Laboratorium Jaringan Komputer Departemen Teknik...
Transcript of Laboratorium Jaringan Komputer Departemen Teknik...
Laboratorium Jaringan KomputerDepartemen Teknik Informatika dan KomputerPoliteknik Elektronika Negeri Surabaya
1
Profile :» He took Bachelor Degree in Electrical Engineering at the
Sepuluh Nopember Institute of Technology (ITS) in 1995-2000. In 2000, he joined the EEPIS Informatics Engineering department as a teaching staff. Then he continued his education at the Master of Science in Computer Science in Saga University Japan in 2006-2008 with a scholarship from the Japanese government.
» The research areas involved are network security and wireless sensor networks.
» Since 2013 - until now , he works with ID-SRTII / CC to build the IDS platform called Mata Garuda
» Awards :
– JICA fellowship on SPEET Project 2002-2003
– Monbukagakusho scholarship, 2005-2008– Merit Winner of APICTA 2014 (network security category)– Asia Pacific Information Security Center Security Training Course
2015,KISA fellowship– Network Security Researcher JICA 2016 fellowship
2
Topik
1. Dasar Keamanan Informasi
2. INDEKS KEAMANAN INFORMASI : ISU TERKINI Tentang PERPRES 9 /2018
3. Definisi –definisi “INFORMASI”menurut undang-undang
3
4
in.for.ma.si1.n penerangan2.n pemberitahuan; kabar atau berita tentang sesuatu3.n Ling keseluruhan makna yang menunjang amanat yang terlihat dalam bagian-bagian amanat itu
…menurut KBBI
informasi » informasi elektronik•Huk data elektronik yang telah diolah sedemikan rupa dan ditampilkan melalui
media elektronik
aman » keamanan » keamanan data•Komp perlindungan data terhadap kerusakan atau pengguna yang tidak sah
da.ta1.n keterangan yang benar dan nyata: pengumpulan -- untuk memperoleh
keterangan tentang kehidupan petani2.n keterangan atau bahan nyata yang dapat dijadikan dasar
kajian (analisis atau kesimpulan)3.n Komp informasi dalam bentuk yang dapat diproses oleh komputer,
seperti representasi digital dari teks, angka, gambar grafis, atau suara
Prinsip keamanan Informasi
• Confidetiality :
– Data hanya boleh diaksesoleh pihak yang berhak saja
• Integrity :
– data tidak boleh dirubah dariaslinya oleh orang yang tidakberhak, sehingga konsistensi, akurasi, dan validitas data tersebut masih terjaga
• Availibity :
– data yang tersimpan dan diproses di dalam sumberdaya yang ada siap diakseskapanpunoleh user/application/sistemyang membutuhkannya
5
Prinsip keamanan Data
6
Harus adanya kepastian klasifikasi informasi• Klasifikasi data : Sangat Rahasia, Rahasia, Terbatas(Internal use only) , Publik• Enkripsi yang diterapkan pada level media penyimpanan dan transmisi data.
Harus adanya kepastianperlindungan data :• menerapkan strong encrypti
on pada media penyimpanandan transmisi data.
• menerapkan strong authentication dan validation
Harus adanya kepastian bahwadata dapat diakses kapanpundan dimanapun :• disaster recovery plan• redundant hardware• data backup
Prinsip Pertahanan Berlapis Untuk Melindungi DATA
7
KEBIJAKAN (POLICY) ADALAH AWAL DARI
PERLINDUNGAN DATA
PERUBAHAN PARADIGMA :Tanggung jawab
“KEAMANAN DATA”tidak hanya
Administrator Sistematau Jaringan saja
Perubahan Paradigma “WHO IS THE KEY PERSON BEHIND THE DATA ?”
• Pandangan tradisional
– Domain dari Administrator Sistem dan Jaringan
– Kebutuhan membeli Firewall, Antivirus, IDS,
– Menerapkan Kontrol terhadap keamananan informasi bukanlah suatu kewajiban
8
• Pandangan Modern— Domain Pemilik Bisnis— Tugas mulai dari perencanaan, mencari DAMPAK DAN
PENANGGULANGANNYA dalam setiap tahap implementasi yang telahdirencanakan
— Bisnis dan Keamanan tidak dapat dipisahkan— Tim Keamanan Terdiri dari Manajemen Puncak, Manajer TI dan Manajer
Keamanan Informasi— Merencanakan (PLAN), Melakukan(DO), Memeriksa (CHECK) dan Menindak
(ACT) Model— Integrasi Sistem Kualitas Seperti ISO, CMMI dll dengan Model Keamanan
Informasi
BERUBAH MENJADI
Produk hukum yang membahas tentang keamanan informasidan tantangannya
1. Kebijakan Keamanan Informasi1) UU No. 11/2008 tentang Informasi dan Transaksi Elektronik (ITE)
2) UU No.19/2016 tentang Perubahan atas UU No 11/2018
3) UU No. 14/2008 tentang Keterbukaan Informasi Publik (KIP)
4) Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem PengendalianIntern Pemerintah (SPIP)
5) Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistemdan Transaksi Elektronik
6) Peraturan Presiden Nomor 53 Tahun 2017 tentang BADAN SIBER DAN SANDI NEGARA
7) Peraturan Presiden Nomor 133 Tahun 2017 tentang Perubahan atasPerpres Nomor 53/2017 tentang BADAN SIBER DAN SANDI NEGARA
8) Permenkominfo Nomor 5 /2014 tentang Sistem Manajemen PengamananInformasi
9) Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem PemerintahanBerbasis Elektronik
✓ Belum adanya baku Tata Kelola Keamanan Informasi Nasional -> Badan Siber dan Sandi Negara (baru berdiri 1 tahun yang lalu)
✓ Kualitas Sumber Daya Manusia9
Apa dan Mengapa menggunakan INDEKS KAMI ?
16
Bimtek
Peningkataan
Kompetensi
Pemeringkatan
dan
Klinik Konsultasi
Asesmen:
- Mandiri
- Asesor Lokal
- Observasi
SNI ISO/IEC 27001 : 2013
tentang Sistem Manajemen Keamanan
Informasi (SMKI)
Penyelenggara Layanan Publik K/L/D : 623
Asesmen awal sebelum penerapan SNI-ISO/IEC 27001
Implementing Information Security Concept – Related to IndeksKAMI
Information Security
Policies
Procedures and
Guidelines
Technical Systems
Security Awareness Workshops
An aware workforce is the best defence against information security threats
Suitable policies and processes need to be implemented for effective InfoSec
The right technology needs to be implemented for cost effective
InfoSec
People
Process
Technology
Aspek yang dinilai
18
Indeks KAMI v3.1
Kategori Sistem Elektronik
Tata Kelola
22
indikator
PengelolaanResiko
16
Indikator
Kerangka Kerja
29
indikator
PengelolaanAsset
38
indikator
Teknologi
26
indikator
Penilaian mandiri tentang Kategorisasi Sistem Elektronik
Indeks KAMI dimaksudkan untuk memberikan gambaran kondisi kesiapan (kelengkapandan kematangan) kerangka kerja keamanan informasi (SMKI) kepada pimpinan Instansi
Kategori Sistem Elektronik
19
Bagian ini mengevaluasi tingkat atau kategori sistem elektronik yang digunakan
Definis aspek dan matriks penilaian
1. Tata Kelola– Bagian ini mengevaluasi kesiapan bentuk
tata kelola keamanan informasi besertaInstansi/fungsi, tugas dan tanggung jawabpengelola keamanan informasi.
2. Pengelolaan Resiko– Bagian ini mengevaluasi kesiapan
penerapan pengelolaan risiko keamananinformasi sebagai dasar penerapan strategikeamanan informasi.
3. Kerangka Kerja– Bagian ini mengevaluasi kelengkapan dan
kesiapan kerangka kerja (kebijakan & prosedur) pengelolaan keamanan informasidan strategi penerapannya.
4. Pengelolaan Asset– Bagian ini mengevaluasi kelengkapan
pengamanan aset informasi, termasukkeseluruhan siklus penggunaan asettersebut.
5. Teknologi– Bagian ini mengevaluasi kelengkapan,
konsistensi dan efektifitas penggunaanteknologi dalam pengamanan asetinformasi.
21
Tingkat Kematangan dan Kelengkapan ISO 27001
• Untuk keperluan Indeks KAMI, tingkat kematangan tersebutdidefinisikan sebagai: – Tingkat I - Kondisi Awal
– Tingkat II - Penerapan Kerangka Kerja Dasar
– Tingkat III - Terdefinisi dan Konsisten
– Tingkat IV - Terkelola dan Terukur
– Tingkat V - Optimal
• Untuk membantu memberikan uraian yang lebih detil, tingkatanini ditambah dengan tingkatan antara - I+, II+, III+, dan IV+ →total terdapat 9 tingkatan kematangan.
23
Sistem Elektronik
• Sistem Elektronik adalah serangkaian perangkat dan
prosedur elektronik yang berfungsi mempersiapkan,
mengumpulkan, mengolah, menganalisis, menyimpan,
menampilkan, mengumumkan, mengirimkan, dan/atau
menyebarkan Informasi Elektronik
25
Penyelenggara Sistem Elektronik
• Penyelenggara Sistem Elektronik adalah setiap Orang,
penyelenggara negara, Badan Usaha, dan masyarakat
yang menyediakan, mengelola, dan/atau
mengoperasikan Sistem Elektronik secara sendiri-
sendiri maupun bersama-sama kepada Pengguna
Sistem Elektronik untuk keperluan dirinya dan/atau
keperluan pihak lain.
26
• Penyelenggaraan Sistem Elektronik adalah
pemanfaatan Sistem Elektronik oleh penyelenggara
negara, Orang, Badan Usaha, dan/atau masyarakat.
• Pelayanan Publik adalah kegiatan atau rangkaian
kegiatan dalam rangka pemenuhan kebutuhan
pelayanan sesuai dengan peraturan perundang-
undangan bagi setiap warga negara dan penduduk atas
barang, jasa, dan/atau pelayanan administratif yang
disediakan oleh penyelenggara pelayanan publik
27
• Sistem Manajemen Pengamanan Informasi adalah
pengaturan kewajiban bagi Penyelenggara Sistem
Elekronik dalam penerapan manajemen pengamanan
informasi berdasarkan asas Risiko.
• Keamanan Informasi adalah terjaganya kerahasiaan
(confidentiality), keutuhan (integrity), dan ketersediaan
(availability) informasi.
28
• Sistem Manajemen Pengamanan Informasi adalahpengaturan kewajiban bagi Penyelenggara SistemElekronik dalam penerapan manajemen pengamananinformasi berdasarkan asas Risiko.
• Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran sertadilindungi kerahasiaannya.
• Risiko adalah kejadian atau kondisi yang tidakdiinginkan, yang dapat menimbulkan dampak negatifterhadap pencapaian sasaran kinerja dari layananSistem Elektronik.
29