SURVEY STANDAR MANAJEMEN KEAMANAN SISTEM
SURVEY STANDAR MANAJEMEN KEAMANAN SISTEM INFORMASI UNTUK
SISTEM KONTROL INDUSTRI
R. Benny Gandara
Fakultas Magister Teknik Elektro, Universitas Mercubuana, Jakarta
Email : [email protected]
Dosen : DR Ir Iwan Krisnadi MBA
Abstrak
Sistem kontrol industri kini tidak lagi beroperasi secara terisolasi, tapi akan dihubungkan
dengan berbagai sumber daya (jaringan dan internet) untuk dapat memfasilitasi dan
meningkatkan efisiensi proses bisnis. Konsekuensi yang timbul dengan adanya
perkembangan ini menyebabkan meningkatkan ancaman terhadap keamanan cyber dalam
dunia industri. Dalam penulisan survey paper ini akan diulas secara singkat mengenai
bentuk standar manajemen keamanan sistem informasi yang akan di terapkan pada sektor
industri minyak dan gas.
Kata kunci : Sistem kontrol industri, manajemen keamanan sistem informasi, industri minyak
dan gas.
Abstract
Industrial control systems no longer operate in isolation, but use connected with other
resources (e.g., corporate networks and the Internet) to facilitate and improve business
processes. The consequence of this development is the increased exposure to cyber threats.
This paper surveys, the methodologies and research in a brief for information security
management system standards that has been published to be adopted in oil and gas industrial
sectors.
Keywords: Industrial control system, Information Security Management System, oil and gas
industry.
I.Pendahuluan
I.1 Latar Belakang Masalah
Dengan semakin berkembangnya teknologi operasi dan teknologi informasi di sektor industri
maka ikut turut meningkatkan adanya kebutuhan perlindungan keamanan cyber terhadap
konvergensi kedua teknologi tersebut. Teknologi operasi atau sistem kontrol industri terdiri
dari sistem perangkat keras dan perangkat lunak yang memantau dan mengontrol peralatan
secara langsung dilapangan, sering ditemukan pada industri yang mengelola infrastruktur
penting, seperti: pengolahan air minum, minyak & gas, pembangkit listrik, manufaktur,
sistem pertahanan dan transportasi. Dalam teknologi operasi ini penggunaan terminology
khusus seperti: Programmable Logic Controller (PLC), Distributed Control System (DCS),
Supervisory Control and Data Acquisition (SCADA) sering digunakan. Keterkaitan teknologi
informasi yang dipergunakan dalam sistem automasi adalah seperti penggunaan : komputer,
server, dan jaringan komunikasi data baik berupa : Local Area Network (LAN) dan Wide
Area Network (WAN).
Hubungan keterkaitan sistem kontrol industri dan teknologi informasi yang terpisahkan pada
beberapa waktu lalu akan dikaji kembali karena dengan semakin berkembangnya teknologi
dan kebutuhan efisiensi pada sistem industri, yang membutuhkan konvergensi dengan
teknologi informasi. Bentuk ancaman keamanan pun tidak luput dari bahasan setelah adanya
konvergensi ini. Dimana contoh kasus keamanan cyber untuk sistem kontrol industri ini
mulai menjadi trend ditahun 2010 dengan ditemukannya malware Stuxnet di fasilitas instalasi
nuklir Iran dan malware Black Energy difasilitas pembangkit listrik di Ukraina ditahun 2016.
Dan dengan semakin banyak serta berkembangannya bentuk ancaman yang dihadapi, maka
berbagai upaya pun di lakukan untuk menghadapi bentuk ancaman-ancaman keamanan
tersebut. Salah satunya adalah metoda /standarisasi manajemen keamanan yang berkaitan
dengan cara pengamanan untuk mengurangi resiko yang akan dihadapi. Dalam hal ini bentuk
pemilihan standar harus dapat di sesuaikan dengan karakter dari sistem yang akan di
lindunginya. Sistem kontrol industri (Industrial Control System, ICS) memiliki bentuk
karakter yang berbeda dari sistem teknologi informasi dan oleh sebab itu bentuk pemilihan
standar yang tersedia perlu di analisa sesuai dengan kebutuhan karakternya , yang mana akan
diulas dalam penulisan ini.
Gambar 1[1]
I.2 Perumusan Masalah
Berdasarkan uraian sebelumnya, dapat dirumuskan permasalahan yang mendasari untuk di
bahas dalam penulisan ini adalah dengan diterbitkannya berbagai macam standar manajemen
keamanan sistem informasi yang dibuat untuk sistem teknologi informasi dan sistem kontrol
industri. Sehingga di perlukannya analisa yang lebih mendalam untuk dapat menentukan jenis
standar apa yang akan di gunakan berdasarkan karakter keamanan informasi pada sistem
kontrol industri. Untuk cakupan ruang lingkup kerja sistem kontrol yang akan diulas pada
bahasan ini di tujukan lebih spesifik ke penggunaannya dalam sektor industri energi di
fasilitas produksi minyak dan gas.
I.3 Metodologi dan Tujuan Penelitian
Adapun maksud dan tujuan dari pembahasan penulisan ini adalah, memberikan informasi
mengenai bentuk-bentuk standar manajemen keamanan informasi yang tersedia baik untuk
sistem teknologi informasi dan sistem automasi industri yang umum di pergunakan,
kemudian dianalisa, dan akhirnya menentukan bentuk standar yang akan dipergunakan dalam
sistem kontrol industri agar dapat diimplementasikan sesuai dengan karakter dan
kebutuhannya. Berkaitan dengan hal tersebut maka penulis melakukan pendekatan proses
analisa penilitian dengan cara:
1.Memililih bentuk model standar yang akan dianalisa (teknologi informasi dan Sistem
kontrol industri).
2.Menentukan model referensi/acuan, dengan mengacu kepada bentuk karaktek bisnis yang
diinginkan (keamanan sistem informasi pada sistem kontrol industri, terutama untuk sektor
industri migas).
3.Membandingkan model standar analisa dengan model referensi.
4.Tabulasi dan Identifikasi model.
5.Analisa hasil tabulasi dan bandingkan dengan kebutuhan penulisan.
6.Menarik hasil dan memberikan kesimpulan.
II.Tinjuan Teroritis
II.1 Sistim Kontrol Industri.
Sistem kontrol adalah proses pengaturan ataupun pengendalian terhadap satu atau beberapa
besaran (variabel, parameter) sehingga berada pada suatu nilai atau dalam suatu rangkuman
besaran cakupan (range) tertentu. Di dalam dunia industri, dituntut suatu proses kerja yang
aman dan efisien untuk menghasilkan produk dengan kualitas dan kuantitas yang baik dalam
periode waktu tertentu yang telah ditentukan. Sistem kontrol sangat membantu dalam hal
kelancaran operasional, keamanan (investasi, lingkungan), ekonomi (biaya produksi), mutu
produk, dll.
Komponen dari sistem kontrol secara umumnya terdiri : 1. Input (Process Variable, masukan
variabel proses)
Modul input terbagi menjadi dua jenis :analog dan digital. Bentuk contoh peralatan input
analog (instrumentasi dilapangan): pressure transmitter (alat pengukur tekanan), level
transmitter (alat pengukur ketinggian), flow transmitter (alat pengukur aliran), temperature
transmitter (alat pengukur suhu), fire detector (alat deteksi api), smoke detector (alat deteksi
asap), analyser dan input digital: switch/saklar dihubungkan ke modul input.
2. Process (Controller, pusat pemrosesan data)
Adalah alat yang menerima data dari masukan variabel proses dan diproses untuk di hitung,
dibandingkan dengan nilai tertentu, dan memberikan perintah keluaran setelah proses tersebut
diolah
3. Output (Manipulated Variable, keluaran manipulasi variable).
Merupakan bagian terakhir dari elemen kontrol, yang diatur dari controller untuk
menghasilkan keluaran dengan tujuan tertentu, seperti pengaturan nilai besaran tertentu
berdasarkan set point atau pun fungsi kendali ON/OFF, contoh : actuator (valve solenoid)
dan contactor relay (circuit breaker) . Modul output terbagi atas dua jenis yaitu : analog dan
digital.
Sistem kontrol pada industri pada umumnya di kendalikan oleh Programmable Logic
Controller (PLC) atau Distributed Control Network (DCS) yang mana terdiri dari beberapa
bagian-bagian penunjang seperti :
1.Modul catu daya, dimana berfungsi sebagai bagian yang memberikan daya ke dalam sistem
internal modul.
2.Modul prosessor dan memory dimana berfungsi sebagai pusat proses pemrosesan data,
penyimpanan data dan sistem operasi .
3.Modul komunikasi, dimana berfungsi sebagai media komunikasi untuk hubungan antar
mesin atau pun ke eksternal sistem seperti antara lain : komputer/server, peralatan jaringan
dll.
4.Modul input dan output: dimana akan berinteraksi masukan/input dari peralatan di lapangan
dan juga perintah keluaran/output.Modul ini terbagi atas dua jenis: analog dan digital.
Dalam implemetasinya sistem kontrol/automasi industri akan berinterkasi dengan teknologi
informasi seperti perangkat alat pendukung komputer untuk layanan antar muka mesin dan
manusia (human machine interface), server untuk penyimpanan dan pengolahan dan juga
termasuk peralatan komunikasi jaringan seperti: switch, router,dll.
Subjek pada penulisan ini ditujukan untuk peralatan sistem kontrol/ automasi industri di
sektor industri energi minyak dan gas,dimana untuk fasilitas produksi akan terkait dengan
alat pengontrol proses yang pada umumnya terdiri dari : Basic Process Control System
(BPCS), dan alat penunjang keselamatan: Safety Instrumented System (SIS), seperti pada
gambar
Gambar 2 [2]
Dimana peralatan BPCS ini berperan sebagai sistem yang bertanggung jawab untuk
menjalankan proses produksi di saat normal operasi yang merespon signal input dari proses
atau peralatan-peralatan dilapangan, termasuk juga perintah masukan dari operator untuk
mengendalikan proses sesuai dengan tujuan yang diinginkan. BPCS juga berperan sebagai
alat fungsi peringatan dan keselamatan pada tingkat awal, jika terjadi gangguan pada proses
dilapangan.
Bentuk peralatan penunjang keselamatan , Safety Instrumented System (SIS) didefinisikan
oleh ISA S84.1 dan IEC 61508 adalah : sistem yang terdiri dari sensor, logic solver (sistem
prosessor), dan final control element (elemen/output control akhir) yang di fungsikan untuk
kepentingan penunjang keselamatan, apabila telah terjadi gangguan proses diluar batas yang
telah di tentukan. Contoh implementasi sistem ini ada pada sistem Emergency shutdown dan
juga sistem Fire and Gas.
II.2 Standar Keamanan Manajemen Sistem Informasi ISO 27001
ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau
Information Security Management System, biasa disebut ISMS. Dalam hal ini maka ISMS
dapat diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan
meminimalkan resiko keamanan informasi sampai ketingkat yang dapat diterima. Dimana
proses yang dimaksud haruslah dapat dikelola sesuai dengan standar yang telah ditetapkan,
dan memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh
sebuah perusahaan/organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasi
dan memelihara keamanan informasi di perusahaan/organisasi berdasarkan ”best practise”
dalam pengamanan informasi.
Penggunaan ISO 27001 juga ditujukan untuk digunakan bersama dengan ISO/IEC 27002,
yang memberikan daftar tujuan pengendalian keamanan dan merekomendasikan suatu
rangkaian pengendalian keamanan yang lebih spesifik. ISO/IEC 27002 memberikan
rekomendasi praktik terbaik (best practices) untuk standar Sistem Manajemen Keamanan
Informasi (ISMS) yang didefinisikan oleh standar ini dalam konteks C-I-A:
•Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak
yang memiliki wewenang.
•Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi
tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
•Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang
memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri
dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur
teknologi informasi.
II.3 ISA-62443
Standarisasi ini di kembangkan oleh komite ISA 99 dan kelompok kerja komite teknis IEC 65
(TC65WG10) di tujukan untuk kebutuhan desain ketahanan keamanan cyber spesifik untuk
sistem kontrol automasi industri (Industrial automation control system, IACS) dimana
mencakup:
Perangkat keras dan perangkat lunak seperti DCS, PLC, SCADA, peralatan sensor monitor
dan diagnostic.
Operator pengguna/manusia, jaringan komunikasi, perangkat antar muka untuk sistem
kendali , sistem keselamatan dan juga operasi di manufaktur.
Laporan teknis dan standar ISA 62443 dibagi menjadi empat kategori yaitu [3]:
1.General (Umum) : pembahasan berkaitan tentang dasar-dasar informasi, seperti: konsep
model, dan terminology temasuk matriks keamanan dan siklus IACS.
2.Procedure and Policy (Prosedur dan kebijakan): Membahas tentang aspek-aspek kebijakan
dan peraturan oleh pemilik aset yang berkaitan dengan menciptakan dan memelihara
keamanan IACS.
3.System Integrator (Integrasi sistem): membahas mengenai panduan untuk mendesain sistem
dan integrasi system yang aman. Hal yang ditekankan pada bagian ini adalah “zone” dan
desain model “conduit”.
4.Component Provider (Komponen peralatan): membahas mengenai pengembangan dan
kebutuhan teknis dari produk sistem kontrol.
II.4 NIST 800
NIST adalah National Institute of Standards and Technology badan ini adalah organisasi yang
berada di bawah U.S Department of commerce. NIST membuat standar, panduan dan
publikasi yang memberikan pengarahan kepada perusahaan-perusahaan di Amerika untuk
menggunakan FISMA: Federal Information Security Management Act of 2002, yang dimana
merupakan sebuah undang-undang yang mendefinisikan kerangka kerja secara komprehensif
untuk melindungi informasi, operasi dan aset pemerintah terhadap ancaman alam atau hasil
rekayasa manusia. Informasi angka 800 ini menjelaskan mengenai kode SP (Special
Publication) yang mengindikasikan bahwa standar ini terkait dengan keamanan komputer.
Secara garis besar penggambaran struktur dokumentasi NIST adalah:
Gambar 3
III. Pembahasan
Tujuan penulis pada penulisan ini adalah untuk membahas dengan singkat tentang bentuk
standar manajemen keamanan sistem informasi yang di terbitkan oleh berbagai pihak,
kemudian dianalisa dan diadopsikan dalam sektor industri migas.
Pemahaman bentuk karakter dasar dari sistem teknologi infomasi dan sistem automasi
industri ,perlu dianalisa untuk mendapat metoda analisa sistem keamanan yang sesuai,
dimana untuk penjelasannya dapat diinformasi dengan table 1 sebagai berikut[4], berdasarkan
standar NIST:
Kategori
Sistem Teknologi Informasi
Tidak real time
Bentuk respond yang diperlukan
adalah : Respond yang
Sistem Automasi Industri
Real time
Bentuk respond yang di perlukan
adalah : respond yang cepat
konsisten
Kebutuhan kapasitas bandwith
Kebutuhan unjuk
yang besar sangat diinginkan
kerja
Delay dan jitter dapat terima
Interaksi terhadap fungsi
darurat/kritis sangat minimal
Implementasi akses kontrol yang
ketat bisa di
implementasikan sesuai dengan
kebutuhan tingkat keamanan
Cukup menggunkan kapasitas
bandwith menengah
Tidak menerima delay dan jitter
Berinteraksi dengan fungsi-fungsi
yang kritikal
Bentuk akses sangat di kontrol dan
dibuat agar tidak menggangu
fungsi interaksi dengan layanan antar
muka (human machine
interaction )
Respon terhadap rebooting/restart Respon terhadap rebooting bisa tidak
bisa diterima
bisa diterima
Kebutuhan
ketersediaan
Kebutuhan
manajemen
resiko
Sistem operasi
Kekurangan dalam ketersediaan
sistem masih bisa di
tolerensi, tergantung dari
kebutuhan operasional sistem
Mengatur data
Kerahasiaan dan integritas data
menjadi hal yang utama
Toleransi kesalahan tidak menjadi
perhatian utama- Karena
penghentian sementara tidak
mengandung resiko yang besar
Keselamatan dan ketersedian menjadi
hal yang utama
Toleransi kesalahanmenjadi perhatian
utama- Karena interupsi
proses, mungkin tidak dapat
ditoleransi
Resiko bisa berdampak pada
aturan/hukum yang
Resiko terbesar adalah tertunda
berlaku,kerusakan lingkungan,
proses bisnis
peralatan ataupun kerugian
produksi
Menggunakan sistem operasi bersifat
khusus/yang terkadang
Menggunakan jenis sistem operasi tidak umum dan kadang tidak
yang umum
dilengkapi dengan perlindungan
keamanan terhadap sistem
Harus sangat berhati-hati dalam proses
Dapat dengan mudah melakukan
modifikasi atau
upgrading / pemutakhiran
upgrading
tambahan dari pihak lain untuk
Kendala Sumber menunjang solusi keamanan
Daya
Manajemen
perubahan
ketersediaan yang dibutuhkan
Pemadaman / pemberhentian sistem
harus direncana dalam
beberapa waktu sebelummnya
Mengatur peralatan di lapangan
Sistem dengan mudah
mendapatkan dukungan sumber
daya
Komunikasi
Redundansi akan di diperhitungan
tergantung dari tingkat
Sistem mengalami kendala untuk
mendapatkan dukungan sumber
daya tambahan dari pihak lain untuk
menunjang solusi keamanan,
karena di buat spesisifik untuk
kebutuhan tertentu(industrial)
Menggunakan komunikasi protokol Banyak menggunakan komunikasi
standar/umum
protokol khusus
Terdiri dari bentuk network yang
Menggunakan arsitektur jaringan
rumit dan membutuhkan
IT
sumberdaya tertentu/ahli dalam
pengerjaannya
Perubahan perangkat lunak bisa
Perubahan perangkat lunak harus
dilakukan sewaktu-waktu
melalui tahap pengujian untuk
dengan mengindahkan kaidah
kebijakan dan prosedur
memastikan kemampuan, dan
intergritas sistem
keamanan.
Dukungan operasi Memiliki kemampuan yang lebih
flexible (multiple vendor)
&pemeliharaan
Umur Perangkat
3-5 Tahun
Lokal, dan mudah diakses
Lokasi perangkat
Hanya khusus pabrikan
10-15 Tahun
Sangat bergantung pada kebutuhan :
lokal, terdistribusi, dan
sukar untuk diakses / berjauhan ,
terkadang terisolasi
Tabel 1
Dari pembahasan tabel 1 diatas, maka dapat bentuk matriks karakter ISMS untuk teknologi
informasi dan sistem automasi industri menjadi seperti pada table 2
Matriks Tujuan Keamanan Informasi
Teknologi Informasi
Sistem Automasi Industri
1 Confidentiality (Kerahasiaan)Availability (Ketersedian)
2 Integrity (Integritas)
Integrity (Integritas)
3 Availability (Ketersedian) Confidentiality (Kerahasiaan)
No
Tabel 2
Berdasarkan pembahasan teori karakter dan bentuk objektivitas kebutuhan keamanan pada
sistem kontrol industri memiliki karakter yang berbeda dengan sistem teknologi informasi
pada umumnya.
Untuk penentuan awal untuk tipe model dimulai dari pendekatan seleksi model ISMS yang
umum digunakan dan tersedia untuk kebutuhan keamanan teknologi informasi yang terdiri
dari :ISO 27001, BS 7799, PCIDSS, ITIL dan COBIT. Dan terpilihnya metode ISO 27001,
disadur oleh penulis berdasarkan pada pada pembahasan jurnal[5], dimana model ISO 27001
dimana penggunaannya merupakan populasi terbesar atau paling umum di gunakan, dan juga
lebih mudah diimplementasikan
Selanjutnya untuk menentukan model yang khusus di tujukan berkaitan dengan sistem
keamanan informasi automasi industri, maka penulis membandingkan dan menganalisa
informasi yang ada pada penulisan jurnal [6] dan memilih standar ISA 62443 yang cukup
representative untuk dijadikan referensi pada penelitian ini karena :
1.Dipergunakan sebagai standarisasi dan bukan sekedar panduan.
2.Dalam bahasan publikasi model tersebut turut membahas tentang pentingnya unsur
/parameter keselamatan ( safety) dalam sistem yang menjadi unsur dasar utama karakter
ISMS dalam sistem automasi industri.
3.Membahas analisa resiko manajemen yang terkait dengan keamanan aset sistem automasi
industri.
4.Melakukan identifikasi dan menyediakan metodologi pengklasifikasian terhadap aset
sistem automasi industri.
5.Memiliki teknik analisa penilaian terhadap ancaman dan kelemahan sistem keamanan.
6.Evaluasi resiko dapat dilaksakan secara dilaksakan secara kuantitatif dan kualitatif.
Kemudian standar NIST SP 800 menyediakan cara untuk mengamankan sistem kontrol
industri (Industrial Control System, ICS), termasuk diantaranya : Supervisory Control and
Data Acqusition (SCADA), Distributed Control System (DCS), dan sistem lainnya yang
melakukan fungsi kontrol. Standar ini juga akan memberikan gambaran dan pembahasan
mengenai ICS dan topologi umum sistem ICS, mengidentifikasi ancaman dan kerentanan
sistem dan termasuk juga memberikan rekomendasi cara penanggulangan keamanan sistem
ICS untuk mengurangi risiko gangguan keamanan.
Dalam standar ini juga membahas bentuk kontrol keamanan yang spesifik khusus untuk ICS,
memberikan panduan cara kontrol untuk sistem yang sudah lama terbentuk/dijalankan dan
tambahan panduan untuk operator. ICS.NIST 800 telah memperoleh tertentu pengakuan dan
popularitas di antara para pihak-pihak yang terlibat dalam bidang ICS (alat keamanan ICS
dan penyedia layanan, perangkat lunak ICS / produsen perangkat keras dan integrator,
operator infrastruktur, badan-badan publik, badan standardisasi, akademisi)[7].
Berikut adalah bentuk tabulasi dan identifikasi model standar yang di sesuaikan dengan
kebutuhan karaktek ISMS pada sistem kontrol industri yang dirangkum oleh penulis seperti
pada tabel 3
Tabel 3
Pembahasan mengenai beberapa standar yang diulas sebelumnya dengan pendekatan metode
standar: NIST SP 800 dan ISA 62443, nantinya akan diolah dan adopsi untuk diterapkan
dalam ISMS sistem kontrol industri, sehingga dalam penerapannya dapat di lakukan:
1.Kuantifikasi level resiko yang dihadapi pada saat ini terhadap ancaman resiko keamanan
2.Dapat memprioritaskan bentuk investasi dalam menanggulangi ancaman resiko keamanan
3.Analisa terhadap resiko baru yang akan di hadapi, jika terjadi adanya bentuk perubahan
baru
IV. Kesimpulan
Keamanan merupakan suatu proses dan bukan suatu produk, dan ISMS dalam hal ini dapat
diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan
resiko keamanan informasi sampai ketingkat yang dapat diterima, proses dimaksud haruslah
dapat dikelola sesuai dengan standar yang telah ditetapkan. Dengan tersedianya beragam
bentuk standar yang telah di terbitkan oleh berbagai pihak dan kaitannya dengan cyber
security di sistem automasi industri yang memiliki karakter yang berbeda dengan bentuk
umum keamanan teknologi informasi pada umumnya, maka diperlukan adanya suatu bentuk
pemahaman untuk menghubungkan antara standar ISMS yang dibutuhkan untuk di sesuaikan
dengan karakter sistem automasi industri, dan untuk implementasi yang akan diterapkan di
industri minyak dan gas maka bentuk penerapan standar NIST 800-52 and ISA 62443-3-3
dapat menjadi pilihan sesuai.
Daftar Pustaka
[1]J. Weiss Pe, “Assuring Industrial Control System (ICS) Cyber Security.”
[2]G. C. Maitland, Oil and gas production, vol. 5. 2000.
[3]I. Automation and C. S. Security, “Overview The 62443 series of standards Industrial
Automation and Control Systems Security,” no. 919, pp. 1–4, 2015.
[4]K. Stouffer, K. Stouffer, and M. Abrams, “Guide to Industrial Control Systems ( ICS )
Security NIST Special Publication 800-82 Guide to Industrial Control Systems ( ICS )
Security.”
[5]H. Susanto, M. Almunawar, and Y. Tuan, “Information security management system
standards: A comparative study of the big five,” Int. J. Electr. Comput. Sci. IJECS- IJENS,
vol. 11, no. 5, pp. 23–29, 2011.
[6]W. Knowlesa, D. Princea, D. Hutchisona, J. F. P. Dissob, and K. Jonesb, “A survey of
cyber security management in industrial control systems,” Int. J. Crit. Infrastruct. Prot., vol.
9, no. June 2015, pp. 52–80, 2015.
[7]R. Leszczyna, “Approaching secure industrial control systems,” no. April 2013, pp. 81–89,
2014.
[8]M. Afzaal, C. Di Sarno, L. Coppolino, S. D’Antonio and L. Romano, A resilient
architecture for forensic storage of events in critical infrastructures, Proceedings of the
Fourteenth IEEE International Symposium on High-Assurance Systems Engineering, pp. 48–
55, 2012.
[9]C. Alcaraz, G. Fernandez and F. Carvajal, Security aspects of SCADA and DCS
environments, in Critical Infrastructure Protection, J. Lopez, R. Setola and S. Wolthusen
(Eds.),Springer-Verlag, Berlin Heidelberg, Germany, pp. 120–149,2012.
[10]C. Alcaraz and J. Lopez, Analysis of requirements for critical control systems,
International Journal of Critical Infrastructure Protection, vol. 5(3–4), pp. 137–145, 2012.
SISTEM KONTROL INDUSTRI
R. Benny Gandara
Fakultas Magister Teknik Elektro, Universitas Mercubuana, Jakarta
Email : [email protected]
Dosen : DR Ir Iwan Krisnadi MBA
Abstrak
Sistem kontrol industri kini tidak lagi beroperasi secara terisolasi, tapi akan dihubungkan
dengan berbagai sumber daya (jaringan dan internet) untuk dapat memfasilitasi dan
meningkatkan efisiensi proses bisnis. Konsekuensi yang timbul dengan adanya
perkembangan ini menyebabkan meningkatkan ancaman terhadap keamanan cyber dalam
dunia industri. Dalam penulisan survey paper ini akan diulas secara singkat mengenai
bentuk standar manajemen keamanan sistem informasi yang akan di terapkan pada sektor
industri minyak dan gas.
Kata kunci : Sistem kontrol industri, manajemen keamanan sistem informasi, industri minyak
dan gas.
Abstract
Industrial control systems no longer operate in isolation, but use connected with other
resources (e.g., corporate networks and the Internet) to facilitate and improve business
processes. The consequence of this development is the increased exposure to cyber threats.
This paper surveys, the methodologies and research in a brief for information security
management system standards that has been published to be adopted in oil and gas industrial
sectors.
Keywords: Industrial control system, Information Security Management System, oil and gas
industry.
I.Pendahuluan
I.1 Latar Belakang Masalah
Dengan semakin berkembangnya teknologi operasi dan teknologi informasi di sektor industri
maka ikut turut meningkatkan adanya kebutuhan perlindungan keamanan cyber terhadap
konvergensi kedua teknologi tersebut. Teknologi operasi atau sistem kontrol industri terdiri
dari sistem perangkat keras dan perangkat lunak yang memantau dan mengontrol peralatan
secara langsung dilapangan, sering ditemukan pada industri yang mengelola infrastruktur
penting, seperti: pengolahan air minum, minyak & gas, pembangkit listrik, manufaktur,
sistem pertahanan dan transportasi. Dalam teknologi operasi ini penggunaan terminology
khusus seperti: Programmable Logic Controller (PLC), Distributed Control System (DCS),
Supervisory Control and Data Acquisition (SCADA) sering digunakan. Keterkaitan teknologi
informasi yang dipergunakan dalam sistem automasi adalah seperti penggunaan : komputer,
server, dan jaringan komunikasi data baik berupa : Local Area Network (LAN) dan Wide
Area Network (WAN).
Hubungan keterkaitan sistem kontrol industri dan teknologi informasi yang terpisahkan pada
beberapa waktu lalu akan dikaji kembali karena dengan semakin berkembangnya teknologi
dan kebutuhan efisiensi pada sistem industri, yang membutuhkan konvergensi dengan
teknologi informasi. Bentuk ancaman keamanan pun tidak luput dari bahasan setelah adanya
konvergensi ini. Dimana contoh kasus keamanan cyber untuk sistem kontrol industri ini
mulai menjadi trend ditahun 2010 dengan ditemukannya malware Stuxnet di fasilitas instalasi
nuklir Iran dan malware Black Energy difasilitas pembangkit listrik di Ukraina ditahun 2016.
Dan dengan semakin banyak serta berkembangannya bentuk ancaman yang dihadapi, maka
berbagai upaya pun di lakukan untuk menghadapi bentuk ancaman-ancaman keamanan
tersebut. Salah satunya adalah metoda /standarisasi manajemen keamanan yang berkaitan
dengan cara pengamanan untuk mengurangi resiko yang akan dihadapi. Dalam hal ini bentuk
pemilihan standar harus dapat di sesuaikan dengan karakter dari sistem yang akan di
lindunginya. Sistem kontrol industri (Industrial Control System, ICS) memiliki bentuk
karakter yang berbeda dari sistem teknologi informasi dan oleh sebab itu bentuk pemilihan
standar yang tersedia perlu di analisa sesuai dengan kebutuhan karakternya , yang mana akan
diulas dalam penulisan ini.
Gambar 1[1]
I.2 Perumusan Masalah
Berdasarkan uraian sebelumnya, dapat dirumuskan permasalahan yang mendasari untuk di
bahas dalam penulisan ini adalah dengan diterbitkannya berbagai macam standar manajemen
keamanan sistem informasi yang dibuat untuk sistem teknologi informasi dan sistem kontrol
industri. Sehingga di perlukannya analisa yang lebih mendalam untuk dapat menentukan jenis
standar apa yang akan di gunakan berdasarkan karakter keamanan informasi pada sistem
kontrol industri. Untuk cakupan ruang lingkup kerja sistem kontrol yang akan diulas pada
bahasan ini di tujukan lebih spesifik ke penggunaannya dalam sektor industri energi di
fasilitas produksi minyak dan gas.
I.3 Metodologi dan Tujuan Penelitian
Adapun maksud dan tujuan dari pembahasan penulisan ini adalah, memberikan informasi
mengenai bentuk-bentuk standar manajemen keamanan informasi yang tersedia baik untuk
sistem teknologi informasi dan sistem automasi industri yang umum di pergunakan,
kemudian dianalisa, dan akhirnya menentukan bentuk standar yang akan dipergunakan dalam
sistem kontrol industri agar dapat diimplementasikan sesuai dengan karakter dan
kebutuhannya. Berkaitan dengan hal tersebut maka penulis melakukan pendekatan proses
analisa penilitian dengan cara:
1.Memililih bentuk model standar yang akan dianalisa (teknologi informasi dan Sistem
kontrol industri).
2.Menentukan model referensi/acuan, dengan mengacu kepada bentuk karaktek bisnis yang
diinginkan (keamanan sistem informasi pada sistem kontrol industri, terutama untuk sektor
industri migas).
3.Membandingkan model standar analisa dengan model referensi.
4.Tabulasi dan Identifikasi model.
5.Analisa hasil tabulasi dan bandingkan dengan kebutuhan penulisan.
6.Menarik hasil dan memberikan kesimpulan.
II.Tinjuan Teroritis
II.1 Sistim Kontrol Industri.
Sistem kontrol adalah proses pengaturan ataupun pengendalian terhadap satu atau beberapa
besaran (variabel, parameter) sehingga berada pada suatu nilai atau dalam suatu rangkuman
besaran cakupan (range) tertentu. Di dalam dunia industri, dituntut suatu proses kerja yang
aman dan efisien untuk menghasilkan produk dengan kualitas dan kuantitas yang baik dalam
periode waktu tertentu yang telah ditentukan. Sistem kontrol sangat membantu dalam hal
kelancaran operasional, keamanan (investasi, lingkungan), ekonomi (biaya produksi), mutu
produk, dll.
Komponen dari sistem kontrol secara umumnya terdiri : 1. Input (Process Variable, masukan
variabel proses)
Modul input terbagi menjadi dua jenis :analog dan digital. Bentuk contoh peralatan input
analog (instrumentasi dilapangan): pressure transmitter (alat pengukur tekanan), level
transmitter (alat pengukur ketinggian), flow transmitter (alat pengukur aliran), temperature
transmitter (alat pengukur suhu), fire detector (alat deteksi api), smoke detector (alat deteksi
asap), analyser dan input digital: switch/saklar dihubungkan ke modul input.
2. Process (Controller, pusat pemrosesan data)
Adalah alat yang menerima data dari masukan variabel proses dan diproses untuk di hitung,
dibandingkan dengan nilai tertentu, dan memberikan perintah keluaran setelah proses tersebut
diolah
3. Output (Manipulated Variable, keluaran manipulasi variable).
Merupakan bagian terakhir dari elemen kontrol, yang diatur dari controller untuk
menghasilkan keluaran dengan tujuan tertentu, seperti pengaturan nilai besaran tertentu
berdasarkan set point atau pun fungsi kendali ON/OFF, contoh : actuator (valve solenoid)
dan contactor relay (circuit breaker) . Modul output terbagi atas dua jenis yaitu : analog dan
digital.
Sistem kontrol pada industri pada umumnya di kendalikan oleh Programmable Logic
Controller (PLC) atau Distributed Control Network (DCS) yang mana terdiri dari beberapa
bagian-bagian penunjang seperti :
1.Modul catu daya, dimana berfungsi sebagai bagian yang memberikan daya ke dalam sistem
internal modul.
2.Modul prosessor dan memory dimana berfungsi sebagai pusat proses pemrosesan data,
penyimpanan data dan sistem operasi .
3.Modul komunikasi, dimana berfungsi sebagai media komunikasi untuk hubungan antar
mesin atau pun ke eksternal sistem seperti antara lain : komputer/server, peralatan jaringan
dll.
4.Modul input dan output: dimana akan berinteraksi masukan/input dari peralatan di lapangan
dan juga perintah keluaran/output.Modul ini terbagi atas dua jenis: analog dan digital.
Dalam implemetasinya sistem kontrol/automasi industri akan berinterkasi dengan teknologi
informasi seperti perangkat alat pendukung komputer untuk layanan antar muka mesin dan
manusia (human machine interface), server untuk penyimpanan dan pengolahan dan juga
termasuk peralatan komunikasi jaringan seperti: switch, router,dll.
Subjek pada penulisan ini ditujukan untuk peralatan sistem kontrol/ automasi industri di
sektor industri energi minyak dan gas,dimana untuk fasilitas produksi akan terkait dengan
alat pengontrol proses yang pada umumnya terdiri dari : Basic Process Control System
(BPCS), dan alat penunjang keselamatan: Safety Instrumented System (SIS), seperti pada
gambar
Gambar 2 [2]
Dimana peralatan BPCS ini berperan sebagai sistem yang bertanggung jawab untuk
menjalankan proses produksi di saat normal operasi yang merespon signal input dari proses
atau peralatan-peralatan dilapangan, termasuk juga perintah masukan dari operator untuk
mengendalikan proses sesuai dengan tujuan yang diinginkan. BPCS juga berperan sebagai
alat fungsi peringatan dan keselamatan pada tingkat awal, jika terjadi gangguan pada proses
dilapangan.
Bentuk peralatan penunjang keselamatan , Safety Instrumented System (SIS) didefinisikan
oleh ISA S84.1 dan IEC 61508 adalah : sistem yang terdiri dari sensor, logic solver (sistem
prosessor), dan final control element (elemen/output control akhir) yang di fungsikan untuk
kepentingan penunjang keselamatan, apabila telah terjadi gangguan proses diluar batas yang
telah di tentukan. Contoh implementasi sistem ini ada pada sistem Emergency shutdown dan
juga sistem Fire and Gas.
II.2 Standar Keamanan Manajemen Sistem Informasi ISO 27001
ISO 27001 merupakan dokumen standar sistem manajemen keamanan informasi atau
Information Security Management System, biasa disebut ISMS. Dalam hal ini maka ISMS
dapat diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan
meminimalkan resiko keamanan informasi sampai ketingkat yang dapat diterima. Dimana
proses yang dimaksud haruslah dapat dikelola sesuai dengan standar yang telah ditetapkan,
dan memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh
sebuah perusahaan/organisasi dalam usaha mereka untuk mengevaluasi, mengimplementasi
dan memelihara keamanan informasi di perusahaan/organisasi berdasarkan ”best practise”
dalam pengamanan informasi.
Penggunaan ISO 27001 juga ditujukan untuk digunakan bersama dengan ISO/IEC 27002,
yang memberikan daftar tujuan pengendalian keamanan dan merekomendasikan suatu
rangkaian pengendalian keamanan yang lebih spesifik. ISO/IEC 27002 memberikan
rekomendasi praktik terbaik (best practices) untuk standar Sistem Manajemen Keamanan
Informasi (ISMS) yang didefinisikan oleh standar ini dalam konteks C-I-A:
•Kerahasiaan (confidentiality): memastikan bahwa informasi hanya dapat diakses oleh pihak
yang memiliki wewenang.
•Integritas (integrity): memastikan bahwa informasi tetap akurat dan lengkap, serta informasi
tersebut tidak dimodifikasi tanpa otorisasi yang jelas.
•Ketersediaan (availability): memastikan bahwa informasi dapat diakses oleh pihak yang
memiliki wewenang ketika dibutuhkan.
Pengamanan informasi tersebut dapat dicapai dengan melakukan suatu kontrol yang terdiri
dari kebijakan, proses, prosedur, struktur organisasi, serta fungsi-fungsi infrastruktur
teknologi informasi.
II.3 ISA-62443
Standarisasi ini di kembangkan oleh komite ISA 99 dan kelompok kerja komite teknis IEC 65
(TC65WG10) di tujukan untuk kebutuhan desain ketahanan keamanan cyber spesifik untuk
sistem kontrol automasi industri (Industrial automation control system, IACS) dimana
mencakup:
Perangkat keras dan perangkat lunak seperti DCS, PLC, SCADA, peralatan sensor monitor
dan diagnostic.
Operator pengguna/manusia, jaringan komunikasi, perangkat antar muka untuk sistem
kendali , sistem keselamatan dan juga operasi di manufaktur.
Laporan teknis dan standar ISA 62443 dibagi menjadi empat kategori yaitu [3]:
1.General (Umum) : pembahasan berkaitan tentang dasar-dasar informasi, seperti: konsep
model, dan terminology temasuk matriks keamanan dan siklus IACS.
2.Procedure and Policy (Prosedur dan kebijakan): Membahas tentang aspek-aspek kebijakan
dan peraturan oleh pemilik aset yang berkaitan dengan menciptakan dan memelihara
keamanan IACS.
3.System Integrator (Integrasi sistem): membahas mengenai panduan untuk mendesain sistem
dan integrasi system yang aman. Hal yang ditekankan pada bagian ini adalah “zone” dan
desain model “conduit”.
4.Component Provider (Komponen peralatan): membahas mengenai pengembangan dan
kebutuhan teknis dari produk sistem kontrol.
II.4 NIST 800
NIST adalah National Institute of Standards and Technology badan ini adalah organisasi yang
berada di bawah U.S Department of commerce. NIST membuat standar, panduan dan
publikasi yang memberikan pengarahan kepada perusahaan-perusahaan di Amerika untuk
menggunakan FISMA: Federal Information Security Management Act of 2002, yang dimana
merupakan sebuah undang-undang yang mendefinisikan kerangka kerja secara komprehensif
untuk melindungi informasi, operasi dan aset pemerintah terhadap ancaman alam atau hasil
rekayasa manusia. Informasi angka 800 ini menjelaskan mengenai kode SP (Special
Publication) yang mengindikasikan bahwa standar ini terkait dengan keamanan komputer.
Secara garis besar penggambaran struktur dokumentasi NIST adalah:
Gambar 3
III. Pembahasan
Tujuan penulis pada penulisan ini adalah untuk membahas dengan singkat tentang bentuk
standar manajemen keamanan sistem informasi yang di terbitkan oleh berbagai pihak,
kemudian dianalisa dan diadopsikan dalam sektor industri migas.
Pemahaman bentuk karakter dasar dari sistem teknologi infomasi dan sistem automasi
industri ,perlu dianalisa untuk mendapat metoda analisa sistem keamanan yang sesuai,
dimana untuk penjelasannya dapat diinformasi dengan table 1 sebagai berikut[4], berdasarkan
standar NIST:
Kategori
Sistem Teknologi Informasi
Tidak real time
Bentuk respond yang diperlukan
adalah : Respond yang
Sistem Automasi Industri
Real time
Bentuk respond yang di perlukan
adalah : respond yang cepat
konsisten
Kebutuhan kapasitas bandwith
Kebutuhan unjuk
yang besar sangat diinginkan
kerja
Delay dan jitter dapat terima
Interaksi terhadap fungsi
darurat/kritis sangat minimal
Implementasi akses kontrol yang
ketat bisa di
implementasikan sesuai dengan
kebutuhan tingkat keamanan
Cukup menggunkan kapasitas
bandwith menengah
Tidak menerima delay dan jitter
Berinteraksi dengan fungsi-fungsi
yang kritikal
Bentuk akses sangat di kontrol dan
dibuat agar tidak menggangu
fungsi interaksi dengan layanan antar
muka (human machine
interaction )
Respon terhadap rebooting/restart Respon terhadap rebooting bisa tidak
bisa diterima
bisa diterima
Kebutuhan
ketersediaan
Kebutuhan
manajemen
resiko
Sistem operasi
Kekurangan dalam ketersediaan
sistem masih bisa di
tolerensi, tergantung dari
kebutuhan operasional sistem
Mengatur data
Kerahasiaan dan integritas data
menjadi hal yang utama
Toleransi kesalahan tidak menjadi
perhatian utama- Karena
penghentian sementara tidak
mengandung resiko yang besar
Keselamatan dan ketersedian menjadi
hal yang utama
Toleransi kesalahanmenjadi perhatian
utama- Karena interupsi
proses, mungkin tidak dapat
ditoleransi
Resiko bisa berdampak pada
aturan/hukum yang
Resiko terbesar adalah tertunda
berlaku,kerusakan lingkungan,
proses bisnis
peralatan ataupun kerugian
produksi
Menggunakan sistem operasi bersifat
khusus/yang terkadang
Menggunakan jenis sistem operasi tidak umum dan kadang tidak
yang umum
dilengkapi dengan perlindungan
keamanan terhadap sistem
Harus sangat berhati-hati dalam proses
Dapat dengan mudah melakukan
modifikasi atau
upgrading / pemutakhiran
upgrading
tambahan dari pihak lain untuk
Kendala Sumber menunjang solusi keamanan
Daya
Manajemen
perubahan
ketersediaan yang dibutuhkan
Pemadaman / pemberhentian sistem
harus direncana dalam
beberapa waktu sebelummnya
Mengatur peralatan di lapangan
Sistem dengan mudah
mendapatkan dukungan sumber
daya
Komunikasi
Redundansi akan di diperhitungan
tergantung dari tingkat
Sistem mengalami kendala untuk
mendapatkan dukungan sumber
daya tambahan dari pihak lain untuk
menunjang solusi keamanan,
karena di buat spesisifik untuk
kebutuhan tertentu(industrial)
Menggunakan komunikasi protokol Banyak menggunakan komunikasi
standar/umum
protokol khusus
Terdiri dari bentuk network yang
Menggunakan arsitektur jaringan
rumit dan membutuhkan
IT
sumberdaya tertentu/ahli dalam
pengerjaannya
Perubahan perangkat lunak bisa
Perubahan perangkat lunak harus
dilakukan sewaktu-waktu
melalui tahap pengujian untuk
dengan mengindahkan kaidah
kebijakan dan prosedur
memastikan kemampuan, dan
intergritas sistem
keamanan.
Dukungan operasi Memiliki kemampuan yang lebih
flexible (multiple vendor)
&pemeliharaan
Umur Perangkat
3-5 Tahun
Lokal, dan mudah diakses
Lokasi perangkat
Hanya khusus pabrikan
10-15 Tahun
Sangat bergantung pada kebutuhan :
lokal, terdistribusi, dan
sukar untuk diakses / berjauhan ,
terkadang terisolasi
Tabel 1
Dari pembahasan tabel 1 diatas, maka dapat bentuk matriks karakter ISMS untuk teknologi
informasi dan sistem automasi industri menjadi seperti pada table 2
Matriks Tujuan Keamanan Informasi
Teknologi Informasi
Sistem Automasi Industri
1 Confidentiality (Kerahasiaan)Availability (Ketersedian)
2 Integrity (Integritas)
Integrity (Integritas)
3 Availability (Ketersedian) Confidentiality (Kerahasiaan)
No
Tabel 2
Berdasarkan pembahasan teori karakter dan bentuk objektivitas kebutuhan keamanan pada
sistem kontrol industri memiliki karakter yang berbeda dengan sistem teknologi informasi
pada umumnya.
Untuk penentuan awal untuk tipe model dimulai dari pendekatan seleksi model ISMS yang
umum digunakan dan tersedia untuk kebutuhan keamanan teknologi informasi yang terdiri
dari :ISO 27001, BS 7799, PCIDSS, ITIL dan COBIT. Dan terpilihnya metode ISO 27001,
disadur oleh penulis berdasarkan pada pada pembahasan jurnal[5], dimana model ISO 27001
dimana penggunaannya merupakan populasi terbesar atau paling umum di gunakan, dan juga
lebih mudah diimplementasikan
Selanjutnya untuk menentukan model yang khusus di tujukan berkaitan dengan sistem
keamanan informasi automasi industri, maka penulis membandingkan dan menganalisa
informasi yang ada pada penulisan jurnal [6] dan memilih standar ISA 62443 yang cukup
representative untuk dijadikan referensi pada penelitian ini karena :
1.Dipergunakan sebagai standarisasi dan bukan sekedar panduan.
2.Dalam bahasan publikasi model tersebut turut membahas tentang pentingnya unsur
/parameter keselamatan ( safety) dalam sistem yang menjadi unsur dasar utama karakter
ISMS dalam sistem automasi industri.
3.Membahas analisa resiko manajemen yang terkait dengan keamanan aset sistem automasi
industri.
4.Melakukan identifikasi dan menyediakan metodologi pengklasifikasian terhadap aset
sistem automasi industri.
5.Memiliki teknik analisa penilaian terhadap ancaman dan kelemahan sistem keamanan.
6.Evaluasi resiko dapat dilaksakan secara dilaksakan secara kuantitatif dan kualitatif.
Kemudian standar NIST SP 800 menyediakan cara untuk mengamankan sistem kontrol
industri (Industrial Control System, ICS), termasuk diantaranya : Supervisory Control and
Data Acqusition (SCADA), Distributed Control System (DCS), dan sistem lainnya yang
melakukan fungsi kontrol. Standar ini juga akan memberikan gambaran dan pembahasan
mengenai ICS dan topologi umum sistem ICS, mengidentifikasi ancaman dan kerentanan
sistem dan termasuk juga memberikan rekomendasi cara penanggulangan keamanan sistem
ICS untuk mengurangi risiko gangguan keamanan.
Dalam standar ini juga membahas bentuk kontrol keamanan yang spesifik khusus untuk ICS,
memberikan panduan cara kontrol untuk sistem yang sudah lama terbentuk/dijalankan dan
tambahan panduan untuk operator. ICS.NIST 800 telah memperoleh tertentu pengakuan dan
popularitas di antara para pihak-pihak yang terlibat dalam bidang ICS (alat keamanan ICS
dan penyedia layanan, perangkat lunak ICS / produsen perangkat keras dan integrator,
operator infrastruktur, badan-badan publik, badan standardisasi, akademisi)[7].
Berikut adalah bentuk tabulasi dan identifikasi model standar yang di sesuaikan dengan
kebutuhan karaktek ISMS pada sistem kontrol industri yang dirangkum oleh penulis seperti
pada tabel 3
Tabel 3
Pembahasan mengenai beberapa standar yang diulas sebelumnya dengan pendekatan metode
standar: NIST SP 800 dan ISA 62443, nantinya akan diolah dan adopsi untuk diterapkan
dalam ISMS sistem kontrol industri, sehingga dalam penerapannya dapat di lakukan:
1.Kuantifikasi level resiko yang dihadapi pada saat ini terhadap ancaman resiko keamanan
2.Dapat memprioritaskan bentuk investasi dalam menanggulangi ancaman resiko keamanan
3.Analisa terhadap resiko baru yang akan di hadapi, jika terjadi adanya bentuk perubahan
baru
IV. Kesimpulan
Keamanan merupakan suatu proses dan bukan suatu produk, dan ISMS dalam hal ini dapat
diartikan sebagai suatu proses yang bertujuan untuk mengidentifikasikan dan meminimalkan
resiko keamanan informasi sampai ketingkat yang dapat diterima, proses dimaksud haruslah
dapat dikelola sesuai dengan standar yang telah ditetapkan. Dengan tersedianya beragam
bentuk standar yang telah di terbitkan oleh berbagai pihak dan kaitannya dengan cyber
security di sistem automasi industri yang memiliki karakter yang berbeda dengan bentuk
umum keamanan teknologi informasi pada umumnya, maka diperlukan adanya suatu bentuk
pemahaman untuk menghubungkan antara standar ISMS yang dibutuhkan untuk di sesuaikan
dengan karakter sistem automasi industri, dan untuk implementasi yang akan diterapkan di
industri minyak dan gas maka bentuk penerapan standar NIST 800-52 and ISA 62443-3-3
dapat menjadi pilihan sesuai.
Daftar Pustaka
[1]J. Weiss Pe, “Assuring Industrial Control System (ICS) Cyber Security.”
[2]G. C. Maitland, Oil and gas production, vol. 5. 2000.
[3]I. Automation and C. S. Security, “Overview The 62443 series of standards Industrial
Automation and Control Systems Security,” no. 919, pp. 1–4, 2015.
[4]K. Stouffer, K. Stouffer, and M. Abrams, “Guide to Industrial Control Systems ( ICS )
Security NIST Special Publication 800-82 Guide to Industrial Control Systems ( ICS )
Security.”
[5]H. Susanto, M. Almunawar, and Y. Tuan, “Information security management system
standards: A comparative study of the big five,” Int. J. Electr. Comput. Sci. IJECS- IJENS,
vol. 11, no. 5, pp. 23–29, 2011.
[6]W. Knowlesa, D. Princea, D. Hutchisona, J. F. P. Dissob, and K. Jonesb, “A survey of
cyber security management in industrial control systems,” Int. J. Crit. Infrastruct. Prot., vol.
9, no. June 2015, pp. 52–80, 2015.
[7]R. Leszczyna, “Approaching secure industrial control systems,” no. April 2013, pp. 81–89,
2014.
[8]M. Afzaal, C. Di Sarno, L. Coppolino, S. D’Antonio and L. Romano, A resilient
architecture for forensic storage of events in critical infrastructures, Proceedings of the
Fourteenth IEEE International Symposium on High-Assurance Systems Engineering, pp. 48–
55, 2012.
[9]C. Alcaraz, G. Fernandez and F. Carvajal, Security aspects of SCADA and DCS
environments, in Critical Infrastructure Protection, J. Lopez, R. Setola and S. Wolthusen
(Eds.),Springer-Verlag, Berlin Heidelberg, Germany, pp. 120–149,2012.
[10]C. Alcaraz and J. Lopez, Analysis of requirements for critical control systems,
International Journal of Critical Infrastructure Protection, vol. 5(3–4), pp. 137–145, 2012.