Banyak pengembangan perangkat lunak yang gagal dikarenakan requirement yang berubah-ubah. Waktu pengembangan bertambah panjang sesuai dengan perubahan requirement. Pengembangan perangkat lunak tanpa security requirement mengalami masalah tambahan, yaitu masalah yang terkait dengan keamanan. Namun penambahan security requirement, yang merupakan non-fuctional requirement malah dianggap sebagai tambahan beban sehingga tidak dilakukan. Padahal tanpa adanya security requirement, masalah yang timbul di kemudian hari justru akan mahal untuk diperbaiki.
Security requirement dikaitkan dengan faktor yang terkait
dengan keamanan, yaitu confidentiality, integrity, dan availability. Selain
komponen di atas, ada juga faktor lain yang diusulkan oleh Mano Paul, Official
(ISC) Guide to the CSSLP. CRC Press, 2011. Seperti:
authentication requirement, authorization requirement,
auditing requirement, session management requirement, errors and exceptions
management requirement, configuration parameters management requirement,
sequencing and timing requirement, archiving requirement, international
requirement, deployment requirement, procurement requirement, antipiracy
requirement.
Contoh security requirement antara lain:
- Password harus dilindungi ketika diketikkan / ditampilkan harus di“masking” (misal dengan menggunakan karakter bintang). Ketika disimpan, password harus disimpan dalam bentuk hashed.
- Apakah password memiliki usia (password aging)? Misalnya, apakah password harus diganti setiap bulan? Jika harus diganti, apakah password yang baru boleh sama dengan password sebelumnya.
- Bolehkah pengguna mengakses layanan dari dua tempat yang berbeda pada saat yang bersamaan? Layanan transaksi, seperti misalnya internet banking, biasanya tidak meperkenankan kondisi ini tetapi ada layanan yang memperbolehkan multiple concurrent access.
- Perubahan data harga harus tercatat dengan menyertakan timestamp dan identitas pengguna yang melakukan perubahan.
- Waktu ketika aplikasi dijalankan (start) dan dimatikan (shutdown) harus dicatat (logged).
Sumber dari security requirement dapat diperoleh dari
internal dan external. Dari internal sumber dapat berasal dari kebijakan,
standar, guidelines, dan kebiasaan. Dari sumber external sumber dapat berasala
dari regulasi, compliance, dan seterusnya. Salah satu standar security
requirement yang sering digunakan adalah Common Criteria for Information
Technology Security Evaluation (atau lebih sering disebut Common Criteria
saja). Standar ini juga terkait dengan ISO 15408 tentang Evaluation Criteria for
IT Security.
reference: BUDI RAHARDJO, KEAMANAN PERANGKAT LUNAK
Tidak ada komentar:
Posting Komentar