JARING KOMUNIKASI SANDI

JARING KOMUNIKASI SANDI

Berdasarkan Perka No. 14 Tahun 2010 • Jaring Komunikasi Sandi yang selanjutnya disebut JKS adalah keterhubungan antar Pengguna Persandian melalui jaringan telekomunikasi. • Pengguna Persandian adalah pejabat pada Instansi Pemerintah yang memanfaatkan Persandian. • Gelar Jaring Komunikasi Sandi yang selanjutnya disebut Gelar JKS adalah kegiatan membangun JKS yang dimulai dari kegiatan perencanaan, implementasi, dan evaluasi.

Gelar JKS Dilaksanakan melalui tahapan: a. perencanaan; b. implementasi; dan c. evaluasi.

Perencanaan 1.Instansi Pemerintah melakukan inventarisasi sumber daya yang ada di lingkungannya meliputi a. kelembagaan yang melaksanakan fungsi persandian; b. peraturan di bidang pengamanan informasi; c. pengguna persandian; d. sarana komunikasi antar pengguna persandian; e. sumber daya manusia sandi; f. peralatan sandi; g. media transmisi; dan h. anggaran. 2.Instansi Pemerintah dapat mengkonsultasikan hasil inventarisasi sumber daya kepada Lemsaneg untuk mendapatkan rekomendasi Gelar JKS

lanjutan … 3. Membuat Desain JKS terdiri dari: a. topologi komunikasi Pengguna Persandian; b. Peralatan Sandi yang digunakan; dan c. infrastruktur telekomunikasi yang digunakan. 4. Instansi Pemerintah menyusun kerangka acuan kerja dan rincian anggaran biaya 5. Gelar JKS berdasarkan perencanaan Gelar JKS Internal yang telah disusun.

Implementasi Instansi Pemerintah melaksanakan implementasi Gelar JKS Internal berdasarkan perencanaan Gelar JKS Internal yang telah disusun, meliputi kegiatan: a. penyiapan infrastruktur telekomunikasi yang digunakan; b. penyiapan kunci sistem sandi; c. penyiapan Peralatan Sandi; dan d. operasional Gelar JKS Internal.

Evaluasi Evaluasi Gelar JKS Internal meliputi kegiatan: a. penilaian kesesuaian antara implementasi dengan perencanaan Gelar JKS Internal; dan b. penilaian efisiensi dan efektifitas pemanfaatan JKS Internal.

Desain JKS (contoh) Bupati Wakil Bupati

Sekda

Inspektorat

Sekwan

DISKOMINFO SANDI STATISTIK Para Asisten

Para Kepala Dina & Badan Para Kepala Dinas Dan Badan

Kecamatan Kecamatan Kecamatan

Keterangan : • Kepala Dinas • Kepala Badan • Kecamatan

: 15 :5 :8

Desain Topologi JKS (contoh)

Kepala Daerah

Layanan/peralatan sandi yang dapat disediakan pada setiap pengguna:

Sebagai administrator Jaring Komunikasi

1) 2) 3) 4) 5)

DISKOMINFO SANDI DAN STATISTIK

Jaringan Aman

OPD 1

OPD 31

OPD 2

OPD 30

IP (PBX) Phone Secure PSTN Voice/Fax via IP Secure E-mail Database Server Collaboration (Secure Messaging, IM/Chatting) 6) Secure VPN-IP 7) Secure Radio (HT) 8) Secure GSM

PENYELENGGARAAN PERSANDIAN UNTUK PENGAMANAN INFORMASI PADA PEMERINTAH DAERAH

kewenangan

Sub Urusan Persandian

KEWENANGAN URUSAN

PERSANDIAN

Pusat

Persandian untuk Pengamanan Informasi

Povinsi

Kab/Kota

Akreditasi dan Sertifikasi

BERDASARKAN

UU 23 TAHUN 2014

Analisis Sinyal

Penyelenggaraan Persandian untuk Pengamanan Informasi Provinsi

Kab/Kota

Penyelenggaraan persandian untuk pengamanan informasi pemerintah pusat

Penyelenggaraan persandian untuk pengamanan informasi pemerintah provinsi

Penyelenggaraan persandian untuk pengamanan informasi pemerintah kabupaten

Penetapan pola hub komunikasi sandi antar K/L, antara Pempusat dg Prov dan Kab/Kota

Penetapan pola hub komunikasi sandi antar perangkat daerah provinsi

Penetapan pola hub komunikasi sandi antar perangkat daerah kab/kota

Pusat

Pengelolaan Kunci Sandi

urusan

Persandian yang tidak berkaitan dengan Pelayanan Dasar GHJGK

UNDANG - UNDANG 23/2014 PEMERINTAHAN

DAERAH

PP 18 Tahun 2016 tentang Perangkat Daerah Persandian dalam PP 38/2007

Bergabung bersama dalam urusan otonomi daerah, pemerintahan umum, administrasi keuangan daerah, perangkat daerah dan kepegawaian sebagai sub bidang persandian sub sub bidang terdiri atas kebijakan, pembinaan SDM, pembinaan Palsan, pembinaan Sissan, pembinaan kelembagaan, pengawasan dan pengendalian (Wasdal) dan pengkajian

UU 23/2014 Persandian sbg salah satu urusan pemerintahan konkuren

PP 18/2016 tentang Perangkat Daerah

Urusan Persandian satu rumpun bersama dengan urusan Komunikasi dan Informatika, dan urusan Statistik [pasal 18 dan 40] Dalam memetakan besaran intensitas beban kerja urusan persandian, tidak berlaku faktor pengali [pasal 107]

PERAN ORGANISASI PERSANDIAN Partner

Konsultan

Admin

Pengelola

bagi Pemilik Informasi, untuk mengelola informasi-informasi berklasifikasi yang berada di lingkungan Organisasi keseluruhan.

Perubahan Paradigma & Arah Penyelenggaraan Persandian Di Daerah

TUGAS: Menyelenggarakan

persandian dalam rangka pengamanan informasi

Melaksanakan tata kelola persandian dalam rangka penjaminan keamanan informasi di lingkungan pemerinta daerah

Melaksanakan pengelolaan sumber daya persandian di lingkungan pemerintah daerah

Melaksanakan operasional pengamanan persandian di lingkungan pemerintah daerah

Melaksanakan pengawasan dan evaluasi penyelenggaraan persandian di lingkungan pemerintah daerah

KONSEPSI FUNGSI PERSANDIAN TUJUAN ORGANISASI Continuity FUNGSI PERSANDIAN Information Assurance KRIPTOGRAFI

Kontra Penginderaan

Fungsi Manajemen

Confidentiality Integrity Authentication Non repudiation Jamming Sterilisasi

1. Kebijakan/ Prosedur 2. Self Assessment 3. Binwas 4. Sosialisasi 5. Pengelolaan SDM/JKS 6. Koordinasi, dll

USER ORGANISASI Objek

Executive Level

INFORMASI (UU KIP) 1.Inf. Terbuka (I,A,N) 2.Inf. Dikecualikan ( C,I,A,N ) FASILITAS 1. Ruang Rapat 2. Ruang Kerja 3. Rumah Dinas

Proses 1. Pembuatan 2. Pengiriman 3. Penyimpanan 4. Pemusnahan

Managerial Level

Operational Level

PUBLIK Masyarakat Umum Pihak Ketiga

Penyediaan Analisis Kebutuhan Persandian Penyediaan kebijakan penyelenggaraan persandian

Koordinasi/ Konsultasi penyelenggaraan Persandian

Tata Cara Penyelenggaraan Persandian Daerah

Penyelenggaraan Persandian untuk pengamanan informasi milik pemerintah daerah

Pengawasandan evaluasi Penyelenggaraan Persandian

Penyelenggaraan operasional dukungan persandian

Pengelolaan sumber daya persandian di pemerintah daerah

Pengelolaan dan perlindungan informasi dengan pemanfaatan persandian

Penyediaan analisis kebutuhan penyelenggaraan

persandian untuk pengamanan informasi di pemerintah daerah

Penetapan Hasil identifikasi dan analisis pengamanan hubungan komunikasi

Analisis Kebutuhan Pengamanan Hubungan Komunikasi

Penetapan Hasil identifikasi dan analisis pengamanan hubungan komunikasi

PERKA LEMSANEG 14/2010 TTG PEDOMAN GELAR JKS HIMPUNAN PERATURAN SDM

• Komunikasi VIP (mis, antar anggota FORKOPIMDA)

DATA SUARA

• Komunikasi Antar OPD • Komunikasi Intra OPD • Komunikasi Provinsi – Kab/Kota

DOKUMEN

• Komunikasi Provinsi/Kab/Kota – Pemerintah Pusat • Atau pola hubungan komunikasi lainnya sesuai kebutuhan…

KENAPA? SIAPA? APA?

Ada Informasi terbatas/strategis/dikecualikan yang perlu dikomunikasikan Pihak yang terlibat dan berhak untuk terlibat dalam komunikasi Konten informasi yang dikomunikasikan

BAGAIMANA? Jenis komunikasi apa yang digunakan? Data / suara / dokumen atau kombinasi Berbasis hardware / software / hybrid

Penyediaan Kebijakan

Penyediaan kebijakan/ regulasi penyelenggaraan

persandian untuk pengamanan informasi di pemerintah daerah PERKA LEMSANEG TTG PENYELENGGARAAN PERSANDIAN DAERAH PERKA LEMSANEG NO 10/2012 TTG PEDOMAN PENGELOLAAN INFORMASI PEDKA LEMSANEG NO 5/2016 TTG PEDOMAN KLASIFIKASI INFORMASI

Tata Kelola Persandian

Penyediaan Kebijakan Operasional Pengamanan Persandian

Penyediaan Kebijakan Pengelolaan Sumber Daya Persandian

Penyediaan Kebijakan Terkait pengawasan dan Evaluasi Penyelenggaraan Persandian

Pengelolaan dan perlindungan informasi dengan pemanfaatan persandian di pemerintah daerah PERKA LEMSANEG TTG PENYELENGGARAAN PERSANDIAN DAERAH PERKA LEMSANEG NO 10/2012 TTG PEDOMAN PENGELOLAAN INFORMASI PEDKA LEMSANEG NO 5/2016 TTG PEDOMAN KLASIFIKASI INFORMASI

Fasilitasi penentuan tingkat kerahasiaan informasi berklasifikasi

Pengelolaan dan perlindungan informasi publik yang dikecualikan/informasi berklasifikasi

Penyelenggaraan Jaring Komunikasi Sandi (JKS) untuk pengamanan informasi berklasifikasi

Pengelolaan dan perlindungan informasi terbuka

Pengelolaan sumber daya persandian di pemerintah daerah

PERKA LEMSANEG 4/2016 TTG HARKAN PALSAN DAN APU HIMPUNAN PERATURAN SDM

Pengelolaan Sumber Daya Manusia (SDM) Pengelolaan Sarana dan Prasarana (Matsan, JKS dan APU) Pemeliharaan Sarana dan Prasarana

Penyelenggaraan operasional dukungan persandian untuk pengamanan informasi di pemerintah daerah

Jamming

Kontra Penginderaan

Assessment

Keamanan Sistem Informasi

PERKA LEMSANEG TTG PENYELENGGARAAN PERSANDIAN DAERAH

Penyelenggaraan Security

Operation Center

PERKA LEMSANEG 6/2016 TTG PENGENDALIAN PERSANDIAN

Pengawasan dan Evaluasi penyelenggaraan pengamanan informasi melalui persandian di seluruh perangkat daerah

Pengawasan dan evaluasi yang bersifat rutin dan insidentil

Pengawasan dan evaluasi yang bersifat tahunan

Koodinasi dan konsultasi penyelenggaraan persandian untuk pengamanan informasi pemerintah daerah (antar daerah atau antara daerah dengan pusat)

Konsultasi

Koordinasi

periodik maupun subtantif

Studi orientasi

INGATLAH BAHWA : “KECHILAFAN SATU ORANG SAHAJA TJUKUP SUDAH MENJEBABKAN KERUNTUHAN NEGARA” ;;;

(dr. Roebiono Kertopati)

TERIMA KASIH L E M BAG A S A N D I N EG A R A w w w. l e m s a n e g . g o . i d

By Lukman Nul Hakim, SE, MM Yogyakarta, Hotel Santika, 18-22 Mei 2015

“If youknow the enemyandknow yourself,

youneednotfear theresult ofahundredbattles. If you know yourself but not the enemy, for every victorygainedyouwill alsosuffer adefeat. Ifyouknowneithertheenemynoryourself, you will succumbineverybattle” Sun Tzu (544–496 SM), The Art of War, Special Edition

THERE ARE TWOTYPES OF ENCRYPTION ONTHATWILL PREVENTYOUR SISTER FROMREADINGYOURDIARYANDONETHATWILLPREVENTYOUR GOVERNMENT By Bruce Schneier

Agenda What is Information ? IT Security Versus Information Security

Best Practice dan Policy Keamanan Informasi Persandian sebagai Totalitas Keamanan Informasi Negara

3

WHAT IS INFORMATION ?

A NEW ERA IS ABOUT TO BEGIN

SUMBER INFORMASI YANG BERASAL DARI PUBLIK

Kebutuhan Informasi

Meningkat

Dampak Positif . / Pengolahan, penyampaian, dan penyimpanan informasi menjadi : . / lebih cepat dan mudah . / Kapan saja dan dimana saja . / Cost : Rendah (hemat)

. / Akses mendapatkan data menjadi : . / lebih mudah, cepat dan hemat . / Bisa kapan saja dan dimana saja . / Informasi datang dari seluruh dunia (penggunaan Internet)

antar Perangkat . / Konektifitas komunikasi menjadi sangat beragam dan lebih mudah

Perkembangan Teknologi Informasi & Komunikasi

Dampak Negatif × Tidak ada Filter Informasi × Penyalahgunaan Informasi × Mengabaikan security & privacy / lebih mementingkan speed dan Kemudahan × Memunculkan kerawanan terhadap Informasi sehingga menimbulkanCyber Crime (antara lain : virus, trojan, spyware, hacker, fraud )

× Perang INFORMASI / WARFARE

IT Security Vs Information Security

IT SECURITY

INFORMATION SECURITY

Teknologi

Cakupan lebih luas

Pengamanan Perangkat Jaringan (How) ?

What, Where, dan How ?

Pengamanan Aplikasi (How) ?

Segala bentuk Informasi (Digital dan Non Digital)

Pengamanan yg hanya fokus di TI (How) ?

Informasi yg menggunakan fasilitas TI dan Non –TI Termasuk fasilitas yg menyimpan informasi tersebut spt : Gedung Data Center, Call Center, Service Center, dll

Yang menjadi Obyek : Teknologi dan tools pengamanan informasi

Yang menjadi Obyek : -Struktur Organisasi -Kebijakan keamanan (security policy) -Prosedur dan proses -Tanggung jawab atau responsibility -Sumber Daya Manusia

I N F O R M A T I O N

What Is Information Security Y Y Y Y

S E C U R I T Y

The quality or state of being secure to be free from danger Security is achieved using several strategies Security is achieved using several strategies simultaneously or used in combination with one another Security is recognized as essential to protect vital processes and the systems that provide those processes

Y

Security is not something you buy, it is something you do

Y

Y

The architecture where an integrated combination of appliances, systems and solutions, software, alarms, and vulnerability scans working together Monitored 24x7

Y Y

Having People, Processes, Technology, policies, procedures, Security is for PPT and not only for appliances or devices

1. 2. 3. 4. 5.

Protects information from a range of threats Ensures business continuity Minimizes financial loss Optimizes return on investments Increases business opportunities

I N F O S E C

PEOPLE

C O M P O N E N T S

PROCESSES

TECHNOLOGY

5/10/2015

10

The Weakest Link in security is “People”

90% People

10%

Process

Technology

Risk, Threat and Best Practice Terhadap Informasi yang Berklasifikasi

W H A T I S R I S K

What is Risk? Risk : A possibility that a threat exploits a vulnerability in an asset and causes damage or loss to the asset.

Threat: Something that can potentially cause damage to the organisation, IT Systems or network. Vulnerability : A weakness in the organization, IT Systems, or network that can be exploited by a threat.

Perbandingan Aset Informasi dan Aset Nyata

Source : Information Security Assessment , Asian and Pacific Training for Information and Communication Technology For Development (APCICT)

Hubungan Resiko dan Asset Informasi Risiko ditentukan oleh nilai aset, ancaman dan kerentanan. Rumusnya adalah sebagai berikut : Risiko (Risk) = (Nilai Aset (Asset), Kerentanan (Vulnerability) )

R

=

A x

Ancaman (Threat)

T x V

Rp, US$, £, Kredibilitas

Risiko berbanding lurus dengan nilai aset, ancaman dan kerentanan. Jadi, risiko dapat meningkat atau berkurang dengan memanipulasi besar dari nilai aset, ancaman dan kerentanan. Ini dapat dilakukan dengan manajemen risiko. Source : Information Security Assessment , Asian and Pacific Training for Information and Communication Technology For Development (APCICT)

Metode Manajemen Resiko

Gambar 1 = Pengurangan Resiko, Gambar 2 = Penerimaan Resiko Gambar 3 = Pemindahan Resiko, Gambar 4 = Penghindaran Resiko

R I S K S High User Knowledge of IT Systems

& T H R E A T S

Systems & Network Failure

Theft, Sabotage, Misuse

Lack Of Documentation

Virus Attacks

Lapse in Physical Security

Natural Calamities & Fire

STATISTIK ATTACKING BULAN MEI TAHUN 2015

Sumber : www.zone-h.org

STATISTIK ATTACKING HARIAN DI BULAN MEI TAHUN 2015

Sumber : www.zone-h.org

MOTIVATIONS BEHIND ATTACKS

ANCAMAN DAN TANTANGAN DARI DALAM

HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE

Sumber : froofpoint research report 2015

HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE

Sumber : froofpoint research report 2015

HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE

Sumber : froofpoint research report 2015

HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE

Sumber : froofpoint research report 2015

HUMAN FACTORS VERY IMPORTANT 60 % ATTACKER FROM INSIDE

Sumber : froofpoint research report 2015

Perlakuan dokumen instansi pemerintah

Perlakuan dokumen instansi pemerintah

Pemalsuan dokumen instansi pemerintah

What’s wrong? http://www.csoonline.com/read/030104/desk.html

Perlakuan terhadap dokumen instansi

ANCAMAN DAN TANTANGAN DARI LUAR

Sumber’s Ancaman

GLOBAL REGIONAL

HAM

Pasar Bebas T.I.K.

NASIONAL “Kesalahan dalam mensikapinya akan berujung pada Ancaman.”

33

GLOBAL INTERCEPT BY FIVE EYES SURVEILLANCE

United Kingdom, United State of America, Australia, New Zealand, Canada and Australia

Echelon Operation / Echelon System

SOCIAL NETWORK FACEBOOK MENGALAHKAN UPAYA CIA DLM MEMPEROLEH INFORMASI KHUSUSNYA YG MENYANGKUT KEGIATAN PERSONAL /INDIVIDU DLM WAKTU 60 TAHUN, NAMUN DGN FACE BOOK DPT DIKETAHUI INFORMASI MILYARAN PENDUDUK DUNIA TENTANG • PROFIL; • APA YANG SEDANG MEREKA LAKUKAN; • APA YANG SEDANG MEREKA PIKIRKAN SAAT INI DLM WAKTU 3 TAHUN

35

Penyadapan

Cyber Diplomacy, Government, Defence & Inteligence Bussiness / Private

IS IT SECURE ? Gadget/Tools

Internet connected

Strategic Communication Challanges :

Cases Study and Information Security Aspects

CASES STUDY DRekaman pembicaraan telp mantan Pres. B.J. Habibie – mantan Jaksa Agung Andi M. Galib (thn 1999) DOperasi GhostNet Maret 2009 : sebuah operasi pengintaian elektronik skala raksasa yang berbasis di China sukses menerobos sistem komputer pemerintah maupun pihak swasta di 103 negara termasuk Indonesia. Tujuan utama dari operasi tersebut adalah untuk memata-matai konten mengenai Dalai Lama, pemimpin Tibet yang berkonflik denganChina. DData-data bocor dari Hardisk Dikutip dari Press Association, 8 Mei 2009, data paling sensitif adalah prosedur peluncuran sistem pertahanan rudal AS. Hardisk ini mengungkap detail uji coba program militer THAAD (Terminal High Altitude Area Defence), sistem pertahanan untuk menembakhancur misil musuh. D 4 Juni 2009 Bocornya Hightly Confidential Sensitive Safeguard Location Nuclear of USA

Cases Study : D D D D D D D D D D

Kasus skimmer – BCA, BANK MANDIRI, BNI dst, 21 januari 2010. Kebocoran Laporan Pos Kotaraja Kopassus, 9 Nopember 2010 Kasus Wikileaks, Indoleaks 01 Desember 2010 Kasus Pencurian Data Delegasi Indonesia diKorea selatan 21 Feb 2011 diperkirakan rahasia projek militer Indonesia. Kebocoran Wikileaks tentang Indonesia : Penyalahgunaan Kekuasaan oleh Presiden SBY (Yudhoyono Abuse of Power), 11 Maret 2011 Bocoran Wikileaks “09JAKARTA1773” tentang Menteris sekutu USA, 25 Agustus 2011 Bocornya Email Pribadi Presiden Suriah Bashar al-Assad dan email milik istrinya Asma al-Assad, 15 Maret 2012 Bocor-nya Surat Sprindik kasus Hambalang Anas Urbangningrum, Februari 2013 Snowden Cases, Oktober 2013 Kebocoran Informasi soal-soal UN SMA yang ditempatkan pada pada google drive, April 2015

Dampak Positif :

Dampak Negatif : Defacing, merubah gambar, merubah Teks

AKIBAT/ DAMPAK: KEAMANANINFORMASIYANGLEMAH

RESIKO/KERUGIAN YANG TIMBUL : • • • • •

Kredibilitas bangsa/ Institusi Resiko kerugian finansial Resiko kerugian kerahasiaa n Resiko kerugian harga diri Dan lain-lain Untuk rahasia negara Apabila jatuh ke tangan pihak lain yang tidak berhak dapat membahayakan kedaulatan, keutuhan, keselamatan NKRI; serta dapat mengakibatkan terganggunya fungsi penyelenggaraan negara atau sumber daya nasional atau ketertiban umum.

SO HOW DO WE OVERCOME THESE PROBLEMS ?

NEEDS CRYPTOGRAPHY TO PROTECT THE INFORMATION ?

PERSANDIAN SEBAGAI TOTALITAS KEAMANAN INFORMASI NEGARA

3 (Tiga) Langkah pengamanan melalui “An Integrated Approach “ Physical Controls Facility protection, security guards, locks, monitoring, intrusion detection

Technical Controls Access control, “ENCRYPTION”, security devices, identification and authentication

Administrative Controls Polices, standars, guidelines, securityawareness training, screening personnel,

Government Data and Assets

Administrative, technical, and physical controls should work in a integrated manner to protect a Government’s assets.

CIA KONSEPTUAL transmission

Untuk menjamin keamanan Informasi terhadap ilegal akses terhadap informasi yang Confidentialilty

Untuk memastikan akurasi dan kelengkapan informasi untuk melindungi proses bisnis

Untuk memastikan bahwa informasi merupakan asset yang sangat vital, tersedia bila diperlukan

Implementasi Teknik Cryptografi/Crypto Analysis • • •

Aplikasi Kripto Simetrik banyak ditemukan di internet (freeware) seperti Folder Lock, TrueCrypt, CryptoLab, dll. Aplikasi Kripto ini dapat digunakan 3 macam fungsi yaitu enkripsi file/folder, enkripsi harddisk/flashdik, dan enkripsi virtual disk Aplikasi Kriptografi Simetrik buatan mandiri Lemsaneg yaitu Kriptosoft Pro.

a. Aplikasi TrueCrypt (Freeware)

b. Aplikasi Kritptosoft Pro (Aplikasi Mandiri Lemsaneg)

Aplikasi Kriptografi Asimetrik

Kriptografi asimetrik lebih dikenal dalam sistem Public Key Infrastructure (PKI) bisa dijumpai pada situs e-banking mandiri dengan penggunaan sertifikat digital dan token pin.

Aplikasi Kripto Asimetrik E-KTP

E-KTP juga menggunakan metode kripto asimetrik salah satu dengan penerbitan sertifikat digital yang ditanamkan di setiap chip e-ktp yang berfungsi sebagai otentikasi dan non-repudiation sehingga setiap penduduk hanya mempunyai satu ktp dan tidak dapat dipalsukan.

E-Procurement

•

•

SPSE merupakan aplikasi e-procurement yang dikembangkan oleh Direktorat eProcurement - LKPP untuk digunakan oleh LPSE di seluruh K/L/D/I. Aplikasi ini dikembangkan dengan semangat efisiensi nasional sehingga tidak memerlukan biaya lisensi, baik lisensi SPSE itu sendiri maupun perangkat lunak pendukungnya. SPSE dikembangkan oleh LKPP bekerja sama dengan: 1. Lembaga Sandi Negara (Lemsaneg) untuk fungsi enkripsi dokumen 2. Badan Pengawasan Keuangan dan Pembangunan (BPKP) untuk sub sistem audit

Membantu Proses Penegakan Hukum di Indonesia Encrypted Content Of Communication

Administrative State

HI1

Lawful Enforcement Agency

Network Operator HI3 Content of Communication

Lawful Enforcement Monitoring Facility

Dencrypted Content Of Communication

National Crypto Agency

Kebijakan Keamanan Informasi Berklasifikasi di Lingkungan Pemerintah Lembaga SandiNegara

53

Produk Hukum Kebijakan Keamanan Informasi 1. UUNomor11Tahun2008TentangInformasi danTransaksiElektronik 2. UUNomor14Tahun2008TentangKeterbukaan InformasiPublik 3. PPNo61tahun2010tentangPelaksanaanUUNo14Tahun2008TentangKeterbukaanInformasi Publik 4. PPNomor82Tahun2012TentangPelaksanaanInformasi danTransaksiElektronik 5. KeppresNomor103Tahun2001TentangKedudukan,Tugas,Fungsi,Kewenangan,SusunanOrganisasi, danTataKerjaLembagaPemerintahNonDepartemenSebagaimanatelahdiubahdenganPerpresNomor 64Tahun2005 6. PermenpanNomor80 Tahun2012TentangPedomanUmumTataNaskahDinas 7. KeputusanKepalaLemsaneg No. 10tahun 2012 tentangPedomanPengelolaandanPerlindungan Informasi yang Berklasifikasi Milik Pemerintah 8. StandarNasional Indonesia 27001 tentangStandarKeamananInformasi

Lembaga SandiNegara

54

DASAR KEBIJAKAN D Kebijakan adalah Dokumen acuan yg penting untuk audit internal dan resolusi perselisihan D Dokumen kebijakan dapat bertindak sebagai statement yang jelas tentang maksud manajemen D Kebijakan adalah fondasi yg penting pada program keamanan informasi yg efektif D Suksesnya program perlindungan sumber daya informasi tergantung atas hasil kebijakan, dan sikap manajemen kearah informasi yg “secure” pada sistem informasi Lembaga Sandi Negara

55

ATURAN DASAR UNTUK MEMBENTUK KEBIJAKAN

D Jangan pernah bertentangan dengan hukum yang berlaku D Diatur dan didukung dengan baik D Berkontribusi untuk suksesnya organisasi D Melibatkan end users pengguna sistem informasi D Memerlukan modifikasi dan perbaikan secara berkesinambungan

Lembaga SandiNegara

56

Lembaga SandiNegara

57

Contoh Kebijakan Keamanan Informasi Akses ke jaringan akan disetujui dengan memasukkan user ID dan password

Panjang password minimal 8 karakter

Password tidak menggunakan kata kata yang terdapat dalam kamus

Password harus terdiri dari kombinasi alfabet, angka, dan special karakter

Lembaga SandiNegara

58

Hirarki Penyelenggaraan Persandian di Kejaksaan Agung dan Kejati serta Kejari

KEJAGUNG RI Pembina Persandian Tingkat Kejagung

15 KEJATI

JKS EKSTERNAL

JKS INTERNAL KEJAGUNG

16 KEJATI

Tingkat Kabupaten /Kota

250 KEJARI

250 KEJARI

Tingkatan Strategi Perencanaan dan Pengembangan serta Pengelolaan JKS Internal dan Eksternal oleh Kejaksaan Agung RI berkoordinasi/berkonsultasi teknis kepada Pembina Teknis di Lemsaneg Tingkatan Pelaksana Perencanaan dan Pengembangan serta Pengelolaan JKS Internal oleh internal Kejaksaan Agung dan Kejati dapat melakukan sendiri dengan berkonsultasi kepada Kejagung & Lemsaneg

Contoh Pendekatan pengembangan Kebijakan Keamanan Informasi “The Ten-Step Approach”

Lembaga SandiNegara

60

HISA Framework

Hogan Information Security Architecture Framework Organization Individual Country Certification Compliance

Business / Goverment

ICT InfoSec Governance/ Risk Management

Care

People

Threat Vulnerability

Process Technology

Asset

Confidentiality

Prevention

Integrity Availability

Detection Response Administrative

Sumber : Hogan –Presdir Unipro

Physical Technical

Lembaga SandiNegara

61

Resume D Perkembangan Tehnologi Informasi dan Komunikasi akan terus berkembang dan berubah, maka terdapat tiga pendekatan untuk mempertahankan keamanan informasi di cyberspace, pendekatan hukum, pendekatan teknologi, dan pendekatan sosial budaya. D Pendekatan teknologi keamanan informasi dan Up date terhadap Teknologi keamanan informasi sangat mutlak dilakukan dalam mengatasi gangguan keamanan, mengingat tanpa pendekatan teknologi suatu jaringan akan mudah disusupi, diintersepsi atau diakses secara ilegal tanpa hak. D Peran dan fungsi persandian (teknik kriptografi) yang lebih multidimensional dan memiliki menjadi aktor kunci yang menjamin keamanan informasi dan proses penegakkan hukum di Lingkungan Instansi pemerintah khusus Kejaksaan Agung RI dan Kejati D Manusia menjadi unsur terlemah dan rantai “Security” diperlukan pola pembinaan secara terus menerus di Lingkungan Kejagung RI dan Kejati .

PENUTUP “ It is Just Another Never Ending Story “ “Keamanan yang hakiki” adalah sesuatu yang tidak akan pernah ada dalam jaring dunia maya/cyberspace. Karena apa yang dianggap aman (secure) pada saat sekarang akan terbukti menjadi tidak aman (insecure) dari ancaman cyber attack (cyber terrorist, hacker, crackers, cyber crime) pada masa yang akan datang. Sehingga fenomena Cyber Intelligence akan terus menjadi sebuah kisah yang menarik yang tidak akan pernah berakhir ……. Dan itu menjadi tanggungjawab kita bersama …….

1

cnac6o

.

· ··

rn

tJI i

1i .c_:e,

:!.=

1e I

m rm

I

I

.

11nm;; ,

0 -i'l A}· -li r}- o. :J·

w

I

•

p

Aek Kanopan, 15 Maret 2017 Oleh: FAROSA, S.T.

Pengelolaan dan Perlindungan Informasi Urgensi Informasi & Urgensi Klasifikasi Informasi Tata Cara Klasifikasi Informasi Contoh Klasifikasi Informasi

Dasar Hukum

• Pengelolaan dan perlindungan informasi di lingkungan Pemerintah Daerah, dapat mengacu pada beberapa peraturan, yaitu :

UU No. 14 tahun 2008 ttg KIP, UU No. 11 tahun 2008 ttg ITE, UU No. 43 tahun 2009 tentang Kearsipan Permenpan & RB No. 80 Tahun 2012 tentang Pedoman Tata Naskah Dinas Instansi Pemerintah Permendagri 54 th 2009 tentang Tata Naskah Dinas di lingkungan Pemda Permendagri 35 th 2010 tentang Pedoman Pengelolaan Pelayanan Informasi dan Dokumentasi di lingkungan Kemendagri dan Pemda Perka Lemsaneg No. 10 Tahun 2012 tentang Pedoman Pengelolaan dan Perlindungan Informasi Berklasifikasi Milik Pemerintah.

APA ITU INFORMASI ?

UU Keterbukaan Informasi Publik No. 14 Tahun 2008 Informasi adalah : keterangan, pernyataan, gagasan, dan tandatanda yang mengandung nilai, makna, dan pesan. Baik berupa data, fakta, maupun penjelasannya yang dapat dilihat, didengar atau dibaca, yang disajikan dalam berbagai kemasan dan format sesuai perkembangan teknologi informasi dan komunikasi secara elektronik ataupun non elektronik.

PENTINGKAH INFORMASI, MENGAPA ? Jika anda memahami musuh dan diri anda sendiri, maka anda tidak perlu mengkhawatirkan hasil dari ratusan pertempuran… (SunTzu)

Siapa yang menguasai informasi maka dia akan menguasai dunia (Alvin Toffler)

Era sekarang Informasi merupakan asset yang bernilai strategis

Bagaimana Perlakuannya? 1. UU No 23/2006 tentang Administrasi Kependudukan  Setiap penduduk berhak memperoleh perlindungan atas data pribadinya.  Instansi pelaksana pencatatan sipil yang dibentuk pemerintah kabupaten/kota wajib menjamin kerahasiaan dan keamanan data atas peristiwa kependudukan dan peristiwa penting.  Data pribadi, seperti nomor kartu keluarga, NIK, tanggal/bulan/tahun lahir, keterangan kecacatan fisik/mental wajib dijaga kebenarannya dan dilindungi kerahasiaannya.

2.

UU Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik

3.

UU Nomor 14 Tahun 2008 Tentang Keterbukaan Informasi Publik

4.

PP No 61 tahun 2010 tentang Pelaksanaan UU No 14 Tahun 2008 Tentang Keterbukaan Informasi Publik

5.

PP No 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik

SIAPA ?

Pengelolaan Informasi Berklasifikasi

unit TU di Pimpinan/Pimpinan itu sendiri/Satuan Kerja Perangkat Daerah (SKPD), Unit Pengelola/Konseptor Naskah Dinas

JAMINAN YANG BISA DIBERIKAN PERSANDIAN DAERAH ? PEMBUATAN

PEMBERIAN LABEL

PENYIMPANAN

PENGIRIMAN

 Untuk Naskah Dinas rahasia – kerahasiaan dg enkripsi  Jaminan terhadap Electronic E-mail  Untuk Arsip – digital (kerahasiaan dg enkripsi & keutuhan data dg hash function)  Pengiriman – digital (kerahasiaan dg enkripsi jaringan & keutuhan data dg hash function) hardcopy (pengamanan fisik & personil)

MEMBANGUN JKS INTERNAL DI LINGKUNGAN PEMerintah DAerah

Pengelolaan Informasi Berklasifikasi 1.Pengagendaan surat masuk/keluar 2.Pemberian nomor, tanggal dan stempel 3.Pengiriman kepada tujuan 4.Pengiriman kepada tembusan 5.Pengarsipan

Pimpinan / Pencipta informasi

Tata Usaha

Kerawanan

Secure

Tata Usaha

Kerawanan Secure

Penerima Informasi

Urgensi Informasi & Urgensi Klasifikasi Informasi

Kenapa ada Klasifikasi MENGAPA ADA KLASIFIKASI INFORMASI Informasi? Pengklasifikasian informasi yang efektif akan membuat informasi mudah dimengerti serta mudah digunakan dan dipelihara

10

TERBUK A

INFORMA SI PUBLIK

DIKECU ALI-KAN

Pasal 9

DIUMUMKAN SERTA MERTA

Pasal 10

TERSEDIA SETIAP SAAT

Pasal 11

BERDASARKAN PERMINTAAN

Pasal 22

RAHASIA NEGARA

Pasal 6 ayat (3) huruf a

RAHASIA PRIBADI

Pasal 6 ayat (3) huruf b

RAHASIA BISNIS

Pasal 6 ayat (3) huruf c

KLASIFIKASI INFORMASI PUBLIK MENURUT UU 14 TAHUN 2008

DIUMUMKAN BERKALA

Prinsip-Prinsip Informasi Publik: Prinsip MALE (Maximum Access Limited Exemption) & Prinsip Harm Test

• Pada dasarnya seluruh informasi adalah terbuka dan dapat diakses oleh pengguna informasi publik • Pengecualian terhadap informasi harus dilakukan secara ketat dan terbatas • Pengecualian harus dilakukan dengan Undang-Undang yang didasarkan pada kepatutan dan kepentingan umum, seperti: UU Rahasia Dagang, UU Praktek Kedokteran dsb • Pengecualian dapat ditentukan dengan pengujian: – konsekuensi yang timbul jika informasi diberikan – Menutup akan melindungi kepentingan yang lebih besar daripada membuka

ASPEK DALAM INFORMASI Setiap informasi yang dikeluarkan oleh Badan Publik ataupun penyelenggara pemerintahan seharusnya mencakup aspek: NIR PENYANGKALAN INFO

KEOTENTIKAN INFO KETERSEDIAAN INFO KEUTUHAN INFO KERAHASIAAN INFO

Informasi yang disebarkan tidak dapat disangkal/dibantah bahwa memang benar informasi telah diterbitkan/dikirim Informasi tersebut yang disebarkan adalah oleh pihak yang berwenang menyebarkannya asli/original/benar dari pihak yang berwenang Informasi yang disebarkan tersedia dan dapat diakses oleh pihak yang membutuhkan. Informasi yang disebarkan isinya utuh ,tidak mengalami perubahan sedikitpun dari pihak yang tidak berwenang Informasi yang dihasilkan wajib dijaga keamanan dan kerahasiaannya serta hanya dapat diakses oleh pihak yang berwenang sesuai dengan peraturan perundang-undangan yang berlaku

Informasi publik dan dikecualikan Informasi yang dikecualikan

TAHAPAN MENGELOLA INFORMASI

Penetapan Informasi

Melakukan identifikasi, dan menetapkan klasifikasi informasi sesuai dengan nilai konten dan risiko/dampak yang ditimbulkan

Pengelolaan Informasi

Melakukan pengelolaan informasi sesuai dengan klasifikasi informasi yang telah ditetapkan

Perlindungan Informasi

Memberikan perlindungan informasi sesuai dengan kebutuhannya

Informasi yang DIKECUALIKAN informasi yang bersifat ketat dan terbatas dan memungkinkan dilakukan pembukaan dengan syarat dan kondisi tertentu yang diatur dengan UndangUndang.

JENIS : 1.INFORMASI TERBATAS, merupakan informasi yang jika diakses oleh pihak yang tidak berkewenangan menimbulkan dampak RENDAH. 2.INFORMASI RAHASIA, merupakan informasi yang jika diakses oleh pihak yang tidak berkewenangan menimbulkan dampak SEDANG. 3.INFORMASI SANGAT RAHASIA, merupakan informasi yang jika diakses oleh pihak yang tidak berkewenangan menimbulkan dampak TINGGI. Tingkat informasi yang tertinggi, sangat erat hubungannya dengan keamanan dan keselamatan Negara

SANGAT RAHASIA

RAHASIA BIASA

Identifikasi Informasi

Penentuan nilai Asset dari Informasi

Identifikasi Dampak yang ditimbulkan

Identifikasi tingkat Resiko

Penentuan Klasifikasi Informasi

TATA CARA KLASIFIKASI INFORMASI

1. Mengenali tugas pokok dan fungsi Unit Kerja 2. Mendata kegiatan yang dilaksanakan oleh Unit Kerja 3. Mendata informasi dan dokumen yang dihasilkan

IDENTIFIKASI INFORMASI

4. Mengenali ancaman terhadap informasi dan perkiraan frekuensi terjadinya ancaman

Penguatan Peraturan Perundang-undangan tentang Persandian negara

5. Membuat daftar jenis-jenis informasi dan dokumen

Berdasarkan kriteria tingkat kepentingan :

1. Tidak Penting

2. Kurang Penting

3. Penting

PENENTUAN NILAI ASSET DARI INFORMASI

4. Sangat Penting

1. Mengungkap rahasia pribadi 2. Mengungkapkan isi akta otentik yang bersifat pribadi dan kemauan terakhir ataupun wasiat seseorang 3. Terganggunya ketahanan ekonomi nasional 4. Terungkapnya kekayaan alam negara

IDENTIFIKASI DAMPAK YANG DITIMBULKAN

5. Tergganggunya kepentingan perlindungan hak atas kekayaan intelektual dan perlindungan dari persaingan tidak sehat 6. Dampak pada memorandum/surat-surat antar Badan Publik atau intra Badan Publik 7. Dampak pada penghambatan proses pengadilan 8. Ancaman pada pertahanan dan keamanan negara 9. Terganggunya hubungan luar negeri (UU No. 14 tahun 2008)

IDENTIFIKASI TINGKAT RESIKO

Dilakukan dengan menentukan Tingkat Ancaman dan Kemudahan Eksploitasi :

1. NIHIL 2. RENDAH 3. SEDANG

4. TINGGI

Apa itu Risiko?

Risiko dapat dipandang sebagai :

1. Sesuatu yang merugikan terjadi (risk of loss) 2. Suatu ketidakpastian (risk of volatility) 3. Sesuatu yang menguntungkan tidak terjadi (risk of lost opportunity)

21

Berdasarkan Nilai pada Matriks Tingkat Risiko : 1. Risiko tidak ada atau diabaikan : nilainya 0-1 (INFORMASI PUBLIK)

2. Risiko rendah : nilainya 2-4 (KLASIFIKASI TERBATAS)

PENENTUAN KLASIFIKASI INFORMASI

3. Risiko sedang : nilainya 5-7 (KLASIFIKASI RAHASIA) 4. Risiko Tinggi : nilainya 8-9

(KLASIFIKASI SANGAT RAHASIA)

Penentuan Klasifikasi Informasi (1) Penentuan Klasifikasi Informasi didasarkan pada nilai risiko suatu informasi. Estimasi risiko keamanan informasi yang digunakan adalah estimasi kualitatif dengan menggunakan skala kualifikasi atribut untuk menggambarkan besarnya kemungkinan terjadinya ancaman dan kemungkinan konsekuensi tersebut terjadi. Nihil / Diabaikan (N)

Identifikasi Informasi

Kemungkinan ancaman terjadi

Penilaian dampak

Kemudahan eksploitasi

N

R

S

T

N

R

S

T

N

R

S

T

N

R

S

T

1

0

1

2

3

1

2

3

4

2

3

4

5

3

4

5

6

2

1

2

3

4

2

3

4

5

3

4

5

6

4

5

6

7

3

2

3

4

5

3

4

5

6

4

5

6

7

5

6

7

8

4

3

4

5

6

4

5

6

7

5

6

7

8

6

7

8

9

Penentuan klasifikasi Nilai Aset

Peninjauan, Pemeliharaan, & deklasifikasi berkesinambungan

Rendah (R)

Sedang (S)

Tinggi (T)

Penentuan Klasifikasi Informasi (2)

NILAI ASET

KERENTANAN DAN ANCAMAN YANG RELEVAN

RISIKO

Ditentukan oleh PEMILIK INFORMASI

SKALA 1 – 4 1 : tidak penting 2 : kurang penting 3 : penting 4 : sangat penting

SKALA 1 – 9 0 - 1 : Risiko tidak ada atau diabaikan. Tidak ada dampak atau diabaikan, informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi publik. 2 - 4 : Risiko rendah. Dampaknya terhadap Unit-unit Kerja dalam Instansi Pemerintah, informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi terbatas. 5 – 7 : Risiko sedang. Dampaknya terhadap Instansi Pemerintah, informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi rahasia. 8 - 9 : Risiko tinggi. Dampaknya terhadap Negara Republik informasi pada tingkat ini diklasifikasikan ke dalam klasifikasi sangat rahasia

TINGKAT TINGKAT RISIKO

HIGH

MEDIUM

RISIKO

DAMPAK

NILAI

SANGAT RAHASIA

RAHASIA

4

3

TERHADAP INFORMASI

-

Membahayakan kedaulatan negara Membahayakan keamanan dan keselamatan negara Integritas wilayah Kesatuan Republik Indonesia Gangguan serius terhadap keamanan negara Dapat mengubah ideologi negara Rusaknya hubungan diplomatik Rusaknya sistem ketahanan perekonomian

-

Memiliki nilai yang penting bagi negara Memiliki nilai yang sangat penting bagi instansi pemerintah Mengganggu ketertiban umum Terganggunya fungsi penyelenggaraan negara Menimbulkan kerugian bagi negara atau sangat menguntungkan bagi suatu negara asing

25

TINGKAT TINGKAT RISIKO

RISIKO

TERHADAP INFORMASI (2)

NILAI

DAMPAK -

MEDIUM

LOW

Terbatas

2

-

-

biasa

1

-

Memiliki nilai yang penting bagi instansi Menghambat tugas pokok instansi Kerusakan asset bagi organisasi tinggi pengaruhnya bagi instansi Terganggunya penyelenggaraan instansi Menimbulkan kerugian bagi instansi pemerintah

Memiliki nilai yang tidak penting bagi instansi Kerusakan asset yang sangat kecil pengaruhnya terhadap instansi Tidak akan berpengaruh bagi instansi Kerusakan asset organisasi kecil

26

Hubungan Resiko dan Asset Informasi Risiko ditentukan oleh nilai aset, ancaman dan kerentanan. Rumusnya adalah sebagai berikut : Risiko (Risk) = (Nilai Aset (Asset), Ancaman (Threat) Kerentanan (Vulnerability) )

R = A x T x V Rp, US$, £, Kredibilitas

Risiko berbanding lurus dengan nilai aset, ancaman dan kerentanan. Jadi, risiko dapat meningkat atau berkurang dengan memanipulasi besar dari nilai aset, ancaman dan kerentanan. Ini dapat dilakukan dengan manajemen risiko. Source : Information Security Assessment , Asian and Pacific Training for Information and Communication Technology For Development (APCICT)

Tingkat Kalisifikasi Informasi Dapat ditinjau, dipelihara, dan di De-klasifikasi • Karena lingkungan dan keadaan selalu berubah, pemilik informasi harus meninjau klasifikasi informasi untuk memastikan bahwa perlindungan yang diberikan menggunakan biaya efektif dan sepadan dengan tingkat risiko. • Klasifikasi informasi menyebabkan aset informasi lebih mahal untuk ditangani, disimpan, dan ditransfer, sehingga pemeliharaan sangatlah penting untuk memastikan pengamanan informasi yang tepat. • Hal ini mungkin menyebabkan aset informasi yang diturunkan tingkat klasifikasinya (dide-klasifikasi) tidak lagi sensitif.

MEKANISME PERLINDUNGAN & PENGELOLAAN INFORMASI YANG DIKECUALIKAN/INFORMASI BERKLASIFIKASI DI BADAN PUBLIK PIMPINAN BADAN PUBLIK INFORMASI BERKLASIFIKASI

PPID

Pelaporan IB PPID

BACK OFFICE

FRONT OFFICE

SISTEM INFORMASI BERKLASIFIKASI

Informasi

Terbuka

Pengelolaan IB Pengelola Informasi

Sertifikasi Keahlian

Diajukan oleh PPID

Dapat diakses Publik

Peninjauan secara berkala Pimpinan Badan Publik Deklasifikasi Sebelum Masa Retensi Sesuai Masa Retensi Penundaan

Wajib tersedia setiap saat

 Informasi yg wajib disediakan & diumumkan secara berkala  Informasi yg wajib diumumkan secara serta merta  Informasi yg wajib tersedia setiap saat

IMPLEMENTASI PERSANDIAN DALAM MENGAMANKAN INFORMASI

bukan hanya kirim terima informasi

menjadi ujung tombak dalam memberikan

jaminan keamanan informasi

Memberikan bukan hanya kesadaran bicara keamanan kerahasian informasi secara terus menerus dan berkesinambun gan

LET’S PRACTICE

TERIMA KASIH L E M BAG A S A N D I N EG A R A w w w. l e m s a n e g . g o . i d