Model Penilaian Penelitian Resiko Keamanan Sistem Informasi Rahasia

(Classified Information System Security Risk Assessment Model of the Research)

Chong Peng                                                                       Liping Shao

School of Economics and Management                                School of Economics and Management

Beijing Jiaotong University Beijing                                     Beijing Jiaotong University Beijing

14120632@bjtu.edu.cn                                                       lpshao@bjtu.edu.cn

Abstrak

               Perkembangan teknologi informasi membuat pemerintah dan departemen militer dianjurkan untuk memiliki sistem informasi dengan tingkat keamanan yang lebih tinggi untuk masalah keamanan sistem informasi. Uniknya, Penilaian resiko keamanan sistem informasi rahasia berbda dari keamanan sistem informasi pada umumnya.  Berdasarkan Model Penilaian Penelitian Resiko Keamanan Sistem Informasi Rahasia, pertama , karakteristik sistem informasi rahasia untuk keunikannya terhadap keamanan informasi denagn metode penilaian risiko untuk analisis dan evaluasi .Kemudian, model evaluasi berdasarkan AHP ( proses hirarki analitik ) dan Gray Theory dimasukkan kedalam Model Penilaian Penelitian Resiko Keamanan Sistem Informasi Rahasia. Untuk Model Penilaian Penelitian Resiko Keamanan Sistem Informasi Rahasia, menyediakan teknologi hasil pemikiran terbaru. Akhirnya melalui validasi model, hal ini menegaskan model yang cocok untuk Model Penilaian Penelitian Resiko Keamanan Sistem Informasi Rahasia.

Kata kunci : Sistem Informasi Rahasia, Peniliaian Resiko, AHP, dan Gray Theory

Pengantar

               Dengan penggunaan banyak komputer dan pengembangan teknonlogi internet, sistem informasi rahasia baik di pemerintah dan militer sangat diperlukan, dan isu sistem informasi rahasia sangat meningkat dan menonjol pada era saat ini. Penilaian risiko memasuki perkembangan awal untuk mengambil fokus perhatian saat ini pada keamanan komputer dan infrastruktur keamanan informasi, sebagai bagian dari manajemen keamanan informasi, atas dasar Negara, kebijakan, peraturan teknologi informasi dan standar manajemen, hukum, transportasi, penympanan sistem informasi rahasia, inetgritas, ketersediaan atrbiut keamanan informasi, untuk menjelaskan persyaratan keamanan sistem dan merumuskan pengukuran yang tepat. Namun, saat ini keamanan dari Model Penilaian Penelitian Resiko Keamanan Sistem Informasi Rahasia, juga belum sempurna.  Pada tahun 2004 Du Hong, pada baris utama fungsi sistem informasi, bentuk, langkah-langkah penilaian risiko dan metode yang dibahas. Pada tahun 2006 kebutuhan teknis untuk perlindungan sistem informasi, standar manajemen dan petunjuk penilaian sangat dibutuhkan.  Dang Depeng diusulkan berdasarkan Support Vector Machine (SVM) dalam sebuah penilaian risiko keamanan, Li Hetian memasukan penilaian risiko berdasarkan Markov chain, Zhao Dongmei, merumuskan penilaian risiko komprehensive dan model penilaian risiko fuzzy. Namun, model tersebut gagal memenuhi pertimbangan akibat dari banyak faktor yang akan mempengaruhi, dan tidak mempertimbangkan Gray risk assesment. Sehingga keamanan dari penilaian risiko sistem informasi rahasia tidak dapat akurat. Artikel ini bertujuan untuk melihat secara khusus dari sistem informasi rahasia dan risiko penilaian data of gray dengan mengedepankan kelayakan berdasarkan Proses Hirarki Analitik (AHP) dan keamanan dari risiko model penilaian Gray theory, untuk digunakan dalam penilaian risiko kemanan sistem informasi rahasia.

Penilaian Risiko Keamanan Sistem Informasi Rahasia

A.          Ikhtisar dari Sistem Informasi Rahasia

             Menurut standar negara yang relevan, keselamatan Sistem informasi rahasia memiliki persyaratan tertentu, dan mencapai tingkat keamanan yang lebih tinggi dari sistem komputer. Tapi semua hal-hal yang tidak mutlak, tidak semua Sistem diklasifikasikan seebagai sistem dengan tingkat keamanan yang tinggi dari komputer sistem Informasi. Sebuah sistem informasi komputer adalah milik sistem informasi rahasia, pada dasarnya adalah untuk melihat apakah informasi sistem melibatkan rahasia negara, terlepas dari informasi rahasia lebih atau kurang, selama sebagai sistem informasi penyimpanan, proses atau transfer tersebut informasi rahasia, itu adalah sistem informasi rahasia. Mulai dari konsep, kita dapat mengetahui bahwa tingkat keamanan adalah bukan apakah sistem komputer milik diklasifikasikan dasar sistem, yang mengatakan, tidak semua tingkat keamanan yang tinggi dari sistem komputer diklasifikasikan sistem informasi. Untuk Misalnya, beberapa perusahaan dari sistem informasi komputer untuk melindungi rahasia dagang dan banyak teknologi keamanan dan langkah-langkah manajemen, untuk mencapai tingkat keamanan yang lebih tinggi, tetapi tidak ada informasi yang melibatkan rahasia negara, tidak bisa Sistem informasi rahasia. Dan beberapa partai dan organ-organ pemerintah jaringan diklasifikasikan, meskipun tidak ada menggunakan teknologi keamanan yang lebih, tingkat keamanan sistem tidak tinggi, namun karena manajemen yang ketat, kontrol keamanan, sistem di menjalankan informasi rahasia negara lagi, sistem ini Sistem informasi rahasia.

B.     Bentuk Penilaian Risiko Sistem Informasi Rahasia

Penilaian risiko keamanan sistem informasi rahasia secara umum dibagi menjadi tiga jenis yaitu, penilaian sendiri (self-assessment), penilaian ditugaskan dan penilaian cek. Sistem informasi rahasia termasuk juga sistem informasi khusus, karena kekhususan, diklasifikasikan penilaian risiko keamanan sistem informasi utama memiliki dua bentuk penilaian diri dan penilaian cek. penilaian ditugaskan dari perspektif persyaratan sistem manajemen kerahasiaan tidak berlaku untuk informasi rahasia. Penilaian diri adalah Sistem informasi rahasia penilaian harian utama, pemilik sarana penting sistem informasi rahasia harian keselamatan. Oleh karena itu dalam bimbingan dan negara kerahasiaan biro di bawah bimbingan standar kerahasiaan yang relevan dengan enam unit memiliki rahasia sistem informasi self-assessment harus menjadi cara utama penilaian risiko keselamatan. Memeriksa ketetapan resmi oleh negara kerahasiaan biro, menyetujui pembentukan badan khusus diklasifikasikan kerahasiaan negara biro pemerintah pusat pada penerapan informasi evaluasi sistem keamanan pusat.

C.         Proses Penilaian Risiko Keamanan Sistem Informasi Rahasia

     Proses Penilaian Risiko Keamanan Sistem Informasi Rahasia mirip dengan proses evaluasi keamanan informasi umum,        termasuk penilaian risiko , penyusunan dan identifikasi faktor risiko, analisis risiko dan evaluasi peringkat risiko empat        tahap. Informasi rahasia tanggung jawab sistem satuan untuk menempatkan penilaian unit aplikasi, menentukan evaluasi        keberatan ke dalam proses penilaian risiko setelah persetujuan.  Operasi tertentu dapat dibagi menjadi enam langkah yaitu

·         Menentukan objek evaluasi : Sistem Informasi data, software dan hardware aset, memberikan fungsi sistem,batas, aset utama dan sensitif aset , membangun berbagai penilaian dan meminta persetujuan.

·         Menyiapkan Penilaian : Rencana penilaian menurut persyaratan , dan menentukan proses evaluasi , pilih metode evaluasi yang tepat dan alat untuk membangun tim sistem rahasia

·         identifikasi risiko : Mengidentifikasi aset utama dan umum Ruang lingkup evaluasi aset , mengidentifikasi ancaman lingkungan , aset dalam keadaan rentan dan langkah-langkah keamanan yang ada

·         Analisis risiko : Kombinasi atribut aset, analisis kerentanan yang mengancam penggunaan dan konsekuensi, Validitas dan rasionalitas, analisis langkah-langkah keamanan yang ada

·         penilaian risiko : Evaluasi hasil analisis dikombinasikan dengan pendapat ahli , pembentukan Laporan penilaian risiko , melaporkan sistem diklasifikasikan pengawasan berdasarkan ulasan kelompok dan komite.

·         Pengendalian Risiko : Laporan penilaian disetujui, sesuai dengan instruksi yang diperlukan untuk mengambil langkah-langkah efektif untuk mentransfer , menghindari atau mengurangi risiko , sehingga risiko sistem dapat dikontrol secara efektif.

Model Evaluasi Berbasis Analitics Hierarchy Process dan Gray Theory

Metode Analytical Hierarchy Process (AHP) merupakan salah satu model pengambilan keputusan yang dikembangkan oleh Thomas L. Saaty untuk mengatasi permasalahan multi faktor atau multi kriteria yang kompleks menjadi suatu hirarki, menurut Saaty (1993), hirarki didefinisikan sebagai suatu representasi dari sebuah permasalahan yang kompleks dalam suatu struktur multi level dimana level pertama adalah tujuan, yang diikuti level faktor, kriteria, sub kriteria, dan seterusnya ke bawah hingga level terakhir dari alternatif. Dengan hirarki, suatu masalah yang kompleks dapat diuraikan ke dalam kelompok-kelompoknya yang kemudian diatur menjadi suatu bentuk hirarki sehingga permasalahan akan tampak lebih terstruktur dan sistematis. Secara umum, dengan menggunakan AHP, prioritas yang dihasilkan akan bersifat konsisten dengan teori, logis, transparan, dan partisipatif. AHP akan sangat cocok digunakan untuk penyusunan prioritas kebijakan publik yang menuntut transparansi dan partisipasi.

Sebagai hasil dari data penilaian risiko sistem informasi rahasia, karya ilmiah ini menyajikan tentang metode penilaian risiko sistem informasi rahasia yang berbasis proses analisis hiraarki (AHP) dan gray theory  yang mengatasi permasalahan dengan beberapa indikator yang sulit untuk dikuantitatifkan secara presisi, tidak hanya mengevaluasi risiko dari setiap nilai faktor resiko, tetapi juga mengukur berdasarkan sudut pandang manajemen risiko.

D.    Pembuatan Model

1)Indeks Sistem Penilaian Risiko Keamanan Sistem Informasi Rahasia

Analisa yang benar untuk faktor resiko yang mempengaruhi sistem informasi rahasia dan mengembangkan indeks sistem evaluasi yang benar adalah kondisi sebelum proses evaluasi berjalan dengan sukses. Berdasarkan standar nasional “International security techniques information security risk assessment norms” GB/T20984-2007 pada tahun 2007dan keamanan informasi standar BS7799, dikombinasikan dengan isu keamanan sistem informasi rahasia, indeks dari faktor resiko dapat dilihat di Tabel 1.

2)Peringkat dan Nilai

Dikarenakan indeks evaluasi Xij adalah kualitatif, untuk mengevaluasi risiko secara komprehensif terhadap sistem informasi rahasia yang harus dibuat secara kuantitatif. Mempertimbangkan limitasi dari resulisi, indeks evaluasi diskret X grade dibagi kedalam 5 level secara umum untuk poin 1,2,3,4,5 secara berturut-turut buruk, secara umum tinggi, tinggi, tinggi, tinggi. Indeks level diantara dua level skor koresponden 1.5,2.5,3.5,4.5

3)Expert Grading and Evaluate the Sample Matrix
Dengan asumsi mengundang ahli evaluasi m risiko ujian indikator sistem informasi rahasia dan menetapkan jumlah k ahli evaluasi , k = 1 , 2 , ... M . Pertama-tama , di mana ahli m menggunakan metode curah pendapat mengatur setiap evaluasi standar classess, maka , silakan setiap ahli masing-masing independen memeriksa sistem informasi rahasia , untuk mengevaluasi setiap evaluasi indeks Xij , sesuai dengan standar tingkatan classess untuk tabel dij dan mengisi evaluasi ahli Peringkat sisik . Dengan demikian kita bisa mendapatkan bahwa keselamatan diklasifikasikan sistem informasi penilaian risiko matriks D sampel .

4)Evaluasi gray classess

Karena keterbatasan tingkat ahli dan personil titik Perbedaan , kita hanya bisa memberikan nilai whitening pada jumlah gray jumlah. Untuk mencerminkan benar-benar milik batas tertentu, gray classess perlu menentukan evaluasi , yaitu menentukan evaluasi classess nomor gray classess, gray classess Bilangan gray dan jumlah fungsi gray whitenization weight.

Berikut mengatur fungsi whitenizing berat Fungsi segitiga berat whitenizing , dan pada saat yang sama mengatur lima gray classess, gray classess h = 1 , 2 , 3 , 4 , 5 , masing-masing informasi rahasia keamanan sistem sangat miskin , umum , tinggi , sangat tinggi , super tinggi. Berikut adalah set dari gray numeral classes untuk classess H∈[h-h, h, h+h], or H∈[0, h, 2h].

5)Gray evaluation weight vector and weight matrix

untuk mengevaluasi faktor risiko Xij maka terkait koefisien evaluasi h pertama untuk gray classess, dinotasikan sebagai Mij dimana Mij adalah  

Meningat,
indeks evaluasi untuk ahli evaluasi mengklaim indikator sebagai bagian dari hal pertama gray evaluation weight untuk qij

            Berikut definisi gray classess memiliki lima , yaitu h = 1 , 2 , 3 , 4 , 5. Jadi kita bisa mendapatkan evaluasi indeks vektor bobot Xij Evaluasi gray terafiliasi qij dari masing-masing gray classess qij =(qij1,qij2, qij3, qij4, qij5). Jadi kami menyimpulkan bahwa utama indeks Xi semua indeks sekunder Xij untuk evaluasi  abu-abu Evaluasi matriks berat kelas Qi

Qi = [qi1, qi2…, qij]T

6)      The gray multi-level evaluation index weight

Menggunakan AHP ( proses hirarki analitik ) mendapat bobot masing-masing set pengaruh faktor . Indeks utama bobot dari Xi set adalah W = ( W1 , W2 , W3 , W4 ) ; indeks sekunder bobot dari Xi set adalah Wi = ( Wi1 , Wi2 ... , Wij ).

7) Penilaian Komprehensif

Untuk indeks indikator tingkat menengah Xij subordinatif Xi untuk melakukan evaluasi menyeluruh , evaluasi abu-abu bobot vektor untuk mendapatkan evaluasi menyeluruh dari kelas abu-abu Xi , dilambangkan dengan Bi , seperti

Menggunakan hasil penilaian yang komprehensif Xi bernama Bi diperoleh indeks indikator tingkat dasar Xi dari baris sistem informasi milik berat evaluasi abu-abu

matriks evaluasi kelas abu-abu Q.

Q = [B1, B2, B3, B4]T

Maka kita harus melakukan evaluasi komprehensif untuk indeks utama dan nilai evaluasi menyeluruh ditulis untuk B

Peringkat untuk setiap evaluasi abu-abu sesuai dengan "grey level assigment” semacam evaluasi nilai tingkat keabuan dari vektor C = ( 1 , 2 , 3 , 4 , 5 ). Mengingat

 

Jenis ( 5 ) , yang VBI mencerminkan tingkat setiap faktor pengaruh nilai , nilai VB mencerminkan nilai risiko pada tingkat Sistem informasi rahasia . Jadi menurut masing-masing pengaruh faktor risiko negara Anda dapat mengambil langkah-langkah yang tepat pengendalian risiko dan penghindaran risiko.

IV.        Validasi Model

Sebuah sistem informasi rahasia pada saat ini adalah pada kondisi operasi yang normal, berikut evaluasi desain Model yang disajikan dalam makalah ini , pada penilaian risiko keamanan  Seperti terlihat pada tabel 1, menyiapkan 4 indikator tingkat pertama, dan ada yang Menggunakan AHP (Analytical Hierarchy Process) kami mendapatkan bobot masing-masing set Influence Factor. Indeks bobot utama dari set Xi adalah W = (0,2765, 0,1208, 0,2516, 0,3511), indeks bobot sekunder dari sejumlah Xi set Wi adalah W1 = (0,2114, 0,1978, 0,1135), W2 = (0,1052, 0,0552, 0,0464, 0,0065, 0,264 , 0,2063, 0,0325, 0,3027), W3 = (0,2001, 0,0321, 0,0564, 0,1699, 0,2114, 0,1054, 0,1032, 0,2561), W4 = (0,3239, 0,1553, 0,2117, 0,2203, 0,4127).

Kami kemudian mengundang 8 evaluator ahli untuk mengevaluasi masing-masing set. Evaluasi matriksnya adalah sebagai berikut:

Menurut rumus di atas, kita bisa mendapatkan perhitungan matriks berat abu-abu (kasar) sebagai berikut:

Menurut Q = (Biwi * Ki). nilai evaluasi menyeluruh dihitung, seperti ditunjukkan Tabel II:

Dengan B = W * Q dan VB = B * CT, kita dapat menyimpulkan bahwa nilai risiko sistem informasi terklasifikasi adalah V = 2,0043.

Menurut  standar sistem informasi risiko keamanan ISO 17799, tingkat risiko sistem informasi terklasifikasi berada pada tingkat menengah dan ukuran tingkat perlindungan informasi harus lebih diperkuat.

Dilihat dari Tabel II, terlihat bahwa sistem informasi diklasifikasikan berdasarkan empat faktor risiko: faktor aset, faktor ancaman, faktor kerentanan dan upaya perlindungan yang ada memiliki tingkat risiko tertentu, termasuk faktor kerentanan dan ada faktor upaya perlindungan dari tingkat risiko yang lebih tinggi. Hal ini menunjukkan bahwa tindakan perlindungan keselamatan risiko sistem informasi rahasia perlu diperkuat, atau layanan informasi keselamatan akan menyimpan bahaya tersembunyi. Kemudian dari sudut upaya perlindungan yang ada, setelah sistem informasi rahasia memiliki masalah, upaya perlindungan yang ada tidak akan menjamin keamanan informasi rahasia, sehingga menghasilkan konsekuensi yang sangat serius.

V. KESIMPULAN

Pada awalnya, makalah ini mengedepankan sistem penilaian risiko keamanan sistem informasi rahasia. Karena data penilaian risiko memiliki model evaluasi abu-abu berdasarkan AHP (proses hirarki analisis) dan teori abu-abu dimasukkan ke dalam penilaian risiko keamanan sistem informasi rahasia. Model ini mengatasi masalah yang beberapa indikatornya sulit diukur secara tepat, tidak hanya untuk mengevaluasi risiko masing-masing nilai faktor risiko tetapi juga untuk membuat langkah-langkah manajemen risiko yang sesuai dan mengevaluasi risiko keamanan sistem informasi rahasia agregat, sehingga kita dapat memiliki pemahaman yang lebih komprehensif untuk risiko pada informasi rahasia dari keseluruhan sistem. Akhirnya, validasi model menunjukkan bahwa model dapat digunakan untuk melakukan penilaian risiko keamanan sistem informasi rahasia.