- Kemenag Aceh
Download
Report
Transcript - Kemenag Aceh
Urgensi Penerapan SNI 27001
untuk Sekuriti Infrastruktur TIK
pada Kementerian dan Lembaga
DR. Hasyim Gautama
Batam, 11 April 2012
Agenda
•
•
•
•
Cyber Crime
Keamanan Informasi
Tata Kelola Kaminfo
Strategi Pelaksanaan
Cyber Crime
SMS Penipuan
Pembunuh Bayaran
Kasus Bocor Data Diplomatik
Data rahasia
Indonesia dimiliki
oleh AS.
Wikileaks memuat
data tsb. di situs
static.guim.co.uk
Anonymous
Urgensi Penerapan Kaminfo
• Informasi adalah aset yg rawan terhadap
– Pencurian
– Modifikasi
• Perangkat sistem elektronik ut
memproses informasi/data rawan
terhadap interupsi
Keamanan Informasi
Keamanan Informasi
Terjaganya informasi dari ancaman dan
serangan terhadap:
• kerahasiaan (confidentiality)
• keutuhan (integrity)
• ketersediaan (availability)
• nirsangkal (non repudiation)
Aspek Keamanan Informasi
• Kerahasiaan (confidentiality): pesan hanya
bisa terbaca oleh penerima yang berhak
• Keutuhan (integrity): pesan yang diterima
tidak berubah
• Ketersediaan (availability): pesan dapat
tersampaikan ke penerima
• Nirsangkal (non repudiation): pesan terkirim
tidak dapat disangkal oleh pengirimnya
Gangguan Keamanan
• Ancaman
– Manusia
– Alam
• Serangan
– Interupsi: Denial of Service (DoS)
– Intersepsi: Packet Sniffing
– Modifikasi: TCP Hijacking, Virus Trojan
– Fabrikasi: Packet Spoofing
Ancaman
Berasal dari:
• Manusia
• Alam
Ancaman dari Manusia
• Staf internal
– Mencatat password
– Meninggalkan sistem tanpa logout
• Spy
– Menyadap data
• Yang ingin tenar
– Menginginkan perhatian publik
• Yang ingin coba-coba
Ancaman dari Alam
• Temperatur: panas /dingin yg ekstrim
• Kelembaban atau gas yg ekstrim:
kegagalan AC
• Air: banjir, pipa bocor
• Organisme, bakteri, serangga
• Anomali energi: kegagalan listrik, petir
Serangan
•
•
•
•
Interupsi: Denial of Service (DoS)
Intersepsi: Packet Sniffing
Modifikasi: TCP Hijacking, Virus Trojan
Fabrikasi: Packet Spoofing
Denial of Service (DoS)
Menghalangi akses pihak yang berhak dg
membanjiri permintaan akses fiktif
Contoh: serangan TCP SYN, permintaan
koneksi jaringan ke server dalam jumlah
yang besar
Distributed DoS
Packet Sniffing
Mendengarkan dan merekam paket yg
lewat pada media komunikasi
Contoh: Menggunakan tools packet sniffer:
Etherreal, SmartSniffer.
Juga digunakan oleh admin jaringan
untuk mendiagnosa kerusakan jaringan
Tools Packet Sniffer
Virus Trojan
Merekam pesan lalu memodifikasinya dan
dikirimkan ke user tujuan
Contoh: Virus Trojan Horse, program
tersembunyi yang biasanya menempel
pada email atau free games software.
• Masuk ke sistem
• Mengakses file system
• Mencuri username dan password
Ilustrasi Virus Trojan Horse
Principles of Infosec, 3rd Ed
Paket Spoofing
Mengubah alamat pengirim paket untuk
menipu komputer penerima
Contoh: Man-in-the-middel-attack,
penyerang berperan sebagai pihak di
tengah antara pengirim dan penerima.
Man-in-the-middel-attack
Pengamanan Fisik
• Pemilihan Lokasi
• Konstruksi bangunan
• Pengamanan akses
– Pengawasan Personil: penjaga & CCTV
– Perangkat kontrol akses personil: kunci,
security access card & perangkat biometric
Pengamanan Logik (1)
•
•
•
•
•
Otentikasi user
Otorisasi user
Enkripsi
Tanda Tangan dan Sertifikat Digital
Firewall
Pengamanan Logik (2)
•
•
•
•
•
DeMilitarized Zone (DMZ)
Intrusion Detection System (IDS)
Server
Client
Code/script
Otentikasi
• Account Locking: akun terkunci jika
terjadi kesalahan login bbrp kali
• Password Expiration: password harus
diubah jika telah melewati batas waktu
• Password Complexity Verification:
– Panjang minimum
– Kombinasi alfabet, nomor dan tanda baca
– Tidak sama dengan kata-kata sederhana
Otorisasi
Pemberian hak akses thd resource
• Access Control List (ACL), untuk kontrol
akses: baca, tulis, edit atau hapus
• Access Control File (ACF), untuk kontrol
akses thd web server: access.conf dan
.htaccess
• Hak akses terhadap beberapa aplikasi
diterapkan dg Single Sign On (SSO)
Enkripsi
Contoh Enkripsi
Symmetric
• Data Encryption Standard (DES)
• Blow Fish
• IDEA
Asymmetric
• RSA
• Merkle-Hellman Scheme
Tanda Tangan Digital
Sertifikat Digital
Firewall
DeMilitarized Zone
Intrusion Detection System
Tata Kelola Kaminfo
Landasan Hukum
• Undang-undang No. 11 tahun 2008 tentang
Informasi dan Transaksi Elektronik (ITE)
• Surat Edaran Menteri KOMINFO No.
05/SE/M.KOMINFO/07/2011 tentang:
“Penerapan Tata Kelola Keamanan Informasi
Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi
• SNI 27001: 2009 tentang Teknologi
Informasi – Teknik Keamanan – Sistem
Manajemen Keamanan Informasi –
Persyaratan;
Komponen SNI 27001
1.
2.
3.
4.
Kebijakan Keamanan
Organisasi Keamanan
Pengelolaan Aset
Keamanan Sumber
Daya Manusia
5. Keamanan Fisik &
Lingkungan
6. Manajemen
Komunikasi & Operasi
7. Pengendalian Akses
8. Akuisisi,
Pengembangan &
Pemeliharaan Sistem
Informasi
9. Manajemen Insiden
Keamanan
10. Manajemen
Keberlanjutan Bisnis
11. Kesesuaian
Manajemen Keamanan
Plan
Act
Check
Do
Indeks Kaminfo
• Tingkat kematangan penerapan kaminfo
di sebuah organisasi berdasarkan
kesesuaian dengan kriteria pada SNI
27001:2009
• Fungsi: sebagai indikator penerapan
keamanan informasi secara nasional
Ruang Lingkup
1.
2.
3.
4.
5.
Kebijakan dan Manajemen Organisasi
Manajemen Resiko
Kerangka Kerja
Manajemen Aset Informasi
Teknologi
Maksud dan Tujuan
• Penerapan tata kelola keamanan informasi
bagi penyelenggara pelayanan publik sesuai
dengan SNI 27001 tentang Teknologi Informasi
– Teknik Keamanan – Sistem Manajemen
Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola
1. Merujuk pada panduan penerapan tata
kelola
2. Menggunakan Indeks KAMI sebagai alat ukur
3. Melaporkan hasil pengukuran kepada
Kementerian Komunikasi dan Informatika
Level Indeks KAMI
• Pengelompokan indeks KAMI menjadi lima
level berdasarkan Capability Maturity Model
Integration (CMMI):
0. Pasif
1. Reaktif
2. Aktif
3. Proaktif
4. Terkendal
5. Optimal
CMMI: 5 Tingkat Kematangan
Level 5
Optimized
Process performance continually
improved through incremental and
innovative technological
improvements.
Level 4
Managed
Level 3
Defined
Level 2
Repeatable
Processes are controlled using statistical
and other quantitative techniques.
Processes are well characterized and understood.
Processes, standards, procedures, tools, etc. are
defined at the organizational (Organization X ) level.
Proactive.
Processes are planned, documented, performed, monitored,
and controlled at the project level. Often reactive.
Level 1
Initial
Processes are unpredictable, poorly controlled, reactive.
Pemeringkatan Kaminfo
• Pengelompokan instansi berdasarkan level
indeks kaminfo
• Tahun 2011: evaluasi terhadap
Kementerian/Lembaga dg self assessment
• Tahun 2012: evaluasi dengan self dan on-site
assessment keamanan informasi
Hasil Pemeringkatan Kaminfo
• Tata Kelola
• Pengelolaan Resiko
• Kerangka Kerja
• Pengelolaan Aset
• Teknologi & Kaminfo
Strategi Pelaksanaan
People, Process & Technology
People: Pemerintah & Akademisi
• Instansi pemerintah:
– memiliki sistem elektronik yg perlu diproteksi dg
penerapan indeks kaminfo
– tapi SDMnya (terlalu) sibuk dg rutinitas birokrasi
• Akademisi:
– memiliki SDM yg unggul
– perlu aktualisasi diri dg praktek kerja atau magang
Process: Link & Match
Pemerintah & akademisi berkolaborasi dalam
• Seminar
• Bimbingan Teknis
• Asesmen
• Pemeringkatan
• Klinik konsultasi
Technology
• Sistem elektronik di pemerintah sbg obyek
asesmen
• Aplikasi indeks kaminfo berupa spreadsheet
• Panduan penerapan indeks kaminfo
Terima kasih
[email protected]
ditkaminfo
ditkaminfo