. This thesis presents an analysis of 133 controls of ISO 17799:2005 to be selected and recommended as minimum implementation of information security. The methods used are literature study, literature analysis and field observation. Selecting control of ISO 17799:2005 is conducted by analyzing information security condition, implementation of ISO 17799:2005 in few organizations, analysis information security global trend and also discussing with information security expert in several information security forums. Based on the analysis, there are 54 from 133 controls that highly recommend as minimum controls for implementation of information security. Keyword: information security, integrity, avilability, confidentiality, standard. Introduction Information is an asset that has value for organization like any other asset and should be protected. Information security protects information from threat to ensure business continuity, minimize organization loss and maximize organization profit from investment and business opportunity. ISO/IEC 17799:2005 consists of 11 security domain and seeks for security compliance at management, organization, legal, operational and technical domain. ISO/IEC 17799:2005 also include 39 control objectives that state main objective from 11 security domain. ISO 17799:2000 has been revised at 2005 and changed into ISO/IEC 17799:2005. ISO 17799:2005 is a flexible security standard that can be implemented in any kind of organization. Organization should state their main security purpose and decide the right standard to fulfill their objectives. Organization should also consider the right implementation methodology to implement
ISO/IEC 17799:2005 effectively. Although it is flexible, ISO 17799:2005 is a complex standard and consist of different information security domain. When this research conducted, there are only few organization that has ISO 27001 certification which is ISO 17799:2005 implementation certification. The purpose of this research is to analysis ISO/IEC 17799:2005 controls and to produce information security control baseline that suite with Indonesia conditions. Information Security Management System (ISMS) Process PDCA methods are used in ISMS process as an approach for plan, implement, operate, monitor, review and improve ISMS of an organization. Organization should identify and manage all activities so it can work effectively. PDCA process is described at picture 1.
1
threat possibility threat impact, Organization risk tolerance.
Picture 1. Plan-Do-Check-Act (PDCA).
PDCA processes can be described as follow. Plan. On plan stage, process that happen is define ISMS policy, objectives, process and all procedures that relates to risk management. Do. At this stage, ISMS policy, control, procedure and process is implemented and operated. Check. ISMS policy and objective should be monitored and where it is possible those controls should be measure their effectiveness. The result of this monitoring should be reported to management for review. Act. At this stage, necessary steps to correct ISMS and preventive should be deployed based on internal ISMS audit and management review to improve ISMS quality. At plan stage, organization should conduct risk assessment. Risk assessment can be dividing into three stages, which is: Risk identification. At this stage, asset, threat and vulnerabilities are identifying. Assets can be in form of building and property inside of it, IT utilities and network device, data/information, infrastructure, software, etc. Threat is nature disaster, utility failure, hacker, terrorist, vandalism, etc. Risk evaluation. After asset has been identify, the impact and risk tolerance if asset being compromise should be calculated. We also have to measure frequency of the attack. Risk mitigate plan. At this stage, we should decide how to manage risk from the process above. From each risk, we must decide whether it’s acceptable or require further treatment. ISO 17799:2005 Control Selection Common parameters that are use to select security controls are: threat, vulnerability, control effectiveness,
Picture 2. ISO 17799:2005 Control Analyzing Methods Threat can be define as condition or event that has the ability to create undesired effect to information asset. Threats can come from human and nature. List of threat can be seen in many references, such as NIST SP 800-12,NIST SP 800-30, ISO/IEC 13355 and BITS. Beside that, few surveys by international organization can be used to identify common threat that happens in organization all over the world. Vulnerabilities can be defined as weaknesses that could be exploited by related threat. Vulnerabilities can be divided into technical vulnerabilities and non-technical vulnerabilities. Control effectiveness is needed to ensure that all risk has been anticipated. If the exist control is not enough, then we should implement additional control to ensure risk is manage. Threat possibility is important component to decide which control is needed. Beside that, impact of threat to organization should be measure. The relation between those parameters is describing at picture 3.
Picture 3. Information security parameters relation. Furthermore, the relation between impact and possibility can be seen in Table 1.
Impact
Table 1. Risk level based on their impact and possibility. 3
3
4
5
6
2
2
3
4
5
1
1
2
3
4
0
0
1
2
3
0
1 2 Possibility
Based on research, implementation ISO 17799:2005 can be seen at table 4. Table 4. Implementation of ISO 17799:2005 in Indonesia.
3
Based on table 1, risk level can be divide into three, which is: low risk, (0-1), medium risk (2-3), high risk (4-6). Risk level can be measure using the following formulas. Tr = Nv x Tk (3.1) Rr = Tr – Ek (3.2) Note: Tr = inherent risk ( 0-9) Nv = asset value (0-3) Tk = incident probability ( 0-3) Ek = control effectiveness (0-9) Rr = residual risk (-9 s/d 9)
Table 2. Risk Assessment example. Threat
Nv
Tk
Tr
Ek
Rr
A B C D E
3 3 1 2 2
2 1 2 3 2
6 3 2 6 4
4 3 2 3 1
2 0 0 3 3
Using the above parameters, ISO 17799:2005 could be categorized as follow. Table 3. ISO 17799:2005 Category Category Main Control
Additional Control
Implementation Level Recommended
As necessary
Risk Assessment report, obligate by regulation, Fulfill best practice.
Notes Main control is highly recommended to be implemented. These controls are fundamental and common Information Security control. Additional control will be implemented to improve information security.
ISO 17799:2005 Implementation in Indonesia Survey Based on observation, implementation of ISO 17799:2005 in few organizations is very varies. Control selection at this company is based on:
No 1. 2. 3. 4. 5.
Organization Type National Bank National cellular company State-own company National Bank National telecommunication company
Control 133 63 80 72 133
Based on the analysis of those controls, there are 54 main controls to implement information security. Those controls are: 5.1.1 Information security policy document 6.1.1 Management commitment to information security 6.1.8 Independent review of information security 6.2.1 Identification of risks related to external parties 7.1.1 Asset inventory 7.1.3 Acceptable use of asset 7.2.1 Classification guidelines 8.1.2 Screening 8.1.3 Terms and conditions of employment 8.2.1 Management responsibility 8.2.2 Information security awareness, education and training. 8.3.1 Termination responsibilities 8.3.2 Return of assets 8.3.3 Removal of access rights 9.1.1 Physical security perimeter 9.1.2 Physical entry controls. 9.1.4 Protecting against external and environmental threats 9.2.1 Equipment sitting and protection 9.2.2 Supporting utilities 9.2.3 Cabling security 9.2.5 Security of equipment off premises 10.1.1 Documented operating procedures 10.1.2 Change management 10.1.3 Segregation of duty 10.1.4 Separation of development, test and operational facilities. 10.2.1 Service delivery 10.2.3 Managing changes to third party services 10.3.1 Capacity management 10.3.2 System acceptance 10.4.1 Controls against malicious code 10.5.1 Information back-up
10.6.2 Security of network services 10.7.1 Management of removable media 10.7.3 Information handling procedures 10.8.3 Physical media in transit 10.9.3 Publicly available information 10.10.1 Audit logging 10.10.4 Administrator and operator logs 11.1.1 Access control policy 11.2.1 User registration 11.4.1 Policy on use of network services 11.4.5. Segregation in networks. 11.7.1 Segregation in networks 12.1.1 Security requirements analysis and specification 12.3.1. Policy on the use of cryptographic controls 12.3.2. Key management 12.4.1. Control of operational software 12.6.1 Control of technical vulnerabilities. 13.1.1. Reporting information security events 13.2.1. Responsibilities and procedures. 14.1.1 Including information security in the business continuity management process 15.1.1 Identification of applicable legislation 15.1.2 Intellectual property rights (IPR) 15.3.1 Information systems audit controls
Case Study: Implementation of ISO 17799:2005 Case study is carried out to measure how main controls can reduce information security risk level. The assumptions that are being used are: 1. Company name: PT. AAA. 2. Core business: IT Consultancy. 3. Vision: Leader of IT consulting firm in Indonesia. 4. Office: 1 head office and 2 branches. 5. Employee: 40 employees. 6. Information asset: hardware, software, project documentation, administration documentation, human resources, supporting utilities. By implementing the selected controls, risk level at PT. AAA is reduced and can be seen at table 5. Table 5. PT. AAP Risk Assessment. Threat Lack of management commitment Lack of employee training and awareness Virus, spy ware and trojan. Natural disaster
Inherent Risk High High
Residual Risk Medium Medium
High Medium
Medium Low
Threat Client data is compromised Company information leakage Application bug Unauthorized access o working area. Information processing facility damage Network leakage and network device failure. Unmatched third party services
Inherent Risk High High Medium Medium
Residual Risk Low Low Low Low
High
Low
High
Low
Medium
Low
Conclusion and Suggestion The conclusions are: Based on observation in several companies in Indonesia, information security controls selection is not based in structured risk assessment. In several companies, all 133 controls is selected and implemented. Based on the analysis of control in ISO 17799:2005, we found control duplication and associated control that can mitigate risk in other control. From 133 controls, 54 controls can be used as minimum implementation of information security. Based on study case on PT. AAA, the 54 controls can reduces risk that PT. AAA facing. The suggestions are: Result of this research needs to be developed furthermore based on security incident data in Indonesia. Result of this research can be use as security control baseline in implementing information security in Indonesia.
References [1] __________, Information Security Management Understanding ISO 17799: A benchmark for building organizational information security, Lucent Technologies, 2004 [2] _______________, Teknologi Informasi – Panduan Manajemen Keamanan Informasi, Standar Nasional Indonesia (SNI), 2005. [3] Anderson, Frederick M., ISO/IEC 17799 Compliant, Department of Computer and Systems Sciences Stockholm University & Royal Institute of Technology, http://www.dsv.su.se/research/seclab/page s/pdf-files/2004-x-227.pdf, 17 February 2006. [4] Bjork, Fredrik J., Discovering Information Security Management, Department of Computer and Systems Sciences Stockholm University & Royal Institute of Technology, November 2005,
http://www.dsv.su.se/research/seclab/page s/pdf-files/05-010.pdf, 17 February 2006. [5] Carlson, Tom, Information Security Management: Understanding ISO 17799, http://www.netbotz.com/library/ISO_1779 9.pdf, 20 December 2005. [6] Demetis, Dionis, An Analysis of standards, certification, and their connections and a study of the international success of BS 17799, http://www.geocities.com/demetis2002/ES SAY.pdf, 17 February 2006. [7] Humpreys, Ted; ISO ISMS Standard, ETSI Security Workshop. 2006. [8] Layton, Timothy P, Information Security: Design, Implementation, Measurement and Compliance, Auerbach Publications, 2007. [9] Rahardjo, Budi, Keamanan Sistem Informasi Berbasis Internet, PT Insan Indonesia & PT INDOCISC, 2005 [10] Saint-Germain, Rene, Information Security Management Best Practice Based on ISO/IEC 17799, The Information Management Journal, July/August 2005, 61-66, 2005. ; http://www.sis.pitt.edu/~dtipper/2825/ISO _Article.pdf, 3 December 2005. [11] Thiagrajan, Val, Information Security Management BS 7799:2002 Audit Checklist, http://www.sans.org/score/checklists/ISO_ 17799_checklist.pdf, 21 December 2005.