Post on 26-Jan-2016
description
Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga
DR. Hasyim Gautama
Batam, 11 April 2012
Agenda
• Cyber Crime• Keamanan Informasi• Tata Kelola Kaminfo• Strategi Pelaksanaan
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data DiplomatikData rahasiaIndonesia dimilikioleh AS.Wikileaks memuatdata tsb. di situsstatic.guim.co.uk
Anonymous
Urgensi Penerapan Kaminfo• Informasi adalah aset yg rawan terhadap–Pencurian–Modifikasi
• Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi
Keamanan Informasi
Keamanan InformasiTerjaganya informasi dari ancaman danserangan terhadap:• kerahasiaan (confidentiality)• keutuhan (integrity)• ketersediaan (availability)• nirsangkal (non repudiation)
Aspek Keamanan Informasi• Kerahasiaan (confidentiality): pesan hanya bisa
terbaca oleh penerima yang berhak• Keutuhan (integrity): pesan yang diterima
tidak berubah• Ketersediaan (availability): pesan dapat
tersampaikan ke penerima • Nirsangkal (non repudiation): pesan terkirim
tidak dapat disangkal oleh pengirimnya
Gangguan Keamanan• Ancaman–Manusia–Alam
• Serangan– Interupsi: Denial of Service (DoS)– Intersepsi: Packet Sniffing–Modifikasi: TCP Hijacking, Virus Trojan– Fabrikasi: Packet Spoofing
Ancaman
Berasal dari:• Manusia• Alam
Ancaman dari Manusia• Staf internal–Mencatat password–Meninggalkan sistem tanpa logout
• Spy–Menyadap data
• Yang ingin tenar–Menginginkan perhatian publik
• Yang ingin coba-coba
Ancaman dari Alam• Temperatur: panas /dingin yg ekstrim• Kelembaban atau gas yg ekstrim:
kegagalan AC• Air: banjir, pipa bocor• Organisme, bakteri, serangga• Anomali energi: kegagalan listrik, petir
Serangan• Interupsi: Denial of Service (DoS)• Intersepsi: Packet Sniffing• Modifikasi: TCP Hijacking, Virus Trojan• Fabrikasi: Packet Spoofing
Denial of Service (DoS)Menghalangi akses pihak yang berhak dg
membanjiri permintaan akses fiktifContoh: serangan TCP SYN, permintaan
koneksi jaringan ke server dalam jumlah yang besar
Distributed DoS
Packet SniffingMendengarkan dan merekam paket yg
lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer:
Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan
untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus TrojanMerekam pesan lalu memodifikasinya dan
dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program
tersembunyi yang biasanya menempel pada email atau free games software.
• Masuk ke sistem• Mengakses file system• Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket SpoofingMengubah alamat pengirim paket untuk
menipu komputer penerimaContoh: Man-in-the-middel-attack,
penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.
Man-in-the-middel-attack
Pengamanan Fisik• Pemilihan Lokasi• Konstruksi bangunan• Pengamanan akses–Pengawasan Personil: penjaga & CCTV–Perangkat kontrol akses personil: kunci,
security access card & perangkat biometric
Pengamanan Logik (1)• Otentikasi user• Otorisasi user• Enkripsi• Tanda Tangan dan Sertifikat Digital• Firewall
Pengamanan Logik (2)• DeMilitarized Zone (DMZ)• Intrusion Detection System (IDS) • Server• Client• Code/script
Otentikasi• Account Locking: akun terkunci jika
terjadi kesalahan login bbrp kali• Password Expiration: password harus
diubah jika telah melewati batas waktu• Password Complexity Verification: –Panjang minimum–Kombinasi alfabet, nomor dan tanda baca– Tidak sama dengan kata-kata sederhana
OtorisasiPemberian hak akses thd resource• Access Control List (ACL), untuk kontrol
akses: baca, tulis, edit atau hapus• Access Control File (ACF), untuk kontrol
akses thd web server: access.conf dan .htaccess
• Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh EnkripsiSymmetric• Data Encryption Standard (DES)• Blow Fish• IDEAAsymmetric• RSA• Merkle-Hellman Scheme
Tanda Tangan Digital
Sertifikat Digital
Firewall
DeMilitarized Zone
Intrusion Detection System
Tata Kelola Kaminfo
Landasan Hukum
• Undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang:“Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Komponen SNI 270011. Kebijakan Keamanan2. Organisasi Keamanan3. Pengelolaan Aset4. Keamanan Sumber
Daya Manusia5. Keamanan Fisik &
Lingkungan6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses8. Akuisisi,
Pengembangan & Pemeliharaan Sistem Informasi
9. Manajemen Insiden Keamanan
10. Manajemen Keberlanjutan Bisnis
11. Kesesuaian
Manajemen Keamanan
PlanPlan
DoDo
CheckCheck
ActAct
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009
• Fungsi: sebagai indikator penerapan keamanan informasi secara nasional
Ruang Lingkup
1. Kebijakan dan Manajemen Organisasi2. Manajemen Resiko3. Kerangka Kerja4. Manajemen Aset Informasi5. Teknologi
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata kelola
2. Menggunakan Indeks KAMI sebagai alat ukur3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan Informatika
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI):0. Pasif1. Reaktif2. Aktif3. Proaktif4. Terkendal5. Optimal
CMMI: 5 Tingkat KematanganLevel 5
Initial
Level 1
Processes are unpredictable, poorly controlled, reactive.
Repeatable
Level 2
Processes are planned, documented, performed, monitored, and controlled at the project level. Often reactive.
Defined
Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organizational (Organization X ) level. Proactive.
Managed
Level 4
Processes are controlled using statistical and other quantitative techniques.
Optimized
Proc
ess M
atur
ity
Process performance continually improved through incremental and innovative technological improvements.
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level indeks kaminfo
• Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment
• Tahun 2012: evaluasi dengan self dan on-site assessment keamanan informasi
Hasil Pemeringkatan Kaminfo
• Tata Kelola• Pengelolaan Resiko• Kerangka Kerja• Pengelolaan Aset• Teknologi & Kaminfo
• Tata Kelola• Pengelolaan Resiko• Kerangka Kerja• Pengelolaan Aset• Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi
• Instansi pemerintah:– memiliki sistem elektronik yg perlu diproteksi dg
penerapan indeks kaminfo– tapi SDMnya (terlalu) sibuk dg rutinitas birokrasi
• Akademisi:– memiliki SDM yg unggul– perlu aktualisasi diri dg praktek kerja atau magang
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam• Seminar• Bimbingan Teknis• Asesmen• Pemeringkatan• Klinik konsultasi
Technology
• Sistem elektronik di pemerintah sbg obyek asesmen
• Aplikasi indeks kaminfo berupa spreadsheet• Panduan penerapan indeks kaminfo
Terima kasih
hasyim.gautama@kominfo.go.id
ditkaminfo
ditkaminfo
hasyim.gautama@kominfo.go.id
ditkaminfo
ditkaminfo