Perbandingan Framework Audit IT (ITAF, ISO 17799, ISO 15408/ ITSEC)

PERBANDINGAN FRAMEWORK AUDITI TI

 “ITAF, ISO 17799, IS0 15408/ITSEC”

ANGGOTA KELOMPOK 5 :

ANAS SETIAWAN              10116747

DAMA YUSUF E                 11116669

RIZKY BAGJA M                16116560

FAKULTAS TEKNOLOGI INFORMASI & KOMUNIKASI

UNIVERSITAS GUNADARMA

2019/2020

ITAF (Information Technology Assurance Framework)

·         Pengenalan ITAF

ITAF merupakan produk dari Information System Audit and Control Association (ISACA) yang menyediakan sebuah kerangka tunggal yang berisi standar, pedoman (Guidelines) dan teknik dalam melaksanakan audit dan assurance termasuk di dalamnya perencanaan, lingkup audit, pelaksanaan dan pelaporan audit dan jasa assurance TI.

·         Tiga Standar Bagian ITAF

1.      Standar Umum (1000 series) -Apakah prinsip-prinsip di mana profesi jaminan IS beroperasi. Mereka berlaku untuk pelaksanaan semua tugas, dan berurusan dengan audit IS dan jaminan profesional etika, independensi, objektivitas dan hati-hati serta pengetahuan, kompetensi dan keterampilan.

2.      Standar kinerja (1200 series) -Deal dengan pelaksanaan tugas, seperti perencanaan dan pengawasan, scoping, risiko dan materialitas, mobilisasi sumber daya, pengawasan dan tugas manajemen, audit dan bukti jaminan, dan berolahraga profesional penghakiman dan perawatan karena

3.      Standar Pelaporan (1400 series) -Address jenis laporan, berarti komunikasi dan informasi yang dikomunikasikan ITAF IS pedoman audit dan jaminan menyediakan audit IS dan jaminan profesional dengan informasi dan arah tentang audit IS atau daerah jaminan. Sejalan dengan tiga kategori standar yang diuraikan di atas, pedoman fokus pada berbagai pemeriksaan pendekatan, metodologi dan materi yang terkait untuk membantu dalam perencanaan, pelaksanaan, menilai, menguji dan melaporkan IS proses, kontrol dan terkait IS audit atau jaminan inisiatif. Pedoman juga membantu memperjelas hubungan antara kegiatan perusahaan dan inisiatif, dan orang-orang yang dilakukan oleh IT.

·         Kentungan Menggunakan Model ITAF :

1.      ITAF lebih menitikberatkan pada proses audit, tidak seperti metode lain (COBIT, ITIL, dsb) yang lebih memfokuskan pada tata kelola TI.

2.      ITAF didesain untuk profesional yang bergerak di bidang jasa audit atau assurance sehingga cocok diterapkan oleh lembaga

3.      Prosedur, metode dan istilah-istilah dalam ITAF lebih familiar, mudahdimengerti dan diterapkan oleh auditor.

   ISO 17799

·         Pengertian ISO 17799

ISO 17799 adalah standar lama yang digunakan untuk keamanan informasi yang diadopsi oleh International Organization for Standardization (ISO) pada tahun 2000. Standar ini bersumber dari British Standard yang dikenal sebagai BS7799 yang berisi praktik terbaik tentang kerahasiaan, integritas, dan ketersediaan informasi dalam sebuah organisasi. Secara resmi dikenal sebagai ISO/IEC 17799, standar ini dimaksudkan untuk memandu personil manajemen informasi yang bertugas membuat sistem keamanan. Topik dalam ISO 17799 meliputi definisi istilah keamanan informasi, mengklasifikasi jenis informasi, menguraikan persyaratan minimum, dan menyarankan respon yang sesuai untuk pelanggaran keamanan. Pada tahun 2005, kemajuan teknologi mengharuskan revisi ISO 17799 untuk menyelaraskan dengan praktik dan kemajuan yang berlaku saat itu. Hal yang umum bagi standar ISO untuk mengalami perbaikan setiap beberapa tahun untuk memastikan pedoman, kode praktek, dan standar yang relevan dan mencerminkan teknologi dan filosofi bisnis internasional terkini. Sebagai hasil dari revisi tahun 2005, ISO 17799 dikenal sebagai ISO/IEC 17799:2005. Untuk membantu membedakan antara berbagai versi ISO 17799, standar asli dikenal sebagai ISO/IEC 17799:2000. Pada tahun 2007, ISO dan International Electrotechnical Commission (IEC) mengubah penomoran ISO 17799 menjadi ISO/IEC 27002. Sering dirujuk sebagai ISMS Family of Standards, Seri ISO 27000 sepenuhnya berkaitan dengan Sistem Manajemen Keamanan Informasi (Information Security Management Systems atau ISMS). Penomoran ulang ISO 17799 memungkinkan ISO/IEC untuk mengelompokkan berbagai standar keamanan masa depan ke dalam kategori yang mudah dirujuk.

·         Tujuan

a)      memeberikan rekomendasi manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggungjawab dalam inisiasi, implementasi, atau mengelola keamanan informasi pada organisasinya. ISO 17799 Merupakan standar keamanan internasional manajemen  yang pertama kali diterapkan

b)      untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi. Untuk menjalankannya,  ISO 17799 menggambarkan suatu proses atas penyelesaian dengan menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).

·         Keuntungan ISO 17799

Keuntungan utama dari BS7799/ISO17799 adalah :

a)      Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan.

b)      Manajemen kebijakan terpusat dan prosedur.

c)      Menjamin layanan informasi yang tepat guna.

d)      Mengurangi biaya manajemen,

e)      Dokumentasi yang lengkap atas segala perubahan/revisi.

f)       Suatu metoda untuk menentukan target dan mengusulkan peningkatan.

g)      Basis untuk standard keamanan informasi internal perusahaan

ISO 15408 / ITSEC

·         Definisi

Standar Internasional ISO 15408-1 disiapkan oleh Komite Teknis Bersama ISO / IEC JTC 1, Teknologi informasi, bekerja sama dengan Organisasi Sponsor Proyek Kriteria Umum. Teks identik ISO / IEC 15408-1 diterbitkan oleh Organisasi Sponsor Proyek Kriteria Umum sebagai Kriteria Umum untuk Evaluasi Keamanan Teknologi Informasi. ISO / IEC 15408-1: 2009 menetapkan konsep dan prinsip umum evaluasi keamanan TI dan menetapkan model umum evaluasi yang diberikan oleh berbagai bagian ISO / IEC 15408 yang secara keseluruhan dimaksudkan untuk digunakan sebagai dasar untuk evaluasi keamanan dan sifat produk IT. Kerangka kerja ini menyediakan model Perlindungan Profil (PPs) - dokumen yang mengidentifikasi persyaratan keamanan untuk berbagai perangkat keamanan tertentu - untuk membantu pengguna komputer menentukan persyaratan keamanan mereka memungkinkan pengecer komputer untuk menerapkan atribut keamanan yang sesuai dan memadai. Atribut-atribut ini kemudian dapat secara resmi diuji dan dievaluasi untuk memvalidasi kepatuhan dengan semua persyaratan yang berlaku.

·         Keuntungan menggunakan model ISO 15480 / ITSEC

a)      Mempertimbangkan faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian                        kebenaran  dan efektivitas

b)      Fungsi mengacu menegakkan fungsi target keamanan

c)      Kebenaran menilai tingkat di mana fungsi keamanan yang dapat atau tidak dapat ditegakkan

d)      Efektivitas melibatkan penilaian kesesuaian target fungsi evaluasi, pengikatan fungsi,                      konsekuensi dari kerentanan diketahui dan kemudahan penggunaan

·         Kebijakan

Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi  manajemen resiko atau kepatuhan terhadap tolak ukur maupun tidak , suatu kebijakan keamanan harus di terapkan untuk  mengarahkan keseluruhan program. Perusahan dapat menerapkan  kebijakan keamanan dengan mengikuti pendekatan yang bertahap:

•     Fase  1- Ini siasi proyek.

•     Fase  2- Penyusunan kebijakan

•     Fase  3- Konsultasi dan persetujuan

•     Fase  4- Kesadaran dan edukasi

•     Fase  5-Penyebarluasan kebijakan

 TEORI PERBANDINGAN

ITAF, ISO 17799, IS0 15408/ITSEC

·         Dari Segi Fungsi

1.      ITAF

Framework Praktek Profesional Audit

2.      ISO 17799

Standard untuk mengenai manajemen informasi terhadap penciptaan struktur keamanan informasi

3.      ISO 15408

Standart untuk persyaratan keamanan fungsional yang disajikan dalam Profil Perlindungan (Protection Profile/PP) atau Sasaran Keamanan (Security Target/ST).

·         Penerbit

1.      ITAF

ISACA

2.      ISO 17799

Institut Standard Britania (BSI)

3.      ISO 15408

Organisasi Sponsor Proyek Kriteria Umum

·         Pelaksanaan

1.      ITAF

Mencari bimbingan, kebijakan dan prosedur penelitian, mendapatkan program audit dan jaminan, dan mengembangkan laporan yang efektif

2.      ISO 17799

Memberikan secara komprehensif alat pengendalian berisikan praktek terbaik dalam keamanan informasi.

3.      ISO 15408

Mempertimbangkan faktor-faktor evaluasi sebagaimana fungsi dan aspek kepastian kebenaran dan efektivitas

DAFTAR PUSTAKA

§  https://www.amazine.co/25853/apa-itu-iso-17799-definisi-cakupan-manfaatnya/

§  https://elrafa.wordpress.com/2010/03/05/iso-17799/

§  http://auditsi77.blogspot.com/2015/06/itaf-information-technology-assurance.html

§ http://elearning.amikom.ac.id/index.php/download/karya/444/958ec158dbf92889ae243f54c8366d1b

Jawaban Kelompok 5 Review Jurnal Audit "Snort"

JAWABAN TUGAS REVIEW JURNAL

AUDIT IT SISTEM INFORMASI

 “SNORT”

 

ANGGOTA KELOMPOK 5 :

ANAS SETIAWAN              10116747

DAMA YUSUF E                11116669

RIZKY BAGJA M              16116560

FAKULTAS TEKNOLOGI INFORMASI & KOMUNIKASI

UNIVERSITAS GUNADARMA

2019/2020

·         PERTANYAAN

Kenapa perlu tambahan software BASE atau ACID dalam penelitian IDS Snort di Universitas Bina Darma ?

·         JAWABAN

Karena software BASE atau ACID digunakan untuk mendeteksi dan menganalisis jenis-jenis serangan yang terdapat pada Jaringan IDS (Intrusion Detected System) di Universitas Bina Darma. Dan ini adalah bentuk-bentuk serangan yang terdeteksi oleh software BASE atau ACID :

1   .      Portscan TCP Portsweep

2   .      http_inspect BARE BYTE UNICODE ENCODING

3   .      http_inspect OVERSIZE REQUEST-URI DIRECTORY

4   .      Portscan ICMP Sweep

5  .  ICMP Destination Unreacheable Communication with Destination Network is Administratively rohibited.

6   .      (portscan) TCP Portscan 7. (portscan) TCP Filtered Portscan

7   .      Community SIP TCP/IP message flooding directed to SIP Proxy

8   .      Someone is watching your website

9   .      Community WEB-MISC Proxy Server Access

Pengamanan Sistem Operasi

MASALAH KEAMANAN SISTEM KOMPUTER

                Nama     : Anas Setiawan

                Kelas     :  4KA22

                NPM      : 10116747

FAKULTAS TEKNOLOGI INFORMASI & KOMUNIKASI

UNIVERSITAS GUNADARMA

2019/2020

Enkripsi dan Dekripsi

ENKRIPSI DAN DEKRIPSI

                 Nama     : Anas Setiawan

                Kelas     :  4KA22

                NPM      : 10116747

                Dosen   : Kurniawan B. Prianto, SKom., SH, MM

Tugas 1 Audit IT Sistem Informasi

MAKALAH AUDIT IT SISTEM INFORMASI

KELOMPOK 5

“SNORT”

DISUSUN OLEH :

ANAS SETIAWAN              10116747

DAMA YUSUF E                 11116669

RIZKY BAGJA M                16116560

FAKULTAS TEKNOLOGI INFORMASI & KOMUNIKASI

UNIVERSITAS GUNADARMA

2019/2020

LATAR BELAKANG

Seiring dengan perkembangan zaman banyak perusahan yang mengandalkan sistem informasi sebagai pendukung jalannya operasional perusahaan. untuk mendukung pencapaian visi dan misi perusahaan, maka  pengolaan informasi sangat dibutuhkan untuk tercapainya visi dan misi pada suatu perusahaan tersebut. Semakin berkembangnya teknologi informasi akan semakin banyak ancaman-ancaman yang akan terjadi dari dalam maupun luar perusahaan. Misalnya pada pemrosesan komputer.  Akan sangat mengkhawatirkan bila terjadi kesalahan dalam pemrosesan di dalam komputer. Kerugian mulai dari tidak dipercayainya perhitungan matematis sampai kepada ketergantungan kehidupan manusia. Untuk mencegah ancaman-ancaman tersebut perusahaan membuat pengendalian-pengendalian internal dan untuk memeriksa pengendalain tersebut telah mencapai tujuan atau belum, maka diperlukanlah audit sistem informasi dalam suatu perusahaan atau organisasi.

LANDASAN TEORI

·         Pengertian Audit Sistem Informasi

Pengertian Audit Sistem Informasi Audit sistem informasi atau Information System Audit disebut juga EDP Audit (Electronc Data Processing Audit) / Computer audit merupakan suatu proses dikumpulkannya data dan dievakuasinya butki untuk menetapkan apakah suatu sistem aplikasi komputerisasi sudah diterapkan dan menerapkan sistem pengendalian, internal yang sudah sepadan, seluruh aktiva dilindungi dengan baik atau disalahgunakan dan juga terjamin integrita data, keandalan dan juga efektifitas dan efisiensi penyelenggaraan informasi berbasis komputer.

·         Tujuan Audit Sistem Informasi

Tujuan audit sistem informasi adalah untuk meninjau dan mengevaluasi pengendalian internal yang melindungi sistem tersebut. Ketika melaksanakan audit sistem informasi, para auditor harus memastikan tujuan-tujuan berikut ini dipenuhi:

§  Perlengkapan keamanan melindungi perlengkapan komputer, program, komunikasi, dan data dari akses yang tidak sah, modifikasi, atau penghancuran.

• Pengembangan dan perolehan program dilaksanakan sesuai dengan otorisasi khusus dan umum dari pihak manajemen.
• Modifikasi program dilaksanakan dengan otorisasi dan persetujuan pihak manajemen.
• Pemrosesan transaksi, file, laporan, dan catatan komputer lainnya telah akurat dan lengkap.
• Data sumber yang tidak akurat. atau yang tidak memiliki otorisasi yang tepat diidentifikasi dan ditangani sesuai dengan kebijakan manajerial yang telah ditetapkan.
• File data komputer telah akurat, lengkap, dan dijaga kerahasiaannya.

·         IDS Security

Intrusion Detection System(IDS) merupakan sebuah sistem yang dapat mendeteksi aktivitas yang mencurigakan pada sebuah sistem atau jaringan. Jika ditemukan aktivitas yang mencurigakan pada traffic jaringan maka IDS akan memberikan sebuah peringatan terhadap sistem atau administrator jaringan dan melakukan analisis dan mencari bukti dari percobaan penyusupan.

·         Jenis IDS

1.      NIDS (Network Intrusion Detection System)

IDS berbasis jaringan ini akan ditempatkan pada suatu titik strategis dalam jaringan untuk melakukan pengawasan jalur lintasan traffic dan menganalisis apakah ada percobaan penyerangan atau penyusupan ke dalam sistem jaringan.

2.      HIDS (Host Intrusion Detection System)

IDS jenis ini akan menganalisis aktivitas sebuah host jaringan individual apakah terdapat percobaan penyerangan atau pengusupan ke dalam jaringan dan melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun luar hanya pada satu alat saja dan kemudian memberikan peringatan terhadap sistem atau administrator jaringan.

·         Snort

Snort tidak lain sebuah aplikasi atau tool sekuriti yang berfungsi untuk mendeteksi intrusiintrusi jaringan (penyusupan, penyerangan, pemindaian dan beragam bentuk ancaman lainnya), sekaligus juga melakukan pencegahan. Istilah populernya, snort merupakan salah satu tool Network Intrusion Prevention System (IPS) dan Network Intrusion Detection System (NIDS).

STUDI KASUS

Universitas Bina Darma merupakan salah satu instansi yang  aktivitasnya didukung oleh layanan jaringan internet, mulai dari mengolah data yang ada, diantaranya adalah sistem KRS online, mail server dan web portal di tiap unit dan lain-lain. Pengelolah jaringan Universitas Bina Darma selama ini membangun sistem keamanan jaringan dengan menerapkan sistem firewall dan proxy sever pada tiap unit server di jaringannya. Pada dasarnya, firewall adalah titik pertama dalam garis pertahanan sebuah sistem jaringan komputer. Seharusnya firewall diatur agar melakukan penolakan (deny) terhadap semua traffic yang masuk kedalam sistem dan kemudian membuka lubang-lubang yang perlu saja. Jadi tidak semua lubang dibuka ketika sistem melakukan hubungan ke jaringan luar. Idealnya firewall diatur dengan konfigurasi seperti diatas. Beberapa port yang harus dibuka untuk melakukan hubungan keluar adalah port 80 untuk mengakses internet atau port 21 untuk FTP file server. Tiap-tiap port ini mungkin penting untuk tetap dibuka tetapi lubang-lubang ini juga merupakan potensi kelemahan atas terjadinya serangan yang akan masuk kedalam jaringan. Firewall tidak dapat melakukan pemblokiran terhadap jenis serangan ini karena administrator sistem telah melakukan konfigurasi terhadap firewall untuk membuka kedua port tersebut. Untuk tetap dapat memantau traffic yang terjadi di kedua port yang terbuka tersebut dibutuhkan sebuah sistem yang dapat melakukan deteksi terhadap traffic yang membahayakan dan berpotensi menjadi sebuah serangan.

Oleh karena itu, Penerapan IDS (Intrusion Detection System) diusulkan sebagai salah satu solusi yang dapat digunakan untuk membantu pengaturan jaringan dalam memantau kondisi jaringan dan menganalisa paket-paket berbahaya yang terdapat dalam jaringan tersebut, hal ini bertujuan untuk mencegah adanya penyusup yang memasuki sistem tanpa otorisasi (misal : cracker) atau seorang user yang sah tetapi menyalahgunakan privilege sumber daya sistem. Pada penelitian akan mengimplementasikan Intrusion Detection System pada jaringan Universitas Bina Darma sebagai solusi untuk keamanan jaringan baik pada jaringan intranet maupun jaringan internet Universitas Bina Darma. Dimana penulis  akan membangun sebuah IDS (Intrusion Detection System) dengan menggunakan snort, karena snort merupakan IDS open source dan dinilai cukup bagus kinerjanya.

REVIEW JURNAL

Judul               : IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS)

                          DI JARINGAN UNIVERSITAS BINA DARMA

Volume           : Vol. 1 No. 1

Tahun              : April 2012

Penulis             : Maria Ulfa

Reviewer         : Anas Setiawan, Dama Yusuf E, Rizky Bagja M

Tanggal           : 10 Okrtober 2019

·         Tujuan Penelitian

Tujuan utama dari penelitian ini adalah untuk mencegah adanya penyusup yang memasuki sistem tanpa otorisasi (misal : cracker) atau seorang user yang sah tetapi menyalahgunakan privilege sumber daya sistem.pada jaringan di Universitas Bina Darma.

·         Waktu dan Lokasi Penelitian

Untuk penelitian ini dilakukan pada bulan April 2012 di Universitas Bina Darma yang terletak di Jl. Jend A. Yani No.12 , Palembang, Sumatera Selatan.

·         Variabel dan Data Penelitian

Dalam penelitian yang dilakukan di Universitas Bina Darma, variabel dan data yang digunakan lalu kemudian diolah adalah :

a)      Paket Sniffer :

Untuk melihat paket yang lewat di jaringan. Lalu di analisis pada kemudian hari.

b)      Paket Logger :

untuk mencatat semua paket yang lewat di jaringan untuk dianalisis dikemudian hari.

c)      NIDS, deteksi penyusup pada network :

untuk mendeteksi serangan yang dilakukan melalui jaringan komputer.

·         Langkah-langkah Penelitian

Dalam penelitian ini dilakukan 5 tahap. Antara lain :

1.      Melakukan diagnosa dengan melakukan identifikasi masalah pokok yang ada pada objek penelitian.

2.      Membuat rencana tindakan yaitu memahami pokok masalah yang ditemukan dan menyusun rencana tindakan yang tepat.

3.      Melakukan tindakan disertai dengan implementasi rencana yang telah dibuat dan mengamati kinerja Intrusion Detection System pada jaringan VLAN server Universitas Bina Darma yang telah dibangun.

4.      Melakukan evaluasi hasil temuan setelah proses implementasi.

5.      Tahapan yang terakhir adalah mengulas tahapan yang telah dilakukan dan mempelajari prinsip kerja Intrusion Detection System serta untuk memperbaiki kelemahan dari penerapan Intrusion Detection System pada jaringan VLAN server Universitas Bina Darma.

·         Metode Pengumpulan Data Penelitian

Metode yang digunakan pada penelitian ini adalah metode penelitian tindakan atau action research menurut Davison, Martinsons dan Kock. Penelitian tindakan atau action research yaitu mendeskripsikan, menginterpretasi dan menjelaskan suatu situasi atau keadaan pada jaringan VLAN server di Universitas Bina Darma dan melakukan analisis terhadap penerapan Intrusion Detection System.

·         Hasil Penelitian

Berdasarkan penelitian dan pembahasan yang telah diuraikan pada bab –bab sebelumnya, sehingga dalam penelitian yang berjudul Implementasi Intrusion Detection System (IDS) di Jaringan Universitas Bina Darma Palembang maka didapatkanlah beberapa hasil yang dapat di simpulkan, antara lain :

1.      Serangan dapat terdeteksi atau tidak tergantung pola serangan tersebut ada didalam Rule IDS (Intrusion Detection System) atau tidak. Oleh karena itu pengelola Intrusion Detection System (IDS) harus secara rutin meng-update Rule terbaru.

2.      Untuk mempermudah pengelolaan Rule perlu user interface (front end) yang lebih baik seperti aplikasi webmin yang ditambahkan plugin snort Implementasi Intrusion Detection System (IDS).

3.      Untuk mempermudah analisa terhadap catatan-catatan Intrusion Detection System (IDS) atau Security event perlu ditambahkan program tambahan seperti BASE (Basic Analysis and Security Engine) atau ACID (Analysis Console for Intrusion Databases).

DAFTAR PUSTAKA

[1]   https://sauqigobel.wordpress.com/2017/10/03/makalah-audit-teknologi-sistem-informasi/

[2]   https://netsec.id/snort-nids/

[3]   https://www.immersa-lab.com/pengertian-ids-jenis-dan-cara-kerjanya.html

[4]   https://en.wikipedia.org/wiki/Snort

[5]   https://alfredoeblog.wordpress.com/2012/11/22/pengeertian-dan-cara-kerja-software-snort/