Embed Size (px)
DESCRIPTION
Keamanan Informasi dan Aspek Legal Teknologi Informasi. MMTC, 26 Maret 2012. BACKGROUND. ICT changed the world: people interaction, workplace, lifestyle, business, government, art & culture. More dependencies to the technology & more risk. Now, this is the world of online society - PowerPoint PPT Presentation
Citation preview
Keamanan Informasi dan Aspek Legal Teknologi Informasi
MMTC, 26 Maret 2012
BACKGROUNDICT changed the world: people interaction, workplace, lifestyle, business, government, art & culture. More dependencies to the technology & more risk. Now, this is the world of online society
Competition to gain ICT supremacy will be easily burn political issues causing uncontrolled widespread cyber warfare involving many group of interest that could be very difficult to identify who they really are & to detect their presence. So how to prevent, protect & manage national ICT resources are the most necessary & prior things to do & how to build effective preemptive measure
ICT will become the most fragile & critical infrastructure. Since it was internetworked so every node are related. There is no way to stop the threat or attack by simply turning off the system
MENGAPA KITA PERLU MENGAPA KITA PERLU MENGAMANKAN MENGAMANKAN
INFORMASI ?INFORMASI ?
Apakah informasi itu?
• Dari perspektif Keamanan Informasi– Informasi diartikan sebagai sebuah
‘aset’; merupakan sesuatu yang memiliki nilai dan karenanya harus dilindungi
– Nilai secara intrinsik melibatkan subyektivitas yang membutuhkan penilaian dan pengambilan keputusan
Bentuk informasi
Informasi menjadi Informasi menjadi “Bernilai”“Bernilai”
Dilihat dari :Dilihat dari :
• Isi dari informasi tersebut bernilai
strategis
• Keadaan / Situasi
• Person yang memiliki dan
mengkomunikasikan informasi
(Semakin tinggi jabatan seseorang, semakin (Semakin tinggi jabatan seseorang, semakin besar besar
nilai informasi yang disampaikan).nilai informasi yang disampaikan).
ANCAMAN TERHADAP INFORMASI RAHASIAANCAMAN TERHADAP INFORMASI RAHASIA
ANCAMAN LOJIKcontoh: kriptanalisa, cracking, virus komputer, dll
ANCAMAN FISIKcontoh: pencurian data/informasi, pencurian alat, penyadapan,
mengganggu sinyal (jamming), pengrusakan dan bencana alam.
ANCAMAN ADMINISTRASI Contoh: penggandaan data yang berlebihan, tidak adanya pengklasifikasi berita/rahasia, pelanggaraan akses terhadap informasi/data
Filosofi Keamanan Informasi
Di dunia cyber Semuanya tercatat
• Bagi penjahat : pasti tertangkap• Bagi kita : Berhati-hati dalam memberikan
informasi
Tujuan Keamanan Informasi
CONFIDENTIALITY (Kerahasiaan)• Pesan saya hanya bisa terbaca oleh penerima
yang berhakINTEGRITY (Integritas)• Informasi yang terkirim dan diterima tidak
berubahAVAILABITY (Ketersediaan)• Saya bisa menggunakan kapan saja
Penjaminan Informasi• Penggunaan operasi2 informasi untuk melindungi informasi, sistem
dan jaringan informasi, dengan cara memastikan: ketersediaan, integritas, keaslian, kerahasiaan dan non-repudiasi, dengan mempertimbangkan resiko akibat ancaman dari lokal atau tempat yang jauh melalui jaringan komunikasi dan Internet.
• Tanpa adanya penjaminan informasi, suatu organisasi tidak mempunyai kepastian tentang informasi yang diperlukan untuk pengambilan keputusan penting, adalah andal, aman, dan tersedia saat dibutuhkan
Keamanan Informasi
• Konsep, teknik dan hal-hal yang terkait dengan kerahasian, ketersediaan, integritas, keaslian dari informasi
• Teknik: enkripsi, digital signature, intrusion detection, firewall, kontrol aksesdll
• Manajemen: strategi, desain, evaluasi, audit• Standar dan sertifikasi
Big picture
Y. Qian et al., 2008
Standar Kegiatan Keamanan Informasi
• ISO [International Standards Organization]ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada keamanan administratif
• CISA [Certified Information Systems Auditor]CISA fokus pada kegiatan audit dan pengendalian sistem informasi
• CISSP [Certified Information Systems Security Professional]CISSP fokus utamanya pada keamanan teknis
Konsep Privasi (1)• Apakah “Informasi Pribadi”?
Secara sempit, Informasi pribadi adalah informasi yang berkaitan dengan individu yang dapat diidentifikasi atau orang yang teridentifikasi.
Nama
Hubungan keluarga
Nomor telepon
Alamat
Alamat e-mail
Nomor lisensi mobil
Nomor kartu kredit
Karakteristik fisik
Informasi Pribadi, definisi sempit
Konsep Privasi (2)• Apakah “Informasi Pribadi”?
Dalam pengertian lebih luas, mencakup informasi pribadi seperti informasi kredit, detail transaksi, detail panggilan telepon, latar belakang akademik, karir, evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit
Detail panggilan telepon
Karir
Pendapat
Detail transaksi
Latar belakang akademik
Evaluasi
Catatan kriminal
Konsep Privasi (3)• Informasi Pribadi dan Privasi
– Akses, pengumpulan, analisis, dan penggunaan informasi pribadi yang tidak pantas berdampak pada perilaku pihak lain terhadap pribadi yang bersangkutan dan pada akhirnya berdampak negatif terhadap kehidupan sosial, harta benda, dan keselamatan-nya.
– Oleh karena itu, informasi pribadi harus dilindungi dari akses, pengumpulan, penyimpanan, analisis dan penggunaan yang salah. Dalam hal ini, informasi pribadi adalah subyek perlindungan.
Aspek-aspek Keamanan Informasi
Aspek Keamanan Informasi
Ancaman (THREATS)• Segala sesuatu yang bisa mengganggu operasional, fungsi,
integritas dan ketersediaan sebuah sistem informasi
Kelemahan (VULNERABILITIES)• Kelemahan dari desain, konfigurasi dan implementasi
sebuah sistem informasi yang membawanya rentan terhadap ancaman
• Setiap 10 ribu code programming minimal ada satu cacat / hole.
• 102 Milyar code dihasilkan dalam sehari 10,2 juta hole lahir dalam sehari
Aspek Keamanan Informasi Serangan
(ATTACKS) Tehnik khusus yang digunakan untuk mengekploitasi kelemahan yang ada dalam sebuah sistem informasi
• Serangan Pasif: Mengumpulkan informasi dgn cara monitoring dan recording traffic di jaringan atau dengan social engineering
• Serangan Aktif : aksi langsung pada sistem komputer
4R Keamanan Informasi
Jenis-jenis serangan
• Hacking• Denial of service• Kode berbahaya (malicious code)• Social engineering
Type of Attacks22
Contoh-contoh kasus
2010 – Wikileaks2010 – Virus Stuxnet menyerang PLTN di IranAgs 2008 – Serangan Internet terhadap Situs web GeorgiaApr 2007 – Serangan Cyber terhadap Estonia Sep 2005 – Kontroversi Kartun Muhammad (Jyllands-Posten)Mei 2005 – Malaysia-Indonesia Apr 2001 – Sino-AS
Nilai kerugian?
Peningkatan Keamanan (1)
• Pengamanan Administratif– Strategi, kebijakan, dan pedoman keamanan
informasi• Strategi keamanan informasi • Kebijakan keamanan informasi• Pedoman keamanan informasi• Standar keamanan informasi • IT Compliance
Peningkatan Keamanan (2)
• Pengamanan Administratif – lanjutan– Proses dan operasi keamanan informasi
• Program pendidikan dan pelatihan keamanan informasi • Penguatan promosi melalui berbagai kegiatan• Pengamanan dukungan
Pengamanan dengan Teknologi
• Model Defense-in-Depth (DID)
Pengamanan dengan Teknologi
• Teknologi Pencegah– Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut plaintext) menjadi sandi, bentuk yang tidak dapat dipahami
– One-Time Passwords (OTP)OTP hanya dapat digunakan sekali. Password statis lebih mudah disalahgunakan oleh password loss, password sniffing, dan brute-force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Pengamanan dengan Teknologi
• Teknologi pencegah (lanjutan)– Firewall
Firewalls mengatur beberapa aliran lalu lintas antara jaringan komputer dari trust level yang berbeda.
– Alat penganalisis kerentananAda 3 jenis alat penganalisis kerentanan:
• Alat penganalisis kerentanan jaringan• Alat penganalisis kerentanan server • Alat penganalisis kerentanan web
Pengamanan dengan Teknologi• Teknologi deteksi
– Anti-VirusProgram komputer untuk mengidentifikasi, menetralisir atau mengeliminasi kode berbahaya
– IDS (Intrusion Detection System)IDS mengumpulkan dan menganalisis informasi dari berbagai area dalam sebuah komputer atau jaringan untuk mengidentifikasi kemungkinan penerobosan keamanan
– IPS (Intrusion Prevention System)IPS mengidentifikasi potensi ancaman dan bereaksi sebelum mereka digunakan untuk menyerang
Pengamanan dengan Teknologi• Teknologi terintegrasi
– ESM (Enterprise Security Management)Sistem ESM mengatur, mengontrol dan mengoperasikan solusi keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang ditetapkan
– ERM (Enterprise Risk Management)Sistem ERM adalah membantu memprediksi seluruh risiko yang terkait dengan organisasi, termasuk area di luar keamanan informasi, dan mengatur langkah mengatasinya secara otomatis
Peran & Tanggung Jawab
Metodologi Keamanan Informasi
• Model Proses ISO/IEC 27001 (BS7799)ISO/IEC27001 mengadopsi model proses Plan-Do-Check-Act, yang digunakan untuk mengatur struktur seluruh proses ISMS.
Model PDCA yang diterapkan ke Proses ISMS
Sumber: ISO/IEC JTC 1/SC 27
Metodologi Keamanan Informasi• ISO/IEC 27001 (BS7799)
– Analisis kesenjanganProses pengukuran tingkat keamanan informasi saat ini dan menetapkan arah masa depan keamanan informasi
– Kajian risikoTerdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan kerentanan
– Penerapan kontrolDiperlukan keputusan untuk menerapkan kontrol yang sesuai untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko yang dapat diterima dan risiko yang tidak dapat diterima mengikuti kriteria 'Tingkatan Jaminan'.
SISTEM INFORMASI YANG AMAN ?
The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards -and even then I have my doubts (Eugene H. Spafford)
Dasar Hukum Pengamanan Informasi Rahasia di Lingkungan Pemerintah
1.1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi ElektronikElektronik
2.2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi PublikUU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
3.3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang Keterbukaan Informasi PublikTentang Keterbukaan Informasi Publik
4.4. PP Nomor 38 Tahun 2007 Tentang Pembagian Urusan PP Nomor 38 Tahun 2007 Tentang Pembagian Urusan Pemerintahan Antara Pemerintah, Pemerintahan Daerah Provinsi Pemerintahan Antara Pemerintah, Pemerintahan Daerah Provinsi dan Pemerintahan Daerah Kabupaten/Kotadan Pemerintahan Daerah Kabupaten/Kota
5.5. Keppres Nomor 103 Tahun 2001 Tentang Kedudukan, Tugas, Keppres Nomor 103 Tahun 2001 Tentang Kedudukan, Tugas, Fungsi, Kewenangan, Susunan Organisasi, dan Tata Kerja Fungsi, Kewenangan, Susunan Organisasi, dan Tata Kerja Lembaga Pemerintah Non Departemen Sebagaimana telah Lembaga Pemerintah Non Departemen Sebagaimana telah diubah dengan Perpres Nomor 64 Tahun 2005diubah dengan Perpres Nomor 64 Tahun 2005
6.6. Permenpan Nomor 22 Tahun 2008 Tentang Pedoman Umum Tata Permenpan Nomor 22 Tahun 2008 Tentang Pedoman Umum Tata Naskah DinasNaskah Dinas
7.7. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang Pengamanan Berita Rahasia Melalui Proses Persandian dan Pengamanan Berita Rahasia Melalui Proses Persandian dan TelekomunikasiTelekomunikasi
8.8. SEB Mendagri dan Ka. Lemsaneg (0SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ 61/1727/SJ -- HK.104/SE.2061/200HK.104/SE.2061/2008)8)
Produk Hukum Terkait PersandianProduk Hukum Terkait Persandian
Telematics:Convergence
• Paket UU ttg HKI • Arsip & Dokumen Perusah (UU 8/1997)
INTERNET
SERVICES
Hardware &
Software
Cable TV Satellite TV
Broadcasting
Off-line Entertainment
&
Information
Networking
Switching
Telephony
Film, News Education/Edutaiment
Advertising
MEDIA•Publishing•Film industry & Advertising
TELECOMMUNICATIONS
•Network Infrastructure
COMPUTING•Information Processing•Consumer Electronics
Media Cetak/Pers (UU 40/1999) Media Elektronik (UU 32/2002) Film (UU. 33/2009) KIP (14/2008)
UU 36/1999UU 38/2009 UU 25/2009
UU-ITE
UU 44/2008 pornografi
content
NetworkOperator
Users/Cons.
LAN
1st G
voice
2nd G
• Voice• text
3rd G
• Voice• Text• Video
4th G
• voice• text• video• TCP/IP based
ContentComputingCommunicationCommunity
• Setiap Badan Publik wajib membuka akses Setiap Badan Publik wajib membuka akses bagi setiap Pemohon Informasi Publik untuk bagi setiap Pemohon Informasi Publik untuk mendapatkan Informasi Publik, kecuali: mendapatkan Informasi Publik, kecuali:
a.a. Informasi Publik yang apabila dibuka dan diberikan Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat kepada Pemohon Informasi Publik dapat menghambat proses penegakan hukum,menghambat proses penegakan hukum,
b.b. Informasi Publik yang apabila dibuka dan diberikan Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat kepada Pemohon Informasi Publik dapat mengganggu kepentingan perlindungan hak atas mengganggu kepentingan perlindungan hak atas kekayaan intelektual dan perlindungan dari kekayaan intelektual dan perlindungan dari persaingan usaha tidak sehatpersaingan usaha tidak sehat
c.c. Informasi Publik yang apabila dibuka dan diberikan Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat kepada Pemohon Informasi Publik dapat membahayakan pertahanan dan keamanan negaramembahayakan pertahanan dan keamanan negara
UU Nomor 14 Tahun 2008 KIPUU Nomor 14 Tahun 2008 KIP
Setiap Badan Publik wajib membuka akses Setiap Badan Publik wajib membuka akses bagi setiap Pemohon Informasi Publik untuk bagi setiap Pemohon Informasi Publik untuk mendapatkan Informasi Publik, kecuali :mendapatkan Informasi Publik, kecuali :
c.c.Informasi Publik yang apabila dibuka dan Informasi Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik diberikan kepada Pemohon Informasi Publik dapat membahayakan pertahanan dan dapat membahayakan pertahanan dan keamanan negara, yaitu:keamanan negara, yaitu: informasi tentang strategi, intelijen, operasi, taktik informasi tentang strategi, intelijen, operasi, taktik
dan teknik yang berkaitan dengan penyelenggaraan dan teknik yang berkaitan dengan penyelenggaraan sistem pertahanan dan keamanan negara, meliputi sistem pertahanan dan keamanan negara, meliputi tahap perencanaan, pelaksanaan dan pengakhiran tahap perencanaan, pelaksanaan dan pengakhiran atau evaluasi dalam kaitan dengan ancaman dari atau evaluasi dalam kaitan dengan ancaman dari dalam dan luar negeri;dalam dan luar negeri;
dokumen yang memuat tentang strategi, intelijen, dokumen yang memuat tentang strategi, intelijen, operasi, teknik dan taktik yang berkaitan dengan operasi, teknik dan taktik yang berkaitan dengan penyelenggaraan sistem pertahanan dan keamanan penyelenggaraan sistem pertahanan dan keamanan negara yang meliputi tahap perencanaan, negara yang meliputi tahap perencanaan, pelaksanaan dan pengakhiran atau evaluasi;pelaksanaan dan pengakhiran atau evaluasi;
Pasal 17 butir c UU KIP Pasal 17 butir c UU KIP ::
• Yang dimaksud dengan Yang dimaksud dengan “sistem “sistem persandian negara”persandian negara” adalah adalah
segala sesuatu yang berkaitan dengan segala sesuatu yang berkaitan dengan pengamanan Informasi rahasia negara yang pengamanan Informasi rahasia negara yang meliputi data dan Informasi tentang material sandi meliputi data dan Informasi tentang material sandi dan jaring yang digunakan , metode dan teknik dan jaring yang digunakan , metode dan teknik aplikasi persandian, aktivitas penggunaannya, aplikasi persandian, aktivitas penggunaannya, serta kegiatan pencarian dan pengupasan serta kegiatan pencarian dan pengupasan Informasi bersandi pihak lain yang meliputi data Informasi bersandi pihak lain yang meliputi data dan Informasi material sandi yang digunakan, dan Informasi material sandi yang digunakan, aktivitas, pencarian dan analisis, sumber Informasi aktivitas, pencarian dan analisis, sumber Informasi bersandi, serta hasil analisis dan personil sandi bersandi, serta hasil analisis dan personil sandi yang melakukan.yang melakukan.
Penjelasan Pasal 17 butir c.6 UU KIPPenjelasan Pasal 17 butir c.6 UU KIP
Regulasi
• UU RI no. 11 thn 2008 tentang Informasi dan Transaksi Elektronik
• Pasal 1 ayat 5 :Pasal 1 ayat 5 :““Sistem Elektronik adalah serangkaian perangkat dan Sistem Elektronik adalah serangkaian perangkat dan
prosedur elektronik yang berfungsi mempersiapkan, prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik”dan/atau menyebarkan Informasi Elektronik”
UU Nomor 11 Tahun 2008 Informasi dan UU Nomor 11 Tahun 2008 Informasi dan Transaksi ElektronikTransaksi Elektronik
Defenisi Cyber Crime
Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime and the Treatment of Offenders di Havana, Cuba pada tahun 1990 dan di Wina, Austria pada tahun 2000, ada dua istilah yang dikenal. Pertama adalah istilah ‘cyber crime. Kedua adalah istilah ‘computer related crime’. Dalam back ground paper untuk lokakarya Kongres PBB X/2000 di Wina, Austria istilah ‘cyber crime’ dibagi dalam dua kategori. Pertama, cyber crime dalam arti sempit (in a narrow sense) disebut ‘computer crime’. Kedua, cyber crime dalam arti luas (in a broader sense) disebut ‘computer related crime’.
Cyber crime in a narrow sense (computer crime) : any illegal behaviour directed by means of electronic operations that targets the security of computer system and the data processed by them.
Cyber crime in a broader sense (computer related crime) : any illegal behaviour committed by means on in relation to, a computer system or network, including such crime as illegal possession, offering or distributing information by means of a computer system or network.
Masih menurut dokumen tersebut, cyber crime meliputi kejahatan yang dilakukan:
Dengan menggunakan sarana-sarana dari sistem atau jaringan komputer (by means of a computer system or network)
Di dalam sistem atau jaringan komputer (in a computer system or network) ; dan
Terhadap sistem atau jaringan komputer (against a computer system or network).
Peran komputer dalam cyber crimes
1. sebagai sarana
2. sebagai tempat menyimpan 3. sebagai sasaran
Beberapa kata kunci yang dihasilkan oleh Council Of Europe dalam Convention On
Cyber Crime di Budapest, Hongaria pada tahun 2001.
Illegal access: sengaja memasuki atau mengakses sistem komputer tanpa hak.
Illegal interception: sengaja dan tanpa hak mendengar atau menangkap secara diam-diam pengiriman dan pemancaran data komputer yang tidak bersifat publik ke, dari atau di dalam sistem komputer dengan menggunakan alat bantu teknis.
Data interference: sengaja dan tanpa hak melakukan perusakan, penghapusan atau perubahan data komputer.
System interference: sengaja melakukan gangguan atau rintangan serius tanpa hak terhadap berfungsinya sistem komputer.
Misuse of devices: penyalahgunaan perlengkapan komputer termasuk program komputer, password komputer, kode masuk.
Kegiatan Berpotensi Cyber Crimes
Layanan Online Shopping (toko online), yang memberi fasilitas pembayaran melalui kartu kredit
Layanan Online Banking (perbankan online)
Kejahatan Kartu Kredit (Credit Card Fraud)
Sebelum ada kejahatan kartu kredit melalui internet, sudah ada model kejahatan kartu kredit konvensional (tanpa internet)
Jenis kejahatan ini muncul akibat adanya kemudahan sistem pembayaran menggunakan kartu kredit yang diberikan online shop
Pelaku menggunakan nomer kartu kredit korban untuk berbelanja di online shop
Tindak Pencegahan Kejahatan
Credit Card Fraud dapat diantisipasi dengan menerapkan sistem otorisasi bertingkat
Sistem online banking dapat meningkatkan keamanan dengan menggunakan sistem penyandian transmisi data (secure http), digital certificate dan OTP (one time password)
Asas UU ITE
1. Kepastian hukum2. Kemanfaatan3. Kehati-hatian4. Itikat baik5. Kebebasan memilih teknologi
Tujuan UU ITE1. Mencerdaskan kehidupan bangsa sebagai bagian dari masyarakat
informasi dunia2. Mengembangkan perdagangan dan perekonomian nasional dalam
rangka meningkatkan kesejahteraan masyarakat.3. Membuka kesempatan seluas-luasnya kepada setiap orang untuk
memajukan pemikiran dan kemampuan di bidang penggunaan dan pemanfaatan teknologi informasi seoptimal mungkin dan bertanggung jawab
4. Memberikan rasa aman, keadilan dan kepastian hukum bagi pengguna dan penyelenggaran teknologi infomrasi
Tindakan Pengamanan1. Modernisasi hukum pidana materiil dan hukum pidana formil.2. Mengembangkan tindakan-tindakan pencegahan dan pengamanan komputer.3. Melakukan langkah-langkah yang membuat peka masyarakat, aparat
pengadilan dan penegak hukum, terhadap pentingnya pencegahan kejahatan yang berhubungan dengan komputer.
4. Melakukan pelatihan para hakim, pejabat dan aparat penegak hukum mengenai kejahatan ekonomi dan cyber crime.
5. Memperluas rule of ethics dalam penggunaan komputer dan mengajarkannya melalui kurikulum infomratika
6. Mengadopsi kebijakan perlindungan korban cyber crime termasuk untuk mendorong korban melaporkan adanya cyber crime
SEKILAS TENTANGSEKILAS TENTANG KEBIJAKAN KEBIJAKANKEAMANAN INFORMASIKEAMANAN INFORMASI INDONESIA INDONESIA
Information Security Today
Sumber : (ISC)2 – SSCP-CBK
3+2 Pilar Keamanan Informasi
• Objective• Organizational Structure• Architecture
Business
Legal Remedy
People
Process
Technology
• Law• Regulation• Cooperation & Agreement
• Professionalism• Education• Training
• Methodology• Standard• Guideline
• Network• Hardware• Software
S E C U R I T Y
S E C U R I T Y
Sumber : Modified Presentasi CA -SAM Pollkam Kominfo 2011
Ruang Lingkup Keamanan Informasi
Tony Rutkowski, [email protected], ITU-T Cybersecurity Rapporteur Group
EVP, Yaana TechnologiesSenior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and
Policy (CISTP)
20 Security Best Practices (ITU)General IT Security
Security Awareness
Cyber Security and Networking
Electronic Authentication and Personal Identification
Electronic Signatures
E-mail Security
Financial Services Security
Incident Management, Monitoring and Response
Media and End User Device Security
Mobile Device Security
Network Security and Information Exchange
Operating System and Server Security
Planning, Testing and Security Management
Radio Frequency Identification (RFID) Security
Radio Frequency Identification (RFID) Security
Security Metrics
Risk Management
Security Policy
Spam, Spyware and Malicious Code
Web Security
Wireless Networks
Sumber : ITU & Modified Presentasi CA -2011
HISA FrameworkHogan Information Security Architecture Framework
Business /
Goverment
ICT
InfoSec Governance/
Risk Management
Threat
Vulnerability
Asset
Confidentiality
IntegrityAvailability
AdministrativeTechnical
Physical
Prevention
DetectionRespon
se
People
Process
Technology
CertificationComplian
ceCare
IndividualOrganizati
on Country
Sumber : Hogan –Presdir Unipro
PERMASALAHANPERMASALAHANKEAMANAN INFORMASIKEAMANAN INFORMASI
• Implementasi
pengamanan TIK di
Indonesia masih berjalan
sendiri-sendiri (Silo
System).
•Belum ada pengelola
Government Certificate
of Authority (CA).
Kondisi Kemanan Informasi di Indonesia
•Belum terbentuknya
Disaster Recovery
Center (DRC)
Pemerintah.
•Belum adanya SOP
dalam Keamanan
Informasi Nasional
•Belum adanya (explicitly)
peraturan perundang-
undangan di bidang
Keamanan Informasi.
•Belum ada kerangka
Keamanan Informasi
secara Nasional.
Sumber : Detiknas 2010 - Modified
•Vandalism
•Incident is known
•Attack System
•Broad base
•Individual
CHAN
GE
•Information Leaks
•Attack Control System
•Profit Oriented
•Stealthy mode
•Attack Application and Data
•Targeted
•Organized crime
•(State) Sponsored Attack/
Espionage/Sabotage
•Military Domain
5 Years Ago Now
Security Landscape
Sumber : Hogan-Unipro-Modified
(Cyber Range Attack from Individual, Corporation to Country)• Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS,
DDOS, etc)• Account Hijack• Spam, Phishing• Identity Theft• Web Defaced• Data Leakage/Theft• Web Transaction Attack• Misuse of IT Resources• Cyber Espionage• Cyber War
Security Landscape
Sumber : Presentasi CA –Modified
65
Ancaman Keamanan Informasi
Sumber : Presentasi Iwan S-Bank Indonesia 2008
BEST PRACTICESBEST PRACTICESKEAMANAN INFORMASI KEAMANAN INFORMASI
Amerika Serikat Negara LainLembaga
Internasional
1. White House
2. NIST
3. DoHS
4. DoD
5. CERT
1. Infocomm Development Authority (IDA) of Singapore
2. CyberSecurity Malaysia, under Ministry of Science, Technology and Innovation (MOSTI)
3. Cyber Security Operation Center (CSOC), Australian Department of Defense.
4. National Information Security Council of Japan.
1. ITU International Telecommunication Union
2. ISO/IEC – International Standard Organization
3. ISF – Information Security Forum
4. BSA- Business Software Alliance
Lesson Learned Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya
koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan
informasi yang merupakan bagian dari arsitektur enterprise
Best Practices - Inisiatif Information Security
Regulation & Best Practices
Government Regulation
• UU ITE 2008 (PP pendukung - 2010), RPM, SE
•PP 60/2008 (Sistem Pengendalian Intern Pemerintah)
•PBI (Peraturan Bank Indonesia) 2007
Industry Regulation
Best Practices
• Basell II (Banking Industry)
•PCI-DSS (Payment Card Industry Data Security Standard)
• COBIT Framework
•COSO Enterprise Risk Management Framework
•ISO 27001 (SNI-ISO 27001 - Oct 2009), ISO 27002
SNI-ISO 27001 Sistem Manajemen
Keamanan Informasi
1. Kebijakan Keamanan Informasi2. Organisasi Keamanan Informasi3. Pengelolaan Aset4. Keamanan Sumber Daya Manusia5. Keamanan Fisik dan Lingkungan6. Manajemen Komunikasi dan Operasi7. Pengendalian Akses8. Akuisisi, Pengembangan dan
Pemeliharaan Sistem Informasi9. Manajemen Insiden Keamanan Infomasi10. Manajemen Keberlanjutan Bisnis • Kesesuaian (Compliance).
69Sumber ISMS – ISO 27001
“Security Transcends Technology”
