560 likes | 774 Views
Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga. D R . Hasyim Gautama. Batam, 11 April 2012. Agenda. Cyber Crime Keamanan Informasi Tata Kelola Kaminfo Strategi Pelaksanaan. Cyber Crime. SMS Penipuan. Pembunuh Bayaran.
E N D
Urgensi Penerapan SNI 27001 untuk Sekuriti Infrastruktur TIK pada Kementerian dan Lembaga DR. Hasyim Gautama Batam, 11 April 2012
Agenda • Cyber Crime • Keamanan Informasi • Tata Kelola Kaminfo • Strategi Pelaksanaan
Kasus Bocor Data Diplomatik Data rahasia Indonesia dimiliki oleh AS. Wikileaks memuat data tsb. di situs static.guim.co.uk
Urgensi Penerapan Kaminfo Informasi adalah aset yg rawan terhadap Pencurian Modifikasi Perangkat sistem elektronik ut memproses informasi/data rawan terhadap interupsi
Keamanan Informasi Terjaganya informasi dari ancaman dan serangan terhadap: kerahasiaan (confidentiality) keutuhan (integrity) ketersediaan (availability) nirsangkal (non repudiation)
Aspek Keamanan Informasi Kerahasiaan (confidentiality): pesan hanya bisa terbaca oleh penerima yang berhak Keutuhan (integrity): pesan yang diterima tidak berubah Ketersediaan (availability): pesan dapat tersampaikan ke penerima Nirsangkal (non repudiation): pesan terkirim tidak dapat disangkal oleh pengirimnya
Gangguan Keamanan Ancaman Manusia Alam Serangan Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing
Ancaman Berasal dari: Manusia Alam
Ancaman dari Manusia Staf internal Mencatat password Meninggalkan sistem tanpa logout Spy Menyadap data Yang ingin tenar Menginginkan perhatian publik Yang ingin coba-coba
Ancaman dari Alam Temperatur: panas /dingin yg ekstrim Kelembaban atau gas yg ekstrim: kegagalan AC Air: banjir, pipa bocor Organisme, bakteri, serangga Anomali energi: kegagalan listrik, petir
Serangan Interupsi: Denial of Service (DoS) Intersepsi: Packet Sniffing Modifikasi: TCP Hijacking, Virus Trojan Fabrikasi: Packet Spoofing
Denial of Service (DoS) Menghalangi akses pihak yang berhak dg membanjiri permintaan akses fiktif Contoh: serangan TCP SYN, permintaan koneksi jaringan ke server dalam jumlah yang besar
Packet Sniffing Mendengarkan dan merekam paket yg lewat pada media komunikasi Contoh: Menggunakan tools packet sniffer: Etherreal, SmartSniffer. Juga digunakan oleh admin jaringan untuk mendiagnosa kerusakan jaringan
Virus Trojan Merekam pesan lalu memodifikasinya dan dikirimkan ke user tujuan Contoh: Virus Trojan Horse, program tersembunyi yang biasanya menempel pada email atau free games software. Masuk ke sistem Mengakses file system Mencuri username dan password
Ilustrasi Virus Trojan Horse Principles of Infosec, 3rd Ed
Paket Spoofing Mengubah alamat pengirim paket untuk menipu komputer penerima Contoh: Man-in-the-middel-attack, penyerang berperan sebagai pihak di tengah antara pengirim dan penerima.
Pengamanan Fisik Pemilihan Lokasi Konstruksi bangunan Pengamanan akses Pengawasan Personil: penjaga & CCTV Perangkat kontrol akses personil: kunci, security access card & perangkat biometric
Pengamanan Logik (1) Otentikasi user Otorisasi user Enkripsi Tanda Tangan dan Sertifikat Digital Firewall
Pengamanan Logik (2) DeMilitarized Zone (DMZ) Intrusion Detection System (IDS) Server Client Code/script
Otentikasi Account Locking: akun terkunci jika terjadi kesalahan login bbrp kali Password Expiration: password harus diubah jika telah melewati batas waktu Password Complexity Verification: Panjang minimum Kombinasi alfabet, nomor dan tanda baca Tidak sama dengan kata-kata sederhana
Otorisasi Pemberian hak akses thd resource Access Control List (ACL), untuk kontrol akses: baca, tulis, edit atau hapus Access Control File (ACF), untuk kontrol akses thd web server: access.conf dan .htaccess Hak akses terhadap beberapa aplikasi diterapkan dg Single Sign On (SSO)
Contoh Enkripsi Symmetric Data Encryption Standard (DES) Blow Fish IDEA Asymmetric RSA Merkle-Hellman Scheme
Landasan Hukum Undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) Surat Edaran Menteri KOMINFO No. 05/SE/M.KOMINFO/07/2011 tentang: “Penerapan Tata Kelola Keamanan Informasi Bagi Penyelenggara Pelayanan Publik”
Standar Keamanan Informasi SNI 27001: 2009 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Komponen SNI 27001 Kebijakan Keamanan Organisasi Keamanan Pengelolaan Aset Keamanan Sumber Daya Manusia Keamanan Fisik & Lingkungan Manajemen Komunikasi & Operasi Pengendalian Akses Akuisisi, Pengembangan & Pemeliharaan Sistem Informasi Manajemen Insiden Keamanan Manajemen Keberlanjutan Bisnis Kesesuaian
Manajemen Keamanan Plan Act Do Check
Indeks Kaminfo Tingkat kematangan penerapan kaminfo di sebuah organisasi berdasarkan kesesuaian dengan kriteria pada SNI 27001:2009 Fungsi: sebagai indikator penerapan keamanan informasi secara nasional
Ruang Lingkup Kebijakan dan Manajemen Organisasi Manajemen Resiko Kerangka Kerja Manajemen Aset Informasi Teknologi
Maksud dan Tujuan Penerapan tata kelola keamanan informasi bagi penyelenggara pelayanan publik sesuai dengan SNI 27001 tentang Teknologi Informasi – Teknik Keamanan – Sistem Manajemen Keamanan Informasi – Persyaratan;
Penerapan Tata Kelola Merujuk pada panduan penerapan tata kelola Menggunakan Indeks KAMI sebagai alat ukur Melaporkan hasil pengukuran kepada Kementerian Komunikasi dan Informatika
Level Indeks KAMI Pengelompokan indeks KAMI menjadi lima level berdasarkan Capability Maturity Model Integration (CMMI): 0. Pasif 1. Reaktif 2. Aktif 3. Proaktif 4. Terkendal 5. Optimal
CMMI: 5 Tingkat Kematangan Process performance continually improved through incremental and innovative technological improvements. Level 5 Optimized Level 4 Managed Processes are controlled using statistical and other quantitative techniques. Process Maturity Level 3 Processes are well characterized and understood. Processes, standards, procedures, tools, etc. are defined at the organizational (Organization X )level. Proactive. Defined Level 2 Repeatable Processes are planned, documented, performed, monitored, and controlled at the project level. Often reactive. Level 1 Initial Processes are unpredictable, poorly controlled, reactive.
Pemeringkatan Kaminfo Pengelompokan instansi berdasarkan level indeks kaminfo Tahun 2011: evaluasi terhadap Kementerian/Lembaga dg self assessment Tahun 2012: evaluasi dengan self dan on-site assessment keamanan informasi
Hasil Pemeringkatan Kaminfo • Tata Kelola • Pengelolaan Resiko • Kerangka Kerja • Pengelolaan Aset • Teknologi & Kaminfo