Keamanan Informasi dan Cyber law: Perspektif lintas negara

advertisement
Keamanan Informasi dan
Aspek Legal Teknologi Informasi
MMTC, 26 Maret 2012
BACKGROUND
ICT changed the world: people interaction, workplace, lifestyle,
business, government, art & culture. More dependencies to the
technology & more risk. Now, this is the world of online society
Competition to gain ICT supremacy will be easily burn political
issues causing uncontrolled widespread cyber warfare involving
many group of interest that could be very difficult to identify who
they really are & to detect their presence. So how to prevent,
protect & manage national ICT resources are the most necessary
& prior things to do & how to build effective preemptive measure
ICT will become the most fragile & critical infrastructure. Since it
was internetworked so every node are related. There is no way
to stop the threat or attack by simply turning off the system
MENGAPA KITA PERLU
MENGAMANKAN
INFORMASI ?
Apakah informasi itu?
• Dari perspektif Keamanan Informasi
– Informasi diartikan sebagai sebuah
‘aset’; merupakan sesuatu yang memiliki
nilai dan karenanya harus dilindungi
– Nilai secara intrinsik melibatkan
subyektivitas yang membutuhkan
penilaian dan pengambilan keputusan
Bentuk informasi
Informasi menjadi “Bernilai”
Dilihat dari :
• Isi dari informasi tersebut bernilai strategis
• Keadaan / Situasi
• Person yang memiliki dan mengkomunikasikan
informasi
(Semakin tinggi jabatan seseorang, semakin besar
nilai informasi yang disampaikan).
ANCAMAN TERHADAP INFORMASI RAHASIA
ANCAMAN LOJIK
contoh: kriptanalisa, cracking, virus komputer, dll
ANCAMAN FISIK
contoh: pencurian data/informasi, pencurian alat, penyadapan,
mengganggu sinyal (jamming), pengrusakan dan bencana alam.
ANCAMAN ADMINISTRASI
Contoh: penggandaan data yang berlebihan, tidak
adanya pengklasifikasi berita/rahasia, pelanggaraan akses terhadap
informasi/data
Filosofi Keamanan Informasi
Di dunia cyber Semuanya tercatat
• Bagi penjahat : pasti tertangkap
• Bagi kita : Berhati-hati dalam memberikan
informasi
Tujuan Keamanan Informasi
CONFIDENTIALITY (Kerahasiaan)
• Pesan saya hanya bisa terbaca oleh penerima
yang berhak
INTEGRITY (Integritas)
• Informasi yang terkirim dan diterima tidak
berubah
AVAILABITY (Ketersediaan)
• Saya bisa menggunakan kapan saja
Penjaminan Informasi
• Penggunaan operasi2 informasi untuk melindungi informasi, sistem
dan jaringan informasi, dengan cara memastikan: ketersediaan,
integritas, keaslian, kerahasiaan dan non-repudiasi, dengan
mempertimbangkan resiko akibat ancaman dari lokal atau tempat
yang jauh melalui jaringan komunikasi dan Internet.
• Tanpa adanya penjaminan informasi, suatu organisasi tidak
mempunyai kepastian tentang informasi yang diperlukan untuk
pengambilan keputusan penting, adalah andal, aman, dan tersedia
saat dibutuhkan
Keamanan Informasi
• Konsep, teknik dan hal-hal yang terkait
dengan kerahasian, ketersediaan, integritas,
keaslian dari informasi
• Teknik: enkripsi, digital signature, intrusion
detection, firewall, kontrol aksesdll
• Manajemen: strategi, desain, evaluasi, audit
• Standar dan sertifikasi
Big picture
Y. Qian et al., 2008
Standar Kegiatan Keamanan Informasi
• ISO [International Standards Organization]
ISO/IEC27001 disusun oleh ISO/IEC dan fokus kepada
keamanan administratif
• CISA [Certified Information Systems Auditor]
CISA fokus pada kegiatan audit dan pengendalian sistem
informasi
• CISSP [Certified Information Systems Security
Professional]
CISSP fokus utamanya pada keamanan teknis
Konsep Privasi (1)
• Apakah “Informasi Pribadi”?
Secara sempit, Informasi pribadi adalah informasi
yang berkaitan dengan individu yang dapat
diidentifikasi atau orang yang teridentifikasi.
Informasi Pribadi, definisi sempit
Nama
Alamat e-mail
Hubungan keluarga
Nomor lisensi mobil
Nomor telepon
Nomor kartu kredit
Alamat
Karakteristik fisik
Konsep Privasi (2)
• Apakah “Informasi Pribadi”?
Dalam pengertian lebih luas, mencakup informasi
pribadi seperti informasi kredit, detail transaksi,
detail panggilan telepon, latar belakang akademik,
karir, evaluasi/opini, dan catatan kriminal.
Informasi Pribadi, Definisi Luas
Informasi Kredit
Detail transaksi
Detail panggilan telepon
Latar belakang akademik
Karir
Evaluasi
Pendapat
Catatan kriminal
Konsep Privasi (3)
• Informasi Pribadi dan Privasi
– Akses, pengumpulan, analisis, dan penggunaan
informasi pribadi yang tidak pantas berdampak pada
perilaku pihak lain terhadap pribadi yang bersangkutan
dan pada akhirnya berdampak negatif terhadap
kehidupan sosial, harta benda, dan keselamatan-nya.
– Oleh karena itu, informasi pribadi harus dilindungi dari
akses, pengumpulan, penyimpanan, analisis dan
penggunaan yang salah. Dalam hal ini, informasi pribadi
adalah subyek perlindungan.
Aspek-aspek Keamanan Informasi
Aspek Keamanan Informasi
Ancaman (THREATS)
• Segala sesuatu yang bisa mengganggu operasional, fungsi,
integritas dan ketersediaan sebuah sistem informasi
Kelemahan (VULNERABILITIES)
• Kelemahan dari desain, konfigurasi dan implementasi
sebuah sistem informasi yang membawanya rentan
terhadap ancaman
• Setiap 10 ribu code programming minimal ada satu cacat /
hole.
• 102 Milyar code dihasilkan dalam sehari 10,2 juta hole
lahir dalam sehari
Aspek Keamanan Informasi Serangan
(ATTACKS) Tehnik khusus yang digunakan untuk
mengekploitasi kelemahan yang ada dalam
sebuah sistem informasi
• Serangan Pasif: Mengumpulkan informasi dgn
cara monitoring dan recording traffic di jaringan
atau dengan social engineering
• Serangan Aktif : aksi langsung pada sistem
komputer
4R Keamanan Informasi
Jenis-jenis serangan
•
•
•
•
Hacking
Denial of service
Kode berbahaya (malicious code)
Social engineering
22
Type of Attacks
Contoh-contoh kasus
2010 – Wikileaks
2010 – Virus Stuxnet menyerang PLTN di Iran
Ags 2008
– Serangan Internet terhadap Situs web Georgia
Apr 2007
– Serangan Cyber terhadap Estonia
Sep 2005
– Kontroversi Kartun Muhammad (Jyllands-Posten)
Mei 2005
– Malaysia-Indonesia
Apr 2001
– Sino-AS
Nilai kerugian?
Peningkatan Keamanan (1)
• Pengamanan Administratif
– Strategi, kebijakan, dan pedoman keamanan
informasi
•
•
•
•
•
Strategi keamanan informasi
Kebijakan keamanan informasi
Pedoman keamanan informasi
Standar keamanan informasi
IT Compliance
Peningkatan Keamanan (2)
• Pengamanan Administratif – lanjutan
– Proses dan operasi keamanan informasi
• Program pendidikan dan pelatihan keamanan informasi
• Penguatan promosi melalui berbagai kegiatan
• Pengamanan dukungan
Pengamanan dengan Teknologi
• Model Defense-in-Depth (DID)
Pengamanan dengan Teknologi
• Teknologi Pencegah
– Kriptografi
Proses pengkodean informasi dari bentuk aslinya (disebut
plaintext) menjadi sandi, bentuk yang tidak dapat dipahami
– One-Time Passwords (OTP)
OTP hanya dapat digunakan sekali. Password statis lebih mudah
disalahgunakan oleh password loss, password sniffing, dan bruteforce cracks, dan sejenisnya. OTP digunakan untuk mencegahnya.
Pengamanan dengan Teknologi
• Teknologi pencegah (lanjutan)
– Firewall
Firewalls mengatur beberapa aliran lalu lintas antara
jaringan komputer dari trust level yang berbeda.
– Alat penganalisis kerentanan
Ada 3 jenis alat penganalisis kerentanan:
• Alat penganalisis kerentanan jaringan
• Alat penganalisis kerentanan server
• Alat penganalisis kerentanan web
Pengamanan dengan Teknologi
• Teknologi deteksi
– Anti-Virus
Program komputer untuk mengidentifikasi, menetralisir atau
mengeliminasi kode berbahaya
– IDS (Intrusion Detection System)
IDS mengumpulkan dan menganalisis informasi dari berbagai area
dalam sebuah komputer atau jaringan untuk mengidentifikasi
kemungkinan penerobosan keamanan
– IPS (Intrusion Prevention System)
IPS mengidentifikasi potensi ancaman dan bereaksi sebelum
mereka digunakan untuk menyerang
Pengamanan dengan Teknologi
• Teknologi terintegrasi
– ESM (Enterprise Security Management)
Sistem ESM mengatur, mengontrol dan mengoperasikan solusi
keamanan informasi seperti IDS dan IPS mengikuti kebijakan yang
ditetapkan
– ERM (Enterprise Risk Management)
Sistem ERM adalah membantu memprediksi seluruh risiko yang
terkait dengan organisasi, termasuk area di luar keamanan
informasi, dan mengatur langkah mengatasinya secara otomatis
Peran & Tanggung Jawab
Metodologi Keamanan Informasi
• Model Proses ISO/IEC 27001 (BS7799)
ISO/IEC27001 mengadopsi model proses Plan-DoCheck-Act, yang digunakan untuk mengatur
struktur seluruh proses ISMS.
Model PDCA yang diterapkan ke Proses ISMS
Sumber: ISO/IEC JTC 1/SC 27
Metodologi Keamanan Informasi
• ISO/IEC 27001 (BS7799)
– Analisis kesenjangan
Proses pengukuran tingkat keamanan informasi saat ini dan
menetapkan arah masa depan keamanan informasi
– Kajian risiko
Terdiri dari dua bagian: kajian nilai aset dan kajian ancaman dan
kerentanan
– Penerapan kontrol
Diperlukan keputusan untuk menerapkan kontrol yang sesuai
untuk masing-masing nilai aset. Risiko perlu dibagi ke dalam risiko
yang dapat diterima dan risiko yang tidak dapat diterima
mengikuti kriteria 'Tingkatan Jaminan'.
SISTEM INFORMASI YANG AMAN ?
The only truly secure system is one that is
powered off, cast in a block of concrete and
sealed in a lead-lined room with armed guards
-and even then I have my doubts (Eugene H.
Spafford)
Dasar Hukum Pengamanan Informasi Rahasia di
Lingkungan Pemerintah
Produk Hukum Terkait Persandian
1. UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
2. UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik
3. PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang
Keterbukaan Informasi Publik
4. PP Nomor 38 Tahun 2007 Tentang Pembagian Urusan Pemerintahan Antara
Pemerintah, Pemerintahan Daerah Provinsi dan Pemerintahan Daerah
Kabupaten/Kota
5. Keppres Nomor 103 Tahun 2001 Tentang Kedudukan, Tugas, Fungsi,
Kewenangan, Susunan Organisasi, dan Tata Kerja Lembaga Pemerintah Non
Departemen Sebagaimana telah diubah dengan Perpres Nomor 64 Tahun
2005
6. Permenpan Nomor 22 Tahun 2008 Tentang Pedoman Umum Tata Naskah
Dinas
7. Keputusan Menteri Dalam Negeri Nomor 34 Tahun 2001 tentang
Pengamanan Berita Rahasia Melalui Proses Persandian dan Telekomunikasi
8. SEB Mendagri dan Ka. Lemsaneg (061/1727/SJ - HK.104/SE.2061/2008)
Media Cetak/Pers (UU
40/1999)
 Media Elektronik (UU
32/2002)
 Film (UU. 33/2009)
 KIP (14/2008)

Telematics:
Convergence
MEDIA
•Publishing
•Film industry & Advertising
Film, News
Education/Edutaiment
Advertising
UU 44/2008 pornografi
Cable TV
Off-line
Satellite TV
Entertainment
INTERNET
Broadcasting
&
Information SERVICES
UU-ITE
Telephony
Hardware &
Software
COMPUTING
•Information Processing
•Consumer Electronics
Networking
Switching
• Paket UU ttg HKI
• Arsip & Dokumen Perusah
(UU 8/1997)
UU 36/1999 TELECOMMUNICATIONS
UU 38/2009
•Network Infrastructure
UU 25/2009
1st G 2nd G
3rd G
voice • Voice • Voice
• text • Text
• Video
4th G
• voice
• text
• video
• TCP/IP
based
Network
Operator
LAN
content
Users/
Cons.
Content
Computing
Communication
Community
UU Nomor 14 Tahun 2008 KIP
• Setiap Badan Publik wajib membuka akses bagi
setiap
Pemohon
Informasi
Publik
untuk
mendapatkan Informasi Publik, kecuali:
a. Informasi Publik yang apabila dibuka dan diberikan
kepada Pemohon Informasi Publik
dapat
menghambat proses penegakan hukum,
b. Informasi Publik yang apabila dibuka dan diberikan
kepada Pemohon Informasi Publik
dapat
mengganggu kepentingan perlindungan hak atas
kekayaan intelektual
dan perlindungan
dari
persaingan usaha tidak sehat
c. Informasi Publik yang apabila dibuka dan diberikan
kepada
Pemohon
Informasi
Publik
dapat
membahayakan pertahanan dan keamanan negara
Pasal 17 butir c UU KIP :
Setiap Badan Publik wajib membuka akses bagi setiap
Pemohon Informasi Publik untuk mendapatkan Informasi
Publik, kecuali :
c.Informasi Publik yang apabila dibuka dan diberikan kepada
Pemohon Informasi Publik dapat membahayakan pertahanan
dan keamanan negara, yaitu:


informasi tentang strategi, intelijen, operasi, taktik dan teknik
yang berkaitan dengan penyelenggaraan sistem pertahanan
dan keamanan negara, meliputi tahap perencanaan,
pelaksanaan dan pengakhiran atau evaluasi dalam kaitan
dengan ancaman dari dalam dan luar negeri;
dokumen yang memuat tentang strategi, intelijen, operasi,
teknik dan taktik yang berkaitan dengan penyelenggaraan
sistem pertahanan dan keamanan negara yang meliputi tahap
perencanaan, pelaksanaan dan pengakhiran atau evaluasi;

jumlah, komposisi, disposisi, atau dislokasi kekuatan dan
kemampuan dalam penyelenggaraan sistem pertahanan dan
keamanan negara serta rencana pengembangannya;

gambar dan data tentang situasi dan keadaan pangkalan
dan/atau instalasi militer;

data perkiraan kemampuan militer dan pertahanan negara
lain terbatas pada segala tindakan dan/atau indikasi negara
tersebut yang dapat membahayakan kedaulatan Negara
Kesatuan Republik Indonesia dan/atau data terkait kerjasama
militer dengan negara lain yang disepakati dalam perjanjian
tersebut sebagai rahasia atau sangat rahasia;
; dan/atau

sistem intelijen negara.
Penjelasan Pasal 17 butir c.6 UU KIP
• Yang dimaksud dengan “sistem persandian
negara” adalah
segala sesuatu yang berkaitan dengan pengamanan Informasi
rahasia negara yang meliputi data dan Informasi tentang
material sandi dan jaring yang digunakan , metode dan teknik
aplikasi persandian, aktivitas penggunaannya, serta kegiatan
pencarian dan pengupasan Informasi bersandi pihak lain yang
meliputi data dan Informasi material sandi yang digunakan,
aktivitas, pencarian dan analisis, sumber Informasi bersandi,
serta hasil analisis dan personil sandi yang melakukan.
Regulasi
• UU RI no. 11 thn 2008 tentang Informasi
dan Transaksi Elektronik
UU Nomor 11 Tahun 2008 Informasi dan
Transaksi Elektronik
• Pasal 1 ayat 5 :
“Sistem Elektronik adalah serangkaian perangkat dan prosedur
elektronik yang berfungsi mempersiapkan, mengumpulkan,
mengolah, menganalisis, menyimpan, menampilkan,
mengumumkan, mengirimkan, dan/atau menyebarkan Informasi
Elektronik”
Defenisi Cyber Crime
 Dalam dua dokumen Kongres PBB mengenai The Prevention of Crime
and the Treatment of Offenders di Havana, Cuba pada tahun 1990
dan di Wina, Austria pada tahun 2000, ada dua istilah yang dikenal.
Pertama adalah istilah ‘cyber crime. Kedua adalah istilah ‘computer
related crime’. Dalam back ground paper untuk lokakarya Kongres
PBB X/2000 di Wina, Austria istilah ‘cyber crime’ dibagi dalam dua
kategori. Pertama, cyber crime dalam arti sempit (in a narrow sense)
disebut ‘computer crime’. Kedua, cyber crime dalam arti luas (in a
broader sense) disebut ‘computer related crime’.
 Cyber crime in a narrow sense (computer crime) : any illegal
behaviour directed by means of electronic operations that targets the
security of computer system and the data processed by them.
 Cyber crime in a broader sense (computer related crime) : any illegal
behaviour committed by means on in relation to, a computer system
or network, including such crime as illegal possession, offering or
distributing information by means of a computer system or network.
Masih menurut dokumen tersebut, cyber crime meliputi
kejahatan yang dilakukan:
 Dengan menggunakan sarana-sarana dari sistem
atau jaringan komputer (by means of a computer
system or network)
 Di dalam sistem atau jaringan komputer (in a
computer system or network) ; dan
 Terhadap sistem atau jaringan komputer (against a
computer system or network).
Peran komputer dalam cyber crimes
1. sebagai sarana
2. sebagai tempat menyimpan
3. sebagai sasaran
Beberapa kata kunci yang dihasilkan oleh Council Of Europe dalam Convention On
Cyber Crime di Budapest, Hongaria pada tahun 2001.





Illegal access: sengaja memasuki atau mengakses sistem komputer
tanpa hak.
Illegal interception: sengaja dan tanpa hak mendengar atau menangkap
secara diam-diam pengiriman dan pemancaran data komputer yang
tidak bersifat publik ke, dari atau di dalam sistem komputer dengan
menggunakan alat bantu teknis.
Data interference: sengaja dan tanpa hak melakukan perusakan,
penghapusan atau perubahan data komputer.
System interference: sengaja melakukan gangguan atau rintangan serius
tanpa hak terhadap berfungsinya sistem komputer.
Misuse of devices: penyalahgunaan perlengkapan komputer termasuk
program komputer, password komputer, kode masuk.
Kegiatan Berpotensi Cyber Crimes
Layanan Online Shopping (toko
online), yang memberi fasilitas
pembayaran melalui kartu kredit
Layanan Online Banking
(perbankan online)
Kejahatan Kartu Kredit
(Credit Card Fraud)
 Sebelum ada kejahatan kartu kredit
melalui internet, sudah ada model
kejahatan kartu kredit konvensional
(tanpa internet)
 Jenis kejahatan ini muncul akibat adanya
kemudahan
sistem
pembayaran
menggunakan kartu kredit yang
diberikan online shop
 Pelaku menggunakan nomer kartu
kredit korban untuk berbelanja di online
shop
Tindak Pencegahan Kejahatan
Credit
Card
Fraud
dapat
diantisipasi dengan menerapkan
sistem otorisasi bertingkat
Sistem online banking dapat
meningkatkan keamanan dengan
menggunakan sistem penyandian
transmisi data (secure http), digital
certificate dan OTP (one time
password)
Asas UU ITE
1.
2.
3.
4.
5.
Kepastian hukum
Kemanfaatan
Kehati-hatian
Itikat baik
Kebebasan memilih teknologi
Tujuan UU ITE
1.
2.
3.
4.
Mencerdaskan kehidupan bangsa sebagai bagian dari masyarakat
informasi dunia
Mengembangkan perdagangan dan perekonomian nasional dalam rangka
meningkatkan kesejahteraan masyarakat.
Membuka kesempatan seluas-luasnya kepada setiap orang untuk
memajukan pemikiran dan kemampuan di bidang penggunaan dan
pemanfaatan teknologi informasi seoptimal mungkin dan bertanggung
jawab
Memberikan rasa aman, keadilan dan kepastian hukum bagi pengguna
dan penyelenggaran teknologi infomrasi
Tindakan Pengamanan
1.
2.
3.
4.
5.
6.
Modernisasi hukum pidana materiil dan hukum pidana formil.
Mengembangkan tindakan-tindakan pencegahan dan pengamanan komputer.
Melakukan langkah-langkah yang membuat peka masyarakat, aparat pengadilan
dan penegak hukum, terhadap pentingnya pencegahan kejahatan yang
berhubungan dengan komputer.
Melakukan pelatihan para hakim, pejabat dan aparat penegak hukum mengenai
kejahatan ekonomi dan cyber crime.
Memperluas rule of ethics dalam penggunaan komputer dan mengajarkannya
melalui kurikulum infomratika
Mengadopsi kebijakan perlindungan korban cyber crime termasuk untuk
mendorong korban melaporkan adanya cyber crime
SEKILAS TENTANG KEBIJAKAN
KEAMANAN INFORMASI INDONESIA
Information Security Today
Sumber : (ISC)2 – SSCP-CBK
3+2 Pilar Keamanan Informasi
• Objective
• Organizational Structure
• Architecture
• Law
• Regulation
• Cooperation & Agreement
• Professionalism
• Education
• Training
• Methodology
• Standard
• Guideline
• Network
• Hardware
• Software
Business
Legal Remedy
People
Process
Technology
Sumber : Modified Presentasi CA -SAM Pollkam Kominfo 2011
Ruang Lingkup Keamanan Informasi
Tony Rutkowski, tony@yaanatech.com
Rapporteur, ITU-T Cybersecurity Rapporteur Group
EVP, Yaana Technologies
Senior Fellow, Georgia Tech, Sam Nunn School, Center for International Strategy, Technology, and
Policy (CISTP)
20 Security Best Practices (ITU)
Spam, Spyware and Malicious Code
General IT Security
Financial Services Security
Security Awareness
E-mail Security
Cyber Security and Networking
Risk Management
Media and End User Device Security
Security Metrics
Wireless Networks
Incident Management, Monitoring and Response
Network Security and Information Exchange
Electronic Authentication and Personal Identification
Electronic Signatures
Web Security
Mobile Device Security
Operating System and Server Security
Radio Frequency Identification (RFID) Security
Radio Frequency Identification (RFID) Security
Planning, Testing and Security Management
Sumber : ITU & Modified Presentasi CA -2011
Security Policy
HISA Framework
Hogan Information Security Architecture Framework
Organization
Individual
Country
Certification
Compliance
Business /
Goverment
ICT
InfoSec
Governance/
Risk Management
Care
People
Threat
Process
Vulnerability
Technology
Asset
Confidentiality
Prevention
Integrity
Availability
Detection
Response
Administrative
Sumber : Hogan –Presdir Unipro
Physical
Technical
PERMASALAHAN
KEAMANAN INFORMASI
Kondisi Kemanan Informasi di
Indonesia
• Implementasi
• Belum adanya (explicitly)
pengamanan TIK di
peraturan perundang-
Indonesia masih berjalan
undangan di bidang
sendiri-sendiri (Silo
Keamanan Informasi.
System).
• Belum ada pengelola
Government Certificate
• Belum ada kerangka
Keamanan Informasi
secara Nasional.
of Authority (CA).
Sumber : Detiknas 2010 - Modified
• Belum terbentuknya
Disaster Recovery
Center (DRC)
Pemerintah.
• Belum adanya SOP
dalam Keamanan
Informasi Nasional
Security Landscape
Now
5 Years Ago
•Vandalism
CHANGE
•Incident is known
•Attack System
•Broad base
•Individual
•Information Leaks
•Attack Control System
•Profit Oriented
•Stealthy mode
•Attack Application and Data
•Targeted
•Organized crime
•(State) Sponsored Attack/
Espionage/Sabotage
•Military Domain
Sumber : Hogan-Unipro-Modified
Security Landscape
(Cyber Range Attack from Individual, Corporation to Country)
• Malicious Ware (Virus, Worm, Spyware, Keylogger, DOS,
DDOS, etc)
• Account Hijack
• Spam, Phishing
• Identity Theft
• Web Defaced
• Data Leakage/Theft
• Web Transaction Attack
• Misuse of IT Resources
• Cyber Espionage
• Cyber War
Sumber : Presentasi CA –Modified
Ancaman Keamanan Informasi
65
Sumber : Presentasi Iwan S-Bank Indonesia 2008
BEST PRACTICES
KEAMANAN INFORMASI
Best Practices - Inisiatif Information Security
Amerika Serikat
1. White House
2. NIST
3. DoHS
4. DoD
5. CERT
Negara Lain
1. Infocomm Development
Authority (IDA) of Singapore
2. CyberSecurity Malaysia, under
Ministry of Science,
Technology and Innovation
(MOSTI)
3. Cyber Security Operation
Center (CSOC), Australian
Department of Defense.
4. National Information Security
Council of Japan.
Lembaga
Internasional
1. ITU International
Telecommunication
Union
2. ISO/IEC – International
Standard Organization
3. ISF – Information
Security Forum
4. BSA- Business Software
Alliance
Lesson Learned
Implementasi Keamanan Informasi sebagaimana dilakukan mensyaratkan: Adanya
koordinasi antar lembaga, Penerbitan Regulasi, Penetapan Standar, Penunjukan
Lembaga, Penetapan Prosedur, Pengembangan sebuah arsitektur keamanan informasi
yang merupakan bagian dari arsitektur enterprise
Regulation & Best Practices
• UU ITE 2008 (PP pendukung - 2010), RPM, SE
Government
Regulation
Industry
Regulation
•PP 60/2008 (Sistem Pengendalian Intern Pemerintah)
•PBI (Peraturan Bank Indonesia) 2007
• Basell II (Banking Industry)
•PCI-DSS (Payment Card Industry Data Security Standard)
• COBIT Framework
Best Practices
•COSO Enterprise Risk Management Framework
•ISO 27001 (SNI-ISO 27001 - Oct 2009), ISO 27002
SNI-ISO 27001
Sistem Manajemen
Keamanan Informasi
Sumber ISMS – ISO 27001
1.
2.
3.
4.
5.
6.
7.
8.
Kebijakan Keamanan Informasi
Organisasi Keamanan Informasi
Pengelolaan Aset
Keamanan Sumber Daya Manusia
Keamanan Fisik dan Lingkungan
Manajemen Komunikasi dan Operasi
Pengendalian Akses
Akuisisi, Pengembangan dan
Pemeliharaan Sistem Informasi
9. Manajemen Insiden Keamanan Infomasi
10. Manajemen Keberlanjutan Bisnis
• Kesesuaian (Compliance).
69
“Security Transcends Technology”
Download