A10 - Kriptografi
Kriptografi itu spt apa ? gw sih daripada pusing menjelaskan perbedaan kriptografi atau enkripsi atau pun istilah lain akan menjelaskan dg istilah semua perlindungan yang diberikan kepada data atau jaringan dalam bentuk apapun. Baik dalam software tambahan atau pun perlindungan yang diberikan secara integrasi di dalam software pembentuk aplikasi yang anda miliki.
Berikut adalah contoh kriptografi sederhana untuk membayangkan bentuknya spt apa
Persyaratan pengendalian yang diminta oleh annex didasarkan pada hal berikut
A.10 Cryptography
A.10.1 Cryptographic controls
Objective: To ensure proper and effective use of cryptography to protect the confidentiality, authenticity and/or integrity of information.
A.10.1.1 Policy on the use of cryptographic controls
Control
A policy on the use of cryptographic controls for protection of information shall be developed and implemented.
A.10.1.2 Key management
Control
A policy on the use, protection and lifetime of cryptographic keys shall be developed and implemented through their whole lifecycle
Hal pertama yang harus dilakukan adalah membuat kebijakan tentang kriptografi. Karena namanya kebijakan, buatlah dengan kondisi yang umum dengan batasan yang luas namun tidak melupakan bahwa kebijakan akan menjadi panduan sehingga tidak terlalu mengikat pada tataran pelaksanaan dalam bentuk prosedur
Untuk kriptografi yang menggunakan pihak ketiga pastikan anda melakukan pencatatan sehingga dapat diatur kapan melakukan pembaruan / update terhadap key yang diberikan. Hal ini sangat berguna saat anda melakukan kriptografi yang berbayar. Termasuk di dalam manajemen key ini adalah penyimpanan source code atau key (dalam bentuk file) yang diberikan pihak ketiga
Pengelolaan kriptografi sangat penting karena menghindarkan risiko bila developer
- lupa menyimpan dan harus memasang ulang
- developer pindah dari perusahaan dan developer baru tidak mengetahui key
- terdapat expire pada key sehingga aplikasi tidak dapat diakses
Tidak sulit membuat prosedurnya, yang sulit adalah mendokumentasikan kriptografi yang ada karena terkadang developer juga menganggap ini bagian dari rahasia mereka
0 comments