Laboratorium Jaringan KomputerDepartemen Teknik Informatika dan KomputerPoliteknik Elektronika Negeri Surabaya

1

Profile :» He took Bachelor Degree in Electrical Engineering at the

Sepuluh Nopember Institute of Technology (ITS) in 1995-2000. In 2000, he joined the EEPIS Informatics Engineering department as a teaching staff. Then he continued his education at the Master of Science in Computer Science in Saga University Japan in 2006-2008 with a scholarship from the Japanese government.

» The research areas involved are network security and wireless sensor networks.

» Since 2013 - until now , he works with ID-SRTII / CC to build the IDS platform called Mata Garuda

» Awards :

– JICA fellowship on SPEET Project 2002-2003

– Monbukagakusho scholarship, 2005-2008– Merit Winner of APICTA 2014 (network security category)– Asia Pacific Information Security Center Security Training Course

2015,KISA fellowship– Network Security Researcher JICA 2016 fellowship

2

Topik

1. Dasar Keamanan Informasi

2. INDEKS KEAMANAN INFORMASI : ISU TERKINI Tentang PERPRES 9 /2018

3. Definisi –definisi “INFORMASI”menurut undang-undang

3

4

in.for.ma.si1.n penerangan2.n pemberitahuan; kabar atau berita tentang sesuatu3.n Ling keseluruhan makna yang menunjang amanat yang terlihat dalam bagian-bagian amanat itu

…menurut KBBI

informasi » informasi elektronik•Huk data elektronik yang telah diolah sedemikan rupa dan ditampilkan melalui

media elektronik

aman » keamanan » keamanan data•Komp perlindungan data terhadap kerusakan atau pengguna yang tidak sah

da.ta1.n keterangan yang benar dan nyata: pengumpulan -- untuk memperoleh

keterangan tentang kehidupan petani2.n keterangan atau bahan nyata yang dapat dijadikan dasar

kajian (analisis atau kesimpulan)3.n Komp informasi dalam bentuk yang dapat diproses oleh komputer,

seperti representasi digital dari teks, angka, gambar grafis, atau suara

Prinsip keamanan Informasi

• Confidetiality :

– Data hanya boleh diaksesoleh pihak yang berhak saja

• Integrity :

– data tidak boleh dirubah dariaslinya oleh orang yang tidakberhak, sehingga konsistensi, akurasi, dan validitas data tersebut masih terjaga

• Availibity :

– data yang tersimpan dan diproses di dalam sumberdaya yang ada siap diakseskapanpunoleh user/application/sistemyang membutuhkannya

5

Prinsip keamanan Data

6

Harus adanya kepastian klasifikasi informasi• Klasifikasi data : Sangat Rahasia, Rahasia, Terbatas(Internal use only) , Publik• Enkripsi yang diterapkan pada level media penyimpanan dan transmisi data.

Harus adanya kepastianperlindungan data :• menerapkan strong encrypti

on pada media penyimpanandan transmisi data.

• menerapkan strong authentication dan validation

Harus adanya kepastian bahwadata dapat diakses kapanpundan dimanapun :• disaster recovery plan• redundant hardware• data backup

Prinsip Pertahanan Berlapis Untuk Melindungi DATA

7

KEBIJAKAN (POLICY) ADALAH AWAL DARI

PERLINDUNGAN DATA

PERUBAHAN PARADIGMA :Tanggung jawab

“KEAMANAN DATA”tidak hanya

Administrator Sistematau Jaringan saja

Perubahan Paradigma “WHO IS THE KEY PERSON BEHIND THE DATA ?”

• Pandangan tradisional

– Domain dari Administrator Sistem dan Jaringan

– Kebutuhan membeli Firewall, Antivirus, IDS,

– Menerapkan Kontrol terhadap keamananan informasi bukanlah suatu kewajiban

8

• Pandangan Modern— Domain Pemilik Bisnis— Tugas mulai dari perencanaan, mencari DAMPAK DAN

PENANGGULANGANNYA dalam setiap tahap implementasi yang telahdirencanakan

— Bisnis dan Keamanan tidak dapat dipisahkan— Tim Keamanan Terdiri dari Manajemen Puncak, Manajer TI dan Manajer

Keamanan Informasi— Merencanakan (PLAN), Melakukan(DO), Memeriksa (CHECK) dan Menindak

(ACT) Model— Integrasi Sistem Kualitas Seperti ISO, CMMI dll dengan Model Keamanan

Informasi

BERUBAH MENJADI

Produk hukum yang membahas tentang keamanan informasidan tantangannya

1. Kebijakan Keamanan Informasi1) UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (ITE)

2) UU No.19/2016 tentang Perubahan atas UU No 11/2018

3) UU No. 14/2008 tentang Keterbukaan Informasi Publik (KIP)

4) Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem PengendalianIntern Pemerintah (SPIP)

5) Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistemdan Transaksi Elektronik

6) Peraturan Presiden Nomor 53 Tahun 2017 tentang BADAN SIBER DAN SANDI NEGARA

7) Peraturan Presiden Nomor 133 Tahun 2017 tentang Perubahan atasPerpres Nomor 53/2017 tentang BADAN SIBER DAN SANDI NEGARA

8) Permenkominfo Nomor 5 /2014 tentang Sistem Manajemen PengamananInformasi

9) Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem PemerintahanBerbasis Elektronik

✓ Belum adanya baku Tata Kelola Keamanan Informasi Nasional -> Badan Siber dan Sandi Negara (baru berdiri 1 tahun yang lalu)

✓ Kualitas Sumber Daya Manusia9

INDEKS KEAMANAN INFORMASI :

ISU TERKINI Tentang PERPRES 9 /2018

10

11

Perpres nomor 95/2018 tentang SPBE

12

Tim Koordinasi SPBE Nasional

13

KOORDINASI SPBE antar K/L/D

14

MODEL GENERIK TIM Koordinator SPBE Daerah

15

Apa dan Mengapa menggunakan INDEKS KAMI ?

16

Bimtek

Peningkataan

Kompetensi

Pemeringkatan

dan

Klinik Konsultasi

Asesmen:

- Mandiri

- Asesor Lokal

- Observasi

SNI ISO/IEC 27001 : 2013

tentang Sistem Manajemen Keamanan

Informasi (SMKI)

Penyelenggara Layanan Publik K/L/D : 623

Asesmen awal sebelum penerapan SNI-ISO/IEC 27001

Implementing Information Security Concept – Related to IndeksKAMI

Information Security

Policies

Procedures and

Guidelines

Technical Systems

Security Awareness Workshops

An aware workforce is the best defence against information security threats

Suitable policies and processes need to be implemented for effective InfoSec

The right technology needs to be implemented for cost effective

InfoSec

People

Process

Technology

Aspek yang dinilai

18

Indeks KAMI v3.1

Kategori Sistem Elektronik

Tata Kelola

22

indikator

PengelolaanResiko

16

Indikator

Kerangka Kerja

29

indikator

PengelolaanAsset

38

indikator

Teknologi

26

indikator

Penilaian mandiri tentang Kategorisasi Sistem Elektronik

Indeks KAMI dimaksudkan untuk memberikan gambaran kondisi kesiapan (kelengkapandan kematangan) kerangka kerja keamanan informasi (SMKI) kepada pimpinan Instansi

Kategori Sistem Elektronik

19

Bagian ini mengevaluasi tingkat atau kategori sistem elektronik yang digunakan

Kategori Sistem Elektronik

20

Definis aspek dan matriks penilaian

1. Tata Kelola– Bagian ini mengevaluasi kesiapan bentuk

tata kelola keamanan informasi besertaInstansi/fungsi, tugas dan tanggung jawabpengelola keamanan informasi.

2. Pengelolaan Resiko– Bagian ini mengevaluasi kesiapan

penerapan pengelolaan risiko keamananinformasi sebagai dasar penerapan strategikeamanan informasi.

3. Kerangka Kerja– Bagian ini mengevaluasi kelengkapan dan

kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasidan strategi penerapannya.

4. Pengelolaan Asset– Bagian ini mengevaluasi kelengkapan

pengamanan aset informasi, termasukkeseluruhan siklus penggunaan asettersebut.

5. Teknologi– Bagian ini mengevaluasi kelengkapan,

konsistensi dan efektifitas penggunaanteknologi dalam pengamanan asetinformasi.

21

Dashboard INDEKS KAMI v3.1 –Badan Siber dan Sandi Negara

22

Tingkat Kematangan dan Kelengkapan ISO 27001

• Untuk keperluan Indeks KAMI, tingkat kematangan tersebutdidefinisikan sebagai: – Tingkat I - Kondisi Awal

– Tingkat II - Penerapan Kerangka Kerja Dasar

– Tingkat III - Terdefinisi dan Konsisten

– Tingkat IV - Terkelola dan Terukur

– Tingkat V - Optimal

• Untuk membantu memberikan uraian yang lebih detil, tingkatanini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+ →total terdapat 9 tingkatan kematangan.

23

Definisi –definisi “INFORMASI”menurut undang-undang

24

Sistem Elektronik

• Sistem Elektronik adalah serangkaian perangkat dan

prosedur elektronik yang berfungsi mempersiapkan,

mengumpulkan, mengolah, menganalisis, menyimpan,

menampilkan, mengumumkan, mengirimkan, dan/atau

menyebarkan Informasi Elektronik

25

Penyelenggara Sistem Elektronik

• Penyelenggara Sistem Elektronik adalah setiap Orang,

penyelenggara negara, Badan Usaha, dan masyarakat

yang menyediakan, mengelola, dan/atau

mengoperasikan Sistem Elektronik secara sendiri-

sendiri maupun bersama-sama kepada Pengguna

Sistem Elektronik untuk keperluan dirinya dan/atau

keperluan pihak lain.

26

• Penyelenggaraan Sistem Elektronik adalah

pemanfaatan Sistem Elektronik oleh penyelenggara

negara, Orang, Badan Usaha, dan/atau masyarakat.

• Pelayanan Publik adalah kegiatan atau rangkaian

kegiatan dalam rangka pemenuhan kebutuhan

pelayanan sesuai dengan peraturan perundang-

undangan bagi setiap warga negara dan penduduk atas

barang, jasa, dan/atau pelayanan administratif yang

disediakan oleh penyelenggara pelayanan publik

27

• Sistem Manajemen Pengamanan Informasi adalah

pengaturan kewajiban bagi Penyelenggara Sistem

Elekronik dalam penerapan manajemen pengamanan

informasi berdasarkan asas Risiko.

• Keamanan Informasi adalah terjaganya kerahasiaan

(confidentiality), keutuhan (integrity), dan ketersediaan

(availability) informasi.

28

• Sistem Manajemen Pengamanan Informasi adalahpengaturan kewajiban bagi Penyelenggara SistemElekronik dalam penerapan manajemen pengamananinformasi berdasarkan asas Risiko.

• Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran sertadilindungi kerahasiaannya.

• Risiko adalah kejadian atau kondisi yang tidakdiinginkan, yang dapat menimbulkan dampak negatifterhadap pencapaian sasaran kinerja dari layananSistem Elektronik.

29

UU No. 11/2008 tentang Informasi dan TransaksiElektronik (ITE)

30

UU No. 14/2008 tentang Keterbukaan Informasi Publik (KIP)

31

Peraturan Pemerintah Nomor 60 Tahun 2008 tentangSistem Pengendalian Intern Pemerintah (SPIP)

32

Peraturan Pemerintah No.82 Tahun 2012 tentangPenyelenggaraan Sistem dan Transaksi Elektronik

33

Peraturan Presiden Nomor 53 Tahun 2017 tentang BADAN SIBER DAN SANDI NEGARA

34

Permenkominfo Nomor 5 /2014 tentang Sistem ManajemenPengamanan Informasi

35

36

Terima Kasih Atas Perhatiannya