Framework Compliance Manager

Dokumen ini menyediakan konten referensi untuk framework cloud bawaan yang disertakan dalam Compliance Manager.

Google Recommended AI Essentials - Vertex AI

Penyedia cloud yang didukung: Google Cloud

Framework ini menguraikan praktik terbaik keamanan yang direkomendasikan Google untuk workload Vertex AI, yang menyediakan kumpulan kebijakan penting yang bersifat preskriptif untuk pencegahan dan deteksi. Setelah aktivasi Perlindungan AI dalam Security Command Center, penilaian kepatuhan keamanan yang mendetail terhadap framework ini akan otomatis ditampilkan di dasbor Keamanan AI.

Framework ini mencakup kontrol cloud berikut:

CIS GKE 1.7

Penyedia cloud yang didukung: Google Cloud

Tolok Ukur GKE CIS adalah serangkaian rekomendasi dan praktik terbaik keamanan yang secara khusus disesuaikan untuk cluster Google Kubernetes Engine (GKE). Tolok ukur ini bertujuan untuk meningkatkan postur keamanan lingkungan GKE.

Framework ini mencakup kontrol cloud berikut:

CIS Critical Security Controls v8

Penyedia cloud yang didukung: Google Cloud

Serangkaian pengamanan yang diprioritaskan untuk melindungi dari ancaman cyber yang umum. Framework ini menawarkan pendekatan praktis untuk pertahanan cyber, yang dikelompokkan ke dalam Grup Penerapan (IG1, IG2, IG3) agar sesuai dengan organisasi dengan tingkat kematangan yang berbeda-beda.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

cis-controls-1-1

Buat dan pertahankan inventaris yang akurat, mendetail, dan terbaru dari semua aset perusahaan yang berpotensi menyimpan atau memproses data, termasuk: perangkat pengguna akhir (termasuk perangkat portabel dan seluler), perangkat jaringan, perangkat non-komputasi/IoT, dan server. Pastikan inventaris mencatat alamat jaringan (jika statis), alamat hardware, nama komputer, pemilik aset perusahaan, departemen untuk setiap aset, dan apakah aset telah disetujui untuk terhubung ke jaringan. Untuk perangkat pengguna akhir seluler, alat jenis MDM dapat mendukung proses ini, jika sesuai. Inventaris ini mencakup aset yang terhubung ke infrastruktur secara fisik, virtual, jarak jauh, dan yang berada dalam lingkungan cloud. Selain itu, fitur ini mencakup aset yang secara rutin terhubung ke infrastruktur jaringan perusahaan, meskipun aset tersebut tidak berada di bawah kontrol perusahaan. Tinjau dan perbarui inventaris semua aset perusahaan dua kali setahun, atau lebih sering.

cis-controls-10-2

Konfigurasi update otomatis untuk file tanda tangan anti-malware di semua aset perusahaan.

cis-controls-10-3

Nonaktifkan fungsi eksekusi otomatis putar otomatis dan jalankan otomatis untuk media yang dapat dilepas.

cis-controls-10-6

Mengelola perangkat lunak anti-malware secara terpusat.

cis-controls-11-1

Menetapkan dan mempertahankan proses pemulihan data yang terdokumentasi yang mencakup prosedur pencadangan terperinci. Dalam prosesnya, tangani cakupan aktivitas pemulihan data, prioritas pemulihan, dan keamanan data cadangan. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-11-2

Melakukan pencadangan otomatis aset perusahaan dalam cakupan. Jalankan pencadangan setiap minggu, atau lebih sering, berdasarkan sensitivitas data.

cis-controls-11-3

Lindungi data pemulihan dengan kontrol yang setara dengan data asli. Merujuk pada enkripsi atau pemisahan data, berdasarkan persyaratan.

cis-controls-11-4

Buat dan kelola instance terisolasi dari data pemulihan. Contoh penerapan mencakup, mengontrol versi tujuan pencadangan melalui sistem atau layanan offline, cloud, atau di luar lokasi.

cis-controls-11-5

Uji pemulihan cadangan setiap tiga bulan, atau lebih sering, untuk sampel aset perusahaan dalam cakupan.

cis-controls-12-2

Mendesain dan memelihara arsitektur jaringan yang aman. Arsitektur jaringan yang aman harus menangani segmentasi, hak istimewa terendah, dan ketersediaan, minimal. Contoh penerapan dapat mencakup dokumentasi, kebijakan, dan komponen desain.

cis-controls-12-3

Mengelola infrastruktur jaringan dengan aman. Contoh penerapan mencakup Infrastructure-as-Code (IaC) yang dikontrol versinya, dan penggunaan protokol jaringan yang aman, seperti SSH dan HTTPS.

cis-controls-12-5

Memusatkan AAA jaringan.

cis-controls-12-6

Terapkan protokol pengelolaan jaringan yang aman (misalnya, 802.1X) dan protokol komunikasi yang aman (misalnya, Wi-Fi Protected Access 2 (WPA2) Enterprise atau alternatif yang lebih aman).

cis-controls-12-7

Mewajibkan pengguna melakukan autentikasi ke layanan autentikasi dan VPN yang dikelola perusahaan sebelum mengakses resource perusahaan di perangkat pengguna akhir.

cis-controls-13-1

Memusatkan pemberitahuan peristiwa keamanan di seluruh aset perusahaan untuk korelasi dan analisis log. Implementasi praktik terbaik memerlukan penggunaan SIEM, yang mencakup pemberitahuan korelasi peristiwa yang ditentukan vendor. Platform analisis log yang dikonfigurasi dengan pemberitahuan korelasi yang relevan dengan keamanan juga memenuhi Pengamanan ini.

cis-controls-13-2

Deploy solusi deteksi intrusi berbasis host pada aset perusahaan, jika sesuai dan/atau didukung.

cis-controls-13-3

Deploy solusi deteksi penyusupan jaringan pada aset perusahaan, jika sesuai. Contoh penerapan mencakup penggunaan Sistem Deteksi Intrusi Jaringan (NIDS) atau layanan penyedia layanan cloud (CSP) yang setara.

cis-controls-13-4

Lakukan pemfilteran traffic antar-segmen jaringan, jika sesuai.

cis-controls-13-5

Mengelola kontrol akses untuk aset yang terhubung dari jarak jauh ke resource perusahaan. Menentukan jumlah akses ke resource perusahaan berdasarkan: software anti-malware terbaru yang diinstal, kepatuhan konfigurasi dengan proses konfigurasi aman perusahaan, dan memastikan sistem operasi serta aplikasi selalu diupdate.

cis-controls-13-6

Kumpulkan log alur traffic jaringan dan/atau traffic jaringan untuk ditinjau dan diberi tahu dari perangkat jaringan.

cis-controls-13-7

Deploy solusi pencegahan intrusi berbasis host pada aset perusahaan, jika sesuai dan/atau didukung. Contoh implementasi mencakup penggunaan klien Deteksi dan Respons Endpoint (EDR) atau agen IPS berbasis host.

cis-controls-13-8

Deploy solusi pencegahan intrusi jaringan, jika sesuai. Contoh penerapan mencakup penggunaan Sistem Pencegahan Intrusi Jaringan (NIPS) atau layanan CSP yang setara.

cis-controls-13-9

Deploy kontrol akses tingkat port. Kontrol akses tingkat port menggunakan 802.1x, atau protokol kontrol akses jaringan serupa, seperti sertifikat, dan dapat menggabungkan autentikasi pengguna dan/atau perangkat.

cis-controls-14-1

Menetapkan dan mengelola program kesadaran keamanan. Tujuan program kesadaran keamanan adalah untuk mengedukasi karyawan perusahaan tentang cara berinteraksi dengan aset dan data perusahaan secara aman. Melakukan pelatihan saat perekrutan dan setidaknya setiap tahun. Tinjau dan perbarui konten setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-14-3

Latih anggota tenaga kerja tentang praktik terbaik autentikasi. Contoh topiknya mencakup MFA, komposisi sandi, dan pengelolaan kredensial.

cis-controls-14-5

Melatih anggota tenaga kerja untuk menyadari penyebab eksposur data yang tidak disengaja. Contoh topiknya mencakup kesalahan pengiriman data sensitif, kehilangan perangkat pengguna akhir portabel, atau memublikasikan data kepada audiens yang tidak diinginkan.

cis-controls-16-1

Menetapkan dan mempertahankan proses pengembangan aplikasi yang aman. Dalam prosesnya, tangani item seperti: standar desain aplikasi yang aman, praktik coding yang aman, pelatihan developer, pengelolaan kerentanan, keamanan kode pihak ketiga, dan prosedur pengujian keamanan aplikasi. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-16-11

Manfaatkan modul atau layanan yang telah diseleksi untuk komponen keamanan aplikasi, seperti pengelolaan identitas, enkripsi, audit, dan logging. Penggunaan fitur platform dalam fungsi keamanan penting akan mengurangi beban kerja developer dan meminimalkan kemungkinan terjadinya error desain atau implementasi. Sistem operasi modern menyediakan mekanisme yang efektif untuk identifikasi, autentikasi, dan otorisasi serta membuat mekanisme tersebut tersedia untuk aplikasi. Hanya gunakan algoritma enkripsi yang terstandarisasi, saat ini diterima, dan telah ditinjau secara ekstensif. Sistem operasi juga menyediakan mekanisme untuk membuat dan memelihara log audit yang aman.

cis-controls-16-12

Terapkan alat analisis statis dan dinamis dalam siklus proses aplikasi untuk memverifikasi bahwa praktik coding yang aman telah diikuti.

cis-controls-16-13

Lakukan uji penetrasi aplikasi. Untuk aplikasi penting, pengujian penetrasi yang diautentikasi lebih cocok untuk menemukan kerentanan logika bisnis daripada pemindaian kode dan pengujian keamanan otomatis. Pengujian penetrasi mengandalkan keterampilan penguji untuk memanipulasi aplikasi secara manual sebagai pengguna yang diautentikasi dan tidak diautentikasi. 

cis-controls-16-2

Menetapkan dan mempertahankan proses untuk menerima dan menangani laporan kerentanan software, termasuk menyediakan cara bagi entitas eksternal untuk melaporkan. Prosesnya mencakup item seperti: kebijakan penanganan kerentanan yang mengidentifikasi proses pelaporan, pihak yang bertanggung jawab untuk menangani laporan kerentanan, dan proses untuk penerimaan, penetapan, perbaikan, dan pengujian perbaikan. Sebagai bagian dari proses, gunakan sistem pelacakan kerentanan yang mencakup rating tingkat keparahan dan metrik untuk mengukur waktu identifikasi, analisis, dan perbaikan kerentanan. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini. Developer aplikasi pihak ketiga harus menganggap hal ini sebagai kebijakan yang ditujukan untuk pihak eksternal yang membantu menetapkan ekspektasi bagi pemangku kepentingan di luar.

cis-controls-16-3

Lakukan analisis akar masalah pada kerentanan keamanan. Saat meninjau kerentanan, analisis akar masalah adalah tugas mengevaluasi masalah mendasar yang menyebabkan kerentanan dalam kode, dan memungkinkan tim pengembangan untuk tidak hanya memperbaiki kerentanan satu per satu saat muncul.

cis-controls-16-7

Gunakan template konfigurasi penguatan standar yang direkomendasikan industri untuk komponen infrastruktur aplikasi. Hal ini mencakup server, database, dan server web yang mendasarinya, serta berlaku untuk kontainer cloud, komponen Platform as a Service (PaaS), dan komponen SaaS. Jangan izinkan software yang dikembangkan secara internal melemahkan penguatan konfigurasi.

cis-controls-17-2

Tetapkan dan pertahankan informasi kontak untuk pihak yang perlu diberi tahu tentang insiden keamanan. Kontak dapat mencakup staf internal, penyedia layanan, penegak hukum, penyedia asuransi siber, lembaga pemerintah yang relevan, partner Pusat Analisis dan Berbagi Informasi (ISAC), atau pemangku kepentingan lainnya. Verifikasi kontak setiap tahun untuk memastikan informasi sudah yang terbaru.

cis-controls-17-4

Tetapkan dan pertahankan proses respons insiden terdokumentasi yang membahas peran dan tanggung jawab, persyaratan kepatuhan, dan rencana komunikasi. Tinjau setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-17-9

Menetapkan dan mempertahankan batas insiden keamanan, termasuk, setidaknya, membedakan antara insiden dan peristiwa. Contohnya dapat mencakup: aktivitas abnormal, kerentanan keamanan, kelemahan keamanan, pelanggaran data, insiden privasi, dll. Tinjau setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-18-1

Menetapkan dan mempertahankan program pengujian penetrasi yang sesuai dengan ukuran, kompleksitas, industri, dan kematangan perusahaan. Karakteristik program pengujian penetrasi mencakup cakupan, seperti jaringan, aplikasi web, Application Programming Interface (API), layanan yang dihosting, dan kontrol premis fisik; frekuensi; batasan, seperti jam yang dapat diterima, dan jenis serangan yang dikecualikan; informasi kontak; perbaikan, seperti cara temuan akan diarahkan secara internal; dan persyaratan retrospektif.

cis-controls-18-2

Lakukan uji penetrasi eksternal secara berkala berdasarkan persyaratan program, setidaknya setahun sekali. Pengujian penetrasi eksternal harus mencakup pengintaian perusahaan dan lingkungan untuk mendeteksi informasi yang dapat dieksploitasi. Pengujian penetrasi memerlukan keterampilan dan pengalaman khusus serta harus dilakukan melalui pihak yang memenuhi syarat. Pengujian dapat berupa kotak transparan atau kotak buram.

cis-controls-18-5

Lakukan uji penetrasi internal secara berkala berdasarkan persyaratan program, setidaknya setahun sekali. Pengujian dapat berupa kotak transparan atau kotak buram.

cis-controls-2-7

Gunakan kontrol teknis, seperti tanda tangan digital dan kontrol versi, untuk memastikan bahwa hanya skrip yang diotorisasi, seperti file .ps1 dan .py tertentu, yang diizinkan untuk dieksekusi. Mencegah skrip yang tidak sah dijalankan. Lakukan penilaian ulang dua kali setahun, atau lebih sering.

cis-controls-3-1

Menetapkan dan mempertahankan proses pengelolaan data yang terdokumentasi. Dalam prosesnya, tangani sensitivitas data, pemilik data, penanganan data, batas retensi data, dan persyaratan pembuangan, berdasarkan standar sensitivitas dan retensi untuk perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-3-11

Enkripsi data sensitif dalam penyimpanan di server, aplikasi, dan database. Enkripsi lapisan penyimpanan, yang juga dikenal sebagai enkripsi sisi server, memenuhi persyaratan minimum Pengamanan ini. Metode enkripsi tambahan dapat mencakup enkripsi lapisan aplikasi, yang juga dikenal sebagai enkripsi sisi klien, di mana akses ke perangkat penyimpanan data tidak mengizinkan akses ke data teks biasa.

cis-controls-3-14

Mencatat akses data sensitif, termasuk modifikasi dan penghapusan.

cis-controls-3-2

Menetapkan dan mengelola inventaris data berdasarkan proses pengelolaan data perusahaan. Inventaris data sensitif, setidaknya. Tinjau dan perbarui inventaris setidaknya setahun sekali, dengan memprioritaskan data sensitif.

cis-controls-3-3

Mengonfigurasi daftar kontrol akses data berdasarkan kebutuhan pengguna untuk mengetahui data. Terapkan daftar kontrol akses data, yang juga dikenal sebagai izin akses, ke sistem file, database, dan aplikasi lokal dan jarak jauh.

cis-controls-3-4

Mempertahankan data sesuai dengan proses pengelolaan data perusahaan yang terdokumentasi. Retensi data harus mencakup jangka waktu minimum dan maksimum.

cis-controls-3-5

Buang data dengan aman seperti yang diuraikan dalam proses pengelolaan data yang didokumentasikan perusahaan. Pastikan proses dan metode pembuangan sesuai dengan sensitivitas data.

cis-controls-3-6

Enkripsi data di perangkat pengguna akhir yang berisi data sensitif. Contoh penerapan dapat mencakup: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.

cis-controls-3-7

Menetapkan dan mengelola skema klasifikasi data secara keseluruhan untuk perusahaan. Perusahaan dapat menggunakan label, seperti “Sensitif”, “Rahasia”, dan “Publik”, serta mengklasifikasikan data mereka sesuai dengan label tersebut. Tinjau dan perbarui skema klasifikasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-3-8

Alur data dokumen. Dokumentasi alur data mencakup alur data penyedia layanan dan harus didasarkan pada proses pengelolaan data perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-3-9

Enkripsi data di media yang dapat dilepas.

cis-controls-4-1

Menetapkan dan mempertahankan proses konfigurasi aman yang terdokumentasi untuk aset perusahaan (perangkat pengguna akhir, termasuk perangkat portabel dan seluler, perangkat non-komputasi/IoT, dan server) serta software (sistem operasi dan aplikasi). Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-4-2

Menetapkan dan mempertahankan proses konfigurasi aman yang terdokumentasi untuk perangkat jaringan. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-4-3

Mengonfigurasi penguncian sesi otomatis pada aset perusahaan setelah periode tidak aktif yang ditentukan. Untuk sistem operasi serbaguna, periode tidak boleh melebihi 15 menit. Untuk perangkat pengguna akhir seluler, periode tidak boleh melebihi 2 menit.

cis-controls-4-4

Menerapkan dan mengelola firewall di server, jika didukung. Contoh penerapan mencakup firewall virtual, firewall sistem operasi, atau agen firewall pihak ketiga.

cis-controls-4-5

Terapkan dan kelola firewall berbasis host atau alat pemfilteran port di perangkat pengguna akhir, dengan aturan tolak default yang membatalkan semua traffic kecuali layanan dan port yang diizinkan secara eksplisit.

cis-controls-4-6

Mengelola aset dan software perusahaan dengan aman. Contoh penerapan mencakup pengelolaan konfigurasi melalui Infrastructure-as-Code (IaC) yang dikontrol versi dan mengakses antarmuka administratif melalui protokol jaringan yang aman, seperti Secure Shell (SSH) dan Hypertext Transfer Protocol Secure (HTTPS). Jangan gunakan protokol pengelolaan yang tidak aman, seperti Telnet (Teletype Network) dan HTTP, kecuali jika sangat penting untuk pengoperasian.

cis-controls-4-7

Mengelola akun default di aset dan software perusahaan, seperti akun root, administrator, dan akun vendor yang telah dikonfigurasi sebelumnya. Contoh penerapan dapat mencakup: menonaktifkan akun default atau membuatnya tidak dapat digunakan.

cis-controls-4-8

Uninstal atau nonaktifkan layanan yang tidak diperlukan di aset dan software perusahaan, seperti layanan berbagi file, modul aplikasi web, atau fungsi layanan yang tidak digunakan.

cis-controls-5-1

Buat dan kelola inventaris semua akun yang dikelola di perusahaan. Inventaris minimal harus mencakup akun pengguna, administrator, dan layanan. Setidaknya, inventaris harus berisi nama orang, nama pengguna, tanggal mulai/berhenti, dan departemen. Pastikan semua akun aktif diberi otorisasi, setidaknya setiap tiga bulan sekali, atau lebih sering.

cis-controls-5-2

Gunakan sandi unik untuk semua aset perusahaan. Penerapan praktik terbaik mencakup, minimal, sandi 8 karakter untuk akun yang menggunakan Autentikasi Multi-Faktor (MFA) dan sandi 14 karakter untuk akun yang tidak menggunakan MFA. 

cis-controls-5-4

Membatasi hak istimewa administrator ke akun administrator khusus pada aset perusahaan. Lakukan aktivitas komputasi umum, seperti penjelajahan internet, email, dan penggunaan suite produktivitas, dari akun utama pengguna yang tidak memiliki hak istimewa.

cis-controls-5-5

Buat dan kelola inventaris akun layanan. Inventaris setidaknya harus berisi pemilik departemen, tanggal ulasan, dan tujuan. Lakukan peninjauan akun layanan untuk memvalidasi bahwa semua akun aktif telah diberi otorisasi, setidaknya setiap tiga bulan sekali, atau lebih sering.

cis-controls-5-6

Pusatkan pengelolaan akun melalui layanan identitas atau direktori.

cis-controls-6-1

Buat dan ikuti proses yang terdokumentasi, sebaiknya otomatis, untuk memberikan akses ke aset perusahaan saat pengguna baru dipekerjakan atau terjadi perubahan peran pengguna.

cis-controls-6-2

Buat dan ikuti proses, sebaiknya otomatis, untuk mencabut akses ke aset perusahaan, dengan menonaktifkan akun segera setelah penghentian, pencabutan hak, atau perubahan peran pengguna. Menonaktifkan akun, bukan menghapus akun, mungkin diperlukan untuk mempertahankan jejak audit.

cis-controls-6-3

Mewajibkan semua aplikasi pihak ketiga atau perusahaan yang terekspos secara eksternal untuk menerapkan MFA, jika didukung. Menerapkan MFA melalui layanan direktori atau penyedia SSO adalah penerapan yang memuaskan untuk Pengamanan ini.

cis-controls-6-5

Mewajibkan MFA untuk semua akun akses administratif, jika didukung, di semua aset perusahaan, baik yang dikelola di lokasi maupun melalui penyedia layanan.

cis-controls-6-6

Membuat dan mengelola inventaris sistem autentikasi dan otorisasi perusahaan, termasuk yang dihosting di lokasi atau di penyedia layanan jarak jauh. Tinjau dan perbarui inventaris setidaknya setahun sekali, atau lebih sering.

cis-controls-6-7

Memusatkan kontrol akses untuk semua aset perusahaan melalui layanan direktori atau penyedia SSO, jika didukung.

cis-controls-6-8

Menentukan dan mempertahankan kontrol akses berbasis peran, dengan menentukan dan mendokumentasikan hak akses yang diperlukan untuk setiap peran dalam perusahaan agar dapat berhasil menjalankan tugas yang ditetapkan. Lakukan peninjauan kontrol akses aset perusahaan untuk memvalidasi bahwa semua hak istimewa telah diberi otorisasi, setidaknya setiap tahun secara rutin, atau lebih sering.

cis-controls-7-2

Tetapkan dan pertahankan strategi perbaikan berbasis risiko yang didokumentasikan dalam proses perbaikan, dengan peninjauan bulanan, atau lebih sering.

cis-controls-7-7

Perbaiki kerentanan yang terdeteksi dalam software melalui proses dan alat setiap bulan, atau lebih sering, berdasarkan proses perbaikan.

cis-controls-8-1

Buat dan pertahankan proses pengelolaan log audit yang terdokumentasi yang menentukan persyaratan pencatatan log perusahaan. Setidaknya, tangani pengumpulan, peninjauan, dan retensi log audit untuk aset perusahaan. Tinjau dan perbarui dokumentasi setiap tahun, atau saat terjadi perubahan signifikan pada perusahaan yang dapat memengaruhi Pengamanan ini.

cis-controls-8-11

Lakukan peninjauan log audit untuk mendeteksi anomali atau peristiwa tidak normal yang dapat mengindikasikan potensi ancaman. Lakukan peninjauan setiap minggu, atau lebih sering.

cis-controls-8-2

Kumpulkan log audit. Pastikan bahwa logging, sesuai dengan proses pengelolaan log audit perusahaan, telah diaktifkan di seluruh aset perusahaan.

cis-controls-8-3

Pastikan tujuan logging mempertahankan penyimpanan yang memadai untuk mematuhi proses pengelolaan log audit perusahaan.

cis-controls-8-4

Menstandardisasi sinkronisasi waktu. Konfigurasi minimal dua sumber waktu yang disinkronkan di seluruh aset perusahaan, jika didukung.

cis-controls-8-5

Konfigurasi logging audit mendetail untuk aset perusahaan yang berisi data sensitif. Sertakan sumber peristiwa, tanggal, nama pengguna, stempel waktu, alamat sumber, alamat tujuan, dan elemen berguna lainnya yang dapat membantu penyelidikan forensik.

cis-controls-8-6

Kumpulkan log audit kueri DNS di aset perusahaan, jika sesuai dan didukung.

cis-controls-8-7

Kumpulkan log audit permintaan URL di aset perusahaan, jika sesuai dan didukung.

cis-controls-8-8

Kumpulkan log audit command line. Contoh penerapan mencakup pengumpulan log audit dari PowerShell®, BASH™, dan terminal administratif jarak jauh.

cis-controls-8-9

Pusatkan, sejauh memungkinkan, pengumpulan dan retensi log audit di seluruh aset perusahaan sesuai dengan proses pengelolaan log audit yang didokumentasikan. Contoh penerapan terutama mencakup pemanfaatan alat SIEM untuk memusatkan beberapa sumber log.

cis-controls-9-1

Pastikan hanya browser dan klien email yang didukung sepenuhnya yang diizinkan untuk dijalankan di perusahaan, hanya menggunakan browser dan klien email versi terbaru yang disediakan melalui vendor.

cis-controls-9-2

Gunakan layanan pemfilteran DNS di semua perangkat pengguna akhir, termasuk aset jarak jauh dan lokal, untuk memblokir akses ke domain berbahaya yang diketahui.

cis-controls-9-3

Menerapkan dan memperbarui filter URL berbasis jaringan untuk membatasi aset perusahaan agar tidak terhubung ke situs yang berpotensi berbahaya atau tidak disetujui. Contoh penerapan mencakup pemfilteran berbasis kategori, pemfilteran berbasis reputasi, atau melalui penggunaan daftar blokir. Menerapkan filter untuk semua aset perusahaan.

cis-controls-9-4

Batasi, baik dengan meng-uninstal atau menonaktifkan, semua plugin, ekstensi, dan aplikasi add-on browser atau klien email yang tidak sah atau tidak diperlukan.

CSA Cloud Controls Matrix v4.0.11

Penyedia cloud yang didukung: Google Cloud

Framework kontrol keamanan siber yang dirancang khusus untuk lingkungan cloud computing. Layanan ini menyediakan serangkaian kontrol yang komprehensif di seluruh domain utama untuk membantu Anda menilai postur keamanan layanan cloud Anda.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

ccm-aa-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan, prosedur, dan standar audit serta jaminan. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-aa-02

Melakukan penilaian audit dan jaminan independen sesuai dengan standar yang relevan setidaknya setiap tahun.

ccm-ais-01

Buat, dokumentasikan, setujui, komunikasikan, terapkan, evaluasi, dan pertahankan kebijakan dan prosedur untuk keamanan aplikasi guna memberikan panduan yang sesuai untuk perencanaan, pengiriman, dan dukungan kemampuan keamanan aplikasi organisasi. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-ais-02

Menetapkan, mendokumentasikan, dan mempertahankan persyaratan dasar untuk mengamankan berbagai aplikasi.

ccm-ais-03

Tentukan dan terapkan metrik teknis dan operasional yang selaras dengan tujuan bisnis, persyaratan keamanan, dan kewajiban kepatuhan.

ccm-ais-04

Tentukan dan terapkan proses SDLC untuk desain, pengembangan, deployment, dan pengoperasian aplikasi sesuai dengan persyaratan keamanan yang ditentukan oleh organisasi.

ccm-ais-05

Menerapkan strategi pengujian, termasuk kriteria untuk penerimaan sistem informasi baru, upgrade, dan versi baru, yang memberikan jaminan keamanan aplikasi dan mempertahankan kepatuhan sekaligus memungkinkan tujuan kecepatan pengiriman organisasi. Otomatiskan jika berlaku dan memungkinkan.

ccm-bcr-03

Menetapkan strategi untuk mengurangi dampak, menahan, dan memulihkan diri dari gangguan bisnis dalam toleransi risiko.

ccm-bcr-07

Menjalin komunikasi dengan pemangku kepentingan dan peserta dalam prosedur kelangsungan dan ketahanan bisnis.

ccm-bcr-08

Mencadangkan data yang disimpan di cloud secara berkala. Pastikan kerahasiaan, integritas, dan ketersediaan cadangan, serta verifikasi pemulihan data dari cadangan untuk ketahanan.

ccm-bcr-09

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara rencana respons bencana untuk memulihkan diri dari bencana alam dan bencana akibat ulah manusia. Perbarui rencana setidaknya setiap tahun atau saat ada perubahan signifikan.

ccm-bcr-10

Lakukan latihan rencana respons bencana setiap tahun atau saat terjadi perubahan signifikan, termasuk jika memungkinkan otoritas darurat setempat.

ccm-bcr-11

Lengkapi peralatan penting bisnis dengan peralatan redundan yang berlokasi secara terpisah pada jarak minimum yang wajar sesuai dengan standar industri yang berlaku.

ccm-ccc-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk mengelola risiko yang terkait dengan penerapan perubahan pada aset organisasi, termasuk aplikasi, sistem, infrastruktur, konfigurasi, dll. Kebijakan dan prosedur harus dikelola, terlepas dari apakah aset dikelola secara internal atau eksternal. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-ccc-02

Ikuti proses kontrol perubahan kualitas, persetujuan, dan pengujian yang telah ditentukan dengan standar dasar, pengujian, dan rilis yang ditetapkan.

ccm-ccc-07

Menerapkan langkah-langkah deteksi dengan notifikasi proaktif jika terjadi perubahan yang menyimpang dari dasar yang ditetapkan.

ccm-cek-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk Kriptografi, Enkripsi, dan Pengelolaan Kunci. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-cek-02

Menentukan dan menerapkan peran dan tanggung jawab kriptografi, enkripsi, serta pengelolaan kunci.

ccm-cek-03

Memberikan perlindungan kriptografi untuk data dalam penyimpanan dan dalam pengiriman, menggunakan library kriptografi yang disertifikasi sesuai standar yang disetujui.

ccm-cek-04

Gunakan algoritma enkripsi yang sesuai untuk perlindungan data, dengan mempertimbangkan klasifikasi data, risiko terkait, dan kegunaan teknologi enkripsi.

ccm-cek-05

Tetapkan prosedur manajemen perubahan standar, untuk mengakomodasi perubahan dari sumber internal dan eksternal, untuk peninjauan, persetujuan, penerapan, dan komunikasi perubahan teknologi kriptografi, enkripsi, dan pengelolaan kunci.

ccm-cek-08

CSP harus menyediakan kemampuan bagi CSC untuk mengelola kunci enkripsi data mereka sendiri.

ccm-cek-10

Buat Kunci kriptografi menggunakan library kriptografi yang diterima industri dengan menentukan kekuatan algoritma dan generator angka acak yang digunakan.

ccm-cek-11

Mengelola kunci rahasia dan kunci pribadi kriptografi yang disediakan untuk tujuan unik.

ccm-cek-18

Tentukan, terapkan, dan evaluasi proses, prosedur, dan tindakan teknis untuk mengelola kunci yang diarsipkan di repositori aman yang memerlukan akses hak istimewa terendah, yang mencakup ketentuan untuk persyaratan hukum dan peraturan.

ccm-cek-21

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan langkah-langkah teknis agar sistem pengelolaan kunci dapat melacak dan melaporkan semua materi kriptografis dan perubahan status, yang mencakup ketentuan untuk persyaratan hukum dan peraturan.

ccm-dcs-07

Terapkan perimeter keamanan fisik untuk melindungi personel, data, dan sistem informasi. Tetapkan perimeter keamanan fisik antara area administratif dan bisnis serta area fasilitas penyimpanan dan pemrosesan data.

ccm-dcs-09

Hanya mengizinkan personel yang berwenang mengakses area aman, dengan semua titik masuk dan keluar dibatasi, didokumentasikan, dan dipantau oleh mekanisme kontrol akses fisik. Mempertahankan catatan kontrol akses secara berkala sebagaimana dianggap sesuai oleh organisasi.

ccm-dsp-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk klasifikasi, perlindungan, dan penanganan data di sepanjang siklus prosesnya, serta sesuai dengan semua hukum dan peraturan, standar, dan tingkat risiko yang berlaku. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-dsp-02

Terapkan metode yang diterima industri untuk pembuangan data yang aman dari media penyimpanan sehingga data tidak dapat dipulihkan dengan cara forensik apa pun.

ccm-dsp-07

Mengembangkan sistem, produk, dan praktik bisnis berdasarkan prinsip keamanan sejak desain dan praktik terbaik industri.

ccm-dsp-08

Mengembangkan sistem, produk, dan praktik bisnis berdasarkan prinsip privasi sejak desain dan praktik terbaik industri. Pastikan setelan privasi sistem dikonfigurasi secara default, sesuai dengan semua hukum dan peraturan yang berlaku.

ccm-dsp-10

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan langkah-langkah teknis yang memastikan bahwa setiap transfer data pribadi atau sensitif dilindungi dari akses yang tidak sah dan hanya diproses dalam cakupan sebagaimana diizinkan oleh hukum dan peraturan yang berlaku.

ccm-dsp-16

Retensi, pengarsipan, dan penghapusan data dikelola sesuai dengan persyaratan bisnis, hukum, dan peraturan yang berlaku.

ccm-dsp-17

Menentukan dan menerapkan proses, prosedur, dan langkah-langkah teknis untuk melindungi data sensitif di sepanjang siklus prosesnya.

ccm-grc-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk program tata kelola informasi, yang disponsori oleh pimpinan organisasi. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-grc-03

Tinjau semua kebijakan organisasi yang relevan dan prosedur terkait setidaknya setahun sekali atau saat terjadi perubahan besar dalam organisasi.

ccm-grc-07

Identifikasi dan dokumentasikan semua standar, peraturan, persyaratan hukum, kontrak, dan hukum yang relevan, yang berlaku untuk organisasi Anda.

ccm-iam-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengaplikasikan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk pengelolaan identitas dan akses. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-iam-03

Mengelola, menyimpan, dan meninjau informasi identitas sistem, dan tingkat akses.

ccm-iam-04

Menerapkan prinsip pemisahan tugas saat menerapkan akses sistem informasi.

ccm-iam-05

Terapkan prinsip hak istimewa terendah saat menerapkan akses sistem informasi.

ccm-iam-07

Membatalkan penyediaan atau mengubah akses pemindah, karyawan yang keluar, atau perubahan identitas sistem secara tepat waktu untuk menerapkan dan mengomunikasikan kebijakan pengelolaan identitas dan akses secara efektif.

ccm-iam-09

Tentukan, terapkan, dan evaluasi proses, prosedur, dan langkah-langkah teknis untuk pemisahan peran akses istimewa sehingga akses administratif ke data, kemampuan enkripsi dan pengelolaan kunci, serta kemampuan logging berbeda dan terpisah.

ccm-iam-10

Tentukan dan terapkan proses akses untuk memastikan peran dan hak akses istimewa diberikan untuk jangka waktu terbatas, serta terapkan prosedur untuk mencegah kulminasi akses istimewa yang terpisah.

ccm-iam-11

Menentukan, menerapkan, dan mengevaluasi proses dan prosedur bagi pelanggan untuk berpartisipasi, jika berlaku, dalam pemberian akses untuk peran akses istimewa berisiko tinggi yang disepakati sebagaimana ditentukan oleh penilaian risiko organisasi.

ccm-iam-12

Tentukan, terapkan, dan evaluasi proses, prosedur, dan langkah-langkah teknis untuk memastikan infrastruktur logging bersifat hanya baca bagi semua orang yang memiliki akses tulis, termasuk peran akses istimewa, dan kemampuan untuk menonaktifkannya dikontrol melalui prosedur yang memastikan pemisahan tugas dan prosedur darurat.

ccm-iam-13

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan langkah-langkah teknis yang memastikan pengguna dapat diidentifikasi melalui ID unik atau yang dapat mengaitkan individu dengan penggunaan ID pengguna.

ccm-iam-14

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan tindakan teknis untuk mengautentikasi akses ke sistem, aplikasi, dan aset data, termasuk autentikasi multifaktor untuk akses data sensitif dan pengguna dengan hak istimewa terendah. Mengadopsi sertifikat digital atau alternatif yang mencapai tingkat keamanan yang setara untuk identitas sistem.

ccm-iam-16

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan langkah-langkah teknis untuk memverifikasi bahwa akses ke data dan fungsi sistem telah diberi otorisasi.

ccm-ivs-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk keamanan infrastruktur dan virtualisasi. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-ivs-03

Pantau, enkripsi, dan batasi komunikasi antarlingkungan hanya untuk koneksi yang diautentikasi dan diberi otorisasi, sebagaimana dibenarkan oleh bisnis. Tinjau konfigurasi ini setidaknya setiap tahun, dan dukung dengan justifikasi yang terdokumentasi untuk semua layanan, protokol, port, dan kontrol kompensasi yang diizinkan.

ccm-ivs-04

Perkuat OS host dan tamu, hypervisor, atau bidang kontrol infrastruktur sesuai dengan praktik terbaik masing-masing, dan didukung oleh kontrol teknis, sebagai bagian dari dasar keamanan.

ccm-ivs-06

Merancang, mengembangkan, men-deploy, dan mengonfigurasi aplikasi serta infrastruktur sehingga akses pengguna CSP dan CSC (tenant) serta akses intra-tenant tersegmentasi dan terpisah dengan tepat, dipantau, dan dibatasi dari tenant lain.

ccm-ivs-07

Gunakan saluran komunikasi yang aman dan terenkripsi saat memigrasikan server, layanan, aplikasi, atau data ke lingkungan cloud. Saluran tersebut hanya boleh menyertakan protokol yang terbaru dan disetujui.

ccm-ivs-09

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan teknik pertahanan mendalam untuk perlindungan, deteksi, dan respons tepat waktu terhadap serangan berbasis jaringan.

ccm-log-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk logging dan pemantauan. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-log-02

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan tindakan teknis untuk memastikan keamanan dan retensi log audit.

ccm-log-03

Mengidentifikasi dan memantau peristiwa terkait keamanan dalam aplikasi dan infrastruktur yang mendasarinya. Tentukan dan terapkan sistem untuk membuat pemberitahuan kepada pemangku kepentingan yang bertanggung jawab berdasarkan peristiwa tersebut dan metrik yang sesuai.

ccm-log-04

Membatasi akses log audit kepada personel yang berwenang dan menyimpan catatan yang memberikan akuntabilitas akses yang unik.

ccm-log-05

Pantau log audit keamanan untuk mendeteksi aktivitas di luar pola yang umum atau yang diharapkan. Tetapkan dan ikuti proses yang ditentukan untuk meninjau dan mengambil tindakan yang tepat dan tepat waktu terhadap anomali yang terdeteksi.

ccm-log-07

Menetapkan, mendokumentasikan, dan menerapkan metadata informasi serta peristiwa sistem data yang harus dicatat dalam log. Tinjau dan perbarui cakupan setidaknya setiap tahun atau setiap kali ada perubahan dalam lingkungan ancaman.

ccm-log-08

Membuat catatan audit yang berisi informasi keamanan yang relevan.

ccm-log-12

Pantau dan catat akses fisik menggunakan sistem kontrol akses yang dapat diaudit.

ccm-sef-01

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk Pengelolaan Insiden Keamanan, E-Discovery, dan Forensik Cloud. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-sef-02

Menetapkan, mendokumentasikan, menyetujui, mengomunikasikan, menerapkan, mengevaluasi, dan memelihara kebijakan dan prosedur untuk pengelolaan insiden keamanan yang tepat waktu. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-sef-08

Mempertahankan titik kontak untuk otoritas peraturan yang berlaku, penegak hukum nasional dan setempat, serta otoritas yurisdiksi hukum lainnya.

ccm-sta-04

Membatasi kepemilikan bersama dan penerapan semua kontrol CSA CCM sesuai dengan SSRM untuk penawaran layanan cloud.

ccm-sta-08

CSP secara berkala meninjau faktor risiko yang terkait dengan semua organisasi dalam rantai pasokan mereka.

ccm-sta-09

Perjanjian layanan antara CSP dan CSC (penyewa) harus mencakup setidaknya ketentuan dan persyaratan yang disepakati bersama yang mencakup Cakupan, karakteristik, dan lokasi hubungan bisnis serta layanan yang ditawarkan, Persyaratan keamanan informasi (termasuk SSRM), Proses pengelolaan perubahan, Kemampuan pencatatan dan pemantauan, Prosedur pengelolaan dan komunikasi insiden, Hak untuk mengaudit dan penilaian pihak ketiga, Penghentian layanan, Persyaratan interoperabilitas dan portabilitas, serta Privasi data.

ccm-tvm-01

Buat, dokumentasikan, setujui, komunikasikan, terapkan, evaluasi, dan pertahankan kebijakan dan prosedur untuk mengidentifikasi, melaporkan, dan memprioritaskan perbaikan kerentanan, guna melindungi sistem dari eksploitasi kerentanan. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-tvm-02

Buat, dokumentasikan, setujui, komunikasikan, terapkan, evaluasi, dan pertahankan kebijakan dan prosedur untuk melindungi aset terkelola dari malware. Tinjau dan perbarui kebijakan dan prosedur setidaknya setiap tahun.

ccm-tvm-03

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan langkah-langkah teknis untuk mengaktifkan respons terjadwal dan darurat terhadap identifikasi kerentanan, berdasarkan risiko yang teridentifikasi.

ccm-tvm-06

Menentukan, menerapkan, dan mengevaluasi proses, prosedur, dan langkah-langkah teknis untuk pengujian penetrasi berkala oleh pihak ketiga independen.

ccm-uem-04

Membuat inventaris semua endpoint yang digunakan untuk menyimpan dan mengakses data perusahaan.

ccm-uem-07

Mengelola perubahan pada sistem operasi endpoint, tingkat patch, dan aplikasi melalui proses pengelolaan perubahan perusahaan.

ccm-uem-10

Konfigurasi endpoint terkelola dengan firewall software yang dikonfigurasi dengan benar.

ccm-uem-11

Konfigurasi endpoint terkelola dengan teknologi dan aturan Pencegahan Kebocoran Data (DLP) sesuai dengan penilaian risiko.

Data Security and Privacy Essentials

Penyedia cloud yang didukung: Google Cloud

Kontrol cloud yang direkomendasikan Google untuk Keamanan dan Privasi Data

Framework ini mencakup kontrol cloud berikut:

Data Security Framework Template

Penyedia cloud yang didukung: Google Cloud

Framework bawaan Google untuk men-deploy Kontrol Cloud DSPM tingkat lanjut.

Framework ini mencakup kontrol cloud berikut:

FedRAMP Low 20x

Penyedia cloud yang didukung: Google Cloud

Program tingkat Pemerintah yang menyediakan pendekatan standar dan dapat digunakan kembali terkait penilaian keamanan dan otorisasi untuk produk dan layanan cloud computing yang memproses informasi terkontrol yang tidak rahasia yang digunakan oleh lembaga pemerintah. Dampak Rendah FedRAMP paling sesuai untuk CSO yang kehilangan kerahasiaan, integritas, dan ketersediaannya akan mengakibatkan efek buruk terbatas pada operasi, aset, atau individu di suatu lembaga.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

ksi-cmt-1

Mencatat dan memantau modifikasi sistem. Pastikan semua perubahan sistem didokumentasikan dan dasar konfigurasi diperbarui.

ksi-cna-1

Konfigurasi semua resource informasi untuk membatasi traffic masuk dan keluar.

ksi-cna-2

Merancang sistem untuk membantu mengurangi permukaan serangan dan meminimalkan gerakan lateral jika sistem disusupi.

ksi-cna-4

Gunakan infrastruktur yang tidak dapat diubah dengan fungsi dan hak istimewa yang ditentukan secara ketat.

ksi-cna-6

Rancang sistem informasi dengan kemampuan ketersediaan tinggi dan pemulihan cepat untuk membantu mencegah kehilangan data.

ksi-cna-7

Terapkan sumber informasi cloud-first yang didasarkan pada praktik terbaik dan panduan terdokumentasi penyedia host.

ksi-iam-3

Terapkan metode autentikasi yang aman untuk semua akun dan layanan non-pengguna dalam Google Cloud guna membantu melindungi data dan resource dari akses yang tidak sah.

ksi-iam-4

Terapkan model otorisasi keamanan yang memiliki hak istimewa terendah, berbasis peran dan atribut, serta tepat waktu. Gunakan model ini untuk semua akun dan layanan pengguna serta non-pengguna guna membantu mengurangi risiko akses atau penyalahgunaan yang tidak sah.

ksi-mla-2

Tinjau log audit aplikasi dan layanan Anda secara berkala.

ksi-mla-3

Mendeteksi kerentanan dan segera memperbaikinya atau memitigasinya untuk membantu mengurangi dampak risiko pada aplikasi dan layanan.

ksi-piy-1

Pertahankan inventaris atau kode resource informasi yang diperbarui yang menentukan semua aset, software, dan layanan yang di-deploy.

ksi-piy-4

Bangun pertimbangan keamanan ke dalam Siklus Proses Pengembangan Software (SDLC) dan selaraskan dengan prinsip Secure By Design Cybersecurity and Infrastructure Security Agency (CISA).

ksi-svc-1

Tinjau dan perkuat konfigurasi jaringan dan sistem secara rutin untuk membantu memastikan dasar keamanan.

ksi-svc-2

Enkripsi semua data konten inti yang dipertukarkan antara mesin yang terhubung ke Google Cloud, atau amankan semua traffic jaringan untuk membantu melindungi data.

ksi-svc-6

Gunakan sistem pengelolaan kunci otomatis untuk membantu melindungi, mengelola, dan merotasi kunci dan sertifikat digital secara rutin.

ksi-svc-7

Terapkan pendekatan yang konsisten dan berbasis risiko untuk menerapkan patch keamanan ke aplikasi dan layanan Anda.

ISO 27001:2022

Penyedia cloud yang didukung: Google Cloud

Standar internasional untuk Sistem Pengelolaan Keamanan Informasi (ISMS). ISO/IEC 27001 memberikan pendekatan sistematis berbasis risiko untuk mengelola informasi sensitif dengan menentukan persyaratan untuk menetapkan dan meningkatkan kontrol keamanan.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

iso-27001-2022-a-5-1

Kebijakan keamanan informasi dan kebijakan khusus topik harus ditentukan, disetujui oleh manajemen, dipublikasikan, dikomunikasikan kepada dan diakui oleh personel yang relevan dan pihak berkepentingan yang relevan, serta ditinjau pada interval yang direncanakan dan jika terjadi perubahan signifikan.

iso-27001-2022-a-5-10

Aturan untuk penggunaan yang dapat diterima dan prosedur untuk menangani informasi dan aset terkait lainnya harus diidentifikasi, didokumentasikan, dan diterapkan.

iso-27001-2022-a-5-12

Informasi harus diklasifikasikan sesuai dengan kebutuhan keamanan informasi organisasi berdasarkan kerahasiaan, integritas, ketersediaan, dan persyaratan pihak berkepentingan yang relevan.

iso-27001-2022-a-5-14

Aturan, prosedur, atau perjanjian transfer informasi harus diterapkan untuk semua jenis fasilitas transfer dalam organisasi dan antara organisasi dan pihak lain.

iso-27001-2022-a-5-15

Aturan untuk mengontrol akses fisik dan logis ke informasi dan aset terkait lainnya harus ditetapkan dan diterapkan berdasarkan persyaratan bisnis dan keamanan informasi.

iso-27001-2022-a-5-17

Alokasi dan pengelolaan informasi autentikasi harus dikontrol oleh proses pengelolaan, termasuk memberi saran kepada personel tentang penanganan informasi autentikasi yang tepat.

iso-27001-2022-a-5-18

Hak akses ke informasi dan aset terkait lainnya harus disediakan, ditinjau, diubah, dan dihapus sesuai dengan kebijakan khusus topik dan aturan organisasi untuk kontrol akses.

iso-27001-2022-a-5-19

Proses dan prosedur harus ditentukan dan diterapkan untuk mengelola risiko keamanan informasi yang terkait dengan penggunaan produk atau layanan pemasok.

iso-27001-2022-a-5-20

Persyaratan keamanan informasi yang relevan harus ditetapkan dan disepakati dengan setiap pemasok berdasarkan jenis hubungan pemasok.

iso-27001-2022-a-5-23

Proses untuk akuisisi, penggunaan, pengelolaan, dan keluar dari layanan cloud harus ditetapkan sesuai dengan persyaratan keamanan informasi organisasi.

iso-27001-2022-a-5-24

Organisasi harus merencanakan dan bersiap untuk mengelola insiden keamanan informasi dengan menentukan, menetapkan, dan mengomunikasikan proses, peran, dan tanggung jawab pengelolaan insiden keamanan informasi.

iso-27001-2022-a-5-25

Organisasi harus menilai peristiwa keamanan informasi dan memutuskan apakah peristiwa tersebut harus dikategorikan sebagai insiden keamanan informasi.

iso-27001-2022-a-5-28

Organisasi harus menetapkan dan menerapkan prosedur untuk identifikasi, pengumpulan, akuisisi, dan pengawetan bukti yang terkait dengan peristiwa keamanan informasi.

iso-27001-2022-a-5-30

Kesiapan TIK harus direncanakan, diterapkan, dikelola, dan diuji berdasarkan tujuan kelangsungan bisnis dan persyaratan kelangsungan TIK.

iso-27001-2022-a-5-33

Catatan harus dilindungi dari kehilangan, penghancuran, pemalsuan, akses tidak sah, dan rilis tidak sah.

iso-27001-2022-a-5-5

Organisasi harus menjalin dan menjaga kontak dengan otoritas terkait.

iso-27001-2022-a-5-6

Organisasi harus menjalin dan mempertahankan kontak dengan grup minat khusus atau forum keamanan spesialis dan asosiasi profesional lainnya.

iso-27001-2022-a-5-9

Inventaris informasi dan aset terkait lainnya, termasuk pemilik, harus dikembangkan dan dikelola.

iso-27001-2022-a-6-7

Langkah-langkah keamanan harus diterapkan saat personel bekerja dari jarak jauh untuk melindungi informasi yang diakses, diproses, atau disimpan di luar lokasi organisasi.

iso-27001-2022-a-8-1

Informasi yang disimpan di, diproses oleh, atau dapat diakses menggunakan perangkat titik akhir pengguna harus dilindungi.

iso-27001-2022-a-8-10

Informasi yang disimpan dalam sistem informasi, perangkat, atau di media penyimpanan lainnya harus dihapus jika tidak lagi diperlukan.

iso-27001-2022-a-8-13

Salinan cadangan informasi, software, dan sistem harus dikelola dan diuji secara rutin sesuai dengan kebijakan khusus topik yang disepakati terkait pencadangan.

iso-27001-2022-a-8-14

Fasilitas pemrosesan informasi harus diterapkan dengan redundansi yang cukup untuk memenuhi persyaratan ketersediaan.

iso-27001-2022-a-8-15

Log yang mencatat aktivitas, pengecualian, kesalahan, dan peristiwa relevan lainnya harus dibuat, disimpan, dilindungi, dan dianalisis.

iso-27001-2022-a-8-16

Jaringan, sistem, dan aplikasi harus dipantau untuk mendeteksi perilaku anomali dan tindakan yang tepat harus diambil untuk mengevaluasi potensi insiden keamanan informasi.

iso-27001-2022-a-8-17

Waktu sistem pemrosesan informasi yang digunakan oleh organisasi harus disinkronkan dengan sumber waktu yang disetujui.

iso-27001-2022-a-8-2

Pemberian dan penggunaan hak akses istimewa harus dibatasi dan dikelola.

iso-27001-2022-a-8-20

Jaringan dan perangkat jaringan harus diamankan, dikelola, dan dikontrol untuk melindungi informasi dalam sistem dan aplikasi.

iso-27001-2022-a-8-21

Mekanisme keamanan, tingkat layanan, dan persyaratan layanan dari layanan jaringan harus diidentifikasi, diterapkan, dan dipantau.

iso-27001-2022-a-8-22

Grup layanan informasi, pengguna, dan sistem informasi harus dipisahkan di jaringan organisasi.

iso-27001-2022-a-8-23

Akses ke situs eksternal harus dikelola untuk mengurangi paparan terhadap konten berbahaya.

iso-27001-2022-a-8-24

Aturan untuk penggunaan kriptografi yang efektif, termasuk pengelolaan kunci kriptografis, harus ditentukan dan diterapkan.

iso-27001-2022-a-8-25

Aturan untuk pengembangan software dan sistem yang aman harus ditetapkan dan diterapkan.

iso-27001-2022-a-8-26

Persyaratan keamanan informasi harus diidentifikasi, ditentukan, dan disetujui saat mengembangkan atau mendapatkan aplikasi.

iso-27001-2022-a-8-27

Prinsip untuk merekayasa sistem yang aman harus ditetapkan, didokumentasikan, dipelihara, dan diterapkan pada setiap aktivitas pengembangan sistem informasi.

iso-27001-2022-a-8-28

Prinsip coding yang aman harus diterapkan pada pengembangan software.

iso-27001-2022-a-8-29

Proses pengujian keamanan harus ditentukan dan diterapkan dalam siklus proses pengembangan.

iso-27001-2022-a-8-3

Akses ke informasi dan aset terkait lainnya akan dibatasi sesuai dengan kebijakan khusus topik yang ditetapkan tentang kontrol akses.

iso-27001-2022-a-8-30

Organisasi harus mengarahkan, memantau, dan meninjau aktivitas yang terkait dengan pengembangan sistem yang dialihdayakan.

iso-27001-2022-a-8-4

Akses baca dan tulis ke kode sumber, alat pengembangan, dan library software harus dikelola dengan tepat.

iso-27001-2022-a-8-5

Teknologi dan prosedur autentikasi yang aman harus diterapkan berdasarkan pembatasan akses informasi dan kebijakan khusus topik tentang kontrol akses.

iso-27001-2022-a-8-6

Penggunaan resource harus dipantau dan disesuaikan dengan persyaratan kapasitas saat ini dan yang diharapkan.

iso-27001-2022-a-8-7

Perlindungan terhadap malware harus diterapkan dan didukung oleh pengetahuan pengguna yang tepat.

iso-27001-2022-a-8-8

Informasi tentang kerentanan teknis sistem informasi yang digunakan harus diperoleh, eksposur organisasi terhadap kerentanan tersebut harus dievaluasi, dan langkah-langkah yang tepat harus diambil.

iso-27001-2022-a-8-9

Konfigurasi, termasuk konfigurasi keamanan, hardware, software, layanan, dan jaringan harus dibuat, didokumentasikan, diterapkan, dipantau, dan ditinjau.

Qatar National Information Assurance Standard v2.1

Penyedia cloud yang didukung: Google Cloud

Qatar NIAS dimaksudkan untuk memberikan fondasi yang diperlukan dan alat yang relevan kepada organisasi di Negara Qatar untuk memungkinkan penerapan Sistem Pengelolaan Keamanan Informasi yang lengkap dalam organisasi.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

qa-nias-2-1-am-1

Pengguna diberi akses berdasarkan konsep hak istimewa terendah dan diatur oleh dasar Perlu Mengetahui atau Perlu Memiliki.

qa-nias-2-1-am-11

Repositori autentikasi terpusat seperti LDAP dan database autentikasi dilindungi dari serangan penolakan layanan dan menggunakan saluran yang aman dan terautentikasi untuk pengambilan data autentikasi. Repositori tersebut harus mencatat peristiwa berikut: update atau akses yang tidak sah; tanggal dan waktu mulai dan berakhirnya aktivitas (bersama dengan ID sistem); identifikasi pengguna (untuk login ilegal); aktivitas login dan logout (untuk login ilegal); serta sesi, terminal, atau koneksi jarak jauh.

qa-nias-2-1-am-12

Organisasi harus mengembangkan dan memelihara serangkaian kebijakan, rencana, dan prosedur, yang berasal dari Kebijakan Klasifikasi Data Nasional (IAP-NAT-DCLS) yang mencakup identifikasi, autentikasi, dan otorisasi pengguna sistem.

qa-nias-2-1-am-14

Semua pengguna sistem dapat diidentifikasi secara unik dan diautentikasi setiap kali akses diberikan ke sistem.

qa-nias-2-1-am-17

Informasi autentikasi yang tidak dilindungi yang memberikan akses sistem, atau mendekripsi perangkat terenkripsi berada di, atau dengan sistem atau perangkat, yang aksesnya diberikan oleh informasi autentikasi.

qa-nias-2-1-am-18

Data autentikasi sistem saat digunakan tidak rentan terhadap serangan, termasuk, tetapi tidak terbatas pada, serangan replay, man-in-the-middle, dan pembajakan sesi.

qa-nias-2-1-am-2

Akses dikelola dan dikontrol melalui kontrol akses sistem, identifikasi dan autentikasi, serta log audit berdasarkan sensitivitas informasi. Permintaan akses ini harus disetujui oleh supervisor atau manajer staf.

qa-nias-2-1-am-20

Sandi diubah setidaknya setiap 90 hari.

qa-nias-2-1-am-23

Kunci layar dan sesi dikonfigurasi sebagai berikut: diaktifkan setelah pengguna sistem tidak aktif maksimal 15 menit; diaktifkan secara standar oleh pengguna sistem, jika diinginkan; dikunci untuk menyembunyikan semua informasi di layar sepenuhnya; memastikan layar tidak tampak dinonaktifkan saat dalam keadaan terkunci; pengguna sistem harus melakukan autentikasi ulang untuk membuka kunci sistem; dan menolak kemampuan pengguna sistem untuk menonaktifkan mekanisme penguncian.

qa-nias-2-1-am-24

Akses ke sistem ditangguhkan setelah sejumlah upaya login yang gagal atau sesegera mungkin setelah staf tidak lagi memerlukan akses, karena perubahan peran atau keluar dari organisasi.

qa-nias-2-1-am-3

Hak akses pengguna atau entitas untuk membuat, membaca, memperbarui, menghapus, atau mengirimkan aset informasi organisasi harus didasarkan pada model hak (hierarkis) matriks yang ditentukan oleh aturan bisnis yang ditetapkan oleh pemilik informasi tersebut.

qa-nias-2-1-am-31

Penggunaan akun istimewa didokumentasikan, dikontrol, dapat dipertanggungjawabkan, dan dijaga seminimal mungkin. Akun istimewa hanya boleh digunakan untuk pekerjaan administratif.

qa-nias-2-1-am-32

Administrator sistem diberi akun individual untuk melakukan tugas administrasi mereka.

qa-nias-2-1-am-34

Log pengelolaan sistem diperbarui untuk mencatat informasi berikut: aktivitas pembersihan; mulai dan mematikan sistem; kegagalan komponen atau sistem; aktivitas pemeliharaan; aktivitas pencadangan dan pengarsipan; aktivitas pemulihan sistem; dan aktivitas khusus atau di luar jam kerja.

qa-nias-2-1-am-35

Akses jarak jauh tidak boleh diberikan kecuali jika diizinkan secara eksplisit oleh kepala departemen dan hanya jika dijamin oleh persyaratan bisnis dan hanya setelah uji tuntas dilakukan untuk menganalisis risiko terkait dan kontrol yang sesuai diterapkan untuk mengurangi risiko yang teridentifikasi.

qa-nias-2-1-am-36

Autentikasi dua faktor, menggunakan token hardware, kontrol biometrik, atau yang serupa digunakan saat mengakses sistem yang memproses data yang diklasifikasikan di C3 atau yang lebih tinggi.

qa-nias-2-1-am-37

Sesi akses jarak jauh diamankan dengan menggunakan enkripsi end-to-end yang sesuai seperti yang ditentukan dalam bagian C-10, Keamanan Kriptografi (CY).

qa-nias-2-1-am-6

Setiap upaya tidak sah untuk mengakali kontrol akses organisasi akan dianggap sebagai insiden keamanan dan akan ditangani sesuai dengan prosedur penanganan insiden yang telah ditetapkan serta kebijakan dan prosedur sumber daya manusia yang sesuai.

qa-nias-2-1-am-7

Log audit harus diaktifkan dan dikelola sedemikian rupa sehingga memungkinkan pemantauan kepatuhan terhadap kebijakan pemerintah dan membantu Pengelolaan Insiden.

qa-nias-2-1-am-8

Akses logis ke jaringan organisasi dikontrol secara teknis. Hal ini dapat dilakukan dengan menggunakan layanan dan perangkat Network Admission Control (NAC).

qa-nias-2-1-cy-1

Algoritma kriptografi, hardware atau software enkripsi, sistem pengelolaan kunci, dan tanda tangan digital harus menunjukkan kepatuhan terhadap Algoritma dan Sistem Kriptografi/Enkripsi yang Disetujui sebagaimana ditentukan oleh otoritas yang berwenang dalam Hukum No. (16) tahun 2010 tentang Pengesahan Hukum Perdagangan dan Transaksi Elektronik.

qa-nias-2-1-cy-2

Masa aktif kunci akan ditentukan terutama oleh aplikasi dan infrastruktur informasi yang menggunakannya. Kunci harus segera dicabut dan diganti jika telah atau dicurigai telah disusupi.

qa-nias-2-1-cy-3

Aset informasi yang diklasifikasikan sebagai C3 (IAP-NAT-DCLS) dienkripsi dan dilindungi dari pengungkapan yang tidak sah saat disimpan dan dalam transit, terlepas dari format atau media penyimpanan. Organisasi dapat menerapkan kontrol kriptografi ini ke aset dengan persyaratan kerahasiaan yang lebih rendah, jika dianggap perlu oleh penilaian risiko mereka.

qa-nias-2-1-cy-4

Aset informasi yang diklasifikasikan sebagai I3 (IAP-NAT-DCLS) memiliki integritas yang terjamin menggunakan hashing kriptografi. Organisasi dapat menerapkan kontrol kriptografi ini ke aset dengan persyaratan integritas yang lebih rendah, jika dianggap perlu oleh penilaian risiko mereka.

qa-nias-2-1-cy-5

Protokol berikut atau yang lebih baik, dengan algoritma yang disetujui yang diuraikan dalam Qatar National Cryptographic Standard - English v1.0 (atau yang lebih baru) yang dikeluarkan oleh otoritas yang berwenang, digunakan untuk mengamankan data yang diklasifikasikan sebagai C3 saat dalam pengiriman: untuk mengamankan traffic web: TLS (+128 bit) (RFC4346); untuk mengamankan transfer file: SFTP (SFTP); untuk akses jarak jauh yang aman: SSH v2 (RFC4253) atau IPSEC (RFC 4301); dan hanya S/MIME v3 (RFC3851) atau yang lebih baik yang digunakan untuk mengamankan email. Lihat CY11 untuk persyaratan terkait.

qa-nias-2-1-cy-6

Sandi harus selalu dienkripsi atau di-hash dan dilindungi dari pengungkapan yang tidak sah saat disimpan atau dalam transit, terlepas dari format atau media penyimpanan. Sandi istimewa harus dienkripsi dan disimpan di luar lokasi dengan file cadangan setiap kali sandi diubah untuk memastikan pemulihan yang lengkap.

qa-nias-2-1-cy-7

Jika Modul Keamanan Hardware (HSM) digunakan, HSM tersebut disertifikasi setidaknya FIPS 2-140 Level 2 (FIPS2-140) atau Common Criteria (CC3.1) EAL4.

qa-nias-2-1-cy-9

Proses pengelolaan kunci yang sesuai ditentukan, sesuai dengan (ISO1-11770) dan digunakan untuk mengelola siklus proses kunci kriptografi, yang mencakup fungsi berikut: Peran dan Tanggung Jawab Pengelola Kunci, Pembuatan Kunci, Kontrol Ganda dan Pengetahuan Terpisah, Penyimpanan Kunci yang Aman, Penggunaan Kunci, Distribusi Kunci yang Aman dan dalam Transit, Pencadangan dan Pemulihan Kunci, Pemeriksaan Status Kunci Berkala, Kompromi Kunci, Pencabutan dan Penghancuran Kunci, serta Jejak Audit dan Dokumentasi.

qa-nias-2-1-gs-1

Jaringan dilindungi dari jaringan lain oleh gateway dan aliran data dikontrol dengan benar.

qa-nias-2-1-gs-13

Ekspor data ke sistem yang kurang diklasifikasikan dibatasi dengan memfilter data menggunakan setidaknya pemeriksaan pada label klasifikasi.

qa-nias-2-1-gs-2

Gateway yang menghubungkan jaringan organisasi ke jaringan organisasi lain, atau ke jaringan publik yang tidak terkontrol, diimplementasikan sebagai berikut: dengan perangkat jaringan yang sesuai untuk mengontrol aliran data, dengan semua aliran data yang dikontrol dengan tepat, dan dengan komponen gateway yang berlokasi secara fisik di dalam ruang server yang diamankan dengan tepat.

qa-nias-2-1-gs-6

Zona demiliterisasi (DMZ) digunakan untuk memisahkan sistem yang dapat diakses secara eksternal dari jaringan publik yang tidak terkontrol dan jaringan internal melalui penggunaan firewall dan peralatan lain yang memiliki kemampuan keamanan jaringan.

qa-nias-2-1-gs-7

Gateway harus: menjadi satu-satunya jalur komunikasi masuk dan keluar dari jaringan internal; secara default, menolak semua koneksi masuk dan keluar dari jaringan; hanya mengizinkan koneksi yang diizinkan secara eksplisit; dikelola menggunakan jalur aman yang terisolasi dari semua jaringan yang terhubung; memberikan kemampuan audit yang memadai untuk mendeteksi pelanggaran keamanan gateway dan upaya intrusi jaringan; dan memberikan alarm real-time.

qa-nias-2-1-gs-8

Gateway diperkuat sebelum penerapan apa pun di situs produksi dan dilindungi dari hal-hal berikut: kode dan kerentanan berbahaya, konfigurasi yang salah atau buruk, kompromi akun dan eskalasi hak istimewa, pemantauan jaringan berbahaya, serangan penolakan layanan (DoS), serta kebocoran informasi atau data.

qa-nias-2-1-gs-9

Pemantauan dan pengawasan gateway telah diterapkan dan mencakup mekanisme pencegahan ancaman, logging, pemberitahuan, dan pengawasan peralatan. Lihat bagian B-10, Logging dan Pemantauan Keamanan (SM).

qa-nias-2-1-ie-12

Pastikan informasi yang dipertukarkan antar-sistem diamankan dari penyalahgunaan, akses tidak sah, atau kerusakan data. Untuk mengirimkan informasi yang diklasifikasikan di C2, I2, atau yang lebih tinggi, saluran yang diautentikasi dan dienkripsi harus digunakan sebagaimana ditentukan dalam CY5, bagian C-10, Cryptographic Security (CY).

qa-nias-2-1-ie-3

Pastikan bahwa perjanjian yang diperlukan (khususnya perjanjian kerahasiaan) antara entitas yang bertukar informasi telah dibuat sebelum pertukaran informasi. Perjanjian harus memberikan informasi tentang tanggung jawab, prosedur pemberitahuan pertukaran informasi, standar teknis untuk transmisi, identifikasi kurir, kewajiban, kepemilikan, dan kontrol. Untuk vendor dan pihak ketiga, Perjanjian Kerahasiaan (NDA) formal harus digunakan. Lampiran D menyediakan template NDA.

qa-nias-2-1-ie-4

Organisasi harus memastikan media yang digunakan untuk bertukar informasi dilindungi dari akses, manipulasi, atau penyalahgunaan yang tidak sah di dalam atau di luar lingkungan organisasi.

qa-nias-2-1-ie-8

Melindungi informasi yang dipertukarkan menggunakan pesan elektronik dari akses, perubahan, atau gangguan layanan yang tidak sah.

qa-nias-2-1-ms-20

Media, termasuk media yang rusak, yang berisi informasi rahasia akan dibersihkan semaksimal mungkin sebelum dibuang.

qa-nias-2-1-ns-1

Detail konfigurasi sistem dan jaringan internal, layanan direktori terkait karyawan atau perangkat, dan teknologi sensitif lainnya tidak diungkapkan secara publik atau dapat dihitung oleh personel yang tidak berwenang.

qa-nias-2-1-ns-17

Server DNS internal terpisah disiapkan dan ditempatkan di jaringan internal untuk informasi domain internal yang tidak diungkapkan ke Internet.

qa-nias-2-1-ns-2

Organisasi menghapus atau menonaktifkan semua akun default (misalnya, root atau administrator) atau mengubah sandi seperti yang ditentukan dalam bagian C-6, Keamanan Software (SS).

qa-nias-2-1-ns-20

File zona ditandatangani secara digital, dan disediakan otentikasi bersama kriptografi serta integritas data transfer zona dan update dinamis.

qa-nias-2-1-ns-21

Otentikasi asal kriptografi dan jaminan integritas data DNS disediakan.

qa-nias-2-1-ns-22

Layanan DNS, termasuk transfer zona, hanya diberikan kepada pengguna yang berwenang.

qa-nias-2-1-ns-25

Gateway Internet menolak semua layanan Internet kecuali jika diaktifkan secara khusus.

qa-nias-2-1-ns-27

Organisasi memiliki kemampuan yang diperlukan untuk memantau traffic, menyimpulkan pola traffic, penggunaan, dan sebagainya. Lihat bagian B-10, Logging dan Pemantauan Keamanan (SM) untuk mengetahui informasi selengkapnya.

qa-nias-2-1-ns-29

Perlindungan TLS digunakan dengan server email SMTP sesuai dengan bagian C-10, Keamanan Kriptografi (CY).

qa-nias-2-1-ns-3

Konfigurasi jaringan tetap berada di bawah kontrol pengelola jaringan atau yang serupa dan semua perubahan pada konfigurasi adalah sebagai berikut: disetujui melalui proses kontrol perubahan formal sebagaimana didefinisikan dalam bagian B-5, Pengelolaan Perubahan (CM); didokumentasikan, dan mematuhi kebijakan keamanan jaringan dan rencana keamanan sebagaimana didefinisikan dalam bagian B-12, Dokumentasi (DC); dan ditinjau secara berkala. Konfigurasi lama sebagaimana diwajibkan oleh prosedur organisasi dipertahankan sebagai bagian dari revisi perubahan. Frekuensi peninjauan konfigurasi akan bergantung pada risiko dan proses organisasi.

qa-nias-2-1-ns-5

Jaringan dirancang dan dikonfigurasi untuk membatasi peluang akses tidak sah ke informasi yang melewati infrastruktur jaringan. Organisasi harus menggunakan teknologi berikut untuk memenuhi persyaratan ini: switch, bukan hub; keamanan port di switch untuk membatasi akses dan menonaktifkan semua port yang tidak digunakan; router dan firewall yang memisahkan bagian jaringan berdasarkan kebutuhan untuk mengetahui; IPsec atau IP versi 6; enkripsi tingkat aplikasi; alat otomatis yang membandingkan konfigurasi perangkat jaringan yang sedang berjalan dengan konfigurasi yang didokumentasikan; autentikasi edge jaringan; membatasi dan mengelola perangkat pengguna akhir yang berkomunikasi ke jaringan organisasi melalui teknik seperti pemfilteran alamat MAC; IPS atau IDS untuk mendeteksi dan mencegah aktivitas berbahaya dalam jaringan; serta batasan waktu dan hari.

qa-nias-2-1-ns-53

Suara dan data adalah jaringan yang terpisah. Pemisahan harus bersifat fisik, tetapi penggunaan Virtual LAN diizinkan. Gateway suara, yang berinteraksi dengan PSTN, memisahkan H.323, SIP, atau protokol VoIP lainnya dari jaringan data.

qa-nias-2-1-ns-6

Jaringan pengelolaan menerapkan langkah-langkah perlindungan berikut: jaringan khusus digunakan untuk perangkat pengelolaan dengan menerapkan VLAN pengelolaan terpisah atau infrastruktur yang terpisah secara fisik; dan saluran yang aman digunakan, misalnya, dengan menggunakan VPN atau SSH.

qa-nias-2-1-ns-7

VLAN digunakan untuk memisahkan traffic telepon IP dalam jaringan yang sangat penting bagi bisnis.

qa-nias-2-1-ns-8

Akses administratif hanya diizinkan dari VLAN dengan klasifikasi tertinggi ke VLAN dengan tingkat klasifikasi yang sama atau klasifikasi yang lebih rendah.

qa-nias-2-1-pr-5

Evaluasi keamanan produk dilakukan pada konfigurasi evaluasi khusus, termasuk pengujian fungsionalitas, pengujian keamanan, dan penerapan patch untuk melindungi dari potensi ancaman dan kerentanan.

qa-nias-2-1-pr-6

Pengiriman produk konsisten dengan praktik keamanan organisasi untuk pengiriman yang aman.

qa-nias-2-1-pr-7

Prosedur pengiriman yang aman harus mencakup langkah-langkah untuk mendeteksi gangguan atau peniruan identitas.

qa-nias-2-1-pr-8

Produk telah dibeli dari developer yang telah berkomitmen untuk pemeliharaan berkelanjutan jaminan produk mereka.

qa-nias-2-1-pr-9

Proses patching dan update produk sudah diterapkan. Pembaruan produk harus mengikuti kebijakan pengelolaan perubahan yang ditentukan di bagian B-5, Pengelolaan Perubahan (CM).

qa-nias-2-1-ss-13

Workstation menggunakan lingkungan operasi standar (SOE) yang diperkuat yang mencakup hal berikut: penghapusan software yang tidak diinginkan; penonaktifan fungsi yang tidak digunakan atau tidak diinginkan dalam software dan sistem operasi yang diinstal; penerapan kontrol akses pada objek yang relevan untuk membatasi pengguna dan program sistem ke akses minimum yang diperlukan untuk menjalankan tugasnya; penginstalan firewall berbasis software yang membatasi koneksi jaringan masuk dan keluar; serta konfigurasi logging jarak jauh atau transfer log peristiwa lokal ke server pusat.

qa-nias-2-1-ss-14

Potensi kerentanan dalam SOE dan sistem mereka dikurangi dengan: menghapus berbagi file yang tidak diperlukan; memastikan patch sudah diupdate; menonaktifkan akses ke semua fungsi input dan output yang tidak diperlukan; menghapus akun yang tidak digunakan; mengganti nama akun default; dan mengganti sandi default.

qa-nias-2-1-ss-15

Server berisiko tinggi, seperti server web, email, file, dan teleponi Internet Protocol, yang memiliki konektivitas ke jaringan publik yang tidak terkontrol memenuhi panduan berikut: menjaga pemisahan fungsional yang efektif antara server sehingga memungkinkan server beroperasi secara independen; meminimalkan komunikasi antara server di tingkat jaringan dan sistem file, sebagaimana mestinya; dan membatasi pengguna dan program sistem ke akses minimum yang diperlukan untuk menjalankan tugas mereka.

qa-nias-2-1-ss-16

Periksa integritas semua server yang fungsinya penting bagi organisasi, dan yang diidentifikasi berisiko tinggi disusupi. Jika memungkinkan, pemeriksaan ini harus dilakukan dari lingkungan tepercaya, bukan dari sistem itu sendiri.

qa-nias-2-1-ss-17

Simpan informasi integritas dengan aman di luar server dengan cara yang menjaga integritas.

qa-nias-2-1-ss-19

Sebagai bagian dari jadwal audit berkelanjutan organisasi, bandingkan informasi integritas yang tersimpan dengan informasi integritas saat ini untuk menentukan apakah telah terjadi pelanggaran, atau modifikasi sistem yang sah tetapi tidak diselesaikan dengan benar.

qa-nias-2-1-ss-2

Semua aplikasi (termasuk yang baru dan dikembangkan) diklasifikasikan menggunakan Kebijakan Klasifikasi Data Nasional (IAP-NAT-DCLS) dan diberi perlindungan keamanan yang sesuai dengan rating Kerahasiaan, Integritas, dan Ketersediaannya.

qa-nias-2-1-ss-20

Organisasi harus menyelesaikan setiap perubahan yang terdeteksi sesuai dengan prosedur pengelolaan insiden keamanan teknologi informasi dan komunikasi (ICT) organisasi.

qa-nias-2-1-ss-21

Semua aplikasi software ditinjau untuk menentukan apakah aplikasi tersebut mencoba membuat koneksi eksternal. Jika fungsi koneksi keluar otomatis disertakan, organisasi harus membuat keputusan bisnis untuk menentukan apakah akan mengizinkan atau menolak koneksi ini, termasuk penilaian risiko yang terlibat dalam melakukannya.

qa-nias-2-1-ss-23

Konektivitas dan akses antara setiap komponen aplikasi web diminimalkan.

qa-nias-2-1-ss-24

Informasi pribadi dan data sensitif dilindungi saat disimpan dan dikirim menggunakan kontrol kriptografi yang sesuai.

qa-nias-2-1-ss-29

File database dilindungi dari akses yang melewati kontrol akses normal database.

qa-nias-2-1-ss-3

Persyaratan keamanan, termasuk persyaratan fungsional, teknis, dan jaminan, dikembangkan dan diterapkan sebagai bagian dari persyaratan sistem.

qa-nias-2-1-ss-30

Database menyediakan fungsi untuk memungkinkan pengauditan tindakan pengguna sistem.

qa-nias-2-1-ss-31

Pengguna sistem yang tidak memiliki hak istimewa yang memadai untuk melihat konten database tidak dapat melihat metadata terkait dalam daftar hasil dari kueri mesin telusur. Jika hasil dari kueri database tidak dapat difilter dengan tepat, organisasi harus memastikan bahwa semua hasil kueri dibersihkan dengan tepat untuk memenuhi hak istimewa keamanan minimum pengguna sistem.

qa-nias-2-1-ss-4

Infrastruktur pengujian dan pengembangan khusus, termasuk sistem dan data, tersedia dan terpisah dari sistem produksi. Selain itu, alur informasi antara lingkungan harus dibatasi secara ketat sesuai dengan kebijakan yang ditentukan dan didokumentasikan, dengan akses hanya diberikan kepada pengguna sistem dengan persyaratan bisnis yang jelas dan akses tulis ke sumber resmi untuk software harus dinonaktifkan.

qa-nias-2-1-ss-5

Semua aplikasi, baik yang diperoleh maupun dikembangkan, hanya tersedia untuk penggunaan produksi setelah pengujian dan pemeriksaan jaminan kualitas dan keamanan yang sesuai untuk memastikan bahwa sistem mengonfirmasi dan mematuhi persyaratan keamanan yang dimaksud.

qa-nias-2-1-ss-6

Developer software menggunakan praktik pemrograman yang aman saat menulis kode, termasuk yang berikut: mematuhi praktik terbaik, misalnya, 25 kesalahan pemrograman paling berbahaya menurut Mitre (Mitre); mendesain software untuk menggunakan tingkat hak istimewa terendah yang diperlukan untuk menyelesaikan tugasnya; menolak akses secara default; memeriksa nilai yang ditampilkan dari semua panggilan sistem; dan memvalidasi semua input.

qa-nias-2-1-ss-7

Software harus ditinjau dan/atau diuji kerentanannya sebelum digunakan di lingkungan produksi. Software harus ditinjau dan/atau diuji oleh pihak independen, bukan oleh developer.

qa-nias-2-1-vl-1

Penghancuran darurat, rencana penguncian, penghapusan total dari jarak jauh, atau penghancuran otomatis diterapkan untuk semua perangkat seluler dan laptop.

qa-nias-2-1-vl-2

Perkuat hypervisor, lapisan administratif, virtual machine, dan komponen terkait sesuai dengan praktik terbaik dan pedoman keamanan yang diterima industri serta rekomendasi vendor.

qa-nias-2-1-vl-3

Terapkan hak istimewa terendah dan pemisahan tugas untuk mengelola lingkungan virtual, sebagai berikut: tentukan peran tertentu dan hak istimewa terperinci untuk setiap administrator di software pengelolaan virtualisasi pusat; batasi akses administratif langsung ke hypervisor sebisa mungkin; dan bergantung pada risiko dan klasifikasi informasi yang diproses, organisasi harus mempertimbangkan penggunaan autentikasi multi-faktor atau kontrol ganda atau terpisah atas sandi administratif di antara beberapa administrator. Untuk mengetahui informasi selengkapnya, lihat bagian C9 Pengelolaan Akses.

qa-nias-2-1-vl-5

Lingkungan teknologi virtual harus dilengkapi dengan teknologi keamanan pihak ketiga untuk menyediakan kontrol keamanan berlapis, seperti pendekatan defense in depth, untuk melengkapi kontrol yang disediakan oleh vendor dan teknologi itu sendiri.

qa-nias-2-1-vl-6

Pisahkan virtual machine berdasarkan klasifikasi data yang diproses atau disimpan.

qa-nias-2-1-vl-7

Proses manajemen perubahan mencakup lingkungan teknologi virtual. Hal ini mencakup: memastikan profil mesin virtual diperbarui, dan integritas image mesin virtual dipertahankan setiap saat; dan harus berhati-hati dalam memelihara dan memperbarui VM yang tidak dalam status aktif (tidak aktif atau tidak lagi digunakan). Untuk mengetahui informasi selengkapnya, lihat Bagian B6 - Pengelolaan Perubahan.

qa-nias-2-1-vl-8

Log dari lingkungan teknologi virtual harus dicatat dan dipantau bersama dengan infrastruktur IT lainnya. Lihat Bagian B10 Logging dan Pemantauan Keamanan.

NIST 800-53 Revision 5

Penyedia cloud yang didukung: Google Cloud

Katalog komprehensif kontrol keamanan dan privasi untuk membangun program keamanan yang kuat. Diwajibkan untuk sistem federal AS, kini framework ini menjadi praktik terbaik yang digunakan oleh organisasi di semua sektor.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

nist-r5-ac-02

A. Tentukan dan dokumentasikan jenis akun yang diizinkan dan dilarang secara khusus untuk digunakan dalam sistem. B. Tetapkan pengelola akun. C. Mewajibkan prasyarat dan kriteria yang ditentukan organisasi untuk keanggotaan grup dan peran. D. Tentukan: a. Pengguna yang diizinkan untuk menggunakan sistem. b. Keanggotaan grup dan peran. c. Otorisasi atau hak istimewa akses dan atribut yang ditentukan organisasi untuk setiap akun. E. Mewajibkan persetujuan oleh personel atau peran yang ditentukan organisasi untuk permintaan pembuatan akun. F. Membuat, mengaktifkan, mengubah, menonaktifkan, dan menghapus akun sesuai dengan kebijakan, prosedur, prasyarat, dan kriteria yang ditentukan organisasi. G. Pantau penggunaan akun. H. Memberi tahu account manager dan personel atau peran yang ditentukan organisasi dalam: a. Periode waktu yang ditentukan organisasi saat akun tidak lagi diperlukan. b. Periode waktu yang ditentukan organisasi saat pengguna dihentikan atau ditransfer. c. Periode waktu yang ditentukan organisasi saat penggunaan sistem atau kebutuhan untuk mengetahui informasi berubah bagi individu. I. Mengizinkan akses ke sistem berdasarkan: a. Otorisasi akses yang valid. b. Penggunaan sistem yang dimaksudkan. c. Atribut yang ditentukan organisasi. J. Meninjau akun untuk memastikan kepatuhan terhadap persyaratan pengelolaan akun sesuai frekuensi yang ditentukan organisasi. K. Buat dan terapkan proses untuk mengubah autentikator akun grup atau akun bersama saat individu dikeluarkan dari grup. L. Menyelaraskan proses pengelolaan akun dengan proses penghentian dan transfer personel.

nist-r5-ac-03

Menerapkan otorisasi yang disetujui untuk akses logis ke informasi dan resource sistem sesuai dengan kebijakan kontrol akses yang berlaku.

nist-r5-ac-04

Menerapkan otorisasi yang disetujui untuk mengontrol alur informasi dalam sistem dan antar-sistem yang terhubung berdasarkan kebijakan kontrol alur informasi yang ditentukan organisasi.

nist-r5-ac-05

Mengidentifikasi dan mendokumentasikan tugas yang ditentukan organisasi dari individu yang memerlukan pemisahan. Tentukan otorisasi akses sistem untuk mendukung pemisahan tugas.

nist-r5-ac-06

Terapkan prinsip hak istimewa terendah, dengan hanya mengizinkan akses yang sah untuk pengguna atau proses yang bertindak atas nama pengguna yang diperlukan untuk menyelesaikan tugas organisasi yang diberikan.

nist-r5-ac-06-05

Membatasi akun istimewa di sistem untuk personel atau peran yang ditentukan organisasi.

nist-r5-ac-07

Menerapkan batas jumlah upaya login tidak valid berturut-turut yang ditentukan organisasi oleh pengguna selama jangka waktu yang ditentukan organisasi. Jika jumlah percobaan yang gagal maksimum terlampaui, kunci akun atau node secara otomatis selama jangka waktu yang ditentukan organisasi; kunci akun atau node hingga dilepaskan oleh administrator; tunda perintah login berikutnya sesuai algoritma penundaan yang ditentukan organisasi; beri tahu administrator sistem; lakukan tindakan lain yang ditentukan organisasi.

nist-r5-ac-12

Menghentikan sesi pengguna secara otomatis setelah kondisi yang ditentukan organisasi atau peristiwa pemicu yang memerlukan pemutusan sesi.

nist-r5-ac-17

Tetapkan dan dokumentasikan batasan penggunaan, persyaratan konfigurasi dan koneksi, serta panduan penerapan untuk setiap jenis akses jarak jauh yang diizinkan. Beri otorisasi setiap jenis akses jarak jauh ke sistem sebelum mengizinkan koneksi tersebut.

nist-r5-ac-17-03

Merutekan akses jarak jauh melalui titik kontrol akses jaringan terkelola dan yang diizinkan.

nist-r5-ac-17-04

Otorisasi eksekusi perintah dengan hak istimewa dan akses ke informasi yang relevan dengan keamanan menggunakan akses jarak jauh hanya dalam format yang memberikan bukti yang dapat dinilai dan untuk kebutuhan yang ditentukan organisasi. Mendokumentasikan alasan akses jarak jauh dalam rencana keamanan untuk sistem.

nist-r5-ac-18

Menetapkan persyaratan konfigurasi, persyaratan koneksi, dan panduan penerapan untuk setiap jenis akses nirkabel. Beri otorisasi setiap jenis akses nirkabel ke sistem sebelum mengizinkan koneksi tersebut.

nist-r5-ac-19

Menetapkan persyaratan konfigurasi, persyaratan koneksi, dan panduan penerapan untuk perangkat seluler yang dikontrol organisasi, termasuk saat perangkat tersebut berada di luar area yang dikontrol. Mengizinkan koneksi perangkat seluler ke sistem organisasi.

nist-r5-au-01

Mengembangkan, mendokumentasikan, dan menyebarkan kebijakan audit dan akuntabilitas yang mematuhi kebijakan serta prosedur untuk penerapannya, dengan memastikan kebijakan tersebut membahas tujuan, cakupan, peran, dan tanggung jawabnya. Tunjuk petugas khusus untuk mengelola dokumentasi ini, serta tinjau dan perbarui kebijakan dan prosedur secara berkala berdasarkan jadwal yang ditentukan atau sebagai respons terhadap peristiwa tertentu.

nist-r5-au-02

A. Mengidentifikasi jenis peristiwa yang dapat dicatat sistem untuk mendukung fungsi audit: B. Mengoordinasikan fungsi pencatatan log peristiwa dengan entitas organisasi lain yang memerlukan informasi terkait audit untuk memandu dan menginformasikan kriteria pemilihan peristiwa yang akan dicatat lognya. C. Tentukan jenis peristiwa yang ditentukan organisasi yang merupakan subset dari jenis peristiwa yang ditentukan dalam AU-02a, beserta frekuensi; atau situasi yang memerlukan pencatatan ke dalam log untuk setiap jenis peristiwa yang diidentifikasi. D. Berikan alasan mengapa jenis peristiwa yang dipilih untuk pencatatan log dianggap memadai untuk mendukung investigasi insiden setelah kejadian. E. Tinjau dan perbarui jenis peristiwa yang dipilih untuk pencatatan log sesuai frekuensi yang ditentukan organisasi.

nist-r5-au-03

Pastikan bahwa catatan audit berisi informasi yang menetapkan hal berikut: A. Jenis peristiwa yang terjadi. B. Kapan peristiwa terjadi. C. Tempat terjadinya peristiwa. D. Sumber peristiwa. D. Hasil peristiwa. F. Identitas individu, subjek, atau objek dan entitas yang terkait dengan acara.

nist-r5-au-03-01

Membuat catatan audit yang berisi informasi tambahan yang ditentukan organisasi.

nist-r5-au-04

Alokasikan kapasitas penyimpanan log audit untuk mengakomodasi persyaratan retensi log audit yang ditentukan organisasi.

nist-r5-au-05

Memberi tahu personel atau peran yang ditentukan organisasi dalam jangka waktu yang ditentukan organisasi jika terjadi kegagalan proses pencatatan audit. Lakukan tindakan tambahan yang ditentukan organisasi.

nist-r5-au-05-02

Memberikan pemberitahuan dalam periode real-time yang ditentukan organisasi kepada personel, peran, atau lokasi yang ditentukan organisasi, saat terjadi peristiwa kegagalan pencatatan audit yang ditentukan organisasi yang memerlukan pemberitahuan real-time.

nist-r5-au-06

Tinjau dan analisis catatan audit sistem sesuai frekuensi yang ditentukan organisasi untuk mengetahui indikasi aktivitas yang tidak pantas atau tidak biasa yang ditentukan organisasi dan potensi dampak dari aktivitas yang tidak pantas atau tidak biasa tersebut. Laporkan temuan kepada personel atau peran yang ditentukan organisasi. Menyesuaikan tingkat peninjauan, analisis, dan pelaporan catatan audit dalam sistem jika ada perubahan risiko berdasarkan informasi penegak hukum, informasi intelijen, atau sumber informasi kredibel lainnya.

nist-r5-au-07

Menyediakan dan menerapkan kemampuan pengurangan data audit dan pembuatan laporan yang mendukung persyaratan peninjauan, analisis, dan pelaporan data audit sesuai permintaan serta penyelidikan insiden setelah kejadian. Kemampuan ini tidak boleh mengubah konten asli atau urutan waktu catatan audit.

nist-r5-au-11

Simpan catatan audit selama jangka waktu yang ditentukan organisasi sesuai dengan kebijakan retensi catatan untuk memberikan dukungan bagi penyelidikan insiden setelah kejadian dan untuk memenuhi persyaratan retensi informasi organisasi dan peraturan.

nist-r5-au-12

A. Menyediakan kemampuan pembuatan catatan audit untuk jenis peristiwa yang dapat diaudit oleh sistem sebagaimana ditentukan dalam AU-2a pada komponen sistem yang ditentukan organisasi. B. Mengizinkan personel atau peran yang ditentukan organisasi untuk memilih jenis peristiwa yang akan dicatat oleh komponen sistem tertentu. C. Buat catatan audit untuk jenis peristiwa yang ditentukan dalam AU-2c yang mencakup konten catatan audit yang ditentukan dalam AU-3.

nist-r5-ca-2-2

Sertakan sebagai bagian dari penilaian kontrol, sesuai frekuensi yang ditentukan organisasi, yang diumumkan atau tidak diumumkan: pemantauan mendalam; instrumentasi keamanan; kasus pengujian keamanan otomatis; pemindaian kerentanan; pengujian pengguna berbahaya; penilaian ancaman orang dalam; pengujian performa dan beban; penilaian kebocoran data atau kehilangan data atau bentuk penilaian lainnya yang ditentukan organisasi.

nist-r5-ca-7

Mengembangkan strategi pemantauan berkelanjutan tingkat sistem dan menerapkan pemantauan berkelanjutan sesuai dengan strategi pemantauan berkelanjutan tingkat organisasi yang mencakup: A. Menetapkan metrik tingkat sistem yang ditentukan organisasi. B. Menetapkan frekuensi yang ditentukan organisasi untuk pemantauan dan penilaian efektivitas kontrol. C. Penilaian kontrol berkelanjutan sesuai dengan strategi pemantauan berkelanjutan. D. Pemantauan berkelanjutan terhadap metrik yang ditentukan sistem dan organisasi sesuai dengan strategi pemantauan berkelanjutan. E. Korelasi dan analisis informasi yang dihasilkan oleh penilaian dan pemantauan kontrol. F. Tindakan respons untuk menangani hasil analisis informasi pemantauan dan penilaian kontrol. G. Melaporkan status keamanan dan privasi sistem kepada personel atau peran yang ditentukan organisasi sesuai frekuensi yang ditentukan organisasi.

nist-r5-ca-9

A. Memberi otorisasi koneksi internal komponen sistem atau class komponen yang ditentukan organisasi ke sistem. B. Mencatat, untuk setiap koneksi internal, karakteristik antarmuka, persyaratan keamanan dan privasi, serta sifat informasi yang dikomunikasikan. C. Menghentikan koneksi sistem internal setelah kondisi yang ditentukan organisasi. D. Tinjau sesuai frekuensi yang ditentukan organisasi, kebutuhan berkelanjutan untuk setiap koneksi internal.

nist-r5-cm-01

A. Mengembangkan, mendokumentasikan, dan menyebarkan kepada personel atau peran yang ditentukan organisasi: a. Kebijakan pengelolaan konfigurasi yang ditentukan di tingkat organisasi, tingkat misi atau proses bisnis, atau di tingkat sistem. Kebijakan harus membahas tujuan, cakupan, peran, tanggung jawab, komitmen manajemen, koordinasi antar-entitas organisasi, dan kepatuhan. Kebijakan ini harus sesuai dengan hukum, perintah eksekutif, arahan, peraturan, kebijakan, standar, dan pedoman yang berlaku. b. Prosedur untuk memfasilitasi penerapan kebijakan pengelolaan konfigurasi dan kontrol pengelolaan konfigurasi terkait. B. Tunjuk pejabat yang ditetapkan organisasi untuk mengelola pengembangan, dokumentasi, dan penyebaran kebijakan dan prosedur pengelolaan konfigurasi. C. Tinjau dan perbarui kebijakan dan prosedur pengelolaan konfigurasi saat ini sesuai dengan frekuensi dan peristiwa yang ditentukan organisasi.

nist-r5-cm-02

A. Mengembangkan, mendokumentasikan, dan memelihara di bawah kontrol konfigurasi, konfigurasi dasar sistem saat ini. B. Tinjau dan perbarui konfigurasi dasar sistem: a. Sesuai frekuensi yang ditentukan organisasi. b. Jika diperlukan karena keadaan yang ditentukan organisasi. c. Saat komponen sistem diinstal atau diupgrade.

nist-r5-cm-06

A. Tetapkan dan dokumentasikan setelan konfigurasi untuk komponen yang digunakan dalam sistem yang mencerminkan mode paling ketat yang sesuai dengan persyaratan operasional menggunakan konfigurasi aman umum yang ditentukan organisasi. B. Terapkan setelan konfigurasi. C. Identifikasi, dokumentasikan, dan setujui setiap penyimpangan dari setelan konfigurasi yang ditetapkan untuk komponen sistem yang ditentukan organisasi berdasarkan persyaratan operasional yang ditentukan organisasi. D. Memantau dan mengontrol perubahan pada setelan konfigurasi sesuai dengan kebijakan dan prosedur organisasi.

nist-r5-cm-07

Mengonfigurasi sistem untuk hanya menyediakan kemampuan penting misi yang ditentukan organisasi. Melarang atau membatasi penggunaan fungsi, port, protokol, software, atau layanan yang ditentukan organisasi.

nist-r5-cm-09

Mengembangkan, mendokumentasikan, dan menerapkan rencana pengelolaan konfigurasi untuk sistem yang: A. Mencakup peran, tanggung jawab, serta proses dan prosedur pengelolaan konfigurasi. B. Menetapkan proses untuk mengidentifikasi item konfigurasi di seluruh siklus proses pengembangan sistem dan untuk mengelola konfigurasi item konfigurasi. C. Menentukan item konfigurasi untuk sistem dan menempatkan item konfigurasi di bawah manajemen konfigurasi. D. Ditinjau dan disetujui oleh personel atau peran yang ditentukan organisasi. E. Melindungi rencana pengelolaan konfigurasi dari pengungkapan dan modifikasi yang tidak sah.

nist-r5-cp-06

Buat situs penyimpanan alternatif, termasuk perjanjian yang diperlukan untuk mengizinkan penyimpanan dan pengambilan informasi cadangan sistem. Pastikan situs penyimpanan alternatif menyediakan kontrol yang setara dengan situs utama.

nist-r5-cp-07

A. Membangun situs pemrosesan alternatif, termasuk perjanjian yang diperlukan untuk mengizinkan transfer dan kelanjutan operasi sistem yang ditentukan organisasi untuk fungsi bisnis dan misi penting dalam jangka waktu yang ditentukan organisasi yang konsisten dengan tujuan waktu pemulihan dan titik pemulihan, saat kemampuan pemrosesan utama tidak tersedia. B. Menyediakan peralatan dan perlengkapan yang diperlukan untuk mentransfer dan melanjutkan operasi atau membuat kontrak untuk mendukung pengiriman ke situs dalam jangka waktu yang ditentukan organisasi untuk transfer dan kelanjutan operasi di situs pemrosesan alternatif. C. Menyediakan kontrol di situs pemrosesan alternatif yang setara dengan kontrol di situs utama.

nist-r5-ia-04

Kelola ID sistem dengan: A. Menerima otorisasi dari personel atau peran yang ditentukan organisasi untuk menetapkan ID individu, grup, peran, layanan, atau perangkat. B. Memilih ID yang mengidentifikasi individu, grup, peran, layanan, atau perangkat. C. Menetapkan ID ke individu, grup, peran, layanan, atau perangkat yang dituju. D. Mencegah penggunaan ulang ID untuk jangka waktu yang ditentukan organisasi.

nist-r5-ia-05

Mengelola pengautentikasi sistem dengan: a. Memverifikasi, sebagai bagian dari distribusi autentikator awal, identitas individu, grup, peran, layanan, atau perangkat yang menerima autentikator. b. Menetapkan konten authenticator awal untuk authenticator apa pun yang dikeluarkan oleh organisasi. c. Memastikan bahwa pengautentikasi memiliki kekuatan mekanisme yang memadai untuk penggunaan yang dimaksudkan. d. Menetapkan dan menerapkan prosedur administratif untuk distribusi awal pengautentikasi, untuk pengautentikasi yang hilang, disusupi, atau rusak, dan untuk mencabut pengautentikasi. e. Mengubah autentikator default sebelum penggunaan pertama. f. Mengubah atau memuat ulang pengautentikasi sesuai jangka waktu yang ditentukan organisasi menurut jenis pengautentikasi atau saat peristiwa yang ditentukan organisasi terjadi. g. Melindungi konten autentikator dari pengungkapan dan modifikasi yang tidak sah. h. Mewajibkan individu untuk mengambil, dan perangkat menerapkan, kontrol tertentu untuk melindungi pengautentikasi. i. Mengubah autentikator untuk akun grup atau peran saat keanggotaan ke akun tersebut berubah.

nist-r5-ia-08

Mengidentifikasi dan mengautentikasi pengguna non-organisasi atau proses yang bertindak atas nama pengguna non-organisasi secara unik.

nist-r5-ma-04

A. Menyetujui dan memantau aktivitas pemeliharaan dan diagnostik non-lokal. B. Izinkan penggunaan alat diagnostik dan pemeliharaan non-lokal hanya sesuai dengan kebijakan organisasi dan didokumentasikan dalam rencana keamanan untuk sistem. C. Menggunakan autentikasi yang kuat dalam pembentukan sesi diagnostik dan pemeliharaan nonlokal. D. Memelihara catatan untuk aktivitas diagnostik dan pemeliharaan nonlokal. E. Menghentikan sesi dan koneksi jaringan saat pemeliharaan non-lokal selesai.

nist-r5-mp-02

Membatasi akses ke jenis media digital atau non-digital yang ditentukan organisasi untuk personel atau peran yang ditentukan organisasi.

nist-r5-pe-01

A. Mengembangkan, mendokumentasikan, dan menyebarkan kepada personel atau peran yang ditentukan organisasi: a. Kebijakan perlindungan fisik dan lingkungan yang ditentukan di tingkat organisasi, tingkat misi atau proses bisnis, atau di tingkat sistem. Kebijakan harus membahas tujuan, cakupan, peran, tanggung jawab, komitmen manajemen, koordinasi antar-entitas organisasi, dan kepatuhan. Kebijakan ini harus sesuai dengan hukum, perintah eksekutif, arahan, peraturan, kebijakan, standar, dan pedoman yang berlaku. b. Prosedur untuk memfasilitasi penerapan kebijakan perlindungan fisik dan lingkungan serta kontrol perlindungan fisik dan lingkungan terkait. B. Tunjuk pejabat yang ditetapkan organisasi untuk mengelola pengembangan, dokumentasi, dan penyebaran kebijakan dan prosedur perlindungan fisik dan lingkungan. C. Tinjau dan perbarui kebijakan dan prosedur perlindungan fisik dan lingkungan saat ini sesuai dengan frekuensi dan peristiwa yang ditentukan organisasi.

nist-r5-pl-08

A. Mengembangkan arsitektur keamanan dan privasi untuk sistem: a. Jelaskan persyaratan dan pendekatan yang harus dilakukan untuk melindungi kerahasiaan, integritas, dan ketersediaan informasi organisasi. b. Jelaskan persyaratan dan pendekatan yang harus dilakukan untuk memproses informasi identitas pribadi guna meminimalkan risiko privasi bagi individu. c. Jelaskan cara arsitektur diintegrasikan ke dalam dan mendukung arsitektur perusahaan. d. Jelaskan asumsi dan dependensi pada sistem dan layanan eksternal. B. Tinjau dan perbarui arsitektur dengan frekuensi yang ditentukan organisasi untuk mencerminkan perubahan dalam arsitektur perusahaan. C. Mencerminkan perubahan arsitektur yang direncanakan dalam rencana keamanan dan privasi, Konsep Operasi (CONOPS), analisis kekritisan, prosedur organisasi, serta pengadaan dan akuisisi.

nist-r5-ra-03

A. Lakukan penilaian risiko, termasuk: a. Mengidentifikasi ancaman dan kerentanan dalam sistem. b. Menentukan kemungkinan dan besarnya bahaya dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran sistem yang tidak sah, informasi yang diproses, disimpan, atau ditransmisikan, dan informasi terkait lainnya. c. Menentukan kemungkinan dan dampak efek merugikan pada individu yang timbul dari pemrosesan informasi identitas pribadi. B. Mengintegrasikan hasil penilaian risiko dan keputusan pengelolaan risiko dari perspektif organisasi dan misi atau proses bisnis dengan penilaian risiko tingkat sistem; C. Mendokumentasikan hasil penilaian risiko dalam rencana keamanan dan privasi, laporan penilaian risiko, dan dokumen yang ditentukan organisasi. D. Tinjau hasil penilaian risiko dengan frekuensi yang ditentukan organisasi. E. Sebarkan hasil penilaian risiko kepada personel atau peran yang ditentukan organisasi. F Perbarui penilaian risiko dengan frekuensi yang ditentukan organisasi atau saat ada perubahan signifikan pada sistem, lingkungan operasinya, atau kondisi lain yang dapat memengaruhi status keamanan atau privasi sistem.

nist-r5-ra-05

A. Memantau dan memindai kerentanan dalam sistem dan aplikasi yang dihosting pada frekuensi yang ditentukan organisasi atau secara acak sesuai dengan proses yang ditentukan organisasi dan saat kerentanan baru yang berpotensi memengaruhi sistem diidentifikasi dan dilaporkan; B. Gunakan alat dan teknik pemantauan kerentanan yang memfasilitasi interoperabilitas antar-alat dan mengotomatiskan bagian dari proses pengelolaan kerentanan dengan menggunakan standar untuk: a. Mencantumkan platform, kelemahan software, dan konfigurasi yang tidak tepat. b. Memformat checklist dan prosedur pengujian. c. Mengukur dampak kerentanan. C. Menganalisis laporan dan hasil pemindaian kerentanan dari pemantauan kerentanan. D. Perbaiki kerentanan yang sah pada waktu respons yang ditentukan organisasi sesuai dengan penilaian risiko organisasi. E. Bagikan informasi yang diperoleh dari proses pemantauan kerentanan dan penilaian kontrol kepada personel atau peran yang ditentukan organisasi untuk membantu menghilangkan kerentanan serupa di sistem lain. F. Gunakan alat pemantauan kerentanan yang mencakup kemampuan untuk memperbarui kerentanan yang akan dipindai dengan mudah.

nist-r5-sa-03

Dapatkan, kembangkan, dan kelola sistem menggunakan siklus proses pengembangan sistem yang ditentukan organisasi yang menggabungkan pertimbangan keamanan dan privasi informasi. Tentukan dan dokumentasikan peran dan tanggung jawab keamanan informasi dan privasi di seluruh siklus proses pengembangan sistem. Mengidentifikasi individu yang memiliki peran dan tanggung jawab keamanan informasi dan privasi. Mengintegrasikan proses pengelolaan risiko privasi dan keamanan informasi organisasi ke dalam aktivitas siklus proses pengembangan sistem.

nist-r5-sa-08

Menerapkan prinsip rekayasa keamanan dan privasi yang ditentukan organisasi dalam spesifikasi, desain, pengembangan, penerapan, dan modifikasi sistem serta komponen sistem.

nist-r5-sa-10

Mewajibkan developer sistem, komponen sistem, atau layanan sistem untuk: A. Melakukan pengelolaan konfigurasi selama desain, pengembangan, penerapan, pengoperasian, atau pembuangan sistem, komponen, atau layanan. B. Mendokumentasikan, mengelola, dan mengontrol integritas perubahan pada item konfigurasi yang ditentukan organisasi dalam pengelolaan konfigurasi. C. Menerapkan hanya perubahan yang disetujui organisasi pada sistem, komponen, atau layanan. D. Mendokumentasikan perubahan yang disetujui pada sistem, komponen, atau layanan dan potensi dampak keamanan dan privasi dari perubahan tersebut. E. Melacak kelemahan keamanan dan penyelesaian kelemahan dalam sistem, komponen, atau layanan, serta melaporkan temuan kepada personel yang ditentukan organisasi.

nist-r5-sa-11

Mewajibkan developer sistem, komponen sistem, atau layanan sistem, di semua tahap pasca-desain siklus proses pengembangan sistem, untuk: A. Mengembangkan dan menerapkan rencana untuk penilaian keamanan dan privasi berkelanjutan; B. Lakukan pengujian unit, integrasi, sistem, regresi, sesuai frekuensi yang ditentukan organisasi dan pada kedalaman serta cakupan yang ditentukan organisasi. C. Menghasilkan bukti pelaksanaan rencana penilaian dan hasil pengujian serta evaluasi. D. Terapkan proses perbaikan kelemahan yang dapat diverifikasi. E. Perbaiki kekurangan yang diidentifikasi selama pengujian dan evaluasi.

nist-r5-sa-15

Mewajibkan developer sistem, komponen sistem, atau layanan sistem untuk mengikuti proses pengembangan yang terdokumentasi yang: secara eksplisit menangani persyaratan keamanan dan privasi, mengidentifikasi standar dan alat yang digunakan dalam proses pengembangan, mendokumentasikan opsi alat dan konfigurasi alat tertentu yang digunakan dalam proses pengembangan, serta mendokumentasikan, mengelola, dan memastikan integritas perubahan pada proses dan alat yang digunakan dalam pengembangan. Tinjau proses pengembangan, standar, alat, opsi alat, dan konfigurasi alat sesuai frekuensi yang ditentukan organisasi, untuk menentukan apakah proses, standar, alat, opsi alat, dan konfigurasi alat yang dipilih dan digunakan dapat memenuhi persyaratan keamanan dan privasi yang ditentukan organisasi.

nist-r5-sa-21

Mewajibkan developer sistem, komponen sistem, atau layanan sistem yang ditentukan organisasi memiliki otorisasi akses yang sesuai sebagaimana ditentukan oleh tugas resmi pemerintah yang ditetapkan organisasi. Developer harus memenuhi kriteria pemeriksaan tambahan personel yang ditentukan organisasi.

nist-r5-sc-03

Mengisolasi fungsi keamanan dari fungsi non-keamanan.

nist-r5-sc-05

Melindungi dari efek peristiwa penolakan layanan yang ditentukan organisasi. Gunakan kontrol yang ditentukan organisasi menurut jenis peristiwa penolakan layanan.

nist-r5-sc-07

Pantau dan kontrol komunikasi di antarmuka yang dikelola secara eksternal ke sistem dan di antarmuka yang dikelola secara internal utama dalam sistem. Terapkan subnetwork untuk komponen sistem yang dapat diakses secara publik yang dipisahkan secara fisik dan logis dari jaringan organisasi internal. Hubungkan ke jaringan atau sistem eksternal hanya melalui antarmuka terkelola yang terdiri dari perangkat perlindungan batas yang disusun sesuai dengan arsitektur keamanan dan privasi organisasi.

nist-r5-sc-07-05

Menolak traffic komunikasi jaringan secara default dan mengizinkan berdasarkan pengecualian di antarmuka terkelola untuk sistem yang ditentukan organisasi.

nist-r5-sc-08

Lindungi kerahasiaan dan integritas informasi yang dikirimkan.

nist-r5-sc-10

Mengakhiri koneksi jaringan yang terkait dengan sesi komunikasi di akhir sesi atau setelah jangka waktu tidak aktif yang ditentukan organisasi.

nist-r5-sc-12

Buat dan kelola kunci kriptografis saat kriptografi digunakan dalam sistem sesuai dengan persyaratan pengelolaan kunci seperti persyaratan yang ditentukan organisasi untuk pembuatan, distribusi, penyimpanan, akses, dan penghancuran kunci.

nist-r5-sc-13

Tentukan penggunaan yang diperlukan untuk kriptografi dan terapkan jenis kriptografi tertentu yang diperlukan untuk setiap penggunaan yang ditentukan tersebut.

nist-r5-sc-23

Melindungi keaslian sesi komunikasi.

nist-r5-sc-28

Melindungi kerahasiaan dan integritas informasi yang ditentukan organisasi dalam penyimpanan.

nist-r5-sc-28-01

Menerapkan mekanisme kriptografi untuk mencegah pengungkapan dan modifikasi yang tidak sah terhadap informasi yang ditentukan organisasi saat tidak digunakan pada komponen sistem yang ditentukan organisasi.

nist-r5-si-01

A. Mengembangkan, mendokumentasikan, dan menyebarkan kepada personel atau peran yang ditentukan organisasi: a. Kebijakan integritas sistem dan informasi yang ditentukan di tingkat organisasi, tingkat proses bisnis atau misi, atau di tingkat sistem. Kebijakan harus membahas tujuan, cakupan, peran, tanggung jawab, komitmen manajemen, koordinasi antar-entitas organisasi, dan kepatuhan. Kebijakan ini harus sesuai dengan hukum, perintah eksekutif, arahan, peraturan, kebijakan, standar, dan pedoman yang berlaku. b. Prosedur untuk memfasilitasi penerapan kebijakan integritas sistem dan informasi serta kontrol integritas sistem dan informasi terkait. B. Menunjuk pejabat yang ditetapkan organisasi untuk mengelola pengembangan, dokumentasi, dan penyebaran kebijakan serta prosedur integritas sistem dan informasi. C. Tinjau dan perbarui kebijakan dan prosedur integritas sistem dan informasi saat ini sesuai dengan frekuensi dan peristiwa yang ditentukan organisasi.

nist-r5-si-02

Mengidentifikasi, melaporkan, dan memperbaiki kekurangan sistem. Uji update software dan firmware terkait perbaikan kelemahan untuk mengetahui efektivitas dan potensi efek sampingnya sebelum penginstalan. Menginstal update software dan firmware yang relevan dengan keamanan dalam jangka waktu yang ditentukan organisasi sejak rilis update. Menggabungkan perbaikan kelemahan ke dalam proses pengelolaan konfigurasi organisasi.

nist-r5-si-02-02

Tentukan apakah komponen sistem telah menginstal update software dan firmware yang relevan dengan keamanan yang berlaku menggunakan mekanisme otomatis yang ditentukan organisasi dengan frekuensi yang ditentukan organisasi.

nist-r5-si-03

A. Terapkan mekanisme perlindungan kode berbahaya berbasis tanda tangan atau non-tanda tangan di titik masuk dan keluar sistem untuk mendeteksi dan membasmi kode berbahaya. B. Memperbarui mekanisme perlindungan kode berbahaya secara otomatis saat rilis baru tersedia sesuai dengan kebijakan dan prosedur pengelolaan konfigurasi organisasi. C. Konfigurasi mekanisme perlindungan kode berbahaya untuk: a. Lakukan pemindaian sistem berkala dengan frekuensi yang ditentukan organisasi dan pemindaian real-time file dari sumber eksternal di endpoint; titik masuk dan keluar jaringan saat file didownload, dibuka, atau dieksekusi sesuai dengan kebijakan organisasi. b. Memblokir kode berbahaya; mengarantina kode berbahaya; melakukan tindakan yang ditentukan organisasi, dan mengirimkan pemberitahuan kepada personel atau peran yang ditentukan organisasi sebagai respons terhadap deteksi kode berbahaya. D. Menangani penerimaan positif palsu selama deteksi dan pemberantasan kode berbahaya serta potensi dampaknya terhadap ketersediaan sistem.

nist-r5-si-04

A. Pantau sistem untuk mendeteksi: a. Serangan dan indikator potensi serangan sesuai dengan tujuan pemantauan yang ditentukan organisasi. b. Koneksi lokal, jaringan, dan jarak jauh yang tidak sah. B. Mengidentifikasi penggunaan sistem yang tidak sah melalui teknik dan metode yang ditentukan organisasi. C. Memanggil kemampuan pemantauan internal atau men-deploy perangkat pemantauan: a. Secara strategis dalam sistem untuk mengumpulkan informasi penting yang ditentukan organisasi. b. Di lokasi ad hoc dalam sistem untuk melacak jenis transaksi tertentu yang menarik bagi organisasi. D. Menganalisis peristiwa dan anomali yang terdeteksi. E. Menyesuaikan tingkat aktivitas pemantauan sistem jika ada perubahan risiko terhadap operasi dan aset organisasi, individu, organisasi lain, atau Negara. F. Mendapatkan pendapat hukum terkait aktivitas pemantauan sistem. G. Memberikan informasi pemantauan sistem yang ditentukan organisasi kepada personel atau peran yang ditentukan organisasi sesuai kebutuhan atau sesuai frekuensi yang ditentukan organisasi.

nist-r5-si-04-02

Gunakan alat dan mekanisme otomatis untuk mendukung analisis peristiwa hampir real-time.

nist-r5-si-04-04

Tentukan kriteria untuk aktivitas atau kondisi yang tidak biasa atau tidak sah untuk traffic komunikasi masuk dan keluar. Pantau traffic komunikasi masuk dan keluar pada frekuensi yang ditentukan organisasi untuk aktivitas atau kondisi yang tidak biasa atau tidak sah yang ditentukan organisasi.

nist-r5-si-07

a. Menggunakan alat verifikasi integritas untuk mendeteksi perubahan yang tidak sah pada software, firmware, dan informasi yang ditentukan organisasi. b. Lakukan tindakan yang ditentukan organisasi saat perubahan tidak sah pada software, firmware, dan informasi terdeteksi.

nist-r5-si-07-01

Melakukan pemeriksaan integritas software, firmware, dan informasi yang ditentukan organisasi, saat startup dan status transisi atau peristiwa yang relevan dengan keamanan yang ditentukan organisasi, dengan frekuensi yang ditentukan organisasi.

nist-r5-si-07-02

Menggunakan alat otomatis yang memberikan notifikasi kepada personel atau peran yang ditentukan organisasi setelah menemukan perbedaan selama verifikasi integritas.

nist-r5-si-12

Mengelola dan menyimpan informasi dalam sistem serta output informasi dari sistem sesuai dengan hukum, perintah eksekutif, arahan, peraturan, kebijakan, standar, pedoman, dan persyaratan operasional yang berlaku.

NIST AI 600-1 Privacy Controls

Penyedia cloud yang didukung: Google Cloud

Kontrol privasi berbasis NIST AI 600-1 untuk adopsi GenAI

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

nist-600-1-gv-6.1-001

Mengategorikan berbagai jenis konten AI generatif (GAI) dengan hak pihak ketiga terkait. Misalnya, hak cipta kategori, kekayaan intelektual, dan privasi data.

nist-600-1-mg-2.2-002

Mendokumentasikan sumber data pelatihan untuk melacak asal dan provenans konten buatan AI.

nist-600-1-mg-2.2-007

Gunakan alat audit real-time yang dapat didemonstrasikan untuk membantu pelacakan dan validasi asal-usul serta keaslian data buatan AI.

nist-600-1-mg-2.2-009

Pertimbangkan peluang untuk menggunakan data sintetis dan teknik peningkatan privasi lainnya secara bertanggung jawab dalam pengembangan GAI, jika sesuai dan berlaku, yang cocok dengan properti statistik data dunia nyata tanpa mengungkapkan informasi identitas pribadi atau berkontribusi pada homogenisasi.

nist-600-1-mg-3.2-003

Sumber dokumen dan jenis data pelatihan serta asalnya, potensi bias yang ada dalam data yang terkait dengan aplikasi GAI dan asal kontennya, arsitektur, proses pelatihan model pra-latih termasuk informasi tentang hyperparameter, durasi pelatihan, dan proses penyesuaian yang diterapkan.

nist-600-1-mp-2.1-002

Lakukan pengujian dan evaluasi untuk alur data dan konten dalam sistem GAI, termasuk, tetapi tidak terbatas pada, sumber data asli, transformasi data, dan kriteria pengambilan keputusan.

nist-600-1-mp-4.1-001

Lakukan pemantauan berkala terhadap konten buatan AI untuk mengidentifikasi risiko privasi; tangani setiap kemungkinan kasus pemaparan PII atau data sensitif.

nist-600-1-mp-4.1-004

Mendokumentasikan kebijakan kurasi data pelatihan, sejauh memungkinkan dan sesuai dengan hukum dan kebijakan yang berlaku.

nist-600-1-mp-4.1-005

Menetapkan kebijakan untuk pengumpulan, penyimpanan, dan kualitas minimum data, dengan mempertimbangkan risiko berikut: Pengungkapan informasi CBRN yang tidak pantas; Penggunaan konten ilegal atau berbahaya; Kemampuan siber yang ofensif; Ketidakseimbangan data pelatihan yang dapat menimbulkan bias berbahaya; Kebocoran informasi identitas pribadi, termasuk kemiripan wajah individu.

nist-600-1-mp-4.1-009

Manfaatkan pendekatan untuk mendeteksi keberadaan PII atau data sensitif dalam teks, gambar, video, atau audio output yang dihasilkan.

nist-600-1-mp-4.1-010

Lakukan uji tuntas yang sesuai terkait penggunaan data pelatihan untuk menilai risiko kekayaan intelektual dan privasi, termasuk memeriksa apakah penggunaan data pelatihan sensitif atau eksklusif sesuai dengan hukum yang berlaku.

nist-600-1-ms-1.1-002

Mengintegrasikan alat yang dirancang untuk menganalisis asal konten dan mendeteksi anomali data, memverifikasi keaslian tanda tangan digital, dan mengidentifikasi pola yang terkait dengan misinformasi atau manipulasi.

nist-600-1-ms-2.2-004

Gunakan teknik seperti anonimisasi, privasi diferensial, atau teknologi peningkatan privasi lainnya untuk membantu meminimalkan risiko yang terkait dengan penautan konten buatan AI kembali ke subjek manusia individu.

nist-600-1-ms-2.5-005

Verifikasi bahwa data pelatihan dan data pengujian, evaluasi, verifikasi, dan validasi (TEVV) sistem Kecerdasan Buatan Generatif (GAI), serta asal-usul data pembuatan atau data retrieval-augmented generation yang di-fine-tune memiliki dasar yang kuat.

nist-600-1-ms-2.6-002

Menilai keberadaan atau tingkat bias berbahaya, pelanggaran kekayaan intelektual, pelanggaran privasi data, kecabulan, ekstremisme, kekerasan, atau informasi CBRN dalam data pelatihan sistem.

nist-600-1-ms-2.9-002

Mendokumentasikan detail model GAI, termasuk: penggunaan yang diusulkan dan nilai organisasi; asumsi dan batasan, metodologi pengumpulan data; asal data; kualitas data; arsitektur model (misalnya, jaringan neural konvolusional dan transformer); tujuan pengoptimalan; algoritma pelatihan; pendekatan RLHF; pendekatan penyesuaian atau pembuatan yang didukung pengambilan; data evaluasi; pertimbangan etis; persyaratan hukum dan peraturan.

NIST Cybersecurity Framework 1.1

Penyedia cloud yang didukung: Google Cloud

Framework strategis untuk membantu organisasi mengelola risiko pengamanan cyber. Framework ini mengatur aktivitas ke dalam lima fungsi inti: Identifikasi, Lindungi, Deteksi, Respons, dan Pulihkan, sehingga memberikan gambaran umum tentang postur keamanan Anda.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

nist-csf-de-ae

Anomali dan Peristiwa (DE.AE): Aktivitas anomali terdeteksi dan potensi dampak peristiwa dipahami.

nist-csf-de-ae-1

Dasar pengukuran operasi jaringan dan aliran data yang diharapkan untuk pengguna dan sistem ditetapkan dan dikelola.

nist-csf-de-ae-2

Peristiwa yang terdeteksi dianalisis untuk memahami target dan metode serangan.

nist-csf-de-ae-3

Data peristiwa dikumpulkan dan dikorelasikan dari berbagai sumber dan sensor.

nist-csf-de-ae-4

Dampak peristiwa ditentukan.

nist-csf-de-ae-5

Nilai minimum pemberitahuan insiden ditetapkan.

nist-csf-de-cm

Pemantauan Berkelanjutan Keamanan (DE.CM): Sistem informasi dan aset dipantau untuk mengidentifikasi peristiwa keamanan siber dan memverifikasi efektivitas langkah-langkah perlindungan.

nist-csf-de-cm-1

Jaringan dipantau untuk mendeteksi potensi peristiwa keamanan siber.

nist-csf-de-cm-2

Lingkungan fisik dipantau untuk mendeteksi potensi peristiwa keamanan siber.

nist-csf-de-cm-3

Aktivitas personel dipantau untuk mendeteksi potensi peristiwa keamanan siber.

nist-csf-de-cm-4

Kode berbahaya terdeteksi.

nist-csf-de-cm-5

Kode seluler tidak sah terdeteksi.

nist-csf-de-cm-6

Aktivitas penyedia layanan eksternal dipantau untuk mendeteksi potensi peristiwa pengamanan cyber.

nist-csf-de-cm-7

Pemantauan dilakukan untuk personel, koneksi, perangkat, dan software yang tidak sah.

nist-csf-de-cm-8

Pemindaian kerentanan dilakukan.

nist-csf-de-dp-1

Peran dan tanggung jawab untuk deteksi telah ditentukan dengan baik untuk memastikan akuntabilitas.

nist-csf-de-dp-4

Informasi deteksi peristiwa dikomunikasikan.

nist-csf-id-am

Pengelolaan Aset: Data, personel, perangkat, sistem, dan fasilitas yang memungkinkan organisasi mencapai tujuan bisnis diidentifikasi dan dikelola sesuai dengan kepentingan relatifnya terhadap tujuan organisasi dan strategi risiko organisasi.

nist-csf-id-am-1

Perangkat dan sistem fisik dalam organisasi diinventarisasi.

nist-csf-id-am-4

Sistem informasi eksternal dikatalogkan.

nist-csf-id-am-6

Peran dan tanggung jawab keamanan siber untuk seluruh tenaga kerja dan pemangku kepentingan pihak ketiga (misalnya, pemasok, pelanggan, partner) telah ditetapkan.

nist-csf-id-gv-1

Kebijakan keamanan siber organisasi ditetapkan dan dikomunikasikan.

nist-csf-id-gv-3

Persyaratan hukum dan peraturan terkait keamanan siber, termasuk kewajiban privasi dan kebebasan sipil, dipahami dan dikelola.

nist-csf-id-gv-4

Proses tata kelola dan pengelolaan risiko menangani risiko keamanan siber.

nist-csf-id-ra-1

Kerentanan aset diidentifikasi dan didokumentasikan.

nist-csf-id-ra-2

Cyber threat intelligence diterima dari forum dan sumber berbagi informasi.

nist-csf-id-ra-3

Ancaman, baik internal maupun eksternal, diidentifikasi dan didokumentasikan.

nist-csf-id-sc-3

Kontrak dengan pemasok dan partner pihak ketiga digunakan untuk menerapkan langkah-langkah yang tepat yang dirancang untuk memenuhi tujuan program keamanan siber dan Rencana Pengelolaan Risiko Rantai Suplai Siber organisasi.

nist-csf-pr-ac

Pengelolaan Identitas, Autentikasi, dan Kontrol Akses (PR.AC): Akses ke aset fisik dan logis serta fasilitas terkait dibatasi untuk pengguna, proses, dan perangkat yang berwenang, serta dikelola secara konsisten dengan risiko yang dinilai dari akses tidak sah ke aktivitas dan transaksi yang sah.

nist-csf-pr-ac-1

Identitas dan kredensial dikeluarkan, dikelola, diverifikasi, dicabut, dan diaudit untuk perangkat, pengguna, dan proses yang berwenang.

nist-csf-pr-ac-2

Akses fisik ke aset dikelola dan dilindungi.

nist-csf-pr-ac-3

Akses jarak jauh dikelola.

nist-csf-pr-ac-4

Izin dan otorisasi akses dikelola, dengan menggabungkan prinsip hak istimewa terendah dan pemisahan tugas.

nist-csf-pr-ac-5

Integritas jaringan dilindungi (misalnya, pemisahan jaringan, segmentasi jaringan).

nist-csf-pr-ac-6

Identitas diverifikasi dan terikat ke kredensial serta ditegaskan dalam interaksi.

nist-csf-pr-ac-7

Pengguna, perangkat, dan aset lainnya diautentikasi (misalnya, faktor tunggal, multi-faktor) sesuai dengan risiko transaksi (misalnya, risiko keamanan dan privasi individu serta risiko organisasi lainnya).

nist-csf-pr-ds-1

Data dalam penyimpanan dilindungi.

nist-csf-pr-ds-2

Data dalam pengiriman dilindungi.

nist-csf-pr-ds-3

Aset dikelola secara resmi selama penghapusan, transfer, dan disposisi.

nist-csf-pr-ds-4

Kapasitas yang memadai untuk memastikan ketersediaan tetap terjaga.

nist-csf-pr-ds-5

Perlindungan terhadap kebocoran data diterapkan.

nist-csf-pr-ip

Proses dan Prosedur Perlindungan Informasi (PR.IP): Kebijakan keamanan (yang membahas tujuan, cakupan, peran, tanggung jawab, komitmen manajemen, dan koordinasi antar-entitas organisasi), proses, dan prosedur dipertahankan dan digunakan untuk mengelola perlindungan sistem dan aset informasi.

nist-csf-pr-ip-1

Konfigurasi dasar sistem teknologi informasi atau sistem kontrol industri dibuat dan dikelola dengan menggabungkan prinsip keamanan (misalnya, konsep fungsi paling sedikit).

nist-csf-pr-ip-10

Rencana respons dan pemulihan diuji.

nist-csf-pr-ip-12

Rencana pengelolaan kerentanan dikembangkan dan diterapkan.

nist-csf-pr-ip-2

Siklus Proses Pengembangan Sistem untuk mengelola sistem diterapkan.

nist-csf-pr-ip-3

Proses kontrol perubahan konfigurasi sudah diterapkan.

nist-csf-pr-ip-4

Pencadangan informasi dilakukan, dipelihara, dan diuji.

nist-csf-pr-ip-6

Data dihancurkan sesuai dengan kebijakan.

nist-csf-pr-ip-9

Rencana respons (Respons Insiden dan Kelangsungan Bisnis) serta rencana pemulihan (Pemulihan Insiden dan Pemulihan dari Bencana) telah diterapkan dan dikelola.

nist-csf-pr-ma-1

Pemeliharaan dan perbaikan aset organisasi dilakukan dan dicatat, dengan alat yang disetujui dan dikontrol.

nist-csf-pr-pt

Teknologi Pelindung (PR.PT): Solusi keamanan teknis dikelola untuk memastikan keamanan dan ketahanan sistem dan aset, sesuai dengan kebijakan, prosedur, dan perjanjian terkait.

nist-csf-pr-pt-1

Catatan audit dan log ditentukan, didokumentasikan, diterapkan, dan ditinjau sesuai dengan kebijakan.

nist-csf-pr-pt-3

Prinsip fungsi terendah diterapkan dengan mengonfigurasi sistem untuk hanya menyediakan kemampuan penting.

nist-csf-pr-pt-4

Jaringan komunikasi dan kontrol dilindungi.

nist-csf-pr-pt-5

Mekanisme (misalnya, failsafe, load balancing, hot swap) diterapkan untuk mencapai persyaratan ketahanan dalam situasi normal dan buruk.

nist-csf-rc-im

Peningkatan (RC.IM): Perencanaan dan proses pemulihan ditingkatkan dengan memasukkan pelajaran yang diperoleh ke dalam aktivitas mendatang.

nist-csf-rc-rp-1

Rencana pemulihan dijalankan selama atau setelah insiden pengamanan cyber.

nist-csf-rs-an

Analisis (RS.AN): Analisis dilakukan untuk memastikan respons yang efektif dan mendukung aktivitas pemulihan.

nist-csf-rs-an-1

Notifikasi dari sistem deteksi akan diselidiki.

nist-csf-rs-an-5

Proses ditetapkan untuk menerima, menganalisis, dan merespons kerentanan yang diungkapkan kepada organisasi dari sumber internal dan eksternal (misalnya, pengujian internal, buletin keamanan, atau peneliti keamanan).

nist-csf-rs-co-1

Personel mengetahui peran dan urutan operasi mereka saat respons diperlukan.

nist-csf-rs-co-4

Koordinasi dengan pemangku kepentingan dilakukan sesuai dengan rencana respons.

nist-csf-rs-im-2

Strategi respons diperbarui.

nist-csf-rs-mi-2

Insiden dimitigasi.

nist-csf-rs-rp-1

Rencana respons dijalankan selama atau setelah insiden.

PCI DSS v4.0.1

Penyedia cloud yang didukung: Google Cloud

Kerangka kerja peraturan yang menentukan Standar Keamanan Data (DSS) PCI wajib bagi bisnis yang memproses, menyimpan, atau mengirimkan data pemegang kartu. PCI DSS menetapkan persyaratan teknis dan operasional tertentu untuk membantu melindungi data pemegang kartu di mana pun data tersebut diproses, disimpan, atau ditransmisikan. PCI DSS menyediakan serangkaian persyaratan teknis dan operasional preskriptif untuk membantu mencegah penipuan. Framework ini selaras dengan PCI DSS v4.0.1.

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

pci-dss-v4-1-2-1

Standar konfigurasi untuk set aturan NSC harus ditentukan, diterapkan, dan dipertahankan.

pci-dss-v4-1-2-6

Fitur keamanan harus ditentukan dan diterapkan untuk semua layanan, protokol, dan port yang sedang digunakan dan dianggap tidak aman, sehingga risiko dapat dikurangi.

pci-dss-v4-1-3-1

Traffic masuk ke CDE harus dibatasi hanya untuk traffic yang diperlukan dan semua traffic lainnya harus ditolak secara khusus.

pci-dss-v4-1-3-2

Traffic keluar dari CDE harus dibatasi hanya untuk traffic yang diperlukan dan semua traffic lainnya harus ditolak secara khusus.

pci-dss-v4-1-4-1

NSC diimplementasikan antara jaringan tepercaya dan tidak tepercaya.

pci-dss-v4-1-4-2

Traffic masuk dari jaringan yang tidak tepercaya ke jaringan tepercaya harus dibatasi untuk hal berikut: komunikasi dengan komponen sistem yang diberi otorisasi untuk menyediakan layanan, protokol, dan port yang dapat diakses secara publik; respons stateful terhadap komunikasi yang dimulai oleh komponen sistem dalam jaringan tepercaya; dan semua traffic lainnya harus ditolak.

pci-dss-v4-1-4-3

Langkah-langkah anti-spoofing harus diterapkan untuk mendeteksi dan memblokir alamat IP sumber palsu agar tidak memasuki jaringan tepercaya.

pci-dss-v4-1-4-4

Komponen sistem yang menyimpan data pemegang kartu tidak boleh dapat diakses secara langsung dari jaringan yang tidak tepercaya.

pci-dss-v4-10-1-1

Semua kebijakan keamanan dan prosedur operasional yang diidentifikasi dalam Persyaratan 10 didokumentasikan, selalu diperbarui, digunakan, dan diketahui oleh semua pihak yang terpengaruh.

pci-dss-v4-10-2-1

Log audit diaktifkan dan aktif untuk semua komponen sistem dan data pemegang kartu.

pci-dss-v4-10-2-1-1

Log audit mencatat semua akses pengguna perorangan ke data pemegang kartu.

pci-dss-v4-10-2-1-2

Log audit mencatat semua tindakan yang dilakukan oleh setiap individu dengan akses administratif, termasuk penggunaan interaktif akun aplikasi atau sistem.

pci-dss-v4-10-2-1-4

Log audit mencatat semua upaya akses logis yang tidak valid.

pci-dss-v4-10-3-3

File log audit, termasuk yang ditujukan untuk teknologi yang menghadap eksternal, segera dicadangkan ke server log internal pusat yang aman, atau media lain yang sulit dimodifikasi.

pci-dss-v4-10-4-1-1

Mekanisme otomatis digunakan untuk melakukan peninjauan log audit.

pci-dss-v4-10-5-1

Pertahankan histori log audit selama minimal 12 bulan, dengan minimal tiga bulan terakhir tersedia langsung untuk analisis.

pci-dss-v4-11-5-1

Teknik deteksi dan pencegahan penyusupan digunakan untuk mendeteksi dan/atau mencegah penyusupan ke dalam jaringan sebagai berikut: semua traffic dipantau di perimeter CDE; semua traffic dipantau di titik-titik penting dalam CDE; personel diberi tahu jika ada dugaan penyusupan; semua mesin, dasar, dan tanda tangan deteksi dan pencegahan penyusupan selalu diupdate.

pci-dss-v4-12-10-5

Rencana respons insiden keamanan mencakup pemantauan dan respons terhadap pemberitahuan dari sistem pemantauan keamanan, termasuk, tetapi tidak terbatas pada: sistem deteksi penyusupan dan pencegahan penyusupan; kontrol keamanan jaringan; mekanisme deteksi perubahan untuk file penting; mekanisme deteksi perubahan dan gangguan untuk halaman pembayaran; deteksi titik akses nirkabel yang tidak sah.

pci-dss-v4-12-5-1

Inventaris komponen sistem yang tercakup dalam PCI DSS, termasuk deskripsi fungsi dan penggunaan, dikelola dan selalu diperbarui.

pci-dss-v4-2-2-1

Standar konfigurasi harus dikembangkan, diterapkan, dan dipertahankan untuk memastikan bahwa standar tersebut mencakup semua komponen sistem, mengatasi semua kerentanan keamanan yang diketahui, konsisten dengan standar penguatan sistem yang diterima industri atau rekomendasi penguatan vendor, diperbarui saat masalah kerentanan baru diidentifikasi, sebagaimana ditentukan dalam Persyaratan 6.3.1, dan diterapkan saat sistem baru dikonfigurasi dan diverifikasi sebagai telah diterapkan sebelum atau segera setelah komponen sistem terhubung ke lingkungan produksi.

pci-dss-v4-2-2-3

Fungsi utama yang memerlukan tingkat keamanan yang berbeda harus dikelola untuk memastikan hal berikut: hanya ada satu fungsi utama pada komponen sistem, atau fungsi utama dengan tingkat keamanan yang berbeda yang ada pada komponen sistem yang sama diisolasi satu sama lain, atau fungsi utama dengan tingkat keamanan yang berbeda pada komponen sistem yang sama semuanya diamankan ke tingkat yang diperlukan oleh fungsi dengan kebutuhan keamanan tertinggi.

pci-dss-v4-2-2-4

Hanya layanan, protokol, daemon, dan fungsi yang diperlukan yang harus diaktifkan, dan semua fungsi yang tidak diperlukan harus dihapus atau dinonaktifkan.

pci-dss-v4-2-2-5

Jika ada layanan, protokol, atau daemon yang tidak aman, pastikan justifikasi bisnis didokumentasikan dan fitur keamanan tambahan didokumentasikan serta diterapkan untuk mengurangi risiko penggunaan layanan, protokol, atau daemon yang tidak aman.

pci-dss-v4-2-2-6

Parameter keamanan sistem harus dikonfigurasi untuk mencegah penyalahgunaan.

pci-dss-v4-2-2-7

Semua akses administratif non-konsol harus dienkripsi menggunakan kriptografi yang kuat.

pci-dss-v4-3-2-1

Penyimpanan data akun harus dijaga seminimal mungkin melalui penerapan kebijakan, prosedur, dan proses retensi serta penghapusan data yang setidaknya harus mencakup hal berikut: cakupan untuk semua lokasi data akun yang disimpan; cakupan untuk setiap data autentikasi sensitif (SAD) yang disimpan sebelum penyelesaian otorisasi; membatasi jumlah penyimpanan data dan waktu retensi hingga yang diperlukan untuk persyaratan hukum atau peraturan, dan bisnis; persyaratan retensi khusus untuk data akun yang disimpan yang menentukan durasi periode retensi dan mencakup justifikasi bisnis yang terdokumentasi; proses untuk penghapusan yang aman atau membuat data akun tidak dapat dipulihkan jika tidak lagi diperlukan sesuai dengan kebijakan retensi; dan proses untuk memverifikasi, setidaknya sekali setiap tiga bulan, bahwa data akun yang disimpan yang melebihi periode retensi yang ditentukan telah dihapus dengan aman atau dibuat tidak dapat dipulihkan.

pci-dss-v4-3-3-2

SAD yang disimpan secara elektronik sebelum penyelesaian otorisasi harus dienkripsi menggunakan kriptografi yang kuat.

pci-dss-v4-3-3-3

Penerbit dan perusahaan yang mendukung layanan penerbitan dan menyimpan data autentikasi sensitif harus memastikan bahwa penyimpanan data autentikasi sensitif dibatasi hanya pada data yang diperlukan untuk kebutuhan bisnis penerbitan yang sah serta diamankan dan dienkripsi menggunakan kriptografi yang kuat.

pci-dss-v4-3-5-1

PAN dibuat tidak dapat dibaca di mana pun PAN disimpan dengan menggunakan salah satu pendekatan berikut: hash satu arah berdasarkan kriptografi yang kuat dari seluruh PAN; pemotongan (hashing tidak dapat digunakan untuk menggantikan segmen PAN yang dipotong); jika versi PAN yang di-hash dan dipotong yang sama, atau format pemotongan PAN yang sama, ada di lingkungan, kontrol tambahan diterapkan sehingga versi yang berbeda tidak dapat dikorelasikan untuk merekonstruksi PAN asli; token indeks; dan kriptografi yang kuat dengan proses dan prosedur pengelolaan kunci terkait.

pci-dss-v4-3-5-1-3

Jika enkripsi level disk atau level partisi digunakan (bukan enkripsi database level file, kolom, atau kolom) untuk membuat PAN tidak dapat dibaca, pastikan hal berikut: akses logis dikelola secara terpisah dan independen dari mekanisme autentikasi dan kontrol akses sistem operasi native; kunci dekripsi tidak dikaitkan dengan akun pengguna; dan faktor autentikasi (seperti, sandi, frasa sandi, atau kunci kriptografi) yang memungkinkan akses ke data yang tidak dienkripsi disimpan dengan aman.

pci-dss-v4-3-6-1

Prosedur harus ditentukan dan diterapkan untuk melindungi kunci kriptografi yang digunakan untuk melindungi data akun tersimpan dari pengungkapan dan penyalahgunaan, termasuk akses ke kunci dibatasi untuk jumlah kustodian sesedikit mungkin yang diperlukan.

pci-dss-v4-3-6-1-2

Kunci rahasia dan pribadi yang digunakan untuk melindungi data akun tersimpan harus disimpan dalam satu (atau lebih) bentuk berikut setiap saat: dienkripsi dengan kunci enkripsi utama yang setidaknya sama kuatnya dengan kunci enkripsi data, dan yang disimpan secara terpisah dari kunci enkripsi data; dalam perangkat kriptografi yang aman (SCD) (misalnya, modul keamanan hardware (HSM) atau perangkat titik interaksi yang disetujui PTS); dan sebagai setidaknya dua komponen kunci atau berbagi kunci dengan panjang penuh, sesuai dengan metode yang diterima industri.

pci-dss-v4-3-7-1

Kebijakan dan prosedur pengelolaan kunci harus diterapkan untuk mencakup pembuatan kunci kriptografi yang kuat yang digunakan untuk melindungi data akun yang disimpan.

pci-dss-v4-3-7-2

Kebijakan dan prosedur pengelolaan kunci harus diterapkan untuk mencakup distribusi aman kunci kriptografi yang digunakan untuk melindungi data akun yang disimpan.

pci-dss-v4-3-7-3

Kebijakan dan prosedur pengelolaan kunci harus diterapkan untuk mencakup penyimpanan aman kunci kriptografi yang digunakan untuk melindungi data akun yang disimpan.

pci-dss-v4-3-7-5

Kebijakan dan prosedur pengelolaan kunci harus diterapkan untuk mencakup penghentian penggunaan, penggantian, atau penghancuran kunci yang digunakan untuk melindungi data akun tersimpan, sebagaimana dianggap perlu jika: kunci telah mencapai akhir periode kriptonya yang ditentukan; integritas kunci telah melemah (termasuk saat personel yang mengetahui komponen kunci teks biasa keluar dari perusahaan, atau peran yang komponen kuncinya diketahui); kunci dicurigai atau diketahui telah disusupi; dan kunci yang dihentikan penggunaannya atau diganti tidak digunakan untuk operasi enkripsi.

pci-dss-v4-4-2-1

Kriptografi dan protokol keamanan yang kuat harus diterapkan untuk mengamankan PAN selama transmisi melalui jaringan publik yang terbuka untuk memastikan hal berikut: hanya kunci dan sertifikat tepercaya yang diterima; sertifikat yang digunakan untuk mengamankan PAN selama transmisi melalui jaringan publik yang terbuka dikonfirmasi sebagai valid dan tidak kedaluwarsa atau dicabut; protokol yang digunakan hanya mendukung versi atau konfigurasi yang aman dan tidak mendukung penggantian ke, atau penggunaan versi, algoritma, ukuran kunci, atau penerapan yang tidak aman; dan kekuatan enkripsi sesuai untuk metodologi enkripsi yang digunakan.

pci-dss-v4-5-2-1

Solusi anti-malware harus di-deploy di semua komponen sistem, kecuali komponen sistem yang diidentifikasi dalam evaluasi berkala per Persyaratan 5.2.3 yang menyimpulkan bahwa komponen sistem tidak berisiko terkena malware.

pci-dss-v4-5-2-2

Solusi anti-malware yang di-deploy harus mendeteksi semua jenis malware yang diketahui dan menghapus, memblokir, atau memuat semua jenis malware yang diketahui.

pci-dss-v4-6-2-3

Software khusus dan kustom harus ditinjau sebelum dirilis ke produksi atau kepada pelanggan, untuk mengidentifikasi dan memperbaiki potensi kerentanan pengodean, sebagai berikut: peninjauan kode memastikan kode dikembangkan sesuai dengan panduan pengodean yang aman; peninjauan kode mencari kerentanan software yang sudah ada dan yang baru muncul; dan koreksi yang sesuai diterapkan sebelum rilis.

pci-dss-v4-6-3-1

Kerentanan keamanan harus diidentifikasi dan dikelola untuk memastikan hal berikut: kerentanan keamanan baru diidentifikasi menggunakan sumber informasi kerentanan keamanan yang diakui industri, termasuk pemberitahuan dari tim respons darurat komputer (CERT) internasional dan nasional; kerentanan diberi peringkat risiko berdasarkan praktik terbaik industri dan pertimbangan potensi dampak; peringkat risiko mengidentifikasi, setidaknya, semua kerentanan yang dianggap berisiko tinggi atau kritis terhadap lingkungan; dan kerentanan untuk software khusus dan kustom, serta software pihak ketiga (misalnya, sistem operasi dan database) tercakup.

pci-dss-v4-6-3-3

Semua komponen sistem harus dilindungi dari kerentanan yang diketahui dengan menginstal patch atau update keamanan yang berlaku untuk memastikan hal berikut: patch atau update untuk kerentanan kritis (diidentifikasi sesuai dengan proses peringkat risiko pada Persyaratan 6.3.1) diinstal dalam waktu satu bulan setelah rilis; dan semua patch atau update keamanan lainnya yang berlaku diinstal dalam jangka waktu yang sesuai sebagaimana ditentukan oleh penilaian entitas terhadap kekritisan risiko terhadap lingkungan sebagaimana diidentifikasi sesuai dengan proses peringkat risiko pada Persyaratan 6.3.1.

pci-dss-v4-6-4-1

Untuk aplikasi web yang dapat diakses publik, ancaman dan kerentanan baru harus ditangani secara berkelanjutan dan aplikasi ini harus dilindungi dari serangan yang diketahui menggunakan salah satu dari dua metode berikut: Meninjau aplikasi web yang dapat diakses publik menggunakan alat atau metode penilaian keamanan kerentanan aplikasi manual atau otomatis sebagai berikut: setidaknya sekali setiap 12 bulan dan setelah perubahan signifikan; oleh entitas yang mengkhususkan diri dalam keamanan aplikasi; termasuk, setidaknya, semua serangan software umum dalam Persyaratan 6.2.4; semua kerentanan diberi peringkat sesuai dengan Persyaratan 6.3.1; semua kerentanan diperbaiki; dan aplikasi dievaluasi ulang setelah perbaikan. Atau, Menginstal solusi teknis otomatis yang terus-menerus mendeteksi dan mencegah serangan berbasis web sebagai berikut: diinstal di depan aplikasi web yang menghadap publik untuk mendeteksi dan mencegah serangan berbasis web; berjalan secara aktif dan selalu diupdate sebagaimana berlaku; membuat log audit; dan dikonfigurasi untuk memblokir serangan berbasis web atau membuat pemberitahuan yang segera diselidiki.

pci-dss-v4-6-4-2

Untuk aplikasi web yang dapat diakses publik, solusi teknis otomatis harus di-deploy yang terus mendeteksi dan mencegah serangan berbasis web, dengan pemeriksaan minimum berikut: diinstal di depan aplikasi web yang dapat diakses publik dan dikonfigurasi untuk mendeteksi dan mencegah serangan berbasis web; berjalan secara aktif dan diupdate sesuai kebutuhan; membuat log audit; dan dikonfigurasi untuk memblokir serangan berbasis web atau membuat pemberitahuan yang segera diselidiki.

pci-dss-v4-7-2-1

Model kontrol akses harus ditentukan dan mencakup pemberian akses sebagai berikut: akses yang sesuai bergantung pada kebutuhan bisnis dan akses entitas; akses ke komponen sistem dan resource data yang didasarkan pada klasifikasi dan fungsi pekerjaan pengguna; dan hak istimewa terendah yang diperlukan (misalnya, pengguna, administrator) untuk melakukan fungsi pekerjaan.

pci-dss-v4-7-2-2

Akses harus ditetapkan kepada pengguna (termasuk pengguna istimewa) berdasarkan klasifikasi dan fungsi pekerjaan, serta hak istimewa terendah yang diperlukan untuk menjalankan tanggung jawab pekerjaan.

pci-dss-v4-7-2-5

Semua akun aplikasi dan sistem serta hak akses terkait harus ditetapkan dan dikelola berdasarkan hak istimewa terendah yang diperlukan untuk pengoperasian sistem atau aplikasi dan memastikan bahwa akses terbatas pada sistem, aplikasi, atau proses yang secara khusus memerlukan penggunaannya.

pci-dss-v4-7-3-1

Sistem kontrol akses harus diterapkan untuk membatasi akses berdasarkan kebutuhan pengguna untuk mengetahui dan mencakup semua komponen sistem.

pci-dss-v4-7-3-2

Sistem kontrol akses harus dikonfigurasi untuk menerapkan izin yang ditetapkan kepada individu, aplikasi, dan sistem berdasarkan klasifikasi dan fungsi pekerjaan.

pci-dss-v4-7-3-3

Sistem kontrol akses harus disetel untuk menolak semua secara default.

pci-dss-v4-8-2-1

Semua pengguna harus diberi ID unik sebelum akses ke komponen sistem atau data pemegang kartu diizinkan.

pci-dss-v4-8-2-3

Penyedia layanan dengan akses jarak jauh ke lokasi pelanggan harus menggunakan faktor autentikasi unik untuk setiap lokasi pelanggan.

pci-dss-v4-8-2-5

Akses untuk pengguna yang dihentikan harus segera dicabut.

pci-dss-v4-8-2-8

Jika sesi pengguna telah tidak aktif selama lebih dari 15 menit, pengguna harus melakukan autentikasi ulang untuk mengaktifkan kembali terminal atau sesi.

pci-dss-v4-8-3-1

Semua akses pengguna ke komponen sistem untuk pengguna dan administrator harus diautentikasi menggunakan setidaknya salah satu faktor autentikasi berikut: sesuatu yang Anda ketahui (misalnya, sandi atau frasa sandi); sesuatu yang Anda miliki (misalnya, perangkat token atau kartu smart); dan sesuatu tentang Anda (misalnya, elemen biometrik).

pci-dss-v4-8-3-2

Kriptografi yang kuat harus digunakan untuk membuat semua faktor autentikasi tidak dapat dibaca selama transmisi dan penyimpanan di semua komponen sistem.

pci-dss-v4-8-3-9

Jika sandi atau frasa sandi digunakan sebagai satu-satunya faktor autentikasi untuk akses pengguna (dalam penerapan autentikasi faktor tunggal apa pun), maka sandi atau frasa sandi tersebut harus diubah setidaknya sekali setiap 90 hari, atau postur keamanan akun harus dianalisis secara dinamis, dan akses real-time ke resource harus ditentukan secara otomatis.

pci-dss-v4-8-6-2

Sandi atau frasa sandi untuk akun aplikasi dan sistem apa pun yang dapat digunakan untuk login interaktif tidak boleh di-hard code dalam skrip, file konfigurasi atau properti, atau kode sumber khusus dan kustom.

pci-dss-v4-8-6-3

Sandi atau frasa sandi untuk semua akun aplikasi dan sistem harus dilindungi dari penyalahgunaan dengan memastikan hal berikut: sandi atau frasa sandi diubah secara berkala (pada frekuensi yang ditentukan dalam analisis risiko yang ditargetkan entitas, yang dilakukan sesuai dengan semua elemen yang ditentukan dalam Persyaratan 12.3.1) dan jika ada kecurigaan atau konfirmasi penyusupan; dan sandi atau frasa sandi dibuat dengan kompleksitas yang memadai dan sesuai dengan seberapa sering entitas mengubah sandi atau frasa sandi.

Security Essentials

Penyedia cloud yang didukung: Google Cloud

Google Cloud Security Essentials memberikan dasar keamanan dan kepatuhan untuk pelanggan Google Cloud.Framework ini dibangun berdasarkan praktik terbaik dan analisis ancaman ekstensif Google,sehingga memberi Anda visibilitas ke dalam postur keamanan Anda dan membantu Anda memenuhi persyaratan kepatuhan umum sejak awal.

Framework ini mencakup kontrol cloud berikut:

SOC2 2017

Penyedia cloud yang didukung: Google Cloud

Framework peraturan yang dapat digunakan oleh auditor independen untuk mengevaluasi dan melaporkan kontrol organisasi Anda yang relevan dengan Trust Services Criteria (TSC) AICPA, seperti Keamanan dan Ketersediaan. Laporan audit yang dihasilkan memberi Anda evaluasi terhadap sistem organisasi Anda dan data yang ditangani.Framework ini selaras dengan SOC 2 2017 (Dengan Poin Fokus yang Direvisi - 2022).

Framework ini mencakup grup kontrol cloud dan kontrol cloud di bagian berikut.

soc2-2017-a-1-2-11

Manajemen mengidentifikasi ancaman terhadap kemampuan pemulihan data (seperti serangan ransomware) yang dapat mengganggu ketersediaan sistem dan data terkait serta menerapkan prosedur mitigasi.

soc2-2017-a-1-2-8

Prosedur telah diterapkan untuk mencadangkan data, memantau untuk mendeteksi kegagalan pencadangan, dan memulai tindakan korektif jika terjadi kegagalan tersebut.

soc2-2017-c-1-1-2

Informasi rahasia disimpan tidak lebih lama dari yang diperlukan untuk memenuhi tujuan yang telah diidentifikasi, kecuali jika hukum atau peraturan secara khusus mewajibkan sebaliknya.

soc2-2017-c-1-1-3

Kebijakan dan prosedur telah diterapkan untuk melindungi informasi rahasia dari penghapusan atau penghancuran selama periode retensi informasi yang ditentukan.

soc2-2017-c-1-2-2

Kebijakan dan prosedur telah diterapkan untuk menghapus atau menghancurkan informasi rahasia yang telah diidentifikasi untuk dihancurkan secara otomatis atau manual.

soc2-2017-cc-1-3-3

Manajemen dan dewan direksi mendelegasikan otoritas, menentukan tanggung jawab, serta menggunakan proses dan teknologi yang sesuai untuk menetapkan tanggung jawab dan memisahkan tugas sebagaimana diperlukan di berbagai tingkat organisasi.

soc2-2017-cc-2-1-2

Sistem informasi merekam sumber data internal dan eksternal.

soc2-2017-cc-2-1-6

Entitas mengidentifikasi, mendokumentasikan, dan mengelola catatan komponen sistem seperti infrastruktur, software, dan aset informasi lainnya. Aset informasi mencakup perangkat dan sistem endpoint fisik, sistem virtual, data dan alur data, sistem informasi eksternal, serta peran organisasi.

soc2-2017-cc-2-2-1

Proses telah diterapkan untuk mengomunikasikan informasi yang diperlukan agar semua personel dapat memahami dan melaksanakan tanggung jawab pengendalian internal mereka.

soc2-2017-cc-3-2-5

Penilaian risiko mencakup pertimbangan tentang cara mengelola risiko dan apakah akan menerima, menghindari, mengurangi, atau membagikan risiko tersebut.

soc2-2017-cc-3-2-7

Entitas mengidentifikasi kerentanan komponen sistem, termasuk proses sistem, infrastruktur, software,

soc2-2017-cc-4-1-1

Pengelolaan mencakup keseimbangan antara evaluasi berkelanjutan dan terpisah.

soc2-2017-cc-4-1-5

Evaluasi berkelanjutan dibangun ke dalam proses bisnis dan disesuaikan dengan kondisi yang berubah.

soc2-2017-cc-4-1-8

Manajemen menggunakan berbagai evaluasi risiko dan kontrol yang berkelanjutan dan terpisah untuk menentukan apakah kontrol internal ada dan berfungsi. Bergantung pada tujuan entitas, evaluasi risiko dan kontrol tersebut dapat mencakup pengujian kontrol dan pemantauan lini pertama dan kedua, penilaian audit internal, penilaian kepatuhan, penilaian ketahanan, pemindaian kerentanan, penilaian keamanan, pengujian penetrasi, dan penilaian pihak ketiga.

soc2-2017-cc-4-2-2

Kekurangan dikomunikasikan kepada pihak yang bertanggung jawab untuk mengambil tindakan korektif dan kepada manajemen senior serta dewan direksi, sebagaimana mestinya.

soc2-2017-cc-5-2-2

Manajemen memilih dan mengembangkan aktivitas kontrol atas infrastruktur teknologi, yang dirancang dan diterapkan untuk membantu memastikan kelengkapan, akurasi, dan ketersediaan pemrosesan teknologi.

soc2-2017-cc-5-2-3

Manajemen memilih dan mengembangkan aktivitas kontrol yang dirancang dan diterapkan untuk membatasi hak akses teknologi bagi pengguna yang berwenang sesuai dengan tanggung jawab pekerjaan mereka dan untuk melindungi aset entitas dari ancaman eksternal.

soc2-2017-cc-5-3-1

Manajemen menetapkan aktivitas kontrol yang dibangun ke dalam proses bisnis dan aktivitas sehari-hari karyawan melalui kebijakan yang menetapkan apa yang diharapkan dan prosedur yang relevan yang menentukan tindakan.

soc2-2017-cc-6-1-10

Entitas menggunakan enkripsi untuk melindungi data saat disimpan, selama pemrosesan, atau dalam transmisi, jika perlindungan tersebut dianggap sesuai berdasarkan strategi mitigasi risiko entitas.

soc2-2017-cc-6-1-11

Entitas melindungi kunci kriptografi selama pembuatan, penyimpanan, penggunaan, dan penghancuran. Modul, algoritma, panjang kunci, dan arsitektur kriptografi sesuai berdasarkan strategi mitigasi risiko entitas.

soc2-2017-cc-6-1-12

Akses dan penggunaan informasi rahasia secara logis dibatasi untuk tujuan yang telah ditentukan.

soc2-2017-cc-6-1-3

Entitas membatasi akses logis ke aset informasi, termasuk: infrastruktur, misalnya server, penyimpanan, elemen jaringan, API, dan perangkat endpoint; software; dan data dalam penyimpanan, selama pemrosesan, atau dalam transmisi, melalui penggunaan software kontrol akses, set aturan, dan proses penguatan konfigurasi standar.

soc2-2017-cc-6-1-4

Entitas mengidentifikasi dan mengautentikasi orang, infrastruktur, dan software sebelum mengakses aset informasi, baik secara lokal maupun dari jarak jauh. Entitas menggunakan teknik autentikasi pengguna yang lebih kompleks atau canggih seperti autentikasi multi-faktor jika perlindungan tersebut dianggap sesuai berdasarkan strategi mitigasi risikonya.

soc2-2017-cc-6-1-5

Entitas menggunakan segmentasi jaringan, arsitektur zero trust, dan teknik lainnya untuk mengisolasi bagian teknologi informasi entitas yang tidak terkait satu sama lain berdasarkan strategi mitigasi risiko entitas.

soc2-2017-cc-6-1-7

Kombinasi klasifikasi data, struktur data terpisah, pembatasan port, pembatasan protokol akses, identifikasi pengguna, dan sertifikat digital digunakan untuk membuat aturan kontrol akses dan standar konfigurasi untuk aset informasi.

soc2-2017-cc-6-1-9

Infrastruktur dan software internal dan eksternal baru didaftarkan, diberi otorisasi, dan didokumentasikan sebelum diberi kredensial akses dan diterapkan di jaringan atau titik akses. Kredensial akan dihapus dan akses akan dinonaktifkan jika akses tidak lagi diperlukan atau infrastruktur dan software tidak lagi digunakan.

soc2-2017-cc-6-2-3

Proses telah diterapkan untuk menonaktifkan, menghancurkan, atau mencegah penggunaan kredensial akses jika tidak lagi valid.

soc2-2017-cc-6-3-2

Proses telah diterapkan untuk menghapus akses ke aset informasi yang dilindungi jika tidak lagi diperlukan.

soc2-2017-cc-6-3-3

Entitas menggunakan struktur kontrol akses, seperti kontrol akses berbasis peran, untuk membatasi akses ke aset informasi yang dilindungi, membatasi hak istimewa, dan mendukung pemisahan fungsi yang tidak kompatibel.

soc2-2017-cc-6-5-1

Prosedur telah diterapkan untuk menghapus, menghancurkan, atau membuat data dan software tidak dapat diakses dari aset fisik dan perangkat lain yang dimiliki oleh entitas, vendor, dan karyawannya jika data dan software tidak lagi diperlukan di aset atau aset tidak lagi berada di bawah kendali entitas.

soc2-2017-cc-6-6

Entitas menerapkan langkah-langkah keamanan akses logis untuk melindungi dari ancaman yang berasal dari luar batas sistemnya.

soc2-2017-cc-6-6-1

Jenis aktivitas yang dapat terjadi melalui saluran komunikasi, misalnya situs FTP, port router, dibatasi.

soc2-2017-cc-6-6-4

Sistem perlindungan batas, misalnya, firewall, zona demiliterisasi, sistem deteksi atau pencegahan penyusupan, dan sistem deteksi dan respons endpoint, dikonfigurasi, diterapkan, dan dikelola untuk melindungi titik akses eksternal.

soc2-2017-cc-6-7-1

Proses dan teknologi pencegahan kebocoran data digunakan untuk membatasi kemampuan dalam mengizinkan dan mengeksekusi transmisi, pemindahan, dan penghapusan informasi.

soc2-2017-cc-6-7-2

Teknologi enkripsi atau saluran komunikasi yang aman digunakan untuk melindungi transmisi data dan komunikasi lainnya di luar titik akses konektivitas.

soc2-2017-cc-6-8-1

Kemampuan untuk menginstal dan mengubah aplikasi serta software dibatasi untuk individu yang diberi otorisasi. Software utilitas yang dapat melewati prosedur keamanan atau pengoperasian normal hanya dapat digunakan oleh individu yang diberi otorisasi dan dipantau secara rutin.

soc2-2017-cc-6-8-2

Proses telah diterapkan untuk mendeteksi perubahan pada software dan parameter konfigurasi yang mungkin menunjukkan software tidak sah atau berbahaya.

soc2-2017-cc-7-1-1

Entitas telah menentukan standar konfigurasi yang akan digunakan untuk memperkuat sistem.

soc2-2017-cc-7-1-3

Sistem IT mencakup mekanisme deteksi perubahan, misalnya, alat pemantauan integritas file, untuk memberi tahu personel tentang modifikasi yang tidak sah pada file sistem penting, file konfigurasi, atau file konten.

soc2-2017-cc-7-1-5

Entitas melakukan pemindaian kerentanan software dan infrastruktur yang dirancang untuk mengidentifikasi potensi kerentanan atau kesalahan konfigurasi secara berkala dan setelah perubahan signifikan dilakukan pada lingkungan. Tindakan diambil untuk memperbaiki kekurangan yang teridentifikasi secara tepat waktu guna mendukung pencapaian tujuan entitas.

soc2-2017-cc-7-2-1

Kebijakan, prosedur, dan alat deteksi ditentukan dan diterapkan pada infrastruktur dan software untuk mengidentifikasi potensi penyusupan, akses yang tidak sesuai, dan anomali dalam pengoperasian atau aktivitas yang tidak biasa pada sistem. Prosedur ini dapat mencakup proses tata kelola yang ditentukan untuk deteksi dan pengelolaan peristiwa keamanan, penggunaan sumber informasi untuk mengidentifikasi ancaman dan kerentanan yang baru ditemukan, serta pencatatan aktivitas sistem yang tidak biasa.

soc2-2017-cc-7-2-2

Tindakan deteksi dirancang untuk mengidentifikasi anomali yang dapat terjadi akibat penyusupan yang sebenarnya atau upaya penyusupan terhadap penghalang fisik, tindakan tidak sah oleh personel yang berwenang, penggunaan kredensial identifikasi dan autentikasi yang disusupi, akses tidak sah dari luar batas sistem, penyusupan terhadap pihak eksternal yang berwenang, serta penerapan atau koneksi hardware dan software yang tidak sah.

soc2-2017-cc-7-3-2

Peristiwa keamanan yang terdeteksi dikomunikasikan kepada dan ditinjau oleh individu yang bertanggung jawab atas pengelolaan program keamanan, dan tindakan akan diambil jika diperlukan.

soc2-2017-cc-8-1-1

Proses untuk mengelola perubahan sistem di sepanjang siklus proses sistem dan komponennya (infrastruktur, data, software, serta prosedur manual dan otomatis) digunakan untuk mendukung pencapaian tujuan entitas.

soc2-2017-cc-8-1-14

Proses telah diterapkan untuk mengidentifikasi, mengevaluasi, menguji, menyetujui, dan menerapkan patch secara tepat waktu pada infrastruktur dan software.

soc2-2017-cc-8-1-5

Proses sudah diterapkan untuk melacak perubahan sistem sebelum penerapan.

soc2-2017-p-4-2-1

Informasi pribadi tidak akan disimpan lebih lama dari yang diperlukan untuk memenuhi tujuan yang dinyatakan, kecuali jika hukum atau peraturan secara khusus mewajibkan sebaliknya.

soc2-2017-p-4-2-2

Kebijakan dan prosedur telah diterapkan untuk melindungi informasi pribadi dari penghapusan atau perusakan selama periode retensi informasi yang ditentukan.

soc2-2017-pi-1-2-3

Catatan aktivitas input sistem dibuat dan dipelihara secara lengkap dan akurat tepat waktu.

soc2-2017-pi-1-3-4

Aktivitas pemrosesan sistem dicatat secara lengkap dan akurat secara tepat waktu.

soc2-2017-pi-1-5

Entitas menerapkan kebijakan dan prosedur untuk menyimpan input, item dalam pemrosesan, dan output secara lengkap, akurat, dan tepat waktu sesuai dengan spesifikasi sistem untuk memenuhi tujuan entitas.

soc2-2017-pi-1-5-1

Item yang disimpan dilindungi untuk mencegah pencurian, kerusakan, penghancuran, atau penurunan kualitas yang akan mencegah output memenuhi spesifikasi.

soc2-2017-pi-1-5-2

Catatan sistem diarsipkan, dan arsip dilindungi dari pencurian, kerusakan, penghancuran, atau penurunan kualitas yang akan mencegahnya digunakan.

Langkah berikutnya