Inventarisasi dan Pengendalian Aset Perangkat Lunak
Mengelola secara aktif (menginventarisasi, melacak, dan memperbaiki) seluruh perangkat lunak (sistem operasi dan aplikasi) pada jaringan sehingga hanya perangkat lunak yang sah yang terpasang dan dapat dijalankan, serta perangkat lunak yang tidak sah dan tidak terkelola dapat ditemukan dan dicegah dari pemasangan atau eksekusi.
Mengapa Kontrol Ini Penting?
Inventaris perangkat lunak yang lengkap merupakan fondasi penting untuk mencegah serangan. Penyerang secara terus-menerus memindai perusahaan target untuk mencari versi perangkat lunak yang rentan yang dapat dieksploitasi dari jarak jauh. Sebagai contoh, jika pengguna membuka situs web atau lampiran berbahaya dengan peramban yang rentan, penyerang sering kali dapat memasang program backdoor dan bot yang memberikan penyerang kendali jangka panjang atas sistem tersebut. Penyerang juga dapat menggunakan akses ini untuk bergerak secara lateral melalui jaringan. Salah satu pertahanan utama terhadap serangan ini adalah memperbarui dan menambal perangkat lunak. Namun, tanpa inventaris perangkat lunak yang lengkap, perusahaan tidak dapat menentukan apakah mereka memiliki perangkat lunak yang rentan, atau apakah terdapat potensi pelanggaran lisensi.
Templat Kebijakan Terkait
Pengamanan (7)
| ID | Judul | Fungsi | IG | Item Daftar Periksa | Bukti |
|---|---|---|---|---|---|
| 2.1 | Tetapkan dan Pelihara Inventaris Perangkat Lunak | Identifikasi |
IG1
IG2
IG3
|
2 | 1 |
| 2.2 | Pastikan Perangkat Lunak yang Diotorisasi Masih Didukung | Identifikasi |
IG1
IG2
IG3
|
2 | 1 |
| 2.3 | Tangani Perangkat Lunak yang Tidak Sah | Respons |
IG1
IG2
IG3
|
2 | 1 |
| 2.4 | Gunakan Alat Inventaris Perangkat Lunak Otomatis | Deteksi |
IG2
IG3
|
2 | 1 |
| 2.5 | Daftar Putih Perangkat Lunak yang Diotorisasi | Lindungi |
IG2
IG3
|
2 | 1 |
| 2.6 | Daftar Putih Pustaka yang Diotorisasi | Lindungi |
IG2
IG3
|
2 | 1 |
| 2.7 | Daftar Putih Skrip yang Diotorisasi | Lindungi |
IG3
|
2 | 1 |
Detail Verifikasi Audit
Tetapkan dan pelihara inventaris terperinci dari semua perangkat lunak berlisensi yang dipasang pada aset perusahaan. Inventaris perangkat lunak harus mendokumentasikan judul, penerbit, tanggal pemasangan/penggunaan awal, dan tujuan bisnis untuk setiap entri; jika sesuai, sertakan Uniform Resource Locator (URL), toko aplikasi, versi, mekanisme penerapan, dan tanggal penghentian. Tinjau dan perbarui inventaris perangkat lunak setiap dua tahun, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Pastikan bahwa hanya perangkat lunak yang saat ini didukung yang ditetapkan sebagai yang diotorisasi dalam inventaris perangkat lunak untuk aset perusahaan. Jika perangkat lunak tidak didukung tetapi diperlukan untuk pemenuhan misi perusahaan, dokumentasikan pengecualian yang merinci kontrol mitigasi dan penerimaan risiko residual. Untuk perangkat lunak yang tidak didukung tanpa dokumentasi pengecualian, tetapkan sebagai tidak diotorisasi. Tinjau daftar perangkat lunak untuk memverifikasi dukungan setidaknya setiap bulan, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Pastikan bahwa perangkat lunak yang tidak sah dihapus dari penggunaan pada aset perusahaan atau menerima pengecualian yang terdokumentasi. Tinjau setiap bulan, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Gunakan alat inventaris perangkat lunak, jika memungkinkan, di seluruh perusahaan untuk mengotomatiskan penemuan dan dokumentasi perangkat lunak yang terpasang.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Gunakan kontrol teknis, seperti daftar putih aplikasi, untuk memastikan bahwa hanya perangkat lunak yang diotorisasi yang dapat dijalankan atau diakses. Evaluasi ulang setiap dua tahun, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Gunakan kontrol teknis untuk memastikan bahwa hanya pustaka perangkat lunak yang diotorisasi, seperti file .dll, .ocx, .so, dll. tertentu, yang diizinkan untuk dimuat ke dalam proses sistem. Blokir pustaka yang tidak diotorisasi agar tidak dimuat ke dalam proses sistem. Evaluasi ulang setiap dua tahun, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |
Gunakan kontrol teknis, seperti tanda tangan digital dan kontrol versi, untuk memastikan bahwa hanya skrip yang diotorisasi, seperti file .ps1, .py, dll. tertentu, yang diizinkan untuk dijalankan. Blokir skrip yang tidak diotorisasi agar tidak dijalankan. Evaluasi ulang setiap dua tahun, atau lebih sering.
Daftar Verifikasi Audit
| Jenis | Item Bukti | Frekuensi |
|---|---|---|
| Dokumen | Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan) | Ditinjau setiap tahun |