3. Domain 5 CISA
Perlindungan Aset Informasi
Domain 5 berfokus pada memastikan kerahasiaan,
integritas, dan ketersediaan pada aset informasi.
- Desain, Implementasi dan monitoring terhadap akses
logical dan physical dijelaskan dengna baik.
- Infrastruktur, Security, kontrol lingkungan, proses dan
prosedur alirannya terlindungi cakupannya.
- Metode dan prosedur yang digunakan organisasi
dipaparkan dan fokusnya mengawasi kesesuaian serta
efektifitas prosedur
4. Kerahasiaan, Integritas, dan Ketersediaan
Perlindungan Aset Informasi
Security tercipta Ketika 3 aspek utama nya terpenuhi
- Confidentiality: Kerahasiaan dari data terjaga dengan
baik, akses-akses critical dijaga dengan prosedur yang
ketat.
- Integrity: Integritas yang diterapkan dipenuhi oleh
pihak-pihak yang bertanggungjawab
- Availability: Ketersediaan environment infrastruktur
serta prosedur mitigasi berdasarkan kemungkinan-
kemungkinan yang terjadi.
5. Prinsip Privasi
Confidentiality
- Privasi diperhitungakan sejak perancangan desain infrastruktur,
didukung kebijakan dan prosedurnya.
- Data pribadi disimpan dengan aman.
- Data pribadi hanya digunakan untuk tujuan awal Ketika
diputuskan untuk disimpan.
- Data pribadi mesti mesti akurat, lengkap dan terbaru
- Data pribadi dihapus jika tidak diperlukan lagi.
6. Fokus Analisis Privasi
Confidentiality
- Pencatatan dokumentasi soal pengumpulan, penggunaan,
pembukaan, dan penghapusan informasi data pribadi
- Memastikan akuntabilitas privasi data
- Identifikasi persyarakatan regulasi, peraturan dan kontrak
privasi data.
- Pengecekan keperluan data probasi terhadap proses bisnis
yang digunakan.
7. Akses physical dan environment infrastruktur
Availibility
- Evaluasi desain, implementasi, maintenance, monitoring dan
reporting dari physical dan environmental infrastruktur.
- Unauthorize user
- Kerusakan pada alat ataupun dokumen
- Ilegal akses terhadap informasi sensitif.
- Pengubahan illegal terhadap alat maupun dokumen sensitif.
- Penyebaran secara public informasi sensitif.
- Pengeksploitasi proses data pada akses physical
8. Akses physical dan environment infrastruktur
Availibility
- Evaluasi desain, implementasi, maintenance, monitoring dan
reporting dari physical dan environmental infrastruktur.
- Unauthorize user
- Kerusakan pada alat ataupun dokumen
- Ilegal akses terhadap informasi sensitif.
- Pengubahan illegal terhadap alat maupun dokumen sensitif.
- Penyebaran secara public informasi sensitif.
- Pengeksploitasi proses data pada akses physical
9. Penyerangan lingkungan infrastruktur
Availibility
Gangguan sumber daya
- Mati daya keseluruhan (blackout)
- Gangguan Sebagian daya (brownout)
- Longgar colokan, kerusakan kabel, dan lonjakan daya.
- Gangguan elektromagnetik (EMI)
Banjir/gangguan air
Human threat
- Penyerangan terorisme
- Vandalisme
- Kerusakan alat perlengkapan.
10. Pencegahan kerusakan environmental
Availibility
- Penggunaan kontrol alarm.
- Penggunakan water detectors.
- Ketersediaan perlengkapan pemadaman api.
- Penggunaan alarm kebakaran dan pendeteksi asap.
- Penggunaan sistem pemadaman kebakaran.
- Penggunaan material tahan api pada Gedung infrastruktur
- Perlindungan terhadap lonjakan listrik
- Penggunaan un-detachable power sumber daya.
- Penggunaan 2 sumber daya sebagai yang utama dan cadangan.
- Pemakaian emergency switch off
- Dokumentasi jelas mengenai prosedur terhadap mitigasi
bencana yang terjadi
11. Identifikasi Manajemen Akses
Integrity
System Access Permission
Penerapan izin akses istimewa seperti melakukan membuka,
mengubah, membuat atau menghapus file/data, menjalankan script
dengan koneksi dari luar.
Akses dari sistem ke resources mesti dilakukan dengan sesuai
dengan desain nya.
Akses physical
- Pembatasan masuk atau keluar dari area data center atau
infrastruktur krusial yang menyimpan informasi sensitif.
Akses logical sistem
- Pembatasan sistem logical untuk melakukan transaksi, data,
program, aplikasi pada resource utama.
12. Identifikasi Manajemen Akses
Integrity
System Access Review
- Penentuan roles, authority dilakukan diawal oleh owner/manager.
- Otorisasi yang diberikan akan dicek secara berkala aktifitasnya
Third-party access
- Pembatasan akses oleh pihak ketiga secara langsung ke
resource database.
- Penggunakan RESTful service untuk pihak ketiga yang
memerlukan data.
- Penggunaan secret key berbeda-beda untuk setiap pihak
ketiganya
- Penyeleksian ketat kerjasama dengan pihak ketiga hanya yang
benar-benar memerlukan data.
- Bila ikut mengelola, diperlukanna dibuat jalur khusus sehingga
mengetahui apa saja aktifitasnya.
- Penulisan hak dan kewajiban pihak ketiga di kontrak perjanjian
Kerjasama sehingga dilindungi hukum yang berlaku.
13. CREDITS: This presentation template was created by Slidesgo, including
icons by Flaticon, and infographics & images by Freepik.
Please keep this slide for attribution.
THANKS
Does anyone have any questions?
farhanazizf7@gmail.com