Download - Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga
![Page 1: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/1.jpg)
Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga
DR. Hasyim Gautama
Batam, 11 April 2012
![Page 2: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/2.jpg)
Agenda
• Cyber Crime• Keamanan Informasi• Tata Kelola Kaminfo• Strategi Pelaksanaan
![Page 3: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/3.jpg)
Cyber Crime
![Page 4: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/4.jpg)
SMS Penipuan
![Page 5: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/5.jpg)
Pembunuh Bayaran
![Page 6: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/6.jpg)
Kasus Bocor Data DiplomatikData rahasiaIndonesia dimilikioleh AS.Wikileaks memuatdata tsb. di situsstatic.guim.co.uk
![Page 7: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/7.jpg)
Anonymous
![Page 8: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/8.jpg)
Urgensi Penerapan Kaminfo• Informasi adalah aset yg rawan terhadap–Pencurian–Modifikasi
• Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi
![Page 9: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/9.jpg)
Keamanan Informasi
![Page 10: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/10.jpg)
Keamanan InformasiTerjaganya informasi dari ancaman danserangan terhadap:• kerahasiaan (confidentiality)• keutuhan (integrity)• ketersediaan (availability)• nirsangkal (non repudiation)
![Page 11: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/11.jpg)
Aspek Keamanan Informasi• Kerahasiaan (confidentiality): pesan hanya bisa
terbaca oleh penerima yang berhak• Keutuhan (integrity): pesan yang diterima
tidak berubah• Ketersediaan (availability): pesan dapat
tersampaikan ke penerima • Nirsangkal (non repudiation): pesan terkirim
tidak dapat disangkal oleh pengirimnya
![Page 12: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/12.jpg)
Gangguan Keamanan• Ancaman–Manusia–Alam
• Serangan– Interupsi: Denial of Service (DoS)– Intersepsi: Packet Sniffing–Modifikasi: TCP Hijacking, Virus Trojan– Fabrikasi: Packet Spoofing
![Page 13: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/13.jpg)
Ancaman
Berasal dari:• Manusia• Alam
![Page 14: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/14.jpg)
Ancaman dari Manusia• Staf internal–Mencatat password–Meninggalkan sistem tanpa logout
• Spy–Menyadap data
• Yang ingin tenar–Menginginkan perhatian publik
• Yang ingin coba-coba
![Page 15: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/15.jpg)
Ancaman dari Alam• Temperatur: panas /dingin yg ekstrim• Kelembaban atau gas yg ekstrim:
kegagalan AC• Air: banjir, pipa bocor• Organisme, bakteri, serangga• Anomali energi: kegagalan listrik, petir
![Page 16: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/16.jpg)
Serangan• Interupsi: Denial of Service (DoS)• Intersepsi: Packet Sniffing• Modifikasi: TCP Hijacking, Virus Trojan• Fabrikasi: Packet Spoofing
![Page 17: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/17.jpg)
Denial of Service (DoS)Menghalangi akses pihak yang berhak dg
membanjiri permintaan akses fiktifContoh: serangan TCP SYN, permintaan
koneksi jaringan ke server dalam jumlah yang besar
![Page 18: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/18.jpg)
Distributed DoS
![Page 19: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/19.jpg)
Packet SniffingMendengarkan dan merekam paket yg
lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer:
Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan
untuk mendiagnosa kerusakan jaringan
![Page 20: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/20.jpg)
Tools Packet Sniffer
![Page 21: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/21.jpg)
Virus TrojanMerekam pesan lalu memodifikasinya dan
dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program
tersembunyi yang biasanya menempel pada email atau free games software.
• Masuk ke sistem• Mengakses file system• Mencuri username dan password
![Page 22: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/22.jpg)
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
![Page 23: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/23.jpg)
Paket SpoofingMengubah alamat pengirim paket untuk
menipu komputer penerimaContoh: Man-in-the-middel-attack,
penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.
![Page 24: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/24.jpg)
Man-in-the-middel-attack
![Page 25: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/25.jpg)
Pengamanan Fisik• Pemilihan Lokasi• Konstruksi bangunan• Pengamanan akses–Pengawasan Personil: penjaga & CCTV–Perangkat kontrol akses personil: kunci,
security access card & perangkat biometric
![Page 26: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/26.jpg)
Pengamanan Logik (1)• Otentikasi user• Otorisasi user• Enkripsi• Tanda Tangan dan Sertifikat Digital• Firewall
![Page 27: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/27.jpg)
Pengamanan Logik (2)• DeMilitarized Zone (DMZ)• Intrusion Detection System (IDS) • Server• Client• Code/script
![Page 28: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/28.jpg)
Otentikasi• Account Locking: akun terkunci jika
terjadi kesalahan login bbrp kali• Password Expiration: password harus
diubah jika telah melewati batas waktu• Password Complexity Verification: –Panjang minimum–Kombinasi alfabet, nomor dan tanda baca– Tidak sama dengan kata-kata sederhana
![Page 29: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/29.jpg)
OtorisasiPemberian hak akses thd resource• Access Control List (ACL), untuk kontrol
akses: baca, tulis, edit atau hapus• Access Control File (ACF), untuk kontrol
akses thd web server: access.conf dan .htaccess
• Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)
![Page 30: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/30.jpg)
Enkripsi
![Page 31: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/31.jpg)
Contoh EnkripsiSymmetric• Data Encryption Standard (DES)• Blow Fish• IDEAAsymmetric• RSA• Merkle-Hellman Scheme
![Page 32: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/32.jpg)
Tanda Tangan Digital
![Page 33: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/33.jpg)
Sertifikat Digital
![Page 34: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/34.jpg)
Firewall
![Page 35: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/35.jpg)
DeMilitarized Zone
![Page 36: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/36.jpg)
Intrusion Detection System
![Page 37: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/37.jpg)
Tata Kelola Kaminfo
![Page 38: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/38.jpg)
Landasan Hukum
• Undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang:“Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”
![Page 39: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/39.jpg)
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
![Page 40: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/40.jpg)
Komponen SNI 270011. Kebijakan Keamanan2. Organisasi Keamanan3. Pengelolaan Aset4. Keamanan Sumber
Daya Manusia5. Keamanan Fisik &
Lingkungan6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses8. Akuisisi,
Pengembangan & Pemeliharaan Sistem Informasi
9. Manajemen Insiden Keamanan
10. Manajemen Keberlanjutan Bisnis
11. Kesesuaian
![Page 41: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/41.jpg)
Manajemen Keamanan
PlanPlan
DoDo
CheckCheck
ActAct
![Page 42: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/42.jpg)
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009
• Fungsi: sebagai indikator penerapan keamanan informasi secara nasional
![Page 43: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/43.jpg)
Ruang Lingkup
1. Kebijakan dan Manajemen Organisasi2. Manajemen Resiko3. Kerangka Kerja4. Manajemen Aset Informasi5. Teknologi
![Page 44: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/44.jpg)
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
![Page 45: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/45.jpg)
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata kelola
2. Menggunakan Indeks KAMI sebagai alat ukur3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan Informatika
![Page 46: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/46.jpg)
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI):0. Pasif1. Reaktif2. Aktif3. Proaktif4. Terkendal5. Optimal
![Page 47: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/47.jpg)
CMMI: 5 Tingkat KematanganLevel 5
Initial
Level 1
Processes are unpredictable, poorly controlled, reactive.
Repeatable
Level 2
Processes are planned, documented, performed, monitored, and controlled at the project level. Often reactive.
Defined
Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organizational (Organization X ) level. Proactive.
Managed
Level 4
Processes are controlled using statistical and other quantitative techniques.
Optimized
Proc
ess M
atur
ity
Process performance continually improved through incremental and innovative technological improvements.
![Page 48: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/48.jpg)
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment
• Tahun 2012: evaluasi dengan self dan on-site assessment keamanan informasi
![Page 49: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/49.jpg)
Hasil Pemeringkatan Kaminfo
• Tata Kelola• Pengelolaan Resiko• Kerangka Kerja• Pengelolaan Aset• Teknologi & Kaminfo
• Tata Kelola• Pengelolaan Resiko• Kerangka Kerja• Pengelolaan Aset• Teknologi & Kaminfo
![Page 50: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/50.jpg)
Strategi Pelaksanaan
![Page 51: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/51.jpg)
People, Process & Technology
![Page 52: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/52.jpg)
People: Pemerintah & Akademisi
• Instansi pemerintah:– memiliki sistem elektronik yg perlu diproteksi dg
penerapan indeks kaminfo– tapi SDMnya (terlalu) sibuk dg rutinitas birokrasi
• Akademisi:– memiliki SDM yg unggul– perlu aktualisasi diri dg praktek kerja atau magang
![Page 53: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/53.jpg)
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam• Seminar• Bimbingan Teknis• Asesmen• Pemeringkatan• Klinik konsultasi
![Page 54: Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga](https://reader035.vdocuments.pub/reader035/viewer/2022081505/5681547d550346895dc29209/html5/thumbnails/54.jpg)
Technology
• Sistem elektronik di pemerintah sbg obyek asesmen
• Aplikasi indeks kaminfo berupa spreadsheet• Panduan penerapan indeks kaminfo