Penerapan SNI 27001
untuk Keamanan Informasi
Object
• Cyber Crime
• Keamanan Informasi
• Tata Kelola Keamanan Informasi (Kaminfo)
Kasus Bocor Data DiplomaBk
Data rahasia
Indonesia dimiliki oleh AS.
Wikileaks memuat data tsb. di situs
Urgensi Penerapan Kaminfo
• Informasi adalah aset yg rawan terhadap – Pencurian
– Modifikasi
• Perangkat sistem elektronik ut
Keamanan Informasi
Terjaganya informasi dari ancaman dan serangan terhadap:
• kerahasiaan (confiden'ality)
• keutuhan (integrity)
• ketersediaan (availability)
Aspek Keamanan Informasi
• Kerahasiaan (confiden'ality): pesan hanya bisa terbaca oleh penerima yang berhak
• Keutuhan (integrity): pesan yang diterima Bdak berubah
• Ketersediaan (availability): pesan dapat tersampaikan ke penerima
Gangguan Keamanan
• Ancaman – Manusia
– Alam
• Serangan
– Interupsi: Denial of Service (DoS)
– Intersepsi: Packet Sniffing
– Modifikasi: TCP Hijacking, Virus Trojan
Ancaman
Berasal dari:
• Manusia
Ancaman dari Manusia
• Staf internal
– Mencatat password
– Meninggalkan sistem tanpa logout
• Spy
– Menyadap data
• Yang ingin tenar
– Menginginkan perhaBan publik
Ancaman dari Alam
• Temperatur: panas /dingin yg ekstrim
• Kelembaban atau gas yang ekstrim: kegagalan AC
• Air: banjir, pipa bocor
• Organisme, bakteri, serangga
Serangan
• Interupsi: Denial of Service (DoS)
• Intersepsi: Packet Sniffing
• Modifikasi: TCP Hijacking, Virus Trojan
Denial of Service (DoS)
• Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fikBf
Packet Sniffing
• Mendengarkan dan merekam paket yg lewat pada media komunikasi
Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer.
• Juga digunakan oleh admin jaringan
Virus Trojan
• Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan
Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games soYware.
• Masuk ke sistem
• Mengakses file system
Ilustrasi Virus Trojan Horse
Paket Spoofing
• Mengubah alamat pengirim paket untuk menipu komputer penerima
Pengamanan Fisik
• Pemilihan Lokasi
• Konstruksi bangunan
• Pengamanan akses
– Pengawasan Personil: penjaga & CCTV
– Perangkat kontrol akses personil: kunci,
Pengamanan Logik (1)
• OtenBkasi user
• Otorisasi user
• Enkripsi
• Tanda Tangan dan SerBfikat Digital
Pengamanan Logik (2)
• DeMilitarized Zone (DMZ)
• Intrusion DetecBon System (IDS)
• Server
• Client
OtenBkasi
• Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali
• Password ExpiraBon: password harus diubah jika telah melewaB batas waktu
• Password Complexity VerificaBon: – Panjang minimum
– Kombinasi alfabet, nomor dan tanda baca
Otorisasi
Pemberian hak akses thd resource
• Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus
• Access Control File (ACF), untuk kontrol akses thd web server: access.conf
dan .htaccess
Contoh Enkripsi
Symmetric
• Data EncrypBon Standard (DES)
• Blow Fish
• IDEA
Asymmetric
• RSA
Landasan Hukum
• Undang‐undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No. 05/SE/ M.KOMINFO/07/2011 tentang:
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi
Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi –
Komponen SNI 27001
1. Kebijakan Keamanan
2. Organisasi Keamanan 3. Pengelolaan Aset
4. Keamanan Sumber
Daya Manusia
5. Keamanan Fisik & Lingkungan
6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses 8. Akuisisi,
Pengembangan &
Pemeliharaan Sistem Informasi
9. Manajemen Insiden
Keamanan 10. Manajemen
Manajemen Keamanan
Plan
Do
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan
kesesuaian dengan kriteria pada SNI 27001:2009
Ruang Lingkup
1. Kebijakan dan Manajemen Organisasi 2. Manajemen Resiko
3. Kerangka Kerja
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai
dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata kelola
2. Menggunakan Indeks KAMI sebagai alat ukur 3. Melaporkan hasil pengukuran kepada
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model IntegraBon (CMMI):
0. Pasif 1. ReakBf 2. AkBf
CMMI: 5 Tingkat Kematangan
Level 5
Ini@al Level 1
Processes are unpredictable, poorly controlled, reac@ve. Repeatable
Level 2
Processes are planned, documented, performed, monitored, and controlled at the project level. OJen reac@ve.
Defined Level 3
Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organiza@onal (Organiza@on X ) level. Proac@ve.
Managed Level 4
Processes are controlled using sta@s@cal and other quan@ta@ve techniques.
Op@mized
Process performance con@nually improved through incremental and innova@ve technological
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian/ Lembaga dg self assessment
Hasil Pemeringkatan Kaminfo
• Tata Kelola
• Pengelolaan Resiko
• Kerangka Kerja • Pengelolaan Aset
People: Pemerintah & Akademisi
• Instansi pemerintah:
– memiliki sistem elektronik yg perlu diproteksi dg penerapan indeks kaminfo
– tapi SDMnya (terlalu) sibuk dg ruBnitas birokrasi
• Akademisi:
– memiliki SDM yg unggul
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam
• Seminar
• Bimbingan Teknis
• Asesmen
• Pemeringkatan
Technology
• Sistem elektronik di pemerintah sbg obyek asesmen
• Aplikasi indeks kaminfo berupa spreadsheet
Tugas
• Ditulis di kertas A4
• Suatu cerita / history tentang kejadian keamanan komputer (real atau fiktif) • Pada cerita menggambarkan dampak/
akibat yang ditimbulkan serta proses