Hotel Budi Palembang, 06 Juni 2012
Hotel
Hotel
Budi
Budi
Palembang
Palembang
, 06
, 06
Juni
Juni
2012
2012
Urgensi Penerapan SNI 27001 untuk Sekuriti
Urgensi Penerapan SNI 27001 untuk Sekuriti
Infrastruktur TIK
Infrastruktur TIK
Yesi
Yesi
Novaria
Novaria
Kunang
Kunang
, ST.,
, ST.,
M.Kom
M.Kom
.
.
Kanwil
Agenda
SNI ISO/IEC 27001:2009
Strategi Pelaksanaan
Tata Kelola Kaminfo
Keamanan Informasi
Cyber Crime
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data Diplomatik
Kasus Bocor Data Diplomatik
Data rahasia
Indonesia
dimiliki
oleh AS.
Wikileaks
memuat
data tsb. di situs
static.guim.co.uk
Anonymous
Urgensi
Urgensi
Penerapan
Penerapan
Kaminfo
Kaminfo
• Informasi merupakan aset yang rawan terhadap
:
– Pencurian
– Modifikasi
• Perangkat sistem elektronik untuk memproses
informasi / data rawan terhadap interupsi
Keamanan Informasi
Keamanan Informasi
Keamanan Informasi
Terjaganya informasi dari ancaman dan
serangan terhadap :
•kerahasiaan (confidentiality)
•keutuhan (integrity)
•ketersediaan (availability)
Aspek Keamanan Informasi
Aspek Keamanan Informasi
• Kerahasiaan (confidentiality): pesan hanya
bisa terbaca oleh penerima yang berhak
• Keutuhan (integrity): pesan yang diterima
tidak berubah
• Ketersediaan (availability): pesan dapat
tersampaikan ke penerima
• Nirsangkal (non repudiation): pesan
terkirim tidak dapat disangkal oleh
pengirimnya
Gangguan Keamanan
Gangguan Keamanan
• Ancaman
– Manusia
– Alam
• Serangan
– Interupsi: Denial of Service (DoS)
– Intersepsi: Packet Sniffing
– Modifikasi: TCP Hijacking, Virus Trojan
– Fabrikasi: Packet Spoofing
Ancaman
Ancaman
Alam
Manusia
Bencana
Bencana
Ancaman dari Manusia
Ancaman dari Manusia
• Staf internal :
– Mencatat password
– Meninggalkan sistem tanpa logout
• Spy :
– Menyadap data
• Yang ingin tenar :
– Menginginkan perhatian publik
• Yang ingin coba-coba
Ancaman dari Alam
Ancaman dari Alam
• Temperatur: panas /dingin yang
ekstrim
• Kelembaban atau gas yang ekstrim:
kegagalan AC
• Air: banjir, pipa bocor
• Organisme, bakteri, serangga
• Anomali energi: kegagalan listrik,
petir
Serangan
Serangan
• Interupsi: Denial of Service (DoS)
• Intersepsi: Packet Sniffing
• Modifikasi: TCP Hijacking, Virus
Trojan
Denial of Service (DoS)
Denial of Service (DoS)
Menghalangi akses pihak yang berhak
dengan membanjiri permintaan akses
fiktif
Contoh: serangan
TCP SYN,
permintaan koneksi jaringan ke server
dalam jumlah yang besar
Distributed DoS
Packet Sniffing
Packet Sniffing
Mendengarkan dan merekam paket yang
lewat pada media komunikasi
Contoh: Menggunakan tools packet sniffer:
Etherreal, SmartSniffer.
Juga digunakan oleh admin jaringan untuk
mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan
Virus Trojan
Merekam
pesan
lalu
memodifikasinya
dan
dikirimkan ke user tujuan
Contoh: Virus Trojan Horse, program tersembunyi
yang biasanya menempel pada email atau free
games software.
•Masuk ke sistem
•Mengakses file system
Ilustrasi Virus Trojan Horse
Ilustrasi Virus Trojan Horse
Paket Spoofing
Paket Spoofing
Mengubah alamat pengirim paket untuk
menipu komputer penerima
Contoh
: Man-in-the-middle-attack,
penyerang
berperan
sebagai
pihak
di
Man
Pengamanan Fisik
Pengamanan Fisik
• Pemilihan Lokasi
• Konstruksi bangunan
• Pengamanan akses
– Pengawasan Personil: penjaga & CCTV
– Perangkat kontrol akses personil: kunci,
security access card & perangkat
biometric
Pengamanan Logik (1)
Pengamanan Logik (1)
• Otentikasi user
• Otorisasi user
• Enkripsi
• Tanda Tangan dan Sertifikat Digital
• Firewall
Pengamanan Logik (2)
Pengamanan Logik (2)
• DeMilitarized Zone (DMZ)
• Intrusion Detection System (IDS)
• Server
• Client
Otentikasi
Otentikasi
• Account Locking: akun terkunci jika terjadi
kesalahan login beberapa kali
• Password Expiration: password harus
diubah jika telah melewati batas waktu
• Password Complexity Verification:
– Panjang minimum
– Kombinasi alfabet, nomor dan tanda baca
– Tidak sama dengan kata-kata sederhana
Otorisasi
Otorisasi
Pemberian hak akses terhadap resource:
• Access Control List (ACL), untuk kontrol
akses: baca, tulis, edit atau hapus
• Access Control File (ACF), untuk kontrol
akses terhadap web server: access.conf
dan .htaccess
• Hak akses terhadap beberapa aplikasi
diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi
Contoh Enkripsi
Symmetric
• Data Encryption Standard (DES)
• Blow Fish
• IDEA
Asymmetric
• RSA
Tanda Tangan Digital
Sertifikat Digital
Firewall
DeMilitarized Zone
Intrusion Detection System
Tata Kelola Kaminfo
Landasan Hukum
Landasan Hukum
• Undang-undang No. 11 tahun 2008
tentang Informasi dan Transaksi Elektronik
(ITE)
• Surat Edaran Menteri KOMINFO No.
05/SE/M.KOMINFO/07/2011 tentang:
“Penerapan Tata Kelola Keamanan
Informasi Bagi Penyelenggara Pelayanan
Publik”
Standar Keamanan Informasi
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi
Informasi – Teknik Keamanan – Sistem
Manajemen Keamanan Informasi –
Persyaratan;
Komponen SNI 27001
Komponen SNI 27001
1. Kebijakan Keamanan
2. Organisasi Keamanan
3. Pengelolaan Aset
4. Keamanan Sumber
Daya Manusia
5. Keamanan Fisik &
Lingkungan
6. Manajemen Komunikasi
& Operasi
7. Pengendalian Akses
8. Akuisisi,
Pengembangan &
Pemeliharaan Sistem
Informasi
9. Manajemen Insiden
Keamanan
10. Manajemen
Keberlanjutan Bisnis
11. Kesesuaian
Manajemen Keamanan
Manajemen Keamanan
Plan
Do
Check
Act
Indeks Kaminfo
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo di
sebuah organisasi berdasarkan
kesesuaian dengan kriteria pada SNI
27001:2009
• Fungsi: sebagai indikator penerapan
keamanan informasi secara nasional
Ruang Lingkup
Ruang Lingkup
1. Kebijakan dan Manajemen Organisasi
2. Manajemen Resiko
3. Kerangka Kerja
4. Manajemen Aset Informasi
5. Teknologi
Maksud dan Tujuan
Maksud dan Tujuan
• Penerapan tata kelola keamanan
informasi bagi penyelenggara pelayanan
publik sesuai dengan SNI 27001 tentang
Teknologi Informasi – Teknik Keamanan –
Sistem Manajemen Keamanan Informasi –
Persyaratan;
Penerapan Tata Kelola
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata
kelola
2. Menggunakan Indeks KAMI sebagai alat
ukur
3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan Informatika
Level Indeks KAMI
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima level
berdasarkan Capability Maturity Model
Integration (CMMI):
0. Pasif
1. Reaktif
2. Aktif
3. Proaktif
4. Terkendal
5. Optimal
CMMI: 5 Tingkat Kematangan
CMMI: 5 Tingkat Kematangan
Level 5
Initial
Level 1
Processes are unpredictable, poorly controlled, reactive.
Repeatable
Level 2
Processes are planned, documented, performed,
monitored, and controlled at the
project
level. Often
reactive.
Defined
Level 3
Processes are well characterized and
understood. Processes, standards,
procedures, tools, etc. are defined at the
organizational (Organization X )
level.
Proactive.
Managed
Level 4
Processes are controlled using
statistical and other quantitative
techniques.
Optimized
P
ro
ce
ss
M
at
ur
ity
Process performance
continually improved through
incremental and innovative
technological improvements.
Pemeringkatan Kaminfo
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level
indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian /
Lembaga dengan self assessment
• Tahun 2012: evaluasi dengan self dan on-site
Hasil Pemeringkatan Kaminfo
Hasil Pemeringkatan Kaminfo
• Tata Kelola
• Pengelolaan Resiko
• Kerangka Kerja
• Pengelolaan Aset
• Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi
People: Pemerintah & Akademisi
• Instansi pemerintah:
– memiliki sistem elektronik yang perlu diproteksi
dengan penerapan indeks kaminfo
– tapi SDMnya (terlalu) sibuk dengan rutinitas birokrasi
• Akademisi:
– memiliki SDM yang unggul
– perlu aktualisasi diri dengan praktek kerja atau
magang
Process: Link & Match
Process: Link & Match
Pemerintah & akademisi berkolaborasi
dalam :
• Seminar
• Bimbingan Teknis
• Asesmen
• Pemeringkatan
• Klinik konsultasi
Technology
Technology
• Sistem elektronik di pemerintah sebagai
obyek asesmen
• Aplikasi indeks kaminfo berupa
spreadsheet
ISO SNI/IEC 27001:2009
ISO SNI/IEC 27001:2009
SNI ISO/IEC 27001:2009
SNI ISO/IEC 27001:2009
• Merupakan dokumen standar SMKI atau Information
Security Management System (ISMS) yang memberikan
gambaran secara umum mengenai apa saja yang
seharusnya
dilakukan
dalam
usaha
mengimplementasikan
konsep-konsep
keamanan
informasi organisasi
Badan Standar Nasional (BSN), hingga September 2011 baru
ISO/IEC 27001:2005 yang telah di-Adopsi sebagai SNI berbahasa
Indonesia bernomor SNI ISO/IEC 27001:2009
Peta
Peta
PDCA
PDCA
dalam
dalam
Proses
Proses
SMKI
SMKI
PLAN (Menetapkan SMKI)
Menetapkan kebijakan SMKI, sasaran, proses
dan prosedur yang relevan untuk mengelola
risiko dan meningkatkan keamanan informasi
agar memberikan
hasil
sesuai
dengan
keseluruhan kebijakan dan sasaran.
DO (Menerapkan dan mengoperasikan
SMKI)
Menerapkan dan mengoperasikan kebijakan SMKI,
kontrol, proses dan prosedur-prosedur.
CHECK (Memantau
dan
melakukan
tinjau ulang SMKI)
Mengkaji dan mengukur kinerja proses terhadap
kebijakan, sasaran, praktek-praktek
dalam
menjalankan
SMKI dan
melaporkan
hasilnya
kepada manajemen untuk di tinjau efektivitasnya.
ACT (Memelihara dan meningkatkan
SMKI)
Melakukan tindakan perbaikan dan pencegahan,
berdasarkan
hasil
evaluasi, audit internal dan
tinjauan manajemen tentang SMKI atau kegiatan
pemantauan lainnya untuk mencapai peningkatan
yang berkelanjutan.
Struktur
Cakupan
Cakupan
Dokumen
Dokumen
Tingkat
Tingkat
1 (
1 (
Kebijakan
Kebijakan
) #1
) #1
No Klausul SNI
27001 Nama Dokumen Cakupan Dokumen 1 4.2.1 Kebijakan Keamanan
Informasi
Menyatakan komitmen manajemen pimpinan
instansi/lembaga menyangkut pengamanan informasi yang didokumentasikan dan disahkan secara formal. Kebijakan keamanan informasi dapat mencakup antara lain :
• definisi, sasaran dan ruang lingkup keamanan informasi.
• persetujuan terhadap kebijakan dan program keamanan infomasi.
• kerangka kerja penetapan sasaran kontrol dan kontrol. • struktur dan metodologid manajemen risiko.
• organisasi dan tanggung jawab keamanan informasi.
2 A.6, A8.1.1 Organisasi, peran dan tanggungjawab
keamanan informasi
Uraian tentang organisasi yang ditetapkan untuk mengelola dan mengkoordinasikan aspek keamanan informasi dari suatu instansi/lembaga serta uraian peran dan tanggung jawabnya. Organisasi pengelola keamanan informasi tidak harus berbentuk unit kerja terpisah.
Cakupan
Cakupan
Dokumen
Dokumen
Tingkat
Tingkat
1 (
1 (
Kebijakan
Kebijakan
) #2
) #2
No Klausul SNI
27001 Nama Dokumen Cakupan Dokumen 3 A.7.2.1 Panduan Klasifikasi
Informasi
Berisi tentang petunjuk cara melakukan klasifikasi informasi yang ada di instansi/lembaga dan disusun dengan memperhatikan nilai penting dan kritikalitas informasi bagi penyelenggaraan pelayanan publik, baik yang dihasilkan secara internal maupun diterima dari pihak eksternal. Klasifikasi infomasi dilakukan dengan mengukur dampak gangguan operasional. Jumlah kerugian uang. Penurunan reputasi dan legal manakala terdapat ancaman menyangkut kerahasiaan
(confidentiality), keutuhan(integrity) dan ketersediaan (availability) informasi.
4.2.1.c Kebijakan Manajemen Risiko TIK
Berisi metodologi / ketentuan untuk mengkaji risiko mulai dari identifikasi aset, kelemahan, ancaman dan dampak kehilangan aspek kerahasiaan, keutuhan dan ketersediaan informasi termasuk jenis mitigasi risiko dan tingkat penerimaan risiko yang disetujui oleh pimpinan.
Cakupan
Cakupan
Dokumen
Dokumen
Tingkat
Tingkat
1 (
1 (
Kebijakan
Kebijakan
) #3
) #3
No Klausul SNI
27001 Nama Dokumen Cakupan Dokumen A.14.1.4 Kerangka Kerja
Manajemen
Kelangsungan Usaha (Business Continuity Management)
Berisi metodologi / ketentuan untuk mengkaji risiko mulai dari identifikasi . Berisi komitmen menjaga
kelangsungan pelayanan publik dan proses penetapan keadaan bencana serta penyediaan infrastruktur utama tidak dapat beroperasi agar pelayanan publik tetap dapat berlangsung bila terjadi keadaan bencana / darurat. Dokumen ini juga memuat tim yang
bertanggungjawab (ketua dan anggota tim), lokasi kerja cadangan, skenario bencana dan rencana pemulihan ke kondisi normal setelah bencana dapat diatasi/berakhir. A.7.1.3 Kebijakan Penggunaan
Sumber Daya TIK
Berisi aturan penggunaan komputer
Cakupan
Cakupan
Dokumen
Dokumen
Tingkat
Tingkat
2 (
2 (
Prosedur
Prosedur
) #1
) #1
No
Klausul
SNI
27001
Nama Prosedur/Pedoman
Cakupan Dokumen
1 4.3.2 Pengendalian Dokumen Berisi proses penyusunan dokumen, wewenang
persetujuan penerbitan, identifikasi perubahan, distribusi, penyimpanan, penarikan dan pemusnahan dokumen jika tidak digunakan dan daftar serta pengendalian dokumen eksternal yang menjadi rujukan.
2 4.3.3 Pengendalian Rekaman Berisi pengelolaan rekaman yang meliputi identifikasi
rekaman penting, kepemilikan, pengamanan, masa retensi, dan pemusnahan jika tidak di gunakan lagi.
3 6 Audit Internal SMKI Proses audit internal : rencana, ruang lingkup,
pelaksanaan, pelaporan dan tindak lanjut hasil audit serta persyaratan kompetensi auditor.
4 8.2 Tindakan Perbaikan & Pencegahan
Berisi tata cara perbaikan/pencegahan terhadap
masalah/gangguan/insiden baik teknis maupun non teknis yang terjadi dalam pengembangan. Operasional maupun pemeliharaan TIK.
5 A.7.2.2, A.10.8.1
Pelabelan, Pengamanan, Pertukaran & Disposal Informasi
Aturan pelabelan, penyimpanan, distribusi, pertukaran, pemusnahan informasi/daya “rahasia” baik softcopy maupun hardcopy, baik milik instansi maupun informasi pelanggan/mitra yang dipercayakan kepada
Cakupan
Cakupan
Dokumen
Dokumen
Tingkat
Tingkat
2 (
2 (
Prosedur
Prosedur
) #2
) #2
6 A.10.7.1 &
A.10.7.2
Pengelolaan Removable Media & Disposal Media
Aturan penggunaan, penyimpanan, pemindahan, pengamanan media simpan informasi (tape/hard disk/flash disk/CD) dan penghapusan informasi ataupun penghancuran media.
7 A .10.10.2
Pemantauan (Monitoring) Penggunaan Fasilitas TIK
Berisi proses pemantauan penggunaan CPU, storage, email, internet, fasilitas TIK lainnya dan pelaporan serta tindak lanjut hasil pemantauan.
8 A.11.2.1 User Access Management Berisi proses dan tatacara pendaftaran, penghapusan dan peninjauan hak akses user, termasuk administrator, terhadap sumber daya informasi (aplikasi, sistem operasi, database, internet, email dan internet)
9 A.11.7.2 Teleworking Pengendalian dan pengamanan penggunaan hak akses secara remote (misal melalui modem atau jaringan). Siapa yang berhak menggunakan dan cara mengontrol agar penggunaannnya aman. 10 A.12.4.1
& A.15.1.2
Pengendalian instalasi Software & Hak Kekayaan Intelektual
Berisi daftar software standar yang diijinkan di Instansi, permintaan pemasangan dan pelaksana pemasangan termasuk penghapusan Software yang tidak di izinkan
11 A.12.5.1 Pengelolaan Perubahan (change Management) TIK
Proses permintaan dan persetujuan perubahan
aplikasi/infrastruktur TIK, serta pengkinian konfigurasi / basis data/versi dari aset TIK yang mengalami perubahan.
12 A.13.2.1 Pengelolaan & Pelaporan Insiden Keamanan Informasi
Proses pelaporan & penanganan gangguan/insiden baik menyangkut ketersediaan layanan atau gangguan karena
penyusupan dan pengubahan informasi secara tidak berwenang. Termasuk analisis penyebab dan eskalasi jika diperlukan tindak lanjut ke aspek legal.
Sasaran
Sasaran
Keamanan
Keamanan
Informasi
Informasi
No Kontrol ISO 27001 Sasaran
1 A.13.1
Pengelolaan insiden
Menurunkan jumlah insiden karena virus sebanyak 10% dibanding tahun sebelumnya.
2 A.8.3.3
Penutupan hak akses
Hak akses user yang menjalani mutasi/berhenti bekerja harus ditutup maksimum 2 hari setelah statusnya dilaporkan secara resmi.
3 A.9.1.2
Akses Data Center (Ruang Server)
Seluruh pihak ketiga (vendor, konsultan) yang memasuki Pusat Data harus didampingi karyawan.
4 A.11.2
Manajemen Password
80% perangkat komputer yang sensitif sudah menerapkan strong password.
5 A.8.2.2
Kepedulian, pendidikan dan pelatihan keamanan informasi
Seluruh karyawan dalam satuan kerja yang dimasukkan dalam ruang lingkup harus telah mengikuti
sosialisasi/pelatihan keamanan informasi. 6 A.10.1.2
Pengelolaan perubahan (Change Management)
Versi aplikasi yang operasional harus sama dengan versi source code terakhir.
7 A.10.1.3
Pemisahan tugas
Setiap instalasi aplikasi harus dilakukan oleh
No Kontrol ISO
27001 Sasaran Metode Pengukuran
Frekuensi Pengukuran Hasil Pengukuran 1 A.13.1 Pengelolaan insiden
Menurunkan jumlah insiden karena virus sebanyak 10% dibanding tahun sebelumnya
Prosentase jumlah insiden tahun lalu dikurangi prosentase jumlah insiden sekarang
Per 3 bulan
2 A.8.3.3
Penutupan hak akses
Seluruh hak akses user yang menjalani
mutasi/berhenti bekerja harus ditutup maksimum 2 hari setelah statusnya dilaporkan secara resmi
Prosentase jumlah user yang telah ditutup hak aksesnya dibagi jumlah user mutasi atau keluar
Per 6 bulan
3 A.9.1.2 Akses Data Center (Ruang Server)
Seluruh (100%) pihak ketiga (vendor, konsultan) yang memasuki Pusat Data harus didampingi karyawan
Prosentase jumlah pihak ketiga yang memasuki Pusat Data dengan didampingi karyawan Per 6 bulan 4 A.11.2.3 Manajemen Password 80% perangkat komputer yang sensitif sudah menerapkan strong password
Jumlah PC dengan strong password dibagi jumlah total PC
Per 6 bulan
Pengukuran
No Kontrol ISO
27001 Sasaran Metode Pengukuran
Frekuensi Pengukuran Hasil Pengukuran 5 A.8.2.2 Kepedulian, pendidikan dan pelatihan keamanan informasi
Seluruh karyawan dalam satuan kerja yang dimasukkan dalam ruang lingkup harus telah mengikuti sosialisasi/pelatihan keamanan informasi
Jumlah karyawan yang telah mengikuti
sosialisasi/pelatihan dibagi jumlah total karyawan
Per 6 bulan
6 A.10.1.2 Pengelolaan
perubahan (change management)
Versi aplikasi yang operasional harus sama dengan versi source code terakhir
Bandingkan versi aplikasi operasional dengan hasil pengembangan terakhir
7 A.10.3.2
Penerimaan sistem
Setiap aplikasi yang
operasional harus menjalani UAT yang disetujui oleh pengguna
Periksa UAT setiap aplikasi yang operasional
