2.1.2. Pihak Ketiga Terpercaya (Trusted Third Party/TTP)

2.1.2.2. Tanggung Jawab dari TTP

Sebuah TTP harus menentukan sejauh mana tanggung jawab yang dapat diambil untuk dapat mengoperasian layanan yang aman. Selain itu, TTP harus menggambarkan sejauh mana kewajiban yang dapat diterima sehubungan dengan adanya pelanggaran keamanan. Tanggung jawab TTP serta penggunanya, harus dinyatakan dengan jelas dalam setiap kontrak formal yang mengatur antara pengguna dan TTP. Tanggung jawab harus paling menjadi bagian penting dari kontrak, dan beberapa setidaknya harus didefinisikan sebagai masalah bisnis, sementara yang lain harus sesuai dengan kualitas standar pelayanan.

Dokumen lain yang mengandung definisi dari layanan yang akan diberikan, perjanjian layanan dan setiap lampiran teknis dimasukkan sebagai lampiran kontrak. Selain itu juga menentukan tanggung jawab masing-masing dari berbagai pihak yang terlibat. Dokumen-dokumen ini merupakan bagian dari perjanjian kontrak secara keseluruhan.

Isi dari kebijakan keamanan TTP akan tergantung pada layanan yang diberikan oleh TTP tersebut. Kebijakan keamanan harus menjadi kerangka kerja yang membahas isu-isu keamanan yang terkait dengan berbagai unsur. Unsur-unsur teknis dari kebijakan keamanan TTP membentuk dasar untuk penilaian terkait keamanan teknis. Suatu Kebijakan keamanan TTP harus mencakup setidaknya unsur-unsur berikut:¹⁷

a) persyaratan keamanan Teknologi Informasi, misalnya dalam hal kerahasiaan, integritas, ketersediaan, akuntabilitas keaslian, dan keandalan, terutama berkaitan dengan pandangan pemilik informasi;

b) infrastruktur organisasi dan tugas tanggung jawab dari para pihak;

c) integrasi keamanan ke dalam pengadaan dan pengembangan sistem keamanan;

d) kesadaran dan pelatihan untuk para pihak yang terlibat;

e) prosedur dan perintah yang diberikan;

17 ITU, Op.Cit. hal. 8.

f) definisi untuk klasifikasi informasi;

g) strategi manajemen risiko;

h) perencanaan darurat;

i) masalah sumber daya manusia, dengan perhatian khusus kepada orang di posisi yang membutuhkan kepercayaan seperti bagian pemeliharaan dan sistem administrator;

j) kewajiban terhaap hukum dan peraturan perundangan-undangan yang berlaku;

k) pengelolaan outsourcing; dan l) penanganan insiden.

Pelaksanaan kebijakan keamanan TTP yang meliputi persyaratan teknis, administratif dan organisasi untuk keamanan harus memiliki penekanan khusus pada persyaratan sebagai berikut:¹⁸

a) jaminan bahwa TTP melakukan fungsinya sedemikian rupa bahwa integritas sistem tidak dapat terganggu atau dirugikan;

b) integritas data entitas, bahwa itu adalah lengkap, dimodifikasi dan bahwa sumber dan asal dapat diverifikasi;

c) bahwa entitas yang berwenang menjamin ketersediaan dan akses ke layanan dan informasi yang mereka berhak;

d) kerahasiaan informasi sensitif dan pribadi dipercayakan oleh entitas untuk TTP, dan

e) prosedur untuk audit keamanan sistem TTP tersebut.

TTP harus menggunakan standar yang berlaku secara relevan.

Standar yang digunakan meliputi standar internasional, nasional, regional, sektor industri, dan standar perusahaan atau aturan tersebut dipilih dan diterapkan sesuai dengan persyaratan keamanan organisasi mereka. Manfaat termasuk interoperabilitas, keamanan terpadu, konsistensi, portabilitas dan kerjasama antara organisasi. Jika organisasi yang berbeda mengembangkan dan menggunakan sistem mereka sendiri atau produk berdasarkan standar

18 Ibid.

proprietary, ada potensi untuk jangka pendek masalah interoperabilitas dengan berbagai pendekatan. Standar harus diperiksa di dua tingkat; standar rinci teknologi tertentu dan penggunaannya, dan standar untuk interoperabilitas antara teknologi yang berbeda.

Petunjuk dan prosedur yang diperlukan sebagai unsur dari kebijakan keamanan TTP. Mereka termasuk diantaranya aturan-aturan yang diperlukan dan peraturan yang ditetapkan oleh organisasi, dan prosedur bimbingan yang diperlukan bagi organisasi untuk menyediakan layanan kepada pengguna. Dalam rangka untuk memperoleh tingkat yang dapat diterima dalam sistem keamanan Teknologi Informasi, TTP harus menerapkan metode manajemen risiko. Proses manajemen risiko untuk keamanan sistem Teknologi Informasi TTP itu harus didasarkan pada analisis rinci risiko yang muncul atau kombinasi pendekatan yang digunakan. Penilaian semua informasi harus dilakukan untuk menentukan kepekaan informasi dan tingkat perlindungan yang sesuai untuk menjaga kerahasiaan, integritas dan ketersediaan. Ancaman, risiko dan perlindungan harus dinilai ulang secara berkala. Berdasarkan hasil analisis risiko pengamanan yang tepat harus dipilih, diuji dan diimplementasikan.

TTP ini tunduk pada ancaman kecelakaan atau ketidakdisengajaan yang mungkin berasal dari alam atau manusia. TTP harus dilindungi terhadap ancaman tersebut dengan pengamanan yang dirancang untuk mengurangi kerentanan dengan mengurangi dampak dari insiden yang tidak diinginkan dan / atau dengan meningkatkan fasilitasi pemulihan.

Langkah-langkah keamanan, praktek dan prosedur harus mempertimbangkan semua teknis yang relevan, organisasi, administrasi, aspek komersial, manusia dan hukum, dan diintegrasikan ke dalam atau terkoordinasi dengan langkah-langkah yang normal, praktis dan prosedural organisasi. Sebuah TTP yang memberikan pelayanan keamanan terkait sangat bergantung pada sistem teknologi informasi. Oleh karena itu pengamanan teknologi informasi yang spesifik diperlukan untuk membuat mereka tepat dan aman. Perlindungan spesifik Ini dapat dibagi menjadi teknis, komunikasi dan kategori jaringan. Perlindungan dapat dipilih sesuai

dengan rincian penilaian, masalah keamanan dan ancaman, atau jenis sistem teknologi informasi.

a) Langkah-langkah sesuai dengan masalah keamanan dan ancaman terdiri dari perlindungan untuk kerahasiaan, ketersediaan integritas, dan akuntabilitas:¹⁹

• Kerahasiaan - Keamanan layanan TTP secara luas dapat bergantung pada kunci digunakan, misalnya kunci sertifikasi.

Perlindungan tombol tersebut dapat diwujudkan secara fisik dengan menggunakan perangkat keras yang dapat dipercaya dan logis dengan skema rahasia bersama.

• Integritas - Informasi sensitif dipertukarkan pada antarmuka pengguna-TTP, untuk mode komunikasi on-line, off-line dan out of-band, harus dilindungi dari perubahan, gangguan dan penghadangan dari pihak lain.

• Ketersediaan - TTP harus menerapkan mekanisme yang menjamin pengguna mereka dapat mengakses ke layanan TTP bila diperlukan. Apabila terjadi khusus non-ketersediaan, yaitu penolakan layanan, hal ini bisa memiliki dampak yang cukup besar pada aktivitas TTP. Mekanisme yang tepat mencegah

"banjir" telekomunikasi, masalah routing dan gangguan layanan harus juga dipertimbangkan.

• Akuntabilitas - Tanggung jawab dan akuntabilitas dari semua kegiatan harus didefinisikan untuk TTP dan pengguna jasa TTP. TTP harus menerapkan mekanisme yang tepat sehingga setiap peristiwa dan tindakan dapat ditelusuri ke entitas yang bertanggung jawab. Akuntabilitas dapat dicapai melalui penggunaan pemantauan jejak audit keamanan, dan audit secara teratur. Log audit yang memadai harus dipelihara untuk memberikan jejak audit dari semua tindakan, transaksi, proses, dan lain-lain. Kepemilikan informasi yang sensitif dan

19 ITU, Op.Cit. hal 9-10.

tanggung jawab keamanan yang terkait bersama dengan audit, penting untuk memberikan pelayanan yang efektif dari TTP.

b) Tindakan sesuai dengan jenis sistem teknologi informasi terdiri dari pengamanan untuk kontrol masuk:²⁰

Kontrol Akses • - Perlindungan terhadap penggunaan tidak sah dari layanan TTP dapat disediakan oleh pengamanan kontrol akses.

Pelaksanaan mekanisme yang tepat harus dipertimbangkan dalam bidang berikut:

- Identifikasi dan otentikasi;

- Kontrol akses fisik;

- Kontrol akses logis;

- Kriptografi, dan

- Hak istimewa manajemen.

Jaminan keamanan yang diberikan oleh sebuah TTP harus merupakan hasil dari:

a) pemilihan mekanisme yang tepat, sehubungan dengan layanan yang diberikan dan Kebijakan Keamanan;

b) tepat pelaksanaan mekanisme ini, terutama berkaitan dengan aspek keamanan fisik, lingkungan, kelangsungan bisnis, dll, dan

c) operasi dari mekanisme ini, tergantung pada definisi dan menghormati prosedur yang tepat, terutama berkaitan dengan manajemen personalia, klasifikasi informasi, otorisasi, penanganan insiden, dan lain-lain.

TTP harus menggunakan sistem yang dapat dipercaya dalam melakukan layanan mereka. Untuk TTP dapat dipercaya, harus dioperasikan sesuai dengan spesifikasi yang telah ditentukan.

Sertifikasi adalah prosedur dimana pihak independen memberikan jaminan bahwa suatu produk, proses atau jasa sesuai dengan

20 Op.Cit. hal 10

persyaratan yang ditentukan. Proses sertifikasi terdiri terutama dari tinjauan dokumen dan evaluasi teknis oleh badan sertifikasi tidak memihak. Seperti kesesuaian sertifikasi TTP akan memberikan jaminan bahwa keamanan yang diklaim oleh TTP tersedia. Pihak-pihak yang menggunakan layanan TTP karena itu dapat menggunakan sertifikasi keamanan seperti yang dipergunakan oleh TTP sebagai dasar untuk menentukan tingkat kepercayaan mereka.

Tergantung dari masing-masing TTP, layanan TPT harus didukung proses sertifikasi yang sesuai dan mencakup analisis:²¹

a) kesesuaian dengan hukum nasional dan internasional yang relevan dan peraturan yang mengatur status mereka, kegiatan dan kinerja;

b) kesesuaian dengan standar teknis;

c) kesesuaian dari Kebijakan Keamanan;

d) kesesuaian dengan aturan khusus sektoral atau profesional, bahwa mereka didefinisikan dengan baik, dilaksanakan dan dilakukan baik dalam administrasi dan dalam pengertian teknis;

e) kesesuaian dengan kode terbaik dari praktek, dan

f) kecukupan langkah-langkah keamanan sehubungan dengan ancaman, risiko, dan Kebijakan Keamanan.

Keputusan oleh manajemen organisasi untuk mendapatkan sertifikasi TTP yang sesuai memiliki dampak signifikan pada desain dan implementasi TTP. Contoh persyaratan keamanan untuk TTP dapat ditemukan dalam UU Jerman Signature Digital dan peraturan yang menyertainya. Sertifikasi dari Pihak berwenang yang menerbitkan sertifikat kepada TTP juga harus memperoleh sertifikasi yang sesuai .

Dalam suatu pelayanan yang dilakukan oleh TTP harus diperhatikan aspek keamanan operasional dari teknologi informasi yang digunakan aspek keamana ini sangat diperlukan dalam

21 ITU, Op.Cit. hal 10-11.

pelaksanaan pekerjaan dari suatu TTP. Adapun aspek keamanan operasional teknologi informasi yang harus ada dalam sistem dari TTP adalah Audit / Penilaian terhadap keseluruhan sistem yang ada.

Sementara evaluasi merupakan sarana untuk membuktikan kepercayaan dari sistem TI, audit dan penilaian merupakan sarana untuk mendapatkan kepercayaan dan kepercayaan dalam kebijakan keamanan didokumentasikan dan menawarkan manajemen sistem keamanan layanan TTP. Evaluasi digunakan dalam konteks inspeksi keamanan sistem TI dan sarana untuk memeriksa kriteria evaluasi.

Audit digunakan dalam konteks tinjauan manajemen atau cek awal dan berarti untuk memeriksa dan menyadari unsur-unsur yang diketahui, didokumentasikan. Penilaian digunakan dalam konteks produk / proses perbaikan dan sarana untuk memeriksa kekuatan dan kelemahan.

Semua pemeriksaan dilakukan secara berkala atau atas permintaan.

Tujuan dari audit keamanan untuk menentukan apakah kebijakan keamanan diimplementasikan secara efektif dan mencapai tujuan yang diinginkan. Sebuah audit keamanan didasarkan pada review dokumen yang ada dan inspeksi mekanisme diterapkan dan kontrol keamanan, oleh karena itu, TTP harus memiliki dokumentasi yang tepat dan memadai serta sistem yang up-to-date,.

Para pihak yang menggunakan layanan TTP mungkin memerlukan bahwa inspeksi dan audit dilakukan untuk memeriksa dan memvalidasi bahwa tingkat keamanan benar-benar diberikan oleh TTP. Mereka dapat meminta audit yang dilakukan oleh tim audit internal mereka sendiri, atau oleh auditor independen eksternal. Audit juga dapat dimulai oleh TTP dengan tujuan meninjau keamanan sendiri, resiko sendiri atau dalam menyediakan bukti praktik yang baik untuk entitas. Badan akreditasi dapat juga membutuhkan audit yang dilakukannya. Audit dapat dimulai sebagai hasil dari sejumlah keadaan yang berbeda termasuk: berkala (misalnya setiap tahun), atas

permintaan, setelah perubahan besar atau setelah insiden. Audit dapat mempertimbangkan aspek operasional dari TTP seperti:²²

a) Kebijakan Keamanan;

b) pemilihan mekanisme keamanan;

c) pelaksanaan mekanisme keamanan;

d) organisasi;

e) prosedur;

f) manajemen perubahan;

g) personil (keterampilan, pelatihan, dll);

h) keamanan fisik;

i) aspek keuangan;

j) asuransi kewajiban, mana yang berlaku, dan k) dokumentasi.

Audit harus dilakukan sesuai dengan aturan yang biasa berlaku dan praktek profesional. Secara khusus, auditor, baik internal atau eksternal, harus menghormati aturan kerahasiaan yang ketat. Badan akreditasi harus mengenakan arahan tentang bagaimana melakukan audit. Ketika laporan audit yang dirilis untuk umum atau entitas menggunakan layanan TTP, laporan harus diperiksa dengan hati-hati untuk memastikan bahwa mereka tidak mengandung informasi yang dapat digunakan untuk melemahkan keamanan TTP itu.