DUKUNGAN KEBIJAKAN PADA PENYELENGGARAAN SISTEM ELKTRONIK

(1)

COMPANYLOG O

DUKUNGAN KEBIJAKAN

PADA PENYELENGGARAAN SISTEM ELKTRONIK

Aidil Chendramata

Direktur Keamanan Informasi 23 Agustus 2017

Direktorat Keamanan Informasi

Direktorat Jenderal Aplikasi Informatika

(2)

COMPANYLOG O

1. Undang-undang No. 19 tahun 2016 revisi UU No. 11 tahun 2008 tentang Informasi dan

Transaksi Elektronik (ITE)

2. Undang-undang No.14 tahun 2008 tentang keterbukaan Informasi Publik

3. Peraturan Pemerintah RI No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik

4. Peraturan Pemerintah RI No. 61 Tahun 2010 Tentang Pelaksanaan UU no 14 Tahun 2008 Tentang Keterbukaan Informasi Publik.

(3)

Peraturan Menteri

1. PM No. 23 tahun 2013 Tentang Pengelolaan Nama Domain 2. PM No. 36 tahun 2014 tentang Tata Cara Pendaftaran

Penyelenggaraan Sistem Elektronik

3. PM No. 19 tahun 2014 tentang Penanganan Situs Internet Negatif

4. PM No.5 tahun 2015 tentang Registrar Nama Domain Instansi Penyelenggara Negara

5. PM No. 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi

6. PM No. 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik

(4)

 UU No. 19/2016

pasal 15 (1):

Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik (SE) secara andal dan aman serta bertanggung jawab

terhadap beroperasinya Sistem Elektronik.

pasal 15 (2):

PSE bertanggung jawab terhadap

Penyelenggaraan Sistem Elektroniknya.

pasal 16 (1):

a. menampilkan kembali IE/DE secara utuh

b. melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan & keteraksesan

c. beroperasi sesuai prosedur

d. dilengkapi dengan petunjuk penggunaan yg dapat dipahami

e. mekanisme berkelanjutan utk menjaga pembaruan/petunjuk, kejelasan dan kebrtanggungjawaban.

(5)

Peraturan Pemerintah

Penyelengaraan Sistem dan Transaksi Elektronik

No. 82 Tahun 2012

(6)

Penyelenggaraan Sistem Elektronik (PSE) secara aman dan andal meliputi pengaturan,:

a.Pendaftaran

b.Perangkat keras c.Perangkat lunak d.Tenaga ahli

e.Tata Kelola

f.Sistem Manajemen Pengamanan Informasi g.Sertifikasi Kelaikan Sistem Elektronik

05/24/11

Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan,menampilkan, mengumumkan,

mengirimkan, dan/atau menyebarkan Informasi Elektronik.

(7)

Peraturan Menteri

Tata Cara Pendaftaran Sistem Elektronik

No. 36 tahun 2014

(8)

Pasal 3

Penyelenggara Sistem Elektronik (PSE) untuk Pelayanan Publik wajib melakukan pendaftaran

Pasal 5

PSE yang wajib melakukan pendaftaran, yang memiliki:

a. Portal, situs atau aplikasi online melalui internet yang dipergunakan untuk fasilitasi penawaran dan/atau perdagangan barang dan/atau jasa;

b. SE yang didalamnya terdapat fasilitas pembayaran dan/atau transaksi

keuangan lainnya secara online melalui jaringan komunikasi data atau internet;

c. SE yang dipergunakan untuk pemrosesan informasi elektronik yang mengandung atau membutuhkan deposit dana;

d. SE yang digunakan untuk pemrosesan, pengolahan, atau penyimpanan data yang terkait fasilitas yang berhubungan dengan data pelanggan untuk kegiatan operasional melayani masyarakat yang terkait dengan aktifitas transaksi

keuangan dan perdagangan;

e. SE yang dipergunakan untuk pengiriman materi digital berbayar melalui

jaringan data baik dengan cara download melalui portal/situs, pengiriman lewat e- mail, atau melalui aplikasi lain ke perangkat pengguna.

PENDAFTARAN SISTEM ELEKTRONIK

(9)

Perangkat Keras

1. Memenuhi aspek interkoneksi dan kompatilibiltas 2. Memperoleh sertifikasi kelaikan dari Menteri

3. Mempunyai layanan dukungan teknis, pemeliharaan dan purnajual

4. Memiliki referensi pendukung bahwa perangkat keras tersebut berfungsi sesuai dengan

spesifikasinya

5. Memiliki jaminan ketersediaan suku cadangnya paling sedikit 3 tahun

6. Memiliki jaminan kejelasan mengenai kondisi kebaruan

7. Memiliki jaminan bebas dari cacat produk

(10)

Perangkat Lunak

1. Perangkat Lunak untuk PSE pelayanan publik wajib terdaftar di Kominfo

2. Wajib menyerahkan kode sumber pada instansi pemerintah (PL yang khusus dibuat utk instansi)

3. Bila kepentingan hukum menghendaki, dapat dilakukan pemeriksaan kode

sumber PL

4. Ketentuan lebih lanjut diatur dalam

Peraturan Menteri.

(11)

Tata Kelola

PSE wajib :

• Menjamin tersedianya service level agreement

• Menjamin tersedianya perjanjian Keamanan Informasi (KI)

• Menjamin KI & sarana komunikasi internal

• Menjamin keterpaduan seluruh komponen

• Menerapkan manajemen risiko

• Memiliki kebijakan tata kelola, prosedur

kerja pengoperasian dan mekanisme

audit

(12)

Tata Kelola PSE Pelayanan Publik

• Wajib menerapkan tata kelola yang baik dan akuntabel

• Wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan

• Wajib menggunakan Sertifikat Elektronik dan/atau Sertifikat Keandalan (pasal 41)

• Wajib menempatkan Pusat Data dan Pusat pemulihan Bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warganegaranya

• Instansi Pengawas dan Pengatur Sektor mengatur lebih lanjut mengenai Pusat Data dan Pusat Pemulihan Bencana serta tata kelola PSE di sektornya.

(13)

(14)

Peraturan Menteri

Sistem Manajemen Pengamanan Informasi No. 4 tahun 2016

(15)

Kategorisasi Sistem Elektronik

No Sistem Elektronik Penetap Kategori 1 Strategis Menteri + Rekomendasi IPPS 2 Tinggi Menteri

3 Rendah Menteri

Kategorisasi SE berdasarkan 10 kriteria

Kategorisasi Sistem Elektronik

(16)

No Karakteristik SE A=5 B=2 C=1

1 Nilai investasi sistem elektronik

yang terpasang A. > 30 miliar rupiah B. 3 miliar rupiah -30

miliar rupiah C. <3 miliar rupiah

2 Total anggaran operasional tahun berjalan yang dialokasikan untuk pengelolaan Sistem Elektronik

A. >10 miliar rupiah B. 1 miliar rupiah -10

miliar rupiah C. <1 miliar rupiah

3 Memiliki kewajiban kepatuhan terhadap peraturan atau standar tertentu

A. Peraturan atau standar nasional dan interna-sional

B. Peraturan atau

standar nasional C. Tidak ada peraturan khusus

4 Menggunakan algoritma khusus untuk keamanan informasi dalam sistem elektronik

A. Algoritma khusus yang diguna-kan negara

B. Algoritma standar

publik C. Tidak ada

algoritma khusus

5 Jumlah pemilik akun yang

menggunakan Sistem Elektronik A. > 5000 pemilik

akun B. 1000 - 5000

pemilik akun C. < 1000 pemilik akun

Kriteria Kategorisasi Sistem Elektronik Kriteria Kategorisasi

Sistem Elektronik (1)

(17)

No Karakteristik SE A=5 B=2 C=1

6 Data Pribadi yang dikelola Sistem Elektronik

A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya

B. Data Pribadi yang bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha

C. Tidak ada Data Pribadi

7 Tingkat klasifikasi/

kekritisan data yang ada dalam Sistem Elektronik

A. Sangat rahasia B. Rahasia dan/ atau terbatas

C. Biasa

8 Tingkat kekritisan proses yang ada dalam Sistem Elektronik,

A. Proses yang berisiko meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada

Pelayanan Publik

B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung

C. Proses yang tidak berdampak bagi kepentingan orang banyak

9 Dampak dari kegagalan Sistem Elektronik

A. Tidak tersedia-nya Pelayanan Publik berskala nasional atau memba-hayakan

pertaha-nan keama-nan negara

B. Tidak tersedianya layanan Publik atau proses penyelenggaraan negara dalam 1 (satu) provinsi atau lebih

C. Tidak tersedianya Pelayanan Publik atau proses

penyelenggaraan negara dalam 1 (satu) kabupaten/

kota atau lebih 10 Potensi kerugian atau dampak negatif

dari insiden ditembusnya Keamanan Informasi Sistem Elektronik

A. Menimbulkan korban jiwa

B. Terbatas pada kerugian finansial

C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial

Kriteria Kategorisasi

Sistem Elektronik (2)

(18)

Contoh Kategorisasi Sistem Elektronik _Contoh

Penerapan Kategorisasi

(19)

Standar Manajemen Pengamanan Standar Manajemen Pengamanan

(20)

(21)

Contoh Evaluasi

Teknologi Keamanan Informasi

(22)

Hasil Evaluasi

Kelengkapan dan Kematangan

(23)

(24)

Standar Manajemen Pengamanan Informasi untuk semua kategori Sistem Elektronik:

• Pusat data dan pusat pemulihan bencana harus ditempatkan di wilayah Indonesia untuk

kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data

warga negaranya

Penempatan Pusat Data & Pemulihan

(25)

• Dalam penerapan Sistem Manajemen Pengamanan Informasi Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli Internal dan/atau Eksternal

• Dalam hal penerapan pada Sistem Elektronik Strategis Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia

Tenaga Ahli

(26)

Lembaga Sertifikasi

Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri

Sertifikasi

(27)

Peraturan Menteri

Perlindungan Data Pribadi dalam Sistem ELektronik

No. 20 tahun 2016

(28)

Permen No. 20/2016, pasal (1)

1. Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

2. Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yg melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.

UU No. 19/2016, pasal 26:

1. Penggunaan setiap informasi melalui media

elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang

bersangkutan.

2. Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan;

Perlindungan Data Pribadi

(29)

Permen No. 20/2016, pasal 3;

Perlindungan Data Pribadi dalam SE dilakukan pada proses:

a. perolehan dan pengumpulan;

b. pengolahan dan penganalisisan;

c. penyimpanan;

d. penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan

e. pemusnahan.

Permen No. 20/2016;

- pasal 9 (1) Perolehan Data Pribadi wajib berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.

- pasal 15 (2) Data Pribadi yang disimpan dalam Sistem Elektronik harus dalam bentuk data terenkripsi.

- Pasal 15 (3) Data Pribadi disimpan dalam jangka waktu sesuai peraturan perundangan IPPS

- Pasal 15 (3) Data Pribadi disimpan paling singkat 5 tahun, jika belum diatur dalam peraturan perundangan khusus.

Perlindungan Data Pribadi (2)

(30)

Kewajiban Penyelenggara Sistem Elektronik (PSE)

pasal 28;

a. melakukan sertifikasi Sistem Elektronik sesuai dengan ketentuan peraturan perundang-undangan;

b. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan;

c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik;

d. memiliki aturan internal terkait perlindungan Data Pribadi e. menyediakan rekam jejak audit;

f. Dst.. Dst..

(31)

1. Dukungan kebijakan dalam penyelenggaraan Sistem Elektronik telah diakomodasi melalui

beberapa peraturan perundangan serta peraturan turunannya

2. Keamanan informasi tidak bisa hanya dilakukan secara sepihak namun membutuhkan keterlibatan semua pihak

3. Instansi Pengawas dan Pengatur Sektor sangat berperan dalam koordinasi menerapkan kebijakan dalam rangka meningkatkan keamanan informasi.

Kesimpulan

(32)

COMPANYLOG Direktorat Keamanan Informasi O

DUKUNGAN KEBIJAKAN PADA PENYELENGGARAAN SISTEM ELKTRONIK