DUKUNGAN KEBIJAKAN PADA PENYELENGGARAAN SISTEM ELKTRONIK Aidil Chendramata Direktur Keamanan Informasi 23 Agustus 2017
Direktorat Keamanan Informasi COMPANYLOG Direktorat Jenderal Aplikasi Informatika
O
1.
2. 3.
4.
Undang-undang No. 19 tahun 2016 revisi UU No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) Undang-undang No.14 tahun 2008 tentang keterbukaan Informasi Publik Peraturan Pemerintah RI No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik Peraturan Pemerintah RI No. 61 Tahun 2010 Tentang Pelaksanaan UU no 14 Tahun 2008 Tentang Keterbukaan Informasi Publik. Direktorat Keamanan InformasiCOMPANYLOG Direktorat Jenderal Aplikasi InformatikaO
Peraturan Menteri
1. PM No. 23 tahun 2013 Tentang Pengelolaan Nama Domain 2. PM No. 36 tahun 2014 tentang Tata Cara Pendaftaran Penyelenggaraan Sistem Elektronik
3. PM No. 19 tahun 2014 tentang Penanganan Situs Internet Negatif 4. PM No.5 tahun 2015 tentang Registrar Nama Domain Instansi Penyelenggara Negara
5. PM No. 4 tahun 2016 tentang Sistem Manajemen Pengamanan Informasi 6. PM No. 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
UU No. 19/2016 pasal 15 (1): Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik (SE) secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik.
pasal 15 (2): PSE bertanggung jawab terhadap Penyelenggaraan Sistem Elektroniknya.
pasal 16 (1): a. menampilkan kembali IE/DE secara utuh b. melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan & keteraksesan c. beroperasi sesuai prosedur d. dilengkapi dengan petunjuk penggunaan yg dapat dipahami e. mekanisme berkelanjutan utk menjaga pembaruan/petunjuk, kejelasan dan kebrtanggungjawaban. Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
Peraturan Pemerintah Penyelengaraan Sistem dan Transaksi Elektronik No. 82 Tahun 2012
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan,menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik.
Penyelenggaraan Sistem Elektronik (PSE) secara aman dan andal meliputi pengaturan,: a.Pendaftaran b.Perangkat keras c.Perangkat lunak d.Tenaga ahli e.Tata Kelola f.Sistem Manajemen Pengamanan Informasi g.Sertifikasi Kelaikan Sistem Elektronik Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika 05/24/11
Peraturan Menteri
Tata Cara Pendaftaran Sistem Elektronik No. 36 tahun 2014
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
PENDAFTARAN SISTEM ELEKTRONIK Pasal 3 Penyelenggara Sistem Elektronik (PSE) untuk Pelayanan Publik wajib melakukan pendaftaran
Pasal 5 PSE yang wajib melakukan pendaftaran, yang memiliki: a. Portal, situs atau aplikasi online melalui internet yang dipergunakan untuk fasilitasi penawaran dan/atau perdagangan barang dan/atau jasa; b. SE yang didalamnya terdapat fasilitas pembayaran dan/atau transaksi keuangan lainnya secara online melalui jaringan komunikasi data atau internet; c. SE yang dipergunakan untuk pemrosesan informasi elektronik yang mengandung atau membutuhkan deposit dana; d. SE yang digunakan untuk pemrosesan, pengolahan, atau penyimpanan data yang terkait fasilitas yang berhubungan dengan data pelanggan untuk kegiatan operasional melayani masyarakat yang terkait dengan aktifitas transaksi keuangan dan perdagangan; e. SE yang dipergunakan untuk pengiriman materi digital berbayar melalui jaringan data baik dengan cara download melalui portal/situs, pengiriman lewat email, atau melalui aplikasi lain ke perangkat pengguna.
Perangkat Keras
1. Memenuhi aspek interkoneksi dan kompatilibiltas 2. Memperoleh sertifikasi kelaikan dari Menteri 3. Mempunyai layanan dukungan teknis, pemeliharaan dan purnajual 4. Memiliki referensi pendukung bahwa perangkat keras tersebut berfungsi sesuai dengan spesifikasinya 5. Memiliki jaminan ketersediaan suku cadangnya paling sedikit 3 tahun 6. Memiliki jaminan kejelasan mengenai kondisi kebaruan 7. Memiliki jaminan bebas dari cacat produk
Perangkat Lunak
1. Perangkat Lunak untuk PSE pelayanan publik wajib terdaftar di Kominfo 2. Wajib menyerahkan kode sumber pada instansi pemerintah (PL yang khusus dibuat utk instansi) 3. Bila kepentingan hukum menghendaki, dapat dilakukan pemeriksaan kode sumber PL 4. Ketentuan lebih lanjut diatur dalam Peraturan Menteri.
Tata Kelola PSE wajib : • Menjamin tersedianya service level agreement • Menjamin tersedianya perjanjian Keamanan Informasi (KI) • Menjamin KI & sarana komunikasi internal • Menjamin keterpaduan seluruh komponen • Menerapkan manajemen risiko • Memiliki kebijakan tata kelola, prosedur kerja pengoperasian dan mekanisme audit
Tata Kelola PSE Pelayanan Publik • • • •
•
Wajib menerapkan tata kelola yang baik dan akuntabel Wajib memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan Wajib menggunakan Sertifikat Elektronik dan/atau Sertifikat Keandalan (pasal 41) Wajib menempatkan Pusat Data dan Pusat pemulihan Bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warganegaranya Instansi Pengawas dan Pengatur Sektor mengatur lebih lanjut mengenai Pusat Data dan Pusat Pemulihan Bencana serta tata kelola PSE di sektornya.
Peraturan Menteri Sistem Manajemen Pengamanan Informasi No. 4 tahun 2016
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
Kategorisasi Sistem Elektronik Kategorisasi Sistem Elektronik
No
Sistem Elektronik
Penetap Kategori
1
Strategis
Menteri + Rekomendasi IPPS
2
Tinggi
Menteri
3
Rendah
Menteri
Kategorisasi SE berdasarkan 10 kriteria
Kriteria No
Kriteria Kategorisasi Kategorisasi Sistem Sistem Elektronik (1)
Karakteristik SE
A=5
Elektronik
B=2
C=1
1
Nilai investasi sistem elektronik A. > 30 miliar rupiah yang terpasang
B. 3 miliar rupiah -30 miliar rupiah
C. <3 miliar rupiah
2
Total anggaran operasional tahun A. >10 miliar rupiah berjalan yang dialokasikan untuk pengelolaan Sistem Elektronik
B. 1 miliar rupiah -10 miliar rupiah
C. <1 miliar rupiah
3
Memiliki terhadap tertentu
B. Peraturan atau standar nasional
C. Tidak ada peraturan khusus
4
Menggunakan algoritma khusus A. Algoritma khusus untuk keamanan informasi dalam yang diguna-kan sistem elektronik negara
B. Algoritma standar publik
C. Tidak ada algoritma khusus
5
Jumlah pemilik akun yang A. > 5000 pemilik menggunakan Sistem Elektronik akun
B. 1000 - 5000 pemilik akun
C. < 1000 pemilik akun
kewajiban kepatuhan A. Peraturan atau peraturan atau standar standar nasional dan interna-sional
Kriteria Kategorisasi Sistem Elektronik (2) No 6
7
8
9
10
Karakteristik SE Data Pribadi Elektronik
A=5
yang dikelola Sistem A. Data Pribadi yang memiliki hubungan dengan Data Pribadi lainnya
Tingkat klasifikasi/ kekritisan data yang ada dalam Sistem Elektronik Tingkat kekritisan proses yang ada dalam Sistem Elektronik,
Dampak dari Elektronik
kegagalan
Sistem
Potensi kerugian atau dampak negatif dari insiden ditembusnya Keamanan Informasi Sistem Elektronik
B=2
C=1
B. Data Pribadi yang C. Tidak ada Data Pribadi bersifat individu dan/atau Data Pribadi yang terkait dengan kepemilikan badan usaha
A. Sangat rahasia
B. Rahasia dan/ atau terbatas
C. Biasa
A. Proses yang berisiko meng-ganggu hajat hidup orang banyak dan memberi dampak langsung pada Pelayanan Publik
B. Proses yang berisiko mengganggu hajat hidup orang banyak dan memberi dampak tidak langsung
C. Proses yang tidak berdampak bagi kepentingan orang banyak
A. Tidak tersedia-nya Pelayanan Publik berskala nasional atau memba-hayakan pertaha-nan keama-nan negara
B. Tidak tersedianya layanan Publik atau proses penyelenggaraan negara dalam 1 (satu) provinsi atau lebih
C. Tidak tersedianya Pelayanan Publik atau proses penyelenggaraan negara dalam 1 (satu) kabupaten/ kota atau lebih
A. Menimbulkan korban jiwa
B. Terbatas pada kerugian finansial
C. Mengakibatkan gangguan operasional sementara (tidak membahayakan dan tidak merugikan finansial
Contoh Kategorisasi Contoh Sistem Elektronik Penerapan Kategorisasi
Standar Pengamanan StandarManajemen Manajemen Pengamanan
Contoh Evaluasi Teknologi Keamanan Informasi
Hasil Evaluasi Kelengkapan dan Kematangan
Penempatan Pusat Data & Pemulihan Standar Manajemen Pengamanan Informasi untuk semua kategori Sistem Elektronik:
• Pusat data dan pusat pemulihan bencana harus ditempatkan di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan dan penegakan kedaulatan negara terhadap data warga negaranya
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
Tenaga Ahli • Dalam penerapan Sistem Manajemen Pengamanan Informasi Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli Internal dan/atau Eksternal • Dalam hal penerapan pada Sistem Elektronik Strategis Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
Lembaga Sertifikasi Sertifikasi
Ketentuan lebih lanjut mengenai Auditor diatur dengan Peraturan Menteri
Peraturan Menteri
Perlindungan Data Pribadi dalam Sistem ELektronik No. 20 tahun 2016
Direktorat Keamanan Informasi Direktorat Jenderal Aplikasi Informatika
Perlindungan Data Pribadi UU No. 19/2016, pasal 26: 1. Penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. 2. Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan; Permen No. 20/2016, pasal (1) 1. Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. 2. Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yg melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.
Perlindungan Data Pribadi (2) Permen No. 20/2016, pasal 3; Perlindungan Data Pribadi dalam SE dilakukan pada proses: a. perolehan dan pengumpulan; b. pengolahan dan penganalisisan; c. penyimpanan; d. penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan e. pemusnahan. Permen No. 20/2016; - pasal 9 (1) Perolehan Data Pribadi wajib berdasarkan Persetujuan atau berdasarkan ketentuan peraturan perundang-undangan. - pasal 15 (2) Data Pribadi yang disimpan dalam Sistem Elektronik harus dalam bentuk data terenkripsi. - Pasal 15 (3) Data Pribadi disimpan dalam jangka waktu sesuai peraturan perundangan IPPS - Pasal 15 (3) Data Pribadi disimpan paling singkat 5 tahun, jika belum diatur dalam peraturan perundangan khusus.
Kewajiban Penyelenggara Sistem Elektronik (PSE) pasal 28; a. melakukan sertifikasi Sistem Elektronik sesuai dengan ketentuan peraturan perundang-undangan; b. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan; c. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik; d. memiliki aturan internal terkait perlindungan Data Pribadi e. menyediakan rekam jejak audit; f. Dst.. Dst..
Kesimpulan 1. Dukungan kebijakan dalam penyelenggaraan Sistem Elektronik telah diakomodasi melalui beberapa peraturan perundangan serta peraturan turunannya 2. Keamanan informasi tidak bisa hanya dilakukan secara sepihak namun membutuhkan keterlibatan semua pihak 3. Instansi Pengawas dan Pengatur Sektor sangat berperan dalam koordinasi menerapkan kebijakan dalam rangka meningkatkan keamanan informasi.
[email protected]
Direktorat Keamanan InformasiCOMPANYLOG Direktorat Jenderal Aplikasi InformatikaO