Transcript
5/7/2014
1
Tatakelola
Keamanan InformasiISGOVERNANCE
Soni Fajar Surya G, M.T. , MCAS.Prodi Sistem Informasi - STMIK LPKIA
Jl. Soekarno Hatta No. 456 Bandung
mustonie@lpkia.ac.id
Diampaikan pada acara pelatihan
Perencanaan dan Pengembangan Sistem Informasi Guna Mendukung Terwujdunya Grand Design Sistem Keamanan Informasi
Hotel Sahati - Jakarta, 9 Mei 2014
1
Materi Bahasan
Apa itu Tatakelola Keamanan Informasi?
Mengapa perlu Tatakelola Keamanan Informasi?
Apa saja Standard yang digunakan
International
Nasional
Apa itu Sistem Manajemen Keamanan Informasi (SMKI)
Struktur dokumentasi SMKI
Tahapn Penerapan SMKI
Indeks KAMI
2
5/7/2014
2
WHAT ? ISGOVERNANCE
3
Apa itu Tatakelola
Keamanan Informasi?
Security Governance is the organizational processes and relationships for managing risk
Policies, Procedures, Standards, Guidelines, Baselines
Organizational Structures
Roles and Responsibilities
[Keith A. Watson, CISSP]
Information security is the protection of information from a wide range of threats in order
to ensure business continuity, minimize business risk, and maximize return on investments
and business opportunities. [ISO/IEC 27002]
Kominfo menyatakan bahwa Keamanan Informasi pada hakekatnya adalah rangkaian
kegiatan yang dilakukan agar dapat terjaganya informasi dari ancaman dan serangan
terhadap Kerahasiaan (confidentiality), Keutuhan (integrity), Keaslian (authentication) dan Nirsangkal (non repudiation)
4
5/7/2014
3
IT SECURITY FRAMEWORK
5
Extended characteristicsor Principlesof InfoSec management(the 6 Ps)
Planning
Policy
Programs
Protection
People
Project Management
6
5/7/2014
4
The CIA triangle
Information Security Principles
Confidentiality (menyangkut kerahasiaan data & informasi) Allowing only authorized subjects access to information
Integrity (menyangkut keutuhan data & informasi) Allowing only authorized subjects to modify information
Availability (menyangkut ketersediaan data & informasi)
Ensuring that information and resources are accessible when needed
7
Confidentiality / Privacy
Proteksi data [hak pribadi] yang sensitif
Nama, tempat tanggal lahir, agama, hobby, penyakit yang pernah diderita, status
perkawinan
Data pelanggan
Sangat sensitif dalam e-commerce, healthcare
Serangan: sniffer, SOP tidak jelas
Proteksi: enkripsi
Electronic Privacy Information Center http://www.epic.org
Electronic Frontier Foundartion http://www.eff.org
Look at: your Device
8
5/7/2014
5
Integrity Informasi tidak berubah tanpa ijin (tampered, altered, modified)
Serangan: spoof, virus, trojan horse, man in the middle attack
Proteksi: signature, certificate, hash
9
Availability
Informasi harus dapat tersedia ketika dibutuhkan
Serangan terhadap server: dibuat hang, down, crash, lambat, bencana alam
Serangan: Denial of Service (DoS) attack (mulai banyak)
Proteksi: backup, IDS, filtering router, firewall
10
5/7/2014
6
Authenticity
Meyakinkan keaslian data, sumber data, orang yang mengakses data, server yang digunakan
penggunaan digital signature, biometrics
Serangan: password palsu, terminal palsu, situs web palsu
Proteksi: certificates
11
WHY ? ISGOVERNANCE
12
5/7/2014
7
Mengapa perlu Tatakelola
Keamanan Informasi?
Internal vs Eksternal
Militer vs Non Militer
13
Ancaman Terhadap NKRI Ancaman Militer
Ancaman dalam bentuk kekuatan militer untuk mengganggu
kedaulatan Negara, keutuhan wilayah NKRI dan keselamatan segenap
bangsa dan Negara.
Ancaman Non Militer
Ancaman dalam bentuk selain kekuatan militer (dapat berupa
kekuatan ekonomi, informasi, teknologi, politik dan sosial budaya)
14
5/7/2014
8
Fakta Fakta di Indonesia Juni 2001. Situs plesetan kilkbca.com muncul dan menangkap PIN pengguna
klikbca.com
Oktober 2001. Jaringan VSAT BCA terputus selama beberapa jam sehingga mesin ATM tidak dapat digunakan untuk transaksi. Tidak diberitakan penyebabnya.
3 April 2002. Pada siang hari (jam 14:34 WIB), sistem BEJ macet sehingga transaksi tidak dapat dilakukan sampai tutup pasar (jam 16:00). Diduga karena ada transaksi besar (15 ribu saham TLKM dibeli oleh Meryll Lynch). Padahal ada perangkat (switch) yang tidak berfungsi
Oktober 2002. Web BRI diubah (deface)
Situs Indonesia hadapi 40 Ribu Serangan Sehari (Tempo, 17 Juli 2012), sumber Indonesian Security Incident Response Team on Internet Infrastructure / Id-SIRTII
Motifnya : iseng atau ketidaksukaan, meski belum ditemukan alasan yang serius
Situs go.id sempat beberapa kali menduduki peringkat pertama, terutama situs pemda
Menteri Komunikasi dan Informatika mengungkapkan bahwa pada tahun 2011 terdapat 3 juta serangan pada situs go.id. Termasuk situs Mabes Polri.
15
Jenis Serangan (attack)
Menurut W. Stallings :
InterruptionDoS attack, network flooding
Interception/HijackingPassword sniffing
ModificationVirus, trojan horse
Fabricationspoffed packets
A B
E
16
5/7/2014
9
Screenshoot 17
Ancaman Cyber bagi Indonesia18
5/7/2014
10
19
STANDARDS ? ISGOVERNANCE
20
5/7/2014
11
Apa saja Standard yang digunakan
International Organization for Standardization(ISO) telah mengembangkan sejumlah standar tentang Information Security Management Systems (ISMS)
ISO/IEC 27000:2009 ISMS Overview and Vocabulary
ISO/IEC 27001:2005 ISMS Requirements (diadopsi BSN, Sept 2011)
ISO/IEC 27002:2005 Code of Practice for ISMS
ISO/IEC 27003:2010 ISMS Implementation Guidance
ISO/IEC 27004:2009 ISMS Measurements
ISO/IEC 27005:2008 Information Security Risk Management
ISO/IEC 27006:2007 ISMS Certification Body Requirements
ISO/IEC 27007 Guidelines for ISMS Auditing
21
Hubungan antar Standar SMKI
SNI ISO/IEC 27001: 2009 tentang
Teknologi Informasi
Teknik Keamanan
Sistem Manajemen Keamanan Informasi
Persyaratan
22
5/7/2014
12
Ruang Lingkup SNI 270011. Kebijakan Keamanan
2. Organisasi Keamanan
3. Pengelolaan Aset
4. Keamanan Sumber Daya Manusia
5. Keamanan Fisik & Lingkungan
6. Manajemen Komunikasi & Operasi
7. Pengendalian Akses
8. Pengembangan,Akuisisi & Pemeliharaan Sistem Informasi.
9. Manajemen Insiden Keamanan
10. Manajemen Keberlanjutan Bisnis
11. Kesesuaian
23
smkiIndonesia?
24
5/7/2014
13
Landasan Hukum
Undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE)
Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik
25
Apa itu SMKI
Sistem Manajemen Keamanan Informasi (SMKI) adalah bagian dari keseluruhan sistem
manajemen organisasi untuk menetapkan, menerapkan, mengoperasikan, memantau,
meninjau, memelihara dan meningkatkan keamanan informasi.
SMKI dibangun dengan pendekatan risiko
Area Evaluasi SMKI (berbasis rangkuman kontrol ISO/ISO 27001:2005) meliputi:
1. Tata Kelola Keamanan Informasi
2. Manajemen Risiko Keamanan Informasi
3. Kerangka Kerja Pengelolaan Keamanan Informasi
4. Pengelolaan Aset Informasi
5. Teknologi Keamanan Informasi
26
5/7/2014
14
PDCA dalam smkiIndonesia
Model (PDCA) Proses SMKI
PLAN (Menetapkan SMKI) Menetapkan kebijakan SMKI, sasaran, proses dan
prosedur yang relevan untuk mengelola risiko dan
meningkatkan keamanan informasi agar memberikan
hasil sesuai dengan keseluruhan kebijakan dan sasaran.
DO (Menerapkan dan
mengoperasikan SMKI)
Menerapkan dan mengoperasikan kebijakan SMKI,
kontrol, proses dan prosedur-prosedur.
CHECK (Memantau dan
melakukan tinjau ulang SMKI)
Mengkaji dan mengukur kinerja proses terhadap
kebijakan, sasaran, praktek-praktek dalam menjalankan
SMKI dan melaporkan hasilnya kepada manajemen
untuk ditinjau efektivitasnya.
ACT (Memelihara dan
meningkatkan SMKI)
Melakukan tindakan perbaikan dan pencegahan,
berdasarkan hasil evaluasi, audit internal dan tinjauan
manajemen tentang SMKI atau kegiatan pemantauan
lainnya untuk mencapai peningkatan yang
berkelanjutan.
27
smkiDocuments ?
28
5/7/2014
15
Struktur Dokumentasi smki
Dokumen tk.1, bersifat strategis, memuat komitmen yang
dituangkan dalam bentuk kebijakan, standar, sasaran dan
rencana terkait pengembangan (development), penerapan
(implementation) & peningkatan (improvement) SMKI.
Dokumen Tingkat 1 minimum terdiri dari :
1. kebijakan keamanan informasi
2. peran & tanggung jawab organisasi keamanan informasi,
klasifikasi informasi
3. kebijakan pengamanan akses fisik dan lojik
4. KebijakanManajemen RisikoTIK
5. Manajemen Kelangsungan Usaha (Business Continuity
Management)
6. Ketentuan Penggunaan Sumber Daya TIK
Tingkat 1
Kebijakan & Standar
Tingkat 2 Prosedur, Panduan, Petunjuk
Pelaksanaan
Tingkat 3 Petunjuk Teknis, Instruksi Kerja,
Formulir
29
Contoh best practises
Prinsip & Kebijakan, perlu dipelajari contoh prinsip dan kebijakan yang diterapkan
pada berbagai institusi.
Situs Penyedia template Policy
http://ocio.os.doc.gov/ITPolicyandPrograms/Policy___Standards/PROD01_009505
http://www.dmoz.org/Computers/Security/Policy/Sample_Policies/
30
5/7/2014
16
Struktur Dokumentasi smkiDokumen tk.2, bersifat operasional, umumnya meliputi
prosedur dan panduan yang dikembangkan secara internal
oleh instansi/lembaga penyelenggara pelayanan publik dan
memuat cara menerapkan kebijakan yang telah ditetapkan
serta menjelaskan penanggung jawab kegiatan.
Prosedur-prosedur dalam dokumen tingkat 2 meliputi antara
lain:
1. Prosedur pengendalian dokumen
2. Prosedur pengendalian rekaman
3. Prosedur audit internal SMKI
4. Prosedur tindakan perbaikan dan pencegahan
5. Prosedur penanganan informasi (penyimpanan, pelabelan,
pengiriman/pertukaran, pemusnahan)
6. Prosedur penanganan insiden/gangguan keamanan
informasi
7. Prosedur pemantauan penggunaan fasilitas teknologi
informasi
Tingkat 1
Kebijakan & Standar
Tingkat 2
Prosedur, Panduan, Petunjuk Pelaksanaan
Tingkat 3 Petunjuk Teknis, Instruksi Kerja, Formulir
31
Struktur Dokumentasi smki
Dokumen tk.3, meliputi petunjuk teknis, instruksi kerja dan
formulir yang digunakan untuk mendukung pelaksanaan
prosedur tertentu sampai ke tingkatan teknis. Instruksi kerja
tidak selalu diperlukan untuk setiap prosedur. Sepanjang
prosedur sudah menguraikan langkah-langkah aktivitas yang
jelas dan mudah dipahami penanggung jawab kegiatan,
petunjuk teknis / instruksi kerja tidak diperlukan lagi
Tingkat 1
Kebijakan & Standar
Tingkat 2
Prosedur, Panduan, Petunjuk Pelaksanaan
Tingkat 3
Petunjuk Teknis, Instruksi Kerja, Formulir
32
5/7/2014
17
How to Implement.
smkiIndonesia?
33
Tahapan Penerapan SMKI Persetujuan Pimpinan
Menetapkan Organisasi, Peran dan Tanggung Jawab
Mendefinisikan Ruang Lingkup
Melakukan Gap Analysis
Melakukan Risk Assesment dan Risk Treatment Plan
Menetapkan Kontrol dan Sasaran Kontrol
Menetapkan Kebijakan dan Prosedur SMKI
Sosialisasi dan Pelatihan
Menerapkan Kebijakan dan Prosedur
Mengukur Efektifitas Kontrol
Melakukan Audit Internal
Melakukan Evaluasi, Peninjauan (review) dan Penyempurnaan
34
5/7/2014
18
Mengukur Tingkat Keamanan Informasi Sebuah Tata Kelola
kamiIndeks?
35
Indeks KAMI merupakan suatu aplikasi untuk mengevaluasi tingkat kematangan, tingkatkelengkapan penerapan SNI ISO/IEC 27001:2009 serta peta area tata kelola keamanansistem informasi di suatu instansi pemerintah.
Evaluasi dilakukan terhadap beberapa area target penerapan keamanan informasidengan ruang lingkup pembahasan yang juga memenuhi semua aspek keamananyang didefinisikan oleh standar SNI ISO/IEC 27001:2009, yaitu :
1. Tata Kelola Keamanan Informasi
2. Pengelolaan Risiko Keamanan Informasi
3. Kerangka Kerja Keamanan Informasi
4. Pengelolaan Aset informasi
5. Teknologi dan Keamanan Informasi
6. Peran TIK
kamiIndeks? 36
5/7/2014
19
5 Tingkat Kematangan CMMI
Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI):
0. Pasif
1. Reaktif
2. Aktif
3. Proaktif
4. Terkendali
5. Optimal
37
Referensi
Information Security Governance Guidance for Information Security Managers,
IT Governance Institute, 2008
Panduan Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara
Pelayanan Publik oleh Tim Direktorat Keamanan Informasi KOMINFO RI
Slide Presentasi Penerapan Standard SNI-27001 di Bidang Keamanan Informasi,
oleh bambang.heru.tjahjono@kominfo.go.id
Slide Presentasi Pengembangan Kemampuan National Cyber Defense, oleh
bagus.artiadi@kemhan.go.id
Soni Fajar Surya G, M.T. , MCAS.0811-22-95-700
0888 -200-3936
mustonie@lpkia.ac.id
38
top related