Prosedur Operasional Standar
1.3 Dokumen Review dan Pemeliharaan
1. Pendahuluan
Dalam menghadapi insiden keamanan informasi yang luar biasa, sangat penting bagi PT.XYZ mengambil pendekatan proaktif untuk mengelola semua aspek keamanan perusahaan secara real time, dari satu lokasi dan terpusat. Tim IT Security memberi-kan kemampuan tersebut dengan memantau dan menanggapi insiden keamanan serta mengidentifikasi kerentanan secara proaktif.
1.1 Ruang Lingkup
Dokumen ini bertujuan untuk:
a) Menentukan tugas-tugas khusus bagi Tim dan prosedur untuk perencanaan sumber daya manusia nya dan pengaturan penjadwalan.
b) Memberikan bimbingan teknis dan prosedural kepada team dalam operasi harian. c) Menyediakan metodologi dan langkah-langkah untuk manajemen intrusi dan ma-najemen kerentanan.
1.2 Referensi
a) NIST, Keamanan Komputer Penanganan Insiden Panduan (SP 800-61).
b) ISO 27001: Kode Praktek untuk Manajemen Keamanan Informasi
1.3 Dokumen Review dan Pemeliharaan
Dokumen ini perlu diperbarui dari waktu ke waktu dan dapat berubah sesuai dengan ancaman baru atau tren dalam keamanan informasi. Oleh karena itu, versi terbaru dari dokumen ini akan berlaku sampai diganti. Tanggung jawab untuk perubahan tersebu-takan berada di bawah yurisdiksi tim IT Security.
2. Manajemen Insiden
Insiden manajemen bertujuan untuk :
a) Untuk memastikan respon yang tepat terhadap insiden keamanan potensial atau aktual.
b) Untuk mengontrol dan mengelola insiden keamanan. c) Untuk meminimalkan hilangnya informasi dan gangguan pelayanan.
2.1 Prosedur
Gambar: Proses Manajemen Insiden
Proses manajemen insiden terdiri dari 6 tahap dimulai dari deteksi sampai pemulihan. 3..1 Detection
Deteksi dilakukan dengan menggunakan security monitoring tools untuk melihat penyimpangan yang terjadi pada jaringan atau sistem. Bila terdeteksi ada
penyimpangan maka dilanjutkan ke tahap selanjutnya yaitu assessment. Sebelumnya tim SOC harus membuat tiket pada portal internal.
3..2 Assessment
a. Initial assessment
‐ Periksa alert dari IDS
‐ Tentukan IP address dari alert apakah berasal dari inbound atau outbound ‐ Identifikasi port tujuan dan sumber traffic.
‐ Catat fitur dari event tersebut. Identifikasi bila memiliki dampak bagi perusahaan.
‐ Jika bukan merupakan kejadian potensial, event tersebut dapat digolongkan dalam kategori Rendah. Tiket pada portal dapat ditutup
b. Deeper assessment
‐ Menyelidiki lebih lanjut untuk menvalidasi apakah insiden tersebut benar-benar terjadi
‐ Menggunakan informasi dari analisis awal sebagai referensi ‐ Menganalisis network packet dan pola dari event
‐ Beberapa hal yang harus diperhatikan adalah aktifitas sumber IP address yang terdeteksi, apakah firewall telah memblokir koneksi atau tidak, segmen yang ditargetkan jaringan.
‐ Jika diperlukan, tim SOC akan mendapatkan akses ke perangkat yang dimonitor untuk melihat log untuk memperoleh informasi detail. 3..3 Classification & Prioritization
Ancaman Tingkat Risiko
Keterangan Aksi
Denial of Service High Menghabiskan resources sistem target sehingga layanan terganggu secara massal dan berdampak luas.
2 min pre alert, 15 min full alert, Ticket
Ancaman Tingkat
Risiko
Keterangan Aksi
Medium Menghabiskan resources sehingga membuat layanan terganggu selama beberapa saat
Portal Tiket
Scanning Medium Konsumsi bandwidth
jaringan, dapat mengetahui kerentanan yang dimiliki suatu sistem dan mengeksploitasinya.
Portal Tiket
Unauthorized sistem access
High Penyerang mendapat akses ke aplikasi secara keseluruhan atau ke database yang utama.
2 min pre alert, 15 min full alert, Ticket
Medium Penyerang mendapat akses ke aplikasi tertentu yang tidak memiliki dampak signifikan
Portal Tiket
Worm/virus High Menyebabkan performa keseluruhan jaringan lambat,
pertukaran informasi terganggu.
2 min pre alert, 15 min full alert, Ticket
Medium Konsumsi bandwidth jarin-gan dan menghabiskan resource sistem
Portal Tiket
Sistem Bugs High Major bugs, bisa menimbulkan ancaman lain pada sistem dan berdampak besar (seperti unauthorized access atau perubahaan data)
2 min pre alert, 15 min full alert, Ticket
Medium Mengakibatkan sistem aplikasi mengganggu kegiatan operasional namun
berdampak kecil.
Portal Tiket
Low Minor bugs tidak
menimbulkan dampak
Portal Tiket Penanaman script
pada sistem yang disengaja
High Dapat mengakibatkan pencurian dan pengubahan data
2 min pre alert, 15 min full alert, Ticket
Email spam Low Diblokir oleh anti-spam,
difilter di firewall.
3..4 Notification
Notifikasi pertama dilakukan dengan membuat tiket untuk log insiden tersebut. Kemudian diberitahukan kepada PIC dari sistem terkait untuk merekomendasikan solusi sementara. Bila dirasa perlu, dapat menginformasikan kepada IT Security Network Expert untuk memperoleh bantuan investigasi insiden tersebut.
3..5 Containment
Strategi penahanan dirancang untuk mengontrol kejadian sebelum penyebaran insiden itu menguasai sumber daya. Tim IT Security akan memberikan pedoman atau reko-mendasi kepada PIC seperti contoh berikut:
a) Melakukan diskoneksi host yang terkena dampak dari jaringan b) Nonaktifkan fungsi tertentu
c) Untuk sementara mematikan atau memblokir port tertentu melalui firewall d) Aktifkan aturan untuk drop paket pada Firewall atau Network / Host Sensor e) Blokir lalu lintas masuk atau keluar dari host tertentu.
f) Memantau jaringan dan sistem terkait untuk tanda-tanda sisa aktivitas berbahaya
3..6 Remediation
PIC dari setiap aplikasi bertanggung jawab untuk melakukan remediasi atau pemulihan. Tim SOC dan tim antivirus hanya akan memberikan pedoman dan rekomendasi kepada PIC untuk remediasi dengan mengarahkan penggunaan sumber daya yang tepat misalnya dengan melakukan patching, scanning, update antivirus, atau virus removal tools. Setelah tim IT Security menerima status pemulihan berhasil, tiket insiden akan ditutup.
• Alur Penanganan Insiden
2.2.1 Penanganan Insiden Secara Umum
Tim Security Operation Center IT Network System Expert
Menemukan insiden Membuat laporan Awal Analisis awal Insiden potensial ? Eskalasi lebih dalam Klasifikasi Top 3 Insiden (A, B, C) Lain-lain Log events Membuat laporan Akhir Ya Tidak
2.2.2 Penanganan Insiden Denial of Service
2.1.6 Penanganan Insiden Virus/Worm
xxvi
LAMPIRAN 8
Lampiran 8 Dokumentasi Hasil
RINGKASAN EKSEKUTIF I. Pendahuluan
- Tujuan
Penilaian risiko ini bertujuan untuk meningkatkan keamanan informasi Perusahaan pada umumnya dan Divisi IT Security pada khususnya.
Diharapkan melalui penilaian risiko ini dapat mengurangi terjadinya ancaman keamanan informasi pada Perusahaan.
- Ruang Lingkup
Fokus dari penilaian risiko ini adalah Divisi IT Security sebagai divisi yang bertanggung jawab terhadap keamanan informasi Perusahaan.