Kerangka kerja penilaian risiko keamanan untuk lingkungan cloudcomputing[edit]
1. Apa itu National Institute ofStandards and Technology(NIST)[edit]
NIST adalah organisasi pemerintah AS. NIST memperkenalkan pedoman yang akan digunakan oleh organisasi federal, yang memproses informasi sensitif.
Panduan NIST juga dapat digunakan oleh organisasi non-pemerintah. NIST merilis publikasi khusus (SP) 800-30 pada tahun 2002 berjudul "Panduan Manajemen Risiko untuk Sistem Teknologi Informasi". NIST dalam panduan ini memperkenalkan metodologi penilaian risiko yang mencakup langkah-langkah nineprimary: karakterisasi sistem, identifikasi ancaman, identifikasi kerentanan, analisis kontrol, penentuan liku-hood, analisis dampak, penentuan risiko, rekomendasi kontrol, dan dokumentasi hasil [1].
September 2011, NIST menerbitkan draft penglihatan ulang pertama dari 800-30 SP. Pembaruan SP 800-30 difokuskan pada penilaian risiko, salah satu dari empat langkah dalam proses manajemen risiko. Revisi ini memberikan wawasan mendalam tentang faktor-faktor penting risiko (misalnya, sumber dan kejadian ancaman, kerentanan dan kondisi predisposisi, dampak, dan kemungkinan terjadinya ancaman) yang memengaruhi penentu risiko keamanan informasi. Namun, dalam Maret 2011, NIST mempertimbangkan SP 800-39 "Mengelola Organisasi Risiko Keamanan, Misi, dan Pandangan Sistem Informasi", sebuah publikasi yang dianggap sebagai payung besar untuk pedoman manajemen risiko NIST seperti pedoman SP 800–30. SP800-39 memberikan panduan manajemen risiko keamanan informasi yang komprehensif untuk organisasi. Ini mencakup operasi organisasi, aset, individu, organisasi lain, dan negara dengan operasi dan menggunakan sistem informasi offederal [2].
2. Pendekatan Risiko Keamanan Informasi[edit]
Tidak ada yang bisa menjamin seratus persen pada keamanan sistem informasi. Namun, metode penilaian risiko keamanan informasi yang efisien dan efektif dapat memberikan tingkat kepercayaan yang tinggi untuk CC .
Ada banyak metode, standar, dan peraturan penilaian risiko keamanan informasi seperti NIST SP800-30, Organisasi Internasional untuk Standardisasi (ISO) 27005, Standar Australia dan Selandia Baru (AS / NZS) 4360, dan Tujuan Kontrol untuk Informasi dan Teknologi Terkait (COBIT) [3].
Mereka dirilis oleh pemerintah dan organisasi swasta seperti NIST dan ISO. Dalam teks selanjutnya adalah ringkasan singkat dari beberapa standar penilaian risiko keamanan yang digunakan dalam sistem informasi konvensional. Standar-standar ini dapat dimodifikasi dalam beberapa aplikasinya agar sesuai dengan lingkungan komputasi awan.
3. Penilaian Risiko Security pada Cloud Computing[edit]
Model cloud computing memiliki uniques tertentu dan menggunakan teknik uniques yang telah menimbulkan beberapa risiko dan risiko baru.Kebutuhan untuk mengevaluasi kembali dan mendefinisikan ulang banyak risiko masa lalu yang didefinisikan dengan baik terkait dengan model Gartner menerbitkan laporan 2008 tentang komputasi awan di mana ia memperingatkan pelanggan untuk memilih penyedia komputasi awan mereka dengan hati-hati dan mempertimbangkan Beberapa studi tentang komputasi awan melihat risiko dari perspektif klien dan mengidentifikasi risiko [4].
ENISA menerbitkan laporan mereka sendiri tentang keamanan komputasi awan, Tentang risiko dan masalah studi sebelumnya estimasi tingkat risiko berdasarkan standar ISO / IEC 27005, yang bergantung pada probabilitas risiko dan dampak risiko. Laporan ENISA mencantumkan 35 risiko, yang disusun dalam tiga kategori: risiko kebijakan dan organisasi, risiko teknis, dan risiko hukum .
4. Perawatan risiko[edit]
Ketika penilaian risiko dilakukan, penilaian risiko dilakukan, dan daftar risiko yang dinilai, yang diprioritaskan sesuai dengan kriteria evaluasi risiko, akan dilaksanakan. Pada fase berikutnya, rencana perawatan risiko dan akan mengidentifikasi semua subjek risiko residual menurut manajer manajer keputusan dan harapan CC.
5. Penerimaan risiko[edit]
Dalam fase ini, CSP harus memastikan bahwa rencana perawatan telah menurunkan risiko ke tingkat yang dapat diterima. CSP harus mempertimbangkan kriteria penerimaan risiko CC serta membenarkan keputusan penerimaan risiko dan kekhawatiran bahwa risiko ini tidak akan mempengaruhi tujuan keamanannya [5].
6. Pemantauan dan tinjauan risiko[edit]
CSP bertanggung jawab untuk meninjau CSP dan faktor-faktor yang dapat dianggap sebagai nilai untuk aset, dampak, ancaman, kerentanan, dan kemungkinan terjadinya. Tabel II merangkum distribusi yang diusulkan dari tugas penilaian risiko antara CC dan CSP. E. Penilaian risiko keamanan adalah proses iterate. Setiap iterasi mungkin memakan waktu tertentu.
Cloudcomputing menawarkan banyak manfaat ekonomi untuk sistem TI, seperti biaya rendah, ketersediaan sumber daya, penghematan energi, dan peningkatan fokus pada tujuan bisnis. Cara memanfaatkan banyak risiko keamanan, yang mungkin memerlukan kecerdasan lainnya Cloud computing model. Makalah ini mengusulkan kerangka penilaian risiko untuk cloudcomputing, yang dapat digunakan oleh penyedia layanan, dan berpartisipasi CCs pada tahap awal penilaian risiko. Kerangka kerja ini akan memungkinkan cloud untuk menyediakan penyedia untuk mempertimbangkan Dalam penelitian kami di masa depan, kami akan menguji, meningkatkan, dan memperbaiki kerangka yang diusulkan dengan mengujinya dengan penyedia SaaS nyata. Selain itu, hasil penilaian risiko akan lebih realistis dan akurat karena faktor risiko didefinisikan oleh semua pemangku kepentingan [6].
0 komentar:
Posting Komentar