CIS CSC 1, 7, 8, 12, 13, 15, 16

CSC 1
Inventasasi resmi dan perangkat tidak sah Kelola secara aktif(inventarisasi, lacak, dan perbaiki)
semua perangkat di jaringan sehingga hanya perangkat resmi yang diberikan akses, dan perangkata tidak
sah dan tidak dikelola ditemukan serta dicegah unutk mendapatkan akses.

CSC 7
Email dan peramban web perlindungan menimalkan permukaan serangan dan peluang bagi
penyerang untuk memanipulasi perilaku manusia melalui interaksi mereka dengan browser web dan sistem
email.

CSC 8
Pertahanan Malware Mengontrol instalasi, penyebaran, dan eksekusi kode berbahaya di berbagai
titik di perusahaan, sekaligus mengoptimalkan penggunaan otomatisasi untuk memungkinkan
pembaruan pertahanan, pengumpulan data dan tindakan perbaikan dengan cepat.

CSC 12
Pertahanan batas Mendeteksi, mencegah, dan memperbaiki aliran jaringan transfer informasi
dengan tingkat kepercayaan berbeda dengan fokus pada data yang merusak keamanan

CSC 13
Perlindungan data Mencegah eksfiltrasi data, mengurangi dampak data yang dieksfiltrasi dan
memastikan privasi dan integritas informasi sensitif.

CSC 15
Kontrol akses nirkabel Lacak, kendalikan, cegah dan perbaiki penggunaan keamanan jaringan area
lokal nirkabel (LANS), titik akses, dan sistem klien nirkabel.

CSC 16
Pemantauna akun dan kontrol Kelola secara aktif siklus hidup akun sistem dan aplikasi-
pembuatan penggunaan, domansi, penghapusan- untuk meminimalkan peluang bagi penyerang
untuk memanfaatkannya.

COBIT 5 DSS01.03, DSS03.05, DSS05.07

ISA 62443-3-3:2013 SR 6.2
1 0.4 SR 6.2 - Pemantauan berkelanjutan
1 0.4.1 Persyaratan Sistem
kendali harus menyediakan kemampuan untuk terus memantau seluruh kinerja mekanisme keamanan
menggunakan praktik dan rekomendasi industri keamanan yang diterima secara umum untuk
mendeteksi, mengkarakterisasi, dan melaporkan pelanggaran keamanan secara tepat waktu.
1 0.4.2 Dasar pemikiran dan panduan tambahan Kemampuan
pemantauan sistem kendali dapat dicapai melalui berbagai alat dan teknik (misalnya, I DS, I PS,
mekanisme perlindungan kode berbahaya dan mekanisme pemantauan jaringan). Ketika serangan
menjadi lebih canggih, alat dan teknik pemantauan ini juga perlu menjadi lebih canggih, termasuk
misalnya I DS/I PS berbasis perilaku.
Perangkat pemantauan harus ditempatkan secara strategis dalam sistem kontrol (misalnya, di lokasi
perimeter tertentu dan dekat server farm yang mendukung aplikasi penting) untuk mengumpulkan
informasi penting. Mekanisme pemantauan juga dapat diterapkan di lokasi ad hoc dengan sistem kontrol
untuk melacak transaksi tertentu.
Pemantauan harus mencakup mekanisme pelaporan yang tepat untuk memungkinkan respons yang tepat
waktu terhadap kejadian-kejadian. Untuk menjaga pelaporan tetap fokus dan jumlah informasi yang
dilaporkan ke tingkat yang dapat diproses oleh penerima, mekanisme seperti SIEM biasanya diterapkan
untuk menghubungkan peristiwa-peristiwa individual ke dalam laporan agregat yang menetapkan konteks
yang lebih besar di mana informasi mentahnya dikumpulkan. peristiwa terjadi.
Selain itu, mekanisme ini dapat digunakan untuk melacak dampak perubahan keamanan pada sistem
kontrol (lihat 6.1 0, SR 2.8 – Peristiwa yang dapat diaudit). Memiliki alat forensik yang telah diinstal
sebelumnya dapat memfasilitasi analisis insiden.
 - NIST SP 800-53 Rev. 4 CA-7

CONTINUOUS MONITORING

Control: The organization develops a continuous monitoring strategy and implements a

continuous monitoring program that includes:
a. Establishment of [Assignment: organization-defined metrics] to be monitored;
b. Establishment of [Assignment: organization-defined frequencies] for monitoring and
[Assignment: organization-defined frequencies] for assessments supporting such monitoring;
c. Ongoing security control assessments in accordance with the organizational continuous
monitoring strategy;
d. Ongoing security status monitoring of organization-defined metrics in accordance with the
organizational continuous monitoring strategy;
e. Correlation and analysis of security-related information generated by assessments and
monitoring;
f. Response actions to address results of the analysis of security-related information; and
g. Reporting the security status of organization and the information system to [Assignment:
organization-defined personnel or roles] [Assignment: organization-defined frequency].
Supplemental Guidance: Continuous monitoring programs facilitate ongoing awareness of threats,
vulnerabilities, and information security to support organizational risk management decisions. The terms
continuous and ongoing imply that organizations assess/analyze security controls and information
security-related risks at a frequency sufficient to support organizational risk-based decisions. The results of
continuous monitoring programs generate appropriate risk response actions by organizations. Continuous
monitoring programs also allow organizations to maintain the security authorizations of information
systems and common controls over time in highly dynamic environments of operation with changing
mission/business needs, threats, vulnerabilities, and technologies. Having access to security-related
information on a continuing basis through reports/dashboards gives organizational officials the capability
to make more effective and timely risk management decisions, including ongoing security authorization
decisions. Automation supports more frequent updates to security authorization packages,
hardware/software/firmware inventories, and other system information. Effectiveness is further enhanced
when continuous monitoring outputs are formatted to provide information that is specific, measurable,
actionable, relevant, and timely. Continuous monitoring activities are scaled in accordance with the
security categories of information systems. Related controls: CA-2, CA-5, CA-6, CM-3, CM-4, PM-6, PM-
9, RA-5, SA-11, SA-12, SI-2, SI-4.

Control Enhancements:

(1) CONTINUOUS MONITORING | INDEPENDENT ASSESSMENT

The organization employs assessors or assessment teams with [Assignment: organization-defined level of
independence] to monitor the security controls in the information system on an ongoing basis.
Supplemental Guidance: Organizationscan maximize the value of assessments of security controls during
the continuous monitoring process by requiring that such assessments be conducted by assessors or
assessment teams with appropriate levels of independence based on continuous monitoring strategies.
Assessor independence provides a degree of impartiality to the monitoring process. To achieve such
impartiality, assessors should not: (i)
 create a mutual or conflicting interest with the organizations where the assessments are being
conducted; (ii) assess their own work; (iii) act as management or employees of the organizations
they are serving; or (iv) place themselves in advocacy positions for the organizations acquiring
their services.
(2) CONTINUOUS MONITORING | TYPES OF ASSESSMENTS

[Withdrawn: Incorporated into CA-2].

(3) CONTINUOUS MONITORING | TREND ANALYSES

The organization employs trend analyses to determine if security control implementations, the frequency of
continuous monitoring activities, and/or the types of activities used in the continuous monitoring process
need to be modified based on empirical data.
Supplemental Guidance: Trend
analyses can include, for example, examining recent threat information
regarding the types of threat events that have occurred within the organization or across the federal
government, success rates of certain types of cyber attacks, emerging vulnerabilities in information
technologies, evolving social engineering techniques, results from multiple security control
assessments, the effectiveness of configuration settings, and findings from Inspectors General or
auditors.
OMB Memorandum 11-33; NIST Special Publications 800-37, 800-39, 800-53A, 800- 115,
References:
800-137; US-CERT Technical Cyber Security Alerts; DoD Information Assurance Vulnerability Alerts.
CIS CSC 1, 7, 8, 12, 13, 15, 16:
CIS Critical Security Controls (CIS Controls) adalah seperangkat praktik
terbaik yang dapat digunakan untuk memperkuat posisi keamanan siber
perusahaan. Praktik ini dikembangkan oleh para praktisi keamanan siber dari
seluruh dunia dan digunakan oleh ribuan organisasi. Referensi ini mencakup
kontrol keamanan seperti pengelolaan malware, pembatasan dan
pengendalian port, protokol, dan layanan jaringan, serta pemantauan dan
pertahanan jaringan.
Sumber: CIS Security
COBIT 5 DSS01.03, DSS03.05, DSS05.07:
COBIT 5 adalah kerangka kerja bisnis dan manajemen untuk tata kelola dan
manajemen TI perusahaan. Referensi ini mencakup tiga proses keamanan
inti dari COBIT 5, yaitu manajemen risiko, manajemen keamanan, dan
manajemen layanan keamanan. COBIT 5 membantu organisasi dalam
melindungi sistem dan data mereka dari serangan siber yang diketahui.
Sumber: ISACA
ISA 62443-3-3:2013 SR 6.2:
ISA 62443-3-3 adalah standar keamanan untuk sistem otomasi industri dan
kontrol. Referensi ini memberikan persyaratan teknis (SR) yang terkait
dengan persyaratan dasar (FR) yang dijelaskan dalam ISA-62443-1-1. Standar
ini berfokus pada persyaratan keamanan sistem dan tingkat keamanan.
Sumber: ISA
NIST SP 800-53 Rev. 4 AC-2, AU-12, CA-7, CM-3, SC-5, SC-7, SI-4:
NIST SP 800-53 adalah panduan keamanan yang diterbitkan oleh National
Institute of Standards and Technology (NIST). Referensi ini mencakup
sejumlah kontrol keamanan yang terkait dengan manajemen akun, audit,
pengelolaan keamanan, dan lainnya. Kontrol ini membantu organisasi dalam
melindungi sistem dan informasi mereka.
Sumber: NIST
COBIT 5 DSS01.04, DSS01.05: COBIT 5 adalah suatu kerangka kerja yang digunakan untuk mengelola
dan mengendalikan teknologi informasi di dalam perusahaan. DSS01.04 berfokus pada pengelolaan
lingkungan fisik dengan menjaga langkah-langkah perlindungan terhadap faktor lingkungan. DSS01.05
berfokus pada pengelolaan fasilitas. Sumber: Process Symphony

ISA 62443-2-1:2009 4.3.3.3.8: ISA 62443-2-1 adalah standar keamanan untuk sistem otomasi dan
kontrol industri. Pada bagian ini, terdapat persyaratan untuk membangun program keamanan sistem
otomasi dan kontrol industri. Sumber: ISA

ISO/IEC 27001:2013 A.11.1.1, A.11.1.2: ISO/IEC 27001 adalah standar internasional untuk
manajemen keamanan informasi. A.11.1.1 berfokus pada keamanan fisik dan lingkungan dengan
tujuan mencegah akses fisik yang tidak sah dan kerusakan terhadap informasi dan fasilitas
pengolahan informasi perusahaan. A.11.1.2 berfokus pada perlindungan peralatan. Sumber:
ISMS.online

NIST SP 800-53 Rev. 4 CA-7, PE-3, PE-6, PE-20: NIST SP 800-53 adalah panduan keamanan yang
diterbitkan oleh National Institute of Standards and Technology (NIST) di Amerika Serikat. CA-7
berfokus pada kontrol akses fisik, PE-3 berfokus pada pengawasan akses fisik, PE-6 berfokus pada
perlindungan peralatan, dan PE-20 berfokus pada pengawasan dan penilaian lingkungan fisik. Sumber:
CSF Tools
CIS CSC 5, 7, 14, 16: CIS Critical Security Controls (CIS Controls) adalah seperangkat praktik terbaik
yang dapat digunakan untuk memperkuat postur keamanan siber perusahaan. CIS Controls dikembangkan
oleh para praktisi keamanan siber dari seluruh dunia dan digunakan oleh ribuan praktisi keamanan siber.
Referensi ini memberikan panduan tentang langkah-langkah yang dapat diambil untuk mengontrol
penggunaan hak istimewa administratif, pemeliharaan, pemantauan, dan analisis log audit, pengendalian
akses terkendali berdasarkan kebutuhan, serta pemantauan akun dan kontrol.

COBIT 5 DSS05.07: COBIT 5 adalah kerangka kerja bisnis dan manajemen untuk tata kelola dan
manajemen teknologi informasi perusahaan. Dalam referensi ini, DSS05.07 mengacu pada pengelolaan
kerentanan dan pemantauan infrastruktur untuk peristiwa terkait keamanan. Organisasi harus mengelola
kerentanan dan memantau infrastruktur untuk akses yang tidak sah.

ISA 62443-3-3:2013 SR 6.2: Standar ANSI/ISA-62443-3-3:2013 mengatur persyaratan keamanan sistem

otomasi dan kontrol industri. SR 6.2 dalam standar ini berkaitan dengan persyaratan keamanan sistem dan
tingkat keamanan yang harus dipenuhi. Standar ini mencakup persyaratan untuk logging peristiwa dan
pemantauan.

ISO/IEC 27001:2013 A.12.4.1, A.12.4.3: Standar ISO/IEC 27001:2013 adalah standar

internasional untuk sistem manajemen keamanan informasi. Bagian A.12.4.1 dan A.12.4.3 dari standar ini
berkaitan dengan logging peristiwa dan pemantauan. Organisasi harus menghasilkan, menyimpan, dan
meninjau secara berkala log peristiwa yang mencatat aktivitas pengguna, pengecualian, kesalahan, dan
peristiwa keamanan informasi.

NIST SP 800-53 Rev. 4 AC-2, AU-12, AU-13, CA-7, CM-10, CM-11: NIST SP 800-53 Rev. 4
adalah publikasi dari National Institute of Standards and Technology (NIST) yang berisi kontrol
keamanan dan privasi untuk sistem dan organisasi informasi federal. AC-2, AU-12, AU-13, CA- 7, CM-
10, dan CM-11 adalah beberapa kontrol yang tercakup dalam publikasi ini. AC-2 berkaitan dengan
pengendalian akses fisik, AU-12 dan AU-13 berkaitan dengan pencatatan dan pemantauan audit, CA-7
berkaitan dengan pemantauan keamanan, dan CM-10 dan CM-11 berkaitan dengan manajemen
konfigurasi.

Sumber:
● CIS Critical Security Controls: link
● COBIT 5 DSS05.07: link
● ISA 62443-3-3:2013 SR 6.2: link
● ISO/IEC 27001:2013 A.12.4.1, A.12.4.3: link
● NIST SP 800-53 Rev. 4 AC-2, AU-12, AU-13, CA-7, CM-10, CM-11: link