Kontribusi Standar IEC untuk Keamanan Siber

Keamanan Siber / Cyber security

Kontribusi kami (IEC - International Electrotechnical Commission)

Mewujudkan masyarakat digital dan serba listrik

IEC mengembangkan standar dan penilaian kesesuaian bagi keamanan siber untuk teknologi informasi (TI) dan teknologi operasional (OT). Salah satu tantangan terbesar saat ini adalah keamanan siber sering kali hanya dipahami dalam hal TI, yang meninggalkan infrastruktur penting, seperti utilitas listrik, sistem transportasi, pabrik dan rumah sakit yang rentan terhadap serangan siber.

Serangan siber terhadap sistem TI dan OT seringkali memiliki perbedaan konsekuensi. Dampak serangan siber terhadap TI secara umum adalah ekonomi, sementara serangan siber terhadap infrastruktur penting bisa saja terjadi berdampak pada lingkungan, merusak peralatan, atau bahkan mengancam kesehatan dan kehidupan masyarakat.

Saat menerapkan strategi keamanan siber, hal ini penting untuk dilakukan mengambil prioritas yang berbeda dari sistim fisik siber (cyber-physical system) dan TI. IEC memberikan panduan yang relevan dan spesifik melalui dua standar keamanan siber paling terkenal di dunia: IEC 62443 untuk sistem fisik siber (cyber-physical) dan ISO/IEC 27001 untuk sistem TI.

Keduanya mengambil pendekatan berbasis risiko terhadap keamanan siber berdasarkan konsep bahwa hal tersebut tidak efisien dan tidak berkelanjutan untuk mencoba melindungi semua aset secara setara. Sebaliknya, pengguna harus mengidentifikasi apa yang paling berharga dan membutuhkan proteksi terbesar serta mengidentifikasi kerentanan.

Penilaian kesesuaian akan memberikan keamanan lebih lanjut dengan memastikan bahwa standar diterapkan dengan benar: Sertifikasi IECEE (IEC System for Conformity Assessment Schemes) untuk IEC 62443 dan IECQ (IEC Quality Assessment System) untuk ISO/IEC 27001.

ISO/IEC 27001 untuk TI

Keamanan TI juga berfokus pada perlindungan kerahasiaan, integritas dan ketersediaan data – yang disebut CIA Triad (Confidentiality, Integrity, Availability / Kerahasiaan, Integritas, Ketersediaan). Kerahasiaan sangat penting dan sistem manajemen keamanan informasi, seperti yang dijelaskan dalam ISO/IEC 27001, dirancang untuk melindungi data sensitif, seperti informasi identitas pribadi (PII), kekayaan intelektual, atau nomor kartu kredit, misalnya.

Menerapkan Information Security Management System (ISMS) / Sistem Manajemen Keamanan Informasi (SMKI) yang dijelaskan dalam ISO/IEC 27001 berarti menanamkan kesinambungan keamanan informasi dalam sistem manajemen kontinuitas bisnis (BCMS). Organisasi ditampilkan bagaimana merencanakan dan memantau penggunaan sumber daya untuk mencapai tujuan tersebut mengidentifikasi serangan lebih dini dan mengambil langkah lebih cepat untuk melakukan mitigasi dampak awal.

IEC 62443 untuk OT

Dalam sistim fisik siber (cyber-physical system), dimana IT dan OT bertemu, tujuannya adalah untuk melindungi keselamatan, integritas, ketersediaan dan kerahasiaan (SIAC). Sistem kontrol dan otomasi industri (ICAS) dijalankan dalam satu perulangan untuk terus memeriksa apakah semuanya berfungsi benar.

Seri IEC 62443 dikembangkan karena langkah-langkah keamanan IT cyber tidak selalu tepat untuk industry sistem otomasi dan kontrol. IACS ditemukan dalam skala yang terus berkembang berbagai domain dan industri, termasuk kritis infrastruktur.

IACS harus berjalan terus menerus untuk memeriksa setiap komponen dalam suatu sistem operasional berfungsi dengan benar. Dibandingkan untuk sistem TI, mereka memiliki kinerja dan ketersediaan yang berbeda persyaratan dan masa pakai peralatan.

Penilaian kesesuaian: IECEE (IEC System for Conformity Assessment Schemes)

Banyak organisasi yang mengajukan permohonan penilaian sertifikasi kesesuaian IECEE untuk memverifikasi bahwa persyaratan IEC 62443 telah terpenuhi.

IECEE menyediakan kerangka kerja penilaian yang sejalan dengan IEC 62443, yang menetapkan persyaratan kemampuan keamanan, baik teknis (mekanisme keamanan) atau proses (prosedur manusia) terkait. Penerima yang berhasil akan menerima sertifikat kesesuaian kemampuan keamanan siber industri IECEE

Penilaian kesesuaian: IECQ (IEC Quality Assessment System)

Sedangkan sertifikasi ISO/IEC 27001 sudah ada sejak standar ini diterbitkan pada tahun 2013, hanya dalam beberapa tahun terakhir bahwa IECQ, Sistem Penilaian Mutu IEC untuk Elektronik Komponen, telah menyiapkan cara standar tunggal yang sebenarnya menilai dan mensertifikasi SMKI (Sistem Manajemen Keamanan Informasi ) ke ISO/IEC 27001.

Standar internasional seperti IEC 62443 dan ISO/ IEC 27001 didasarkan pada praktik terbaik industri dan tercapai berdasarkan konsensus. Penilaian kesesuaian menegaskan bahwa mereka telah diterapkan dengan benar untuk memastikan keselamatan dan masyarakat digital yang aman.