Kebijakan Sistem Manajemen
Pengamanan Informasi
Penyelenggara Sistem Elektronik
TEGUH ARIFIYADI
• LAW FACULTY, UNIVERSITY OF DIPONEGORO, CYBER CRIME
• MASTER OF LAW, UNIVERSITY OF INDONESIA, ECONOMIC LAW-INFORMATION SYSTEM
INFORMAL
• CERTIFIED HACKING FORENSIC INVESTIGATOR (CHFI), EC COUNCIL, JAKARTA;
• CERTIFIED INFORMATION SYSTEM AUDITOR (CISA) REVIU, BANDUNG;
• CIVIL INVESTIGATOR, BARESKRIM
• SMART CARD TECHNOLOGY, SEOUL, KOREA
• COUNTERFITING AND PIRACY, PARIS, FRANCE
• FUTURE NETWORK, INTERNATIONAL TELECOMMUNICATION UNION, GENEVA, SWISTZERLAND
• LAWFULL INTERCEPTION, SS8, BANDUNG
• LAWFULL INTERCEPTION, ISS WORLD TRAINING, PRAGUE, CZECH REPUBLIC
• PROTOCOL TESTING, INTERNATIONAL TELECOMMUNICATION UNION, GENEVA, SWISTZERLAND
• ELECTROTECHNICAL STANDAR DEVELOPMENT TRAINING, SINGAPORE
• COPY RIGHT ON IEC STANDARD DOCUMENTS, TOKYO, JAPAN
• LAWFULL INTERCEPTION, ISS WORLD TRAINING, JOHANNESBURG, SOUTH AFRICA
• TECHNOLOGY TRANSFER, D-8 MEMBER COUNTRIES, TEHRAN, I.R. IRAN.
ACTIVITIES
• DEPUTY DIRECTOR FOR CYBER CRIME INVESTIGATION AND LAW ENFORCEMENT MINISTRY OF ICT (KOMINFO)
• HEAD OF LEGAL AND ETHICS INDONESIA DIGITAL FORENSIC ASSOCIATION (AFDI)
• CHAIRMAN OF INDONESIA CYBER LAW COMMUNITY (ICLC) [www.cyberlawindonesia.net]
• WRITER ON LAW CLINIC [www.hukumonline.com]
• CYBER LAW EXPERT ON THE COURT
No
Cases
Cases Report
Finished
1
Pornography
16
12
2
Gambling
7
2
3
Defamation [Fitnah]
29
8
4
Fraud
132
5
5
Xenophobia [SARA]
17
1
6
Illegal Access
268
14
7
Breaking the System
15
3
8
Data Forgery
11
1
9
Blackmail [Pemerasan]
4
2
Total
499
48
CASES REPORT 2011- 2015
CASES HANDLED 2011- 2015
No Cases Cases Report
1 Pornography 8
2 Gambling 3
3 Defamation [PNB/Fitnah] 52
4 Fraud 9
5 Xenophobia [SARA] 21 6 Illegal Access 3 7 Breaking the System 4
8 Data Forgery 8
9 Blackmail 2
10 Illegal Interception 1
Total 111
CASES REPORT 2016 [
Semester 1
]
No Tindak Pidana ITE Jumlah
1 Pornography 11
2 Gambling 3
3 Defamation [PNB/Fitnah] 35
4 Blackmail 10
5 Xenophobia [SARA] 2 6 Illegal Access 8 7 Breaking the System 3
8 Data Forgery 1
9 Fraud 3
10 Illegal Interception 1
Total 77
PEMBERIAN BANTUAN AHLI HUKUM
DALAM PROSES PENYIDIKAN UNTUK APARAT PENEGAK HUKUM
SELURUH INDONESIA TAHUN 2016
1) Hacker/Cracker Anak (13 tahun) dengan user name tersangka : kaspersky, domain, domainmirror, mediafields dan liveboys yang mempu membuat, memodifikasi, bahkan menghapus (meremove) nama domain .id pada sistem PANDI tanpa melalui prosedur seharusnya dengan cara menjebol sistem pengamanan.
Tersangka: Anak Duva Balthazar Reyhan dan Anak Ariq Balthazar Reyhan, Pelajar, Alamat Ponorogo, Jawa Timur. Putusan Pengadilan : Pidana Penjara 2 (dua) bulan, masa percobaan 4 (empat) bulan.
2) Penindakan website yang menjadi salah satu penampungan gambar dan video porno dewasa dan anak terbesar (www.ceriwis.us; www.ceriwis.web.id; www.ceriwis.co.id; www.boplo.com dan www.ceriwis.com).
Tersangka: Admin web site Ade Adwitya, Karyawan Swasta, Jakarta.
Putusan Pengadilan : Hukuman Penjara 2 Tahun dikurangi masa tahanan.
3) Hacker/Cracker dengan nickname : AL3X 0WN5. melakukan deface website www.govcsirt.kominfo.go.id sebanyak 2 kali pada 10 Januari 2014 dan 21 Januari 2014.
Tersangka: Alex Siregar, pegawai Honorer (Satpam) pada BBPPKI Medan. Putusan Pengadilan : Hukuman Kurungan Penjara 3 Bulan dikurangi masa tahanan
4) Hacker/Cracker dengan nickname Anonymouseindonesia melakukan deface website www.djsn.go.id pada tanggal 1 Februari 2016.
Tersangka: Anak/Remaja atas inisal nama AFF dan EJA Santri/Pelajar di Lamongan. Status: Proses penyelesaian secara kekeluargaan.
5) Hacker/cracker dengan dengan nickname root@L0c4lh34rtz~$ ./ngaco melakukan deface website www.dumas.kominfo.go.id pada tanggal 14 Juni 2016.
Terduga: telah teridentifikasi calon tersangka siswa SMA (17 tahun) di daerah Jakarta Utara.
Success Story-Cases Handled
UU
-
ITE
Bab II
Asas dan Tujuan
Bab III
Informasi Elektronik
,
Dokumen Elektronik
,
dan
Tanda Tangan Elektronik
Bab IV
Penyelenggaraan Sertifikasi Elektronik dan Sistem Elektronik
Bab V
Transaksi Elektronik
Bab VI
Nama Domain
,
HKI
,
dan
Pelindungan Hak Pribadi
Bab I
AMANAT PEMBENTUKAN PP PENYELENGGARAAN
SISTEM DAN TRANSAKSI ELEKTRONIK
Sembilan Pasal UU No 11 tahun 2008 tentang Informasi dan
Transaksi Elektronik Mengamanatkan Pembentukan PP:
1)
Lembaga Sertifikasi Keandalan (Pasal 10 Ayat 2);
2)
Tanda Tangan Elektronik (Pasal 11 Ayat 2) ;
3)
Penyelenggara Sertifikasi Elektronik (Pasal 13 Ayat 6);
4)
Penyelenggara Sistem Elektronik (Pasal 16 Ayat 2);
5)
Penyelenggaraan Transaksi Elektronik (Pasal 17 Ayat 3);
6)
Penyelenggara Agen Elektronik (Pasal 22 Ayat 2);
7)
Pengelolaan Nama Domain (Pasal 24);
8)
Tata Cara Intersepsi (Pasal 31 ayat 4 );
9)
Peran Pemerintah dalam Pemanfaatan TIK (Pasal 40).
PP
PSTE
RUU TCI
SKEMA REGULASI
PENYELENGGARAAN SISTEM & TRANSAKSI ELEKTRONIK
[UU 11/2008 ITE & PP 82/2012 PSTE]
PEN
SE PELAYANAN PUBLIK
NON-PELAYANAN
PUBLIK
KEWAJIBAN / TANGGUNG JAWAB HUKUM
KETENTUAN UMUM
KETENTUAN KHUSUS
• TATA KELOLA PSE SECARA UMUM [RISK MANAGEMENT, DATA PRIBADI, DLL]
• PENGAMANAN [EDUKASI, FITUR, INFORMATION DISCLOSURE, DLL]
• PENYIMPANAN DATA TRANSAKSI DI DALAM NEGERI
• PENDAFTARAN PENYELENGARAAN SE DAN SOFTWAREPSE
• TATA KELOLA KHUSUS PSE PP [BCP, PENEMPATAN DC DAN DRC DI INDONESIA]
• SERTIFIKASI KELAIKAN PSE PELAYANAN PUBLIK
• SERTIFIKAT ELEKTRONIK
• TENAGA AHLI
• SISTEM MANAJEMEN PENGAMANAN INFORMASI
MEMBUAT AKUN
MELENGKAPI
KELENGKAPAN MengisiForm DokumenUpload
VERIFIKASI
Pengajuan Permohonan
Verifikasi
Verifikasi
Dokumen VerifikasiHasil
9 HARI KERJA
1 HARI KERJA
UN-VERIFIED
VERIFIED
Alur Proses Pendaftaran Sistem Elektronik
Area prioritas
Strategi Nasional
Strategi Nasional
Membangun budaya dan kapasitas keamanan informasi
Mengelola insiden keamanan informasi Meningkatan kinerja
pengelolaan keamanan informasi
Meningkatkan kapasitas penegakan hukum di bidang ITE
Membangun dan menerapkan pengamanan untuk
mengurangi risiko keamanan informasi
SISTEM MANAJEMEN PENGAMANAN INFORMASI
KEWAJIBAN PSE SECARA UMUM
[
UU ITE
]
1)
menyelenggarakan Sistem Elektronik secara
andal dan aman serta
bertanggung jawab
terhadap beroperasinya
Sistem Elektronik
sebagaimana mestinya
.
2)
bertanggung jawab
terhadap Penyelenggaraan Sistem Elektroniknya
.
3)
Ketentuan
diatas tidak
berlaku
dalam hal dapat dibuktikan
terjadinya keadaan memaksa
,
kesalahan
,
dan
/
atau kelalaian pihak
pengguna Sistem Elektronik
.
“
Aman
”
>>
Sistem Elektronik terlindungi secara fisik dan nonfisik
.
“
Beroperasi sebagaimana mestinya
”
>>
Sistem Elektronik memiliki kemampuan sesuai dengan
spesifikasinya
.
KEWAJIBAN PENGAMANAN SISTEM ELEKTRONIK DALAM PP
82/2012
Pasal
19
PP
82/2012
Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen
Sistem Elektronik
.
Pasal
20
ayat
[2]
dan
[4]
PP
82/2012
[2] Penyelenggara Sistem Elektronik wajib menyediakan sistem pengamanan yang
mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman
dan serangan yang menimbulkan gangguan,kegagalan,dan kerugian.
Daftar Isi PM
Bab I : Ketentuan Umum
Bab II : Kategorisasi Sistem Elektronik
Bab III : Standar Sistem Manajemen Pengamanan Informasi
Bab IV : Penyelenggaraan
Bab V : Lembaga Sertifikasi
Bab VI : Penerbitan Sertifikat, Pelaporan Hasil Sertifikasi,
dan Pencabutan Sertifikat
PSE Pelayanan Publik
PSE
Pelayanan
Publik
Instansi
Penyelenggara
Negara
Instansi Non
Penyelenggara
Kategorisasi Sistem Elektronik
No
Sistem Elektronik
Penetap Kategori
1
Strategis
Menteri + Rekomendasi IPPS
2
Tinggi
Menteri
3
Rendah
Menteri
KATEGORISASI PENYELENGGARA SISTEM ELEKTRONIK
SNI ISO/IEC 27001
Mandatory + Sector Provision
Mandatory
Optional / Self Assessment
Low Risk High Risk Strategic Risk
Classification Model Based on Risk
Sampling System
SURVEILLANCE
No
Karakteristik SE
A=5
B=2
C=1
1
Nilai investasi sistem elektronik
yang terpasang
A. > 30 miliar rupiah
B. 3 miliar rupiah -30
miliar rupiah
C. <3 miliar rupiah
2
Total
anggaran
operasional
tahun berjalan yang dialokasikan
untuk
pengelolaan
Sistem
Elektronik
A. >10 miliar rupiah
B. 1 miliar rupiah
-10 miliar rupiah
C. <1 miliar rupiah
3
Memiliki kewajiban kepatuhan
terhadap peraturan atau standar
tertentu
A. Peraturan atau
standar nasional
dan interna-sional
B. Peraturan atau
standar nasional
C. Tidak ada
peraturan khusus
4
Menggunakan algoritma khusus
untuk
keamanan
informasi
dalam sistem elektronik
A. Algoritma khusus
yang diguna-kan
negara
B. Algoritma standar
publik
C. Tidak ada
algoritma khusus
5
Jumlah
pemilik
akun
yang
menggunakan Sistem Elektronik
A. > 5000 pemilik
No Karakteristik SE A=5 B=2 C=1
6 Data Pribadi yang dikelola Sistem
Elektronik
A. Data Pribadi yang
memiliki hubungan dengan Data Pribadi lainnya
B. Data Pribadi yang
bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha
C. Tidak ada Data
Pribadi
7 Tingkat klasifikasi/
kekritisan data yang ada dalam Sistem Elektronik
A. Sangat rahasia B. Rahasia dan/ atau
terbatas
C. Biasa
8 Tingkat kekritisan proses yang ada
dalam Sistem Elektronik,
A. Proses yang berisiko
meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada
Pelayanan Publik
B. Proses yang berisiko
mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung
C. Proses yang tidak
berdampak bagi kepentingan orang banyak
9 Dampak dari kegagalan Sistem
Elektronik
A. Tidak tersedia-nya
Pelayanan Publik berskala nasional atau memba-hayakan pertaha-nan keama-nan negara
B. Tidak tersedianya
layanan Publik atau proses penyelengga-raan negara dalam 1 (satu) provinsi atau lebih
C. Tidak tersedianya
Pelayanan Publik atau proses
penyelenggaraan negara dalam 1 (satu) kabupaten/
kota atau lebih
10 Potensi kerugian atau dampak negatif
dari insiden ditembusnya Keamanan Informasi Sistem Elektronik
A. Menimbulkan korban
jiwa
B. Terbatas pada
kerugian finansial
C. Mengakibatkan
gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial