Aspek Legal Teknologi Komunikasi Informasi Di Indonesia

7/29/2019 Aspek Legal Teknologi Komunikasi Informasi Di Indonesia

1/71

Keamanan Informasi dan

Aspek Legal Teknologi Informasi

MMTC, 26 Maret 2012


2/71

MMTC, 26 Maret 2012

BACKGROUND

ICT changed the world: people interaction, workplace, lifestyle,business, government, art & culture. More dependencies to thetechnology & more risk. Now, this is the world of online society

Competition to gain ICT supremacy will be easily burn political

issues causing uncontrolled widespread cyber warfare involvingmany group of interest that could be very difficult to identify whothey really are & to detect their presence. So how to prevent,protect & manage national ICT resources are the most necessary& prior things to do & how to build effective preemptive measure

ICT will become the most fragile & critical infrastructure. Since itwas internetworked so every node are related. There is no wayto stop the threat or attack by simply turning off the system


3/71

MENGAPA KITA PERLU

MENGAMANKAN

INFORMASI ?


4/71

Apakah informasi itu?

Dari perspektif Keamanan Informasi

Informasi diartikan sebagai sebuah

aset; merupakan sesuatu yang memiliki

nilai dan karenanya harus dilindungi

Nilai secara intrinsik melibatkan

subyektivitas yang membutuhkan

penilaian dan pengambilan keputusan


5/71

Bentuk informasi


6/71

Informasi menjadi Bernilai

Dilihat dari :

Isi dari informasi tersebut bernilai strategis

Keadaan / Situasi

Person yang memiliki dan mengkomunikasikan

informasi

(Semakin tinggi jabatan seseorang, semakin besarnilai informasi yang disampaikan).


7/71

ANCAMAN TERHADAP INFORMASI RAHASIA

ANCAMAN LOJIKcontoh: kriptanalisa, cracking, virus komputer, dll

ANCAMAN FISIKcontoh: pencurian data/informasi, pencurian alat, penyadapan,

mengganggu sinyal (jamming), pengrusakan dan bencana alam.

ANCAMAN ADMINISTRASIContoh: penggandaan data yang berlebihan, tidakadanya pengklasifikasi berita/rahasia, pelanggaraan akses terhadap

informasi/data


8/71

Filosofi Keamanan Informasi

Di dunia cyber Semuanya tercatat

Bagi penjahat : pasti tertangkap

Bagi kita : Berhati-hati dalam memberikan

informasi


9/71

Tujuan Keamanan Informasi

CONFIDENTIALITY (Kerahasiaan)

Pesan saya hanya bisa terbaca oleh penerima

yang berhak

INTEGRITY (Integritas)

Informasi yang terkirim dan diterima tidak

berubahAVAILABITY (Ketersediaan)

Saya bisa menggunakan kapan saja


10/71

Penjaminan Informasi

Penggunaan operasi2 informasi untuk melindungi informasi, sistem

dan jaringan informasi, dengan cara memastikan: ketersediaan,

integritas, keaslian, kerahasiaan dan non-repudiasi, dengan

mempertimbangkan resiko akibat ancaman dari lokal atau tempat

yang jauh melalui jaringan komunikasi dan Internet.

Tanpa adanya penjaminan informasi, suatu organisasi tidak

mempunyai kepastian tentang informasi yang diperlukan untuk

pengambilan keputusan penting, adalah andal, aman, dan tersedia

saat dibutuhkan


11/71

Keamanan Informasi

Konsep, teknik dan hal-hal yang terkaitdengan kerahasian, ketersediaan, integritas,

keaslian dari informasi

Teknik: enkripsi, digital signature, intrusion

detection, firewall, kontrol aksesdll

Manajemen: strategi, desain, evaluasi, audit Standar dan sertifikasi


12/71

Big picture

Y. Qian et al., 2008


13/71

Standar Kegiatan Keamanan Informasi

ISO [International Standards Organization]

ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada

keamanan administratif

CISA [Certified Information Systems Auditor]

CISA fokus pada kegiatan audit dan pengendalian sistem

informasi

CISSP [Certified Information Systems Security

Professional]

CISSP fokus utamanya pada keamanan teknis


14/71

Konsep Privasi (1)

Apakah Informasi Pribadi?

Secara sempit, Informasi pribadi adalah informasi

yang berkaitan dengan individu yang dapat

diidentifikasi atau orang yang teridentifikasi.

Nama

Hubungan keluarga

Nomor telepon

Alamat

Alamat e-mail

Nomor lisensi mobil

Nomor kartu kredit

Karakteristik fisik

Informasi Pribadi, definisi sempit


15/71

Konsep Privasi (2) Apakah Informasi Pribadi?

Dalam pengertian lebih luas, mencakup informasi

pribadi seperti informasi kredit, detail transaksi,

detail panggilan telepon, latar belakang akademik,

karir, evaluasi/opini, dan catatan kriminal.

Informasi Pribadi, Definisi Luas

Informasi Kredit

Detail panggilan telepon

Karir

Pendapat

Detail transaksi

Latar belakang akademik

Evaluasi

Catatan kriminal


16/71

Konsep Privasi (3)

Informasi Pribadi dan Privasi

Akses, pengumpulan, analisis, dan penggunaan

informasi pribadi yang tidak pantas berdampak pada

perilaku pihak lain terhadap pribadi yang bersangkutandan pada akhirnya berdampak negatif terhadap

kehidupan sosial, harta benda, dan keselamatan-nya.

Oleh karena itu, informasi pribadi harus dilindungi dari

akses, pengumpulan, penyimpanan, analisis dan

penggunaan yang salah. Dalam hal ini, informasi pribadi

adalah subyek perlindungan.


17/71

Aspek-aspek Keamanan Informasi


18/71

Aspek Keamanan Informasi

Ancaman (THREATS)

Segala sesuatu yang bisa mengganggu operasional, fungsi,integritas dan ketersediaan sebuah sistem informasi

Kelemahan (VULNERABILITIES) Kelemahan dari desain, konfigurasi dan implementasi

sebuah sistem informasi yang membawanya rentanterhadap ancaman

Setiap 10 ribu code programming minimal ada satu cacat /

hole. 102 Milyar code dihasilkan dalam sehari 10,2 juta hole

lahir dalam sehari


19/71

Aspek Keamanan Informasi Serangan

(ATTACKS) Tehnik khusus yang digunakan untukmengekploitasi kelemahan yang ada dalamsebuah sistem informasi

Serangan Pasif: Mengumpulkan informasi dgncara monitoring dan recording trafficdi jaringanatau dengan social engineering

Serangan Aktif : aksi langsung pada sistemkomputer


20/71

4R Keamanan Informasi


21/71

Jenis-jenis serangan

Hacking

Denial of service

Kode berbahaya (malicious code) Social engineering


22/71

Type of Attacks22


23/71

Contoh-contoh kasus

2010 Wikileaks

2010 Virus Stuxnet menyerang PLTN di Iran

Ags 2008 Serangan Internet terhadap Situs web Georgia

Apr 2007 Serangan Cyberterhadap EstoniaSep 2005 Kontroversi Kartun Muhammad (Jyllands-Posten)

Mei 2005 Malaysia-Indonesia

Apr 2001 Sino-AS

Nilai kerugian?


24/71

Peningkatan Keamanan (1)

Pengamanan Administratif

Strategi, kebijakan, dan pedoman keamanan

informasi

Strategi keamanan informasi Kebijakan keamanan informasi

Pedoman keamanan informasi

Standar keamanan informasi

IT Compliance


25/71

Peningkatan Keamanan (2)

Pengamanan Administratif lanjutan

Proses dan operasi keamanan informasi Program pendidikan dan pelatihan keamanan informasi

Penguatan promosi melalui berbagai kegiatan

Pengamanan dukungan


26/71

Pengamanan dengan Teknologi

Model Defense-in-Depth (DID)


27/71


Teknologi Pencegah

Kriptografi

Proses pengkodean informasi dari bentuk aslinya (disebut

plaintext) menjadi sandi, bentuk yang tidak dapat dipahami

One-Time Passwords (OTP)

OTP hanya dapat digunakan sekali. Password statis lebih mudah

disalahgunakan oleh password loss, password sniffing, dan brute-

force cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.


28/71


Teknologi pencegah (lanjutan) Firewall

Firewalls mengatur beberapa aliran lalu lintas antara

jaringan komputer dari trust levelyang berbeda.

Alat penganalisis kerentananAda 3 jenis alat penganalisis kerentanan:

Alat penganalisis kerentanan jaringan

Alat penganalisis kerentanan server

Alat penganalisis kerentanan web


29/71


Teknologi deteksi

Anti-Virus

Program komputer untuk mengidentifikasi, menetralisir atau

mengeliminasi kode berbahaya

IDS (Intrusion Detection System)

IDS mengumpulkan dan menganalisis informasi dari berbagai area

dalam sebuah komputer atau jaringan untuk mengidentifikasi

kemungkinan penerobosan keamanan

IPS (Intrusion Prevention System)

IPS mengidentifikasi potensi ancaman dan bereaksi sebelum

mereka digunakan untuk menyerang


30/71


Teknologi terintegrasi

ESM (Enterprise Security Management)

Sistem ESM mengatur, mengontrol dan mengoperasikan solusi

keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang

ditetapkan

ERM (Enterprise Risk Management)

Sistem ERM adalah membantu memprediksi seluruh risiko yang

terkait dengan organisasi, termasuk area di luar keamanan

informasi, dan mengatur langkah mengatasinya secara otomatis


31/71

Peran & Tanggung Jawab


32/71

Metodologi Keamanan Informasi

Model Proses ISO/IEC 27001 (BS7799)ISO/IEC27001 mengadopsi model proses Plan-Do-

Check-Act, yang digunakan untuk mengatur

struktur seluruh proses ISMS.Model PDCA yang diterapkan ke Proses ISMS

Sumber: ISO/IEC JTC 1/SC 27


33/71

Metodologi Keamanan Informasi

ISO/IEC 27001 (BS7799)

Analisis kesenjangan

Proses pengukuran tingkat keamanan informasi saat ini dan

menetapkan arah masa depan keamanan informasi

Kajian risiko

Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan

kerentanan

Penerapan kontrol

Diperlukan keputusan untuk menerapkan kontrol yang sesuai

untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko

yang dapat diterima dan risiko yang tidak dapat diterima

mengikuti kriteria 'Tingkatan Jaminan'.


34/71

SISTEM INFORMASI YANG AMAN ?

The only truly secure system is one that is

powered off, cast in a block of concrete and

sealed in a lead-lined room with armed guards

-and even then I have my doubts (Eugene H.

Spafford)


35/71

Dasar Hukum Pengamanan Informasi Rahasia diLingkungan Pemerintah


36/71

1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik

2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik

3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 TentangKeterbukaan Informasi Publik

4. PP Nomor 38 Tahun 2007 Tentang Pembagian Urusan Pemerintahan AntaraPemerintah, Pemerintahan Daerah Provinsi dan Pemerintahan Daerah

Kabupaten/Kota5. Keppres Nomor 103 Tahun 2001 Tentang Kedudukan, Tugas, Fungsi,

Kewenangan, Susunan Organisasi, dan Tata Kerja Lembaga Pemerintah NonDepartemen Sebagaimana telah diubah dengan Perpres Nomor 64 Tahun2005

6. Permenpan Nomor 22 Tahun 2008 Tentang Pedoman Umum Tata NaskahDinas

7. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentangPengamanan Berita Rahasia Melalui Proses Persandian dan Telekomunikasi

8. SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ - HK.104/SE.2061/2008)

Produk Hukum Terkait Persandian

Media Cetak/Pers (UU


37/71

Telematics:Convergence

Paket UU ttg HKI

Arsip & Dokumen Perusah

(UU 8/1997)

INTERNET

SERVICES

Hardware &Software

Cable TV

Satellite TVBroadcasting

Off-line

Entertainment&

Information

Networking

Switching

Telephony

Film, NewsEducation/Edutaiment

Advertising

MEDIA

Publishing

Film industry & Advertising

TELECOMMUNICATION

Network Infrastructure

COMPUTING

Information Processing

Consumer Electronics

(40/1999)

Media Elektronik (UU32/2002)

Film (UU. 33/2009)

KIP (14/2008)

UU 36/1999

UU 38/2009

UU 25/2009

UU-ITE

UU 44/2008 pornograf


38/71

content

Network

Operator

Users/

Cons.

LAN

1st G

voice

2nd G

Voice text

3rd G

Voice Text Video

4th G

voice text video TCP/IPbased

ContentComputing

Communication

Community


39/71

Setiap Badan Publik wajib membuka akses bagi

setiap Pemohon Informasi Publik untukmendapatkan Informasi Publik, kecuali:

a. Informasi Publik yang apabila dibuka dan diberikankepada Pemohon Informasi Publik dapat

menghambat proses penegakan hukum,b. Informasi Publik yang apabila dibuka dan diberikan

kepada Pemohon Informasi Publik dapatmengganggu kepentingan perlindungan hak atas

kekayaan intelektual dan perlindungan daripersaingan usaha tidak sehat

c. Informasi Publik yang apabila dibuka dan diberikankepada Pemohon Informasi Publik dapatmembahayakan pertahanan dan keamanan negara

UU Nomor 14 Tahun 2008 KIP


40/71

Setiap Badan Publik wajib membuka akses bagi setiap

Pemohon Informasi Publik untuk mendapatkan InformasiPublik, kecuali :

c.Informasi Publik yang apabila dibuka dan diberikan kepadaPemohon Informasi Publik dapat membahayakan pertahanandan keamanan negara, yaitu:

informasi tentang strategi, intelijen, operasi, taktik dan teknikyang berkaitan dengan penyelenggaraan sistem pertahanandan keamanan negara, meliputi tahap perencanaan,pelaksanaan dan pengakhiran atau evaluasi dalam kaitandengan ancaman dari dalam dan luar negeri;

dokumen yang memuat tentang strategi, intelijen, operasi,teknik dan taktik yang berkaitan dengan penyelenggaraansistem pertahanan dan keamanan negara yang meliputi tahapperencanaan, pelaksanaan dan pengakhiran atau evaluasi;

Pasal 17 butir c UU KIP :


41/71

jumlah, komposisi, disposisi, atau dislokasi kekuatan dankemampuan dalam penyelenggaraan sistem pertahanan dan

keamanan negara serta rencana pengembangannya; gambar dan data tentang situasi dan keadaan pangkalan

dan/atau instalasi militer;

data perkiraan kemampuan militer dan pertahanan negaralain terbatas pada segala tindakan dan/atau indikasi negara

tersebut yang dapat membahayakan kedaulatan NegaraKesatuan Republik Indonesia dan/atau data terkait kerjasamamiliter dengan negara lain yang disepakati dalam perjanjiantersebut sebagai rahasia atau sangat rahasia;

; dan/atau

sistem intelijen negara.


42/71

Yang dimaksud dengan sistem persandiannegara adalah

segala sesuatu yang berkaitan dengan pengamanan Informasi

rahasia negara yang meliputi data dan Informasi tentang

material sandi dan jaring yang digunakan , metode dan teknikaplikasi persandian, aktivitas penggunaannya, serta kegiatanpencarian dan pengupasan Informasi bersandi pihak lain yangmeliputi data dan Informasi material sandi yang digunakan,aktivitas, pencarian dan analisis, sumber Informasi bersandi,

serta hasil analisis dan personil sandi yang melakukan.

Penjelasan Pasal 17 butir c.6 UU KIP

l


43/71

Regulasi

UU RI no. 11 thn 2008 tentang Informasi

dan Transaksi Elektronik


44/71

Pasal 1 ayat 5 :Sistem Elektronik adalah serangkaian perangkat dan prosedur

elektronik yang berfungsi mempersiapkan, mengumpulkan,mengolah, menganalisis, menyimpan, menampilkan,

mengumumkan, mengirimkan, dan/atau menyebarkan InformasiElektronik

UU Nomor 11 Tahun 2008 Informasi dan

Transaksi Elektronik


45/71

Defenisi Cyber Crime

Dalam dua dokumen Kongres PBB mengenai The Prevention of Crimeand the Treatment of Offenders di Havana, Cuba pada tahun 1990dan di Wina, Austria pada tahun 2000, ada dua istilah yang dikenal.Pertama adalah istilah cyber crime. Kedua adalah istilah computerrelated crime. Dalam back ground paper untuk lokakarya Kongres

PBB X/2000 di Wina, Austria istilah cyber crime dibagi dalam duakategori. Pertama, cyber crime dalam arti sempit (in a narrow sense)disebut computer crime. Kedua, cyber crime dalam arti luas (in abroader sense) disebut computer related crime.

Cyber crime in a narrow sense (computer crime) : any illegal

behaviour directed by means of electronic operations that targets thesecurity of computer system and the data processed by them.

Cyber crime in a broader sense (computer related crime) : any illegalbehaviour committed by means on in relation to, a computer systemor network, including such crime as illegal possession, offering ordistributing information by means of a computer system or network.


46/71

Masih menurut dokumen tersebut, cyber crime meliputi

kejahatan yang dilakukan:

Dengan menggunakan sarana-sarana dari sistem

atau jaringan komputer (by means of a computer

system or network)

Di dalam sistem atau jaringan komputer (in acomputer system or network) ; dan

Terhadap sistem atau jaringan komputer (against a

computer system or network).


47/71

Peran komputer dalam cyber crimes

1. sebagai sarana

2. sebagai tempat menyimpan 3. sebagai sasaran


48/71

Beberapa kata kunci yang dihasilkan oleh Council Of Europe dalam Convention On

Cyber Crime di Budapest, Hongaria pada tahun 2001.

Illegal access: sengaja memasuki atau mengakses sistem komputer

tanpa hak.

Illegal interception: sengaja dan tanpa hak mendengar atau menangkap

secara diam-diam pengiriman dan pemancaran data komputer yang

tidak bersifat publik ke, dari atau di dalam sistem komputer dengan

menggunakan alat bantu teknis.

Data interference: sengaja dan tanpa hak melakukan perusakan,

penghapusan atau perubahan data komputer.

System interference: sengaja melakukan gangguan atau rintangan serius

tanpa hak terhadap berfungsinya sistem komputer.

Misuse of devices: penyalahgunaan perlengkapan komputer termasuk

program komputer, password komputer, kode masuk.


49/71

Kegiatan Berpotensi Cyber Crimes

Layanan Online Shopping (toko

online), yang memberi fasilitas

pembayaran melalui kartu kreditLayanan Online Banking

(perbankan online)


50/71

Kejahatan Kartu Kredit

(Credit Card Fraud)

Sebelum ada kejahatan kartu kreditmelalui internet, sudah ada modelkejahatan kartu kredit konvensional

(tanpa internet) Jenis kejahatan ini muncul akibat adanya

kemudahan sistem pembayaranmenggunakan kartu kredit yangdiberikan online shop

Pelaku menggunakan nomer kartukredit korban untuk berbelanja di onlineshop


51/71

Tindak Pencegahan Kejahatan

Credit Card Fraud dapatdiantisipasi dengan menerapkansistem otorisasi bertingkat

Sistem online banking dapatmeningkatkan keamanan denganmenggunakan sistem penyandian

transmisi data (secure http), digitalcertificate dan OTP (one timepassword)


52/71

Asas UU ITE

1. Kepastian hukum

2. Kemanfaatan

3. Kehati-hatian

4. Itikat baik

5. Kebebasan memilih teknologi


53/71

Tujuan UU ITE

1. Mencerdaskan kehidupan bangsa sebagai bagian dari masyarakatinformasi dunia

2. Mengembangkan perdagangan dan perekonomian nasional dalam rangkameningkatkan kesejahteraan masyarakat.

3. Membuka kesempatan seluas-luasnya kepada setiap orang untukmemajukan pemikiran dan kemampuan di bidang penggunaan dan

pemanfaatan teknologi informasi seoptimal mungkin dan bertanggungjawab

4. Memberikan rasa aman, keadilan dan kepastian hukum bagi penggunadan penyelenggaran teknologi infomrasi


54/71

Tindakan Pengamanan

1. Modernisasi hukum pidana materiil dan hukum pidana formil.2. Mengembangkan tindakan-tindakan pencegahan dan pengamanan komputer.

3. Melakukan langkah-langkah yang membuat peka masyarakat, aparat pengadilandan penegak hukum, terhadap pentingnya pencegahan kejahatan yangberhubungan dengan komputer.

4. Melakukan pelatihan para hakim, pejabat dan aparat penegak hukum mengenai

kejahatan ekonomi dan cyber crime.5. Memperluas rule of ethics dalam penggunaan komputer dan mengajarkannyamelalui kurikulum infomratika

6. Mengadopsi kebijakan perlindungan korban cyber crime termasuk untukmendorong korban melaporkan adanya cyber crime


55/71

SEKILAS TENTANG KEBIJAKANKEAMANAN INFORMASI INDONESIA

Information Security Today


56/71

Information Security Today

Sumber : (ISC)2 SSCP-CBK

3 2 Pil K I f i


57/71

3+2 Pilar Keamanan Informasi

Objective Organizational Structure Architecture

Business

Legal Remedy

People

Process

Technology

Law Regulation Cooperation & Agreement

Professionalism Education Training

Methodology Standard Guideline

Network Hardware Software

Sumber : Modified Presentasi CA -SAM Pollkam Kominfo 2011

R Li k K I f i


58/71

Ruang Lingkup Keamanan Informasi

Tony Rutkowski, [email protected]

Rapporteur, ITU-T Cybersecurity Rapporteur Group

EVP, Yaana Technologies

Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, andPolicy (CISTP)

20 S it B t P ti (ITU)
mailto:[email protected]:[email protected]:[email protected]


59/71

20 Security Best Practices (ITU)

General IT Security

Security Awareness

Cyber Security and Networking

Electronic Authentication and Personal Identification

Electronic Signatures

E-mail Security

Financial Services Security

Incident Management, Monitoring and Response

Media and End User Device Security

Mobile Device Security

Network Security and Information Exchange

Operating System and Server Security

Planning, Testing and Security Management

Radio Frequency Identification (RFID) Security

Radio Frequency Identification (RFID) Security

Security Metrics

Risk Management

Security Policy

Spam, Spyware and Malicious Code

Web Security

Wireless Networks

Sumber : ITU & Modified Presentasi CA -2011

HISA Framework


60/71

Hogan Information Security Architecture Framework

Business /Goverment

ICT

InfoSecGovernance/

Risk Management

ThreatVulnerability

Asset

Confidentiality

IntegrityAvailability

AdministrativeTechnical

Physical

Prevention

DetectionResponse

People

Process

Technology

CertificationCompliance

Care

IndividualOrganization

Country

Sumber : HoganPresdir Unipro


61/71

PERMASALAHANKEAMANAN INFORMASI

Kondisi Kemanan Informasi di


62/71

Implementasipengamanan TIK di

Indonesia masih berjalan

sendiri-sendiri (Silo

System).

Belum ada pengelola

GovernmentCertificate

of Authority(CA).

Indonesia

Belum terbentuknya

Disaster Recovery

Center (DRC)

Pemerintah.

Belum adanya SOP

dalam Keamanan

Informasi Nasional

Belum adanya (explicitly)

peraturan perundang-

undangan di bidang

Keamanan Informasi.

Belum ada kerangka

Keamanan Informasi

secara Nasional.

Sumber : Detiknas 2010 - Modified

Security Landscape


63/71

Vandalism

Incident is known

Attack System

Broad base

Individual

C

HANGE

Information Leaks

Attack Control System

Profit Oriented

Stealthy mode

Attack Application and Data

Targeted

Organized crime

(State) Sponsored Attack/

Espionage/Sabotage

Military Domain

5 Years Ago Now

Security Landscape

Sumber : Hogan-Unipro-Modified

Security Landscape


64/71

(Cyber Range Attack from Individual, Corporation to Country)

Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS,DDOS, etc)

Account Hijack

Spam, Phishing

Identity Theft

Web Defaced

Data Leakage/Theft

Web Transaction Attack

Misuse of IT Resources

Cyber Espionage

Cyber War

Security Landscape

Sumber : Presentasi CAModified

Ancaman Keamanan Informasi


65/71

65

Ancaman Keamanan Informasi

Sumber : Presentasi Iwan S-Bank Indonesia 2008


66/71

BEST PRACTICESKEAMANAN INFORMASI

B t P ti I i i tif I f ti S it


67/71

Amerika Serikat Negara LainLembaga

Internasional

1. White House

2. NIST

3. DoHS4. DoD

5. CERT

1. Infocomm Development

Authority (IDA) of Singapore

2. CyberSecurity Malaysia, under

Ministry of Science,

Technology and Innovation

(MOSTI)3. Cyber Security Operation

Center (CSOC), Australian

Department of Defense.

4. National Information Security

Council of Japan.

1. ITU International

Telecommunication

Union

2. ISO/IEC International

Standard Organization3. ISF Information

Security Forum

4. BSA- Business Software

Alliance

Lesson Learned

Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya

koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan

Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan informasi

yang merupakan bagian dari arsitektur enterprise

Best Practices - Inisiatif Information Security


68/71

Regulation & Best Practices

Government

Regulation

UU ITE 2008 (PP pendukung - 2010), RPM, SE

PP 60/2008 (Sistem Pengendalian Intern Pemerintah)

PBI (Peraturan Bank Indonesia) 2007

Industry

Regulation

Best Practices

Basell II (Banking Industry)

PCI-DSS (Payment Card Industry Data Security Standard)

COBIT Framework

COSO Enterprise Risk Management Framework

ISO 27001 (SNI-ISO 27001 - Oct 2009), ISO 27002


69/71

SNI-ISO 27001

Sistem ManajemenKeamanan Informasi

1. Kebijakan Keamanan Informasi

2. Organisasi Keamanan Informasi3. Pengelolaan Aset

4. Keamanan Sumber Daya Manusia

5. Keamanan Fisik dan Lingkungan

6. Manajemen Komunikasi dan Operasi

7. Pengendalian Akses

8. Akuisisi, Pengembangan danPemeliharaan Sistem Informasi

9. Manajemen Insiden Keamanan Infomasi

10. Manajemen Keberlanjutan Bisnis Kesesuaian (Compliance).

69

Sumber ISMS ISO 27001


70/71


71/71

Security Transcends Technology

Aspek Legal Teknologi Komunikasi Informasi Di Indonesia

Documents

Transcript of Aspek Legal Teknologi Komunikasi Informasi Di Indonesia