Departemen Keamanan Dalam Negeri Amerika Serikat bersama dengan Institut Standar dan Teknologi Nasional (NIST) dan Departemen Perdagangan telah ditugaskan oleh Presiden Amerika Serikat untuk mengembangkan kerangka kerja keamanan siber lintas sektor.
Pada hari Rabu, 3 April 2013, Asisten khusus presiden mengenai keamanan siber membuka diskusi panel di Washington, DC terkait dengan Perintah Eksekutif Kepridenan AS No. 13636. Panel tersebut bertujuan untuk mendeskripsikan proses yang harus diikuti dalam pengembangan standar nasional keamanan siber.
Tujuan akhir dari proses ini adalah untuk menghasilkan kerangka kerja keamanan siber (cybersecurity framework) yang akan dapat diterapkan di seluruh infrastruktur nasional kritikal milik pemerintah Amerika Serikat. Maksud dari kerangka ini adalah untuk melindungi aset berbasis dunia maya yang penting bagi ekonomi dan keamanan nasional Amerika Serikat.
Delapan puluh lima persen infrastruktur kritis nasional di AS banyak dimiliki oleh sektor swasta. Implikasi potensial bagi bisnis dan industri sangat luas jangkauannya. Berikut sejumlah perspektif yang dibagikan di bawah ini yang menjadi dasar pemahaman pentingnya cybersecurity framework.
- Keamanan siber sekarang dianggap penting oleh pemerintahan AS.
- Lingkungan ancaman yang dihadapi oleh infrastruktur nasional kritis kita adalah asimetris dan semakin kompleks dan parah.
- Kerangka kerja keamanan siber harus fokus pada identifikasi ancaman terhadap infrastruktur nasional kritis di semua tingkatan.
- Kerangka kerja keamanan siber yang sedang dikembangkan digambarkan sebagai kerangka kerja kolaboratif dan berbasis risiko.
- Kerangka kerja keamanan siber harus menekankan pemahaman tentang manajemen berbasis risiko.
- Kesadaran situasional harus ditingkatkan melalui Pusat Analisis Berbagi Informasi lintas sektor.
- Standar keamanan informasi internasional akan diakui dan kompatibel.
- Masalah privasi dan hak-hak sipil harus dipertimbangkan.
- Setiap entitas (swasta atau publik) harus mengidentifikasi risiko dan mengatasinya.
- Kesadaran karyawan yang kuat harus menjadi komponen kerangka keamanan siber yang diberlakukan.
- Kerangka keamanan siber harus memiliki kerangka hukum yang jelas dan ringkas.
- Harus ada kesadaran tentang fungsi sistem kendali dan mengapa harus diamankan.
- Kerangka kerja keamanan siber yang dihasilkan harus dapat diukur, berulang, dan valid.
- Keberhasilan kerangka keamanan siber baru bergantung pada apa yang disebut anggota panel sebagai “kepatuhan sukarela.”
Para pemimpin industri besar mendukung pengembangan kerangka keamanan baru. Di antara anggota panel adalah pejabat senior dari Visa, Microsoft, Merk, Northrup Grumman, IBM, SAN, ANSI, dan kelas berat lainnya. Perkembangan standar keamanan komputer harus dipantau oleh semua pihak yang berkepentingan. Apa pun produk terakhir kerangka kerja keamanan siber, selalu ada kekhawatiran terkait keamanan.
Pemerintah AS mengeluarkan keputusan tentang bagaimana data sektor swasta diproses dan diamankan melalui “kepatuhan sukarela”. Apa yang dimaksud dengan “kepatuhan sukarela”? Bagaimana ini akan berhasil? Perlua suatu organisasai melalukan audit untuk menentukan apakah vendor atau penyedianya telah bekerja sesuai dengan kerangka kerja keamanan. Jika organisasi belum mematuhinya, maka organisasi tersebut dilarang menjadi pemasok kepada pemerintah AS atau kepada instansi yang berhubungan dengan pemerintah AS.
Cybersecurity Framework saat ini menjadi kerangka sistem manajemen keamanan siber atau sistem manajemen keamanan informasi atau SMKI yang paling banyak digunakan berhubung adanya regulasi untuk menggunakan kerangka ini bila ingin beroperasi di Amerika Serikat. Bersama dengan ISO27001, kerangka ini paling banyak digunakan di seluruh dunia.