Uncategorized

Tinjauan Kerangka Manajemen Risiko (RMF)

Google+ Pinterest LinkedIn Tumblr

– Ini Christian Espinosa dari Alpine Security. Video ini memberikan gambaran umum tingkat tinggi dari Kerangka Manajemen Risiko, atau RMF. RMF adalah kerangka kerja manajemen risiko yang digunakan oleh, terutama, oleh Departemen Pertahanan dan Pemerintah A.S. Ini ditentukan oleh NIST 800-37, revisi terbaru adalah versi dua yang dapat Anda lihat di bagian atas halaman PowerPoint di sini dari presentasi. Dan prosesnya memiliki enam langkah utama dan kami akan melalui langkah-langkah tersebut pada tingkat yang sangat tinggi.

Sungguh, ada langkah ketujuh yang tidak tercantum di sini dan itu adalah persiapan. Umumnya, merupakan ide yang baik untuk mempersiapkan sesuatu sebelum Anda memulainya. Anda tidak selalu dapat mempersiapkan diri sebaik yang seharusnya, tetapi beberapa persiapan lebih baik daripada tidak sama sekali. Jadi, langkah pertama, dan saya akan menjalankannya dari tingkat tinggi dan kemudian kita akan menggalinya sedikit lebih detail. Langkah pertama adalah mengkategorikan sistem informasi. Dan, ada beberapa masukan yang masuk ke dalam kategorisasi dan Anda dapat melihatnya di bagan di sini. Ada deskripsi arsitektur, jadi model referensi arsitektur, batas sistem sangat penting. Jadi, bagaimana sistem itu berinteraksi dengan sistem lain dan apa yang mendefinisikan batasannya. Ada juga masukan organisasi yang berperan dalam kategorisasi. Ini bisa berupa hukum, arahan. Bisa jadi bagaimana Anda menangani informasi kesehatan yang dilindungi seperti HIPAA misalnya, dan sebagainya. Jadi, itulah kategorisasi dan kedua masukan itu masuk ke dalamnya, deskripsi arsitektur dan masukan organisasi. Kemudian kami memilih kontrol, jadi kami mengkategorikan sistem kami, kami memilih kontrol keamanan untuk sistem, kemudian kami menerapkan kontrol tersebut, lalu kami menilai efektivitas kontrol, lalu seseorang membuat keputusan untuk menerima risiko dan mengotorisasi sistem di jaringan , lalu kami ingin terus memantau untuk memastikan bahwa kontrol yang kami pilih benar-benar efektif.

Jadi, itulah enam langkah dan kita akan membahas lebih detail masing-masing. Juga, penting untuk disadari bahwa RMF sebagai singkatan dari F adalah kerangka kerja, bukan peraturan. Dan penting untuk disadari bahwa karena berbagai badan pemerintah atau organisasi pertahanan menggunakan RMF secara berbeda, mereka tidak mengikutinya dengan metode yang persis sama. Jadi, tentara dapat melakukannya dengan satu cara, angkatan udara dapat melakukannya dengan cara lain, dan bahkan di dalam angkatan udara misalnya, dua unit di dalam angkatan udara dapat melakukannya dengan cara yang berbeda. Jadi, langkah pertama dan, di sinilah kita masuk ke lebih banyak informasi, langkah pertama adalah mengkategorikan sistem informasi. Dan, ini untuk mengkategorikan sistem dan informasi pada sistem yang diproses, disimpan, atau ditransmisikan.

Dan, kami biasanya melakukan kategorisasi berdasarkan tiga tenant keamanan informasi: kerahasiaan, integritas, dan ketersediaan atau triad CIA. Ini sangat mirip dengan analisis dampak bisnis di mana Anda mengidentifikasi sistem kritis, kecuali analisis dampak bisnis biasanya berfokus pada waktu henti maksimum yang dapat ditoleransi, tujuan waktu pemulihan, dan tujuan titik pemulihan. Dengan RMF, kami fokus pada keamanan. Jadi, tujuan keamanannya adalah CIA: kerahasiaan, integritas, ketersediaan, dan kemudian kami melihat nilai dampaknya dan kami menilai nilai-nilai tersebut rendah, sedang, atau tinggi. Ingat, risiko adalah perpotongan antara dampak dan probabilitas.

Kemudian, kami menetapkan kategori keamanan, yang merupakan bagian bawah halaman di sini. Kategori keamanan, atau SC, ditetapkan per jenis informasi atau per sistem informasi. Dan, itu ditugaskan untuk kerahasiaan, integritas, dan ketersediaan. X yang ditampilkan di sini diganti dengan rendah, sedang, atau tinggi. Dan ini membantu kami menentukan cara terbaik menerapkan kontrol untuk melindungi data tersebut. Sedikit lebih banyak tentang jenis informasi, ini adalah topik yang membingungkan. Ada banyak kategori atau jenis informasi. Bisa privasi, medis seperti PHI, kekayaan intelektual, informasi rahasia, dan lain-lain. Dan, mungkin ada hukum atau arahan atau sesuatu yang membutuhkan informasi untuk dilindungi dengan cara tertentu. Contoh yang kami miliki di bawah ini adalah untuk informasi kesehatan yang dilindungi, atau PHI. Jadi, kategori keamanan kami untuk PHI adalah kerahasiaan yang tinggi, kami tidak ingin seseorang dapat mencuri informasi kesehatan kami yang dilindungi.

Integritas tinggi, kami tidak ingin seseorang bisa masuk ke sana dan mengubah rekam medis saya misalnya. Tapi, ketersediaannya bisa rendah, tidak seperti pasien yang catatannya harus diakses setiap saat. Dan, ini bisa berubah berdasarkan kasus penggunaan, tapi ini hanya contoh umum. Langkah selanjutnya adalah memilih kontrol keamanan. Ini didefinisikan oleh NIST 800-53, revisi terakhir adalah lima. Dalam langkah RMF ini, kami memilih sekumpulan awal kontrol dasar untuk sistem berdasarkan klasifikasi kategorisasi yang kami lakukan sebelumnya.

Dan, kami ingin mempertimbangkan untuk menyesuaikan dan melengkapi kumpulan kontrol dasar berdasarkan risk atau kondisi lokal. Contohnya adalah jika ini adalah sistem senjata, misalnya, itu adalah pesawat drone. Kami akan memiliki serangkaian kontrol keamanan dasar untuk pesawat drone itu, tetapi jika pesawat drone itu terbang ke wilayah musuh, tergantung pada musuh dan negara tempat terbangnya, kami mungkin perlu menambahkan kontrol tambahan. Itulah kondisi lokal yang sedang kita bicarakan. Dan, bagian bawah di sini, ini adalah contoh, kutipan, dari kelompok kontrol di 800-53. Jadi, inilah yang akan Anda pilih untuk kontrol keamanan Anda. Langkah ketiga sangat sederhana, Anda menerapkan kontrol yang Anda pilih di langkah kedua. Anda juga ingin mendokumentasikan bagaimana Anda menerapkannya. Langkah keempat, Anda menilai kontrolnya. Jadi, Anda telah mengkategorikan sistemnya. Anda telah memilih beberapa kontrol.

Anda menerapkan kontrol. Dan, sekarang Anda ingin menilai kontrol tersebut untuk melihat apakah mereka benar-benar diterapkan sesuai keinginan dan menghasilkan hasil yang diinginkan, jadi apakah mereka benar-benar mengurangi risikonya. Ini adalah langkah yang sangat penting. Panduan pendamping untuk NIST 800-53 adalah NIST 800-53a, yang memberi Anda beberapa panduan tentang cara menilai kontrol yang Anda pilih di 800-53 atau hanya menilai kontrol secara umum. Berikut kutipannya.

Ini dari 800-53a dan Anda dapat melihat di sini, ini memberitahu Anda bagaimana melakukan penilaian kontrol: Pencadangan Sistem Informasi. Dan, ini memandu Anda melalui proses ini. Dan metodologi ini dapat Anda terapkan pada kontrol apa pun. Ini memberi Anda di bagian paling bawah di sana, yang penting, metode dan tujuan penilaian. Jadi, Anda bisa memeriksa, Anda bisa wawancara, dan Anda bisa menguji. Dan, biasanya, saat Anda melakukan audit, Anda memerlukan beberapa artefak dari kombinasi beberapa artefak tersebut untuk membuktikan bahwa kontrol tersebut benar-benar berfungsi. Langkah selanjutnya, langkah lima, adalah mengotorisasi sistem informasi. Jadi, ketika kita telah melalui empat langkah pertama, sekarang kita sampai pada titik di mana kita tahu bahwa kontrol tersebut bekerja dengan baik karena kita telah menilai mereka.

Jadi, seseorang dengan otoritas yang tepat harus membuat keputusan untuk mengizinkan sistem beroperasi di lingkungan normal. Jadi, mereka menerima resiko secara formal untuk sistem. Langkah selanjutnya adalah memantau. Jadi, Anda perlu memantau kontrol keamanan, ini adalah langkah enam. Setelah sistem beroperasi, tidak seperti itu. Ini tidak seperti satu set dan lupakan. Anda harus terus memantaunya karena risiko berubah. Apa yang mungkin berisiko rendah hari ini atau risiko yang dinilai rendah dapat berubah menjadi kritis besok atau jika ada misi yang berbeda untuk sistem ini, tergantung pada jenis sistem, jika sistem digunakan dalam kapasitas yang berbeda, risikonya dapat berubah demikian juga. Jadi, Anda harus terus memantau kontrol dan memastikannya masih efektif. Lingkungan berubah, risiko berubah, kemungkinan eksploitasi berubah, jadi penting untuk memantau hal ini secara rutin. Biasanya, dengan RMF, sebagian besar organisasi memantau ini setahun sekali atau menilai ulang ini setahun sekali. Saya pribadi berpikir itu harus lebih sering, terutama dengan sistem kritis.

Jadi, ini adalah ringkasan dari apa yang kita bicarakan. Ini adalah gambaran yang pada dasarnya kami mulai di awal. Jadi, kami berbicara tentang masukan ke langkah pertama, kategorisasi. Jadi, deskripsi arsitektur, masukan organisasi. Kemudian, kami melanjutkan ke langkah kedua, kami akan memilih kontrol berdasarkan bagaimana kami mengkategorikan sistem informasi atau jenis informasi. Langkah ketiga, kami akan menerapkan kontrol yang kami pilih atau pilih di langkah kedua. Langkah keempat, kami akan menilai untuk memastikan kontrol keamanan yang kami terapkan di langkah ketiga benar-benar efektif.

Dan ingat langkah kedua, panduan untuk itu adalah 800-53. Langkah keempat, 800-53a. Lalu, kami akan mengotorisasinya di langkah lima. Jadi, seseorang secara formal harus menerima risiko bahwa sistem ini dapat beroperasi di lingkungan ini. Dan, kemudian langkah enam, kami ingin memantau kontrol untuk memastikan bahwa kontrol tersebut efektif dari waktu ke waktu dan dengan kondisi yang berbeda. Dan, proses ini berulang dengan sendirinya karena risiko bukanlah hal yang hanya Anda lakukan sekali dan melupakannya. Itu adalah sesuatu yang terus-menerus Anda nilai. Semoga video ini bermanfaat bagi Anda. Itu hanya dimaksudkan sebagai gambaran singkat tentang RMF, yang merupakan kerangka kerja, bukan peraturan seperti yang kita bicarakan. Jika Anda memiliki pertanyaan tentang video, komentar, saran, atau ingin video mendatang, tinggalkan di bawah video ini. Juga, silakan berlangganan saluran kami. Kami juga memiliki kelas tentang Kerangka Manajemen Risiko. Ini adalah kelas profesional otorisasi bersertifikat, jadi jika Anda tertarik untuk mempelajari lebih lanjut tentang Kerangka Manajemen Risiko dan seluruh proses ini, kelas tersebut adalah kelas empat hari. Saya akan meletakkan tautan di bawah video ini. Terima kasih dan semoga hari Anda menyenangkan bekerja dengan Kerangka Manajemen Risiko.

 

Read More: Manajemen Risiko di Perbankan dan Pasar Keuangan | IIMBx di edX

As found on YouTube